Manual Web Seal

IBM Tivoli Access Manager for e-business
WebSEAL Gua de administracin

V ersin 5.1
SC10-9835-00
IBM Tivoli Access Manager for e-business
WebSEAL Gua de administracin

V ersin 5.1
SC10-9835-00
Nota Antes de utilizar esta informacin y el producto al que da soporte, lea la informacin del Apndice C, Avisos, en la pgina 543.
Primera edicin (noviembre de 2003) Este manual es la traduccin del original ingls IBM Tivoli Access Manager for e-business WebSEAL Administration Guide, SC32-1359-00. Copyright International Business Machines Corporation 1999, 2003. Reservados todos los derechos.
Contenido
Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
A quin va dirigido este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii Contenido de este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii Publicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix Informacin del release . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix Informacin de Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix Informacin de seguridad web . . . . . . . . . . . . . . . . . . . . . . . . . . . . xx Material de consulta para desarrolladores . . . . . . . . . . . . . . . . . . . . . . . . xx Informacin tcnica complementaria . . . . . . . . . . . . . . . . . . . . . . . . . . xxi Publicaciones relacionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxi IBM Global Security Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxii IBM Tivoli Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . xxii IBM DB2 Universal Database . . . . . . . . . . . . . . . . . . . . . . . . . . . xxii IBM WebSphere Application Server . . . . . . . . . . . . . . . . . . . . . . . . . xxii IBM Tivoli Access Manager for Business Integration . . . . . . . . . . . . . . . . . . . xxiii IBM Tivoli Access Manager for WebSphere Business Integration Brokers . . . . . . . . . . . . xxiii IBM Tivoli Access Manager for Operating Systems . . . . . . . . . . . . . . . . . . . xxiv IBM Tivoli Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiv Acceso a las publicaciones en lnea . . . . . . . . . . . . . . . . . . . . . . . . . . xxv Accesibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv Cmo ponerse en contacto con el soporte de software . . . . . . . . . . . . . . . . . . . . xxvi Convenios utilizados en este manual . . . . . . . . . . . . . . . . . . . . . . . . . . xxvi Convenios tipogrficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxvi Diferencias entre sistemas operativos . . . . . . . . . . . . . . . . . . . . . . . . . xxvi
Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL . . . . . . . . . . 1

Presentacin de IBM Tivoli Access Manager y WebSEAL . . . Comprensin del modelo de seguridad de Tivoli Access Manager Espacio de objetos protegidos . . . . . . . . . . . . Definicin y aplicacin de polticas de ACL y POP . . . . La lista de control de accesos (ACL) . . . . . . . . Polticas de objetos protegidos (POP) . . . . . . . . Polticas explcitas y heredadas . . . . . . . . . . Administracin de polticas: Web Portal Manager . . . . . Proteccin del espacio web con WebSEAL . . . . . . . . Planificacin e implementacin de la poltica de seguridad . . . Identificacin de tipos de contenido y niveles de proteccin . Informacin sobre la autenticacin de WebSEAL . . . . . . Objetivos de autenticacin . . . . . . . . . . . . . Acceso autenticado y no autenticado a los recursos . . . . Estructura de cach de sesin/credenciales de WebSEAL . . Informacin sobre las uniones WebSEAL . . . . . . . . Uniones WebSEAL y escalabilidad de sitios web . . . . . Servidores WebSEAL frontales replicados . . . . . . Soporte para servidores de fondo . . . . . . . . . Servidores de fondo replicados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 . 2 . 3 . 4 . 4 . 4 . 5 . 5 . 5 . 7 . 8 . 8 . 9 . 10 . 11 . 11 . 13 . 14 . 14 . 14
Captulo 2. Configuracin del servidor WebSEAL . . . . . . . . . . . . . . . . . 15

Configuracin de la instancia de servidor . . . . . . . . . . Visin general de la configuracin de la instancia de servidor . . Planificacin de una configuracin de instancia de servidor . . Valores de configuracin de la instancia de servidor de ejemplo . Archivo de configuracin exclusivo para cada instancia . . . Visin general de la configuracin interactiva . . . . . . . Visin general de la configuracin de la lnea de comandos . .
Copyright IBM Corp. 1999, 2003
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
16 16 16 20 21 21 22
iii
Visin general de la configuracin silenciosa . . . . . . . . . . . . . . . Tareas de configuracin de instancias de servidor. . . . . . . . . . . . . . . Adicin de una instancia de servidor WebSEAL . . . . . . . . . . . . . . Eliminacin de una instancia de servidor . . . . . . . . . . . . . . . . Configuracin del protocolo de comunicaciones . . . . . . . . . . . . . . . . Configuracin de WebSEAL para solicitudes HTTP . . . . . . . . . . . . . . Habilitacin e inhabilitacin del acceso HTTP . . . . . . . . . . . . . . . Definicin del valor de puerto del acceso HTTP . . . . . . . . . . . . . . Configuracin de WebSEAL para solicitudes HTTPS . . . . . . . . . . . . . . Conexiones SSL que utilizan el certificado de prueba de WebSEAL (este tema pertenece a Habilitacin e inhabilitacin del acceso HTTPS . . . . . . . . . . . . . . Definicin del valor de puerto del acceso HTTPS . . . . . . . . . . . . . . Restriccin de conexiones de versiones de SSL especficas . . . . . . . . . . . . Parmetros de tiempo de espera para la comunicacin HTTP/HTTPS . . . . . . . . Parmetros adicionales de tiempo de espera del servidor WebSEAL . . . . . . . . Hardware criptogrfico para cifrado y almacenamiento de claves . . . . . . . . . . Condiciones y requisitos previos . . . . . . . . . . . . . . . . . . . . Configuracin del motor Cipher y proceso de modalidad FIPS . . . . . . . . . . Configuracin de WebSEAL para hardware criptogrfico a travs de BHAPI. . . . . . Configuracin de WebSEAL para hardware criptogrfico a travs de PKCS#11 . . . . . Instalacin de la tarjeta criptogrfica y el controlador de dispositivo . . . . . . . Creacin de una contrasea y una etiqueta de dispositivo de seal para almacenar claves Configuracin de iKeyman para que utilice el mdulo PKCS#11 (biblioteca compartida) . Apertura del dispositivo de seal de WebSEAL utilizando iKeyman . . . . . . . Solicitud y almacenamiento del certificado de servidor WebSEAL . . . . . . . . Configuracin de WebSEAL y GSKit para que utilicen la biblioteca compartida PKCS#11 Modificacin de la etiqueta del certificado de servidor WebSEAL . . . . . . . . Inhabilitacin de la modalidad de aceleracin para nCipher nForce 300 . . . . . . Reinicio de WebSEAL . . . . . . . . . . . . . . . . . . . . . . . Calidad de niveles de proteccin . . . . . . . . . . . . . . . . . . . . . QOP para redes y hosts individuales . . . . . . . . . . . . . . . . . . . Configuracin de actualizaciones y sondeo de la base de datos de autorizaciones . . . . . Configuracin de la escucha de notificaciones de actualizaciones . . . . . . . . . Configuracin del sondeo de la base de datos de autorizaciones . . . . . . . . . . Gestin de la asignacin de threads de trabajo . . . . . . . . . . . . . . . . . Configuracin de threads de trabajo de WebSEAL . . . . . . . . . . . . . . Configuracin en AIX . . . . . . . . . . . . . . . . . . . . . . . Asignacin de threads de trabajo para uniones (imparcialidad de conexiones) . . . . . Contexto . . . . . . . . . . . . . . . . . . . . . . . . . . . Asignacin global de threads de trabajo para uniones . . . . . . . . . . . . Asignacin por unin de threads de trabajo para conexiones . . . . . . . . . . Notas para la resolucin de problemas . . . . . . . . . . . . . . . . . Soporte para varios entornos locales con UTF-8 . . . . . . . . . . . . . . . . Conceptos de soporte de varios entornos locales . . . . . . . . . . . . . . . Manejo de datos de WebSEAL utilizando UTF-8 . . . . . . . . . . . . . . Dependencia de UTF-8 en la configuracin de registro de usuarios . . . . . . . . Problemas de conversin de datos UTF-8 . . . . . . . . . . . . . . . . Variables de entorno UTF-8 para programas CGI . . . . . . . . . . . . . . Impacto de UTF-8 en la autenticacin . . . . . . . . . . . . . . . . . Los URL slo deben utilizar un tipo de codificacin . . . . . . . . . . . . . Soporte para UTF-8 durante la actualizacin de WebSEAL . . . . . . . . . . . Configuracin del soporte para varios entornos locales . . . . . . . . . . . . . Soporte UTF-8 para localizadores uniformes de recursos . . . . . . . . . . . Soporte UTF-8 para formularios . . . . . . . . . . . . . . . . . . . Soporte UTF-8 en cadenas de consulta . . . . . . . . . . . . . . . . . Codificacin UTF-8 de seales para el inicio de sesin nico entre dominios . . . . . Codificacin UTF-8 de seales para el inicio de sesin nico de e-community . . . . Codificacin UTF-8 de cookies para la autenticacin de la migracin tras error . . . . Codificacin UTF-8 en solicitudes de unin . . . . . . . . . . . . . . . . Mensajes de varios entornos locales . . . . . . . . . . . . . . . . . . . . Manejo de la codificacin de caracteres no vlidos en cadenas de consultas URL . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SSL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . de WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23 25 25 27 29 29 29 29 29 29 30 31 31 31 32 33 34 34 35 35 35 35 36 37 37 38 38 39 39 40 41 42 42 43 44 44 44 45 45 45 46 47 48 48 48 49 49 50 51 51 52 53 53 54 55 56 56 57 57 59 61
iv
IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin
Prevencin de la vulnerabilidad causada por scripts entre sitios . Contexto . . . . . . . . . . . . . . . . . . Configuracin del filtrado de cadenas de direcciones URL . . Servidores WebSEAL frontales replicados . . . . . . . . Platform for Privacy Preferences (P3P) . . . . . . . . . Visin general de las polticas compactas . . . . . . . Declaracin de poltica compacta . . . . . . . . . . Conservacin de la cabecera de unin . . . . . . . . Poltica compacta predeterminada de la cabecera P3P . . . Configuracin de la cabecera P3P . . . . . . . . . . Especificacin de una poltica compacta P3P personalizada . Resolucin de problemas . . . . . . . . . . . . . Supresin de la identidad del servidor . . . . . . . . . Manejo de identificadores BASE HREF . . . . . . . . . Habilitacin del mtodo TRACE de HTTP . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
62 62 62 64 65 65 66 67 67 68 74 75 76 76 76
Captulo 3. Administracin del servidor WebSEAL . . . . . . . . . . . . . . . . . 79

Tareas de servidor . . . . . . . . . . . . . . . . . . . . . . . Iniciar un servidor WebSEAL . . . . . . . . . . . . . . . . . . Detener un servidor WebSEAL . . . . . . . . . . . . . . . . . . Reiniciar un servidor WebSEAL . . . . . . . . . . . . . . . . . Mostrar el estado del servidor WebSEAL . . . . . . . . . . . . . . Gestin del espacio web . . . . . . . . . . . . . . . . . . . . . WebSEAL representado en el espacio de objetos protegidos . . . . . . . . Directorio raz del rbol de documentos web . . . . . . . . . . . . . Configuracin del ndice de directorios . . . . . . . . . . . . . . . Windows: convenios de denominacin para programas CGI . . . . . . . . Archivos UNIX ejecutables en el sistema host del servidor WebSEAL . . . . . Configuracin del almacenamiento en la cach de documentos web . . . . . Condiciones que afectan al almacenamiento en la cach de documentos web . Vaciado de todas las cachs . . . . . . . . . . . . . . . . . . Control del almacenamiento en la cach para documentos especficos . . . . Especificacin de tipos MIME de documentos para el filtrado de direcciones URL . Compresin de datos HTTP . . . . . . . . . . . . . . . . . . . . Compresin basada en el tipo MIME . . . . . . . . . . . . . . . . Compresin basada en el tipo de agente de usuario . . . . . . . . . . . Poltica de compresin en POP . . . . . . . . . . . . . . . . . . Limitacin de la compresin de datos . . . . . . . . . . . . . . . Configuracin de la compresin de datos . . . . . . . . . . . . . . Pginas de mensajes de error HTTP . . . . . . . . . . . . . . . . . Pginas de mensaje de error predeterminadas . . . . . . . . . . . . . Modificacin de pginas de error HTTP existentes . . . . . . . . . . . Creacin de pginas de error HTTP nuevas . . . . . . . . . . . . . . Habilitacin de la pgina de error de hora del da . . . . . . . . . . . Especificacin de la ubicacin de las pginas de error . . . . . . . . . . Compatibilidad con versiones anteriores . . . . . . . . . . . . . . . Gestin de pginas personalizadas de gestin de cuentas . . . . . . . . . . Parmetros y valores de pginas personalizadas . . . . . . . . . . . . Descripciones de pginas HTML personalizadas . . . . . . . . . . . . Soporte para macros de las pginas de gestin de cuentas . . . . . . . . . Modificacin de pginas de versiones anteriores de Tivoli Access Manager . . . Copia de seguridad y restauracin . . . . . . . . . . . . . . . . . Copia de seguridad de datos de WebSEAL . . . . . . . . . . . . . Restauracin de datos de WebSEAL . . . . . . . . . . . . . . . . Extraccin de datos de WebSEAL archivados . . . . . . . . . . . . . Herramientas para la determinacin de problemas para WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 . 80 . 80 . 81 . 81 . 82 . 82 . 82 . 83 . 84 . 85 . 85 . 86 . 86 . 87 . 87 . 89 . 89 . 90 . 91 . 91 . 91 . 93 . 93 . 95 . 95 . 96 . 96 . 96 . 98 . 98 . 99 . 99 . 101 . 103 . 103 . 104 . 104 . 105
Captulo 4. Servicios y registro . . . . . . . . . . . . . . . . . . . . . . . . . 107

Registro de mensajes de servicios de WebSEAL . Mensajes de servicio en formato UTF-8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 . 109
Contenido
Captura y registro de eventos . . . . . . . . . . . . . . . Tareas de configuracin del registro de eventos . . . . . . . . Configuracin de ejemplo . . . . . . . . . . . . . . . Configuracin del registro HTTP mediante el registro de eventos . . Salida del registro de eventos HTTP . . . . . . . . . . . . Salida del registro de eventos de autenticacin . . . . . . . . Datos de auditora en formato UTF-8 . . . . . . . . . . . Auditora heredada . . . . . . . . . . . . . . . . . . Auditora heredada para autenticacin . . . . . . . . . . . Auditora heredada para HTTP . . . . . . . . . . . . . Habilitacin e inhabilitacin del registro HTTP . . . . . . . Especificacin del tipo de marca de fecha y hora . . . . . . Especificacin de los umbrales de creacin de archivo de registro . Especificacin de la frecuencia de vaciado de los bferes de archivo Formato de registro comn HTTP (para request.log) . . . . . Visualizacin del archivo request.log . . . . . . . . . . Visualizacin del archivo agent.log . . . . . . . . . . . Visualizacin del archivo referer.log . . . . . . . . . . . Datos de registro en formato UTF-8 . . . . . . . . . . .
. . . . . . . . . . . . . de . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . registro . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
111 111 112 113 114 115 117 119 119 119 120 120 120 121 121 121 122 122 122
Captulo 5. Poltica de seguridad de WebSEAL . . . . . . . . . . . . . . . . . . 123

Polticas de ACL especficas de WebSEAL . . . . . . . . . . . . . . . . . /WebSEAL/nombre_instancia-host . . . . . . . . . . . . . . . . . . /WebSEAL/nombre_instancia-host/archivo . . . . . . . . . . . . . . . Permisos ACL de WebSEAL . . . . . . . . . . . . . . . . . . . . Poltica de ACL predeterminada de /WebSEAL . . . . . . . . . . . . . . Caracteres vlidos para nombres de ACL . . . . . . . . . . . . . . . . Configuracin de la poltica de inicio de sesin en tres intentos . . . . . . . . . Poltica de bloqueo de cuentas con servidores WebSEAL de equilibrio de carga . . . Sintaxis de los comandos de inicio de sesin de tres intentos . . . . . . . . . Configuracin de la poltica de intensidad de contraseas . . . . . . . . . . . Poltica de intensidad de contraseas establecida por la utilidad pdadmin . . . . . Sintaxis para los comandos de poltica de intensidad de contraseas . . . . . . . Valores predeterminados de los parmetros de poltica . . . . . . . . . . Ejemplos de contraseas vlidas y no vlidas. . . . . . . . . . . . . . . Valores globales y especficos para un usuario . . . . . . . . . . . . . . Poltica de intensidad de autenticacin . . . . . . . . . . . . . . . . . . Visin general de la intensidad de la autenticacin . . . . . . . . . . . . . Configuracin de la intensidad de autenticacin . . . . . . . . . . . . . . Establezca la poltica de intensidad de autenticacin . . . . . . . . . . . Especifique niveles de autenticacin . . . . . . . . . . . . . . . . . Especifique el formulario de inicio de sesin de intensidad de autenticacin . . . Cree una poltica de objetos protegidos . . . . . . . . . . . . . . . . Especifique las restricciones de acceso basadas en la red . . . . . . . . . . Asocie una poltica de objetos protegido a un recurso protegido . . . . . . . Aplique la coincidencia de la identidad del usuario entre los niveles de autenticacin Poltica POP de calidad de proteccin . . . . . . . . . . . . . . . . . . Gestin de usuarios no autenticados (HTTP / HTTPS) . . . . . . . . . . . . Proceso de una solicitud de un cliente annimo . . . . . . . . . . . . . . Obligacin del inicio de sesin de usuario . . . . . . . . . . . . . . . . Aplicaciones HTTPS sin autenticar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 124 124 124 125 125 126 126 127 129 129 129 130 131 131 132 132 134 134 134 135 136 137 139 140 141 141 141 141 142
Captulo 6. Autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

Visin general del proceso de autenticacin . . . . . . Tipos de datos de sesin soportados . . . . . . . . Mtodos de autenticacin soportados . . . . . . . Gestin del estado de la sesin . . . . . . . . . . Visin general del estado de la sesin . . . . . . . Visin general de la cach de sesin de GSKit y WebSEAL Configuracin de la cach de ID de sesin SSL de GSKit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 144 144 146 146 146 147
vi
Definicin del valor de tiempo de espera de entrada de cach . . . . . . Definicin del valor mximo de entradas simultneas . . . . . . . . . Configuracin de la cach de sesin/credenciales de WebSEAL . . . . . . Definicin del valor mximo de entradas simultneas . . . . . . . . . Definicin del valor de tiempo de espera de duracin de la entrada de cach . Definicin del valor del tiempo de espera de inactividad de entrada de cach . Limitacin de la cach de credenciales . . . . . . . . . . . . . . Mantenimiento del estado con cookies de sesin . . . . . . . . . . . Condiciones de la cookie de sesin . . . . . . . . . . . . . . . Cookies de sesin con cabeceras de autenticacin bsica . . . . . . . . Habilitacin e inhabilitacin de las cookies de ID de sesin . . . . . . . Habilitacin e inhabilitacin de las mismas sesiones . . . . . . . . . Limitacin de la misma sesin con Netscape 4.7x . . . . . . . . . . Determinacin de los tipos de datos vlidos de ID de sesin . . . . . . . Visin general de la configuracin de autenticacin. . . . . . . . . . . . Parmetros del mdulo de autenticacin . . . . . . . . . . . . . . Biblioteca de conversin de autenticacin . . . . . . . . . . . . . . Configuracin predeterminada para la autenticacin de WebSEAL. . . . . . Configuracin de mltiples mtodos de autenticacin . . . . . . . . . . Solicitud de inicio de sesin . . . . . . . . . . . . . . . . . . Configuracin de la notificacin de caducidad de cuenta . . . . . . . . . Comandos de fin de sesin y de cambio de contrasea . . . . . . . . . pkmslogout . . . . . . . . . . . . . . . . . . . . . . . pkmspasswd . . . . . . . . . . . . . . . . . . . . . . Proceso posterior al cambio de contrasea . . . . . . . . . . . . . Autenticacin bsica . . . . . . . . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin bsica . . . . . . . . . Definicin del nombre de dominio . . . . . . . . . . . . . . . . Configuracin del mecanismo de autenticacin bsica . . . . . . . . . . Condiciones de configuracin . . . . . . . . . . . . . . . . . . Inicios de sesin UTF-8 de mltiples bytes no soportados . . . . . . . . Autenticacin de formularios . . . . . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de formularios. . . . . . . Configuracin del mecanismo de autenticacin de formularios . . . . . . . Condiciones de configuracin . . . . . . . . . . . . . . . . . . Personalizacin de los formularios HTML de respuesta . . . . . . . . . Autenticacin de certificado de cliente . . . . . . . . . . . . . . . . Visin general de la autenticacin de certificado de cliente . . . . . . . . Modalidad de autenticacin de certificado necesario . . . . . . . . . Modalidad de autenticacin de certificado opcional . . . . . . . . . Modalidad de autenticacin de certificado con demora . . . . . . . . Configuracin de la autenticacin de certificado . . . . . . . . . . . . Habilite la autenticacin de certificado . . . . . . . . . . . . . . Especifique el mecanismo de autenticacin de certificado . . . . . . . . Especifique el formulario de inicio de sesin de certificado . . . . . . . Especifique la pgina de error de inicio de sesin de certificado . . . . . Inhabilite los ID de sesin de SSL para realizar el seguimiento de sesiones . . Habilite y configure la cach de ID de SSL de certificado . . . . . . . . Defina el tiempo de espera para la cach de ID de SSL de certificado . . . . Especifique una pgina de error para un protocolo incorrecto . . . . . . Inhabilite la autenticacin de certificado . . . . . . . . . . . . . Inhabilite la cach de ID de SSL de certificado . . . . . . . . . . . Autenticacin de cabeceras HTTP . . . . . . . . . . . . . . . . . Habilitar la autenticacin de cabeceras HTTP . . . . . . . . . . . . . Especificar tipos de cabecera . . . . . . . . . . . . . . . . . . Especificar el mecanismo de autenticacin de cabeceras HTTP . . . . . . . Inhabilitar la autenticacin de cabeceras HTTP . . . . . . . . . . . . Autenticacin de direcciones IP . . . . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de direcciones IP . . . . . . Configuracin del mecanismo de autenticacin de direcciones IP . . . . . . Autenticacin de seal . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
147 147 147 148 148 148 149 149 150 150 151 152 152 153 155 155 156 156 157 157 158 158 158 159 159 160 160 160 160 161 161 162 162 162 163 163 164 164 164 164 164 167 167 168 169 169 169 170 170 171 171 171 172 172 173 173 174 175 175 175 176
Contenido
vii
Conceptos de la autenticacin de seal . . . . . . . . . . . . . . . . . . . . Biblioteca de autenticacin de seal . . . . . . . . . . . . . . . . . . . . Autenticacin de seal SecurID . . . . . . . . . . . . . . . . . . . . . Flujo de trabajo de autenticacin para seales de la modalidad de PIN nuevo . . . . . . Uso de la autenticacin de seal con un servidor de intensidad de contraseas . . . . . El cliente SecurID RSA no da soporte a Linux para zSeries . . . . . . . . . . . . Configuracin de la autenticacin de seal . . . . . . . . . . . . . . . . . . Habilite la autenticacin de seal . . . . . . . . . . . . . . . . . . . . . Especifique el mecanismo de autenticacin de seal . . . . . . . . . . . . . . Habilite el acceso a la biblioteca de cliente SecurID . . . . . . . . . . . . . . . Especifique una biblioteca de intensidad de contraseas personalizada . . . . . . . . Habilite la compatibilidad con versiones anteriores para la biblioteca de autenticacin de seal personalizada . . . . . . . . . . . . . . . . . . . . . . . . . . . Inhabilite la autenticacin de seal . . . . . . . . . . . . . . . . . . . . Autenticacin de migracin tras error . . . . . . . . . . . . . . . . . . . . . Conceptos de autenticacin de migracin tras error. . . . . . . . . . . . . . . . Escenario de autenticacin de migracin tras error . . . . . . . . . . . . . . . Biblioteca de autenticacin de migracin tras error . . . . . . . . . . . . . . . Adicin de datos a una cookie de migracin tras error . . . . . . . . . . . . . Extraccin de datos de una cookie de migracin tras error . . . . . . . . . . . . Autenticacin de migracin tras error del dominio . . . . . . . . . . . . . . . Compatibilidad con versiones anteriores . . . . . . . . . . . . . . . . . . Actualizacin de la autenticacin de migracin tras error . . . . . . . . . . . . . Configuracin de la autenticacin de migracin tras error . . . . . . . . . . . . . Especifique el protocolo para la cookie de migracin tras error . . . . . . . . . . . Especifique la biblioteca de autenticacin de migracin tras error . . . . . . . . . . Cree una clave de cifrado para los datos de la cookie . . . . . . . . . . . . . . Especifique la duracin de la cookie . . . . . . . . . . . . . . . . . . . . Especifique la codificacin UTF-8 en las cadenas de cookies . . . . . . . . . . . . Agregue el nivel de autenticacin . . . . . . . . . . . . . . . . . . . . Agregue la marca de fecha y hora de la duracin de la sesin . . . . . . . . . . . Agregue la marca de fecha y hora de actividad de la sesin . . . . . . . . . . . . Agregue un intervalo para actualizar la marca de fecha y hora de actividad . . . . . . Agregue atributos ampliados . . . . . . . . . . . . . . . . . . . . . . Especifique el atributo de nivel de autenticacin despus de la autenticacin de migracin tras Especifique los atributos para la extraccin . . . . . . . . . . . . . . . . . Habilite las cookies de migracin tras error del dominio . . . . . . . . . . . . . Solicite validacin de una marca de fecha y hora de duracin . . . . . . . . . . . Solicite validacin de una marca de fecha y hora de actividad . . . . . . . . . . . Habilite la compatibilidad con versiones anteriores a la versin 4.1 para el cifrado . . . . Habilite la compatibilidad con versiones anteriores a la versin 4.1 para cookies . . . . . Protocolo SPNEGO y autenticacin Kerberos . . . . . . . . . . . . . . . . . . . Agentes proxy multiplexor . . . . . . . . . . . . . . . . . . . . . . . . . Tipos de datos de sesin y mtodos de autenticacin vlidos . . . . . . . . . . . . Flujo de proceso de autenticacin para MPA y clientes mltiples . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de MPA . . . . . . . . . . . . . . Creacin de una cuenta de usuario para el MPA. . . . . . . . . . . . . . . . . Adicin de la cuenta de MPA al grupo webseal-mpa-servers . . . . . . . . . . . . Limitaciones de la autenticacin de MPA . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
176 176 176 178 179 179 179 179 180 180 181 181 182 183 183 183 184 186 188 189 190 190 191 193 193 194 194 195 195 195 196 196 197 197 198 199 199 200 200 201 202 203 203 205 205 205 205 206
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . error . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Captulo 7. Autenticacin avanzada de WebSEAL . . . . . . . . . . . . . . . . . 207

Autenticacin de cambio de usuario . . . . . . . . . . . . . . Visin general de la funcin de cambio de usuario . . . . . . . . Procedimiento de configuracin . . . . . . . . . . . . . . Parte 1: Configuracin del acceso de los usuarios . . . . . . . Parte 2: Configuracin de los mecanismos de autenticacin de cambio Parte 3: Configuracin del formulario HTML de cambio de usuario . Parte 4: Diseo de formularios de entrada adicionales . . . . . . Parte 5: Detencin y reinicio de WebSEAL . . . . . . . . . . Utilizacin del cambio de usuario . . . . . . . . . . . . . Caractersticas adicionales del cambio de usuario . . . . . . . . . . . . de . . . . . . . . . . . . . . . . . usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 208 210 210 211 214 216 216 216 217
viii
Tiempo de espera de la cach de sesin . . . . . . . . . . . . . . . . . . . Autenticacin incremental . . . . . . . . . . . . . . . . . . . . . . . . Reautenticacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de la sesin de usuario . . . . . . . . . . . . . . . . . . . . . . Indicador-valor . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auditora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Desarrollo de un mdulo de autenticacin personalizado para el cambio de usuario. . . . . . Almacenamiento en la cach de solicitudes del servidor . . . . . . . . . . . . . . . . Visin general del almacenamiento en la cach de solicitudes del servidor . . . . . . . . . Configuracin de parmetros del almacenamiento en la cach del servidor . . . . . . . . . Modificacin del parmetro max-client-read . . . . . . . . . . . . . . . . . . Modificacin del parmetro request-body-max-read . . . . . . . . . . . . . . . Modificacin del parmetro request-max-cache . . . . . . . . . . . . . . . . . Configuracin de la reautenticacin basada en la poltica de seguridad . . . . . . . . . . . Condiciones que afectan a la reautenticacin de POP . . . . . . . . . . . . . . . . Creacin y aplicacin de la POP de reautenticacin . . . . . . . . . . . . . . . . . Configuracin del restablecimiento y ampliacin de la duracin de la entrada de la cach de sesin Restablecimiento del valor de duracin de la entrada de la cach de sesin. . . . . . . . Ampliacin del valor de duracin de la entrada de la cach de sesin . . . . . . . . . Personalizacin de formularios de inicio de sesin para la reautenticacin . . . . . . . . . Configuracin de la reautenticacin basada en la poltica de inactividad de sesin . . . . . . . Condiciones que afectan a la reautenticacin de la inactividad . . . . . . . . . . . . . Habilitacin de la reautenticacin por inactividad . . . . . . . . . . . . . . . . . Restablecimiento y ampliacin del valor de duracin de la entrada de la cach de sesin . . . . Restablecimiento del valor de duracin de la entrada de la cach de sesin. . . . . . . . Ampliacin del valor de duracin de la entrada de la cach de sesin . . . . . . . . . Cmo evitar el cierre de la sesin cuando caduca la duracin de la sesin . . . . . . . . Personalizacin de formularios de inicio de sesin para la reautenticacin . . . . . . . . . Redireccin automtica durante el inicio de sesin del usuario . . . . . . . . . . . . . . Visin general de la redireccin automtica . . . . . . . . . . . . . . . . . . . Habilitacin de la redireccin automtica . . . . . . . . . . . . . . . . . . . . Inhabilitacin de la redireccin automtica . . . . . . . . . . . . . . . . . . . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuracin del proceso posterior al cambio de contrasea . . . . . . . . . . . . . . Condiciones del proceso posterior al cambio de contrasea . . . . . . . . . . . . . . Atributos ampliados para credenciales . . . . . . . . . . . . . . . . . . . . . . Mecanismos para agregar atributos de registro a una credencial . . . . . . . . . . . . Configuracin del servicio de titularidad de atributos de registro . . . . . . . . . . . . Paso 1: Determine los atributos que deben agregarse a la credencial . . . . . . . . . . Paso 2: Defina el uso del servicio de titularidad . . . . . . . . . . . . . . . . . Paso 3: Especifique los atributos que deben agregarse a la credencial . . . . . . . . . . Gestin de uniones de atributos de credencial ampliados . . . . . . . . . . . . . . . Renovacin de credenciales . . . . . . . . . . . . . . . . . . . . . . . . . . Conceptos sobre la renovacin de credenciales . . . . . . . . . . . . . . . . . . Visin general de la renovacin de credenciales . . . . . . . . . . . . . . . . . Reglas de renovacin de credenciales . . . . . . . . . . . . . . . . . . . . Renovacin de la informacin de la credencial almacenada en la cach . . . . . . . . . Sintaxis y uso del archivo de configuracin . . . . . . . . . . . . . . . . . . Valores predeterminados para conservar y renovar . . . . . . . . . . . . . . . . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuracin de la renovacin de credenciales . . . . . . . . . . . . . . . . . . Paso 1: Especifique los atributos que deben conservarse o renovarse . . . . . . . . . . Paso 2: Habilite los ID de sesin de usuario . . . . . . . . . . . . . . . . . . Paso 3: Habilite la ubicacin del nombre del servidor en una cabecera de unin . . . . . . Uso de la renovacin de credenciales . . . . . . . . . . . . . . . . . . . . . Renovacin de credenciales para un usuario determinado . . . . . . . . . . . . . Resolucin de problemas . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
217 217 218 218 218 218 218 221 221 223 223 223 224 226 226 227 227 227 228 229 230 230 231 231 231 232 233 234 235 235 235 236 236 237 237 238 238 239 239 239 240 241 244 244 244 245 246 247 247 248 249 249 249 249 250 250 251
Captulo 8. Gestin de claves de WebSEAL . . . . . . . . . . . . . . . . . . . 253

Visin general de la gestin de claves de WebSEAL Gestin de certificados de cliente y servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 . 254
Contenido
ix
Tipos de archivo de base de datos de claves de GSKit . . . . . . . . . Configuracin de los parmetros de la base de datos de claves de WebSEAL . Utilizacin de la utilidad de gestin de certificados iKeyman . . . . . . Configuracin de la comprobacin de CRL . . . . . . . . . . . . Configuracin de la cach de CRL . . . . . . . . . . . . . . . Definicin del nmero mximo de entradas de cach . . . . . . . . Definicin del valor de tiempo de espera de duracin de la cach de GSKit
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
254 255 257 257 258 258 258
Captulo 9. Soluciones de inicio de sesin nico de cliente . . . . . . . . . . . . 259

Inicio de sesin nico del escritorio de Windows . . . . . . . . . . . . . . . . . . . . Conceptos de inicio de sesin nico del escritorio de Windows . . . . . . . . . . . . . . . Protocolo SPNEGO y autenticacin Kerberos . . . . . . . . . . . . . . . . . . . . Registro de usuarios y soporte para plataformas . . . . . . . . . . . . . . . . . . . Compatibilidad con otros mtodos de autenticacin . . . . . . . . . . . . . . . . . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuracin del inicio de sesin nico del escritorio de Windows . . . . . . . . . . . . . Paso 1: Configure el servidor WebSEAL en el dominio de Active Directory . . . . . . . . . . Paso 2: Correlacione el principal de Kerberos con el usuario de Active Directory . . . . . . . . Paso 3: Instale el cliente de ejecucin Kerberos (slo UNIX) . . . . . . . . . . . . . . . Paso 4: Configure el cliente Kerberos (slo UNIX) . . . . . . . . . . . . . . . . . . Paso 5: Verifique la autenticacin del principal del servidor web (slo UNIX) . . . . . . . . . Paso 6: Verifique la autenticacin de WebSEAL utilizando el archivo keytab (slo UNIX) . . . . . Paso 7: Habilite SPNEGO para WebSEAL . . . . . . . . . . . . . . . . . . . . . Paso 8: Agregue entradas de nombre de servicio y de archivo keytab (slo UNIX) . . . . . . . Paso 9: Reinicie WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . Paso 10: Configure el cliente Internet Explorer . . . . . . . . . . . . . . . . . . . Sugerencias para la resolucin de problemas . . . . . . . . . . . . . . . . . . . . Inicio de sesin nico entre dominios (CDSSO) . . . . . . . . . . . . . . . . . . . . . Personalizacin de la autenticacin de inicio de sesin nico . . . . . . . . . . . . . . . Flujo de proceso de autenticacin para CDSSO con CDMF . . . . . . . . . . . . . . . . Configuracin de la autenticacin de CDSSO . . . . . . . . . . . . . . . . . . . . . . Condiciones y requisitos de CDSSO . . . . . . . . . . . . . . . . . . . . . . . . Resolucin de nombres de mquina . . . . . . . . . . . . . . . . . . . . . . . Resumen de la configuracin de CDSSO . . . . . . . . . . . . . . . . . . . . . . Configuracin de la funcionalidad de creacin de seal CDSSO predeterminada . . . . . . . . Configuracin de la funcionalidad de consumo de seal CDSSO predeterminada . . . . . . . . 1. Habilitacin e inhabilitacin de la autenticacin CDSSO . . . . . . . . . . . . . . . . 2. Configuracin del mecanismo de autenticacin de inicio de sesin nico . . . . . . . . . . . 3. Cifrado de los datos de la seal de autenticacin . . . . . . . . . . . . . . . . . . . 4. Configuracin de la marca de fecha y hora de la seal . . . . . . . . . . . . . . . . . 5. Configuracin del nombre de la etiqueta de la seal . . . . . . . . . . . . . . . . . Creacin del vnculo HTML de CDSSO . . . . . . . . . . . . . . . . . . . . . . . Proteccin de la seal de autenticacin . . . . . . . . . . . . . . . . . . . . . . . Codificacin UTF-8 de seales para el inicio de sesin nico entre dominios . . . . . . . . . . Habilitacin de la compatibilidad con seales anteriores a la versin 4.1 . . . . . . . . . . . . Habilitacin de la compatibilidad con versiones anteriores para seales de la versin 4.1 . . . . . . Especificacin de los atributos ampliados que deben agregarse a la seal . . . . . . . . . . . Especificacin de los atributos ampliados que deben extraerse de la seal . . . . . . . . . . . Inicio de sesin nico de e-community . . . . . . . . . . . . . . . . . . . . . . . . Caractersticas y requisitos de e-community . . . . . . . . . . . . . . . . . . . . . Flujo de proceso de e-community. . . . . . . . . . . . . . . . . . . . . . . . . Informacin de la cookie de e-community . . . . . . . . . . . . . . . . . . . . . . Comprensin de la solicitud y respuesta de garantizacin . . . . . . . . . . . . . . . . La solicitud de garantizacin . . . . . . . . . . . . . . . . . . . . . . . . . La respuesta de garantizacin . . . . . . . . . . . . . . . . . . . . . . . . . Informacin sobre la seal de garantizacin . . . . . . . . . . . . . . . . . . . . Configuracin del inicio de sesin nico de e-community . . . . . . . . . . . . . . . . . Condiciones y requisitos de e-community . . . . . . . . . . . . . . . . . . . . . . Resolucin de nombres de mquina . . . . . . . . . . . . . . . . . . . . . . . Resumen de la configuracin de e-community . . . . . . . . . . . . . . . . . . . . Configuracin de la funcionalidad de creacin de seal predeterminada en el servidor de garantizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 260 260 261 262 262 263 264 264 267 267 268 269 269 269 270 270 270 272 272 272 274 274 274 275 275 276 276 276 277 278 278 279 279 279 280 280 281 282 283 284 285 289 289 289 290 290 290 290 291 292 292
Configuracin de la funcionalidad de consumo de seal predeterminada en el servidor receptor Habilitacin e inhabilitacin de la autenticacin de e-community . . . . . . . . . . . Especificacin de un nombre de e-community. . . . . . . . . . . . . . . . . . Configuracin de un mecanismo de autenticacin de inicio de sesin nico . . . . . . . . Cifrado de la seal de garantizacin . . . . . . . . . . . . . . . . . . . . . Claves de dominio de e-community . . . . . . . . . . . . . . . . . . . . . 5. Configuracin de un nombre de etiqueta de la seal de garantizacin. . . . . . . . . . 6. Especificacin del servidor de autenticacin maestro (MAS) . . . . . . . . . . . . . 7. Especificacin de la direccin URL de garantizacin . . . . . . . . . . . . . . . 8. Configuracin de los valores de duracin de seal y ec-cookie . . . . . . . . . . . . Habilitacin del acceso no autenticado . . . . . . . . . . . . . . . . . . . . . Codificacin UTF-8 de seales para el inicio de sesin nico de e-community . . . . . . . . Habilitacin de la compatibilidad con seales anteriores a la versin 4.1 . . . . . . . . . . Habilitacin de la compatibilidad con versiones anteriores para seales de la versin 4.1 . . . . Especificacin de los atributos ampliados que deben agregarse a la seal . . . . . . . . . Especificacin de los atributos ampliados que deben extraerse de la seal . . . . . . . . . 1. 2. 3. 4.
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
293 293 294 294 295 295 296 296 297 298 298 299 299 299 300 301
Captulo 10. Uniones WebSEAL
. . . . . . . . . . . . . . . . . . . . . . . . 303
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 304 304 304 304 305 306 306 306 306 308 309 309 309 310 310 310 310 312 312 312 313 313 314 314 314 314 314 316 317 318 319 319 320 321 322 322 323 324 325 326 327 327
Visin general de las uniones WebSEAL . . . . . . . . . . . . . . Ubicacin y formato de la base de datos de uniones . . . . . . . . . Aplicacin del control de accesos flexible: resumen . . . . . . . . . . Aplicacin del control de accesos estricto: resumen . . . . . . . . . . Directrices para la creacin de uniones WebSEAL . . . . . . . . . . Informacin de consulta adicional para uniones WebSEAL . . . . . . . Gestin de uniones con Web Portal Manager . . . . . . . . . . . . . Creacin de una unin con Web Portal Manager . . . . . . . . . . Lista de uniones utilizando Web Portal Manager . . . . . . . . . . Eliminacin de uniones utilizando Web Portal Manager . . . . . . . . Utilizacin de pdadmin para crear uniones . . . . . . . . . . . . . Configuracin de una unin WebSEAL bsica . . . . . . . . . . . . Creacin de uniones de tipo TCP . . . . . . . . . . . . . . . . Creacin de uniones de tipo SSL . . . . . . . . . . . . . . . . Verificacin del certificado de servidor de fondo. . . . . . . . . . Ejemplos de uniones de SSL . . . . . . . . . . . . . . . . Inhabilitacin de las versiones de protocolo SSL para las uniones . . . . Adicin de servidores de fondo a una unin . . . . . . . . . . . . Uniones SSL autenticadas mutuamente . . . . . . . . . . . . . . . WebSEAL valida el certificado de servidor de fondo . . . . . . . . . Coincidencia de Nombre distinguido (DN) . . . . . . . . . . . . WebSEAL se autentica con un certificado de cliente . . . . . . . . . WebSEAL se autentica con una cabecera de BA . . . . . . . . . . . Gestin de informacin de identidad de cliente entre uniones . . . . . . Utilizacin de b supply. . . . . . . . . . . . . . . . . . Utilizacin de b ignore . . . . . . . . . . . . . . . . . . Utilizacin de b gso . . . . . . . . . . . . . . . . . . . Utilizacin de b filter . . . . . . . . . . . . . . . . . . Creacin de uniones de proxy TCP y SSL . . . . . . . . . . . . . . Uniones WebSEAL a WebSEAL a travs de SSL . . . . . . . . . . . . Modificacin de las direcciones URL de recursos de fondo . . . . . . . . Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL Filtrado de las direcciones URL en las respuestas . . . . . . . . . . Reglas de filtrado estndar de direcciones URL para WebSEAL . . . . . Modificacin de las direcciones URL absolutas con filtrado de scripts . . El filtrado cambia la cabecera Content-Length . . . . . . . . . . Limitacin con vnculos relativos al servidor no filtrados . . . . . . . Proceso de direcciones URL en las solicitudes . . . . . . . . . . . Gestin de direcciones URL relativas al servidor con cookies de unin (-j) . Gestin de direcciones URL relativas al servidor con correlacin de uniones Proceso de solicitudes de unin raz . . . . . . . . . . . . . . Gestin de cookies de servidores a travs de mltiples uniones -j . . . . . Parte 1: Las uniones -j modifican los atributos de ruta de acceso Set-Cookie
Contenido
xi
Parte 2: Las uniones -j modifican los atributos de nombre de Set-Cookie. Cmo conservar nombres de cookie . . . . . . . . . . . . . Opciones adicionales de unin . . . . . . . . . . . . . . . . Cmo forzar una nueva unin (f) . . . . . . . . . . . . . . Especificacin de la identidad del cliente en cabeceras HTTP (c) . . . . Sintaxis de c . . . . . . . . . . . . . . . . . . . . Especificacin de las direcciones IP de cliente en cabeceras HTTP (r) . . Limitacin del tamao de cabeceras HTTP generadas por WebSEAL . . . Transferencia de cookies de sesin a servidores de portal con unin (k) . Soporte para direcciones URL no sensibles a maysculas y minsculas (i) . Soporte para unin con informacin de estado (s, u) . . . . . . . Especificacin de UUID de servidor de fondo para uniones con informacin Ejemplo: . . . . . . . . . . . . . . . . . . . . . . Unin con sistemas de archivos de Windows (w) . . . . . . . . . Ejemplo: . . . . . . . . . . . . . . . . . . . . . . Las ACL y las POP deben asociarse a nombres de objeto en minsculas . Especificacin de la codificacin UTF-8 para datos de cabecera HTTP . . Notas tcnicas para utilizar uniones WebSEAL . . . . . . . . . . . Montaje de varios servidores en la misma unin . . . . . . . . . Excepciones a la aplicacin de permisos entre uniones. . . . . . . . Certificacin de autenticacin entre uniones . . . . . . . . . . . Gestin de cookies de dominio . . . . . . . . . . . . . . . WebSEAL devuelve HTTP/1.1 . . . . . . . . . . . . . . . . Aplicacin con unin con Web Portal Manager . . . . . . . . . . Utilizacin de query_contents con servidores de terceros . . . . . . . . Instalacin de los componentes de query_contents . . . . . . . . . Instalacin de query_contents en servidores UNIX de terceros . . . . . Instalacin de query_contents en servidores Win32 de terceros . . . . . Prueba de la configuracin . . . . . . . . . . . . . . . . Personalizacin de query_contents . . . . . . . . . . . . . . Personalizacin del directorio raz de documentos . . . . . . . . Funcionalidad adicional . . . . . . . . . . . . . . . . . Proteccin de query_contents . . . . . . . . . . . . . . . . Resolucin de problemas . . . . . . . . . . . . . . . . .
. . . . . . . . . . . de . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . estado (u) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
328 329 330 330 331 331 332 333 333 334 335 335 337 338 339 339 339 341 341 341 341 342 342 342 344 344 345 345 346 346 347 347 347 348
Captulo 11. Soluciones de inicio de sesin nico a travs de uniones

Configuracin de cabeceras de BA para las soluciones de inicio de sesin nico . . . Conceptos de inicio de sesin nico (SSO) . . . . . . . . . . . . . . . Especificacin de la identidad de cliente en cabeceras de BA . . . . . . . . Especificacin de la identidad del cliente y la contrasea genrica . . . . . . . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . Reenvo de la informacin de cabecera de BA del cliente original . . . . . . . Eliminacin de la informacin de cabecera de BA de cliente . . . . . . . . . Especificacin de los nombres de usuario y las contraseas de GSO . . . . . . Utilizacin de Global Sign-on (GSO) . . . . . . . . . . . . . . . . . . Correlacin de la informacin de autenticacin . . . . . . . . . . . . . Configuracin de una unin WebSEAL habilitada para GSO . . . . . . . . . Ejemplos de uniones WebSEAL habilitadas para GSO . . . . . . . . . . Configuracin de la cach de GSO . . . . . . . . . . . . . . . . . Configuracin del inicio de sesin nico en IBM WebSphere (LTPA) . . . . . . . Configuracin de una unin LTPA . . . . . . . . . . . . . . . . . Configuracin de la cach de LTPA . . . . . . . . . . . . . . . . . Notas tcnicas para el inicio de sesin nico de LTPA . . . . . . . . . . . Configuracin de la autenticacin de formularios de inicio de sesin nico . . . . . Contexto y objetivos . . . . . . . . . . . . . . . . . . . . . . Flujo de proceso de inicio de sesin nico de formularios . . . . . . . . . Requisitos para el soporte de aplicaciones . . . . . . . . . . . . . . . Creacin del archivo de configuracin para el inicio de sesin nico con formularios La stanza [forms-sso-login-pages]. . . . . . . . . . . . . . . . . La stanza de pgina de inicio de sesin personalizada . . . . . . . . . . Utilizacin de expresiones regulares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . 349
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 350 350 351 351 352 352 353 354 355 356 356 356 358 358 359 359 361 361 361 363 363 364 364 366
xii
La stanza de argumento . . . . . . . . . . . Habilitacin del inicio de sesin nico con formularios . Ejemplo de archivo de configuracin para IBM HelpNow
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. 366 . 367 . 368
Captulo 12. Integracin de aplicaciones . . . . . . . . . . . . . . . . . . . . . 371

Soporte para la programacin de CGI . . . . . . . . . . . . . . . . . Variables de entorno UTF-8 para programas CGI . . . . . . . . . . . . Windows: Soporte para variables de entorno de WIN32 . . . . . . . . . . Soporte para aplicaciones del servidor de fondo . . . . . . . . . . . . . . Mejores prcticas de unin para la integracin de aplicaciones . . . . . . . . . Informacin completa de cabecera HOST con -v . . . . . . . . . . . . . Soporte para el filtrado de las direcciones URL absolutas estndar. . . . . . . Creacin de un servicio de personalizacin personalizado . . . . . . . . . . Configuracin de WebSEAL para un servicio de personalizacin . . . . . . . Ejemplo de servicio de personalizacin . . . . . . . . . . . . . . . . Mantenimiento del estado de la sesin entre las aplicaciones clientes y de fondo . . . Informacin sobre la gestin de la sesin de usuario . . . . . . . . . . . Habilitacin de la gestin de ID de sesin de usuario . . . . . . . . . . . Insercin de datos de credenciales en la cabecera HTTP . . . . . . . . . . Terminacin de sesiones de usuario . . . . . . . . . . . . . . . . . Utilizacin de la API de administracin para terminar sesiones de usuario nicas Utilizacin de pdadmin para terminar todas las sesiones de usuario . . . . . Especificacin del control de acceso a las direcciones URL dinmicas . . . . . . . Componentes de direccin URL dinmica . . . . . . . . . . . . . . . Correlacin de objetos ACL y POP con direcciones URL dinmicas . . . . . . Actualizacin de WebSEAL para direcciones URL dinmicas . . . . . . . . Resolucin de direcciones URL dinmicas en el espacio de objetos . . . . . . Evaluacin de ACL y POP . . . . . . . . . . . . . . . . . . . Configuracin de limitaciones en las solicitudes POST . . . . . . . . . . . Resumen y notas tcnicas . . . . . . . . . . . . . . . . . . . . Ejemplo de direccin URL dinmica: Travel Kingdom . . . . . . . . . . . . La aplicacin . . . . . . . . . . . . . . . . . . . . . . . . La interfaz . . . . . . . . . . . . . . . . . . . . . . . . . Estructura de espacio web . . . . . . . . . . . . . . . . . . . La poltica de seguridad . . . . . . . . . . . . . . . . . . . . . Correlaciones de direcciones URL dinmicas con el espacio de objetos . . . . Clientes seguros . . . . . . . . . . . . . . . . . . . . . . . Estructura de cuentas y grupos . . . . . . . . . . . . . . . . . Control de accesos. . . . . . . . . . . . . . . . . . . . . . . Conclusin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 373 373 375 376 376 376 378 378 379 380 380 380 381 382 382 383 384 384 384 386 386 387 387 388 390 390 390 391 391 391 391 391 392 392
Captulo 13. Recuperacin de informacin de decisiones de autorizacin . . . . . . 393

Visin de la recuperacin de ADI . . . . . . . . . . . . . . Recuperacin de ADI de la solicitud de cliente de WebSEAL . . . . Ejemplo: Recuperacin de ADI de la cabecera de la solicitud . . . Ejemplo: Recuperacin de ADI de la cadena de consulta de la solicitud Ejemplo: Recuperacin de ADI del cuerpo POST de la solicitud . . Recuperacin de ADI de la credencial de usuario . . . . . . . . Especificacin de una causa de error en una unin . . . . . . . . Recuperacin de ADI dinmica . . . . . . . . . . . . . . Despliegue del servicio de recuperacin de atributos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 395 396 397 397 399 400 401 402
Captulo 14. Informacin de consulta del servicio de recuperacin de atributos . . . . 403

Configuracin bsica . . . . . . Archivos de configuracin . . . amwebars.conf . . . . . . ContainerDescriptorTable.xml . ProviderTable.xml . . . . . ProtocolTable.xml . . . . . Descripciones de los parmetros de . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . configuracin . . . . . . de . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . amwebars.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404 404 404 404 404 404 404
Contenido
xiii
Ubicaciones de las tablas . . . . . . . . . . . . Registro . . . . . . . . . . . . . . . . . . Limitacin del nmero de clientes y de sesiones . . . . . Opciones varias . . . . . . . . . . . . . . . Mdulos de protocolos que deben cargarse en la inicializacin Edicin de las tablas de datos . . . . . . . . . . . . . Tabla ProviderTable . . . . . . . . . . . . . . . Subelementos del elemento Provider . . . . . . . . Tabla ProviderTable de ejemplo . . . . . . . . . . Tabla ContainerDescriptorTable . . . . . . . . . . . Subelementos del elemento ContainerDescriptor . . . . . Correlacin de atributos . . . . . . . . . . . . . Tabla ContainerDescriptorTable de ejemplo . . . . . . Tabla ProtocolTable . . . . . . . . . . . . . . . Subelementos del elemento Protocol . . . . . . . . . Tabla ProtocolTable de ejemplo . . . . . . . . . . Creacin de plug-ins de protocolo personalizados . . . . . . Visin general . . . . . . . . . . . . . . . . . Creacin del plug-in de protocolo . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
404 405 406 406 406 408 408 408 409 409 409 410 411 411 411 412 413 413 413
Apndice A. Informacin de consulta del archivo de configuracin de WebSEAL . . . 415

Nombre y ubicacin del archivo de configuracin Directrices para configurar stanzas . . . . . Directrices generales . . . . . . . . . Valores predeterminados . . . . . . . Cadenas . . . . . . . . . . . . . Cadenas definidas . . . . . . . . . . Listas . . . . . . . . . . . . . . Nombres de archivo . . . . . . . . . Enteros . . . . . . . . . . . . . Valores booleanos . . . . . . . . . . Cambio de los valores de configuracin . . . Organizacin de las stanzas . . . . . . . Configuracin del servidor . . . . . . . . Registro de usuarios . . . . . . . . . . LDAP . . . . . . . . . . . . . . Active Directory . . . . . . . . . . IBM Lotus Domino . . . . . . . . . Secure Socket Layer . . . . . . . . . . Autenticacin . . . . . . . . . . . . Mtodos de autenticacin . . . . . . . Bibliotecas de autenticacin . . . . . . Reautenticacin. . . . . . . . . . . Migracin tras error de autenticacin . . . Inicio de sesin nico entre dominios (CDSSO) Inicio de sesin nico de e-community . . . Calidad de proteccin . . . . . . . . Sesin . . . . . . . . . . . . . . . Contenido . . . . . . . . . . . . . Gestin de contenido . . . . . . . . . Gestin de cuentas . . . . . . . . . Redireccin automtica . . . . . . . . CGI local . . . . . . . . . . . . . Iconos . . . . . . . . . . . . . . Almacenamiento en cach de contenido . . Compresin del contenido . . . . . . . Tipos de contenido MIME . . . . . . . Codificacin de contenido . . . . . . . Uniones . . . . . . . . . . . . . . Gestin de conexiones . . . . . . . . Filtrado de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 416 416 417 417 417 418 418 419 419 419 421 423 432 432 439 442 445 454 455 461 466 467 472 475 480 482 485 486 488 492 493 495 497 498 499 500 501 502 506
xiv
Filtrado de manejadores de eventos . . . . . . . . Filtrado de esquemas . . . . . . . . . . . . . Filtrado de tipos MIME y cabeceras . . . . . . . . Filtrado de scripts . . . . . . . . . . . . . . Renovacin de credenciales . . . . . . . . . . . Nombres de cabecera . . . . . . . . . . . . . Cach de Global Sign-On . . . . . . . . . . . Cach de LTPA (Lightweight Third Party Authentication) Registro . . . . . . . . . . . . . . . . . . Auditora . . . . . . . . . . . . . . . . . . Base de datos de polticas . . . . . . . . . . . . Servicios de titularidad . . . . . . . . . . . . . Policy Server . . . . . . . . . . . . . . . . Platform for Privacy Preferences (P3P) . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
507 509 510 511 513 513 514 516 518 521 524 526 527 528
Apndice B. Informacin de consulta de las uniones WebSEAL

Utilizacin de pdadmin para crear uniones . Comandos de unin . . . . . . . . . Creacin de una nueva unin para un servidor Adicin de un servidor a una unin existente . . . . . . inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . 537
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 538 539 541
Apndice C. Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543

Marcas registradas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Contenido
xv
xvi
Prefacio
Bienvenido a IBM Tivoli Access Manager for e-business WebSEAL Gua de administracin. IBM Tivoli Access Manager WebSEAL es el gestor de seguridad de recursos para los recursos basados en web de un dominio seguro de Tivoli Access Manager. WebSEAL es un servidor web de alto rendimiento y de threads mltiples que aplica una poltica de seguridad detallada al espacio de objetos web protegidos. WebSEAL puede proporcionar soluciones de inicio de sesin nico e incorporar recursos de servidores de aplicaciones web de fondo a su poltica de seguridad. Esta gua de administracin ofrece un conjunto exhaustivo de procedimientos e informacin de consulta para la gestin de los recursos de los dominios web seguros. Tambin incluye informacin general y de conceptos til para la gran variedad de funciones de WebSEAL. IBM Tivoli Access Manager (Tivoli Access Manager) es el software de base necesario para ejecutar aplicaciones en los productos IBM Tivoli Access Manager. Permite la integracin de aplicaciones de IBM Tivoli Access Manager que proporcionan una amplia gama de soluciones de autorizacin y gestin. Estos productos, que se proporcionan como una solucin integrada, proporcionan una solucin de gestin de control de accesos que centraliza la poltica de seguridad de aplicaciones y redes para aplicaciones de e-business. Nota: IBM Tivoli Access Manager es el nuevo nombre del software previamente comercializado con el nombre de Tivoli SecureWay Policy Director. Adems, para los usuarios familiarizados con el software Tivoli SecureWay Policy Director y su documentacin, el trmino Management Server ahora ha pasado a denominarse Policy Server.
A quin va dirigido este manual

Esta gua est diseada para administradores de sistemas responsables de la configuracin y el mantenimiento del entorno WebSEAL de Tivoli Access Manager. Los lectores deben estar familiarizados con los elementos siguientes: v Sistemas operativos de PC y UNIX v Arquitectura y conceptos de bases de datos v Gestin de seguridad v Protocolos Internet, incluidos HTTP, TCP/IP, FTP (Protocolo de transferencia de archivos) y Telnet v Servicios LDAP (Lightweight Directory Access Protocol) y de directorio v Un registro de usuarios soportado v Autenticacin y autorizacin Si habilita la comunicacin SSL (Secure Sockets Layer), tambin debe estar familiarizado con el protocolo SSL, intercambio de claves (pblicas y privadas), firmas digitales, algoritmos criptogrficos y entidades emisoras de certificados.
xvii
Contenido de este manual

v Captulo 1: Visin general de IBM Tivoli Access Manager WebSEAL Este captulo le presenta conceptos y funciones importantes de WebSEAL, como por ejemplo: organizacin y proteccin del espacio de objetos, autenticacin, adquisicin de credenciales y uniones WebSEAL. v Captulo 2: Configuracin del servidor WebSEAL Este captulo contiene informacin tcnica de consulta para las tareas de configuracin de WebSEAL, que incluyen: utilizacin del archivo de configuracin de WebSEAL, configuracin de los parmetros de comunicacin, gestin de la asignacin de threads de trabajo y configuracin de hardware criptogrfico. v Captulo 3: Administracin del servidor WebSEAL Este captulo contiene informacin tcnica de consulta para las tareas de administracin de WebSEAL, que incluyen: gestin del espacio web y utilizacin de pginas de gestin de cuentas personalizadas. v Captulo 4: Servicios y registro En este captulo se describe el soporte de WebSEAL para servicios, registro y auditora. v Captulo 5: Poltica de seguridad de WebSEAL Este captulo proporciona procedimientos tcnicos detallados para personalizar la poltica de seguridad en WebSEAL, que incluyen: polticas de ACL y POP, calidad de proteccin, poltica de autenticacin incremental, poltica de autenticacin basada en la red, poltica de inicio de sesin de tres intentos y poltica de intensidad de las contraseas. v Captulo 6: Autenticacin de WebSEAL Este captulo proporciona instrucciones de configuracin para configurar WebSEAL de modo que gestione distintos mtodos de autenticacin, que incluyen: nombre de usuario y contrasea, certificados de cliente, cdigo de paso de seal de SecurID, datos de cabecera HTTP especiales y agentes proxy multiplexor. v Captulo 7: Autenticacin avanzada de WebSEAL Este captulo proporciona procedimientos tcnicos detallados para configurar WebSEAL para mtodos de autenticacin avanzada, que incluyen: configuracin del cambio de usuario, almacenamiento en la cach de solicitudes de servidor, reautenticacin y redireccin automtica. v Captulo 8: Gestin de claves de WebSEAL Este captulo proporciona procedimientos tcnicos detallados para configurar la gestin de claves de WebSEAL, que incluyen: gestin de certificados de servidor y de cliente y configuracin de la comprobacin del estado de los certificados VeriSign. v Captulo 9: Soluciones de inicio de sesin nico entre dominios En este captulo se describen las soluciones de inicio de sesin nico entre dominios, que incluyen: CDSSO (inicio de sesin nico entre dominios) y e-community. v Captulo 10: Uniones WebSEAL Este captulo contiene informacin tcnica de consulta para configurar y utilizar uniones WebSEAL. v Captulo 11: Soluciones de inicio de sesin nico entre uniones
xviii
v v
En este captulo se describen soluciones de inicio de sesin nico para el componente interno de la configuracin proxy de WebSEAL, entre el servidor WebSEAL y el servidor de fondo de aplicaciones con unin. Captulo 12: Integracin de aplicaciones En este captulo se describen distintas posibilidades de WebSEAL para integrar la funcionalidad de aplicaciones de terceros. Captulo 13: Recuperacin de informacin de decisiones de autorizacin En este captulo se describen distintos mecanismos para obtener informacin de decisiones de autorizacin (ADI) de WebSEAL para dar soporte a la evaluacin de las reglas de autorizacin en los recursos protegidos. Captulo 14: Informacin de consulta del servicio de recuperacin de atributos En este captulo se describe la administracin y la configuracin del servicio de recuperacin de atributos. Apndice A: Informacin de consulta del archivo de configuracin de WebSEAL Apndice B: Informacin de consulta de las uniones WebSEAL
Publicaciones
Revise las descripciones de la biblioteca de Tivoli Access Manager, las publicaciones que constituyen un requisito previo y las publicaciones relacionadas para determinar qu publicaciones pueden resultarle de mayor utilidad. Una vez que haya determinado las publicaciones que necesita, consulte las instrucciones para saber cmo acceder a las publicaciones en lnea. Para obtener informacin adicional sobre el producto IBM Tivoli Access Manager for e-business propiamente dicho, consulte: http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/ La biblioteca de Tivoli Access Manager est organizada en las siguientes categoras: v Informacin del release v Informacin de Base v Informacin de seguridad web en la pgina xx v Material de consulta para desarrolladores en la pgina xx v Informacin tcnica complementaria en la pgina xxi
Informacin del release

v IBM Tivoli Access Manager for e-business Read This First (GI11-4155-00) Proporciona informacin sobre la instalacin e iniciacin al uso de Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Release Notes (GI11-4156-00) Proporciona informacin de ltima hora, como limitaciones de software, soluciones temporales y actualizaciones de la documentacin.
Informacin de Base
v IBM Tivoli Access Manager Base Installation Guide (SC32-1362-00) Describe cmo instalar y configurar el software base Tivoli Access Manager, incluida la interfaz Web Portal Manager. Este manual es una parte de la publicacin IBM Tivoli Access Manager for e-business Web Security Installation Guide
Prefacio
xix
y est pensado para ser utilizado con otros productos de Tivoli Access Manager, como por ejemplo IBM Tivoli Access Manager for Business Integration e IBM Tivoli Access Manager for Operating Systems. v IBM Tivoli Access Manager Upgrade Guide (SC32-1369-00) Describe cmo realizar la actualizacin de Tivoli SecureWay Policy Director versin 3.8 o versiones anteriores de Tivoli Access Manager a Tivoli Access Manager versin 5.1. v IBM Tivoli Access Manager Base Gua de administracin (SC10-9834-00) Describe los conceptos y procedimientos para la utilizacin de los servicios de Tivoli Access Manager. Proporciona instrucciones para realizar tareas desde la interfaz Web Portal Manager y mediante el comando pdadmin.
Informacin de seguridad web

v IBM Tivoli Access Manager for e-business Web Security Installation Guide (SC32-1361-00) Proporciona instrucciones de instalacin, configuracin y eliminacin para el software base Tivoli Access Manager, incluida la interfaz Web Portal Manager, as como los componentes de Web Security. Este manual incluye la publicacin IBM Tivoli Access Manager Base Installation Guide. v IBM Tivoli Access Manager for e-business WebSEAL Gua de administracin (SC10-9835-00) Proporciona material de consulta, procedimientos de administracin e informacin tcnica de consulta sobre la utilizacin de WebSEAL para gestionar los recursos de su dominio web seguro. v IBM Tivoli Access Manager for e-business IBM WebSphere Application Server Gua de integracin (SC10-9836-00) Proporciona instrucciones de instalacin, eliminacin y administracin para integrar Tivoli Access Manager con IBM WebSphere Application Server. IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager Provisioning Fast Start Guide (SC32-1364-00) Proporciona una descripcin general de las tareas relacionadas con la integracin de Tivoli Access Manager y Tivoli Identity Manager y describe cmo utilizar e instalar la coleccin Provisioning Fast Start. IBM Tivoli Access Manager for e-business BEA WebLogic Server Integration Guide (SC32-1366-00) Proporciona instrucciones de instalacin, eliminacin y administracin para integrar Tivoli Access Manager con BEA WebLogic Server. IBM Tivoli Access Manager for e-business IBM WebSphere Edge Server Integration Guide (SC32-1367-00) Proporciona instrucciones de instalacin, eliminacin y administracin para integrar Tivoli Access Manager con la aplicacin IBM WebSphere Edge Server. IBM Tivoli Access Manager for e-business Plug-in for Web Servers Integration Guide (SC32-1365-00) Proporciona instrucciones de instalacin, procedimientos de administracin e informacin tcnica de consulta para proteger su dominio web utilizando la aplicacin Plug-in for Web Servers.
Material de consulta para desarrolladores

v IBM Tivoli Access Manager for e-business Authorization C API Developer Reference (SC32-1355-00)
xx
Proporciona material de consulta que describe cmo utilizar la API de autorizacin en C de Tivoli Access Manager y la interfaz de plug-in de servicio de Tivoli Access Manager para agregar la seguridad de Tivoli Access Manager a las aplicaciones. v IBM Tivoli Access Manager for e-business Authorization Java Classes Developer Reference (SC32-1350-00) Proporciona informacin de consulta sobre la utilizacin de la implementacin en lenguaje Java de la API de autorizacin para permitir que una aplicacin utilice la seguridad de Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Administration C API Developer Reference (SC32-1357-00) Proporciona informacin de consulta sobre la utilizacin de la API de administracin para permitir que una aplicacin pueda realizar tareas de administracin de Tivoli Access Manager. Este documento describe la implementacin en C de la API de administracin. v IBM Tivoli Access Manager for e-business Administration Java Classes Developer Reference (SC32-1356-00) Proporciona informacin de consulta sobre la utilizacin de la implementacin en lenguaje Java de la API de administracin para permitir que una aplicacin pueda realizar tareas de administracin de Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Web Security Developer Reference (SC32-1358-00) Proporciona informacin sobre la administracin y programacin para el servicio de autenticacin entre dominios (CDAS), la infraestructura de correlacin entre dominios (CDMF) y el mdulo de intensidad de las contraseas.
Informacin tcnica complementaria

v IBM Tivoli Access Manager for e-business Command Reference (SC32-1354-00) Proporciona informacin sobre las utilidades de la lnea de comandos y los scripts proporcionados con Tivoli Access Manager. v IBM Tivoli Access Manager Error Message Reference (SC32-1353-00) Proporciona explicaciones y acciones recomendadas para los mensajes generados por Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Problem Determination Guide (SC32-1352-00) Proporciona informacin sobre determinacin de problemas para Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Performance Tuning Guide (SC32-1351-00) Proporciona informacin de ajuste del rendimiento para un entorno formado por Tivoli Access Manager con el servidor IBM Tivoli Directory como registro de usuarios.
Publicaciones relacionadas
Este apartado contiene una lista de las publicaciones relacionadas con la biblioteca de Tivoli Access Manager. Tivoli Software Library proporciona una variedad de publicaciones de Tivoli como, por ejemplo, documentacin tcnica, hojas de datos, demostraciones, Redbooks y cartas de anuncio. Tivoli Software Library est disponible en la siguiente direccin web: http://www.ibm.com/software/tivoli/library/
Prefacio
xxi
La publicacin Tivoli Software Glossary incluye definiciones de muchos de los trminos tcnicos relacionados con el software de Tivoli. La publicacin Tivoli Software Glossary est disponible, slo en ingls, a travs del vnculo Glossary en la parte izquierda de la pgina web de Tivoli Software Library http://www.ibm.com/software/tivoli/library/
IBM Global Security Kit

Tivoli Access Manager proporciona el cifrado de datos a travs del uso de IBM Global Security Kit (GSKit) versin 7.0. GSKit se incluye en el CD IBM Tivoli Access Manager Base para su plataforma predeterminada, as como en los CD de IBM Tivoli Access Manager Web Security, los CD de IBM Tivoli Access Manager Web Administration Interfaces y los CD de IBM Tivoli Access Manager Directory Server. El paquete GSKit proporciona la utilidad de gestin de claves iKeyman, gsk7ikm, que se utiliza para crear bases de datos clave, pares de claves pblica-privada y solicitudes de certificados. El siguiente documento est disponible en el sitio web de Tivoli Information Center en el mismo apartado que la documentacin de producto de IBM Tivoli Access Manager: v Secure Sockets Layer Introduction and iKeyman Users Guide (SC32-1363-00) Proporciona informacin para administradores de red o administradores de seguridad de sistemas que tienen planificado habilitar la comunicacin SSL en el entorno de Tivoli Access Manager.
IBM Tivoli Directory Server

IBM Tivoli Directory Server, versin 5.2, se incluye en el CD IBM Tivoli Access Manager Directory Server para el sistema operativo que se desee. Nota: IBM Tivoli Directory Server es el nuevo nombre para el software entregado anteriormente que se conoca como: v IBM Directory Server (versin 4.1 y versin 5.1) v IBM SecureWay Directory Server (versin 3.2.2) IBM Tivoli Access Manager Versin 5.1 da soporte para IBM Directory Server versin 4.1, IBM Directory Server versin 5.1 e IBM Tivoli Directory Server versin 5.2. Si tiene previsto utilizar IBM Tivoli Directory Server como registro de usuarios, consulte la informacin que se proporciona en: http://www.ibm.com/software/network/directory/library/
IBM DB2 Universal Database

IBM DB2 Universal Database Enterprise Server Edition, versin 8.1, se proporciona en el CD IBM Tivoli Access Manager Directory Server y se instala con el software IBM Tivoli Directory Server. DB2 es necesario cuando se utilizan servidores IBM Tivoli Directory Server, z/OS o LDAP de OS/390 como registro de usuarios para Tivoli Access Manager. La informacin de DB2 est disponible en: http://www.ibm.com/software/data/db2/
IBM WebSphere Application Server

IBM WebSphere Application Server, Advanced Single Server Edition 5.0, se incluye en el CD IBM Tivoli Access Manager Web Administration Interfaces para el sistema
xxii
operativo que se desee. WebSphere Application Server habilita el soporte de la interfaz Web Portal Manager, que se utiliza para administrar Tivoli Access Manager, y de la Herramienta de administracin web, que se utiliza para administrar IBM Tivoli Directory Server. IBM WebSphere Application Server Fix Pack 2 tambin es necesario para Tivoli Access Manager y se proporciona en el CD IBM Tivoli Access Manager WebSphere Fix Pack. Para obtener informacin sobre IBM WebSphere Application Server, consulte: http://www.ibm.com/software/webservers/appserv/infocenter.html
IBM Tivoli Access Manager for Business Integration

IBM Tivoli Access Manager for Business Integration, producto que se adquiere por separado, proporciona una solucin de seguridad para los mensajes de IBM MQSeries, Versin 5.2 e IBM WebSphere MQ, Versin 5.3. IBM Tivoli Access Manager for Business Integration permite a las aplicaciones de WebSphere MQSeries enviar datos con privacidad e integridad mediante las claves asociadas con las aplicaciones remitentes y receptoras. Al igual que WebSEAL e IBM Tivoli Access Manager for Operating Systems, IBM Tivoli Access Manager for Business Integration, es uno de los gestores de recursos que utilizan servicios de IBM Tivoli Access Manager. En la siguiente direccin encontrar informacin adicional sobre IBM Tivoli Access Manager for Business Integration: http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/ Los documentos siguientes asociados con IBM Tivoli Access Manager for Business Integration versin 5.1 estn disponibles en el sitio web de Tivoli Information Center: v IBM Tivoli Access Manager for Business Integration Gua de administracin (SC10-9843-01) v IBM Tivoli Access Manager for Business Integration Problem Determination Guide (GC23-1328-00) v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-01) v IBM Tivoli Access Manager for Business Integration Read This First (GI11-4202-00)
IBM Tivoli Access Manager for WebSphere Business Integration Brokers

IBM Tivoli Access Manager for WebSphere Business Integration Brokers, disponible como producto que puede solicitarse por separado, proporciona una solucin de seguridad para WebSphere Business Integration Message Broker, versin 5.0 y WebSphere Business Integration Event Broker, versin 5.0. IBM Tivoli Access Manager for WebSphere Business Integration Brokers funciona conjuntamente con Tivoli Access Manager para proteger las aplicaciones de publicacin y suscripcin JMS proporcionando una autenticacin de contraseas y basada en credenciales, autorizacin definida de forma centralizada y servicios de auditora. En la siguiente direccin encontrar informacin adicional sobre IBM Tivoli Access Manager for WebSphere Integration Brokers: http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/
Prefacio
xxiii
Los documentos siguientes asociados con IBM Tivoli Access Manager for WebSphere Integration Brokers, versin 5.1, estn disponibles en el sitio web de Tivoli Information Center. v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Administration Guide (SC32-1347-00) v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Release Notes (GI11-4154-00) v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Read This First (GI11-4153-00)
IBM Tivoli Access Manager for Operating Systems

IBM Tivoli Access Manager for Operating Systems, producto que se adquiere por separado, proporciona una capa de imposicin de polticas de autorizacin en sistemas UNIX adems de la proporcionada por el sistema operativo nativo. IBM Tivoli Access Manager for Operating Systems, al igual que WebSEAL e IBM Tivoli Access Manager for Business Integration, es uno de los gestores de recursos que utiliza los servicios de IBM Tivoli Access Manager. En la siguiente direccin encontrar informacin adicional sobre IBM Tivoli Access Manager for Operating Systems: http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/ En el sitio web de Tivoli Information Center encontrar los siguientes documentos asociados a IBM Tivoli Access Manager for Operating Systems Versin 5.1: v IBM Tivoli Access Manager for Operating Systems Installation Guide (SC23-4829-00) v IBM Tivoli Access Manager for Operating Systems Administration Guide (SC23-4827-00) v IBM Tivoli Access Manager for Operating Systems Problem Determination Guide (SC23-4828-00) v IBM Tivoli Access Manager for Operating Systems Release Notes (GI11-0951-00) v IBM Tivoli Access Manager for Operating Systems Read Me First (GI11-0949-00)
IBM Tivoli Identity Manager

IBM Tivoli Identity Manager, versin 4.5, disponible como producto que puede solicitarse por separado, cuando se utiliza con el soporte Fast Start Provisioning proporcionado con IBM Tivoli Access Manager .... En la siguiente direccin encontrar informacin adicional sobre IBM Tivoli Identity Manager: http://www.ibm.com/software/tivoli/products/identity-mgr/ Los documentos siguientes, asociados con IBM Tivoli Identity Manager versin 4.5, estn disponibles en el sitio web de Tivoli Information Center: v IBM Tivoli Identity Manager Release Notes (GI11-4212-00) v Servidor de Tivoli Identity Manager Gua de instalacin en UNIX con WebSphere (SC10-9814-02) v Servidor de Tivoli Identity Manager Gua de instalacin en Windows 2000 con WebSphere (SC10-9813-01) v IBM Tivoli Identity Manager Server Installation Guide on UNIX using WebLogic (SC32-1334-00)
xxiv
v Servidor de Tivoli Identity Manager Gua de instalacin en Windows 2000 con WebLogic (SC10-9818-00) v IBM Tivoli Identity Manager Policy and Organization Administration Guide (SC32-1149-01) v IBM Tivoli Identity Manager Gua del usuario final (SC10-9815-01) v IBM Tivoli Identity Manager Server Configuration Guide (SC32-1150-02) v IBM Tivoli Identity Manager Server Troubleshooting Guide (SC32-1151-01) v IBM Tivoli Identity Manager: Agente de IBM Tivoli Access Manager para Windows Gua de instalacin (SC10-9816-03) v IBM Tivoli Identity Manager Lotus Notes Agent Installation Guide (SC32-1157-03) v IBM Tivoli Identity Manager Sybase Agent for Windows Installation Guide (SC32-1161-03) v IBM Tivoli Identity Manager Oracle Agent for Windows Installation Guide (SC32-1155-03) v IBM Tivoli Identity Manager Windows 2000 Agent Installation Guide (SC32-1153-03) v IBM Tivoli Identity Manager Windows NT Agent Installation Guide (SC32-1154-03) v IBM Tivoli Identity Manager AIX Agent Installation Guide (SC32-1162-03) v IBM Tivoli Identity Manager: Agente de Exchange 2000 Gua de instalacin (SC10-9817-03) v IBM Tivoli Identity Manager Novell Network Agent Installation Guide (SC32-1158-03) v IBM Tivoli Identity Manager Universal Provisioning Agent Installation Guide (SC32-1159-03)
Acceso a las publicaciones en lnea

Las publicaciones de este producto estn disponibles en lnea en formato PDF (Portable Document Format), HTML (Hypertext Markup Language) o en ambos en la biblioteca de software de Tivoli: http://www.ibm.com/software/tivoli/library Para encontrar las publicaciones en la biblioteca, haga clic en el vnculo Product manuals situado en la parte izquierda de la pgina de la biblioteca. A continuacin, busque el nombre del producto en la pgina del centro de informacin de software de Tivoli y haga clic en l. Las publicaciones de productos incluyen notas del release, guas de instalacin, guas del usuario, guas del administrador y material de consulta para desarrolladores. Nota: Para garantizar la impresin correcta de las publicaciones en PDF, seleccione la casilla de verificacin Ajustar a pgina en el dilogo de impresin de Adobe Acrobat (que aparece al hacer clic en Archivo Imprimir).
Accesibilidad
Las caractersticas de accesibilidad ayudan a los usuarios que tienen una discapacidad fsica, como movilidad restringida o visin limitada, a utilizar los productos de software sin problemas. En este producto, puede utilizar tecnologas de asistencia para tener acceso acstico a la interfaz y navegar por ella. Tambin puede utilizar el teclado en lugar del ratn para realizar todas las funciones de la interfaz grfica de usuario.
Prefacio
xxv
Cmo ponerse en contacto con el soporte de software

Antes de ponerse en contacto con el soporte de software de IBM Tivoli para resolver un problema, consulte el sitio web de soporte de software de IBM Tivoli en: http://www.ibm.com/software/sysmgmt/products/support/ Si necesita ayuda adicional, pngase en contacto con el soporte de software mediante los mtodos que se describen en la publicacin IBM Software Support Guide en el siguiente sitio web: http://techsupport.services.ibm.com/guides/handbook.html La gua proporciona la siguiente informacin: v Requisitos de registro y elegibilidad para recibir soporte v Nmeros de telfono, en funcin del pas donde se encuentre v Una lista de la informacin debe reunir antes de ponerse en contacto con el soporte al cliente
Convenios utilizados en este manual

Esta publicacin utiliza varios convenios para algunos trminos y acciones especiales, comandos y rutas de acceso en funcin del sistema operativo.
Convenios tipogrficos
En esta publicacin se utilizan los siguientes convenios tipogrficos: Negrita Los comandos en minsculas o en maysculas y minsculas que son difciles de distinguir dentro del texto, palabras clave, parmetros, opciones, nombres de clases Java y objetos aparecen en negrita. Cursiva Las variables, ttulos de publicaciones y palabras o frases especiales que estn enfatizadas aparecen en cursiva. Monoespaciado Los ejemplos de cdigo, lneas de comandos, salida en pantalla, nombres de archivos y directorios que son difciles de distinguir dentro del texto, mensajes del sistema, texto que el usuario debe escribir y valores de argumentos u opciones de comandos aparecen en monoespaciado.
Diferencias entre sistemas operativos

En esta publicacin se utilizan los convenios de UNIX para especificar las variables de entorno y la notacin de directorios. Cuando utilice la lnea de comandos de Windows, deber sustituir $variable por %variable% para las variables de entorno y las barras inclinadas (/) por barras inclinadas invertidas (\) en las rutas de acceso de directorio. Si utiliza un shell bash en un sistema Windows, puede utilizar los convenios de UNIX.
xxvi
Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL

IBMTivoliAccess Manager for e-business (Tivoli Access Manager) es una solucin de gestin de polticas centralizada segura y slida para e-business y aplicaciones distribuidas. IBM Tivoli Access Manager WebSEAL es un servidor web de mltiples threads de alto rendimiento que aplica una poltica de seguridad detallada al espacio de objetos web protegido de Tivoli Access Manager. WebSEAL puede proporcionar soluciones de inicio de sesin nico e incorporar recursos de servidores de aplicaciones web de fondo a su poltica de seguridad. Esta visin general le presenta las principales posibilidades del servidor WebSEAL. ndice de temas: v Presentacin de IBM Tivoli Access Manager y WebSEAL en la pgina 1 v Comprensin del modelo de seguridad de Tivoli Access Manager en la pgina 2 v Proteccin del espacio web con WebSEAL en la pgina 5 v Planificacin e implementacin de la poltica de seguridad en la pgina 7 v Informacin sobre la autenticacin de WebSEAL en la pgina 8 v Informacin sobre las uniones WebSEAL en la pgina 11
Presentacin de IBM Tivoli Access Manager y WebSEAL

IBM Tivoli Access Manager: IBM Tivoli Access Manager es una solucin completa de gestin de polticas de seguridad de redes y autorizacin que proporciona una proteccin de extremo a extremo sin igual de los recursos geogrficamente dispersos por intranets y extranets. Adems de su funcin de gestin de polticas de seguridad de ltima generacin, Tivoli Access Manager proporciona posibilidades de autenticacin, autorizacin, seguridad de datos y gestin de recursos centralizada. Puede utilizar Tivoli Access Manager junto con aplicaciones estndar basadas en Internet para crear intranets bien gestionadas y de alta seguridad. Principalmente, Tivoli Access Manager proporciona: v Infraestructura de autenticacin Tivoli Access Manager proporciona una amplia gama de autenticadores incorporados y da soporte a autenticadores externos. v Infraestructura de autorizacin El servicio de autorizacin de Tivoli Access Manager, al cual se accede a travs de la API de autorizacin de Tivoli Access Manager, ofrece permisos y denegaciones a las solicitudes de recursos protegidos que se encuentran en el dominio seguro. Con Tivoli Access Manager, las empresas pueden gestionar de forma segura el acceso a recursos privados internos basados en redes a la vez que aprovechan la facilidad de uso y la amplia conectividad de Internet. Tivoli Access Manager, junto
con un sistema de cortafuegos corporativo, puede proteger por completo la intranet de su empresa de intrusiones y accesos no autorizados. IBM Tivoli Access Manager WebSEAL: IBM Tivoli Access Manager WebSEAL es el gestor de recursos encargado de gestionar y proteger la informacin y los recursos basados en web. WebSEAL es un servidor web de mltiples threads de alto rendimiento que aplica una poltica de seguridad detallada al espacio de objetos web protegido de Tivoli Access Manager. WebSEAL puede proporcionar soluciones de inicio de sesin nico e incorporar recursos de servidores de aplicaciones web de fondo a su poltica de seguridad. WebSEAL acta normalmente como un proxy web inverso al recibir solicitudes HTTP/HTTPS de un navegador web y proporcionar contenido de su propio servidor web o de servidores de aplicaciones web de fondo con unin. Las solicitudes que pasan a travs de WebSEAL son evaluadas por el servicio de autorizacin de Tivoli Access Manager para determinar si el usuario est autorizado a acceder al recurso solicitado. WebSEAL proporciona las siguientes funciones: v Da soporte a varios mtodos de autenticacin Tanto la arquitectura incorporada como la de plug-in permiten la flexibilidad al dar soporte a varios mecanismos de autenticacin. v Acepta solicitudes HTTP y HTTPS v Integra y protege los recursos de servidor de fondo a travs de la tecnologa de uniones WebSEAL v Gestiona un control de accesos estricto para el espacio web del servidor local y de fondo Los recursos soportados incluyen direcciones URL, expresiones regulares basadas en direcciones URL, programas CGI, archivos HTML, servlets Java y archivos de clase Java. v Funciona como proxy web inverso WebSEAL aparece como un servidor web en los clientes y como un navegador web en los servidores de fondo con unin que protege. v Proporciona posibilidades de inicio de sesin nico
Comprensin del modelo de seguridad de Tivoli Access Manager

La poltica de seguridad del dominio seguro de Tivoli Access Manager se mantiene y gestiona mediante dos estructuras de seguridad clave: v Registro de usuarios El registro de usuarios (como LDAP, Lotus Domino o Microsoft Active Directory) contiene todos los usuarios y grupos que pueden participar en el dominio seguro de Tivoli Access Manager. v Base de datos maestra de (poltica de) autorizaciones La base de datos de autorizaciones contiene una representacin de todos los recursos del dominio (el espacio de objetos protegidos). El administrador de seguridad puede dictar cualquier nivel de seguridad aplicando reglas, conocidas como polticas de lista de control de accesos (ACL) y polticas de objetos protegidos (POP), a estos recursos que requieren proteccin
El proceso de autenticacin prueba la identidad de un usuario a WebSEAL. Un usuario puede participar en el dominio seguro como autenticado o no autenticado. Slo los usuarios con una entrada en el registro de usuarios pueden convertirse en usuarios autenticados. Utilizando las polticas de ACL y POP, el administrador de seguridad puede establecer como disponibles ciertos recursos pblicos para usuarios no autenticados. Otros recursos pueden quedar disponibles nicamente para determinados usuarios autenticados. Cuando un usuario se autentica correctamente en WebSEAL, se crea un grupo de informacin de identificacin conocido como credencial para ese usuario. La credencial contiene la identidad del usuario, cualquier pertenencia a grupos y cualquier atributo de seguridad especial (ampliada). El servicio de autorizacin de Tivoli Access Manager aplica polticas de seguridad comparando las credenciales de autenticacin de usuario con los permisos de polticas asignados al recurso solicitado. La recomendacin resultante se pasa al gestor de recursos (por ejemplo, WebSEAL), que completa la respuesta a la solicitud original. La credencial de usuario es esencial para la plena participacin en el dominio seguro.
Espacio de objetos protegidos

El espacio de objetos protegidos es una representacin jerrquica de los recursos que pertenecen a un dominio seguro de Tivoli Access Manager. Los objetos virtuales que aparecen en el espacio de objetos jerrquico representan los recursos reales de la red fsica. v Recurso del sistema aplicacin o archivo fsico real. v Objeto protegido representacin lgica de un recurso de sistema actual utilizado por el servicio de autorizacin, Web Portal Manager, y otras utilidades de gestin de Tivoli Access Manager. Pueden asociarse plantillas de poltica con objetos en el espacio de objetos para proporcionar proteccin al recurso. El servicio de autorizaciones toma las decisiones sobre la autorizacin de acuerdo con estas plantillas. Tivoli Access Manager utiliza las siguientes categoras de espacio de objetos: v Objetos web Los objetos web representan cualquier recurso que puede ser gestionado por una direccin URL HTTP. Incluye pginas web estticas y direcciones URL dinmicas que se convierten en consultas de base de datos u otro tipo de aplicacin. El servidor WebSEAL es responsable de proteger los objetos web. v Objetos de gestin de Tivoli Access Manager Los objetos de gestin representan las actividades de gestin que se pueden llevar a cabo a travs de Web Portal Manager. Los objetos representan las tareas necesarias para definir los usuarios y establecer la poltica de seguridad. Tivoli Access Manager da soporte a la delegacin de actividades de gestin y puede restringir la capacidad de un administrador para establecer poltica de seguridad para un subconjunto del espacio de objetos. v Objetos definidos por el usuario Los objetos definidos por el usuario representan las tareas definidas por el cliente o los recursos de redes protegidos por aplicaciones que acceden al servicio de autorizacin a travs de la API de autorizacin de Tivoli Access Manager.
Definicin y aplicacin de polticas de ACL y POP

Los administradores de seguridad protegen los recursos de sistema de Tivoli Access Manager definiendo reglas, conocidas como polticas ACL y POP, y aplicando estas polticas a las representaciones de objetos de dichos recursos en el espacio de objetos protegidos. El servicio de autorizacin de Tivoli Access Manager realiza decisiones de autorizacin basadas en las polticas que se aplican a estos objetos. Cuando se permite una operacin solicitada en un objeto protegido, la aplicacin responsable del recurso implementa esta operacin. Una poltica puede establecer los parmetros de proteccin de muchos objetos. Cualquier cambio en la regla afectar a todos los objetos con los que se ha asociado la plantilla.
La lista de control de accesos (ACL)

Una poltica de lista de control de accesos, o poltica de ACL, es el conjunto de reglas (permisos) que especifica las condiciones necesarias para realizar determinadas operaciones en ese recurso. Las definiciones de poltica de ACL son componentes importantes de la poltica de seguridad establecida para el dominio seguro. Las polticas ACL, como todas las polticas, se utilizan para determinar los requisitos de seguridad de una empresa en los recursos representados en el espacio de objetos protegidos. Una poltica de ACL controla, de forma especfica: 1. Qu operaciones se pueden realizar en el recurso 2. Quin puede realizar estas operaciones Una poltica de ACL se compone de una o ms entradas que incluyen designaciones de usuario y de grupo y sus permisos o derechos especficos. Una ACL tambin puede contener reglas que se apliquen a usuarios no autenticados.
Polticas de objetos protegidos (POP)

Las polticas ACL proporcionan el servicio de autorizacin con informacin para crear una respuesta s o no a una solicitud de acceso a un objeto protegido y realizan operaciones en ese objeto. Las polticas POP contienen condiciones adicionales en esa solicitud, que se devuelven a Tivoli Access Manager y al gestor de recursos (como WebSEAL), junto con la decisin de la poltica ACL s del servicio de autorizacin. Es responsabilidad de Tivoli Access Manager y del gestor de recursos aplicar las condiciones POP. Las tablas siguientes listan los atributos disponibles para una poltica POP:
Aplicado por Tivoli Access Manager Base Atributo POP Nombre Descripcin Modalidad de aviso Descripcin Nombre de la poltica. Se convierte en el <nombre-pop> en los comandos pdadmin pop. Texto descriptivo de la poltica. Aparece en el comando pop show. Proporciona a los administradores un medio para probar las polticas de ACL y POP.
Aplicado por Tivoli Access Manager Base Atributo POP Nivel de auditora Acceso segn hora del da Descripcin Especifica el tipo de auditora: toda, ninguna, acceso correcto, acceso denegado, errores. Restricciones de da y hora para acceder correctamente al objeto protegido.
Aplicado por el Gestor de recursos (como WebSEAL) Atributo POP Calidad de proteccin Descripcin Especifica el grado de la proteccin de datos: ninguna, integridad y privacidad.
Poltica de mtodos de Especifica los requisitos de autenticacin para el acceso autenticacin de punto final de de los miembros de redes externas. IP Control de cach de documentos Especifica las instrucciones de almacenamiento en cach para la manipulacin de documentos especficos.
Polticas explcitas y heredadas

La poltica se puede aplicar de forma explcita o puede heredarse. El espacio de objetos protegidos de Tivoli Access Manager da soporte a la herencia de atributos ACL y POP. Es una cuestin importante para el administrador de seguridad que gestiona el espacio de objetos. El administrador necesita aplicar polticas explcitas slo en los puntos de la jerarqua en que las reglas deben cambiar.
Administracin de polticas: Web Portal Manager

Web Portal Manager es una aplicacin grfica basada en web que se utiliza para gestionar polticas de seguridad en un dominio seguro de Tivoli Access Manager. La utilidad de lnea de comandos pdadmin proporciona las mismas posibilidades de administracin que Web Portal Manager, adems de algunos comandos que no tiene Web Portal Manager. En Web Portal Manager (o pdadmin), puede gestionar este registro de usuarios, la base de datos de polticas de autorizacin maestra y los servidores de Tivoli Access Manager. Tambin puede agregar y suprimir usuarios/grupos y aplicar polticas de ACL y POP a los objetos de red.
Proteccin del espacio web con WebSEAL

Cuando WebSEAL aplica la seguridad en un dominio seguro, cada cliente debe proporcionar pruebas de su identidad. A su vez, la poltica de seguridad de Tivoli Access Manager determina si el cliente tiene permiso para realizar una operacin en un recurso solicitado. Dado que WebSEAL controla el acceso a todos los recursos web de un dominio seguro, las solicitudes de WebSEAL de autenticacin y autorizacin pueden proporcionar una seguridad de red exhaustiva. En los sistemas de seguridad, la autorizacin es distinta de la autenticacin. La autorizacin determina si un cliente autenticado tiene derecho a realizar una operacin en un recurso especfico de un dominio seguro. La autenticacin puede validar la identidad de un cliente, pero no indica nada acerca del derecho del cliente a realizar operaciones en un recurso protegido.
En el modelo de autorizacin de Tivoli Access Manager, la poltica de autorizacin se implementa independientemente del mecanismo utilizado para la autenticacin de usuarios. Los usuarios pueden autenticar su identidad utilizando mecanismos de clave pblica/privada, de clave secreta o definidos por el cliente. Una parte del proceso de autenticacin implica la creacin de una credencial que describa la identidad del cliente. Las decisiones sobre autorizaciones realizadas por un servicio de autorizaciones se basan en las credenciales de usuario. Los recursos de un dominio seguro reciben un nivel de proteccin de acuerdo con lo que dicte la poltica de seguridad para el dominio. La poltica de seguridad define los participantes legtimos del dominio seguro y el grado de proteccin que rodea a cada recurso que requiere proteccin. El proceso de autorizacin consta de los siguientes componentes bsicos: v Un gestor de recursos es responsable de implementar la operacin solicitada cuando se otorga la autorizacin. WebSEAL es un gestor de recursos. Un componente del gestor de recursos es un aplicador de polticas que dirige la solicitud al servicio de autorizaciones para su proceso. Nota: Las aplicaciones tradicionales agrupan el aplicador de polticas y el gestor de recursos en un solo proceso. Son ejemplos de esta estructura WebSEAL y aplicaciones de terceros. v Un servicio de autorizaciones realiza en la solicitud la accin de toma de decisiones. En el diagrama siguiente se muestra el proceso completo de autorizacin:
Figura 1. Proceso de autorizacin de Tivoli Access Manager
1. Una solicitud de cliente autenticada para un recurso se dirige al gestor de recursos y la intercepta el proceso de aplicador de polticas. El gestor de recursos puede ser WebSEAL (para acceso HTTP, HTTPS) o una aplicacin de terceros.
2. El proceso de aplicacin de polticas utiliza la API de autorizacin de Tivoli Access Manager para solicitar al servicio de autorizacin una decisin de autorizacin. 3. El servicio de autorizaciones realiza una comprobacin de autorizacin en el recurso, representado como un objeto en el espacio de objetos protegidos. En primer lugar se comprueban las polticas POP de base. A continuacin, la poltica ACL asociada al objeto se comprueba contra las credenciales del cliente. Luego se comprueban las polticas POP aplicadas por el gestor de recursos. 4. La decisin de aceptar o denegar la solicitud se devuelve como recomendacin al gestor de recursos (a travs de la aplicacin de polticas). 5. Si finalmente se aprueba la solicitud, el gestor de recursos pasa la solicitud a la aplicacin responsable del recurso. 6. El cliente recibe los resultados de la operacin solicitada.
Planificacin e implementacin de la poltica de seguridad

Una poltica de seguridad de empresa identifica: v Los recursos web que requieren proteccin v El nivel de proteccin Tivoli Access Manager utiliza una representacin virtual de estos recursos web, denominada espacio de objetos protegidos. Este espacio contiene objetos que representan los recursos fsicos reales de la red. La poltica de seguridad se implementa al aplicar los mecanismos de seguridad apropiados a los objetos que requieren proteccin. Los mecanismos de seguridad son: v Polticas de lista de control de accesos (ACL) Las polticas ACL identifican tipos de usuario que pueden tener acceso y especifican las operaciones permitidas en el objeto. v Polticas de objetos protegidos (POP) Una POP especifica las condiciones adicionales que gobiernan el acceso al objeto protegido, como la privacidad, la integridad, la auditora y el acceso segn la hora del da. v Atributos ampliados Los atributos ampliados son valores adicionales colocados en un objeto, ACL o POP que otras aplicaciones de terceros pueden leer e interpretar (como un servicio de autorizaciones externo). El componente principal de Tivoli Access Manager es el servicio de autorizacin de Tivoli Access Manager, que permite o deniega el acceso a objetos protegidos (recursos) basados en las credenciales del usuario y los controles de acceso de los objetos. Para implementar correctamente la poltica de seguridad, debe organizar lgicamente los distintos tipos de contenido (tal como se describe en el apartado Identificacin de tipos de contenido y niveles de proteccin en la pgina 8) y aplicar las polticas de ACL y POP apropiadas. La gestin del control de accesos puede ser muy compleja y se lleva a cabo mucho ms fcilmente mediante la meticulosa categorizacin de los tipos de contenido.
Identificacin de tipos de contenido y niveles de proteccin

Como administrador de seguridad del espacio web, debe identificar correctamente los tipos de contenido disponibles para una variedad de tipos de usuario. Se debe proteger en gran manera una parte del contenido y ponerlo slo a disposicin de usuarios especficos; otra parte del contenido es para el pblico general. Cada caso de seguridad exige unos requisitos de proteccin distintos y la configuracin de WebSEAL asociada. Es responsabilidad del usuario: v Conocer el contenido web v Identificar los tipos de usuario que requieren el acceso a ese contenido v Comprender las ventajas y los inconvenientes de las opciones disponibles de configuracin de WebSEAL para proteger este contenido La proteccin del contenido web se divide en tres amplias categoras: 1. Contenido pblico acceso que no requiere proteccin v Los clientes no autenticados pueden acceder utilizando HTTP v Credencial no autenticada utilizada para el control de accesos a los recursos v Requisitos de configuracin bsica de WebSEAL 2. Contenido pblico el acceso requiere privacidad (cifrado) v Los clientes no autenticados acceden utilizando HTTPS v Cifrado necesario para proteger datos confidenciales requeridos por el servidor de aplicaciones (como nmeros de tarjeta de crdito e informacin de cuentas de usuario) v Credencial no autenticada utilizada para el control de accesos a los recursos v La configuracin de WebSEAL debe estipular la privacidad 3. Contenido privado el acceso requiere autenticacin v Los clientes autenticados acceden utilizando HTTP o HTTPS v El administrador determina la necesidad de cifrado v Credencial autenticada utilizada para el control de accesos a los recursos; los clientes deben tener una cuenta definida en el registro de usuarios v La configuracin de WebSEAL es compleja y todas las opciones se deben considerar con atencin para determinar el impacto de la poltica de seguridad
Informacin sobre la autenticacin de WebSEAL

La autenticacin es el mtodo para identificar un proceso o entidad individual que intenta iniciar la sesin en un dominio seguro. Cuando tanto el servidor como el cliente requieren la autenticacin, el intercambio se denomina autenticacin mutua. WebSEAL puede aplicar un alto grado de seguridad en un dominio seguro al solicitar a cada cliente que proporcione una prueba de su identidad. Las siguientes condiciones se aplican a la autenticacin de WebSEAL: v WebSEAL da soporte a un conjunto estndar de mtodos de autenticacin. Puede personalizar WebSEAL para dar soporte a otros mtodos de autenticacin. v El proceso de servidor WebSEAL es independiente del mtodo de autenticacin.
v WebSEAL requiere una identidad de cliente. Desde esta identidad, WebSEAL crea una credencial autenticada (o no autenticada) que puede utilizar el servicio de autorizacin de Tivoli Access Manager para permitir o denegar el acceso a los recursos. Este enfoque flexible de la autenticacin permite que la poltica de seguridad se base en los requisitos de la empresa y no en la topologa fsica de la red.
Objetivos de autenticacin
Aunque WebSEAL es independiente del proceso de autenticacin, WebSEAL requiere los resultados de la autenticacinla identidad del cliente. El proceso de autenticacin produce las acciones siguientes: 1. El mtodo de autenticacin produce una identidad del cliente La autenticacin del cliente slo es correcta si el usuario tiene una cuenta definida en el registro de usuarios de Tivoli Access Manager o es procesado correctamente por CDAS (Cross-domain Authentication Service). Si no, el usuario se designa como no autenticado. La informacin de identidad especfica de un mtodo como, por ejemplo, contraseas, seales y certificados representa las propiedades de identidad fsica del usuario. Esta informacin se puede utilizar para establecer una sesin segura con el servidor. 2. WebSEAL utiliza la identidad para adquirir credenciales para ese cliente WebSEAL hace coincidir la identidad del cliente con un usuario registrado de Tivoli Access Manager. A continuacin, WebSEAL crea las credenciales adecuadas para este usuario. Esto se conoce como adquisicin de credenciales. La credencial representa los privilegios de un usuario en el dominio seguro, describe al usuario en un contexto especfico y slo es vlida para la duracin de esa sesin. Los datos de credencial incluyen el nombre del usuario, cualquier pertenencia a grupos y cualquier atributo de seguridad especial (ampliada). Si un usuario no es miembro del registro de usuarios (annimo), WebSEAL crea una credencial no autenticada para ese usuario. Recuerde que una ACL puede contener reglas especiales que rijan a los usuarios no autenticados. Estas credenciales estn disponibles para el servicio de autorizacin que permite o deniega el acceso a los objetos solicitados en el espacio de objetos protegidos de WebSEAL. Las credenciales pueden ser utilizadas por cualquier servicio de Tivoli Access Manager que requiera informacin sobre el cliente. Las credenciales permiten a Tivoli Access Manager realizar de forma segura una gran cantidad de servicios, como la autorizacin, la auditora o la delegacin. Tivoli Access Manager distingue la autenticacin del usuario de la adquisicin de credenciales. La identidad de un usuario es siempre constante. Sin embargo, las credenciales que definen los grupos o roles en los que participa un usuario son variables. Las credenciales especficas del contexto pueden cambiar con el tiempo. Por ejemplo, cuando se promueve a una persona, las credenciales deben reflejar el nuevo nivel de responsabilidad. Consulte el apartado Captulo 6, Autenticacin, en la pgina 143 para obtener ms informacin acerca del soporte para mtodos de autenticacin especficos.
Acceso autenticado y no autenticado a los recursos

En un entorno de dominio seguro de Tivoli Access Manager, la identidad de un usuario se demuestra a WebSEAL a travs del proceso de autenticacin. En general, un usuario puede participar en el dominio seguro como autenticado o no autenticado. En cualquier caso, el servicio de autenticacin de Tivoli Access Manager requiere que una credencial de usuario realice decisiones de autorizacin para las solicitudes de recursos en el dominio seguro. WebSEAL gestiona las credenciales de usuario autenticado de forma distinta de las credenciales de usuario no autenticado. La credencial de un usuario no autenticado es simplemente un pasaporte genrico que permite al usuario participar en el dominio seguro y acceder a recursos que estn disponibles para los usuarios no autenticados. La credencial de un usuario autenticado es una contrasea nica que describe a un usuario especfico que pertenece al registro de usuarios de Tivoli Access Manager (o se procesa correctamente por un CDAS). La credencial del usuario autenticado contiene la identidad del usuario, cualquier pertenencia a grupos y cualquier atributo de seguridad especial (ampliada). El flujo de proceso para los usuarios autenticados es el siguiente: v Un usuario efecta una solicitud de un recurso protegido por WebSEAL. La proteccin del recurso requiere la autenticacin del usuario. WebSEAL solicita al usuario que inicie la sesin. v La autenticacin slo puede ser correcta si el usuario es miembro del registro de usuarios de Tivoli Access Manager o lo gestiona una operacin CDAS. v Se crea un ID de sesin de WebSEAL para el usuario. v Se crea una credencial para este usuario a partir de la informacin que contiene el registro acerca de este usuario (como las pertenencias a grupos). v El ID de sesin y la credencial, ms otros datos, se almacenan como una entrada en la cach de sesin/credenciales de WebSEAL. v Como WebSEAL procesa esta solicitud (y las posteriores solicitudes durante esta sesin), guarda la informacin de credenciales disponible. v Siempre que se necesita una comprobacin de autorizacin, el servicio de autorizacin de Tivoli Access Manager utiliza la informacin de credencial durante el proceso de toma de decisiones. v Cuando el usuario finaliza la sesin, se elimina la entrada de cach de ese usuario y se termina la sesin. El flujo de proceso para los usuarios no autenticados es el siguiente: v Un usuario efecta una solicitud de un recurso protegido por WebSEAL. La proteccin del recurso no requiere la autenticacin del usuario. WebSEAL no solicita al usuario que inicie la sesin. v WebSEAL crea una credencial no autenticada para el usuario. v No se crea ninguna entrada en la cach de sesin/credenciales de WebSEAL. v El usuario puede acceder a los recursos que contienen los permisos correctos para la categora de tipo no autenticado de usuario. v Si el usuario requiere el acceso a un recurso no disponible para los usuarios no autenticados, WebSEAL solicita que el usuario inicie la sesin. v Un inicio de sesin correcto cambia el estado del usuario a autenticado.
10
v Si el inicio de sesin no es correcto, se devuelve el mensaje 403 No autorizado. El usuario an puede seguir accediendo a otros recursos disponibles para los usuarios no autenticados.
Estructura de cach de sesin/credenciales de WebSEAL

La cach de sesin de WebSEAL tambin se conoce como cach de credenciales de WebSEAL. La cach se puede representar como una tabla interna en que WebSEAL almacena informacin acerca de todas las sesiones establecidas por los usuarios autenticados. Cada sesin de usuario se representa mediante una entrada en la tabla de cach. Cada entrada de la cach contiene los siguientes tipos de informacin: v ID de sesin El ID de sesin es un identificador exclusivo que se enva con cada solicitud efectuada por ese usuario. El ID de sesin identifica la entrada especfica de la cach para ese usuario. v Datos de la cach El dato ms importante que se almacena en la entrada de la cach es la credencial del usuario. La credencial es necesaria siempre que el usuario solicita recursos protegidos. El servicio de autorizaciones utiliza la informacin de la credencial para permitir o denegar el acceso al recurso. WebSEAL puede marcar o poner un indicador a una entrada de cach para que d soporte a una determinada funcin. Por ejemplo, cuando se habilita la reautenticacin de inactividad de sesin, se marca con un indicador una entrada de cach cuando el valor de inactividad de la sesin ha caducado. v Indicaciones de la hora La marca de fecha y hora de la creacin para la entrada de la cach se convierte en el punto de referencia para el valor de duracin de la sesin. La marca de fecha y hora de la ltima activacin para la entrada de la cach se convierte en el punto de referencia para el temporizador de inactividad de la sesin. La credencial de usuario contiene: v Nombre de usuario v Pertenencias a grupos v Atributos ampliados Los atributos ampliados permiten almacenar los datos personalizados en la credencial del usuario. Un ejemplo de atributo ampliado de credencial es el atributo tagvalue_user_session_id. El valor de este atributo se puede insertar en una cabecera HTTP para permitir que un servidor de fondo con unin mantenga el estado de la sesin con el usuario.
Informacin sobre las uniones WebSEAL

Tivoli Access Manager proporciona servicios de autenticacin, autorizacin y gestin para una red. En una red basada en web, es mejor que estos servicios los suministren uno o ms servidores WebSEAL frontales que integren y protejan los recursos y aplicaciones web ubicadas en servidores web de fondo. La conexin entre un servidor WebSEAL y un servidor de aplicaciones web de fondo se conoce como unin WebSEAL. Una unin WebSEAL es una conexin TCP/IP entre un servidor WebSEAL frontal y un servidor de fondo.
11
El servidor de fondo puede ser otro servidor WebSEAL o, lo que es ms habitual, un servidor de aplicaciones web de terceros. El espacio web de servidor de fondo se conecta al servidor WebSEAL en un punto de unin o punto de montaje designado especialmente en el espacio web de WebSEAL.
Figura 2. Las uniones conectan WebSEAL con servidores de fondo
Una unin permite a WebSEAL proporcionar servicios de proteccin en nombre del servidor de fondo. WebSEAL puede realizar comprobaciones de autenticacin y autorizacin en todas las solicitudes antes de pasar esas solicitudes al servidor de fondo. Si el servidor de fondo requiere un control de accesos detallado sobre los objetos, debe llevar a cabo pasos de configuracin adicionales para describir el espacio web de terceros para el servicio de seguridad de Tivoli Access Manager (consulte el apartado Utilizacin de query_contents con servidores de terceros en la pgina 344). Las uniones proporcionan un entorno seguro y escalable que permite el equilibrio de carga, una alta disponibilidad y funciones de gestin del estado todo ello realizado de forma transparente para los clientes. Como administrador, puede beneficiarse de esta gestin centralizada del espacio web. Las uniones WebSEAL proporcionan el valor aadido de combinar de una forma lgica el espacio web de un servidor de fondo con el espacio web del servidor WebSEAL. Las uniones entre servidores que cooperan dan como resultado un solo espacio web distribuido y unificado que es transparente y directo para los usuarios. El cliente no necesita conocer la ubicacin fsica de un recurso web. WebSEAL convierte las direcciones URL lgicas en las direcciones fsicas que espera un servidor de fondo. Los objetos web se pueden mover de servidor a servidor sin que afecte a la forma en que el cliente accede a esos objetos. Un espacio web simplifica la gestin de todos los recursos para el administrador del sistema. Las ventajas administrativas adicionales incluyen la escalabilidad, el equilibrio de la carga y una alta disponibilidad.
12
Figura 3. La unin WebSEAL da como resultado un espacio web unificado
La mayora de los servidores web comerciales no disponen de la posibilidad de definir un espacio de objetos web lgico, sino que el control de accesos se conecta al archivo fsico y la estructura del directorio. Las uniones WebSEAL pueden definir de forma transparente un espacio de objetos que refleje la estructura organizativa en vez de la mquina fsica y la estructura del directorio que se encuentra habitualmente en servidores web estndar. Las uniones WebSEAL tambin permiten crear soluciones de inicio de sesin nico. Una configuracin de inicio de sesin nico permite a un usuario acceder a un recurso, independientemente de la ubicacin del mismo, utilizando slo un inicio de sesin inicial. Cualquier requisito de inicio de sesin adicional de los servidores de fondo se gestiona de forma transparente para el usuario. Las uniones WebSEAL son una herramienta importante para que el sitio web sea escalable. Las uniones le permiten responder a las crecientes demandas de un sitio web al conectar servidores adicionales.
Uniones WebSEAL y escalabilidad de sitios web

Las uniones WebSEAL se utilizan para crear un sitio web escalable. Al crecer las demandas del sitio, se pueden agregar fcilmente ms servidores para ampliar las posibilidades del sitio. Se pueden agregar servidores adicionales por los siguientes motivos: v Para ampliar el sitio con contenido adicional
13
v Para duplicar el contenido existente para el equilibrio de carga, la capacidad de migracin tras error y aumentar la disponibilidad
Servidores WebSEAL frontales replicados

El soporte para uniones para los servidores de fondo empieza con, al menos, un servidor WebSEAL frontal. Los servidores WebSEAL frontales replicados proporcionan al sitio un equilibrio de carga durante los periodos de gran demanda. El mecanismo de equilibrio de carga lo gestiona un mecanismo como, por ejemplo, IBM Network Dispatcher o Cisco Local Director. La replicacin frontal tambin proporciona al sitio funciones de migracin tras error si un servidor falla por cualquier motivo, los servidores de rplicas restantes continuarn proporcionando acceso al sitio. El equilibrio de carga correcto y la capacidad de migracin tras error dan como resultado una alta disponibilidad para los usuarios del sitio. Al replicar servidores WebSEAL frontales, cada servidor debe contener una copia exacta del espacio web y la base de datos de uniones. La informacin de cuenta para la rplica reside en un registro de usuarios que es independiente de los servidores frontales.
Soporte para servidores de fondo

El propio servidor WebSEAL, los servidores de fondo o una combinacin de ambos pueden servir el contenido del sitio web. El soporte para uniones WebSEAL para servidores de fondo le permite escalar el sitio web mediante contenido y recursos adicionales. Cada servidor de fondo exclusivo debe estar conectado con un punto (de montaje) de unin separado. Al crecer la demanda de contenido adicional, se pueden agregar ms servidores mediante uniones. En este ejemplo se proporciona una solucin para redes que tengan una gran inversin en servidores web de terceros. Las uniones proporcionan un espacio de objetos lgico y unificado. Este espacio web es transparente para el usuario y permite una gestin centralizada.
Servidores de fondo replicados

Para ampliar las funciones de escalabilidad para una configuracin de servidor de fondo, puede replicar los servidores de fondo. Como en el caso de los servidores frontales replicados, los servidores de fondo replicados deben contener espacio web que sean imgenes reflejadas mutuas. La carga de WebSEAL se equilibra a travs de los servidores replicados utilizando un algoritmo de planificacin de menos ocupado. Este algoritmo dirige todas las nuevas solicitudes al servidor que tenga el menor nmero de uniones en curso. WebSEAL tambin realiza la migracin tras error correcta cuando un servidor est inactivo y empieza a reutilizar el servidor despus de reiniciarlo. Si la aplicacin de fondo requiere que se mantenga su estado en varias pginas, las uniones con informacin de estado se pueden utilizar para garantizar que cada sesin vuelve al mismo servidor de fondo.
14
Captulo 2. Configuracin del servidor WebSEAL

Este captulo contiene informacin que describe las tareas de configuracin que se pueden llevar a cabo para personalizar el servidor WebSEAL para la red. ndice de temas: v Configuracin de la instancia de servidor en la pgina 16 v Configuracin del protocolo de comunicaciones en la pgina 29 v Hardware criptogrfico para cifrado y almacenamiento de claves en la pgina 33 v Calidad de niveles de proteccin en la pgina 40 v Configuracin de actualizaciones y sondeo de la base de datos de autorizaciones en la pgina 42 v Gestin de la asignacin de threads de trabajo en la pgina 44 v Soporte para varios entornos locales con UTF-8 en la pgina 48 v Mensajes de varios entornos locales en la pgina 59 v Manejo de la codificacin de caracteres no vlidos en cadenas de consultas URL en la pgina 61 v Prevencin de la vulnerabilidad causada por scripts entre sitios en la pgina 62 v Servidores WebSEAL frontales replicados en la pgina 64 v Platform for Privacy Preferences (P3P) en la pgina 65 v Supresin de la identidad del servidor en la pgina 76
15
Configuracin de la instancia de servidor

Este apartado contiene los temas siguientes: v Visin general de la configuracin de la instancia de servidor v Tareas de configuracin de instancias de servidor en la pgina 25
Visin general de la configuracin de la instancia de servidor

Lea cada tema de esta visin general antes de configurar una instancia de servidor WebSEAL. Este apartado contiene los temas siguientes: v Planificacin de una configuracin de instancia de servidor v Valores de configuracin de la instancia de servidor de ejemplo en la pgina 20 v Archivo de configuracin exclusivo para cada instancia en la pgina 21 v Visin general de la configuracin interactiva en la pgina 21 v Visin general de la configuracin de la lnea de comandos en la pgina 22 v Visin general de la configuracin silenciosa en la pgina 23
Planificacin de una configuracin de instancia de servidor

Para configurar una instancia de WebSEAL, debe decidir cmo desplegar el servidor para el entorno y debe recopilar informacin sobre el despliegue de Tivoli Access Manager. A menos que se indique de otro modo, se necesitan los valores siguientes. v ID de usuario y contrasea de administrador Se trata del usuario administrador de Tivoli Access Manager. De forma predeterminada, es el usuario sec_master. Debe tener permisos de usuario administrador para configurar una instancia de servidor WebSEAL. v Nombre de host Nombre por el que se conoce al sistema en la red. Generalmente se expresa como un nombre de dominio completo. En las instalaciones interactivas, si lo desea, puede proporcionar simplemente el nombre del sistema. Nombre de dominio completo:
diamond.subnet2.ibm.com
Nombre del sistema:

diamond
v Nombre de instancia Nombre exclusivo que identifica al servidor WebSEAL. Es posible instalar varios servidores WebSEAL en un mismo sistema. Cada servidor debe tener un nombre exclusivo. Los nombres pueden estar formados por caracteres alfanumricos ([A-Z][a-z][09]) seguidos por estos caracteres: subrayado (_), guin (-) y punto (.). No puede utilizarse ningn otro carcter. Los nombres no pueden tener una longitud superior a los 20 caracteres. Nombres de ejemplo: web1, web2, web_3, web-4, web.5 De forma predeterminada, se asigna el nombre de instancia default al servidor WebSEAL inicial, que se configura durante la instalacin y la configuracin de WebSEAL. No obstante, el administrador puede haber modificado este nombre durante la instalacin y la configuracin iniciales. La seleccin del nombre de instancia podr visualizarse tras la configuracin. Por ejemplo, el nombre del archivo de configuracin para la instancia de servidor WebSEAL se crea de este modo:
16
webseald-nombre_instancia.conf
El nombre de instancia tambin afecta al modo en el que aparece el servidor con el comando pdadmin server list. Para este comando, el nombre de servidor se construye de este modo:
nombre_instancia-webseald-nombre_host
Por ejemplo, el nombre_instancia web1 instalado en un host denominado diamond tendra este nombre de servidor:
web1-webseald-diamond
v Puerto de escucha Es el puerto que utiliza el servidor WebSEAL para comunicarse con Tivoli Access Manager Policy Server. El nmero de puerto predeterminado es 7234. Este nmero de puerto debe ser exclusivo para cada instancia de servidor WebSEAL. El puerto predeterminado generalmente lo utiliza la instancia de servidor WebSEAL default (primera instancia). La instalacin interactiva incrementa automticamente al siguiente puerto disponible. Si es necesario, el nmero de puerto puede cambiarse. Si realiza la instalacin utilizando la lnea de comandos o un archivo de respuestas, especifique otro puerto. Todos los puertos por encima del 1024 son vlidos. Seleccione un puerto que no se utilice para ningn otro fin. Una seleccin de configuracin comn consiste en incrementar el nmero de puerto en una unidad. v Protocolo HTTP y puerto HTTP Especifica si deben aceptarse solicitudes a travs del protocolo HTTP. Si se aceptan solicitudes HTTP, el administrador debe asignar un nmero de puerto. El nmero de puerto predeterminado es 80. Este puerto lo utiliza la instancia default (primera instancia). Si no utiliza una interfaz de red lgica, especifique otro nmero de puerto. Seleccione un puerto que no se utilice para ningn otro fin. Una seleccin de configuracin comn consiste en incrementar el nmero de puerto en una unidad. Por ejemplo, 81. Si utiliza una interfaz de red lgica, puede utilizar el mismo nmero de puerto (por ejemplo, 80). v Protocolo HTTPS y puerto HTTPS Especifica si deben aceptarse solicitudes a travs del protocolo HTTPS. Si se aceptan solicitudes HTTPS, el administrador debe asignar un nmero de puerto. El nmero de puerto predeterminado es 443. Este puerto lo utiliza la instancia default (primera instancia). Si no utiliza una interfaz de red lgica, especifique otro nmero de puerto. Seleccione un puerto que no se utilice para ningn otro fin. Una seleccin de configuracin comn consiste en incrementar el nmero de puerto en una unidad. Por ejemplo, 444. Si utiliza una interfaz de red lgica, puede utilizar el mismo nmero de puerto (por ejemplo, 443). v Interfaz de red lgica y direccin IP Este valor es opcional. Puede optar por utilizar una interfaz de red lgica para la instancia de servidor WebSEAL. Esto significa que el servidor WebSEAL recibe una direccin IP exclusiva. Para utilizar esta funcin, se necesita soporte de hardware de red para ms de una direccin IP. Si el hardware de red soporta ms de una direccin IP, puede especificarse una direccin IP distinta para cada instancia de servidor WebSEAL.
17
No es necesario especificar una direccin IP distinta. Todas las instancias de servidor WebSEAL pueden compartir una direccin IP. No obstante, con esta configuracin, cada servidor WebSEAL debe escuchar en puertos exclusivos para el acceso HTTP y HTTPS. Por ejemplo, los valores de configuracin para dos instancias de WebSEAL que compartan una direccin IP pueden ser los siguientes:
Tabla 1. Instancias de WebSEAL que comparten una direccin IP Instancia default web1 Direccin IP 1.2.3.4 1.2.3.4 Puerto HTTP 80 81 Puerto HTTPS 443 444
Por ejemplo, los valores de configuracin para dos instancias de WebSEAL con direcciones IP exclusivas pueden ser los siguientes:
Tabla 2. Instancias de WebSEAL con direcciones IP exclusivas Instancia default web1 Direccin IP 1.2.3.4 1.2.3.5 Puerto HTTP 80 80 Puerto HTTPS 443 443
Asignacin de una direccin IP a la instancia de servidor WebSEAL default En un escenario, el administrador debe asignar manualmente una direccin IP a la instancia de servidor WebSEAL default antes de utilizar amwebcfg para asignar una direccin IP a una nueva instancia de servidor WebSEAL. Este escenario se produce cuando se cumplen las condiciones siguientes: Al configurar la primera instancia de WebSEAL (default), el administrador opt por no utilizar una interfaz de red lgica. Al configurar una nueva instancia de WebSEAL, el administrador desea utilizar una interfaz de red lgica. Al configurar una nueva instancia de WebSEAL, el administrador desea utilizar el mismo puerto para HTTP, o el mismo puerto para HTTPS, con cada interfaz de red lgica. Observe que este escenario se produce porque cuando la primera instancia de WebSEAL (default) est configurada para no utilizar una interfaz de red lgica, WebSEAL est configurado para escuchar en todas las direcciones IP de los puertos especificados (HTTP, HTTPS). Por consiguiente, para poder agregar instancias de servidor WebSEAL que escuchen en los mismos puertos (por ejemplo, 80 para HTTP y 443 para HTTPS), la primera instancia de WebSEAL (default) debe volver a configurarse para recibir una direccin IP exclusiva. Modificar esta configuracin es muy sencillo. El administrador debe editar el archivo de configuracin de WebSEAL para la instancia default y especificar una direccin IP para la instancia default. El archivo de configuracin de WebSEAL para la instancia default es webseald-default.conf. Por ejemplo, si utiliza la instancia de servidor default mostrada en la tabla anterior, deber agregar la entrada siguiente al archivo de configuracin:
[server] network-interface = 1.2.3.4
A continuacin, deber detener el servidor WebSEAL e iniciarlo de nuevo. Observe que el cambio en el archivo de configuracin slo debe realizarse una vez. Este cambio no es necesario cuando se configura cada una de las instancias adicionales de servidor. v Comunicacin SSL con el servidor LDAP
18
WebSEAL se comunica con el servidor LDAP durante el proceso de autenticacin. El uso de SSL durante la comunicacin con el servidor LDAP es opcional. No obstante, por motivos de seguridad, es muy aconsejable utilizar SSL en todos los despliegues de produccin. Puede considerarse la posibilidad de inhabilitar el uso de SSL para entornos de prueba o de prototipo temporales. Nota: Este paso es especfico para el uso de un registro de usuarios LDAP. Este paso no es necesario si se utilizan otros tipos de registro. Si desea utilizar la comunicacin SSL segura entre una instancia de WebSEAL y el servidor de registros LDAP, debe utilizar el archivo de claves SSL de LDAP para este fin. Es el archivo de claves que se ha creado y distribuido durante la instalacin del cliente LDAP. Si el servidor WebSEAL inicial est configurado para utilizar comunicacin SSL segura con LDAP, mltiples instancias pueden utilizar el mismo archivo de claves. Al habilitar la comunicacin SSL entre WebSEAL y el servidor LDAP, debe proporcionar la informacin siguiente: Nombre del archivo de claves SSL Archivo que contiene el certificado SSL de LDAP. Contrasea del archivo de claves SSL Contrasea necesaria para acceder al archivo de claves SSL de LDAP Etiqueta del certificado SSL Etiqueta del certificado de cliente LDAP. Es opcional. Si no se especifica la etiqueta de cliente, se utiliza el certificado predeterminado incluido en el archivo de claves. Especifique la etiqueta de cliente si el archivo de claves contiene ms de un certificado y el certificado que debe utilizarse no es el certificado predeterminado. Nmero de puerto del servidor LDAP SSL Nmero de puerto a travs del que se establece comunicacin con el servidor LDAP. El nmero de puerto de servidor LDAP predeterminado es 636. v Directorio raz de documentos web Directorio raz de la jerarqua en el que se crearn los recursos (objetos protegidos) que debe proteger WebSEAL. El nombre del directorio puede ser cualquier nombre de directorio vlido. El directorio que utiliza la instancia de WebSEAL default (primera instancia) es el siguiente:
UNIX: directorio_instalacin/pdweb/www-default/docs Windows: directorio_instalacin\pdweb\www-default\docs
Tenga en cuenta que el administrador puede haber modificado este directorio durante la configuracin de la instancia de servidor WebSEAL inicial. Cuando se agrega una nueva instancia de servidor WebSEAL, generalmente se crea un nuevo directorio raz de documentos web para la instancia. Durante una instalacin interactiva, se sugiere un directorio nuevo, basado en esta sintaxis:
UNIX: directorio_instalacin/pdweb/www-nombre_instancia/docs Windows: directorio_instalacin\pdweb\www-nombre_instancia\docs
El administrador puede aceptar este nombre o especificar un nombre distinto.

19
Cuando se agrega una instancia de servidor utilizando la lnea de comandos amwebcfg, o utilizando amwebcfg con un archivo de respuestas, se crea el directorio raz de documentos web del modo siguiente: Si el directorio raz de documentos web no se especifica en la lnea de comandos ni en el archivo de respuestas, amwebcfg crea automticamente un directorio nuevo y agrega la entrada al archivo de configuracin de la instancia de WebSEAL. El directorio raz de documentos se crea de conformidad con la sintaxis siguiente:
UNIX: directorio_instalacin/pdweb/www-nombre_instancia/docs Windows: directorio_instalacin\pdweb\www-nombre_instancia\docs
Si se especifica el directorio raz de documentos web en la lnea de comandos o en el archivo de respuestas, amwebcfg agrega la entrada al archivo de configuracin de la instancia de WebSEAL. Nota: El directorio ya debe existir. La utilidad amwebcfg no crear un directorio nuevo. Cmo compartir un directorio raz de documentos web entre varias instancias Varias instancias de servidor WebSEAL pueden compartir el mismo directorio raz de documentos web. Si desea utilizar este escenario, la mejor forma de configurar el directorio raz de documentos para cada instancia nueva de servidor es la siguiente: 1. Permita que amwebcfg cree un nuevo directorio raz de documentos web. 2. Una vez finalizada la configuracin de amwebcfg, edite manualmente el archivo de configuracin de WebSEAL y asigne de nuevo el valor del directorio raz de documentos en el directorio preferido.
[content] doc-root = ruta_acceso_completa_directorio
Este procedimiento es recomendable porque cada vez que se crea una jerarqua de directorios raz de documentos web, amwebcfg copia el contenido de la jerarqua de directorios html.tivoli en el nuevo directorio raz de documentos web. El contenido de html.tivoli incluye un archivo index.html. Esto significa que el archivo (plantilla) predeterminado del directorio html.tivoli podra sobrescribir un archivo index.html existente. Este problema se evita si se edita el archivo de configuracin de WebSEAL manualmente. Una vez finalizada la edicin del archivo de configuracin, puede eliminar el directorio raz de documentos web que ya no necesite (el que amwebcfg ha creado automticamente).
Valores de configuracin de la instancia de servidor de ejemplo

La tabla siguiente contiene un conjunto de valores de ejemplo para una instancia de servidor WebSEAL. Estos valores de ejemplo se utilizarn en los comandos de configuracin de ejemplo utilizados en las secciones de configuracin restantes de este captulo.
Ajuste ID del usuario administrador Contrasea del usuario administrador Nombre de host Nombre de instancia Puerto de escucha Valor sec_master mypassw0rd diamond.subnet2.ibm.com web1 7235
20
Habilitar uso de HTTP Puerto HTTP Habilitar uso de HTTPS Puerto HTTPS Desea utilizar la interfaz de red lgica? Direccin IP Desea utilizar SSL para comunicarse con el servidor LDAP? Archivo de claves SSL Contrasea del archivo de claves SSL Etiqueta del certificado SSL Puerto SSL Directorio raz de documentos web
s 81 s 444 s 1.2.3.5 s /tmp/client.kdb keyfilepassw0rd (ninguna) 636 /usr/docs
Archivo de configuracin exclusivo para cada instancia

Para cada instancia de servidor WebSEAL se crea un archivo de configuracin WebSEAL exclusivo. El nombre del archivo de configuracin incluye el nombre de instancia. El formato es el siguiente:
/opt/pdweb/etc/webseald-nombre_instancia.conf
El nuevo archivo de configuracin especfico de la instancia se configura automticamente para la comunicacin SSL entre la nueva instancia de WebSEAL y los servidores internos de Tivoli Access Manager como Policy Server. El nuevo archivo tambin se configura automticamente para utilizar el certificado de servidor del servidor WebSEAL inicial para autenticar los navegadores del cliente.
Visin general de la configuracin interactiva

Para acceder a la configuracin interactiva de WebSEAL, se utiliza la utilidad pdconfig. Esta utilidad proporciona una interfaz grfica de usuario que solicita al administrador que especifique la informacin necesaria para configurar una instancia de servidor WebSEAL. La utilidad de configuracin proporciona mensajes de ayuda en lnea para ayudar a determinar cules son los valores apropiados para cada valor solicitado. Una vez que se ha especificado toda la informacin de configuracin, la utilidad completa la configuracin e inicia la nueva instancia de servidor WebSEAL. La utilidad pdconfig puede utilizarse para configurar muchos componentes distintos de Tivoli Access Manager. El men pdconfig incluye una entrada para WebSEAL. Cuando se selecciona la entrada WebSEAL, la informacin solicitada por pdconfig coincide con la informacin que necesita amwebcfg. Esto significa que los pasos de planificacin descritos anteriormente en este apartado tambin son vlidos para pdconfig. En todos los sistemas, puede utilizar pdconfig desde una lnea de comandos de shell. Ejemplo:
# pdconfig
21
En sistemas Windows, tambin puede acceder a la utilidad de configuracin a travs de los mens del escritorio Windows:
Inicio -> Programas -> IBM Tivoli Access Manager -> Configuracin
Visin general de la configuracin de la lnea de comandos

Puede utilizar amwebcfg para configurar una instancia de servidor WebSEAL desde una lnea de comandos. Todos los valores necesarios se ofrecen como opciones de la lnea de comandos. La utilidad completa la configuracin sin solicitar ms datos al administrador. La sintaxis de amwebcfg es la siguiente:
amwebcfg -action config host nombre_host -listening_port puerto_escucha_am -admin_id id_admin -admin_pwd contrasea_admin -inst_name nombre_instancia -nw_interface_yn interfaz_red -ip_address direccin_ip -ssl_yn habilitar_ssl_s_no -key_file archivo_claves -key_file_pwd contrasea_archivo_claves -cert_label etiqueta_certificado -ssl_port puerto_ssl -http_yn habilitar_http_s_no -http_port puerto_http -https_yn habilitar_https_s_no -https_port puerto_https -doc_root raz_doc
La lnea de comandos anterior debe especificarse en una sola lnea. En la tabla siguiente se muestran las opciones para amwebcfg:
Opcin -admin_id -admin_pwd -host -inst_name -listening_port -http_yn -http_port -https_yn -https_port nw_interface_yn -ip_address -ssl_yn -key_file -key_file_pwd -cert_label -ssl_port -doc_root Descripcin ID del usuario administrador Contrasea del usuario administrador Nombre de host Nombre de instancia Puerto de escucha Habilitar uso de HTTP Puerto HTTP Habilitar uso de HTTPS Puerto HTTPS Utilizar interfaz de red lgica Direccin IP Utilizar SSL para comunicarse con el servidor LDAP Archivo de claves SSL Contrasea del archivo de claves SSL Etiqueta del certificado SSL Puerto SSL Directorio raz de documentos web
Utilizando, por ejemplo, los valores de ejemplo indicados en el apartado Valores de configuracin de la instancia de servidor de ejemplo en la pgina 20, la lnea de comandos sera la siguiente:
amwebcfg action config inst_name default host diamond.subnet2.ibm.com listening_port 7234 admin_id sec_master admin_pwd mypassw0rd -inst_name web1 -nw_interface_yn yes -ip_address 1.2.3.5 ssl_yn yes key_file /tmp/client.kdb keyfile_pwd mypassw0rd cert_label ibm_cert ssl_port 636 http_yn yes http_port 81 https_yn yes https_port 444 doc_root /usr/docs
22
La lnea de comandos anterior debe especificarse en una sola lnea. La utilidad amwebcfg solicita al usuario que especifique los valores que no se especifican a travs de las opciones de la lnea de comandos. A continuacin se indican las excepciones a esta regla: v Etiqueta del certificado SSL Si no se especifica este valor, no se establece ningn valor. Esto significa que se utiliza el certificado predeterminado. v Directorio raz de documentos web Se crea un directorio exclusivo para la instancia. El algoritmo para crear el directorio se describe en el apartado Planificacin de una configuracin de instancia de servidor en la pgina 16. Para obtener ms informacin, consulte la pgina de referencia amwebcfg de la publicacin IBM Tivoli Access Manager for e-business Command Reference.
Visin general de la configuracin silenciosa

Puede utilizar amwebcfg para configurar una instancia de servidor WebSEAL leyendo todos los valores necesarios desde un archivo de texto. El archivo de texto se denomina archivo de respuestas. Cuando amwebcfg obtiene valores de un archivo de respuestas, la utilidad completa la configuracin sin solicitar ms datos al administrador. El archivo de respuestas no se suministra de forma predeterminada. Debe utilizar un editor de texto para crearlo y especificar los valores necesarios. Los valores consisten en una serie de pares clave = valor. Cada entrada de parmetro se basa en una opcin para amwebcfg. Cada pareja clave = valor aparece en una lnea distinta. Para insertar una lnea de comentario, escriba un carcter de almohadilla (#) al principio de la lnea. El formato del archivo de respuestas es idntico al formato del archivo de configuracin de WebSEAL. Esta opcin de instalacin es til para crear varias instancias de WebSEAL. Una vez que haya creado y utilizado un archivo de respuestas, puede utilizarlo como plantilla para archivos de respuestas futuros. Copie el archivo existente en una nueva ubicacin y edtelo con los valores apropiados para la instancia de servidor. No hay ninguna limitacin en cuanto a la ubicacin del archivo de respuestas. Lnea de comandos de ejemplo
amwebcfg -rspfile /tmp/nombre_archivo_respuestas
En la tabla siguiente se muestra un archivo de respuestas de ejemplo para los valores de la instancia de servidor mostrados en el apartado Valores de configuracin de la instancia de servidor de ejemplo en la pgina 20.
23
Archivo de respuestas de ejemplo

[webseal-config] action = config host = diamond.subnet2.ibm.com listener_port = 7234 admin_id = sec_master admin_pwd = mypassw0rd inst_name = web1 nw_interface_yn = yes # Si nw_interface_yn = no, no es necesario especificar el valor para # ip_address ip_address = 1.2.3.5 # Si SSL no est habilitado, no es necesario especificar los valores # para ssl_yn, key_file, key_file_pwd, cert_label y ssl_port ssl_yn = yes key_file = /tmp/client.kdb key_file_pwd = keyfilepassw0rd # cert_label es opcional. # Si no tiene ninguna etiqueta de certificado, elimine la entrada del # archivo de respuestas. cert_label = ibm_cert ssl_port = 636 http_yn = yes http_port = 81 https_yn = yes https_port = 444 # Si no se especifica el directorio raz de documentos, amwebcfg crea un # directorio predeterminado. # El valor predeterminado es /dir_instalacin/pdweb/www-instancia/docs # Si no especifica ningn valor para el directorio raz de documentos, # elimine la entrada del archivo de respuestas; si no lo hace, el # sistema le solicitar que lo especifique. doc_root = /usr/www-web1/docs
24
Tareas de configuracin de instancias de servidor

Tareas: v Adicin de una instancia de servidor WebSEAL v Eliminacin de una instancia de servidor en la pgina 27
Adicin de una instancia de servidor WebSEAL

Complete cada uno de los pasos siguientes: 1. Planifique la configuracin. Complete la hoja de trabajo siguiente. Para obtener informacin sobre cmo determinar los valores apropiados para cada valor, consulte el apartado Planificacin de una configuracin de instancia de servidor en la pgina 16.
Tabla 3. Hoja de trabajo para agregar una instancia de servidor Ajuste ID del usuario administrador Contrasea del usuario administrador Nombre de host Nombre de instancia Puerto de escucha Habilitar uso de HTTP Puerto HTTP Habilitar uso de HTTPS Puerto HTTPS Desea utilizar la interfaz de red lgica? Direccin IP Desea utilizar SSL para comunicarse con el servidor LDAP? Etiqueta del certificado SSL Archivo de claves SSL Contrasea del archivo de claves SSL Puerto SSL Directorio raz de documentos web s o no s o no s o no s o no Valor
2. Asegrese de que todas las instancias de servidor WebSEAL configuradas estn ejecutndose. De este modo evitar posibles conflictos entre los servidores a travs del uso de puertos. En UNIX, use la utilidad pdconfig para ver el estado del servidor. En Windows, utilice el panel de control Servicios. 3. Determine si es necesario editar manualmente el archivo de configuracin para la primera instancia de servidor WebSEAL (default). Este paso slo es necesario cuando se cumplen las condiciones siguientes: v Debe instalar una interfaz de red lgica. v Desea utilizar los mismos puertos HTTP o HTTPS que los utilizados por la primera instancia de servidor. v La primera instancia de servidor se ha instalado sin utilizar una interfaz de red lgica. Si se cumplen estas condiciones, deber editar manualmente el archivo de configuracin WebSEAL para asignar una direccin IP a la primera instancia. Agregue una entrada de interfaz de red en la stanza [server]. Por ejemplo:
25
[server] network-interface = 1.2.3.4
Para obtener ms informacin, consulte el apartado Planificacin de una configuracin de instancia de servidor en la pgina 16. 4. Configure la instancia de servidor. Utilice uno de los mtodos de configuracin siguientes: v Configuracin interactiva a. Inicie la utilidad pdconfig desde la lnea de comandos. En Windows, si lo desea, puede utilizar el men de Windows:
b. Siga las indicaciones de la pantalla. Cuando se le solicite, especifique cada valor de la hoja de trabajo. Una vez finalizada la configuracin, la instancia de servidor WebSEAL se inicia automticamente. v Configuracin desde la lnea de comandos Inicie amwebcfg con las opciones de la lnea de comandos necesarias. Para construir las opciones de la lnea de comandos, especifique los valores de la hoja de trabajo como argumentos para la opcin apropiada. La sintaxis de amwebcfg es la siguiente:
amwebcfg -action config host nombre_host -listening_port puerto_escucha_am -admin_id id_admin -admin_pwd contrasea_admin -inst_name nombre_instancia -nw_interface_yn interfaz_red -ip_address direccin_ip -ssl_yn habilitar_ssl_s_no -key_file archivo_claves -key_file_pwd contrasea_archivo_claves -cert_label etiqueta_certificado -ssl_port puerto_ssl -http_yn permitir_http_s_no -http_port puerto_http -https_yn permitir_https_s_no -https_port puerto_https -doc_root raz_doc
Este comando se especifica en una sola lnea. Para obtener ms informacin, consulte el apartado Visin general de la configuracin de la lnea de comandos en la pgina 22. v Configuracin silenciosa desde un archivo de respuestas a. Cree un archivo de respuestas que contenga los valores de la hoja de trabajo. Para obtener instrucciones sobre cmo crear un archivo de respuestas, consulte el apartado Visin general de la configuracin silenciosa en la pgina 23. b. Inicie amwebcfg:
amwebcfg -rspfile /tmp/nombre_archivo_respuestas
5. Verifique que la nueva instancia est ejecutndose. Para una instalacin interactiva, revise la entrada del servidor WebSEAL en la ventana de estado de pdconfig. Para la configuracin desde la lnea de comandos y la configuracin silenciosa, amwebcfg enva un mensaje de estado que indica que la configuracin se ha realizado correctamente. Cuando aparece este mensaje, el servidor WebSEAL est en ejecucin.
26
Eliminacin de una instancia de servidor

Para eliminar la configuracin para una instancia de servidor WebSEAL, complete los pasos siguientes: 1. Recopile la siguiente informacin: v Nombre de la instancia v ID del administrador v Contrasea del ID del administrador 2. Para eliminar la configuracin, siga uno de estos mtodos: v Configuracin interactiva a. Inicie la utilidad de configuracin: Inicie la utilidad pdconfig desde la lnea de comandos. En Windows, si lo desea, puede utilizar el men de Windows:
b. Seleccione la instancia de servidor y, a continuacin, seleccione que desea anular la configuracin. c. Cuando se le solicite, especifique el ID del administrador y la contrasea. La eliminacin finaliza sin que el usuario deba especificar ms datos. d. Utilice la ventana de estado de pdconfig para verificar que la instancia de servidor WebSEAL ya no est configurada. v Configuracin desde la lnea de comandos a. Inicie la utilidad configuration, especificando las opciones de lnea de comando necesarias. La sintaxis es la siguiente:
amwebcfg action unconfig inst_name nombre_instancia -admin_id id_admin -admin_pwd contrasea_admin
La utilidad configuration muestra un mensaje de estado cuando la eliminacin ha finalizado. v Configuracin silenciosa utilizando un archivo de respuestas Efecte los pasos siguientes: a. Cree un archivo de respuestas que contenga la siguiente informacin: Accin que debe llevarse a cabo (anular la configuracin) Nombre de la instancia ID del administrador Contrasea del ID de administrador Por ejemplo, si elimina una instancia de servidor WebSEAL denominada web1, las entradas seran:
Archivo de respuestas
[webseal-config] action = unconfig inst_name = web1 admin_id = sec_master admin_pwd = mypassw0rd
Sustituya su contrasea de administrador en el parmetro admin_pwd del ejemplo anterior. Guarde el archivo. Por ejemplo:
/tmp/response_web1
b. Inicie la utilidad amwebcfg. La sintaxis es la siguiente:

27
amwebcfg -rspfile /ruta_acceso_archivo_respuestas/nombre_archivo_respuestas
Utilizando el ejemplo anterior, la lnea de comandos es:

amwebcfg -rspfile /tmp/response_web1
La utilidad configuration muestra un mensaje de estado cuando la eliminacin ha finalizado.
28
Configuracin del protocolo de comunicaciones

En los siguientes apartados se describe la informacin general sobre el servidor WebSEAL: v Configuracin de WebSEAL para solicitudes HTTP en la pgina 29 v Configuracin de WebSEAL para solicitudes HTTPS en la pgina 29 v Restriccin de conexiones de versiones de SSL especficas en la pgina 31 v Parmetros de tiempo de espera para la comunicacin HTTP/HTTPS en la pgina 31 v Parmetros adicionales de tiempo de espera del servidor WebSEAL en la pgina 32
Configuracin de WebSEAL para solicitudes HTTP

WebSEAL manipula habitualmente muchas solicitudes HTTP de usuarios no autenticados. Por ejemplo, es habitual permitir a los usuarios annimos el acceso de slo lectura a los documentos seleccionados de la seccin pblica del sitio web. Los parmetros para manipular las solicitudes HTTP a travs de TCP se encuentran en la stanza [server] del archivo de configuracin de WebSEAL.
Habilitacin e inhabilitacin del acceso HTTP

Puede habilitar o inhabilitar el acceso HTTP durante la configuracin de WebSEAL:
http = {yes|no}
IBM HTTP Server, WebSphere Application Server (que instala IBM HTTP Server) y WebSEAL utilizan el puerto 80 como puerto predeterminado. Si instala WebSEAL en el mismo sistema que IBM HTTP Server, asegrese de que cambia el puerto predeterminado en uno de estos servidores. Edite el archivo de configuracin httpd.conf o el archivo de configuracin de WebSEAL.
Definicin del valor de puerto del acceso HTTP

El puerto predeterminado para el acceso HTTP es 80:
http-port = 80
Para cambiarlo por el puerto 8080, por ejemplo, establezca:

http-port = 8080
Configuracin de WebSEAL para solicitudes HTTPS

Los parmetros para manipular las solicitudes HTTP a travs de SSL (HTTPS) se encuentran en la stanza [server] del archivo de configuracin de WebSEAL.
Conexiones SSL que utilizan el certificado de prueba de WebSEAL (este tema pertenece a SSL)
La autenticacin del certificado del cliente debe realizarse a travs de una conexin SSL (Secure Socket Layer). La conexin SSL se establece antes del proceso de autenticacin del certificado. La conexin SSL puede establecerse cuando un cliente intenta acceder a un recurso a travs de HTTPS. Cuando el recurso no requiere acceso autenticado, el cliente negocia una sesin SSL con el servidor WebSEAL. La sesin SSL se establece cuando el cliente y el servidor (WebSEAL) examinan los certificados respectivos y aceptan la validez de la autoridad firmante. A fin de poder habilitar el establecimiento de sesiones SSL en un servidor WebSEAL nuevo, WebSEAL contiene un certificado de servidor de prueba
29
autofirmado. WebSEAL puede presentar el certificado autofirmado al cliente. Si el cliente lo acepta, se establece la sesin SSL. Este certificado de prueba no es adecuado para que el servidor WebSEAL lo utilice de forma permanente. Aunque este certificado de prueba permite a WebSEAL responder a una solicitud de navegador habilitado para SSL, el navegador no lo puede verificar. Esto es as porque el servidor no contiene un certificado de CA raz apropiado, como ocurre en el caso en que el navegador recibe un certificado autofirmado para el que no existe un certificado de CA raz. Debido a que la clave privada para este certificado predeterminado est incluida en cada distribucin de WebSEAL, este certificado no ofrece ninguna comunicacin verdaderamente segura. Para garantizar una comunicacin segura a travs de SSL, los administradores de WebSEAL deben obtener un certificado de servidor del sitio exclusivo de una entidad emisora de certificados (CA). Puede usar la utilidad iKeyman de GSKit para generar una solicitud de certificado que se enviar a la CA. Tambin puede utilizar iKeyman para instalar y etiquetar el certificado de sitio nuevo. Utilice el parmetro webseal-cert-keyfile-label en la stanza [ssl] de un archivo de configuracin de WebSEAL para designar el certificado como el certificado del servidor WebSEAL activo (este valor prevalece sobre cualquier certificado designado como predeterminado en la base de datos del archivo de claves). Si necesita certificados diferentes para otras situaciones (por ejemplo, para uniones autenticadas mutuamente), puede usar la utilidad iKeyman para crear, instalar y etiquetar estos certificados adicionales. Consulte el apartado Configuracin de los parmetros de la base de datos de claves de WebSEAL en la pgina 255. Tambin es importante asegurarse de que la validacin de los certificados incluya la comprobacin de las Listas de revocacin de certificados (CRL). Configure WebSEAL para que acceda al servidor LDAP adecuado como un usuario de LDAP con los permisos suficientes para acceder a las CRL adecuadas. Proporcione valores para las siguientes entradas del archivo de configuracin:
[ssl] crl-ldap-server crl-ldap-server-port crl-ldap-user crl-ldap-user-password
WebSEAL puede configurarse para almacenar en cach las CRL. Para configurar la cach, proporcione valores para las siguientes entradas del archivo de configuracin:
[ssl] gsk-crl-cache-size gsk-crl-cache-entry-lifetime
Las instrucciones para establecer los valores que afectan al acceso y al manejo de CRL, incluidos los rangos vlidos de los valores de la cach, se especifican en el apartado Secure Socket Layer en la pgina 445. Consulte tambin el apartado Configuracin de la cach de CRL en la pgina 258.
Habilitacin e inhabilitacin del acceso HTTPS

Puede habilitar o inhabilitar el acceso HTTPS durante la configuracin de WebSEAL:
https = {yes|no}
30
Definicin del valor de puerto del acceso HTTPS

El puerto predeterminado para el acceso HTTPS es 443:
https-port = 443
Para cambiarlo por el puerto 4343, por ejemplo, establezca:

https-port = 4343
Restriccin de conexiones de versiones de SSL especficas

Puede habilitar e inhabilitar de forma independiente la conectividad de SSL (Secure Sockets Layer) versin 2, SSL versin 3 y TLS (Transport Layer Security) versin 1. Los parmetros que controlan las conexiones para versiones de SSL y TLS especficas se encuentran la stanza [ssl] del archivo de configuracin de stanza WebSEAL. De forma predeterminada, estn habilitadas todas las versiones de SSL y TLS.
[ssl] disable-ssl-v2 = {yes|no} disable-ssl-v3 = {yes|no} disable-tls-v1 = {yes|no}
Parmetros de tiempo de espera para la comunicacin HTTP/HTTPS

WebSEAL utiliza la implementacin de SSL de IBM Global Security Kit (GSKit). Cuando WebSEAL recibe una solicitud de un cliente HTTPS, GSKit SSL establece el reconocimiento inicial y mantiene el estado de la sesin. WebSEAL da soporte a los siguientes parmetros de tiempo de espera para la comunicacin HTTP y HTTPS. Estos parmetros se encuentran en la stanza [server] del archivo de configuracin de WebSEAL. v client-connect-timeout Una vez efectuado el reconocimiento inicial, este parmetro establece el tiempo durante el que WebSEAL mantendr abierta la conexin para la solicitud HTTP o HTTPS inicial. El valor predeterminado es 120 segundos.
[server] client-connect-timeout = 120
v persistent-con-timeout Despus de la primera solicitud HTTP y la respuesta del servidor, este parmetro controla el nmero mximo de segundos durante los que el servidor mantendr abierta una conexin persistente HTTP antes de cerrarla. El valor predeterminado es 5 segundos.
[server] persistent-con-timeout = 5
31
Figura 4. Parmetros de tiempo de espera para la comunicacin HTTP y HTTPS
Parmetros adicionales de tiempo de espera del servidor WebSEAL

Los siguientes parmetros adicionales de tiempo de espera se establecen en el archivo de configuracin de WebSEAL:
Parmetro [junction] http-timeout Descripcin Valor de tiempo de espera para el envo a un servidor de fondo y para la lectura desde ese servidor a travs de una unin TCP. Valor de tiempo de espera para el envo a un servidor de fondo y para la lectura desde ese servidor a travs de una unin SSL. Valor de tiempo de espera para el envo a un proceso CGI local y para la lectura desde ese proceso. Slo est soportado en sistemas UNIX. [junction] ping-time De forma peridica, WebSEAL ejecuta ping en segundo plano de cada servidor con unin para determinar si funciona. WebSEAL no lo intentar con una frecuencia superior a 300 segundos (o el valor establecido). 300 Valor predeterminado (segundos) 120
[junction] https-timeout
120
[cgi] cgi-timeout
120
32
Hardware criptogrfico para cifrado y almacenamiento de claves

WebSEAL, mediante el uso de GSKit para la gestin de claves y la comunicacin SSL, proporciona soporte de interfaz para hardware criptogrfico. El hardware criptogrfico puede proporcionar una de las caractersticas siguientes o ambas: v Tareas de cifrado y descifrado de SSL seguro para mejorar el rendimiento durante mltiples transacciones en lnea v Gestin y almacenamiento seguro y acelerado de claves de certificados para una arquitectura de gran seguridad durante las transacciones en lnea WebSEAL y GSKit dan soporte a las siguientes interfaces para este software criptogrfico: v BHAPI (API de RSA Security, Inc. con soporte para su producto BSAFE) v PKCS#11 (Estndar criptogrfico de clave pblica) Algn hardware criptogrfico da soporte a amabas interfaces; otro slo da soporte a una de las interfaces. En general, WebSEAL (y GSKit) utiliza la interfaz de BHAPI para dar soporte al cifrado y descifrado. WebSEAL (y GSKit) utiliza PKCS#11 para dar soporte al cifrado y descifrado y al almacenamiento de claves. WebSEAL da soporte a varios dispositivos de hardware para las plataformas seleccionadas. Consulte la publicacin IBM Tivoli Access Manager for e-business Release Notes para obtener la informacin ms reciente sobre el soporte de plataformas para estas tarjetas de hardware. Tarjetas de aceleracin criptogrfica v nCipher nForce 300 v Rainbow CryptoSwift eCommerce Accelerator v IBM 4960 Almacenamiento de claves v nCipher nForce 300 v IBM 4758 v Eracom Orange La siguiente matriz ilustra la relacin entre la funcionalidad y el soporte de la interfaz para cada una de estas tarjetas:
BHAPI Aceleracin SSL v Rainbow CryptoSwift v nCipher nForce 300 Almacenamiento de claves PKCS#11 v IBM 4960 v nCipher nForce 300 v IBM 4758 v nCipher nForce 300 v Eracom Orange
Rainbow CryptoSwift y nCipher nForce 300 (con BHAPI) se utilizan para operaciones de claves pblicas (descifrado de claves RSA). Las claves no se almacenan en el dispositivo de aceleracin, sino en el archivo pdsrv.kdb. Los dispositivos de aceleracin se utilizan para acelerar las funciones criptogrficas de
33
claves pblicas de SSL. La aceleracin de hardware libera el procesador del servidor, aumenta el rendimiento del servidor y reduce el tiempo de espera. Los aceleradores Rainbow CryptoSwift y nCipher nForce incorporan un mayor rendimiento al proporcionar ms transacciones seguras concurrentes. Con la interfaz PKCS#11, las claves RSA se almacenan en una tarjeta criptogrfica para garantizar la autenticacin. IBM 4758 y Eracom Orange actan slo como dispositivos para el almacenamiento de claves. El dispositivo nCipher nForce puede llevar a cabo una aceleracin justa o tanto la aceleracin como el almacenamiento de claves con soporte PKCS#11. Los dispositivos IBM 4758, Eracom Orange y nCipher nForce (con soporte para PKCS#11) garantizan que no se pueda acceder en absoluto a las claves desde fuera. Las claves nunca se revelan de forma descifrada, dado que se almacenan en el hardware, lo cual proporciona una autenticacin y una proteccin de claves mejoradas. La aceleracin criptogrfica de hardware y el almacenamiento de claves son aplicables para las siguientes conexiones de WebSEAL: v De navegador a WebSEAL v De WebSEAL a servidor de fondo a travs de unin
Condiciones y requisitos previos

IBM 4758023 En Windows 2000, la tarjeta criptogrfica IBM 4758023 tiene una limitacin de acceso de 32 threads de trabajo. En consecuencia, WebSEAL debe configurarse para que utilice un mximo de 32 threads de trabajo. El nmero recomendado de threads de trabajo es de 30. La configuracin predeterminada para los threads de trabajo en el momento de la instalacin de WebSEAL es de 50 threads de trabajo. Consulte el apartado Gestin de la asignacin de threads de trabajo en la pgina 44 para obtener informacin sobre la configuracin de los threads de trabajo. Se utilizan threads de supervisin adicionales para las conexiones configuradas con la opcin K (WebSEAL autentica con un certificado de cliente), y la clave (certificado) se almacena en el hardware IBM 4758. En esta situacin, se puede reducir an ms el nmero de threads de trabajo en uno para cada unin K SSL mediante las claves almacenadas en la tarjeta IBM 4758.
Configuracin del motor Cipher y proceso de modalidad FIPS

Puede utilizar el archivo de configuracin de WebSEAL para especificar el motor Cipher que utiliza GSKit.
[ssl] base-crypto-library = Default
Los valores vlidos para esta entrada son: v Default Este valor indica a GSKit que seleccione la base criptogrfica ptima que debe utilizarse. Para WebSEAL versin 5.1, es ICC. v ICC v RSA Especifique RSA si utiliza una tarjeta BHAPI (Bsafe Hardware API) CryptoCard como Rainbow CryptoSwift. ICC no soporta la interfaz BHAPI. Cuando el entorno de despliegue de WebSEAL incluye servidores WebSEAL de versiones
34
anteriores (anteriores a la versin 5.1), debe considerar la posibilidad de utilizar este valor ya que versiones anteriores de GSKit utilizaban RSA para operaciones criptogrficas. Nota: PKCS#11 est disponible en todas las modalidades, excepto en el caso en que FIPS est habilitado. Puede especificar si debe habilitarse el proceso de la modalidad FIPS. Este proceso est inhabilitado de forma predeterminada. Para habilitarlo, establezca la entrada siguiente:
[ssl] fips-mode-processing = yes
Establezca este valor en yes si utiliza ICC y desea utilizar los protocolos y los datos cifrados con aprobacin FIPS 140-1.
Configuracin de WebSEAL para hardware criptogrfico a travs de BHAPI

1. Instale el controlador de dispositivo para el hardware criptogrfico especfico que est utilizando. 2. GSKit (y, por tanto, WebSEAL) detecta el hardware y lo utiliza de manera automtica. Si es necesario, puede configurar WebSEAL para que inhabilite el uso automtico del hardware para la aceleracin SSL a travs de BHAPI. Los parmetros disable-ncipher-bsafe y disable-rainbow-bsafe estn disponibles en la stanza [ssl] del archivo de configuracin de WebSEAL. De forma predeterminada, ambos parmetros estn establecidos en no (es decir, WebSEAL utiliza automticamente el hardware para la aceleracin SSL a travs de BHAPI). Por ejemplo:
[ssl] disable-ncipher-bsafe = no disable-rainbow-bsafe = no
Configuracin de WebSEAL para hardware criptogrfico a travs de PKCS#11

Instalacin de la tarjeta criptogrfica y el controlador de dispositivo
Siga las instrucciones que le proporcionar el proveedor para instalar la tarjeta criptogrfica y su controlador de dispositivo (con PKCS#11) para el hardware criptogrfico que est utilizando. Este procedimiento requiere cerrar la sesin y reiniciar el sistema.
Creacin de una contrasea y una etiqueta de dispositivo de seal para almacenar claves de WebSEAL
En el contexto del hardware criptogrfico y los controladores de dispositivo asociados, una seal es un dispositivo lgico que acta como contenedor para almacenar claves, datos y objetos de certificados. Los objetos de claves pueden incluir claves pblicas y privadas. Cuando configura una tarjeta criptogrfica para almacenar claves (utilizando la interfaz PKCS#11), debe definir una o ms seales (o contenedores) para que almacenen claves para diferentes situaciones. Cuando configura una tarjeta criptogrfica para realizar tareas de almacenamiento de claves para WebSEAL (GSKit), debe especificar una etiqueta de la seal (y una
35
contrasea) que represente el dispositivo de seal que almacene la pareja de clave pblica/privada de WebSEAL. WebSEAL enva la clave pblica en el certificado del servidor que utiliza para autenticarse para cualquier cliente. Utilice las instrucciones que se proporcionan con el hardware criptogrfico instalado para crear una etiqueta para el dispositivo de seal que almacena la clave de WebSEAL. Por ejemplo:
token = websealtoken password = secret
Configuracin de iKeyman para que utilice el mdulo PKCS#11 (biblioteca compartida)

La utilidad iKeyman de GSKit debe configurarse para el mdulo de dispositivo PKCS#11 (biblioteca compartida) del dispositivo de hardware criptogrfico instalado. Este mdulo permite a iKeyman comprender la etiqueta de la seal de WebSEAL del dispositivo de hardware, la contrasea (o PIN) para la seal y la etiqueta clave para cualquier clave de WebSEAL almacenada en el dispositivo. Configure la utilidad GSKit iKeyman (gsk7ikm) para que utilice el mdulo PKCS#11 (biblioteca compartida) para el dispositivo de hardware criptogrfico instalado: Localice el archivo ikmuser.sample en el siguiente directorio: Solaris y HP-UX: /opt/ibm/gsk7/classes Linux: /usr/local/ibm/gsk7/classes AIX: /usr/opt/ibm/gskta/classes Windows: C:\Archivos de programa\ibm\gsk7\classes Copie y cambie el nombre de este archivo a ikmuser.properties. Edite este nuevo archivo agregando la siguiente lnea adecuada que especifica la ubicacin del mdulo (biblioteca compartida) para el hardware criptogrfico instalado: UNIX: nCipher nForce:
DEFAULT_CRYPTOGRAPHIC_MODULE=/opt/nfast/toolkits/pkcs11/libcknfast.so
IBM 4758-023 e IBM 4960:

DEFAULT_CRYPTOGRAPHIC_MODULE=/usr/lib/pkcs11/PKCS11_API.so
Eracom Orange:
DEFAULT_CRYPTOGRAPHIC_MODULE=/opt/Eracom/lib/libcryptoki.so
Windows: nCipher nForce:

DEFAULT_CRYPTOGRAPHIC_MODULE=C:\\nfast\\toolkits\\pkcs11\\cknfast.dll
36
IBM 4758-023:
DEFAULT_CRYPTOGRAPHIC_MODULE=C:\\Archivos de programa\\ibm\\PKCS11\\bin\\nt \\cryptoki.dll
Eracom Orange
DEFAULT_CRYPTOGRAPHIC_MODULE= C:\\Archivos de programa\\Eracom\\ProtectToolKit C Runtime\\cryptoki.dll
Cuando se configura la biblioteca compartida adecuada, la utilidad iKeyman de GSKit incluye una nueva opcin de men: Seal criptogrfica. Ahora ya puede utilizar iKeyman para crear, almacenar y manipular claves para WebSEAL en el hardware criptogrfico.
Apertura del dispositivo de seal de WebSEAL utilizando iKeyman

1. Inicie la utilidad iKeyman (gsk7ikm). 2. Seleccione Archivo de base de datos de claves y, a continuacin, seleccione Abrir. Aparece un nuevo cuadro de dilogo Abrir. 3. En la ventana Abrir, seleccione Seales criptogrficas en el men desplegable Tipo de base de datos de claves. 4. Si tiene la seal criptogrfica especificada en el archivo ikmuser.properties, en el cuadro de dilogo se indicar la ruta de acceso y la biblioteca. En caso contrario, puede utilizar la opcin de men Examinar... Haga clic en Aceptar cuando haya finalizado. 5. De manera adicional, si desea abrir una base de datos de claves secundaria existente (para los datos de claves no almacenados en el hardware criptogrfico como los certificados raz CA) marque Abrir base de datos de claves existente. 6. Examine y seleccione la base de datos de claves de WebSEAL predeterminada: UNIX:
/opt/pdweb/www/certs/pdsrv.kdb
Windows:
C:\Archivos de programa\Tivoli\pdweb\www\certs\pdsrv.kdb
7. Haga clic en Aceptar. Aparece el cuadro de dilogo Contrasea de seal. 8. Escriba la contrasea predeterminada pdsrv. Haga clic en Aceptar. 9. Volver a la ventana principal de iKeyman.
Solicitud y almacenamiento del certificado de servidor WebSEAL

1. Siga las instrucciones de la publicacin IBM Global Security Kit Secure Sockets Layer and iKeyman Users Guide para solicitar un certificado digital firmado y seguro para WebSEAL de una entidad emisora de certificados (CA). 2. Siga las instrucciones de la publicacin IBM Global Security Kit Secure Sockets Layer and iKeyman Users Guide para recibir el certificado de WebSEAL de la CA y almacenarlo en una base de datos de claves. Cuando realice este procedimiento, seleccione el dispositivo de seal que representa el hardware criptogrfico como la ubicacin de almacenamiento para el certificado. 3. Cuando se almacena en el dispositivo de seal, la clave (certificado) aparece (por ejemplo) como:
websealtoken:webseal
37
La clave WebSEAL se almacena en el hardware criptogrfico y se asigna al dispositivo de seal etiquetado con websealtoken.
Configuracin de WebSEAL y GSKit para que utilicen la biblioteca compartida PKCS#11

Configure WebSEAL para que utilice el mdulo PKCS#11 (biblioteca compartida). Edite el archivo de configuracin de WebSEAL y agregue la lnea apropiada que identifique la ubicacin de la biblioteca compartida en la stanza [ssl]: UNIX nCipher nForce:
[ssl] pkcs11-driver-path = /opt/nfast/toolkits/pkcs11/libcknfast.so
IBM 4758-023 e IBM 4960:

[ssl] pkcs11-driver-path = /usr/lib/pkcs11/PKCS11_API.so
Eracom Orange
[ssl] pkcs11-driver-path = /opt/Eracom/lib/libcryptoki.so
Windows nCipher nForce:

[ssl] pkcs11-driver-path = C:\nfast\toolkits\pkcs11\cknfast.dll
IBM 4758-023:
[ssl] pkcs11-driver-path = C:\Archivos de programa\ibm\PKCS11\bin\nt\cryptoki.dll
Eracom Orange
[ssl] pkcs11-driver-path = C:\Archivos de programa\Eracom\ProtectedToolKit C Runtime\cryptoki.dll
Adems, especifique los nombres de la contrasea y la etiqueta de la seal bajo la misma stanza [ssl]: Para este ejemplo:
[ssl] pkcs11-token-label = websealtoken pkcs11-token-pwd = secret
Modificacin de la etiqueta del certificado de servidor WebSEAL

Configure WebSEAL para que utilice esta nueva clave basada en hardware en lugar de la clave predeterminada para comunicarse con los clientes del navegador. Modifique el parmetro webseal-cert-keyfile-label en la stanza [ssl] del archivo de configuracin de WebSEAL para designar la nueva etiqueta de clave.
[ssl] webseal-cert-keyfile-label = <nombre-seal>:<etiqueta-clave>
Para este ejemplo:
38
[ssl] webseal-cert-keyfile-label = websealtoken:webseal
Inhabilitacin de la modalidad de aceleracin para nCipher nForce 300

Si desea utilizar el dispositivo nCipher nForce 300 slo para el almacenamiento de claves y no para la aceleracin SSL, puede configurar WebSEAL para que inhabilite el uso automtico de este dispositivo para la aceleracin BHAPI. El parmetro disable-ncipher-bsafe est disponible en la stanza [ssl] del archivo de configuracin de WebSEAL. Para inhabilitar la aceleracin SSL automtica a travs de la interfaz BHAPI, establezca este parmetro en yes. Por ejemplo:
[ssl] disable-ncipher-bsafe = yes
De forma predeterminada, este parmetro est establecido en no (es decir, WebSEAL utiliza automticamente el hardware para la aceleracin SSL a travs de BHAPI).
Reinicio de WebSEAL
Debe reiniciar WebSEAL para que toda la configuracin del hardware criptogrfico surta efecto. Puede verificar que WebSEAL est utilizando el hardware criptogrfico examinando las entradas que contiene el archivo msg_webseald.log.
39
Calidad de niveles de proteccin

Para controlar el nivel predeterminado de cifrado necesario para acceder a WebSEAL a travs de SSL (HTTPS), configure la calidad de proteccin (QOP). La gestin de calidad de proteccin predeterminada se controla mediante los parmetros de la seccin SSL QUALITY OF PROTECTION MANAGEMENT del archivo de configuracin de WebSEAL: v Puede habilitar e inhabilitar la gestin de QOP con el parmetro ssl-qop-mgmt v Puede especificar los niveles de cifrado permitidos en la stanza [ssl-qop-mgmt-default] 1. Habilite la gestin de la calidad de proteccin:
[ssl-qop] ssl-qop-mgmt = yes
2. Especifique el nivel de cifrado predeterminado para el acceso HTTPS. La sintaxis es la siguiente:

default = {ALL|NONE|nivel_cifrado}
Los valores soportados para nivel_cifrado son:

NONE, ALL, NULL, DES-56, FIPS-DES-56, DES-168, FIPS-DES-168, RC2-40, RC2-128, RC4-40, RC4-56, RC4-128, AES-128, AES-256
NONE inhabilita Por ejemplo:

[ssl-qop-mgmt-default] default = ALL
Tenga en cuenta que tambin puede especificar un grupo seleccionado de cifrados:

[ssl-qop-mgmt-default] default = RC4-128 default = RC2-128 default = DES-168
Notas: v NONE indica que no se permite ninguna conexin SSL. v NULL indica que se permite la conexin SSL sin cifrar. v ALL significa que se permiten todos los tipos de conexiones SSL. v Puede hacerse que varios cifrados/MAC estn disponibles para la conexin para una seleccin de cifrado qop determinada. Seguirn teniendo la misma intensidad de bits de cifrado, simplemente tendrn mtodos MAC distintos (SHA1 o MD5). v RC2-128 slo est disponible con SSLv2. Si es la nica seleccin de cifrado, WebSEAL inhabilitar SSLv3 y TLSv1 para la conexin afectada. v NULL, FIPS-DES-56, FIPS-DES-168, RC4-56, AES-128 y AES-256 slo estn disponibles con SSLv3 y TLSv1. Si son los nicos datos cifrados disponibles para una conexin determinada, SSLv2 se inhabilitar para la conexin afectada. v GSKit determina automticamente el soporte AES en funcin del valor base-crypto-library. AES-128 y AES-256 slo estn disponibles si GSKit ha habilitado el soporte AES; en cualquier otro caso, se omitirn. v FIPS-DES-56 y FIPS-DES-168 slo estn disponibles cuando fips-mode-processing est habilitado (establecido en yes). De lo contrario, se omiten.
40
Tivoli Access Manager utiliza GSKit 7. Las especificaciones de cifrado a las que da soporte GSKIT7 cuando se utilizan en SSLv2/TLS en seguridad de Internet son las siguientes:
SSL_RSA_WITH_NULL_MD5 SSL_RSA_WITH_NULL_SHA SSL_RSA_EXPORT_WITH_RC4_40_MD5 SSL_RSA_WITH_RC4_128_MD5 SSL_RSA_WITH_RC4_128_SHA SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 SSL_RSA_EXPORT_WITH_DES40_CBC_SHA SSL_RSA_WITH_DES_CBC_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA TLS_RSA_EXPORT1024_WITH_RC4_56_SHA SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
Estas especificaciones de cifrado TLS tambin se utilizan con SSLV3.
QOP para redes y hosts individuales

El parmetro ssl-qop-mgmt = yes tambin habilita los valores que aparecen en las stanzas [ssl-qop-mgmt-hosts] y [ssl-qop-mgmt-networks]. Estas stanzas permiten la gestin de la calidad de proteccin mediante direcciones IP especficas de host/red/mscara de red. La stanza [ssl-qop-mgmt-default] ofrece una lista de los cifrados utilizados para todas las direcciones IP que no encuentran correspondencia en las stanzas [ssl-qop-mgmt-hosts] y [ssl-qop-mgmt-networks]. Ejemplo de sintaxis de configuracin para los hosts:
[ssl-qop-mgmt-hosts] xxx.xxx.xxx.xxx = ALL yyy.yyy.yyy.yyy = RC2-128
Ejemplo de sintaxis de configuracin para red/mscara de red:

[ssl-qop-mgmt-networks] xxx.xxx.xxx.xxx/255.255.255.0 = RC4-128 yyy.yyy.yyy.yyy/255.255.0.0 = DES-56
Las stanzas [ssl-qop-mgmt-hosts] y [ssl-qop-mgmt-networks] se proporcionan slo a efectos de compatibilidad con versiones anteriores. Es recomendable que no las utilice para llevar a cabo la configuracin de Tivoli Access Manager. Debe tener en cuenta que la entrada para una direccin IP especificada en [ssl-qop-mgmt-hosts] tiene prioridad sobre una entrada para la misma direccin especificada en [ssl-qop-mgmt-networks]. Del mismo modo, una entrada en [ssl-qop-mgmt-networks] tiene prioridad sobre una entrada para la misma direccin en [ssl-qop-mgmt-default]. Si debe utilizar [ssl-qop-mgmt-hosts] o [ssl-qop-mgmt-networks] para compatibilidad con versiones anteriores, revise los valores de la direccin IP en todas las stanzas para garantizar que una direccin IP determinada no aparezca en ms de una stanza. Si una direccin IP aparece listada en ms de una stanza, asegrese de que el orden de evaluacin da lugar a la configuracin que desea.
41
Configuracin de actualizaciones y sondeo de la base de datos de autorizaciones

Tivoli Access Manager Policy Server (pdmgrd) gestiona la base de datos maestra de polticas de autorizacin y mantiene la informacin de ubicacin acerca de otros servidores de Tivoli Access Manager en el dominio seguro. Un administrador de Tivoli Access Manager puede realizar cambios de poltica de seguridad en el dominio seguro en cualquier momento. Policy Server realiza los ajustes necesarios en la base de datos maestra de autorizaciones siempre que se implementan cambios en la poltica de seguridad. Cuando Policy Server realiza un cambio en la base de datos maestra de autorizaciones, puede enviar una notificacin de este cambio a todas las bases de datos replicadas del dominio seguro que dan soporte a los aplicadores de polticas individuales (por ejemplo, WebSEAL). Los aplicadores de polticas deben solicitar a continuacin una actualizacin de la base de datos desde la base de datos maestra de autorizaciones. WebSEAL, como gestor de recursos y aplicador de polticas, tiene tres opciones para obtener informacin acerca de los cambios en la base de datos de autorizaciones: v Escuchar las notificaciones de actualizaciones de Policy Server (configurable y habilitado de forma predeterminada). v Comprobar (sondear) la base de datos maestra de autorizaciones a intervalos regulares (configurable e inhabilitado de forma predeterminada). v Habilitar la escucha y el sondeo. La stanza [aznapi-configuration] del archivo de configuracin de WebSEAL contiene parmetros para configurar el sondeo de la base de datos y la escucha de notificaciones de actualizaciones. La ruta de acceso de la base de datos de polticas de autorizaciones replicada local de WebSEAL est definida por el parmetro db-file:
[aznapi-configuration] db-file = /var/pdweb/db/webseald.db
Configuracin de la escucha de notificaciones de actualizaciones

El parmetro listen-flags, que se encuentra en la stanza [aznapi-configuration], permite habilitar e inhabilitar la escucha de notificaciones de actualizaciones de WebSEAL. De forma predeterminada, la escucha est inhabilitada. Para habilitar la escucha, escriba enable.
[aznapi-configuration] listen-flags = enable
El parmetro ssl-listening-port, que se encuentra en la stanza [ssl], configura el puerto SSL para la escucha:
[ssl] ssl-listening-port = 7234
42
Configuracin del sondeo de la base de datos de autorizaciones

Puede configurar WebSEAL para que sondee regularmente la base de datos maestra de autorizaciones para obtener informacin de actualizaciones. El parmetro cache-refresh-interval se puede establecer en default, disable o un intervalo de tiempo especfico en segundos. El valor default es igual a 600 segundos. El sondeo est inhabilitado de forma predeterminada.
[aznapi-configuration] cache-refresh-interval = disable
43
Gestin de la asignacin de threads de trabajo

v Configuracin de threads de trabajo de WebSEAL en la pgina 44 v Asignacin de threads de trabajo para uniones (imparcialidad de conexiones) en la pgina 45 v Configuracin en AIX
Configuracin de threads de trabajo de WebSEAL

El nmero de threads de trabajo configurados especifica el nmero de solicitudes entrantes simultneas a las que puede dar servicio un servidor. Las conexiones que lleguen cuando todos los threads de trabajo estn ocupados se colocarn en el bfer hasta que haya un thread de trabajo disponible. Puede establecer el nmero de threads disponibles para dar servicio a las conexiones de entrada de WebSEAL. La configuracin del nmero de threads de trabajo se debe realizar con cuidado debido a posibles impactos en el rendimiento. Este parmetro de configuracin no impone un lmite mximo en el nmero de conexiones simultneas. Este parmetro simplemente especifica el nmero de threads disponibles para dar servicio a una cola de trabajo potencialmente ilimitada. La eleccin del nmero ptimo de threads de trabajo depender de la informacin de la cantidad y el tipo de trfico de la red. En todos los casos, slo debe especificar un valor inferior al lmite de los threads de trabajo impuesto por el sistema operativo. Al aumentar el nmero de threads, se suele disminuir el tiempo medio que se tarda en finalizar las solicitudes. Sin embargo, el aumento del nmero de threads tiene un impacto en otros factores que pueden tener un efecto negativo en el rendimiento del servidor. WebSEAL mantiene una sola agrupacin de threads de trabajo y de lista de trabajo genrica para gestionar las solicitudes de clientes que utilizan TCP o SSL. Este mecanismo mejorado posibilita el consumo de menos recursos del sistema por parte de WebSEAL, mientras que permite gestionar una carga significativamente mayor. Puede configurar el tamao de la agrupacin de threads de trabajo mediante el parmetro worker-threads de la parte de la stanza [server] del archivo de configuracin de WebSEAL.
[server] worker-threads = 50
Nota: El valor de este parmetro debe permanecer dentro de los lmites de los threads de trabajo establecidos por el sistema operativo.
Configuracin en AIX
En sistemas AIX nicamente, cuando el lmite de los threads de trabajo de WebSEAL de la stanza [server] del archivo de configuracin de WebSEAL se aumenta ms all del valor predeterminado 50 a un valor superior a 800, WebSEAL puede fallar y producir un vuelco de ncleo. Solucin temporal: aumente los lmites del tamao del proceso AIX a un valor sin lmite como se indica a continuacin:
44
1. Localice el archivo de lmites en el directorio /etc/security. 2. Localice la palabra default y busque los parmetros cpu, rss y data. Los valores predeterminados son los siguientes:
data = 262144 rss = 65536
3. Cambie los valores para los parmetros data y rss a un valor sin lmite utilizando el valor 1. El valor 1 especifica sin lmite o queda enlazado a las posibilidades del sistema operativo y la CPU.
data = -1 rss = -1
4. Reinicie el sistema para que estos cambios surtan efecto.
Asignacin de threads de trabajo para uniones (imparcialidad de conexiones)

Se puede configurar la asignacin de los threads de trabajo de WebSEAL que se utilizan para procesar solicitudes entre varias uniones de manera global o por cada unin. El mecanismo de configuracin mantiene una distribucin imparcial de threads de trabajo en todas las uniones y evita que una sola unin vace la agrupacin de threads de trabajo.
Contexto
WebSEAL extrae de su agrupacin de threads de trabajo para procesar mltiples solicitudes. El nmero de threads de trabajo disponibles en WebSEAL se especifica con el parmetro worker-threads en el archivo de configuracin de WebSEAL. Puede ajustar el valor de worker-threads para servir mejor a su implementacin especfica de WebSEAL. Cuando no hay threads de trabajo disponibles para manejar las solicitudes entrantes, los usuarios experimentan que un servidor WebSEAL no responde. Los threads de trabajo se utilizan para manejar las solicitudes entrantes en las aplicaciones que residen en mltiples servidores de programas de fondo con unin. Sin embargo, la agrupacin de threads de trabajo se puede vaciar rpidamente si una aplicacin de programa de fondo determinada es especialmente lenta al responder a un alto volumen de solicitudes y procesarlas. El vaciado de la agrupacin de threads de trabajo por esta aplicacin hace que WebSEAL no pueda responder a solicitudes de servicios en los servidores de aplicaciones con unin restantes. Puede configurar lmites globales o por unin basados en el nmero de los threads de trabajo utilizadas para las aplicaciones de servicio en mltiples conexiones. Estos lmites permiten que prevalezca la imparcialidad para todas las uniones e impiden que una aplicacin cualquiera pueda reclamar ms threads de trabajo de los que le corresponden. Nota: Para obtener informacin sobre los lmites de uso de recursos de threads de trabajo y para obtener instrucciones sobre cmo detectar la escasez de threads de trabajo, consulte la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide.
Asignacin global de threads de trabajo para uniones

Dos parmetros ubicados en la stanza [junction] del archivo de configuracin de WebSEAL controlan la asignacin global de los threads de trabajo entre todas las
45
uniones correspondientes a un servidor WebSEAL determinado. Los valores utilizados para estos parmetros se expresan como porcentajes dentro del rango de 0 a 100. v worker-thread-soft-limit Este parmetro est configurado para enviar un aviso antes de que se alcance el lmite fijo. Cuando se sobrepasa el valor de worker-thread-soft-limit, se envan mensajes de aviso (cada 30 segundos) al archivo de registro de errores de WebSEAL. Por ejemplo, cuando worker-threads=50, el valor 60 (%) hace que se emitan mensajes de aviso si la unin consume ms de 30 threads de trabajo. Todas las solicitudes que sobrepasen los 30 threads de trabajo se siguen procesando hasta que se alcanza el lmite fijo. El valor predeterminado es 90 por ciento. v worker-thread-hard-limit Este parmetro determina el punto de interrupcin para dar servicio a solicitudes en una unin. Cuando se sobrepasa el valor de worker-thread-hardlimit, se envan mensajes de error (cada 30 segundos) al archivo de registro de errores de WebSEAL. Adems, se enva al usuario un mensaje 503 Servicio no disponible. Por ejemplo, cuando worker-threads=50, el valor 80 (%) hace que se emitan mensajes de error si la unin consume ms de 40 threads de trabajo. Todas las solicitudes que representan ms de 40 threads de trabajo en la unin se devuelven con un mensaje 503 Servicio no disponible. El valor predeterminado 100 (%) indica que no hay lmite. Estos valores globales se aplican por igual a todas las uniones configuradas. Cuando se configuran estos dos parmetros, es lgico que se establezca el lmite dinmico en un valor inferior al lmite fijo.
Asignacin por unin de threads de trabajo para conexiones

Como alternativa, puede limitar el consumo de threads de trabajo en funcin de la asignacin por unin. Las siguientes opciones del comando pdadmin server task create permiten al usuario especificar los lmites de trabajo fijos y dinmicos en una unin especfica: v l valor_porcentual Esta opcin establece un valor (porcentaje) en la unin que define el lmite dinmico para el consumo de threads de trabajo. Como sucede con el valor del lmite dinmico global, esta opcin hace que se emitan mensajes de aviso cuando la unin consume ms threads de trabajo de los permitidos por ese valor. v L valor_porcentual Esta opcin establece un valor (porcentaje) en la unin que define el lmite fijo para el consumo de threads de trabajo. Como sucede con el valor del lmite fsico global, esta opcin hace que se emitan mensajes de aviso cuando la unin intenta consumir ms threads de trabajo de los permitidos por ese valor. Adems, se enva al usuario un mensaje 503 Servicio no disponible. Por ejemplo:
pdadmin> server task webseald-<nombre-servidor> create -t tcp -h <nombre-host> \ -l 60 -L 80 <punto-unin>
46
Los valores por unin siempre prevalecen sobre los valores globales del archivo de configuracin de WebSEAL. Asegrese de que los valores de una unin especfica no afectan negativamente a la poltica establecida por los valores globales.
Notas para la resolucin de problemas

v Puede utilizar el comando pdadmin server task show para ver el nmero de threads de trabajo activas que hay en una unin especfica:
pdadmin> server task webseald-<nombre-servidor> show /<punto-unin>
Esta informacin podra ser til cuando se desea determinar la ubicacin de una unin que absorbe ms recursos de thread de trabajo de los que le corresponden. v Si especifica un valor de lmite dinmico que sea mayor que el valor de lmite fijo en una unin especfica, esta unin no se crear. v Debe especificar los valores del lmite tanto fijo como dinmico (las opciones l y L) en una unin especfica.
47
Soporte para varios entornos locales con UTF-8

Este apartado contiene los temas siguientes: v Conceptos de soporte de varios entornos locales v Configuracin del soporte para varios entornos locales en la pgina 53
Conceptos de soporte de varios entornos locales

Este apartado contiene los temas siguientes: v Manejo de datos de WebSEAL utilizando UTF-8 v Dependencia de UTF-8 en la configuracin de registro de usuarios en la pgina 49 v Problemas de conversin de datos UTF-8 en la pgina 49 v Variables de entorno UTF-8 para programas CGI en la pgina 50 v Impacto de UTF-8 en la autenticacin en la pgina 51 v Los URL slo deben utilizar un tipo de codificacin en la pgina 51 v Soporte para UTF-8 durante la actualizacin de WebSEAL en la pgina 52
Manejo de datos de WebSEAL utilizando UTF-8

WebSEAL versin 5.1 soporta varios entornos locales. Este soporte permite a WebSEAL procesar datos de varios idiomas al mismo tiempo. Para implementar el soporte de varios entornos locales, WebSEAL mantiene y maneja internamente todos los datos utilizando la codificacin UTF-8 (UCS Transformation Format 8 byte). UTF-8 es una pgina de cdigos de varios bytes con anchura variable. Versiones anteriores de WebSEAL proporcionaban soporte limitado para varios entornos locales. Mientras que WebSEAL poda soportar distintos idiomas segn solicitara el navegador (cliente), WebSEAL slo soportaba un idioma cada vez. En la versin 5.1, WebSEAL adopta UTF-8 como pgina de cdigos predeterminada para el manejo de todos los datos internos. Los administradores de WebSEAL pueden configurar el modo en que WebSEAL maneja la entrada y la salida de datos. Un ejemplo de entrada de datos puede ser los caracteres que un navegador enva a WebSEAL, como los inicios de sesin de usuario y los datos de los formularios. Un ejemplo de salida de datos es registrar la informacin que el gestor de registro de eventos de Tivoli Access Manager escribe en el sistema de archivos. El cambio en WebSEAL para utilizar UTF-8 debera ser transparente para los administradores cuyos sistemas no deben proporcionar soporte para varios entornos locales (y varios idiomas). WebSEAL maneja datos internamente en UTF-8 independientemente del entorno local en el que se ejecute el proceso de WebSEAL. Cuando se necesitan datos especficos del entorno local como entrada o salida, el entorno local en el que se ejecuta el proceso de WebSEAL pasa a ser importante. Tenga en cuenta que la mayor parte de los sistemas operativos no utilizan UTF-8 de forma predeterminada. Los administradores que esperen un comportamiento especfico del entorno local debern saber qu entorno local se est utilizando y debern establecer las opciones de configuracin UTF-8 de WebSEAL de modo que coincidan con el comportamiento necesario. El entorno local del sistema est formado por dos partes: el idioma y la pgina de cdigos local. Las pginas de cdigos locales pueden ser UTF-8 o no UTF-8.
48
Histricamente, la mayor parte de los sistemas operativos utilizan una pgina de cdigos local que no es UTF-8. Por ejemplo, una pgina de cdigos local comn para representar el juego de caracteres ASCII de 8 bits para ingls de los Estados Unidos es en_US.ISO88591, que utiliza el juego de caracteres ISO-8859-1. Los administradores que ejecuten sistemas que necesiten procesar solicitudes de cliente y datos de formularios en la pgina de cdigos local debern modificar los valores predeterminados para el soporte para URL (utf8-url-support-enabled) y el soporte para formularios (utf8-forms-support-enabled). De forma predeterminada, WebSEAL utiliza datos nicamente en formato UTF-8. Por ejemplo, la necesidad de cambiar los valores predeterminados concierne a los administradores que ejecutan sistemas que deben procesar solicitudes de cliente y datos de formularios que utilizan pginas de cdigos locales que no son UTF-8, como las que se utilizan para: v Un juego de caracteres Latin de un solo byte, como espaol, francs o alemn. v Un juego de caracteres de mltiples bytes, como japons o chino. Si ejecuta sistemas que deben proporcionar soporte real para varios entornos locales para manejar usuarios y datos en varios idiomas, deber revisar el valor de la pgina de cdigos local y considerar la posibilidad de convertirla a una pgina de cdigos UTF-8. Asimismo, deber revisar los valores UTF-8 de varios entornos locales de WebSEAL predeterminados. Es aconsejable que personalice los valores de configuracin para adaptarlos a su despliegue.
Dependencia de UTF-8 en la configuracin de registro de usuarios

Para un soporte ptimo de varios entornos locales, todos los usuarios deberan almacenarse en un registro de usuarios comn, independientemente del idioma preferido por los usuarios. La mayor parte de los registros de usuario soportan UTF-8 de forma predeterminada. Algunos registros de usuarios LDAP, y las bases de datos de soporte, pueden configurarse opcionalmente de modo que no soporten UTF-8. Asegrese de que la base de datos y el registro de usuarios LDAP utilizados con Tivoli Access Manager utilizan UTF-8. De forma predeterminada, IBM Directory Services est configurado para utilizar UTF-8.
Problemas de conversin de datos UTF-8

WebSEAL puede desplegarse en entornos en los que la pgina de cdigos local utiliza UTF-8. De forma parecida, WebSEAL tambin puede desplegarse en entornos en los que la pgina de cdigos local no utiliza UTF-8. Para poder utilizar la versin 5.1 de WebSEAL con entornos de sistemas operativos que utilizan pginas de cdigos que no son UTF-8, WebSEAL debe convertir los datos en la entrada y la salida de datos. Cuando WebSEAL lee datos de entrada, debe convertir los datos de no UTF-8 a UTF-8. Cuando WebSEAL escribe datos de salida, debe convertir los datos de UTF-8 a no UTF-8. Si es necesario realizar la conversin a una pgina de cdigos local, no se perdern datos cuando se ejecute en un entorno local UTF-8. La conversin de un entorno local UTF-8 a un entorno local que no sea UTF-8 (pgina de cdigos local) puede, en algunos casos, dar lugar a la prdida de datos. La conversin de datos de un entorno local UTF-8 a uno que no sea UTF-8 puede dar lugar a la prdida de datos. Por ejemplo, si WebSEAL se ejecuta en un entorno
49
en_US.ISO8859, y es necesario convertir el nombre de un usuario japons a la pgina de cdigos local, el resultado es una cadena formada por signos de interrogacin (????). Esto es as porque no hay ninguna forma de representar caracteres del alfabeto japons en ISO-8859-1. Por este motivo, es recomendable que WebSEAL se ejecute utilizando UTF-8. Existe un riesgo de prdida de datos cuando se ejecutan comandos administrativos (pdadmin) desde un entorno que no sea UTF-8. Antes de la versin 5.1, WebSEAL siempre se ejecutaba en el mismo entorno local que la utilidad pdadmin. Con el soporte para varios entornos locales, WebSEAL ahora puede ejecutarse en un entorno local distinto. WebSEAL debe devolver mensajes al administrador en el idioma seleccionado por ste. Para hacerlo, WebSEAL obtiene mensajes del paquete de idioma apropiado, segn determina el entorno local presentado por pdadmin. Todos los mensajes se transmiten en UTF-8, pero pdadmin convierte dichos mensajes en una pgina de cdigos local antes de mostrarlos. Cuando la pgina de cdigos local no es UTF-8, es posible que se produzca una prdida de datos. Cuando pdadmin se ejecuta en un entorno UTF-8, no se producir ninguna prdida de datos. WebSEAL genera datos de registro y de auditora utilizando UTF-8. Para evitar una posible prdida de datos, es recomendable utilizar UTF-8 para escribir datos en los archivos de registro y de auditora apropiados. Cuando la pgina de cdigos local no es UTF-8, los datos deben convertirse a un formato que no sea UTF-8 antes de poder escribirlos. En este caso, existe la posibilidad de que se pierdan datos. Todos los archivos de auditora que genera WebSEAL estn escritos en el idioma especificado por el entorno local en el que se ejecuta el servidor. La pgina de cdigos que se utiliza para escribir los mensajes puede configurarse en el archivo de rutas de WebSEAL. En sistemas UNIX, por ejemplo, el archivo es /opt/pdweb/etc/routing.
Variables de entorno UTF-8 para programas CGI

Los scripts CGI utilizan variables de entorno que se utilizan para establecer comunicacin con WebSEAL y las variables de entorno deben estar en la pgina de cdigos local. Los scripts CGI heredados esperan cadenas de la pgina de cdigos local (binaria) puras. Para permitir que los scripts CGI comprendan los valores de las variables de entorno que pueden estar formados por datos UTF-8, WebSEAL proporciona variables de entorno adicionales. Estas variables tienen los mismos nombres que las variables CGI actuales, pero presentan los caracteres _UTF8 al final del nombre. Los valores de estas variables son cadenas UTF-8 codificadas URI (indicador de recursos uniforme). La codificacin URI se utiliza para evitar la prdida de datos en plataformas que esperan variables de entorno en la pgina de cdigos local en los procesos que se generan. Las variables son: v REMOTE_USER_UTF8 v v v v IV_USER_UTF8 HTTP_IV_USER_UTF8 IV_GROUPS_UTF8 HTTP_IV_GROUPS_UTF8
Los nuevos programas CGI deberan utilizar estas variables porque sus valores contienen datos UTF-8. WebSEAL almacena los datos para estas variables
50
internamente en formato UTF-8. Los datos deben convertirse a la pgina de cdigos local para que los programas CGI puedan utilizarlos. Cuando se utilizan variables CGI antiguas (por ejemplo, REMOTE_USER) y la pgina de cdigos local no est codificada en formato UTF-8, la conversin de los datos UTF-8 en la pgina de cdigos local puede, en algunos casos, dar lugar a que se daen los datos.
Impacto de UTF-8 en la autenticacin

El uso de UTF-8 para el manejo interno de datos tiene los impactos siguientes en el proceso de WebSEAL de las solicitudes de autenticacin: v No se da soporte a los inicios de sesin UTF-8 a travs de autenticacin bsica No es posible utilizar inicios de sesin UTF-8 con autenticacin bsica (BA). Esto se explica porque los navegadores transmiten datos de forma no coherente. En releases anteriores, WebSEAL no soportaba inicios de sesin BA de mltiples bytes debido a la falta de coherencia de los navegadores. Esto no ha cambiado para la versin 5.1. WebSEAL consume cadenas de inicio de sesin BA que espera que correspondan a la pgina de cdigos local. WebSEAL soporta pginas de cdigos Latin de un nico byte y ASCII de 7 bits. Por consiguiente, un servidor que, por ejemplo, desee permitir a los usuarios franceses utilizar inicios de sesin BA, deber ejecutarse en un entorno local Latin. WebSEAL consume la cadena de inicio de sesin BA y la convierte internamente en UTF-8. No obstante, si el usuario francs tiene una pgina de cdigos UTF-8, el inicio de sesin BA no estar disponible, porque la cadena de inicio de sesin ser de mltiples bytes. v Inicio de sesin de formularios En versiones anteriores, WebSEAL siempre consuma los datos de inicio de sesin de formularios con la funcin auto. Esto significaba que WebSEAL examinaba los datos de inicio de sesin para ver si tenan formato UTF-8. Si los datos no eran en formato UTF-8, los datos se procesaban como pgina de cdigos local. En la versin 5.1, este valor puede configurarse, como se describe en el apartado Soporte UTF-8 para formularios en la pgina 54. v Autenticacin de inicio de sesin nico entre dominios, de inicio de sesin nico en e-community y de migracin tras error Cada uno de estos mtodos de autenticacin utiliza seales codificadas. La codificacin de estas seales debe configurarse de tal modo que utilice o bien codificacin UTF-8 o bien codificacin que no sea UTF-8. Para obtener ms informacin, consulte el apartado Configuracin del soporte para varios entornos locales en la pgina 53. v Biblioteca compartida de conversin Para mantener la compatibilidad con versiones anteriores con las bibliotecas de autenticacin personalizadas, tales como CDAS, que esperan datos en formato que no sea UTF-8, WebSEAL proporciona una biblioteca compartida de conversin que se utiliza durante el proceso de autenticacin. Esta biblioteca convierte automticamente los datos entre formato que no sea UTF-8 y formato UTF-8. Para poder utilizar esta biblioteca, es preciso llevar a cabo un paso de configuracin especfico. Para obtener ms informacin, consulte la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference.
Los URL slo deben utilizar un tipo de codificacin

WebSEAL requiere que los URL que se presenten para proceso contengan solamente un nico tipo de codificacin de caracteres como UTF-8 o ShiftJIS. Si los URL contienen varios tipos de codificacin de caracteres, WebSEAL no puede garantizar la precisin de los datos en la solicitud, ya que el valor descodificado de los caracteres UTF-8 es posible que no coincida con el valor descodificado de los
51
mismos caracteres en la pgina de cdigos local. Esta posible imprecisin de los datos podra dar lugar a que WebSEAL otorgara errneamente a usuarios no autorizados el acceso a objetos protegidos. Cuando WebSEAL detecta un URL con varios tipos de codificacin de caracteres, el URL se devuelve como solicitud incorrecta.
Soporte para UTF-8 durante la actualizacin de WebSEAL

Realizar la actualizacin de WebSEAL desde una versin anterior (versin anterior a la 5.1) da lugar a la configuracin siguiente: v El valor de la opcin de configuracin existente utf8url-support-enabled se mantiene. v La nueva opcin de configuracin utf8form-support-enabled se establece en auto. Este valor mantiene el comportamiento de los servidores WebSEAL existentes.
[server] utf8-form-support-enabled = auto
v Todas las uniones WebSEAL existentes se migran con la opcin siguiente:

-e lcp_bin
Utilizar este valor permite que los entornos y las aplicaciones existentes funcionen sin cambios. Tenga en cuenta que ste no es el valor de configuracin predeterminado de la versin 5.1 de WebSEAL.
52
Configuracin del soporte para varios entornos locales

A continuacin se indican los temas sobre configuracin para el soporte para varios entornos locales: v Soporte UTF-8 para localizadores uniformes de recursos v Soporte UTF-8 para formularios en la pgina 54 v Soporte UTF-8 en cadenas de consulta en la pgina 55 v Codificacin UTF-8 de seales para el inicio de sesin nico entre dominios en la pgina 56 v Codificacin UTF-8 de seales para el inicio de sesin nico de e-community en la pgina 56 v Codificacin UTF-8 de cookies para la autenticacin de la migracin tras error en la pgina 57 v Codificacin UTF-8 en solicitudes de unin en la pgina 57
Soporte UTF-8 para localizadores uniformes de recursos

Los navegadores presentan una limitacin en cuanto al juego de caracteres definido que puede utilizarse en un localizador uniforme de recursos (URL). Este rango est definido como los caracteres imprimibles del juego de caracteres ASCII (entre los cdigos hexadecimales 0x20 y 0x7e). Para idiomas distintos del ingls y otras finalidades, los caracteres situados fuera del juego de caracteres ASCII imprimible suelen ser necesarios en las direcciones URL. Estos caracteres pueden codificarse utilizando caracteres imprimibles para su transmisin e interpretacin. Hay varios mtodos distintos de codificacin para transmitir caracteres fuera del rango ASCII imprimible. WebSEAL, al actuar como proxy de web, debe ser capaz de gestionar todos estos casos. El soporte para el entorno local UTF-8 se ocupa de ello. La forma en que WebSEAL procesa los URL de los navegadores puede especificarse en el archivo de configuracin de WebSEAL:
[server] utf8-url-support-enabled = {yes|no|auto}
Los tres valores posibles son: v yes En esta modalidad, WebSEAL slo reconoce datos UTF-8 codificados de URI en cadenas de URL y los datos se utilizan sin modificacin. A continuacin, estos caracteres UTF-8 se validan y se tienen en cuenta a la hora de determinar los derechos de acceso a la direccin URL. WebSEAL soporta, en los URL, tanto cadenas UTF-8 sin formato como cadenas UTF-8 codificadas de URI. En esta modalidad, no se aceptan las otras tcnicas de codificacin. ste es el valor predeterminado y el recomendado. Los servidores que se ejecutan en un entorno local ingls ASCII de 7 bits deberan utilizar este valor. v no En esta modalidad, WebSEAL no reconoce los datos con formato UTF-8 en cadenas de URL. Se utiliza solamente para la pgina de cdigos local. Si la cadena puede validarse, se convierte a UTF-8 para uso interno. Los servidores que no necesitan procesar entrada de datos de mltiples bytes y que se ejecutan en un entorno local Latin de un solo byte, como alemn, espaol o francs, deberan utilizar este valor.
53
Este valor debe utilizarse al dar soporte a las aplicaciones existentes y los servidores web no funcionan correctamente con WebSEAL si el soporte para UTF-8 est habilitado. Es posible que estas aplicaciones utilicen DBCS (como Shift-JIS) u otros mecanismos de codificacin en el URL. Nota: Si establece este valor en no, asegrese de que ninguno de los servidores con unin acepta direcciones URL con formato UTF-8. Desde la perspectiva de la seguridad, es importante que WebSEAL interprete las direcciones URL de la misma manera que los servidores con unin. v auto WebSEAL intenta distinguir entre UTF-8 y otros formatos de codificacin de caracteres de idioma. WebSEAL procesa correctamente cualquier codificacin UTF-8 construida correctamente. Si no parece tratarse de la codificacin UTF-8, la codificacin se procesa como DBCS o Unicode. Si un URL presenta Unicode en el formato %uHHHH, WebSEAL lo convierte a UTF-8. El resto de la codificacin procede como si el valor de configuracin fuera yes. Si la opcin double-byte-encoding de la stanza [server] est establecida en yes, WebSEAL convierte %HH%HH en UTF-8. Los servidores que se ejecutan en un entorno local Latin de un solo byte que deban procesar cadenas de mltiples bytes deberan utilizar el valor auto. Los servidores que se ejecutan en un entorno local de mltiples bytes pero que slo necesitan soporte para un idioma (por ejemplo, japons) pueden utilizar el valor auto. Una estrategia de despliegue recomendada puede ser la siguiente: 1. A menos que se necesite con fin al contenido, comprobar y establecer inmediatamente la poltica de ACL default-webseal en los despliegues de produccin existentes NO permite el acceso r no autenticado. Este hecho limita la exposicin de seguridad a los usuarios que tienen una cuenta vlida en el dominio de Tivoli Access Manager. 2. Asegrese de que el parmetro utf8-url-support-enabled est establecido en el valor predeterminado yes. 3. Pruebe las aplicaciones. Si funcionan correctamente, utilice este valor. 4. Si alguna de las aplicaciones falla con errores que indican Solicitud incorrecta, vuelva a intentar la aplicacin con el parmetro utf8-url-support-enabled establecido en no. Si funciona, puede realizar el despliegue con este valor. Asegrese, no obstante, de que no hay ningn servidor web con unin que est configurado para aceptar direcciones URL con codificacin UTF-8. 5. Si la aplicacin sigue presentando problemas, intente establecer el parmetro utf8-url-support-enabled en el valor auto.
Soporte UTF-8 para formularios

La forma en que WebSEAL procesa datos de los formularios (por ejemplo, un formulario de inicio de sesin) puede especificarse en el archivo de configuracin de WebSEAL:
[server] utf8-form-support-enabled = {yes|no|auto}
Los formularios que proporcionan datos al servidor son formularios que forman parte de WebSEAL, como formularios de inicio de sesin. Estos formularios declaran que el juego de caracteres es UTF-8. Por consiguiente, el valor predeterminado es yes. Si un administrador edita estos formularios y cambia el juego de caracteres por un valor que no sea UTF-8, como una pgina de cdigos local, este valor de configuracin debe cambiarse. Si algunos formularios utilizan
54
UTF-8 y algunos utilizan una pgina de cdigos local, utilice el valor auto. Si se modifican todos los formularios para que utilicen un valor que no sea UTF-8, utilice el valor no. Los tres valores posibles son: v yes WebSEAL slo reconoce la codificacin UTF-8 en formularios y los datos se utilizan sin modificaciones. A continuacin, estos caracteres UTF-8 se validan y se tienen en cuenta cuando se procesan los datos. No se aceptan otras tcnicas de codificacin. Cuando el parmetro double-byte-encoding est establecido en yes, se da soporte a Unicode con formato %HH%HH. Cuando se detecta un carcter Unicode de doble byte, toda la cadena debe codificarse en doble byte. ste es el valor predeterminado y el recomendado. v no WebSEAL no reconoce la codificacin UTF-8 en los formularios. Se utiliza solamente para la pgina de cdigos local. Si los datos del formulario pueden validarse, se convierten en UTF-8 para uso interno. v auto WebSEAL intenta distinguir entre UTF-8 y otros formatos de codificacin de caracteres de idioma. WebSEAL procesa correctamente cualquier entrada UTF-8 construida correctamente. Si no parece tratarse de la codificacin UTF-8, la codificacin se procesa como no UTF-8.
Soporte UTF-8 en cadenas de consulta

La forma en que WebSEAL procesa datos de las cadenas de consulta puede especificarse en el archivo de configuracin de WebSEAL:
[server] utf8-qstring-support-enabled = {yes|no|enabled}
El valor predeterminado es no. Por consiguiente, el comportamiento predeterminado de WebSEAL es asumir que todas las cadenas de consulta presentan la pgina de cdigos local. Los tres valores posibles son: v yes WebSEAL slo reconoce la codificacin UTF-8 en cadenas de consulta y los datos se utilizan sin modificaciones. A continuacin, estos caracteres UTF-8 se validan y se tienen en cuenta cuando se procesan los datos. No se aceptan otras tcnicas de codificacin. Utilice este valor si el servidor WebSEAL debe procesar cadenas de consulta que utilizan UTF-8. Los servidores que operan en un entorno local Latin de un solo byte, como alemn, espaol o francs, y procesan consultas de una aplicacin que utiliza UTF-8, deben utilizar este valor. Los servidores que operan en un entorno local de mltiples bytes y que slo procesan cadenas de consulta UTF-8, pueden utilizar este valor. v no WebSEAL no reconoce la codificacin UTF-8 en la cadena de consulta. Se utiliza solamente para la pgina de cdigos local. Si los datos del formulario pueden validarse, se convierten en UTF-8 para uso interno. ste es el valor predeterminado y el recomendado.
55
Los servidores que operan en un entorno local ingls ASCII de 7 bits pueden utilizar este valor. v auto WebSEAL intenta distinguir entre UTF-8 y otros formatos de codificacin de caracteres lingsticos (DBCS y Unicode). WebSEAL procesa correctamente cualquier codificacin UTF-8 construida correctamente. Si no parece tratarse de la codificacin UTF-8, la codificacin se procesa como DBCS o Unicode. Los servidores que operan en un entorno local de mltiples bytes y que procesan una combinacin de cadenas de consulta UTF-8 y no UTF-8 pueden utilizar este valor. Los servidores que operan en un entorno local Latin de un solo byte, como alemn, espaol o francs, y procesan una combinacin de cadenas de consulta UTF-8 y no UTF-8 pueden utilizar este valor.
Codificacin UTF-8 de seales para el inicio de sesin nico entre dominios

El uso de la codificacin UTF-8 para cadenas en las seales que se utilizan para el inicio de sesin nico entre dominios se especifica en el archivo de configuracin de WebSEAL.
[cdsso] use-utf8 = {true|false}
El valor predeterminado es true. Cuando el parmetro use-utf8 est establecido en false, las cadenas se codifican utilizando la pgina de cdigos local. Utilice este valor si implementa el inicio de sesin nico entre dominios con servidores WebSEAL antiguos (anteriores a la versin 5.1). Los servidores WebSEAL de versiones anteriores a la 5.1 no utilizan la codificacin UTF-8 para seales. Cuando realice el despliegue en un entorno que incluye estos servidores ms antiguos, configure el servidor WebSEAL de la versin 5.1 de modo que no utilice codificacin UTF-8. Este valor es necesario para la compatibilidad con versiones anteriores. Nota: Debe tener en cuenta que, cuando este valor est establecido en false, puede producirse una prdida de datos durante la conversin de UTF-8 a una pgina de cdigos local que no sea UTF-8.
Codificacin UTF-8 de seales para el inicio de sesin nico de e-community

El uso de la codificacin UTF-8 para cadenas en las seales que se utilizan para el inicio de sesin nico en e-community se especifica en el archivo de configuracin de WebSEAL.
[e-community-sso] use-utf8 = {yes|no}
El valor predeterminado es yes. Cuando el parmetro use-utf8 est establecido en no, las cadenas se codifican utilizando la pgina de cdigos local. Utilice este valor si implementa el inicio de sesin nico en e-community con servidores WebSEAL ms antiguos (anteriores a la versin 5.1). Los servidores WebSEAL de versiones anteriores a la 5.1 no utilizan la codificacin UTF-8 para seales. Cuando realice el despliegue en un entorno que incluye estos servidores ms antiguos, configure el servidor WebSEAL de la versin 5.1 de modo que no utilice codificacin UTF-8. Este valor es necesario para la compatibilidad con versiones anteriores.
56
Nota: Debe tener en cuenta que, cuando este valor est establecido en no, puede producirse una prdida de datos durante la conversin de UTF-8 a una pgina de cdigos local que no sea UTF-8.
Codificacin UTF-8 de cookies para la autenticacin de la migracin tras error

El uso de la codificacin UTF-8 para cadenas en las seales que se utilizan en las cookies de autenticacin de migracin tras error se especifica en el archivo de configuracin de WebSEAL.
[failover] use-utf8 = {yes|no}
El valor predeterminado es yes. Cuando el parmetro use-utf8 est establecido en no, las cookies de autenticacin de migracin tras error se codifican utilizando la pgina de cdigos local. Utilice este valor si implementa la autenticacin de migracin tras error con servidores WebSEAL de versiones ms antiguas (anteriores a la versin 5.1). Los servidores WebSEAL de versiones anteriores a la 5.1 no utilizan la codificacin UTF-8 para las cookies de autenticacin de migracin tras error. Cuando realice el despliegue en un entorno que incluye estos servidores ms antiguos, configure el servidor WebSEAL de la versin 5.1 de modo que no utilice codificacin UTF-8. Este valor es necesario para la compatibilidad con versiones anteriores. Nota: Debe tener en cuenta que, cuando este valor est establecido en no, puede producirse una prdida de datos durante la conversin de UTF-8 a una pgina de cdigos local que no sea UTF-8.
Codificacin UTF-8 en solicitudes de unin

WebSEAL inserta informacin en las cabeceras HTTP para solicitudes para el servidor de fondo. Esta informacin puede incluir atributos ampliados o datos de usuario. En WebSEAL de versiones anteriores a la 5.1, para agregar cabeceras a la solicitud se utilizaba la pgina de cdigos local sin formato. En la versin 5.1, los datos de la cabecera se transmiten en un formato que puede configurarse. De forma predeterminada, WebSEAL ahora agrega informacin a las cabeceras HTTP utilizando una pgina de cdigos UTF-8. De este modo se evitan posibles prdidas de datos que podran producirse cuando se realiza la conversin a una pgina de cdigos que no sea UTF-8. Asimismo, de forma predeterminada, estos datos se envan con codificacin URI. Para compatibilidad con versiones anteriores, el formato de los datos de la cabecera puede configurarse en una pgina de cdigos local sin formato. Adems, se da soporte a dos formatos ms: UTF-8 sin codificar y pgina de cdigos local codificada en URI. La opcin -e para crear uniones especifica la codificacin del nombre de usuario, de grupos y de otros atributos ampliados que se envan en la cabecera HTTP al servidor de fondo. La opcin de codificacin puede tomar uno de los argumentos siguientes:
57
Argumento utf8_uri
Descripcin Datos UTF-8 con codificacin URI Todos los espacios en blanco y los bytes que no son ASCII se codifican %XY, siendo X e Y valores hexadecimales (0F).
utf8_bin
Datos UTF-8 sin codificar Este valor permite transmitir datos sin que se produzca prdida de datos, y el cliente no debe descodificar los datos URI. Este valor debe utilizarse con precaucin, ya que no forma parte de la especificacin HTTP.
lcp_uri
Datos de pgina local con codificacin URI Todos los caracteres UTF-8 que no puedan convertirse en una pgina de cdigos local se convertirn en signos de interrogacin (?). Esta opcin debe utilizarse con precaucin y slo en entornos en los que la pgina de cdigos local produce las cadenas deseadas.
lcp_bin
Datos de pgina de cdigos local sin codificar Esta modalidad la utilizaban las versiones de WebSEAL anteriores a la 5.1. El uso de esta modalidad permite migrar desde versiones anteriores y se utiliza en entornos de actualizacin. Debe tener en cuenta que con esta modalidad puede producirse una prdida de datos. Por consiguiente, debe utilizarse con precaucin.
58
Mensajes de varios entornos locales

Se pueden obtener respuestas de servidor WebSEAL estndar a los navegadores de cliente, como mensajes de error, pginas de inicio y fin de sesin HTML personalizadas y mensajes de servicios en el idioma preferido por el cliente. WebSEAL da soporte a la posibilidad de varios idiomas mediante el uso de valores contenidos en la cabecera HTTP accept-language para determinar el idioma correcto para los mensajes generados por el servidor y las pginas HTML. Hay disponible informacin traducida para los siguientes recursos de servidor: v HTTP, mensajes de error
ruta_acceso_instalacin/www/lib/errors/directorio_entorno_local
v Pginas personalizadas de gestin de cuentas

ruta_acceso_instalacin/www/lib/html/directorio_entorno_local
v Mensajes de servicios Los navegadores adoptan un conjunto estndar de valores de idiomas. Los valores de idiomas bsicos se representan mediante dos caracteres que indican el idioma. Los valores especficos de la ubicacin se expresan en un formato de dos partes, que indica el idioma y el pas en que se utiliza esta versin del idioma. Algunos ejemplos son: v es (Espaol) v de (Alemn) v en (Ingls) v it (Italiano) v v v v v en-US (Ingls/Estados Unidos) en-GR (Ingls/Reino Unido) es-ES (Espaol/Espaa) es-MX (Espaol/Mxico) pt-BR (Portugus/Brasil)
La cabecera accept-language puede incluir ms de un idioma. Cada idioma adicional se separa con una coma. Por ejemplo:
accept-language: es-mx,es,en
El orden en que aparecen los valores en la cabecera determina la jerarqua de importancia. WebSEAL comprueba el primer valor de la lista para un paquete de idioma instalado existente. Si no hay instalado ningn paquete de idioma para este idioma, WebSEAL comprueba si hay un paquete asociado para el siguiente idioma de la lista. Nota: La cabecera accept-language puede utilizar un parmetro q=x.x para expresar un nivel de preferencia para un idioma. Este parmetro no lo reconoce WebSEAL. El orden de la lista de idiomas de la cabecera determina el orden de prioridad de WebSEAL. Hay disponibles varios paquetes de idiomas para los mensajes del servidor WebSEAL para su instalacin. Cada instalacin de paquete de idioma crea un subdirectorio especfico del idioma dentro de la ruta de acceso para cada ubicacin de almacenamiento de mensajes. Por ejemplo, un paquete de idioma espaol crea el siguiente subdirectorio para la ubicacin de almacenamiento de mensajes de error del servidor:
59
ruta_acceso_instalacin/www/lib/errors/es
En la tabla siguiente se listan los idiomas a los que da soporte WebSEAL, con el nombre de subdirectorio asociado:
Idioma Ingls (predeterminado) Checo Alemn Espaol Francs Hngaro Italiano Japons Coreano Polaco Portugus, Brasil Ruso Chino, China Chino, Taiwn Directorio del sistema C cs de es fr hu it ja ko pl pt_BR ru zh_CN zh_TW
El siguiente flujo de proceso de ejemplos muestra cmo WebSEAL evala la cabecera accept-language: 1. La cabecera accept-language contiene pt-br como primer valor de la lista. 2. El idioma pt-br se convierte a pt_BR, que representa el subdirectorio de idioma de WebSEAL para este idioma. 3. Si este subdirectorio no existe para el mensaje requerido (por ejemplo, no hay ningn paquete de idioma instalado para este idioma), WebSEAL busca un directorio pt. 4. Si no hay ningn directorio pt, WebSEAL intenta encontrar subdirectorios de mensajes para el siguiente idioma listado en la cabecera. 5. Si no hay ningn paquete de idioma instalado para los mensajes que se listan en la cabecera, WebSEAL adopta de forma predeterminada el entorno de idioma en el cual se est ejecutando WebSEAL, determinado en las variables de entorno LC_ALL o LANG establecidas en el sistema operativo. Condiciones que afectan al soporte para varios idiomas en WebSEAL: v El soporte para varios idiomas est habilitado en todo momento en el servidor WebSEAL. v La instalacin de paquetes de idioma especficos determina los idiomas que tienen soporte. v WebSEAL siempre devuelve el juego de caracteres UTF-8 al usuario, independientemente de lo que el valor de la cabecera HTTP accept-charset solicite. v Si WebSEAL accede a un directorio de un idioma en busca de un mensaje traducido y el directorio est vaco (por ejemplo, el administrador ha eliminado el contenido), se devuelve una pgina de error de servidor.
60
Manejo de la codificacin de caracteres no vlidos en cadenas de consultas URL

Problema: Es posible que una cadena de consulta de un URL contenga una codificacin de caracteres que no sea aceptable para WebSEAL y, por consiguiente, que WebSEAL la rechace. Por ejemplo, WebSEAL rechazar una cadena de consulta que contenga codificacin binaria. El problema de la codificacin de caracteres que no son vlidos se debe a los requisitos especficos de la aplicacin del servidor de fondo. En un escenario tpico, el cliente realiza una solicitud a esta aplicacin de fondo. La solicitud incluye una cadena de consulta, que necesita la aplicacin de fondo, pero contiene una codificacin de caracteres desconocida para WebSEAL. WebSEAL devuelve un error que indica Solicitud incorrecta (400). El registro de errores contiene un mensaje de este tipo: El URL contiene un carcter que no es vlido. Solucin: La solucin al problema de codificacin de un carcter que no es vlido consiste en configurar WebSEAL para que omita por completo la cadena de consulta. A continuacin, el componente de cadena de consulta del URL puede pasarse sin cambios a la aplicacin de fondo. No obstante, si se configura WebSEAL para que omita el componente de cadena de consulta, deber inhabilitarse la correlacin de URL dinmica para la verificacin de la autorizacin. Si el entorno de WebSEAL acepta esta situacin, realice los dos cambios que se indican a continuacin en el archivo de configuracin de WebSEAL: 1. Inhabilite el parmetro dynurl-map con un carcter de comentario:
[server] #dynurl-map = bin/dynurl.conf
2. Agregue manualmente el parmetro decode-query y establzcalo en el valor no:

[server] decode-query = no
El comportamiento predeterminado cuando el parmetro decode-query no est definido es el siguiente:

decode-query = yes
Si inhabilita el parmetro dynurl-map y no agrega el parmetro decode-query, el proceso de WebSEAL no se iniciar.
61
Prevencin de la vulnerabilidad causada por scripts entre sitios

El script entre sitios hace referencia a una tcnica utilizada para causar la vulnerabilidad de servidores web al incorporar cdigo malicioso en las direcciones URL de las solicitudes web. WebSEAL proporciona cierta proteccin incorporada para este tipo de vulnerabilidad y permite refinar ms la proteccin configurando el filtrado de cadenas de direcciones URL. Nota: El trmino script entre sitios, aunque aceptado por el sector, no describe por completo el rango de asuntos que implican la insercin de cdigo malicioso.
Contexto
El script entre sitios es un tipo especfico de vulnerabilidad de los servidores web que se produce cuando una solicitud de direccin URL del cliente incluye un script malicioso incorporado. Por ejemplo (Javascript):
<script>cdigo_malicioso</script>
Otros indicadores de script que pueden utilizarse para crear vulnerabilidad son <OBJECT>, <APPLET> y <EMBED>. Cuando un usuario hace clic en un vnculo que contiene el cdigo malicioso (o entra directamente en una direccin URL de este tipo), el script se ejecuta cuando el navegador del usuario lee el HTML. Por ejemplo, puede producirse un ataque cuando un usuario hace clic en un vnculo que contiene la direccin URL siguiente:
https://<host-webseal>/<script>cdigo_malicioso</script>
En este ejemplo, el objeto no se encuentra y WebSEAL responde devolviendo una pgina de error 404 Pgina no encontrada de HTML. Esta pgina de error incluye la direccin URL que contiene el Javascript malicioso. El navegador interpreta la direccin URL y ejecuta el script. Consulte la siguiente lista de advertencias del CERT para obtener informacin completa acerca de la mecnica de los scripts entre sitios y tomar medidas preventivas de carcter general: http://www.cert.org/advisories/CA-2000-02.html
Configuracin del filtrado de cadenas de direcciones URL

El programa de los scripts entre sitios y del cdigo malicioso incorporado en general se gestiona de dos maneras. WebSEAL codifica los corchetes angulares (< >) en las direcciones URL redireccionadas. La codificacin puede ayudar a prevenir que el navegador realice una interpretacin normal de los scripts. Puede definir patrones de cadena que no sean vlidos agregando entradas a la stanza [illegal-url-substrings] del archivo de configuracin de WebSEAL. Por ejemplo:
[illegal-url-substrings] substring = <script substring = <applet substring = <embed
62
Si WebSEAL detecta cualquier fragmento de cadena configurado en la direccin URL solicitada, la direccin URL no se considera vlida y no se acepta. WebSEAL devuelve una pgina de error 400 Solicitud incorrecta. Este flexible mecanismo permite gestionar futuros esquemas de ataque al agregar valores adicionales de subcadenas. WebSEAL filtra, de forma predeterminada, las cadenas que contienen <script. No es necesario que se agregue manualmente la stanza [illegal-url-substrings] para filtrar esta cadena en particular. No obstante, cuando se requiere un filtrado adicional, debe crear la stanza y listar individualmente todas las subcadenas, como en el ejemplo anterior. Para inhabilitar por completo la caracterstica de filtrado de cadenas de direcciones URL (incluido el comportamiento predeterminado), ponga una stanza [illegal-url-substrings] vaca en el archivo de configuracin de WebSEAL. Notas funcionales: v Las entradas de subcadena del archivo de configuracin deben ser ASCII. En las direcciones URL pueden utilizarse caracteres de mltiples bytes, pero las entradas del archivo de configuracin deben ser ASCII. v Las subcadenas se localizan mediante una bsqueda no sensible a maysculas y minsculas v El filtrado de subcadenas acomoda caracteres de mltiples bytes v El mecanismo protege a los servidores con unin
63
Servidores WebSEAL frontales replicados

Nota: La informacin siguiente sustituye al comando pdadmin server modify baseurl que se utilizaba en versiones anteriores de Tivoli Access Manager. En un entorno con una gran carga, la rplica de servidores WebSEAL frontales resulta til para proporcionar un mejor equilibrio de carga y la posibilidad de migracin tras error. Al replicar servidores WebSEAL frontales, cada servidor debe contener una copia exacta del espacio web, la base de datos de uniones y la base de datos dynurl. Esta versin de Tivoli Access Manager da soporte a un procedimiento de configuracin manual para replicar servidores WebSEAL frontales. El comando pdadmin ya no se utiliza para esta tarea. En el siguiente ejemplo, WS1 es el nombre de host del servidor WebSEAL principal. WS2 es el nombre de host del servidor WebSEAL replicado. 1. Instale y configure WebSEAL en los servidores WS1 y WS2. 2. Mediante el comando pdadmin, cree un nuevo objeto como raz del espacio de autorizacin para ambos servidores WebSEAL. Por ejemplo:
pdadmin> object create /WebSEAL/newroot
3. Detenga WebSEAL en WS1. 4. En WS1, cambie el valor WS1 del parmetro server-name del archivo de configuracin de WebSEAL por newroot:
[server] server-name = newroot
5. Reinicie WebSEAL en WS1. 6. Repita los pasos 3-5 para WS2. Los servidores WS1 y WS2 ahora utilizan el objeto /WebSEAL/newroot como base en las evaluaciones de autorizacin. Los servidores WS1 o WS2 pueden responder a los comandos object list y object show para los objetos que residen en /WebSEAL/newroot. Utilice el siguiente procedimiento para desconfigurar WS1 o WS2: 1. Detenga el servidor WebSEAL. 2. Cambie el parmetro server-name de nuevo a su valor original. Por ejemplo, para WS1:
[server] server-name = WS1
3. Contine con los procedimientos normales de desconfiguracin. Condiciones: v Gestin del espacio de objetos unificado: Aunque el administrador puede ver una nica jerarqua de objetos, todos los servidores WebSEAL estn afectados por los comandos de gestin aplicados a esa jerarqua de objetos, y todos los servidores pueden responder a esos comandos. v Evaluaciones de autorizacin unificada: Tanto WS1 como WS2 utilizan /WebSEAL/newroot como base en las evaluaciones de autorizacin. v Configuracin unificada: Para que la rplica de servidores WebSEAL frontales funcione correctamente, la configuracin del espacio web, la base de datos de uniones y la base de datos dynurl debe ser idntica en cada servidor.
64
Platform for Privacy Preferences (P3P)

Este apartado contiene los temas siguientes: v Visin general de las polticas compactas v Declaracin de poltica compacta en la pgina 66 v Conservacin de la cabecera de unin en la pgina 67 v Poltica compacta predeterminada de la cabecera P3P en la pgina 67 v Configuracin de la cabecera P3P en la pgina 68 v Especificacin de una poltica compacta P3P personalizada en la pgina 74 v Resolucin de problemas en la pgina 75
Visin general de las polticas compactas

WebSEAL soporta la especificacin Platform for Privacy Preferences (P3P) 1.0. P3P es un estndar para la declaracin de polticas de privacidad en un formato que puede leer el sistema. El estndar permite a los agentes de los usuarios tomar decisiones de parte del usuario en relacin con el acceso a determinados URI o la aceptacin de determinados cookies en funcin de la poltica presentada por el sitio web. Si no existe ninguna poltica, la decisin puede tomarse en base a un conjunto de supuestos sobre la poltica del sitio. Los navegadores comerciales soportan P3P, especialmente como parte de un proceso de decisin para aceptar o rechazar cookies. Microsoft Internet Explorer 6 tiene habilitado, de forma predeterminada, el filtrado de cookies basados en P3P. Los navegadores basados en Mozilla proporcionan filtrado de cookies P3P opcional. WebSEAL proporciona soporte para P3P para garantizar que dichos navegadores aceptan las cookies de sesin de WebSEAL. La especificacin P3P describe una poltica compacta y una poltica completa. Una poltica compacta es un subconjunto de una poltica completa. WebSEAL proporciona una poltica compacta predeterminada as como valores de configuracin para permitir la personalizacin de la poltica compacta. WebSEAL no proporciona ninguna poltica completa. Las polticas completas son especficas del entorno de seguridad, de la aplicacin o del proveedor en el que se despliega WebSEAL. La implementacin de una poltica completa es responsabilidad del proveedor (proveedor de servicios). WebSEAL incluye un valor de configuracin que puede utilizarse para enviar a los clientes a la ubicacin de una poltica completa. La especificacin P3P establece que una cabecera HTTP slo puede tener una cabecera P3P (las cabeceras P3P adicionales se omiten). Sin embargo, una respuesta HTTP puede tener varios cookies. Por consiguiente, la poltica compacta especificada en la cabecera HTTP se aplica a todas las cookies de la respuesta. Puesto que slo puede haber una poltica, esta debe representar a la ms estricta de las polticas reales para las cookies. Para WebSEAL, esto significa, por ejemplo, que si se aceptan cookies de sesin en una respuesta, pero no se aceptan cookies de migracin tras error, debera devolverse la poltica P3P del peor caso para todas las cookies. El peor caso se define en el conjunto mnimo de condiciones que provocaran que el navegador rechazara la cookie. WebSEAL devuelve tres tipos de cookies al agente del usuario (navegador): v Cookie de sesin v Cookie de migracin tras error v Cookie de e-community
65
No es necesario configurar ninguna poltica para la cookie de e-community. El contenido de la cookie est limitado a especificar la ubicacin del servidor web para el que el usuario est autenticado. Esta cookie no contiene informacin que identifique al usuario. La cookie de sesin establece un vnculo con los datos de sesin y la cookie de migracin tras error contiene informacin de sesin suficiente para permitir la reconstruccin de la sesin. La cookie de sesin est concebida nicamente para el servidor de origen, no se retiene una vez finalizada la sesin y asiste en el proceso de mantenimiento de la sesin. La cookie de migracin tras error est concebida para el servidor (replicado) de migracin tras error, no se retiene una vez finalizada la sesin y tambin asisten en el proceso de mantenimiento de la sesin. Por consiguiente, las cookies de sesin y de migracin tras error tienen la misma poltica P3P. Esto significa que la poltica de peor caso combinada para las cookies es la poltica de la cookie de sesin.
Declaracin de poltica compacta

El archivo de configuracin de WebSEAL proporciona un conjunto de opciones de configuracin que coinciden con la sintaxis XML de la poltica compacta como se establece en la especificacin Platform for Privacy Preferences de World Wide Web Consortium. Es posible acceder a la especificacin completa desde la direccin URL siguiente:
http://www.w3.org/TR/P3P/
WebSEAL proporciona entradas de archivo de configuracin que se correlacionan con los elementos XML siguientes en la poltica compacta: v access Indica si el sitio proporciona acceso a varios tipos de informacin. v categories v Tipo de informacin almacenada en la cookie. disputes Especifica si la poltica P3P completa contiene informacin relacionada con las disputas sobre la informacin que contiene la cookie. non-identifiable Este elemento significa que o bien no se han recopilado datos (incluidos registros web) o bien que la organizacin que recopila los datos establecer los datos como annimos. purpose Finalidades de los procesos de datos relevantes para la web. recipients Entidad, o dominio, legal ms all del proveedor de servicios y sus agentes en la que pueden distribuirse los datos. remedies Remedios en el caso de que se produzca una infraccin de una poltica.
v v
v retention Tipo de poltica de retencin vigente. v p3p-element Esta entrada puede utilizarse para especificar los elementos que deben agregarse a la cabecera P3P adems de la poltica compacta. Puede utilizarse para especificar una referencia a una poltica XML completa.
66
Los valores para purpose (excepto current) y recipients (excepto ours) tienen una opcin adicional que describe cmo pueden utilizarse los datos de cookie. Esto define si el usuario tiene la opcin de permitir o denegar.
Conservacin de la cabecera de unin

WebSEAL permite especificar si las cabeceras P3P de aplicaciones con unin se conservan o se sustituyen. Debe tener en cuenta que esto no forma parte de la poltica compacta P3P, sino que es una funcin de WebSEAL. La entrada del archivo de configuracin es la siguiente:
[p3p-header] preserve-p3p-policy = {yes|no}
El comportamiento predeterminado es no. Esto significa que las cabeceras P3P de los servidores con unin se sustituyen. De forma predeterminada, WebSEAL sustituye las cabeceras de polticas P3P de fondo para garantizar que el servidor de fondo no excluye las cookies de WebSEAL debido a un conjunto de polticas ms estricto. Cuando utilice el valor predeterminado, es posible que observe que las cookies que el servidor de fondo debe definir no estn permitidas debido a la poltica compacta de WebSEAL. En este caso, deber seleccionar una de las opciones siguientes: v Establezca preserve-p3p-policy = yes para forzar que WebSEAL mantenga la poltica compacta definida por el servidor de fondo. v Modifique la cabecera de la poltica compacta de WebSEAL para que la poltica sea ms permisiva y se permitan las cookies de fondo. Cuando WebSEAL procesa respuestas de servidores de fondo, las acciones de WebSEAL pueden incluir la adicin de una cookie en la respuesta. Esto ocurre cuando se ha creado la unin de WebSEAL para generar cookies de unin. Estas cookies se utilizan para correlacionar direcciones URL entre uniones a fin de garantizar la conectividad entre el navegador y el servidor de fondo. Esto significa que, cuando el administrador opta por mantener la poltica compacta definida por el servidor de fondo (preserve-p3p-policy = yes), el administrador debe garantizar que la poltica compacta es lo suficientemente permisiva como para aceptar la adicin de la cookie de unin de WebSEAL. Cuando la poltica compacta prohbe la adicin de la cookie de unin, las solicitudes de URL del navegador no se resolvern correctamente en direcciones URL del servidor de fondo.
Poltica compacta predeterminada de la cabecera P3P

WebSEAL agrega una cabecera P3P a todas las respuestas en las que se definen cookies. La cabecera contiene una poltica compacta P3P. La poltica es una secuencia de trminos que describen la poltica en cuanto a la informacin que contienen las cookies de la respuesta. Las entradas del archivo de configuracin de WebSEAL que se indican a continuacin representan la poltica compacta P3P predeterminada:
[p3p-header] access = none purpose = current purpose = other-purpose:opt-in recipients = ours retention = no-retention categories = uniqueid
67
Las entradas del archivo de configuracin predeterminado dan lugar a una cabecera P3P que contiene la siguiente informacin:
P3P: CP="NON CUR OTPi OUR NOR UNI"
En la tabla siguiente se describen los valores de la cabecera de la poltica predeterminada:

Tabla 4. Valores de la cabecera predeterminada P3P Trmino NON CUR OTPi OUR NOR Definicin El usuario no tiene acceso a la informacin de la cookie ni a la informacin con la que la cookie establece un vnculo. La cookie ayuda a proporcionar el servicio actual. El servicio actual es el acceso al sitio web protegido. La cookie proporciona otro servicio que el usuario ha permitido. El sitio web propiamente dicho es el nico destinatario de la cookie y de la informacin con la que la cookie establece un vnculo. Ni los datos de la cookie ni los datos con los que ste establece un vnculo se mantienen una vez que el usuario finaliza la sesin o una vez que la sesin ha caducado. La cookie utiliza un identificador exclusivo (ID de sesin y nombre del usuario) que representa el usuario.
UNI
Configuracin de la cabecera P3P

Los usuarios que despliegan servidores WebSEAL como parte de la solucin de seguridad para los servidores deben especificar la poltica compacta P3P para el sitio. Este paso requiere determinar la poltica para cada uno de los valores de privacidad definidos por la especificacin P3P. WebSEAL proporciona una poltica predeterminada aceptada por los valores predeterminados para el navegador Microsoft Internet Explorer 6. Los administradores de la web debern modificar la poltica predeterminada segn sea necesario para que coincida con las polticas del sitio para manejar datos de usuario en las cookies. Asimismo, debern probar el uso de sus polticas con IE 6 para garantizar que los navegadores IE 6 siguen aceptando las cookies de WebSEAL. Cuando definan la poltica del sitio, los administradores de la web debern consultar la especificacin P3P. Para cada entrada de configuracin, se permiten varios valores, con la excepcin de las entradas que requieren el valor yes o no. Si no se declara una entrada de configuracin determinada, no se agrega ningn indicador a la poltica compacta para dicha entrada. Para configurar la poltica compacta P3P que debe utilizarse con WebSEAL, complete los pasos siguientes: 1. Abra el archivo de configuracin de WebSEAL para modificarlo. Vaya a la stanza [server]. 2. Decida si las cabeceras P3P de los servidores con unin se sustituirn o se conservarn. Defina este valor:
preserve-p3p-policy = {yes|no}
El valor predeterminado es no. Establezca este valor en yes si desea conservar las cabeceras P3P. Para obtener ms informacin, consulte el apartado Conservacin de la cabecera de unin en la pgina 67.
68
3. Vaya a la stanza [p3p-header]. Especifique el acceso que el usuario tendr a la informacin de la cookie. Establezca el valor para la entrada siguiente:
access = {none|all|nonident|contact-and-other|ident-contact|other-ident}
El valor predeterminado es:

access = none Tabla 5. Valores soportados para la entrada access Valor none all nonident contact-and-other Descripcin No se otorga acceso a los datos identificados. Se otorga acceso a todos los datos identificados. El sitio web no recopila los datos identificados. Se otorga acceso a informacin en lnea y a informacin de contactos fsicos identificada, as como a otros datos identificados determinados. Se otorga acceso a informacin en lnea y a informacin de contactos fsicos identificada. Los usuarios, por ejemplo, pueden acceder a datos tales como una direccin postal. Se otorga acceso a otros datos identificados determinados. Los usuarios, por ejemplo, pueden acceder a datos tales como sus cargos de cuenta en lnea.
ident-contact
other-ident
4. Especifique el tipo de informacin almacenada en las cookies o informacin con la que las cookies establecen un vnculo. Establezca el valor para la entrada siguiente:
categories = {physical|online|uniqueid|purchase|financial|computer|navigation| interactive|demographic|content|state|political|health|preference|location| government|other-category}

categories = uniqueid Tabla 6. Valores soportados para la entrada categories Valor physical Descripcin Informacin que permite establecer contacto con un individuo o localizarlo en el mundo fsico. Por ejemplo, nmero de telfono o direccin. Informacin que permite establecer contacto con un individuo o localizarlo en Internet. Identificadores no financieros (excepto los identificadores emitidos por el gobierno) que se emiten para poder identificar o reconocer a un individuo de forma sistemtica. Informacin que se genera de forma activa al adquirir un producto o servicio, incluyendo informacin sobre el mtodo de pago. Informacin sobre las finanzas de un individuo incluyendo el estado de las cuentas e informacin de la actividad, como el saldo de la cuenta, los pagos o el historial de descubiertos, e informacin sobre la adquisicin o el uso de instrumentos financieros por parte de un individuo, incluida informacin sobre la tarjeta de crdito o de dbito. Informacin sobre el sistema informtico que el individuo utiliza para acceder a la red. Por ejemplo, nmero de IP, nombre del dominio, tipo de navegador o sistema operativo.
online uniqueid
purchase financial
computer
69
Tabla 6. Valores soportados para la entrada categories (continuacin) navigation Datos generados de forma pasiva al navegar por el sitio web. Por ejemplo, pginas visitadas y tiempo durante el que los usuarios permanecen en una pgina. Datos generados de forma activa a partir de interacciones explcitas, o que las reflejan, con un proveedor de servicio a travs de su sitio. Por ejemplo, consultas a un motor de bsquedas o registros sobre la actividad de las cuentas. Datos sobre las caractersticas de un individuo. Por ejemplo, sexo, edad e ingresos. Palabras y expresiones que contiene el cuerpo de una comunicacin. Por ejemplo, texto de un correo electrnico, destino de los tablones de anuncios o comunicaciones en salas de chat. Mecanismos para mantener una sesin con informacin de estado con un usuario o para reconocer automticamente a los usuarios que han visitado un sitio determinado o que han accedido con anterioridad a un determinado contenido. Por ejemplo, cookies HTTP. Pertenencia a grupos o afiliacin a los mismos, tales como organizaciones religiosas, sindicatos, asociaciones profesionales y partidos polticos. Informacin sobre la salud fsica o mental de un individuo, orientacin sexual, uso o consulta o adquisicin de servicios o productos de salud. Datos sobre aquello que gusta o no gusta a un individuo. Por ejemplo, color o estilos musicales favoritos. Informacin que puede utilizarse para identificar la ubicacin fsica actual de un individuo y realizar un seguimiento del individuo a medida que su ubicacin va cambiando. Por ejemplo, datos sobre la posicin del sistema GPS (Global Positioning System). Identificadores que emite un gobierno para poder identificar a un individuo de forma sistemtica. Otros tipos de datos no recogidos por las definiciones anteriores.
interactive
demographic content
state
political
health
preference location
government other-category
5. Especifique si la poltica P3P completa contiene informacin relacionada con las disputas sobre la informacin que contiene la cookie. Establezca el valor para la entrada siguiente:
disputes = {yes|no}
La entrada dispute no se especifica en el archivo de configuracin de WebSEAL. La especificacin P3P establece que, cuando no se especifica la entrada dispute, el valor predeterminado se asigna automticamente a no.
Tabla 7. Valores soportados para la entrada dispute Valor yes no Descripcin La poltica P3P completa contiene informacin relacionada con las disputas sobre la informacin que contiene la cookie. La poltica P3P completa no contiene informacin relacionada con las disputas sobre la informacin que contiene la cookie.
6. Especifique los tipos de remedio en caso de que se produzca una infraccin de una poltica. Establezca el valor para la entrada siguiente:
remedies = {correct|money|law}
70

remedies = correct Tabla 8. Valores soportados para la entrada remedies Valor correct money Descripcin El servicio remediar los errores o las acciones improcedentes que surjan en relacin con la poltica de privacidad. Si el proveedor de servicios infringe su poltica de privacidad, deber pagar al individuo una cantidad especificada en la poltica de privacidad en formato legible por el usuario o el importe de los daos. Los remedios para las infracciones de la sentencia de poltica se determinarn en funcin de la ley a la que se haga referencia en la descripcin en formato legible por el usuario.
law
7. Especifique o bien que no se recopilan datos (incluidos los registros de la web) o bien que la organizacin que recopila los datos establecer el carcter annimo de los mismos. Establezca el valor para la entrada siguiente:
non-identifiable = {yes|no}
La entrada non-identifiable no se especifica en el archivo de configuracin de WebSEAL. La especificacin P3P establece que, cuando no se especifica la entrada non-identifiable, el valor predeterminado se asigna automticamente a no.
Tabla 9. Valores soportados para la entrada non-identifiable Valor yes no Descripcin Los datos que se recopilan identifican al usuario. O bien no se recopilan datos (incluidos registros de la web) o bien la informacin que se recopila no identifica al usuario.
8. Especifique el objetivo de la informacin de la cookie. Establezca el valor para la entrada siguiente:

purpose = {current|admin|develop|tailoring|pseudo-analysis|pseudo-decision| individual-analysis|individual-decision|contact|historical| telemarketing|other-purpose} [:[opt-in|opt-out|always]]

purpose = current Tabla 10. Valores soportados para la entrada purpose Valor current admin develop tailoring Descripcin El proveedor de servicios puede utilizar la informacin para completar la actividad para la que se ha proporcionado. La informacin puede utilizarse para el soporte tcnico del sitio web y del sistema. La informacin puede utilizarse para mejorar, evaluar o revisar de otro modo el sitio, el servicio, el producto o el mercado. La informacin puede utilizarse para adaptar o modificar el contenido o el diseo del sitio en el que se utiliza la informacin solamente para una visita al sitio.
71
Tabla 10. Valores soportados para la entrada purpose (continuacin) pseudo-analysis La informacin puede utilizarse para crear o construir un registro de un individuo o un sistema determinado que est vinculado con un identificador de pseudnimo, sin vincular datos identificados al registro. Este perfil se utilizar para determinar los hbitos, los intereses u otras caractersticas de los individuos a fin de llevar a cabo investigacin, anlisis e informes. La informacin puede utilizarse para crear o construir un registro de un individuo o un sistema determinado que est vinculado con un identificador de pseudnimo, sin vincular datos identificados al registro. Este perfil se utilizar para determinar los hbitos, los intereses u otras caractersticas de los individuos a fin de tomar una decisin que directamente afecte al individuo. La informacin puede utilizarse para determinar los hbitos, los intereses u otras caractersticas de los individuos y combinarlos con datos identificados a fin de llevar a cabo investigacin, anlisis e informes.
pseudo-decision
individual-analysis
individual-decision La informacin puede utilizarse para determinar los hbitos, los intereses u otras caractersticas de los individuos y combinarlos con datos identificados a fin de tomar una decisin que directamente afecta al individuo. contact La informacin puede utilizarse para establecer contacto con un individuo, a travs de un canal de comunicaciones que no sea el telfono por voz, para promocionar un producto o un servicio. La informacin puede archivarse o almacenarse con el objeto de mantener un historial social segn establezca una ley o una poltica. La informacin puede utilizarse para establecer contacto con un individuo a travs de una llamada de telfono por voz para promocionar un producto o un servicio. La informacin puede utilizarse de otras formas no recogidas por las definiciones anteriores.
historical telemarketing
other-purpose
Para cada valor especificado para purpose, excepto el valor current, si lo desea puede especificar la poltica opt-in. La sintaxis consta de dos puntos (:) que aparecen justo despus del valor de purpose, al que sigue uno de los valores soportados para la poltica opt-in. Por ejemplo:
purpose = telemarketing:opt-in
En la tabla siguiente se indican los valores soportados:

Tabla 11. Valores soportados para la poltica opt-in u opt-out Valor opt-in opt-out always Descripcin Los datos pueden utilizarse con esta finalidad slo si el usuario solicita afirmativamente este uso. Los datos pueden utilizarse con esta finalidad a menos que el usuario solicite que no se utilicen de este modo. Los usuarios no pueden permitir (opt-in) ni rechazar (opt-out) este uso de los datos. ste es el valor predeterminado. Si no se especifica la poltica opt-in, se aplica la poltica always.
9. Especifique los destinatarios de la informacin de la cookie. Establezca el valor para la entrada siguiente:
recipient = {ours|delivery|same|unrelated|public|other-recipient} [:[opt-in|opt-out|always]]
72

recipient = ours Tabla 12. Valores soportados para la entrada recipient Valor ours Descripcin Nosotros mismos o entidades que actan como nuestros agentes, o entidades para las que nosotros actuamos como agente. Un agente es un tercero que procesa datos solamente en nombre del proveedor de servicios. Entidades legales que llevan a cabo servicios de entrega que pueden utilizar datos para objetivos que no sean la realizacin del objetivo indicado. Entidades legales que siguen nuestros procedimientos. Se trata de entidades legales que utilizan los datos en su propio nombre en procedimientos ecunimes. Terceros no relacionados. Se trata de entidades legales cuyos procedimientos de uso de datos no conoce el proveedor de servicios original. Foros pblicos. Se trata de foros pblicos, tales como tablones de anuncios, directorios pblicos o directorios de CD-ROM comerciales. Entidades legales que siguen procedimientos distintos. Se trata de entidades legales que estn limitadas por el proveedor de servicios original y que son responsables ante ste, pero que pueden utilizar datos de una forma no especificada en los procedimientos del proveedor de servicios.
delivery
same
unrelated
public other-recipient
Para cada valor especificado para recipient, excepto ours, si lo desea puede especificar la poltica opt-in. La sintaxis consiste en dos puntos (:) que aparecen justo despus del valor de recipient, al que sigue uno de los valores soportados para la poltica opt-in. Por ejemplo:
recipient = delivery:opt-in
En la tabla siguiente se indican los valores soportados:

Tabla 13. Valores de la poltica opt-in Valor opt-in opt-out always Descripcin Los datos pueden utilizarse con esta finalidad slo si el usuario solicita afirmativamente este uso. Los datos pueden utilizarse con esta finalidad a menos que el usuario solicite que no se utilicen de este modo. Los usuarios no pueden permitir (opt-in) ni rechazar (opt-out) este uso de los datos. ste es el valor predeterminado. Si no se especifica la poltica opt-in, se aplica la poltica always.
10. Especifique durante cunto tiempo se mantiene la informacin de la cookie. Establezca el valor para la entrada siguiente:
retention = {no-retention|stated-purpose|legal-requirement|business-practices| indefinitely}

retention = no-retention
73
Tabla 14. Valores soportados para la entrada retention Valor no-retention Descripcin La informacin slo se retiene durante el breve perodo de tiempo necesario para utilizarla durante el curso de una nica interaccin en lnea. La informacin se retiene para cumplir la finalidad indicada y debe descartarse lo antes posible. La informacin se retiene para cumplir la finalidad indicada pero el perodo de retencin es ms largo debido a un requisito o a una responsabilidad legal. La informacin se retiene segn los procedimientos empresariales indicados por el proveedor de servicios. La informacin se retiene durante un perodo indeterminado de tiempo.
stated-purpose legal-requirement
business-practices indefinitely
11. Opcionalmente, especifique una referencia a un archivo de polticas compactas XML completas. Especifique un valor para la entrada siguiente:
p3p-element = policyref=url_ubicacin_predeterminada_poltica_completa
Esta entrada est presente pero est comentada y, por consiguiente, no est activa, en el archivo de configuracin predeterminado de WebSEAL. La entrada predeterminada es la ubicacin predeterminada para la poltica completa en cualquier sitio web.
# p3p-element = policyref=="/w3c/p3p.xml"
Si no se ha establecido p3p-element, de forma predeterminada, los navegadores buscan la poltica completa en /w3c/p3p.xml. Tenga en cuenta que es posible que algunos navegadores no hagan referencia a p3p-element, sino que procedan directamente a /w3c/p3p.xml. Nota: Asegrese de que el acceso no autenticado se otorga a /w3c/p3p.xml. Consulte el apartado Resolucin de problemas en la pgina 75.
Especificacin de una poltica compacta P3P personalizada

En lugar de definir los valores para las entradas en el archivo de configuracin de WebSEAL, puede especificar el contenido exacto en la cabecera P3P. Esto puede ser til, por ejemplo, si la cadena de la poltica compacta ha sido generada por otra utilidad y desea utilizar dicha cadena para la poltica P3P. Para especificar una poltica compacta P3P personalizada, complete los pasos siguientes: 1. Elimine los valores predeterminados del archivo de configuracin de WebSEAL. Por ejemplo, cambie las entradas predeterminadas de WebSEAL por lo siguiente:
[p3p-header] access = purpose = purpose = recipients = retention = categories =
2. Agregue la cadena de la poltica compacta personalizada en la entrada p3p-element:

p3p-element = CP="series_abreviaturas_poltica_compacta"
74
Puede agregar cualquier nmero de valores. El orden de los valores no es significativo.
Resolucin de problemas
v Problema: el navegador no puede acceder al archivo de la poltica P3P completa. Solucin: si utiliza la entrada p3p-element para especificar la ubicacin de un archivo que contiene la poltica completa, el navegador intenta acceder al archivo. La especificacin P3P no requiere que los navegadores enven cookies con la solicitud para la poltica completa. Internet Explorer 6 no enva una cookie de sesin cuando accede a la poltica completa. Esto significa que el acceso a la poltica completa debe otorgarse a usuarios no autenticados. Cuando el navegador recibe o bien un inicio de sesin o bien un error 401, debe modificar los permisos en la poltica completa para permitir el acceso a los usuarios no autenticados.
75
Supresin de la identidad del servidor

En circunstancias normales, las respuestas del servidor HTTP contienen la identidad y la versin del servidor:
content-type: text/html date: Tue, 05 Mar 2002 02:34:18 GMT content-length: 515 server: WebSEAL/3.9.0 last-modified: Thu, 21 Feb 2002 08:03:46 GMT connection: close
Por razones de seguridad, puede que prefiera que WebSEAL suprima esta informacin en sus respuestas a los clientes. Para suprimir la identidad del servidor en las respuestas de servidor HTTP, establezca el parmetro suppress-server-identity en la stanza [server] del archivo de configuracin de WebSEAL en yes:
[server] suppress-server-identity = yes
El valor predeterminado es no.
Manejo de identificadores BASE HREF

Puede configurar el modo en que WebSEAL maneja los identificadores BASE HREF de los documentos HTML filtrados. En el archivo de configuracin de WebSEAL, utilice el valor preserve-base-href para especificar el comportamiento:
[server] preserve-base-href = no
Cuando preserve-base-href est establecido en no, WebSEAL elimina todos los identificadores BASE HREF de los documentos HTML filtrados y agrega el identificador base como prefijo para los vnculos filtrados. Si preserve-base-href est establecido en yes, se filtra el identificador BASE HREF.
Habilitacin del mtodo TRACE de HTTP

En RFC 2616 para HTTP se define un mtodo TRACE de este modo: Este mtodo se utiliza para invocar un bucle inverso, de nivel de aplicacin y remoto del mensaje solicitado. El destinatario de la solicitud es o bien el servidor de origen o bien el primer proxy o gateway que recibe un valor a Max-Forwards de cero (0) en la solicitud. Los piratas informticos han utilizado el mtodo TRACE para implementar un ataque de seguridad en servidores web. Para proporcionar una seguridad ptima, de forma predeterminada WebSEAL bloquea el mtodo TRACE para todas las solicitudes para el servidor WebSEAL. Para habilitar el mtodo TRACE (inhabilitar el bloqueo), debe definir dos entradas en el archivo de configuracin de WebSEAL. Para habilitar mtodos TRACE para respuestas locales, defina la entrada siguiente:
[server] http-method-trace-enabled = yes
Para habilitar mtodos TRACE para respuestas con unin, defina la entrada siguiente:
76
[server] http-method-trace-enabled-remote = yes
El archivo de configuracin de WebSEAL predeterminado no define ningn valor para estas entradas del archivo de configuracin. El comportamiento predeterminado para WebSEAL, incluso cuando no se especifican las entradas del archivo de configuracin, es bloquear todos los mtodos TRACE.
77
78
Captulo 3. Administracin del servidor WebSEAL

Este captulo contiene informacin que describe las tareas de administracin que puede realizar para gestionar el servidor WebSEAL. ndice de temas: v Tareas de servidor en la pgina 80 v Gestin del espacio web en la pgina 82 v Compresin de datos HTTP en la pgina 89 v Pginas de mensajes de error HTTP en la pgina 93 v Gestin de pginas personalizadas de gestin de cuentas en la pgina 98 v Copia de seguridad y restauracin en la pgina 103 v Herramientas para la determinacin de problemas para WebSEAL en la pgina 105
79
Tareas de servidor Iniciar un servidor WebSEAL

UNIX:
pdweb start nombre_instancia
Nota: El comando pdweb es un vnculo simblico con pdweb_start. Puede utilizar pdweb_start para todos los comandos pdweb que se describen en este captulo. Este vnculo simblico a pdweb_start existe para la compatibilidad con versiones anteriores. Ejemplos: v Iniciar el servidor WebSEAL inicial y todas las instancias de servidor configuradas:
# /usr/bin/pdweb start
v Iniciar nicamente una instancia de servidor especfica

# /usr/bin/pdweb start webseal3
Windows Utilice el panel de control Servicios:

Inicio > Configuracin > Panel de control > Herramientas administrativas > Servicios
Si lo desea, puede abrir una ventana de comandos y especificar lo siguiente:

net start nombre_instancia
Para iniciar el servidor WebSEAL predeterminado (default):

net start default
Debe emitir un comando net start distinto para cada instancia de WebSEAL que deba iniciarse.
Detener un servidor WebSEAL

UNIX:
pdweb stop nombre_instancia
Ejemplos: v Detener el servidor WebSEAL inicial y todas las instancias de servidor configuradas:
# /usr/bin/pdweb stop
v Detener nicamente una instancia especfica de servidor:

# /usr/bin/pdweb stop webseal3
Windows Utilice el panel de control Servicios:

Inicio > Configuracin > Panel de control > Herramientas administrativas > Servicios
Si lo desea, puede abrir una ventana de comandos y especificar lo siguiente:

net stop nombre_instancia
80
Para detener el servidor WebSEAL predeterminado (default):

net stop default
Debe emitir un comando net stop para cada instancia de WebSEAL que deba detenerse.
Reiniciar un servidor WebSEAL

Este comando detiene y reinicia el servidor WebSEAL especificado. UNIX y Linux
pdweb restart nombre_instancia
Para reiniciar, por ejemplo, el servidor WebSEAL inicial y todas las instancias de servidor configuradas:
# /usr/bin/pdweb restart
Mostrar el estado del servidor WebSEAL

UNIX:
pdweb status
Mostrar el estado de todos los servidores configurados:

# /usr/bin/pdweb status Servidores de Access Manager Servidor Activado En ejecucin ----------------------------------------------default-webseald s s webseald-webseal2 s s webseald-webseal3 s s
Windows: Identifique el proceso del servidor WebSEAL en Servicios, en el Panel de control, y utilice los botones de control correspondientes.
81
Gestin del espacio web

Los siguientes apartados describen las tareas necesarias para gestionar el espacio web: v Directorio raz del rbol de documentos web en la pgina 82 v Configuracin del ndice de directorios en la pgina 83 v Windows: convenios de denominacin para programas CGI en la pgina 84 v Configuracin del almacenamiento en la cach de documentos web en la pgina 85 v Especificacin de tipos MIME de documentos para el filtrado de direcciones URL en la pgina 87
WebSEAL representado en el espacio de objetos protegidos

El parmetro server-name del archivo de configuracin de WebSEAL especifica el punto en el espacio de objetos protegidos de Tivoli Access Manager que representa esta instancia de servidor WebSEAL. Para una sola instalacin de servidor WebSEAL, este valor se establece automticamente utilizando el nombre de host de la mquina en que se est instalando este servidor WebSEAL. Por ejemplo, si el nombre de mquina (host) es sales1, el valor del parmetro se establece como:
[server] server-name = sales1
La representacin de esta instancia de servidor WebSEAL en el espacio de objetos protegidos de Tivoli Access Manager aparecera como:
/WebSEAL/sales1
Directorio raz del rbol de documentos web

La ubicacin del rbol de documentos web es la ruta de acceso absoluta del directorio raz del rbol de documentos para los documentos disponibles mediante WebSEAL. Este nombre de ruta de acceso est representado por el parmetro doc-root de la stanza [content] del archivo de configuracin de WebSEAL. La ubicacin predeterminada se establece inicialmente durante la instalacin de WebSEAL: UNIX:
[content] doc-root = /opt/pdweb/www-nombre_instancia/docs
Windows:
[content] doc-root = C:\Archivos de programa\Tivoli\PDWeb\www-nombre_instancia\docs
Este valor se utiliza slo una vezla primera vez que se inicia WebSEAL despus de la instalacin. El valor se almacena en la base de datos de uniones. La futura modificacin de este valor no tendr ningn impacto. Cmo cambiar el directorio raz de documentos despus de la instalacin:
82
Despus de la instalacin, debe usar la utilidad pdadmin para cambiar el valor de la ubicacin del directorio raz de documentos. El ejemplo siguiente (el nombre de la mquina, o host, es websealA) ilustra este procedimiento: 1. Inicie la sesin en pdadmin:
# pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
2. Utilice el comando server task list para mostrar todos los puntos de unin actuales:
pdadmin> server task webseald-websealA list /
3. Utilice el comando server task show para mostrar los detalles de la unin:
pdadmin> server task webseald-websealA show / Punto de unin: / Tipo: Local Lmite fijo de unin: 0 - se utilizar el valor global Lmite dinmico de unin: 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /opt/pdweb/www/docs
4. Cree una nueva unin local para sustituir el punto de unin actual (la opcin -f es necesaria para forzar una nueva unin que sobrescriba una unin existente):
pdadmin> server task webseald-websealA create -t local -f -d /tmp/docs / Se ha creado una unin en /
5. Visualice el punto de unin nuevo:

pdadmin> server task webseald-websealA list /
6. Visualice los detalles de esta unin:

pdadmin> server task webseald-websealA show / Punto de unin: / Tipo: Local Lmite fijo de unin: 0 - se utilizar el valor global Lmite dinmico de unin: 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /tmp/docs
Configuracin del ndice de directorios

Puede especificar el nombre del archivo predeterminado que ha devuelto WebSEAL cuando la expresin de direccin URL de una solicitud finalice con un nombre de directorio. Si este archivo predeterminado existe, WebSEAL lo devuelve al cliente. Si el archivo no existe, WebSEAL genera dinmicamente un ndice de directorios y devuelve la lista al cliente. El parmetro para configurar el archivo de ndice de directorios se encuentra en la stanza [content] del archivo de configuracin de WebSEAL. El valor predeterminado para el archivo de ndice es:
[content] directory-index = index.html
Puede cambiar este nombre de archivo si el sitio utiliza un convenio distinto. Por ejemplo:
[content] directory-index = homepage.html
83
WebSEAL genera dinmicamente un ndice de directorios si el directorio de la solicitud no contiene el archivo de ndice definido por el parmetro directory-index. El ndice generado contiene una lista con el contenido del directorio, con vnculos a cada una de las entradas del directorio. El ndice se genera slo si el cliente que solicita acceso al directorio tiene el permiso list (l) en la ACL de ese directorio. Puede configurar los iconos grficos que utiliza WebSEAL para cada tipo de archivo que aparece en el ndice generado. La stanza [content-index-icons] del archivo de configuracin de WebSEAL contiene una lista de los tipos MIME de documentos y los archivos .gif asociados que se muestran:
[content-index-icons] image/*= /icons/image2.gif video/* = /icons/movie.gif audio/* = /icons/sound2.gif text/html = /icons/generic.gif text/* = /icons/text.gif application/x-tar = /icons/tar.gif application/* = /icons/binary.gif
Esta lista se puede configurar para que especifique otros iconos para cada tipo MIME. Los iconos tambin se pueden ubicar de forma remota. Por ejemplo:
application/* = http://www.acme.com/icons/binary.gif
Tambin se pueden configurar estos valores de iconos adicionales: v Icono utilizado para representar subdirectorios:
[icons] diricon = /icons/folder2.gif
v Icono utilizado para representar el directorio principal:

[icons] backicon = /icons/back.gif
v Icono utilizado para representar los tipos de archivos desconocidos:

[icons] unknownicon = /icons/unknown.gif
Nota: El formato de los iconos proporcionados es GIF, pero no se trata de un formato obligatorio.
Windows: convenios de denominacin para programas CGI

Los parmetros de la stanza [cgi-types] del archivo de configuracin de WebSEAL permiten especificar los tipos de extensin de archivos Windows que se reconocen y ejecutan como programas CGI. El sistema operativo UNIX no tiene requisitos de extensin de nombre de archivo. No obstante, los tipos de extensin deben estar definidos para los sistemas operativos Windows. La stanza [cgi-types] enumera todos los tipos de extensin vlidos y correlaciona cada extensin (cuando es necesario) con un programa CGI apropiado.
[cgi-types] <extensin> = <programa-cgi:>
De forma predeterminada, slo los archivos con extensiones que coincidan con las listadas en la stanza se ejecutarn como programas CGI. Si un programa CGI tiene una extensin que no est contenida en esta lista, el programa no se ejecutar.
84
Los archivos con extensiones .exe se ejecutan como programas segn el valor predeterminado de Windows y no requieren ninguna correlacin. Nota: Cuando quiera instalar un archivo .exe en Windows para su descarga, debe cambiar el nombre de la extensin o bien instalar el archivo como parte de un archivador (por ejemplo, .zip). Debe proporcionar los programas intrpretes apropiados para las extensiones que representan los archivos script interpretados. Como ejemplos de estos tipos de extensiones cabe citar: scripts de shell (.sh y .ksh), scripts Perl (.pl) y scripts Tcl (.tcl). El siguiente ejemplo muestra una configuracin tpica de la stanza [cgi-types]:
[cgi-types] bat = cmd cmd = cmd pl = perl sh = sh tcl = tclsh76
Archivos UNIX ejecutables en el sistema host del servidor WebSEAL

WebSEAL da soporte a la creacin de uniones locales. Estas uniones existen en el mismo sistema host que el servidor WebSEAL. Al acceder a una unin local en un sistema UNIX, WebSEAL interpreta los archivos como scripts CGI si se les proporciona el permiso execute de UNIX. Por ejemplo, si se le proporciona el permiso execute a una pgina HTML situada en la unin WebSEAL local, WebSEAL interpreta que el archivo es ejecutable y no lo mostrar. Para asegurarse de que los archivos locales se muestren correctamente, elimine el permiso execute de todos los archivos que no sean CGI a los que se accede a travs de la unin local.
Configuracin del almacenamiento en la cach de documentos web

Los clientes pueden experimentar a menudo un largo tiempo de acceso a la red y de descarga de archivos debido a un pobre rendimiento en la recuperacin de documentos web. Se puede producir un bajo rendimiento si el servidor WebSEAL espera documentos recuperados de servidores de fondo con unin o de un almacenamiento local lento. El almacenamiento en la cach de documentos web ofrece la flexibilidad de servir documentos de forma local desde WebSEAL en vez de hacerlo desde un servidor de fondo a travs de una unin. La funcin de almacenamiento en la cach de documentos web permite almacenar los tipos de documentos web a los que se accede habitualmente en la memoria del servidor WebSEAL. Los clientes pueden experimentar una respuesta mucho ms rpida a las solicitudes reiteradas de documentos que se han almacenado en la cach del servidor WebSEAL. Los documentos en la cach pueden incluir documentos de texto estticos e imgenes grficas. Los documentos generados de forma dinmica, como los resultados de consultas de bases de datos, no se pueden almacenar en la cach.
85
El almacenamiento en la cach se realiza segn el tipo MIME. Al configurar WebSEAL para el almacenamiento en la cach de documentos web, se identifican los tres parmetros siguientes: v Tipo MIME del documento v Tipo de medio de almacenamiento v Tamao del medio de almacenamiento El almacenamiento en la cach de documentos web se define en la stanza [content-cache] del archivo de configuracin de WebSEAL. Se aplica la siguiente sintaxis:
<tipo-mime> = <tipo-cach>:<tamao-cach> Parmetro tipo-mime Descripcin Representa cualquier tipo MIME transmitido en una cabecera de respuesta Content-Type:. Este valor puede contener un asterisco (*). Un valor de */* representa una cach de objetos predeterminada que retendr cualquier objeto que no corresponda a una cach configurada de forma explcita. Tenga en cuenta que aqu el asterisco es un carcter comodn slo para un directorio de tipos MIME y su contenido. No es un carcter comodn para expresiones regulares. Especifica el tipo de medio de almacenamiento que se utilizar para la cach. Este release de Tivoli Access Manager slo da soporte a las cachs memory. Especifica el tamao mximo (en kilobytes) hasta el cual puede crecer la cach determinada antes de eliminar los objetos segn un algoritmo Menos utilizado recientemente.
tipo-cach
tamao-cach
Ejemplo:
text/html = memory:2000 image/* = memory:5000 */* = memory:1000
Condiciones que afectan al almacenamiento en la cach de documentos web

El mecanismo de almacenamiento en la cach de documentos web observa las condiciones siguientes: v El almacenamiento en la cach slo se produce si se define una cach en el archivo de configuracin de WebSEAL. v De forma predeterminada, no se define ninguna cach durante la instalacin. v Si no especifica una cach predeterminada, los documentos que no coincidan con ninguna cach explcita no se almacenarn en cach. v La autorizacin se sigue realizando en todas las solicitudes de informacin en la cach. v El mecanismo de almacenamiento en la cach no almacena en la cach las respuestas a las solicitudes que contienen cadenas de consulta. v El mecanismo de almacenamiento en la cach no almacena en la cach las respuestas a las solicitudes realizadas a travs de uniones configuradas con las opciones c y C.
Vaciado de todas las cachs

Puede usar la utilidad pdadmin para vaciar todas las cachs configuradas. La utilidad no permite vaciar cachs individuales.
86
Debe iniciar la sesin en el dominio seguro como administrador de Tivoli Access Manager sec_master antes de que pueda utilizar pdadmin. Para vaciar todas las cachs de documentos web, especifique el siguiente comando: UNIX:
# pdadmin server task webseald-<nombre-mquina> cache flush all
Windows:
MSDOS> pdadmin server task webseald-<nombre-mquina> cache flush all
Control del almacenamiento en la cach para documentos especficos

Se puede almacenar documentos especficos en la cach asociando una Poltica de objetos protegidos (POP) con esos objetos. Esta POP debe contener un atributo ampliado denominado document-cache-control. El atributo ampliado document-cache-control reconoce los dos valores siguientes:
Valor no-cache Descripcin El valor no-cache indica que WebSEAL no almacene este documento en la cach. Recuerde que todos los hijos del objeto con la POP heredan tambin las condiciones de la POP. El valor public permite que WebSEAL almacene el documento en la cach, omitiendo el hecho de que la unin se cre con una opcin c o C. Adems, este valor tambin permite el almacenamiento en la cach de este documento cuando se enva la solicitud con una cabecera de autorizacin (como la Autenticacin Bsica (BA)). Asimismo, esta condicin incluye una solicitud en que WebSEAL inserta informacin de BA en nombre del cliente (como las uniones GSO o b supply). En circunstancias normales, los servidores proxy no almacenan en la cach los documentos de respuesta a las solicitudes que incluyen cabeceras de autorizacin.
public
Utilice los comandos pdadmin pop create, pdadmin pop modify y pdadmin pop attach. El ejemplo siguiente muestra cmo crear una POP denominada doc-cache con el atributo ampliado document-cache-control y cmo asociarla con un objeto (budget.html):
pdadmin> pop create doc-cache pdadmin> pop modify doc-cache set attribute document-cache-control no-cache pdadmin> pop attach /WebSEAL/hostA/junction/budget.html doc-cache
WebSEAL no almacena nunca en la cach el documento budget.html. Cada solicitud de este documento debe efectuarse directamente al servidor de fondo donde est ubicado. Los detalles acerca de la utilidad de lnea de comandos pdadmin pueden encontrarse en la publicacin IBM Tivoli Access Manager Base Gua del administrador.
Especificacin de tipos MIME de documentos para el filtrado de direcciones URL

Para garantizar un rendimiento adecuado de los vnculos a travs de las uniones, WebSEAL puede aplicar normas de filtrado URL especficas para las respuestas de documentos de los servidores con unin de fondo. Primero debe especificar los tipos MIME de documentos que puede reconocer WebSEAL.
87
El parmetro type de la stanza [filter-content-types] del archivo de configuracin de WebSEAL especifica un valor de tipo MIME. WebSEAL est configurado de forma predeterminada para reconocer documentos de dos tipos MIME:
[filter-content-types] type = text/html type = text/vnd.wap.wml
WebSEAL puede aplicar las siguientes funciones de filtrado URL a todos los tipos de documentos configurados: v Filtrado de esquemas de direcciones URL WebSEAL slo filtra las direcciones URL utilizando esquemas definidos en la stanza [filter-schemes] del archivo de configuracin de WebSEAL. v Filtrado de atributos de direcciones URL Consulte el apartado Reglas de filtrado estndar de direcciones URL para WebSEAL en la pgina 320. v Filtrado de scripts para direcciones URL absolutas Consulte el apartado Modificacin de las direcciones URL absolutas con filtrado de scripts en la pgina 321.
88
Compresin de datos HTTP

Los servidores WebSEAL pueden configurarse para comprimir datos que se transfieren a travs de HTTP entre el servidor WebSEAL y el cliente. WebSEAL utiliza el algoritmo de compresin gzip que se describe en la RFC 1952. Gzip est soportado por la mayora de los navegadores principales. La compresin HTTP en WebSEAL puede configurarse en funcin del tipo MIME, del tipo de navegador y de polticas de objetos protegidos (POP). Consulte los apartados siguientes: v Compresin basada en el tipo MIME v Compresin basada en el tipo de agente de usuario en la pgina 90 v Poltica de compresin en POP en la pgina 91 v Limitacin de la compresin de datos en la pgina 91 v Configuracin de la compresin de datos en la pgina 91
Compresin basada en el tipo MIME

Puede crear una entrada en el archivo de configuracin de WebSEAL para cada tipo MIME o grupo de tipos MIME para los que es necesario comprimir datos. La sintaxis es la siguiente:
[compress-mime-types] tipo_mime = tamao_doc_mnimo[:nivel_compresin]
En el valor tipo_mime puede especificar un tipo MIME determinado o bien utilizar caracteres comodn para especificar una clase de tipos MIME. Cada declaracin de tipo_mime es una entrada distinta en la stanza [compress-mime-types]. El carcter comodn (*) est limitado a las entradas de un conjunto de tipos MIME. Por ejemplo, text/*. Los tipos MIME que no estn enumerados en la stanza no se comprimirn. El orden es importante. La primera entrada que coincida con un documento devuelto se utiliza para dicho documento. El valor tamao_doc_mnimo especifica la poltica relacionada con el tamao de los documentos que se comprimirn. Este valor es un nmero entero. En la lista siguiente se muestran los valores vlidos: v -1 Cuando el tamao mnimo es -1, los documentos del tipo MIME especificado no se comprimen nunca. v 0 Cuando el tamao mnimo es 0, los documentos del tipo MIME especificado siempre se comprimen. v Entero mayor que cero Cuando el tamao mnimo es un entero mayor que cero, los documentos del tipo MIME especificado se comprimen si el nmero de bytes de la respuesta a WebSEAL sobrepasa este valor entero. Cualquier nmero negativo distinto de -1 genera un mensaje de error. Cuando WebSEAL recibe una solicitud de un navegador, el servidor examina el campo de longitud del contenido (content-length) de la cabecera HTTP para determinar el tamao de los datos entrantes. No obstante, no todas las respuestas HTTP contienen este campo. Cuando el campo content-length no existe, WebSEAL
89
comprime el documento a menos que el tipo MIME aplicable est configurado para no comprimirse nunca ( tamao_doc_mnimo igual a -1). El valor nivel_compresin es opcional y especifica un nivel de compresin de datos. Los valores vlidos son nmeros enteros entre 1 y 9. Cuando mayor sea el nmero entero, mayor ser la compresin que se lleve a cabo. Debe tener en cuenta que cuanto mayor sea la compresin que se lleve a cabo, mayor ser tambin la carga de la CPU. El valor de compresin incrementado debe ponderarse ante cualquier impacto en el rendimiento. Cuando no se especifica el valor de nivel_compresin, se utiliza el nivel predeterminado 1. En el ejemplo siguiente se comprimen todos los documentos cuyo tamao es superior a 1.000 bytes:
[compress-mime-type] */* = 1000
El conjunto de entradas siguiente inhabilita la compresin para todas las imgenes, inhabilita la compresin para todos los archivos CSS, habilita la compresin en el nivel 5 para todos los documentos PDF, habilita la compresin para los documentos HTML cuyo tamao sea superior a 2.000 bytes y habilita la compresin para todos los dems documentos de texto, independientemente de su tamao:
[compress-mime-type] image/* = -1 text/css = -1 application/pdf = 0:5 text/html = 2000 text/* = 0
Compresin basada en el tipo de agente de usuario

WebSEAL devuelve datos comprimidos a los agentes de usuario que solicitan datos comprimidos. WebSEAL no devuelve datos comprimidos a los agentes de usuario que no los solicitan. No obstante, algunos agentes de usuario solicitan datos comprimidos pero no saben como manejarlos correctamente. Los administradores de WebSEAL pueden utilizar el archivo de configuracin de WebSEAL para habilitar o inhabilitar de forma explcita la compresin para varios navegadores. La sintaxis de la entrada del archivo de configuracin es la siguiente:
[compress-user-agents] patrn_agente_usuario = {yes|no}
El patrn_agente_usuario est formado por patrones comodn que establecen coincidencias con los caracteres encontrados en la cabecera user-agent que se enva a WebSEAL. El valor yes significa que deben comprimirse los datos que se devuelven al navegador. El valor no significa que los datos deben devolverse sin comprimir. Cuando la cabecera user-agent no coincide con ninguna de las entradas de stanza del archivo de configuracin de WebSEAL, WebSEAL acepta la cabecera accept-encoding enviada por el navegador. La entrada siguiente, por ejemplo, habilita la compresin para Internet Explorer 6, pero inhabilita la compresin para todos los dems navegadores:
[compress-user-agents] *MSIE 6.0" = yes * = no
90
En el ejemplo siguiente se inhabilita la compresin para Netscape 4 pero se permite que los dems navegadores reciban datos comprimidos. Observe que la entrada *MSIE* es necesaria porque la cabecera user-agent enviada por Internet Explorer empieza por Mozilla:
[compress-user-agents] *MSIE* = yes Mozilla/4.* = no
Poltica de compresin en POP

Puede especificar una poltica de compresin que indique no comprimir en una poltica de objetos protegidos (POP). La poltica POP puede asociarse a un objeto y WebSEAL inhabilita la compresin de dicho objeto. Para especificar esta poltica, agregue el atributo siguiente a la poltica POP:
document-compression = no
Una poltica POP sin este atributo definido, o con este atributo definido en cualquier valor distinto de no, permite la compresin de los documentos. Por ejemplo, para inhabilitar la compresin para la unin /appOne:
pdadmin> pop create appOnePop pdadmin> pop modify appOnePop set attribute document-compression no pdadmin> pop attach /WebSEAL/host/appOne appOnePop
Para permitir la compresin para un subdirectorio de /appOne con una poltica POP que prevalezca, asocie una poltica POP distinta que no tenga el atributo document-compression. Por ejemplo:
pdadmin> pop create dataPop pdadmin> pop attach /WebSEAL/host/appOne/data dataPop
Este mtodo de aplicacin de la poltica de compresin puede utilizarse con direcciones URL. Por ejemplo, para inhabilitar la compresin en funcin de los patrones comodn que se aplican a las direcciones URL, puede utilizar dynurl. Para inhabilitar la compresin para todas las solicitudes para una unin que tengan un argumento determinado en la cadena de consulta, puede crear un archivo dynurl.conf con entradas como las siguientes:
/disableCompression /appOne/*\?want-response=text/xml
A continuacin, puede aosicar una poltica POP a /WebSEAL/host/disableCompression con el atributo document-compression establecido en no.
Limitacin de la compresin de datos

v La transferencia de datos comprimidos entre servidores WebSEAL y servidores de fondo no se admite. WebSEAL realiza el filtrado en las direcciones URL con varios objetivos. WebSEAL no realiza el filtrado en los datos comprimidos.
Configuracin de la compresin de datos

Para especificar una poltica de compresin de datos para la comunicacin entre WebSEAL y navegadores de cliente, complete estos pasos: 1. En el archivo de configuracin de WebSEAL, especifique cada tipo MIME para el que debe aplicarse una poltica de compresin de datos. Asigne un valor que aplique la poltica.
91
[compress-mime-types] tipo_mime = tamao_doc_mnimo
Debe tener en cuenta que el valor predeterminado deja todos los datos sin comprimir:
[compress-mime-types] */* = -1
Para obtener ms informacin sobre la creacin de entradas en esta stanza, consulte el apartado Compresin basada en el tipo MIME en la pgina 89. 2. En el archivo de configuracin de WebSEAL, especifique cada tipo de agente de usuario (navegador) para el que debe aplicase una poltica de compresin de datos. Asigne el valor yes para habilitar la compresin de datos. Asigne el valor no para inhabilitarla.
[compress-user-agent] agente_usuario = {yes|no}
No se define ninguna entrada de forma predeterminada. Cuando ninguna entrada coincide con la cabecera accept-encoding de user-agent, se acepta el valor de la cabecera accept-encoding. Para obtener ms informacin sobre la creacin de entradas en esta stanza, consulte el apartado Compresin basada en el tipo de agente de usuario en la pgina 90. 3. Si lo desea, puede especificar polticas de compresin en las polticas POP y aplicar las polticas POP a los objetos apropiados del espacio de objetos protegidos. Para obtener ms informacin, consulte el apartado Poltica de compresin en POP en la pgina 91.
92
Pginas de mensajes de error HTTP

Cuando WebSEAL no puede procesar una solicitud de acceso de un navegador cliente, WebSEAL devuelve una pgina de mensaje de error HTML al cliente. En la pgina de mensaje de error se explica el motivo del fallo de la solicitud de acceso. WebSEAL proporciona varias pginas de mensaje predeterminadas. El contenido de estas pginas puede modificarse. Asimismo, puede crear sus propias pginas de error en funcin de los cdigos de error que devuelve WebSEAL. Este apartado contiene los temas siguientes: v Pginas de mensaje de error predeterminadas v Modificacin de pginas de error HTTP existentes en la pgina 95 v Creacin de pginas de error HTTP nuevas en la pgina 95 v Habilitacin de la pgina de error de hora del da en la pgina 96 v Especificacin de la ubicacin de las pginas de error en la pgina 96 v Compatibilidad con versiones anteriores en la pgina 96
Pginas de mensaje de error predeterminadas

Las pginas de mensaje de error se instalan al configurar la instancia de servidor WebSEAL. Cada pgina de mensaje de error es un archivo HTML distinto. Los nombres de los archivos son valores hexadecimales de los cdigos de error que se devuelven. No modifique el nombre de estos archivos. La ubicacin de los archivos de error puede configurarse. Consulte el apartado Especificacin de la ubicacin de las pginas de error en la pgina 96. En la tabla siguiente se enumeran los nombres de los archivos de mensajes de error.
Nombre de archivo 132120c8.html Ttulo La autenticacin no se ha ejecutado correctamente Descripcin No se han podido recuperar las credenciales para el certificado de cliente utilizado. Los motivos posibles son: v El usuario ha proporcionado un certificado incorrecto v Se ha rechazado el certificado v las credenciales del usuario faltan de la base de datos de autenticacin 38ad52fa.html El directorio no est vaco La operacin indicada solicita la eliminacin de un directorio que no est vaco. Esta operacin no est permitida. Los valores request-max-cache o request-body-max-read se han superado. El recurso que ha solicitado requiere que el servidor WebSEAL inicie la sesin en otro servidor web. Sin embargo, ha ocurrido un problema cuando WebSEAL intentaba obtener la informacin. WebSEAL no ha podido localizar el usuario GSO para el recurso solicitado. Cdigo de error HTTP
38cf013d.html 38cf0259.html
Error en el almacenamiento en la cach de la solicitud No se ha podido iniciar la sesin del usuario
38cf025a.html
El usuario no tiene informacin de inicio de sesin nico
93
Nombre de archivo 38cf025b.html
Ttulo No hay ningn destino de inicio de sesin nico del usuario El usuario tiene varios destinos de inicio de sesin Se necesita iniciar la sesin
Descripcin WebSEAL no ha podido localizar el destino GSO para el recurso solicitado. Hay varios destinos GSO definidos para el recurso solicitado. Se trata de un error de configuracin. Un servidor web de fondo con unin protege el recurso solicitado, por lo que WebSEAL debe iniciar la sesin del usuario en ese servidor web. Para ello, el usuario debe iniciar la sesin primero en WebSEAL. El recurso que ha solicitado requiere que WebSEAL inicie la sesin en otro servidor web. Sin embargo, la informacin de inicio de sesin para la cuenta de usuario es incorrecta. WebSEAL ha recibido una tentativa de autenticacin inesperada de un servidor web con unin. El recurso que ha solicitado ha sido trasladado temporalmente. Esto sucede a menudo si hay alguna redireccin mal manipulada. WebSEAL ha recibido una solicitud HTTP incorrecta. El recurso que ha solicitado est protegido por WebSEAL y, para poder acceder al mismo, primero debe iniciar la sesin. El usuario no tiene permisos para acceder al recurso solicitado. No se puede localizar el recurso solicitado.
Cdigo de error HTTP
38cf025c.html 38cf025d.html
38cf025e.html
No se ha podido iniciar la sesin del usuario
38cf025f.html
Tentativa de autenticacin inesperada Trasladado temporalmente
38cf0421.html
302
38cf0424.html 38cf0425.html
Solicitud incorrecta Se necesita iniciar la sesin
400
38cf0427.html 38cf0428.html 38cf0432.html 38cf0434.html 38cf0437.html
No autorizado No encontrado Servicio no disponible Se requiere privacidad Servidor suspendido
403 404
En este momento, no est disponible un servicio 503 que WebSEAL necesita para completar la solicitud. Se necesita nivel de privacidad de calidad de proteccin. El administrador del sistema ha inhabilitado temporalmente el servidor WebSEAL. No se atender ninguna solicitud hasta que el administrador vuelva a habilitar el servidor. La interaccin entre navegador/servidor ha sido una sesin con informacin de estado con un servidor de fondo con unin que ha dejado de responder. WebSEAL requiere un servicio que se encuentra en dicho servidor para ejecutar la solicitud. El servicio que necesita WebSEAL se encuentra en un servidor de fondo con unin donde ha fallado la autenticacin mutua SSL. No se ha ejecutado correctamente un programa CGI. El recurso que ha solicitado est protegido por una poltica que restringe el acceso a perodos de tiempo especficos. La hora actual est fuera de los perodos de tiempo permitidos.
38cf0439.html
Se ha perdido la informacin de la sesin
38cf0442.html
Servicio no disponible
38cf07aa.html 38cf08cc.html
Ejecucin incorrecta del programa CGI Acceso denegado
94
Nombre de archivo 38cf04d7.html
Ttulo El servidor de terceros no responde
Descripcin El recurso solicitado se encuentra en un servidor de terceros. WebSEAL ha intentado establecer contacto con el servidor, pero el servidor no responde. El recurso solicitado se encuentra en un servidor de terceros. WebSEAL ha intentado establecer contacto con el servidor, pero el servidor no responde. WebSEAL no ha podido ejecutar la solicitud debido a un error inesperado. La operacin de supresin (DELETE) iniciada por el cliente se ha ejecutado correctamente.
Cdigo de error HTTP
38cf04c6.html
El servidor de terceros no responde
default.html
Error del servidor
500 200
deletesuccess.html Operacin ejecutada putsuccess.html relocated.html websealerror.html Operacin ejecutada Trasladado temporalmente 400 Error del servidor WebSEAL
La operacin de transferencia (PUT) iniciada por el 200 cliente se ha ejecutado correctamente. El recurso que ha solicitado se ha trasladado temporalmente. Error interno del servidor WebSEAL. 302 400
Modificacin de pginas de error HTTP existentes

Puede personalizar las pginas de mensaje de error para reflejar el despliegue actual. Observe las notas siguientes: v No modifique el nombre del archivo. WebSEAL utiliza el nmero hexadecimal para mostrar el archivo de error correcto. v Utilice un editor HTML o de texto para modificar el contenido de las pginas. Asegrese de que utiliza cdigos HTML vlidos. v WebSEAL proporciona un conjunto de macros que pueden utilizarse para capturar informacin dinmica. Consulte el apartado Soporte para macros de las pginas de gestin de cuentas en la pgina 99.
Creacin de pginas de error HTTP nuevas

Puede crear nuevas pginas de mensajes de error para los errores hexadecimales que devuelve WebSEAL. Los errores hexadecimales que devuelve WebSEAL estn documentados en la publicacin IBM Tivoli Access Manager Error Message Reference. Por ejemplo, cuando WebSEAL detecta una cabecera HTTP que no es vlida, devuelve este error:
wand_s_jct_invalid_http_header 0x38cf04d5
Para crear una pgina de mensaje de error nueva para este error, complete los pasos siguientes: 1. Cree un archivo HTML nuevo. Para asignar un nombre al archivo, elimine los caracteres del prefijo 0x (hex) del nmero de error y agregue el sufijo .html. Por ejemplo, 0x38cf04d5 pasa a ser:
38cf04d5.html
Si lo desea, puede utilizar uno de los archivos de error HTTP existentes como plantilla. Cpielo y cambie el nombre del mismo.
95
2. Consulte la publicacin IBM Tivoli Access Manager Error Message Reference para obtener informacin sobre el error exacto que se ha detectado. Utilice esta informacin para editar el cuerpo de la pgina HTML. 3. Si lo desea, puede utilizar las macros descritas en el apartado Modificacin de pginas de error HTTP existentes en la pgina 95. 4. Guarde el nuevo archivo en el mismo directorio que el resto de los mensajes de error HTTP.
Habilitacin de la pgina de error de hora del da

La activacin de un mensaje de error se controla mediante un valor del archivo de configuracin de WebSEAL. Para que WebSEAL pueda mostrar 38cf08cc.html, debe definir la entrada siguiente:
[acnt-mgt] client-notify-tod = yes
Cuando client-notify-tod = yes, WebSEAL enva al cliente un mensaje de error que indica que el error de autorizacin se ha producido porque ha fallado una comprobacin de acceso time-of-day # POP. Esta entrada est establecida en no de forma predeterminada.
Especificacin de la ubicacin de las pginas de error

Para especificar la ubicacin de directorio para las pginas de error, defina la entrada error-dir en la stanza [content]:
[content] error-dir = lib/errors
El valor lib/errors es el directorio predeterminado. Si lo desea, puede modificar este valor. Esta ubicacin es relativa al directorio especificado por la entrada server-root de la stanza [server]. Adems, el directorio especfico al entorno local se agrega automticamente al final de la jerarqua de directorios. Por ejemplo, si tenemos un sistema cuyo nombre de instancia es webseal1 y que presenta los valores siguientes de configuracin: v server-root = /opt/pdweb/www-webseal1 v error-dir = lib/errors v Directorio del entorno local ingls C la ubicacin de las pginas de error sera:
/opt/pdweb/www-webseal1/lib/errors/C
Compatibilidad con versiones anteriores

v WebSEAL versin 5.1 introduce las pginas de error nuevas que se indican a continuacin: 38cf04d7.html 38cf04c6.html Estos mensajes proporcionan informacin que indica que la anomala detectada se ha originado en el servidor de fondo, no en WebSEAL. En releases anteriores,
96
WebSEAL devolva solamente la pgina de error predeterminada. Si desea mantener el comportamiento anterior, elimine las pginas de mensajes de error HTTP del directorio de pginas de mensajes de error. v WebSEAL versin 5.1 introduce un nuevo mensaje de error HTTP para utilizarlo si se deniega el acceso porque no se cumple una poltica de hora del da POP (poltica de objetos protegidos). El uso de esta pgina de mensaje de error se controla mediante un valor del archivo de configuracin de WebSEAL. Para inhabilitar el uso de esta pgina, cambie el siguiente valor de configuracin:
[acnt-mgmt] client-notify-tod = no
Nota: Siempre se registra un 403, independientemente del valor asignado a client-notify-tod.
97
Gestin de pginas personalizadas de gestin de cuentas

Tivoli Access Manager incluye ejemplos de pginas HTML de gestin de cuentas que se pueden personalizar de forma que contengan mensajes especficos para el sitio o lleven a cabo acciones especficas para ste. La mayora de las pginas son adecuadas para la autenticacin de formularios, seales y de BA a travs de HTTP o HTTPS. Las ubicaciones de archivo para estas pginas se definen mediante el parmetro mgt-pages-root de la stanza [acnt-mgt] del archivo de configuracin de WebSEAL.
mgt-pages-root = lib/html/<dir-idioma>
El directorio real utilizado se basa en el idioma. El directorio predeterminado para ingls de EE.UU. es:
lib/html/C
Los archivos en idioma japons se encuentran en:

lib/html/JP
Consulte el apartado Mensajes de varios entornos locales en la pgina 59 para obtener ms informacin sobre el soporte para varios idiomas.
Parmetros y valores de pginas personalizadas

Los siguientes parmetros y valores especiales de pginas HTML se encuentran en la stanza [acnt-mgt] del archivo de configuracin de WebSEAL. Algunas pginas slo las utiliza el mtodo de inicio de sesin de formularios para proporcionar informacin de identidad.
Parmetro login = login-success = logout = account-locked = passwd-expired = passwd-change = passwd-change-success = passwd-change-failure = help = token-login = next-token = certificate-login = cert-stepup-http = stepup-login = switch-user = Pgina login.html login_success.html logout.html acct_locked.html passwd_exp.html passwd.html passwd_rep.html passwd.html help.html tokenlogin.html nexttoken.html certlogin.html certstepuphttp.html stepuplogin.html switchuser.html Utilizacin Inicio de sesin de formularios Inicio de sesin de formularios Inicio de sesin de formularios Cualquier mtodo Cualquier mtodo Cualquier mtodo Cualquier mtodo Cualquier mtodo Cualquier mtodo Inicio de sesin de seales Inicio de sesin de seales Inicio de sesin de certificado Inicio de sesin de certificado Autenticacin incremental Cualquier mtodo
98
Parmetro cert-failure =
Pgina certfailure.html
Utilizacin Inicio de sesin de certificado
Descripciones de pginas HTML personalizadas

Formulario acct_locked.html certfailure.html certlogin.html certstepup.html Descripcin Pgina que aparece si falla la autenticacin del usuario debido a una cuenta bloqueada. Pgina mostrada si el cliente no puede autenticar con un certificado cuando accept-client-certs = required. Formulario de inicio de sesin de certificado que se utiliza cuando accept-client-certs = prompt_as_needed. Mensaje de error que indica que se ha intentado realizar el incremento (step-up) de los certificados a travs de HTTP. Es necesario utilizar HTTPS. Pgina que contiene vnculos a pginas de administracin vlidas. Solicitud estndar de nombre de usuario y contrasea Pgina que aparece despus de iniciar la sesin correctamente. Pgina que aparece despus de finalizar la sesin correctamente. Siguiente formulario de seales. Pgina que aparece si falla la autenticacin del usuario debido que ha caducado la contrasea. Formulario de cambio de contrasea. Aparece tambin si falla la solicitud de cambio de contrasea. Pgina que aparece si la solicitud de cambio de contrasea ha sido correcta. Formulario de inicio de sesin de autenticacin incremental. Formulario de gestin de cambio de usuario. Formulario de inicio de sesin de seales.
help.html login.html login_success.html logout.html nexttoken.html passwd_exp.html passwd.html passwd_rep.html stepuplogin.html switchuser.html tokenlogin.html
Soporte para macros de las pginas de gestin de cuentas

A continuacin se indican las macros disponibles para personalizar las pginas HTML indicadas en el apartado anterior y las pginas de mensaje de error HTML indicadas en el apartado Pginas de mensaje de error predeterminadas en la pgina 93. Estas cadenas de macros se pueden colocar en los archivos de plantilla. Las macros sustituyen de forma dinmica la informacin apropiada disponible. Las macros slo se llenan en cada pgina predeterminada si el valor es relevante en la pgina en cuestin.
Macro %AUTHNLEVEL% Descripcin Nivel de autenticacin. Se utiliza en la poltica de intensidad de autenticacin (stepup).
99
Macro %BACK_NAME% %BACK_URL% %BASICAUTHN%
Descripcin El valor ATRS si hay una cabecera de referente en la solicitud o bien INICIO si no hay ninguna. El valor de la cabecera de referente procedente de la solicitud o bien / si no hay ninguna. Variable de sustitucin que se utiliza para modificar el formulario de inicio de sesin. Cuando el mtodo de autenticacin es vlido, WebSEAL elimina la variable. Cuando el mtodo de autenticacin no es vlido, WebSEAL comenta la macro. Se utiliza en tokenlogin.html, certlogin.html y stepuplogin.html. Variable de sustitucin que se utiliza para modificar el formulario de inicio de sesin. Cuando el mtodo de autenticacin es vlido, WebSEAL elimina la variable. Cuando el mtodo de autenticacin no es vlido, WebSEAL comenta la macro. Se utiliza en tokenlogin.html, certlogin.html y stepuplogin.html. Mensaje de error no modificable devuelto por Tivoli Access Manager. Igual que %ERROR_TEXT%. Ambos existen para la compatibilidad con versiones anteriores.
%CERTAUTHN%
%ERROR%
%ERROR_CODE% %ERROR_TEXT%
Valor numrico del cdigo de error. Texto asociado con un cdigo de error en el catlogo de mensajes. Igual que %ERROR%. Ambos existen para la compatibilidad con versiones anteriores.
%FAILREASON% %HOSTNAME% %HTTP_BASE% %HTTPS_BASE% %LOCATION% %METHOD% %PROTOCOL% %REFERER% %REFERER_ENCODED% %STEPUP%
Mensaje de error. Nombre de host completo. Direccin URL HTTP base del servidor, http://host:puertotcp/. Direccin URL HTTPS base del servidor, https://host:puertossl/. Contiene la direccin URL a la que se direcciona el cliente. Slo se enva en redirecciones. Mtodo HTTP solicitado por el cliente. Protocolo utilizado de conexin de cliente. Puede ser http o https. El valor de la cabecera de referente procedente de la solicitud o bien Desconocida, si no hay ninguna. Versin codificada de URI de la macro y la cabecera del referente. Mensaje que especifica el nivel incremental (step-up) necesario. Slo se enva cuando se devuelve un formulario de inicio de sesin incremental. Variable de sustitucin que se utiliza para modificar el formulario de inicio de sesin. Cuando el mtodo de autenticacin es vlido, WebSEAL elimina la variable. Cuando el mtodo de autenticacin no es vlido, WebSEAL comenta la macro. Se utiliza en tokenlogin.html, certlogin.html y stepuplogin.html.
%TOKENAUTHN%
100
Macro %URL% %URL_ENCODED% %USERNAME%
Descripcin Direccin URL solicitada por el cliente. Versin codificada de URI del URI y la macro. Nombre del usuario conectado (Vase tambin el apartado Personalizacin de formularios de inicio de sesin para la reautenticacin en la pgina 229.)
WebSEAL proporciona un archivo de configuracin que especifica cmo se inserta en las pginas HTML de WebSEAL la cadena de datos especificada por las cadenas de macro. El valor predeterminado especifica que los datos se insertan en formato UTF-8.
[content] utf8-template-macros-enabled = yes
Las pginas HTML de WebSEAL utilizan de forma predeterminada el juego de caracteres UTF8. Si modifica el juego de caracteres para especificar la pgina de cdigos local, establezca esta entrada en no. Debe tener en cuenta que este valor afecta a los archivos que se encuentran en los directorios especificados por las entradas error-dir y mgt-pages-root (de la stanza [acnt-mgt]) del archivo de configuracin.
Modificacin de pginas de versiones anteriores de Tivoli Access Manager

Para poder utilizar pginas HTML personalizadas (pginas que contienen formularios de inicio de sesin) creadas en versiones anteriores de Tivoli Access Manager, es necesario realizar algunos cambios. Las pginas HTML afectadas son: v login.html v tokenlogin.html v nexttoken.html v stepuplogin.html Las versiones actualizadas de estas pginas se envan a distintas direcciones URL de formulario y utilizan un campo oculto para pasar el tipo de formulario a WebSEAL. Si con esta versin actual de Tivoli Access Manager se utilizan las pginas (formularios) creadas en versiones anteriores Tivoli Access Manager, es posible que se presenten los sntomas siguientes: v Se reciben errores 404 al intentar enviar los formularios. v No se permite realizar la autenticacin. Deber realizar los cambios siguientes en las pginas (formularios) ms antiguas: 1. Cada formulario debe enviarse a la direccin URL siguiente:
/pkmslogin.form
2. Los formularios de inicio de sesin estndar deben incluir el campo oculto siguiente:
<INPUT TYPE="HIDDEN" NAME="login-form-type" VALUE="pwd"></TD>
3. Los formularios de inicio de sesin de seal deben incluir el campo oculto siguiente:
101
<INPUT TYPE="HIDDEN" NAME="login-form-type" VALUE="token"></TD>
Examine los formularios actualizados en la versin actual de Tivoli Access Manager como referencia para aplicar las modificaciones anteriores a los formularios antiguos.
102
Copia de seguridad y restauracin

Tivoli Access Manager proporciona la utilidad pdbackup para realizar copias de seguridad de los datos de Tivoli Access Manager y para restaurar dichos datos. Esta utilidad puede utilizarse para realizar una copia de seguridad de los datos de WebSEAL y para restaurar dichos datos. La utilidad pdbackup lee un archivo de lista de copia de seguridad que especifica los archivos y directorios que deben incluirse en la copia de seguridad. Los archivos y directorios que deben incluirse en la copia de seguridad para WebSEAL se indican en los archivos siguientes:
UNIX /opt/pdweb/etc/amwebbackup.lst Windows C:\Archivos de programa\Tivoli\PDweb\etc\amwebbackup.lst
En Windows, la lista de archivos tambin indica las claves de registro que deben incluirse en la copia de seguridad. La lista de archivos es un archivo de texto plano. Puede personalizar el contenido del archivo para agregar informacin especfica para cada despliegue. Por ejemplo, puede agregarse informacin sobre sistemas iguales (peers) entre dominios, servidores de e-community y claves de dominio de e-community. Siga el formato del archivo amwebbackup.lst. Ejemplo:
[cdsso-peers] nombre_mquina = ubicacin_archivo_claves [e-community-sso] master-authn-server = nombre_servidor [e-community-domain-keys] nombre_dominio = archivo_claves
Copia de seguridad de datos de WebSEAL

Utilice pdbackup para realizar una copia de seguridad de los datos de WebSEAL. Especifique el archivo de lista de copias de seguridad que la utilidad debe leer para obtener la lista de datos necesarios de WebSEAL. La utilidad pdbackup crea un archivo de copia archivada predeterminado. En UNIX, es un archivo .tar. En Windows, es un archivo .dir. El archivo se coloca en una ubicacin predeterminada. La ubicacin predeterminada es:
UNIX /var/PolicyDirector/backup Windows C:\Archivos de programa\Tivoli\PolicyDirector\pdbackup
Cuando WebSEAL se instala en una ubicacin no predeterminada de Windows, el directorio de pdbackup es un subdirectorio de la ubicacin de instalacin. Puede proporcionar argumentos de lnea de comandos opcionales para especificar un nombre alternativo y una ubicacin alternativa para el archivo de copia archivada.
103
El comando de ejemplo siguiente crea el archivo de copia archivada predeterminado en el directorio predeterminado.
UNIX pdbackup -a backup -l /opt/pdweb/etc/amwebbackup.1st Windows pdbackup -a backup -l dir_instalacin\etc\amwebbackup.1st
Archivo de copia archivada de ejemplo creado por este comando:

UNIX: /var/PolicyDirector/pdbackup/amwebbackuplst_15jul2003.10_41.tar Windows \dir_instalacin\pdbackup\amwebbackuplst_15jul2003.10_41.dir
Para obtener ms informacin sobre pdbackup, incluida la sintaxis, opciones y ejemplos, consulte la pgina de referencia de pdbackup de la publicacin IBM Tivoli Access Manager for e-business Command Reference.
Restauracin de datos de WebSEAL

Utilice pdbackup para restaurar los datos de WebSEAL a partir de un archivo de copia archivada. Debe especificar el archivo de copia archivada en la lnea de comandos. En UNIX, los archivos se restauran en el directorio raz. En Windows, los archivos se restauran en el directorio original. En UNIX nicamente, puede utilizar la opcin -path para especificar un directorio alternativo para restaurar el archivo. El comando siguiente restaura datos cuando el archivo de copia archivada se encuentra en la ubicacin predeterminada:
UNIX pdbackup -a restore -f pdbackup.1st_29June2002.07_24.tar Windows pdbackup -a restore -f dir_base\pdbackup\pdbackup.1st_29Jun2002.07_24.dir
Puede utilizar otras opciones de lnea de comando para especificar una ubicacin no predeterminada para el archivo de copia archivada. Para obtener ms informacin sobre pdbackup, incluida la sintaxis, opciones y ejemplos, consulte la pgina de referencia de pdbackup de la publicacin IBM Tivoli Access Manager for e-business Command Reference.
Extraccin de datos de WebSEAL archivados

Use la utilidad pdbackup para extraer datos de WebSEAL archivados. Utilice esta opcin para acceder a uno o ms archivos de copia archivada sin realizar una restauracin completa. Los archivos se extraen en un nico directorio. Durante la extraccin, no se crea ninguna jerarqua de directorios. Por ejemplo, el comando siguiente extrae el contenido de un archivo de copia archivada de /var/pdbackup (UNIX) o C:\pdback (Windows) en un directorio denominado amwebextract.
UNIX pdbackup -a extract -p amwebextract
104
-f /var/pdbackup/pdbackup.1st_29Jun2002.07_25.tar Windows pdbackup -a extract -p e:\amwebextract -f c:\pdback pdbackup.1st_29Jun2002.07_25.dir
Los comandos anteriores deben especificarse en una sola lnea. Para obtener ms informacin sobre pdbackup, incluida la sintaxis, opciones y ejemplos, consulte la pgina de referencia de pdbackup de la publicacin IBM Tivoli Access Manager for e-business Command Reference.
Herramientas para la determinacin de problemas para WebSEAL

Las siguientes herramientas para la determinacin de problemas para WebSEAL se detallan en la publicacin IBM Tivoli Access Manager Problem Determination Guide. v utilidad de estadsticas v comando pdadmin trace
105
106
Captulo 4. Servicios y registro

En este captulo se describen las funciones de servicio y de registro de WebSEAL. WebSEAL utiliza archivos de rutas para registrar los mensajes de servicio. WebSEAL utiliza el registro de eventos de Tivoli Access Manager para capturar y registrar eventos HTTP y de autenticacin. WebSEAL tambin soporta funciones de auditora de Tivoli Access Manager heredadas. Este captulo contiene los apartados siguientes: v Registro de mensajes de servicios de WebSEAL en la pgina 108 v Captura y registro de eventos en la pgina 111 v Auditora heredada en la pgina 119
107
Registro de mensajes de servicios de WebSEAL

Los mensajes de servicios de Tivoli Access Manager WebSEAL estn controlados por el archivo routing de Tivoli Access Manager WebSEAL. Con WebSEAL se distribuye una plantilla de archivo routing: UNIX:
/opt/pdwebrte/etc/routing.template
Windows:
C:\Archivos de programa\Tivoli\PDWeb\etc\routing.template
Durante la instalacin, el archivo de plantilla de rutas se personaliza para el sistema actual y se copia en un archivo denominado routing en el mismo directorio. El archivo routing es un archivo ASCII que contiene informacin adicional en forma de lneas de comentarios. Las entradas de este archivo de configuracin determinan los tipos de mensajes de servicios que se registran. Para habilitar cualquier entrada, elimine el carcter de comentario (#). El archivo routing incluye las siguientes entradas predeterminadas: UNIX:
FATAL:STDERR:ERROR:STDERR:WARNING:STDERR:#NOTICE:FILE.10.100:/opt/pdweb/log/msg__notice.log #NOTICE_VERBOSE:FILE.10.100:/opt/pdweb/log/msg__notice.log
Windows:
FATAL:STDERR:ERROR:STDERR:WARNING:STDERR:#NOTICE:FILE.10.100:%PDWEBDIR%/log/msg__notice.log #NOTICE_VERBOSE:FILE.10.100:%PDWEBDIR%/log/msg__notice.log
Nota: En un sistema Windows, la variable de entorno especial PDWEBDIR se define durante la ejecucin en el directorio de instalacin de WebSEAL. De forma predeterminada, cuando WebSEAL se ejecuta en primer plano, todos los mensajes se envan a la pantalla (STDERR). De forma predeterminada, cuando WebSEAL se ejecuta en segundo plano, los mensajes se redireccionan desde STDERR y se envan al archivo de registro del servidor WebSEAL como se ha definido en la stanza [logging] del archivo de configuracin de WebSEAL: v Proceso de servidor: webseald v Ubicacin del archivo de configuracin:
webseald-nombre_instancia.conf
v Ubicacin del archivo de registro:

UNIX: [logging] server-log=/var/pdweb/log/msg__webseald.log Windows: [logging] server-log= C:\Archivos de programa\Tivoli\PDWeb\log\msg__webseald.log
108
Para habilitar msg__verbose.log, anule el comentario de la lnea NOTICE_VERBOSE. La sintaxis FILE del mensaje NOTICE controla la creacin de nuevos archivos de registro y el reciclado de archivos:
FILE.mx_archivos.mx_registros
El valor mx_archivos especifica el nmero de archivos que se utilizan. El valor mx_registros especifica el nmero mximo de entradas por registro. En el ejemplo predeterminado anterior, FILE.10.100 significa que se han creado 10 archivos, cada uno de ellos con un mximo de 100 entradas. Los archivos se denominan:
notice.log.1 notice.log.2 . . . notice.log.10
Los mensajes se reinician en el primer archivo despus de que el ltimo archivo haya alcanzado su lmite o cuando el servidor se detenga y se reinicie. Cuando se vuelve a utilizar un archivo de registro, se sobrescriben (borran) los registros existentes. En algunos casos, cuando WebSEAL crea archivos en segundo plano, los archivos pueden ser propiedad de root (raz). Para garantizar que WebSEAL pueda escribir mensajes en estos archivos de registro, opcionalmente puede especificar los permisos de archivo, el propietario y el grupo. En el ejemplo siguiente, los argumentos opcionales que llevan esto a cabo son :666:ivmgr:ivmgr:
ERROR:STDERR:-;FILE:/var/pdweb/log/msg_error.log:666:ivmgr:ivmgr
Nota: Para obtener ms informacin sobre las opciones de configuracin del archivo de rutas, revise la plantilla de archivo de rutas que se distribuye con WebSEAL. Para obtener ms informacin sobre el soporte de Tivoli Access Manager para los mensajes de servicio, consulte la publicacin IBM Tivoli Access Manager for e-business Problem Determination Guide.
Mensajes de servicio en formato UTF-8

WebSEAL produce mensajes de servicio utilizando codificacin UTF-8. Cuando el sistema operativo utiliza una pgina de cdigos local que no es UTF-8, WebSEAL convierte automticamente los mensajes de servicio en un formato de datos que coincida con la pgina de cdigos local no UTF-8. En algunos casos, la conversin de UTF-8 a una codificacin UTF-8 puede dar lugar a la prdida de datos. Es por ello que se recomienda que el proceso de WebSEAL se ejecute en un entorno local que utilice pginas de cdigos con codificacin UTF-8. Es posible obtener registros UTF-8 cuando se utiliza un entorno local que no sea UTF-8. Utilice el tipo UTF8FILE en el archivo de rutas. Por ejemplo:
ERROR:UTF8FILE:/var/pdweb/log/msg__error.log
Para obtener ms informacin, consulte la plantilla del archivo de rutas que se distribuye con WebSEAL:
109
Debe tener en cuenta que, cuando se produce una prdida de datos, la entrada del archivo de rutas contiene una serie de signos de interrogacin (????) en la ubicacin en la que ha surgido el problema de conversin de datos. Para obtener ms informacin, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
110
Captura y registro de eventos

Utilizando el recurso de registro de eventos de Tivoli Access Manager es posible capturar eventos para registro y auditora. El registro de eventos proporciona una jerarqua estructurada para recopilar mensajes con el fin de realizar registros y una auditora. La funcin de registro de eventos tambin da soporte a la utilizacin de destinos alternativos para la salida del registro, como consolas (stdout), canalizaciones y servidores remotos. El recurso de registro de eventos presenta varias opciones de configuracin. En este captulo se describe cmo configurar el registro de eventos para capturar eventos comunes que genera WebSEAL. Antes de utilizar este captulo, es recomendable que lea la visin general del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua de administracin. En esta visin general se ofrecen muchos detalles sobre las opciones de configuracin, incluidos destinos de salida, que pueden ser vlidos para su despliegue. Nota: WebSEAL tambin soporta el modelo de auditora heredado de Tivoli Access Manager. Se recomienda utilizar este modelo nicamente para la compatibilidad con versiones anteriores. Para obtener ms informacin, consulte el apartado Auditora heredada en la pgina 119. ndice de temas: v Tareas de configuracin del registro de eventos v Configuracin de ejemplo en la pgina 112 v Configuracin del registro HTTP mediante el registro de eventos en la pgina 113 v Salida del registro de eventos de autenticacin en la pgina 115 v Datos de auditora en formato UTF-8 en la pgina 117
Tareas de configuracin del registro de eventos

Las siguientes tareas de configuracin son necesarias para cada archivo de seguimiento de auditora de WebSEAL: 1. Habilite la auditora Habilite la creacin de registros de auditora. 2. Especifique el tipo de evento de auditora. Tipos soportados de eventos de auditora de WebSEAL: v Autorizacin v Autenticacin de obtencin de credenciales v Solicitudes HTTP 3. Especifique la ubicacin del archivo de auditora La ubicacin de los registros de auditora en el sistema de archivos. 4. Especifique el tamao del archivo de auditora El tamao mximo de un archivo de seguimiento de auditora. Cuando se llega al tamao mximo, se hace una copia de seguridad del archivo y se inicia uno nuevo. 5. Especifique el intervalo de vaciado del archivo La frecuencia con la que el servidor vaca los bferes de seguimiento de auditora al archivo.
111
Las siguientes tareas de configuracin son opcionales para cada archivo de seguimiento de auditora de WebSEAL: v Especifique el tamao mximo de la cola de eventos El nmero mximo de eventos que pueden existir en la cola en la memoria. v Especifique la marca de lmite superior de la cola de eventos El nmero de eventos de la cola que desencadena un vaciado de la memoria a un archivo. v Especifique el tamao mximo del bfer El tamao mximo, en bytes, del bfer de eventos en la memoria que se debe generar a partir de eventos individuales. v Especifique la modalidad del archivo Binario o texto. La modalidad de texto slo est disponible para la plataforma Windows. El registro de eventos de Tivoli Access Manager da soporte a las tareas de configuracin adicionales, pero la auditora heredada no. Para obtener ms informacin sobre estas tareas, consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin.
Configuracin de ejemplo
La sintaxis de logcfg para configurar un archivo de seguimiento de auditora es la siguiente:
logcfg =categora:file path=nombre_ruta_acceso_archivo, flush_interval=segundos,\ rollover_size=nmero, log_id=ID_registro, queue_size=nmero, hi_water=nmero, buffer_size=nmero, mode={text|binary}
Los valores soportados para categora son los siguientes:

Tabla 15. Categoras de eventos de auditora Tipo de evento de auditora Autenticacin de obtencin de credenciales Autorizacin Informacin de registro HTTP Informacin de solicitud HTTP en formato de registro comn Informacin de cabecera de HTTP Referer Informacin de cabecera HTTP User Agent Valor de categora audit.authn audit.azn http http.clf http.ref http.agent
El formato combinado NCSA captura http.cof informacin de solicitud HTTP (con la marca de fecha y hora) y agrega las cadenas de referente y agente citadas al formato de registro comn estndar.
Por ejemplo, la entrada logcfg siguiente crea un archivo de seguimiento de auditora que recopila eventos de auditora:
logcfg = audit.authn:file path=/var/pdweb/log/audit.log,flush_interval=20, \ rollover_size=2000000
Nota: El ejemplo anterior se debe escribir en una sola lnea en el archivo de configuracin de WebSEAL.
112
En este ejemplo, la auditora se habilita cuando Tivoli Access Manager lee la entrada logcfg durante el inicio. Los siguientes parmetros proporcionan los valores de configuracin necesarios:
Tabla 16. Valores de ejemplo de los valores de configuracin necesarios Parmetro audit.authn:file path=/var/pdweb/log/audit.log rollover_size=2000000 flush_interval=20 Valor necesario Tipo de evento de auditora Ubicacin del archivo de auditora Tamao del archivo de auditora Intervalo de vaciado del archivo
En este ejemplo, no se ha especificado ninguno de los valores de configuracin opcionales. Cuando no se especifican los valores opcionales, Tivoli Access Manager utiliza los valores predeterminados para uno de ellos:
Tabla 17. Valores predeterminados de los valores de configuracin opcionales Parmetro queue_size=nmero Valor opcional Tamao mximo de la cola de eventos. El valor predeterminado es 0. Este valor significa que no existe ningn tamao mximo. Marca de lmite superior de la cola de eventos. El valor predeterminado es dos tercios de queue_size. Cuando queue_size es 0, el valor predeterminado es 100. Tamao mximo del bfer. El valor predeterminado es 0, que inhabilita el bfer. Modalidad del archivo. La modalidad predeterminada es binary. La modalidad de texto slo est soportada en Windows.
hi_water=nmero
buffer_size=nmero mode={text|binary}
Las entradas de logcfg se encuentran en la stanza [aznapi-configuration] del archivo de configuracin de WebSEAL. Cree una entrada logcfg para cada tipo de evento de auditora. Consulte tambin: v El apartado sobre auditora de la informacin de consulta del archivo de configuracin de WebSEAL: Auditora en la pgina 521. v El captulo sobre registro y auditora de la publicacin IBM Tivoli Access Manager Base Gua de administracin.
Configuracin del registro HTTP mediante el registro de eventos

El registro HTTP utilizando registro de eventos puede configurarse en la stanza [aznapi-configuration] del archivo de configuracin de WebSEAL. Utilice el parmetro de registro de eventos logcfg para definir uno o ms agentes de registro (registradores), que rene una categora especifica de informacin de registro de la agrupacin de eventos y dirige esta informacin a un destino:
[aznapi-configuration] logcfg = categora:{stdout|stderr|file|pipe|remote} [[parm[=valor]] [,parm[=valor]]...]
113
Los valores de categora que son adecuados para el registro HTTP incluyen los siguientes: v http Toda la informacin de registro HTTP v http.clf Informacin de solicitud HTTP en formato de registro comn v http.ref Informacin de cabecera HTTP Referer v http.agent Informacin de cabecera HTTP User_Agent v http.cof El formato combinado NCSA captura informacin de solicitud HTTP (con la marca de fecha y hora) y agrega las cadenas de referente y agente citadas al formato de registro comn estndar. Compatibilidad con valores de auditora heredados Las siguientes configuraciones de agente de registro estn habilitadas cuando los parmetros de registro HTTP de WebSEAL heredados estn habilitados (consulte el apartado Auditora heredada en la pgina 119). Tenga en cuenta que las configuraciones de agente de registro aceptan los valores de los parmetros requests-file, referers-file, agents-file, flush-time y max-size de la stanza [logging] del archivo de configuracin de WebSEAL: request.log (formato de registro comn):
logcfg = http.clf:file path=<requests-file>,flush=<flush-time>, \ rollover=<max-size>,log=clf,buffer_size=8192,queue_size=48
referer.log:
logcfg = http.ref:file path=<referers-file>,flush=<flush-time>, \ rollover=<max-size>,log=ref,buffer_size=8192,queue_size=48
agent.log (formato de registro comn):

logcfg = http.agent:file path=<agents-file>,flush=<flush-time>, \ rollover=<max-size>,log=agent,buffer_size=8192,queue_size=48
Dado que el registro HTTP heredado se configura en una stanza distinta ([logging]) que la configuracin de registro de eventos ([aznapi-configuration]), es posible que aparezcan dos entradas duplicadas para cada evento en un archivo de configuracin cuando ambos mecanismos de registro estn habilitados. Para obtener ms informacin sobre cmo configurar logcfg, consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin.
Salida del registro de eventos HTTP

La configuracin del indicador de auditora http captura la misma informacin que los archivos de registro HTTP estndar (request.log, referer.log y agent.log). A continuacin se muestra un ejemplo de registro de auditora HTTP de un evento de cambio de contrasea.
114
<date>2003-10-29-10:30:35.003-08:00I-----</date> <outcome status="953091558">1</outcome> <originator blade="webseald"><component rev="1.1">http</component> <action>2</action> <location>meow</location> </originator> <accessor name=""> <principal auth="IV_LDAP_V3.0" domain="Default">testuser</principal> </accessor> <target resource="5"><object><![CDATA[/pkmspasswd.form]];;;</object></target> <data> <![CDATA[POST /pkmspasswd.form HTTP/1.1]];;;; 512 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461; .NET CLR 1.0.3705) <![CDATA[https://meow.cruz.ibm.com/pkmspasswd]];;;; </data> </event> <event rev="1.2"> <date>2003-10-29-10:30:40.008-08:00I-----</date> <outcome status="953091102">1</outcome> <originator blade="webseald"><component rev="1.1">http</component> <action>2</action> <location>meow</location> </originator> <target resource="5"><object></object></target> <data> </data> </event>
Salida del registro de eventos de autenticacin

La autenticacin de un principal se realiza durante la obtencin de credenciales. Tivoli Access Manager puede capturar los registros de auditora para registrar los intentos correctos e incorrectos de autenticacin. El siguiente es un ejemplo de evento de autenticacin registrado en WebSEAL de un usuario no autenticado.
<event rev="1.2"> <date>2001-11-14-23:04:26.630+00:00I-----</date> <outcome status="0">0</outcome> <originator blade="webseald"><component rev="1.2">authn</component> <action>0</action> <location>phaedrus</location> </originator> <accessor name=""> <principal auth="invalid"></principal> </accessor> <target resource="7"><object></object></target> <data> </data> </event>
El siguiente es un ejemplo de evento de autenticacin registrado en WebSEAL de un usuario autenticado.

<event rev="1.2"> <date>2001-11-14-15:56:06.551+00:00I-----</date> <outcome status="0">0</outcome> <originator blade="webseald"><component rev="1.2">authn</component> <action>0</action> <location>phaedrus</location> </originator> <accessor name=""> <principal auth="IV_LDAP_V3.0" domain="Default">testuser2</principal> </accessor>
115
<target resource="7"><object></object></target> <data> </data> </event>
A continuacin se muestra un ejemplo de error de autenticacin debido a una contrasea errnea. Observe que el valor del resultado es 1.
<event rev="1.2"> <date>2003-10-21-17:23:29.250-07:00I-----</date> <outcome status="320938184">1</outcome> <originator blade="webseald"><component rev="1.2">authn</component> <action>0</action> <location>meow</location> </originator> <accessor name=""> <principal auth="password" domain="Default">testuser</principal> </accessor> <target resource="7"><object></object></target> <data> Error de contrasea: testuser</data> </event>
El siguiente es un ejemplo de evento de error de autenticacin (debido a una contrasea caducada) registrado en WebSEAL. Observe que el resultado es 0. El valor de estado 320938188 indica que la anomala se debe a una contrasea que ha caducado. Este valor de estado est documentado en la publicacin IBM Tivoli Access Manager Error Message Reference.
<event rev="1.2"> <date>2001-11-14-16:23:00.294+00:00I-----</date> <outcome status="320938188">0</outcome> <originator blade="webseald"><component rev="1.2">authn</component> <action>0</action> <location>phaedrus</location> </originator> <accessor name=""> <principal auth="IV_LDAP_V3.0" domain="Default">testuser2</principal> </accessor> <target resource="7"><object></object></target> <data> </data> </event>
El siguiente es un ejemplo de evento de error de autenticacin debido a demasiados intentos de inicio de sesin incorrectos (poltica de tres intentos) registrado en WebSEAL. Observe que el resultado es 1.
<event rev="1.2"> <date>2003-10-21-17:23:35.795-07:00I-----</date> <outcome status="320938290">1</outcome> <originator blade="webseald"><component rev="1.2">authn</component> <action>0</action> <location>meow</location> </originator> <accessor name=""> <principal auth="password" domain="Default">testuser</principal> </accessor> <target resource="7"><object></object></target> <data> Bloqueo de cuenta: testuser</data> </event>
El siguiente es un ejemplo de evento de cambio de contrasea correcto registrado en WebSEAL.
116
<event rev="1.2"> <date>2003-10-29-10:30:34.999-08:00I-----</date> <outcome status="0">0</outcome> <originator blade="webseald"><component rev="1.2">authn</component> <action>1</action> <location>meow</location> </originator> <accessor name=""> <principal auth="passwd-ldap" domain="Default">testuser</principal> </accessor> <target resource="7"><object></object></target> <data> Cambiar la contrasea para for testuser</data> </event>
El estado de resultado 0 indica que la contrasea se ha cambiado correctamente. Cualquier otro resultado indica un cdigo de estado de error. En la tabla siguiente se indican los cdigos de error de autenticacin y sus estructuras de elemento <data> que se devuelven cuando falla un intento de autenticacin:
Tabla 18. Errores de autenticacin Tipo de error Error de contrasea Cdigo de error (en hex) 132120c8 Cdigo de error (en decimal) 320938184 XML generado <data>Password failure: usuario</data> <data>Account lock-out: usuario</data> La contrasea del usuario ha caducado. <data><username> usuario</username> </data>
Bloqueo de cuenta
13212132
320938290
Contrasea caducada 132120cc Error general El resto
320938188 El resto
Para determinar la razn de un evento auditado como un bloqueo de cuenta (debido, por ejemplo, a la poltica de tres intentos), obtenga el cdigo de error que se muestra en la tabla anterior. El cdigo de error se incluye en la salida de auditora en el indicador <outcome status>:
<outcome status>"13212132">0</outcome>
Invoque el comando pdadmin errtext con el cdigo de error para recibir una razn del resultado. Por ejemplo:
> pdadmin errtext 13212132 Esta cuenta se ha bloqueado temporalmente debido a un excesivo nmero de intentos de inicio de sesin incorrectos
Los cdigos de error de Tivoli Access Manager se describen en la publicacin IBM Tivoli Access Manager Error Message Reference.
Datos de auditora en formato UTF-8

WebSEAL produce datos de auditora utilizando codificacin UTF-8. Cuando el sistema operativo utiliza una pgina de cdigos local que no es UTF-8, WebSEAL convierte automticamente los datos de auditora en un formato de datos que
117
coincida con la pgina de cdigos local no UTF-8. En algunos casos, la conversin de UTF-8 a una codificacin UTF-8 puede dar lugar a la prdida de datos. Es por ello que se recomienda que el proceso de WebSEAL se ejecute en un entorno local que utilice pginas de cdigos con codificacin UTF-8. Es posible obtener registros UTF-8 cuando se utiliza un entorno local que no sea UTF-8. Utilice el tipo UTF8FILE en el archivo de rutas. Debe tener en cuenta que, cuando se produce una prdida de datos, la entrada del archivo de auditora contiene una serie de signos de interrogacin (????) en la ubicacin en la que ha surgido el problema de conversin de datos. Para obtener ms informacin, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
118
Auditora heredada
La auditora heredada se configura proporcionando un valor para cada uno de las claves siguientes:
[aznapi-configuration] logaudit auditlog auditcfg logsize logflush
La utilizacin de este mtodo es comparable a la del mtodo de registro de eventos, cuando se dirige la salida a un archivo. Sin embargo, tenga en cuenta que el mtodo de registro de eventos proporciona un control adicional sobre el tamao del bfer y las colas de eventos. Asimismo, la auditora heredada no da soporte a la salida a consolas, canalizaciones o servidores remotos.
Auditora heredada para autenticacin

Si desea utilizar la auditora heredada para realizar las tareas de configuracin del ejemplo de auditora de autenticacin anterior, las entradas del archivo de configuracin equivalentes seran las siguientes:
[aznapi-configuration] logaudit = yes auditcfg = authn auditlog = /var/pdweb/log/audit.log logsize = 2000000 logflush = 20
La auditora heredada no da soporte a los valores de configuracin opcionales. Para obtener ms informacin sobre los valores de configuracin de la auditora heredada, consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin.
Auditora heredada para HTTP

WebSEAL mantiene tres archivos de registro HTTP convencionales que registran la actividad en vez de los mensajes: v request.log v agent.log v referer.log De forma predeterminada, estos archivos de registro estn ubicados en el siguiente directorio: UNIX:
/var/pdweb/www/log/
Windows:
C:\Archivos de programa\Tivoli\PDWeb\www\log\
Los parmetros para configurar el registro HTTP estndar se encuentran en la stanza [logging] del archivo de configuracin de WebSEAL. La tabla siguiente muestra la relacin entre los archivos de registro HTTP y los parmetros del archivo de configuracin:
119
Archivos de registro request.log referer.log agent.log
Ubicacin Parmetro requests-file referers-file agents-file
Habil./inhabil. parmetro ( = yes o no) requests referers agents
Por ejemplo, la entrada de la ubicacin predeterminada del archivo request.log aparece de la siguiente manera: UNIX:
requests-file = /var/pdweb/www/log/request.log
Windows:
requests-file = \Archivos de programa\Tivoli\PDWeb\www\log\request.log
Habilitacin e inhabilitacin del registro HTTP

Todos los registros HTTP estn habilitados de forma predeterminada:
[logging] requests = yes referers = yes agents = yes
Se puede habilitar o inhabilitar cada registro de forma independiente. Si hay algn parmetro establecido en no, el registro se inhabilita para dicho archivo.
Especificacin del tipo de marca de fecha y hora

Puede elegir que las especificaciones de marca de fecha y hora se registren en GMT (Hora del meridiano de Greenwich) en lugar de hacerlo en la zona horaria local. El valor predeterminado es la utilizacin de la zona horaria local:
[logging] gmt-time = no
Para utilizar las indicaciones de la hora en GMT, establezca:

gmt-time = yes
Especificacin de los umbrales de creacin de archivo de registro

El parmetro max-size especifica el tamao mximo que puede alcanzar cada uno de los archivos de registro HTTP y tiene el siguiente valor predeterminado (en bytes):
[logging] max-size = 2000000
Cuando un archivo de registro alcanza el valor especificado (conocido como umbral de creacin), se realiza una copia de seguridad del archivo existente en un archivo con el mismo nombre y con la indicacin anexada de la fecha y la hora actuales. A continuacin se inicia un archivo de registro nuevo. Los distintos valores posibles de max-size se interpretan de la siguiente forma: v Si el valor de max-size es menor que cero (< 0), se crea un archivo de registro nuevo con cada invocacin del proceso de registro y cada 24 horas desde esa instancia.
120
v Si el valor de max-size es igual a cero (= 0), no se crea un nuevo registro y el archivo de registro crece indefinidamente. Si ya existe un archivo de registro, los datos nuevos se agregan a ste. v Si el valor de max-size es mayor que (> 0), se crea un nuevo registro cuando el archivo de registro alcanza el valor de umbral configurado. Si ya existe un archivo de registro en el inicio, los datos nuevos se agregan a ste.
Especificacin de la frecuencia de vaciado de los bferes de archivo de registro

Los archivos de registro se escriben en flujos de datos con bfer. Si supervisa los archivos de registro en tiempo real, puede alterar la frecuencia con la cual el servidor fuerza un vaciado de los bferes del archivo de registro. De forma predeterminada, los archivos de registro se vacan cada 20 segundos:
[logging] flush-time = 20
Si especifica un valor negativo, se forzar un vaciado cada vez que se escriba un registro.
Formato de registro comn HTTP (para request.log)

Cada respuesta (ya sea de xito o de error) que vuelve a enviar el servidor de Tivoli Access Manager se registra con una entrada de una lnea en el archivo request.log utilizando el siguiente formato de registro HTTP comn:
host - usuario_aut [fecha] solicitud estado bytes
donde: host usuario_aut fecha solicitud estado bytes Especifica la direccin IP de la mquina que realiza la solicitud. Este campo contiene la informacin de identidad del usuario. El valor unauth se utiliza para un usuario no autenticado. Especifica la fecha y la hora de la solicitud. Especifica la primera lnea de la solicitud tal como ha llegado del cliente. Especifica el cdigo de estado HTTP enviado a la mquina que realiza la solicitud. Especifica el nmero de bytes devueltos a la mquina que realiza la solicitud. Este valorel tamao de contenido sin filtrar o un tamao cerose configura con el parmetro log-filtered-pages.
Visualizacin del archivo request.log

El archivo request.log realiza el registro estndar de solicitudes HTTP, por ejemplo la informacin sobre las direcciones URL que se han solicitado y la informacin acerca del cliente (por ejemplo, la direccin IP) que ha realizado la solicitud. El ejemplo siguiente muestra una versin de un archivo request.log:
130.15.1.90 - Unauth [09/Oct/2003: 10:12:06 -0700] "GET / HTTP/1.1" 200 1979 130.15.1.90 - Unauth [09/Oct/2003: 10:24:11 -0700] "GET ]jct/cgi-bin/printenv.exe HTTP/1.1" 200 1979 130.15.1.90 - Unauth [09/Oct/2003: 11:07:13 -0700] "GET / HTTP/1.1" 200 1979 130.15.1.90 - Unauth [09/Oct/2003: 11:07:18 -0700] "GET /pkmslogin.form HTTP/1.1" 1140 130.15.1.90 - Unauth [09/Oct/2003: 11:07:18 -0700] "GET / HTTP/1.1" 200 1052
121
Visualizacin del archivo agent.log

El archivo agent.log registra el contenido de la cabecera User_Agent: de la solicitud HTTP. Este registro muestra informacin acerca del navegador del cliente, por ejemplo la arquitectura o nmero de versin, para cada solicitud. El ejemplo siguiente muestra una versin de un archivo agent.log:
Mozilla/4.01 Mozilla/4.01 Mozilla/4.01 Mozilla/4.01 [en] [en] [en] [en] (WinNT; (WinNT; (WinNT; (WinNT; U) U) U) U)
Visualizacin del archivo referer.log

El archivo referer.log registra la cabecera Referer: de la solicitud HTTP. Se registra el documento que contiene el vnculo al documento solicitado de cada solicitud. El registro utiliza el siguiente formato:
referente -> objeto
Esta informacin es til para realizar un seguimiento de vnculos externos a documentos del espacio web. El registro muestra que el origen indicado por el referente contiene un vnculo a un objeto de pgina. Este registro le permite realizar un seguimiento de vnculos obsoletos y ver quin crea vnculos a sus documentos. El ejemplo siguiente muestra una versin de un archivo referer.log:
http://manuel/maybam/index.html -> /pics/tivoli_logo.gif http://manuel/maybam/pddl/index.html -> /pics/tivoli_logo.gif http://manuel/maybam/ -> /pddl/index.html http://manuel/maybam/ -> /pddl/index.html http://manuel/maybam/pddl/index.html -> /pics/tivoli_logo.gif http://manuel/maybam/ -> /pddl/index.html
Datos de registro en formato UTF-8

WebSEAL produce datos de registro utilizando codificacin UTF-8. Cuando el sistema operativo utiliza una pgina de cdigos local que no es UTF-8, WebSEAL convierte automticamente los datos de registro en un formato de datos que coincida con la pgina de cdigos local UTF-8. En algunos casos, la conversin de UTF-8 a una codificacin UTF-8 puede dar lugar a la prdida de datos. Es por ello que se recomienda que el proceso de WebSEAL se ejecute en un entorno local que utilice pginas de cdigos con codificacin UTF-8. Para obtener ms informacin, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
122
Captulo 5. Poltica de seguridad de WebSEAL

Este captulo contiene informacin que describe cmo configurar y personalizar la poltica de seguridad de WebSEAL. ndice de temas: v Polticas de ACL especficas de WebSEAL en la pgina 124 v Configuracin de la poltica de inicio de sesin en tres intentos en la pgina 126 v Configuracin de la poltica de intensidad de contraseas en la pgina 129 v Poltica de intensidad de autenticacin en la pgina 132 v Poltica POP de calidad de proteccin en la pgina 141 v Gestin de usuarios no autenticados (HTTP / HTTPS) en la pgina 141
123
Polticas de ACL especficas de WebSEAL

Las siguientes consideraciones de seguridad se aplican al contenedor /WebSEAL del espacio de objetos protegidos: v El objeto de WebSEAL empieza la cadena de herencia ACL para la regin del espacio de objetos de WebSEAL v Si no aplica ninguna otra ACL explcita, este objeto define (a travs de la herencia) la poltica de seguridad para todo el espacio web v El permiso traverse es necesario para el acceso a cualquier objeto situado por debajo de este punto Consulte la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener informacin completa sobre las polticas ACL de Tivoli Access Manager.
/WebSEAL/nombre_instancia-host
Esta entrada de subdirectorio representa el inicio del espacio web para una instancia determinada de servidor WebSEAL. Las siguientes consideraciones de seguridad se aplican a este objeto: v El permiso traverse es necesario para el acceso a cualquier objeto situado por debajo de este punto v Si no aplica ninguna otra ACL explcita, este objeto define (a travs de la herencia) la poltica de seguridad para todo el espacio de objetos de esta mquina
/WebSEAL/nombre_instancia-host/archivo
Esta entrada de subdirectorio representa el objeto de recurso comprobado para el acceso HTTP. Los permisos comprobados dependern de la operacin que se solicite.
Permisos ACL de WebSEAL

En la tabla siguiente se describen los permisos ACL aplicables para la regin WebSEAL del espacio de objetos:
Operacin r x d m read execute delete modify Ver el objeto web. Ejecutar el programa CGI. Eliminar el objeto web del espacio web. Realizar la transferencia (PUT) de un objeto HTTP. (Colocar publicar - un objeto HTTP en el espacio de objetos de WebSEAL.) Requerido por Policy Server para generar una lista de directorios automatizada del espacio web. Este permiso tambin controla si un cliente puede ver las listas de contenido del directorio cuando la pgina index.html predeterminada no est presente. g delegation Concede fiabilidad a un servidor WebSEAL para que acte en nombre de un cliente y pase las solicitudes a un servidor WebSEAL con unin. Descripcin
list
124
Poltica de ACL predeterminada de /WebSEAL

Las entradas esenciales de la ACL de WebSEAL, default-webseal, son:
Grupo iv-admin Grupo webseal-servers Usuario sec_master Cualquier otro No autenticado Tcmdbsvarxl Tgmdbsrxl Tcmdbsvarxl Trx T
Durante la instalacin, esta ACL predeterminada se asocia al objeto contenedor /WebSEAL en el espacio de objetos. El grupo, webseal-servers, contiene una entrada para cada servidor WebSEAL en el dominio seguro. Los permisos predeterminados permiten a los servidores responder a las solicitudes del navegador. El permiso traverse permite la expansin del espacio web tal como se representa en Web Portal Manager. El permiso de listas permite a Web Portal Manager visualizar el contenido del espacio web.
Caracteres vlidos para nombres de ACL

Los siguientes caracteres son vlidos para crear nombres de ACL: v v v v v v A-Z a-z subrayado (_) guin (-) barra inclinada invertida (\) Cualquier carcter de un juego de caracteres de doble byte
Para obtener informacin detallada sobre cmo crear nombres de ACL, consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin.
125
Configuracin de la poltica de inicio de sesin en tres intentos

La poltica de inicio de sesin de tres intentos, disponible para instalaciones de Tivoli Access Manager basadas en LDAP, le permite especificar un nmero mximo de intentos fallidos de inicios de sesin (n) y un tiempo de bloqueo de penalizacin (x), como que despus de n intentos fallidos de inicio de sesin se bloquee a un usuario durante x segundos (o la cuenta se inhabilita). La poltica de inicio de sesin en tres intentos se utiliza para evitar ataques de contraseas contra el sistema. La poltica crea una condicin por la cual el usuario debe esperar un periodo de tiempo antes de realizar otros intentos despus del error de un inicio de sesin. Por ejemplo, una poltica puede indicar que despus de 3 intentos fallidos debe producirse una penalizacin de 180 segundos. Este tipo de poltica de inicio de sesin puede evitar que los intentos de inicio de sesin generados por un sistema de forma aleatoria se produzcan muchas veces por segundo. La poltica de inicio de sesin en tres intentos requiere la contribucin conjunta de dos valores del comando pdadmin policy: v Nmero mximo de intentos de inicio de sesin fallidos policy set max-login-failures v Penalizacin al exceder el valor de intentos de inicio de sesin fallidos conjunto de polticas disable-time-interval El valor de penalizacin puede incluir un intervalo de tiempo de bloqueo de la cuenta o una inhabilitacin total de sta. Si se ha establecido una poltica de inicio de sesin (como ejemplo) en tres intentos fallidos seguidos de una penalizacin de tiempo de bloqueo especfica, un cuarto intento (correcto o incorrecto) dar como resultado una pgina de error que indicar que la cuenta no est disponible temporalmente debido a la poltica de contraseas. El intervalo de tiempo se especifica en segundos el intervalo de tiempo mnimo recomendado es de 60 segundos. Si la poltica disable-time-interval se establece en inhabilitar, el usuario se bloquea para la cuenta y el atributo LDAP account valid (cuenta vlida) para este usuario se establece en no. Un administrador rehabilita la cuenta a travs de Web Portal Manager. Nota: Si establece disable-time-interval en inhabilitar, provoca una actividad general de administracin adicional, porque el administrador debe volver a habilitar la cuenta manualmente. Despus de volver a habilitar la cuenta, es posible que la informacin de cuenta vlida actualizada no est disponible inmediatamente. Esta situacin puede ocurrir cuando se utiliza WebSEAL con un entorno de LDAP que incluye servidores LDAP replicados. En este caso, la informacin actualizada se propaga por las rplicas de LDAP segn los valores de configuracin de LDAP que especifican el intervalo de tiempo para realizar las actualizaciones.
Poltica de bloqueo de cuentas con servidores WebSEAL de equilibrio de carga

Puede utilizar la poltica de inicio de sesin de tres intentos para asegurarse de que una cuenta est bloqueada tras un nmero determinado de intentos de inicio
126
de sesin. Esta poltica funciona bien para configuraciones que implican un servidor WebSEAL. En una configuracin que implica mltiples servidores WebSEAL frontales con un mecanismo de equilibrio de carga, los resultados de la poltica se ven afectados por el hecho de que cada servidor WebSEAL mantiene su propia cuenta local de intentos fallidos de inicio de sesin. Por ejemplo, si el valor max-login-failures se establece en tres (3) intentos, y el cliente falla el primero, la cuenta de este servidor se bloquea. Sin embargo, cuando el cliente intenta iniciar la sesin de nuevo, el mecanismo de equilibrio de carga, que detecta un fallo de conexin con el primer servidor, redirecciona la solicitud a otro servidor WebSEAL replicado disponible. Ahora el cliente tiene otras tres oportunidades para intentar iniciar sesin. Para n intentos configurados en cada servidor WebSEAL, y m servidores WebSEAL replicados frontales, se garantiza el bloqueo de cuenta inicial en un servidor tras n intentos. Tambin se garantizan unos intentos totales de n x m para iniciar sesin en todos los servidores configurados. No obstante, tras n intentos, no est claro si los siguientes fallos de autenticacin se deben al bloqueo de un servidor concreto o a inicios de sesin incorrectos a travs de los servidores replicados restantes. El clculo de n x m proporciona un lmite superior fijo mximo en el nmero total de intentos de inicio de sesin consecutivos antes de que se produzca un bloqueo completo. Puede ocurrir que este nmero sea probablemente mucho menor que el nmero de intentos estadsticamente necesarios para romper una contrasea. Si su solucin de seguridad empresarial requiere una poltica de inicio de sesin de tres intentos, debe comprender las implicaciones de la configuracin WebSEAL frontal mltiple / de equilibrio de carga de esta poltica.
Sintaxis de los comandos de inicio de sesin de tres intentos

Los comandos pdadmin siguientes se utilizan para establecer la poltica de inicio de sesin de tres intentos.
Comando Descripcin
policy set max-login-failures {<nmero>|unset} [-user <nombre-usuario>] policy get max-login-failures [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mximo de intentos de inicio de sesin fallidos permitidos antes de imponer una penalizacin. Este comando depende de un conjunto de penalizaciones en el comando policy set disable-time-interval. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro LDAP. El parmetro unset elimina los valores del usuario especificado. La poltica global se continuar aplicando. El valor predeterminado es 10 intentos. policy set disable-time-interval {<nmero>|unset|disable} [-user <nombre-usuario>] policy get disable-time-interval [-user <nombre-usuario>]
127
Comando
Descripcin Gestiona la poltica de penalizaciones controlando el periodo de tiempo que debe inhabilitarse una cuenta si se ha alcanzado el nmero mximo de intentos de inicio de sesin fallidos. Como administrador, puede aplicar esta poltica de penalizaciones a un usuario especfico o bien de forma global a todos los usuarios listados en el registro LDAP. El parmetro unset elimina los valores del usuario especificado. La poltica global se continuar aplicando. El valor predeterminado es 180 segundos.
128
Configuracin de la poltica de intensidad de contraseas

La poltica de intensidad de contraseas hace referencia a las estipulaciones de construccin de una contrasea mediante reglas de poltica de contraseas. Tivoli Access Manager ofrece dos maneras de controlar la poltica de intensidad de contraseas: v Cinco comandos pdadmin de poltica de contraseas v Puede escribir un mdulo de autenticacin personalizado para aplicar la poltica de contraseas Consulte la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference.
Poltica de intensidad de contraseas establecida por la utilidad pdadmin

Los cinco atributos de intensidad de contraseas implementados a travs de la utilidad pdadmin son: v Longitud mnima de la contrasea v Caracteres alfabticos mnimos v Caracteres no alfabticos mnimos v Nmero mximo de caracteres repetidos v Espacios permitidos Estas polticas se aplican cuando crea un usuario con pdadmin o Web Portal Manager, y cuando cambia una contrasea con pdadmin, Web Portal Manager o la utilidad pkmspasswd.
Sintaxis para los comandos de poltica de intensidad de contraseas

Los comandos pdadmin siguientes, utilizados para establecer la poltica de intensidad de contraseas, son apropiados para utilizarlos nicamente en un registro LDAP. La opcin unset inhabilita este atributo de poltica, es decir, la poltica no se aplica.
Comando Descripcin
policy set min-password-length {<nmero>|unset} [-user <nombre-usuario>] policy get min-password-length [-user <nombre-usuario>] Gestiona la poltica controlando la longitud mnima de una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 8. policy set min-password-alphas {<nmero>|unset} [-user <nombre-usuario>] policy get min-password-alphas [-user <nombre-usuario>]
129
Comando
Descripcin Gestiona la poltica controlando el nmero mnimo de caracteres alfabticos permitidos en una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 4.
policy set min-password-non-alphas {<nmero>|unset} [-user <nombre-usuario>] policy get min-password-non-alphas [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mnimo de caracteres no alfabticos (numricos) permitidos en una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 1. policy set max-password-repeated-chars {<nmero>|unset} [-user <nombre-usuario>] policy get max-password-repeated-chars [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mximo de caracteres repetidos permitidos en una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 2. policy set password-spaces {yes|no|unset} [-user <nombre-usuario>] policy get password-spaces [-user <nombre-usuario>] Gestiona la poltica controlando si una contrasea puede contener espacios. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es unset (no establecido).
Valores predeterminados de los parmetros de poltica

En la tabla siguiente se listan los parmetros de poltica y los valores predeterminados:
Parmetro min-password-length min-password-alphas min-password-non-alphas max-password-repeated-chars password-spaces 8 4 1 2 unset Valor predeterminado
130
Para crear el comportamiento de la poltica de contraseas en releases anteriores de Tivoli Access Manager, aplique la opcin unset a cada uno de los cinco parmetros de contraseas que se mencionan anteriormente.
Ejemplos de contraseas vlidas y no vlidas

La tabla siguiente muestra varios ejemplos de contraseas y los resultados de la poltica segn los valores predeterminados de los cinco parmetros de pdadmin:
Ejemplo password pass passs1234 12345678 password3 Resultado No vlida: debe contener al menos un carcter no alfabtico. No vlida: debe contener 8 caracteres como mnimo. No vlida: contiene ms de dos caracteres repetidos. No vlida: debe contener al menos cuatro caracteres alfabticos. Vlida.
Valores globales y especficos para un usuario

Los comandos pdadmin policy se pueden establecer para un usuario especfico (con la opcin -user) o bien globalmente (sin utilizar la opcin -user). Los valores especficos para un usuario prevalecen sobre los valores globales de la poltica. Tambin puede inhabilitar (unset) un parmetro de poltica, lo que significa que el parmetro no contiene ningn valor. No se comprobarn ni se aplicarn las polticas que tengan la opcin unset. Por ejemplo:
pdadmin> policy set min-password-length 8 pdadmin> policy set min-password-length 4 -user matt pdadmin> policy get min-password-length Longitud mnima de la contrasea: 8 pdadmin> policy get min-password-length -user matt Longitud mnima de la contrasea: 4
(El usuario matt tiene una poltica de longitud mnima de la contrasea de 4 caracteres; los dems usuarios tienen una poltica de longitud mnima de la contrasea de 8 caracteres.)
pdadmin> policy set min-password-length unset -user matt
(El usuario matt ahora se rige por la poltica de longitud mnima de la contrasea global de 8 caracteres.)
pdadmin> policy set min-password-length unset
(Todos los usuarios, incluido el usuario matt, ahora no tienen ninguna poltica de longitud mnima de la contrasea.)
131
Poltica de intensidad de autenticacin

Este apartado contiene los temas siguientes: v Visin general de la intensidad de la autenticacin v Configuracin de la intensidad de autenticacin en la pgina 134
Visin general de la intensidad de la autenticacin

WebSEAL soporta varios mtodos de autenticacin. Entre estos mtodos cabe destacar la autenticacin bsica, autenticacin de formularios, autenticacin de seal y autenticacin de certificado. Cualquier cliente que acceda a un servidor WebSEAL tiene un estado de autenticacin, como no autenticado o seal, que indica el mtodo mediante el que el cliente se ha autenticado la ltima vez con WebSEAL. WebSEAL proporciona una funcin que permite a los administradores asignar una clasificacin o un nivel a algunos de los mtodos de autenticacin. Los administradores pueden definir una lista ordenada que clasifica cada mtodo de autenticacin del ms bajo al ms alto. Esta clasificacin jerrquica puede adaptarse de forma arbitraria para cada despliegue individual de WebSEAL. No existe ninguna clasificacin absoluta entre los mtodos de autenticacin. Esto significa que ningn mtodo de autenticacin es intrnsecamente mejor o ms fuerte que otro. La clasificacin simplemente constituye un mtodo que permite al administrador definir un nivel relativo para cada mtodo de autenticacin para utilizarlo con un espacio de nombres de objetos protegidos de Tivoli Access Manager WebSEAL especfico. La nica regla que gua la asignacin de niveles es que el nivel no autenticado siempre es ms bajo que todos los dems niveles de autenticacin. Este conjunto de niveles de autenticacin puede utilizarse para implementar una poltica de intensidad de autenticacin. La intensidad de la autenticacin tambin se denomina autenticacin incremental. Tenga en cuenta, no obstante, que la autenticacin incremental no es un mtodo de autenticacin exclusivo, como la autenticacin de formularios y la autenticacin de certificado. En realidad, es un proceso definido que permite a los usuarios cambiar su mtodo de autenticacin actual por otro mtodo de autenticacin. El concepto de cambiar el mtodo de autenticacin es til como forma de proporcionar proteccin adicional para recursos seleccionados en el espacio de nombres de objetos protegidos de IBM Tivoli Access Manager WebSEAL. Por ejemplo, un usuario puede iniciar la sesin utilizando la autenticacin de certificado y, a continuacin, acceder a muchos recursos que estn protegidos por la seguridad de Tivoli Access Manager. Cuando el usuario intenta acceder a un recurso ms sensible, que se ha marcado de tal modo que requiera un nivel de acceso ms alto, se le solicita que inicie la sesin utilizando un nivel de autenticacin distinto. Tenga en cuenta que, cuando un usuario activa la intensidad de la autenticacin intentando acceder a un objeto protegido, no es necesario que el usuario finalice primero la sesin. En lugar de ello, se ofrece al usuario una lnea de comandos de inicio de sesin desde la que el usuario simplemente debe iniciar la sesin de nuevo en el nivel ms alto.
132
Los usuarios pueden cambiar la intensidad de la autenticacin varias veces por sesin de autenticacin. Cuando un usuario aumenta la intensidad de la autenticacin, puede pasar directamente a cualquier nivel que sea superior a su nivel actual. A continuacin se indican mtodos de autenticacin a los que puede asignarse un nivel de autenticacin: v no autenticado v autenticacin de contraseas Este cubre la autenticacin bsica y la autenticacin de formularios. Ambos mtodos se implementan mediante la misma biblioteca compartida e integrada de WebSEAL. v autenticacin de seal v autenticacin de certificado La intensidad de la autenticacin se soporta tanto a travs de HTTP como a travs de HTTPS, con la excepcin de la autenticacin de certificado. Dado que los certificados slo son vlidos a travs de una conexin SSL, no es posible solicitar certificados a travs de HTTP. Si se solicita a travs de HTTP un objeto que requiere autenticacin de certificado, se muestra una pgina de error, segn especifique la entrada certstepup de la stanza [acnt-mgt] del archivo de configuracin de WebSEAL. Para aplicar los niveles de autenticacin a un recurso protegido, los administradores declaran y asocian una poltica de objetos protegidos (POP) de Tivoli Access Manager al objeto del recurso. La poltica POP es una poltica POP de Tivoli Access Manager estndar. La poltica de intensidad de la autenticacin se define y almacena en un atributo POP denominado Mtodo de autenticacin de punto final IP. El atributo toma un valor entero que representa el nivel de autenticacin. El nivel ms bajo, no autenticado, siempre es 0. Cada nivel aumenta el ndice entero hasta el nmero total de mtodos de autenticacin a los que se ha asignado un nivel. Cuando los clientes se autentican por primera vez en WebSEAL, el mtodo de autenticacin utilizado se almacena como atributo ampliado en la credencial del cliente. El servicio de autenticacin de Tivoli Access Manager compara el mtodo (nivel) de autenticacin en la credencial con el nivel de autenticacin para el recurso solicitado, como se especifica en la poltica POP. Cuando el nivel de la poltica POP sobrepasa el nivel de la credencial, se solicita al usuario que aumente el nivel de intensidad de autenticacin. Si lo desea, tambin puede utilizar el atributo Mtodo de autenticacin de punto final IP para restringir el acceso a un recurso, en funcin de la direccin de red del cliente que ha enviado la solicitud de acceso. El acceso puede restringirse en funcin de una direccin de red (IP) individual o un rango de direcciones IP. WebSEAL utiliza el siguiente algoritmo para procesar las condiciones de una poltica POP: 1. Se comprueba la poltica de mtodo de autenticacin de punto final de IP de la poltica POP. 2. Se comprueban los permisos ACL. 3. Se comprueba la poltica de acceso segn la hora del da de la poltica POP. 4. Se comprueba la poltica de nivel de auditora de la poltica POP.
133
Configuracin de la intensidad de autenticacin

Para configurar los niveles de intensidad de autenticacin, siga las instrucciones de los apartados siguientes: 1. Establezca la poltica de intensidad de autenticacin 2. Detenga el servidor WebSEAL 3. Especifique niveles de autenticacin 4. Especifique el formulario de inicio de sesin de intensidad de autenticacin en la pgina 135 5. Reinicie el servidor WebSEAL 6. Cree una poltica de objetos protegidos en la pgina 136 7. Especifique las restricciones de acceso basadas en la red en la pgina 137 8. Asocie una poltica de objetos protegido a un recurso protegido en la pgina 139 9. Aplique la coincidencia de la identidad del usuario entre los niveles de autenticacin en la pgina 140
Establezca la poltica de intensidad de autenticacin

Este apartado contiene los pasos de planificacin que deben llevarse a cabo antes de especificar los valores de intensidad de autenticacin en el archivo de configuracin WebSEAL. Efecte los pasos siguientes: 1. Compile una lista de los objetos protegidos para los que se limitar el acceso solamente a los usuarios que se hayan autenticado correctamente a travs de un mtodo de autenticacin especfico. Para cada objeto protegido, especifique el mtodo de autenticacin que proceda. 2. Compile una lista de todos los mecanismos de autenticacin que se activarn (habilitarn) en el sistema del servidor WebSEAL. 3. Determine una jerarqua (clasificacin) para los mecanismos de autenticacin activos. Ordene los mecanismos de menos a ms intenso. 4. Determine si durante el incremento de nivel de intensidad de autenticacin la identidad del usuario debe ser idntica en todo el nivel de autenticacin incrementado. 5. Determine si los recursos protegidos requieren restriccin de acceso en funcin de la direccin de red del cliente que formula la solicitud.
Especifique niveles de autenticacin

Efecte los pasos siguientes: 1. Edite la stanza [authentication-levels] del archivo de configuracin de WebSEAL. Agregue una entrada a la stanza para cada mtodo de autenticacin que deba utilizarse para el incremento de nivel de autenticacin. En la tabla siguiente se describen los mtodos de autenticacin soportados:
Tabla 19. Mtodos de autenticacin soportados para la intensidad de la autenticacin Mtodo de autenticacin (Ninguno) Autenticacin bsica Autenticacin de formularios Autenticacin de seal Autenticacin de certificado Entrada del archivo de configuracin level = unauthenticated level = password level = token level = certificate
134
Las entradas predeterminadas son:

[authentication-levels] level = unauthenticated level = password
La entrada level = unauthenticated siempre debe ser la primera de la lista. Las dems entradas pueden especificarse en cualquier orden. Por ejemplo, para habilitar los niveles de intensidad de la autenticacin para la autenticacin de certificado en el nivel ms alto, la entrada completa de la stanza debera ser la siguiente:
[authentication-levels] level = unauthenticated level = password level = certificate
Nota: Slo debe haber una entrada para cada mecanismo de autenticacin. 2. Verifique que todos los mtodos de autenticacin listados en la stanza [authentication-levels] estn habilitados. Para determinar si un mtodo de autenticacin est habilitado, compruebe las entradas correspondientes en el archivo de configuracin de WebSEAL. Para revisar las entradas necesarias y acceder a las instrucciones de configuracin de la autenticacin, consulte los apartados siguientes: v Habilitacin e inhabilitacin de la autenticacin bsica en la pgina 160 v Habilitacin e inhabilitacin de la autenticacin de formularios en la pgina 162 v Habilite la autenticacin de seal en la pgina 179. v Habilite la autenticacin de certificado en la pgina 167 Nota: La autenticacin bsica est habilitada de forma predeterminada.
Especifique el formulario de inicio de sesin de intensidad de autenticacin

Cuando un cliente intenta acceder a un recurso protegido y se le solicita que se autentique de nuevo en un nivel de intensidad de autenticacin ms alto, WebSEAL presenta un formulario HTML especial. El cliente utiliza el formulario para especificar la informacin necesaria para el tipo de autenticacin necesario. WebSEAL proporciona un formulario predeterminado. Los administradores pueden utilizar el formulario predeterminado o personalizar el formulario para adecuarlo al despliegue de WebSEAL local. La ubicacin del formulario predeterminado se especifica en el archivo de configuracin de WebSEAL:
[acnt-mgt] stepup-login = stepuplogin.html
Efecte los pasos siguientes: 1. Especifique el nombre del formulario de inicio de sesin de intensidad de autenticacin. Para utilizar la ubicacin predeterminada para el formulario, verifique que la entrada del archivo de configuracin de WebSEAL para stepup-login contiene el valor predeterminado, stepuplogin.html. 2. Si lo desea, puede personalizar el contenido del formulario de inicio de sesin de intensidad de la autenticacin.
135
Este archivo contiene macros, en forma de secuencias %TEXTO%, que se sustituyen por los valores apropiados. Esta sustitucin se produce en las funciones de proceso del archivo de plantilla de WebSEAL y permite el uso del formulario para los mtodos de autenticacin soportados con el formato correcto. Asimismo, permite proporcionar otra informacin, como el mensaje de error y el nombre del mtodo de autenticacin, que debe indicarse en el formulario para el usuario. Para obtener ms informacin sobre el uso de macros, consulte el apartado Soporte para macros de las pginas de gestin de cuentas en la pgina 99. La configuracin de los niveles de intensidad de autenticacin ha finalizado.
Cree una poltica de objetos protegidos

Efecte los pasos siguientes: 1. Cree una poltica POP. Por ejemplo, utilice pdadmin para crear una nueva poltica POP denominada test:
pdadmin> pop create test
2. Visualice el contenido de la nueva poltica POP:

pdadmin> pop show test
La nueva poltica POP contiene valores nuevos parecidos a los siguientes:

pdadmin> pop show test Poltica de objetos protegidos: test Descripcin: Aviso: no Nivel de auditora: none Calidad de proteccin: none Acceso segn hora del da: sun, mon, tue, wed, thu, fri, sat: anytime:local Poltica de mtodos de autenticacin de punto final de IP Cualquier otra red 0
3. Observe los valores predeterminados de la poltica POP para el atributo Poltica de mtodos de autenticacin de punto final de IP.
... ... Poltica de mtodos de autenticacin de punto final de IP Cualquier otra red 0 ...
El atributo Poltica de mtodos de autenticacin de punto final de IP se utiliza para especificar dos atributos distintos: v Nivel de intensidad de autenticacin El valor predeterminado es 0. v Poltica de acceso basada en la red El valor predeterminado es Cualquier otra red. 4. Utilice pdadmin pop modify para modificar el atributo Poltica de mtodos de autenticacin de punto final de IP para especificar el nivel de intensidad de autenticacin que desea aplicar a los recursos identificados en el apartado Establezca la poltica de intensidad de autenticacin en la pgina 134. La sintaxis es la siguiente:
pdadmin> pop modify nombre-pop set ipauth anyothernw ndice-nivel
El valor de ndice-nivel es un nmero entero. El valor predeterminado es 0, que se correlaciona con el nivel de intensidad de autenticacin no autenticado.
136
Especifique el ndice que corresponde al nivel de intensidad de autenticacin necesario. Para determinar el valor de ndice-nivel correcto, examine la stanza [authentication-level] del archivo de configuracin de WebSEAL. Por ejemplo:
[authentication-levels] level = unauthenticated level = password level = certificate
En la tabla siguiente se describen los valores de ndice para esta entrada anterior:
Tabla 20. Valores enteros de ejemplo para los niveles de intensidad de autenticacin Mtodo de autenticacin no autenticado contrasea certificado Valor de ndice 0 1 2
Por ejemplo, para agregar el nivel de intensidad de autenticacin de contraseas (valor de ndice 1) a la poltica POP test, especifique lo siguiente:
pdadmin> pop modify test set ipauth anyothernw 1
Para verificar la modificacin, visualice la poltica POP:

pdadmin> pop show test Poltica de objetos protegidos: test Descripcin: Test POP Aviso: no Nivel de auditora: none Calidad de proteccin: none Acceso segn hora del da: sun, mon, tue, wed, thu, fri, sat: anytime:local Poltica de mtodos de autenticacin de punto final de IP Cualquier otra red 1
Nota: En el ejemplo anterior, los nicos valores de ndice vlido son: 0,1,2. Si se configura otro valor de ndice, WebSEAL presenta una pgina de error cuando un cliente solicita un objeto que tiene la poltica POP asociada.
Especifique las restricciones de acceso basadas en la red

Tivoli Access Manager soporta un valor de configuracin POP opcional que permite aplicar los niveles de intensidad de autenticacin en las solicitudes de cliente que se originan en las direcciones de red especificadas. Las direcciones de red pueden definirse como una direccin IP nica o como un rango de direcciones IP. Nota: En la mayor parte de los despliegues, el acceso de usuario no se limita en funcin de la direccin IP de las polticas POP. En la mayor parte de los despliegues, este apartado de configuracin puede omitirse. El comando pdadmin pop modify set ipauth se utiliza para especificar direcciones IP. Observe que es el mismo comando pdadmin que se utiliza para especificar los niveles de autenticacin. El uso predeterminado de pdadmin pop modify set ipauth no impone ninguna restriccin de acceso basada en la red. Este uso consiste en especificar el argumento de la lnea de comandos anyothernw como valor para el atributo Poltica de mtodos de autenticacin de punto final de IP. Este valor se aplica a todos los
137
accesos de usuario, independientemente de la direccin IP del solicitante, y requiere que todos los usuarios se autentiquen en el nivel especificado. La sintaxis es la siguiente:
pdadmin> pop modify nombre-pop set ipauth anyothernw ndice_nivel
Por ejemplo, en el apartado Cree una poltica de objetos protegidos en la pgina 136 anterior, el comando siguiente ha creado una poltica POP que requera que todos los usuarios se autenticaran en el nivel de autenticacin 1, y no impona ningn requisito de acceso basado en la red:
pdadmin> pop modify test set ipauth anyothernw 1
Pueden aplicarse las siguientes restricciones de acceso basadas en la red: v Requerir un nivel de intensidad de autenticacin especfico cuando la direccin IP del cliente solicitante se encuentra dentro del rango de direcciones IP definido. Sintaxis:
pdadmin> pop modify nombre_pop set ipauth add red mscara_red nivel_ndice
Observe que el comando pdadmin pop modify set ipauth add especifica las direcciones de red y el nivel de autenticacin necesario en el atributo Mtodo de autenticacin de punto final IP. Por ejemplo, para solicitar que los usuarios del rango de direcciones IP 9.1.2.[0255] utilicen el nivel de intensidad de autenticacin 1:
pdadmin> pop modify test set ipauth add 9.1.2.1 255.255.255.0 1
Observe que el valor especificado para la mscara de red determina el rango de direcciones de red afectado. El nmero 0 de la mscara de red sirve como comodn para indicar todas las direcciones IP de dicha subred. Consulte el ejemplo siguiente.
Tabla 21. Uso de la mscara de red para especificar un rango de red Ejemplo de uso Direccin IP 9.1.2.3 9.1.2.3 9.1.2.3 Mscara de red 255.255.255.0 255.255.0.0 255.0.0.0 Rango de red afectado 9.1.2.[0255] 9.1.[0255].[0255] 9.[0255].[0255].[0255]
v Requerir que las solicitudes de una direccin IP especfica utilicen un nivel de intensidad de autenticacin determinado. Por ejemplo, para requerir que las solicitudes de la direccin IP 9.1.2.3 utilicen el nivel de intensidad de autenticacin 1:
Para requerir que las solicitudes de todas las direcciones IP de la subred 9.1.2.x utilicen el nivel de intensidad de autenticacin 1:
v Inhabilitar el uso del incremento de nivel de intensidad de autenticacin de todas las solicitudes de un rango de direcciones de red. La sintaxis es la siguiente:
138
pdadmin> pop modify nombre_pop set ipauth remove red mscara_red
Por ejemplo, para inhabilitar todas las solicitudes del rango de direcciones IP de la subred 9.1.2.x:
pdadmin> pop modify test set ipauth remove 9.1.2.1 255.255.255.0
v Permitir el acceso al recurso protegido en funcin nicamente de la direccin IP, o rango de direcciones IP, independientemente del nivel de intensidad de autenticacin. Esta restriccin se aplica especificando la direccin o direcciones IP y asignando un nivel de autenticacin (0). Por ejemplo, para permitir solicitudes de la direccin IP 9.1.2.3, independientemente del nivel de intensidad de autenticacin:
Del mismo modo, para permitir solicitudes de todas las direcciones IP de la subred 9.1.2.x, independientemente del nivel de intensidad de autenticacin:
v Denegar el acceso en funcin nicamente de la direccin IP, o rango de direcciones IP, independientemente del nivel de intensidad de autenticacin. Esta restriccin se aplica utilizando la palabra clave forbidden como parmetro final. Por ejemplo, para restringir slo el acceso al recurso protegido del cliente de la direccin IP 9.1.2.3:
pdadmin> pop modify test set ipauth 9.1.2.3 255.255.255.255 forbidden
Del mismo modo, para restringir todas las solicitudes de todas las direcciones IP de la subred 9.1.2.x para el acceso al recurso:
pdadmin> pop modify test set ipauth 9.1.2.3 255.255.255.0 forbidden
v Evitar que las solicitudes de todas las direcciones IP accedan al objeto protegido, a menos que un comando pop modify set ipauth add haya habilitado la direccin IP. Por ejemplo, en un caso de uso anterior, se requera que un rango de direcciones IP accediera al recurso protegido utilizando el nivel de intensidad de autenticacin 1:
El administrador puede, adems, especificar que se denieguen las solicitudes de todas las dems direcciones IP, independientemente del nivel de intensidad de autenticacin, en el siguiente comando pdadmin:
pdadmin> pop modify test set ipauth anyothernw forbidden
La opcin anyothernw significa cualquier otra direccin de red y la opcin forbidden aplica la poltica de denegacin.
Asocie una poltica de objetos protegido a un recurso protegido

Una vez que se ha definido y creado una poltica de objetos protegidos (POP), sta debe asociarse a los recursos protegidos a los que se aplica. La sintaxis para asociar una poltica POP es la siguiente:
pdadmin pop attach nombre_objeto nombre_pop
Por ejemplo, una poltica de autenticacin para un despliegue de WebSEAL podra definirse del siguiente modo: v El despliegue utilizar autenticacin de formularios y autenticacin de certificado. La autenticacin de formularios es el primer nivel de intensidad de autenticacin (1) y la autenticacin de certificado es el segundo (ms intenso) nivel de autenticacin (2).
139
v Los usuarios deben autenticarse utilizando la autenticacin de formularios o una autenticacin ms intensa para acceder al siguiente recurso protegido (una unin de WebSEAL):
/WebSEAL/hostA/junction
v Los usuarios deben autenticarse utilizando la autenticacin de certificado para acceder al siguiente recurso protegido (una aplicacin):
/WebSEAL/hostA/junction/aplicacinA
Para implementar esta poltica, deben llevarse a cabo los pasos de configuracin siguientes. 1. Modifique el archivo de configuracin de WebSEAL para otorgar a la autenticacin de formularios la intensidad de autenticacin 1, y a la autenticacin de certificado, la intensidad 2:
[authentication-levels] level = unauthenticated level = password level = ssl
2. Cree una poltica POP para el nivel de autenticacin 1 (autenticacin de formularios).

pdadmin> pop create test1 pdadmin> pop modify test1 set ipauth anyothernw 1
3. Cree una poltica POP para el nivel de autenticacin 2 (autenticacin de certificado).

pdadmin> pop create test2 pdadmin> pop modify test2 set ipauth anyothernw 2
4. Asocie la poltica POP test1 a /WebSEAL/hostA/junction.

pdadmin> pop attach /WebSEAL/hostA/junction test1
5. Asocie la poltica POP test2 a /WebSEAL/hostA/junction/application.

pdadmin> pop attach /WebSEAL/hostA/junction/applicationA test2
Nota: Para obtener ms informacin sobre la administracin de polticas POP, consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin. Para obtener informacin sobre la sintaxis de pdadmin, consulte la publicacin IBM Tivoli Access Manager for e-business Command Reference.
Aplique la coincidencia de la identidad del usuario entre los niveles de autenticacin

Opcionalmente, puede requerir que la identidad del usuario que realiza la operacin de intensidad (incremento) de autenticacin coincida con la identidad del usuario utilizada para realizar la operacin de autenticacin inicial. Cuando esta funcin est habilitada, WebSEAL verifica que la identidad del usuario de la nueva credencial de usuario coincida con la identidad de usuario de la credencial original. Si las identidades de usuario no coinciden, WebSEAL deniega el incremento de autenticacin, registra un error y devuelve una pgina de error al usuario. Esta funcin est inhabilitada de forma predeterminada. Para habilitarla, edite el archivo de configuracin de WebSEAL y establezca el valor de verify-step-up-user en yes:
[step-up] verify-step-up-user = yes
140
Poltica POP de calidad de proteccin

El atributo POP de calidad de proteccin le permite especificar el nivel de proteccin de datos necesario al realizar una operacin en un objeto. El atributo POP de calidad de proteccin se utiliza para determinar si se otorgar el acceso al recurso solicitado. Cuando una comprobacin de ACL de un recurso finaliza correctamente, se comprueba la POP de calidad de proteccin. Si existe una POP de calidad de proteccin y el gestor de recursos (WebSEAL) no puede garantizar el nivel de proteccin necesario, se deniega la solicitud.
pdadmin> pop modify nombre-pop set qop {none|integrity|privacy}
Cuando el nivel de calidad de proteccin (QOP) se establece en integrity o privacy, WebSEAL requiere el cifrado de datos mediante la utilizacin de SSL (Secure Socket Layer). Por ejemplo:
pdadmin> pop modify test set qop privacy
Gestin de usuarios no autenticados (HTTP / HTTPS)

WebSEAL acepta las solicitudes de usuarios autenticados y no autenticados a travs de HTTP y HTTPS. WebSEAL utiliza entonces en el servicio de autorizaciones para aplicar la poltica de seguridad y permitir o rechazar el acceso a los recursos protegidos. Las siguientes condiciones se aplican a los usuarios no autenticados que acceden a WebSEAL a travs de SSL: v El intercambio de informacin entre el usuario no autenticado y WebSEAL se cifra, al igual que ocurre con un usuario autenticado. v Una conexin SSL entre un usuario no autenticado y WebSEAL requiere slo la autenticacin del servidor.
Proceso de una solicitud de un cliente annimo

1. Un cliente annimo realiza una solicitud a WebSEAL (a travs de HTTP o HTTPS). 2. WebSEAL crea una credencial no autenticada para ese cliente. 3. La solicitud sigue, con esta credencial, hasta el objeto web protegido. 4. El servicio de autorizaciones comprueba los permisos en la entrada no autenticada de ACL para este objeto y permite o rechaza la operacin solicitada. 5. El acceso correcto a ese objeto depende de que la entrada de ACL no autenticada contenga al menos los permisos read (r) y traverse (T). 6. Si la solicitud no supera la decisin de autorizacin, el cliente recibe un formulario de inicio de sesin (basado en formularios o BA).
Obligacin del inicio de sesin de usuario

Puede obligar a un usuario no autenticado a que inicie una sesin estableciendo correctamente los permisos apropiados en la entrada no autenticada de la poltica de ACL que protege el objeto solicitado. Los permisos read (r) y traverse (T) permiten a los usuarios no autenticados el acceso a un objeto.
141
Para obligar al usuario no autenticado a iniciar una sesin, elimine el permiso read (r) de la entrada no autenticada de la poltica de ACL que protege el objeto. El usuario recibir una solicitud de inicio de sesin (basado en formularios o BA).
Aplicaciones HTTPS sin autenticar

Hay muchos motivos empresariales prcticos para dar soporte al acceso no autenticado a WebSEAL a travs de HTTPS: v Algunas aplicaciones no requieren un inicio de sesin personal, pero s informacin confidencial como, por ejemplo, direcciones y nmeros de tarjeta de crdito. Es el caso de las compras en lnea de billetes de avin u otros productos. v Algunas aplicaciones requieren que el usuario registre una cuenta en la empresa antes de proceder con otras transacciones. Para ello, se debe pasar informacin confidencial por la red.
142
Captulo 6. Autenticacin
En este captulo se describe cmo WebSEAL mantiene el estado de la sesin y controla el proceso de autenticacin. Una autenticacin correcta produce una identidad de Tivoli Access Manager que representa al usuario. WebSEAL utiliza esta identidad para adquirir las credenciales para este usuario. El servicio de autorizaciones utiliza las credenciales para permitir o denegar el acceso a los recursos protegidos. ndice de temas: v Visin general del proceso de autenticacin en la pgina 144 v Gestin del estado de la sesin en la pgina 146 v v v v v v v v v v Visin general de la configuracin de autenticacin en la pgina 155 Autenticacin bsica en la pgina 160 Autenticacin de formularios en la pgina 162 Autenticacin de certificado de cliente en la pgina 164 Autenticacin de cabeceras HTTP en la pgina 172 Autenticacin de direcciones IP en la pgina 175 Autenticacin de seal en la pgina 176 Autenticacin de migracin tras error en la pgina 183 Protocolo SPNEGO y autenticacin Kerberos en la pgina 202 Agentes proxy multiplexor en la pgina 203
143
Visin general del proceso de autenticacin

La autenticacin es el mtodo para identificar un proceso o entidad individual que intenta conectarse a un dominio seguro. v WebSEAL da soporte a varios mtodos de autenticacin de forma predeterminada y se puede personalizar para que utilice otros mtodos. v El resultado de la autenticacin correcta en WebSEAL es una identidad en el registro de usuarios de Tivoli Access Manager. v WebSEAL utiliza esta identidad para obtener una credencial para ese usuario. v El servicio de autorizaciones utiliza esta credencial para permitir o denegar el acceso a los objetos protegidos despus de evaluar los permisos ACL y las condiciones de POP que rigen la poltica para cada objeto. Nota: ACL = poltica de lista de control de accesos POP; = poltica de objetos protegidos Durante la autenticacin, WebSEAL examina la solicitud de cliente y busca la siguiente informacin: v Datos de sesin Los datos de sesin es informacin que identifica una conexin especfica entre el cliente y el servidor WebSEAL. Los datos de sesin se almacenan en el cliente y acompaan a las siguientes solicitudes del cliente. Se utilizan para volver a identificar la sesin de cliente en el servidor WebSEAL y evitar la sobrecarga de establecer una nueva sesin en cada solicitud. v Datos de autenticacin Los datos de autenticacin es informacin del cliente que permite identificarlo en el servidor WebSEAL. Los tipos de datos de autenticacin son los certificados de cliente, las contraseas y los cdigos de seal. Cuando WebSEAL recibe una solicitud de cliente, busca siempre en primer lugar los datos de sesin y, a continuacin, los datos de autenticacin. La solicitud de cliente inicial no contiene nunca datos de sesin.
Tipos de datos de sesin soportados

WebSEAL da soporte a los siguientes tipos de datos de sesin: v ID de SSL (definido por el protocolo SSL) v Cookie de sesin especfica del servidor v Datos de cabecera BA v Datos de cabecera HTTP v Direccin IP Cuando WebSEAL examina una solicitud de cliente, busca los datos de sesin en el orden especificado en esta lista.
Mtodos de autenticacin soportados

Aunque WebSEAL funciona de manera independiente del proceso de autenticacin, WebSEAL utiliza credenciales para supervisar a todos los usuarios que participan en el dominio seguro. Para obtener la informacin de identidad necesaria para la adquisicin de credenciales, WebSEAL confa en la informacin que se obtiene en el proceso de autenticacin.
144
En la tabla siguiente se indican los mtodos de autenticacin que soporta WebSEAL para la adquisicin de credenciales. Cuando WebSEAL examina una solicitud de cliente, busca los datos de autenticacin en el orden especificado en esta tabla.
Mtodo de autenticacin 1. Cookie de migracin tras error 2. Seal de ID de CDSSO 3. Certificado de cliente 4. Cdigo de paso de seal 5. Autenticacin de formularios (nombre de usuario y contrasea) 6. SPNEGO (Kerberos) 7. Autenticacin bsica (nombre de usuario y contrasea) 8. Cabeceras HTTP 9. Direccin IP Tipo de conexin soportado HTTP y HTTPS HTTP y HTTPS HTTPS HTTP y HTTPS HTTP y HTTPS HTTP y HTTPS HTTP y HTTPS HTTP y HTTPS HTTP y HTTPS
Los mtodos de autenticacin se pueden habilitar e inhabilitar de manera independiente para los transportes HTTP y HTTPS. Si no se habilita ningn mtodo de autenticacin para un transporte determinado, el proceso de autenticacin estar desactivado para los clientes que utilicen ese transporte.
145
Gestin del estado de la sesin

Una conexin o sesin segura entre un cliente y un servidor requiere que el servidor tenga la posibilidad de recordar a travs de numerosas solicitudes con quin est hablando. El servidor debe tener algn tipo de informacin de estado de la sesin que identifique al cliente asociado con cada solicitud. Este apartado contiene los temas siguientes: v Visin general del estado de la sesin en la pgina 146 v Visin general de la cach de sesin de GSKit y WebSEAL en la pgina 146 v Configuracin de la cach de ID de sesin SSL de GSKit en la pgina 147 v Configuracin de la cach de sesin/credenciales de WebSEAL en la pgina 147 v Mantenimiento del estado con cookies de sesin en la pgina 149 v Determinacin de los tipos de datos vlidos de ID de sesin en la pgina 153
Visin general del estado de la sesin

Sin un estado de la sesin establecido entre el cliente y el servidor, la comunicacin entre el cliente y el servidor se debe renegociar para cada solicitud posterior. La informacin sobre el estado de la sesin mejora el rendimiento, ya que evita tener que cerrar y volver a abrir repetidamente las conexiones entre cliente y servidor. El cliente puede iniciar la sesin una vez y realizar numerosas solicitudes sin realizar un inicio de sesin distinto para cada solicitud. WebSEAL maneja la comunicacin HTTP y HTTPS. HTTP es un protocolo sin informacin de estado y no proporciona ninguna forma para distinguir una solicitud de otra. Por otro lado, el protocolo de transporte SSL est especialmente diseado para proporcionar un ID de sesin para mantener la informacin de estado de la sesin. La comunicacin HTTP se puede encapsular en SSL para convertirse en HTTPS. No obstante, WebSEAL debe manejar a menudo comunicaciones HTTP de clientes sin autenticar. Y hay casos en los que el ID de sesin SSL no es la mejor solucin. Por lo tanto, WebSEAL est diseado para utilizar cualquiera de los siguientes tipos de informacin para mantener el estado de la sesin con un cliente: v v v v v ID de SSL Cookie de sesin especfica del servidor Datos de cabecera BA Datos de cabecera HTTP Direccin IP
Visin general de la cach de sesin de GSKit y WebSEAL

La cach de sesin permite a un servidor almacenar la informacin de ID de sesin de varios clientes. WebSEAL utiliza dos tipos de cachs de sesin para acomodar informacin de estado de la sesin HTTPS y HTTP. v Cach de sesin/credenciales de WebSEAL La cach de sesin/credenciales de WebSEAL almacena cualquier tipo de informacin de ID de sesin (vea la lista anterior), as como la informacin de credenciales que se haya obtenido para cada cliente.
146
La informacin de credenciales se guarda en la cach para eliminar las consultas repetitivas a la base de datos de registro de usuarios durante las comprobaciones de autorizaciones. v Cach de ID de sesin SSL de GSKit La cach de sesin de GSKit maneja la comunicacin HTTPS (SSL) cuando se utiliza la informacin de ID de sesin SSL para mantener el estado de la sesin. La cach de GSKit tambin mantiene la informacin de estado de la sesin para la conexin SSL entre WebSEAL y el registro de usuarios de LDAP.
Configuracin de la cach de ID de sesin SSL de GSKit

Las siguientes tareas de configuracin estn disponibles para la cach de ID de sesin SSL de GSKit: v Definicin del valor de tiempo de espera de entrada de cach v Definicin del valor mximo de entradas simultneas
Definicin del valor de tiempo de espera de entrada de cach

Los parmetros para establecer el tiempo de espera mximo de duracin para una entrada en la cach de ID de sesin SSL de GSKit se encuentran en la stanza [ssl] del archivo de configuracin de WebSEAL. Existen dos parmetros: uno para las conexiones SSL V2 (ssl-v2-timeout) y otro para las conexiones SSL V3 (ssl-v3-timeout). El tiempo de espera predeterminado de la sesin SSL V2 (en segundos) es 100 (con un valor posible entre 1 y 100):
[ssl] ssl-v2-timeout = 100
El tiempo de espera predeterminado de la sesin SSL V3 (en segundos) es 7200 (con un valor posible entre 1 y 86400):
[ssl] ssl-v3-timeout = 7200
Definicin del valor mximo de entradas simultneas

El parmetro ssl-max-entries, que se encuentra en la stanza [ssl] del archivo de configuracin de WebSEAL, establece el nmero mximo de entradas simultneas en la cach de ID de sesin SSL de GSKit. Este valor se corresponde con el nmero de inicios de sesin simultneos. Cuando el tamao de la cach alcanza este valor, se eliminan entradas de la cach, segn el algoritmo de menos utilizado recientemente, para permitir nuevos inicios de sesin entrantes. El nmero predeterminado de inicios de sesin simultneos es 4096:
[ssl] ssl-max-entries = 4096
Para obtener informacin sobre el rendimiento, consulte la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide.
Configuracin de la cach de sesin/credenciales de WebSEAL

En los apartados siguientes se describe la configuracin y el uso de la cach de sesin/credenciales de WebSEAL:
147
v v v v
Definicin del valor mximo de entradas simultneas Definicin del valor de tiempo de espera de duracin de la entrada de cach Definicin del valor del tiempo de espera de inactividad de entrada de cach Limitacin de la cach de credenciales en la pgina 149
Definicin del valor mximo de entradas simultneas

El parmetro max-entries, que se encuentra en la stanza [session] del archivo de configuracin de WebSEAL, establece el nmero mximo de entradas simultneas de la cach de sesin/credenciales de WebSEAL. Este valor se corresponde con el nmero de inicios de sesin simultneos. Cuando el tamao de la cach alcanza este valor, se eliminan entradas de la cach, segn el algoritmo de menos utilizado recientemente, para permitir nuevos inicios de sesin entrantes. El nmero predeterminado de inicios de sesin simultneos es 4096:
[session] max-entries = 4096
Para obtener informacin sobre el rendimiento, consulte la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide.
Definicin del valor de tiempo de espera de duracin de la entrada de cach

El parmetro timeout, que se encuentra en la stanza [session] del archivo de configuracin de WebSEAL, establece el valor mximo del tiempo de espera de duracin para todas las sesiones de usuario que estn almacenadas en la cach de sesin/credenciales de WebSEAL. WebSEAL almacena internamente en la cach la informacin de credenciales. El parmetro de tiempo de espera de la cach de sesin establece el tiempo durante el que la informacin de la credencial de autorizaciones permanece en la memoria de WebSEAL. El parmetro no es un tiempo de espera de inactividad. El valor se correlaciona con una duracin de credencial en lugar de un tiempo de espera de inactividad de sesin. Su objetivo es mejorar la seguridad forzando al usuario la reautenticacin cuando se alcanza el lmite de tiempo de espera especificado. El tiempo de espera predeterminado de duracin de la entrada de cach de sesin (en segundos) es de 3600:
[session] timeout = 3600
Nota: Este parmetro no es apropiado para la autenticacin bsica (BA). La BA proporciona datos de autenticacin con cada solicitud y, en consecuencia, restablece repetidamente el valor de tiempo de espera.
Definicin del valor del tiempo de espera de inactividad de entrada de cach

El parmetro inactive-timeout, que se encuentra en la stanza [session] del archivo de configuracin de WebSEAL, establece el valor de tiempo de espera para la inactividad de la sesin del usuario.
148
El tiempo de espera predeterminado de inactividad en el inicio de la sesin (en segundos) es 600:

[session] inactive-timeout = 600
Para inhabilitar esta funcin de tiempo de espera, establezca el valor del parmetro en 0. Nota: Este parmetro no es apropiado para la autenticacin bsica (BA). La BA proporciona datos de autenticacin con cada peticin y, en consecuencia, restablece repetidamente el valor de tiempo de espera inactivo.
Limitacin de la cach de credenciales

Limitacin: Cuando se elimina un usuario del registro, las credenciales para dicho usuario en la cach de credenciales de WebSEAL no se eliminan. Si el usuario tiene una sesin de navegador activa cuando se elimina la cuenta, el usuario puede continuar navegando, en funcin de las credenciales existentes en la cach. Las credenciales del usuario no se reevalan, en base a la informacin actual del registro del usuario, hasta que se produce un nuevo inicio de sesin o hasta que las credenciales actuales caducan. El contenido de la cach de credenciales de WebSEAL se borra cuando el usuario finaliza la sesin del navegador. Solucin temporal: Como administrador, puede aplicar una parada inmediata a la actividad del usuario en un dominio; para ello, debe agregar una entrada a la poltica ACL predeterminada de WebSEAL para el usuario eliminado con el permiso traverse (T) eliminado. Tambin puede terminar la sesin manualmente desde la lnea de comandos o mediante una funcin de API de administracin de Tivoli Access Manager. Consulte el apartado Terminacin de sesiones de usuario en la pgina 382.
Mantenimiento del estado con cookies de sesin

Un mtodo para mantener el estado de la sesin entre un cliente y un servidor es utilizar una cookie para retener la informacin de esta sesin. El servidor empaqueta la informacin de estado para un cliente concreto en una cookie y la enva al navegador del cliente. Para cada solicitud nueva, el navegador se vuelve a identificar enviando la cookie (con la informacin sobre la sesin) de vuelta al servidor. Las cookies de sesin ofrecen una posible solucin en situaciones en las que el cliente utiliza un navegador que renegocia su sesin de SSL despus de periodos de tiempo breves. Por ejemplo, algunas versiones del navegador Microsoft Internet Explorer renegocian las sesiones de SSL cada dos o tres minutos. La cookie de sesin slo proporciona la reautenticacin de un cliente para el servidor nico en el que el cliente se haba autenticado con anterioridad en un perodo corto de tiempo (no superior a diez minutos). El mecanismo se basa en una cookie de servidor que no se puede pasar a ninguna mquina que no sea la que ha generado la cookie.
149
Adems, la cookie de sesin contiene slo un nmero de identificador aleatorio que se utiliza para el ndice de la cach de sesin del servidor. No hay ms informacin expuesta en la cookie de la sesin, ya que sta no puede comprometer la poltica de seguridad.
Condiciones de la cookie de sesin

WebSEAL utiliza una cookie de sesin segura especfica para el servidor. Las siguientes condiciones son aplicables a este mecanismo de cookies: v La cookie contiene slo informacin sobre la sesin; no contiene informacin sobre la identidad v La cookie reside slo en la memoria del navegador (no se escribe en el contenedor de cookies del disco) v La cookie tiene una duracin limitada v La cookie tiene parmetros de ruta de acceso y de dominio que prohben su uso a otros servidores
Cookies de sesin con cabeceras de autenticacin bsica

Cuando un cliente solicita acceso a un recurso protegido, y se configura WebSEAL para que utilice BA, WebSEAL enva una cookie de sesin al cliente. Los clientes tales como navegadores pueden configurarse para aceptar o rechazar cookies. Una vez que el cliente acepta o rechaza la cookie, WebSEAL autentica al usuario solicitndole un nombre de usuario y una contrasea. Cuando un cliente acepta la cookie de sesin y, a continuacin, inicia una sesin correctamente, WebSEAL establece una coincidencia, para cada solicitud inicial del cliente, entre el ID de sesin de la cookie y la entrada existente en la cach de sesin de WebSEAL. Por consiguiente, WebSEAL no necesita volver a autenticar al cliente. El uso del mismo ID de sesin optimiza el rendimiento del servidor. Cuando el cliente rechaza la cookie de sesin y, a continuacin, inicia una sesin correctamente, WebSEAL debe, para cada solicitud adicional del cliente, establecer una nueva sesin volviendo a autenticar al usuario. WebSEAL utiliza la informacin de cabecera de BA para volver a autenticar al usuario. Gracias a esta reautenticacin, se eliminan posibles vulnerabilidades de la seguridad que puedan producirse cuando se utilizan cabeceras de BA sin cookies. No obstante, la sobrecarga que supone la reautenticacin y la creacin de sesiones disminuye el rendimiento del servidor. WebSEAL puede configurarse para aceptar solicitudes de BA a travs de HTTP o HTTPS (o ambos). Cuando WebSEAL acepta solicitudes de BA a travs de HTTP, WebSEAL siempre enva una cookie al cliente. Cuando WebSEAL est configurado para aceptar solicitudes de BA a travs de HTTPS, los administradores pueden utilizar opcionalmente los ID de SSL para gestionar sesiones. Cuando los administradores optan por no utilizar los ID de SSL, WebSEAL siempre enva una cookie al cliente. Para utilizar los ID de SSL, edite el archivo de configuracin de WebSEAL como se indica a continuacin:
ssl-id-sessions = yes
Para no utilizar los ID de SSL, establezca este valor:

ssl-id-sessions = no
150
Habilitacin e inhabilitacin de las cookies de ID de sesin

El parmetro ssl-id-sessions, que se encuentra en la stanza [session] del archivo de configuracin de WebSEAL, habilita e inhabilita las cookies de sesin. Este parmetro controla si se utiliza el ID de sesin SSL para mantener el inicio de sesin en los clientes que acceden mediante HTTPS. Si el parmetro se establece en no, se utilizan las cookies de sesin en la mayora de los mtodos de autenticacin.
[session] ssl-id-sessions = {yes|no}
Nota: El navegador Opera, en su configuracin predeterminada, no mantiene los ID de SSL entre distintas conexiones SSL. Si se utiliza este navegador, el parmetro ssl-id-sessions debe establecerse en no. Un valor de configuracin no para este parmetro da como resultado las siguientes condiciones en los clientes que acceden mediante HTTPS: v El ID de sesin SSL no se utiliza nunca como informacin de ID de sesin. v Las cookies se utilizarn para mantener las sesiones con los clientes que se autentiquen con cookies de migracin tras error, seales de ID de CDSSO, nombre de usuario y contrasea de formularios, cdigo de paso de seal y certificados de clientes. v Para clientes de autenticacin bsica (BA), se utiliza una cookie para mantener las sesiones en todas las configuraciones, excepto en una: si un cliente se conecta a travs de HTTPS y presenta los valores ssl-id-sessions = yes y use-same-session = no, se utiliza el ID de SSL para mantener la sesin. v La cabecera HTTP se utiliza como informacin de ID de sesin en los clientes que se autentican con cabeceras HTTP. v La direccin IP se utiliza como informacin de ID de sesin en los clientes que se autentican con direcciones IP. Cuando ssl-id-sessions est establecido en yes, varios valores distintos determinan el tiempo de espera de la sesin. El tiempo de espera de la duracin de la entrada de cach de sesin se establece en la entrada timeout de la stanza [session] y el tiempo de espera de inactividad de sesin se establece en inactive-timeout de la misma stanza. Los tiempos de espera de SSL se establecen en la stanza [ssl], donde se declaran ssl-v2timeout y ssl-v3timeout. Por lo tanto, cuando ssl-id-sessions = yes, el tiempo de espera se establece en el menor de los valores de cada uno de los siguientes tiempos de espera:
[session] timeout inactive-timeout [ssl] ssl-v2-timeout ssl-v3-timeout
Si se utilizan cookies para mantener el estado de la sesin, la cookie se enva slo una vez al navegador, despus de iniciar la sesin correctamente. No obstante, algunos navegadores imponen un lmite al nmero de cookies en memoria que pueden almacenar simultneamente. En algunos entornos, las aplicaciones pueden colocar un gran nmero de cookies en memoria por dominio en los sistemas cliente. En este caso, cualquier cookie configurada de sesin de WebSEAL o de migracin tras error se puede sustituir fcilmente por otra cookie.
151
Cuando se configura WebSEAL para utilizar cookies de sesin (y quizs cookies de migracin tras error), se puede configurar el parmetro resend-webseal-cookies, que se encuentra en la stanza [session] del archivo de configuracin de WebSEAL, para que WebSEAL enve la cookie de la sesin y la cookie de migracin tras error al navegador con cada respuesta. Esta accin permite asegurar que la cookie de sesin y la cookie de migracin tras error permanecen en la memoria del navegador. El parmetro resend-webseal-cookies tiene un valor predeterminado de no:
[session] resend-webseal-cookies = no
Cambie el valor predeterminado a yes para enviar cookies de sesin de WebSEAL y cookies de migracin tras error con cada respuesta.
Habilitacin e inhabilitacin de las mismas sesiones

Se puede configurar WebSEAL para que utilice los datos de ID de la misma sesin cuando un cliente se conecte mediante un tipo de transporte (HTTP, por ejemplo), se desconecte y vuelva a conectarse con otro tipo de transporte (HTTPS, por ejemplo). El parmetro use-same-session, que se encuentra en la stanza [session] del archivo de configuracin de WebSEAL, habilita e inhabilita el reconocimiento de los datos de ID de la misma sesin. De forma predeterminada, este parmetro se establece en no:
[session] use-same-session = no
Un valor de configuracin yes para este parmetro da como resultado las siguientes condiciones: v Las cookies de sesin se utilizan para identificar los siguientes tipos de clientes en las conexiones posteriores mediante otro transporte: Cookies de migracin tras error Certificados de cliente Seal CDSSO ID Cdigo de paso de seal Nombre de usuario y contrasea de formularios autenticacin bsica v La cabecera HTTP se utiliza para los clientes que acceden con cabeceras HTTP. v La direccin IP se utiliza para los clientes que acceden con direcciones IP. v La configuracin ssl-id-sessions se omite; el comportamiento que se obtiene es el mismo que si se estableciera ssl-id-sessions en no. Esta lgica es importante porque los clientes HTTP no tienen un ID de sesin SSL disponible como datos de sesin. v Como las cookies estn disponibles para los clientes HTTP y HTTPS, no se etiquetan como cookies seguras.
Limitacin de la misma sesin con Netscape 4.7x

Problema: La funcin same-session falla en Netscape Navigator versin 4.7x cuando las solicitudes formuladas para WebSEAL incluyen el nmero de puerto en la direccin URL, como http://webseal:80
152
Explicacin: Cuando WebSEAL est configurado para los puertos HTTP/HTTPS predeterminados, y el nmero de puerto no se incluye en la direccin URL, la solicitud se realiza correctamente. Las solicitudes fallan cuando WebSEAL est configurado en puertos no predeterminados y la opcin de configuracin use-same-session = yes est habilitada. Netscape 4.7x no considera que los nombres de host que tienen nmeros de puerto que no son estndar se encuentran en el mismo dominio que los que tienen nmeros de puerto distintos. Por ejemplo, cuando accede a https://nombre_host:443, WebSEAL establece una cookie. Si, posteriormente, accede a http://nombre_host:80, Netscape no enva la cookie porque dominio:80 no es lo mismo que dominio:443. Solucin temporal: Actualice Netscape Navigator a la versin 6.2 o posterior.
Determinacin de los tipos de datos vlidos de ID de sesin

El tipo de datos de sesin para un cliente que accede con un mtodo de autenticacin concreto viene determinado por combinaciones especficas de los siguientes parmetros de configuracin: v Habilitacin o inhabilitacin de las cookies de sesin ssl-id-sessions) v Habilitacin o inhabilitacin de la posibilidad de utilizar los datos de la misma sesin cuando un cliente cambia entre HTTP y HTTPS (use-same-session) En la tabla siguiente se resumen los datos de ID de sesin vlidos para una configuracin determinada que combina los parmetros ssl-id-sessions y use-same-session:
Clientes HTTPS ssl-id-sessions = no use-same-session = no Cookie Cookie Cookie Cookie Cookie Cookie Cabecera HTTP Direccin IP ssl-id-sessions ignored use-same-session = yes Cookie Cookie Cookie Cookie Cookie Cookie Cabecera HTTP Direccin IP
Mtodo de autenticacin Cookie de migracin tras error Certificados CDSSO Seal Formularios BA Cabecera HTTP Direccin IP
ssl-id-sessions = yes ID de SSL ID de SSL ID de SSL ID de SSL ID de SSL ID de SSL ID de SSL ID de SSL
153
Clientes HTTP Mtodo de autenticacin Cookie de migracin tras error CDSSO Seal Formularios BA Cabecera HTTP Direccin IP use-same-session = no Cookie Cookie Cookie Cookie Cookie Cabecera HTTP Direccin IP use-same-session = yes Cookie Cookie Cookie Cookie Cookie Cabecera HTTP Direccin IP
154
Visin general de la configuracin de autenticacin

Puede habilitar e inhabilitar la autenticacin para los clientes HTTP y HTTPS en funcin de cada mtodo. Los mecanismos para todos los mtodos de autenticacin soportados por WebSEAL se configuran en la stanza [authentication-mechanisms] del archivo de configuracin de WebSEAL. Los parmetros de los mtodos de autenticacin soportados son: v Autenticadores locales (incorporados) Los parmetros para los autenticadores locales especifican los archivos DLL (Windows) o de bibliotecas (UNIX) compartidos incorporados apropiados. v Autenticadores externos personalizados WebSEAL proporciona un cdigo de servidor de plantilla que puede utilizarse para crear y especificar un mdulo de autenticacin personalizado. Un mdulo de autenticacin externo especifica la biblioteca compartida personalizada apropiada.
Parmetros del mdulo de autenticacin

Los parmetros siguientes especifican los autenticadores locales incorporados:
Tabla 22. Tipos de biblioteca de autenticacin especificados en el archivo de configuracin de WebSEAL Identificador passwd-ldap cert-ssl token-cdas http-request sso-create sso-consume passwd-cdas Descripcin Biblioteca que implementa la autenticacin bsica y la autenticacin de formularios con un registro de usuarios LDAP. Biblioteca que implementa la autenticacin de certificado. Biblioteca que implementa la autenticacin de seal. Biblioteca que implementa la autenticacin de cabecera HTTP o direccin IP. Biblioteca que implementa la creacin seales de inicio de sesin nico de WebSEAL. Biblioteca que implementa la autenticacin (consumo) de seales de inicio de sesin nico de WebSEAL. Biblioteca que implementa una biblioteca de mdulos de autenticacin para autenticacin bsica o autenticacin de formularios. Biblioteca que implementa autenticacin de atributos ampliados de credenciales. Biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin bsica o la autenticacin de formularios. Biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin de seal. Biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin de certificado X.509. Biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin de cabecera HTTP o direccin IP. Biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin de inicio de sesin nico entre dominios.
cred-ext-attrs su-password su-token-card su-certificate su-http-request su-cdsso
155
Tabla 22. Tipos de biblioteca de autenticacin especificados en el archivo de configuracin de WebSEAL (continuacin) failover-password Biblioteca que implementa la autenticacin de cookies de migracin tras error para la autenticacin bsica o la autenticacin de formularios. Biblioteca que implementa la autenticacin de cookies de migracin tras error para autenticacin de tarjeta de seal. Biblioteca que implementa la autenticacin de cookies de migracin tras error para la autenticacin de certificado. Biblioteca que implementa la autenticacin de cookies de migracin tras error para la autenticacin de cabecera HTTP o la autenticacin de direccin IP. Biblioteca que implementa la autenticacin de cookies de migracin tras error para la autenticacin de inicio de sesin nico entre dominios. Biblioteca que aplica polticas personalizadas de autenticacin de intensidad de las contraseas. Mdulo de autenticacin personalizado que se utiliza para proporcionar datos de atributos ampliados a la credencial de usuario.
failover-token-card failover-certificate failover-http-request
failover-cdsso
passwd-strength cred-ext-attrs
Puede utilizar la stanza [authentication-mechanisms] para configurar el mtodo de autenticacin y la implementacin en el siguiente formato:
entrada_mtodo_autenticacin = biblioteca_compartida_incorporada
Biblioteca de conversin de autenticacin

WebSEAL proporciona una biblioteca de conversin de autenticacin que convierte los datos de autenticacin de formato UTF-8 a un formato que no es UTF-8. Para la versin 5.1, WebSEAL produce datos de autenticacin en formato UTF-8. Antes de la versin 5.1, WebSEAL produca datos de autenticacin en el formato de la pgina de cdigos local. Por consiguiente, los mdulos de autenticacin externos, como por ejemplo CDAS, que se escribieron para versiones de WebSEAL anteriores a la versin 5.1 es posible que deban utilizar la biblioteca de conversin. Para obtener ms informacin sobre la biblioteca de conversin e instrucciones sobre configuracin, consulte la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference. Para obtener ms informacin sobre la forma en que WebSEAL utiliza la codificacin UTF-8, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
Configuracin predeterminada para la autenticacin de WebSEAL

De forma predeterminada, WebSEAL est configurado para autenticar clientes a travs de SSL utilizando nombres de usuario y contraseas (registro LDAP) de autenticacin bsica (BA). Generalmente, WebSEAL est habilitado para los accesos TCP y SSL. Por lo tanto, una configuracin tpica de la stanza [authentication-mechanisms] incluye el soporte para nombres de usuario y contraseas (registro LDAP) y soporte para certificados de cliente a travs de SSL.
156
El siguiente ejemplo representa la configuracin tpica de la stanza [authentication-mechanisms] para Solaris:

[authentication-mechanisms] passwd-ldap = libldapauthn.so cert-ssl = libsslauthn.so
Para configurar otros mtodos de autenticacin, agregue el parmetro apropiado con su biblioteca compartida (o mdulo CDAS).
Configuracin de mltiples mtodos de autenticacin

Modifique la stanza [authentication-mechanism] del archivo de configuracin de WebSEAL para especificar la biblioteca compartida que debe utilizarse para los mtodos de autenticacin soportados. Las siguientes condiciones se aplican cuando se configuran varios mtodos de autenticacin: v Todos los mtodos de autenticacin pueden funcionar de forma independiente. Se puede configurar una biblioteca compartida para cada mtodo soportado. v El mtodo cert-cdas prevalece sobre el mtodo cert-ssl cuando ambos estn configurados. Debe habilitar uno de ellos para dar soporte a los certificados de cliente. v Slo se utiliza un autenticador de tipo contrasea cuando hay varios configurados. WebSEAL utiliza el siguiente orden de prioridad para resolver mltiples autenticadores de contrasea configurados: 1. passwd-cdas 2. passwd-ldap v Se puede configurar la misma biblioteca personalizada para dos mtodos de autenticacin diferentes. Por ejemplo, se puede escribir una biblioteca compartida personalizada para procesar la autenticacin del nombre de usuario/contrasea y de la cabecera HTTP. En este ejemplo, se podran configurar los parmetros passwd-cdas y http-request con la misma biblioteca compartida. Es responsabilidad del desarrollador mantener el estado de la sesin y evitar conflictos entre los dos mtodos.
Solicitud de inicio de sesin

WebSEAL solicita al cliente que inicie la sesin si se dan las siguientes condiciones: v Un cliente sin autenticar que no pasa la comprobacin de autenticacin v Un cliente de autenticacin de formularios o de autenticacin bsica que no pasa la comprobacin de autenticacin v Cuando se aplica una poltica de intensidad de autenticacin (autenticacin incremental) en el recurso solicitado y el cliente todava no se ha autenticado utilizando el nivel de autenticacin necesario. Los siguientes tipos de clientes reciben un error 403 error: v Cuando falla la comprobacin de autenticacin: Certificado de cliente Cookie de migracin tras error CDSSO Direccin IP Cabecera HTTP v Cuando un cliente se autentica con un mtodo inhabilitado por WebSEAL
157
Configuracin de la notificacin de caducidad de cuenta

WebSEAL devuelve un mensaje de error a un usuario cuando se produce una anomala de intento de inicio de sesin. El mensaje de error se aplica a distintas situaciones en las que el usuario especifica informacin de autenticacin que no es vlida, como un nombre de usuario o una contrasea incorrectos. Puede optar por devolver este mismo mensaje de error a un usuario cuando el inicio de sesin del usuario falla porque la cuenta de usuario no es vlida o ha caducado. Tambin puede especificar que se enve al usuario un mensaje de error distinto en esta situacin. El mensaje de error distinto especifica el motivo exacto de la anomala producida porque la cuenta ha caducado. De forma predeterminada, slo se devuelve un error para todas las anomalas de inicio de sesin. Para especificar un mensaje de notificacin de caducidad de la cuenta, modifique el valor siguiente en el archivo de configuracin de WebSEAL:
[acnt-mgt] account-expiry-notification = yes
El valor predeterminado es no.
Comandos de fin de sesin y de cambio de contrasea

Tivoli Access Manager proporciona los siguientes comandos para dar soporte a clientes que se autentican a travs de HTTP o HTTPS.
pkmslogout
Los clientes pueden utilizar el comando pkmslogout para finalizar la sesin actual si utilizan un mtodo de autenticacin que no proporciona datos de autenticacin con cada solicitud. Por ejemplo, pkmslogout no funciona en clientes que utilizan la autenticacin bsica, la autenticacin de certificado o la autenticacin de direccin IP. En este caso, se debe cerrar el navegador para finalizar la sesin. El comando pkmslogout es adecuado para la autenticacin a travs del cdigo de paso de seal, la autenticacin de formularios y determinadas implementaciones de la autenticacin de cabeceras HTTP. Ejecute el comando como se describe a continuacin:
https://www.tivoli.com/pkmslogout
El navegador muestra un formulario de fin de sesin definido en el archivo de configuracin de WebSEAL:

[acnt-mgt] logout = logout.html
Puede modificar el archivo logout.html para que se ajuste a sus requisitos. la utilidad pkmslogout tambin da soporte a varias pginas de respuesta de fin de sesin cuando la arquitectura de la red requiere diversas pantallas de salida para los usuarios que finalizan la sesin en sistemas de fondo distintos. La siguiente expresin identifica un archivo de respuesta especfico:
https://www.tivoli.com/pkmslogout?filename=<archivo_fin_sesin_personalizado>
158
donde archivo_fin_sesin_personalizado es el nombre de archivo de respuesta del fin de sesin. Este archivo debe residir en el mismo directorio lib/html/C que contiene el archivo predeterminado logout.html y ejemplos de otros formularios HTML de respuesta.
pkmspasswd
Puede utilizar este comando para cambiar la contrasea de inicio de sesin cuando se utiliza la autenticacin bsica (BA) o la autenticacin de formularios. Este comando es apropiado a travs de HTTP o HTTPS. Por ejemplo:
https://www.tivoli.com/pkmspasswd
Para garantizar la mxima seguridad cuando se utilice BA con WebSEAL, este comando se comporta de la siguiente forma para un cliente BA: 1. Se cambia la contrasea. 2. Finaliza la sesin del usuario del cliente. 3. Cuando el cliente realiza una solicitud adicional, el navegador presenta al cliente una solicitud de BA. 4. El cliente debe volver a iniciar la sesin para continuar realizando solicitudes. Este ejemplo slo se aplica a los clientes que utilizan la autenticacin bsica.
Proceso posterior al cambio de contrasea

WebSEAL proporciona soporte para el proceso personalizado posterior al cambio de contrasea. Los administradores pueden escribir un mdulo de autenticacin personalizado al que se llamar despus de cambiar una contrasea correctamente a travs de WebSEAL utilizando la pgina de cambio de contrasea pkms, como se describe en el apartado Comandos de fin de sesin y de cambio de contrasea en la pgina 158. Este mdulo puede utilizarse para actualizar contraseas en un registro de usuarios externo. Esta funcin permite que las contraseas de registros de usuarios externos, que pueden ser desconocidos para Tivoli Access Manager, se puedan actualizar con contraseas que el usuario ha cambiado durante el transcurso de los intentos de autenticacin solicitados por WebSEAL. Para obtener informacin sobre cmo implementar un mdulo de proceso posterior al cambio de contrasea, consulte la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference.
159
Autenticacin bsica
La autenticacin bsica (BA) es un mtodo estndar para proporcionar un nombre de usuario y una contrasea al mecanismo de autenticacin. El protocolo HTTP define la BA y se puede implementar a travs de HTTP y de HTTPS. WebSEAL se configura de forma predeterminada para la autenticacin a travs de HTTPS mediante la autenticacin bsica (BA) de nombre de usuario y de contrasea.
Habilitacin e inhabilitacin de la autenticacin bsica

El parmetro ba-auth, que se encuentra en la stanza [ba] del archivo de configuracin de WebSEAL, habilita e inhabilita el mtodo de autenticacin bsica. v Para habilitar el mtodo de autenticacin bsica, escriba http, https o both. v Para inhabilitar el mtodo de autenticacin bsica, escriba none. Por ejemplo:
[ba] ba-auth = https
Definicin del nombre de dominio

El nombre de dominio es el texto que se muestra en el cuadro de dilogo que aparece cuando el navegador solicita al usuario los datos de inicio de sesin. El nombre de dominio tambin es el nombre del dominio en el que el usuario se autenticar despus de iniciar la sesin correctamente. El parmetro de configuracin que establece el nombre del dominio se encuentra en la stanza [ba] del archivo de configuracin de WebSEAL. Por ejemplo:
[ba] basic-auth-realm = Access Manager
Aparecer el cuadro de dilogo (por ejemplo):

Escriba el nombre de usuario de Access Manager en www.ibm.com:
Configuracin del mecanismo de autenticacin bsica

El parmetro passwd-ldap especifica la biblioteca compartida que se utiliza para procesar la autenticacin del nombre de usuario y la contrasea. v En UNIX, el archivo que proporciona la funcin de correlacin incorporada es una biblioteca compartida denominada libldapauthn. v En Windows, el archivo que proporciona la funcin de correlacin incorporada es una DLL denominada ldapauthn.
Tabla 23. Nombres de bibliotecas compartidas para la autenticacin bsica Sistema operativo Solaris AIX Linux HP-UX Windows Biblioteca compartida libldapauthn.so libldapauthn.a libldapauthn.so libldapauthn.sl ldapauthn.dll
160
Puede configurar el mecanismo de autenticacin del nombre de usuario y la contrasea especificando el parmetro passwd-ldap con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin de WebSEAL. Por ejemplo: Solaris:
[authentication-mechanisms] passwd-ldap = libldapauthn.so
Windows:
[authentication-mechanisms] passwd-ldap = ldapauthn.dll
Condiciones de configuracin
Si se habilita la autenticacin de formularios para un transporte determinado, se omitirn los valores de la autenticacin bsica para dicho transporte.
Inicios de sesin UTF-8 de mltiples bytes no soportados

WebSEAL procesa los datos de inicio de sesin utilizando codificacin UTF-8. La codificacin UTF-8 no puede utilizarse con la autenticacin bsica porque el formato de los datos del navegador para los inicios de sesin BA de mltiples bytes no es coherente. En versiones anteriores a la 5.1, WebSEAL no soportaba inicios de sesin BA de mltiples bytes. Para la versin 5.1, el soporte de WebSEAL para gestionar los datos de mltiples bytes se ha convertido de forma predeterminada para que utilice la codificacin UTF-8. No obstante, este cambio no afecta al formato incoherente de los datos del navegador. Por consiguiente, WebSEAL sigue sin dar soporte a los inicios de sesin BA de mltiples bytes. Nota: Los inicios de sesin BA se pueden utilizar para entornos locales que utilizan pginas de cdigo Latin para ASCII de 8 bits (ISO-88591), como francs, espaol o alemn. Este soporte est sujeto a que el entorno local del servidor tambin sea ISO-8859-1.
161
Autenticacin de formularios
Tivoli Access Manager proporciona la autenticacin de formularios como una alternativa al mecanismo de autenticacin bsica estndar. Este mtodo genera un formulario de inicio de sesin HTML personalizado de Tivoli Access Manager en lugar de la solicitud de inicio de sesin estndar que se obtiene en una tentativa de autenticacin bsica. Cuando se utiliza el inicio de sesin basado en formularios, el navegador no almacena en la cach la informacin de nombre de usuario y contrasea, como lo hace la autenticacin bsica.
Habilitacin e inhabilitacin de la autenticacin de formularios

El parmetro forms-auth, que se encuentra en la stanza [forms] del archivo de configuracin de WebSEAL, habilita e inhabilita el mtodo de autenticacin de formularios. v Para habilitar el mtodo de autenticacin de formularios, escriba http, https o both. v Para inhabilitar el mtodo de autenticacin de formularios, escriba none. Por ejemplo:
[forms] forms-auth = https
Configuracin del mecanismo de autenticacin de formularios

El parmetro passwd-ldap especifica la biblioteca compartida que se utiliza para procesar la autenticacin del nombre de usuario y la contrasea. v En UNIX, el archivo que proporciona la funcin de correlacin incorporada es una biblioteca compartida denominada libldapauthn. v En Windows, el archivo que proporciona la funcin de correlacin incorporada es una DLL denominada ldapauthn.
Tabla 24. Nombres de bibliotecas compartidas para la autenticacin de formularios Sistema operativo Solaris AIX Linux HP-UX Windows Biblioteca compartida libldapauthn.so libldapauthn.a libldapauthn.so libldapauthn.sl ldapauthn.dll
Puede configurar el mecanismo de autenticacin del nombre de usuario y la contrasea especificando el parmetro passwd-ldap con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin de WebSEAL. Por ejemplo: Solaris:
[authentication-mechanisms] passwd-ldap = libldapauthn.so
Windows:
162
[authentication-mechanisms] passwd-ldap = ldapauthn.dll
Condiciones de configuracin
Si se habilita la autenticacin de formularios para un transporte determinado, se omitirn los valores de la autenticacin bsica para dicho transporte.
Personalizacin de los formularios HTML de respuesta

La autenticacin de formularios requiere el uso de un formulario de inicio de sesin personalizado. De forma predeterminada, el formulario login.html de ejemplo se encuentra en el siguiente directorio:
directorio_instalacin/www-instancia_servidor_webseaL/dir_entorno_local/lib/html
Puede personalizar el contenido y el diseo de este formulario. Para obtener informacin detallada acerca de los formularios HTML disponibles que se pueden personalizar, consulte el apartado Gestin de pginas personalizadas de gestin de cuentas en la pgina 98.
163
Autenticacin de certificado de cliente

Este apartado contiene los temas siguientes: v Visin general de la autenticacin de certificado de cliente v Configuracin de la autenticacin de certificado en la pgina 167
Visin general de la autenticacin de certificado de cliente

La autenticacin de certificado de cliente permite a un cliente utilizar un certificado digital de cliente para solicitar una identidad autenticada y utilizarla en un dominio seguro de Tivoli Access Manager. Cuando la autenticacin es correcta, WebSEAL obtiene una identidad de Tivoli Access Manager que se utiliza para crear una credencial para el usuario. La credencial especifica los permisos y las autorizaciones que deben otorgarse al cliente. La autenticacin de certificado de cliente est inhabilitada de forma predeterminada. WebSEAL soporta la autenticacin de certificado de cliente en tres modalidades distintas. El administrador debe especificar la modalidad apropiada durante la configuracin. Estas modalidades se describen en los apartados siguientes: v Modalidad de autenticacin de certificado necesario v Modalidad de autenticacin de certificado opcional v Modalidad de autenticacin de certificado con demora
Modalidad de autenticacin de certificado necesario

WebSEAL siempre necesita un certificado de cliente. Cuando el usuario solicita acceso a un recurso a travs de SSL, WebSEAL proporciona su certificado de servidor, que permite al cliente establecer una sesin SSL. A continuacin, WebSEAL solicita al cliente un certificado de cliente. Si el cliente no presenta un certificado, la conexin SSL con el cliente se cierra y no se intenta realizar la autenticacin del certificado de cliente.
Modalidad de autenticacin de certificado opcional

WebSEAL solicita un certificado de cliente pero no lo necesita. Cuando el usuario solicita acceso a un recurso a travs de SSL, WebSEAL proporciona su certificado de servidor, que permite al cliente establecer una sesin SSL. A continuacin, WebSEAL solicita al cliente un certificado de cliente. Si el cliente presenta su certificado de cliente, WebSEAL lo utiliza para iniciar una sesin de autenticacin basada en el certificado. Si el cliente no presenta un certificado de cliente, WebSEAL permite que la sesin SSL contine pero el usuario permanece sin autenticar ante Tivoli Access Manager.
Modalidad de autenticacin de certificado con demora

En esta modalidad, WebSEAL no solicita un certificado de cliente para su autenticacin hasta que el cliente intenta acceder a un recurso protegido que requiere la autenticacin basada en certificado. Cuando el usuario solicita acceso a un recurso a travs de SSL, WebSEAL proporciona su certificado de servidor, que permite al cliente establecer una sesin SSL. WebSEAL comprueba la poltica de seguridad del recurso solicitado para determinar si la autenticacin de certificado es necesaria. La poltica de seguridad
164
se describe en el contenido de una lista de control de accesos (ACL) o en la poltica de objetos protegidos (POP) que se ha asociado al recurso protegido. Si la poltica de seguridad no requiere la autenticacin de certificado, WebSEAL no solicita ningn certificado digital de cliente. Si la poltica de seguridad s que requiere la autenticacin de certificado, WebSEAL solicita el certificado de cliente. En esta modalidad, no es posible utilizar el ID de SSL para realizar un seguimiento de la actividad de la sesin del usuario ya que la sesin SSL se negociar de nuevo cuando sea necesario realizar una autenticacin con certificados. Cuando se lleva a cabo la autenticacin de certificado, WebSEAL agrega el ID de SSL para la sesin actual en la cach de ID de SSL de certificado (renegociacin). La autenticacin de certificado con demora se utiliza en dos casos, en funcin del estado de autenticacin del usuario en el momento en que WebSEAL solicita el certificado del cliente. En ambos casos, un cliente puede tener un nmero ilimitado de intercambios con un servidor WebSEAL antes de establecer la necesidad de realizar la autenticacin mediante certificados. Los dos casos son los siguientes: v El usuario no est autenticado En este caso, el cliente permanece sin autenticar porque el cliente no intenta acceder a ningn recurso que precise autenticacin. Si llega el momento en que el cliente intenta acceder a un recurso que requiere autenticacin debido a una ACL, WebSEAL presenta una pgina de inicio de sesin de certificado y el cliente puede iniciar la transferencia del certificado. WebSEAL mantiene la entrada en la cach de la sesin para el usuario no autenticado, pero obtiene un nuevo ID de SSL de GSKit. Cuando el usuario se autentica correctamente, WebSEAL sustituye las credenciales de usuario antiguas sin autenticar de los datos de la cach de la sesin por las credenciales de usuario nuevas. El usuario pasa a estar autenticado y puede solicitar acceso a travs de HTTPS a recursos que requieren autenticacin. v El usuario se ha autenticado con anterioridad utilizando otro mtodo de autenticacin En este caso, se solicit al cliente que se autenticara ante Tivoli Access Manager durante los intercambios anteriores con WebSEAL. La autenticacin anterior se llev a cabo mediante un mtodo de autenticacin distinto, como por ejemplo la autenticacin de formularios o la autenticacin de seal. Llega un momento en que el cliente intenta acceder a un recurso que est protegido por una poltica de objetos protegidos (POP) que requiere la autenticacin del certificado del cliente para otorgar el acceso al recurso. WebSEAL examina la poltica de intensidad de la autenticacin actual de WebSEAL para determinar la clasificacin de los mtodos de autenticacin habilitados. La poltica de intensidad de la autenticacin clasifica los mtodos en una jerarqua de ms a menos intenso. Cuando la autenticacin del certificado se clasifica en una posicin ms intensa que el mtodo de autenticacin actual del cliente, WebSEAL presenta al cliente una pgina de inicio de sesin con un formulario para la autenticacin del certificado. Cuando el cliente se autentica correctamente utilizando un certificado, el nivel de intensidad de autenticacin del cliente aumenta durante la vigencia de la sesin actual. WebSEAL retiene la entrada del usuario en la cach de la sesin, pero obtiene un nuevo ID de SSL de GSKit. WebSEAL
165
modifica los datos de usuario en la entrada del usuario reemplazando las credenciales antiguas del usuario (que se basaban en el mtodo de autenticacin anterior del usuario) por las credenciales de usuario nuevas. La funcin de intensidad de autenticacin de WebSEAL permite a un usuario cambiar de nivel de autenticacin durante una sesin. La autenticacin de certificado es uno de los niveles de autenticacin a los que se puede acceder cuando un usuario necesita aumentar (incrementar) el nivel de autenticacin para poder acceder a recursos de objeto protegidos. Para que un usuario pueda ascender a un nivel de autenticacin de certificado, los administradores deben modificar el archivo de configuracin de WebSEAL para incluir la autenticacin de certificado en la lista de niveles soportados para la intensidad de autenticacin. Para obtener instrucciones sobre la configuracin de la intensidad de la autenticacin, consulte el apartado Poltica de intensidad de autenticacin en la pgina 132.
166
Configuracin de la autenticacin de certificado

Todas las modalidades de autenticacin de certificado comparten un conjunto comn de tareas de configuracin. La modalidad de autenticacin de certificado con demora requiere tareas adicionales. Para habilitar la autenticacin de certificado de cliente en cualquiera de las modalidades soportadas, lleve a cabo las tareas siguientes: 1. Habilite la autenticacin de certificado 2. Especifique el mecanismo de autenticacin de certificado en la pgina 168 3. Especifique el formulario de inicio de sesin de certificado en la pgina 169 4. Especifique la pgina de error de inicio de sesin de certificado en la pgina 169 Cuando habilite la modalidad de autenticacin de certificado con demora, realice las tareas adicionales que se indican a continuacin: 1. Inhabilite los ID de sesin de SSL para realizar el seguimiento de sesiones en la pgina 169 2. Habilite y configure la cach de ID de SSL de certificado en la pgina 170 3. Defina el tiempo de espera para la cach de ID de SSL de certificado en la pgina 170 4. Especifique una pgina de error para un protocolo incorrecto en la pgina 171 Nota: Para activar los nuevos valores de configuracin, deber detener y reiniciar el servidor WebSEAL. Para inhabilitar (anular la configuracin) de la autenticacin de certificado de cliente, siga estas tareas: v Inhabilite la autenticacin de certificado en la pgina 171 v Inhabilite la cach de ID de SSL de certificado en la pgina 171 En los apartados siguientes se resumen los valores del archivo de configuracin de WebSEAL que corresponden a la autenticacin de certificado: v Mtodos de autenticacin en la pgina 455 v Bibliotecas de autenticacin en la pgina 461 v Gestin de cuentas en la pgina 488
Habilite la autenticacin de certificado

La autenticacin basada en certificado est inhabilitada de forma predeterminada. Para habilitar la autenticacin de certificado: 1. Edite el archivo de configuracin de WebSEAL. En la stanza [certificate], especifique un valor que indique a WebSEAL cmo debe gestionar las solicitudes de autenticacin de certificado de cliente:
Valor accept-client-certs = optional Descripcin El cliente puede utilizar, si lo desea, la autenticacin basada en certificado. WebSEAL solicita a los clientes un certificado X.509. Si el cliente proporciona un certificado, utiliza la autenticacin basada en certificado.
167
Valor accept-client-certs = required
Descripcin El cliente debe utilizar la autenticacin basada en certificado. WebSEAL solicita a los clientes un certificado X.509. Si el cliente no presenta ningn certificado, WebSEAL no permite establecer la conexin.
accept-client-certs = prompt_as_needed
No es necesario que el cliente se autentique con un certificado al iniciar la sesin. El cliente puede iniciar la autenticacin de certificado ms adelante. Este valor habilita la autenticacin de certificado con demora.
Por ejemplo, para solicitar a los usuarios un certificado de cliente slo en el caso en que el cliente se encuentra con un recurso que requiere autenticacin de certificado, escriba lo siguiente:
[certificate] accept-client-certs = prompt_as_needed
Debe tener en cuenta que este valor se utiliza cuando se implementa una poltica de intensidad de autenticacin (incremental) para la autenticacin de certificado. 2. Si accept-client-certs est establecido en optional o en required, omita este paso y contine con el siguiente.
Especifique el mecanismo de autenticacin de certificado

Para especificar un mecanismo de autenticacin de certificado, siga estos pasos: 1. Verifique que la autenticacin de certificado est habilitada. Consulte el apartado Habilite la autenticacin de certificado en la pgina 167. 2. Edite el archivo de configuracin de WebSEAL. En la stanza [certificate], especifique la biblioteca compartida integrada de autenticacin de certificado que corresponda como valor para la clave cert-ssl:
Tabla 25. Bibliotecas compartidas de autenticacin de certificado Sistema operativo Solaris AIX HP-UX Linux Windows Biblioteca compartida libsslauthn.so libsslauthn.a libsslauthn.sl libsslauthn.so sslauthn.dll
Por ejemplo, en un sistema Solaris:

[authentication-mechanisms] cert-ssl= libsslauthn.so
Consulte tambin: v Mtodos de autenticacin en la pgina 455 v Bibliotecas de autenticacin en la pgina 461
168
Especifique el formulario de inicio de sesin de certificado

WebSEAL proporciona una pgina HTML que contiene un formulario de inicio de sesin que debe presentarse a los usuarios cuando se identifica la necesidad de utilizar la autenticacin de certificado. Los administradores pueden optar por utilizar el formulario de inicio de sesin predeterminado, personalizar el formulario de inicio de sesin o especificar una pgina de inicio de sesin personalizada y totalmente distinta. Generalmente, los administradores utilizan el archivo predeterminado, pero personalizan el contenido del formulario. Los administradores que opten por crear un archivo HTML nuevo debern editar el archivo de configuracin de WebSEAL para indicar la ubicacin de dicho archivo. La entrada del archivo de configuracin de WebSEAL predeterminada es la siguiente:
[acnt-mgt] certificate-login = certlogin.html
Especifique la pgina de error de inicio de sesin de certificado

WebSEAL proporciona una pgina HTML predeterminada que contiene un mensaje de error que se muestra cuando un usuario no puede autenticarse correctamente utilizando el mtodo de autenticacin de certificado de cliente. Los administradores pueden optar por utilizar la pgina de error predeterminada, personalizar el mensaje de error o especificar una pgina de error personalizada y totalmente distinta. Generalmente, los administradores utilizan la pgina predeterminada, pero pueden personalizar el contenido del mensaje de error. Los administradores que opten por crear una pgina de error HTML nueva debern editar el archivo de configuracin de WebSEAL para indicar la ubicacin de dicha pgina. La entrada del archivo de configuracin de WebSEAL predeterminada es la siguiente:
[acnt-mgt] cert-failure = certfailure.html
Inhabilite los ID de sesin de SSL para realizar el seguimiento de sesiones

Este paso de configuracin slo se lleva a cabo si se ha habilitado la autenticacin de certificado con demora. Inhabilite el uso de los ID de sesin de SSL para realizar el seguimiento del estado de la sesin. Defina la entrada de stanza siguiente en el archivo de configuracin de WebSEAL:
[ssl] ssl-id-sessions = no
Nota: En este caso, no es posible utilizar los ID de SSL para mantener las sesiones de usuario porque, cuando se solicita un certificado al usuario, el ID de SSL del usuario cambiar. Si ssl-id-sessions est establecido en yes, WebSEAL genera un mensaje de error al iniciar la sesin y al concluirla.
169
Habilite y configure la cach de ID de SSL de certificado

Este paso de configuracin slo se lleva a cabo si se ha habilitado la autenticacin de certificado con demora. Para configurar la cach, siga estos pasos: 1. Verifique que la autenticacin de certificado est habilitada. Consulte el apartado Habilite la autenticacin de certificado en la pgina 167. 2. Especifique el nmero mximo de entradas permitidas en la cach. Edite el archivo de configuracin de WebSEAL. En la stanza [certificate], asigne un valor para cert-cache-max-entries:
[certificate] cert-cache-max-entries = 1024
El valor corresponde al nmero mximo de autenticaciones de certificado simultneas. El valor predeterminado es una cuarta parte del nmero predeterminado de entradas de la cach de ID de SSL. (La mayor parte de las sesiones SSL no requieren inicios de sesin de certificado o slo requerirn la autenticacin de certificado una vez por sesin.) El nmero de entradas en la cach de ID de SSL se establece en la stanza [ssl]:
[ssl] ssl-max-entries = 4096
Por consiguiente, el valor predeterminado para cert-cache-max-entries es 1024, que es una cuarta parte del valor predeterminado para ssl-max-entries, que es 4096. Nota: La mayor parte de las solicitudes de cliente para WebSEAL se producen a travs de conexiones SSL, y todas las solicitudes que se realizan a travs de conexiones SSL sin certificados deben verificar la cach. Por consiguiente, mantener un tamao reducido de la cach puede aumentar el rendimiento de forma significativa.
Defina el tiempo de espera para la cach de ID de SSL de certificado

Este paso de configuracin slo se lleva a cabo si se ha habilitado la autenticacin de certificado con demora. Efecte los pasos siguientes: 1. Verifique que la autenticacin de certificado est habilitada. Consulte el apartado Habilite la autenticacin de certificado en la pgina 167. 2. Edite el archivo de configuracin de WebSEAL. En la stanza [certificate], ajuste el valor de cert-cache-timeout segn sea necesario.
[certificate] cert-cache-timeout = 120
El valor es el tiempo de permanencia mximo de una entrada en la cach, expresado en nmero de segundos. Utilice el valor predeterminado a menos que las condiciones merezcan un cambio. Los motivos posibles que pueden conducir a modificar el valor son: v En los sistemas que presentan restricciones de memoria, puede ser necesario reducir el tiempo de caducidad. v Puede ser necesario aumentar el tiempo de caducidad si existe un lapso notable entre el momento en que el usuario inicia la transferencia de un certificado y el momento en que el usuario realmente enva el certificado. v Los valores ms bajos borran la cach con mayor prontitud si no se requieren autenticaciones de certificados. Esto permite liberar memoria del sistema.
170
Especifique una pgina de error para un protocolo incorrecto

Este paso de configuracin slo se lleva a cabo si se ha habilitado la autenticacin de certificado con demora. WebSEAL proporciona una pgina HTML predeterminada que contiene un mensaje de error que se visualiza cuando un usuario autenticado intenta aumentar el nivel de intensidad de la autenticacin para la autenticacin de cliente desde una sesin HTTP. Los usuarios que intentan aumentar el nivel de autenticacin a la autenticacin de certificado deben utilizar el protocolo HTTPS. Los administradores pueden optar por utilizar la pgina de error predeterminada, personalizar el mensaje de error o especificar una pgina de error personalizada y totalmente distinta. Generalmente, los administradores utilizan la pgina predeterminada, pero pueden personalizar el contenido del mensaje de error. Los administradores que opten por crear una pgina de error HTML nueva debern editar el archivo de configuracin de WebSEAL para indicar la ubicacin de dicha pgina. La entrada del archivo de configuracin de WebSEAL predeterminada es la siguiente:
[acnt-mgt] cert-stepup-http = certstepuphttp.html
Inhabilite la autenticacin de certificado

Para inhabilitar la autenticacin de certificado: 1. Detenga el servidor WebSEAL. 2. Edite el archivo de configuracin de WebSEAL. En la stanza [certificate], especifique la siguiente pareja clave = valor:
[certificate] accept-client-certs = never
3. Reinicie el servidor WebSEAL.
Inhabilite la cach de ID de SSL de certificado

La cach de ID de SSL de certificado se utiliza slo con la autenticacin de certificado con demora o con el incremento de intensidad de autenticacin a autenticacin de certificado. La inhabilitacin de la cach se produce de forma automtica, en funcin de los valores de configuracin para la autenticacin de certificado. Para verificar si la cach est inhabilitada, examine el valor para accept-client-certs en la stanza [certificate]. Verifique que el valor es uno de los siguientes: v required v optional v never Verifique que el valor no es prompt_as_needed.
171
Autenticacin de cabeceras HTTP

Tivoli Access Manager WebSEAL proporciona un mdulo de autenticacin que autentica a los usuarios en funcin de los datos que se obtienen de la informacin de la cabecera HTTP actualizada que ofrece el cliente o un agente proxy. Este mdulo est formado por una funcin de correlacin que correlaciona los datos de la cabecera con una identidad de Tivoli Access Manager. WebSEAL confa en que estos datos de cabecera HTTP personalizada son el resultado de una autenticacin previa. El mdulo de autenticacin de WebSEAL se ha creado especficamente para correlacionar los datos obtenidos de cabeceras de proxy Entrust. Si habilita la autenticacin de cabeceras HTTP utilizando el mdulo de autenticacin incorporado, deber inhabilitar todos los dems mtodos de autenticacin. Deber aceptar conexiones solamente del proxy Entrust. Al inhabilitar los dems mtodos de autenticacin se eliminan mtodos que podran utilizarse para imitar datos de cabecera HTTP personalizada. Si lo desea, puede personalizar el mdulo de autenticacin de cabeceras HTTP para autenticar otros tipos de datos de cabecera especiales y, opcionalmente, correlacionar estos datos con una identidad de Tivoli Access Manager. Para obtener informacin sobre cmo personalizar los mdulos de autenticacin, consulte la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference. Notas sobre uso: v Las cookies de ID de sesin no se utilizan para mantener el estado cuando ssl-id-sessions = no. El valor de cabecera exclusiva se utiliza para mantener el estado. v Cuando un cliente detecta un error de autorizacin, el cliente recibe una pgina No autorizado (HTTP 403). v Las cabeceras de cookies no se pueden pasar al mecanismo de autenticacin de cabeceras HTTP. Este apartado contiene las siguientes instrucciones de configuracin: v Habilitar la autenticacin de cabeceras HTTP v Especificar tipos de cabecera en la pgina 173 v Especificar el mecanismo de autenticacin de cabeceras HTTP en la pgina 173 v Inhabilitar la autenticacin de cabeceras HTTP en la pgina 174
Habilitar la autenticacin de cabeceras HTTP

La autenticacin de cabeceras HTTP est inhabilitada de forma predeterminada. Para habilitar la autenticacin de cabeceras HTTP: 1. Detenga el servidor WebSEAL. 2. Edite el archivo de configuracin de WebSEAL. En la stanza [http-headers], especifique los protocolos que deben soportarse en su entorno de red. Los protocolos se muestran en la tabla siguiente.
Tabla 26. Habilitacin de la autenticacin de cabeceras HTTP Protocolo que debe soportarse HTTP HTTPS HTTP y HTTPS Entrada del archivo de configuracin http-headers-auth = http http-headers-auth = https http-headers-auth = both
172
Por ejemplo, para soportar ambos protocolos:

[http-headers] http-headers-auth = both
Especificar tipos de cabecera

Los tipos de cabecera HTTP que WebSEAL soporta se especifican en la stanza [auth-headers] del archivo de configuracin de WebSEAL. De forma predeterminada, la biblioteca compartida incorporada est codificada para dar soporte solamente a datos de cabecera de proxy Entrust. Por consiguiente, la nica entrada del archivo de configuracin es la siguiente:
[auth-headers] header = entrust-client
Puede modificar la biblioteca de mdulos de autenticacin de cabeceras HTTP para soportar otros tipos de cabecera. Para ello, debe reemplazar la biblioteca existente por su propia implementacin de la misma. Para obtener ms informacin sobre cmo escribir sus propios mdulos de autenticacin, consulte la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference. Cuando escriba su propio mdulo de autenticacin para soportar otros tipos de cabecera, agregue una entrada al archivo de configuracin para cada tipo adicional soportado:
[auth-headers] header = nombre_cabecera
Nota: WebSEAL slo procesa la primera cabecera que encuentra en la solicitud del usuario que coincide con algunos de los valores configurados en la stanza [auth-headers]. El mecanismo de autenticacin de cabeceras HTTP no est diseado para gestionar ms de una cabecera HTTP en una solicitud.
Especificar el mecanismo de autenticacin de cabeceras HTTP

Para especificar un mecanismo de autenticacin de cabeceras HTTP, siga estos pasos: 1. Verifique que la autenticacin de cabeceras HTTP est habilitada. Consulte el apartado Habilitar la autenticacin de cabeceras HTTP en la pgina 172. 2. Edite el archivo de configuracin de WebSEAL. En la stanza [authentication-mechanisms], especifique la biblioteca compartida incorporada de autenticacin de cabeceras HTTP apropiada como valor de la clave http-request:
Tabla 27. Bibliotecas compartidas de autenticacin de cabeceras HTTP Sistema operativo Solaris AIX HP-UX Linux Windows Biblioteca compartida libhttpauthn.so libhttpauthn.a libhttpauthn.sl libhttpauthn.so httpauthn.dll
Por ejemplo, en un sistema Solaris:

173
[authentication-mechanisms] http-request = libhttpauthn.so
3. De forma predeterminada, se presupone que la informacin de autenticacin que se proporciona en la cabecera HTTP est codificada en la pgina de cdigos local. Para especificar que la cabecera HTTP est codificada en UTF-8, agregue una opcin a la declaracin del mecanismo de autenticacin. Por ejemplo, en un sistema Solaris:
[authentication-mechanisms] http-request = libhttpauthn.so & utf8
Consulte tambin: v Mtodos de autenticacin en la pgina 455 v Bibliotecas de autenticacin en la pgina 461
Inhabilitar la autenticacin de cabeceras HTTP

Para inhabilitar la autenticacin de cabeceras HTTP: 1. Detenga el servidor WebSEAL. 2. Edite el archivo de configuracin de WebSEAL. Establezca http-headers-auth en none:
[http-headers] http-headers-auth = none
3. Reinicie el servidor WebSEAL. Nota: La autenticacin de cabeceras HTTP est inhabilitada de forma predeterminada.
174
Autenticacin de direcciones IP
Tivoli Access Manager da soporte a la autenticacin a travs de una direccin IP que proporciona el cliente.
Habilitacin e inhabilitacin de la autenticacin de direcciones IP

El parmetro ipaddr-auth, que se encuentra en la stanza [ipaddr] del archivo de configuracin de WebSEAL, habilita e inhabilita el mtodo de autenticacin de direcciones IP. v Para habilitar el mtodo de autenticacin de direcciones IP, escriba http, https o both. v Para inhabilitar el mtodo de autenticacin de direcciones IP, escriba none. Por ejemplo:
[ipaddr] ipaddr-auth = https
Configuracin del mecanismo de autenticacin de direcciones IP

La autenticacin mediante una direccin IP requiere una biblioteca compartida personalizada. Utilice el parmetro http-request para especificar esta biblioteca compartida personalizada.
175
Autenticacin de seal
Tivoli Access Manager da soporte a la autenticacin a travs de un cdigo de paso de seal proporcionado por el cliente. Este apartado contiene los temas siguientes: v Conceptos de la autenticacin de seal v Configuracin de la autenticacin de seal en la pgina 179
Conceptos de la autenticacin de seal

Este apartado contiene los temas siguientes: v Biblioteca de autenticacin de seal v Autenticacin de seal SecurID v Flujo de trabajo de autenticacin para seales de la modalidad de PIN nuevo en la pgina 178 v Uso de la autenticacin de seal con un servidor de intensidad de contraseas en la pgina 179 v El cliente SecurID RSA no da soporte a Linux para zSeries en la pgina 179
Biblioteca de autenticacin de seal

Para la autenticacin de dos factores, es necesario que los usuarios proporcionen dos formas de identificacin. Por ejemplo, un nico factor de identificacin, como una contrasea, y un segundo factor en forma de seal de autenticacin. Un mtodo simple de dos factores, basado en algo que el usuario conoce y algo que el usuario posee, proporciona un nivel ms fiable de autenticacin de usuarios que las contraseas reutilizables. Tivoli Access Manager proporciona una biblioteca de autenticacin de dos factores incorporada, xtokenauth; se trata de un cliente del servidor de autenticacin de seal SecurID RSA (ACE/servidor), escrito en la API de autorizacin RSA. WebSEAL proporciona funciones de cliente de autenticacin de seal RSA (ACE/agente) y est certificado como preparado para SecurID (SecurID Ready). De forma predeterminada, esta biblioteca compartida incorporada de autenticacin de seal est codificada para correlacionar datos de cdigo de paso de seal SecurID (RSA). Este mecanismo de autenticacin de seal predeterminado espera el nombre de usuario utilizado por el cliente para correlacionarse con una cuenta de usuario existente en el registro LDAP de Tivoli Access Manager. Nota: Tambin puede personalizar este archivo de biblioteca para autenticar otros tipos de datos de seales especiales y, opcionalmente, correlacionar estos datos a una identidad de Tivoli Access Manager. Consulte la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference para obtener ms informacin.
Autenticacin de seal SecurID

El proceso de autenticacin de seal de WebSEAL requiere el cliente SecurID RSA, instalado y configurado en la mquina de servidor WebSEAL, para establecer comunicacin con un servidor RSA remoto. Se da soporte a la versin 5.1 del cliente SecurID. ACE/servidores de RSA autentican varias seales distintas, incluyendo seales de software y dispositivos de mano controlados por microprocesador. Las seales de software SecurID son programas binarios que se ejecutan en una estacin de
176
trabajo, estn instaladas en una Smart Card o se ejecutan como plug-in en un navegador web. Estas seales pueden ejecutarse como una aplicacin. La aplicacin muestra una ventana en la que el usuario especifica su nmero de identificacin personal (PIN) para que la seal de software calcule el cdigo de paso. A continuacin, el usuario puede autenticarse ante WebSEAL especificando el cdigo de paso en un formulario de inicio de sesin. La forma ms tpica de seal SecurID es un dispositivo de mano. El dispositivo generalmente es una cadena de claves o una tarjeta delgada. La seal puede tener un teclado de PIN, en el que el usuario introduce su PIN, para generar un cdigo de paso. Si la seal no tiene ningn teclado de PIN, el cdigo de paso se crea concatenando el PIN del usuario y el cdigo de seal. Un cdigo de seal es un nmero que cambia y que se muestra en la cadena de claves. El cdigo de seal es un nmero generado por la seal SecurID a intervalos de un minuto. A continuacin, un usuario introduce el PIN y el cdigo de seal para autenticarse ante ACE/servidor. WebSEAL da soporte a las dos modalidades de seal RSA: v Modalidad de cdigo de seal siguiente Esta modalidad se utiliza cuando el usuario introduce un PIN correcto pero un cdigo de seal incorrecto. Generalmente, el cdigo de seal debe introducirse incorrectamente tres veces seguidas para enviar la tarjeta de seal a la modalidad de cdigo de seal siguiente. Cuando el usuario introduce el cdigo de paso correcto, el cdigo de seal cambia automticamente. El usuario espera el nuevo cdigo de seal y, a continuacin, vuelve a introducir el cdigo de seal. v Modalidad de PIN nuevo La seal puede ser en modalidad de PIN nuevo cuando el PIN antiguo sigue asignado. La seal se coloca en esta modalidad cuando el administrador desea aplicar una poltica de antigedad mxima de la contrasea. La seal tambin se encuentra en modalidad de PIN nuevo cuando se borra el PIN o si no se ha asignado el PIN. Es posible que las seales asignadas recientemente todava no tengan un PIN. El administrador puede borrar un PIN cuando el usuario lo ha olvidado o cuando sospecha que ha podido ser manipulado. Los PIN de SecurID pueden crearse de distintas formas: v Definidos por el usuario v Generados por el sistema v Seleccionables por el usuario Las modalidades de PIN se definen mediante el mtodo de creacin y mediante reglas que especifican los parmetros para la creacin de contraseas y el tipo dispositivo. WebSEAL da soporte v De 4 a 8 caracteres v De 4 a 8 caracteres v De 5 a 7 caracteres v De 5 a 7 caracteres v De 5 a 7 caracteres v De 5 a 7 caracteres a los tipos siguientes de PIN definidos por el usuario: alfanumricos, seal no PINPAD alfanumricos, contrasea alfanumricos, seal no PINPAD alfanumricos, seal PINPAD alfanumricos, denegar PIN de 4 dgitos alfanumricos, denegar alfanumrico
WebSEAL no da soporte a los tipos de PIN nuevo siguientes:

177
v v v v
Generado por el sistema, seal no PINPAD Generado por el sistema, seal PINPAD Seleccionable por el usuario, seal no PINPAD Seleccionable por el usuario, seal PINPAD
Los usuarios de seales no pueden restablecer su PIN si el administrador de ACE no borra primero la seal o la coloca en la modalidad de PIN nuevo. Esto significa que los usuarios que tienen un PIN vlido no pueden enviar datos a pkmspassword.form. Los intentos de acceso a este formulario reciben un mensaje de error.
Flujo de trabajo de autenticacin para seales de la modalidad de PIN nuevo

1. Un cliente (navegador) solicita un objeto web protegido que requiere la autenticacin de seal. 2. WebSEAL devuelve una pgina de autenticacin en la que se solicita el nombre de usuario y el cdigo de paso. 3. El usuario cumplimenta el nombre de usuario y el cdigo de seal y enva el formulario a la biblioteca de autenticacin de WebSEAL. Cuando el usuario no tiene PIN, ya sea porque la tarjeta de seal es nueva o porque el administrador ha restablecido el PIN, el cdigo de seal es el mismo que el cdigo de paso. Cuando el usuario tiene un PIN, pero la tarjeta de seal se encuentra en modalidad de PIN nuevo, el usuario introduce el PIN y el cdigo de seal. 4. La biblioteca de autenticacin de seal de WebSEAL enva la solicitud de autenticacin a ACE/servidor. 5. El ACE/servidor procesa la solicitud del modo siguiente: a. Si la autenticacin no es correcta, el resultado se devuelve a la biblioteca de autenticacin de seal de WebSEAL, que muestra una pgina de error al cliente (regrese al paso 2). b. Si la seal no se encontraba en modalidad de PIN nuevo, el usuario se autentica. La biblioteca de autenticacin de seal de WebSEAL devuelve un estado correcto al servidor WebSEAL, que sirve el objeto web protegido que se ha solicitado. Aqu finaliza el flujo de trabajo de autenticacin. c. Si la seal se encuentra en la modalidad de PIN nuevo, el ACE/servidor devuelve el cdigo de error NEW_PIN a la biblioteca de autenticacin de seal de WebSEAL. 6. WebSEAL presenta al usuario el formulario de contrasea caducada. 7. El usuario introduce el cdigo de seal o el cdigo de paso y el PIN nuevo y lo enva a WebSEAL. 8. WebSEAL comprueba si se ha desplegado un servidor de intensidad de contrasea. a. En caso negativo, WebSEAL contina con el paso 9. b. En caso afirmativo, WebSEAL comprueba el nuevo PIN. Si el PIN es vlido, WebSEAL contina con el paso 9. Si no lo es, WebSEAL regresa al paso 6. 9. La biblioteca de autenticacin de WebSEAL enva el cdigo de seal y el PIN nuevo al ACE/servidor. 10. El ACE/servidor devuelve un cdigo de respuesta.
178
11. Si la llamada de definicin del PIN enviada al ACE/servidor es correcta, WebSEAL devuelve al cliente el objeto web protegido solicitado originariamente. Si la llamada falla, el flujo de trabajo de autenticacin regresa al paso 6.
Uso de la autenticacin de seal con un servidor de intensidad de contraseas

WebSEAL tambin da soporte un servidor de intensidad de contraseas especfico de un mecanismo de autenticacin. Este soporte permite a los arquitectos de mecanismos de seguridad desarrollar distintas polticas de intensidad de contraseas para distintos mtodos de autenticacin utilizando nicamente mecanismos de autenticacin de WebSEAL. Un PIN numrico de cuatro dgitos, por ejemplo, puede ser vlido para el ACE/servidor pero no lo ser para un servidor de intensidad de contraseas ms estricto.
El cliente SecurID RSA no da soporte a Linux para zSeries

El cliente SecurID RSA no puede utilizarse en plataformas Linux para zSeries. Esto significa que el mdulo de autenticacin de seal de WebSEAL no puede dar soporte a plataformas Linux para zSeries.
Configuracin de la autenticacin de seal

Para configurar la autenticacin de seal, deben seguirse las instrucciones de los apartados siguientes: v Habilite la autenticacin de seal v Especifique el mecanismo de autenticacin de seal en la pgina 180 v Habilite el acceso a la biblioteca de cliente SecurID en la pgina 180 Si se utiliza un servidor de intensidad de contraseas con la autenticacin de seal, deben seguirse las instrucciones de los apartados siguientes: v Especifique una biblioteca de intensidad de contraseas personalizada en la pgina 181 v Habilite la compatibilidad con versiones anteriores para la biblioteca de autenticacin de seal personalizada en la pgina 181 Para anular la configuracin de la autenticacin de seal, siga las instrucciones de los apartados siguientes: v Inhabilite la autenticacin de seal en la pgina 182
Habilite la autenticacin de seal

La autenticacin de seal est inhabilitada de forma predeterminada. Para habilitarla: 1. Detenga el servidor WebSEAL. 2. Edite el archivo de configuracin de WebSEAL. En la stanza [token], especifique los protocolos que deben soportarse en su entorno de red. Los protocolos se muestran en la tabla siguiente.
Tabla 28. Habilitacin de la autenticacin de seal Protocolo que debe soportarse HTTP HTTPS HTTP y HTTPS Entrada del archivo de configuracin token-auth = http token-auth = https token-auth = both
179
Por ejemplo, para soportar ambos protocolos:

[token] token-auth = both
Especifique el mecanismo de autenticacin de seal

Para configurar un mecanismo de autenticacin de seal, siga estos pasos: 1. Detenga el servidor WebSEAL. 2. Asegrese de que la autenticacin de seal est habilitada. Consulte el apartado Habilite la autenticacin de seal en la pgina 179. 3. Edite el archivo de configuracin de WebSEAL. En la stanza [token], especifique el nombre de la biblioteca compartida apropiada como valor de la clave token-cdas. Los nombres de las bibliotecas compartidas se muestran en la tabla siguiente.
Tabla 29. Bibliotecas compartidas de autenticacin de seal Sistema operativo Solaris AIX HP-UX Linux Windows Biblioteca compartida libxtokenauthn.so libxtokenauthn.a libxtokenauthn.sl libxtokenauthn.so xtokenauthn.dll
Por ejemplo, en Solaris:

[authentication-mechanisms] token-cdas = libxtokenauthn.so
4. Reinicie el servidor WebSEAL. Consulte tambin: v Conceptos de la autenticacin de seal en la pgina 176 v Bibliotecas de autenticacin en la pgina 461
Habilite el acceso a la biblioteca de cliente SecurID

Para establecer una comunicacin correcta entre el cliente SecurID y el ACE/servidor, debe establecer manualmente los permisos adecuados en un archivo de secreto de nodo de SecurID. Tambin debe establecer una variable de entorno que indique a WebSEAL la ubicacin del archivo de secreto de nodo. El archivo se denomina securid. Este archivo se enva despus de la primera autenticacin correcta entre el cliente SecurID y el servidor. Las comunicaciones posteriores entre el cliente y el servidor RSA se basan en un intercambio del secreto de nodo para comprobar la autenticacin de cada uno de ellos. Para permitir que WebSEAL acceda a la biblioteca de cliente SecurID, siga estos pasos: 1. Cambie los permisos de los archivos de configuracin de cliente securid y sdconf.rec para permitir el acceso de lectura al grupo ivmgr. En el ejemplo siguiente, se presupone que estos archivos se encuentran en el directorio /opt/ace/data: UNIX:
# cd /opt/ace/data # chmod 444 securid # chmod 444 sdconf.rec
180
Windows: Establezca las propiedades de seguridad en los archivos en Everyone. 2. Establezca la variable de entorno VAR_ACE para notificar a WebSEAL la ubicacin del directorio de estos dos archivos. En el ejemplo siguiente, se presupone que estos archivos se encuentran en el directorio /opt/ace/data: UNIX:
# export VAR_ACE=/opt/ace/data
Windows:
Inicio > Configuracin > Panel de control > Sistema > Entorno
Para obtener informacin sobre el soporte de WebSEAL para el cliente SecurID, consulte el apartado Conceptos de la autenticacin de seal en la pgina 176.
Especifique una biblioteca de intensidad de contraseas personalizada

Esta entrada de configuracin es necesaria solamente si se utiliza la biblioteca de intensidad de contraseas personalizada. Edite el archivo de configuracin de WebSEAL. En la stanza [authenticationmechanisms], agregue una entrada con la palabra clave de entrada passwd-strength. Especifique el nombre de la biblioteca de intensidad de contraseas personalizada en el valor para la entrada. En el ejemplo siguiente se muestra una entrada de archivo de configuracin de ejemplo para utilizar la autenticacin de seal con una biblioteca de intensidad de contraseas:
[token] token-auth = both [authentication-mechanisms] token-cdas = libxtokenauthn.so passwd-strength = libxstrength.so
Habilite la compatibilidad con versiones anteriores para la biblioteca de autenticacin de seal personalizada
En los releases de Tivoli Access Manager WebSEAL anteriores al 5.1, WebSEAL no daba soporte a las funciones de definicin de PIN de RSA. Para estas versiones, cuando una comprobacin de autorizacin para el ACE/servidor devuelve el cdigo de error de PIN nuevo, WebSEAL la trata como un intento de autenticacin fallido. Si el usuario intenta enviar un nuevo PIN a la pgina /pkmspasswd cuando ha iniciado la sesin con la autenticacin de seal, WebSEAL devuelve un formulario con un mensaje de error parecido a este: Operacin no permitida para el mtodo: token-card. Para mantener este comportamiento de WebSEAL con el release 5.1, los usuarios que cumplan las condiciones siguientes debern agregar un valor de configuracin al archivo de configuracin de WebSEAL: v El usuario ha desplegado una versin de WebSEAL anterior a la 5.1 y ha habilitado la autenticacin de seal. v El usuario ha utilizado el mdulo WebSEAL Authorization Development Kit Password Strength para desarrollar una biblioteca de intensidad de contraseas personalizada. v El usuario no desea reemplazar la biblioteca de intensidad de contraseas personalizada existente por la nueva interfaz xauth_change_password().
181
Para mantener un comportamiento compatible con versiones anteriores con el perfil de software anterior, modifique la entrada token-cdas del archivo de configuracin de WebSEAL. Por ejemplo, en un servidor WebSEAL de una versin anterior a la 5.1, la siguiente seria una entrada de ejemplo en Solaris:
[authentication-mechanisms] token-cdas = /opt/pdweb/lib/libxtokenauthn.so
Para mantener la compatibilidad con versiones anteriores en Tivoli Access Manager WebSEAL 5.1, agregue el parmetro NO_NEW_PIN:
[authentication-mechanisms] token-cdas = /opt/pdweb/lib/libxtokenauthn.so& NO_NEW_PIN
Inhabilite la autenticacin de seal

Para inhabilitar la autenticacin de seal: 1. Detenga el servidor WebSEAL. 2. Edite el archivo de configuracin de WebSEAL. Establezca token-auth en none:
[token] token-auth = none
3. Reinicie el servidor WebSEAL. Nota: La autenticacin de seal est inhabilitada de forma predeterminada.
182
Autenticacin de migracin tras error

Este apartado contiene los temas siguientes: v Conceptos de autenticacin de migracin tras error v Configuracin de la autenticacin de migracin tras error en la pgina 191
Conceptos de autenticacin de migracin tras error

WebSEAL proporciona un mtodo de autenticacin que permite mantener una sesin autenticada entre un cliente y WebSEAL cuando el servidor WebSEAL deja de estar disponible. El mtodo se denomina autenticacin de migracin tras error. La autenticacin de migracin tras error permite al cliente establecer conexin con otro servidor WebSEAL y crear una sesin de autenticacin que contenga los mismos datos de sesin y las mismas credenciales de usuario. Este apartado contiene los temas siguientes: v Escenario de autenticacin de migracin tras error v Biblioteca de autenticacin de migracin tras error en la pgina 184 v Adicin de datos a una cookie de migracin tras error en la pgina 186 v Extraccin de datos de una cookie de migracin tras error en la pgina 188 v Autenticacin de migracin tras error del dominio en la pgina 189 v Compatibilidad con versiones anteriores en la pgina 190 v Actualizacin de la autenticacin de migracin tras error en la pgina 190
Escenario de autenticacin de migracin tras error

La autenticacin de migracin tras error se utiliza principalmente en un escenario en que el cliente (navegador) pasa a travs de un equilibrador de carga para llegar a un entorno WebSEAL. El entorno WebSEAL contiene dos o ms servidores WebSEAL replicados. Los servidores replicados son idnticos. Estos servidores contienen copias replicadas del espacio de objetos protegidos web de WebSEAL, de la base de datos de conexiones y, opcionalmente, de la base de datos dynurl. La autenticacin de migracin tras error generalmente se utiliza en un despliegue de WebSEAL que incluye servidores WebSEAL replicados. Este tipo de despliegue proporciona dos funciones muy tiles: mejoras de rendimiento a travs del equilibrado de carga y migracin tras error de sesiones de cliente entre servidores WebSEAL. Como parte de la capacidad de migracin tras error, WebSEAL da soporte a la autenticacin de un usuario a travs de una cookie de migracin tras error. La cookie de migracin tras error es una cookie especfica de servidor o una cookie de dominio. La cookie de migracin tras error contiene datos especficos del cliente, como el nombre de usuario, la marca de fecha y hora de creacin de la cookie, el mtodo de autenticacin original y una lista de atributos. La lista de atributos contiene, de forma predeterminada, el nivel de autenticacin del usuario. Es posible configurar WebSEAL para agregar atributos ampliados especficos a la lista de atributos. WebSEAL cifra estos datos especficos del cliente. Los servidores WebSEAL replicados comparten una clave comn que descifra la informacin de la cookie. Cuando el servidor WebSEAL replicado recibe esta cookie, descifra la cookie y utiliza el nombre del usuario y el mtodo de autenticacin para generar de nuevo la credencial del cliente. WebSEAL tambin puede configurarse para copiar
183
cualquier atributo ampliado de la cookie en la credencial de usuario. El cliente ahora puede establecer una sesin nueva con un servidor WebSEAL replicado sin que se le solicite que inicie una sesin. Nota: Las cookies de migracin tras error pueden utilizarse a travs de HTTP o HTTPS. La secuencia de eventos para un evento de autenticacin de migracin tras error es la siguiente: 1. El cliente (navegador) intenta acceder a un recurso protegido. La solicitud del cliente va a un equilibrador de carga que controla el acceso a los servidores WebSEAL replicados. 2. El equilibrador de carga selecciona un servidor WebSEAL de destino y reenva la solicitud del usuario. 3. El cliente se autentica correctamente ante WebSEAL utilizando uno de los mtodos de autenticacin soportados. 4. WebSEAL crea una cookie de autenticacin de migracin tras error que contiene informacin sobre la autenticacin del cliente y enva la cookie al cliente. 5. El cliente enva la cookie a travs del equilibrador de carga a WebSEAL con cada solicitud subsiguiente. El servidor WebSEAL procesa cada solicitud. 6. Si el equilibrador de carga detecta que el servidor WebSEAL no est disponible, la solicitud del cliente se direcciona a otro servidor WebSEAL replicado. 7. El servidor WebSEAL replicado est configurado para comprobar la existencia de una cookie de autenticacin de migracin tras error cada vez que intenta autenticar a un usuario. 8. WebSEAL utiliza la informacin de la cookie para establecer una sesin con el cliente, sin solicitar al cliente que vuelva a iniciar manualmente una sesin. Se crean los datos de la sesin del cliente y la credencial del usuario y se procesa la solicitud para el recurso protegido. 9. El cambio de la sesin de un servidor WebSEAL a otro servidor WebSEAL es transparente para el cliente. Puesto que los servidores WebSEAL contienen recursos idnticos, la sesin de cliente contina ininterrumpida. Nota: Para obtener ms informacin sobre la rplica de servidores WebSEAL, consulte el apartado Servidores WebSEAL frontales replicados en la pgina 64.
Biblioteca de autenticacin de migracin tras error

WebSEAL proporciona una biblioteca compartida de autenticacin de migracin tras error incorporada para cada uno de los mtodos de autenticacin soportados. Cada biblioteca compartida de migracin tras error imita la biblioteca compartida para el mtodo de autenticacin correspondiente y, adicionalmente, recupera los atributos ampliados que originalmente se colocaron en la credencial del usuario. Cuando se produce un evento de autenticacin de migracin tras error, WebSEAL llama a la biblioteca de autenticacin de migracin tras error que coincide con el ltimo mtodo de autenticacin utilizado por el usuario antes de que fallara el servidor WebSEAL original. WebSEAL ofrece la funcin de autenticacin de migracin tras error para los mtodos de autenticacin siguientes: v Autenticacin bsica o autenticacin de formularios (tambin conocida como autenticacin de contraseas)
184
v v v v v
Autenticacin de tarjetas de seal Autenticacin de certificado Autenticacin de solicitudes HTTP Inicio de sesin nico entre dominios (CDSSO) Autenticacin Kerberos (SPNEGO)
WebSEAL proporciona una biblioteca compartida de migracin tras error estndar que funciona para todos los mtodos de autenticacin anteriores. Esta biblioteca se denomina libfailoverauthn en sistemas UNIX y failoverauthn en Windows. Nota: Como alternativa, puede proporcionar una biblioteca CDAS personalizada que proporcione las posibilidades especficas de autenticacin que necesita el entorno. Por ejemplo, puede configurar un servidor WebSEAL para dar soporte a la autenticacin de formularios y a la autenticacin de migracin tras error. Cuando WebSEAL se inicia se carga la biblioteca compartida de autenticacin de formularios y la biblioteca de autenticacin de formularios de migracin tras error. El usuario se autentica utilizando la autenticacin de formularios. El servidor WebSEAL enva una cookie de autenticacin de migracin tras error a cada cliente (navegador). Los datos de la cookie especifican que la cookie se ha creado en un entorno de autenticacin de formularios. Cuando el servidor WebSEAL deja de estar disponible, la cookie de migracin tras error se enva al segundo servidor WebSEAL. El segundo servidor WebSEAL, que generalmente es un servidor WebSEAL replicado, tambin tiene la biblioteca compartida de autenticacin de formularios y la biblioteca de migracin tras error de formularios cargada. El segundo servidor WebSEAL recibe la cookie de migracin tras error y la examina para determinar el mtodo de autenticacin anterior del usuario. El segundo servidor WebSEAL llama a la biblioteca de autenticacin de formularios de migracin tras error para extraer los datos necesarios de la cookie y, a continuacin, utiliza dichos datos para autenticar al usuario y obtener una credencial de usuario. Por ejemplo, cuando tanto la autenticacin de formularios como la autenticacin de migracin tras error estn habilitadas en un entorno WebSEAL replicado, deben configurarse dos bibliotecas distintas en el archivo de configuracin de WebSEAL. Una biblioteca especifica la biblioteca del mtodo de autenticacin de formularios. La otra biblioteca especifica la biblioteca del mtodo de autenticacin de migracin tras error. A continuacin se muestran entradas de archivo de configuracin de ejemplo:
[authentication-mechanisms] passwd-ldap = /opt/pdweb/lib/libldapauthn.so failover-password = /opt/pdweb/lib/libfailoverauthn.so
En este ejemplo, la entrada de la stanza passwd-ldap especifica la biblioteca de autenticacin de formularios incorporada de WebSEAL. La entrada de la stanza failover-password especifica la biblioteca de autenticacin de migracin tras error incorporada de WebSEAL. Instrucciones de configuracin: v Especifique la biblioteca de autenticacin de migracin tras error en la pgina 193 v Agregue el nivel de autenticacin en la pgina 195
185
Adicin de datos a una cookie de migracin tras error

WebSEAL agrega automticamente datos especficos de la sesin del usuario a cada cookie de autenticacin de migracin tras error. WebSEAL puede configurarse para agregar informacin adicional de los datos del cliente mantenidos en la cach de credenciales. Asimismo, WebSEAL puede configurarse para agregar datos definidos por el usuario especficos para su despliegue. Por ejemplo, pueden agregarse a la cookie los atributos de usuario obtenidos de un servicio de autenticacin entre dominios personalizado. De forma predeterminada, WebSEAL agrega los datos siguientes a cada cookie: v Nombre de usuario Este nombre corresponde al nombre utilizado para identificar al usuario en el registro de usuarios. Nota: cuando un usuario autenticado ha utilizado la funcin de cambio de usuario de WebSEAL para obtener la identidad efectiva de otro usuario, la identidad del otro usuario no se agrega a la cookie. Slo se agrega a la cookie la identidad del usuario original autenticado. v Mtodo de autenticacin Mtodo de autenticacin utilizado para autenticar al usuario ante WebSEAL. v Hora de creacin de la cookie Hora del sistema en el momento de crear la cookie. WebSEAL tambin crea una lista de atributos que contiene datos adicionales. De forma predeterminada, la lista de atributos contiene un valor: v Nivel de autenticacin Valor entero que corresponde al nivel de intensidad de autenticacin de WebSEAL (tambin es un valor entero) que se asigna en el servidor WebSEAL local para el mtodo de autenticacin. La intensidad de autenticacin, conocida tambin como autenticacin incremental, permite a un usuario autenticarse ante un mtodo de autenticacin distinto sin necesidad de finalizar la sesin. WebSEAL define los datos de usuario adicionales que pueden agregarse a la lista de atributos de la cookie: v Marca de fecha y hora de duracin de la sesin Cuando un usuario se autentica, WebSEAL realiza un seguimiento de la permanencia o duracin de la entrada de usuario en la cach de la sesin. La marca de fecha y hora de duracin de la sesin est formada por la hora actual, avanzada el nmero de segundos configurado para el tiempo mximo durante el que los datos de la sesin del usuario pueden permanecer en la cach de la sesin. Cuando la hora del sistema actual sobrepasa el valor de la marca de fecha y hora, WebSEAL invalida la entrada del usuario de la cach de la sesin (incluidas las credenciales de usuario). WebSEAL puede configurarse para agregar la marca de fecha y hora de duracin de la sesin a la cookie. Cuando se agrega esta marca de fecha y hora a la cookie, es posible mantener el temporizador de duracin de la sesin entre los eventos de migracin tras error. Por consiguiente, los administradores de WebSEAL pueden optar por restablecer o no el temporizador de la sesin del cliente cuando dicha sesin se establece en un servidor replicado. Tenga en cuenta que el uso correcto de esta funcin depende de la sincronizacin de los relojes de los servidores WebSEAL replicados. Si la desviacin de un reloj es notable, las sesiones caducarn en un momento no previsto.
186
v Marca de fecha y hora de inactividad de la sesin WebSEAL tambin realiza un seguimiento del tiempo durante el que la entrada del usuario en la cach de la sesin de WebSEAL ha estado inactiva. Cuando la sesin de un usuario est inactiva durante un perodo de tiempo ms largo del valor establecido para la inactividad de la sesin, WebSEAL invalida la sesin del usuario. La marca de fecha y hora de inactividad de la sesin tambin puede agregarse a la cookie de autenticacin de migracin tras error. Esta marca de fecha y hora difiere ligeramente de la marca de fecha y hora de inactividad de la sesin mantenida para la cach de la sesin de WebSEAL. El tiempo de espera de inactividad del sistema mantenido para la cach se calcula combinando dos valores: Hora actual del sistema Nmero mximo de segundos durante los que una sesin de usuario puede permanecer inactiva. Cuando este valor se agrega a la cookie de autenticacin de migracin tras error, este valor se combina con un valor adicional: Nmero mximo de segundos (intervalo) entre las actualizaciones para la cookie de autenticacin de migracin tras error El valor para el intervalo entre la actualizacin de cookies de migracin tras error afecta al rendimiento. Los administradores deben seleccionar un equilibrio entre un rendimiento ptimo y una precisin absoluta del temporizador de inactividad en la cookie. Para mantener el temporizador de inactividad ms preciso, debe actualizarse cada vez que el usuario formula una solicitud. No obstante, las actualizaciones frecuentes del contenido de la cookie dan lugar a sobrecarga y reducen el rendimiento. Cada administrador debe seleccionar el intervalo que sea ms adecuado para el despliegue de WebSEAL. En algunos casos, es apropiado actualizar la cookie de migracin tras error con cada solicitud de usuario. En otros casos, el administrador puede optar por no actualizar nunca el temporizador de inactividad en la cookie de migracin tras error. v Atributos ampliados adicionales Los administradores pueden configurar WebSEAL para insertar un conjunto personalizado de atributos en una cookie de migracin tras error. Los atributos pueden especificarse de forma individual o en un grupo. Para especificar un grupo de atributos, utilice un patrn comodn que coincida con las entradas del archivo de configuracin. Esta funcin es til en los despliegues que tambin utilizan bibliotecas de autenticacin personalizadas, como los servidores de autenticacin entre dominios, para insertar atributos especiales en una credencial de usuario. Al especificar dichos atributos en el archivo de configuracin de WebSEAL, el administrador puede garantizar que los atributos estn disponibles para agregarlos a la credencial de usuario creada de nuevo durante la autenticacin de migracin tras error. Nota: El tamao mximo de una cookie de autenticacin de migracin tras error es 4 kilobytes (4.096 bytes). Instrucciones de configuracin: v Agregue el nivel de autenticacin en la pgina 195 v Agregue la marca de fecha y hora de la duracin de la sesin en la pgina 195 v Agregue la marca de fecha y hora de actividad de la sesin en la pgina 196
187
v Agregue un intervalo para actualizar la marca de fecha y hora de actividad en la pgina 196 v Agregue atributos ampliados en la pgina 197
Extraccin de datos de una cookie de migracin tras error

Cuando se produce un evento de autenticacin de migracin tras error, WebSEAL recibe una cookie de autenticacin de migracin tras error y, de forma predeterminada, extrae los datos siguientes de cada cookie: v Nombre de usuario v Mtodo de autenticacin v Hora de creacin de la cookie WebSEAL primero determina si la cookie es vlida sustrayendo la hora de creacin de la cookie de la hora del sistema y comparando este valor con la entrada del archivo de configuracin de WebSEAL para la duracin de la cookie de migracin tras error. Si se ha sobrepasado la duracin de la cookie, la cookie no es vlida y no se intenta realizar la autenticacin de migracin tras error. Si la duracin de la cookie no se ha sobrepasado, WebSEAL utiliza el nombre de usuario y el mtodo de autenticacin para autenticar al usuario y crear una credencial de usuario. A continuacin, WebSEAL comprueba los valores de configuracin para determinar si es necesario extraer y evaluar datos adicionales de la cookie. Debe tener en cuenta que el servidor WebSEAL no extrae, de forma predeterminada, ningn otro atributo de la cookie de autenticacin de migracin tras error. Cada atributo adicional que deba extraerse debe especificarse en el archivo de configuracin de WebSEAL. Para obtener grupos de atributos, puede utilizarse el patrn comodn. WebSEAL puede configurarse para extraer los atributos definidos que se indican a continuacin: v Nivel de autenticacin Cuando se extrae este valor, WebSEAL lo utiliza para garantizar que el usuario se autentica con el mtodo de autenticacin necesario para mantener el nivel de autenticacin especificado. WebSEAL puede obtener niveles de autenticacin de distintas ubicaciones: Cookie de migracin tras error Biblioteca de autenticacin de migracin tras error Servicio de autenticacin entre dominios Servicio de titularidad El nivel de autenticacin extrado de la cookie de migracin tras error prevalece sobre los niveles obtenidos de otros lugares. v Marca de fecha y hora de duracin de la sesin WebSEAL puede utilizar esta marca de fecha y hora para determinar si la entrada de usuario de la cach de sesin del servidor original habra caducado. En caso afirmativo, WebSEAL descarga la cookie y todos sus posibles atributos de credencial. La duracin de la sesin no se mantiene y se solicita al usuario que inicie una sesin. v Marca de fecha y hora de inactividad de la sesin WebSEAL puede utilizar esta marca de fecha y hora para determinar si la entrada de usuario de la cach de sesin del servidor original habra estado inactiva durante demasiado tiempo. En caso afirmativo, WebSEAL descarga la
188
cookie y todos sus posibles atributos de credencial. La duracin de la sesin no se mantiene y se solicita al usuario que inicie una sesin. Nota: Para un uso correcto de estas marcas de fecha y hora es necesario sincronizar los relojes entre los servidores WebSEAL replicados. Si la desviacin del reloj es notable, las sesiones caducarn o pasarn a estar inactivas en un momento no previsto. v Atributos ampliados adicionales Estos atributos incluyen atributos personalizados definidos por el usuario, como los generados por los servicios de autenticacin entre dominios. WebSEAL agrega los atributos a la credencial de usuario. Los atributos que no se hayan especificado en el archivo de configuracin de WebSEAL se omitirn y no se extraern. Adems, los administradores pueden especificar que determinados atributos deben omitirse durante la extraccin de la cookie de migracin tras error. Aunque omitir es el comportamiento predeterminado, esta especificacin puede ser til, por ejemplo, para garantizar que los atributos de usuario se obtienen del registro del usuario y no de la cookie de migracin tras error. Instrucciones de configuracin: v Extraccin de datos de una cookie de migracin tras error en la pgina 188
Autenticacin de migracin tras error del dominio

WebSEAL da soporte a una configuracin opcional que permite marcar las cookies de autenticacin de migracin tras error como disponibles para utilizarlas durante la autenticacin de migracin tras error ante todos los dems servidores WebSEAL del dominio de Tivoli Access Manager. Esta opcin de configuracin permite utilizar las cookies de autenticacin de migracin tras error en despliegues que no tienen necesariamente un equilibrador de carga ni servidores WebSEAL replicados. Cuando una sesin de cliente pasa por un evento de autenticacin de migracin tras error ante un servidor WebSEAL replicado, el cliente contina accediendo al mismo conjunto de recursos protegidos. Cuando una sesin de cliente pasa a travs de un evento de autenticacin de migracin tras error ante un servidor WebSEAL que no est replicado, es posible que el conjunto de recursos disponible para el cliente sea distinto. En despliegues amplios esta particin de recursos en el dominio de Tivoli Access Manager es comn. Esta particin puede realizarse debido al rendimiento y con finalidades administrativas. La autenticacin de migracin tras error del dominio puede utilizarse para redireccionar a un cliente a otro servidor WebSEAL en el momento en que las solicitudes del cliente le han conducido a solicitar un recurso que no est disponible a travs del servidor WebSEAL local. En este caso, se redirecciona al cliente (navegador) a otro servidor WebSEAL. El servidor WebSEAL receptor puede configurarse para buscar cookies de autenticacin de migracin tras error. El servidor WebSEAL intenta autenticar al cliente y reconoce la cookie de autenticacin de migracin tras error. Al utilizar la cookie, el servidor WebSEAL no necesita solicitar al cliente informacin de inicio de sesin, pero puede establecer en su lugar una sesin con el cliente y construir un conjunto vlido de credenciales de usuario. Instrucciones de configuracin: v Habilite las cookies de migracin tras error del dominio en la pgina 199
189
Compatibilidad con versiones anteriores

Servidores WebSEAL de versiones anteriores a la 5.1 pueden comprender y leer (consumir) las cookies de migracin tras error generadas por servidores WebSEAL de la versin 5.1. Del mismo modo, los servidores WebSEAL de la versin 5.1 pueden comprender y leer (consumir) las cookies de migracin tras error generadas por servidores WebSEAL ms antiguos (anteriores a la versin 5.1). Los mdulos CDAS escritos para personalizar cookies de migracin tras error para servidores WebSEAL ms antiguos (anteriores a la versin 5.1) funcionarn con los servidores WebSEAL de la versin 5.1. Para garantizar la compatibilidad con versiones anteriores, se proporcionan las funciones siguientes: v WebSEAL puede configurarse para autenticar un usuario en funcin del contenido de la cookie de migracin tras error cuando la marca de fecha y hora de duracin de la sesin no est presente. La marca de fecha y hora de duracin de la sesin no est presente en las cookies de autenticacin de migracin tras error anteriores a la versin 5.1. v WebSEAL puede configurarse para autenticar un usuario en funcin del contenido de la cookie de migracin tras error cuando la marca de fecha y hora de inactividad de la sesin no est presente. La marca de fecha y hora de inactividad de la sesin no est presente en las cookies de autenticacin de migracin tras error anteriores a la versin 5.1. v El algoritmo utilizado para cifrar los datos de cliente en las cookies de autenticacin de migracin tras error se actualiz para la versin 4.1 de WebSEAL. Cuando se utilizan servidores WebSEAL con versiones de WebSEAL anteriores a la 4.1, puede definirse un valor del archivo de configuracin para habilitar el acceso a las cookies del estilo antiguo. v WebSEAL puede configurarse de modo que no utilice codificacin UTF-8 en las cadenas de la cookie de migracin tras error. Al no utilizar la codificacin UTF-8 para las cookies creadas en los servidores WebSEAL de la versin 5.1, servidores WebSEAL ms antiguos (anteriores a la versin 5.1) pueden comprender y leer (consumir) dichas cookies. Instrucciones de configuracin: v Solicite validacin de una marca de fecha y hora de duracin en la pgina 199 v Solicite validacin de una marca de fecha y hora de actividad en la pgina 200 v Habilite la compatibilidad con versiones anteriores a la versin 4.1 para el cifrado en la pgina 200 v Especifique la codificacin UTF-8 en las cadenas de cookies en la pgina 195
Actualizacin de la autenticacin de migracin tras error

En el archivo de configuracin de WebSEAL, las stanzas [failover-addattributes] y [failover-restore-attributes] sustituyen la stanza [failover-attributes] anterior a la versin 5.1. Durante una actualizacin de Tivoli Access Manager versin 4.1 a la versin actual de Tivoli Access Manager, la stanza [failover-attributes] y su contenido se migran a la stanza [failover-add-attributes]. La actualizacin es automatizada y se lleva a cabo al instalar WebSEAL. No es necesario actualizar estas entradas manualmente.
190
Configuracin de la autenticacin de migracin tras error

En este apartado se describe cmo configurar la autenticacin de migracin tras error. Si no est familiarizado con los conceptos de migracin tras error, consulte el apartado Conceptos de autenticacin de migracin tras error en la pgina 183. Para configurar la autenticacin de migracin tras error, lleve a cabo estas tareas: 1. Detenga el servidor WebSEAL. 2. Para habilitar la autenticacin de migracin tras error, realice cada una de las tareas siguientes: a. Especifique el protocolo para la cookie de migracin tras error en la pgina 193 b. Especifique la biblioteca de autenticacin de migracin tras error en la pgina 193 c. Cree una clave de cifrado para los datos de la cookie en la pgina 194 d. Especifique la duracin de la cookie en la pgina 194 e. Especifique la codificacin UTF-8 en las cadenas de cookies en la pgina 195 3. Opcionalmente, puede configurar WebSEAL para que mantenga el estado de la sesin entre las sesiones de autenticacin de migracin tras error. Si es apropiado para su despliegue, siga estas instrucciones: a. Agregue la marca de fecha y hora de la duracin de la sesin en la pgina 195 b. Agregue la marca de fecha y hora de actividad de la sesin en la pgina 196 c. Agregue un intervalo para actualizar la marca de fecha y hora de actividad en la pgina 196 4. Opcionalmente, puede configurar WebSEAL para agregar atributos ampliados o un nivel de autenticacin a la cookie de migracin tras error: v Agregue atributos ampliados en la pgina 197 v Especifique el atributo de nivel de autenticacin despus de la autenticacin de migracin tras error en la pgina 197 5. Una vez que haya configurado WebSEAL para agregar atributos a la cookie de migracin tras error, debe configurar WebSEAL para extraer los atributos al leer la cookie: v Especifique los atributos para la extraccin en la pgina 198 6. Opcionalmente, puede habilitar cookies de autenticacin de migracin tras error para utilizarlas en cualquier servidor WebSEAL del dominio. Si es apropiado para su entorno de despliegue, consulte: v Habilite las cookies de migracin tras error del dominio en la pgina 199 7. Si es necesario mantener la compatibilidad con versiones anteriores con cookies de autenticacin de migracin tras error generadas por servidores WebSEAL de versiones anteriores a la 5.1, siga estas instrucciones: a. Especifique la codificacin UTF-8 en las cadenas de cookies en la pgina 195 b. Solicite validacin de una marca de fecha y hora de duracin en la pgina 199 c. Solicite validacin de una marca de fecha y hora de actividad en la pgina 200
191
d. Habilite la compatibilidad con versiones anteriores a la versin 4.1 para el cifrado en la pgina 200 e. Habilite la compatibilidad con versiones anteriores a la versin 4.1 para cookies en la pgina 201 8. Una vez que haya finalizado todas las instrucciones pertinentes para el despliegue, reinicie el servidor WebSEAL. Informacin de consulta del archivo de configuracin de WebSEAL: v Migracin tras error de autenticacin en la pgina 467 v Mtodos de autenticacin en la pgina 455 v Bibliotecas de autenticacin en la pgina 461
192
Especifique el protocolo para la cookie de migracin tras error

Las cookies de autenticacin de migracin tras error estn inhabilitadas de forma predeterminada. Para habilitar las cookies de migracin tras error, edite el archivo de configuracin de WebSEAL: En la stanza [failover], especifique un valor que indique a WebSEAL cmo debe gestionar las solicitudes de autenticacin de certificado de cliente. En la tabla siguiente se muestran los valores vlidos.
Tabla 30. Protocolos soportados para las cookies de migracin tras error Valor failover-auth = http failover-auth = https failover-auth = both Descripcin Cookies de migracin tras error habilitadas a travs del protocolo HTTP. Cookies de migracin tras error habilitadas a travs del protocolo HTTPS (SSL). Cookies de migracin tras error habilitadas a travs del protocolo HTTP y HTTPS (SSL).
Nota: Habilitar la autenticacin de migracin tras error para HTTP o HTTPS provoca que se escriban cookies en los clientes que se conectan a travs de todos los protocolos. El valor especificado en la entrada de la stanza failover-auth indica el protocolo a travs del que se aceptarn cookies para autenticacin durante un evento de autenticacin de migracin tras error.
Especifique la biblioteca de autenticacin de migracin tras error

Edite el archivo de configuracin de WebSEAL. En la stanza [authenticationmechanisms], anule el comentario de la entrada del tipo o tipos de autenticacin que deben dar soporte a cookies de migracin tras error. Agregue el nombre de la biblioteca de cookies de migracin tras error de WebSEAL apropiada para el tipo de sistema operativo. La entrada predeterminada del archivo de configuracin es:
[authentication-mechanisms] #failover-password = nombre_archivo_biblioteca_contraseas_migracin_tras_error #failover-token-card = nombre_archivo_tarjeta_seales_migracin_tras_error #failover-certificate = nombre_archivo_certificado_migracin_tras_error #failover-http-request = nombre_archivo_solicitud_http_migracin_tras_error #failover-cdsso = nombre_archivo_cdsso_migracin_tras_error #failover-kerberosv5 = biblioteca_kerberos_migracin_tras_error
WebSEAL proporciona una biblioteca compartida de migracin tras error estndar que funciona para todos los mtodos de autenticacin anteriores. Consulte la tabla siguiente para obtener los nombres de las bibliotecas.
Tabla 31. Nombres de archivo de bibliotecas de autenticacin de migracin tras error Solaris Linux AIX HP-UX Windows libfailoverauthn.so libfailoverauthn.so libfailoverauthn.a libfailoverauthn.sl failoverauthn.dll
193
Por ejemplo, para habilitar la autenticacin de migracin tras error para clientes que originalmente se autenticaron mediante autenticacin de formularios en Solaris, anule el comentario de la entrada failover-password y agregue el nombre de la biblioteca:
[authentication-mechanisms] failover-password = libfailoverauthn.so
Como alternativa, cuando haya desarrollado una biblioteca CDAS que implemente una versin personalizada de la autenticacin de migracin tras error para uno o ms mtodos de autenticacin, inserte el nombre de la biblioteca CDAS personalizada como valor para la palabra clave del archivo de configuracin. Por ejemplo, si ha desarrollado una CDAS para la autenticacin de formularios, especifique el nombre de ruta de acceso absoluta:
[authentication-mechanisms] failover-password = /nombre_dir/biblioteca_migracin_tras_error_cdas_personalizada.so
Cree una clave de cifrado para los datos de la cookie

Use la utilidad cdsso_key_gen para proteger los datos de la cookie. WebSEAL proporciona esta utilidad. Esta utilidad genera una clave simtrica que cifra y descifra los datos de la cookie. Atencin: Si no configura WebSEAL para cifrar las cookies de autenticacin de migracin tras error y ha habilitado este tipo de autenticacin, WebSEAL generar un error y no se iniciar. Las cookies de autenticacin de migracin tras error deben estar cifradas. 1. Ejecute la utilidad en uno de los servidores replicados. Desde una lnea de comandos, especifique la ubicacin del archivo de claves que desea crear. Debe especificar un nombre de ruta de acceso absoluta. Por ejemplo: UNIX:
/opt/pdweb/bin/cdsso_key_gen nombre_ruta_acceso_absoluta_archivo_claves
Windows: Puede asignar al archivo de claves cualquier nombre adecuado, como por ejemplo /opt/pdweb/lib/ws.key. 2. Edite el archivo de configuracin de WebSEAL. En la stanza [failover], especifique la ubicacin del archivo de claves.
[failover] failover-cookies-keyfile = nombre_ruta_acceso_absoluta_archivo_claves
C:\Archivos de programa\Tivoli\PDWeb\bin\cdsso_key_gen nombre_ruta_acceso_absoluta_archivo_clave
3. Copie manualmente el archivo de claves en cada uno de los servidores replicados restantes. 4. En cada servidor replicado, edite el archivo de configuracin de WebSEAL para especificar el nombre de ruta de acceso correcto para failover-cookieskeyfile en la stanza [failover].
Especifique la duracin de la cookie

Edite el archivo de configuracin de WebSEAL. Especifique la duracin vlida para la cookie de migracin tras error.
[failover] failover-cookie-lifetime = 60
La duracin predeterminada es 60 minutos.
194
Especifique la codificacin UTF-8 en las cadenas de cookies

Edite el archivo de configuracin de WebSEAL. Especifique si WebSEAL debe utilizar o no codificacin UTF-8 en cadenas de las cookies de migracin tras error.
[failover] use-utf8 = yes
El valor predeterminado es yes. Debe utilizarse UTF-8 cuando los nombres de usuario o los atributos de credencial de la cookie no estn codificados en la misma pgina de cdigos que la que utiliza el servidor WebSEAL. De forma predeterminada, los servidores WebSEAL utilizan codificacin UTF-8. Cuando todos los servidores WebSEAL del despliegue de WebSEAL utilizan codificacin UTF-8, deje este valor en el valor predeterminado yes. Compatibilidad con versiones anteriores Los servidores WebSEAL anteriores a la versin 5.1 no utilizaban codificacin UTF-8. Por consiguiente, las cookies creadas por dichos servidores no tienen codificacin UTF-8 en sus cadenas. Cuando un servidor WebSEAL opera con servidores WebSEAL de versiones anteriores a la 5.1, WebSEAL no debera utilizar codificacin UTF-8. Para obtener compatibilidad con versiones anteriores, establezca use-utf8 en no.
[failover] use-utf8 = no
Para obtener informacin sobre el soporte de WebSEAL para la codificacin UTF-8, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
Agregue el nivel de autenticacin

Para especificar el nivel de autenticacin en la cookie de autenticacin de migracin tras error, agregue el nivel de autenticacin al archivo de configuracin de WebSEAL. Debe utilizar la palabra clave AUTHENTICATON_LEVEL de la entrada de la stanza:
[failover-add-attributes] AUTHENTICATION_LEVEL = add
El valor real para AUTHENTICATION_LEVEL es un nmero entero del que WebSEAL realiza un seguimiento internamente. No es necesario especificar el nmero entero en esta stanza.
Agregue la marca de fecha y hora de la duracin de la sesin

WebSEAL calcula la marca de fecha y hora de duracin de la sesin combinando los valores siguientes: v Hora actual del sistema. v Duracin mxima, en segundos, que una entrada puede permanecer en la cach de credenciales de WebSEAL. Esta duracin mxima en segundos se especifica en la stanza [session] del archivo de configuracin de WebSEAL:
195
Para agregar este valor a la cookie de autenticacin de migracin tras error, agregue la entrada siguiente al archivo de configuracin de WebSEAL:
[failover-add-attributes] session-lifetime-timestamp = add
Este atributo no puede definirse mediante la coincidencia de caracteres comodn. Debe especificar la entrada session-lifetime-timestamp exacta.
Agregue la marca de fecha y hora de actividad de la sesin

WebSEAL calcula la marca de fecha y hora de actividad de la sesin sumando estos valores: v Hora del sistema. v Duracin mxima de las entradas inactivas en la cach de credenciales. La duracin mxima para las entradas inactivas se define en la stanza [session] del archivo de configuracin de WebSEAL:
[session] inactive-timeout = 600
El valor predeterminado es 600 segundos. v Intervalo para actualizar la cookie de autenticacin de migracin tras error. Este valor se establece en la stanza [failover] del archivo de configuracin de WebSEAL:
[failover] failover-update-cookie = 60
El valor predeterminado es 60 segundos. Para obtener ms informacin, consulte el apartado Agregue un intervalo para actualizar la marca de fecha y hora de actividad. Para agregar este valor a la cookie de autenticacin de migracin tras error, agregue la entrada siguiente al archivo de configuracin de WebSEAL:
[failover-add-attributes] session-activity-timestamp = add
Este atributo no puede definirse mediante la coincidencia de caracteres comodn. Debe especificar la entrada session-activity-timestamp exacta. Nota: Si establece failover-update-cookie en un nmero mayor que cero, asegrese de que tambin establece session-activity-timestamp = add. Si no establece session-activity-timestamp = add, WebSEAL descodificar la cookie de migracin tras error en cada acceso del usuario. Esto podra afectar negativamente al rendimiento.
Agregue un intervalo para actualizar la marca de fecha y hora de actividad

Opcionalmente, la marca de fecha y hora de actividad de la sesin de la cookie de migracin tras error puede actualizarse durante la sesin del usuario. Esta entrada contiene un valor entero para el intervalo (en segundos) que transcurre entre la actualizacin de la marca de fecha y hora de actividad de la cookie de migracin tras error. La entrada predeterminada es:
[failover] failover-update-cookie = 60
196
Cuando se establece failover-update-cookie en 0, la ltima marca de fecha y hora de actividad se actualiza con cada solicitud. Cuando se establece failover-update-cookie en un nmero entero inferior a 0 (cualquier nmero negativo), la ltima marca de fecha y hora de actividad nunca se actualiza. Cuando se establece failover-update-cookie en un nmero entero mayor que 0, la marca de fecha y hora de actividad de la sesin de la cookie se actualiza a intervalos del nmero de segundos especificado. El valor seleccionado para esta entrada de la stanza puede afectar al rendimiento. Consulte el apartado Adicin de datos a una cookie de migracin tras error en la pgina 186. Nota: Si establece failover-update-cookie en un nmero mayor que cero, asegrese de que tambin establece session-activity-timestamp = add. Si no establece session-activity-timestamp = add, WebSEAL descodificar la cookie de migracin tras error en cada acceso del usuario. Esto podra afectar negativamente al rendimiento. Consulte el apartado Agregue la marca de fecha y hora de actividad de la sesin en la pgina 196.
Agregue atributos ampliados

WebSEAL puede configurarse opcionalmente para colocar una copia de determinados atributos ampliados de una credencial de usuario en una cookie de autenticacin de migracin tras error. De forma predeterminada, no se configura ningn atributo ampliado. Para agregar atributos ampliados, agregue entradas a la stanza [failover-add-attributes] del archivo de configuracin de WebSEAL. La sintaxis es la siguiente:
[failover-add-attributes] patrn_atributo = add
El patrn_atributo puede ser un nombre de atributo especfico o una expresin de comodines insensible a maysculas y minsculas que coincida con ms de un nombre de atributo. Por ejemplo, para especificar todos los atributos que presentan el prefijo tagvalue_, agregue la entrada siguiente:
[failover-add-attributes] tagvalue_* = add
El orden de las entradas de la stanza es importante. Las reglas que aparecen con anterioridad en [failover-add-attributes] prevalecen sobre las que aparecen ms adelante en la stanza. Los atributos que no coinciden con ninguno de los patrones comodn o que no se especifican de forma explcita no se agregan a la cookie de migracin tras error.
Especifique el atributo de nivel de autenticacin despus de la autenticacin de migracin tras error

Cuando se utiliza una cookie de migracin tras error para autenticar, puede asociarse un nivel de autenticacin con la credencial generada. Esto puede hacerse de distintas formas: v Utilizando un indicador en el mecanismo de autenticacin failover-*.
197
Puede establecer el nivel de autenticacin en funcin del ltimo mtodo de autenticacin utilizado. Para ello, debe pasar un indicador al mtodo de autenticacin. La sintaxis es la siguiente:
[authentication-mechanisms] failover-nombre_mtodo = bibl_migracin_tras_error_WebSEAL -i nivel_autenticacin
Por ejemplo:
failover-password = /opt/pdweb/liblibfailoverauth.so& -i 1 failover-token = /opt/pdweb/liblibfailoverauth.so& -i 2 failover-certificate = /opt/pdweb/liblibfailoverauth.so& -i 3
Nota: Este mtodo slo puede utilizarse con la biblioteca de autenticacin de migracin tras error de WebSEAL incorporada. Este mtodo no est disponible para mdulos de autenticacin personalizados. v Estableciendo el nivel en la entrada de la stanza [failover-restore-attributes] del archivo de configuracin. Este atributo puede especificar si debe utilizarse el nivel de autenticacin de la cookie de migracin tras error, si existe:
[failover-restore-attributes] AUTHENTICATION_LEVEL =preserve
Especifique los atributos para la extraccin

WebSEAL puede configurarse opcionalmente para extraer atributos de la cookie de autenticacin de migracin tras error y colocarlos en una credencial de usuario. De forma predeterminada, no hay ningn atributo configurado para la extraccin. Los atributos que deben extraerse se declaran en la stanza [failover-restoreattributes] del archivo de configuracin de WebSEAL. La sintaxis es la siguiente:
[failover-restore-attributes] patrn_atributo = {preserve|refresh}
El valor preserve indica a WebSEAL que extraiga el atributo y que lo agregue a la credencial. El valor refresh indica a WebSEAL que omita el atributo y que no lo extraiga de la cookie. El patrn_atributo puede ser un nombre de atributo especfico o una expresin de comodines insensible a maysculas y minsculas que coincida con ms de un nombre de atributo. Por ejemplo, para extraer todos los atributos que presentan el prefijo tagvalue_, agregue la entrada siguiente:
[failover-restore-attributes] tagvalue_* = preserve
Los atributos que no coincidan con los patrones especificados con el valor preserve no se extraen de la cookie de autenticacin de migracin tras error. El orden de las entradas de la stanza es importante. Las reglas que aparecen con anterioridad en [failover-restore-attributes] prevalecen sobre las que aparecen ms adelante en la stanza. Los atributos siguientes no pueden hacerse coincidir con ningn patrn comodn, sino que deben definirse de forma explicita para la extraccin: v Nivel de autenticacin
[failover-restore-attributes] AUTHENTICATION_LEVEL = preserve
198
v Marca de fecha y hora de duracin de la sesin

[failover-restore-attributes] session-lifetime-timestamp = preserve
v Marca de fecha y hora de inactividad de la sesin

[failover-restore-attributes] session-inactivity-timestamp = preserve
Habilite las cookies de migracin tras error del dominio

Puede permitir que cualquier servidor WebSEAL del mismo dominio que el servidor WebSEAL que crea una cookie de autenticacin de migracin tras error utilice dicha cookie. Esta funcin se controla mediante una entrada de la stanza [failover]. De forma predeterminada, la funcionalidad de cookies de migracin tras error del dominio est inhabilitada:
[failover] enable-failover-cookie-for-domain = no
Para habilitar esta funcin, establezca enable-failover-cookie-for-domain en yes:

[failover] enable-failover-cookie-for-domain = yes
Para obtener informacin sobre los efectos que implica habilitar esta entrada de stanza, consulte el apartado Autenticacin de migracin tras error del dominio en la pgina 189.
Solicite validacin de una marca de fecha y hora de duracin

Los servidores WebSEAL pueden configurarse opcionalmente para solicitar que cada cookie de autenticacin de migracin tras error contenga una marca de fecha y hora de duracin de la sesin. La marca de fecha y hora de duracin de la sesin no se solicita de forma predeterminada. La entrada predeterminada del archivo de configuracin es:
[failover] failover-require-lifetime-timestamp-validation = no
Esta entrada de stanza se utiliza principalmente para la compatibilidad con versiones anteriores. Atencin: Para obtener compatibilidad con versiones anteriores con cookies creadas por servidores WebSEAL anteriores a la versin 5.1, establezca esta entrada en no. Las cookies de autenticacin de migracin tras error creadas por servidores WebSEAL anteriores a la versin 5.1 no contienen esta marca de fecha y hora. v Si este valor es no, y la cookie de migracin tras error no contiene la marca de fecha y hora de duracin de la sesin, el servidor receptor ver la cookie como vlida. v Si este valor es yes, y la cookie de migracin tras error no contiene la marca de fecha y hora de duracin de la sesin, el servidor receptor ver la cookie como no vlida. v Si este valor es no o yes, y la cookie de migracin tras error contiene la marca de fecha y hora de duracin de la sesin, el servidor receptor evala la marca de fecha y hora. Si la marca de fecha y hora no es vlida, se produce un error de autenticacin. Si la marca de fecha y hora es vlida, el proceso de autenticacin prosigue.
199
Nota: La marca de fecha y hora de duracin de la sesin se configura de forma independiente de la marca de fecha y hora de actividad de la sesin.
Solicite validacin de una marca de fecha y hora de actividad

Los servidores WebSEAL pueden configurarse opcionalmente para solicitar que cada cookie de autenticacin de migracin tras error contenga una marca de fecha y hora de actividad de la sesin. La marca de fecha y hora de actividad de la sesin no se solicita de forma predeterminada. La entrada predeterminada del archivo de configuracin es:
[failover] failover-require-activity-timestamp-validation = no
Esta entrada de stanza se utiliza principalmente para la compatibilidad con versiones anteriores. Atencin: Para obtener compatibilidad con versiones anteriores con cookies creadas por servidores WebSEAL anteriores a la versin 5.1, establezca esta entrada en no. Las cookies de autenticacin de migracin tras error creadas por servidores WebSEAL anteriores a la versin 5.1 no contienen esta marca de fecha y hora. v Si este valor es no, y la cookie de migracin tras error no contiene la marca de fecha y hora de actividad de la sesin, el servidor receptor ver la cookie como vlida. v Si este valor es yes, y la cookie de migracin tras error no contiene la marca de fecha y hora de actividad de la sesin, el servidor receptor ver la cookie como no vlida. v Si este valor es no o yes, y la cookie de migracin tras error contiene la marca de fecha y hora de actividad de la sesin, el servidor receptor evala la marca de fecha y hora. Si la marca de fecha y hora no es vlida, se produce un error de autenticacin. Si la marca de fecha y hora es vlida, el proceso de autenticacin prosigue. Nota: La marca de fecha y hora de actividad de la sesin se configura de forma independiente de la marca de fecha y hora de duracin de la sesin.
Habilite la compatibilidad con versiones anteriores a la versin 4.1 para el cifrado

En Tivoli Access Manager versin 4.1, se increment el nivel de seguridad para el cifrado de la cookie de autenticacin de migracin tras error. Este algoritmo de cifrado no es compatible con versiones anteriores. Si integra cookies de autenticacin de migracin tras error con servidores WebSEAL que utilizan versiones de Tivoli Access Manager anteriores a la versin 4.1, deber especificar un valor de archivo de configuracin en el archivo de configuracin de WebSEAL para habilitar la compatibilidad con versiones anteriores. La compatibilidad con versiones anteriores con el algoritmo de cifrado antiguo no est habilitada de forma predeterminada:
[server] pre-410-compatible-tokens = no
Para habilitar la compatibilidad con versiones anteriores, establezca pre-410-compatible-tokens en yes:

[server] pre-410-compatible-tokens = yes
200
Habilite la compatibilidad con versiones anteriores a la versin 4.1 para cookies

Para Tivoli Access Manager versin 5.1, cambi el formato del cifrado de las cookies de autenticacin de migracin tras error. Este algoritmo de cifrado no es compatible con versiones anteriores. Si integra cookies de autenticacin de migracin tras error con servidores WebSEAL de la versin 4.1, deber especificar un valor de archivo de configuracin en el archivo de configuracin de WebSEAL para habilitar la compatibilidad con versiones anteriores. La compatibilidad con versiones anteriores con el formato de cifrado antiguo no est habilitada de forma predeterminada:

Nota: Para habilitar la compatibilidad con versiones anteriores con servidores WebSEAL anteriores a la versin 4.1, debe establecer un parmetro adicional. Consulte el apartado Habilite la compatibilidad con versiones anteriores a la versin 4.1 para el cifrado en la pgina 200.
201
Protocolo SPNEGO y autenticacin Kerberos

WebSEAL da soporte al uso del protocolo SPNEGO y de la autenticacin Kerberos en clientes Windows para realizar un inicio de sesin nico del escritorio de Windows. El protocolo SPNEGO permite que el cliente (navegador) y el servidor negocien el mecanismo de autenticacin que debe utilizarse. Utilizando mecanismos de autenticacin Kerberos, WebSEAL puede verificar la identidad del cliente que presenta el navegador. El soporte de WebSEAL para la autenticacin Kerberos se ha implementado especficamente para dar soporte a una solucin de inicio de sesin nico del escritorio de Windows. Esta solucin requiere que el servidor WebSEAL est configurado en un dominio de Active Directory y que WebSEAL pueda acceder al centro de distribucin de claves Kerberos. Adems, el cliente Internet Explorer debe estar configurado para utilizar el protocolo SPNEGO y la autenticacin Kerberos cuando se ponga en contacto con WebSEAL. Los pasos de configuracin para esta solucin combinan una serie de instrucciones especficas de Windows con instrucciones de configuracin del servidor WebSEAL. El soporte de WebSEAL para el inicio de sesin nico del escritorio de Windows, incluyendo los pasos de configuracin necesarios, se describen en el apartado Inicio de sesin nico del escritorio de Windows en la pgina 260.
202
Agentes proxy multiplexor

Tivoli Access Manager proporciona soluciones para proteger las redes que utilizan un agente proxy multiplexor (MPA). Los SPA (agentes proxy estndar) son gateways que dan soporte a sesiones por cliente entre clientes y el servidor de origen a travs de SSL o HTTP. WebSEAL puede aplicar la autenticacin SSL o HTTP normal a estas sesiones por cliente. Los MPA (agentes proxy multiplexor) son gateways que alojan varios accesos de cliente. Estos gateways se denominan gateways WAP cuando los clientes acceden a travs de WAP (Wireless Access Protocol). Los gateways establecen un solo canal autenticado con el servidor de origen y utilizan un tnel para todas las solicitudes de cliente y las respuestas a travs de este canal. Para WebSEAL, la informacin a travs de este canal aparece inicialmente como solicitudes mltiples de un cliente. WebSEAL debe distinguir entre la autenticacin del servidor MPA y la autenticacin adicional de cada cliente individual.
Figura 5. Comunicacin a travs de un gateway MPA
Puesto que WebSEAL mantiene una sesin autenticada para el MPA, debe mantener simultneamente sesiones aparte para cada cliente. Por lo tanto, los datos de sesin y el mtodo de autenticacin que se utilizan para el MPA deben ser distintos (diferentes) de los datos de sesin y el mtodo de autenticacin que utiliza el cliente.
Tipos de datos de sesin y mtodos de autenticacin vlidos

El tipo de datos de sesin que se utiliza de MPA a WebSEAL debe ser distinto (diferente) del tipo de datos de sesin que se utiliza de cliente a WebSEAL. En la tabla siguiente se muestran los tipos de sesin vlidos para el MPA y el cliente:
Tipos de sesin vlidos De MPA a WebSEAL ID de sesin SSL Cabecera HTTP Cabecera HTTP De cliente a WebSEAL
203
Tipos de sesin vlidos De MPA a WebSEAL Cabecera BA Direccin IP Cookie Cookie De cliente a WebSEAL Cabecera BA
v El cliente no puede utilizar un ID de sesin SSL como tipo de datos de sesin. v Por ejemplo, si el MPA utiliza una cabecera BA para el tipo de datos de sesin, las opciones del cliente para el tipo de datos de sesin slo pueden ser la cabecera HTTP y la cookie. v Si el MPA utiliza una cabecera HTTP para los datos de sesin, el cliente puede utilizar un tipo de cabecera HTTP diferente. v La cookie especfica del servidor contiene slo informacin sobre la sesin; no contiene informacin sobre la identidad. v Si est habilitado el soporte MPA, la funcin de ssl-id-sessions cambia. Normalmente, si ssl-id-sessions=yes, slo se utiliza el ID de sesin SSL para mantener las sesiones de los clientes HTTPS. Para que el MPA pueda mantener una sesin con un ID de sesin SSL y tener clientes manteniendo sesiones con otro mtodo, se debe eliminar esta restriccin. Consulte tambin el apartado Determinacin de los tipos de datos vlidos de ID de sesin en la pgina 153. El mtodo de autenticacin que se utiliza de MPA a WebSEAL debe ser distinto (diferente) del mtodo de autenticacin que se utiliza de cliente a WebSEAL. En la tabla siguiente se muestran los mtodos de autenticacin vlidos para el MPA y el cliente:
Tipos de autenticacin vlidos De MPA a WebSEAL Autenticacin bsica Formularios Seal Cabecera HTTP Certificados Direccin IP De cliente a WebSEAL Autenticacin bsica Formularios Seal Cabecera HTTP
v Por ejemplo, si el MPA utiliza la autenticacin bsica, las opciones del cliente para los mtodos de autenticacin incluyen cabeceras HTTP, de formularios y de seal. v Los mtodos de autenticacin de direcciones IP y de certificados no pueden ser utilizados por el cliente. v Normalmente, si se habilita la autenticacin de formularios (o de seal) para un transporte determinado, la autenticacin bsica se inhabilitar automticamente para ese transporte (consulte el apartado Configuracin del mecanismo de autenticacin bsica en la pgina 160). Si est habilitado el soporte MPA, esta restriccin se eliminar. Por ejemplo, esto permite al MPA iniciar la sesin con formularios (o seales) y a los clientes iniciar la sesin con autenticacin bsica a travs del mismo transporte.
204
Flujo de proceso de autenticacin para MPA y clientes mltiples

1. El administrador de WebSEAL lleva a cabo las siguientes tareas de configuracin preliminar: v Habilita el soporte para los agentes proxy multiplexor v Crea una cuenta de Tivoli Access Manager para el gateway MPA especfico v Agrega esta cuenta MPA al grupo webseal-mpa-servers 2. Los clientes se conectan al gateway MPA. 3. El gateway convierte la solicitud en una solicitud HTTP. 4. El gateway autentica el cliente. 5. El gateway establece una conexin con WebSEAL con la solicitud del cliente. 6. El MPA se autentica en WebSEAL (utilizando un mtodo distinto del cliente) y se crea una identidad para el MPA (que ya tiene una cuenta de WebSEAL). 7. WebSEAL verifica que el MPA es miembro del grupo webseal-mpa-servers. 8. Se crea una credencial para el MPA y se etiqueta como un tipo MPA especial en la cach. Aunque esta credencial MPA acompaa a todas las futuras solicitudes del cliente, no se utiliza para las comprobaciones de autorizacin de estas solicitudes. 9. Ahora WebSEAL necesita identificar al propietario de la solicitud de forma adicional. El MPA puede distinguir los distintos clientes para dirigir correctamente las indicaciones de inicio de sesin. 10. El cliente inicia la sesin y se autentica utilizando un mtodo distinto del tipo de autenticacin utilizado por el MPA. 11. WebSEAL crea una credencial a partir de los datos de autenticacin del cliente. 12. El tipo de datos de sesin que utiliza cada cliente debe ser distinto del tipo de datos de sesin que utiliza el MPA. 13. El servicio de autorizaciones permite o rechaza el acceso a los objetos protegidos basndose en la credencial de usuario y los permisos ACL del objeto.
Habilitacin e inhabilitacin de la autenticacin de MPA

El parmetro mpa, que se encuentra en la stanza [mpa] del archivo de configuracin de WebSEAL, habilita e inhabilita la autenticacin MPA: v Para habilitar el mtodo de autenticacin de MPA, escriba yes. v Para inhabilitar el mtodo de autenticacin de MPA, escriba no. Por ejemplo:
[mpa] mpa = yes
Creacin de una cuenta de usuario para el MPA

Consulte la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener informacin sobre cmo crear cuentas de usuario.
Adicin de la cuenta de MPA al grupo webseal-mpa-servers

Consulte la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener informacin sobre cmo gestionar grupos.
205
Limitaciones de la autenticacin de MPA

v Este release de Tivoli Access Manager slo da soporte a un MPA por servidor WebSEAL. v La autenticacin MPA no est soportada con la configuracin de autenticacin incremental. v MPA no est soportado con use-same-session = yes
206
Captulo 7. Autenticacin avanzada de WebSEAL

Este captulo contiene informacin que describe las funciones de autenticacin avanzada de WebSEAL. ndice de temas: v Autenticacin de cambio de usuario en la pgina 208 v Almacenamiento en la cach de solicitudes del servidor en la pgina 221 v Configuracin de la reautenticacin basada en la poltica de seguridad en la pgina 226 v Configuracin de la reautenticacin basada en la poltica de inactividad de sesin en la pgina 230 v Redireccin automtica durante el inicio de sesin del usuario en la pgina 235 v Configuracin del proceso posterior al cambio de contrasea en la pgina 237 v Atributos ampliados para credenciales en la pgina 238 v Renovacin de credenciales en la pgina 244
207
Autenticacin de cambio de usuario

La funcin de cambio de usuario de WebSEAL permite a los administradores asumir la identidad de un usuario que sea miembro del dominio seguro de Tivoli Access Manager. La posibilidad de suplantar la identidad de un usuario puede ayudar a los administradores de un entorno de soporte para determinar y diagnosticar problemas. El cambio de usuario tambin puede utilizarse para probar el acceso de un usuario a los recursos y realizar la prueba de integracin de aplicaciones. Lea todo este apartado para asegurarse de que entienda la funcin de cambio de usuario antes de configurarla y utilizarla. Este apartado contiene los temas siguientes: v Visin general de la funcin de cambio de usuario v Procedimiento de configuracin en la pgina 210 v Utilizacin del cambio de usuario en la pgina 216 v Desarrollo de un mdulo de autenticacin personalizado para el cambio de usuario en la pgina 218
Visin general de la funcin de cambio de usuario

La implementacin del cambio de usuario es similar al comando su en los entornos UNIX. En el entorno WebSEAL, el administrador adquiere las credenciales del usuario e interacta con recursos y aplicaciones de fondo exactamente con las mismas capacidades que el usuario real. El administrador utiliza un formulario HTML especial para proporcionar la informacin de cambio de usuario. WebSEAL procesa el formulario y activa un mecanismo de autenticacin especial que devuelve la credencial del usuario especificado sin requerir su contrasea. La secuencia siguiente describe el flujo de proceso de cambio de usuario: 1. Un administrador se autentica en WebSEAL. WebSEAL establece una sesin para el administrador y crea una entrada en la cach de sesin de WebSEAL para el administrador. La entrada de la cach de sesin contiene una estructura de datos de cach. Esta estructura de datos almacena la credencial del administrador. Durante el flujo de proceso del cambio de usuario, se manipularn los datos de la cach.
Para obtener ms informacin sobre las cachs de sesin de WebSEAL, consulte el apartado Estructura de cach de sesin/credenciales de WebSEAL en la pgina 11. 2. El administrador se conecta a un formulario HTML preconfigurado de cambio de usuario y lo rellena. En el formulario, el administrador especifica: v El nombre de la identidad del usuario que el administrador debe adquirir. v Una direccin URL de destino. v Un mtodo de autenticacin. Esta accin da como resultado que se enve una solicitud POST a /pkmssu.form. Opcionalmente, el administrador de WebSEAL puede modificar el contenido del formulario HTML de cambio de usuario antes de hacerlo disponible para que otros administradores lo utilicen. Consulte el apartado Parte 3: Configuracin del formulario HTML de cambio de usuario en la pgina 214. Opcionalmente, el administrador tambin puede ampliar las posibilidades del formulario. Consulte el apartado Parte 4: Diseo de formularios de entrada adicionales en la pgina 216.
208
3. WebSEAL determina si debe permitir la solicitud de cambio de usuario realizando las siguientes comprobaciones: a. WebSEAL examina los miembros del grupo su-admins de Tivoli Access Manager para determinar si el administrador tiene permiso para invocar la funcin de cambio de usuario. Los administradores que soliciten el uso de la autenticacin de cambio de usuario deben ser miembros del grupo su-admins. Antes de poder utilizar el cambio de usuario, deben configurarse los miembros de este grupo. Para obtener ms informacin, consulte el apartado Parte 1: Configuracin del acceso de los usuarios en la pgina 210. b. WebSEAL examina los miembros de los grupos su-admins, securitygroup y su-excluded de Tivoli Access Manager para asegurarse de que la identidad de usuario proporcionada en el formulario de cambio de usuario no sea miembro de uno de estos grupos. La funcin de cambio de usuario no puede acceder a las identidades de usuarios que pertenezcan a cualquiera de estos grupos. El administrador de WebSEAL debe configurar los miembros de estos grupos antes de que los administradores puedan utilizar la funcin de cambio de usuario. Para obtener instrucciones de configuracin y ms informacin sobre estos grupos, consulte el apartado Parte 1: Configuracin del acceso de los usuarios en la pgina 210. 4. Cuando se ha concedido el acceso a la funcin de cambio de usuario, WebSEAL llama a la biblioteca compartida de cambio de usuario apropiada para realizar la autenticacin de cambio de usuario especial. WebSEAL da soporte a varios mecanismos de autenticacin distintos. Cada mecanismo de autenticacin tiene un mecanismo de autenticacin de cambio de usuario correspondiente. WebSEAL proporciona bibliotecas compartidas que contienen mecanismos de cambio de usuario especiales. Antes de poder utilizar la autenticacin de cambio de usuario, el administrador de WebSEAL debe configurar WebSEAL para que utilice las bibliotecas compartidas necesarias. Para obtener ms informacin, consulte el apartado Parte 2: Configuracin de los mecanismos de autenticacin de cambio de usuario en la pgina 211. Nota: Tambin se puede realizar la autenticacin de cambio de usuario mediante una biblioteca de CDAS de cambio de usuario personalizada. Para obtener ms informacin, consulte el apartado Desarrollo de un mdulo de autenticacin personalizado para el cambio de usuario en la pgina 218. 5. Cuando el usuario especificado se autentica correctamente, el mecanismo de autenticacin de cambio de usuario devuelve una credencial vlida para el usuario, sin necesidad de especificar la contrasea del usuario. 6. WebSEAL manipula el contenido de la entrada adecuada de la cach de sesin de WebSEAL de la siguiente forma: a. Coloca la credencial del usuario en una nueva estructura de datos de cach. b. Elimina los datos de cach de sesin de WebSEAL del administrador y los almacena en una ubicacin separada. c. Inserta los datos de cach del usuario, incluida la credencial del usuario, en el lugar de los datos de cach del administrador. 7. WebSEAL enva una redireccin al navegador para la direccin URL de destino proporcionada en el formulario de cambio de usuario. La solicitud se procesa normalmente, utilizando la credencial del usuario, y se accede a la direccin URL.
209
8. El administrador puede continuar haciendo otras solicitudes. Todas las decisiones de autorizacin para estas solicitudes se basan en la credencial del usuario. Al utilizar la funcin de cambio de usuario, es posible que los administradores deban establecer y gestionar sesiones con aplicaciones adicionales. Estas sesiones deben establecerse utilizando la identidad del nuevo usuario. Para ello, la credencial del nuevo usuario tambin contiene un nuevo ID de sesin de usuario. Este nuevo ID de sesin de usuario se utiliza, por ejemplo, durante la resolucin de problemas de la capacidad del usuario de acceder y utilizar recursos web adicionales. Para obtener ms informacin sobre las cachs de sesin de WebSEAL, consulte los apartados Visin general de la cach de sesin de GSKit y WebSEAL en la pgina 146 y Estructura de cach de sesin/credenciales de WebSEAL en la pgina 11. 9. El administrador finaliza la sesin de cambio de usuario usando la utilidad Tivoli Access Manager /pkmslogout estndar. Despus de finalizar la sesin correctamente: a. Se suprimen los datos de cach del usuario. b. Se restauran los datos de cach (y la credencial) originales del administrador. c. El administrador se devuelve a la pgina original desde la que se ha solicitado el formulario de cambio de usuario. El servicio de autorizaciones utiliza la credencial original del administrador para todas las solicitudes posteriores.
Procedimiento de configuracin
El administrador de WebSEAL debe realizar varios pasos de configuracin antes de que los administradores puedan utilizar la funcin de cambio de usuario. Para configurar el cambio de usuario, siga las instrucciones de los siguientes apartados: 1. Parte 1: Configuracin del acceso de los usuarios 2. Parte 2: Configuracin de los mecanismos de autenticacin de cambio de usuario en la pgina 211 3. Parte 3: Configuracin del formulario HTML de cambio de usuario en la pgina 214 Esta parte es opcional. 4. Parte 4: Diseo de formularios de entrada adicionales en la pgina 216 Esta parte es opcional. 5. Parte 5: Detencin y reinicio de WebSEAL en la pgina 216
Parte 1: Configuracin del acceso de los usuarios

Durante la instalacin de WebSEAL, el proceso de configuracin de WebSEAL crea varios grupos automticamente para que la funcin de cambio de usuario pueda utilizarlos. El administrador de WebSEAL controla la posibilidad de cambio de usuario mediante la adicin de usuarios a los grupos. Para configurar el acceso de los usuarios, efectu los pasos siguientes: 1. Agregue usuarios al grupo su-admins. Para utilizar la funcin de cambio de usuario, un usuario debe ser miembro de un grupo de administracin especial denominado su-admins. Este grupo se crea automticamente de forma predeterminada durante la instalacin de un servidor WebSEAL. De forma predeterminada, no existe ningn usuario en el
210
grupo. El administrador de WebSEAL debe agregar manualmente usuarios a este grupo. Normalmente, slo se agregan a este grupo usuarios administradores. Los usuarios a los que se les ha permitido ser miembros de su-admins pueden realizar el cambio de usuario a la mayora de identidades de usuario, pero no pueden cambiar a la identidad de cualquier otro usuario que tambin sea miembro del grupo su-admins. Por lo tanto, una vez que a un administrador se le concede los privilegios de cambio de usuario al agregarlo al grupo su-admins, la cuenta del administrador est protegida contra el acceso de cualquier otro usuario que obtenga privilegios de cambio de usuario. 2. Agregue usuarios al grupo su-excluded. Este grupo contiene los nombres de usuarios a cuyas identidades no se puede acceder mediante la funcin de cambio de usuario. Durante la instalacin de WebSEAL, el proceso de configuracin de WebSEAL crea este grupo automticamente. De forma predeterminada, no existe ningn usuario en el grupo. Normalmente, el administrador de WebSEAL agrega a este grupo los nombres de usuarios que no son miembros del grupo de administracin su-admins, pero cuyo acceso al cambio de usuario debe bloquearse. Cuando se utiliza el cambio de usuario, WebSEAL tambin comprueba los miembros del grupo de Tivoli Access Manager denominado securitygroup. Este grupo contiene el nombre del usuario administrador de Tivoli Access Manager sec_master, adems de un nmero de procesos de WebSEAL que deben excluirse del acceso mediante la funcin de cambio de usuario. Este grupo se crea automticamente de forma predeterminada durante la instalacin de un servidor WebSEAL. Las identidades siguientes se agregan a este grupo automticamente durante la instalacin: v sec_master el administrador de Tivoli Access Manager v acld el daemon de Tivoli Access Manager Authorization Server v webseald el daemon de WebSEAL Los administradores de WebSEAL no deben agregar ningn usuario al grupo securitygroup. Para controlar el acceso de los usuarios al cambio de usuario, utilice los grupos su-admins o su-excluded.
Parte 2: Configuracin de los mecanismos de autenticacin de cambio de usuario

Tivoli Access Manager proporciona una nica biblioteca de cambio de usuario incorporada que implementa el mecanismo de autenticacin de cambio de usuario. La biblioteca de cambio de usuario difiere de las bibliotecas de autenticacin estndar. La biblioteca especifica un mecanismo de autenticacin que toma la identidad de un usuario especificado y devuelve una credencial vlida para ese usuario sin necesidad de especificar la contrasea del usuario. La biblioteca compartida de cambio de usuario incorporada que se proporciona con Tivoli Access Manager se llama libsuauthn (en sistemas UNIX) y suauthn (en sistemas Windows). Los nombres del archivo de biblioteca compartida especficos para cada plataforma son:
211
Entorno operativo Solaris (Solaris) AIX HP-UX Windows
libsuauthn.so libsuauthn.a libsuauthn.sl suauthn.dll
La biblioteca incorporada da soporte a los siguientes mecanismos de autenticacin: v su-password v su-token-card v su-certificate v su-http-request v su-cdsso v su-kerberosv5 Los mecanismos de autenticacin se especifican en la stanza [authenticationmechanisms] del archivo de configuracin de WebSEAL. Hay una entrada distinta para cada mecanismo de autenticacin soportado. De forma predeterminada, todos los mecanismos de autenticacin de cambio de usuario estn inhabilitados en el archivo de configuracin. Por ejemplo:
[authentication-mechanisms] #su-password = <biblioteca-su-password> #su-token-card = <biblioteca-su-token-card> #su-certificate = <biblioteca-su-certificate> #su-http-request = <biblioteca-su-http-request> #su-cdsso = <biblioteca-su-cdsso> #su-kerberosv5 = <biblioteca-su-kerberos>
Los pasos de configuracin para habilitar la autenticacin consisten principalmente en editar las entradas nombre=valor del archivo de configuracin. Sin embargo, cuando el despliegue de WebSEAL da soporte a ms de un mtodo de autenticacin y el administrador desea utilizar las funciones de cambio de usuario para ms de un tipo de mecanismo soportado, se requiere un paso adicional. En este caso, se deben realizar copias adicionales de la biblioteca compartida de cambio de usuario predeterminada. Las siguientes instrucciones estn separadas en dos partes. La primera parte describe cmo configurar un nico mecanismo de autenticacin de cambio de usuario. La segunda parte describe cmo configurar mltiples mecanismos de autenticacin de cambio de usuario. Utilice las instrucciones adecuadas para su despliegue. Configuracin de un nico mecanismo de autenticacin de cambio de usuario Para habilitar un nico mecanismo de autenticacin de cambio de usuario, realice los siguientes pasos: 1. Edite la entrada apropiada del archivo de configuracin de WebSEAL. Elimine el carcter de comentario (#) del principio de la lnea. 2. Escriba el nombre de la biblioteca de autenticacin de cambio de usuario. Por ejemplo, en un sistema Solaris, antes de configurar el cambio de usuario, el archivo de configuracin para un servidor WebSEAL configurado para dar soporte slo a la autenticacin de contrasea debera contener las entradas siguientes (cada entrada en una sola lnea continua):
212
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so & -cfgfile [/opt/pdweb/etc/webseald-nombre_instancia.conf] ..... #su-password = <biblioteca-su-password> #su-token-card = <biblioteca-su-token-card> #su-certificate = <biblioteca-su-certificate> #su-http-request = <biblioteca-su-http-request> #su-cdsso = <biblioteca-su-cdsso>
La biblioteca de cambio de usuario especificada en la entrada su-password corresponde a la biblioteca de autenticacin especificada en passwd-ldap. La entrada que se muestra a continuacin en negrita muestra la entrada modificada (especificada en una nica lnea de comandos):
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so & -cfgfile [/opt/pdweb/etc/webseald-nombre_instancia.conf] ..... su-password = /opt/pdwebrte/lib/libsuauthn.so #su-token-card = <biblioteca-su-token-card> #su-certificate = <biblioteca-su-certificate> #su-http-request = <biblioteca-su-http-request> #su-cdsso = <biblioteca-su-cdsso>
Configuracin de mltiples mecanismos de autenticacin de cambio de usuario La biblioteca compartida de cambio de usuario predeterminada, libsuauthn (UNIX) o suauthn (Windows), da soporte a mltiples mecanismos de autenticacin. Sin embargo, en el archivo de configuracin cada entrada de biblioteca de autenticacin de cambio de usuario configurada debe tener un nombre exclusivo, aunque se utilice la misma biblioteca compartida para mltiples mtodos de autenticacin. En el siguiente ejemplo, para una plataforma Solaris, un entorno existente tiene habilitados dos mtodos de autenticacin: v Autenticacin de formularios utilizando la biblioteca libldapauthn incorporada. v Autenticacin de certificado utilizando la biblioteca libsslauthn incorporada. Las entradas del archivo de configuracin son las siguientes:
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so & -cfgfile [/opt/pdweb/etc/webseald-nombre_instancia.conf] cert-ssl = /opt/PolicyDirector/lib/libsslauthn.so
Para habilitar mecanismos de autenticacin de cambio de usuario para estos dos mtodos de autenticacin, realice los pasos siguientes: 1. Realice una copia de la biblioteca compartida de cambio de usuario para cada mecanismo de autenticacin. El administrador puede elegir cualquier nombre para la copia, siempre que cada copia tenga un nombre exclusivo. Por ejemplo, para dar soporte al cambio de usuario para la autenticacin de formularios y la autenticacin de certificado:
# cp libsuauthn.so libsuformauthn.so # cp libsuauthn.so libsucert.so
2. Edite las entradas apropiadas en el archivo de configuracin de WebSEAL. Elimine el carcter de comentario (#) del principio de la entrada para cada mecanismo de autenticacin de cambio de usuario soportado.
213
3. En cada entrada descomentada, escriba el nombre de la copia con nombre exclusivo de la biblioteca de autenticacin de cambio de usuario. Las entradas actualizadas del archivo de configuracin del ejemplo anterior son las siguientes:
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so & -cfgfile [/opt/pdweb/etc/webseald-nombre_instancia.conf] cert-ssl = /opt/pdwebrte/lib/libsslauthn.so & -cfgfile [/opt/pdweb/etc/webseald-nombre_instancia.conf] su-password = /opt/pdwebrte/lib/libsuformauthn.so su-certificate = /opt/pdwebrte/lib/libsucert.so
De esta manera, el entorno se ampla para dar soporte a la funcionalidad de cambio de usuario para ambos mtodos de autenticacin. Nota: Si su entorno incluye un mecanismo de autenticacin de CDAS personalizado, debe proporcionar la misma funcionalidad. Consulte el apartado Desarrollo de un mdulo de autenticacin personalizado para el cambio de usuario en la pgina 218.
Parte 3: Configuracin del formulario HTML de cambio de usuario

Esta parte es opcional. WebSEAL proporciona un formulario HTML predeterminado al que el administrador accede para utilizar la funcin de cambio de usuario. El formulario predeterminado puede utilizarse sin necesidad de modificaciones. Opcionalmente, el formulario puede editarse para conseguir un aspecto y una funcionalidad personalizados. El formulario predeterminado se denomina switchuser.html. El nombre de este archivo puede modificarse. Contenido y ubicacin del formulario El formulario contiene solicitudes para: v Nombre de usuario El nombre del usuario a cuyas credenciales desea acceder el administrador. v Direccin URL de destino Esta pgina aparece despus de una operacin correcta de cambio de usuario. v Mtodo de autenticacin Los parmetros del mtodo de autenticacin especifican qu mecanismo de autenticacin debe utilizar WebSEAL para generar la credencial del usuario. Todas estas entradas son necesarias. WebSEAL verifica que todos los datos necesarios estn presentes en el formulario enviado. Si faltan datos, se devuelve el formulario al administrador con un mensaje descriptivo. Cuando se han especificado todos los datos necesarios, WebSEAL enva los datos del formulario de cambio de usuario a la direccin URL de accin /pkmssu.form. Nota: Slo los miembros del grupo su-admins pueden invocar el formulario. No es necesaria una ACL en este archivo. WebSEAL realiza una comprobacin no modificable de pertenencia a grupos. WebSEAL devuelve un error 404 No encontrado cuando falla la comprobacin de pertenencia a grupos.
214
El nombre completo de la ruta de acceso del formulario de cambio de usuario se define en el archivo de configuracin de WebSEAL. Este nombre de ruta de acceso puede modificarse. Los valores de los tres parmetros se combinan para generar el nombre completo de la ruta de acceso: v El parmetro server-root situado en la stanza [server] especifica la raz de la jerarqua del servidor. v El parmetro mgt-pages-root de la stanza [acnt-mgt] especifica el subdirectorio de localizacin. v El parmetro switch-user de la stanza [acnt-mgt] especifica el nombre del archivo de cambio de usuario. Por ejemplo, en un sistema UNIX, las entradas del archivo de configuracin seran las siguientes:
[server] server-root = /opt/pdweb/www-nombre_instancia .... [acnt-mgt] mgt-pages-root = lib/html/<IDIOMA> switch-user = switchuser.html
El valor del directorio IDIOMA es especfico del entorno local. Puede determinar la ruta de acceso completa del formulario de cambio de usuario mediante la combinacin de los valores. Por ejemplo, en un sistema UNIX con idioma ingls de Estados Unidos donde el directorio IDIOMA se denomina C, la ruta de acceso completa sera:
/opt/pdweb/www-nombre_instancia/lib/html/C/switchuser.html
El valor predeterminado de server-root en Windows es:

C:\Archivos de programa\Tivoli\PDWeb\www-nombre_instancia
La ruta de acceso completa en Windows sera:

C:\Archivos de programa\Tivoli\PDWeb\www-nombre_instancia\lib\html\C\switchuser.html
Personalizacin del formulario HTML Para personalizar el formulario de cambio de usuario, abra el formulario para editarlo y realice los pasos siguientes: 1. Especifique la ubicacin y el contenido de la direccin URL de destino. Puede configurarla como una entrada oculta que contiene una pgina de presentacin adecuada o una pgina de confirmacin correcta de cambio de usuario. 2. Especifique los mtodos de autenticacin. Puede configurar este campo como una entrada oculta. Los valores vlidos para el mtodo de autenticacin son:
su-ba su-forms su-certificate su-token-card su-http-request su-cdsso
Los mtodos de la lista anterior se correlacionan directamente con los mecanismos de autenticacin especificados en el archivo de configuracin de WebSEAL. Sin embargo, tenga en cuenta que tanto el mtodo su-ba como el
215
mtodo su-forms se correlacionan con el mecanismo de autenticacin su-password. Tanto la autenticacin bsica (ba) como la autenticacin de formularios (forms) utilizan la biblioteca de autenticacin su-password. Tenga en cuenta que un despliegue de WebSEAL puede dar soporte a la autenticacin bsica sin dar soporte a la autenticacin de formularios. Por lo tanto, se mantiene valores de configuracin separados para cada tipo de autenticacin (su-ba y su-forms).
Parte 4: Diseo de formularios de entrada adicionales

Esta parte es opcional. Puede disear formularios adicionales para validar o procesar los datos que se deben enviar a /pkmssu.form. Estos formularios pueden utilizarse para asistir al administrador y completar algunas de las entradas del formulario de cambio de usuario. Algunos ejemplos son: v Es posible que un administrador haya elegido tener direcciones URL de destino distintas, a las que se accede en funcin de la identidad del usuario. Se podra escribir otro formulario para generar y presentar una lista de estas direcciones URL, en la que el administrador podra seleccionar la entrada adecuada. v Se podra desarrollar un formulario que llamara a otro programa, como un script CGI, para proporcionar una lista de identidades de usuarios para los que se permite el cambio de usuario. Esta lista podra ayudar a los administradores a determinar si se debe permitir el acceso a una identidad de usuario a travs del cambio de usuario. v Se podra desarrollar un formulario para mostrar una lista de identidades de usuarios para los que no se permite el cambio de usuario. Esta lista estara basada en la pertenencia a los grupos su-excluded y securitygroup.
Parte 5: Detencin y reinicio de WebSEAL

Para activar los nuevos cambios en la configuracin, debe detener y reiniciar WebSEAL. Esto permite a WebSEAL utilizar los nuevos valores especificados en el archivo de configuracin de WebSEAL en los apartados Parte 1: Configuracin del acceso de los usuarios en la pgina 210 y Parte 2: Configuracin de los mecanismos de autenticacin de cambio de usuario en la pgina 211. Los mtodos para detener y reiniciar el servidor WebSEAL se describen en el apartado Tareas de servidor en la pgina 80.
Utilizacin del cambio de usuario

Despus de realizar los pasos de configuracin del apartado anterior, los administradores de WebSEAL pueden utilizar la funcin de cambio de usuario. Para utilizar la funcin de cambio de usuario, realice los siguientes pasos: 1. Inicie la sesin como un usuario que tenga permiso de acceso a la funcin de cambio de usuario. Normalmente, son los administradores los que acceden a esta funcin. El usuario debe ser miembro del grupo su-admins. 2. Invoque el formulario HTML de cambio de usuario. El nombre de archivo predeterminado es switchuser.html. Para obtener ms informacin sobre el nombre completo de ruta de acceso, consulte el apartado Parte 3: Configuracin del formulario HTML de cambio de usuario en la pgina 214.
216
3. En el formulario, especifique: v El nombre de la identidad del usuario que desea adquirir. v Una direccin URL de destino. v Un mtodo de autenticacin. Esta accin da como resultado que se enve una solicitud POST a /pkmssu.form. WebSEAL enva una redireccin al navegador para la direccin URL de destino proporcionada en el formulario de cambio de usuario. La solicitud se procesa utilizando la credencial del usuario y se accede a la direccin URL. 4. Realice otras solicitudes, si es necesario. Todas las decisiones de autorizacin para estas solicitudes se basan en la credencial del usuario. 5. Cuando haya terminado, finalice la sesin de cambio de usuario usando la utilidad /pkmslogout estndar de Tivoli Access Manager. Para obtener ms informacin sobre el funcionamiento de la funcin de cambio de usuario, consulte el apartado Visin general de la funcin de cambio de usuario en la pgina 208.
Caractersticas adicionales del cambio de usuario

En este apartado se describe el soporte para caractersticas adicionales del cambio de usuario, como la reautenticacin, autenticacin incremental, gestin de la sesin de usuario y auditora.
Tiempo de espera de la cach de sesin

Las funciones de los valores configurados de tiempo de espera de inactividad de la cach de sesin de WebSEAL y los de duracin no se ven afectadas por la operacin de cambio de usuario. Los temporizadores de inactividad y de duracin se asocian con la entrada de la cach de sesin del administrador y no con los datos de la cach, que cambian durante una operacin de cambio de usuario. El temporizador de inactividad se sigue restableciendo mientras el administrador efecta solicitudes como usuario al que se ha cambiado. Cuando el administrador finaliza la sesin de cambio de usuario, la inactividad sigue siendo vlida para la sesin restablecida del administrador. El valor de duracin no se ampla a causa de una operacin de cambio de usuario. Es posible que el tiempo de espera de duracin de la entrada de cach de sesin caduque durante una operacin de cambio de usuario. Si se produce este tiempo de espera, se suprime la cach de sesin y finaliza la sesin del administrador. El administrador debe volver a autenticarse e iniciar de nuevo la operacin de cambio de usuario.
Autenticacin incremental
La especificacin de biblioteca compartida puede tomar argumentos adicionales con el formato:
<biblioteca>& <arg1> <arg2> .... <argx>
Puede designar niveles de autenticacin incremental utilizando la opcin l seguida del nmero de nivel. Por ejemplo:
su-password = /opt/PolicyDirector/lib/libsuformauthn.so& -l 1 su-certificate = /opt/PolicyDirector/lib/libsucert.so& -l 0 su-token-card = /opt/PolicyDirector/lib/libsucustom.so& -l 2
217
Nota: El administrador debe saber la contrasea del usuario para realizar correctamente a autenticacin incremental.
Reautenticacin
La operacin de cambio de usuario reconoce la funcionalidad de la reautenticacin de WebSEAL. Si se necesita la reautenticacin durante una operacin de cambio de usuario, el administrador debe autenticarse como usuario al que se ha cambiado. Nota: El administrador debe saber la contrasea del usuario al que se ha cambiado para realizar correctamente la reautenticacin.
Gestin de la sesin de usuario

La operacin de cambio de usuario da soporte a la gestin de la sesin de usuario. El administrador tiene un ID de sesin de usuario exclusivo. Adems, durante una operacin de cambio de usuario, existe un ID de sesin de usuario exclusivo para el usuario al que se ha cambiado. Las tareas de terminar sesiones de usuario nico y terminar todas las sesiones de usuario se realizan tal como se esperaba.
Indicador-valor
La funcionalidad de cambio de usuario reconoce y da soporte a la posibilidad tag-value (indicador-valor) utilizada a menudo por un CDAS.
Auditora
Es posible auditar al administrador durante una operacin de cambio de usuario. La funcionalidad de cambio de usuario agrega un atributo ampliado a la credencial de usuario a la que se ha cambiado que identifica al administrador. El atributo ampliado, como se almacena en la credencial, se denomina tagvalue_su-admin:
tagvalue_su-admin = <nombre-admin-su>
Este atributo ampliado est disponible para cualquier mecanismo de auditora.
Desarrollo de un mdulo de autenticacin personalizado para el cambio de usuario

La funcionalidad de cambio de usuario tambin da soporte a un mdulo de autenticacin personalizado. Este soporte es importante porque un mdulo de autenticacin personalizado existente suele devolver informacin adicional acerca del usuario que se incorpora a la credencial del usuario. Se puede utilizar un mdulo de autenticacin personalizado para realizar ms comprobaciones relacionadas con la posibilidad de cambio de usuario, como por ejemplo determinar qu usuarios pueden cambiar su usuario por identidades de otros usuarios o especificar los perodos de tiempo durante los cuales no se permite la posibilidad de cambio de usuario. Si utiliza la funcin de cambio de usuario en un entorno de estas caractersticas, debe escribir un mdulo especial de autenticacin de cambio de usuario que emule el comportamiento del mdulo de autenticacin existente y al mismo tiempo d soporte al requisito de devolver una credencial sin solicitar al usuario que especifique la contrasea. La API de autenticacin externa de Tivoli Access Manager proporciona un conjunto de componentes de identidad que pueden utilizarse para pasar informacin de autenticacin de clientes a la biblioteca compartida de cambio de usuario. Esta informacin se pasa utilizando un formato de lista de nombre/valor, en que el nombre es un identificador que especifica el tipo del valor.
218
La informacin se almacena en el tipo de datos xnlist_t data. Se puede acceder a los valores mediante la funcin de la utilidad xnvlist_get(). Los componentes de identidad apropiados para un mdulo de autenticacin de cambio de usuario son los siguientes:
xauthn_su_method xauthn_admin_name xauthn_admin_cred xauthn_existing_cred xauthn_username xauthn_qop xauthn_ipaddr xauthn_browser_info
Los componentes de identidad xauthn_browser_info, xauthn_qop y xauthn_ipaddr representan los del administrador, no los del usuario al que se ha cambiado. Estos datos se proporcionan para cualquier mdulo de autenticacin que deba realizar validaciones adicionales de la cuenta del administrador. Nota: Consulte la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference para obtener ms informacin sobre cmo escribir un mdulo de autenticacin personalizado. Configuracin de un mdulo de autenticacin personalizado para el cambio de usuario El siguiente ejemplo ampla el ejemplo descrito en el apartado Parte 2: Configuracin de los mecanismos de autenticacin de cambio de usuario en la pgina 211. El ejemplo agrega un mdulo de autenticacin personalizado para obtener una lista de los mecanismos de autenticacin habilitados. El ejemplo, para una plataforma Solaris, muestra un entorno existente que tiene habilitados tres mecanismos de autenticacin: v Autenticacin de formularios utilizando la biblioteca libldapauthn incorporada. v Autenticacin de certificado utilizando la biblioteca libsslauthn incorporada. v Autenticacin de seal utilizando un mdulo de autenticacin personalizado. En este ejemplo, el administrador desea poder utilizar la autenticacin de cambio de usuario para los tres mtodos de autenticacin. Por consiguiente, en el archivo de configuracin de WebSEAL deben habilitarse tres parmetros adicionales de autenticacin para el cambio de usuario. El tercer parmetro representa la nueva biblioteca de mdulos de autenticacin personalizados que se ha escrito para emular la autenticacin de seal existente y para dar soporte a los requisitos de autenticacin de cambio de usuario: Las entradas del archivo de configuracin antes de habilitar el cambio de usuario para los tres mecanismos de autenticacin son las siguientes:
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so cert-ssl = /opt/PolicyDirector/lib/libsslauthn.so token-cdas = /opt/PolicyDirector/lib/libcustom.so
Observe que la biblioteca de autenticacin personalizada de seales del ejemplo se denomina libcustom.so. La nueva versin de cambio de usuario de esta biblioteca de autenticacin personalizada de seales se denominar libsucustom.so. Despus de agregar el mecanismo de autenticacin de cambio de usuario, las entradas del archivo de configuracin son las siguientes:
219
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so cert-ssl = /opt/PolicyDirector/lib/libsslauthn.so token-cdas = /opt/PolicyDirector/lib/libcustom.so su-password = /opt/PolicyDirector/lib/libsuformauthn.so su-certificate = /opt/PolicyDirector/lib/libsucert.so su-token-card = /opt/PolicyDirector/lib/libsucustom.so
Observe los siguientes cambios: v La nueva entrada para el mdulo de autenticacin se denomina su-token-card. El valor para esta entrada es el nombre completo de la ruta de acceso de la biblioteca compartida que se ha ampliado para dar soporte al cambio de usuario. v Para los mtodos de autenticacin no personalizados del ejemplo, recuerde que: El mtodo de autenticacin su-forms proporcionado en el formulario de cambio de usuario se correlaciona con el parmetro del mecanismo de autenticacin su-password del archivo de configuracin de WebSEAL. Se ha cambiado el nombre de la biblioteca libsuauthn proporcionada para los mecanismos de autenticacin de certificado y formularios.
220
Almacenamiento en la cach de solicitudes del servidor

Este apartado contiene los temas siguientes: v Visin general del almacenamiento en la cach de solicitudes del servidor v Configuracin de parmetros del almacenamiento en la cach del servidor en la pgina 223
Visin general del almacenamiento en la cach de solicitudes del servidor

En versiones anteriores de WebSEAL utilizando la autenticacin de formularios, WebSEAL ha creado una entrada de cach para la direccin URL de una solicitud de usuario siempre que ha necesitado la autenticacin. Tras una autenticacin correcta, WebSEAL ha enviado una redireccin HTTP al navegador que inclua esta direccin URL. A continuacin, el navegador ha seguido la redireccin hasta la ubicacin original del recurso. La limitacin de esta implementacin resulta aparente cuando, por ejemplo, un tiempo de espera de sesin interrumpe una solicitud POST que ha solicitado un proceso de reautenticacin. Dado que WebSEAL slo ha almacenado en la cach la direccin URL de la solicitud original, los datos POST (incluidos METHOD y Cuerpo del mensaje) se han perdido durante la redireccin HTTP. El usuario ha tenido que volver a crear la solicitud POST. WebSEAL almacena ahora en la cach un conjunto ms completo de datos de solicitud y utiliza estos datos de la cach para volver a crear la solicitud durante la redireccin HTTP, si un requisito de reautenticacin interrumpe la finalizacin del proceso de solicitudes. Esta solucin beneficia especialmente a las solicitudes POST y PUT, dado que estos tipos de solicitudes pueden incluir diversos campos de informacin. Cuando un requisito de autenticacin interrumpe una solicitud, WebSEAL almacena en la cach toda la informacin necesaria para volver a crear la solicitud durante la redireccin HTTP que sigue a la reautenticacin. Los datos de la solicitud en la cach incluyen la direccin URL, METHOD, Cuerpo del mensaje, cadenas de consulta y todas las cabeceras HTTP (incluyendo las cookies). Estos datos se almacenan temporalmente en la cach de credenciales/sesin de WebSEAL. Tras realizar una autenticacin (o reautenticacin) correcta, WebSEAL enva una redireccin HTTP al navegador. El navegador sigue la redireccin hasta la direccin URL original contenida en la redireccin. WebSEAL intercepta la redireccin y vuelve a crear la solicitud utilizando los datos de la cach. La solicitud que se ha vuelto a crear se entrega a la direccin URL de destino. El siguiente diagrama muestra un flujo de proceso tpico de almacenamiento en la cach de solicitudes del servidor: 1. El usuario inicia la sesin correctamente (autenticacin de formularios) y enva una solicitud HTTP de un recurso que implica un formulario de datos generado con CGI. WebSEAL crea un ID de sesin para el usuario y lo almacena en la cach. 2. El servidor de aplicaciones de fondo devuelve el formulario al usuario. 3. Durante el periodo de tiempo que el usuario tarda en rellenar el formulario, caduca el tiempo de espera de sesin configurado para el usuario. WebSEAL elimina la entrada de cach de credenciales del usuario y el ID de sesin.
221
4. Finalmente, el usuario enva el formulario completado (POST). WebSEAL no detecta ninguna entrada en la cach para el usuario, una nueva entrada en la cach y almacena temporalmente en la cach toda la informacin que contiene la solicitud POST. 5. Dado que WebSEAL no encuentra credenciales para este usuario, ste se debe autenticar. WebSEAL enva un formulario de inicio de sesin al usuario. 6. El usuario devuelve el formulario de inicio de sesin completado a WebSEAL (POST). La autenticacin es correcta. La cach contiene ahora las credenciales del usuario, as como la solicitud almacenada en la cach. 7. WebSEAL enva una redireccin HTTP de vuelta al navegador, que contiene la direccin URL del recurso solicitado originalmente. 8. El navegador sigue la redireccin (GET). WebSEAL intercepta la redireccin y vuelve a crear la solicitud (formulario) original utilizando los datos de POST de la cach. La solicitud (formulario) restaurada se entrega a la designacin de la direccin URL.
Figura 6. Ejemplo de flujo de proceso de almacenamiento en la cach de una solicitud de WebSEAL
Notas de utilizacin v Los parmetros de almacenamiento en la cach del servidor protegen a WebSEAL de ataques del tipo de denegacin de servicio que podran provocar que WebSEAL almacenara en la cach ms datos de los que pueda gestionar. v El almacenamiento en la cach de la solicitud del servidor no funcionar correctamente si el valor de tiempo de espera de la sesin del usuario caduca durante el proceso de inicio de sesin. En esta situacin, se pierde la entrada de la cach.
222
v El almacenamiento en la cach de la solicitud en el servidor puede causar limitaciones en la capacidad del navegador de manipular el recurso. El navegador no sabe que WebSEAL ha vuelto a crear la redireccin HTTP. Por consiguiente, la funcin de recarga y renovacin y la capacidad de almacenamiento en la cach del navegador pueden quedar afectadas.
Configuracin de parmetros del almacenamiento en la cach del servidor

WebSEAL almacena automticamente solicitudes durante la autenticacin de formularios. Puede modificar los valores de la stanza [server] del archivo de configuracin de WebSEAL para especificar los lmites del tamao de las solicitudes que WebSEAL almacena. En los apartados siguientes se describen los valores que puede modificar: v Modificacin del parmetro max-client-read v Modificacin del parmetro request-max-cache en la pgina 224 v Modificacin del parmetro request-body-max-read Los parmetros de la cach del servidor tambin se resumen en el apndice de referencia del archivo de configuracin. Consulte el apartado Configuracin del servidor en la pgina 423.
Modificacin del parmetro max-client-read

Este parmetro especifica el nmero mximo de bytes que WebSEAL mantiene en los bferes internos durante la lectura de datos de un cliente. Este parmetro afecta al tamao mximo de las direcciones URL, de las cabeceras HTTP y al tamao de una solicitud que se almacenar en la cach. Este parmetro debe establecerse como mnimo en el doble del valor del parmetro request-body-max-read. El valor mnimo es 32768. Si el valor se establece en un nmero inferior a 32768, el valor se omite y se utiliza el valor 32768. El valor predeterminado es 32768.
[server] max-client-read = 32768
Este valor puede incrementarse cuando el despliegue necesita almacenar en la cach solicitudes que son anormalmente grandes. El nico tamao mximo existente es el tamao impuesto por el tipo de datos. No obstante, aumentar el tamao puede afectar negativamente al rendimiento y a la seguridad del sistema. Asignar bferes de mayor tamao supone un aumento del uso de memoria y, por consiguiente, puede dar lugar a una disminucin del rendimiento. Y, lo que es an ms importante, asignar bferes de gran tamao aumenta el riesgo de un ataque satisfactorio de denegacin de servicio provocado por un usuario malicioso. El riesgo aumenta simplemente porque WebSEAL carga y retiene ms datos en la memoria, lo que ofrece al usuario un bfer de mayor tamao desde el que puede intentar un ataque.
Modificacin del parmetro request-body-max-read

Este parmetro especifica el nmero mximo de bytes que deben leerse como contenido del cuerpo de las solicitudes para utilizarlos en el almacenamiento en la cach de solicitudes, dynurl y autenticacin. Esto afecta a la cantidad de datos que WebSEAL almacena en la cach para los usuarios que deben autenticarse antes de poder satisfacer una solicitud. Esto afecta a todas las solicitudes que tienen cuerpo, como las solicitudes POST y PUT. Esto tiene un impacto en la autenticacin de formularios, ya que limita el tamao de los datos POST que se procesan cuando se lleva a cabo una autenticacin de este tipo. Para mantener un tamao de cuerpo de la solicitud suficiente para la
223
autenticacin de formularios, WebSEAL establece un mnimo fijo de 512 bytes en el parmetro request-body-max-read. Cuando este valor se establece en un valor inferior al mnimo, dicho valor se omite y se utiliza el valor 512. Este valor tambin tiene un impacto sobre el proceso de direcciones URL dinmicas ya que la parte de consulta de URI de la solicitud POST se encuentra en el cuerpo de la solicitud. Nota: Este valor no limita el tamao mximo de POST. El tamao mximo de POST es ilimitado. El valor del parmetro request-body-max-read est relacionado con el valor del parmetro max-client-read. Cuando request-body-max-read se establece en un valor superior a 16384, es necesario aumentar el valor de max-client-read como mnimo el doble del valor de request-body-max-read. Cuando el valor de max-client-read es inferior al doble del valor de request-body-max-read, WebSEAL omite request-body-max-read e impone un valor de la mitad del valor de max-client-read. El valor predeterminado es 4096:
[server] request-body-max-read = 4096
Puede establecer este parmetro en cero (0). Cuando se sobrepasa el valor de la cach del servidor para request-body-max-read durante una solicitud, WebSEAL cancela el proceso de almacenamiento en la cach de la solicitud. WebSEAL devuelve al navegador el mensaje Error en el almacenamiento en cach de la solicitud, y escribe el error en el archivo de registro. Puede personalizar este mensaje de error. Consulte el apartado Pginas de mensajes de error HTTP en la pgina 93. El valor de request-body-max-read tambin afecta al valor especificado para request-max-cache. Consulte el apartado Modificacin del parmetro request-max-cache.
Modificacin del parmetro request-max-cache

Cuando se solicita a un usuario que se autentique antes de satisfacer una solicitud, los datos de dicha solicitud se almacenan en la cach para procesarlos una vez finalizada la autenticacin. La cantidad mxima de datos almacenados en la cach por solicitud se especifica mediante el parmetro request-max-cache. Para garantizar que almacena en la cach el nmero mximo de datos del cuerpo de las solicitudes segn establece el parmetro request-body-max-read, en este valor debe tener en cuenta el tamao mximo de todos los dems componentes de la solicitud. Por ejemplo, si desea almacenar en la cach 2048 bytes de los cuerpos de solicitud y anticipa que el tamao mximo de todas las cabeceras de las solicitudes y de las cookies ser de 4096 bytes, debe hacer lo siguiente: 1. Defina request-body-max-read = 2048 2. Defina request-max-cache = 2048 + 4096 = 6144
[server] request-max-cache = 8192
El valor predeterminado para request-max-cache es 8192.
224
Cuando se sobrepasa el valor de la cach del servidor para request-max-cache durante una solicitud, WebSEAL cancela el proceso de almacenamiento en la cach de la solicitud. WebSEAL devuelve al navegador el mensaje Error en el almacenamiento en cach de la solicitud, y escribe el error en el archivo de registro. Puede personalizar este mensaje de error. Consulte el apartado Pginas de mensajes de error HTTP en la pgina 93.
225
Configuracin de la reautenticacin basada en la poltica de seguridad

Tivoli Access Manager WebSEAL puede forzar a un usuario a realizar un inicio de sesin adicional (reautenticacin) para asegurarse de que un usuario que accede a un recurso protegido es la misma persona que inicialmente se ha autenticado al comienzo de la sesin. La reautenticacin puede activarse con una poltica de objetos protegidos (POP) en el objeto protegido o a causa de la caducidad del valor de tiempo de espera de inactividad de la cach de sesin de WebSEAL. Este apartado analiza la reautenticacin basada en la poltica de seguridad tal como la establece un atributo ampliado de POP. El material de contexto en la cach de sesin de WebSEAL se proporciona en el apartado Estructura de cach de sesin/credenciales de WebSEAL en la pgina 11.
Condiciones que afectan a la reautenticacin de POP

Una reautenticacin forzada proporciona proteccin adicional para los recursos sensibles en el dominio seguro. La reautenticacin basada en la poltica de seguridad se activa mediante un atributo ampliado especfico de una POP que protege el objeto de recurso solicitado. La POP se puede asociar directamente con el objeto, o ste puede heredar de un objeto padre las condiciones de la POP. La reautenticacin est soportada por los siguientes mtodos de autenticacin de WebSEAL: v Autenticacin de formularios (nombre de usuario y contrasea) v Autenticacin de seal Adems, se puede escribir un CDAS de nombre de usuario/contrasea personalizado que d soporte a la reautenticacin. La reautenticacin supone que el usuario ha iniciado la sesin inicialmente en el dominio seguro y que existe una credencial vlida para el usuario. Durante la reautenticacin, el usuario debe iniciar la sesin utilizando la misma identidad que gener la credencial existente. WebSEAL preserva la informacin de sesin original del usuario, incluida la credencial, durante la reautenticacin. Durante la reautenticacin no se sustituye la credencial. Adems, durante la reautenticacin, WebSEAL guarda en la cach la solicitud que activ la reautenticacin. Cuando la reautenticacin se haya realizado correctamente, los datos de la cach se utilizarn para volver a crear la solicitud. Consulte el apartado Almacenamiento en la cach de solicitudes del servidor en la pgina 221. Si falla la reautenticacin, WebSEAL devuelve de nuevo la solicitud de inicio de sesin. Si la reautenticacin es satisfactoria, pero la comprobacin de ACL falla para ese recurso, se devuelve un error 403 No autorizado y se rechaza el acceso del usuario al recurso solicitado. En cualquiera de estos casos, no se finaliza nunca la sesin del usuario. Utilizando una credencial que an sea vlida, el usuario podr terminar anormalmente el proceso de reautenticacin (solicitando otra direccin URL) y participar en el dominio seguro accediendo a otros recursos que no requieran reautenticacin. Se dispone de la configuracin para restablecer el temporizador de duracin de las entradas de la cach de sesin de WebSEAL. Adems, se puede configurar un
226
periodo de gracia para permitir que haya tiempo suficiente para completar el proceso de reautenticacin antes de que caduque el tiempo de espera de duracin de la entrada de la cach de sesin.
Creacin y aplicacin de la POP de reautenticacin

La reautenticacin forzada basada en la poltica de seguridad se configura creando una poltica de objetos protegidos (POP) con un atributo ampliado especial denominado reauth. Puede asociar esta POP con cualquier objeto que requiera la proteccin adicional que proporciona la reautenticacin forzada. Recuerde que todos los hijos del objeto con la POP heredan tambin las condiciones de la POP. Cada objeto hijo solicitado requiere una reautenticacin independiente. Utilice los comandos pdadmin pop create, pdadmin pop modify y pdadmin pop attach. El ejemplo siguiente muestra cmo crear una POP denominada secure con el atributo ampliado reauth y cmo asociarla con un objeto (budget.html):
pdadmin> pop create secure pdadmin> pop modify secure set attribute reauth true pdadmin> pop attach /WebSEAL/hostA/junction/budget.html secure
Cualquier usuario que intente acceder a budget.html est forzado a reautenticarse utilizando la misma identidad y el mismo mtodo de autenticacin que generaron la credencial existente. Si el usuario que solicita el recurso no est autenticado, la POP fuerza al usuario a autenticarse. No es necesaria ninguna reautenticacin para este recurso despus de un inicio de sesin inicial correcto. Los detalles acerca de la utilidad de lnea de comandos pdadmin pueden encontrarse en la publicacin IBM Tivoli Access Manager Base Gua del administrador.
Configuracin del restablecimiento y ampliacin de la duracin de la entrada de la cach de sesin

Restablecimiento del valor de duracin de la entrada de la cach de sesin
La entrada de la cach de sesin del usuario tiene una duracin limitada, tal como especifica el parmetro timeout en la stanza [session] del archivo de configuracin webseald.conf. El valor predeterminado, en segundos, es de 3600 (1 hora):
Independientemente de la actividad o inactividad de la sesin, la entrada de la cach de sesin se elimina cuando se alcanza el valor de duracin, en cuyo momento se finaliza la sesin del usuario. No obstante, puede configurar el restablecimiento de la duracin de la entrada de la cach de sesin siempre que se produzca una reautenticacin. Con esta configuracin, la sesin del usuario ya no tendr un valor mximo nico de duracin. Cada vez que se produzca una reautenticacin, se restablecer el valor de duracin de la cach de sesin.
227
Puede configurar el restablecimiento de la duracin de la entrada de la cach de sesin con el parmetro reauth-reset-lifetime en la stanza [reauthentication] del archivo de configuracin webseald.conf:
[reauthentication] reauth-reset-lifetime = yes
El valor predeterminado es no. Este parmetro es tambin adecuado para la reautenticacin debido a la caducidad del valor de tiempo de espera de inactividad de la entrada de la cach de sesin. Consulte el apartado Configuracin de la reautenticacin basada en la poltica de inactividad de sesin en la pgina 230.
Ampliacin del valor de duracin de la entrada de la cach de sesin

Es posible que el valor de duracin de la entrada de la cach de sesin caduque mientras el usuario est realizando una reautenticacin. Esta situacin se produce bajo las condiciones siguientes: v El usuario solicita un recurso protegido por una POP de reautenticacin. v El valor de duracin de la entrada de la cach de sesin est muy cerca de su caducidad La duracin de la entrada de la cach de sesin puede caducar despus de que se enve al usuario el formulario de inicio de sesin de reautenticacin y antes de que se devuelva el formulario de inicio de sesin completado. Cuando caduque el valor de duracin de la entrada de la cach de sesin, se suprimir la entrada de la cach de sesin. Cuando se devuelva el formulario de inicio de sesin a WebSEAL, ya no habr una sesin para ese usuario. Adems, se perdern todos los datos de la solicitud de usuario guardada en la cach. Puede configurar una ampliacin de tiempo, o periodo de gracia, para el valor de duracin de la entrada de la cach de sesin, en caso de que la duracin de la entrada de la cach de sesin caduque durante la reautenticacin. El parmetro reauth-extend-lifetime de la stanza [reauthentication] del archivo de configuracin webseald.conf proporciona esta ampliacin de tiempo, en segundos. Por ejemplo (5 minutos):
[reauthentication] reauth-extend-lifetime = 300
El valor predeterminado, 0, no proporciona ninguna ampliacin al valor de tiempo de espera de entrada de la cach de sesin. El parmetro reauth-extend-lifetime se aplica a los usuarios con entradas de cach de sesin existentes y a los que se requiera reautenticacin. Por ejemplo: v Los usuarios que realicen una reautenticacin como resultado de la poltica de seguridad POP. v Los usuarios que realicen una reautenticacin como resultado de la inactividad de la cach de sesin. v Los usuarios que realicen una autenticacin incremental. Se prev que la opcin reauth-extend-lifetime se utilice junto con la opcin reauth-reset-lifetime=yes.
228
Este parmetro es tambin adecuado para la reautenticacin debido a la caducidad del valor de tiempo de espera de inactividad de la entrada de la cach de sesin. Consulte el apartado Configuracin de la reautenticacin basada en la poltica de inactividad de sesin en la pgina 230.
Personalizacin de formularios de inicio de sesin para la reautenticacin

WebSEAL da soporte a la reautenticacin de mtodos de autenticacin de seal y de formularios. De forma predeterminada, la autenticacin de formularios utiliza la pgina login.html para solicitar informacin de nombre de usuario y contrasea del usuario al cliente (consulte el apartado Descripciones de pginas HTML personalizadas en la pgina 99). De forma predeterminada, la autenticacin de seal utiliza la pgina tokenlogin.html para solicitar informacin de cdigo de paso de seal y nombre de usuario del cliente (consulte el apartado Descripciones de pginas HTML personalizadas en la pgina 99). Estas mismas pginas de inicio de sesin predeterminadas se utilizan durante la reautenticacin. Durante el inicio de sesin inicial, los campos nombre de usuario y contrasea (cdigo de paso) estn en blanco en cada una de estas pginas de inicio de sesin. Sin embargo, es posible que el campo de nombre de usuario de estas pginas de inicio de sesin se complete automticamente durante la reautenticacin utilizando la macro %USERNAME% (consulte el apartado Soporte para macros de las pginas de gestin de cuentas en la pgina 99). El cliente debe completar slo el campo de contrasea (cdigo de paso). Por ejemplo, modifique la siguiente lnea en la pgina login.html:
<TD><INPUT NAME="username" SIZE="15"></TD>
para incluir la macro %USERNAME%:

<TD><INPUT NAME="username" SIZE="15" VALUE="%USERNAME%"></TD>
Durante un inicio de sesin inicial, el valor de la macro %USERNAME% est vaco y el campo de texto de nombre de usuario aparece en blanco en la pgina de inicio de sesin. Para un cliente reautenticado, la macro %USERNAME% contiene el valor del nombre de usuario del cliente. El campo de texto de nombre de usuario de la pgina de inicio de sesin aparece con el nombre de usuario completado automticamente.
229
Configuracin de la reautenticacin basada en la poltica de inactividad de sesin

Tivoli Access Manager WebSEAL puede forzar a un usuario a realizar un inicio de sesin adicional (reautenticacin) para asegurarse de que un usuario que accede a un recurso protegido es la misma persona que inicialmente se ha autenticado al comienzo de la sesin. La reautenticacin puede activarse con una poltica de objetos protegidos (POP) en el objeto protegido o a causa de la caducidad del valor de tiempo de espera de inactividad de la cach de sesin de WebSEAL. Este apartado analiza la reautenticacin basada en la caducidad del valor de tiempo de espera de inactividad para una entrada de cach de sesin de WebSEAL. El material de contexto en la cach de sesin de WebSEAL se proporciona en el apartado Estructura de cach de sesin/credenciales de WebSEAL en la pgina 11.
Condiciones que afectan a la reautenticacin de la inactividad

Una reautenticacin forzada proporciona proteccin adicional para los recursos sensibles en el dominio seguro. La reautenticacin basada en la poltica de inactividad de sesin se habilita mediante un parmetro de configuracin y se activa con la caducidad del valor de tiempo de espera de inactividad de la entrada de la cach de sesin. La reautenticacin est soportada por los siguientes mtodos soportados de autenticacin de WebSEAL: v Autenticacin de formularios (nombre de usuario y contrasea) v Autenticacin de seal Adems, se puede escribir un CDAS de nombre de usuario/contrasea personalizado que d soporte a la reautenticacin. La reautenticacin supone que el usuario ha iniciado la sesin inicialmente en el dominio seguro y que existe una credencial vlida para el usuario. Durante la reautenticacin, el usuario debe iniciar la sesin utilizando la misma identidad que gener la credencial existente. WebSEAL preserva la informacin de sesin original del usuario, incluida la credencial, durante la reautenticacin. Durante la reautenticacin no se sustituye la credencial. Adems, durante la reautenticacin, WebSEAL guarda en la cach la solicitud que activ la reautenticacin. Cuando la reautenticacin se haya realizado correctamente, los datos de la cach se utilizarn para volver a crear la solicitud. Consulte el apartado Almacenamiento en la cach de solicitudes del servidor en la pgina 221. Normalmente, una sesin del usuario se regula mediante un valor de inactividad de sesin y un valor de duracin de sesin. Cuando WebSEAL se configura para la reautenticacin basada en la inactividad de sesin, la entrada de cach de sesin del usuario se marca con un indicador siempre que caduca el valor de tiempo de espera de inactividad de la sesin. La entrada de la cach de sesin (que contiene la credencial del usuario) no se elimina. El usuario puede continuar y acceder a los recursos no protegidos. No obstante, si el usuario solicita un recurso protegido,
230
WebSEAL enva una solicitud de inicio de sesin. Tras realizar una reautenticacin correcta, el indicador de la sesin inactiva se elimina y el temporizador de inactividad se restablece. Si falla la reautenticacin, WebSEAL devuelve de nuevo la solicitud de inicio de sesin. La entrada de la cach de sesin sigue marcada con un indicador y el usuario puede continuar como usuario no autenticado hasta que caduque el valor de duracin de la entrada de la cach de sesin. Si la reautenticacin es satisfactoria, pero la comprobacin de ACL falla para ese recurso, se devuelve un error 403 No autorizado y se rechaza el acceso del usuario al recurso solicitado. El valor de duracin de la entrada de la cach de sesin normalmente determina la longitud mxima de la sesin. Cuando caduque este valor de duracin, la sesin terminar independientemente de la actividad que haya. No obstante, WebSEAL se puede configurar para permitir al usuario reautenticarse despus de que caduque el valor de duracin de la sesin. Tras una reautenticacin correcta, se restablece el valor de duracin de la entrada de la cach de sesin. Otras dos condiciones pueden terminar una sesin de usuario: el usuario puede finalizar la sesin de forma explcita o un administrador puede terminar una sesin de usuario. Consulte el apartado Terminacin de sesiones de usuario en la pgina 382. Se dispone de la configuracin para restablecer el temporizador de duracin de la entrada de la cach de sesin de WebSEAL. Adems, se puede configurar un periodo de gracia para permitir que haya tiempo suficiente para completar el proceso de reautenticacin antes de que caduque el tiempo de espera de duracin de la entrada de la cach de sesin.
Habilitacin de la reautenticacin por inactividad

Para configurar WebSEAL con el fin de marcar con un indicador las sesiones inactivas, en vez de eliminarlas de la cach de sesin, establezca el valor para el parmetro reauth-for-inactive en yes en la stanza [reauthentication] del archivo de configuracin webseald.conf:
[reauthentication] reauth-for-inactive = yes
El valor predeterminado para este parmetro es no.
Restablecimiento y ampliacin del valor de duracin de la entrada de la cach de sesin

Restablecimiento del valor de duracin de la entrada de la cach de sesin
La entrada de la cach de sesin del usuario tiene una duracin limitada, tal como especifica el parmetro timeout en la stanza [session] del archivo de configuracin webseald.conf. El valor predeterminado, en segundos, es de 3600 (1 hora):
Independientemente de la actividad o inactividad de la sesin, la entrada de la cach de sesin se elimina cuando se alcanza el valor de duracin, en cuyo momento se finaliza la sesin del usuario.
231
No obstante, puede configurar el restablecimiento de la duracin de la entrada de la cach de sesin siempre que se produzca una reautenticacin. Con esta configuracin, la sesin del usuario ya no tendr un valor mximo nico de duracin. Cada vez que se produzca una reautenticacin, se restablecer el valor de duracin de la entrada de la cach de sesin. Puede configurar el restablecimiento de la duracin de las entradas de la cach de sesin con el parmetro reauth-reset-lifetime en la stanza [reauthentication] del archivo de configuracin webseald.conf:
[reauthentication] reauth-reset-lifetime = yes
El valor predeterminado es no. Este parmetro es tambin adecuado para la reautenticacin debido a la poltica de seguridad (POP). Consulte el apartado Configuracin de la reautenticacin basada en la poltica de seguridad en la pgina 226.
Ampliacin del valor de duracin de la entrada de la cach de sesin

Es posible que el valor de duracin de la entrada de la cach de sesin caduque mientras el usuario est realizando una reautenticacin. Esta situacin se produce bajo las condiciones siguientes: v El usuario solicita un recurso protegido por una POP de reautenticacin. v El valor de duracin de la entrada de la cach de sesin est muy cerca de su caducidad La duracin de la entrada de la cach de sesin puede caducar despus de que se enve al usuario el formulario de inicio de sesin de reautenticacin y antes de que se devuelva el formulario de inicio de sesin completado. Cuando caduque el valor de duracin de la entrada de la cach de sesin, se suprimir la entrada de la cach de sesin. Cuando se devuelva el formulario de inicio de sesin a WebSEAL, ya no habr una sesin para ese usuario. Adems, se perdern todos los datos de la solicitud de usuario guardada en la cach. Puede configurar una ampliacin de tiempo, o periodo de gracia, para el valor de duracin de la entrada de la cach de sesin, en caso de que la duracin de la entrada de la cach de sesin caduque durante la reautenticacin. El parmetro reauth-extend-lifetime de la stanza [reauthentication] del archivo de configuracin webseald.conf proporciona esta ampliacin de tiempo, en segundos. Por ejemplo (5 minutos):
[reauthentication] reauth-extend-lifetime = 300
El valor predeterminado, 0, no proporciona ninguna ampliacin al valor de tiempo de espera de la entrada de la cach de sesin. El parmetro reauth-extend-lifetime se aplica a los usuarios con entradas de cach de sesin existentes y a los que se requiera reautenticacin. Por ejemplo: v Los usuarios que realicen una reautenticacin como resultado de la poltica de seguridad POP. v Los usuarios que realicen una reautenticacin como resultado de la inactividad de la cach de sesin. v Los usuarios que realicen una autenticacin incremental.
232
Se prev que la opcin reauth-extend-lifetime se utilice junto con la opcin reauth-reset-lifetime=yes. Este parmetro es tambin adecuado para la reautenticacin debido a la poltica de seguridad (POP). Consulte el apartado Configuracin de la reautenticacin basada en la poltica de seguridad en la pgina 226.
Cmo evitar el cierre de la sesin cuando caduca la duracin de la sesin

Es posible que un usuario permanezca activo durante toda la sesin. Cuando caduque el valor de duracin de la sesin, se suprimir la entrada de la cach de sesin y finalizar la sesin del usuario. Para evitar esta finalizacin de sesin repentina, puede configurar WebSEAL para que permita la reautenticacin del usuario una vez haya caducado el valor de tiempo de espera de sesin. WebSEAL permite restablecer el valor de duracin de la sesin una vez ha caducado bajo las siguientes condiciones: v La reautenticacin basada en la poltica de inactividad est habilitada (reauth-for-inactive=yes) v El valor de duracin de sesin (timeout) ha caducado. v La ampliacin de tiempo (periodo de gracia) para la duracin de la sesin est habilitada y establecida en un valor razonable (por ejemplo, reauth-extend-lifetime=300) v El usuario activa la indicacin de reautenticacin solicitando un recurso protegido antes de que caduque la ampliacin de tiempo (periodo de gracia) (WebSEAL no permite adiciones repetidas de la ampliacin de tiempo a un evento de duracin de final de sesin.) v El restablecimiento de la duracin de la cach de sesin se configura para que sea verdadero (reauth-reset-lifetime=yes) Cuando caduca la duracin de una sesin, WebSEAL comprueba las condiciones anteriores. Si se producen todas las condiciones, el tiempo de espera se ampla mediante el valor reauth-extend-lifetime y la entrada de la cach de sesin del usuario se marca con un indicador como ampliada. La entrada de la cach de sesin (que contiene la credencial del usuario) no se elimina y el usuario puede seguir accediendo a recursos no protegidos. Cuando el usuario solicita un recurso protegido, WebSEAL solicita la reautenticacin del usuario. El valor reauth-extend-lifetime debe estar configurado en un valor razonable para que el usuario tenga tiempo suficiente para desencadenar la solicitud de autenticacin. Observe que si el usuario no accede a un objeto protegido durante el periodo de gracia, no se activa el proceso de reautenticacin. En este caso, es posible que el valor reauth-extend-lifetime caduque, en cuyo caso se elimina la entrada de la cach de sesin. No obstante, normalmente la poltica de reautenticacin se implementa para asegurar una aplicacin que est sirviendo bsicamente recursos protegidos. Una ampliacin de tiempo (periodo de gracia) de 510 minutos es tiempo suficiente para permitir a un usuario activo desencadenar el proceso de reautenticacin y, en consecuencia, restablecer el valor de duracin de la sesin.
233
Personalizacin de formularios de inicio de sesin para la reautenticacin

WebSEAL da soporte a la reautenticacin de mtodos de autenticacin de seal y de formularios. De forma predeterminada, la autenticacin de formularios utiliza la pgina login.html para solicitar informacin de nombre de usuario y contrasea del usuario al cliente (consulte el apartado Descripciones de pginas HTML personalizadas en la pgina 99). De forma predeterminada, la autenticacin de seal utiliza la pgina tokenlogin.html para solicitar informacin de cdigo de paso de seal y nombre de usuario del cliente (consulte el apartado Descripciones de pginas HTML personalizadas en la pgina 99). Estas mismas pginas de inicio de sesin predeterminadas se utilizan durante la reautenticacin. Durante el inicio de sesin inicial, los campos nombre de usuario y contrasea (cdigo de paso) estn en blanco en cada una de estas pginas de inicio de sesin. Sin embargo, es posible que el campo de nombre de usuario de estas pginas de inicio de sesin se complete automticamente durante la reautenticacin utilizando la macro %USERNAME% (consulte el apartado Soporte para macros de las pginas de gestin de cuentas en la pgina 99). El cliente debe completar slo el campo de contrasea (cdigo de paso). Por ejemplo, modifique la siguiente lnea en la pgina login.html:
<TD><INPUT NAME="username" SIZE="15"></TD>
para incluir la macro %USERNAME%:

<TD><INPUT NAME="username" SIZE="15" VALUE="%USERNAME%"></TD>
Durante un inicio de sesin inicial, el valor de la macro %USERNAME% est vaco y el campo de texto de nombre de usuario aparece en blanco en la pgina de inicio de sesin. Para un cliente reautenticado, la macro %USERNAME% contiene el valor del nombre de usuario del cliente. El campo de texto de nombre de usuario de la pgina de inicio de sesin aparece con el nombre de usuario completado automticamente.
234
Redireccin automtica durante el inicio de sesin del usuario

Este apartado contiene los temas siguientes: v Visin general de la redireccin automtica v Habilitacin de la redireccin automtica v Inhabilitacin de la redireccin automtica en la pgina 236 v Limitaciones en la pgina 236
Visin general de la redireccin automtica

Cuando un usuario solicita un recurso de un dominio WebSEAL, WebSEAL enva el recurso al usuario tras comprobar que la autenticacin y la poltica son correctas. Como alternativa a esta respuesta estndar, es posible configurar WebSEAL para que redireccione automticamente al usuario a una pgina de presentacin o de bienvenida especialmente designada a tal efecto. Esta redireccin forzada al iniciar la sesin es apropiada, por ejemplo, cuando los usuarios entran en el dominio WebSEAL a travs de una pgina de portal. La redireccin automtica tambin prevalece sobre los intentos del usuario de acceder directamente a pginas especficas del dominio mediante la seleccin de marcadores de usuario. La redireccin automtica que sigue al flujo del proceso es la siguiente: 1. El usuario enva una solicitud y se autentica correctamente. 2. WebSEAL crea una respuesta personalizada y la devuelve al navegador como una redireccin. Esta respuesta de redireccin contiene el valor de URL especificado por el parmetro login-redirect-page del archivo de configuracin de WebSEAL. 3. El navegador sigue la respuesta redireccionada (que contiene la URL configurada). 4. WebSEAL devuelve la pgina que se encuentra en la URL configurada. La redireccin automtica al iniciar la sesin se habilita e inhabilita de forma independiente para cada mtodo de autenticacin. Se da soporte a la redireccin para los mtodos de autenticacin siguientes: v Autenticacin bsica v Autenticacin de formularios v Autenticacin de seal
Habilitacin de la redireccin automtica

Para configurar la redireccin automtica, siga estos pasos: 1. Abra el archivo de configuracin de WebSEAL para modificarlo. 2. Habilite la redireccin automtica para cada uno de los mtodos de autenticacin que proceda; para ello, anule el comentario de la entrada de cada mtodo en la stanza [enable-redirects]:
[enable-redirects] redirect = forms-auth redirect = basic-auth redirect = token-auth
El ejemplo anterior habilita la redireccin automtica para la autenticacin de formularios, la autenticacin bsica y la autenticacin de seal. 3. Especifique la direccin URL a la que se redirecciona al usuario tras iniciar la sesin.
235
La direccin URL se puede expresar como una ruta de acceso completa o relativa al servidor. Por ejemplo:
[acnt-mgt] login-redirect-page = http://www.ibm.com
O bien
[acnt-mgt] login-redirect-page = /jct/intro-page.html
4. Detenga y reinicie el servidor WebSEAL.
Inhabilitacin de la redireccin automtica

Para inhabilitar la redireccin automtica, siga estos pasos: 1. Abra el archivo de configuracin de WebSEAL para modificarlo. 2. Inhabilite la redireccin automtica para cada uno de los mtodos de autenticacin que proceda; para ello, comente o elimine la entrada de cada mtodo de autenticacin en la stanza [enable-redirects]:
[enable-redirects] #redirect = forms-auth #redirect = basic-auth #redirect = token-auth
Observe que se agrega el carcter de almohadilla (#) al principio de cada lnea. El ejemplo anterior inhabilita la redireccin automtica de la autenticacin de formularios, la autenticacin bsica y la autenticacin de seal. 3. Detenga y reinicie el servidor WebSEAL.
Limitaciones
WebSEAL no da soporte a la redireccin automtica al iniciar la sesin en las condiciones siguientes: v Cuando un cliente Windows se ha autenticado utilizando el protocolo SPNEGO (y la autenticacin Kerberos) como parte del inicio de sesin nico del escritorio de Windows. v Durante la reautenticacin. v Cuando el navegador se abre de nuevo mientras se utiliza la autenticacin bsica. La redireccin funciona de la forma esperada la primera vez que un usuario visita una pgina con un navegador y se autentica con un nombre de usuario y una contrasea vlidos. No obstante, si dicha instancia del navegador se cierra y se abre otra instancia, la pgina redireccionada no se visualiza una vez que el usuario se ha autenticado.
236
Configuracin del proceso posterior al cambio de contrasea

WebSEAL puede configurarse para permitir llevar a cabo un proceso personalizado una vez que ha finalizado correctamente una operacin de cambio de contrasea. Los cambios de contrasea pueden producirse voluntariamente mediante el comando pkmspasswd del navegador o a travs de acciones mandadas dictadas por las polticas de seguridad de contraseas (como la caducidad de la contrasea). La posibilidad de llevar a cabo un proceso posterior al cambio de la contrasea permite, por ejemplo, actualizar uno o ms registros de usuarios externos sin sobrecarga adicional de autenticacin. La funcionalidad de proceso posterior al cambio de contrasea se basa en un mecanismo de autenticacin adicional configurado en el archivo de configuracin webseald.conf. Si el cambio de contrasea es correcto, WebSEAL comprueba este mecanismo adicional. Si el cambio de contrasea falla, WebSEAL no comprueba el mecanismo adicional. El mecanismo de autenticacin adicional es una biblioteca de autenticacin personalizada, escrita utilizando la API C de autenticacin externa. Consulte la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference para obtener informacin detallada sobre esta API. Si el mecanismo personalizado est configurado y el cambio de contrasea se realiza correctamente, la biblioteca personalizada recibe la contrasea antigua, la contrasea nueva y el nombre del usuario. Para configurar un proceso posterior al cambio de contrasea, utilice el parmetro post-pwd-change de la stanza [authentication-mechanisms] del archivo de configuracin webseald.conf para especificar la ruta de acceso completa del archivo de la biblioteca personalizada:
[authentication-mechanisms] post-pwdchg-process = <nombre-biblioteca-con-ruta-acceso-completa>
Por ejemplo (Solaris):

[authentication-mechanisms] post-pwdchg-process = /opt/PolicyDirector/lib/reg2update.so
Condiciones del proceso posterior al cambio de contrasea

v WebSEAL slo llama a una biblioteca personalizada configurada cuando el cambio de contrasea es correcto. v Se devuelven errores en el caso ejecucin correcta o de error. Es responsabilidad del desarrollador gestionar correctamente los errores de forma local. Se realiza una auditora de la operacin ejecutada correctamente o del error, pero no se lleva a cabo ninguna accin. v Un error en el proceso posterior al cambio de contrasea no provoca que falle un cambio de contrasea realizado correctamente.
237
Atributos ampliados para credenciales

Este apartado contiene los temas siguientes: v Mecanismos para agregar atributos de registro a una credencial v Configuracin del servicio de titularidad de atributos de registro en la pgina 239 v Gestin de uniones de atributos de credencial ampliados en la pgina 241
Mecanismos para agregar atributos de registro a una credencial

El proceso de autenticacin de WebSEAL accede al registro de usuarios de Tivoli Access Manager y crea una credencial para el usuario. La credencial contiene informacin del usuario necesaria para tomar decisiones sobre el acceso. Esta informacin incluye datos como el nombre de usuario y la lista de grupos a los que el usuario pertenece. WebSEAL da soporte a varios mecanismos (servicios) que permiten a los administradores y a los desarrolladores de aplicaciones ampliar el proceso de autenticacin. Cuando WebSEAL dirige el proceso de autenticacin, comprueba si se han implementado y configurado servicios externos. En caso afirmativo, WebSEAL llama a dichos servicios. Los servicios pueden llevar a cabo su propio proceso para crear una lista de los atributos ampliados sobre la identidad del usuario. Estos atributos ampliados se agregan a la credencial del usuario. Los tipos de servicio a los que se da soporte son los siguientes: v Servicio de titularidad de atributos de registro Este servicio de titularidad est integrado en Tivoli Access Manager de forma predeterminada. Este servicio es una implementacin de una clase de servicios de titularidad de Tivoli Access Manager conocidos como servicios de titularidad de atributos de credencial. Este servicio se denomina servicio de titularidad de atributos de registro porque obtiene informacin de usuario especfica de un registro de usuarios (como un registro de usuarios LDAP) e inserta los datos en una lista de atributos de la credencial del usuario. Este servicio de titularidad de atributos de registro incorporado es un servicio de titularidad genrico que pueden utilizar muchos gestores de recursos. Este servicio ocupa la posicin de un mtodo anterior que requera que los administradores agregaran entradas indicador/valor a la stanza [ldap-ext-creds-tag] del archivo de configuracin pd.conf. En la versin 5.1, tambin debera utilizar el servicio de titularidad incorporado para obtener datos del registro de usuarios LDAP. Para obtener informacin sobre la configuracin, consulte el apartado Configuracin del servicio de titularidad de atributos de registro en la pgina 239. Nota: Tenga en cuenta que Tivoli Access Manager proporciona servicios de titularidad incorporados adicionales que pueden utilizarse para agregar informacin adicional. Estos servicios adicionales, no obstante, obtienen la informacin adicional de fuentes distintas de las entradas del registro de usuarios. Por ejemplo, el servicio de titularidad de atributos ampliados obtiene informacin de las listas ACL y de las polticas POP del espacio de objetos de recurso protegidos. Para obtener ms informacin, consulte la descripcin de los servicios de titularidad de la publicacin IBM Tivoli Access Manager for e-business Authorization C API Developer Reference. v Servicio de titularidad de atributos de credencial personalizado
238
Si el servicio de titularidad de atributos de credencial incorporado no puede proporcionar toda la informacin necesaria para el despliegue, puede escribir su propio servicio de titularidad de atributos de credencial. Este servicio puede incluir su propia versin de un servicio de titularidad de atributos de registro. Tivoli Access Manager da soporte a esto como parte de la API de autorizacin. Para obtener ms informacin, consulte la publicacin IBM Tivoli Access Manager for e-business Authorization C API Developer Reference. v Servicio de autenticacin externo de atributos ampliados de credencial (CDAS) WebSEAL proporciona una interfaz API de autenticacin externa que puede utilizarse para desarrollar servicios de autenticacin externos. Estos servicios se conocen como CDAS (servicio de autenticacin entre dominios). Puede utilizar la API de autenticacin externa de WebSEAL para desarrollar su propio servicio de autenticacin externo. Este servicio puede utilizarse cuando es necesario obtener informacin sobre autenticacin del usuario que va ms all de la informacin de titularidad. El uso del servicio CDAS de atributos ampliados de credencial es aconsejable cuando una aplicacin necesita acceder a informacin disponible solamente en el momento de la autenticacin, o cuando la aplicacin necesita correlacionar un ID de usuario utilizado durante la autenticacin con el ID de usuario de Tivoli Access Manager. Para obtener ms informacin, consulte la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference.
Configuracin del servicio de titularidad de atributos de registro

Siga las instrucciones de los apartados siguientes: v Paso 1: Determine los atributos que deben agregarse a la credencial v Paso 2: Defina el uso del servicio de titularidad v Paso 3: Especifique los atributos que deben agregarse a la credencial en la pgina 240
Paso 1: Determine los atributos que deben agregarse a la credencial

Cada atributo de usuario que desee agregar a la credencial del usuario debe estar definido en el archivo de configuracin de Tivoli Access Manager. Generalmente, esto se lleva a cabo en el archivo de configuracin de WebSEAL. Vaya al registro de usuarios de Tivoli Access Manager (por ejemplo, un registro de usuarios LDAP). Cree una lista de los nombres de cada entrada de registro de usuarios que desea que el servicio de titularidad de atributos de credencial extraiga del registro y coloque en la credencial de usuario. Tambin necesitar el DN del usuario y el DN de grupo.
Paso 2: Defina el uso del servicio de titularidad

1. Abra el archivo de configuracin de WebSEAL para modificarlo. Declare un ID de servicio y un nombre de biblioteca para el servicio de titularidad de atributos de registro. El ID de servicio es una cadena arbitraria que se puede seleccionar. Por ejemplo, TAM_CRED_ATTRS_SVC.
[aznapi-entitlement-services] TAM_CRED_ATTRS_SVC = azn_ent_cred_attrs
Tenga en cuenta que WebSEAL toma automticamente el valor azn_ent_cred_attrs y busca la biblioteca compartida correspondiente. Por ejemplo, en Solaris, libazn_ent_cred_attrs.so
239
2. Agregue una entrada de definicin del servicio de la API de autorizacin para especificar el uso del servicio de titularidad. Agregue la entrada en la stanza [aznapi-configuration]. La entrada debe utilizar la palabra clave cred-attribute-entitlementservices. El valor de esta entrada debe ser el ID de servicio que ha seleccionado con anterioridad, como por ejemplo TAM_CRED_ATTRS_SVC. Por ejemplo:
[aznapi-configuration] cred-attribute-entitlement-services = TAM_CRED_ATTRS_SVC
Nota: Para obtener ms informacin sobre la configuracin de los servicios de titularidad de atributos de credencial, consulte la publicacin IBM Tivoli Access Manager for e-business Authorization C API Developer Reference y revise el archivo de configuracin de ejemplo, aznapi.conf. Este archivo de configuracin se incluye en el kit de desarrollo de aplicaciones de autorizacin de Tivoli Access Manager (PDAuthADK).
Paso 3: Especifique los atributos que deben agregarse a la credencial

Los atributos que deben agregarse a la credencial se configuran en varias stanzas. Agregue esta informacin al archivo de configuracin de WebSEAL. Nota: Como alternativa, puede definir los atributos en un archivo distinto que el servicio de titularidad deber llamar. Para obtener ms informacin, consulte la publicacin IBM Tivoli Access Manager for e-business Authorization C API Developer Reference. Revise la entrada de ejemplo siguiente.
[TAM_CRED_ATTRS_SVC] eperson = azn_cred_registry_id group = cn=enterprise, o=tivoli [TAM_CRED_ATTRS_SVC:eperson] tagvalue_credattrs_lastname = sn tagvalue_credattrs_employeetype = employeetype tagvalue_credattrs_address = homepostaladdress tagvalue_credattrs_email = mail [TAM_CRED_ATTRS_SVC:group] tagvalue_credattrs_businesscategory = businesscategory
El nombre de la stanza [TAM_CRED_ATTRS_SVC] es el ID del servicio. En esta stanza se indican las fuentes de los atributos que deben recuperarse. Los nombres de las fuentes, como user y group, se utilizan para identificar la ubicacin de la fuente en el registro. Debe definirlas. Los valores para estas fuentes son identificadores de registro que se encuentran en el registro. Los valores pueden ser nombres de atributos de credencial existentes. En tal caso, el servicio encuentra y utiliza automticamente los valores respectivos. Configure los atributos de registro para cada una de las fuentes de la stanza de servicio en una stanza distinta. La sintaxis de la stanza distinta es el nombre de la biblioteca de los ID de servicio seguida por dos puntos (:) y, a continuacin, el nombre de la fuente. Esta conexin es necesaria porque en el mismo archivo puede configurarse ms de un servicio. Las entradas del archivo de configuracin contienen correlaciones de los atributos de usuario con atributos de credencial definidos por el usuario.
240
Por ejemplo, en un registro de usuarios LDAP, el DN para un usuario podra ser el siguiente:
cn=joeuser, o=tivoli
Para este usuario, las entradas de registro de usuarios LDAP podran ser las siguientes:
sn=Smith employeetype=bankteller homepostaladdress="3004 Mission St Santa Cruz CA 95060" email=joeuser@bigco.com
Para el grupo cn=enterprise,o=tivoli, la entrada de registro de grupo LDAP podra la siguiente:

businesscategory=finance
Utilizando las entradas de configuracin de ejemplo mostradas, la lista de atributos devuelta tendra estas entradas:
Nombre del atributo credattrs_lastname credattrs_employeetype credattrs_address credattrs_email credattrs_businesscategory Valor del atributo Smith bankteller 3004 Mission St Santa Cruz CA 95060 joeuser@bigco.com finance
Observe que el servicio, la fuente y los atributos pueden tener varios valores. Si especifica el mismo nombre de atributo en una palabra clave de una entrada de stanza, los atributos que se recuperen se agregarn como un atributo de varios valores aun cuando provengan de distintas fuentes. Por ejemplo, es posible encadenar ms de un servicio de titularidad. Esto permite utilizar los valores recuperados de un servicio como valores de entrada para otro servicio. Del mismo modo, es posible recuperar atributos de ms de un DN del registro de usuarios. Por consiguiente, si utilizamos el mismo ejemplo anterior, podra agregar valores de varios usuarios (DN) a un atributo credattrs_businesscategory si quisiera obtener una lista de todas las entradas businesscategory para un grupo de usuarios. Por ejemplo, si desea crear un atributo denominado myemployeeinfo para agregarlo a la credencial, y desea que este atributo contenga los apellidos y el tipo de empleado de todos los usuarios que autentica, podra definir lo siguiente:
[myID] source = azn_cred_authzn_id [myID:source] myemployeeinfo = lastname myemployeeinfo = employeetype
Gestin de uniones de atributos de credencial ampliados

La informacin de credencial definida por el usuario que se ha creado en el apartado anterior se puede colocar en una cabecera HTTP de la solicitud que se enva a travs de una unin a un servidor de fondo.
241
Debe configurar la unin para extraer los datos de atributos ampliados de la credencial e insertarlos en la cabecera HTTP de la solicitud. Esta funcin se consigue definiendo un atributo ampliado de unin, denominado HTTP-Tag-Value, en el objeto de unin del espacio de objetos protegidos de WebSEAL. Utilice el comando pdadmin object modify set attribute para definir atributos ampliados en un objeto de unin del espacio de objetos protegidos de WebSEAL.
pdadmin> object modify nombre_objeto set attribute nombre_atributo valor_atributo
La lnea de comandos anterior debe especificarse en una sola lnea. Un atributo ampliado (nombre_atributo) habilita la unin para realizar un tipo especfico de funcin. El atributo ampliado HTTP-Tag-Value indica a la unin que extraiga un valor determinado de una credencial de usuario y enve el valor al servidor de fondo en una cabecera HTTP. El valor del atributo ampliado HTTP-Tag-Value utiliza el formato siguiente:
nombre_atributo_ampliado_credencial = nombre_cabecera_http
La entrada nombre_atributo_ampliado_credencial es la misma que el atributo especificado en el archivo de configuracin de WebSEAL pero sin el prefijo tagvalue_. La entrada no es sensible a las maysculas y minsculas. La entrada nombre_cabecera_http especifica el nombre de la cabecera HTTP utilizada para entregar los datos a travs de la unin. Por ejemplo:
pdadmin> object modify /WebSEAL/WS1/junctionA set attribute \ HTTP-Tag-Value ldap-employee-number=employee-id
Cuando WebSEAL procesa una solicitud de usuario para un servidor de aplicaciones de fondo, busca si hay algn atributo HTTP-Tag-Value configurado en el objeto de unin. En este ejemplo, la unin configurada busca la credencial del usuario que ha efectuado la solicitud, extrae el valor del atributo ampliado de credencial tagvalue_ldap-employee-number y lo coloca en una cabecera HTTP como:
employee-id:09876
En resumen:
Valor del atributo HTTP-Tag-Value definido en el objeto de unin: Nombre y valor de atributo tal como aparecen en la credencial de usuario: Nombre y valor de la cabecera HTTP: ldap-employee-number=employee-id tagvalue_ldap-employee-number:09876
employee-id:09876
Si la aplicacin de fondo es una aplicacin CGI, la especificacin CGI establece que las cabeceras HTTP estn disponibles para los programas CGI como variables de entorno con el formato:
HTTP_nombre_cabecera_http
242
Por ejemplo:
HTTP_employee-id=09876
Se pueden pasar mltiples datos de atributos de usuario al servidor con unin en cabeceras HTTP utilizando varios comandos pdadmin object modify set attribute para especificar mltiples atributos de unin HTTP-Tag-Value (se especifica un atributo por comando).
243
Renovacin de credenciales
Este apartado contiene los temas siguientes: v Conceptos sobre la renovacin de credenciales v Configuracin de la renovacin de credenciales en la pgina 249 v Uso de la renovacin de credenciales en la pgina 250
Conceptos sobre la renovacin de credenciales

Este apartado contiene los temas siguientes: v Visin general de la renovacin de credenciales v Reglas de renovacin de credenciales en la pgina 245 v Renovacin de la informacin de la credencial almacenada en la cach en la pgina 246 v Sintaxis y uso del archivo de configuracin en la pgina 247 v Valores predeterminados para conservar y renovar en la pgina 247 v Limitaciones en la pgina 248
Visin general de la renovacin de credenciales

Cuando un usuario se autentica ante WebSEAL, el proceso de autenticacin accede al registro de usuarios de Tivoli Access Manager y crea una credencial para el usuario. La credencial contiene informacin sobre el usuario que Tivoli Access Manager necesita para decidir si debe otorgar acceso al usuario para el recurso solicitado. Un ejemplo de informacin de credencial es una lista de los grupos a los que pertenece el usuario. Durante una sesin de usuario se realizan cambios en la informacin de ste. Por ejemplo, es posible que se agregue al usuario a un grupo nuevo. Cuando esto se produce, es posible que sea necesario actualizar o renovar el contenido de la credencial del usuario para reflejar la nueva informacin. WebSEAL proporciona un mecanismo para permitir la renovacin de una credencial sin tener que solicitar al usuario que finalice la sesin y que se autentique de nuevo. El funcionamiento de la funcin de renovacin de la credencial puede controlarse. WebSEAL proporciona valores de configuracin que permiten especificar qu atributos de credencial deben renovarse (actualizarse) y qu atributos de credencial deben conservarse (mantenerse). De este modo, es posible tener un control preciso sobre la manipulacin de las credenciales de usuario durante una sesin de usuario. El uso de valores de configuracin de renovacin de la credencial puede ser importante si el proceso de autenticacin del servidor WebSEAL incluye llamadas a mecanismos que proporcionan informacin adicional o ampliada sobre un usuario. Estos mecanismos son: v Servicio de titularidad de atributos de credencial Este servicio est incorporado en Tivoli Access Manager de forma predeterminada. v Servicio de titularidad de atributos de credencial personalizado Este servicio debe escribirlo el desarrollador de aplicaciones. v Mdulo de autenticacin externo de atributos ampliados de credencial Este mdulo de autenticacin debe escribirlo el desarrollador de aplicaciones.
244
Para obtener ms informacin sobre los servicios de atributos de credencial indicados, consulte el apartado Mecanismos para agregar atributos de registro a una credencial en la pgina 238. Cuando se lleva a cabo la renovacin de la credencial, los servicios indicados se gestionan del modo siguiente: v Se ejecuta el servicio de titularidad de atributos de credencial predeterminado. v Se ejecuta el servicio de titularidad de atributos de credencial personalizado. v Los mdulos de autenticacin externos de atributos ampliados de credencial no se ejecutan. Los valores de configuracin de renovacin de la credencial permiten conservar los atributos obtenidos durante el uso inicial de un servicio de titularidad. Por ejemplo, si un atributo contena una marca de fecha y hora para el inicio de la sesin del usuario, puede ser necesario conservar esta marca de fecha y hora aun cuando la credencial se haya renovado. Los valores de configuracin de renovacin de la credencial permiten conservar los atributos obtenidos de un mdulo de autenticacin de atributos ampliados de credencial. Puesto que los mdulos de autenticacin personalizados no se ejecutan de nuevo durante la reconstruccin de la credencial, se utilizan los valores del archivo de configuracin para especificar qu atributos deben agregarse a la nueva credencial.
Reglas de renovacin de credenciales

La renovacin de una credencial implica generar una credencial nueva para la identidad del usuario y, a continuacin, comparar el contenido de la nueva credencial con el contenido de la credencial antigua que se obtuvo durante la autenticacin inicial del usuario. El contenido de las dos credenciales se combina en una credencial fusionada de acuerdo con las reglas siguientes: 1. Cuando un atributo aparece en la nueva credencial pero no en la credencial antigua, dicho atributo se agrega a la credencial fusionada. 2. Los atributos siguientes se agregan a la credencial fusionada en funcin solamente del valor que tenan en la credencial antigua. La API de autorizacin utiliza estos atributos. Estos atributos no se modifican mediante valores de la nueva credencial.
AZN_CRED_AUTHNMECH_INFO AZN_CRED_BROWSER_INFO AZN_CRED_IP_ADDRESS AZN_CRED_PRINCIPAL_NAME AZN_CRED_AUTH_METHOD AZN_CRED_USER_INFO AZN_CRED_QOP_INFO
3. Para cada atributo de la credencial antigua para el que existe un atributo correspondiente en la credencial nueva, se aplican las reglas siguientes: v Cuando el archivo de configuracin contiene una entrada coincidente, el atributo de la credencial fusionada se conserva o se renueva de acuerdo con el valor de la entrada en el archivo de configuracin. v Si el archivo de configuracin no contiene ninguna entrada que coincida, se asigna el valor de la nueva credencial al atributo de la credencial fusionada. 4. Para cada atributo de la credencial antigua para el que no existe ningn atributo correspondiente en la credencial nueva, se aplican las reglas siguientes: v Si el archivo de configuracin contiene una entrada para el atributo que especifica refresh, el atributo no se agrega a la credencial fusionada.
245
v Si el archivo de configuracin contiene una entrada para el atributo que especifica preserve, el atributo se agrega a la credencial fusionada. v Si el archivo de configuracin no contiene ninguna entrada para el atributo, el atributo no se agrega a la credencial fusionada.
Renovacin de la informacin de la credencial almacenada en la cach

Algunos registros de usuarios mantienen informacin almacenada en la cach. Los datos almacenados en la cach se mantienen durante el perodo de tiempo especificado y luego se descartan. Una vez que los datos almacenados en la cach han caducado, no se cargan de nuevo en la cach hasta la prxima vez que se accede al registro de usuarios. Por consiguiente, cuando se realizan cambios en los datos del registro de usuarios, los datos no se almacenan de forma inmediata en la cach de la memoria. Del mismo modo, cuando se utiliza un registro de usuarios LDAP replicado, las actualizaciones en los registros replicados no se realizan inmediatamente. De forma predeterminada, los datos permanecen en la cach de usuario de WebSEAL durante 30 segundos. Este perodo de tiempo empieza a transcurrir la primera vez que entran datos en la cach, como ocurre cuando el usuario se autentica por primera vez, o cuando los datos almacenados en la cach han caducado y WebSEAL establece conexin con el registro para actualizar los datos. WebSEAL establece conexin con el registro para actualizar los datos durante un evento de renovacin de credencial. La informacin almacenada en la cach es vlida durante 30 segundos una vez que se ha obtenido por primera vez del registro. Una vez transcurridos los 30 segundos, las operaciones de renovacin de la credencial van directamente al registro de usuarios. El acceso al registro del usuario tambin provoca que los datos de usuario se carguen de nuevo en la cach. En el ejemplo siguiente se muestra el algoritmo para actualizar la cach del usuario: 1. El usuario se autentica a las hora_autenticacin. 2. El usuario se agrega a un grupo a las hora_autenticacin + 120 segundos. 3. La credencial del usuario se renueva a las hora_autenticacin + 130 segundos. Puesto que los datos de la cach del usuario han caducado a las hora_autenticacin + 30 segundos, se agrega una nueva pertenencia a grupo a la credencial del usuario. Continuando con el mismo ejemplo: 1. El usuario se agrega a otro grupo a las hora_autenticacin + 135 segundos. 2. La credencial del usuario se renueva a las hora_autenticacin + 140 segundos. Cuando se renueva la credencial del usuario a las hora_autenticacin + 140 segundos, no obtiene la nueva pertenencia a grupo. Esto es as porque la credencial de usuario se crea a partir de los datos del usuario almacenados en la cach cuando se considera que dichos datos son vlidos (no han caducado). Puesto que los datos almacenados en la cach se han actualizado a las hora_autenticacin + 130 segundos, no se planifica que se actualicen hasta las hora_autenticacin + 160 segundos. Por consiguiente, el administrador debe esperar hasta las hora_autenticacin + 160 segundos para ejecutar el comando de renovacin. En ese momento, la credencial del usuario obtendr las nuevas pertenencias a grupo.
246
Sintaxis y uso del archivo de configuracin

El comportamiento de renovacin de la credencial se controla mediante las entradas de la stanza [credential-refresh-attributes] del archivo de configuracin de WebSEAL. El formato es el siguiente:
patrn_nombre_atributo = {preserve|refresh}
El patrn del nombre del atributo se utiliza para seleccionar un conjunto determinado de atributos. Tambin puede utilizarse la coincidencia con caracteres comodn. Es posible que un atributo determinado coincida con varios patrones comodn distintos. Por consiguiente, el orden de los elementos del archivo de configuracin es importante. El primer patrn que coincida con un atributo determinado es el nico patrn que se aplica a dicho atributo. Los nombres de atributo del patrn_nombre_atributo no deberan ser sensibles a maysculas y minsculas, ya que los nombres de atributo de las credenciales no lo son. Ejemplo: Mantener todos los atributos de valor de indicador agregados por un CDAS de atributos ampliados:
[credential-refresh-attributes] tagvalue_* = preserve
Ejemplo: Actualizar el atributo tagvalue_last_refresh_time con el valor de la nueva credencial, pero mantener todos los dems atributos que empiezan por tagvalue_:
[credential-refresh-attributes] tagvalue_last_refresh_time = refresh tagvalue_* = preserve
Tenga en cuenta que el orden de los atributos del archivo es importante. En el ejemplo siguiente, tagvalue_last_refresh_time no se renovar porque la primera coincidencia que se encuentra es la entrada tagvalue_*, que est establecida en preserve (conservar):
[credential-refresh-attributes] tagvalue_* = preserve tagvalue_last_refresh_time = refresh
Evite conservar los atributos que empiezan por las letras AZN_. Por lo general, la API de autorizacin utiliza dichos atributos internamente al tomar decisiones sobre la autorizacin. Estos atributos se describen con ms detalle en la publicacin IBM Tivoli Access Manager for e-business Authorization C API Developer Reference. En dicha publicacin, consulte el apartado dedicado a la obtencin de listas de atributos de credenciales.
Valores predeterminados para conservar y renovar

Los valores predeterminados del archivo de configuracin de WebSEAL son los siguientes:
[credential-refresh-attributes] authentication_level = preserve tagvalue_* = preserve
Estos valores dan lugar al comportamiento siguiente:
247
v El nivel de autenticacin del usuario se conserva cuando se renuevan las credenciales. Durante una sesin de usuario, el nivel de autenticacin del usuario puede cambiarse cuando se aplica la poltica de intensidad de la autenticacin (autenticacin incremental). En la mayora de los casos, es aconsejable conservar el nivel de autenticacin modificado durante una renovacin de credencial. Si no desea conservar el nivel de autenticacin, cambie la entrada del archivo de configuracin:
authentication_level = refresh
v La entrada tagvalue_* conserva todos los atributos de credencial cuyo nombre empieza por los caracteres tagvalue_. Los atributos que tienen el prefijo tagvalue_ generalmente los proporcionan los servicios de autenticacin externos (CDAS) que desean agregar informacin del usuario a la credencial. El prefijo es necesario para garantizar que se incluyen las credenciales cuando WebSEAL inserta datos de credencial en una cabecera HTTP para enviarlos a travs de una unin.
Limitaciones
v No es posible llamar a los CDAS de atributos ampliados durante la renovacin de una credencial. Si tiene un atributo que debe poder renovarse durante la renovacin de una credencial, utilice el servicio de titularidad de atributos de credencial para establecer el atributo, o utilice una regla de renovacin de credencial para conservar el atributo. v No es posible evitar la llamada al servicio de titularidad de atributos de credencial durante la renovacin de una credencial. Si tiene un atributo que debera establecerse slo una vez, durante la autenticacin inicial, utilice un CDAS de atributos ampliados para establecer el atributo.
248
Configuracin de la renovacin de credenciales

Para configurar la renovacin de credenciales, siga estos pasos: v Paso 1: Especifique los atributos que deben conservarse o renovarse v Paso 2: Habilite los ID de sesin de usuario v Paso 3: Habilite la ubicacin del nombre del servidor en una cabecera de unin
Paso 1: Especifique los atributos que deben conservarse o renovarse

1. Detenga el servidor WebSEAL. 2. Edite el archivo de configuracin de WebSEAL. v Agregue entradas para los atributos que deben conservarse. Por ejemplo:
[credential-refresh-attributes] my_cred_attribute1 = preserve my_cred_attribute2 = preserve
v Agregue entradas para los atributos que deben renovarse:

[credential-refresh-attributes] my_cred_attribute3 = refresh my_cred_attribute4 = refresh
v Si es apropiado, utilice el orden de las entradas para gestionar entradas especficas y grupos de entradas. Por ejemplo, para conservar el atributo special_cred_attr1 y renovar todos los dems atributos que presentan la construccin de denominacin special_cred_attr*, agregue las entradas siguientes:
[credential-refresh-attributes] special_cred_attr1 = preserve special_cred_attr* = refresh
Paso 2: Habilite los ID de sesin de usuario

Asegrese de que los ID de sesin de usuario estn habilitados para la instancia de servidor WebSEAL. El comando de administracin de renovaciones de credencial no funciona si los ID de sesin de usuario no estn habilitados.
[session] user-session-ids = yes
Paso 3: Habilite la ubicacin del nombre del servidor en una cabecera de unin
Se pasa una cabecera con el nombre del servidor de administracin de la API de autorizacin con codificacin URI a todos los servidores de unin. Si no se especifica ningn nombre de cabecera, la cabecera no se enviar a la unin. El valor se establece en el archivo de configuracin predeterminado de WebSEAL.
[header-names] server-name = iv_server_name
Este valor controla el nombre de la cabecera que se utiliza para pasar el nombre del servidor a las aplicaciones con unin. Por ejemplo, si server-name = iv_server_name, y la instancia de servidor WebSEAL es default-websealddiamond.subnet1.ibm.com, WebSEAL pasa la cabecera siguiente a la unin:
iv-server-name:default-webseald-diamond.subnet1.ibm.com
Generalmente, se utiliza el valor predeterminado iv_server_name. No obstante, puede reemplazarlo por cualquier cadena vlida. Las cadenas vlidas estn limitadas a estos caracteres: [A-Z], [a-z], [09], guin (-) o carcter de subrayado (_).
249
WebSEAL acepta un valor en blanco para server-name. Generalmente, esto no es muy til, pero puede utilizarse si la aplicacin con unin opta por tener el nombre del servidor codificado en lugar de obtenerlo de la cabecera. 1. Asegrese de que la clave server-name est establecida en el archivo de configuracin para la instancia de servidor WebSEAL. 2. Reinicie el servidor WebSEAL.
Uso de la renovacin de credenciales

ndice de temas: v Renovacin de credenciales para un usuario determinado v Resolucin de problemas en la pgina 251
Renovacin de credenciales para un usuario determinado

Enve un comando al servidor WebSEAL, indicndole que realice una operacin de renovacin de credenciales para todas las sesiones del usuario especificado en el servidor WebSEAL. La sintaxis es la siguiente:
pdadmin> server task nombre_instancia-webseald-nombre_host \ refresh all_sessions nombre_usuario
Especifique este comando en una sola lnea de comandos. Para obtener el nombre del servidor con el formato correcto, utilice el comando pdadmin server list. A continuacin, escriba el comando pdadmin para renovar todas las sesiones. Por ejemplo, si est conectado a pdadmin como el usuario administrador sec_master:
pdadmin sec_master> server list default-webseald-diamond.subnet1.ibm.com default-webseald-cmd pdadmin sec_master> server task default-webseald-diamond.subnet1.ibm.com \ refresh all_sessions brian DPWWA2043I The users credential was updated.
Cada comando de la tarea de servidor pdadmin debe escribirse en una nica lnea de comandos. Si el usuario no ha iniciado una sesin en el servidor WebSEAL, se devuelve un mensaje de aviso. Notas de uso: v Configure la renovacin de credenciales para WebSEAL antes de utilizar este comando pdadmin. Consulte el apartado Configuracin de la renovacin de credenciales en la pgina 249. v Debe emitir un comando pdadmin distinto para cada usuario cuyas credenciales deban renovarse. No es posible renovar las credenciales de ms de un usuario a la vez. v El usuario que invoque este comando debe tener el permiso de administrador del servidor (bit s de ACL) en el objeto de servidor /WebSEAL/nombre_instancia_nombre_host. De este modo evitar que usuarios no autorizados realicen operaciones de renovacin de credenciales. Tenga en cuenta que el objeto de servidor nombre_instancia_nombre_host es distinto del nombre del servidor. Para determinar el nombre exacto del objeto de servidor, utilice pdadmin object list. Por ejemplo, si ha iniciado una sesin en pdadmin como el usuario administrador sec_master:
250
pdadmin sec_master> object list /WebSEAL /WebSEAL/cmd-default /WebSEAL/diamond.subnet1.ibm.com-default
v Problema: cuando se agrega una nueva entrada de grupo a la informacin del usuario en un registro de usuarios, el comando de renovacin de credenciales no obtiene la nueva entrada. Solucin: algunos registros de usuario mantienen la informacin almacenada en la cach. La cach se actualiza de forma peridica. La actualizacin de la cach debe tener lugar antes de renovar la credencial. Del mismo modo, cuando se utiliza un registro de usuarios LDAP replicado, las actualizaciones en los registros replicados no se realizan inmediatamente. Espere 30 segundos e intente renovar la credencial de nuevo. Para obtener ms informacin, consulte el apartado Renovacin de la informacin de la credencial almacenada en la cach en la pgina 246.
251
252
Captulo 8. Gestin de claves de WebSEAL

Este captulo contiene informacin que describe las tareas que puede llevar a cabo para gestionar el modo en que el servidor WebSEAL maneja los certificados. ndice de temas: v Visin general de la gestin de claves de WebSEAL en la pgina 253 v Gestin de certificados de cliente y servidor en la pgina 254
Visin general de la gestin de claves de WebSEAL

En el diagrama siguiente se resume la configuracin de gestin de claves necesaria para establecer comunicacin SSL entre WebSEAL y otros componentes del dominio Tivoli Access Manager. Las stanzas y los parmetros de configuracin se encuentran en el archivo de configuracin de WebSEAL. La utilidad GSKit iKeyman se utiliza para crear archivos de bases de datos de claves y para gestionar los certificados digitales almacenados en dichos archivos de bases de datos de claves.
Figura 7. Parmetros de gestin del archivo de claves
253
Gestin de certificados de cliente y servidor

Este apartado describe las tareas de administracin y configuracin necesarias para configurar WebSEAL de forma que manipule certificados de cliente y servidor utilizados para la autenticacin a travs de SSL. WebSEAL requiere certificados para las siguientes situaciones: v WebSEAL se identifica ante los clientes SSL con su certificado de servidor v WebSEAL se identifica ante un servidor de fondo con unin (configurado para la autenticacin mutua) con un certificado de cliente v WebSEAL consulta su base de datos de certificados raz de CA (entidad emisora de certificados) para validar los clientes que acceden con los certificados de cliente v WebSEAL consulta su base de datos de certificados raz de CA (entidad emisora de certificados) para validar los servidores de fondo con unin WebSEAL utiliza la implementacin de SSL de IBM Global Security Kit (GSKit) para configurar y administrar los certificados digitales. GSKit proporciona la utilidad iKeyman para configurar y gestionar la base de datos de claves de certificados que contiene uno o ms certificados de servidor/cliente de WebSEAL y los certificados raz de CA. WebSEAL incluye los siguientes componentes en la instalacin para dar soporte a la autenticacin SSL utilizando certificados digitales: v Una base de datos de claves predeterminada (pdsrv.kdb) v Un archivo stash de la base de datos de claves predeterminada (pdsrv.sth) y la contrasea (pdsrv) v Varios certificados raz de CA comunes v Un certificado autofirmado de prueba que WebSEAL puede utilizar para identificarse en clientes SSL. Es recomendable que solicite un certificado reconocido habitualmente de una entidad emisora de certificados conocida para sustituir este certificado de prueba. La configuracin para la gestin de certificados de WebSEAL incluye: v Configuracin de los parmetros de la base de datos de claves de WebSEAL en la pgina 255 v Utilizacin de la utilidad de gestin de certificados iKeyman en la pgina 257 v Configuracin de la comprobacin de CRL en la pgina 257
Tipos de archivo de base de datos de claves de GSKit

La herramienta Gestin de claves de IBM (iKeyman) utiliza varios tipos de archivos que se resumen en la siguiente tabla. Una base de datos de claves CMS est formada por un archivo con la extensin .kdb y posiblemente otros dos o ms archivos. El archivo .kdb se crea cuando se crea una nueva base de datos de claves. Un registro de claves en un archivo .kdb puede ser un certificado o un certificado con informacin de clave privada cifrada. Los archivos .rdb y .crl se crean cuando se crea una nueva solicitud de certificados. El archivo .rdb es necesario durante todo el proceso de la solicitud de certificados de CA.
254
Tipo de archivo .kdb
Descripcin Archivo de bases de datos de claves. Almacena certificados personales, solicitudes de certificados personales y certificados de firmante. Por ejemplo, el archivo de bases de datos de claves predeterminado de WebSEAL es pdsrv.kdb. Archivo stash. Almacena una versin enmascarada de la contrasea de la base de datos de claves. El nombre del que se deriva este archivo es el mismo que el del archivo .kdb asociado. Tambin almacena claves privadas, si existen. Archivo de bases de datos de solicitudes. Se crea automticamente cuando se crea un archivo de bases de datos de claves .kdb. El nombre del que se deriva este archivo es el mismo que el del archivo .kdb asociado. Este archivo contiene solicitudes de certificado que son especiales y no se han recibido todava de la CA. Cuando se devuelve un certificado de la CA, se busca la solicitud de certificados correspondiente en el archivo .rdb (segn la clave pblica). Si se encuentra una coincidencia, el certificado se recibe y la solicitud de certificados correspondiente se elimina del archivo .rdb. Si no se encuentra, se rechaza el intento de recibir el certificado. En la solicitud de certificado se incluyen el nombre comn, la organizacin, la direccin postal y otra informacin especificada en el momento de la solicitud, as como la clave pblica y la clave privada asociadas con la solicitud. Archivo de lista de revocacin de certificados. Este archivo contiene normalmente la lista de certificados que se han revocado por alguna razn. No obstante, iKeyman no da soporte a las listas de revocacin de certificados, por lo que est vaco. Archivo binario en cdigo ASCII. Un archivo .arm contiene una representacin ASCII codificada en base 64 de un certificado, incluida la clave pblica, pero no la privada. Los datos originales binarios del certificado se transforman en una representacin ASCII. Cuando un usuario recibe un certificado en un archivo .arm, iKeyman descodifica la representacin ASCII y coloca la representacin binaria en el archivo .kdb correspondiente. De la misma forma, cuando un usuario extrae un certificado de un archivo .kdb, iKeyman convierte los datos de binario a ASCII, y los coloca en un archivo .arm. Nota: Se puede utilizar cualquier extensin de archivo (distinta de .arm), siempre que el archivo est codificado en Base64. Archivo de Reglas de codificacin distinguida. Un archivo .der contiene una representacin binaria de un certificado, incluida la clave pblica, pero no la privada. Es muy parecido al archivo .arm, excepto que la representacin es binaria, no ASCII. Archivo PKCS 12, donde PKCS hace referencia a los Estndares criptogrficos de clave pblica. Un archivo .p12 contiene una representacin binaria de un certificado, incluidas tanto la clave pblica como la privada. Un archivo .p12 tambin puede contener ms de un certificado; por ejemplo, una cadena de certificados. Como el archivo .p12 contiene una clave privada, su contrasea est protegida.
.sth
.rdb
.crl
.arm
.der
.p12
Configuracin de los parmetros de la base de datos de claves de WebSEAL

Archivo de base de datos de claves de WebSEAL Durante la instalacin, WebSEAL proporciona una base de datos de claves de certificados predeterminada. El parmetro webseal-cert-keyfile, ubicado en la stanza [ssl] del archivo de configuracin webseald.conf, identifica el nombre y la ubicacin de este archivo:
[ssl] webseal-cert-keyfile = /var/pdweb/www/certs/pdsrv.kdb
Puede usar la utilidad iKeyman para crear una nueva base de datos de claves. Sin embargo, debe especificar el nombre y la ubicacin de este nuevo archivo de claves en el parmetro webseal-cert-keyfile para que WebSEAL pueda encontrar y utilizar los certificados que contiene la base de datos.
255
Contrasea del archivo de base de datos de claves: Durante la instalacin, WebSEAL tambin proporciona un archivo stash predeterminado que contiene la contrasea para el archivo de claves pdsrv.kdb. El parmetro webseal-cert-keyfile-stash indica a WebSEAL la ubicacin del archivo stash:
webseal-cert-keyfile-stash = /var/pdweb/www/certs/pdsrv.sth
La contrasea predeterminada cifrada en este archivo stash es pdsrv. Tambin puede expresar una contrasea como texto sin formato en el parmetro webseal-cert-keyfile-pwd. Por ejemplo:
webseal-cert-keyfile-pwd = pdsrv
Durante la instalacin, WebSEAL utiliza el archivo stash para obtener la contrasea de archivo de claves. El parmetro webseal-cert-keyfile-pwd est comentado. Si utiliza el archivo stash, podr evitar que la contrasea aparezca como texto en el archivo de configuracin webseald.conf. Nota: Elimine el comentario del parmetro de contrasea especfico que desee utilizar. Si ha especificado la contrasea y el archivo stash, se utilizar el valor de la contrasea. Certificado de prueba de WebSEAL: Durante la instalacin, WebSEAL proporciona un certificado autofirmado de prueba que no es seguro. El certificado de prueba, que funciona como certificado de servidor, permite a WebSEAL identificarse ante los clientes SSL. Para controlar mejor la utilizacin de este certificado de prueba, el certificado no se instala como certificado predeterminado. En su lugar, el parmetro webseal-cert-keyfile-label designa al certificado como certificado de servidor activo, prevaleciendo sobre cualquier otro certificado designado como predeterminado en la base de datos del archivo de claves.
webseal-cert-keyfile-label = WebSEAL-Test-Only
Nota: WebSEAL utiliza las funciones de manejo de certificados de GSKit. GSKit permite, pero no requiere, designar un certificado de las bases de datos de archivos de clave como el certificado predeterminado. Para obtener ms informacin sobre el manejo de certificados, consulte el documento de GSKit: Secure Socket Layer and iKeyman Users Guide. Aunque este certificado de prueba permite a WebSEAL responder a una solicitud de navegador habilitado para SSL, el navegador (que no contiene ningn certificado raz de CA apropiado) no lo puede verificar. Debido a que la clave privada para este certificado predeterminado est incluida en cada distribucin de WebSEAL, este certificado no ofrece ninguna comunicacin verdaderamente segura. Debe usar la utilidad iKeyman para generar una solicitud de certificados que se pueda enviar a una entidad emisora de certificados (CA). Utilice iKeyman para instalar y etiquetar el certificado de servidor devuelto. Si utiliza certificados diferentes para otras situaciones (por ejemplo, para uniones K), puede usar la utilidad iKeyman para crear, instalar y etiquetar estos certificados. La etiqueta del archivo de claves no debe contener espacios.
256
WebSEAL (que se ejecuta de forma predeterminada como user ivmgr) debe disponer de permiso read (r) en esos archivos de base de datos de claves. Comunicacin SSL entre servidores para Tivoli Access Manager: La stanza [ssl] del archivo de configuracin webseald.conf contiene cuatro parmetros adicionales utilizados para configurar el archivo de claves que utiliza WebSEAL para la comunicacin SSL interna con otros servidores de Tivoli Access Manager. Slo debe modificar estos parmetros a travs del script de configuracin pdconfig.
[ssl] ssl-keyfile = ssl-keyfile-pwd = ssl-keyfile-stash = ssl-keyfile-label =
Utilizacin de la utilidad de gestin de certificados iKeyman

La utilidad iKeyman es una herramienta proporcionada con GSKit que le permite gestionar certificados digitales utilizados por WebSEAL. Puede utilizar iKeyman para: v Crear una o ms bases de datos de claves v Cambiar las contraseas de las bases de datos de claves v Crear nuevos certificados de WebSEAL v Establecer un nuevo certificado de WebSEAL predeterminado v Crear un certificado autofirmado para pruebas v Solicitar y recibir certificados raz de CA v Agregar certificados y eliminarlos de la base de datos v Copiar certificados de una base de datos a otra Consulte la publicacin Secure Sockets Layer Introduction and iKeyman Users Guide para obtener informacin detallada sobre cmo usar la utilidad iKeyman.
Configuracin de la comprobacin de CRL

La lista CRL (lista de revocacin de certificados) es un mtodo para evitar la validacin de certificados no deseados. CRL contiene la identidad de certificados que se considera que no son fiables. La implementacin de SSL de GSKit que utiliza WebSEAL da soporte a la comprobacin de CRL. GSKit permite a WebSEAL realizar la comprobacin de CRL en certificados de cliente y certificados de uniones de SSL. WebSEAL debe conocer la ubicacin de esta lista para realizar la comprobacin de CRL. Los parmetros para la ubicacin del servidor LDAP a los que se puede hacer referencia durante la autenticacin de certificado de cliente para la comprobacin de CRL, se encuentran en la stanza [ssl] del archivo de configuracin webseald.conf:
[ssl] #crl-ldap-server = <nombre-servidor> #crl-ldap-server-port = <id-puerto> #crl-ldap-user = <nombre-admin-webseal> #crl-ldap-user-password = <contrasea-admin>
257
Los parmetros para la ubicacin del servidor LDAP a los que se puede hacer referencia durante la autenticacin a travs de uniones SSL de la comprobacin CRL se encuentran en la stanza [junction] del archivo de configuracin webseald.conf:
[junction] #crl-ldap-server = <nombre-servidor> #crl-ldap-server-port = <id-puerto> #crl-ldap-user = <nombre-admin-webseal> #crl-ldap-user-password = <contrasea-admin>
La comprobacin de CRL est inhabilitada de forma predeterminada (los parmetros estn comentados). Para habilitar la comprobacin de CRL durante la autenticacin de certificado, elimine el comentario de cada uno de los parmetros y especifique los valores apropiados. Un valor vaco para crl-ldap-user indica que el mecanismo de autenticacin de SSL debe enlazarse al servidor LDAP como usuario annimo.
Configuracin de la cach de CRL

GSKit permite a WebSEAL realizar la comprobacin de CRL en certificados de cliente y certificados de uniones de SSL. Para mejorar el rendimiento de la comprobacin CRL, puede almacenar CRL en la cach desde una entidad emisora de certificados (CA) determinada. Posteriormente se realizan comprobaciones CRL en esta versin en cach de la lista. Los valores de los dos parmetros del archivo de configuracin webseald.conf descritos en este apartado se pasan directamente a la utilidad GSKit. Para obtener ms informacin sobre la funcionalidad de GSKit, consulte la documentacin relativa a GSKit.
Definicin del nmero mximo de entradas de cach

El parmetro gsk-crl-cache-size especifica el nmero mximo de entradas en la cach CRL de GSKit. Cada entrada representa un CRL entero para una entidad emisora de certificados (CA) determinada. El valor predeterminado es 0. Se necesita un valor mayor que 0 para activar la cach. Cuando gsk-crl-cache-size y gsk-crl-cache-entry-lifetime se establecen en 0 (valor predeterminado), se inhabilita el almacenamiento en cach CRL.
[ssl] gsk-crl-cache-size = 0
Definicin del valor de tiempo de espera de duracin de la cach de GSKit

El parmetro gsk-crl-cache-entry-lifetime especifica el valor de tiempo de espera de duracin para todas las entradas de la cach CRL de GSKit. El valor se expresa en segundos y puede tener un rango de 0 a 86400 segundos. Cuando gsk-crl-cache-size y gsk-crl-cache-entry-lifetime se establecen en 0 (valor predeterminado), se inhabilita el almacenamiento en cach CRL.
[ssl] gsk-crl-cache-size = 0
258
Captulo 9. Soluciones de inicio de sesin nico de cliente

Cuando WebSEAL se implementa como servidor proxy para proporcionar proteccin a un dominio seguro, a menudo existe la necesidad de proporcionar soluciones para el inicio de sesin nico a recursos a travs de servidores y dominios nicos. ndice de temas: v Inicio de sesin nico del escritorio de Windows en la pgina 260 v Inicio de sesin nico entre dominios (CDSSO) en la pgina 272 v Inicio de sesin nico de e-community en la pgina 283
259
Inicio de sesin nico del escritorio de Windows

Este apartado contiene los temas siguientes: v Conceptos de inicio de sesin nico del escritorio de Windows v Configuracin del inicio de sesin nico del escritorio de Windows en la pgina 263
Conceptos de inicio de sesin nico del escritorio de Windows

En este apartado se tratan los temas siguientes: v Protocolo SPNEGO y autenticacin Kerberos v Registro de usuarios y soporte para plataformas en la pgina 261 v Compatibilidad con otros mtodos de autenticacin en la pgina 262 v Limitaciones en la pgina 262
Protocolo SPNEGO y autenticacin Kerberos

Microsoft proporciona una solucin de autenticacin que permite a los clientes Windows utilizar Microsoft Internet Explorer (IE) para acceder a recursos de Microsoft Internet Information Servers (IIS) sin necesidad de autenticarse de nuevo. La solucin de inicio de sesin nico se basa en mecanismos de autenticacin HTTP de Microsoft de propiedad. IBM Tivoli Access Manager WebSEAL proporciona una solucin de autenticacin equivalente que permite a los clientes IE acceder a servidores WebSEAL sin necesidad de autenticarse de nuevo. Esto significa que los usuarios que tienen un navegador IE pueden acceder a recursos protegidos por Tivoli Access Manager sin necesidad de volver a especificar su nombre de usuario y contrasea. El usuario slo debe iniciar la sesin una vez en el dominio Windows, como hace habitualmente cuando inicia una sesin en una estacin de trabajo de un equipo de sobremesa Windows. WebSEAL proporciona una implementacin del mismo mtodo de autenticacin HTTP que utiliza Microsoft. Esta implementacin implica dos elementos: v SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) v Autenticacin Kerberos El mecanismo del protocolo SPNEGO permite a WebSEAL negociar con el navegador para establecer el mecanismo de autenticacin que debe utilizarse. El navegador suministra informacin de autenticacin Kerberos. WebSEAL sabe cmo utilizar la informacin de autenticacin Kerberos del usuario cuando procesa una solicitud de usuario para acceder a recursos protegidos por Tivoli Access Manager. En WebSEAL, esta implementacin se denomina inicio de sesin nico del escritorio de Windows. Para poder desplegar esta solucin de inicio de sesin nico, es necesario habilitar y configurar el protocolo SPNEGO en el servidor WebSEAL. Adems, el servidor WebSEAL debe configurarse como un cliente en un dominio de Active Directory y debe tener conexin con un controlador de dominio de Active Directory. El controlador de dominio de Active Directory debe actuar como centro de distribucin de claves (KDC) Kerberos. Los servidores WebSEAL que se ejecutan en sistemas UNIX deben utilizar el controlador de dominio de Active Directory como su KDC Kerberos.
260
Los pasos de configuracin WebSEAL varan en funcin de la plataforma del sistema operativo y del tipo de registro de usuarios de Tivoli Access Manager. Nota: Para poder utilizar SPNEGO es necesario desplegar un servicio de sincronizacin de la hora en el servidor Active Director, el servidor WebSEAL y en los clientes (navegadores) que se autenticarn utilizando SPNEGO. WebSEAL e IIS gestionan las sesiones de forma distinta. IIS mantiene el estado de la sesin con los clientes volviendo a autenticar cada nueva conexin TCP mediante el protocolo SPNEGO. SPNEGO y Kerberos estn diseados para realizar una autenticacin segura a travs de redes que no son seguras. Es decir, deben proporcionar autenticacin segura aun cuando utilicen un transporte que no sea seguro, como HTTP. Este mtodo de IIS de mantener el estado de una sesin podra tener un efecto negativo en el rendimiento. WebSEAL evita este problema utilizando distintos mtodos de estado de la sesin. Los mtodos de estado de la sesin de WebSEAL se basan en un modelo de seguridad que espera que el despliegue de WebSEAL se realice a travs de una red segura o mediante un transporte seguro, como SSL. WebSEAL optimiza el rendimiento manteniendo el estado mediante los ID de sesin SSL o las cookies HTTP. WebSEAL tambin proporciona un entorno seguro y escalable ya que da soporte a uniones entre WebSEAL y servidores de fondo. Por consiguiente, las soluciones de inicio de sesin nico que utilicen SPNEGO para WebSEAL slo deberan desplegarse a travs de una red segura o de un transporte seguro, como SSL.
Registro de usuarios y soporte para plataformas

El soporte para SPNEGO de WebSEAL proporciona un inicio de sesin nico de Internet Explorer que se ejecute en estaciones de trabajo Windows configuradas en un dominio de Active Directory para WebSEAL. WebSEAL proporciona soporte para SPNEGO para utilizarlo con los registros de usuario siguientes: v IBM Directory Services (LDAP) v SunOne LDAP v Microsoft Active Directory Estos registros de usuario tambin se soportan en los releases de sistema operativo siguientes: v IBM AIX 5.1 y 5.2 v Windows 2000 Advanced Server v Windows 2000 Server v Sun Solaris Operating Environment 8 y 9 Cuando Active Directory no es el registro de usuarios de Tivoli Access Manager, los usuarios deben replicarse entre el registro de Active Directory y el registro de usuarios de Access Manager. Las plataformas de cliente Windows a las que se da soporte son: v Windows 2000 SP2 (o superior) v Windows XP v Internet Explorer 5.0.1 o posterior
261
v Internet Explorer 5.5 SP2 v Internet Explorer 6.0 SP1 (en Windows 2000) Internet Explorer debe configurarse para que participe en la solucin de inicio de sesin nico del escritorio de Windows.
Compatibilidad con otros mtodos de autenticacin

El soporte de WebSEAL para la autenticacin SPNEGO es compatible con los mtodos de autenticacin de WebSEAL que se indican a continuacin: v Autenticacin bsica v Formularios v Cabecera HTTP v Autenticacin de migracin tras error El mecanismo de cookie de migracin tras error da soporte a los usuarios autenticados mediante SPNEGO. v Inicio de sesin nico entre dominios v Autenticacin de certificado SSL v Autenticacin de cambio de usuario Se da soporte al cambio de identidad de usuario para el usuario autenticado mediante SPNEGO. Cuando SPNEGO est configurado junto con otro mtodo de autenticacin, WebSEAL enva simultneamente una tentativa SPNEGO y un inicio de sesin de formulario HTML al navegador. Los navegadores que admiten SPNEGO responden con autenticacin SPNEGO. Los navegadores que no admiten SPNEGO muestran el formulario de inicio de sesin. La compatibilidad entre la autenticacin SPNEGO y el inicio de sesin nico de e-community de WebSEAL es limitada. Un servidor WebSEAL puede ser un servidor de autenticacin maestro (MAS) de e-community y dar soporte a SPNEGO. No obstante, un servidor WebSEAL no puede ser un esclavo de e-community y tambin dar soporte a SPNEGO. Se da soporte a la poltica de intensidad de autenticacin (autenticacin incremental) de WebSEAL de autenticacin SPNEGO a otros mtodos de autenticacin. Cuando la autenticacin SPNEGO est habilitada, slo se da soporte a los mtodos de mantenimiento del estado de la sesin que se indican a continuacin: v ID de sesin SSL v Cookies HTTP La autenticacin SPNEGO es compatible con el soporte de recuperacin automtica de indicador-valor que proporciona el servicio de titularidades de Tivoli Access Manager. Por consiguiente, es posible agregar atributos ampliados a la credencial de usuario una vez que el usuario se ha autenticado con SPNEGO.
Limitaciones
A continuacin se indican las funciones de WebSEAL a las que no se da soporte con autenticacin SPNEGO: v Temporizador de sesin o POP basado en la reautenticacin de clientes autenticados mediante SPNEGO. v Cambio de contrasea mediante pkmspasswd.
262
v Correlacin de un nombre de usuario a travs de a CDAS. v Uso de un CDAS de atributos ampliados de credencial para agregar atributos ampliados a una credencial de usuario. v Los clientes SPNEGO no pueden finalizar la sesin de WebSEAL. Deben finalizar la sesin desde la estacin de trabajo. Los clientes que acceden a pginas del comando pkms de WebSEAL (con la excepcin del cambio de usuario) reciben la pgina de ayuda de PKMS. v Reautenticacin cuando el temporizador de sesin inactiva caduca para los clientes SPNEGO. La entrada de la cach de usuario se elimina, pero el ID de la sesin se mantiene. La informacin de la cabecera que se recibe del cliente SPNEGO se utiliza para la reautenticacin. El cliente no debe iniciar la sesin de nuevo pero recibe una entrada de cach de sesin nueva. v Reautenticacin cuando el usuario accede a un objeto con una poltica de reautenticacin asociada. En este caso, se deniega el acceso y el usuario recibe un mensaje que indica que es necesario autenticarse de nuevo. Tambin existe la siguiente limitacin: v No se da soporte a la autenticacin de Microsoft NT LAN Manager (NTLM). No obstante, el plug-in web de Tivoli Access Manager para IIS da soporte a NTLM. WebSEAL puede desplegarse en una solucin de inicio de sesin nico de e-community que utiliza el plug-in web para IIS para llevar a cabo la autenticacin SPNEGO utilizando NTLM. v El uso de SPNEGO simultneamente con otros mtodos de autenticacin no funciona con Netscape 4.7,
Configuracin del inicio de sesin nico del escritorio de Windows

Este apartado contiene los pasos de configuracin que deben llevarse a cabo para implementar el inicio de sesin nico del escritorio de Windows utilizando la autenticacin SPNEGO con WebSEAL. Todos los pasos no son necesarios en cada plataforma. Para configurar la autenticacin SPNEGO, siga los pasos que se indican a continuacin: v Paso 1: Configure el servidor WebSEAL en el dominio de Active Directory en la pgina 264 v Paso 2: Correlacione el principal de Kerberos con el usuario de Active Directory en la pgina 264 v Paso 3: Instale el cliente de ejecucin Kerberos (slo UNIX) en la pgina 267 v Paso 4: Configure el cliente Kerberos (slo UNIX) en la pgina 267 v Paso 5: Verifique la autenticacin del principal del servidor web (slo UNIX) en la pgina 268 v Paso 6: Verifique la autenticacin de WebSEAL utilizando el archivo keytab (slo UNIX) en la pgina 269 v Paso 7: Habilite SPNEGO para WebSEAL en la pgina 269 v Paso 8: Agregue entradas de nombre de servicio y de archivo keytab (slo UNIX) en la pgina 269 v Paso 9: Reinicie WebSEAL en la pgina 270
263
v Paso 10: Configure el cliente Internet Explorer en la pgina 270 Informacin sobre resolucin de problemas: v Sugerencias para la resolucin de problemas en la pgina 270
Paso 1: Configure el servidor WebSEAL en el dominio de Active Directory

Para participar en un intercambio Kerberos con IE, un servidor WebSEAL debe tener una identidad en el dominio Kerberos de Active Directory. Para ello, es necesario registrar WebSEAL con el controlador de dominio de Active Directory. Esto permite al navegador IE obtener un ticket Kerberos del controlador de dominio de Active Directory para acceder al servidor WebSEAL. Consulte la documentacin de Microsoft para obtener instrucciones sobre cmo agregar una identidad para el host del servidor WebSEAL en un dominio de Active Directory. Notas: v En Windows, el servidor WebSEAL default (primera instancia de servidor) utiliza la identidad Cuenta de servicio local cuando establece contacto con el controlador de dominio de Active Directory. Las instancias de servidor WebSEAL adicionales deben configurarse de modo que utilicen una cuenta de usuario distinta. La cuenta de usuario debe coincidir con un usuario de Active Directory exclusivo para la identidad del servidor WebSEAL. v En UNIX, asegrese de que el nombre de usuario coincide con el nombre de host del host del servidor WebSEAL. No utilice el nombre de dominio completo. Por ejemplo, para el sistema diamond.subnet2.ibm.com, cree un usuario diamond. No solicite que el usuario cambie la contrasea la prxima vez que inicie la sesin. No establezca que la contrasea caduque. v Asegrese de que el DNS est bien configurado para cada una de las mquinas participantes. Una forma de confirmarlo es ejecutar nslookup en ambos sentidos en cada mquina. Varias instancias de WebSEAL Cada instancia de WebSEAL debe tener una identidad Kerberos distinta. v En Windows, cree un usuario administrador de Windows para cada instancia y modifique la configuracin de los servicios de modo que la instancia se inicie bajo dicha cuenta de usuario. v En UNIX, cree un usuario de Active Directory distinto para cada instancia. Nota: Se da soporte a varias instancias de WebSEAL con SPNEGO cuando cada servidor WebSEAL tiene una direccin IP y un nombre de host exclusivos. No se da soporte a varias instancias si las instancias realizan la escucha a travs de puertos distintos pero comparten la misma direccin IP.
Paso 2: Correlacione el principal de Kerberos con el usuario de Active Directory

La solicitud del cliente IE para el controlador de dominio de Active Directory solicita acceso al principal de Kerberos de nombre:
HTTP/nombre_DNS_servidor_WebSEAL@nombre_dominio_Active_Directory
264
Este nombre debe correlacionarse con el usuario de Active Directory que representa la instancia de servidor WebSEAL, como se ha creado en el paso 1 anterior. Para llevar a cabo esta correlacin, se necesita la utilidad ktpass de Windows. Es posible que la utilidad ktpass no est cargada en el sistema Windows de forma predeterminada. Puede obtenerse del paquete de herramientas de soporte de Windows que se encuentra en el CD de Windows. Windows Los pasos de configuracin difieren entre la configuracin del primer servidor WebSEAL (default) y la configuracin de varias instancias de servidor. Utilice las instrucciones apropiadas que se indican a continuacin. Servidor WebSEAL default (primer servidor): 1. Registre el nombre del principal del servicio para el servidor WebSEAL. En el controlador de dominio de Active Directory, ejecute el comando ktpass. Por ejemplo, si el nombre de host de WebSEAL es diamond.subnet2.ibm.com y el dominio de Active Directory es IBM.COM, el comando es:
ktpass -princ HTTP/diamond.subnet2.ibm.com@IBM.COM -mapuser diamond$
Observe que el valor de la opcin -mapuser presenta el carcter de dlar ($) al final. El usuario que tiene el signo de dlar ($) representa la cuenta de servicio local. Varias instancias de servidor WebSEAL: 1. Registre el nombre del principal del servicio para el servidor WebSEAL. En el controlador de dominio de Active Directory, ejecute el comando ktpass. Por ejemplo, si el nombre de la instancia de WebSEAL es web1, el nombre de host es web1.subnet2.ibm.com y el dominio de Active Directory es IBM.COM, el comando es:
ktpass -princ HTTP/web1.subnet2.ibm.com@IBM.COM -mapuser web1
Nota: El usuario especificado mediante -mapuser debe coincidir con el usuario creado en el paso 1 anterior. La opcin -mapuser no crea una cuenta de usuario. 2. Modifique el servicio para la instancia de modo que empiece a utilizar el nuevo usuario que acaba de crear. Abra el panel de control Servicios, haga clic con el botn derecho del ratn en el servicio para un servidor WebSEAL nuevo y seleccione Propiedades. Seleccione la ficha Iniciar sesin y seleccione el botn de opcin Esta cuenta. Para el nombre de cuenta, introduzca el nombre de la cuenta que acaba de crear. Por ejemplo, web1@subnet1.ibm.com. Introduzca la contrasea para la cuenta. 3. Otorgue al administrador de la cuenta nueva privilegios para la mquina local. En la mquina cliente, seleccione:
Panel de control > Herramientas administrativas > Administracin de equipos
A continuacin, seleccione:
Usuarios locales y grupos > Grupos
Haga clic con el botn derecho del ratn en Administradores y seleccione Agregar a grupo. Pulse el botn Agregar. 4. Seleccione el men desplegable Buscar en. Busque el nombre del dominio de Active Directory. Busque el nombre del usuario que acaba de crear. Haga doble
265
clic en el nombre de usuario. Pulse Aceptar. Pulse Aceptar en cada pantalla segn sea necesario para finalizar la configuracin. UNIX Efecte los pasos siguientes: 1. En sistemas UNIX, adems de correlacionar cada usuario, debe crear un archivo keytab para utilizarlo al iniciar una sesin en el dominio Kerberos. La sintaxis es la siguiente:
ktpass -princ nombre_DNS_servidor_WebSEAL@nombre_dominio_Active_Directory \ -pass su_contrasea -mapuser instancia_servidor_WebSEAL \ -out ruta_acceso_completa_archivo_keytab -mapOp opcin
Especifique este comando en una sola lnea de comandos. Por ejemplo, dados los valores siguientes:
Valor de configuracin Sistema host de WebSEAL Identidad de usuario para la instancia de servidor WebSEAL Dominio de Active Directory Contrasea Archivo Keytab Valor diamond.subnet2.ibm.com diamond
IBM.COM mypassw0rd C:\Archivos de programa\Tivoli\PDWeb\keytabdiamond\diamond_HTTP.keytab
Mensaje de error de set supresin cuando el principal de Kerberos ya est asociado con el usuario (-map0p)
El comando ktpass sera el siguiente:

ktpass -princ HTTP/diamond.subnet2.ibm.com@IBM.COM -pass mypassw0rd -mapuser diamond -out C:\Archivos de programa\Tivoli\PDWeb\keytab-diamond\diamond_HTTP.keytab -mapOp set
Especifique este comando en una sola lnea de comandos. La identidad de usuario es el usuario de Active Directory creado en el paso anterior. La contrasea especificada aqu restablece la contrasea para el usuario de Active Directory. Es preferible utilizar una contrasea muy segura, como una contrasea creada de forma aleatoria. La ubicacin del archivo keytab es arbitraria. Conserve esta contrasea para utilizarla en un paso posterior para probar la configuracin Kerberos (al probar la autenticacin de una mquina UNIX con el Centro de distribucin de claves de Active Directory). 2. Transfiera el archivo keytab al sistema UNIX. Asegrese de que se utiliza un mtodo de transferencia seguro. La ubicacin recomendada es la siguiente:
/var/pdweb/keytab-nombre_instancia/nombre_archivo_keytab
3. Para una mayor seguridad, elimine el archivo keytab del sistema Windows.
266
4. En el sistema UNIX, asigne la propiedad del archivo a ivmgr y limite los permisos en el archivo keytab de modo que slo el propietario tenga acceso al mismo. Por ejemplo:
# chown ivmgr archivo_keytab # chgrp ivmgr archivo_keytab # chmod 600 archivo_keytab
5. Para servidores UNIX, repita los pasos anteriores para cada instancia de servidor WebSEAL.
Paso 3: Instale el cliente de ejecucin Kerberos (slo UNIX)

El sistema del servidor WebSEAL debe tener una ejecucin (runtime) de Kerberos instalada. En sistemas Windows, el cliente de ejecucin Kerberos forma parte del sistema operativo. No se necesita ningn paquete adicional. En sistemas UNIX, instale el paquete apropiado: v AIX IBM Network Authentication Service Client. Este cliente se encuentra en el paquete de ampliacin de AIX. v Solaris IBM Network Authentication Service Client. Este cliente se incluye en el CD de Tivoli Access Manager Web Security. Utilice pkgadd para instalarlo. SUN Kerberos Client SUNWkr5cl. Es necesario para IBM Network Authentication Service Client. Este paquete forma parte del paquete SEAM y puede descargarse del sitio web de Sun.
Paso 4: Configure el cliente Kerberos (slo UNIX)

Es necesario configurar el cliente Kerberos instalado en el paso anterior. Para ello, debe crear o modificar un archivo de configuracin de Kerberos. En Solaris y AIX, el archivo es el siguiente:
/etc/krb5/krb5.conf
Siga las instrucciones que correspondan a su sistema operativo: AIX Use la utilidad mkkrb5clnt.. Esta utilidad crea y completa el archivo /etc/krb5/krb5.conf. 1. Ejecute mkkrb5clnt. La sintaxis es la siguiente:
mkkrb5clnt -r dominio_Active_Directory -c DNS_del_controlador_Active_Directory -s DNS_del_controlador_Active_Directory -d dominio_DNS_local
Por ejemplo:
mkkrb5clnt -r IBM.COM -c dc1.ibm.com -s dc1.ibm.com -d dns.com
2. Edite manualmente el archivo krb5.conf para eliminar el valor criptogrfico al que Active Directory no da soporte.
[libdefaults] default_tkt_enctypes = des-cbc-md5 des-cbc-crc default_tgs_enctypes = des-cbc-md5 des-cbc-crc
Este paso elimina des3-cbc-sha1.
267
Solaris Edite manualmente el archivo krb5.conf. Personalice la siguiente informacin para su dominio: v Dominio Por ejemplo, IBM.COM v Nombre de servidor del controlador de Active Directory Por ejemplo, dc1. v Nombre de dominio Por ejemplo, ibm.com. v Nombre de DNS Por ejemplo, ibm.com. Utilizando estos valores de ejemplo, el contenido del archivo de configuracin de Kerberos incluira las entradas siguientes:
/etc/krb5/krb5.conf Listado parcial

[libdefaults] default_realm = IBM.COM default_tkt_enctypes = des-cbc-md5 des-cbc-crc default_tgs_enctypes = des-cbc-md5 des-cbc-crc [realms] IBM.COM = { kdc = dc1.ibm.com:88 admin_server = dc1.ibm.com:749 default_domain = ibm.com } [domain_realm] dc1.ibm.com = IBM.COM .ibm.com = IBM.COM
La ltima lnea del archivo de ejemplo anterior (.ibm.com = IBM.COM) representa el dominio de DNS en el que el servidor WebSEAL funciona y al que se conectan los usuarios. Observe el punto (.) que aparece delante del dominio IBM en la ltima lnea. Este punto acta como comodn para todos los hosts del dominio ibm.com.
Paso 5: Verifique la autenticacin del principal del servidor web (slo UNIX)
Utilice el programa kinit para verificar que el principal de Kerberos para el servidor WebSEAL puede autenticarse. Utilice la contrasea que ha especificado al ejecutar ktpass en el paso 2:
# /usr/krb5/bin/kinit diamond@IBM.COM Password for diamond@IBM.COM: contrasea_servidor # klist
Debera obtener datos de salida de klist que muestren las credenciales para diamond@IBM.COM. Nota: La ubicacin de la utilidad kinit puede variar en funcin de la plataforma del sistema operativo.
268
Paso 6: Verifique la autenticacin de WebSEAL utilizando el archivo keytab (slo UNIX)

Verifique que el servidor WebSEAL puede autenticarse utilizando el archivo keytab creado en el paso 2. Introduzca el comando kinit siguiente en una sola lnea de comandos:
# kinit -k -t /var/pdweb/keytab-diamond/diamond_HTTP.keytab HTTP/diamond.subnet2.ibm.com@IBM.COM # klist
Debera obtener datos de salida de klist que muestren las credenciales para HTTP/diamond.subnet2.ibm.com@IBM.COM.
Paso 7: Habilite SPNEGO para WebSEAL

Modifique el archivo de configuracin de WebSEAL para habilitar SPNEGO. Efecte los pasos siguientes: v Detenga el servidor WebSEAL. v Habilite SPNEGO a travs de SSL:
[spnego] spnego-auth = https [authentication-mechanisms] kerberosv5 = ruta_acceso_completa_biblioteca
v Especifique la ubicacin de la biblioteca de autenticacin Kerberos:

Tabla 32. Ubicacin de la biblioteca de autenticacin Kerberos Plataforma Win32 AIX Solaris Ubicacin del archivo dir_instalacin_Tivoli_Access_Manager\bin\stliauthn.dll /opt/PolicyDirector/lib/libstliauthn.a /opt/PolicyDirector/lib/libstliauthn.so
[authentication-mechanisms] kerberosv5 = ruta_acceso_completa_biblioteca
Paso 8: Agregue entradas de nombre de servicio y de archivo keytab (slo UNIX)

Modifique el archivo de configuracin de WebSEAL para agregar el nombre del servicio Kerberos y la ubicacin del archivo keytab:
[spnego] # UNIX ONLY spnego-krb-service-name = HTTP@nombre_host_completo_servidor_webseal # UNIX ONLY spnego-krb-keytab-file = ruta_acceso_completa_archivo_keytab
Por ejemplo:
[spnego] # UNIX ONLY spnego-krb-service-name = HTTP@diamond.subnet1.ibm.com # UNIX ONLY spnego-krb-keytab-file = /var/pdweb/keytab-diamond/diamond_HTTP.keytab
Si configura varias instancias de servidor WebSEAL, asegrese de especificar la informacin para la instancia. Por ejemplo, utilizando el ejemplo anterior del paso 2, para una instancia de servidor denominada web1, introduzca:
269
[spnego] # UNIX ONLY spnego-krb-service-name = HTTP@web1.subnet1.ibm.com # UNIX ONLY spnego-krb-keytab-file = /var/pdweb/keytab-web1/web1_HTTP.keytab
Paso 9: Reinicie WebSEAL

UNIX
pdweb start
Windows Utilice el panel de control Servicios. En Windows, WebSEAL debe ejecutarse como un servicio para que la autenticacin SPNEGO funcione correctamente. De lo contrario, se ejecuta utilizando la identidad del usuario que ha iniciado la sesin.
Paso 10: Configure el cliente Internet Explorer

El cliente Internet Explorer debe estar configurado para que utilice el protocolo SPNEGO para negociar mecanismos de autenticacin. Consulte la documentacin de Microsoft Internet Explorer para obtener instrucciones completas de configuracin. Notas: v El navegador IE debe reconocer el servidor WebSEAL como sitio Intranet o como sitio fiable. Si esto no est configurado, el cliente IE no enva automticamente el nombre del usuario y la contrasea al servidor. El cliente IE debera agregar el servidor WebSEAL a la lista de sitios Intranet o agregar el servidor WebSEAL a la lista No requerir un proxy para estos sitios. v Internet Explorer 6 debe estar configurado especficamente para habilitar el inicio de sesin nico. Utilice el elemento de men Opciones de Internet... y seleccione la ficha Opciones avanzadas. v El cliente Windows debe utilizar el nombre de DNS correcto para acceder al servidor WebSEAL. Si se utiliza un nombre de DNS incorrecto, IE puede intentar utilizar el protocolo NTLM (NT LAN Manager) para establecer contacto con WebSEAL. WebSEAL no da soporte a NTLM.
Sugerencias para la resolucin de problemas

Configuracin Kerberos v Problema: al probar el archivo keytab creado para un servidor UNIX utilizando kinit, obtiene un error que indica que la diferencia horaria es demasiado grande al obtener las credenciales iniciales. Solucin: debe mantener los relojes sincronizados cuando utilice Kerberos. Para que la solucin sea permanente, despliegue algn servicio de sincronizacin en las mquinas. Para una solucin temporal, ajuste los relojes de las mquinas de modo que la diferencia entre ellos sea de un minuto como mximo. v Problema: al probar el archivo keytab creado para un servidor UNIX utilizando kinit, obtiene un error que indica que la preautenticacin ha fallado al obtener las credenciales iniciales o que la contrasea no era correcta al obtener las credenciales iniciales. Solucin: la clave del archivo keytab es incorrecta. Asegrese de que ha creado el archivo keytab correctamente, con el nombre de principal, la ruta de acceso y el nombre de usuario de Active Directory correctos. v Problema: kinit deja de funcionar cuando al ejecutar kinit -k -t
270
Solucin: algunas versiones de kinit no manejan correctamente los problemas que surgen cuando no se encuentra una entrada en un archivo keytab. Compruebe que el archivo keytab tiene la misma entrada exacta que est pasando a kinit. Configuracin de WebSEAL v Cuando surge un problema, considere la posibilidad de habilitar el seguimiento para SPNEGO. Agregue una entrada al archivo de rutas. El archivo de rutas se encuentra en el directorio de instalacin, en etc/routing. Entrada de ejemplo:
bst:*.9:TEXTFILE:directorio_instalacin_WebSEAL/log/spnegotrace.log
En UNIX, el directorio predeterminado de instalacin de WebSEAL es /opt/pdweb. Sustituya la ruta de acceso para su directorio de instalacin. Detenga y reinicie WebSEAL. Busque los mensajes de error en el archivo de seguimiento. v Problema: el servidor WebSEAL no se inicia. El archivo de registro contiene un error que indica que el mtodo de autenticacin (kerberosv5) no est configurado. Solucin: habilite el mtodo de autenticacin kerberosv5 en la stanza [authentication-mechanisms] del archivo de configuracin de WebSEAL. v Problema: el servidor WebSEAL no se inicia. El mensaje de error indica que la funcin gss_import_name del servicio de seguridad ha devuelto un cdigo de error principal 131072 y un cdigo de secundario -1765328168. Solucin: el nombre de principal especificado en el archivo de configuracin no es vlido. Debera tener el formato HTTP@nombre_host donde nombre_host es el nombre de DNS completo de un equipo que est configurado en el dominio de Kerberos. v Problema: el servidor WebSEAL no se inicia. El mensaje de error indica que la funcin gss_acquire_cred del servidor de seguridad ha devuelto un cdigo de error principal 851968 y un cdigo de error secundario 39756033. Solucin: el nombre de principal del archivo de configuracin no coincide con ninguna de las claves del archivo keytab especificado. Las claves del archivo keytab tienen nombres del tipo HTTP/nombre_host@REALM. El nombre de principal debera tener el formato HTTP@nombre_host v Problema: el servidor WebSEAL no se inicia. El mensaje de error es HPDST0129E e indica que la funcin gss_acquire_cred del servicio de seguridad ha devuelto un cdigo de error principal 851968 y un cdigo de error secundario 486484225 (pd / bst) o el mensaje de error HPDST0129E que indica que la funcin gss_acquire_cred del servicio de seguridad ha devuelto un cdigo de error principal 851968 y un cdigo de error secundario 39756033 (pd / bst). Solucin: estos errores surgen debido a problemas de bsqueda inversa de DNS. Verifique que la bsqueda inversa funciona correctamente. v Problema: cuando un usuario intenta acceder a WebSEAL recibe un error HPDIA0100E que indica que se ha producido un error interno. El archivo de registro de seguimiento de WebSEAL contiene un mensaje que indica que la funcin gss_accept_sec_context del servicio de seguridad ha devuelto un cdigo de error principal 851968 y un cdigo de error secundario -1765328347. Solucin: el reloj del sistema de la mquina del cliente no est sincronizado con el reloj del sistema del servidor WebSEAL. Debe mantener los relojes sincronizados cuando utilice Kerberos. Para que la solucin sea permanente, despliegue algn servicio de sincronizacin en las mquinas. Para una solucin temporal, ajuste los relojes de las mquinas de modo que la diferencia entre ellos sea de un minuto como mximo.
271
Inicio de sesin nico entre dominios (CDSSO)

CDSSO (Cross-Domain Single Sign-on) de Tivoli Access Manager proporciona un mecanismo predeterminado para transferir credenciales de usuario entre servidores y dominios nicos. CDSSO permite a los usuarios web realizar inicios de sesin nicos y moverse libremente entre dos dominios seguros distintos cuando solicitan un recurso. El mecanismo de autenticacin de CDSSO no se basa en un Servidor de autenticacin maestro (Master Authentication Server o MAS) (consulte el apartado Inicio de sesin nico de e-community en la pgina 283). CDSSO da soporte a los objetivos de la arquitectura de red escalable al permitir la integracin de varios dominios seguros. Por ejemplo, una extranet corporativa de gran tamao se puede configurar con dos dominios nicos o ms, cada uno con sus propios usuarios y espacio de objetos. CDSSO permite el movimiento de usuarios entre los dominios con un inicio de sesin nico. Cuando un usuario realiza una solicitud a un recurso ubicado en otro dominio, el mecanismo CDSSO transfiere una seal de identidad de usuario cifrada del primer dominio al segundo. La informacin de identidad de esta seal indica al dominio receptor que el usuario est autenticado correctamente en el primer dominio. La identidad no contiene informacin de contraseas. El servidor receptor utiliza esta seal para crear credenciales en su propia cach para ese usuario. No es necesario que el usuario realice ningn inicio de sesin adicional.
Personalizacin de la autenticacin de inicio de sesin nico

Las soluciones de inicio de sesin nico entre dominios utilizan seales de autenticacin que transmiten una versin codificada de la identidad del usuario al servidor de destino. La construccin de estas seales por parte del servidor inicial se denomina token creation. La descodificacin y el uso de la seal por parte del servidor de destino se denomina token consumption. Puede crear bibliotecas de consumo y creacin de seales personalizadas para cumplir los requisitos especficos de su red e implementacin de Tivoli Access Manager. Puede encontrar informacin detallada y material de consulta sobre la API para la autenticacin externa entre dominios en la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference. En muchos casos de CDSSO, es posible que la correlacin uno a uno predeterminada entre usuarios de diferentes dominios no cumpla todos los requisitos de despliegue. CDMF (Cross-Domain Mapping FrameWork) es una interfaz de programacin que permite crear una biblioteca compartida personalizada que puede gestionar atributos de usuarios ampliados y proporcionar servicios de correlacin para la identidad del usuario. La interfaz de programacin CDMF ofrece una gran flexibilidad para personalizar la correlacin de identidades de usuario y gestionar los atributos de usuario. Puede encontrar informacin detallada y material de consulta sobre la API para CDMF en la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference.
Flujo de proceso de autenticacin para CDSSO con CDMF

La siguiente descripcin del flujo de proceso se ilustra en la Figura 8.
272
1. Cualquier usuario que desea participar en mltiples dominios debe tener una cuenta de usuario vlida en el dominio inicial y una identidad que se pueda correlacionar en una cuenta vlida en cada uno de los dominios remotos participantes. Un usuario no puede invocar la funcionalidad de CDSSO sin autenticarse inicialmente en un dominio seguro inicial (A) que contiene la cuenta del usuario. 2. El usuario realiza una solicitud para acceder a un recurso del dominio B a travs de un vnculo personalizado en una pgina web. El vnculo contiene una expresin de la pgina de gestin de CDSSO especial:
/pkmscdsso?<URL-destino>
Por ejemplo:
http://websealA/pkmscdsso?https://websealB/resource.html
3. La solicitud se procesa en primer lugar por el servidor WebSEAL en el dominio A. El servidor websealA crea una seal de autenticacin que contiene las credenciales del usuario, incluida la identidad de Tivoli Access Manager (nombre corto), el dominio actual (A), informacin adicional del usuario y la marca de fecha y hora. Este proceso lo lleva a cabo la funcin token create del mecanismo de autenticacin de inicio de sesin nico incorporado (biblioteca). La informacin adicional del usuario (atributos ampliados) se puede obtener mediante una llamada a la biblioteca compartida CDMF compartida (cdmf_get_usr_attributes). Esta biblioteca proporciona atributos de usuario que pueden ser utilizados por el dominio B durante el proceso de correlacin de usuarios. WebSEAL cifra mediante DES triple estos datos de la seal con la clave simtrica generada por la utilidad cdsso_key_gen. Este archivo de claves se comparte y se especifica en la stanza [cdsso-peers] del archivo de configuracin de WebSEAL de los servidores WebSEAL del dominio A y del dominio B. La seal contiene una marca de fecha y hora configurable ( authtoken-lifetime) que define la duracin de la seal. La marca de fecha y hora, cuando se configura correctamente, puede evitar los ataques de respuestas. La seal se encuentra en una solicitud redireccionada al servidor de destino, mediante la direccin URL contenida en el vnculo pkmscdsso. Por ejemplo:
http://websealB/resource.html?PD-ID=<encoded-authentication-token>
4. El servidor websealA redirecciona la solicitud que contiene la seal cifrada de nuevo hacia el navegador y, a continuacin, al servidor websealB (redireccin HTTP). 5. El servidor websealB descodifica y valida la seal como si viniera del dominio de referencia. Este proceso lo lleva a cabo la funcin token consume del mecanismo de autenticacin de inicio de sesin nico incorporado (biblioteca). 6. La funcionalidad de token consume puede invocar ms una biblioteca CDMF personalizada que lleva a cabo la correlacin del usuario real (cdmf_map_usr). La biblioteca CDMF pasa la identidad del usuario, y cualquier informacin de atributo ampliado, de nuevo a la biblioteca de token consume. La biblioteca de consumo de seal utiliza esta informacin para crear una credencial. 7. El servicio de autorizacin websealB permite o deniega el acceso a objetos protegidos basndose en la credencial del usuario y los permisos de la ACL especficos asociados con los objetos solicitados.
273
Figura 8. Proceso de inicio de sesin nico entre dominios con CDMF
Configuracin de la autenticacin de CDSSO Condiciones y requisitos de CDSSO

v Todos los servidores WebSEAL que participan en CDSSO deben tener sincronizadas las horas en el sistema. La autenticacin entre servidores puede fallar cuando hay grandes diferencias en las horas de los sistemas. v Para que CDSSO funcione correctamente, cada servidor WebSEAL que participe debe revelar su nombre de host completo a los dems servidores participantes en el entorno de varios dominios. Si algn nombre de host no incluye un dominio, CDSSO no puede habilitarse y se registra un mensaje de error en msg_webseald.log. Cuando se configura un entorno CDSSO, debe asegurarse de que la red especfica de la mquina para cada servidor participante est configurada para identificar al servidor con un nombre de host completo. v Puesto que algunas configuraciones de WebSEAL requieren la descripcin de los nombres de host de la mquina como nombres de host completos, debe asegurarse de que el sistema y la red puedan tener nombres de mquina como nombres de host completos. Por ejemplo, la utilizacin de nombres de host completos permite mltiples nombres de host (direcciones IP) por mquina, como en el caso de mltiples instancias WebSEAL.
Resolucin de nombres de mquina

CDSSO tambin puede inhabilitarse despus de iniciar WebSEAL porque la mquina no est bien configurada para resolver nombres de mquina. La mquina en la que reside WebSEAL debe poder resolver totalmente una direccin IP. Puesto que esta funcin es muy especfica del sistema operativo, queda fuera del mbito de documento proporcionar instrucciones. Pngase en contacto con el administrador del sistema si no est seguro de si el sistema tiene las posibilidades apropiadas. La informacin general especfica de Solaris que se ofrece a continuacin slo se proporciona como ejemplo:
274
Objetivo: configurar la mquina para que primero busque informacin sobre DNS en el DNS antes de comprobar el archivo /etc/hosts local. 1. Asegrese de que el archivo /etc/resolv.conf tiene entradas de servidor DNS vlidas. 2. Edite el archivo /etc/nsswitch.conf de modo que la lnea hosts indique el orden correcto para comprobar informacin sobre DNS:
hosts dns files
Objetivo alternativo: configurar la mquina para que primero utilice informacin sobre DNS local (/etc/hosts) antes de comprobar el DNS. 1. Configure la mquina para comprobar /etc/hosts antes de buscar en el DNS. Edite el archivo /etc/nsswitch.conf de modo que la lnea hosts indique el orden correcto para comprobar informacin sobre DNS:
hosts files dns
2. Introduzca la informacin sobre DNS apropiada en /etc/hosts:

webseal1.fully.qualified.com 1.11.111.111 webseal2.fully.qualified.com 2.22.222.222
La informacin general especfica de Windows que se ofrece a continuacin slo se proporciona como ejemplo: 1. Utilice DNS y especifique dos direcciones IP:
Conexiones de red > LAN > Propiedades > TCP/IP
2. Especifique un servidor DNS vlido en Configuracin avanzada:

Conexiones de red > LAN > Propiedades > TCP/IP > Avanzadas > DNS > Agregar...
3. En esta misma ventana, especifique el sufijo DNS principal para esta conexin:
4. En las propiedades del sistema, especifique el nombre del equipo y su sufijo DNS:
Mi PC > Propiedades > ID de red > Propiedades > Nombre del equipo Mi PC > Propiedades > ID de red > Propiedades > Ms > Sufijo de DNS principal
Resumen de la configuracin de CDSSO

Los siguientes pasos para la configuracin se detallan en los subapartados restantes de este apartado del captulo acerca de CDSSO.
Configuracin de la funcionalidad de creacin de seal CDSSO predeterminada

1. Habilite WebSEAL para generar seales CDSSO (cdsso-create). 2. Configure el mecanismo de autenticacin de inicio de sesin nico incorporado (biblioteca) para token create (creacin de seal) (sso-create). 3. Cree el archivo de claves utilizado para codificar y descodificar la seal. Copie el archivo de claves en todos los servidores pertinentes que participen (stanza [cdsso-peers]). 4. Configure la marca de fecha y hora de la seal (authtoken-lifetime) 5. Configure el parmetro de etiqueta de la seal (cdsso-argument).
275
Configuracin de la funcionalidad de consumo de seal CDSSO predeterminada

1. Habilite WebSEAL para consumir seales CDSSO (cdsso-auth) para la autenticacin. 2. Configure el mecanismo de autenticacin de inicio de sesin nico incorporado (biblioteca) para token consume (consumo de seal) (sso-consume). 3. Asigne el archivo de claves adecuado (stanza [cdsso-peers]). 4. Configure la marca de fecha y hora de la seal (authtoken-lifetime) 5. Configure el parmetro de etiqueta de la seal (cdsso-argument).
1. Habilitacin e inhabilitacin de la autenticacin CDSSO

Para habilitar la autenticacin CDSSO, especifique valores para dos valores del archivo de configuracin de WebSEAL. Hay un valor para la biblioteca de creacin de seales (sso-create) y un valor distinto para la biblioteca de consumo de seales (sso-consume). Para habilitar la biblioteca de creacin de seales, establezca la entrada siguiente:
[cdsso] cdsso-create = {none|http|https|both}
El valor both especifica los protocolos HTTP y HTTPS. El valor none inhabilita la biblioteca de creacin de seales. Para habilitar la biblioteca de consumo de seales (es decir, que el servidor aceptar seales CDSSO para autenticacin), establezca la entrada siguiente:
[cdsso] cdsso-auth = {none|http|https|both}
El valor both especifica los protocolos HTTP y HTTPS. El valor none inhabilita la biblioteca de consumo de seales. Nota: Debe detener y reiniciar el servidor WebSEAL para poder activar los cambios realizados en el archivo de configuracin de WebSEAL. Siga todos los pasos de configuracin que corresponda de este apartado y, a continuacin, reinicie WebSEAL.
2. Configuracin del mecanismo de autenticacin de inicio de sesin nico

La configuracin CDSSO predeterminada requiere que habilite los mecanismos de autenticacin de inicio de sesin nico sso-create y sso-consume. El servidor WebSEAL inicial necesita el mecanismo sso-create para crear la seal de CDSSO y la solicitud redireccionada. El servidor WebSEAL receptor necesita el mecanismo sso-consume para descodificar la seal y crear las credenciales del usuario a partir de la informacin de identidad que contiene la seal. Para la configuracin predeterminada de CDSSO, cada parmetro especifica un archivo de biblioteca de seal CDSSO incorporada. Una biblioteca contiene el cdigo para la funcin de creacin de la seal y la otra contiene el cdigo para la funcin de consumo de la seal. v En UNIX, los archivos de la biblioteca se denominan libssocreate. {so | a | sl} y libssoconsume. {so | a | sl}. v En Windows, los archivos de la biblioteca son archivos DLL denominados ssocreate.dll y ssoconsume.dll.
276
Mecanismo de autenticacin sso-create sso-consume
Biblioteca de seal de inicio de sesin nico Solaris libssocreate.so libssoconsume.so AIX libssocreate.a libssoconsume.a Windows ssocreate.dll ssoconsume.dll HP-UX libssocreate.sl libssoconsume.sl
Puede configurar el mecanismo de autenticacin de CDSSO especificando los parmetros sso-create y sso-consume con el nombre de la ruta de acceso completo del archivo de biblioteca predeterminado especfico de la plataforma adecuada en la stanza [authentication-mechanism] del archivo de configuracin de WebSEAL. Por ejemplo: Solaris:
[authentication-mechanisms] sso-create = /opt/pdwebrte/lib/libssocreate.so sso-consume = /opt/pdwebrte/lib/libssoconsume.so
Windows:
[authentication-mechanisms] sso-create = C:\Archivos de programa\Tivoli\PDWebRTE\bin\ssocreate.dll sso-consume = C:\Archivos de programa\Tivoli\PDWebRTE\bin\ssoconsume.dll
3. Cifrado de los datos de la seal de autenticacin

WebSEAL debe cifrar los datos de autenticacin ubicados en la seal mediante una clave generada por la utilidad cdsso_key_gen. Debe sincronizar esta clave compartiendo el archivo de claves con cada servidor WebSEAL participante en cada dominio participante. Todos los servidores WebSEAL participantes de cada dominio deben utilizar la misma clave. La clave generada es una clave de bits DES 192 triple. No puede especificar un tiempo de intervalo de duracin en esta clave. Nota: La distribucin de los archivos de claves no es parte del proceso de CDSSO de Tivoli Access Manager. La utilidad cdsso_key_gen requiere que especifique la ubicacin (nombre de ruta de acceso absoluta) del archivo de claves cuando ejecute la utilidad. Tambin debe utilizar un nombre de ruta de acceso completo para ejecutar esta utilidad: UNIX:
# /opt/pdwebrte/bin/cdsso_key_gen <ubicacin-archivo-claves>
Windows:
MSDOS> C:\Archivos de programa\Tivoli\PDWebRTE\bin\cdsso_key_gen <ubicacin-archivo-claves>
Especifique esta ubicacin del archivo de claves en la stanza [cdsso-peers] del archivo de configuracin de WebSEAL del servidor WebSEAL participante de cada dominio. El formato debe incluir el nombre de host completo del servidor WebSEAL y el nombre de ruta de acceso absoluta de la ubicacin del archivo de claves:
[cdsso-peers] <nombre-host-completo> = <nombre-ruta-acceso-archivo-claves-completo>
277
Ejemplo de configuracin para el servidor websealA en el dominio A:

[cdsso-peers] websealB.domainB.com = <nombre_ruta>/A-B.key
Esta configuracin especifica qu clave utiliza websealA para cifrar una seal destinada a websealB en el dominio B. Ejemplo de configuracin para el servidor websealB en el dominio B:
[cdsso-peers] websealA.domainA.com = <nombre_ruta>/A-B.key
Esta configuracin especifica qu clave utiliza websealB (en el dominio B) para descifrar una seal recibida de websealA en el dominio A. En el ejemplo anterior, el archivo A-B.key se genera en una mquina (websealA, por ejemplo) y se copia manualmente (de forma segura) a la otra mquina (websealB, por ejemplo).
4. Configuracin de la marca de fecha y hora de la seal

La seal contiene una marca de fecha y hora configurable que define la duracin de la seal de identidad. Despus de que haya caducado la marca de fecha y hora, la seal no se considera vlida y no se utiliza. La marca de fecha y hora se utiliza para evitar los ataques de respuestas al establecer un valor lo bastante corto para evitar que se robe la seal y se responda durante su periodo de duracin. El parmetro authtoken-lifetime, que se encuentra en la stanza [cdsso] del archivo de configuracin de WebSEAL, establece el valor de duracin de la seal. El valor se expresa en segundos. El valor predeterminado es 180:
[cdsso] authtoken-lifetime = 180
Debe tener en cuenta las diferencias horarias entre los dominios participantes. La diferencia horaria significa que las horas del sistema difieren en los servidores relevantes de cada dominio. Cuando esta diferencia se aproxima al valor de authtoken-lifetime, la duracin efectiva de la seal se reduce en gran medida. Cuando esta diferencia supera el valor de authtoken-lifetime, las seales de un dominio no pueden ser vlidas para el otro dominio. Los administradores deben ajustar authtoken-lifetime en consecuencia. Sin embargo, cuando la diferencia horaria requiere que authtoken-lifetime est establecido en un valor elevado, el riesgo de ataques de resolicitud aumenta. En este caso, los administradores deben considerar la sincronizacin de la hora del sistema en los servidores relevantes de cada uno de los dominios. Consulte el apartado Inicio de sesin nico entre dominios (CDSSO) en la pgina 472.
5. Configuracin del nombre de la etiqueta de la seal

La informacin de autenticacin utilizada para una transaccin de inicio de sesin nico se coloca en la solicitud redireccionada como argumento de cadena de consulta de seal cifrada para la solicitud. Esta cadena de seal requiere un nombre, o etiqueta, para su identificacin. El nombre de etiqueta identifica de manera exclusiva la solicitud para el servidor WebSEAL receptor como una solicitud de inicio de sesin nico que gestionar el mecanismo de consumo de seal CDSSO (biblioteca).
278
Debe configurar esta etiqueta de la seal de forma idntica en ambos servidores WebSEAL que participen en la funcionalidad de inicio de sesin nico. Para configurar la etiqueta de la seal, utilice el parmetro cdsso-argument que se encuentra en la stanza [cdsso] del archivo de configuracin de WebSEAL. Por ejemplo (predeterminado):
[cdsso] cdsso-argument = PD-ID
Consulte el apartado Inicio de sesin nico entre dominios (CDSSO) en la pgina 472.
Creacin del vnculo HTML de CDSSO

El vnculo HTML (situado en el servidor original) que conecta al usuario con un recurso del servidor de destino debe utilizar una expresin de CDSSO especial que dirija la solicitud a una pgina de gestin de CDSSO pkmscdsso:
/pkmscdsso?<URL-destino>
Por ejemplo:
http://websealA/pkmscdsso?https://websealB/resource.html
La biblioteca de creacin de seales crea y codifica la seal de autenticacin (que contiene la informacin de identidad del usuario) e incluye esta seal en una solicitud redireccionada al recurso que utiliza la informacin de URL de destino desde el vnculo de CDSSO. Por ejemplo:
http://websealB/resource.html?PD-ID=<seal-autenticacin-codificada>
Proteccin de la seal de autenticacin

Mientras la seal de autenticacin no contenga informacin de autenticacin (como el nombre de usuario y la contrasea), contiene una identidad de usuario fiable dentro del dominio receptor. La propia seal se debe proteger contra robo y respuesta. La seal est protegida contra robo a travs del uso de SSL para proteger las comunicaciones entre los servidores WebSEAL y los usuarios. La seal podra robarse del historial del navegador del usuario. La marca de fecha y hora de la seal debera ser lo bastante corta para que fuera poco probable que se pudiera robar la seal y reproducirla durante la duracin de la seal. Sin embargo, las seales caducadas en cuanto a su marca de fecha y hora siguen siendo vulnerables a los ataques criptogrficos. Si se descubre la clave utilizada para cifrar la seal o se ve comprometida de algn modo, usuarios maliciosos podran crear sus propias seales. Estas seales se podran insertar en un pseudo-CDSSO flow (flujo pseudo-CDSSO). No se podran distinguir de las seales de autenticacin reales para los servidores WebSEAL que participan en el dominio CDSSO. Por este motivo, las claves utilizadas para proteger las seales tambin deben gestionarse y cambiarse de forma regular.
Codificacin UTF-8 de seales para el inicio de sesin nico entre dominios

El uso de la codificacin UTF-8 para cadenas en las seales que se utilizan para el inicio de sesin nico entre dominios se especifica en el archivo de configuracin de WebSEAL.
279
[cdsso] use-utf8 = {true|false}
El valor predeterminado es true. Cuando el parmetro use-utf8 est establecido en false, las cadenas se codifican utilizando la pgina de cdigos local. Utilice este valor si implementa el inicio de sesin nico entre dominios con servidores WebSEAL antiguos (anteriores a la versin 5.1). Los servidores WebSEAL de versiones anteriores a la 5.1 no utilizan la codificacin UTF-8 para seales. Cuando realice el despliegue en un entorno que incluye estos servidores ms antiguos, configure el servidor WebSEAL de la versin 5.1 de modo que no utilice codificacin UTF-8. Este valor es necesario para la compatibilidad con versiones anteriores. Para obtener informacin sobre el soporte de WebSEAL para la codificacin UTF-8, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
Habilitacin de la compatibilidad con seales anteriores a la versin 4.1

En el release de la versin 4.1 de Tivoli Access Manager, se increment el nivel de seguridad para el cifrado de la seal de autenticacin. El algoritmo de cifrado de la versin 4.1 no es compatible con versiones anteriores. Si est integrando CDSSO con servidores que utilicen versiones de Tivoli Access Manager anteriores a la 4.1, deber habilitar el parmetro pre-410-compatible-tokens de la stanza [server] del archivo de configuracin de WebSEAL. Por ejemplo:
pre-410-compatible-tokens = yes
Habilitacin de la compatibilidad con versiones anteriores para seales de la versin 4.1

Para Tivoli Access Manager versin 5.1, cambi el formato del cifrado de la seal de autenticacin. Este algoritmo de cifrado no es compatible con versiones anteriores. Si est integrando seales de autenticacin con servidores WebSEAL de la versin 4.1, debe especificar un valor en el archivo de configuracin de WebSEAL para habilitar la compatibilidad con versiones anteriores. La compatibilidad con versiones anteriores con el formato de cifrado antiguo no est habilitada de forma predeterminada:

Nota: Para habilitar la compatibilidad con versiones anteriores con servidores WebSEAL anteriores a la versin 4.1, debe establecer un parmetro adicional. Consulte el apartado Habilitacin de la compatibilidad con seales anteriores a la versin 4.1.
280
Especificacin de los atributos ampliados que deben agregarse a la seal

En el archivo de configuracin de WebSEAL, puede especificar atributos ampliados de una credencial de usuario para agregarlos a la seal de inicio de sesin nico entre dominios. Los atributos ampliados contienen informacin sobre una identidad de usuario que se agrega a una lista de atributos ampliados al crear una credencial de usuario. Los atributos ampliados pueden agregarse mediante distintos mecanismos de autenticacin, incluyendo los mdulos de autenticacin personalizados. Los mdulos de autenticacin personalizados pueden utilizarse, por ejemplo, para obtener informacin del usuario de un registro que es externo a Tivoli Access Manager. Puede utilizar este valor para personalizar el contenido de la seal del inicio de sesin nico entre dominios. Esta funcin permite adaptar el contenido de la seal para satisfacer las necesidades del dominio de destino. Si utiliza esta funcin para agregar un atributo a una seal, tambin debe configurar el archivo de configuracin de WebSEAL para el servidor en el dominio de destino. Para el servidor de destino, la stanza [cdsso-incoming-attributes] se utiliza para especificar el manejo (extraer u omitir) de cada atributo. Puede especificar los atributos ampliados por nombres o declarar un patrn que coincida con varios nombres de atributo. Puede utilizar los caracteres comodn estndar de Tivoli Access Manager.
Tabla 33. Caracteres comodn soportados Carcter \ Descripcin El carcter que sigue a la barra inclinada invertida forma parte de una secuencia especial. Puede utilizarse para omitir los dems caracteres comodn del patrn: (? * [ ] ^). Para establecer una coincidencia con el carcter de barra inclinada invertida, utilice \\. Carcter comodn que coincide con un solo carcter. Por ejemplo, la cadena de caracteres abcde coincide con la expresin ab?de Carcter comodn que coincide con cero o ms caracteres. Define un juego de caracteres del cual puede coincidir cualquiera de los caracteres. Por ejemplo, la cadena abcde coincide con la expresin regular ab[cty]de. Indica una negacin. Por ejemplo, la expresin [âb] coincide con cualquier carcter excepto los caracteres a o b.
? * []
A cada entrada de WebSEAL se le asigna el nombre del dominio para el que se ha concebido la seal. Este nombre toma uno o ms argumentos que especifican nombres o patrones. La sintaxis es la siguiente:
[cdsso-token-attributes] nombre_dominio = patrn1 [patrn2], ... [patrnN] <default> = patrn1 [patrn2], ... [patrnN]
La entrada <default> es opcional. Cuando WebSEAL no encuentra ninguna entrada que coincida con el nombre del dominio, WebSEAL busca una entrada <default>. Si el archivo de configuracin contiene una entrada <default>, WebSEAL utiliza los patrones de atributo asignados para el dominio actual. La
281
cadena <default> es una palabra claves y debe especificarse exactamente como se muestra, incluidos los caracteres < y >. Ejemplo: est creando una solucin de inicio de sesin nico entre dominios entre dos dominios, example1.com y example2.com. Los usuarios inician una sesin en example1.com pero pueden ser redireccionados a example2.com durante la sesin de usuario. El despliegue incluye un CDAS personalizado que inserta informacin en cada credencial de usuario. La informacin incluye un atributo de nombre fijo job_category y un nmero variable de atributos, cada uno con el prefijo formado por los caracteres "my_cdas_attr_. Esta informacin debe agregarse a la seal entre dominios. Las entradas del archivo de configuracin seran las siguientes:
example2.com = job_category, my_cdas_attr_*
Especificacin de los atributos ampliados que deben extraerse de la seal

En el archivo de configuracin de WebSEAL, puede especificar el modo en que la biblioteca de consumo de seales maneja los atributos ampliados que se han agregado a una seal de inicio de sesin nico entre dominios. Los atributos pueden extraerse u omitirse. En algunos casos, debe extraer los atributos porque un servidor del dominio de destino no tiene forma de generarlos. En otros casos, no es aconsejable extraer seales, ya que el servidor del dominio de destino puede utilizar un proceso independiente para recopilar los mismos atributos ampliados. Por ejemplo, el atributo podra reflejar una marca de fecha y hora que deba reflejar la hora del sistema en el servidor de destino. En la biblioteca de consumo de seales, los atributos que se extraen de la seal pasan a travs de la biblioteca de infraestructuras de correlacin entre dominios. La biblioteca predeterminada de infraestructuras de correlacin entre dominios pasa los atributos directamente a travs de la credencial de usuario. Las bibliotecas personalizadas de infraestructuras de correlacin entre dominios pueden manipular los atributos segn sea necesario antes de pasarlos a la credencial de usuario. La sintaxis para las entradas es la siguiente:
[cdsso-incoming-attributes] patrn_atributo = {preserve|refresh}
Generalmente, los nombres de los atributos ampliados (patrn_atributo) coinciden con los nombres de los atributos especificados en la stanza [cdsso-tokenattributes] del archivo de configuracin para un servidor WebSEAL que genera las seales. El valor debe ser una de las palabras clave siguientes: v preserve Extrae todos los atributos que coinciden con el patrn_atributo. v refresh No extrae los atributos que coinciden con el patrn_atributo. Los atributos ampliados de la seal que no coinciden con ninguna entrada de la stanza [cdsso-incoming-attributes] se conservan (extraen). El orden de las entradas de la stanza es importante. Se utiliza la primera entrada que coincide con un nombre de atributo. Las dems entradas se omiten. Por ejemplo, si desea extraer un atributo denominado my_special_attr1, pero desea omitir todas las dems entradas que tengan el prefijo my_special_attr_, las entradas de la stanza seran las siguientes:
282
[cdsso-incoming-attributes] my_special_attr1 = preserve my_special_attr_* = refresh
Utilizando los ejemplos mostraros anteriormente en el apartado Especificacin de los atributos ampliados que deben agregarse a la seal en la pgina 281, las entradas del archivo de configuracin de WebSEAL para un servidor que funciona en el dominio example2.com podran ser las siguientes:
[cdsso-incoming-attributes] job_category = preserve my_cdas_attr_1 = preserve my_cdas_attr_* = refresh
En este ejemplo, los atributos job_category y my_cdas_attr_1 se extraen de la seal. El resto de atributos que presentan el prefijo my_cdas_attr_ se omiten.
Inicio de sesin nico de e-community

El inicio de sesin nico de e-community es otra implementacin de la autenticacin entre dominios en un entorno de Tivoli Access Manager. El objetivo de la autenticacin entre dominios es permitir el acceso de los usuarios a los recursos, a travs de varios servidores en varios dominios, sin necesidad de repetir la autenticacin. Una e-community (comunidad electrnica) es un grupo de dominios distintos (Tivoli Access Manager o DNS) que participan en una relacin empresarial. Estos dominios participantes pueden configurarse como parte de una empresa (y quizs utilizando diferentes nombres de DNS por motivos geogrficos) o como una empresa aparte con una relacin compartida (por ejemplo, las oficinas de la empresa, una compaa de seguros de vida o una empresa de gestin financiera). En cualquier caso, siempre hay un dominio que se designa como dominio inicial o propietario. En el caso de empresas participantes, el dominio inicial posee los acuerdos empresariales que gobiernan la e-community. En ambos casos, la informacin de autenticacin sobre los usuarios que participan en la e-community (incluidos los nombres de usuario y las contraseas utilizados para la autenticacin) se mantiene en el dominio inicial. Esta disposicin permite tener un nico punto de referencia para cuestiones de administracin, como, por ejemplo, las llamadas al escritorio de ayuda dentro de la e-community. Tambin puede utilizar Tivoli Access Manager Web Portal Manager para delegar la gestin de esta informacin para que los dominios participantes tengan responsabilidad para la administracin de sus propios usuarios. En el siguiente diagrama se muestra un ejemplo de una e-community con dos dominios participantes: dominio A (dA.com) y dominio B (dB.com). En este ejemplo, el dominio A representa el dominio inicial o propietario. El dominio B es un dominio participante o remoto.
283
Figura 9. El modelo de e-community
El dominio inicial es el propietario de los usuarios, es decir, controla la informacin de autenticacin del usuario. Independientemente de dnde haga el usuario la solicitud de recursos, el dominio inicial siempre es el dominio donde el usuario se tiene que autenticar. La autenticacin se produce en un servidor maestro de autenticacin (MAS)un servidor (o conjunto de servidores replicados) que se encuentra en el dominio inicial y que est configurado para autenticar todos los usuarios. El diagrama representa el MAS como mas.dA.com. La labor del MAS debe estar restringida a proporcionar servicios de autenticacin. El MAS no debe contener recursos que estn disponibles a otros usuarios. Despus de que un usuario se haya autenticado correctamente en el MAS, el MAS genera una seal de garantizacin. Esta seal se pasa de nuevo al servidor en el que el usuario est realizando la solicitud. El servidor trata esta seal de garantizacin como prueba de que el usuario se ha autenticado correctamente en el MAS y puede participar en la e-community. La transferencia de informacin entre los dominios de la e-community se describe en detalle en el apartado Flujo de proceso de e-community en la pgina 285.
Caractersticas y requisitos de e-community

v El modelo da soporte al acceso a travs de direcciones URL directas (marcadores) a los recursos. Esta caracterstica contrasta con el modelo CDSSO que se basa en un vnculo pkmscdsso especialmente configurado (consulte el apartado Inicio de sesin nico entre dominios (CDSSO) en la pgina 272). v Todos los usuarios que participan en la e-community se autentican en un nico servidor maestro de autenticacin (MAS) que se encuentra en el dominio inicial.
284
v La implementacin de la e-community permite la autenticacin local en dominios remotos si el usuario no tiene una cuenta vlida con el MAS (por ejemplo, usuarios que pertenecen al dominio B pero que no participan en el dominio A e-community B). Un usuario que no pasa la autenticacin con el MAS al solicitar un recurso en un dominio no MAS (pero que s participa) tiene la opcin de autenticarse en el servidor local en el que se est realizando la solicitud. v El MAS (y eventualmente otros servidores seleccionados en los dominios remotos) garantizan la identidad autenticada del usuario. v Las cookies especficas del dominio se utilizan para identificar al servidor que puede proporcionar servicios de garantizacin. Esto permite a los servidores de un dominio remoto solicitar informacin de garantizacin localmente. El contenido cifrado de las cookies de la e-community no incluye informacin de seguridad ni de identidad de usuarios. v Las seales especiales se utilizan para pasar la identidad de usuario de garantizacin cifrada. La seal de garantizacin no contiene informacin de autenticacin de usuarios real. La integridad viene garantizada por la clave secreta compartida (DES triple). La seal contiene un valor de tiempo de espera (de duracin) para limitar la duracin de la validez de la seal.
Flujo de proceso de e-community

Una e-community est formada por un servidor maestro de autenticacin (MAS) WebSEAL y otros servidores WebSEAL ubicados en el dominio inicial y los dominios remotos. El MAS puede existir como instancia nica de un servidor WebSEAL, o como un conjunto de servidores WebSEAL replicados ubicados detrs de un equilibrador de cargas (donde el equilibrador de cargas se identifica como el MAS). Todos los servidores WebSEAL locales y remotos participantes tienen que estar configurados para utilizar el MAS del dominio inicial en la autenticacin de clientes inicial. ste es un requisito obligatorio para los servidores en el dominio inicial, y un requisito modificable para los servidores en los dominios remotos. Por ejemplo, algunos servidores en los dominios remotos se pueden configurar para que gestionen su propia autenticacin. Estos servidores, y los recursos que protegen, pueden funcionar independientemente de la e-community, incluso si se encuentran en un dominio participante de e-community. La implementacin de la e-community se basa en un sistema de garantizacin. Normalmente, cuando un usuario solicita un recurso a un servidor WebSEAL en el que no ha establecido una sesin vlida, WebSEAL solicita al usuario informacin de autenticacin. En una configuracin de e-community, el servidor WebSEAL identifica un servidor de garantizacin y solicita verificacin de este servidor de garantizacin de que el usuario se ha autenticado. El servidor de garantizacin tiene informacin de credencial vlida para ese usuario. Para la primera solicitud del usuario, el servidor de garantizacin siempre es el MAS. El MAS sigue funcionando como servidor de garantizacin para los recursos que se encuentran en el dominio inicial. Como el usuario contina con solicitudes de recursos a travs de la e-community, un servidor individual de cada dominio remoto puede crear su propia credencial para el usuario (basndose en la informacin de identidad del usuario del MAS) y suponer el rol del servidor de garantizacin para el recurso en su dominio.
285
La verificacin solicitada del servidor de garantizacin adopta la forma de seal de garantizacin. El servidor de garantizacin crea la seal y la devuelve al servidor WebSEAL que realiza la solicitud. La informacin de la identidad del usuario en la seal est cifrada. La seal contiene un lmite de duracin. Tras recibir la seal de garantizacin, el servidor que realiza la solicitud crea credenciales y una sesin local para el usuario. El usuario tiene ahora acceso al recurso solicitado, siguiendo los controles normales de autorizacin. El usuario tiene la ventaja de que no debe repetir la autenticacinuno de los objetivos del modelo de e-community. Consulte el siguiente diagrama para seguir el flujo de proceso de la e-community en lo que queda de apartado. El flujo de proceso describe dos ejemplos posibles de PRIMER acceso (1 y 2). A continuacin, se presentan dos ejemplos posibles de SIGUIENTE acceso (3 y 4) que siguen inmediatamente despus de 2 3. El ejemplo 5 se produce en cualquier momento despus del acceso inicial.
Figura 10. Flujo de proceso de la e-community
Servidores de garantizacin v El MAS se utiliza siempre para autenticar el usuario que accede a cualquier parte de la e-community por primera vez. El MAS debe actuar slo como servidor de autenticacin y no como proveedor de recursos. El MAS no se debe configurar para funcionar como servidor maestro de autenticaciones y, simultneamente, proteger los recursos. Esta recomendacin afecta al rendimiento, y no es un requisito de seguridad. v El MAS siempre es el servidor de garantizacin para el dominio inicial (dominio A en este ejemplo). v Una cookie de e-community especfica del dominio se utiliza para identificar el servidor de garantizacin para todos los dems servidores de un determinado dominio. El servidor de garantizacin es el primer servidor de un dominio que solicita una seal de garantizacin del MAS. El servidor de garantizacin proporciona informacin de garantizacin para el usuario dentro del dominio. Este servidor puede realizar localmente las solicitudes posteriores de servicios de garantizacin en un determinado dominio remoto, en lugar de acceder al MAS fuera del dominio. En el dominio inicial, la cookie de e-community identifica el MAS como servidor de garantizacin.
286
(1) PRIMER acceso local de e-community (Dominio A): WebSEAL 1 1. El usuario solicita un recurso protegido por WebSEAL 1 (dentro del mismo dominio que MAS). El navegador no contiene ninguna cookie de e-community para este dominio. WebSEAL 1 no tiene credenciales almacenadas en la cach para el usuario. 2. La configuracin de WebSEAL 1 tiene habilitada la autenticacin de la e-community, y especifica la ubicacin del MAS. WebSEAL 1 redirecciona el navegador a una direccin URL de garantizacin especial en el MAS. 3. El MAS recibe la solicitud de garantizacin y, si no encuentra credenciales para el usuario, solicita el inicio de sesin del usuario. 4. Despus de iniciar sesin correctamente, el MAS crea una credencial para el usuario, la almacena en la cach y redirecciona el navegador de nuevo a la direccin URL solicitada originalmente en WebSEAL 1 con una seal de garantizacin cifrada. Adems, una cookie de e-community especfica del dominio A se coloca en el navegador para identificar el servidor de garantizacin para este dominio (en este caso, el MAS). Si el intento de inicio de sesin no es correcto, el MAS devuelve una seal de garantizacin que indica el estado de error. Esta seal se construye para que no se pueda distinguir de una seal de garantizacin de estado correcta. El servidor que realiza la solicitud reacciona a una seal de estado de error como si el usuario no hubiera pasado la autenticacin local. 5. WebSEAL 1 descifra la seal y crea su propia credencial para el usuario. Nota: La correlacin de identidades no debera ser necesaria dentro del mismo dominio. Si se requiere la correlacin de identidades, WebSEAL 1 debe utilizar CDMF (Cross-domain Mapping Framework). 6. El servicio de autorizaciones permite o rechaza la solicitud. (2) PRIMER acceso remoto de e-community (Dominio B): WebSEAL 3 1. El usuario solicita un recurso protegido por WebSEAL 3 (dominio B remoto). El navegador no contiene ninguna cookie de e-community para este dominio. WebSEAL 3 no tiene credenciales almacenadas en la cach para el usuario. 2. La configuracin de WebSEAL 3 tiene habilitada la autenticacin de e-community, y especifica la ubicacin del MAS. WebSEAL 3 redirecciona el navegador a una direccin URL de garantizacin especial en el MAS. 3. El MAS recibe la solicitud de garantizacin y, si no encuentra credenciales para el usuario, solicita el inicio de sesin del usuario. 4. Despus de iniciar sesin correctamente, el MAS crea una credencial para el usuario, la almacena en la cach y redirecciona el navegador de nuevo a la direccin URL solicitada originalmente en WebSEAL 3 con una seal de garantizacin cifrada. Adems, una cookie de e-community especfica del dominio A se coloca en el navegador para identificar el servidor de garantizacin para este dominio (en este caso, el MAS). Si el intento de inicio de sesin no es correcto, el MAS devuelve una seal de garantizacin que indica el estado de error. Esta seal se construye para que no se pueda distinguir de una seal de garantizacin de estado correcta. Si el usuario no se autentica en el MAS, se le solicita una autenticacin local en WebSEAL 3. Si la cuenta del usuario existe en este servidor, la autenticacin es correcta. 5. WebSEAL 3 descifra la seal y crea su propia credencial para el usuario.
287
6. WebSEAL 3 crea y configura una segunda cookie de e-community (vlida para el dominio B) en el navegador, e identifica WebSEAL 3 como el servidor de garantizacin para el dominio B. 7. El servicio de autorizaciones permite o rechaza la solicitud. (3) SIGUIENTE acceso local de e-community (Dominio A): WebSEAL 2 1. El usuario solicita un recurso protegido por WebSEAL 2 (dentro del mismo dominio que MAS). El navegador contiene una cookie de e-community de dominio A que identifica el MAS como servidor de garantizacin. WebSEAL 2 recibe esta cookie. WebSEAL 2 no tiene credenciales almacenadas en la cach para el usuario. 2. La configuracin de WebSEAL 2 tiene habilitada la autenticacin de la e-community, y especifica la ubicacin del MAS. La presencia de la cookie de e-community del dominio A anula la configuracin de WebSEAL 2 para la ubicacin de MAS. La cookie proporciona a WebSEAL 2 la identidad del servidor de garantizacin. (Si se da primero el ejemplo 2, tambin habra una cookie de dominio B mantenida en el navegador que no se enviara a un servidor de dominio A). 3. WebSEAL 2 redirecciona el navegador a una direccin URL de garantizacin especial en el servidor de garantizacin del dominio A identificado en la cookie (en este caso, el MAS, porque WebSEAL 2 se encuentra en el dominio A). 4. El MAS recibe la solicitud de garantizacin y encuentra las credenciales para el usuario en la cach (esto ocurre en los casos 1 y 2). 5. El MAS redirecciona el navegador de nuevo a la direccin URL solicitada originalmente en WebSEAL 2 con una seal de garantizacin cifrada. 6. WebSEAL 2 descifra la seal y crea su propia credencial para el usuario. 7. El servicio de autorizaciones permite o rechaza la solicitud. (4) SIGUIENTE acceso remoto de e-community (Dominio B): WebSEAL 4 1. El usuario solicita un recurso protegido por WebSEAL 4 (dominio B remoto). Si se produjera primero el caso 2, el navegador contiene una cookie de e-community de dominio B que identifica a WebSEAL 3 como servidor de garantizacin. WebSEAL 4 no tiene credenciales almacenadas en la cach para el usuario. 2. La configuracin de WebSEAL 4 tiene habilitada la autenticacin de e-community, y especifica la ubicacin del MAS. La presencia de una cookie de e-community del dominio B anula la configuracin de WebSEAL 4 para la ubicacin de MAS. La cookie proporciona a WebSEAL 4 la identidad del servidor de garantizacin. (Si se da primero el ejemplo 2, slo habr una cookie de dominio A mantenida en el navegador que no se enviara a un servidor de dominio B. En su lugar, se utilizar la ubicacin configurada del MAS. WebSEAL 4 se convertira en un servidor de garantizacin para el dominio B.) 3. Si ocurriera primero el caso 2, WebSEAL 4 redirecciona el navegador a una direccin URL de garantizacin especial en el servidor de garantizacin del dominio B identificado en la cookie de dominio B (en este caso, WebSEAL 3). 4. WebSEAL 3 recibe la solicitud de garantizacin y encuentra las credenciales para el usuario en la cach (esto ocurre en el caso 2). 5. WebSEAL 3 redirecciona el navegador de nuevo a la direccin URL solicitada originalmente en WebSEAL 4 con una seal de garantizacin cifrada. 6. WebSEAL 4 descifra la seal y crea su propia credencial para el usuario. 7. El servicio de autorizaciones permite o rechaza la solicitud.
288
(5) OTRO acceso local de e-community (Dominio A): WebSEAL 2 1. El usuario se conecta a WebSEAL 2 (dominio A) con una solicitud. Si se ha producido el ejemplo 3, WebSEAL 2 tiene credenciales almacenadas en la cach para el usuario. 2. El servicio de autorizaciones permite o rechaza la solicitud. Fin de sesin de la e-community v Si el usuario finaliza la sesin cerrando el navegador, se borrarn todas las sesiones SSL y las cookies de e-community. v Si el usuario finaliza la sesin a travs de la pgina /pkmslogout, se borrarn la sesin SSL y la cookie de e-community para ese dominio.
Informacin de la cookie de e-community

v La cookie de e-community es una cookie especfica del dominio establecida por un servidor WebSEAL, almacenada en la memoria del navegador del usuario, y transmitida a otro servidor WebSEAL (del mismo dominio) en solicitudes posteriores. v La cookie especfica del dominio contiene el nombre del servidor de garantizacin, la identidad de e-community, una ubicacin (URL) del servidor de garantizacin y la funcionalidad, y un valor de duracin. La cookie no contiene informacin del usuario ni de seguridad. v La cookie de e-community permite a los servidores de los dominios participantes solicitar informacin de garantizacin localmente. La cookie de e-community para el dominio en el que reside el MAS juega un papel menos importante. v La cookie tiene un valor de duracin (tiempo de espera) que se establece en el archivo de configuracin de WebSEAL. Este valor de duracin especifica el tiempo durante el cual un servidor remoto puede proporcionar informacin de garantizacin para el usuario. Cuando caduca la duracin de la cookie, el usuario se debe redireccionar al MAS para su autenticacin. v La cookie se borra de la memoria cuando se cierra el navegador. Si el usuario finaliza la sesin de un dominio especfica, la cookie de e-community se sobrescribe como vaca. Esta accin la elimina definitivamente del navegador.
Comprensin de la solicitud y respuesta de garantizacin

La operacin de garantizacin de e-community requiere una funcionalidad especfica a la que se accede mediante dos direcciones URL construidas para ese fin: la solicitud de garantizacin y la respuesta de garantizacin.
La solicitud de garantizacin
La solicitud de garantizacin se desencadena cuando un usuario solicita un recurso de un servidor de destino (configurado para e-community) que no contiene informacin de credencial para ese usuario. El servidor enva una redireccin al servidor de garantizacin (el MAS o un servidor de garantizacin delegado identificado en una cookie de e-community. La solicitud de garantizacin contiene la siguiente informacin:
https://<servidor-garantizacin>/pkmsvouchfor?<nombre-e-community> &<URL-destino >
El servidor receptor comprueba el nombre-e-community para validar la identidad de e-community. El servidor receptor utiliza la direccin-URL-destino de la respuesta de garantizacin para redireccionar el navegador de nuevo a la pgina solicitada originalmente.
289
La direccin URL de garantizacin pkmsvouchfor se puede configurar. Por ejemplo:

https://mas.dA.com/pkmsvouchfor?companyABC&https://ws5.dB.com/index.html
La respuesta de garantizacin
La respuesta de garantizacin es la respuesta del servidor de garantizacin para el servidor de destino. El servidor de garantizacin es el MAS o un servidor de garantizacin delegado en un dominio remoto del dominio MAS. La respuesta de garantizacin contiene la siguiente informacin:
https: /<direccin-URL-destino>?PD-VFHOST=<servidor-garantizacin> &PD-VF=<seal-cifrada>
La etiqueta PD-VFHOST identifica al servidor que ha realizado la operacin de garantizacin. El servidor receptor (destino) utiliza esta informacin para seleccionar la clave correcta necesaria para descifrar la seal de garantizacin. La etiqueta PD-VF identifica la seal cifrada en la direccin URL de respuesta de garantizacin. Por ejemplo:
https://w5.dB.com/index.html?PD-VFHOST=mas.dA.com&PD-VF=3qhe9fjkp...ge56wgb
Informacin sobre la seal de garantizacin

Para conseguir el inicio de sesin nico entre dominios, la informacin de identidad de usuario debe transmitirse entre los servidores. Esta informacin confidencial se gestiona utilizando una redireccin que incluye la informacin de identidad cifrada como parte de la direccin URL. Estos datos cifrados se denominan seal de garantizacin. v La seal contiene el estado de xito o de error de garantizacin, la identidad del usuario (si es correcto), el nombre completo del servidor que cre la seal, la identidad de e-community y un valor de tiempo de creacin. v El propietario de una seal de garantizacin vlida puede utilizar esta seal para establecer una sesin (y configurar las credenciales) con un servidor sin autenticarse explcitamente en ese servidor. v La seal se cifra utilizando una clave secreta compartida mediante DES triple, para que se pueda verificar su autenticidad. v La informacin de la seal cifrada no se almacena en el navegador. v La seal slo se pasa una vez. El servidor receptor utiliza esta informacin para crear credenciales de usuario en su propia cach. El servidor utiliza estas credenciales para futuras solicitudes del usuario durante la misma sesin. v La seal tiene un valor de duracin (tiempo de espera) que se establece en el archivo de configuracin de WebSEAL. Este valor puede ser muy corto (segundos) para reducir el riesgo de ataques de respuestas.
Configuracin del inicio de sesin nico de e-community Condiciones y requisitos de e-community

v La implementacin de e-community requiere la configuracin consistente de todos los servidores WebSEAL en todos los dominios que participan en e-community.
290
v Para que e-community funcione correctamente, cada servidor WebSEAL que participe debe revelar su nombre de host completo a los dems servidores participantes en el entorno de varios dominios. Si algn nombre de host no incluye un dominio, e-community no puede habilitarse y se registra un mensaje de error en msg_webseald.log. Cuando se configura un entorno de e-community, debe asegurarse de que la red especfica de la mquina para cada servidor participante est configurada para identificar al servidor con un nombre de host completo. v Todos los servidores WebSEAL que participan en la e-community deben tener sincronizadas las horas en el sistema. La autenticacin entre servidores puede fallar cuando hay grandes diferencias en las horas de los sistemas. v La implementacin de e-community tiene soporte en HTTP y HTTPS. v No se da soporte al siguiente escenario de e-community con fines de produccin o de pruebas: una instancia MAS WebSEAL y una instancia de servidor WebSEAL participante configuradas para utilizar la misma interfaz de red en la misma mquina. v Los dominios individuales de e-community gestionan sus propias identidades de usuario y privilegios asociados. Puede utilizar la API de CDMF (Cross-domain Domain Mapping Function) para correlacionar un usuario de un dominio remoto con un usuario vlido en el dominio local. Si los dominios de e-community comparten identidades de usuario globales, esos usuarios se pueden distinguir mediante contraseas diferentes en los distintos dominios. Por ejemplo, puede haber un usuario abc tanto en el dominio A como en el dominio B, mediante el uso de diferentes contraseas para cada dominio. v La configuracin de e-community se establece en el archivo de configuracin de cada servidor WebSEAL participante. v Si la direccin URL solicitada originalmente no se redirecciona de nuevo al navegador desde MAS (o servidor de garantizacin), podra producirse un problema con el almacenamiento de pginas en la cach si el navegador es Microsoft Internet Explorer. En tal caso, configure el navegador para que siempre compruebe si hay versiones ms nuevas de las pginas almacenadas:
Herramientas > Opciones de Internet > General > Archivos temporales de Internet > Configuracin
v No configure el servidor MAS en la misma interfaz (direccin IP) que otra instancia de servidor WebSEAL participante. v Puesto que algunas configuraciones de WebSEAL requieren la descripcin de los nombres de host de la mquina como nombres de host completos, debe asegurarse de que el sistema y la red puedan tener nombres de mquina como nombres de host completos. Por ejemplo, la utilizacin de nombres de host completos permite mltiples nombres de host (direcciones IP) por mquina, como en el caso de mltiples instancias WebSEAL.
Resolucin de nombres de mquina

E-community tambin puede inhabilitarse despus de iniciar WebSEAL porque la mquina no est bien configurada para resolver nombres de mquina. La mquina en la que reside WebSEAL debe poder resolver totalmente una direccin IP. Puesto que esta funcin es muy especfica del sistema operativo, queda fuera del mbito de documento proporcionar instrucciones. Pngase en contacto con el administrador del sistema si no est seguro de si el sistema tiene las posibilidades apropiadas. La informacin general especfica de Solaris que se ofrece a continuacin slo se proporciona como ejemplo:
291
Objetivo: configurar la mquina para que primero busque informacin sobre DNS en el DNS antes de comprobar el archivo /etc/hosts local. 1. Asegrese de que el archivo /etc/resolv.conf tiene entradas de servidor DNS vlidas. 2. Edite el archivo /etc/nsswitch.conf de modo que la lnea hosts indique el orden correcto para comprobar informacin sobre DNS:
hosts dns files
Objetivo alternativo: configurar la mquina para que primero utilice informacin sobre DNS local (/etc/hosts) antes de comprobar el DNS. 1. Configure la mquina para comprobar /etc/hosts antes de buscar en el DNS. Edite el archivo /etc/nsswitch.conf de modo que la lnea hosts indique el orden correcto para comprobar informacin sobre DNS:
hosts files dns
2. Introduzca la informacin sobre DNS apropiada en /etc/hosts:

webseal1.fully.qualified.com 1.11.111.111 webseal2.fully.qualified.com 2.22.222.222
La informacin general especfica de Windows que se ofrece a continuacin slo se proporciona como ejemplo: 1. Utilice DNS y especifique dos direcciones IP:
Conexiones de red > LAN > Propiedades > TCP/IP
2. Especifique un servidor DNS vlido en Configuracin avanzada:

3. En esta misma ventana, especifique el sufijo DNS principal para esta conexin:
4. En las propiedades del sistema, especifique el nombre del equipo y su sufijo DNS:
Mi PC > Propiedades > ID de red > Propiedades > Nombre del equipo Mi PC > Propiedades > ID de red > Propiedades > Ms > Sufijo de DNS principal
Resumen de la configuracin de e-community

Una e-community se configura bajo las siguientes condiciones y directrices: v El servidor de garantizacin (el MAS o un servidor de garantizacin delegado) siempre tiene la responsabilidad de creacin de la seal v El servidor receptor (donde se encuentra el recurso solicitado) siempre tiene la responsabilidad de consumo de la seal v Un servidor de garantizacin delegado (para todos los dominios remotos del dominio MAS) debe tener tanto la posibilidad de creacin como la posibilidad de consumo de seales Los siguientes pasos de configuracin se detallan en los subapartados restantes de este apartado del captulo acerca de e-community:
Configuracin de la funcionalidad de creacin de seal predeterminada en el servidor de garantizacin

Los siguientes pasos para la configuracin se detallan en los subapartados restantes de este apartado del captulo acerca de e-community. 1. Habilite la autenticacin de e-community para procesar solicitudes de inicio de sesin nico por tipo de comunicacin (e-community-sso-auth).
292
2. Especifique el nombre unificador de e-community para todos los servidores participantes (e-community-name). 3. Configure el mecanismo de autenticacin de inicio de sesin nico incorporado (biblioteca) para token create (creacin de seal) (sso-create). 4. Cree el archivo de claves para codificar y descodificar la seal de garantizacin. Copie el archivo de claves en todos los servidores participantes pertinentes (stanza [e-community-domain-keys]). 5. Configure el parmetro de etiqueta de la seal utilizado en la respuesta de garantizacin (vf-argument). 6. Especifique si este servidor es el MAS o no (is-master-authn-server). 7. Especifique la direccin URL de garantizacin utilizada en la solicitud de garantizacin (vf-url). 8. Configure los valores de duracin de la seal y ec-cookie (vf-token-lifetime y ec-cookie-lifetime).
Configuracin de la funcionalidad de consumo de seal predeterminada en el servidor receptor

Los siguientes pasos para la configuracin se detallan en los subapartados restantes de este apartado del captulo acerca de e-community. 1. Habilite la autenticacin de e-community para procesar solicitudes de inicio de sesin nico por tipo de comunicacin (e-community-sso-auth). 2. Especifique el nombre unificador de e-community para todos los servidores participantes (e-community-name). 3. Configure el mecanismo de autenticacin de inicio de sesin nico incorporado (biblioteca) para token consume (consumo de seal) (sso-consume). 4. Asigne el archivo de claves adecuado (stanza [e-community-domain-keys]). 5. Configure el parmetro de etiqueta de la seal utilizado en la respuesta de garantizacin (vf-argument). 6. Especifique que este servidor no es el MAS (is-master-authn-server). 7. Especifique la direccin URL de garantizacin utilizada en la solicitud de garantizacin (vf-url). 8. Configure los valores de duracin de la seal y ec-cookie (vf-token-lifetime y ec-cookie-lifetime).
1. Habilitacin e inhabilitacin de la autenticacin de e-community

El parmetro e-community-sso-auth, que se encuentra en la stanza [e-community-sso] del archivo de configuracin de WebSEAL, habilita e inhabilita el mtodo de autenticacin de e-community y procesa solicitudes de inicio de sesin nico por tipo de comunicacin. v Para habilitar el mtodo de autenticacin de e-community, escriba http, https o both. Los valores http, https y both especifican el tipo de comunicacin que utilizan los participantes de la e-community. v Para inhabilitar el mtodo de autenticacin de e-community, escriba none. El valor none inhabilita e-community para ese servidor. La configuracin predeterminada es none. Por ejemplo:
[e-community-sso] e-community-sso-auth = https
293
Nota: Debe detener y reiniciar el servidor WebSEAL par poder activar los cambios realizados en el archivo de configuracin de WebSEAL. Siga todos los pasos de configuracin que corresponda de este apartado y, a continuacin, reinicie WebSEAL.
2. Especificacin de un nombre de e-community

El parmetro e-community-name identifica el nombre unificador de e-community para todos los servidores participantes de todos los dominios participantes. Por ejemplo:
[e-community-sso] e-community-name = companyABC
El valor de e-community-name debe ser el mismo para todos los servidores WebSEAL en todos los dominios que participan en e-community.
3. Configuracin de un mecanismo de autenticacin de inicio de sesin nico

La configuracin de e-community predeterminada requiere que habilite los mecanismos de autenticacin de inicio de sesin nico sso-create y sso-consume. El servidor WebSEAL inicial necesita el mecanismo sso-create para crear la seal de garantizacin y la solicitud redireccionada. El servidor WebSEAL receptor requiere el mecanismo sso-consume para descodificar la seal de garantizacin y crear las credenciales del usuario a partir de la informacin de identidad que contiene la seal. Para la configuracin predeterminada de e-community, cada parmetro especifica un archivo de biblioteca de seal de garantizacin incorporada. Una biblioteca contiene el cdigo para la funcin de creacin de la seal y la otra contiene el cdigo para la funcin de consumo de la seal. v En UNIX, los archivos de la biblioteca se denominan libssocreate. {so | a | sl} y libssoconsume. {so | a | sl}. v En Windows, los archivos de la biblioteca son archivos DLL denominados ssocreate.dll y ssoconsume.dll.
Mecanismo de autenticacin sso-create sso-consume Biblioteca de seal de inicio de sesin nico Solaris libssocreate.so libssoconsume.so AIX libssocreate.a libssoconsume.a Windows ssocreate.dll ssoconsume.dll HP-UX libssocreate.sl libssoconsume.sl
Puede configurar el mecanismo de autenticacin de e-community especificando los parmetros sso-create y sso-consume con el nombre de la ruta de acceso completo del archivo de biblioteca predeterminado especfico de la plataforma adecuada en la stanza [authentication-mechanism] del archivo de configuracin de WebSEAL. Por ejemplo: Solaris:
[authentication-mechanisms] sso-create = /opt/pdwebrte/lib/libssocreate.so sso-consume = /opt/pdwebrte/lib/libssoconsume.so
Windows:
[authentication-mechanisms] sso-create = C:\Archivos de programa\Tivoli\PDWebRTE\bin\ssocreate.dll sso-consume = C:\Archivos de programa\Tivoli\PDWebRTE\bin\ssoconsume.dll
294
4. Cifrado de la seal de garantizacin

WebSEAL debe cifrar los datos de autenticacin ubicados en la seal mediante una clave generada por la utilidad cdsso_key_gen. Debe sincronizar esta clave compartiendo el archivo de claves con cada servidor WebSEAL en cada dominio participante. Todos los servidores WebSEAL participantes de cada dominio deben utilizar la misma clave. Nota: La distribucin de los archivos de claves no es parte del proceso de e-community de Tivoli Access Manager. Debe copiar manualmente y de forma segura las claves para cada servidor participante. La utilidad cdsso_key_gen requiere que especifique la ubicacin (nombre de ruta de acceso absoluta) del archivo de claves cuando ejecute la utilidad. Tambin debe utilizar un nombre de ruta de acceso completo para ejecutar esta utilidad: UNIX:
# /opt/pdwebrte/bin/cdsso_key_gen <ubicacin-archivo-claves>
Windows:
MSDOS> C:\Archivos de programa\Tivoli\PDWebRTE\bin\cdsso_key_gen <ubicacin-archivo-claves>
La ubicacin de los archivos de claves utilizados para asegurar las seales enviadas entre los servidores participantes de e-community se especifica en la stanza [e-community-domain-keys].
[e-community-domain-keys] <nombre-dominio> = <ruta-acceso-archivo-claves-completa> <nombre-dominio> = <ruta-acceso-archivo-claves-completa>
Claves de dominio de e-community

La ubicacin de los archivos de claves utilizados para cifrar y descifrar las seales intercambiadas entre los servidores participantes de e-community se especifica en la stanza [e-community-domain-keys]. Debe especificar los nombres de dominio completos de los servidores y las rutas de acceso completas de las ubicaciones de los archivos de claves. El siguiente ejemplo proporciona al MAS (dominio A) los archivos de claves para comunicarse con dos dominios remotos (dB y dC) y una clave para comunicarse con otros servidores del dominio A:
[e-community-domain-keys] dA.com = /abc/xyz/key.fileA-A dB.com =/abc/xyz/key.fileA-B dC.com =/abc/xyz/key.fileA-C
En este ejemplo, key.fileA-A identifica el archivo de claves que se utiliza entre todos los servidores del dominio A. key.fileA-B identifica el archivo de claves que se utiliza entre el dominio A y el dominio B. key.fileA-C identifica el archivo de claves que se utiliza entre el dominio A y el dominio C. Cada servidor remoto necesita una copia del archivo de claves adecuado utilizado por el MAS. Para intercambiar las seales con el MAS (dominio A), todos los servidores del dominio B necesitan copias de key.fileA-B:
[e-community-domain-keys] dA.com =/efg/hij/key.fileA-B
295
Para intercambiar las seales con el MAS (dominio A), todos los servidores del dominio C necesitan copias de key.fileA-C:
[e-community-domain-keys] dA.com =/efg/hij/key.fileA-C
Cualquier servidor del dominio A que utilice los servicios de autenticacin proporcionados por el MAS debe tener una copia de key.fileA-A:
[e-community-domain-keys] dA.com =/efg/hij/key.fileA-A
En este ejemplo, key.fileB-B identifica el archivo de claves que se utiliza entre todos los servidores del dominio B. Del mismo modo, key.fileC-C identifica el archivo de claves que se utiliza entre todos los servidores del dominio C.
[e-community-domain-keys] dB.com =/efg/hij/key.fileB-B dC.com =/efg/hij/key.fileC-C
5. Configuracin de un nombre de etiqueta de la seal de garantizacin

La informacin de autenticacin utilizada para una transaccin de inicio de sesin nico se coloca en la solicitud redireccionada como argumento de cadena de consulta de seal cifrada para la solicitud. Esta cadena de seal requiere un nombre, o etiqueta, para su identificacin. El nombre de etiqueta identifica de manera exclusiva la solicitud para el servidor WebSEAL receptor como una solicitud de inicio de sesin nico que gestionar el mecanismo de consumo de la seal de inicio de sesin nico (biblioteca). Debe configurar esta etiqueta de la seal en ambos servidores WebSEAL que participan en la funcionalidad de inicio de sesin nico. Para configurar la etiqueta de la seal, utilice el parmetro vf-argument que se encuentra en la stanza [e-community-sso] del archivo de configuracin de WebSEAL. Por ejemplo (predeterminado):
[e-community-sso] vf-argument = PD-VF
Consulte el apartado Inicio de sesin nico de e-community en la pgina 475.
6. Especificacin del servidor de autenticacin maestro (MAS)

Debe especificar qu mquina servidor de e-community funcionar como servidor de autenticacin maestro (MAS). Tambin debe especificar si una mquina servidor no es el MAS. is-master-authn-server Utilice el parmetro is-master-authn-server para especificar si un servidor es el MAS o no. Los valores incluyen s o no. Por ejemplo:
[e-community-sso] is-master-authn-server = yes
Se pueden configurar varios WebSEAL para actuar como servidores maestros de autenticacin y, a continuacin, colocarlos detrs de un equilibrador de carga. En ese caso, todos los dems servidores WebSEAL de e-community reconocen el equilibrador de carga como el MAS.
296
Si el servidor que est configurando no es el MAS, utilice master-authn-server para especificar a este servidor la ubicacin del MAS. master-authn-server Si el parmetro is-master-authn-server se establece en no, este parmetro debe descomentarse y eliminarse. El parmetro identifica el nombre de dominio completo del MAS. Por ejemplo:
[e-community-sso] master-authn-server = mas.dA.com
Adems, puede especificar los puertos de escucha HTTP y HTTPS utilizados por el MAS si estos valores de puerto son diferentes al predeterminado (puerto 80 para HTTP y puerto 4443 para HTTPS). master-http-port Si e-community-sso-auth habilita la autenticacin de e-community HTTP y el servidor de autenticacin maestro escucha las solicitudes HTTP en un puerto que no sea el puerto HTTP estndar (puerto 80), el parmetro master-http-port identifica el puerto no estndar. Este parmetro se omite si este servidor es el servidor maestro de autenticacin. De forma predeterminada, este parmetro est inhabilitado.
[e-community-sso] master-http-port = <nmero-puerto>
master-https-port Si e-community-sso-auth habilita la autenticacin de e-community HTTPS y el servidor de autenticacin maestro escucha las solicitudes HTTPS en un puerto que no sea el puerto HTTPS estndar (puerto 443), el parmetro master-http-port identifica el puerto no estndar. Este parmetro se omite si este servidor es el servidor maestro de autenticacin. De forma predeterminada, este parmetro est inhabilitado.
[e-community-sso] master-https-port = <nmero-puerto>
7. Especificacin de la direccin URL de garantizacin

vf-url El parmetro vf-url especifica la direccin URL de garantizacin. El valor debe comenzar con una barra inclinada (/). El valor predeterminado es /pkmsvouchfor. Por ejemplo:
[e-community-sso] vf-url = /pkmsvouchfor
Tambin puede expresar una direccin URL ampliada:

vf-url = /ecommA/pkmsvouchfor
La direccin URL ampliada se utiliza cuando el cliente se comunica con un MAS que no es un servidor WebSEAL. Este uso de vf-url permite al cliente especificar
297
el acceso a un servidor MAS con una biblioteca de autenticacin especializada, como la biblioteca de consumo de seales personalizada.
8. Configuracin de los valores de duracin de seal y ec-cookie

vf-token-lifetime El parmetro vf-token-lifetime establece el valor de tiempo de espera de duracin (en segundos) de la seal de garantizacin. Este valor se comprueba comparndolo con la hora de creacin indicada en la cookie. El valor predeterminado es 180 segundos. Debe tener en cuenta las diferencias horarias entre los servidores participantes. Por ejemplo:
[e-community-sso] vf-token-lifetime = 180
ec-cookie-lifetime El parmetro ec-cookie-lifetime especifica la duracin mxima (en minutos) de la cookie de dominio de e-community. El valor predeterminado es 300 minutos. Por ejemplo:
[e-community-sso] ec-cookie-lifetime = 300
Debe tener en cuenta las diferencias horarias entre los dominios participantes. La diferencia horaria significa que las horas del sistema difieren en los servidores relevantes de cada dominio. Cuando esta diferencia se aproxima al valor de vf-token-lifetime, la duracin efectiva de la seal se reduce en gran medida. Cuando esta diferencia supera el valor de vf-htoken-lifetime, las seales de un dominio no pueden ser vlidas para el otro dominio. Los administradores deben ajustar vf-token-lifetime en consecuencia. Sin embargo, cuando la diferencia horaria requiere que vf-token-lifetime est establecido en un valor elevado, el riesgo de ataques de resolicitud aumenta. En este caso, los administradores deben considerar la sincronizacin de la hora del sistema en los servidores relevantes de cada uno de los dominios. Consulte el apartado Inicio de sesin nico de e-community en la pgina 475.
Habilitacin del acceso no autenticado

Puede controlar si los usuarios no autenticados pueden acceder a recursos no protegidos de servidores esclavos SSO de e-community. Cuando se otorga este acceso a los usuarios no autenticados, el servidor esclavo puede servir los recursos sin solicitar que el usuario se autentique a travs del servidor de autenticacin maestro. Cuando esta poltica est configurada, el servidor esclavo redireccionar al servidor de autenticacin maestro slo en el caso en que el cliente solicite acceso a un recurso protegido. Esta poltica se establece a travs de un valor del archivo de configuracin de WebSEAL:
[e-community-sso] ecsso-allow-unauth = {yes|no}
298
Cuando ecsso-allow-unauth est establecido en yes, se habilita el acceso no autenticado. El valor predeterminado es yes. Cuando ecsso-allow-unauth est establecido en no, se inhabilita el acceso no autenticado. En tal caso, los clientes debern autenticarse a travs del servidor de autenticacin maestro cuando soliciten acceso a un recurso (protegido o no protegido) de un servidor esclavo SSO de e-community. Nota: El comportamiento predeterminado cambi para WebSEAL versin 5.1. En versiones anteriores, el acceso no autenticado estaba inhabilitado. Para mantener el comportamiento de compatibilidad con versiones anteriores de WebSEAL, establezca ecsso-allow-unauth = no.
Codificacin UTF-8 de seales para el inicio de sesin nico de e-community

El uso de la codificacin UTF-8 para cadenas en las seales que se utilizan para el inicio de sesin nico en e-community se especifica en el archivo de configuracin de WebSEAL.
[e-community-sso] use-utf8 = {yes|no}
El valor predeterminado es yes. Cuando el parmetro use-utf8 est establecido en no, las cadenas se codifican utilizando la pgina de cdigos local. Utilice este valor si implementa el inicio de sesin nico en e-community con servidores WebSEAL ms antiguos (anteriores a la versin 5.1). Los servidores WebSEAL de versiones anteriores a la 5.1 no utilizan la codificacin UTF-8 para seales. Cuando realice el despliegue en un entorno que incluye estos servidores ms antiguos, configure el servidor WebSEAL de la versin 5.1 de modo que no utilice codificacin UTF-8. Este valor es necesario para la compatibilidad con versiones anteriores. Para obtener informacin sobre el soporte de WebSEAL para la codificacin UTF-8, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
Habilitacin de la compatibilidad con seales anteriores a la versin 4.1

En el release de la versin 4.1 de Tivoli Access Manager, se increment el nivel de seguridad para el cifrado de la seal de autenticacin. El algoritmo de cifrado de la versin 4.1 no es compatible con versiones anteriores. Si est integrando ECSSO con servidores que utilicen versiones de Tivoli Access Manager anteriores a la 4.1, deber habilitar el parmetro pre-410-compatible-tokens de la stanza [server] del archivo de configuracin de WebSEAL. Por ejemplo:
pre-410-compatible-tokens = yes
Habilitacin de la compatibilidad con versiones anteriores para seales de la versin 4.1

Para Tivoli Access Manager versin 5.1, cambi el formato del cifrado de la seal de autenticacin. Este algoritmo de cifrado no es compatible con versiones anteriores. Si est integrando seales de autenticacin con servidores WebSEAL de
299
la versin 4.1, debe especificar un valor de archivo de configuracin en el archivo de configuracin de WebSEAL para habilitar la compatibilidad inversa. La compatibilidad con versiones anteriores con el formato de cifrado antiguo no est habilitada de forma predeterminada:

Nota: Para habilitar la compatibilidad con versiones anteriores con servidores WebSEAL anteriores a la versin 4.1, debe establecer un parmetro adicional. Consulte el apartado Habilitacin de la compatibilidad con seales anteriores a la versin 4.1 en la pgina 299.
Especificacin de los atributos ampliados que deben agregarse a la seal

En el archivo de configuracin de WebSEAL, puede especificar atributos ampliados de una credencial de usuario para agregarlos a la seal de inicio de sesin nico entre dominios. Los atributos ampliados contienen informacin sobre una identidad de usuario que se agrega a una lista de atributos ampliados al crear una credencial de usuario. Los atributos ampliados pueden agregarse mediante distintos mecanismos de autenticacin, incluyendo servicios de autenticacin externos (CDAS). Los servicios CDAS pueden utilizarse, por ejemplo, para obtener informacin de usuario de un registro que sea externo a Tivoli Access Manager. Puede utilizar este valor para personalizar el contenido de la seal del inicio de sesin nico de e-community. Esta funcin permite adaptar el contenido de la seal para satisfacer las necesidades del dominio de destino. Si utiliza esta funcin para agregar un atributo a una seal, tambin debe configurar el archivo de configuracin de WebSEAL para el servidor en el dominio de destino. Para el servidor de destino, la stanza [ecsso-incoming-attributes] se utiliza para especificar el manejo (extraer u omitir) de cada atributo. Puede especificar los atributos ampliados por nombres o declarar un patrn que coincida con varios nombres de atributo. Puede utilizar los caracteres comodn estndar de Tivoli Access Manager.
Tabla 34. Caracteres comodn soportados Carcter \ Descripcin El carcter que sigue a la barra inclinada invertida forma parte de una secuencia especial. Puede utilizarse para omitir los dems caracteres comodn del patrn: (? * [ ] ^). Para establecer una coincidencia con el carcter de barra inclinada invertida, utilice \\. Carcter comodn que coincide con un solo carcter. Por ejemplo, la cadena de caracteres abcde coincide con la expresin ab?de Carcter comodn que coincide con cero o ms caracteres. Define un juego de caracteres del cual puede coincidir cualquiera de los caracteres. Por ejemplo, la cadena abcde coincide con la expresin regular ab[cty]de.
? * []
300
Tabla 34. Caracteres comodn soportados (continuacin) Carcter ^ Descripcin Indica una negacin. Por ejemplo, la expresin [âb] coincide con cualquier carcter excepto los caracteres a o b.
A cada entrada de WebSEAL se le asigna el nombre del dominio para el que se ha concebido la seal. Este nombre toma uno o ms argumentos que especifican nombres o patrones. La sintaxis es la siguiente:
[ecsso-token-attributes] nombre_dominio = patrn1 [patrn2], ... [patrnN] <default> = patrn1 [patrn2], ... [patrnN]
La entrada <default> es opcional. Cuando WebSEAL no encuentra ninguna entrada que coincida con el nombre del dominio, WebSEAL busca una entrada <default>. Si el archivo de configuracin contiene una entrada <default>, WebSEAL utiliza los patrones de atributo asignados para el dominio actual. La cadena <default> es una palabra clave y debe especificarse exactamente como se muestra, incluidos los caracteres < y >. Ejemplo: est creando una solucin de inicio de sesin nico de e-community entre dos dominios, example1.com y example2.com. Los usuarios inician una sesin en example1.com pero pueden ser redireccionados a example2.com durante la sesin de usuario. El despliegue incluye un CDAS personalizado que inserta informacin en cada credencial de usuario. La informacin incluye un atributo de nombre fijo job_category y un nmero variable de atributos, cada uno con el prefijo formado por los caracteres "my_cdas_attr_. Esta informacin debe agregarse a la seal entre dominios. Las entradas del archivo de configuracin seran las siguientes:
example2.com = job_category, my_cdas_attr_*
Especificacin de los atributos ampliados que deben extraerse de la seal

En el archivo de configuracin de WebSEAL, puede especificar el modo en que la biblioteca de consumo de seales maneja los atributos ampliados que se han agregado a una seal de inicio de sesin nico de e-community. Los atributos pueden extraerse u omitirse. En algunos casos, debe extraer los atributos porque un servidor del dominio de destino no tiene forma de generarlos. En otros casos, no es aconsejable extraer seales, ya que el servidor del dominio de destino puede utilizar un proceso independiente para recopilar los mismos atributos ampliados. Por ejemplo, el atributo podra reflejar una marca de fecha y hora que deba reflejar la hora del sistema en el servidor de destino. En la biblioteca de consumo de seales, los atributos que se extraen de la seal pasan a travs de la biblioteca de infraestructuras de correlacin entre dominios. La biblioteca predeterminada de infraestructuras de correlacin entre dominios pasa los atributos directamente a travs de la credencial de usuario. Las bibliotecas personalizadas de infraestructuras de correlacin entre dominios pueden manipular los atributos segn sea necesario antes de pasarlos a la credencial de usuario. La sintaxis para las entradas es la siguiente:
[ecsso-incoming-attributes] patrn_atributo = {preserve|refresh}
301
Generalmente, los nombres de los atributos ampliados (patrn_atributo) coinciden con los nombres de los atributos especificados en la stanza [ecsso-tokenattributes] del archivo de configuracin del servidor WebSEAL que genera las seales. El valor debe ser una de las palabras clave siguientes: v preserve Extrae todos los atributos que coinciden con el patrn_atributo. v refresh No extrae los atributos que coinciden con el patrn_atributo. Los atributos ampliados de la seal que no coinciden con ninguna entrada de la stanza [ecsso-incoming-attributes] se conservan (extraen). El orden de las entradas de la stanza es importante. Se utiliza la primera entrada que coincide con un nombre de atributo. Las dems entradas se omiten. Por ejemplo, si desea extraer un atributo denominado my_special_attr1, pero desea omitir todas las dems entradas que tengan el prefijo my_special_attr_, las entradas de la stanza seran las siguientes:
[ecsso-incoming-attributes] my_special_attr1 = preserve my_special_attr_* = refresh
Utilizando los ejemplos mostraros anteriormente en el apartado Especificacin de los atributos ampliados que deben agregarse a la seal en la pgina 300, las entradas del archivo de configuracin de WebSEAL para un servidor que funciona en el dominio example2.com podran ser las siguientes:
[ecsso-incoming-attributes] job_category = preserve my_cdas_attr_1 = preserve my_cdas_attr_* = refresh
En este ejemplo, los atributos job_category y my_cdas_attr_1 se extraen de la seal. El resto de atributos que presentan el prefijo my_cdas_attr_ se omiten.
302

Una unin de WebSEAL es una conexin HTTP o HTTPS entre un servidor WebSEAL frontal y un servidor de aplicaciones web de fondo. Las uniones combinan lgicamente el espacio web del servidor de fondo con el espacio web del servidor WebSEAL, lo cual crea una vista unificada de todo el espacio de objetos web. Una unin permite a WebSEAL proporcionar servicios de proteccin en nombre del servidor de fondo. WebSEAL realiza comprobaciones de autenticacin y autorizacin en todas las solicitudes de recursos antes de pasar dichas solicitudes a travs de una unin al servidor de fondo. Las uniones tambin permiten una variedad de soluciones de inicio de sesin nico entre un cliente y la aplicacin de unin de fondo. Puede crear uniones de WebSEAL con la utilidad de lnea de comandos pdadmin o con Web Portal Manager (WPM). Este captulo describe los detalles de las distintas opciones para configurar uniones WebSEAL. ndice de temas: v Visin general de las uniones WebSEAL en la pgina 304 v Gestin de uniones con Web Portal Manager en la pgina 306 v Utilizacin de pdadmin para crear uniones en la pgina 308 v Configuracin de una unin WebSEAL bsica en la pgina 309 v Uniones SSL autenticadas mutuamente en la pgina 312 v Creacin de uniones de proxy TCP y SSL en la pgina 316 v v v v v Uniones WebSEAL a WebSEAL a travs de SSL en la pgina 317 Modificacin de las direcciones URL de recursos de fondo en la pgina 318 Opciones adicionales de unin en la pgina 330 Notas tcnicas para utilizar uniones WebSEAL en la pgina 341 Utilizacin de query_contents con servidores de terceros en la pgina 344
303
Visin general de las uniones WebSEAL

Puede crear los siguientes tipos de unin WebSEAL: v De WebSEAL a servidor de fondo a travs de una conexin v De WebSEAL a servidor de fondo a travs de una conexin v De WebSEAL a servidor de fondo a travs de una conexin servidor proxy HTTP v De WebSEAL a servidor de fondo a travs de una conexin servidor proxy HTTPS v De WebSEAL a WebSEAL a travs de una conexin SSL TCP SSL TCP mediante el SSL mediante el
Debe ocuparse de los dos temas siguientes al crear una unin: 1. Decidir dnde conectar (montar) el servidor de aplicaciones web en el espacio de objetos de WebSEAL. 2. Elegir el tipo de unin.
Ubicacin y formato de la base de datos de uniones

La informacin de uniones de WebSEAL ahora se almacena en archivos de bases de datos con formato XML. La ubicacin del directorio de la base de datos de uniones se define en la stanza [junction] del archivo de configuracin de WebSEAL. El directorio es relativo a la raz del servidor WebSEAL (parmetro server-root en la stanza [server]):
[junction] junction-db = jct
v Cada unin se define en un archivo independiente con una extensin .xml. v Use la utilidad pdadmin para crear y gestionar las uniones y las opciones. v El formato XML permite crear, editar, duplicar y hacer copia de seguridad manualmente de los archivos de unin.
Aplicacin del control de accesos flexible: resumen

1. Use la utilidad pdadmin o Web Portal Manager para crear una unin entre WebSEAL y el servidor de fondo. 2. Coloque una poltica de ACL apropiada en el punto de unin para proporcionar un control flexible al servidor de fondo.
Aplicacin del control de accesos estricto: resumen

1. Use la utilidad pdadmin o Web Portal Manager para crear una unin entre WebSEAL y el servidor de fondo. WebSEAL no puede consultar automticamente y comprender un sistema de archivos de terceros. Debe informar a WebSEAL del espacio de objetos de terceros mediante una aplicacin especial denominada query_contents, que hace un inventario del espacio web de terceros e informa a WebSEAL acerca de la estructura y el contenido. 2. Copie el programa query_contents en el servidor de terceros. 3. Aplique la poltica de ACL a los objetos apropiados del espacio de objetos unificado.
Directrices para la creacin de uniones WebSEAL

Las siguientes directrices resumen las reglas para las uniones:
304
v Puede agregar una unin en cualquier punto del espacio de objetos de WebSEAL principal v Puede conectar varios servidores de fondo replicados al mismo punto de montaje Los diversos servidores de fondo replicados montados en el mismo punto de unin deben ser del mismo tipo TCP o SSL v Las polticas de ACL se heredan a travs de las uniones en los servidores de terceros v El nombre del punto de unin debe ser exclusivo y no debe coincidir con ningn directorio del espacio web del servidor WebSEAL local. Por ejemplo, si WebSEAL tiene recursos del tipo /path/..., no cree un punto de unin con el nombre /path. v El punto de unin no debe coincidir con ningn directorio del espacio web del servidor de fondo si las pginas HTML del servidor contienen programas (por ejemplo, Javascript o applets) con direcciones URL de ese directorio relativas al servidor. Por ejemplo, si las pginas del servidor de fondo contienen programas con una URL del tipo /path/..., no cree un punto de unin con el nombre /path. v No cree varias uniones WebSEAL que apunten al mismo servidor/puerto de aplicacin de fondo. Este tipo de configuracin puede provocar un control imprevisible de acceso a los recursos y, por consiguiente, no es una estrategia de configuracin de Tivoli Access Manager recomendada o soportada. Cada unin WebSEAL puede protegerse mediante un conjunto exclusivo de controles de accesos (ACL). No obstante, la poltica de ACL de cada unin recin creada se solapa sobre las polticas de las uniones creadas previamente y conectadas al mismo servidor de fondo/puerto. Las uniones posteriores protegidas con unas ACL ms permisivas pueden comprometer uniones anteriores con unas ACL menos permisivas. WebSEAL y el modelo de autorizacin de Tivoli Access Manager no pueden garantizar un control de accesos seguro con este tipo de implementacin de unin. v WebSEAL da soporte a HTTP 1.1 a travs de uniones. Nota: Tambin puede utilizar la interfaz grfica de usuario de Tivoli Access Manager Web Portal Manager para crear uniones. Para obtener ms informacin, consulte las pantallas de ayuda en lnea de Web Portal Manager.
Informacin de consulta adicional para uniones WebSEAL

Consulte el apartado Informacin sobre las uniones WebSEAL en la pgina 11 para obtener una visin general conceptual de las uniones WebSEAL. Consulte el apartado Apndice B, Informacin de consulta de las uniones WebSEAL, en la pgina 537 para obtener informacin completa acerca de las opciones de comandos de unin.
305
Gestin de uniones con Web Portal Manager

Puede utilizar la interfaz grfica de usuario de Tivoli Access Manager Web Portal Manager para crear, listar y eliminar uniones.
Creacin de una unin con Web Portal Manager

Para crear una unin mediante Web Portal Manager: Inicie una sesin en el dominio. Haga clic en WebSEAL Crear unin. Seleccione la instancia Nombre de servidor WebSEAL. Escriba el nombre del punto de unin. Seleccione un tipo de unin. Para obtener ayuda en lnea sobre los tipos a los que se da soporte, haga clic en el icono ? situado en la esquina superior derecha. 6. Especifique la informacin de configuracin que corresponda al tipo de unin que haya seleccionado. Observe que los campos de la ventana de Web Portal Manager cambian en funcin del tipo de unin. Seleccione las casillas de verificacin apropiadas y escriba los valores necesarios en las secciones siguientes: v Informacin del servidor v Cabeceras de identidad del cliente v Opciones generales v Autenticacin bsica Para obtener ayuda en lnea para cada seccin de configuracin, haga clic en el icono ? situado en la esquina superior derecha. 1. 2. 3. 4. 5. 7. Cuando configure el inicio de sesin nico mediante LTPA para WebSphere, especifique los valores para la seccin Inicio de sesin nico de WebSphere. 8. Cuando configure varias uniones, puede controlar la asignacin de los threads de trabajo especificando los valores para la seccin Ecuanimidad de unin. Nota: El valor predeterminado para Lmite dinmico es 90%. La ayuda en lnea indica, errneamente, que el valor predeterminado es 100%. Para obtener ms informacin sobre la ecuanimidad de las uniones, consulte el apartado Gestin de la asignacin de threads de trabajo en la pgina 44.
Lista de uniones utilizando Web Portal Manager

Para listar las uniones configuradas utilizando Web Portal Manager: 1. Inicie una sesin en el dominio. 2. Haga clic en WebSEAL Lista de uniones. 3. Seleccione la instancia Nombre de servidor WebSEAL. 4. Haga clic en Mostrar uniones.
Eliminacin de uniones utilizando Web Portal Manager

Para eliminar una o ms uniones configuradas utilizando Web Portal Manager: 1. Inicie una sesin en el dominio. 2. Haga clic en WebSEAL Lista de uniones. 3. Seleccione la instancia Nombre de servidor WebSEAL. 4. Haga clic en Mostrar uniones.
306
5. Seleccione la casilla de verificacin que se encuentra junto al nombre de la unin y haga clic en Eliminar. Puede eliminar varias uniones al mismo tiempo.
307
Utilizacin de pdadmin para crear uniones

Antes de utilizar pdadmin, debe iniciar la sesin en un dominio seguro como usuario de administracin sec_master. Nota: Tambin puede utilizar la interfaz grfica de usuario de Tivoli Access Manager Web Portal Manager para crear uniones. Para obtener ms informacin, consulte las pantallas de ayuda en lnea de Web Portal Manager. Por ejemplo: UNIX:
Windows:
MSDOS> pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
Para crear uniones WebSEAL, utilice el comando pdadmin server task create:
pdadmin> server task nombre_servidor-nombre_host create opciones
Por ejemplo, si el nombre configurado de un nico servidor WebSEAL es default, el nombre_servidor es default-webseald seguido por -nombre_host. Por ejemplo, el nombre del servidor sera:
default-webseald-cruz.dallas.ibm.com
Si instala mltiples instancias de servidor WebSEAL en la misma mquina, el servidor-Access-Manager es el nombre configurado de la instancia de servidor WebSEAL, seguido de webseald y del nombre de host:
nombre_instancia-webseald-nombre-host
Por ejemplo, si los nombres configurados de dos instancias adicionales de WebSEAL son webseal2 y webseal3, las identificaciones de servidor aparecen como:
webseal2-webseald-cruz webseal3-webseald-cruz
Utilice el comando server list para verificar la identificacin de servidor:

pdadmin> server list default-webseald-cruz webseal2-webseald-cruz webseal3-webseald-cruz
Para obtener ms informacin, consulte la pgina de informacin de consulta para pdadmin server task create (WebSEAL) en la publicacin IBM Tivoli Access Manager for e-business Command Reference.
308
Configuracin de una unin WebSEAL bsica

WebSEAL da soporte a las uniones TCP estndar (HTTP) y SSL seguras (HTTPS) entre WebSEAL y los servidores de aplicaciones web. La unin entre WebSEAL y el servidor de fondo es independiente del tipo de conexin (y su nivel de seguridad) entre el cliente y el servidor WebSEAL. Las opciones de comando obligatorias que son necesarias para crear una unin WebSEAL bsica mediante pdadmin son: v Nombre de host del servidor de aplicaciones de fondo (opcin h) v Tipo de unin: tcp, ssl, tcpproxy, sslproxy, local (opcin t) v Punto de unin (punto de montaje)
pdadmin> server task nombre_instancia-webseald-nombre-host \ create -t tipo -h nombre_host punto_unin
Por ejemplo:
pdadmin> server task web1-webseald-cruz create -t tcp -h doc.tivoli.com /pubs
Nota: Es recomendable, como hbito, utilizar siempre el nombre de dominio completo del servidor de fondo cuando se especifica el argumento para la opcin h.
Creacin de uniones de tipo TCP

Una unin WebSEAL a travs de una conexin TCP proporciona las propiedades bsicas de una unin pero no proporcionan una comunicacin segura a travs de sta. Para crear una unin TCP segura y agregar un servidor inicial, utilice el comando create con la opcin t tcp:
pdadmin> server task webseald-nombre-instancia create -t tcp -h nombre-host \ [-p port] punto-unin
El valor de puerto predeterminado para una unin TCP (si no est especificado) es 80.
Creacin de uniones de tipo SSL

Las uniones SSL funcionan exactamente igual que las uniones TCP, con el valor aadido de que todas las comunicaciones entre WebSEAL y el servidor de fondo estn cifradas. Las uniones SSL permiten transacciones seguras de navegador a aplicacin de extremo a extremo. Puede utilizar SSL para las comunicaciones seguras del cliente a WebSEAL y de WebSEAL al servidor de fondo. El servidor de fondo debe tener HTTPS habilitado al utilizar una unin SSL. Para crear una unin SSL segura y agregar un servidor inicial, utilice el comando create con la opcin t ssl:
pdadmin> server task nombre_instancia-webseald-nombre-host create -t ssl \ -h nombre_host [-p port] punto_unin
El valor de puerto predeterminado para una unin SSL (si no est especificado) es 443.
309
Verificacin del certificado de servidor de fondo

Cuando un cliente realiza una solicitud para un recurso del servidor de fondo, WebSEAL, en su rol como servidor de seguridad, realiza la solicitud en nombre del cliente. El protocolo SSL especifica que, cuando se realiza una solicitud al servidor de fondo, el servidor debe probar su identidad utilizando un certificado del servidor. Cuando WebSEAL recibe este certificado del servidor de fondo, debe verificar su autenticidad comparndolo con una lista de certificados raz de CA almacenados en su base de datos de certificados. Tivoli Access Manager utiliza la implementacin de SSL de IBM Global Security Kit (GSKit). Debe usar la utilidad iKeyman de GSKit para agregar el certificado raz de la CA que firm el certificado de fondo en el archivo de claves del certificado de WebSEAL (pdsvr.kdb).
Ejemplos de uniones de SSL

Host de unin sales.tivoli.com en el punto de unin /sales a travs de SSL:
pdadmin> server task web1-webseald-cruz sales.tivoli.com /sales create -t ssl -h \
Nota: En el ejemplo anterior, la opcin t ssl establece el puerto predeterminado 443. Host de unin travel_svr en puerto 4443 en el punto de unin /travel a travs de SSL:
pdadmin> server task web1-webseald-cruz create -t ssl -p 4443 \ -h travel_svr /travel
Inhabilitacin de las versiones de protocolo SSL para las uniones

Opcionalmente, puede inhabilitar una o ms versiones de protocolo SSL para las uniones. De forma predeterminada, las versiones de SSL soportadas estn habilitadas. El archivo de configuracin de WebSEAL proporciona, de forma predeterminada, las entradas siguientes:
[junction] disable-ssl-v2 = no disable-ssl-v3 = no disable-tls-v1 = no
Para inhabilitar una versin de protocolo SSL para uniones, establezca la entrada correspondiente en yes.
Adicin de servidores de fondo a una unin

Para aumentar la disponibilidad de los recursos protegidos por Tivoli Access Manager, puede realizar uniones de mltiples servidores de fondo de rplica en el mismo punto de unin. v Varios servidores de fondo con la misma unin en el mismo punto deben tener versiones de WebSEAL idnticas y espacios de documentos web idnticos. v Varios servidores de fondo con la misma unin en el mismo punto deben usar el mismo tipo de conexin (TCP o SSL). v WebSEAL utiliza un algoritmo de menos ocupado para determinar cul es la rplica de servidor de fondo que tiene un nmero menor de conexiones de solicitud y reenva las solicitudes nuevas a ese servidor.
310
Cree la unin inicial. Por ejemplo:

pdadmin> server task web1-webseald-cruz create -t tcp -h server1 /sales
Agregue una rplica de servidor de fondo adicional. Por ejemplo:

pdadmin> server task web1-webseald-cruz add -h server2 /sales
311
Uniones SSL autenticadas mutuamente

WebSEAL da soporte a la autenticacin mutua entre un servidor WebSEAL y un servidor de fondo a travs de una unin SSL (t ssl o t sslproxy). El siguiente esquema resume las funciones soportadas para la autenticacin mutua a travs de SSL (se incluyen las opciones de comando en la lista donde es pertinente): 1. WebSEAL autentica el servidor de fondo (proceso SSL normal) v WebSEAL valida el certificado del servidor desde el servidor de fondo. Consulte el apartado WebSEAL valida el certificado de servidor de fondo. v WebSEAL verifica el nombre distinguido (DN) que contiene el certificado (D) (opcional, pero muy recomendable). Vase el apartado Coincidencia de Nombre distinguido (DN). 2. El servidor de fondo autentica WebSEAL (dos mtodos) v El servidor de fondo valida el certificado de cliente de WebSEAL (K). Consulte el apartado WebSEAL se autentica con un certificado de cliente en la pgina 313. v El servidor de fondo valida la informacin de identidad de WebSEAL en la cabecera de autenticacin bsica (BA) (B, U, W). Vase el apartado WebSEAL se autentica con una cabecera de BA en la pgina 313. Las opciones de comando que controlan la autenticacin mutua a travs de SSL proporcionan las siguientes funciones: v Puede especificar el certificado de cliente o el mtodo de autenticacin BA. v Puede aplicar mtodos de autenticacin en funcin de cada unin. Obtendr consideraciones especiales para combinar las opciones b (para gestionar informacin de BA) con la autenticacin mutua a travs de SSL en el apartado Gestin de informacin de identidad de cliente entre uniones en la pgina 314.
WebSEAL valida el certificado de servidor de fondo

WebSEAL verifica un certificado de servidor de fondo segn el protocolo SSL estndar. El servidor de fondo enva su certificado de servidor a WebSEAL. WebSEAL valida el certificado de servidor comparndolo con una lista predefinida de certificados raz de CA (entidad emisora de certificados). Los certificados de CA (entidad emisora de certificados) que forman la cadena fiable para el certificado de servidor de aplicaciones (de la CA firmante al certificado raz, ste incluido) deben estar incluidos en la base de datos de claves que utiliza WebSEAL. Use la utilidad iKeyman para crear y gestionar la base de datos de certificados raz de CA.
Coincidencia de Nombre distinguido (DN)

Puede mejorar la verificacin de certificados de servidor a travs de la coincidencia del Nombre distinguido (DN). Para habilitar la coincidencia de DN del servidor, debe especificar el DN del servidor de fondo al crear la unin SSL con ese servidor. Aunque la coincidencia de DN es una configuracin opcional, es muy recomendable que se implemente esta funcin con la autenticacin mutua a travs de las uniones SSL.
312
Durante la verificacin de certificados de servidor, el DN contenido en el certificado se compara con el DN definido por la unin. La conexin con el servidor de fondo falla si los dos DN no coinciden. Para habilitar la coincidencia de DN del servidor, debe especificar el DN de servidor de fondo cuando cree una unin SSL utilizando la opcin D DN. Para preservar los espacios en blanco de la cadena, especifique la cadena de DN entre comillas. Por ejemplo:
-D "/C=US/O=Tivoli/OU=SecureWay/CN=Access Manager"
La opcin D slo es adecuada cuando se utiliza con la opcin K o B.
WebSEAL se autentica con un certificado de cliente

Utilice la opcin K para permitir a WebSEAL autenticar el servidor de fondo de unin utilizando su certificado de cliente.
-K "etiqueta_clave"
Las condiciones para este escenario son: v El servidor de fondo est configurado para que requiera la verificacin de la identidad de WebSEAL con un certificado de cliente. v Utilizacin de la utilidad iKeyman para crear, etiquetar y almacenar una clave especial que se utiliza solamente como certificado de cliente WebSEAL al autenticar un servidor de fondo con unin. v Es muy recomendable que configure la unin para la coincidencia de DN (D). La opcin K utiliza un argumento que especifica la etiqueta de clave del certificado requerido tal como est almacenada en la base de datos de claves de GSKit. Use la utilidad iKeyman para agregar certificados nuevos a la base de datos de claves. Debe especificar el argumento de etiqueta de clave entre comillas. Por ejemplo:
-K "cert1_Tiv"
Si la clave reside en hardware criptogrfico, debe especificar el dispositivo de seal de WebSEAL con la etiqueta de clave.
-K "nombre_seal:etiqueta-clave"
Por ejemplo:
-K "websealtoken:junctionkey"
Consulte el apartado Hardware criptogrfico para cifrado y almacenamiento de claves en la pgina 33. Consulte el apartado Configuracin de los parmetros de la base de datos de claves de WebSEAL en la pgina 255.
WebSEAL se autentica con una cabecera de BA

Utilice la opcin B U nombre_usuario W contrasea para habilitar la autenticacin de WebSEAL mediante la autenticacin bsica.
-B -U "nombre_usuario" -W "contrasea"
Las condiciones para este escenario son:
313
v El servidor de fondo est configurado para que requiera la verificacin de la identidad de WebSEAL con una cabecera BA. v No configure la unin con ninguna opcin b. (No obstante, internamente, la opcin B utiliza el filtro b.) v WebSEAL est configurado para pasar la informacin de identidad en una cabecera de BA para autenticarse en el servidor de fondo. v Es muy recomendable que configure tambin la unin para la coincidencia de DN (D). Debe especificar los argumentos de nombre de usuario y contrasea entre comillas. Por ejemplo:
-U "WS1" -W "abCde"
Gestin de informacin de identidad de cliente entre uniones

Se puede configurar una unin para especificar la informacin de identidad del cliente en cabeceras de BA. La opcin b permite cuatro argumentos posibles: filter, supply, ignore, gso. Encontrar informacin detallada acerca de estos argumentos en el apartado Configuracin de cabeceras de BA para las soluciones de inicio de sesin nico en la pgina 350. La opcin b tiene un impacto sobre los valores de la unin para la autenticacin mutua y debe tener en cuenta la combinacin correcta de las opciones.
Utilizacin de b supply
v La autenticacin de WebSEAL mediante la cabecera de BA no se permite con esta opcin. Esta opcin utiliza la cabecera BA para el nombre de usuario del cliente original y una contrasea ficticia. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
Utilizacin de b ignore
v La autenticacin de WebSEAL mediante la cabecera de BA no se permite con esta opcin. Esta opcin utiliza la cabecera de BA para el nombre de usuario y una contrasea del cliente original. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
Utilizacin de b gso
v La autenticacin de WebSEAL mediante la cabecera de BA no se permite con esta opcin. Esta opcin utiliza la cabecera de BA para la informacin de nombre de usuario y contrasea proporcionada por el servidor GSO. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
Utilizacin de b filter
v Internamente, la opcin b filter se utiliza cuando se establece la autenticacin de WebSEAL para utilizar la informacin de cabecera de BA. La cabecera de BA de WebSEAL se utiliza para todas las transacciones HTTP subsiguientes. En el servidor de fondo, WebSEAL aparece conectado en todo momento. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
314
v Si el servidor de fondo requiere una identidad de cliente real (del navegador), se pueden utilizar las variables de CGI HTTP_IV_USER, HTTP_IV_GROUP y HTTP_IV_CREDS. Para los scripts y servlets, utilice las cabeceras HTTP especficas de Tivoli Access Manager correspondientes: iv-user, iv-groups, iv-creds.
315
Creacin de uniones de proxy TCP y SSL

Puede crear uniones WebSEAL que permitan la comunicacin para pasar por topologas de red que utilizan servidores proxy HTTP o HTTPS. Puede configurar la unin para gestionar solicitudes como comunicacin TCP estndar o comunicacin SSL protegida. El comando create requiere uno de los siguientes argumentos para la opcin type para establecer una unin basada en TCP o en SSL a travs de un servidor proxy: v t tcpproxy v t sslproxy Los comandos create y add requieren que las siguientes opciones y argumentos identifiquen el servidor proxy y el servidor web de destino:
H nombre-host P puerto h nombre-host p puerto Nombre de host DNS o direccin IP del servidor proxy. Puerto TCP del servidor proxy. Nombre de host DNS o direccin IP del servidor web de destino. Puerto TCP del servidor web de destino. El valor predeterminado es 80 para uniones TCP; 443 para uniones SSL.
Ejemplo de unin de proxy TCP (especificado en una lnea):

pdadmin> server task web1-webseald-cruz create -t tcpproxy \ -H clipper -P 8081 -h www.ibm.com -p 80 /ibm
Ejemplo de unin de proxy SSL (especificado en una lnea):

pdadmin> server task web1-webseald-cruz create -t sslproxy \ -H clipper -P 8081 -h www.ibm.com -p 443 /ibm
Figura 11. Ejemplo de unin de proxy
316
Uniones WebSEAL a WebSEAL a travs de SSL

Tivoli Access Manager da soporte a las uniones SSL entre un servidor WebSEAL frontal y un servidor WebSEAL de fondo. Utilice la opcin C con el comando create para conectar los dos servidores WebSEAL a travs de SSL y proporcionar autenticacin mutua. Ejemplo:
pdadmin> server task web1-webseald-cruz create -t ssl -C -h serverA /jctA
La autenticacin mutua se produce en las dos etapas siguientes: v El protocolo SSL permite al servidor WebSEAL de fondo autenticarse en el servidor WebSEAL frontal a travs de su certificado de servidor. v La opcin C habilita el servidor WebSEAL frontal para pasar la informacin de identidad al servidor WebSEAL de fondo en una cabecera de autenticacin bsica (BA). Adicionalmente, la opcin C habilita la funcionalidad de inicio de sesin nico proporcionada por la opcin c. La opcin c permite insertar informacin de pertenencia a grupos y de identidad de cliente especfica de Tivoli Access Manager en la cabecera HTTP de la solicitud destinada al servidor WebSEAL de fondo. Los parmetros de cabecera son iv-user, iv-groups e iv-creds. Consulte el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 331. Las siguientes condiciones son aplicables a las uniones de WebSEAL a WebSEAL: v La unin es apropiada slo con el tipo de unin t ssl o t sslproxy. v Ambos servidores WebSEAL deben compartir un registro LDAP comn. Esto permite al servidor WebSEAL de fondo autenticar la informacin de identidad de servidor WebSEAL frontal. v Si la unin WebSEAL-a-WebSEAL y la unin de servidor de aplicaciones de fondo utilizan la opcin de unin j (para cookies de unin), puede producirse un conflicto de denominacin entre las dos cookies de unin creadas por cada uno de los dos servidores WebSEAL. (Consulte el diagrama que se encuentra al inicio de este apartado.) Para evitar este conflicto, debe configurar el servidor WebSEAL intermediario (WebSEAL 2 en el diagrama) de modo que identifique de forma exclusiva su cookie de unin. En el servidor WebSEAL intermediario nicamente, establezca el parmetro cookie-hostname-junction-cookie de la stanza [script-filtering] del archivo de configuracin de WebSEAL en yes (el valor predeterminado es no):
[script-filtering] hostname-junction-cookie = yes
Las cookies de unin permiten a WebSEAL gestionar las direcciones URL relativas al servidor generadas en el cliente. Estas direcciones URL no tienen informacin sobre el punto de unin de la aplicacin de destino. La cookie de unin proporciona esta informacin. Para obtener informacin detallada sobre las cookies de unin, consulte el apartado Gestin de direcciones URL relativas al servidor con cookies de unin (-j) en la pgina 324.
317
Modificacin de las direcciones URL de recursos de fondo

Las pginas devueltas al cliente desde aplicaciones de fondo suelen contener vnculos de direcciones URL a recursos que estn ubicados en esos servidores de aplicaciones. Es importante que estos vnculos estn construidos de manera que dirijan las solicitudes de vuelta a las ubicaciones correctas de esos recursos. Por ejemplo (en un entorno que no sea WebSEAL), la direccin URL entrada por un cliente para un recurso en un servidor de aplicaciones puede tener el siguiente aspecto:
http://www.abc.com/archivo.html
WebSEAL, como proxy inverso frontal, proporciona servicios de seguridad a servidores de aplicaciones de fondo a travs de la caracterstica de unin WebSEAL. Esta caracterstica produce como resultado que se acceda a los recursos a travs de distintas expresiones de direccin URL. Por ejemplo (en un entorno WebSEAL), la direccin URL entrada por un cliente para el mismo recurso en un servidor de aplicaciones de fondo con unin debe tener el siguiente aspecto:
http://webseal.abc.com/jct/archivo.html
La caracterstica de unin de WebSEAL cambia la informacin de servidor y ruta de acceso que debe utilizarse para acceder a los recursos en los sistemas de fondo con unin. Un vnculo a un recurso en un servidor de fondo con unin slo es vlido si la direccin URL contiene la identidad de la unin. Para dar soporte a la caracterstica de unin y mantener la integridad de las direcciones URL, siempre que sea posible, WebSEAL debe realizar lo siguiente: 1. Modificar las direcciones URL (vnculos) que se han encontrado en las respuestas enviadas a los clientes 2. Modificar las solicitudes de recursos como resultado de las direcciones URL (vnculos) que WebSEAL no ha podido cambiar Observe que los mecanismos y reglas de WebSEAL para filtrar y procesar URL no se aplican a los vnculos que apuntan a recursos externos del entorno con unin de Tivoli Access Manager. El siguiente diagrama resume las soluciones disponibles en WebSEAL para modificar las direcciones URL de los recursos de fondo con unin:
Figura 12. Resumen: modificacin de las direcciones URL de recursos de fondo
318
Este apartado contiene los temas siguientes: v Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL en la pgina 319 v Filtrado de las direcciones URL en las respuestas en la pgina 319 v Proceso de direcciones URL en las solicitudes en la pgina 323 v Gestin de cookies de servidores a travs de mltiples uniones -j en la pgina 327
Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL
Es probable que cualquier pgina HTML contenga direcciones URL (vnculos) a otros recursos en ese servidor de fondo o a otro sitio. Pueden aparecer expresiones de direccin URL en los siguientes formatos: v relativo v relativo al servidor v absoluto Los vnculos que contienen direcciones URL expresadas en formato relativo nunca precisan ningn tipo de manipulacin de WebSEAL. De forma predeterminada, el navegador gestiona las direcciones URL relativas de los vnculos agregando como prefijo la informacin correcta sobre el esquema, el servidor y el directorio (incluida la unin) a la direccin URL relativa. La informacin que se agrega como prefijo se deriva de la direccin URL de la solicitud para la pgina en la cual se encuentra el vnculo. Ejemplo de expresiones de direccin URL relativas:
abc.html ./abc.html ../abc.html sales/abc.html
No obstante, surgen dificultades con los formatos de ruta de acceso relativos al servidor y absolutos. Los vnculos de recursos de fondo expresados en formatos de servidor relativo o absoluto slo son correctos si WebSEAL puede modificar la expresin de ruta de acceso de la direccin URL e incluir la informacin de unin. Ejemplo de expresiones de direccin URL relativas al servidor:
/abc.html /accounts/abc.html
Ejemplo de expresin de direccin URL absoluta:

http://www.tivoli.com/abc.html
Nota: Es recomendable que todos los programadores de scripts de web utilicen vnculos relativos (ni absolutos ni relativos al servidor) para las direcciones URL generadas dinmicamente.
Filtrado de las direcciones URL en las respuestas

En este apartado se describe cmo WebSEAL filtra las direcciones URL en las respuestas de los servidores de aplicaciones de fondo con unin. v Reglas de filtrado estndar de direcciones URL para WebSEAL en la pgina 320 v Modificacin de las direcciones URL absolutas con filtrado de scripts en la pgina 321 v El filtrado cambia la cabecera Content-Length en la pgina 322
319
v Limitacin con vnculos relativos al servidor no filtrados en la pgina 322
Reglas de filtrado estndar de direcciones URL para WebSEAL

WebSEAL utiliza un conjunto de reglas estndar para filtrar las direcciones URL contenidas en las pginas que son respuestas a las solicitudes de los clientes. Para aplicar un filtrado URL estndar, WebSEAL debe poder ver las direcciones URL en una pgina enviada desde el servidor de fondo. WebSEAL no puede utilizar reglas estndar de filtrado para las direcciones URL incorporadas en scripts. De forma predeterminada, WebSEAL slo filtra documentos de tipo MIME text/html y text/vnd.wap.wml que se reciben de servidores con unin. Pueden configurarse tipos MIME adicionales utilizando la stanza [filter-content-types] del archivo de configuracin de WebSEAL. El navegador siempre gestiona adecuadamente las direcciones URL relativas. De forma predeterminada, el navegador gestiona las direcciones URL relativas de los vnculos agregando como prefijo la informacin correcta sobre el esquema, el servidor y el directorio (incluida la unin) a la direccin URL relativa. La informacin que se agrega como prefijo se deriva de la direccin URL de la solicitud para la pgina en la cual se encuentra el vnculo. No obstante, WebSEAL debe agregar el nombre de unin a la ruta de acceso de las direcciones URL absolutas o relativas al servidor que hacen referencia a recursos ubicados en los servidores con unin. v Las direcciones URL relativas al servidor indican una posicin URL con relacin a la raz del documento del servidor con unin, por ejemplo:
/dir/archivo.html
Las direcciones URL relativas al servidor se modifican agregando el punto de unin del servidor con unin al nombre de la ruta de acceso. Por ejemplo:
/jct/dir/archivo.html
v Las direcciones URL absolutas indican una posicin URL con relacin al nombre de host o direccin IP (y, opcionalmente, un puerto de red). Por ejemplo:
http://nombre-host[:puerto]/file.html, o bien https://nombre-host[:puerto]/file.html
Las direcciones URL absolutas se modifican segn el siguiente conjunto de reglas: Si la direccin URL es HTTP y el host/puerto coincide con un servidor con unin TCP, la direccin URL se modifica para que sea relativa al servidor para WebSEAL y refleje el punto de unin. Por ejemplo:
http://nombre-host[:puerto]/file.html
se convierte en:
/tcpjct/archivo.html
Si la direccin URL es HTTPS y el host/puerto coincide con un servidor con unin SSL, la direccin URL se modifica para que sea relativa al servidor para WebSEAL y refleje el punto de unin. Por ejemplo:
https://nombre-host[:puerto]/file.html
se convierte en:
/ssljct/archivo.html
Adems: v Slo se filtran las direcciones URL de tipos de contenido definidos en la stanza [filter-content-types] del archivo de configuracin de WebSEAL.
320
v Los indicadores META se filtran siempre para solicitudes de actualizacin, por ejemplo:
<META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://server/url">
v Si un indicador BASE contiene un atributo HREF, el indicador se eliminar de la respuesta al cliente. Los parmetros para filtrar direcciones URL a travs de servidores con unin se encuentran en la stanza [filter-url] del archivo de configuracin de WebSEAL. La stanza [filter-url] contiene una lista de cdigos HTML que el servidor WebSEAL filtra o modifica para ajustar las direcciones URL absolutas que se han obtenido a travs de un servidor con unin. Todos los cdigos HTML utilizados habitualmente se configuran de forma predeterminada. Es posible que el administrador necesite agregar cdigos HTML adicionales que contengan las direcciones URL.
Modificacin de las direcciones URL absolutas con filtrado de scripts

WebSEAL requiere una configuracin adicional para gestionar el proceso de las direcciones URL absolutas incorporadas en scripts. Los lenguajes de script de web son Javascripts, VBscripts, ASP, JSP, ActiveX y otros. El archivo de configuracin de WebSEAL contiene un parmetro que habilita o inhabilita el filtrado de las direcciones URL absolutas incorporadas.
[script-filtering] script-filter = no
El filtro de scripts est inhabilitado de manera predeterminada. Para habilitarlo, establezca:

script-filter = yes
El mecanismo script-filter espera direcciones URL absolutas con un esquema, servidor y formato de recurso estndar:
http://server/recurso
El mecanismo script-filter sustituye las partes de esquema y servidor del vnculo por la informacin de unin correcta (como nombre de ruta relativo):
/junction-name/resource
Esta solucin de filtro analiza el script incorporado en el cdigo HTML y, por consiguiente, requiere una actividad general de proceso adicional que puede tener una influencia negativa en el rendimiento. Limite el uso del parmetro script-filter nicamente a las uniones que requieran soporte para el filtrado de direcciones URL absolutas incorporadas. El siguiente diagrama ilustra esta solucin de filtro de direcciones URL absolutas:
321
Figura 13. Filtrado de direcciones URL absolutas
Opcionalmente, puede configurar WebSEAL para reescribir la direccin URL absoluta original como una direccin URL absoluta, en lugar de una direccin URL relativa (predeterminada). Para habilitar esta funcionalidad, establezca el parmetro rewrite-absolute-with-absolute de la stanza [script-filtering] del archivo de configuracin de WebSEAL en yes:
[script-filtering] rewrite-absolute-with-absolute = yes
Con esta funcin habilitada, la direccin URL de ejemplo del diagrama anterior aparecera de la siguiente forma:
http://nombre_host-webseal/jctA/abc.html
El filtrado cambia la cabecera Content-Length

Normalmente, la cabecera Content-Length de una respuesta de un servidor de fondo indica el tamao del contenido que se devuelve. Cuando WebSEAL filtra direcciones URL y agrega informacin sobre la unin a la ruta de acceso de las direcciones URL que contiene la pgina, el tamao real de la pgina se hace mayor que el indicado en Content-Header. WebSEAL no puede saber cul es la nueva longitud del contenido hasta que escriba la secuencia de datos en el cliente. En ese momento ya ser demasiado tarde para insertar una nueva cabecera Content-Length. WebSEAL responde a esta situacin de la manera siguiente: 1. WebSEAL coloca el valor de la cabecera Content-Length original en una nueva cabecera denominada X-Old-Content-Length. Cualquier applet o aplicacin escrita para buscar esta cabecera puede tener acceso al valor original (previo al filtro) de Content-Length. 2. WebSEAL registra el valor modificado (posterior al filtro) de Content-Length en el archivo request.log. 3. Ya no aparecer la cabecera Content-Length.
Limitacin con vnculos relativos al servidor no filtrados

WebSEAL proporciona soluciones para procesar direcciones URL de cliente relativas al servidor generadas mediante script para recursos que se encuentran en servidores de aplicaciones con unin de fondo. Estas direcciones URL relativas al servidor, generadas en el cliente por applets y scripts, inicialmente no tienen informacin sobre el punto de unin en la expresin de la ruta de acceso. Durante una solicitud de cliente para un recurso, WebSEAL puede intentar procesar una direccin URL relativa al servidor utilizando cookies de unin o una tabla de correlacin de uniones.
322
No obstante, antes de que el proceso tenga lugar, la solicitud especifica en realidad un recurso situado en el espacio Web local del servidor WebSEAL. El nuevo proceso para corregir la direccin URL tiene lugar despus de que WebSEAL reciba la solicitud y lleve a cabo una comprobacin de ACL. Una comprobacin de ACL en esta solicitud sin procesar (especificando un recurso local incorrecto o inexistente) podra dar lugar a un error que detendra la cumplimentacin de la solicitud en cuestin. Durante el proceso, por ejemplo, tiene lugar la secuencia siguiente: 1. El cliente realiza una solicitud para un recurso utilizando una direccin URL de cliente relativa al servidor generada por un script. 2. WebSEAL recibe la direccin URL relativa al servidor como una solicitud. La direccin URL sin procesar especifica un recuso situado en el espacio Web del servidor WebSEAL (evidentemente, no es el recurso que se busca). 3. WebSEAL realiza una comprobacin de ACL en este recurso local especificado en la direccin URL de la solicitud. v Si la comprobacin de ACL falla, todo el proceso de la solicitud se detiene y el cliente recibe un error 403 (No autorizado). Este error se produce porque la comprobacin de ACL se ha realizado en un recurso incorrecto (y, probablemente, inexistente). v Si la comprobacin de ACL es correcta y el recurso existe en el espacio Web local, se devuelve el recurso. Este error da lugar a que el cliente reciba el recurso incorrecto. v Si la comprobacin de ACL es correcta y el recurso no existe en el espacio Web local, WebSEAL modifica la direccin URL (utilizando la cookie de unin o el mtodo de tabla de correlacin de uniones) y procesa de nuevo internamente la solicitud. Este comportamiento es correcto. 4. WebSEAL lleva a cabo otra comprobacin de ACL en la direccin URL modificada que contiene la ruta de acceso corregida que incluye el punto de unin. Esta direccin URL modificada ahora permite llevar a cabo una comprobacin de ACL para el recurso correcto. Solucin temporal Para resolver este problema: 1. Escriba siempre scripts que generen vnculos de direcciones URL relativos. Evite los vnculos de direcciones URL absolutos y relativos al servidor. 2. Si debe utilizar vnculos relativos al servidor, no duplique nombres de recurso ni rutas de acceso en el servidor WebSEAL y en el servidor de aplicaciones con unin. 3. Si debe utilizar vnculos relativos al servidor, disee su modelo de ACL de modo que ms ACL prohibidas no afecten a recursos falsos especificados por direcciones URL no filtradas.
Proceso de direcciones URL en las solicitudes

Hay dificultades cuando las direcciones URL se generan dinmicamente por aplicaciones del cliente (applets) o se incorporan en scripts dentro del cdigo HTML. Los lenguajes de script de web son Javascripts, VBscripts, ASP, JSP, ActiveX y otros. Estos applets y scripts se ejecutan en cuanto la pgina ha llegado al navegador del cliente. WebSEAL no tiene nunca la oportunidad de aplicar sus reglas de filtrado estndar a estas direcciones URL generadas dinmicamente.
323
En este apartado se describe cmo WebSEAL procesa los vnculos del cliente relativos al servidor generados dinmicamente que se han encontrado en las solicitudes de recursos en los servidores de fondo con unin. v Gestin de direcciones URL relativas al servidor con cookies de unin (-j) en la pgina 324 v Gestin de direcciones URL relativas al servidor con correlacin de uniones en la pgina 325 v Proceso de solicitudes de unin raz en la pgina 326 Nota: No hay soluciones disponibles para gestionar las direcciones URL absolutas generadas en el cliente.
Gestin de direcciones URL relativas al servidor con cookies de unin (-j)

Las direcciones URL relativas al servidor que los applets y scripts han generado en el cliente carecen inicialmente de conocimiento del punto de unin. WebSEAL no puede filtrar la direccin URL porque se genera en el cliente. Durante una solicitud de un recurso por el cliente utilizando esta direccin URL, WebSEAL puede intentar reprocesar la direccin URL relativa al servidor utilizando cookies de unin. En el siguiente escenario, un script ubicado en la pgina solicitada genera dinmicamente una expresin de direccin URL relativa al servidor al llegar al navegador. Si el cliente solicita el recurso especificado por este vnculo, WebSEAL recibe una solicitud de una pgina local. Cuando no encuentre la pgina, devuelve el error No encontrado al cliente. La opcin j proporciona una solucin basa en cookies para gestionar direcciones URL relativa al servidor que se generan dinmicamente mediante un script que se ejecuta en la mquina del cliente. Sintaxis general:
pdadmin> server task nombre-servidor create ... -j ...
Para cada pgina solicitada, se enva una cookie unin-identificador al cliente (como script Java incorporado en la pgina HTML). La cookie contiene el siguiente valor y nombre de cabecera:
IV_JCT = /nombre-unin
Cuando el cliente efecta una solicitud desde esta pgina utilizando una direccin URL relativa al servidor generada dinmicamente, WebSEAL (como antes) recibe una solicitud de un recurso local. Al no encontrar el recurso, WebSEAL vuelve a intentar inmediatamente la solicitud mediante la informacin de unin proporcionada por la cookie. Con la informacin de unin correcta en la expresin de direccin URL, el recurso se localiza correctamente. En el diagrama siguiente se muestra esta solucin para filtrar direcciones URL relativas al servidor:
324
Figura 14. Proceso de direcciones URL relativas al servidor
Consulte tambin los apartados Gestin de cookies de servidores a travs de mltiples uniones -j en la pgina 327 y Proceso de solicitudes de unin raz en la pgina 326. WebSEAL proporciona una solucin alternativa no basada en cookies para gestionar las direcciones URL relativas al servidor generadas dinmicamente. Consulte el apartado Gestin de direcciones URL relativas al servidor con correlacin de uniones en la pgina 325.
Gestin de direcciones URL relativas al servidor con correlacin de uniones

Las direcciones URL relativas al servidor que los applets y scripts han generado en el cliente carecen inicialmente de conocimiento del punto de unin. WebSEAL no puede filtrar la direccin URL porque se genera en el cliente. Durante una solicitud de un recurso por el cliente utilizando esta direccin URL, WebSEAL puede intentar reprocesar la direccin URL relativa al servidor utilizando la correlacin de uniones. Tivoli Access Manager proporciona una alternativa a la solucin basada en cookies para filtrar direcciones URL relativas al servidor generadas dinmicamente. Puede crear y activar una tabla de correlaciones de uniones que asigne recursos de destino especficos a los nombres de unin. WebSEAL comprueba la informacin de ubicacin en la direccin URL relativa al servidor con los datos contenidos en la tabla de correlaciones de uniones. Si la informacin de ruta de acceso de la direccin URL coincide con una entrada de la tabla, WebSEAL dirige la solicitud a la unin asociada con esa ubicacin. La tabla es un archivo de texto ASCII denominado jmt.conf. La ubicacin de este archivo se especifica en la stanza [junction] del archivo de configuracin de WebSEAL:
jmt-map = lib/jmt.conf
El formato para la entrada de datos en la tabla consta del nombre de unin, un espacio y el patrn de ubicacin del recurso. Tambin se pueden utilizar caracteres comodn para expresar el patrn de ubicacin del recurso. En el ejemplo siguiente del archivo de configuracin de correlaciones de unin, dos servidores de fondo estn conectados a WebSEAL en /jctA y /jctB:
325
#jmt.conf #nombre-unin patrn-ubicacin-recurso /jctA /documents/release-notes.html /jctA /travel/index.html /jctB /accounts/* /jctB /images/weather/*.jpg
Debe crear la tabla de correlacin jmt.conf. Este archivo no existe de forma predeterminada. Una vez que haya creado el archivo y haya agregado datos en el mismo, utilice el comando jmt load para cargar los datos de modo que WebSEAL tenga conocimiento de la nueva informacin.
pdadmin> server task nombre-servidor jmt load La tabla JMT se ha cargado correctamente.
Las siguientes condiciones son aplicables a la solucin de tabla de correlaciones de uniones: v Esta solucin no requiere la opcin -j ni la cookie de unin. v La tabla de correlaciones requiere la configuracin y activacin por parte de un administrador de seguridad. v Esta solucin no gestiona los vnculos creados con direcciones URL absolutas. v La coincidencia del patrn de ubicacin del recurso debe ser exclusiva en el espacio web local y los servidores de aplicaciones web con unin. v Si hay una entrada de patrn duplicada en el archivo, la tabla de correlaciones no se cargar. Sin embargo, WebSEAL seguir ejecutndose. v Si se produce algn error al cargar la tabla de correlaciones, sta no estar disponible. Sin embargo, WebSEAL seguir ejecutndose. v Si la tabla de correlaciones est vaca o hay algn error en las entradas de la tabla, sta no se cargar. Sin embargo, WebSEAL seguir ejecutndose. v Cualquier error que se produzca al cargar la tabla de correlaciones producir entradas de servicio en el archivo de registro del servidor WebSEAL (webseald.log). Consulte tambin el apartado Proceso de solicitudes de unin raz.
Proceso de solicitudes de unin raz

Puede especificar el modo en que WebSEAL responde a las solicitudes para recursos que se encuentran en la unin raz (/). WebSEAL puede procesar la solicitud inmediatamente o puede intentar identificar un punto de unin al que enviar la solicitud. Las solicitudes se envan utilizando mecanismos de correlacin de uniones como la cookie IV_JCT o JMT. Evitando el proceso de uniones raz se evita que el proceso se lleve a cabo para recursos incorrectos antes de que se identifique el recurso que se busca. Esto conlleva ventajas para el rendimiento y evita la autorizacin falsa o errores de comprobacin del tipo de archivo. Para configurar el proceso de uniones raz, establezca la entrada process-root-requests de la stanza [server] del archivo de configuracin de WebSEAL.
[server] process-root-requests = always
Los valores vlidos son: v never
326
Las solicitudes para uniones raz nunca se procesan en la unin raz. Si hay un mecanismo de correlacin de uniones configurado, dichas solicitudes se correlacionan de forma inmediata y, a continuacin, se procesan en un punto de unin correlacionado, si se ha identificado alguno. v always Las solicitudes para la unin raz siempre se intentan procesar primero en la unin raz antes de intentar utilizar un mecanismo de correlacin de uniones. Esto no es recomendable a menos que la unin raz sirva un conjunto grande de recursos o que no haya ningn mecanismo de correlacin de uniones configurado para el conjunto de uniones que sirve este servidor WebSEAL. v filter Se examinan todas las solicitudes raz para determinar si empiezan con los patrones especificados en la stanza [process-root-filter]. En caso afirmativo, se procesan primero en la unin raz. Si no empiezan por los patrones especificados en la stanza [process-root-filter], se correlacionan de nuevo inmediatamente. Cuando process-root-requests = filter, debe especificar los patrones para los que desea que las solicitudes de la unin raz se procesen en la unin raz. Utilice la stanza [process-local-filter]. La sintaxis para especificar un patrn es la siguiente:
root = patrn
El patrn debe ser un patrn comodn estndar de WebSEAL. Por ejemplo:

[process-local-filter] root = /index.html root = /cgi-bin*
Para obtener informacin sobre los mecanismos de correlacin de uniones, consulte los apartados siguientes: v Gestin de direcciones URL relativas al servidor con cookies de unin (-j) en la pgina 324 v Gestin de direcciones URL relativas al servidor con correlacin de uniones en la pgina 325
Gestin de cookies de servidores a travs de mltiples uniones -j

En este apartado se describe el modo en que WebSEAL gestiona, de forma predeterminada, las cookies generadas por aplicaciones de fondo y devueltas a los clientes a travs de uniones j.
Parte 1: Las uniones -j modifican los atributos de ruta de acceso Set-Cookie

Adems de proporcionar una cookie identificadora de uniones al navegador, la unin configurada con la opcin j tambin da soporte a la gestin de cookies enviadas con respuestas de la aplicacin de fondo. Regla del navegador: Si una cabecera Set-Cookie de una respuesta del servidor contiene un atributo de ruta de acceso (como Path=/xyz), el navegador devuelve la cookie slo cuando una URL de solicitud (activada desde la pgina devuelta) empieza con esta ruta de acceso (como /xyz/memo.html).
327
Problema: Cuando el entorno de unin contiene soluciones mixtas para gestionar direcciones URL visibles e incorporadas en respuestas, puede verse afectada la capacidad del navegador de devolver cookies. Por ejemplo, el filtrado WebSEAL estndar de direcciones URL relativas al servidor visibles agrega el nombre de unin al atributo de ruta de acceso de una cookie de servidor (por ejemplo, Path=/jct/xyz) adems de modificar la URL. Esta coincidencia entre el nombre de ruta de acceso de la direccin URL y el atributo de ruta de acceso de la cookie permite al navegador devolver la cookie cuando el usuario activa el vnculo. Sin embargo, la solucin basada en cookies de unin j agrega el nombre de unin a una direccin URL slo despus de que el usuario haya activado el vnculo (URL). Cuando se activa el vnculo modificado previamente, el nombre de ruta de acceso de la direccin URL (/xyz/memo.html) no coincide con el atributo de la ruta de acceso (Path=/jct/xyz). La cookie del servidor no se devuelve. Solucin: La opcin j convierte el atributo de la ruta de acceso para cualquier cookie de servidor (Set-Cookie) en / (por ejemplo, Path=/). Puesto que todos los nombres de rutas de acceso relativas al servidor empiezan con /, todas las cookies de servidor se devuelven, independientemente de los requisitos de las especificaciones de atributos de la ruta de acceso original.
Parte 2: Las uniones -j modifican los atributos de nombre de Set-Cookie

La opcin j tambin da soporte a cookies devueltas de servidores a travs de mltiples uniones. Regla del navegador: Los navegadores siempre sustituyen las cookies almacenadas con una cookie recin llegada que contiene el mismo atributo de nombre (Set-Cookie), a menos que los atributos de ruta de acceso o de dominio, o ambos, sean nicos. Problema: El apartado anterior describe cmo la opcin de unin j modifica el atributo de ruta de acceso de una cabecera Set-Cookie para permitir al navegador devolver cookies en un entorno en que WebSEAL est aplicando distintas normas de filtrado para las direcciones URL visibles e incorporadas que contiene la pgina de respuesta. En el caso en que mltiples servidores de fondo estn conectados a WebSEAL a travs de diferentes uniones (como en un entorno WebSphere), es posible que cada servidor enve cookies (Set-Cookie) con el mismo atributo de nombre. Si las uniones utilizan la opcin j, los atributos de ruta de acceso para cada cookie se convierten en idnticos (Path=/). Dado que el mismo servidor WebSEAL es el punto de contacto para el navegador, el atributo de dominio tambin se convierte en idntico. Aunque estas cookies idnticas llegan desde aplicaciones de fondo nicas, el navegador sobrescribe las cookies denominadas idnticamente. Solucin:
328
La opcin de unin j proporciona una funcin adicional que renombre de manera nica a cualquier cookie devuelta con una respuesta desde un servidor de aplicacin de fondo. Al atributo de nombre de una cabecera Set-cookie se agrega una cadena especial como prefijo. La cadena contiene el nombre de la unin especfica encargada de entregar la respuesta (con la cookie).
AMWEBJCT_nombre-unin_
Por ejemplo, si una cookie denominada JSESSIONID llega a travs de una unin denominada /jctA, el nombre de la cookie cambia por:
AMWEBJCT_jctA_JSESSIONID
Consulte tambin el apartado Cmo conservar nombres de cookie en la pgina 329.
Cmo conservar nombres de cookie

De forma predeterminada, WebSEAL modifica los nombres de las cookies (devueltos en respuestas de aplicaciones de fondo) a travs de conexiones creadas con la opcin j o listadas en la tabla de correlaciones de uniones. Esta funcionalidad se describe en el apartado precedente. En el escenario que se acaba de describir, WebSEAL crea nombres de cookie exclusivos para evitar posibles conflictos de denominacin con cookies devueltas a travs de otras conexiones j. No obstante, si los navegadores y las aplicaciones frontales dependen del nombre de cookie especfico generado por la aplicacin, puede inhabilitar esta funcionalidad de cambio de nombre de la cookie predeterminada para determinadas cookies. El parmetro name de la stanza [preserve-cookie-names] del archivo de configuracin de WebSEAL permite listar los nombres de cookies especficos que WebSEAL no debe modificar:
[preserve-cookie-names] name = nombre1-cookie name = nombre2-cookie
329
Opciones adicionales de unin

Puede proporcionar las siguientes funciones de unin WebSEAL con opciones adicionales: v Cmo forzar una nueva unin (f) en la pgina 330 v Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 331 v Especificacin de las direcciones IP de cliente en cabeceras HTTP (r) en la pgina 332 v Limitacin del tamao de cabeceras HTTP generadas por WebSEAL en la pgina 333 v Transferencia de cookies de sesin a servidores de portal con unin (k) en la pgina 333 v Soporte para direcciones URL no sensibles a maysculas y minsculas (i) en la pgina 334 v Soporte para unin con informacin de estado (s, u) en la pgina 335 v Especificacin de UUID de servidor de fondo para uniones con informacin de estado (u) en la pgina 335 v Unin con sistemas de archivos de Windows (w) en la pgina 338
Cmo forzar una nueva unin (f)

Debe utilizar la opcin f si desea forzar una nueva unin que sobrescriba una unin existente. El siguiente ejemplo (nombre de instancia de servidor = cruz) muestra este procedimiento: 1. Inicie la sesin en pdadmin:
2. Utilice el comando server task list para mostrar todos los puntos de unin actuales:
pdadmin> server task web1-webseald-cruz list /
3. Utilice el comando server task show para mostrar los detalles de la unin:
pdadmin> server task web1-webseald-cruz show / Punto de unin: / Tipo: Local Lmite fijo de unin: 0 - se utilizar el valor global Lmite dinmico de unin: 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /opt/pdweb/www/docs
4. Cree una unin local nueva para sustituir el punto de unin actual (la opcin -f es necesaria para que se fuerce una nueva unin que sobrescriba la unin existente):
pdadmin> server task web1-webseald-cruz create -t local -f -d /tmp/docs / Se ha creado una unin en /
5. Visualice el punto de unin nuevo:

pdadmin> server task webseald-cruz list /
6. Visualice los detalles de esta unin:
330
pdadmin> server task webseald-cruz show / Punto de unin: / Tipo: Local Lmite fijo de unin: 0 - se utilizar el valor global Lmite dinmico de unin: 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /tmp/docs
Especificacin de la identidad del cliente en cabeceras HTTP (c)

La opcin c le permite insertar informacin de pertenencia a grupos y de identidad del cliente especfica de Tivoli Access Manager en las cabeceras HTTP de las solicitudes destinadas para servidores con unin de terceros. La informacin de la cabecera HTTP permite a las aplicaciones de servidores de terceros con unin realizar acciones especficas del usuario (como un inicio de sesin nico) basadas en la identidad de Tivoli Access Manager del cliente. El servidor de fondo debe convertir la informacin de cabecera HTTP en un formato de variable de entorno para que lo utilice un servicio del servidor de fondo. La informacin de cabecera se transforma en un formato de variable de entorno de CGI sustituyendo todos los guiones (-) por caracteres de subrayado (_) y agregando HTTP al inicio de la cadena. El valor de la cabecera HTTP se transforma en el valor de la nueva variable de entorno.
Campos de cabecera HTTP especficos de PD iv-user = Variable de entorno de CGI equivalente HTTP_IV_USER = Descripcin Nombre corto o largo del cliente. El valor predeterminado es No autenticado si el cliente no est autenticado (desconocido). Lista de grupos a los que pertenece el cliente. Consta de entradas entre comillas separadas por comas. Estructura de datos opacos codificados que representa una credencial de Tivoli Access Manager. Proporciona credenciales para servidores remotos para que las aplicaciones de medio nivel puedan utilizar la API de autorizacin para llamar al servicio de autorizaciones. Consulte la publicacin IBM Tivoli Access Manager Authorization C API Developers Reference.
iv-groups = iv-creds =
HTTP_IV_GROUPS = HTTP_IV_CREDS =
Las entradas de cabecera HTTP especficas de Tivoli Access Manager estn disponibles para los programas CGI como las variables de entorno HTTP_IV_USER, HTTP_IV_GROUPS y HTTP_IV_CREDS. Si desea informacin sobre otros productos de entornos de aplicaciones, consulte la documentacin del producto para obtener instrucciones acerca de la extraccin de cabeceras de solicitudes HTTP.
Sintaxis de c
La opcin c especifica qu datos de cabecera HTTP especficos de Tivoli Access Manager se envan al servidor de aplicacin de fondo.
-c tipos-cabecera
331
Los argumentos tipos-cabecera son: all, iv_user, iv_user_l, iv_groups e iv_creds.

Argumento iv_user iv_user_l iv_groups iv_creds Descripcin Proporciona el nombre de usuario (forma corta) como campo iv-user de la cabecera HTTP de la solicitud. Proporciona el DN completo del usuario (forma larga) como campo iv-user de la cabecera HTTP de la solicitud. Proporciona la lista de grupos del usuario como el campo iv-groups en la cabecera HTTP de la solicitud. Proporciona la informacin de credencial del usuario como el campo iv-creds en la cabecera HTTP de la solicitud.
Nota: Utilice iv-user o iv-user-l, pero no ambos. La opcin c all inserta los tres tipos de informacin de identidad en la cabecera HTTP (en este caso se utiliza el formato de nombre corto (iv_user)). Nota: Separe los argumentos mltiples slo con comas. No inserte espacios. Ejemplos:
-c all -c iv_creds -c iv_user,iv_groups -c iv_user_l,iv_groups,iv_creds
Nota: Para garantizar la seguridad del valor iv_creds, utilice uniones SSL. Nota: Consulte tambin el apartado de WebSEAL de la publicacin IBM Tivoli Access Manager Performance Tuning Guide para obtener una descripcin sobre cmo configurar las variables de entorno que almacenan en cach la informacin de unin de c. Es posible mejorar el rendimiento de WebSEAL bajo las condiciones de unin de c aplicando esta configuracin de almacenamiento en la cach.
Especificacin de las direcciones IP de cliente en cabeceras HTTP (r)

La opcin r permite insertar informacin de direccin IP de cliente en las cabeceras HTTP de las solicitudes destinadas a los servidores de aplicaciones con unin. La informacin de cabecera HTTP habilita las aplicaciones de servidores de terceros con unin para realizar acciones basadas en esta informacin de direccin IP. El servidor de fondo debe convertir la informacin de cabecera HTTP en un formato de variable de entorno para que lo utilice un servicio del servidor de fondo. La informacin de cabecera se transforma en un formato de variable de entorno de CGI sustituyendo todos los guiones (-) por caracteres de subrayado (_) y agregando HTTP al inicio de la cadena. El valor de la cabecera HTTP se transforma en el valor de la nueva variable de entorno.
332
Nota: El valor de la direccin IP no representa siempre la direccin de la mquina cliente de origen. El valor de la direccin IP puede representar la direccin de un servidor proxy o un traductor de direcciones de red (NAT).
Campo de cabecera HTTP especfico de PD iv-remote-address Variable de entorno de CGI equivalente HTTP_IV_REMOTE_ADDRESS Descripcin Direccin IP del cliente. Este valor puede representar la direccin IP de un servidor proxy o un traductor de direcciones de red (NAT).
La opcin r especifica que se enve la direccin IP de la solicitud entrante al servidor de aplicaciones de fondo. La opcin se expresa sin ningn argumento.
Limitacin del tamao de cabeceras HTTP generadas por WebSEAL

Puede limitar el tamao de las cabeceras HTTP generadas por WebSEAL que se insertan en solicitudes realizadas a servidores de fondo con unin. El parmetro max-webseal-header-size de la stanza [junction] del archivo de configuracin de WebSEAL especifica el tamao mximo, en bytes, de las cabeceras HTTP generadas por WebSEAL. Un valor de 0 inhabilita esta funcin:
[junction] max-webseal-header-size = 0
Este parmetro puede ser til si un servidor de aplicaciones de fondo rechaza las cabeceras HTTP generadas por WebSEAL porque son demasiado grandes. Por ejemplo, una cabecera iv-creds para un usuario que pertenece a mltiples grupos puede ser demasiado grande. Este parmetro, al configurarse, hace que las cabeceras generadas por WebSEAL que sobrepasen el valor mximo se dividan en varias cabeceras. La salida del ejemplo siguiente de una aplicacin CGI muestra el efecto de las cabeceras divididas:
HTTP_IV_CREDS_1=Version=1, BAKs3DCCBnMMADCCBm0wggZpAgIDkDCCAYUwKzA HTTP_IV_CREDS_2=+0+8eAgI8iAICEdYCAgCkAgFUBAaSVNCJqncMOWNuPXNlY21== HTTP_IV_CREDS_SEGMENTS=2
Si habilita esta funcin, debe modificar la aplicacin de fondo para reconocer cabeceras divididas, en lugar de las cabeceras HTTP estndar especficas de WebSEAL.
Transferencia de cookies de sesin a servidores de portal con unin (k)

Un portal web es un servidor que ofrece una amplia gama de recursos y servicios personalizados. La opcin k le permite enviar la cookie de sesin de Tivoli Access Manager (establecida originalmente entre el cliente y WebSEAL) a un servidor de portal de fondo. Esta opcin existe actualmente para dar soporte directamente a la integracin de WebSEAL con la solucin Plumtree Corporate Portal. Cuando un cliente solicita una lista de recursos personales desde el servidor de portal, el servidor de portal crea la lista accediendo a los recursos que se encuentran en otros servidores de aplicaciones de soporte, que estn tambin protegidos por WebSEAL. La cookie de sesin permite al servidor de portal ejecutar un inicio de sesin nico sin problemas en estos servidores de aplicaciones, en nombre del cliente.
333
La opcin k se incluye, sin argumentos, cuando se crea la unin entre WebSEAL y el servidor de portal de fondo. Condiciones que se deben tener en cuenta en la configuracin del servidor de portal: v Para acceder mediante nombre de usuario y contrasea, se necesita la autenticacin de formularios. No se debe utilizar la autenticacin bsica (BA). v El parmetro ssl-id-sessions de la stanza [session] de los archivos de configuracin de WebSEAL debe estar establecido en no. En la comunicacin HTTPS, este valor exige el uso de una cookie de sesin, en lugar del ID de sesin SSL, para mantener el estado de la sesin. v Si el servidor de portal tiene delante un clster WebSEAL, habilite la cookie de tipo de migracin tras error. La cookie de migracin tras error contiene informacin de credenciales cifrada que permite realizar con xito la autenticacin con cualquier servidor WebSEAL replicado que procese la solicitud.
Soporte para direcciones URL no sensibles a maysculas y minsculas (i)

De forma predeterminada, Tivoli Access Manager trata las direcciones URL como sensibles a maysculas y minsculas al realizar las comprobaciones de los controles de accesos. La opcin i se utiliza para especificar que WebSEAL trate las direcciones URL como no sensibles a maysculas y minsculas al realizar comprobaciones de autorizacin sobre una solicitud a un servidor de fondo con unin. Cuando establezca esta opcin en la unin, WebSEAL no distinguir entre los caracteres en maysculas y minsculas al analizar las direcciones URL. De forma predeterminada, se espera que los servidores web sean sensibles a maysculas y minsculas. Aunque la mayora de los servidores HTTP dan soporte a la especificacin de HTTP que define la direccin URL como sensible a maysculas y minsculas, algunos servidores HTTP tratan las direcciones URL como no sensibles. Por ejemplo, en los servidores no sensibles a maysculas y minsculas, estas dos direcciones URL:
http://server/sales/index.htm http://server/SALES/index.HTM
se consideran la misma. Este comportamiento requiere que un administrador defina los mismos controles de acceso (ACL) en ambas direcciones URL. Al conectarse a un servidor de terceros con la opcin i, WebSEAL trata las direcciones URL dirigidas a ese servidor como no sensibles a maysculas y minsculas. Atencin: cuando utilice la opcin i, los nombres de objeto deben estar en minsculas para que WebSEAL pueda encontrar las ACL o las POP asociadas a dichos objetos. Para obtener ms informacin, consulte el apartado Las ACL y las POP deben asociarse a nombres de objeto en minsculas en la pgina 339.
334
Soporte para unin con informacin de estado (s, u)

La mayora de las aplicaciones preparadas para web mantienen un estado para una secuencia de solicitudes HTTP de un cliente. Este estado se utiliza, por ejemplo, para: v Realizar un seguimiento del progreso del usuario a travs de los campos en un formulario de entrada de datos generado por un programa CGI v Mantener el contexto de un usuario al realizar una serie de consultas en la base de datos v Mantener una lista de elementos en una aplicacin de compra en lnea donde un usuario navega de manera aleatoria y selecciona artculos para comprar Los servidores que ejecutan aplicaciones preparadas para web se pueden replicar para mejorar el rendimiento a travs del compartimiento de cargas. Cuando el servidor WebSEAL proporciona una unin con esos servidores de fondo replicados, debe asegurarse de que todas las solicitudes contenidas en la sesin del cliente se reenvan al servidor correcto y no se distribuyen entre servidores de fondo replicados segn las reglas de equilibrio de carga. De forma predeterminada, Tivoli Access Manager equilibra la carga del servidor de fondo al distribuir solicitudes entre todos los servidores replicados. Tivoli Access Manager utiliza un algoritmo de menos ocupado. Este algoritmo dirige cada solicitud nueva al servidor con menos conexiones en curso. El indicador s del comando create sobrescribe esta regla de equilibrio de carga y crea una unin con informacin de estado que garantiza que las solicitudes del cliente se reenven al mismo servidor durante toda la sesin. Cuando se produce la solicitud inicial del cliente, WebSEAL coloca una cookie en el sistema del cliente que contiene el UUID del servidor de fondo designado. Cuando el cliente realiza solicitudes posteriores del mismo recurso, la informacin de UUID de la cookie se asegura de que las solicitudes son redireccionadas de forma coherente al mismo servidor de fondo. La opcin s es apropiada para un solo servidor WebSEAL frontal con mltiples servidores de fondo conectados al mismo punto de unin. Observe que una vez creada la unin inicial con informacin de estado, se utiliza el comando add sin la opcin s para conectar los servidores de fondo replicados restantes al mismo punto de unin. Si el caso incluye varios servidores WebSEAL frontales, todos conectados a los mismos servidores de fondo, debe utilizar la opcin u para especificar correctamente cada UUID de servidor de fondo para cada servidor WebSEAL frontal. Consulte el apartado Especificacin de UUID de servidor de fondo para uniones con informacin de estado (u).
Especificacin de UUID de servidor de fondo para uniones con informacin de estado (u)
Cuando se crea una unin nueva con un servidor de aplicaciones web de fondo, WebSEAL suele generar un identificador universal nico (UUID) para identificar el servidor de fondo. Este UUID se utiliza internamente y tambin para mantener uniones con informacin de estado (create s). Cuando se produce la solicitud inicial del cliente, WebSEAL coloca una cookie en el sistema del cliente que contiene el UUID del servidor de fondo designado. Cuando el cliente realiza solicitudes posteriores del mismo recurso, la informacin
335
de UUID de la cookie se asegura de que las solicitudes son redireccionadas de forma coherente al mismo servidor de fondo.
Figura 15. Las uniones con informacin de estado utilizan los UUID de servidor de fondo
La gestin de uniones con informacin de estado pasa a ser ms compleja cuando hay varios servidores WebSEAL frontales conectados a varios servidores de fondo. Normalmente, cada unin entre un servidor WebSEAL frontal y un servidor de fondo genera un UUID exclusivo para el servidor de fondo. Esto significa que un solo servidor de fondo tendr un UUID diferente en cada servidor WebSEAL frontal. Si hay varios servidores frontales es necesario un mecanismo de equilibrio de carga para distribuir la carga entre los dos servidores. Por ejemplo, se podra establecer un estado inicial en un servidor de fondo a travs del servidor WebSEAL 1 mediante un UUID especfico. Sin embargo, si el mecanismo de equilibrio de carga dirige una futura solicitud del mismo cliente a travs del servidor WebSEAL 2, el estado dejar de existir, a menos que el servidor WebSEAL 2 utilice el mismo UUID para identificar el mismo servidor de fondo. Normalmente, no sucede as. La opcin u le permite proporcionar el mismo UUID para un servidor de fondo especfico en cada servidor WebSEAL frontal. Por ejemplo, tenemos dos servidores WebSEAL frontales, replicados, cada uno con una unin con informacin de estado con dos servidores de fondo. Al crear la unin con informacin de estado entre el servidor WebSEAL 1 y el servidor de fondo 2, se genera un UUID nico (UUID A) para identificar el servidor de fondo 2. Sin embargo, cuando se crea una unin con informacin de estado entre el servidor WebSEAL 2 y el servidor de fondo 2, se genera un UUID nuevo y diferente (UUID B) para identificar el servidor de fondo 2.
336
Figura 16. UUID distintos
Se puede producir un error en el estado establecido entre un cliente y el servidor de fondo 2, mediante el servidor WebSEAL 1 si se dirige una solicitud posterior del cliente a travs del servidor WebSEAL 2. Aplique el siguiente proceso para especificar un UUID durante la creacin de una unin: 1. Cree una unin del servidor WebSEAL 1 con cada servidor de fondo. Utilice create s y add. 2. Visualice el UUID generado para cada servidor de fondo durante el paso 1. Utilice show. 3. Cree una unin del servidor WebSEAL 2 con cada servidor de fondo y especifique los UUID identificados en el paso 2. Utilice create s u y add u. En la figura siguiente, tanto WebSEAL-1 como WebSEAL-2 conocen el servidor de fondo 1 como UUID 1. Y tanto WebSEAL-1 como WebSEAL-2 conocen el servidor de fondo 2 como UUID 2.
Figura 17. Especificacin de los UUID de servidor de fondo para uniones con informacin de estado
Ejemplo:
En el siguiente ejemplo, v La instancia WebSEAL-1 se denomina WS1. El nombre de host es cruz. v La instancia WebSEAL-2 se denomina WS2. El nombre de host es meow. v El servidor de fondo 1 se denomina APP1
337
v El servidor de fondo 2 se denomina APP2

pdadmin> server task WS1-webseald-cruz create -t tcp -h APP1 -s /mnt pdadmin> server task WS1-webseald-cruz add -h APP2 /mnt pdadmin> server task WS1-webseald-cruz show /mnt
(Aparecer UUID1 y UUID2)

pdadmin> server task WS2-webseald-meow create -t tcp -h APP1 -u UUID1 -s /mnt pdadmin> server task WS2-webseald-meow add -h APP2 -u UUID2 /mnt
Cuando un cliente establece una conexin con informacin de estado con el servidor de fondo 2, recibe una cookie que contiene UUID2. El ejemplo anterior garantiza que el cliente se conectar siempre al servidor de fondo 2, independientemente de si las solicitudes posteriores se dirigen a travs de WebSEAL-1 o de WebSEAL-2.
Unin con sistemas de archivos de Windows (w)

WebSEAL realiza comprobaciones de seguridad en las solicitudes de clientes a los servidores de fondo con unin basadas en las rutas de acceso de los archivos especificadas en la direccin URL. Se puede producir un compromiso en esta comprobacin de seguridad porque los sistemas de archivos de Win32 permiten dos mtodos distintos para acceder a los nombres de archivo largos. El primer mtodo reconoce el nombre de archivo entero. Por ejemplo:
abcdefghijkl.txt
El segundo mtodo reconoce el antiguo formato de nombre de archivos 8.3 para que exista compatibilidad inversa. Por ejemplo:
abcdef~1.txt
Al crear uniones en entornos Windows, es importante restringir el control de accesos a una sola representacin de objeto y no permitir la posibilidad de puertas traseras que eludan el mecanismo de seguridad. La opcin w en una unin proporciona las siguientes medidas de proteccin: v Impide el uso del formato de nombre de archivos 8.3 Cuando la unin se configura con la opcin w, un usuario no puede evitar una ACL explcita en un nombre de archivo largo utilizando el formato corto (8.3) del nombre de archivo. El servidor devuelve un error 403 No autorizado en cualquier nombre de archivo de formato corto especificado. v Prohbe los puntos de cola en los nombres de directorio y de archivo Si un archivo o directorio contiene puntos de cola, se devuelve un error 403 No autorizado. v Aplica la no sensibilidad a maysculas y minsculas estableciendo la opcin i La opcin w invoca automticamente la opcin i. Esta opcin especifica que WebSEAL trate las direcciones URL como no sensibles a maysculas y minsculas al realizar comprobaciones de autorizacin sobre una solicitud a un servidor de fondo con unin. Despus de una comprobacin de ACL correcta, el uso original de maysculas o minsculas en la direccin URL se restaura cuando se enva la solicitud al servidor de fondo. Nota: Si requiere control sobre la no sensibilidad a maysculas y minsculas slo para los nombres de archivo, utilice slo la opcin i de la unin en lugar de la opcin w.
338
Ejemplo:
En un entorno Windows, tambin se puede acceder al archivo:
\Archivos de programa\Company Inc\Release.Notes
a travs de las rutas de acceso siguientes: 1. \archiv~1\compan~2\releas~3.not 2. \Archivos de programa\Company Inc.\Release.Notes 3. \archivos de programa\company inc\release.notes El ejemplo 1 muestra cmo Windows puede crear un alias (para la compatibilidad con DOS) que no contiene espacios en el nombre de archivo y se ajusta al formato 8.3. La opcin w hace que WebSEAL rechace este formato para las comprobaciones de ACL. El ejemplo 2 muestra cmo Windows puede incluir puntos de cola de extensin. La opcin w hace que WebSEAL rechace este formato para las comprobaciones de ACL. El ejemplo 3 muestra cmo Windows permite la no sensibilidad a maysculas y minsculas en el nombre de archivo. La opcin w invoca la opcin i para garantizar la comprobacin de ACL sensible a maysculas y minsculas.
Las ACL y las POP deben asociarse a nombres de objeto en minsculas

Cuando se crea una unin con la opcin w o i, WebSEAL realiza comparaciones de ACL y POP como sensibles a maysculas y minsculas. Esto significa que el nombre de cualquier objeto que se evale para una ACL se establece en minsculas antes de que WebSEAL lo compruebe en la lista de objetos a los que se han asociado las ACL. Como consecuencia de ello, los objetos protegidos con nombres que contengan letras en maysculas no se localizan durante las comprobaciones de ACL o POP. En tal caso, la ACL o la POP no se aplica al objeto protegido y, en su lugar, se aplica la poltica principal. Para evitar posibles aplicaciones incorrectas de la poltica en esta configuracin, debe crear versiones en minsculas de los mismos nombres de los objetos reales protegidos a los que desea asociar ACL o POP explcitas.
Especificacin de la codificacin UTF-8 para datos de cabecera HTTP

WebSEAL inserta informacin en las cabeceras HTTP para solicitudes para el servidor de fondo. Esta informacin puede incluir atributos ampliados o datos de usuario. En WebSEAL de versiones anteriores a la 5.1, para agregar cabeceras a la solicitud se utilizaba la pgina de cdigos local sin formato. En la versin 5.1, los datos de la cabecera se transmiten en un formato que puede configurarse. De forma predeterminada, WebSEAL ahora agrega informacin a las cabeceras HTTP utilizando codificacin UTF-8. De este modo se evitan posibles prdidas de datos que podran producirse cuando se realiza la conversin a una pgina de cdigos que no sea UTF-8. Asimismo, de forma predeterminada, estos datos se envan con codificacin URI. Para compatibilidad con versiones anteriores, el formato de los datos de la cabecera puede configurarse en una pgina de cdigos
339
local sin formato. Adems, se da soporte a dos formatos ms: UTF-8 sin codificar y pgina de cdigos local codificada en URI. La opcin -e para crear uniones especifica la codificacin del nombre de usuario, de grupos y de otros atributos ampliados que se envan en la cabecera HTTP al servidor de fondo. La opcin de codificacin puede tomar uno de los argumentos siguientes:
Argumento utf8_uri Descripcin Datos UTF-8 con codificacin URI Todos los espacios en blanco y los bytes que no son ASCII se codifican %XY, siendo X e Y valores hexadecimales (0F). utf8_bin Datos UTF-8 sin codificar Este valor permite transmitir datos sin que se produzca prdida de datos, y el cliente no debe descodificar los datos URI. Este valor debe utilizarse con precaucin, ya que no forma parte de la especificacin HTTP. lcp_uri Datos de pgina local con codificacin URI Todos los caracteres UTF-8 que no puedan convertirse en una pgina de cdigos local se convertirn en signos de interrogacin (?). Esta opcin debe utilizarse con precaucin y slo en entornos en los que la pgina de cdigos local produce las cadenas deseadas. lcp_bin Datos de pgina de cdigos local sin codificar Esta modalidad la utilizaban las versiones de WebSEAL anteriores a la 5.1. El uso de esta modalidad permite migrar desde versiones anteriores y se utiliza en entornos de actualizacin. Debe utilizarse con precaucin, porque con esta modalidad puede producirse una prdida de datos.
Para obtener ms informacin sobre el soporte de WebSEAL para la codificacin UTF-8, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
340
Notas tcnicas para utilizar uniones WebSEAL

v v v v Montaje de varios servidores en la misma unin en la pgina 341 Excepciones a la aplicacin de permisos entre uniones en la pgina 341 Certificacin de autenticacin entre uniones en la pgina 341 Gestin de cookies de dominio en la pgina 342
Montaje de varios servidores en la misma unin

Puede montar varios servidores replicados en el mismo punto de unin. Puede haber cualquier cantidad de servidores montados en el mismo punto. Todos los servidores montados en un punto de unin deben ser rplicas (espacios web duplicados) y deben utilizar el mismo protocoloHTTP o HTTPS. No monte servidores diferentes en el mismo punto de unin. Desde el espacio web del servidor principal de Tivoli Access Manager, acceda alas pginas que pertenecen a los servidores con unin. Debe poder acceder a estas pginas (dependiendo, evidentemente, de los permisos) y las pginas deben aparecer de forma coherente. Si no se encuentra alguna pgina, o si sta se modifica ocasionalmente, significa que la pgina no se ha replicado de manera correcta. Compruebe que exista el documento y que sea idntico en el rbol de documentos de los dos servidores replicados.
Excepciones a la aplicacin de permisos entre uniones

Algunos permisos de Tivoli Access Manager no son aplicables a travs de una unin. No puede controlar, por ejemplo, la ejecucin de un script CGI con el permiso x o un listado de directorios con el permiso l. WebSEAL no tiene ninguna forma de determinar con precisin si un objeto solicitado de un servidor de fondo es, por ejemplo, un archivo de programa CGI, un listado de directorios dinmico o un objeto HTTP normal. El acceso a los objetos a travs de uniones, incluidos los programas CGI y los listados de directorios, slo se controla mediante el permiso r.
Certificacin de autenticacin entre uniones

Durante la instalacin, WebSEAL se configura con un certificado de prueba no predeterminado. El certificado de prueba se designa como el certificado activo de servidor mediante el parmetro webseal-cert-keyfile-label de la stanza [ssl] del archivo de configuracin de WebSEAL. Si un servidor de aplicaciones de fondo con unin requiere que WebSEAL se identifique con un certificado de cliente, deber crear, instalar y etiquetar primero este certificado usando la utilidad iKeyman. A continuacin, configure la unin con la opcin K etiqueta-clave. Consulte el apartado Uniones SSL autenticadas mutuamente en la pgina 312. Si la unin no se configura con K, GSKit gestiona una solicitud para la autenticacin mutua, enviando automticamente el certificado predeterminado contenido en la base de datos del archivo de claves. Si esta no es la respuesta adecuada, debe asegurarse de que no haya certificados marcados como predeterminado (una marca de asterisco) en la base de datos del archivo de claves (pdsrv.kdb).
341
En resumen: v Identifique todos los certificados necesarios por el nombre de etiqueta. v No marque ningn certificado en la base de datos del archivo de claves como predeterminado. v Controle la respuesta del certificado de servidor WebSEAL con el parmetro webseal-cert-keyfile-label. v Controle la respuesta del certificado de cliente de WebSEAL mediante la opcin de unin K.
Gestin de cookies de dominio

El parmetro allow-backend-domain-cookies de la stanza [session] del archivo de configuracin de WebSEAL permite controlar el modo en que WebSEAL gestiona los atributos de dominio en las cabeceras de las cookies. Cuando este parmetro est establecido en no (predeterminado), WebSEAL realiza una coincidencia de cola para determinar si el dominio (contenido como atributo en la cabecera de la cookie) es vlido. Si el dominio de la cabecera de la cookie es vlido, la cookie se enva al navegador con el atributo de dominio eliminado de la cabecera. Cuando un navegador recibe una cookie sin atributo de dominio, puede devolver la cookie slo al servidor del cual proviene. Si la coincidencia de cola determina que el dominio de la cabecera de la cookie no es vlido, la cookie no se enva al navegador. El navegador no tiene cookies que devolver.
[session] allow-backend-domain-cookies = no
Cuando este parmetro est establecido en yes, WebSEAL no realiza ninguna coincidencia de cola y permite que las cookies, independientemente del valor de atributo del dominio, se enven al navegador. El navegador puede devolver las cookies al servidor o servidores adecuados.
[session] allow-backend-domain-cookies = yes
WebSEAL devuelve HTTP/1.1

Las solicitudes HTTP/1.0 se envan a servidores de fondo con unin slo si esos servidores devuelven un estado de 400 (Solicitud incorrecta), devuelven un estado de 504 (versin HTTP no soportada) o si el navegador del cliente especifica HTTP/1.0 en la solicitud. En caso contrario, si el servidor de fondo acepta HTTP/1.1, WebSEAL enva solicitudes HTTP/1.1. Sin embargo, aun cuando WebSEAL enva una solicitud HTTP/1.0 a un servidor de fondo con unin (y el servidor de fondo devuelve una respuesta HTTP/1.0), WebSEAL devuelve siempre una respuesta HTTP/1.1 al navegador del cliente.
Aplicacin con unin con Web Portal Manager

Problema: Web Portal Manager enva direcciones URL absolutas o relativas del servidor en su script Java. El navegador no resuelve estas direcciones correctamente y las direcciones requieren informacin de la cookie de unin para completar el nombre de la ruta de acceso.
342
Solucin: si un servidor de aplicaciones con Web Portal Manager tiene establecida una unin con WebSEAL, debe utilizar la opcin j cuando cree esta unin. La cookie de la unin proporcionada por la opcin j permite al navegador (cliente) emitir correctamente comandos para Web Portal Manager. Adems de utilizar la opcin j, debe utilizar la opcin c iv_user,iv_creds.
343
Utilizacin de query_contents con servidores de terceros

Si desea proteger los recursos del espacio web de aplicaciones de terceros utilizando el servicio de seguridad de Tivoli Access Manager, debe proporcionar a WebSEAL informacin sobre el contenido del espacio web de terceros. Un programa CGI denominado query_contents proporciona esta informacin. El programa query_contents busca el contenido del espacio web de terceros y proporciona esta informacin de inventario a Web Portal Manager (WPM) de WebSEAL. El programa est incluido en la instalacin de WebSEAL, pero se debe instalar manualmente en el servidor de terceros. Hay diferentes tipos de archivos de programa disponibles, dependiendo de si el servidor de terceros se est ejecutando en UNIX o en Windows. El Gestor de espacio de objetos de Web Portal Manager ejecuta automticamente query_contents cada vez que la parte del espacio de objetos protegidos que representa la unin se ampla en el panel de gestin de espacio de objetos. Ahora que Web Portal Manager conoce el contenido del espacio de aplicaciones de terceros, puede visualizar esta informacin y aplicar plantillas de polticas a los objetos adecuados.
Instalacin de los componentes de query_contents

La instalacin de query_contents suele ser muy fcil. La instalacin implica la copia de uno o dos archivos del servidor de Tivoli Access Manager al servidor de terceros y la edicin de un archivo de configuracin. El siguiente directorio de Tivoli Access Manager contiene una plantilla del programa: UNIX:
ruta_acceso_instalacin/www/lib/query_contents
Windows:
ruta_acceso_instalacin\www\lib\query_contents
El contenido del directorio incluye:

Archivo query_contents.exe Descripcin Programa ejecutable principal para sistemas Win32. Debera instalarse en el directorio cgi-bin del servidor web de terceros. Programa ejecutable principal para sistemas UNIX. Debera instalarse en el directorio cgi-bin del servidor web de terceros. Cdigo fuente. Se incluye el cdigo fuente por si es necesario modificar el comportamiento de query_contents. En la mayora de los casos, no ser necesario. Archivo de ayuda en formato HTML. Archivo de configuracin de ejemplo que identifica la raz del documento para el servidor web.
query_contents.sh
query_contents.c
query_contents.html query_contents.cfg
344
Instalacin de query_contents en servidores UNIX de terceros

Localice el script de shell denominado query_contents.sh en el siguiente directorio:
ruta_acceso_instalacin/www/lib/query_contents
1. Copie query_contents.sh en un directorio /cgi-bin en funcionamiento del servidor web de terceros. 2. Elimine la extensin .sh del nombre de archivo. 3. Edite manualmente el archivo de script para especificar correctamente el directorio raz del documento. 4. Establezca el bit de ejecucin de UNIX para la cuenta de administracin del servidor web.
Instalacin de query_contents en servidores Win32 de terceros

Opcin especial de unin para Windows: Cuando se necesite y se instale el programa query_contents en un servidor de fondo de aplicaciones web de Windows con unin, se debe utilizar la opcin q al crear la unin con ese servidor. El motivo de este requisito es que, de forma predeterminada, WebSEAL busca el programa, query_contents, en el directorio cgi-bin:
/cgi-bin/query_contents
Si cambia el nombre del programa query_contents o cambia la ubicacin de su directorio, debe utilizar la opcin q ubicacin cuando cree la unin. El argumento de ubicacin especifica la nueva ubicacin y nombre del programa. El nombre del programa query_contents utilizado en plataformas Windows es query_contents.exe. La presencia de la extensin .exe hace que el nombre del programa sea diferente. Por lo tanto, WebSEAL no puede encontrar el nombre de programa predeterminado. Debe utilizar la opcin y el argumento q ubicacin para indicar a WebSEAL dnde encontrar el archivo. Por ejemplo:
create -t tcp -h nombre-host ... -q /cgi-bin/query_contents.exe /nombre-unin
La opcin q no es necesaria para un servidor UNIX porque el nombre y la ubicacin del programa query_contents coinciden con la condicin predeterminada. Procedimiento: Localice el programa ejecutable denominado query_contents.exe y el archivo de configuracin denominado query_contents.cfg en el siguiente directorio: Windows: ruta_instalacin\www\lib\query_contents 1. Asegrese de que el servidor web de terceros tenga el directorio CGI configurado correctamente. 2. Para las comprobaciones, asegrese de que exista un documento vlido en la raz de documentos del servidor web de terceros. 3. Copie query_contents.exe en el directorio CGI del servidor web de terceros. 4. Copie query_contents.cfg en el directorio de Windows.
345
En la tabla siguiente aparecen los valores predeterminados de este directorio:

Sistema operativo Windows 95 y 98 Windows NT 4.x y 2000 c:\windows c:\winnt Directorio Windows
5. Edite el archivo query_contents.cfg para especificar correctamente el directorio raz del documento para el servidor web de terceros. Actualmente, el archivo contiene ejemplos de entradas para los servidores Microsoft Internet Information Server y Netscape FastTrack. Las lneas de este archivo que comienzan con punto y coma (;) son comentarios y el programa query_contents los ignora. 6. Cree una unin con el servidor Windows de fondo y utilice la opcin q para especificar que query_contents.exe es el archivo correcto. Por ejemplo:
pdadmin> server task web1-webseald-cruz create -t tcp -h nombre-host ... \ -q /cgi-bin/query_contents.exe /nombre-unin
Prueba de la configuracin
1. Desde el smbolo del sistema MS-DOS del sistema Win32, ejecute el programa query_contents del directorio CGI como se indica a continuacin:
MSDOS> query_contents dirlist=/
Aparecer algo similar a la siguiente salida:

100 index.html cgi-bin// pics//
El nmero 100 es un estado de retorno que indica el xito de la operacin. Es importante ver el nmero 100 al menos como el primer valor (y tal vez el nico). Si, por lo contrario, ve un cdigo de error, ello indica que el archivo de configuracin no se encuentra en la ubicacin correcta o bien no contiene una entrada de raz de documentos vlida. Compruebe la configuracin del archivo query_contents.cfg y asegrese de que la raz del documento exista. 2. Desde un navegador, especifique la siguiente direccin URL:
http://nombre-mquina-win32/cgi-bin/query_contents.exe?dirlist=/
Debera aparecer el mismo resultado que en el paso anterior. Si no es as, la configuracin de CGI del servidor web no es correcta. Consulte la documentacin del servidor para corregir el problema.
Personalizacin de query_contents
La tarea de query_contents es devolver el contenido de los directorios incluidos en una solicitud de direccin URL. Por ejemplo, para obtener el contenido del directorio raz de un espacio web del servidor, el navegador ejecuta query_contents en una direccin URL como:
http://servidor-de-terceros/cgi-bin/query_contents?dirlist=/
El script query_contents lleva a cabo las acciones siguientes: 1. Lee $SERVER_SOFTWARE, una variable de entorno de CGI estndar, para determinar el tipo de servidor. Segn el tipo de servidor web, la variable $DOCROOTDIR se establece en una ubicacin raz de documentos tpica.
346
2. Lee la variable de entorno $QUERY_STRING de la direccin URL solicitada para obtener la operacin solicitada y obtener la ruta de acceso de objetos. El valor de la operacin se almacena en la variable $OPERATION y la ruta de acceso de objetos en $OBJPATH. En el ejemplo anterior, $OPERATION es dirlist y $OBJPATH es /. 3. Crea un listado de directorios (ls) en la ruta de acceso del objeto y coloca los resultados en una salida estndar para que los utilice el servidor de Tivoli Access Manager. Las entradas que indican subdirectorios tienen una barra inclinada doble (//) agregada. sta es una salida tpica:
100 index.html cgi-bin// pics//
El nmero 100 es un estado de retorno que indica el xito de la operacin.
Personalizacin del directorio raz de documentos

UNIX: Para personalizar query_contents.sh para su servidor UNIX, es posible que tenga que modificar la configuracin del directorio raz del documento. Si query_contents devuelve un estado de error (un nmero diferente a 100) y no crea una lista de archivos, examine el script y modifique la variable $DOCROOTDIR, si es necesario, para que coincida con la configuracin de su servidor. Si el directorio raz del documento se especifica correctamente y el script sigue fallando, puede que la especificacin de la ubicacin de cgi-bin sea incorrecta. Examine la variable $FULLOBJPATH y modifique el valor que tiene asignado para reflejar la ubicacin de cgi-bin correcta. Windows: Para personalizar query_contents.exe para su servidor Windows, modifique el archivo query_contents.cfg.
Funcionalidad adicional
El cdigo fuente del programa query_contents (query_contents.c) se distribuye con los productos Tivoli Access Manager sin necesidad de pagar ningn derecho. Se pueden agregar funciones adicionales a este programa para dar soporte a las caractersticas especiales de algunos servidores web de terceros. Estas caractersticas son: v Correlacin de directorios en que un subdirectorio que no est por debajo del directorio raz se correlaciona en el espacio web. v Generacin de un espacio web que no est basado en el sistema de archivos. Puede tratarse de un servidor web que aloje una base de datos.
Proteccin de query_contents
Tivoli Access Manager utiliza el programa CGI query_contents para visualizar los espacios de objetos del servidor web con unin en Web Portal Manager (WPM). Es muy importante proteger este archivo para que no sea ejecutado por usuarios no autorizados.
347
Debe establecer una poltica de seguridad que slo permita a la identidad de Policy Server (pdmgrd) tener acceso al programa query_contents. La siguiente ACL de ejemplo (query_contents_acl) cumple estos requisitos:
grupo ivmgrd-servers Tl usuario sec_master dbxTrlcam
Use la utilidad pdadmin para asociar esta ACL con el objeto de query_contents.sh (UNIX) o query_contents.exe (Windows) en los servidores con unin. Por ejemplo (UNIX):
pdadmin> acl attach /WebSEAL/host/nombre-unin/query_contents.sh \ query_contents_acl
v Problema: query_contents no funciona con la opcin -b ignore en las uniones. Explicacin: Si WebSEAL y el plug-in Microsoft IIS Web estn configurados y ambos utilizan la autenticacin bsica, es posible que una unin creada en WebSEAL para IIS con la opcin -b ignore especificada no se trate correctamente en Web Portal Manager o mediante el comando pdadmin. Este problema se manifiesta en Web Portal Manager mediante la no ampliacin de la ramificacin del espacio de objetos para la unin de WebSEAL porque el comando query_contents.exe no devuelve informacin. De forma parecida, es posible que el comando pdadmin object list /WebSEAL/host_name/junction_name no muestre informacin sobre la unin. Solucin temporal: Para evitar este problema, desactive temporalmente la autenticacin bsica en el servidor de fondo cuando los administradores deban aplicar el control de acceso de nivel URI. Alternativamente, asegrese de que el comando query_contents.exe se ejecuta desde un directorio que no requiera autenticacin bsica.
348

Cuando WebSEAL se implementa como servidor proxy para proporcionar proteccin a un dominio seguro, a veces existe la necesidad de proporcionar soluciones para el inicio de sesin nico a recursos web situados en servidores de fondo con unin. En este captulo se describen soluciones de inicio de sesin nico para el espacio web con unin de una configuracin proxy de WebSEAL. Algunos ejemplos son las uniones especialmente configuradas, el inicio de sesin global y LTPA. ndice de temas: v Configuracin de cabeceras de BA para las soluciones de inicio de sesin nico en la pgina 350 v Utilizacin de Global Sign-on (GSO) en la pgina 354 v Configuracin del inicio de sesin nico en IBM WebSphere (LTPA) en la pgina 358 v Configuracin de la autenticacin de formularios de inicio de sesin nico en la pgina 361
349
Configuracin de cabeceras de BA para las soluciones de inicio de sesin nico

Este apartado trata las posibles soluciones para crear configuraciones de inicio de sesin nico a travs de uniones WebSEAL mediante las opciones b. v Conceptos de inicio de sesin nico (SSO) en la pgina 350 v Especificacin de la identidad de cliente en cabeceras de BA en la pgina 350 v Especificacin de la identidad del cliente y la contrasea genrica en la pgina 351 v Reenvo de la informacin de cabecera de BA del cliente original en la pgina 352 v Eliminacin de la informacin de cabecera de BA de cliente en la pgina 352 v Especificacin de los nombres de usuario y las contraseas de GSO en la pgina 353
Conceptos de inicio de sesin nico (SSO)

Cuando un recurso protegido se encuentra en un servidor de aplicacin web de fondo, un cliente solicita que el recurso puede ser necesario para realizar mltiples inicios de sesin uno para el servidor WebSEAL y otro para el servidor de fondo. Cada inicio de sesin probablemente requerir distintas identidades de inicio de sesin. El problema de administrar y mantener identidades de inicios de sesin mltiples puede resolverse habitualmente con un mecanismo de inicio de sesin nico (SSO). Una solucin de inicio de sesin nico permite al usuario acceder a un recurso, independientemente de la ubicacin del mismo, utilizando slo un inicio de sesin inicial. Cualquier requisito de inicio de sesin adicional de los servidores de fondo se gestiona de forma transparente para el usuario.
Especificacin de la identidad de cliente en cabeceras de BA

Puede configurar uniones WebSEAL para proporcionar al servidor de fondo informacin de identidad de cliente original o modificada. El conjunto de opciones b le permite proporcionar informacin de identidad de cliente especfica en cabeceras de autenticacin bsica (BA) HTTP. Como administrador, debe analizar la arquitectura de la red y los requisitos de seguridad y determinar las respuestas a las preguntas siguientes: 1. El servidor de fondo requiere informacin de autenticacin? (WebSEAL utiliza la cabecera de autenticacin bsica HTTP para transferir la informacin de autenticacin.) 2. Si el servidor de fondo requiere informacin de autenticacin, de dnde proviene esa informacin? (Qu informacin coloca WebSEAL en la cabecera HTTP?) 3. La conexin entre WebSEAL y el servidor de fondo debe ser segura? (Unin TCP o SSL?) Despus de la autenticacin inicial entre el cliente y WebSEAL, WebSEAL puede crear una cabecera de autenticacin bsica. La solicitud utiliza esta cabecera nueva mientras sigue por la unin hasta el servidor de fondo. Utilice las opciones b para indicar la informacin de autenticacin especfica que se proporciona en esta cabecera nueva.
350
Especificacin de la identidad del cliente y la contrasea genrica

b supply La opcin b supply ordena a WebSEAL que proporcione el nombre de usuario de Tivoli Access Manager autenticado (la identidad original del cliente) con una contrasea esttica genrica (ficticia). La contrasea de cliente original no se utiliza en este escenario. Una contrasea genrica elimina la administracin de contraseas y da soporte a su aplicacin en funcin de cada usuario. La contrasea ficticia se establece en el parmetro basicauth-dummy-passwd del archivo de configuracin de WebSEAL:
[junction] basicauth-dummy-passwd = contrasea
Esta situacin da por supuesto que el servidor de fondo requiere autenticacin de la identidad de Tivoli Access Manager. Correlacionando un usuario del cliente con un usuario de Tivoli Access Manager conocido, WebSEAL gestiona la autenticacin para el servidor de fondo y proporciona una solucin de inicio de sesin nico sencilla para todo el dominio. Existen las siguientes condiciones para esta solucin: v WebSEAL est configurado para proporcionar al servidor de fondo el nombre de usuario que contiene la solicitud del cliente original, adems de una contrasea genrica (ficticia). v La contrasea ficticia se configura en el archivo de configuracin de WebSEAL. v El registro de servidor de fondo debe reconocer la identidad de Tivoli Access Manager proporcionada en la cabecera BA HTTP. v Debido a que se pasa informacin de autenticacin confidencial (nombre de usuario y contrasea) a travs de la unin, la seguridad de la unin es importante. Es muy recomendable una unin SSL.
Figura 18. La cabecera de BA contiene la identidad y una contrasea ficticia
Limitaciones
Se utiliza la misma contrasea ficticia de Tivoli Access Manager para todas las solicitudes; todos los usuarios tienen la misma contrasea en el registro de servidor de fondo. La utilizacin de la contrasea ficticia comn no ofrece ninguna base para que el servidor de aplicacin puede probar la legitimidad del registro del cliente con ese nombre de usuario.
351
Si los clientes pasan siempre a travs de WebSEAL para acceder al servidor de fondo, esta solucin no presenta ningn problema de seguridad. Sin embargo, es importante proteger fsicamente el servidor de fondo de otras posibles formas de acceso. Dado que en este caso no hay seguridad de nivel de contrasea, el servidor de fondo debe confiar implcitamente en WebSEAL para que verifique la legitimidad del cliente. El registro de servidor de fondo tambin debe reconocer la identidad de Tivoli Access Manager para aceptarlo.
Reenvo de la informacin de cabecera de BA del cliente original

b ignore La opcin b ignore indica a WebSEAL que debe pasar la cabecera de autenticacin bsica (BA) de cliente original directamente al servidor de fondo sin ninguna interferencia. WebSEAL puede configurarse para que autentique esta informacin de cliente de BA o omita la cabecera de BA que proporciona el cliente y la reenve, sin modificarla, al servidor de fondo. Nota: No es un mecanismo de inicio de sesin nico verdadero, sino un inicio de sesin directo al servidor de terceros, transparente para WebSEAL. Existen las siguientes condiciones para esta solucin: v El servidor de fondo requiere informacin de identidad de cliente mediante BA. El servidor de fondo enviar una tentativa de autenticacin bsica al cliente. El cliente responde con la informacin de nombre de usuario y contrasea que el servidor WebSEAL pasa sin ninguna modificacin. v El servidor de fondo mantiene sus propias contraseas proporcionadas por el cliente. v WebSEAL est configurado para que proporcione al servidor de fondo el nombre de usuario y la contrasea contenidos en la solicitud de cliente original. v Debido a que se pasa informacin de autenticacin confidencial (nombre de usuario y contrasea) a travs de la unin, la seguridad de la unin es importante. Es muy recomendable una unin SSL.
Eliminacin de la informacin de cabecera de BA de cliente

b filter La opcin b filter indica a WebSEAL que elimine toda la informacin de cabecera de autenticacin bsica de las solicitudes de cliente antes de reenviar las solicitudes al servidor de fondo. En este escenario, WebSEAL es el nico proveedor de seguridad. Existen las siguientes condiciones para esta solucin: v La autenticacin bsica est configurada entre el cliente y WebSEAL v El servidor de fondo no requiere la autenticacin bsica v Slo se puede acceder al servidor de fondo a travs de WebSEAL v WebSEAL gestiona la autenticacin en nombre del servidor de fondo
352
Si necesita proporcionar al servidor de fondo alguna informacin de cliente, puede combinar esta opcin con la opcin c para insertar informacin de identidad de cliente de Tivoli Access Manager en campos de cabeceras HTTP. Consulte el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 331.
Especificacin de los nombres de usuario y las contraseas de GSO

b gso La opcin b gso ordena a WebSEAL que proporcione al servidor de fondo informacin de autenticacin (nombre de usuario y contrasea) obtenida de un servidor configurado para gestionar Global Sign-On (GSO). Existen las siguientes condiciones para esta solucin: v Las aplicaciones de servidor de fondo requieren distintos nombres de usuario y contraseas que no estn contenidos en el registro de WebSEAL. v La seguridad es importante para WebSEAL y el servidor de fondo. Debido a que se pasa informacin de autenticacin confidencial (nombre de usuario y contrasea) a travs de la unin, la seguridad de la unin es importante. Es muy recomendable una unin SSL. Este mecanismo se describe detalladamente en el apartado Utilizacin de Global Sign-on (GSO) en la pgina 354.
353
Utilizacin de Global Sign-on (GSO)

Tivoli Access Manager da soporte a soluciones de inicio de sesin nico que tiene la posibilidad de proporcionar contraseas y nombres de usuario alternativos al servidor de aplicacin web de fondo. Global Sign-on otorga a los usuarios el acceso a los recursos de sistemas que estn autorizados a utilizar, a travs de un inicio de sesin nico. Concebido para grandes empresas que constan de varios sistemas y aplicaciones dentro de entornos de sistemas distribuidos heterogneos, GSO elimina la necesidad de los usuarios finales de gestionar varios nombres de usuario y contraseas. La integracin se consigue creando uniones conscientes entre WebSEAL y los servidores web de fondo. Los recursos y grupos de recursos GSO deben crearse primero utilizando Web Portal Manager o la utilidad pdadmin. Cuando WebSEAL recibe una solicitud para un recurso ubicado en el servidor con unin, WebSEAL pide al servidor del registro de usuarios la informacin de autenticacin adecuada. El servidor de registro de usuarios contiene una base de datos de correlaciones para cada usuario registrado que proporciona nombres de usuario y contraseas alternativos para determinados recursos y aplicaciones. La siguiente figura muestra cmo se utiliza el mecanismo GSO para recuperar nombres de usuario y contraseas para recursos de aplicaciones de fondo. 1. El cliente se autentica en WebSEAL con una solicitud para acceder a un recurso de aplicacin en un servidor de fondo. Se obtiene una identidad de Tivoli Access Manager. Nota: El proceso de inicio de sesin nico es independiente del mtodo de autenticacin inicial. 2. WebSEAL pasa la identidad de Tivoli Access Manager al servidor de registro de usuarios. 3. El registro devuelve un nombre de usuario y una contrasea que son adecuados para el usuario y para el recurso de aplicacin solicitado. 4. WebSEAL inserta la informacin de nombre de usuario y contrasea en la cabecera de autenticacin bsica HTTP de la solicitud que se enva a travs de la unin con el servidor de fondo.
354
Figura 19. Mecanismo de Global Sign-on
Correlacin de la informacin de autenticacin

El ejemplo siguiente muestra cmo el registro de usuarios proporciona informacin de autenticacin a WebSEAL. Si el usuario Michael desea ejecutar el recurso de aplicacin travel-app (consulte la Figura 19), WebSEAL pide al servidor de registro de usuarios la informacin de autenticacin de Michael. El servidor de registro de usuarios mantiene una base de datos completa de informacin de autenticacin en forma de correlaciones de recursos con informacin de autenticacin especfica. La informacin de autenticacin es una combinacin de nombre de usuario / contrasea conocida como credencial de recurso. Las credenciales de recursos slo se pueden crear para los usuarios registrados. El registro contiene una base de datos para Michael que correlaciona el recurso travel-app con una credencial de recursos especfica. La siguiente tabla muestra la estructura de la base de datos de credenciales de recursos de GSO:
Michael resource: travel-app username=mike password=123 resource: payroll-app username=powell password=456 Paul resource: travel-app username=bundy password=abc resource: payroll-app username=jensen password=xyz
En este ejemplo, el registro devuelve el nombre de usuario mike y la contrasea 123 a WebSEAL. WebSEAL utiliza esta informacin cuando construye la cabecera de autenticacin bsica en la solicitud enviada a travs de la unin al servidor de fondo.
355
Configuracin de una unin WebSEAL habilitada para GSO

El soporte para GSO se configura en la unin entre WebSEAL y un servidor de fondo. Para crear una unin que habilite GSO, utilice el comando create con la opcin b gso. El ejemplo siguiente muestra la sintaxis para el comando create:
create -t tcp -h nombre-host -b gso -T recurso punto-unin
A continuacin se muestra una lista de opciones para configurar uniones GSO:

Opciones b gso Descripcin Especifica que GSO debe proporcionar informacin de autenticacin para todas las solicitudes que pasan por esta unin. Especifica el recurso o grupo de recursos de GSO. El nombre de recurso utilizado como argumento para esta opcin debe coincidir exactamente con el nombre de recursos tal como se lista en la base de datos de GSO. Necesario para uniones gso.
T recurso/grupo-recursos
Se puede proteger una unin utilizada en una solucin WebSEAL/GSO a travs de SSL aplicando tambin la opcin t ssl al crear la unin. Utilice siempre uniones SSL con GSO para garantizar el cifrado de credenciales y de todos los datos.
Ejemplos de uniones WebSEAL habilitadas para GSO

Unir el recurso de aplicacin travel-app en el host sales_svr con el punto de unin /sales:
create -t tcp -b gso -T travel-app -h sales_svr /sales
Unir el recurso de aplicacin payroll-app en el host adm_svr con el punto de unin /admin y realizar la unin segura con SSL:
create -t ssl -b gso -T payroll-app -h adm_svr /admin
Nota: En el ejemplo anterior, la opcin t ssl establece el puerto predeterminado 443.
Configuracin de la cach de GSO

La funcionalidad de la cach de Global Sign-on (GSO) permite mejorar el rendimiento de las uniones GSO en un entorno de carga elevada. De forma predeterminada, la cach de GSO est inhabilitada. Sin la mejora de la cach, se necesita una llamada al servidor de registro de usuarios para cada recuperacin de informacin de destino de GSO (nombre de usuario de GSO y contrasea de GSO). Los parmetros para configurar la cach de GSO se encuentran en la stanza [gso-cache] del archivo de configuracin de WebSEAL. Debe habilitar primero la cach. El resto de parmetros configuran el tamao de la cach y los valores de tiempo de espera para las entradas de la cach. Unos valores de tiempo de espera de inactividad y de duracin ms altos aumentan el rendimiento, pero tambin el riesgo de exposicin de la informacin en la memoria de WebSEAL. No habilite la cach de GSO si no se utilizan las uniones GSO en su solucin de red.
356
Parmetro gso-cache-enabled
Descripcin Habilita e inhabilita la funcionalidad de la cach de GSO. Los valores son yes o no. El valor predeterminado es no. Establece el nmero mximo de entradas permitidas en la tabla hash de la cach. Establezca este valor para que se aproxime al valor mximo de sesiones de usuario simultneas que acceden a una aplicacin a travs de una unin GSO. Un valor alto utiliza ms memoria pero permite un acceso a la informacin ms rpido. Cada entrada de cach consume aproximadamente 50 bytes. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach, independientemente de la actividad. Cuando una entrada de cach caduca, la siguiente solicitud del mismo usuario requerir una nueva llamada al servidor de registro de usuarios. El valor predeterminado es 900 segundos. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach inactiva. El valor predeterminado es 120 segundos.
gso-cache-size
gso-cache-entry-lifetime
gso-cache-entry-idle-timeout
Para obtener ms informacin, consulte el apartado Cach de Global Sign-On en la pgina 514.
357
Configuracin del inicio de sesin nico en IBM WebSphere (LTPA)

WebSEAL puede proporcionar servicios de autenticacin, autorizacin y proteccin en un entorno IBM WebSphere. Si WebSEAL se coloca como frente de proteccin de WebSphere, los clientes que accedan se encontrarn con dos puntos potenciales de inicio de sesin. Por lo tanto, WebSEAL da soporte a una solucin de inicio de sesin nico para uno o ms servidores IBM WebSphere a travs de las uniones WebSEAL. WebSphere proporciona el mecanismo de autenticacin LTPA de terceros basado en cookies. Las uniones WebSEAL se pueden configurar para dar soporte a LTPA y proporcionar soluciones de inicio de sesin nico a los clientes. Cuando un usuario efecta una solicitud de un recurso de WebSphere, el usuario primer debe autenticarse en WebSEAL. Despus de la autenticacin correcta, WebSEAL genera una cookie LTPA para el usuario. La cookie LTPA, que sirve como seal de autenticacin para WebSphere, contiene informacin sobre la identidad del usuario, clave y datos de la seal, longitud de bfer y caducidad. Esta informacin se cifra utilizando una clave secreta protegida por contrasea que comparten WebSEAL y el servidor WebSphere. WebSEAL inserta la cookie en la cabecera HTTP de la solicitud que se enva a travs de la unin a WebSphere. El servidor WebSphere de fondo recibe la solicitud, descifra la cookie y autentica al usuario a partir de la informacin de identidad suministrada en la cookie. Para aumentar el rendimiento, WebSEAL puede almacenar la cookie LTPA en la cach, y utilizar la cookie LTPA almacenada en la cach para futuras solicitudes durante la misma sesin de usuario. Puede configurar los valores de tiempo de espera de duracin y de inactividad (desocupado) para la cookie almacenada en la cach.
Configuracin de una unin LTPA

El inicio de sesin nico en WebSphere a travs de una cookie LTPA requiere las siguientes tareas de configuracin: 1. Habilitar el mecanismo LTPA. 2. Proporcionar la ubicacin del archivo de claves que se utiliza para cifrar la informacin de identidad. 3. Proporcionar la contrasea de este archivo de claves. Estos tres requisitos de configuracin se especifican en tres opciones adicionales para el comando create de unin. v La opcin A habilita las cookies de LTPA. v La opcin y el argumento F archivo_claves especifican la ubicacin del nombre de ruta de acceso completa (en el servidor WebSEAL) del archivo de claves utilizado para cifrar la informacin de identidad que contiene la cookie. La clave compartida se crea originalmente en el servidor WebSphere y se copia de forma segura en el servidor WebSEAL. Consulte la documentacin de WebSphere correspondiente para obtener informacin ms detallada sobre esta tarea. v La opcin y argumento Z contrasea-archivo-claves especifican la contrasea necesaria para abrir el archivo de claves. La contrasea aparece como texto cifrado en el archivo XML de unin.
358
Utilice estas opciones, adems de las otras opciones de unin necesarias, cuando cree la unin entre WebSEAL y el servidor WebSphere de fondo. Por ejemplo:
create ... -A -F "/abc/xyz/key.file" -Z "abcdefg" ...
Configuracin de la cach de LTPA

La creacin, el cifrado y el descifrado de las cookies LTPA introduce una carga de proceso adicional. La funcionalidad de la cach de LTPA permite mejorar el rendimiento de las uniones LTPA en un entorno de carga elevada. Sin la mejora de la cach, se crea y se cifra una nueva cookie LTPA para cada una de las siguientes solicitudes de usuario. De forma predeterminada, la cach de LTPA est habilitada. Los parmetros para configurar la cach de LTPA se encuentran en la stanza [ltpa-cache] del archivo de configuracin de WebSEAL. Los parmetros especifican el tamao de la cach y los valores de tiempo de espera para las entradas de la cach. Unos valores de tiempo de espera de inactividad y de duracin ms altos aumentan el rendimiento, pero tambin el riesgo de exposicin de la informacin en la memoria de WebSEAL.
Parmetro ltpa-cache-enabled Descripcin Habilita e inhabilita la funcionalidad de la cach de LTPA. Los valores incluyen s y no. El valor predeterminado es s. Establece el nmero mximo de entradas permitidas en la tabla hash de la cach. Establezca este valor aproximadamente en el nmero superior de las sesiones de usuario concurrentes que acceden a una aplicacin a travs de una unin LTPA. Un valor alto utiliza ms memoria pero permite un acceso a la informacin ms rpido. Cada entrada de cach consume aproximadamente 50 bytes. El valor predeterminado es 4096 entradas. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach, independientemente de la actividad. Cuando la entrada de cach caduca, la siguiente solicitud del mismo usuario requerir la creacin de una nueva cookie LTPA. El valor predeterminado es 3600 segundos. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach inactiva. El valor predeterminado es 600 segundos.
ltpa-cache-size
ltpa-cache-entry-lifetime
ltpa-cache-entry-idle-timeout
Para obtener ms informacin, consulte el apartado Cach de LTPA (Lightweight Third Party Authentication) en la pgina 516.
Notas tcnicas para el inicio de sesin nico de LTPA

v El archivo de claves contiene informacin sobre un servidor WebSphere especfico. Cada unin LTPA es especfica para un servidor WebSphere. Si agrega ms de un servidor al mismo punto de unin, todos los servidores compartirn el mismo archivo de claves. v Para que el inicio de sesin nico sea correcto, WebSEAL y el servidor WebSphere deben compartir la misma informacin de registro.
359
v El servidor WebSphere es el responsable de configurar LTPA y crear la clave secreta compartida. La participacin de WebSEAL engloba la configuracin de la unin y la cach.
360
Configuracin de la autenticacin de formularios de inicio de sesin nico

La autenticacin de formularios de inicio de sesin nico permite a WebSEAL registrar de forma transparente a un usuario de Tivoli Access Manager autenticado en un servidor de aplicacin con unin de fondo que requiere autenticacin a travs de un formulario HTML.
Contexto y objetivos
La autenticacin de formularios de inicio de sesin nico da soporte a las aplicaciones existentes que utilizan formularios HTML para efectuar la autenticacin y no se puede modificar para confiar directamente en la autenticacin realizada por WebSEAL. La habilitacin de la autenticacin de formularios de inicio de sesin nico produce los resultados siguientes: v WebSEAL interrumpe el proceso de autenticacin iniciado por la aplicacin de fondo. v WebSEAL proporciona los datos que necesita el formulario de inicio de sesin y enva el formulario de inicio de sesin en nombre del usuario. v WebSEAL guarda y restaura todas las cookies y las cabeceras v El usuario no sabe que se est realizando un segundo inicio de sesin. v La aplicacin de fondo no sabe que el formulario de inicio de sesin no procede directamente del usuario. WebSEAL debe configurarse para: v Reconocer e interceptar el formulario de inicio de sesin v Rellenar los datos de autenticacin adecuados El administrador habilita el inicio de sesin nico con formularios al realizar lo siguiente: v Crear un archivo de configuracin para especificar cmo se debe reconocer, completar y procesar el formulario de inicio de sesin v Habilitar el inicio de sesin nico con formularios configurando la unin adecuada con la opcin S (que especifica la ubicacin del archivo de configuracin)
Flujo de proceso de inicio de sesin nico de formularios

En el siguiente escenario se supone que WebSEAL ya ha autenticado al usuario.
361
Figura 20. Flujo de proceso de inicio de sesin nico con formularios
1. El navegador del cliente solicita la siguiente pgina:

https://webseal/formsso/content.html
2. WebSEAL pasa la solicitud a la unin. 3. Dado que la aplicacin de fondo requiere la autenticacin del usuario, se devuelve una redireccin a la pgina de inicio de sesin de la aplicacin (login.html) a travs de la unin. 4. WebSEAL pasa la redireccin al navegador. 5. El navegador sigue la redireccin y solicita:
https://webseal/formsso/login.html
Nota: Hasta este punto, todos los elementos del flujo de proceso corresponden a la funcionalidad estndar de WebSEAL. 6. WebSEAL se ha configurado para el inicio de sesin nico con formularios (opcin S en la unin). WebSEAL reconoce la solicitud como una solicitud de pgina de inicio de sesin, basndose en la informacin que contiene el archivo de configuracin SSO de formularios. La solicitud se pasa a la unin. WebSEAL guarda todas las cookies enviadas por el navegador para utilizarlas en el paso 8. 7. La aplicacin devuelve la pgina de inicio de sesin y, posiblemente, las cookies especficas de la aplicacin. WebSEAL analiza el cdigo HTML devuelto para identificar el formulario de inicio de sesin. Cuando WebSEAL encuentra un formulario HTML en el documento, compara el URI de accin del formulario con el valor del parmetro login-form-action del archivo de configuracin personalizado. Si hay una coincidencia, WebSEAL utiliza el formulario que ha encontrado. De lo contrario, WebSEAL sigue buscando otros formularios. Si no hay ningn formulario en la pgina que coincida con el patrn URI de accin del archivo
362
de configuracin, WebSEAL termina el proceso de inicio de sesin nico de formularios y devuelve un error al navegador. WebSEAL analiza la pgina HTML para identificar el mtodo de solicitud, el URI de accin y cualquier otro campo de entrada del formulario, y los guarda para utilizarlos en el paso 8. 8. WebSEAL genera la solicitud de autenticacin (completa el formulario de inicio de sesin) y la enva a la aplicacin de fondo. 9. La aplicacin autentica el usuario utilizando los datos de autenticacin proporcionados por WebSEAL en el formulario. La aplicacin devuelve la redireccin a content.html. 10. WebSEAL combina las cookies guardadas de las respuestas de los pasos 7 y 9 y devuelve dichas cookies con la redireccin al navegador. Nota: Esto completa la funcionalidad especfica de SSO de los formularios. 11. El navegador sigue la redireccin y solicita:
https://webseal/formsso/content.html
12. WebSEAL pasa la solicitud a la aplicacin de fondo a travs de la unin. Durante este proceso, el navegador efecta tres solicitudes a WebSEAL. Desde el punto de vista del usuario, slo se realiza una solicitud para https://webseal/formsso/content.html. Las otras solicitudes se producen automticamente a travs de redirecciones HTTP.
Requisitos para el soporte de aplicaciones

El inicio de sesin nico para la autenticacin de formularios est soportado en las aplicaciones que cumplen los requisitos siguientes: v La pgina o pginas de inicio de sesin de la aplicacin deben identificarse de manera exclusiva a travs de una sola expresin regular o de varias expresiones regulares. v La pgina de inicio de sesin puede incluir ms de un formulario HTML. Sin embargo, debe identificarse el inicio de sesin aplicando una expresin regular a las URI de accin de cada uno de los formularios de inicio de sesin, o el inicio de sesin debe ser el primer formulario de la pgina de inicio de sesin. Observe que, cuando se utiliza el atributo accin para identificar el formulario de inicio de sesin, el atributo de accin no ha pasado a travs del filtrado HTML de WebSEAL. La expresin regular debe coincidir con el URI de accin antes de aplicar el filtro. v Los scripts de cliente se pueden utilizar para validar los datos de entrada, pero no pueden modificarlos (como la utilizacin de Javascript para establecer las cookies en el navegador del usuario). v Los datos de inicio de sesin slo se envan en un punto del proceso de autenticacin. v La unin a la que se dirige la solicitud de autenticacin debe ser la misma unin en la que se devuelve la pgina de inicio de sesin.
Creacin del archivo de configuracin para el inicio de sesin nico con formularios
El administrador crea de forma personalizada el archivo de configuracin de inicio de sesin nico con formularios y lo guarda en cualquier ubicacin. La opcin S en la unin habilita la funcionalidad de inicio de sesin nico con formularios y especifica la ubicacin del archivo de configuracin. Consulte el apartado Habilitacin del inicio de sesin nico con formularios en la pgina 367. Un
363
archivo de configuracin de ejemplo (que contiene instrucciones comentadas) se proporciona con la instalacin de WebSEAL y se ubica en el directorio siguiente: UNIX:
/opt/pdweb/etc/fsso.conf.template
Windows:
C:\Archivos de programa\Tivoli\PDWeb\etc\fsso.conf.template
El archivo de configuracin debe comenzar con la stanza [forms-sso-login-pages] y tener el siguiente formato
[forms-sso-login-pages] login-page-stanza = xxxxx> #login-page-stanza = aaaaa> #login-page-stanza = bbbbb> [xxxxx>] login-page = coincidencia-pgina-expresin-regular> login-form-action = coincidencia-formulario-expresin-regular> gso-resource = destino-gso> argument-stanza = yyyyy> [yyyyy>] nombre> = mtodo>:valor>
La stanza [forms-sso-login-pages]
El archivo de configuracin de inicio de sesin nico con formularios debe empezar siempre con la stanza [forms-sso-login-pages]. La stanza contiene una o ms entradas login-page-stanza que apuntan a otras stanzas de nombre personalizado que contienen informacin sobre la configuracin para las pginas de inicio de sesin que se encuentran en el servidor de aplicacin de fondo. La capacidad de dar soporte a mltiples pginas de inicio de sesin en una sola unin es importante porque un solo servidor de fondo puede alojar varias aplicaciones y cada una de stas utiliza un mtodo de autenticacin diferente. Por ejemplo:
[forms-sso-login-pages] login-page-stanza = loginpage1 login-page-stanza = loginpage2
La stanza de pgina de inicio de sesin personalizada

Cada stanza de pgina de inicio de sesin personalizada se utiliza para interceptar un patrn de direccin URL determinado. La stanza puede contener los siguientes parmetros:
Parmetro login-page Descripcin Este parmetro especifica un patrn, utilizando una expresin regular, que identifica de forma exclusiva las solicitudes para una pgina de inicio de sesin de aplicacin. WebSEAL intercepta estas pginas e inicia el proceso de inicio de sesin nico con formularios. La expresin regular se compara con el URI de solicitud y es relativa al punto de unin (sin incluirlo) donde est montado el servidor.
364
Parmetro login-form-action
Descripcin Este parmetro especifica un patrn, utilizando una expresin regular, que identifica qu formulario de la pgina interceptada es el formulario de inicio de sesin de la aplicacin. Si slo hay un formulario en la pgina, o si el formulario de inicio de sesin es el primer formulario del documento, la expresin puede ser *>. De lo contrario, la expresin regular debe coincidir con la action> attribute del formulario de inicio de sesin. Este parmetro especifica el recurso GSO que se ha de utilizar al recuperar el nombre de usuario y la contrasea de GSO de una base de datos de GSO. Deje en blanco este parmetro si no se utiliza GSO para almacenar un nombre de usuario y contrasea de GSO. Este parmetro apunta a otra stanza personalizada que lista los campos y los datos necesarios para completar el formulario de inicio de sesin.
gso-resource
argument-stanza
Por ejemplo:
[loginpage1] login-page = /cgi-bin/getloginpage* login-form-action = * gso-resource = argument-stanza = form1-data
Acerca del parmetro login-page: El valor del parmetro login-page es una expresin regular que WebSEAL utiliza para determinar si una solicitud entrante es en realidad una solicitud de una pgina de inicio de sesin. En caso afirmativo, WebSEAL intercepta esta solicitud e inicia el proceso de inicio de sesin nico con formularios. Slo se permite un parmetro login-page en cada stanza de pgina de inicio de sesin personalizada. Debe crear una stanza de pgina de inicio de sesin personalizada para cada parmetro login-page adicional. La expresin regular login-page se compara con el URI de solicitud, que es relativo a la unin. En el siguiente ejemplo, el URI de una solicitud para un servidor WebSEAL denominado websealA para un recurso de una unin denominada junctionX puede ser el siguiente:
https://websealA.ibm.com/junctionX/auth/login.html
La parte de esta direccin URL que se compara a la expresin regular login-page es:
/auth/login.html
Acerca del parmetro login-form-action: El parmetro login-form-action se utiliza para identificar el formulario de inicio de sesin en la pgina interceptada. Slo se permite un parmetro login-form-action en cada stanza. El valor del parmetro login-form-action es una expresin regular que se compara con el contenido del atributo accin del indicador formulario HTML. El atributo accin es un URI expresado como ruta de acceso relativa, relativa del
365
servidor o absoluta. El parmetro login-form-action debe coincidir con esta ruta de acceso porque viene del servidor de fondo, incluso si normalmente lo modificara WebSEAL antes de enviarse al cliente. Si hay mltiples atributos accin en la pgina que coinciden con la expresin regular, slo se aceptar el primero como formulario de inicio de sesin. Si la expresin regular no coincide con ningn formulario en la pgina, se devuelve un error al navegador en el que se informa que no se ha encontrado el formulario. Puede establecer login-form-action = * como una manera sencilla de coincidir con el formulario de inicio de sesin cuando la pgina slo incluye un formulario de inicio de sesin.
Utilizacin de expresiones regulares

La tabla siguiente contiene una lista de los caracteres especiales permitidos en las expresiones regulares que se utilizan en el archivo de configuracin de inicio de sesin nico con formularios.
* ? \ [acd] [âcd] [a-z] [^0-9] [a-zA-Z] Coinciden cero o ms caracteres Coincide un carcter cualquiera Carcter de escape (por ejemplo, \? coincide con ?) Coincide el carcter a, c o d (sensible a maysculas y minsculas) Coincide cualquier carcter excepto a, c o d (sensible a maysculas y minsculas) Correlaciona cualquier carcter entre a y z (letra en minscula) Coincide cualquier carcter que no est entre 0 y 9 (que no sea un nmero) Correlaciona cualquier carcter entre a y z (minsculas) o A y Z (maysculas)
En la mayora de los casos, no son necesarios los caracteres especiales porque la solicitud de la pgina de inicio de sesin es un URI nico identificable. En algunos casos, es posible utilizar * al final de la expresin para que cualquier dato de consulta al final del URI no impida la coincidencia de la pgina de inicio de sesin.
La stanza de argumento
La stanza de argumento personalizada contiene una o ms entradas en el formato siguiente:
nombre> = mtodo>:valor>
nombre El valor del parmetro nombre es igual al valor del atributo name del indicador HTML input. Por ejemplo:
<input name=uid type=text>Nombre de usuario</input>
Este parmetro tambin puede utilizar el valor del atributo name de los cdigos HTML select o textarea. mtodo:valor
366
Esta combinacin de parmetros recupera los datos de autenticacin que necesita el formulario. Los datos de autenticacin pueden incluir los siguientes: v Datos de cadena de literales
string:texto
La entrada utilizada es la cadena de texto. v Nombre de usuario y contrasea de GSO

gso:nombre_usuario gso:contrasea
La entrada es el nombre de usuario y la contrasea GSO del usuario actual (del destino especificado en la stanza de la pgina de inicio de sesin personalizada). v Valor de un atributo en la credencial del usuario
cred:nombre-atrib-ampl-cred
De forma predeterminada, la credencial incluye informacin como el DN y el nombre de usuario de Tivoli Access Manager. Para utilizar el nombre de usuario de Tivoli Access Manager como valor de entrada, especifique el valor como:
cred:azn_cred_principal_name
Se puede acceder al DN del usuario como:

cred:azn_cred_authzn_id
Tambin pueden utilizarse atributos de credencial personalizados (se agregan mediante el mecanismo indicador/valor). No es necesario especificar campos de entrada ocultos en esta stanza. Estos campos se recuperan automticamente del formulario HTML y se envan con la solicitud de autenticacin. Por ejemplo:
[form1-data] uid = string:brian
Habilitacin del inicio de sesin nico con formularios

Despus de completar el archivo de configuracin de inicio de sesin nico con formularios y localizar el archivo en el directorio adecuado, debe configurar la unin adecuada para dar soporte al inicio de sesin nico con formularios. Utilice la opcin de unin S con el comando pdadmin create:
-S ruta-acceso-archivo-config
El argumento ruta-acceso-archivo-config especifica la ubicacin del archivo personalizado de configuracin de inicio de sesin nico con formularios. La opcin S en la unin habilita la funcionalidad de inicio de sesin nico con formularios en la unin. Por ejemplo (escrito en una sola lnea): UNIX:
pdadmin> server task web1-webseald-cruz -S /opt/pdweb/fsso/fsso.conf /jctX -t tcp -h websvrA \
Windows:
pdadmin> server task web1-webseald-cruz -t tcp -h websvrA \ -S C:/Archivos de programa/Tivoli/PDWeb/fsso/fsso.conf /jctX
Nota: En un entorno Windows, debe utilizar barras inclinadas (/) en el nombre de la ruta fsso.conf en lugar de utilizar las barras inclinadas invertidas convencionales (\).
367
El archivo de configuracin se lee cuando se crea la unin y cada vez que se inicia WebSEAL. Los errores en el archivo de configuracin pueden provocar que WebSEAL falle durante el inicio.
Ejemplo de archivo de configuracin para IBM HelpNow

El sitio IBM HelpNow invoca su propio inicio de sesin basado en formularios y, por consiguiente, es un ejemplo de cmo una solucin de inicio de sesin nico con formularios puede proporcionar un acceso sin fisuras al sitio para sus usuarios inscritos. Este apartado contiene: v Una seccin de formularios, similar al formulario enviado en la pgina de inicio de sesin HTML devuelta por la aplicacin HelpNow v El archivo personalizado de configuracin de inicio de sesin nico con formularios que se utiliza para procesar este formulario El formulario que se ha encontrado en la pgina HTML interceptada:
<form name="confirm" method="post" action="../files/wcls_hnb_welcomePage2.cgi"> <p> Nmero de serie de empleado: <input name="data" size="10" maxlength="6"> <p> Nombre de pas: <select name="Cntselect" size="1"> <OPTION value="notselected" selected>Pas seleccionado</OPTION> <OPTION value=675>Emiratos rabes Unidos - IBM</OPTION> <OPTION value=866>Reino Unido</OPTION> <OPTION value=897>Estados Unidos</OPTION> <OPTION value=869>Uruguay</OPTION> <OPTION value=871>Venezuela</OPTION> <OPTION value=852>Vietnam</OPTION> <OPTION value=707>Yugoslavia</OPTION> <OPTION value=825>Zimbabue</OPTION> </select> <p> <input type=submit value=Submit> </form>
El archivo de configuracin personalizado utilizado para procesar este formulario:

Configuracin FSSO de helpnow: [forms-sso-login-pages] login-page-stanza = helpnow [helpnow] # El sitio HelpNow le redirecciona a esta pgina en # la que tiene que iniciar la sesin. login-page = /bluebase/bin/files/wcls_hnb_welcomePage1.cgi # El formulario de inicio de sesin es el primero de la pgina, # de modo que podemos llamarlo simplemente # *. login-form-action = * # El recurso GSO, helpnow, contiene el nmero de serie de los empleados. gso-resource = helpnow # Siguen los argumentos de autenticacin. argument-stanza = auth-data
368
[auth-data] # El campo data contiene el nmero de serie de los empleados. data = gso:username # El campo Cntselect contiene un nmero que corresponde al pas de origen # del empleado. La cadena "897" corresponde a Estados Unidos. Cntselect = string:897
369
370
Captulo 12. Integracin de aplicaciones

WebSEAL da soporte a la integracin de aplicaciones de terceros a travs de las variables de entorno y a la posibilidad de direcciones URL dinmicas. WebSEAL ampla el rango de variables de entorno y cabeceras HTTP para hacer posible que las aplicaciones de terceros realicen operaciones basadas en la identidad de un cliente. Adems, WebSEAL puede proporcionar el control de acceso en las direcciones URL dinmicas, como las que contienen el texto de la consulta. ndice de temas: v Soporte para la programacin de CGI en la pgina 372 v Soporte para aplicaciones del servidor de fondo en la pgina 375 v Mejores prcticas de unin para la integracin de aplicaciones en la pgina 376 v Creacin de un servicio de personalizacin personalizado en la pgina 378 v Mantenimiento del estado de la sesin entre las aplicaciones clientes y de fondo en la pgina 380 v Especificacin del control de acceso a las direcciones URL dinmicas en la pgina 384 v Ejemplo de direccin URL dinmica: Travel Kingdom en la pgina 390
371
Soporte para la programacin de CGI

Para dar soporte a la programacin de CGI, WebSEAL agrega tres variables de entorno adicionales al conjunto de variables CGI estndar. Las aplicaciones CGI que se ejecuten en el servidor WebSEAL local o bien en un servidor de fondo con unin pueden utilizar estas variables de entorno. Las variables proporcionan informacin de usuario, grupo y credencial especfica de Tivoli Access Manager para la aplicacin CGI. En un servidor WebSEAL local, estas variables de entorno estn disponibles automticamente para los programas CGI. Las variables de entorno utilizadas por una aplicacin CGI que se ejecute en un servidor de terceros con unin se producen desde la informacin de cabecera HTTP pasada al servidor desde WebSEAL. Debe utilizar la opcin c para crear una unin que d soporte a la informacin de cabecera especfica de Tivoli Access Manager en las solicitudes HTTP destinadas a un servido de fondo. Consulte tambin el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 331. Variables de entorno adicionales especficas de Tivoli Access Manager:
Variables de entorno de CGI HTTP_IV_USER HTTP_IV_GROUPS Descripcin El nombre de cuenta de usuario de Tivoli Access Manager del solicitante. Los grupos de Tivoli Access Manager a los que pertenece el solicitante. Especificados como lista de grupos separados por comas, cada grupo se especifica entre comillas. Estructura de datos opacos codificados que representa una credencial de Tivoli Access Manager. Proporciona credenciales para servidores remotos para que las aplicaciones de medio nivel puedan utilizar la API de autorizacin para llamar al servicio de autorizaciones. Consulte la publicacin IBM Tivoli Access Manager Authorization C API Developers Reference.
HTTP_IV_CREDS
Variable REMOTE_USER en un servidor WebSEAL local: En un entorno de servidor local controlado por WebSEAL, el valor de la variable HTTP_IV_USER listado anteriormente se incluye como valor para la variable REMOTE_USER estndar. Observe que la variable REMOTE_USER puede estar tambin presente en el entorno de una aplicacin CGI que se ejecute en un servidor de fondo con unin. Sin embargo, en esta situacin, WebSEAL no controla su valor.
Variable de entorno de CGI REMOTE_USER Descripcin Contiene el mismo valor que el campo HTTP_IV_USER.
372
Variables de entorno UTF-8 para programas CGI

Los scripts CGI utilizan variables de entorno para establecer comunicacin con WebSEAL y las variables de entorno deben estar en la pgina de cdigos local. Los scripts CGI heredados esperan cadenas de la pgina de cdigos local (binaria) puras. Para permitir que los scripts CGI comprendan los valores de las variables de entorno que pueden estar formados por datos UTF-8, WebSEAL proporciona variables de entorno adicionales. Estas variables tienen los mismos nombres que las variables CGI actuales, pero presentan los caracteres _UTF8 al final del nombre. Los valores de estas variables son cadenas UTF-8 codificadas URI (indicador de recursos uniforme). La codificacin URI se utiliza para evitar la prdida de datos en plataformas que esperan variables de entorno en la pgina de cdigos local en los procesos que se generan. Las variables son: v REMOTE_USER_UTF8 v IV_USER_UTF8 v HTTP_IV_USER_UTF8 v IV_GROUPS_UTF8 v HTTP_IV_GROUPS_UTF8 Los nuevos programas CGI deberan utilizar estas variables porque sus valores contienen datos UTF-8. WebSEAL almacena los datos para estas variables internamente en formato UTF-8. Los datos deben convertirse a la pgina de cdigos local para que los programas CGI puedan utilizarlos. Cuando se utilizan variables CGI antiguas (por ejemplo, REMOTE_USER) y la pgina de cdigos local no est codificada en formato UTF-8, la conversin de los datos UTF-8 en la pgina de cdigos local puede, en algunos casos, dar lugar a que se daen los datos.
Windows: Soporte para variables de entorno de WIN32

Este apartado se aplica slo a las conexiones locales. Windows no pone automticamente todas las variables de entorno del sistema a disposicin de procesos como las aplicaciones CGI. Habitualmente, las variables de entorno del sistema necesarias estarn presentes. Sin embargo, si alguna de las variables de entorno de Windows que necesita no se encuentran en el entorno CGI, puede ponerlas explcitamente a disposicin de los programas CGI a travs del archivo de configuracin de WebSEAL. (Observe que las variables de entorno de Tivoli Access Manager mencionadas en el apartado anterior estn disponibles automticamente en todas las plataformas). Agregue las variables de entorno del sistema Windows necesarias a la stanza [cgi-environment-variables] del archivo de configuracin de WebSEAL. Utilice el siguiente formato:
ENV = nombre_variable
Por ejemplo:
[cgi-environment-variables] #ENV = SystemDrive ENV = SystemRoot ENV = PATH ENV = LANG
373
ENV ENV ENV ENV ENV
= = = = =
LC_ALL LC_CTYPE LC_MESSAGES LOCPATH NLSPATH
Las lneas sin comentarios se heredan en un entorno de CGI.
374
Soporte para aplicaciones del servidor de fondo

WebSEAL proporciona tambin soporte para el cdigo ejecutable que se ejecuta como componente incrustado de un servidor web de fondo. Entre los ejemplos de cdigo ejecutable de servidor se incluyen: v Servlets Java v Cartuchos para Oracle Web Listener v Plug-ins de servidor Al crear una unin con un servidor de fondo que utilice la opcin c, WebSEAL inserta informacin especfica de pertenencia a grupos y de identidad de cliente de Tivoli Access Manager en las cabeceras HTTP de las solicitudes destinadas a ese servidor. La informacin de cabecera HTTP especfica para Tivoli Access Manager habilita las aplicaciones de servidores de terceros con unin para realizar acciones especficas del usuario basadas en la identidad de Tivoli Access Manager del cliente. WebSEAL proporciona las siguientes cabeceras HTTP especficas para Tivoli Access Manager:
Campos de cabecera HTTP especficos de PD iv-user = iv-groups = iv-creds = Descripcin Nombre corto o largo del cliente. El valor predeterminado es Unauthenticated si el cliente no est autenticado (desconocido). Lista de grupos a los que pertenece el cliente. Especificada como lista separada por comas de grupos especificados entre comillas. Estructura de datos opacos codificados que representa una credencial de Tivoli Access Manager. Proporciona credenciales para servidores remotos para que las aplicaciones de medio nivel puedan utilizar la API de autorizacin para llamar al servicio de autorizaciones. Consulte la publicacin IBM Tivoli Access Manager Authorization C API Developers Reference.
Estas cabeceras HTTP estn disponibles para las aplicaciones CGI como variables de entorno HTTP_IV_USER, HTTP_IV_GROUPS y HTTP_IV_CREDS. Si desea informacin sobre otros entornos de aplicaciones que no son CGI, consulte la documentacin asociada al producto para obtener instrucciones acerca de la extraccin de cabeceras de solicitudes HTTP. Consulte tambin el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 331. Nota: Para garantizar la seguridad del valor iv_creds, utilice conexiones SSL.
375
Mejores prcticas de unin para la integracin de aplicaciones

Este apartado contiene recomendaciones de mejores prcticas al utilizar uniones WebSEAL. v Informacin completa de cabecera HOST con -v en la pgina 376 v Soporte para el filtrado de las direcciones URL absolutas estndar en la pgina 376
Informacin completa de cabecera HOST con -v

Las configuraciones de host virtual y las aplicaciones de portal requieren que se proporcione informacin correcta de direccin IP para las conexiones de socket adecuadas e informacin completa de nombre de servidor para realizar un direccionamiento correcto. Estos servicios especiales de aplicaciones de fondo requieren de los navegadores una informacin completa de nombre de servidor y de designacin de puerto. La cabecera HOST de una solicitud contiene esta informacin y hace que est disponible para la aplicacin. Al utilizar uniones WebSEAL, esta informacin se proporciona a la cabecera HOST a travs del uso de la opcin de unin v. Si falta la informacin de nombre de servidor y puerto, o es insuficiente, empeorar el rendimiento de las aplicaciones de host virtual y de portal. Adems, es posible que las cookies de dominio establecidas por estas aplicaciones no contengan informacin suficiente. Para proporcionar la informacin ms completa en la cabecera HOST, la recomendacin de mejor prctica es que se utilice siempre el nombre de dominio completo del servidor con unin y el nmero de puerto de conexin en la opcin v al crear o agregar la unin. La opcin v utiliza la siguiente sintaxis:
-v nombre-host-completo[:puerto]
Por ejemplo:
-v xyz.ibm.com:7001
Nota: La designacin de puerto slo debe proporcionarse si se utiliza un nmero de puerto no estndar.
Soporte para el filtrado de las direcciones URL absolutas estndar

WebSEAL, como proxy inverso frontal, proporciona servicios de seguridad a los servidores de aplicacin con unin de fondo. Las pginas devueltas al cliente desde aplicaciones de fondo suelen contener vnculos de direcciones URL a recursos que estn situados en el servidor con unin de fondo. Es importante que estos vnculos incluyan el nombre de unin para dirigir correctamente las solicitudes de vuelta a las ubicaciones correctas de los recursos. WebSEAL utiliza un conjunto de reglas estndar para filtrar las direcciones URL estticas y proporcionar esta informacin de unin. Se necesita realizar una configuracin adicional para filtrar las direcciones URL en los scripts y en las direcciones URL generadas dinmicamente. Para obtener informacin detallada sobre el filtrado de direcciones URL, consulte el apartado Modificacin de las direcciones URL de recursos de fondo en la pgina 318.
376
La capacidad de WebSEAL de filtrar correctamente las direcciones URL absolutas de pginas HTML estticas requiere informacin acerca del nombre de servidor, que se proporciona e n la opcin de unin h. Esta opcin proporciona a WebSEAL el nombre del servidor con unin de fondo. Entre los argumentos de esta opcin pueden estar los siguientes: v Nombre de dominio completo del servidor v Nombre corto del servidor v Direccin IP del servidor WebSEAL identifica las direcciones URL absolutas para filtrarlos segn su informacin del nombre de servidor con unin de fondo. En funcin del entorno de red, es posible que la configuracin h nombre-corto no proporcione suficiente informacin a WebSEAL. En el ejemplo siguiente, se crea una unin utilizando la opcin y el argumento siguientes para un servidor de fondo que se encuentra en la red ibm.com, con el nombre corto xyz:
-h xyz
Un vnculo en una pgina HTML de este servidor tiene el aspecto siguiente:

http://xyz.ibm.com/doc/release-notes.html
Cuando esta pgina pasa al cliente durante una solicitud, es posible que WebSEAL no filtre esta direccin URL porque, segn la informacin proporcionada por h, no ha podido reconocer xyz.ibm.com como nombre del servidor. Sin el nombre de unin en la ruta de acceso, las solicitudes del documento de notas del release fallarn. Para dar soporte al filtrado correcto de las direcciones URL absolutas estticas, la recomendacin de mejores prcticas es que se utilice siempre el nombre de dominio completo del servidor con unin en la opcin h al crear o agregar la unin.
377
Creacin de un servicio de personalizacin personalizado

Un portal web, o pgina de inicio, es un servicio de sitio web integrado que produce de forma dinmica una lista personalizada de los recursos web disponibles para un usuario determinado. Los recursos pueden incluir contenidos corporativos, servicios de soporte y herramientas de aprendizaje. La salida del portal representa una lista personalizada de recursos a partir de los permisos de acceso del usuario concreto. La pgina de inicio presenta slo aquellos recursos que tengan los permisos de acceso correctos para dicho usuario. Puede utilizar las opciones de configuracin de WebSEAL y el servicio de autorizaciones de API de autorizacin para crear una solucin de portal personalizada en un entorno Tivoli Access Manager. environment. El flujo de proceso para crear un servicio de portal WebSEAL personalizado incluye las siguientes tareas: 1. Las polticas de seguridad se formulan y asocian en los puntos apropiados del recurso de objeto protegido. 2. Las ACL explcitas correspondientes se asocian a cada uno de estos objetos de recursos. 3. Se edita el archivo de configuracin de WebSEAL para incluir la direccin URL del servicio del portal, la ruta de acceso del espacio de objetos que contiene los recursos del portal y el bit de permiso que necesita el usuario para acceder a estos recursos. 4. Para cada solicitud de usuario a la direccin URL del portal, WebSEAL utiliza el Servicio de derechos de autorizacin para buscar este espacio de objetos y producir una lista de recursos que cumplan las condiciones de autorizacin de este usuario. 5. WebSEAL coloca esta informacin en una cabecera HTTP PD_PORTAL que se enva al servidor de fondo del portal con unin. 6. El servicio de portal personalizado (por ejemplo, un CGI o un servlet) que se encuentra en el servidor de fondo lee el contenido de la cabecera PD_PORTAL y, por ejemplo, correlaciona el contenido con descripciones y vnculos de direcciones URL que se muestran al usuario en la pgina web. Esta informacin representa la lista personalizada de recursos disponibles para el usuario, a partir de los permisos de control de accesos.
Configuracin de WebSEAL para un servicio de personalizacin

1. Cree una unin WebSEAL nueva en el servicio de personalizacin. Por ejemplo:
pdadmin> server task nombre_servidor create -t tcp -h portalhost.abc.com \ /portal-jct
2. Edite el archivo de configuracin de WebSEAL para agregar una nueva stanza [portal-map]:
[portal-map]
3. La entrada en esta stanza identifica la direccin URL relativa al servidor del programa de servicios del portal y la regin del espacio de objetos donde se buscan los recursos de portal protegidos disponibles, seguido del permiso necesario para el acceso. sta es la lista que se coloca en la cabecera PD_PORTAL.
[portal-map] URL = regin_espacio_objetos:permiso
378
4. Despus de agregar la stanza y las entradas de correlacin adecuadas, se debe reiniciar WebSEAL (webseald).
Ejemplo de servicio de personalizacin

v Cree una unin en el servidor de portal:
pdadmin> server task web1-webseald-cruz -t ssl -h PORTAL1 /portal
v Defina la regin del espacio de objetos protegidos de WebSEAL que contiene los recursos disponibles para el servicio de personalizacin:
pdadmin> pdadmin> pdadmin> pdadmin> pdadmin> objectspace create /Resources Portal Object Hierarchy 10 object create /Resources/Content 10 ispolicyattachable yes object create /Resources/Support 10 ispolicyattachable yes object create /Resources/Content/CGI 11 ispolicyattachable yes object create /Resources/Support/Servlet 11 ispolicyattachable yes
Nota: El argumento ispolicyattachable debe definirse como yes para cada uno de los recursos. El mecanismo de bsqueda slo selecciona objetos de recursos cualificados con ACL definidas explcitamente. v Archivo de configuracin de WebSEAL:
[portal-map] /portal/servlet/PortalServlet = /Resources:r
v Direccin URL del portal que utiliza el usuario:

https://WS1/portal/servlet/PortalServlet
379
Mantenimiento del estado de la sesin entre las aplicaciones clientes y de fondo

WebSEAL puede mantener el estado de la sesin con los clientes a travs de HTTP y HTTPS. Adems, puede configurar WebSEAL para proporcionar informacin de sesin de usuario a los servidores de aplicacin con unin de fondo. Con esta informacin de la sesin de usuario, las aplicaciones de fondo pueden mantener el estado de la sesin con los clientes.
Informacin sobre la gestin de la sesin de usuario

Una conexin o sesin segura entre un cliente y un servidor requiere que el servidor tenga la posibilidad de recordar, a travs de numerosas solicitudes, con quin est hablando. El servidor debe tener algn tipo de informacin de estado de la sesin que identifique al cliente asociado con cada solicitud. Sin un estado de la sesin establecido entre el cliente y el servidor, la comunicacin entre el cliente y el servidor se debe renegociar para cada solicitud posterior. La informacin sobre el estado de la sesin mejora el rendimiento, ya que evita tener que cerrar y volver a abrir repetidamente las conexiones entre cliente y servidor. El cliente puede iniciar la sesin una vez y realizar numerosas solicitudes sin realizar un inicio de sesin distinto para cada solicitud. WebSEAL mantiene informacin del estado de la sesin a travs de la cach de ID de sesin SSL de GSKit y la cach de sesin/credenciales de WebSEAL. La cach de sesin de GSKit da soporte a la comunicacin HTTPS (SSL) cuando se utiliza el ID de sesin SSL para mantener el estado de la sesin. La cach de credenciales de WebSEAL almacena un ID de sesin de WebSEAL para cada cliente, ms cualquier informacin de credencial que sea especfica de cada cliente. Puede configurar WebSEAL para almacenar un ID de sesin de usuario exclusivo para cada cliente que efecta la autenticacin como un atributo ampliado de la credencial de cada cliente. Utilizando atributos ampliados para objetos de Tivoli Access Manager, puede configurar una unin para proporcionar esta informacin de ID de sesin de usuario al servidor de fondo. Una aplicacin en este servidor de fondo puede aprovechar la informacin de sesin de usuario para gestionar la interaccin cliente-servidor, tal como el seguimiento de la actividad de los usuarios.
Habilitacin de la gestin de ID de sesin de usuario

El parmetro user-session-ids de la stanza [session] del archivo de configuracin de WebSEAL permite habilitar e inhabilitar la creacin de un ID de usuario exclusivo en la credencial de cada cliente que realiza una solicitud. El valor predeterminado es no (inhabilitado):
[session] user-session-ids = no
Para habilitar la creacin de ID de sesin de usuario exclusivos, establezca user-session-ids = yes. El ID de sesin de usuario exclusivo se almacena en una credencial de usuario como un atributo ampliado con un nombre y un valor:
tagvalue_user_session_id = id_sesin_usuario
380
En la misma credencial, el nombre de atributo ampliado de credencial (user_session_id) aparece con el prefijo tagvalue_ para evitar cualquier conflicto con otras informaciones existentes en la credencial. El valor del ID de sesin de usuario es una cadena que identifica de forma exclusiva una sesin especfica para un usuario autenticado. El ID de sesin del usuario es una cadena codificada MIME-64 que incluye nombres de instancia de WebSEAL y el ID de sesin de WebSEAL estndar para el usuario. Un solo usuario que inicie una sesin varias veces (por ejemplo, desde mquinas distintas) tiene mltiples ID de sesin de WebSEAL. Dado que el ID de sesin de usuario se basa en el ID de sesin de WebSEAL, hay una correlacin de uno a uno entre ambos. El ID de sesin de usuario exclusivo se almacena en la credencial de usuario como un atributo. Esto permite que se pase el valor a travs de una unin como una cabecera HTTP (utilizando la funcionalidad de valor de seal) y que quede disponible para una aplicacin de fondo.
Insercin de datos de credenciales en la cabecera HTTP

El objetivo de la gestin de sesiones de usuario consiste en proporcionar el ID de sesin de usuario exclusivo al servidor de aplicaciones de fondo. Este objetivo se consigue configurando el atributo ampliado HTTP-Tag-Value en la unin. Utilice el comando pdadmin object modify set attribute para definir un atributo ampliado en un objeto de unin del espacio de objetos protegidos de WebSEAL.
pdadmin> object modify nombre_objeto set attribute nombre_atributo valor_atr
Un atributo (nombre-atr) habilita la unin para realizar un tipo especfico de funcin. El atributo HTTP-Tag-Value habilita la unin para extraer un valor de un atributo ampliado de credencial y enviar el valor al servidor de fondo en una cabecera HTTP. El valor del atributo ampliado HTTP-Tag-Value utiliza el formato siguiente:
nombre_atributo_ampliado_credencial=nombre_cabecera_http
Para datos de ID de sesin de usuario, la entrada nombre_atributo_ampliado_credencial es el mismo que el nombre de atributo ampliado user_session_id del archivo de configuracin pero sin el prefijo tagvalue_. La entrada no es sensible a las maysculas y minsculas. El valor de este atributo ampliado contiene el ID de sesin de usuario exclusivo. La entrada nombre_cabecera_http especifica el nombre de la cabecera HTTP utilizada para entregar los datos a travs de la unin. En este ejemplo, se utiliza una cabecera denominada PD-USER-SESSION-ID:
pdadmin> object modify /WebSEAL/WS1/junctionA set attribute \ HTTP-Tag-Value user_session_id=PD-USER-SESSION-ID
Cuando WebSEAL procesa una solicitud de usuario a un servidor de aplicaciones de fondo, busca cualquier atributo ampliado HTTP-Tag-Value que est configurado en el objeto de unin. En este ejemplo, la unin configurada busca la credencial del usuario que ha efectuado la solicitud, extrae el valor de ID de sesin de usuario del atributo ampliado tagvalue_user_session_id de la credencial y lo coloca en una cabecera HTTP como:
PD-USER-SESSION-ID:id_sesin_usuario
381
En resumen:
Valor del atributo HTTP-Tag-Value user_session_id=PD-USER-SESSION-ID definido en el objeto de unin: Nombre y valor de atributo tal como aparecen en la credencial de usuario: Nombre y valor de la cabecera HTTP: tagvalue_user_session_id:nmero_id_sesin_usuario
PD-USER-SESSION-ID:nmero_id_sesin_usuario
Si la aplicacin de fondo es una aplicacin CGI, la especificacin CGI establece que las cabeceras HTTP estn disponibles para los programas CGI como variables de entorno con el formato:
HTTP_nombre_cabecera_HTTP
Por ejemplo:
HTTP_PD-USER-SESSION-ID=id_sesin_usuario
Terminacin de sesiones de usuario

Un usuario puede iniciar la terminacin de la sesin actual mediante el comando pkmslogout. Adems, la informacin del ID de sesin de usuario permite a los administradores y a las aplicaciones de fondo rastrear y gestionar usuarios. En este apartado se describen dos mtodos de terminar la sesin de usuario de administracin: v Utilizacin de la API de administracin para terminar sesiones de usuario nicas en la pgina 382 v Utilizacin de pdadmin para terminar todas las sesiones de usuario en la pgina 383
Utilizacin de la API de administracin para terminar sesiones de usuario nicas

Una aplicacin de fondo puede utilizar la API de administracin de Tivoli Access Manager para terminar una sesin de usuario especfica, basndose en el ID de sesin de usuario que se ha pasado a travs de la unin. La aplicacin invoca la funcin ivadmin_server_performtask() dentro de su cdigo de terminacin. La instancia de servidor WebSEAL y el ID de sesin de usuario se incluyen como parmetros de esta funcin. WebSEAL verifica que el servidor de fondo que inicia la operacin de terminacin tenga los permisos adecuados antes de terminar la sesin de usuario. Es importante tener en cuenta las condiciones en las que se utiliza este comando. Si la intencin es asegurarse de que un usuario se elimina por completo del dominio seguro, la terminacin de un usuario nico slo es efectiva cuando, adems, la cuenta de ese usuario se inhabilita (elimina). Algunos mtodos de autenticacin como la Autenticacin bsica, el certificado de cliente o las cookies de migracin tras error devuelven la informacin de autenticacin almacenada en la cach automticamente sin necesidad de que intervenga el usuario. La accin de terminacin no elimina los inicios de sesin de devolucin para los usuarios que utilicen cualquiera de estos mtodos de autenticacin. Adems, debe invalidar las cuentas de usuario adecuadas del registro.
382
Consulte la publicacin IBM Tivoli Access Manager for e-business Administration C API Developer Reference para obtener ms informacin.
Utilizacin de pdadmin para terminar todas las sesiones de usuario

Un administrador puede usar la utilidad pdadmin para terminar todas las sesiones correspondientes a un usuario especfico, segn el ID de usuario.
pdadmin> server task nombre_instancia-webseald-nombre_host terminate all_sessions id_usuario
La cach de credenciales de WebSEAL se organiza para realizar una referencia cruzada de ID de usuario, ID de sesin de WebSEAL e informacin de entrada de cach. Un usuario tiene siempre el mismo ID de usuario en varias sesiones. En cambio, cada ID de sesin de WebSEAL es exclusivo. El comando terminate all_sessions elimina todas las entradas de la cach que pertenecen al id_usuario. WebSEAL comprueba que haya los permisos adecuados para el administrador que inicia el comando antes de terminar las sesiones de usuario. Es importante tener en cuenta las condiciones en las que se utiliza este comando. Si la intencin es asegurar que se elimine cierto grupo de usuarios completamente del dominio seguro, entonces el comando terminate all_sessions slo ser efectivo cuando, adems, las cuentas de dichos usuarios no sean vlidas (se hayan eliminado). Algunos mtodos de autenticacin como la Autenticacin bsica, el certificado de cliente o las cookies de migracin tras error devuelven la informacin de autenticacin almacenada en la cach automticamente sin necesidad de que intervenga el usuario. El comando terminate all_sessions no elimina los inicios de sesin de devolucin para los usuarios que utilicen cualquiera de estos mtodos de autenticacin. Adems, debe invalidar las cuentas de usuario adecuadas del registro.
383
Especificacin del control de acceso a las direcciones URL dinmicas

El entorno web actual proporciona a los usuarios acceso inmediato a una informacin que cambia rpidamente. Muchas aplicaciones web generan dinmicamente direcciones URL (Localizador universal de recursos) como respuesta a la solicitud de cada usuario. Estas direcciones URL dinmicas pueden existir slo durante un tiempo corto. A pesar de su naturaleza temporal, las direcciones URL dinmicas necesitan una gran proteccin contra el uso o acceso no deseado.
Componentes de direccin URL dinmica

Algunas herramientas de aplicaciones web sofisticadas utilizan navegadores web estndar para comunicarse con servidores de aplicaciones a travs de la interfaz CGI de un servidor web. Todas estas herramientas utilizan direcciones URL dinmicas como elementos de formulario ocultos para comunicar la operacin solicitada (con su valor de parmetro) al servidor de aplicaciones. Una direccin URL dinmica ampla la direccin URL estndar con informacin acerca de la operacin especfica y sus valores de parmetros. El fragmento de la cadena de caracteres de consulta de la direccin URL proporciona operaciones, parmetros y valores para la interfaz de aplicaciones web.
Figura 21. Transferencia de datos a un gateway CGI mediante una direccin URL
Correlacin de objetos ACL y POP con direcciones URL dinmicas

WebSEAL utiliza el modelo de espacio de objetos protegidos, las listas de control de accesos (ACL) y las polticas de objetos protegidos (POP) para proteger las direcciones URL generadas dinmicamente, como los generados por las solicitudes de base de datos. Cada solicitud a WebSEAL se resuelve en un objeto especfico como primer paso en el proceso de autorizacin. Una ACL/POP aplicada al objeto establece la proteccin necesaria en cualquier direccin URL dinmica correlacionada con ese objeto. Puesto que las direcciones URL dinmicas slo existen temporalmente, no es posible tener entradas para stas en una base de datos de polticas de autorizaciones configuradas previamente. Tivoli Access Manager resuelve este problema proporcionando un mecanismo por el cual las direcciones URL dinmicas pueden correlacionarse con un solo objeto protegido esttico. Las correlaciones de objetos con patrones se guardan en un archivo de configuracin de texto sin formato:
/opt/pdweb/www/lib/dynurl.conf
384
La ubicacin de este archivo (relativa a la raz del servidor) se define mediante el parmetro dynurl-map de la stanza [server] del archivo de configuracin de WebSEAL:
[server] dynurl-map = lib/dynurl.conf
Debe crear este archivo, ya que no existe de forma predeterminada. La existencia de este archivo (con entradas) ofrece la posibilidad de direcciones URL dinmicas. Nota: Si utiliza Web Portal Manager para ver el archivo y el archivo no existe, aparece el mensaje de error siguiente:
The dynurl configuration file /opt/pdweb/www-instance/lib/dynurl.conf cannot be opened for reading.
Para eliminar este mensaje de error, cree el archivo. Para crearlo, escriba el texto en el rea de texto y haga clic en Apply. Edite este archivo para modificar las correlaciones. Las entradas del archivo tienen el formato:
objeto plantilla
Puede utilizar Tivoli Access Manager Web Portal Manager para editar este archivo remotamente. En Web Portal Manager, seleccione el vnculo Archivos de direcciones URL dinmicas en el men WebSEAL. La pgina Direccin URL dinmica permite seleccionar un servidor WebSEAL y, a continuacin, visualizar, editar y guardar el archivo de configuracin dynurl.conf localizado en el servidor. Tivoli Access Manager utiliza un subconjunto de valores que cumplen patrones de shell de UNIX (incluidos los caracteres comodn) para definir el conjunto de parmetros que constituyen un objeto en el espacio de objetos. Cualquier direccin URL que coincida con esos parmetros se correlaciona con ese objeto. Tivoli Access Manager da soporte a los siguientes caracteres que cumplen patrones especficos de shell de UNIX:
Carcter \ Descripcin El carcter que sigue a la barra inclinada invertida forma parte de una secuencia especial. Por ejemplo, \t es el carcter TAB. Tambin puede actuar como carcter de escape. Carcter comodn que coincide con un solo carcter. Por ejemplo, la cadena de caracteres abcde coincide con la expresin ab?de Carcter comodn que coincide con cero o ms caracteres. Define un juego de caracteres del cual puede coincidir cualquiera de los caracteres. Por ejemplo, la cadena abcde coincide con la expresin regular ab[cty]de. Indica una negacin. Por ejemplo, la expresin [âb] coincide con cualquier carcter excepto los caracteres a o b.
? * []
El ejemplo siguiente muestra el formato de una direccin URL dinmica que realiza una bsqueda de balance de crdito:
http://nombre-servidor/home-bank/owa/acct.bal?acc=<account-number>
El objeto que representa esta direccin URL dinmica aparecera de la siguiente forma:
385
http://nombre-servidor/home-bank/owa/acct.bal?acc=*
Si observamos la direccin URL dinmica de este ejemplo veremos que describe un nmero de cuenta especfico. El objeto de los balances de cuentas de home-bank muestra que los permisos ACL y POP se aplican a cualquier cuenta, puesto que el ltimo fragmento de la entrada (acc=*) utiliza el carcter comodn asterisco, que coincide con todos los caracteres. La siguiente figura muestra un ejemplo completo de direccin URL dinmica especfica correlacionada con un objeto protegido especfico:
Figura 22. Autorizacin en una direccin URL dinmica
Actualizacin de WebSEAL para direcciones URL dinmicas

Utilice el comando dynurl update para actualizar el espacio de objetos protegidos de WebSEAL con entradas realizadas en el archivo de configuracin dynurl.conf. 1. Cree, modifique o elimine una entrada de direccin URL dinmica en el archivo de configuracin dynurl.conf. 2. Despus de efectuar los cambios, use el comando dynurl update para actualizar el servidor:
pdadmin> server task nombre_instancia-webseald-nombre_host dynurl update
El argumento nombre-servidor representa el nombre de host no cualificado de la mquina WebSEAL.
Resolucin de direcciones URL dinmicas en el espacio de objetos

La resolucin de una direccin URL dinmica en un objeto depende del orden de las entradas en el archivo de configuracin dynurl.conf. Al intentar correlacionar una direccin URL dinmica con una entrada de objeto, se explora la lista de correlaciones del archivo dynurl.conf de principio a fin hasta que se encuentra el primer patrn que coincide. Cuando se encuentra la primera coincidencia, la entrada de objeto correspondiente se utiliza para la comprobacin posterior de autorizaciones. Si no se encuentra ninguna coincidencia, WebSEAL utiliza la propia direccin URL, menos el fragmento http://server de la ruta de acceso.
386
Mantenga las correlaciones que corresponden con las ACL ms restrictivas en la parte superior de la lista. Por ejemplo, si el procedimiento book.sales de una aplicacin de pedidos de ventas se tiene que restringir a un solo grupo del club de reservas, pero todos los usuarios pueden acceder al resto de la aplicacin de pedidos de ventas, las correspondencias deben encontrarse en la tabla que se muestra a continuacin:
Entrada de espacio de objetos /ows/sales/bksale /ows/sales/general Plantilla de direccin URL /ows/db-apps/owa/book.sales* /ows/db-apps/owa/*
Observe que si las entradas de correlaciones estuvieran en orden inverso, todos los procedimientos almacenados en el directorio /ows/db-apps/owa se correlacionaran con el objeto /ows/sales/general. Esto podra provocar brechas de seguridad, debido a una resolucin incorrecta del espacio de objetos. Cuando se correlaciona una expresin regular de direccin URL con una entrada de espacio de objetos, el formato de la direccin URL debera tomar el formato tal como se produce con el mtodo GET, independientemente de si se utiliza el mtodo POST o GET. En el mtodo GET de transmisin de datos, los datos dinmicos (como los proporcionados por un usuario en un formulario) se agregan a la direccin URL. En el mtodo POST de transmisin de datos, los datos dinmicos se incluyen en el texto de la solicitud.
Evaluacin de ACL y POP

Una vez resuelta la direccin URL dinmica en una entrada de espacio de objetos, se utiliza el modelo de herencia de ACL/POP estndar para determinar si la solicitud se debera procesar o prohibir (debido a privilegios insuficientes).
Configuracin de limitaciones en las solicitudes POST

El contenido de una solicitud POST est incluido en el cuerpo de la solicitud. Adems, una solicitud POST contiene la longitud determinada por el navegador de este contenido y muestra el valor en bytes. request-body-max-read El parmetro request-body-max-read de la stanza [server] del archivo de configuracin de WebSEAL limita el impacto de solicitudes POST de gran tamao en WebSEAL especificando el nmero mximo de bytes que se deben leer como contenido del cuerpo de las solicitudes POST. El contenido que se lee en WebSEAL est sujeto a comprobaciones de autorizacin, tal y como se ha descrito anteriormente en este apartado. El valor del parmetro request-body-max-read se tiene en cuenta cuando la solicitud POST se utiliza en el procesamiento de direcciones URL dinmicas o la autenticacin de formularios. El valor predeterminado es 4096 bytes:
[server] request-body-max-read = 4096
Observe que este parmetro no limita el tamao mximo de contenido POST (que es ilimitado). El parmetro protege a WebSEAL para que no procese una solicitud
387
POST de tamao excesivo. Para obtener informacin sobre cmo modificar el parmetro request-body-max-read, consulte el apartado Modificacin del parmetro request-body-max-read en la pgina 223. dynurl-allow-large-posts Aunque el parmetro request-body-max-read limita la cantidad de contenido de POST que WebSEAL puede leer y procesar, no impide que la solicitud se pase ntegramente a travs del servidor de aplicaciones. En este caso, se pasa un contenido que no se ha validado a travs del servidor de aplicaciones. Si el servidor de aplicaciones no tiene sus propias posibilidades de autorizacin, la situacin puede suponer un riesgo de seguridad. El parmetro dynurl-allow-large-posts permite controlar la forma en la que WebSEAL maneja las solicitudes POST que tienen una longitud de contenido mayor que la especificada en request-body-max-read. Si el valor del parmetro se define como no (predeterminado), WebSEAL rechaza totalmente cualquier solicitud POST con una longitud de contenido mayor que la especificada por request-body-max-read.
[server] dynurl-allow-large-posts = no
Si el valor del parmetro se define como yes, WebSEAL acepta la solicitud POST completa, pero slo valida la cantidad de contenido equivalente al valor request-body-max-read.
[server] dynurl-allow-large-posts = yes
Ejemplo 1: v Se recibe una solicitud POST de gran tamao (mayor que el valor request-body-max-read). v dynurl-allow-large-posts = no v Las direcciones URL dinmicas estn habilitadas. v Resultado: 500 Error de servidor Ejemplo 2: v Se recibe una solicitud POST de gran tamao (mayor que el valor post-request-body-max-read). v dynurl-allow-large-posts = yes v Las direcciones URL dinmicas estn habilitadas. v Resultado: WebSEAL compara la cantidad de contenido hasta el valor request-body-max-read con cada una de las expresiones regulares del archivo de configuracin dynurl.conf y realiza una comprobacin de autorizacin en el objeto correspondiente si se encuentra una coincidencia. De lo contrario, la comprobacin de autorizacin se realiza en el objeto que corresponde a la direccin URL recibida, como siempre. La parte del cuerpo de la solicitud post-request-body-max-read no se valida. v La siguiente plantilla contiene el tipo de disposicin de coincidencia de patrones que crea dificultades debido a una solicitud POST de gran tamao:
/rtpi153/webapp/examples/HitCount\?*action=reset*
Resumen y notas tcnicas

Resumen:
388
v Para configurar WebSEAL para que maneje de forma segura las direcciones URL dinmicas, se debe crear el siguiente archivo:
/opt/pdweb/www/lib/dynurl.conf
v El archivo debe contener una o ms lneas con el siguiente formato:

object template
v Si el archivo no existe, o est vaco, no se habilita la posibilidad de direcciones URL dinmicas. v Despus de procesarse el archivo, el nombre de objeto aparece como recurso hijo en el espacio de objetos de WebSEAL. v La plantilla puede contener un subconjunto de los caracteres de coincidencia de patrones estndares. La plantilla tambin puede ser una cadena exacta sin caracteres de coincidencia de patrones. El siguiente archivo de ejemplo dynurl.conf define tres objetos que representan algunas de las aplicaciones web que forman parte del producto IBM WebSphere:
Entrada de objeto /app_showconfig /app_snoop /app_snoop /app_hitcount/ejb /app_hitcount Plantilla de direccin URL /rtpi153/webapp/examples/ShowConfig* /rtpi153/servlet/snoop /rtpi025/servlet/snoop /rtpi153/webapp/examples/HitCount\?source=EJB /rtpi153/webapp/examples/HitCount*
Notas tcnicas: v Se pueden correlacionar varias plantillas de direccin URL con el mismo objeto (por ejemplo, app_snoop se correlaciona con direcciones URL en dos servidores diferentes). v Los objetos se pueden anidar (por ejemplo, app_hitcount y app_hitcount/ejb). v Una solicitud de direccin URL entrante se compara con las plantillas en orden, de arriba abajo. Cuando se encuentra una coincidencia, el proceso se detiene. Por lo tanto, las plantillas ms restrictivas se colocan en la parte superior del archivo. v Para activar las definiciones en el archivo dynurl.conf emita el comando dynurl update (utilice pdadmin server task). La actualizacin se produce inmediatamente y el objeto aparece en Web Portal Manager cuando se renueva la vista del espacio de objetos protegidos. v Evite el uso de caracteres en maysculas en el nombre de objeto. Utilice slo caracteres en minsculas. v No utilice un nombre de objeto que ya exista en el espacio de objetos protegidos. v Antes de suprimir un objeto en el archivo dynurl.conf, elimine las ACL asociadas con el objeto.
389
Ejemplo de direccin URL dinmica: Travel Kingdom

El siguiente ejemplo muestra cmo una intranet corporativa puede proteger las direcciones URL generadas por un Oracle Web Listener. El servidor web de direcciones URL dinmicas utilizado en este ejemplo es Oracle Web Listener. Esta tecnologa se puede aplicar igualmente a otros servidores web de direcciones URL dinmicas.
La aplicacin
Travel Kingdom es una empresa que ofrece a los clientes un servicio de reserva de viajes a travs de Internet. La empresa quiere utilizar dos aplicaciones de bases de datos de Oracle en su servidor web accesible desde el cortafuegos corporativo y a travs de Internet. 1. Sistema de reserva de viajes Los clientes autorizados pueden efectuar reservas de forma remota y consultar sus reservas actuales. El personal de Travel Kingdom tambin puede efectuar reservas para los clientes que llaman por telfono, procesar cambios y realizar otras muchas transacciones. Puesto que los clientes externos pagan por los servicios con tarjeta de crdito, la transmisin de esa informacin debe estar altamente protegida. 2. Gestor de administracin Como muchas otras empresas, Travel Kingdom mantiene una base de datos de administracin que contiene salarios, posicin e informacin sobre la experiencia. Estos datos van tambin acompaados de una foto de cada miembro del personal.
La interfaz
Se configura un servidor web de Oracle para proporcionar acceso a los siguientes procedimientos almacenados en la base de datos:
/db-apps/owa/tr.browse Ofrece a todos los usuarios la posibilidad de realizar consultas acerca de los destinos de viajes, precios, etc. Se utiliza para efectuar una reserva (personal de la agencia de viajes o clientes autenticados). Se utiliza para revisar o cambiar las reservas actuales.
/db-apps/owa/tr.book /db-apps/owa/tr.change
/db-apps/owa/admin.browse
Los miembros del personal lo utilizan para ver informacin no restringida acerca de ste, como el nmero de extensin, la direccin de correo electrnico o la fotografa. Proporciona a los miembros del personal la posibilidad de ver o cambiar la informacin de sus datos personales en la base de datos de administracin. El personal de administracin lo utiliza para actualizar la informacin acerca del personal.
/db-apps/owa/admin.resume
/db-apps/owa/admin.update
390
Estructura de espacio web

Se utiliza un servidor WebSEAL para proporcionar una interfaz segura al espacio web unificado de Travel Kingdom. v Se realiza una unin (/ows) con el servidor web de Oracle ejecutando la aplicacin de reserva de viajes y la aplicacin de administracin.
La poltica de seguridad
Para proporcionar la seguridad apropiada a los recursos web, al mismo tiempo que se mantiene un sistema fcil de usar, la empresa ha establecido los siguientes objetivos de seguridad: v El personal de la agencia de viajes tiene un control total sobre todas las reservas. v Los clientes autenticados pueden efectuar y cambiar sus propias reservas, pero no pueden interferir con los datos de reservas de otros clientes autenticados. v El personal de administracin tiene acceso completo a toda la informacin de administracin. v El personal de Travel Kingdom que no es del departamento de administracin puede cambiar la informacin de sus propios datos personales y ver una parte de la informacin de otros miembros del personal.
Correlaciones de direcciones URL dinmicas con el espacio de objetos

Para alcanzar los objetivos de seguridad descritos anteriormente, las correlaciones de las direcciones URL dinmicas con las entradas de objetos de ACL se deben configurar tal como aparece en la siguiente tabla. Recuerde que el orden de esas correlaciones es una parte importante de alcanzar los objetivos de seguridad tratados anteriormente.
Entrada de espacio de objetos /ows/tr/browse /ows/tr/auth /ows/tr/auth /ows/admin/forall /ows/admin/forall /ows/admin/auth Patrn de direccin URL /ows/db-apps/owa/tr.browse\?dest=*&date=??/??/???? /ows/db-apps/owa/tr.book\?dest=*&depart=??/??/????& return=??/??/???? /ows/db-apps/owa/tr.change /ows/db-apps/owa/admin.resume /ows/db-apps/owa/admin.browse\?empid=[th]??? /ows/db-apps/owa/admin.update\?empid=????
Clientes seguros
El cliente se autentica en WebSEAL a travs de un canal seguro cifrado. Los clientes que deseen utilizar la interfaz web deben registrarse tambin con el administrador de web de Travel Kingdom para recibir una cuenta.
Estructura de cuentas y grupos

Se crean cuatro grupos en el sistema: Staff (Personal) Miembros de la empresa Travel Kingdom. TKStaff (PersonalTK) Agentes de viajes de Travel Kingdom. AdminStaff (PersonalAdmin) Miembros del departamento de administracin de Travel Kingdom.
391
Observe que los miembros del personal de administracin se encuentran tambin en el grupo de personal. Customer (Cliente) Clientes de Travel Kingdom que desean efectuar sus reservas a travs de Internet. Se da a cada usuario una cuenta en el dominio seguro para que el servidor WebSEAL pueda identificarlos individualmente. La identidad del usuario se pasa tambin a los servidores web de Oracle para proporcionar una solucin de inicio de sesin nico para todos los recursos web.
Control de accesos
La tabla siguiente muestra una lista de los controles de accesos derivados de la aplicacin de la informacin anterior:
/ows/tr/browse /ows/tr/auth no autenticado Tr cualquier autenticado no autenticado any_other grupo TKStaff Tr grupo Customer PTr no autenticado any_other grupo Staff Tr no autenticado any_other grupo AdminStaff Tr
/ows/admin/forall
/ows/admin/auth
Tr
Los grupos Customer (Clientes) y TKStaff (PersonalTK) tienen los mismos privilegios en los objetos de mantenimiento de reservas y planificacin de viajes, con la excepcin de que los clientes deben cifrar la informacin (permiso de privacidad) para proporcionar una mayor seguridad al enviar datos confidenciales (por ejemplo, informacin de tarjetas de crdito) a travs de Internet, que no es fiable.
Conclusin
Este sencillo ejemplo muestra los conceptos de despliegue de un sistema capaz de: v Proteger la informacin confidencial v Autenticar usuarios v Autorizar el acceso a la informacin confidencial Adems, los servidores web de WebSEAL y de Oracle conocen las identidades de los usuarios autenticados del sistema y estn habituados a proporcionar una solucin de inicio de sesin nico con registro.
392
Captulo 13. Recuperacin de informacin de decisiones de autorizacin

Este captulo contiene informacin que describe el modo en que WebSEAL puede proporcionar, o adquirir, informacin de decisiones de autorizacin (ADI) necesaria para evaluar las reglas de autorizacin que protegen recursos en el dominio de Tivoli Access Manager. ndice de temas: v Visin de la recuperacin de ADI en la pgina 394 v Recuperacin de ADI de la solicitud de cliente de WebSEAL en la pgina 395 v Recuperacin de ADI de la credencial de usuario en la pgina 399 v Especificacin de una causa de error en una unin en la pgina 400 v Recuperacin de ADI dinmica en la pgina 401
393
Visin de la recuperacin de ADI

El evaluador de reglas de autorizacin de Tivoli Access Manager toma decisiones de autorizacin en funcin de la lgica booleana aplicada a informacin de decisin de acceso (ADI) especfica. Para obtener informacin detallada sobre la construccin de reglas de autorizacin (utilizando lgica booleana) y sobre ADI (informacin de decisiones de autorizacin), consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin. La informacin ADI necesaria para evaluar reglas puede recuperarse de las fuentes siguientes: v Parmetros de decisiones de autorizacin proporcionados a la regla de autorizacin como ADI por el servicio de autorizacin Estos parmetros incluyen el recurso de destino (objeto protegido) y la accin solicitada en el recurso. Consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin para obtener ms informacin sobre este tema. v La credencial de usuario La credencial de usuario siempre se incluye con la llamada de funcin al evaluador de reglas de autorizacin, por lo que est disponible de forma inmediata. v El entorno del gestor de recursos (contexto de aplicacin) Es posible configurar un gestor de recursos, como WebSEAL, para proporcionar informacin ADI de su propio entorno. Por ejemplo, WebSEAL tiene la capacidad de proporcionar ADI contenida en partes de la solicitud del cliente. Se utiliza un prefijo especial en la regla de autorizacin para desencadenar este tipo de fuente ADI. v Una fuente externa a travs del servicio de recuperacin de atributos de Tivoli Access Manager La ADI puede obtenerse externamente a travs del servicio de recuperacin de atributos. Se realiza una llamada al servicio de recuperacin de atributos a travs del servicio de titularidad del gestor de recursos. La ADI de la fuente externa se devuelve en formato XML al evaluador de reglas de autorizacin.
394
Recuperacin de ADI de la solicitud de cliente de WebSEAL

En un entorno WebSEAL, pueden escribirse reglas de autorizacin para solicitar informacin de decisiones de autorizacin (ADI) contenida en la solicitud HTTP/HTTPS de cliente. La ADI puede encontrarse en la cabecera de la solicitud, en la cadena de consulta de la solicitud y en el cuerpo POST de la solicitud. Para hacer referencia a informacin de decisiones de autorizacin, en las reglas de autorizacin se utiliza un nombre de contenedor XML. En el nombre del contenedor se utiliza un prefijo especial especfico de WebSEAL para alertar al proceso de evaluacin de reglas de autorizacin que WebSEAL puede interpretar este parmetro correctamente y devolver un valor. Los prefijos pueden ser especficos para cualquier gestor de recursos. En consecuencia, debe designarse un gestor de recursos para responder apropiadamente a la solicitud de ADI. Los nombres de contenedor siguientes contienen prefijos apropiados para WebSEAL: v AMWS_hd_nombre Nombre del contenedor de la cabecera de la solicitud. El valor de la cabecera HTTP denominado nombre de la solicitud HTTP se devuelve al evaluador de reglas de autorizacin como ADI. v AMWS_qs_nombre Nombre del contenedor de cadenas de consulta de solicitud. El valor del nombre en la cadena de consulta de la solicitud se devuelve al evaluador de reglas de autorizacin como ADI. v AMWS_pb_nombre Nombre del contenedor de cuerpos POST de solicitud. El valor del nombre en el cuerpo POST de la solicitud se devuelve al evaluador de reglas de autorizacin como ADI. El flujo de procesos siguiente ayuda a ilustrar el modo en que los prefijos permiten la extraccin de ADI de las solicitudes de cliente: 1. Se escribe una regla de autorizacin que requiere ADI de la solicitud del cliente (por ejemplo, una cabecera HTTP especfica de la solicitud). En este ejemplo, se utiliza el prefijo AMWS_hd_ en el nombre de contenedor especificado en la regla. El prefijo debe especificarse mediante el parmetro resource-manager-provided-adi de la stanza [aznapi-configuration] del archivo de configuracin de WebSEAL. El servicio de autorizacin incorpora esta informacin de configuracin durante su inicializacin. Este prefijo especfico de WebSEAL alerta al proceso de evaluacin de la autorizacin que la ADI necesaria est disponible en la solicitud del cliente y que WebSEAL sabe cmo encontrar, extraer y devolver esta ADI. 2. El proceso de evaluacin de las reglas de autorizacin intenta evaluar, por ejemplo, el nombre del contenedor AMWS_hd_host en una regla. El prefijo AMWS_hd_ alerta al proceso de evaluacin de la autorizacin que WebSEAL puede interpretar este nombre de contenedor correctamente y devolver un valor. 3. El nombre de contenedor AMWS_hd_host se enva a WebSEAL. WebSEAL est diseado para reconocer e interpretar el prefijo AMWS_hd_.
395
4. WebSEAL responde al nombre de contenedor AMWS_hd_host realizando una bsqueda de host en la cabecera de la solicitud del cliente y extrayendo el valor asociado con dicha cabecera. 5. WebSEAL devuelve el valor de cabecera host (como contenedor XML) al proceso de evaluacin de las reglas de autorizacin. 6. El proceso de evaluacin de las reglas de autorizacin utiliza el valor como ADI en la evaluacin de esta regla. El parmetro resource-manager-provided-adi de la stanza [aznapi-configuration] del archivo de configuracin de WebSEAL especifica, para el proceso de evaluacin de las reglas de autorizacin, los prefijos que pueden utilizarse en los nombres de contenedor especificados por las reglas de autorizacin. Para especificar varios prefijos, utilice entradas del parmetro resource-manager-provided-adi:
[aznapi-configuration] resource-manager-provided-adi = AMWS_qs_ resource-manager-provided-adi = AMWS_pb_ resource-manager-provided-adi = AMWS_hd_
El parmetro permission-info-returned de la stanza [aznapi-configuration] del archivo de configuracin de WebSEAL aparece de forma predeterminada. Este parmetro especifica la informacin de permisos devuelta al gestor de recursos (por ejemplo, WebSEAL) del servicio de autorizacin. El ejemplo siguiente se especifica en una sola lnea, separando los dos tipos de permiso con un nico espacio:
[aznapi-configuration] permission-info-returned = azn_perminfo_rules_adi_request azn_perminfo_reason_rule_failed
El valor azn_perminfo_rules_adi_request permite al servicio de autorizacin solicitar ADI de la solicitud de cliente WebSEAL actual. El valor azn_perminfo_reason_rule_failed especifica que las causas de error de las reglas deben enviarse al gestor de recursos (este valor es necesario para las conexiones R; consulte el apartado Especificacin de una causa de error en una unin en la pgina 400).
Ejemplo: Recuperacin de ADI de la cabecera de la solicitud

La siguiente regla de autorizacin de ejemplo requiere el nombre de host de la mquina cliente. La solicitud del cliente est configurada para incluir el valor de nombre de host en la cabecera host de la solicitud. El uso del prefijo AMWS_hd_ en la regla alerta al proceso de evaluacin de la autorizacin que la ADI necesaria est disponible en la solicitud de cliente y que WebSEAL sabe cmo encontrar, extraer y devolver esta ADI.
<xsl:if test=AMWS_hd_host = "machineA">!TRUE!</xsl:if>
WebSEAL est diseado para saber cmo extraer informacin ADI de la solicitud:
[aznapi-configuration] resource-manager-provided-adi = AMWS_hd_
WebSEAL sabe que esta informacin puede encontrarse en el nombre de cabecera de solicitud host. WebSEAL extrae el valor que contiene la cabecera host y lo devuelve al proceso de evaluacin de la autorizacin. La regla de autorizacin de ejemplo se evala como verdadera (true) si el valor proporcionado en la cabecera host de la solicitud es machineA.
396
De forma similar, la informacin necesaria para evaluar una regla de autorizacin puede provenir del cuerpo POST de la solicitud o de la cadena de consulta de la solicitud.
Ejemplo: Recuperacin de ADI de la cadena de consulta de la solicitud

La regla de autorizacin de ejemplo siguiente necesita el nombre del cdigo postal del cliente pasado en la cadena de consulta de una solicitud GET (como se ha enviado en una respuesta a un formulario). La solicitud de cliente est configurada para incluir el valor de cdigo postal en el campo zip de la cadena de consulta de la solicitud.
https://www.service.com/location?zip=99999
El uso del prefijo AMWS_qs_ en la regla alerta al proceso de evaluacin de la autorizacin que la ADI necesaria est disponible en la solicitud de cliente y que WebSEAL sabe cmo encontrar, extraer y devolver esta ADI.
<xsl:if test=AMWS_qs_zip = "99999">!TRUE!</xsl:if>
WebSEAL est diseado para saber como extraer informacin ADI de la solicitud:
[aznapi-configuration] resource-manager-provided-adi = AMWS_qs_
WebSEAL sabe que esta informacin puede encontrarse en el nombre de campo zip de la cadena de consulta de la solicitud. WebSEAL extrae el valor que contiene el campo zip y lo devuelve al proceso de evaluacin de la autorizacin. La regla de autorizacin de ejemplo se evala como verdadera (true) si el valor proporcionado en el campo zip de la cadena de consulta de la solicitud es 99999. De forma similar, la informacin necesaria para evaluar una regla de autorizacin puede provenir del cuerpo POST de la solicitud o de la cabecera de la solicitud.
Ejemplo: Recuperacin de ADI del cuerpo POST de la solicitud

La regla de autorizacin de ejemplo siguiente requiere el nombre de un importe de compra total del cliente de un carro de la compra de Internet pasado en el cuerpo de una solicitud POST (como se ha enviado en una respuesta a un formulario). La solicitud del cliente est configurada para incluir el valor total de la compra en el campo purchase-total del cuerpo POST de la solicitud. El uso del prefijo AMWS_pb_ en la regla alerta al proceso de evaluacin de la autorizacin que la ADI necesaria est disponible en la solicitud de cliente y que WebSEAL sabe cmo encontrar, extraer y devolver esta ADI.
<xsl:if test=AMWS_pb_purchase-total < "1000.00">!TRUE!</xsl:if>
WebSEAL est diseado para saber como extraer informacin ADI de la solicitud:
[aznapi-configuration] resource-manager-provided-adi = AMWS_pb_
WebSEAL sabe que esta informacin puede encontrarse en el nombre de campo purchase-total del cuerpo POST de la solicitud. WebSEAL extrae el valor que contiene el campo purchase-total y lo devuelve al proceso de evaluacin de la autorizacin.
397
La regla de autorizacin de ejemplo se evala como verdadera (true) si el valor proporcionado en el campo purchase-total del cuerpo POST de la solicitud es inferior a 1000.00. De forma similar, la informacin necesaria para evaluar una regla de autorizacin puede provenir de la cabecera de la solicitud o de la cadena de consulta de la solicitud.
398
Recuperacin de ADI de la credencial de usuario

Pueden escribirse reglas de autorizacin para utilizar informacin ADI proporcionada inicialmente al evaluador de reglas de autorizacin como parte de la credencial. La llamada inicial al servicio de autorizacin (azn_decision_access_allowed_ext()) contiene en realidad la informacin de la credencial del usuario. El evaluador de reglas de autorizacin siempre busca en los datos de la credencial la informacin ADI necesaria para la regla que se procesa. La regla de autorizacin puede utilizar el valor de cualquier campo de la credencial, incluidos los atributos ampliados que se hayan agregado a la credencial durante la autorizacin.
399
Especificacin de una causa de error en una unin

Las reglas de autorizacin permiten configurar condiciones especiales, a menudo complejas, que controlan la posibilidad de acceder a un recurso protegido. No obstante, el resultado estndar de una decisin de autorizacin errnea es detener el progreso de la solicitud a la aplicacin de servicio que controla el recurso, y presentar al cliente el mensaje de error No autorizado. Si se ha escrito la regla de autorizacin para que incluya una causa de error, y el evaluador de reglas de autorizacin de Tivoli Access Manager la evala como falsa (FALSE), WebSEAL recibe la causa del error de la regla junto con el mensaje estndar No autorizado del servicio de autorizacin. Generalmente, la causa del error se omite y se aplica la decisin No autorizado. Opcionalmente, puede configurar WebSEAL para que rechace esta respuesta estndar y permita que las solicitudes denegadas procedan a travs de una unin hasta una aplicacin de servicio de fondo. La solicitud contiene la causa del error proporcionada en la regla de autorizacin. La aplicacin del servicio de fondo puede tener entonces la oportunidad de proceder con su propia respuesta a la situacin. Esta configuracin opcional se produce durante la creacin de la unin con la aplicacin del servicio de fondo. Las reglas de autorizacin generalmente se utilizan junto con aplicaciones de servicio que comprenden y manejan este nivel ms sofisticado de nivel de control de acceso. En algunos casos, la aplicacin de servicio debe recibir una solicitud denegada por el servicio de autorizacin de Tivoli Access Manager. Una aplicacin de este tipo se escribe de tal modo que comprenda la informacin de la causa del error y pueda proporcionar su propia respuesta a una solicitud que no ha pasado una regla de autorizacin de Tivoli Access Manager. El componente de proceso de pedidos de una aplicacin de carro de la compra, por ejemplo, puede estar controlado por una regla de autorizacin que deniega la accin en un pedido si el precio total de compra sobrepasa el lmite de crdito del usuario. Es importante que la aplicacin de carro de la compra reciba la solicitud completa y la causa del error. De este modo, la aplicacin de carro de la compra puede controlar la situacin y proporcionar una respuesta al usuario, como advertirle que debe eliminar una parte del pedido. La interaccin con el usuario se mantiene en lugar de eliminarse. Para permitir que las solicitudes denegadas y que la informacin de la causa del error proceda a travs de una unin hasta la aplicacin del servicio de fondo, configure la unin con la opcin R. Cuando WebSEAL recibe una decisin de acceso denegado en una solicitud para un objeto que se encuentra en una unin R, WebSEAL invierte la respuesta de denegacin, inserta la causa del error en la cabecera HTTP denominada AM_AZN_FAILURE, inserta dicha cabecera en la solicitud y pasa la solicitud a la aplicacin de fondo. Esta opcin debe utilizarse con precaucin. Es importante coordinar el uso de las causas de error en las reglas de autorizacin con la capacidad de la aplicacin de servicio de interpretar y responder a esta informacin. De este modo podr evitar, por ejemplo, crear de forma inadvertida una situacin en la que se otorgue acceso a un recurso controlado por una aplicacin que no pueda responder con precisin a la cabecera AM_AZN_FAILURE.
400
Recuperacin de ADI dinmica

Pueden escribirse reglas que requieran que la ADI no pueda encontrarse en la informacin a la que el servicio de autorizacin de Tivoli Access Manager tiene acceso. En estos casos, la ADI debe recuperarse de una fuente externa. Esta recuperacin puede realizarse en tiempo real mediante un servicio de recuperacin de titularidad de ADI dinmico. El servicio de recuperacin de atributos, que actualmente se proporciona con WebSEAL es un tipo de servicio de recuperacin de titularidad. El servicio de recuperacin de atributos proporciona servicios de comunicacin y de conversin de formato entre la biblioteca del servicio de titularidad de WebSEAL y un proveedor externo de informacin de decisiones de autorizacin. El flujo de proceso del servicio de recuperacin de atributos es el siguiente: 1. El cliente formula una solicitud para un recurso protegido por una regla de autorizacin. 2. El evaluador de reglas de autorizacin, que forma parte del servicio de autorizacin, determina que se necesita informacin de decisiones de autorizacin (ADI) especfica para completar la evaluacin de la regla. La ADI solicitada no est disponible en la credencial del usuario, el servicio de autorizacin o WebSEAL. 3. La tarea de recuperacin de ADI se enva al servicio de recuperacin de atributos a travs de la biblioteca del servicio de titularidad. Este servicio da formato a la solicitud de ADI como una solicitud SOAP. La solicitud SOAP se enva a travs de HTTP a la interfaz WSDL (Web Service Description Language) del servicio de recuperacin de atributos. 4. El servicio de recuperacin de atributos da formato a la solicitud de forma apropiada para el proveedor externo de ADI. 5. El proveedor externo de ADI devuelve la ADI apropiada. 6. La ADI se formatea en otro contenedor SOAP y se devuelve al servicio de titularidades de WebSEAL. En este punto, el evaluador de reglas de autorizacin tiene la informacin necesaria para evaluar la regla y tomar la decisin en cuanto a aceptar o denegar la solicitud de cliente original.
401
Despliegue del servicio de recuperacin de atributos

En estas instrucciones de instalacin se presupone que WebSphere Application Server, WebSEAL y el servicio de recuperacin de atributos se encuentran en el mismo sistema. Realice las tareas siguientes para desplegar el servicio de recuperacin de atributos con WebSphere Application Server. 1. El servicio de recuperacin de atributos de Tivoli Access Manager es un paquete que puede instalarse por separado. Instale el servicio de recuperacin de atributos en el mismo sistema que WebSphere Application Server. Siga las instrucciones de la publicacin IBM Tivoli Access Manager Base Installation Guide. 2. Tivoli Access Manager proporciona un script que despliega programticamente el servicio de recuperacin de atributos en el entorno de WebSphere Application Server. Siga las instrucciones del archivo Readme.
UNIX Archivo Readme Script /opt/pdwebars/Readme.deploy /opt/pdwebars/Deploy.sh
Windows Archivo Readme Archivo de proceso por lotes C:\Archivos de programa\Tivoli\AMWebARS\Readme.deploy C:\Archivos de programa\Tivoli\AMWebARS\Deploy.bat
Realice las tareas siguientes para configurar WebSEAL de modo que utilice el servicio de recuperacin de atributos. 1. En el archivo de configuracin de WebSEAL, especifique el nombre de identificacin (ID) del servicio de recuperacin de atributos que se consulta cuando se detecta la ADI que falta durante una evaluacin de reglas. En este caso, se especifica el servicio de recuperacin de atributos:
[aznapi-configuration] dynamic-adi-entitlement-services = AMWebARS_A
2. En el archivo de configuracin de WebSEAL, utilice el ID del servicio para el servicio de recuperacin de atributos configurado como un parmetro para especificar la biblioteca incorporada apropiada que da formato a las solicitudes de ADI salientes y que interpreta las respuestas entrantes: Por ejemplo:
[aznapi-entitlement-services] AMWebARS_A = azn_ent_amwebars
3. En el archivo de configuracin de WebSEAL, especifique la direccin URL para el servicio de recuperacin de atributos que se encuentra en el entorno de WebSphere. Para una conexin TCP:
[amwebars] service-url = http://nombre_host_websphere:puerto_websphere \ /amwebars/amwebars/ServiceToIServicePortAdapter
4. Reinicie WebSEAL.
402
Captulo 14. Informacin de consulta del servicio de recuperacin de atributos

Este captulo contiene informacin de consulta sobre la administracin y configuracin del servicio de recuperacin de atributos de Tivoli Access Manager. ndice de temas: v Configuracin bsica en la pgina 404 v Edicin de las tablas de datos en la pgina 408 v Creacin de plug-ins de protocolo personalizados en la pgina 413
403
Configuracin bsica
Informacin sobre la configuracin bsica.
Archivos de configuracin
Los archivos XML y de configuracin del servicio de recuperacin de atributos que se indican a continuacin se encuentran en el directorio de trabajo de la aplicacin de soporte. La implementacin actual del servicio de recuperacin de atributos se instala en un entorno WebSphere:
dir-instalacin-websphere/WebSphere/AppServer/bin/
amwebars.conf
El archivo de configuracin amwebars.conf contiene los parmetros y valores que especifican la configuracin general del servicio de recuperacin de atributos.
ContainerDescriptorTable.xml
El archivo ContainerDescriptorTable.xml contiene una lista de todos los descriptores de contenedor que el servicio de recuperacin de atributos puede recuperar. El servicio slo reconoce los contenedores que se describen en esta tabla. La tabla se basa en XML.
ProviderTable.xml
El archivo ProviderTable.xml contiene la descripcin de los proveedores disponibles para la recuperacin de ADI. El archivo basado en XML contiene, para cada proveedor, la direccin URL del proveedor e informacin necesaria para establecer contacto con el proveedor y solicitarle contenedores (ADI). Slo pueden consultarse los proveedores que se indican en este archivo.
ProtocolTable.xml
El archivo ProtocolTable.xml contiene la descripcin de los protocolos que utiliza el servicio de recuperacin de atributos. El archivo contiene el nombre de clase completo de cada protocolo y el ID del protocolo. Slo pueden consultarse los protocolos que se indican en este archivo.
Descripciones de los parmetros de configuracin de amwebars.conf

Ubicaciones de las tablas
descriptor_table_filename Nombre de archivo de la tabla ContainerDescriptorTable. La tabla ContainerDescriptorTable contiene todos los ID_tipo_contenedor que el servicio puede recuperar. provider_table_filename Nombre de la tabla ProviderTable. La tabla ProviderTable contiene informacin sobre los distintos proveedores de servicios de recuperacin de atributos que utiliza el servicio de recuperacin de atributos. protocol_table_filename Nombre de la tabla ProtocolTable. La tabla ProtocolTable contiene informacin sobre los distintos protocolos del servicio de recuperacin de atributos que utiliza
404
el servicio de recuperacin de atributos. Debe tener en cuenta que el servicio slo utiliza este archivo si la opcin protocol_module_load_from_general_config est establecida en false. key_store_filename Nombre de archivo del almacn de claves del servicio de recuperacin de atributos. El almacn de claves es un almacn central para las claves de cliente que utiliza el servicio de recuperacin de atributos. Puede administrarse con la herramienta de claves de la herramienta Java. key_store_password Contrasea que debe utilizarse para desbloquear el almacn de claves. Debe tener en cuenta que las claves se desbloquean de forma independiente. La contrasea que se utiliza para desbloquearlas se almacena en la descripcin del proveedor.
Registro
exception_logfile_filename Nombre del archivo de registro en el que se registran excepciones. El archivo de registro de excepciones contiene informacin sobre errores y entradas no vlidas. metering_logfile_filename Nombre del archivo de registro de mediciones. El archivo de registro de mediciones contiene una entrada para cada contenedor que se recupera de un proveedor. trace_logfile_filename Nombre del archivo de registro de seguimiento. El archivo de registro de seguimiento contiene un seguimiento detallado de las operaciones del programa de servicio. exception_logging Activa y desactiva el registro de excepciones. Establezca este valor en true para activar el registro de excepciones (opcin recomendada). El valor predeterminado es true. metering_logging Activa y desactiva el registro de mediciones. Establezca el valor en true para activar el registro de los contenedores recuperados. El valor predeterminado es true. trace_logging Activa y desactiva el registro de seguimiento. Establezca el valor en true para activar el seguimiento. Debe tener en cuenta que el seguimiento consume mucho espacio de disco. El valor predeterminado es false. use_stderr_for_fatal
405
Si se establece en true, los errores graves que se producen en el registro de excepciones se notifican al archivo de registro y a stderr. use_stderr_for_exceptions Si se establece en true, todas las excepciones del registro de excepciones se notifican al archivo de registro y a stderr. trace_verbose_monitor_locks Si se establece en true, todas las entradas de los supervisores sincronizados se notifican a trace. Esta opcin se utiliza para buscar puntos muertos. trace_verbose_get_entitlement Si se establece en true, el seguimiento contiene todas las entradas de las llamadas getEntitlement. Debe tener en cuenta que este tipo de seguimiento puede contener informacin personal sobre el cliente.
Limitacin del nmero de clientes y de sesiones

Las opciones siguientes pueden utilizarse para influenciar en el consumo de recursos del servicio de recuperacin de atributos. Estas opciones estn concebidas para personas especializadas. limit_number_of_sessions Este valor activa la limitacin del nmero de sesiones. Si se establece en true, el servicio slo genera un nmero de sesiones limitado. El valor predeterminado es false. max_number_of_sessions Establece el nmero mximo de sesiones que se generan. limit_number_of_clients_per_session Este valor activa la limitacin del nmero de clientes por sesin. Si se establece en true, una sesin slo puede crear un nmero fijo de clientes. El valor predeterminado es false. max_number_of_clients_per_session Establece el nmero de clientes que puede generar una sesin.
Opciones varias
return_ids_full_qualified El servicio devuelve los contenedores en una lista de atributos con container_type_ids como clave. De forma predeterminada, el servicio utiliza el mismo formato (con espacio de nombres o sin l) que app_context. Si establece este valor en true, puede forzar el servicio de modo que siempre devuelva container_type_ids que incluyan el espacio de nombres. El valor predeterminado es false.
Mdulos de protocolos que deben cargarse en la inicializacin

protocol_module_load_from_general_config
406
El servicio de recuperacin de atributos carga dinmicamente los mdulos de protocolos en el momento de la inicializacin. Si esta clave se establece en true, el servicio utiliza este archivo de configuracin; de lo contrario, utiliza otro archivo XML especificado con la clave protocol_table_filename. Si se carga de acuerdo con este archivo, se basa en las entradas siguientes: protocol_module_load.* Paquete que debe cargarse. protocol_module_id.* ID de protocolo que debera asociarse con el protocolo.
407
Edicin de las tablas de datos

El servicio de recuperacin de atributos se configura utilizando distintas tablas de datos. Estas tablas indican al servicio, por ejemplo, a qu proveedores es posible acceder, qu contenedores de servicios de recuperacin de atributos pueden recuperarse de dichos proveedores y qu protocolo se necesita para establecer comunicacin con el proveedor. Las tres tablas principales son: v ContainerDescriptorTable, que contiene toda la informacin sobre los contenedores de servicios de recuperacin de atributos. v ProviderTable, que contiene los proveedores de servicios de recuperacin de atributos disponibles. v ProtocolTable, que describe los protocolos que utiliza el servicio de recuperacin de atributos.
Tabla ProviderTable
Esta tabla contiene informacin sobre los proveedores disponibles para el servicio. Esta tabla debe contener una entrada Provider para cada servidor que deba conectarse al servicio de recuperacin de atributos.
Nombre de archivo: Formato: Nombre de tabla: Nombre de elemento: ProviderTable.xml XML ProviderTable Provider
Subelementos del elemento Provider

Un elemento Provider puede contener los subelementos siguientes: provider_id ID del proveedor (necesario). Los descriptores ContainerDescriptors utilizan este ID para hacer referencia a un proveedor determinado. El valor de provider_id debe ser exclusivo. name Nombre del proveedor. provider_url Direccin URL del punto final del proveedor (necesaria). Los protocolos que desean acceder al proveedor se conectan a esta direccin URL. Para utilizar una direccin URL HTTPS, debe activarse el soporte HTTPS de Java. Por ejemplo, estableciendo la propiedad de mquina virtual:
Djava.protocol.handler.pkgs=com.sun.net.ssl.internal.www.protocol
client_key_alias El protocolo utiliza este alias para buscar la clave privada y el certificado que corresponden a este proveedor en el almacn de claves del servicio. client_key_password Contrasea asignada a la clave privada del proveedor.
408
Tabla ProviderTable de ejemplo

En el cdigo siguiente se ilustra una tabla ProviderTable vlida con una entrada Provider:
<?xml version="1.0" encoding="UTF-8"?> <ProviderTable> <Provider> <provider_id>Erandt_Securtities_Entitlements</provider_id> <name>ese</name> <provider_url>https://rse.erandt.com/responder</provider_url> <client_key_alias>erandt_test_account</client_key_alias> <client_key_password>changeit</client_key_password> </Provider> </ProviderTable>
Tabla ContainerDescriptorTable
La tabla ContainerDescriptorTable describe todos los contenedores que el servicio de recuperacin de atributos puede recuperar. Debe agregar una entrada ContainerDescriptor a esta tabla si desea que el servicio recupere otro tipo de contenedor de servicio de recuperacin de atributos.
Nombre de archivo: Formato: Nombre de tabla: Nombre de elemento: ContainerDescriptor.xml XML ContainerDescriptorTable ContainerDescriptor
Subelementos del elemento ContainerDescriptor

Un elemento ContainerDescriptor puede contener los subelementos siguientes: container_type_id El ID de este ContainerDescriptor y el contenedor correspondiente (necesario). Debe hacer referencia a este ID para solicitar un contenedor del servicio de recuperacin de atributos. Si el espacio de nombres est presente, se genera de este modo:
container_type_id = prefijo_espacio_nombres + ":" + nombre_contenedor
Si el espacio de nombres no est presente, es igual a container_name. El valor de container_type_id debe ser exclusivo. container_name Nombre de este descriptor de contenedor (necesario). En un espacio de nombres determinado, el valor de container_name debe ser exclusivo. El valor de container_name no debe contener el carcter de dos puntos (:). namespace_prefix Direccin URL del espacio de nombres en el que container_name es vlido (necesario). El indicador del espacio de nombres puede estar vaco. En tal caso, container_type_id es igual a container_name. cost Coste por recuperacin del contenedor del servicio de recuperacin de atributos que corresponde a este descriptor. No olvide especificar el tipo de moneda.
409
protocol_id Este ID (necesario) hace referencia al ID de protocolo exclusivo de uno de los protocolos del servicio de recuperacin de atributos. El protocolo que presenta este ID se utiliza para recuperar el contenedor del proveedor. Este elemento debe coincidir con un ID conocido por el servicio. provider_id Este ID (necesario) hace referencia al proveedor del servicio de recuperacin de atributos que puede enviar un contenedor que corresponda al descriptor. El servicio se conecta con este proveedor cuando se solicita este contenedor. properties Propiedades generales que dependen del cliente y del protocolo. El valor de una propiedad se agrega de este modo: Agregue un elemento denominado property con un atributo denominado key. El atributo contiene el nombre o la clave de la propiedad, el contenido del elemento y el valor correspondiente. Observe client_init_properties en el cdigo de ejemplo siguiente. client_init_properties Propiedades especficas de la inicializacin de los clientes del servicio de recuperacin de atributos. Una propiedad que utilizan distintos protocolos es la correlacin de atributos que se describe ms adelante. ContainerPayloadFormat Este elemento (necesario) describe la estructura y el contenido de los contenedores que corresponden a este descriptor. El contenido de este elemento depende del protocolo. El DynAdiProtocols disponible actualmente proporciona una lista de elementos cuyo nombre contiene el nombre de los atributos que deben recuperarse del proveedor en este elemento. Los contenedores estn envueltos por un elemento que tiene el nombre de container_name.
Correlacin de atributos
La correlacin de atributos puede ser necesaria si el proveedor de servicios de recuperacin de atributos utiliza nombres de atributo que no son compatibles con nombres de elemento XML. Esta correlacin se genera de este modo: La clave tiene la estructura:
"map_provider_attribute_name__" + nombre_atributo_proveedor_fuente
si correlaciona uno de los nombres de atributo del proveedor con uno de sus nombres, o la estructura:
"map_attribute_name__" + nombre_atributo_fuente
si realiza una correlacin inversa. El valor de una propiedad de este tipo contiene el nombre del atributo con el que debe establecerse la correlacin. Observe que una declaracin de este tipo es unidireccional. Debe agregar una segunda declaracin para generar una correlacin inversa.
410
Tabla ContainerDescriptorTable de ejemplo

Ejemplo de una tabla ContainerDescriptorTable con un nico descriptor:
<?xml version="1.0" encoding="UTF-8"?> <ContainerDescriptorTable> <ContainerDescriptor> <container_type_id> http://ese.erandt.com/attributes:ese__test_container_address_line </container_type_id> <container_name>ese__test_container_address_line</container_name> <namespace_prefix>http://ese.erant.com/attributes</namespace_prefix> <cost>1 USD</cost> <protocol_id>ese_entitlement_protocol</protocol_id> <provider_id>Erandt_Securities_Entitlements</provider_id> <properties /> <client_init_properties> <property key="map_attribute_name__erandt.com_core_attr_address"> //erandt.com/attr/address </property> <property key="map_provider_attribute_name__//erandt.com/attr/address"> erandt.com_attr_address </property> </client_init_properties> <ContainerPayloadFormat> <ese__test_container_address_line> <address_line /> </ese__Test_container_address_line> </ContainerPayloadFormat> </ContainerDescriptor> </ContainerDescriptorTable>
Tabla ProtocolTable
La tabla ProtocolTable describe todos los protocolos que utiliza el servicio de recuperacin de atributos. Debe agregar una entrada Protocol a esta tabla si desea utilizar el servicio para recuperar otro tipo de protocolo.
Nombre de archivo: Formato: Nombre de tabla: Nombre de elemento: ProtocolTabler.xml XML ProtocolTable Protocol
Subelementos del elemento Protocol

Un elemento Protocol puede contener los subelementos siguientes: protocol_id ID de referencia utilizado por otras tablas (necesario). class_name Nombre completo de la clase Java que corresponde al protocolo del servicio de recuperacin de atributos (necesario). Nombre completo indica que incluye la ruta de acceso al paquete.
411
Tabla ProtocolTable de ejemplo

Ejemplo para una tabla ProtocolTable con un nico protocolo:
<?xml version="1.0" encoding="UTF-8"?> <ProtocolTable> <Protocol> <protocol_id>file_reader_protocol</protocol_id> <class_name>amwebarsentitlementservice.protocol.FileReaderProtocol</class_name> </Protocol> </ProtocolTable>
412
Creacin de plug-ins de protocolo personalizados Visin general

El servicio de recuperacin de atributos utiliza un constructor XML especial, conocido como contenedor, para recuperar y transferir informacin sobre la decisin de autorizacin. Una solicitud de ADI siempre est creada en el formato de un nombre de contenedor. Cuando el servicio de recuperacin de atributos recibe una solicitud de ADI (como un nombre de contenedor), el nombre del contenedor se compara con todos los nombres de contenedor descritos en la tabla de descriptores de contenedor (ContainerDescriptorTable.xml). Si se encuentra una coincidencia, el proceso de recuperacin de ADI puede continuar. La informacin de la descripcin del contenedor revela qu ADI se necesita, dnde puede encontrarse la ADI y qu protocolo debe utilizarse para establecer comunicacin con el proveedor externo de la ADI. La ADI, especificada entre cdigos XML de apertura y cierre de nombre de contenedor, se conoce como contenedor. El servicio de recuperacin de atributos genera un cliente que utiliza el protocolo necesario para recuperar la ADI del proveedor externo. Si la ADI debe recuperarse utilizando un protocolo no proporcionado por el release actual del servicio de recuperacin de atributos (incluido con Tivoli Access Manager WebSEAL), debe crearse un plug-in de protocolo personalizado.
Creacin del plug-in de protocolo

Los protocolos personalizados se escriben como clases Java que amplan la clase pblica FixedProviderProtocol y deben implementarse en los tres mtodos abstractos siguientes: v public ProtocolInitStatus initialize() v public ProtocolRunStatus run() v public ProtocolShutdownStatus shutdown() El mtodo initialize() se llama una vez para inicializar el protocolo durante la ejecucin del mtodo initialize del servicio de recuperacin de atributos. Este mtodo, por ejemplo, puede ser el responsable de establecer una conexin con un servicio de bases de datos o de perfiles remoto. El mtodo run() se llama (mediante el mtodo getEntitlement del servicio de recuperacin de atributos) cada vez que se realiza una solicitud para un contenedor que debe ser recuperado por este protocolo. Este mtodo debe recuperar el contenedor o los contenedores solicitados especificados por la variable de miembro _container_descriptors del mapa HashMap de la clase del cliente. Este contenedor puede obtenerse utilizando el mtodo elements() de la clase del cliente. El mtodo addContainer() de la clase del cliente se utiliza a continuacin para agregar el contenedor o los contenedores recuperados a la variable _session de la clase del cliente. El modo en que el protocolo adquiere el contenedor y el lugar desde donde lo adquiere es especfico del protocolo individual. El mtodo shutdown() se llama una vez para concluir el protocolo durante la ejecucin del mtodo shutdown del servicio de recuperacin de atributos. Este mtodo, por ejemplo, puede ser el responsable de cerrar las conexiones con servicios de bases de datos o de perfiles remotos que se han abierto durante el mtodo initialize.
413
Los recursos siguientes estn disponibles para ayudar a crear un plug-in de protocolo personalizado: v Documentacin de la clase del servicio de recuperacin de atributos
/opt/pdwebars/amwebars_class_doc.zip
v Mdulos de plug-in de protocolo de ejemplo (Java)

/opt/pdwebars/protocol_plugin/exampleProtocol.java
v Versin compilada (creada) del mdulo de ejemplo

/opt/pdwebars/protocol_plugin/exampleProtocol.class
v Archivo README en el que se explica cmo personalizar y compilar el cdigo de ejemplo

/opt/pdwebars/protocol_plugin/README
414
Apndice A. Informacin de consulta del archivo de configuracin de WebSEAL

El funcionamiento del servidor WebSEAL se controla a travs del uso del archivo de configuracin de WebSEAL. El archivo contiene secciones que controlan partes especficas de la funcionalidad de WebSEAL. Cada seccin contiene ms divisiones denominadas stanzas. Las etiquetas de las stanzas aparecen entre corchetes, como por ejemplo: [nombre_stanza]. Por ejemplo, la stanza [ssl] define los valores de configuracin de SSL que el servidor WebSEAL utiliza. Cada stanza de un archivo de configuracin de Tivoli Access Manager contiene una o ms entradas de stanza. Una entrada de stanza consiste en una pareja de clave y valor, que contiene informacin expresada como un conjunto emparejado de parmetros. Cada entrada de stanza tiene el siguiente formato: clave = valor La instalacin inicial de WebSEAL establece muchos de los valores predeterminados. Algunos valores son estticos y no cambiarn nunca; otros valores pueden modificarse para personalizar la funcionalidad y el rendimiento del servidor.
Nombre y ubicacin del archivo de configuracin

Para cada instancia de servidor WebSEAL, se crea un archivo de configuracin WebSEAL exclusivo. El nombre del archivo de configuracin incluye el nombre de instancia. El formato es el siguiente:
/opt/pdweb/etc/webseald-nombre_instancia.conf
La primera instancia de servidor WebSEAL que se instala en un sistema tiene por nombre_instancia el valor default. El administrador puede optar por cambiar este nombre durante la configuracin del servidor. Cuando el administrador acepta el nombre predeterminado (default), el archivo se denomina del modo siguiente:
UNIX /opt/pdweb/etc/webseald-default.conf Windows C:\Archivos de programa\Tivoli\PDWeb\etc\webseald-default.conf
Cuando se configuran instancias adicionales del servidor WebSEAL, el administrador especifica el valor de nombre_instancia. Este mtodo para especificar el nombre depende del mtodo de la utilidad de configuracin, ya sea como una entrada de campo de la GUI de pdconfig o un argumento de la lnea de mandatos para amwebcfg v Instalacin interactiva: como una entrada de campo de la GUI en pdconfig. v Instalacin desde la lnea de comandos: como una opcin de la lnea de comandos amwebcfg. v Instalacin silenciosa: como una entrada en un archivo de respuesta utilizado por amwebcfg.
415
En todos los casos, la utilidad de configuracin utiliza el nombre_instancia introducido como nombre del nuevo archivo de configuracin de WebSEAL. Por ejemplo, si asigna a la nueva instancia de servidor el nombre webseal2, se crea el archivo de configuracin siguiente:
UNIX /opt/pdweb/etc/webseald-webseal2.conf Windows C:\Archivos de programa\Tivoli\PDWeb\etc\webseald-webseal2.conf
Los caracteres vlidos para una instancia de servidor WebSEAL son los siguientes: v Caracteres alfanumricos ([A-Z][a-z][09]) v Subrayado (_) v Guin (-) v Punto (.) No puede utilizarse ningn otro carcter. Los nombres no pueden tener una longitud superior a los 20 caracteres. Para obtener ms informacin sobre la configuracin de la instancia de servidor WebSEAL, consulte el apartado Configuracin de la instancia de servidor en la pgina 16.
Directrices para configurar stanzas

Estas directrices se proporcionan para ayudarle a realizar cambios en los archivos de configuracin de Tivoli Access Manager. Las directrices se dividen en los siguientes tipos: v Generales v Valores predeterminados v Cadenas v Cadenas definidas v Listas v Nombres de archivo v Enteros v Valores booleanos Para obtener instrucciones, consulte el apartado Cambio de los valores de configuracin en la pgina 419.
Directrices generales
Utilice las siguientes directrices generales al realizar cambios en los valores de configuracin: v No hay ninguna dependencia de orden o de ubicacin de las stanzas en ningn archivo de configuracin. v Las entradas de stanza estn marcadas como obligatorias u opcionales. Cuando una entrada es obligatoria, WebSEAL requiere que la entrada contenga una clave y un valor vlidos. v No cambie los nombres de las claves de los archivos de configuracin. Si lo hace, es posible que la clave provoque resultados imprevisibles para los servidores.
416
v v v v
Nota: WebSEAL da soporte a algunas entradas de stanza que se basan en nombres de clave definidos. Consulte el apartado Listas en la pgina 418. Las maysculas y minsculas de las claves no son importantes. Por ejemplo, puede utilizar UseSSL o usessl. No se permiten espacios en los nombres de clave. En el formato de pareja de clave y valor (clave = valor), los espacios alrededor del signo igual (=) no son necesarios pero son recomendados. WebSEAL omite los caracteres no imprimibles (como indicadores, retornos de carro y saltos de lnea) que existan al final de una entrada de stanza. Los caracteres no imprimibles son caracteres ASCII que tienen un valor decimal inferior a 32. Las entradas del archivo de configuracin deberan ser caracteres ASCII. WebSEAL no espera leer caracteres que no sean ASCII, como caracteres a los que dan soporte los entornos locales de mltiples bytes, en los valores de las entradas del archivo de configuracin.
Valores predeterminados
v Muchos valores se crean o se modifican nicamente mediante programas de configuracin. No debe editar manualmente estas stanzas o valores. v Algunos valores se rellenan automticamente durante la configuracin de WebSEAL. Estos valores son necesarios para la inicializacin del servidor despus de la configuracin. v Es posible que los valores predeterminados de una entrada de stanza sean distintos en funcin de la configuracin del servidor. Algunas entradas de stanza no se aplican en determinadas configuraciones y se omiten del archivo de configuracin predeterminado para este servidor.
Cadenas
Algunos valores aceptan un valor de cadena. Cuando edite manualmente el archivo de configuracin, utilice las siguientes directrices para cambiar los valores de configuracin que requieran una cadena: v Se espera que los valores de cadena sean caracteres que formen parte del conjunto de cdigos local. Algunas cadenas de WebSEAL imponen restricciones distintas o adicionales sobre el juego de caracteres de cadena permitidos. Por ejemplo, muchas cadenas estn limitadas a caracteres ASCII. Las restricciones que se aplican a cada cadena se listan debajo de la descripcin de las entradas de stanza correspondientes ms adelante en este captulo. Consulte cada descripcin de entrada de stanza para conocer cualquier restriccin adicional. v Las comillas dobles son necesarias en algunos casos, pero no en todos, si los valores contienen espacios o ms de una palabra. Consulte las descripciones o los ejemplos de cada entrada de stanza si tiene dudas. v Las longitudes mnimas y mximas de los valores de cadena relacionados con el registro de usuarios, si existen lmites, son impuestas por el registro subyacente. Por ejemplo, para Active Directory la longitud mxima es de 256 caracteres alfanumricos. v
Cadenas definidas
Algunos valores aceptan un valor de cadena, pero el valor debe ser alguno de los especificados en un conjunto de cadenas definidas. Cuando edite manualmente el
417
archivo de configuracin, asegrese de que el valor de cadena que escriba coincide con uno de los valores vlidos de las cadenas definidas. Por ejemplo, la stanza [ba] de la seccin de mecanismos de autenticacin contiene la siguiente entrada:
ba-auth = { none | http | https | both }
WebSEAL espera que el valor de ba-auth sea none, http, https o both. Cualquier otro valor no es vlido y provocar un error.
Listas
El archivo de configuracin de WebSEAL contiene algunas stanzas que utilizan entradas de stanza que no tienen nombres de clave definidos. El contenido de estas stanzas se denomina listas. El administrador puede configurar y especificar las listas. Algunas listas se incluyen de forma predeterminada y el administrador puede ampliarlas. Otras listas estn vacas de forma predeterminada y el administrador puede crearlas. WebSEAL utiliza las listas para una variedad de objetivos. WebSEAL filtra los datos entrantes en funcin del tipo de documento, tipo de manejador de eventos, tipo MIME y datos de solicitud de la cabecera. WebSEAL tambin utiliza listas para la gestin del contenido en diversas reas, que incluyen el seguimiento de los tipos de CGI, la generacin de listas de iconos para ndices, la definicin y el tamao de las cachs de contenido, la definicin de tipos MIME y el listado de codificaciones de contenido. Ejemplos de stanzas que utilizan listas son [filter-url], [filter-events] y [content-mime-types]. Existen stanzas adicionales que dan soporte a las listas. Consulte las descripciones de stanzas de este captulo para obtener la informacin completa.
Nombres de archivo
Algunos valores son nombres de archivo. En cada entrada de stanza en la que se espera un nombre de archivo como valor, la descripcin de la entrada de stanza especifica cul de las construcciones siguientes son vlidas: v Nombre de archivo No se incluye la ruta de acceso del directorio. v Nombre de archivo relativo Se permite una ruta de acceso del directorio, pero no es obligatoria. Normalmente, se espera que estos archivos sean relativos a la ubicacin de un directorio de WebSEAL estndar, como server-root o el directorio raz de documentos, doc-root, de WebSEAL. La entrada de stanza para cada relativo lista el directorio raz al cual el nombre de archivo es relativo. v Ruta de acceso completa (absoluta) Se requiere una ruta de acceso absoluta del directorio. Nota: Algunas entradas de stanza permiten ms de una de las opciones anteriores. El juego de caracteres permitidos en un nombre de archivo est determinado por el sistema de archivos y por el conjunto de cdigos local. WebSEAL no impone limitaciones adicionales sobre el juego de caracteres permitidos en un nombre de
418
archivo. En Windows, los nombres de archivo no pueden contener estos caracteres: una barra inclinada invertida (\), dos puntos (:), un signo de interrogacin (?)o comillas dobles ().
Enteros
En muchas entradas de stanza, se espera que el valor de la entrada est expresado como un entero. v Las entradas de stanza que aceptan un entero esperan valores enteros dentro de unos lmites vlidos. Los lmites se describen en trminos de un valor mnimo y un valor mximo. Por ejemplo, en la stanza [logging], la entrada de stanza logflush puede tener un valor mnimo de 1 segundo y un valor mximo de 600 segundos. v En algunas entradas, el valor entero debe ser positivo y el valor mnimo es 1. En otras entradas, se permite un valor entero mnimo de 0. Tenga precaucin al establecer un valor entero en 0. En algunas entradas, un valor entero de 0 inhabilita la caracterstica controlada por la entrada de stanza. Por ejemplo, en la stanza [junction], la entrada max-webseal-header-size limita el tamao mximo, en bytes, de las cabeceras HTTP generadas por el servidor WebSEAL. Un valor de cero (0) inhabilita el soporte para limitar el tamao de la cabecera. v En algunas entradas que requieren valores enteros, WebSEAL no impone un lmite superior sobre el nmero mximo permitido. Por ejemplo, normalmente no hay un valor mximo para los valores relacionados con el tiempo de espera, como client-connect-timeout en la stanza [server]. Para este tipo de entrada, el nmero mximo slo est limitado por el tamao de la memoria asignada para un tipo de datos entero. Este nmero puede variar en funcin del tipo de sistema operativo. En los sistemas que asignan 4 bytes para un entero, este valor es 2147483647. Sin embargo, un administrador no debera establecer valores enteros del tamao mximo de la memoria asignada. En su lugar, deberan determinar valores lgicos para cada valor en funcin de la caracterstica que se est configurando.
Valores booleanos
Muchas entradas de stanza representan un valor booleano. WebSEAL reconoce los valores booleanos yes y no. Algunas de las entradas de webseald.conf son ledas por otros servidores y utilidades. Por ejemplo, muchas entradas de la stanza [ldap] son ledas por el cliente de LDAP. Algunos de estos programas reconocen caracteres booleanos adicionales: v yes o true v no o false Las entradas booleanas reconocidas se muestran en una lista en cada entrada de stanza. Consulte las descripciones individuales para determinar cundo se reconocen otros valores, como true o false.
Cambio de los valores de configuracin

Para cambiar un valor de configuracin, efecte lo siguiente: 1. Realice una copia de seguridad del archivo de configuracin que desea modificar.
419
Esto le permite restaurar el archivo de configuracin a un estado de funcionamiento correcto, en caso de producirse un error posteriormente. 2. Detenga el servidor WebSEAL. 3. Realice los cambios utilizando un editor de texto ASCII para editar el archivo de configuracin (webseald.conf). Guarde los cambios. 4. Reinicie el servidor WebSEAL.
420
Organizacin de las stanzas

El resto de este apndice contiene las siguientes secciones y stanzas:
Seccin Configuracin del servidor en la pgina 423 Registro de usuarios en la pgina 432 LDAP en la pgina 432 Active Directory en la pgina 439 IBM Lotus Domino en la pgina 442 Secure Socket Layer en la pgina 445 Autenticacin en la pgina 454 Mtodos de autenticacin en la pgina 455 [ba] [forms] [spnego] [token] [certificate] [http-headers] [auth-headers] [ipaddr] [authentication-levels] [step-up] [mpa] [authentication-mechanisms] [reauthentication] [ldap] [uraf-ad] [uraf-domino] [ssl] Stanzas [server] [process-root-filter]
Bibliotecas de autenticacin en la pgina 461 Reautenticacin en la pgina 466
Migracin tras error de autenticacin en [failover] la pgina 467 [failover-attributes] [failover-add-attributes] [failover-restore-attributes] Inicio de sesin nico entre dominios (CDSSO) en la pgina 472 Inicio de sesin nico de e-community en la pgina 475 Calidad de proteccin en la pgina 480 [cdsso] [cdsso-peers] [e-community-sso] [e-community-domain-keys] [ssl-qop] [ssl-qop-mgmt-hosts] [ssl-qop-mgmt-networks] [ssl-qop-mgmt-default] [session]
Sesin en la pgina 482 Contenido en la pgina 485
421
Gestin de contenido en la pgina 486 Gestin de cuentas en la pgina 488
[content] [acnt-mgt]
Redireccin automtica en la pgina 492 [content] [enable-redirects] CGI local en la pgina 493 [cgi] [cgi-types] [cgi-environment-variables] [content-index-icons] [icons] [content-cache] [content-mime-types] [content-encodings]
Iconos en la pgina 495 Almacenamiento en cach de contenido en la pgina 497 Tipos de contenido MIME en la pgina 499 Codificacin de contenido en la pgina 500 Uniones en la pgina 501 Gestin de conexiones en la pgina 502 Filtrado de documentos en la pgina 506 Filtrado de manejadores de eventos en la pgina 507 Filtrado de esquemas en la pgina 509 Filtrado de tipos MIME y cabeceras en la pgina 510 Filtrado de scripts en la pgina 511
[junction] [filter-url] [filter-events] [filter-schemes] [filter-content-types] [filter-request-headers] [script-filtering] [preserve-cookie-names]
Renovacin de credenciales en la pgina [credential-refresh-attributes] 513 Nombres de cabecera en la pgina 513 Cach de Global Sign-On en la pgina 514 [header-names] [gso-cache]
Cach de LTPA (Lightweight Third Party [ltpa-cache] Authentication) en la pgina 516 Registro en la pgina 518 Auditora en la pgina 521 Base de datos de polticas en la pgina 524 Servicios de titularidad en la pgina 526 Policy Server en la pgina 527 [logging] [aznapi-configuration] [aznapi-configuration] [aznapi-entitlements-services] [policy-director] [manager]
422
Configuracin del servidor

v [server] v [process-root-filter]
Stanza [server] unix-user = nombre_usuario Cuenta de usuario de UNIX para el servidor WebSEAL. Debe ser un nombre de usuario de UNIX vlido. Una cuenta de usuario de UNIX y un grupo de UNIX pueden tener el mismo nombre. La validez del nombre de usuario especificado depende de los requisitos de la plataforma UNIX. Los espacios del principio y del final se eliminan. Esta entrada de stanza es obligatoria. Valor predeterminado: ivmgr Ejemplo: unix-user = ivmgr unix-group = nombre_grupo Cuenta de grupo de UNIX para el servidor WebSEAL. Debe ser un nombre de grupo de UNIX vlido. Una cuenta de usuario de UNIX y un grupo de UNIX pueden tener el mismo nombre. La validez del nombre de grupo especificado depende de los requisitos de la plataforma UNIX. Los espacios del principio y del final se eliminan. Esta entrada de stanza es obligatoria. Valor predeterminado: ivmgr Ejemplo: unix-group = ivmgr unix-pid-file = ruta_acceso_completa Ubicacin y nombre de un archivo en el que WebSEAL colocar si ID de proceso (PID). Se aplica a sistemas UNIX y Windows. Este valor se establece automticamente durante la configuracin de WebSEAL. Normalmente, no es necesario cambiar este nombre de archivo. Esta entrada de stanza es obligatoria. Ejemplo: unix-pid-file = C:/Archivos de programa/Tivoli/PDWeb/log/webseald.pid server-root = ruta_acceso_completa Directorio raz del servidor WebSEAL. Este valor se establece durante la configuracin de WebSEAL. Esta entrada de stanza es obligatoria. El valor predeterminado depende del sistema operativo: v Windows C:/Archivos de programa/Tivoli/PDWeb/www-nombre_instancia v UNIX /opt/pdweb/www-nombre_instancia Ejemplo: server-root = /opt/pdweb/www server-name = nombre_instancia_servidor_WebSEAL
423
El nombre de instancia de servidor WebSEAL. Este valor lo establece el administrador durante la configuracin de WebSEAL. Los nombres de instancia de WebSEAL deben ser alfanumricos. El nmero mximo de caracteres permitidos es 20. Esta entrada de stanza es obligatoria. Ejemplo del primer servidor WebSEAL con el nombre de instancia predeterminado aceptado, en un host denominado diamond: server-name = diamond-default Ejemplo de instancia de servidor WebSEAL, especificado como web2, en un host denominado diamond: server-name = diamond-web2 Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado. Ejemplo: server-name = diamond worker-threads = nmero_threads Nmero de threads de trabajo de WebSEAL. El valor mnimo permitido es 1. El nmero mximo de threads depende del nmero de descriptores de archivo establecido en WebSEAL durante la compilacin. Tenga en cuenta que este nmero vara en funcin del sistema operativo. Si el valor se establece en un nmero mayor que el lmite determinado por WebSEAL, WebSEAL reduce el valor al lmite aceptable y muestra un mensaje de aviso. Esta entrada de stanza es obligatoria. Valor predeterminado: 50 Ejemplo: worker-threads = 50 Consulte tambin la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. client-connect-timeout = nmero_segundos Tiempo de espera de conexin inicial del cliente, en segundos. Debe ser un entero positivo. Otros valores pueden provocar resultados imprevisibles y no debe utilizarse. Valor mximo permitido: 2147483647. Esta entrada de stanza es obligatoria. Valor predeterminado: 120 Ejemplo: client-connect-timeout = 120 persistent-con-timeout = nmero_segundos
424
Tiempo de espera de conexin HTTP/1.1, en segundos. Debe ser un entero positivo. Otros valores pueden provocar resultados imprevisibles y no debe utilizarse. Valor mximo permitido: 2147483647. Este valor afecta a les conexiones con los clientes, no con los servidores de fondo. Esta entrada de stanza es obligatoria. Valor predeterminado: 5 Ejemplo: persistent-con-timeout = 5 chunk-responses = {yes|no} Permite a WebSEAL escribir datos fragmentados en clientes HTTP/1.1. Esto puede mejorar el rendimiento, ya que permite reutilizar las conexiones aun cuando no se conozca la longitud exacta de la respuesta antes de escribirla. Esta entrada de stanza es obligatoria. El valor predeterminado es yes. Ejemplo: chunk-responses = yes https = {yes|no} Especifica si el servidor WebSEAL aceptar las solicitudes HTTPS. Es un valor booleano. Los valores vlidos son yes o no. Este valor lo establece el administrador durante la configuracin del servidor WebSEAL. Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado. Ejemplo: https = yes https-port = nmero_puerto Puerto en el que WebSEAL realiza la escucha de las solicitudes HTTPS. Este valor se establece durante la configuracin de WebSEAL. Si el puerto predeterminado ya est en uso, la configuracin de WebSEAL sugiere el siguiente nmero de puerto disponible (no utilizado). El administrador puede modificar este nmero. Los valores vlidos incluyen cualquier nmero de puerto que no est en uso en el host. Esta entrada de stanza es obligatoria. Valor predeterminado: 443 Ejemplo: https-port = 443 http = {yes|no} Especifica si el servidor WebSEAL aceptar las solicitudes HTTP. Los valores vlidos son yes o no. Este valor lo establece el administrador durante la configuracin del servidor WebSEAL. Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado. Ejemplo: http = yes http-port = nmero_puerto
425
Puerto en el que WebSEAL realiza la escucha de las solicitudes HTTPS. Este valor se establece durante la configuracin de WebSEAL. Si el puerto HTTP predeterminado ya est en uso, la configuracin de WebSEAL sugiere el siguiente nmero de puerto disponible (no utilizado). El administrador puede modificar este nmero. Los valores vlidos incluyen cualquier nmero de puerto que no est en uso en el host. Esta entrada de stanza es obligatoria. Valor predeterminado: 80 Ejemplo: http-port = 80 max-client-read = nmero_bytes Especifica el nmero mximo de bytes que WebSEAL mantendr en los bferes internos durante la lectura de datos de un cliente. Este parmetro afecta al tamao mximo de las direcciones URL, de las cabeceras HTTP y al tamao de una solicitud que se almacenar en la cach. Este parmetro debe establecerse como mnimo en el doble del valor del parmetro request-body-max-read. Nmero mnimo de bytes: 32678. Si el valor se establece en un nmero inferior a 32768, el valor se omite y se utiliza el valor 32768. No existe ningn valor mximo. Esta entrada de stanza es obligatoria. Valor predeterminado: 32768 Ejemplo: max-client-read = 32768 request-body-max-read = nmero_bytes Nmero mximo de bytes que se pueden leer como contenido en el cuerpo de las solicitudes POST. Se utiliza para dynurl, autenticacin y almacenamiento en cach de solicitudes. Nmero mnimo de bytes: 512. Nmero mximo de bytes: 32768. No obstante, el nmero mximo puede aumentarse incrementando el valor de max-client-read. Consulte el apartado Configuracin de parmetros del almacenamiento en la cach del servidor en la pgina 223. Esta entrada de stanza es obligatoria. Valor predeterminado: 4096 Ejemplo: request-body-max-read = 4096 request-max-cache = nmero_bytes Cantidad mxima de datos que se pueden almacenar en cach. Se utiliza para almacenar en cach los datos de solicitudes cuando se le solicita a un usuario que se autentique antes de que poder realizar una solicitud. Este valor debe ser un entero positivo. Si se establece en cero (0), el inicio de sesin del usuario es correcto, pero la solicitud falla porque WebSEAL no puede almacenar en cach los datos de la solicitud. No existe ningn valor mximo. Esta entrada de stanza es obligatoria. Valor predeterminado: 8192 Ejemplo: request-max-cache = 8192 Consulte tambin el apartado Configuracin de parmetros del almacenamiento en la cach del servidor en la pgina 223. dynurl-map = nombre_ruta_acceso_relativa
426
Ubicacin del archivo que contiene las correlaciones de direcciones URL con objetos protegidos. La ruta de acceso es relativa al valor de la clave server-root de la stanza [server]. El administrador puede especificar un nombre de archivo y una ubicacin de directorio alternativos. El nombre de archivo puede ser cualquier nombre de archivo que sea vlido en el sistema de archivos del sistema operativo. En sistemas Windows, la ruta de acceso del directorio permite tanto la barra inclinada (/) como la barra inclinada invertida (\). Esta entrada de stanza es opcional. Valor predeterminado: Ninguno, pero normalmente est configurado como lib/dynurl.conf Ejemplo: dynurl-map = lib/dynurl.conf dynurl-allow-large-posts = {yes|no} Permite o deniega las solicitudes POST mayores que el valor actual de la entrada de stanza request-body-max-read de la stanza [server]. Cuando se establece en no, WebSEAL no permite las solicitudes POST que tengan un cuerpo mayor que el valor especificado en request-body-maxread. Cuando se establece en yes, WebSEAL compara nicamente los bytes especificados en request-body-max-read de la solicitud POST con las correlaciones de direcciones URL contenidas en el archivo de configuracin dynurl (dynurl.conf). Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: dynurl-allow-large-posts = no decode-query = {yes|no} Si decode-query se establece en yes, WebSEAL valida la cadena de consulta en las solicitudes de acuerdo con el parmetro utf8-qstring-supportenabled. De lo contrario, WebSEAL no valida la cadena de consulta. Cuando decode-query se establece en no, debe inhabilitarse dynurl. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: decode-query = yes utf8-url-support-enabled = {yes|no|auto}
427
Habilita o inhabilita el soporte para caracteres con codificacin UTF-8 en las direcciones URL. Los valores vlidos son los siguientes: v yes WebSEAL slo reconoce la codificacin UTF-8 en las direcciones URL y los datos se utilizan sin modificacin. v no WebSEAL no reconoce la codificacin UTF-8 en las direcciones URL. Se utiliza solamente para la pgina de cdigos local. v auto Si se establece en auto, WebSEAL intenta distinguir entre UTF-8 y otras formas de codificacin de caracteres de idioma. Cuando la codificacin no se reconoce como UTF-8, WebSEAL procesa la codificacin como no UTF-8. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: utf8-url-support-enabled = yes Consulte tambin el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48. utf8-form-support-enabled = {yes|no|auto} Habilita o inhabilita el soporte para caracteres de codificacin UTF-8 en datos ledos de formularios, como los nombres de usuario durante un inicio de sesin. Los valores vlidos son los siguientes: v yes WebSEAL slo reconoce la codificacin UTF-8 en formularios y los datos se utilizan sin modificaciones. v no WebSEAL no reconoce la codificacin UTF-8 en los formularios. Se utiliza solamente para la pgina de cdigos local. v auto Si se establece en auto, WebSEAL intenta distinguir entre UTF-8 y otras formas de codificacin de caracteres de idioma. Cuando la codificacin no se reconoce como UTF-8, WebSEAL procesa la codificacin como no UTF-8. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: utf8-url-support-enabled = yes Consulte tambin el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48. utf8-qstring-support-enabled = {yes|no|auto}
428
Habilita o inhabilita el soporte para los caracteres con codificacin UTF-8 en los datos de las cadenas de consulta ledos de las solicitudes de cliente. Los valores vlidos son los siguientes: v yes WebSEAL slo reconoce la codificacin UTF-8 en las cadenas y los datos se utilizan sin modificacin. v no WebSEAL no reconoce la codificacin UTF-8 en las cadenas. Se utiliza solamente para la pgina de cdigos local. v auto Si se establece en auto, WebSEAL intenta distinguir entre UTF-8 y otras formas de codificacin de caracteres de idioma. Cuando la codificacin no se reconoce como UTF-8, WebSEAL procesa la cadena como no UTF-8. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: utf8-qstring-support-enabled = no Consulte tambin el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48. double-byte-encoding = {yes|no} Especifica si WebSEAL debe presuponer que los caracteres codificados dentro de las direcciones URL siempre estn codificados en Unicode y no contienen caracteres UTF-8. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: double-byte-encoding = no suppress-server-identity = {yes|no} Suprime la identidad del servidor WebSEAL de las respuestas HTTP. Normalmente, estas respuestas incluyen la lnea: Server: WebSEAL/nmero_versin Al establecer este valor en yes, se suprime la lnea anterior de la respuesta del servidor. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: suppress-server-identity = no pre-410compatible-tokens = {yes|no}
429
WebSEAL da soporte a un mtodo comn para generar seales para el inicio de sesin nico entre dominios, la migracin tras error y el inicio de sesin nico de e-community. La seguridad de estas seales se ha aumentado en la versin 4.1. Este aumento no es compatible con versiones anteriores de WebSEAL. Cuando el despliegue de Tivoli Access Manager incluye mltiples servidores WebSEAL y algunos de los servidores WebSEAL son de la Versin 3.9 o anterior, establezca este valor en yes. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: pre-410compatible-tokens = no pre-510compatible-tokens = {yes|no} WebSEAL da soporte a un mtodo comn para generar seales para el inicio de sesin nico entre dominios, la migracin tras error y el inicio de sesin nico de e-community. El formato de estas seales ha cambiado para la versin 5.1. Este cambio no es compatible con versiones anteriores de WebSEAL. Cuando el despliegue de Tivoli Access Manager incluye varios servidores WebSEAL y algunos de los servidores WebSEAL son de la versin 4.1 o de una versin anterior, establezca este valor en yes. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: pre-510compatible-tokens = no preserve-base-href = {yes|no} Especifica si WebSEAL eliminar todos los indicadores BASE HREF de los documentos HTML filtrados y agregar el identificador base como prefijo en los vnculos filtrados. Cuando se establece en no, WebSEAL elimina los indicadores BASE HREF. Cuando se establece en yes, WebSEAL filtra el indicador BASE HREF. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: preserve-base-href = no http-method-trace-enabled = {yes|no} Especifica si WebSEAL bloquea el mtodo TRACE para todas las solicitudes HTTP para los recursos locales. Este mtodo est bloqueado de forma predeterminada. Para habilitar solicitudes de mtodo TRACE para recursos locales, establezca el valor en yes. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se especifica esta entrada, WebSEAL bloquea el mtodo TRACE. Ejemplo: http-method-trace-enabled = yes http-method-trace-enabled-remote = {yes|no}
430
Especifica si WebSEAL bloquea el mtodo TRACE para todas las solicitudes HTTP para recursos con unin. Este mtodo est bloqueado de forma predeterminada. Para habilitar las solicitudes de mtodo TRACE para los recursos con unin, establezca el valor en yes. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: http-method-trace-enabled-remote = yes process-root-requests = {never|always|filter} Especifica cmo responde WebSEAL a las solicitudes para recursos localizados en la unin raz (/). Los valores vlidos son: v never Las solicitudes para conexiones raz nunca se procesan en la unin raz. v always Las solicitudes para la unin raz siempre se intentan procesar primero en la unin raz antes de intentar utilizar un mecanismo de correlacin de conexiones. v filter Se examinan todas las solicitudes para la unin raz para determinar si empiezan por los patrones especificados en la stanza [process-root-filter]. Esta entrada de stanza es obligatoria. Valor predeterminado: always Ejemplo: process-root-requests = always Consulte tambin: v Proceso de solicitudes de unin raz en la pgina 326
Stanza process-root-filter root = patrn Esta stanza slo se utiliza cuando process-root-requests = filter. Los valores para el patrn deben ser patrones comodn estndar de WebSEAL. Las entradas de esta stanza son opcionales. Entradas predeterminadas: root = /index.html root = /cgi-bin*
431
Registro de usuarios
Este apartado contiene los siguientes temas y stanzas:
Seccin LDAP Active Directory en la pgina 439 IBM Lotus Domino en la pgina 442 Stanzas [ldap] [uraf-ad] [uraf-domino]
LDAP
Stanza [ldap] ldap-server-config = ruta_acceso_completa Ubicacin del archivo de configuracin ldap.conf, representado como una ruta de acceso completa. El valor de ruta_acceso_completa debe ser una cadena alfanumrica. Esta entrada de stanza es obligatoria. El valor predeterminado depende del tipo de sistema operativo. Ejemplo para UNIX: ldap-server-config = /opt/PolicyDirector/etc/ldap.conf enabled = {yes|true|no|false} Indica si debe utilizarse LDAP como registro de usuarios. Los valores vlidos son: yes|true Habilita el soporte para el registro de usuarios de LDAP. no|false Inhabilita el soporte para el registro de usuarios de LDAP. Cualquier otro valor distinto de yes|true, incluido un valor en blanco, se interpreta como no|false. Esta entrada de stanza es obligatoria cuando se utiliza LDAP como registro de usuarios. El valor predeterminado para una instalacin de WebSEAL se determina a partir de la configuracin de Tivoli Access Manager Runtime. El componente Tivoli Access Manager Runtime es un requisito previo para WebSEAL. Ejemplo: enabled = yes host = nombre_host
432
Nombre de host del servidor LDAP. La utilidad de configuracin de WebSEAL obtiene el valor de nombre_host del archivo pd.conf. El archivo pd.conf se crea cuando se configura el componente Tivoli Access Manager Runtime en la mquina. El componente Tivoli Access Manager Runtime es un requisito previo para WebSEAL. Los valores vlidos para nombre_host incluyen cualquier nombre de host de IP vlido. El valor de nombre_host no tiene que ser un nombre de dominio completo. Esta entrada de stanza es obligatoria. El valor predeterminado es el valor especificado por el administrador durante la configuracin del componente Tivoli Access Manager Runtime. Ejemplos: host = surf host = surf.santacruz.ibm.com port = nmero_puerto Nmero del puerto TCP/IP utilizado para la comunicacin con el servidor LDAP. Tenga en cuenta que no es para la comunicacin SSL. Un nmero de puerto vlido es cualquier entero positivo permitido por TCP/IP y que ninguna otra aplicacin est utilizando actualmente. Esta entrada de stanza es obligatoria cuando LDAP est habilitado. Valor predeterminado: 389 Ejemplo: port = 389 bind-dn = DN_LDAP El nombre distinguido (DN) del usuario de LDAP que se utiliza al enlazar con el servidor LDAP (o iniciar la sesin en l). ste es el nombre que representa el daemon del servidor WebSEAL. Esta entrada de stanza es obligatoria cuando LDAP est habilitado. El valor predeterminado se construye mediante la combinacin del nombre de daemon webseald y el nombre_host especificado por el administrador durante la configuracin del componente Tivoli Access Manager Runtime. Ejemplo: bind-dn = cn=webseald/surf,cn=SecurityDaemons,secAuthority=Default Consulte tambin la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. bind-pwd = contrasea_LDAP Contrasea del nombre distinguido del usuario de LDAP declarado en la entrada de stanza bind-dn. Esta entrada de stanza es obligatoria cuando LDAP est habilitado. El valor predeterminado de esta entrada de stanza se establece durante la configuracin de WebSEAL. La configuracin de WebSEAL lee el valor de contrasea_LDAP especificado por el administrador durante la configuracin del componente Tivoli Access Manager Runtime. Este valor se lee del archivo de configuracin de Tivoli Access Manager, pd.conf. Ejemplo: bind-pwd = zs77WVoLSZn1rKrL
433
cache-enabled = {yes|true|no|false} Habilita o inhabilita el almacenamiento en cach del cliente de LDAP. El almacenamiento en cach se utiliza para aumentar el rendimiento en consultas LDAP similares. Los valores vlidos son: yes|true Habilita el almacenamiento en cach del cliente de LDAP. no|false Inhabilita el almacenamiento en cach del cliente de LDAP. Cualquier otro valor distinto de yes|true, incluido un valor en blanco, se interpreta como no|false. Esta entrada de stanza es opcional. Valor predeterminado: disabled. Cuando no se especifica ningn valor (el valor est vaco), se inhabilita el almacenamiento en cach del cliente. Ejemplo: cache-enabled = yes Consulte tambin la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. cache-user-size = nmero Especifica el nmero de entradas de la cach de usuarios LDAP. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, el valor predeterminado que se utiliza es 256. Ejemplo: cache-user-size = 256 cache-group-size = nmero Especifica el nmero de entradas de la cach de grupos LDAP. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, el valor predeterminado que se utiliza es 64. Ejemplo: cache-group-size = 64 cache-policy-size = nmero Especifica el nmero de entradas de la cach de polticas LDAP. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, el valor predeterminado que se utiliza es 20. Ejemplo: cache-policy-size = 20 cache-user-expire-time = nmero_segundos
434
Especifica el tiempo que debe transcurrir antes de descartar una entrada de usuario de la cach. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, el valor predeterminado que se utiliza es 30 segundos. Ejemplo: cache-user-expire-time = 30 cache-group-expire-time = nmero_segundos Especifica el tiempo que debe transcurrir antes de descartar una entrada de grupo de la cach. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, el valor predeterminado que se utiliza es 300 segundos. Ejemplo: cache-group-expire-time = 300 cache-policy-expire-time = nmero_segundos Especifica el tiempo que debe transcurrir antes de descargar una entrada de poltica de la cach. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, el valor predeterminado que se utiliza es 30 segundos. Ejemplo: cache-policy-expire-time = 30 cache-group-membership = {yes|no} Indica si la informacin de pertenencia a grupos debe almacenarse en la cach. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, la informacin de grupo se almacena en la cach. Ejemplo: cache-group-membership = yes cache-use-user-cache = {yes|no} Indica si debe utilizarse o no la informacin de la cach de usuarios. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, se utiliza la informacin de la cach de usuarios. Ejemplo: cache-use-user-cache = yes prefer-readwrite-server = {yes|true|no|false}
435
Permite o no al cliente preguntar al servidor LDAP de Lectura/escritura antes de consultar a cualquiera de los servidores replicados de Slo lectura configurados en el dominio. Los valores vlidos son: yes|true Habilita la opcin. no|false Inhabilita la opcin. Cualquier otro valor distinto de yes|true, incluido un valor en blanco, se interpreta como no|false. Esta entrada de stanza es opcional. Si no se especifica este valor, la opcin prefer-readwrite-server se inhabilita. Ejemplo: prefer-readwrite-server = no ssl-enabled = {yes|true|no|false} Habilita o inhabilita la comunicacin SSL entre WebSEAL y el servidor LDAP. Los valores vlidos son: yes|true Habilita la comunicacin SSL. no|false Inhabilita la comunicacin SSL. Esta entrada de stanza es opcional. La comunicacin SSL est inhabilitada de forma predeterminada. Durante la configuracin del servidor WebSEAL, el administrador de WebSEAL puede elegir si desea habilitar esta opcin. Ejemplo: ssl-enabled = yes ssl-keyfile = ruta_acceso_completa Nombre y ubicacin del archivo de claves SSL. El archivo de claves SSL gestiona los certificados que se utilizan en la comunicacin de LDAP. El nombre de archivo debe ser una ruta de acceso completa. El nombre de archivo puede ser una eleccin arbitraria, pero la extensin normalmente es .kdb. Esta entrada de stanza es obligatoria cuando se ha habilitado la comunicacin SSL, tal como se especifica en la entrada de stanza ssl-enabled. El administrador de WebSEAL especifica este nombre de archivo durante la configuracin de WebSEAL. Ejemplo para UNIX: ssl-keyfile = /var/pdweb/keytabs/webseald.kdb Ejemplo para Windows: ssl-keyfile = c:\keytabs\pd_ldapkey.kdb Para obtener ms informacin sobre la gestin de los archivos de claves SSL, consulte el apartado Gestin de certificados de cliente y servidor en la pgina 254. ssl-keyfile-label = etiqueta_clave
436
Cadena que especifica la etiqueta de clave del certificado personal de cliente dentro del archivo de claves SSL. Esta etiqueta de clave se utiliza para identificar el certificado de cliente que se presenta al servidor LDAP. Esta entrada de stanza es opcional. No se requiere una etiqueta cuando se ha identificado uno de los certificados del archivo de claves como el certificado predeterminado. La decisin de identificar un certificado como predeterminado la realiza el administrador de LDAP previamente al configurar el servidor LDAP. La utilidad de configuracin de WebSEAL solicita al administrador de WebSEAL que proporcione una etiqueta. Si el administrador sabe que el certificado contenido en el archivo de claves es el certificado predeterminado, no tiene que especificar ninguna etiqueta. Ejemplo: ssl-keyfile-dn = "PD_LDAP" ssl-keyfile-pwd = contrasea Contrasea para acceder al archivo de claves SSL. La contrasea asociada al archivo de claves SSL predeterminado es gsk4ikm Esta entrada slo es obligatoria cuando se ha habilitado la comunicacin SSL entre WebSEAL y LDAP, tal como se especifica en la entrada de stanza ssl-enabled. El administrador de WebSEAL especifica esta contrasea durante la configuracin de WebSEAL. Ejemplo: ssl-keyfile-pwd = gsk4ikm auth-using-compare = {yes|true|no|false} Habilita o inhabilita la autenticacin a travs de la comparacin de contraseas. Cuando se inhabilita, la autenticacin se realiza mediante el enlace de LDAP. Para los servidores LDAP que lo permiten, es posible que una operacin de comparacin se realice ms rpidamente que una operacin de enlace. Los valores vlidos son: yes|true Se utiliza una operacin de comparacin de contraseas para autenticar los usuarios de LDAP. no|false Se utiliza una operacin de enlace para autenticar los usuarios de LDAP. Esta entrada de stanza es opcional. El valor predeterminado, cuando se ha habilitado LDAP, es yes. Ejemplo: auth-using-compare = yes Consulte tambin la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. default-policy-override-support = {yes|true|no|false}
437
Indica si la poltica predeterminada debe prevalecer sobre la poltica de nivel de usuario durante las bsquedas de LDAP. Cuando esta entrada de stanza se establece en yes, slo se comprueba la poltica predeterminada. Los valores vlidos son: yes|true Se inhabilita el soporte para la poltica de usuario y slo se comprueba la poltica global (predeterminada). Esta opcin permite omitir la poltica de usuario, incluso cuando se ha especificado una. no|false Se habilita el soporte para la poltica de usuario. Si el administrador ha especificado una poltica de usuario, prevalece sobre la poltica global. Esta entrada de stanza es opcional. De forma predeterminada, el valor no se especifica durante la configuracin WebSEAL. Si no especifica ningn valor, el comportamiento predeterminado es habilitar el soporte para la poltica de usuario. Esto es equivalente a establecer esta entrada de stanza en no. Ejemplo: default-policy-override-support = yes user-and-group-in-same-suffix = {yes|true|no|false} Indica si los grupos de los cuales el usuario es miembro deben definirse en el mismo sufijo de LDAP que la definicin de usuario. Cuando se autentica un usuario, deben determinarse los grupos de los cuales es miembro para generar una credencial. Normalmente, se buscan todos los sufijos de LDAP para localizar los grupos de los cuales el usuario es miembro. Los valores vlidos son: yes|true Se presupone que los grupos estn definidos en el mismo sufijo de LDAP que la definicin de usuario. Slo se busca ese sufijo para conocer la pertenencia a grupos. Este comportamiento puede mejorar el rendimiento de las bsquedas de grupos porque slo se busca un nico sufijo para conocer la pertenencia a grupos. Esta opcin slo debera especificarse si las definiciones de grupo estn restringidas al mismo sufijo que la definicin de usuario. no|false Los grupos pueden estar definidos en cualquier sufijo de LDAP. Esta entrada de stanza es opcional. Este valor no se especifica de forma predeterminada durante la configuracin de WebSEAL. Si no se especifica este valor, el valor predeterminado es no. Ejemplo: user-and-group-in-same-suffix = yes Consulte tambin la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide.
438
Active Directory
Stanza [uraf-ad] ad-server-config = ruta_acceso_completa Ubicacin y nombre de archivo del archivo de configuracin activedir.conf del registro de Active Directory. Este valor se genera, pero puede cambiarse. El valor de ruta_acceso_completa representa una cadena alfanumrica no sensible a maysculas y minsculas. La longitud mxima de la cadena para el registro de usuarios de Active Directory es de 256 caracteres alfanumricos. Esta entrada de stanza es obligatoria si el registro de usuarios es Microsoft Active Directory y slo se requiere para los archivos de configuracin que no sean activedir.conf. Valor predeterminado para UNIX: /opt/PolicyDirector/etc/activedir.conf Valor predeterminado para Windows: c:\Archivos de programa\tivoli\Policy Director\etc\activedir.conf Ejemplo para UNIX: ad-server-config = /opt/PolicyDirector/etc/activedir.conf enabled = {yes|no} Indica si se est utilizando Active Directory como registro de usuarios. Valores vlidos: yes Indica que el registro de usuarios es Active Directory. no Indica que el registro de usuarios no es Active Directory. Cualquier otro valor distinto de yes, incluido un valor en blanco, se interpreta como no. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. Valor predeterminado: no Ejemplo: enabled = yes multi-domain = {true|false} Indica si el dominio es una configuracin de dominio nico o de mltiples dominios. Este valor se selecciona durante la configuracin de Tivoli Access Manager Runtime. El valor se rellena automticamente, en funcin de la informacin proporcionada durante la configuracin de Runtime. Valores vlidos: true Para dominios mltiples de Active Directory. false Para un dominio nico de Active Directory. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. No existe ningn valor predeterminado. Ejemplo: multi-domain = true hostname = nombre_host
439
Nombre de host del sistema de nombres de dominio (DNS) de Active Directory. El valor se rellena automticamente, en funcin de la informacin proporcionada durante la configuracin de Runtime. El valor de nombre_host es una cadena alfanumrica no sensible a maysculas y minsculas. El punto (.) no puede ser el ltimo carcter del nombre de host. La longitud mxima de la cadena para el registro de usuarios de Active Directory es de 256 caracteres alfanumricos. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. No existe ningn valor predeterminado. Ejemplo: hostname = adserver.tivoli.com domain = nombre_dominio_raz Dominio raz (primario) de Active Directory. El valor se rellena automticamente, en funcin de la informacin proporcionada durante la configuracin de Runtime. El valor de nombre_dominio_raz es una cadena alfanumrica no sensible a maysculas y minsculas. La longitud mxima del nombre de dominio depende del registro de usuarios. Para Active Directory, la longitud mxima es de 256 caracteres alfanumricos. Esta entrada de stanza es obligatoria cuando multi-domain = true. No existe ningn comportamiento predeterminado. Ejemplo: domain = dc=tivoli,dc=com useEncryption = {true|false} Indica si se debe utilizar la comunicacin cifrada con Active Directory. Este valor se rellena automticamente, en funcin de la informacin proporcionada durante la configuracin de Runtime. Valores vlidos: true Habilita la comunicacin cifrada. false Inhabilita la comunicacin cifrada. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. No existe ningn comportamiento predeterminado. Ejemplo: useEncryption = false bind-id = ID_AD
440
Administrador de Active Directory o identidad de inicio de sesin del usuario que se utiliza para enlazar con el servidor de registro (o iniciar la sesin en l). Si el ID pertenece a un usuario en lugar de un administrador, el usuario de Active Directory debe tener privilegios suficientes para actualizar y modificar datos en el registro de usuarios. El valor de ID_AD es una cadena alfanumrica no sensible a maysculas y minsculas. Las longitudes mnimas y mximas del ID, si existen lmites, son impuestas por el registro subyacente. Para Active Directory, la longitud mxima es de 256 caracteres alfanumricos. Este valor se rellena automticamente, en funcin de la informacin proporcionada durante la configuracin del servidor. Siempre que cambie este valor despus de que la configuracin haya finalizado, es posible que se produzca un conflicto. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. El valor predeterminado se genera; no lo cambie. Ejemplo: bind-id = adpdadmin bind-pwd = contrasea_admin Contrasea de inicio de sesin del administrador codificada que se utiliza para enlazar con el servidor de registro de Active Directory (o iniciar la sesin en l). Se pueden especificar requisitos de contrasea adicionales para Tivoli Access Manager despus de instalar el producto. Sin embargo, la contrasea inicial no tiene que satisfacer necesariamente esos requisitos. El valor de contrasea_admin se rellena automticamente, en funcin de la informacin proporcionada durante la configuracin del servidor. La contrasea es una cadena codificada. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. El valor predeterminado se genera; no lo cambie. Ejemplo: bind-pwd = MyADbindPwd dnforpd = DN_AD Nombre distinguido que Active Directory utiliza para almacenar los datos de Tivoli Access Manager. El valor de DN_AD es una cadena alfanumrica no sensible a maysculas y minsculas. Las longitudes mnimas y mximas del nombre distinguido, si existen lmites, son impuestas por el registro subyacente. Para Active Directory, la longitud mxima es de 256 caracteres alfanumricos. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. El valor predeterminado se genera; no lo cambie. Ejemplo: dnforpd = dc=child2,dc=com
441
IBM Lotus Domino

Stanza [uraf-domino] domino-server-config = ruta_acceso_completa Nombre y ubicacin del archivo de configuracin domino.conf del registro de Lotus Domino. El valor de ruta_acceso_completa representa una cadena alfanumrica. Esta entrada de stanza es obligatoria si el registro de usuarios es Lotus Domino y slo se requiere para los archivos de configuracin que no sean domino.conf. Valor predeterminado para UNIX: /opt/PolicyDirector/etc/domino.conf Valor predeterminado para Windows: c:\Program files\tivoli\Policy Director\etc\domino.conf Ejemplo para Windows: domino-server-config = c:\Archivo de programas\tivoli\Policy Director\etc\domino.conf enabled = {yes|no} Indica si se est utilizando Domino como registro de usuarios. Valores vlidos: yes Indica que el registro de usuarios es Domino. no Indica que el registro de usuarios no es Domino. Cualquier otro valor distinto de yes, incluido un valor en blanco, se interpreta como no. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Lotus Domino. Valor predeterminado: no Ejemplo: enabled = yes server = nombre_servidor Nombre del servidor de Lotus Domino. El valor de nombre_servidor representa una cadena alfanumrica no sensible a maysculas y minsculas. Las longitudes mnimas y mximas del nombre son impuestas por el registro subyacente. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Lotus Domino. No existe ningn valor predeterminado. Ejemplo: server = grizzly/Austin/IBM Donde grizzly es el nombre de host de la mquina servidor de Domino y el resto es el nombre de dominio de Domino. hostname = nombre_host
442
Nombre de host TCP/IP del servidor de Lotus Domino. El valor de nombre_host se especifica manualmente durante la configuracin. El valor de nombre_host debe ser una cadena alfanumrica no sensible a maysculas y minsculas. El formato es el mismo que un nombre de host TCP/IP habitual. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Lotus Domino. No existe ningn valor predeterminado. Ejemplo: hostname = myhost.austin.ibm.com LDAPPort = nmero_puerto Nmero de puerto de LDAP para el servidor de Lotus Domino. El valor de nmero_puerto se especifica manualmente durante la configuracin. Un nmero de puerto vlido es cualquier nmero positivo permitido por TCP/IP y que ninguna otra aplicacin est utilizando actualmente. Esta entrada de stanza es obligatoria. Valor predeterminado: 389 Ejemplo: LDAPPort = 389 UseSSL = {yes|no} Indica si se debe utilizar SSL. Valores vlidos: yes Especifica que desea utilizar SSL. no Especifica que no desea utilizar SSL. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: UseSSL = no keyfile = nombre_archivo Nombre y ubicacin del archivo de claves SSL. Utilice el archivo de claves SSL para gestionar los certificados que se utilizan en la comunicacin de LDAP. El valor de nombre_archivo debe ser una cadena alfanumrica no sensible a maysculas y minsculas que cumpla los convenios de denominacin del sistema de archivos subyacente (Windows). El archivo debe ser existir en la mquina cliente. El tipo de archivo puede ser cualquiera, pero la extensin normalmente es .kdb. Esta entrada de stanza es obligatoria cuando UseSSL = yes. El valor predeterminado depende del servidor. Ejemplo para Windows: keyfile = C:/pd/keytab/ivacld.kdb KeyFile_PW = contrasea Contrasea del archivo de claves SSL. Esta entrada de stanza es obligatoria cuando UseSSL = yes. El valor predeterminado depende del servidor. Ejemplo: KeyFile_PW = mykeyfilepw KeyFile_DN = etiqueta_cert
443
Nombre distinguido (DN) de la clave privada del archivo de claves SSL. El valor de etiqueta_cert es una cadena alfanumrica que representa la etiqueta del certificado personal de cliente dentro del archivo de claves SSL. Esta etiqueta de clave se utiliza para identificar el certificado de cliente que se presenta al servidor de Domino. Esta entrada de stanza es obligatoria cuando UseSSL = yes. No existe ningn valor predeterminado. password = contrasea Contrasea del servidor de Domino que se utiliza para enlazar con el servidor de registro de Domino (o iniciar la sesin en l). La contrasea es una cadena codificada. Esta entrada de stanza es obligatoria cuando enabled = yes. El valor se genera; no lo cambie. Ejemplo: password = myEncryptedSrvrPwd NAB = names.nsf Base de datos de nombres y libro de direcciones (NAB) de Lotus Domino. La base de datos names.nsf se establece durante la configuracin y no puede cambiarse. Esta entrada de stanza es obligatoria cuando enabled = yes. Valor predeterminado: names.nsf Ejemplo: NAB = names.nsf PDM = nombre_archivo_nsf Base de datos de metadatos de Tivoli Access Manager. El valor de nombre_archivo_nsf representa un nombre de archivo de base de datos de Domino. El nombre de archivo debe cumplir los convenios de denominacin del sistema de archivos subyacente del servidor de Domino. La extensin de archivo recomendada es .nsf. Este archivo se crea en el servidor de Domino durante la configuracin. Esta entrada de stanza es obligatoria cuando enabled = yes. Valor predeterminado: PDMdata.nsf Ejemplo: PDM = PDMdata.nsf
444
Secure Socket Layer

Stanza [ssl] webseal-cert-keyfile = ruta_acceso_completa Nombre de ruta de acceso del archivo de claves de certificado de WebSEAL. Se trata del certificado que WebSEAL intercambia al negociar las sesiones SSL. Esta entrada de stanza es obligatoria. Esta ruta de acceso se establece durante la configuracin de WebSEAL. La ruta de acceso est formada por el directorio de instalacin de WebSEAL ms: www-nombre_instancia/certs/pdsrv.kdb. Ejemplo: webseal-cert-keyfile = C:/Archivos de programa/Tivoli/PDWeb/www-web1/certs/pdsrv.kdb Normalmente, el administrador de WebSEAL no modifica esta ruta de acceso despus de la configuracin inicial de WebSEAL. webseal-cert-keyfile-stash = ruta_acceso_completa Nombre del archivo que contiene una versin enmascarada de la contrasea y que se utiliza para proteger las claves privadas del archivo de claves. Esta entrada de stanza es opcional. Esta ruta de acceso se establece durante la configuracin de WebSEAL. La ruta de acceso est formada por el directorio de instalacin de WebSEAL ms: www-nombre_instancia/certs/pdsrv.sth. Ejemplo: webseal-cert-keyfile-stash = C:/Archivos de programa/Tivoli/PDWeb/www-web1/certs/pdsrv.sth webseal-cert-keyfile-pwd = contrasea Contrasea utilizada para proteger las claves privadas del archivo de certificado de WebSEAL. Cuando se le asigna un valor a esta entrada de stanza, se utiliza ese valor en lugar de cualquier contrasea que contenga el archivo stash especificado en webseal-cert-keyfile-stash. Esta entrada de stanza es opcional. Esta entrada de stanza almacena la contrasea en texto sin formato. Para utilizarla en condiciones ptimas de seguridad, se recomienda el uso del archivo stash. No existe ningn valor predeterminado. Ejemplo: webseal-cert-keyfile-pwd = j73R45huu webseal-cert-keyfile-label = nombre_etiqueta Cadena que especifica la etiqueta que se debe utilizar para el archivo de claves de certificado de WebSEAL. Si no se especifica este valor, se utiliza la etiqueta predeterminada. Esta entrada de stanza es opcional, pero se establece de forma predeterminada durante la configuracin de WebSEAL. Valor predeterminado: WebSEAL-Test-Only Ejemplo: webseal-cert-keyfile-label = WebSEAL-Test-Only
445
ssl-keyfile = ruta_acceso_completa Cadena que especifica la ruta de acceso del almacn de claves que WebSEAL utiliza para comunicarse con otros servidores de Tivoli Access Manager a travs de SSL. Esta entrada de stanza es obligatoria. El valor predeterminado se establece durante la configuracin de WebSEAL. La ruta de acceso del directorio de instalacin de WebSEAL se combina con la ruta de acceso siguiente: keytabs/webseald.kdb. Ejemplo: ssl-keyfile = C:/Archivos de programa/Tivoli/PDWeb/keytabs/webseald.kdb Normalmente, slo la utilidad de configuracin WebSEAL modifica esta entrada de stanza. ssl-keyfile-pwd = contrasea Cadena que contiene la contrasea para proteger las claves privadas del archivo de claves SSL. Cuando se le asigna un valor a esta entrada de stanza, se utiliza ese valor en lugar de cualquier contrasea que contenga el archivo stash especificado en ssl-keyfile-stash. Esta entrada de stanza es opcional. Esta entrada de stanza almacena la contrasea en texto sin formato. Para utilizarla en condiciones ptimas de seguridad, se recomienda el uso de ssl-keyfile-stash. No existe ningn valor predeterminado. Ejemplo: ssl-keyfile-pwd = myPassw0rd Normalmente, slo la utilidad de configuracin WebSEAL modifica esta entrada de stanza. ssl-keyfile-stash = ruta_acceso_completa Nombre del archivo que contiene una versin enmascarada de la contrasea y que se utiliza para proteger las claves privadas del archivo de claves SSL. Esta entrada de stanza es obligatoria. Esta ruta de acceso se establece durante la configuracin de WebSEAL. La ruta de acceso consiste en el directorio de instalacin de WebSEAL ms: keytabs/webseald.sth. Ejemplo: ssl-keyfile-stash = C:/Archivos de programa/Tivoli/PDWeb/keytabs/webseald.sth Normalmente, slo la utilidad de configuracin WebSEAL modifica esta entrada de stanza. ssl-keyfile-label = nombre_etiqueta
446
Cadena que contiene una etiqueta para el archivo de claves de certificado SSL. Si no se especifica esta etiqueta, se utiliza la etiqueta predeterminada. Esta entrada de stanza es opcional, pero se asigna durante la configuracin de WebSEAL. Valor predeterminado: PD Server Ejemplo: ssl-keyfile-label = PD Server Normalmente, slo la utilidad de configuracin WebSEAL modifica esta entrada de stanza. disable-ssl-v2 = {yes|no} Inhabilita el soporte para SSL Versin 2. De forma predeterminada, el soporte para SSL V2 est habilitado. El valor yes significa que el soporte est inhabilitado. El valor no significa que el soporte est habilitado. Esta entrada de stanza es opcional. Si no se especifica, el valor predeterminado es no. Valor predeterminado: no. La configuracin de WebSEAL establece este valor. Ejemplo: disable-ssl-v2 = no disable-ssl-v3 = {yes|no} Inhabilita el soporte para SSL Versin 3. De forma predeterminada, el soporte para SSL V3 est habilitado. El valor yes significa que el soporte est inhabilitado. El valor no significa que el soporte est habilitado. Esta entrada de stanza es opcional. Si no se especifica, el valor predeterminado es no. Valor predeterminado: no. La configuracin de WebSEAL establece este valor. Ejemplo: disable-ssl-v3 = no disable-tls-v1 = {yes|no} Inhabilita el soporte para TLS Versin 1. De forma predeterminada, el soporte para TLS V1 est habilitado. El valor yes significa que el soporte est inhabilitado. El valor no significa que el soporte est habilitado. Esta entrada de stanza es opcional. Si no se especifica, el valor predeterminado es no. Valor predeterminado: no. La configuracin de WebSEAL establece este valor. Ejemplo: disable-tls-v1 = no ssl-v2-timeout = nmero_segundos
447
Tiempo de espera de sesin en segundos para las conexiones SSL v2 entre clientes y servidores. Este valor de tiempo de espera controla la frecuencia con la que se realiza una negociacin SSL completa entre los clientes y WebSEAL. El intervalo de valores de nmero_segundos es de 1 a 100 segundos. La utilidad de configuracin de WebSEAL establece este valor. Esta entrada de stanza es obligatoria cuando SSL est habilitado. Valor predeterminado: 100 Ejemplo: ssl-v2-timeout = 100 ssl-v3-timeout = nmero_segundos Tiempo de espera de sesin en segundos para las conexiones SSL v3 entre clientes y servidores. Este valor de tiempo de espera controla la frecuencia con la que se realiza una negociacin SSL completa entre los clientes y WebSEAL. El rango vlido de valores para nmero_segundos es de 1 a 86400 segundos, donde 86400 es igual a 1 da. Si especifica un nmero fuera de este intervalo, se utilizar el nmero predeterminado de 7200 segundos. La utilidad de configuracin de WebSEAL establece este valor. Esta entrada de stanza es obligatoria cuando SSL est habilitado. Valor predeterminado: 7200 Ejemplo: ssl-v3-timeout = 7200 ssl-max-entries = nmero_entradas Valor entero que indica el nmero mximo de entradas simultneas en la cach de SSL. El valor mnimo es cero (0), que significa que el almacenamiento en cach es ilimitado. Las entradas entre 0 y 256 se establecen en 256. No existe ningn lmite mximo. Esta entrada de stanza es opcional. Si no se asigna ningn valor para esta entrada de stanza, WebSEAL utiliza un valor predeterminado de 0. Sin embargo, la utilidad de configuracin de WebSEAL asigna un valor predeterminado de 4096. Ejemplo: ssl-max-entries = 4096 Consulte tambin la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. gsk-crl-cache-size = nmero_entradas
448
Valor entero que indica el nmero mximo de entradas en la cach de CRL de GSKit. El valor mnimo es 0. Un valor de 0 significa que no se almacena en cach ninguna entrada. Ni WebSEAL ni GSKit imponen un valor mximo sobre esta cach. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Consulte la publicacin Secure Socket Layer Introduction and iKeyman Users Guide para obtener ms informacin sobre GSKit. Consulte tambin los documentos sobre los estndares SSL V3 y TLS V1 (RFC 2246) para obtener ms informacin sobre las CRL. Esta entrada de stanza es obligatoria. Valor predeterminado: 0 Ejemplo: gsk-crl-cache-size = 0 gsk-crl-cache-entry-lifetime = nmero_segundos Valor entero que especifica el tiempo de espera de la duracin, en segundos, de las entradas individuales en la cach de CRL de GSKit. El valor mnimo es 0. El valor mximo es 86400. Ni WebSEAL ni GSKit imponen un valor mximo sobre la duracin de las entradas de la cach. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Consulte la publicacin Secure Socket Layer Introduction and iKeyman Users Guide para obtener ms informacin sobre GSKit. Consulte tambin los documentos sobre los estndares SSL V3 y TLS V1 (RFC 2246) para obtener ms informacin sobre las CRL. Esta entrada de stanza es obligatoria. Valor predeterminado: 0 Ejemplo: gsk-crl-cache-entry-lifetime = 0 crl-ldap-server = nombre_servidor Nombre del servidor LDAP al que se debe hacer referencia para la comprobacin de la Lista de revocacin de certificados (CRL) durante la autenticacin SSL. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: crl-ldap-server = surf.santacruz.ibm.com crl-ldap-server-port = nmero_puerto Nmero de puerto para la comunicacin con el servidor LDAP especificado en crl-ldap-server. Se hace referencia al servidor LDAP para la comprobacin de la Lista de revocacin de certificados (CRL) durante la autenticacin SSL. Esta entrada de stanza es opcional. Esta entrada de stanza es obligatoria cuando crl-ldap-server est establecido. No existe ningn valor predeterminado. Ejemplo: crl-ldap-server-port = 389 crl-ldap-user = DN_usuario
449
Nombre distinguido (DN) completo de un usuario de LDAP que tiene acceso a la Lista de revocacin de certificados. Esta entrada de stanza es opcional. Un valor vaco para crl-ldap-user indica que el autenticador SSL debe enlazarse al servidor LDAP de forma annima. No existe ningn valor predeterminado. Ejemplo: crl-ldap-user = cn=webseald/surf,cn=SecurityDaemons,secAuthority=Default crl-ldap-user-password = contrasea Contrasea del usuario especificado en crl-ldap-user. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: crl-ldap-user-password = mypassw0rd pkcs11-driver-path = ruta_acceso_completa Ruta de acceso de la biblioteca compartida que proporciona soporte para controladores de dispositivo PKCS#11 externos de GSKit. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: pkcs11-driver-path = /usr/lib/pkcs11/PKCS11_API.so Consulte el apartado Configuracin de WebSEAL y GSKit para que utilicen la biblioteca compartida PKCS#11 en la pgina 38. pkcs11-token-label = nombre_etiqueta Etiqueta del dispositivo de seal que almacena la pareja de claves pblica/privada. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: pkcs11-token-label = websealToken Consulte el apartado Configuracin de WebSEAL y GSKit para que utilicen la biblioteca compartida PKCS#11 en la pgina 38. pkcs11-token-pwd = contrasea Cadena que contiene la contrasea para proteger las claves privadas del archivo de claves de seales. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: pkcs11-token-pwd = secret disable-ncipher-bsafe = {yes|no}
450
Inhabilita o permite la utilizacin automtica por parte de WebSEAL de tarjetas de hardware nCipher para la aceleracin SSL a travs de BHAPI (Bsafe). WebSEAL detecta este hardware cuando est presente y lo utiliza a menos que esta entrada de stanza est establecida en yes. Esta entrada de stanza es opcional. Valor predeterminado: no Ejemplo: disable-ncipher-bsafe = no Consulte el apartado Configuracin de WebSEAL para hardware criptogrfico a travs de BHAPI en la pgina 35. disable-rainbow-bsafe = {yes|no} Inhabilita o permite la utilizacin automtica por parte de WebSEAL de tarjetas de hardware Rainbow Cryptoswift para la aceleracin SSL a travs de BHAPI (Bsafe). WebSEAL detecta este hardware cuando est presente y lo utiliza a menos que esta entrada de la stanza est establecida en yes. Esta entrada de stanza es opcional. Valor predeterminado: no Ejemplo: disable-rainbow-bsafe = no Consulte el apartado Configuracin de WebSEAL para hardware criptogrfico a travs de BHAPI en la pgina 35. base-crypto-library = {Default|RSA|ICC} Especifica el motor de cifrado que utiliza GSKit. Los valores vlidos son Default, RSA e ICC. Tenga en cuenta que, si establece este parmetro en RSA, ello afecta a los valores posibles para fips-mode-processing. El valor Default indica a GSKit que debe utilizar la base criptogrfica ptima. Esta entrada de stanza es obligatoria. Valor predeterminado: Default Ejemplo: base-crypto-library = Default fips-mode-processing = {yes|no} Habilita o inhabilita el proceso de modalidad FIPS. El valor yes lo habilita. El valor no lo inhabilita. Cuando base-crypto-library = RSA, este valor debe ser no. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: fips-mode-processing = {yes|no} ssl-auto-refresh = {yes|no}
451
Indica si se debe realizar la renovacin automtica del certificado SSL y de la contrasea del archivo de base de datos de claves. Los valores vlidos son: yes Se habilita la renovacin automtica. Si est habilitado, se generan el certificado y la contrasea cuando haya riesgo de que caduquen (queda menos de la mitad del tiempo de duracin). ste es el valor predeterminado. no Desactiva la renovacin automtica del certificado y de la contrasea. Esta entrada de stanza es obligatoria slo cuando SSL est habilitado. Valor predeterminado: yes Ejemplo: ssl-auto-refresh = yes ssl-listening-port = {0|nmero_puerto} Puerto TCP que se debe utilizar para realizar la escucha de solicitudes de entrada. Los valores vlidos son: 0 Inhabilita la escucha. El valor predeterminado es 0 si no se ha especificado durante la configuracin. nmero_puerto Habilita la escucha en el nmero de puerto especificado. El intervalo vlido de nmeros de puerto es cualquier nmero positivo permitido por TCP/IP y que ninguna otra aplicacin est utilizando actualmente. Esta entrada de stanza es obligatoria slo cuando SSL est habilitado. La utilidad de configuracin de WebSEAL proporciona el valor predeterminado, que depende de los puertos TCP/IP disponibles. Un valor tpico durante la configuracin de WebSEAL es 7234. Ejemplo: ssl-listening-port = 7234 ssl-pwd-life = nmero_das Duracin de la contrasea del archivo de base de datos de claves, especificado en nmero de das. Para la renovacin automtica de la contrasea, el valor de la duracin de una contrasea est controlado por el valor de nmero_das cuando se inicia el servidor. Nota: Si un certificado y la contrasea del archivo de base de datos de conjunto de claves que contiene dicho certificado han caducado, primero debe renovarse la contrasea. Los valores vlidos para nmero_das son de 1 a 7.299 das. Esta entrada de stanza es obligatoria slo si SSL est habilitado. Valor predeterminado: 183 Ejemplo: ssl-pwd-life = 183 ssl-authn-type = tipo_autenticacin
452
Tipo de autenticacin. Esta entrada de stanza es obligatoria slo cuando SSL est habilitado. Valor predeterminado: certificate Ejemplo: ssl-authn-type = certificate
453
Autenticacin
Seccin Stanzas
Mtodos de autenticacin en la pgina 455 [ba] [forms] [spnego] [token] [certificate] [http-headers] [auth-headers] [ipaddr] [authentication-levels] [step-up] [mpa] Bibliotecas de autenticacin en la pgina 461 Reautenticacin en la pgina 466 [authentication-mechanisms] [reauthentication]
Migracin tras error de autenticacin en la [failover] pgina 467 [failover-attributes] [failover-add-attributes] [failover-restore-attributes] Inicio de sesin nico entre dominios (CDSSO) en la pgina 472 Inicio de sesin nico de e-community en la pgina 475 Calidad de proteccin en la pgina 480 [cdsso] [cdsso-peers] [e-community-sso] [ssl-qop] [ssl-qop-mgmt-hosts] [ssl-qop-mgmt-networks] [ssl-qop-mgmt-default]
454
Mtodos de autenticacin
Stanza [ba] ba-auth = {none|http|https|both} Habilita la autenticacin utilizando el mecanismo de Autenticacin bsica. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Cuando se habilita la autenticacin bsica, tambin debe configurarse una biblioteca de autenticacin adecuada estableciendo una pareja de clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. Valor predeterminado: https Ejemplo: ba-auth = https basic-auth-realm = nombre_dominio Valor de cadena que especifica el nombre de dominio. Este nombre se muestra en el cuadro de dilogo del navegador cuando se le solicita la informacin de inicio de sesin al usuario. La cadena debe estar formada por caracteres ASCII y puede contener espacios. Esta entrada de stanza es opcional. Valor predeterminado: Access Manager Ejemplo: basic-auth-realm = Access Manager
Stanza [forms] forms-auth = {none|http|https|both} Habilita la autenticacin utilizando el mecanismo de Autenticacin de formularios. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Cuando se habilita la autenticacin de formularios, tambin debe configurarse una biblioteca de autenticacin adecuada estableciendo una pareja de clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: forms-auth = none
Stanza [spnego] spnego-auth = {none|http|https|both}
455
Habilita la autenticacin utilizando el mecanismo de autenticacin SPNEGO. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Cuando la autenticacin SPNEGO est habilitada, tambin debe configurarse una biblioteca de autenticacin apropiada estableciendo una pareja clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: spnego-auth = none spnego-krb-service-name = nombre_principal_servidor_kerberos Especifica el nombre principal del servicio (SPN) Kerberos para el servidor. Este nombre se crea combinando la cadena HTTP con el nombre de host. La sintaxis es la siguiente: HTTP@nombre_host El nombre de host es el nombre de DNS mediante el que los navegadores se conectan con el servidor web. En la mayora de los casos, el nombre de host debe ser un nombre completo. Esta entrada de stanza slo es obligatoria en las plataformas UNIX. Valor predeterminado: (none) Ejemplo: spnego-auth = HTTP@diamond.subnet2.ibm.com spnego-krb-keytab-file = ruta_acceso_completa Ruta de acceso al archivo keytab Kerberos para el servidor WebSEAL. Esta entrada de stanza slo es obligatoria en las plataformas UNIX. Valor predeterminado: (none) Ejemplo: spnego-krb-keytab-file = /opt/pdweb/etc/diamond_HTTP.keytab
Stanza [token] token-auth = {none|http|https|both} Habilita la autenticacin utilizando el mecanismo de autenticacin de seal. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Cuando se habilita la autenticacin de seal, tambin debe configurarse una biblioteca de autenticacin adecuada estableciendo una pareja de clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: token-auth = none
456
Stanza [certificate] accept-client-certs = {never|required|optional|prompt_as_needed} Especifica cmo se deben manejar los certificados de los clientes HTTPS. Las opciones son: never Nunca se solicita un certificado de cliente. required Siempre se solicita un certificado de cliente. La conexin no se acepta si el cliente no presenta un certificado. Cuando este valor se establece en required, se omitir el resto de valores de autenticacin para los clientes HTTPS. optional Siempre se solicita un certificado de cliente. Si se presenta uno, se utilizar. prompt_as_needed No se solicita un certificado de cliente hasta que el cliente intenta acceder a un recurso que requiere la autenticacin del usuario. Nota: Si se establece este valor, asegrese de que la clave ssl-id-sessions de la stanza [ssl] est establecida en no. Cuando se habilita la autenticacin de certificado, tambin debe configurarse una biblioteca de autenticacin adecuada estableciendo una pareja de clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. Valor predeterminado: never Ejemplo: accept-client-certs = never cert-cache-max-entries = nmero_entradas Nmero mximo de entradas simultneas en la cach de ID de SLL de certificado. No existe ningn tamao mximo absoluto para la cach. No obstante, el tamao de la cach no puede sobrepasar el tamao de la cach de ID de SSL. El tamao mximo 0 permite un tamao ilimitado de la cach. Esta entrada de stanza slo es obligatoria cuando la clave accept-client-certs est establecida en prompt_as_needed. El valor predeterminado es 1024. Ejemplo: cert-cache-max-entries = 1024. Consulte tambin el apartado Habilite y configure la cach de ID de SSL de certificado en la pgina 170. cert-cache-timeout = nmero_segundos
457
Duracin mxima, en segundos, de una entrada en la cach de ID de SSL de certificado. El valor mnimo es cero. El valor cero significa que, cuando se llena la cach, las entradas se borran en funcin de un algoritmo de menos utilizadas recientemente. Esta entrada de stanza slo es obligatoria cuando la clave accept-client-certs est establecida en prompt_as_needed. El valor predeterminado es 120. Ejemplo: cert-cache-timeout = 120 Consulte tambin el apartado Defina el tiempo de espera para la cach de ID de SSL de certificado en la pgina 170.
Stanza [http-headers] http-headers-auth = {none|http|https|both} Habilita la autenticacin utilizando el mecanismo de autenticacin de cabeceras HTTP. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Cuando se habilita la autenticacin de cabeceras HTTP, tambin debe configurarse una biblioteca de autenticacin adecuada estableciendo una pareja de clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: http-headers-auth = none
Stanza [auth-headers] header = nombre_cabecera Utilice esta stanza para especificar todos los tipos de cabecera HTTP a las que se da soporte. De forma predeterminada, la biblioteca compartida incorporada est codificada de forma que no se puede modificar para dar soporte a datos de cabecera de proxy Entrust. Los valores de nombre_cabecera deben ser caracteres ASCII y cumplir la especificacin HTTP sobre nombres de cabecera. Normalmente, los valores de nombre_cabecera vienen determinados por un nombre de cabecera especfico requerido por una aplicacin de terceros. Al establecer este valor, el administrador de WebSEAL configura WebSEAL para que d soporte a estos otros nombres de cabecera. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: header = entrust-client
Stanza [ipaddr] ipaddr-auth = {none|http|https|both}
458
Habilita la autenticacin utilizando una direccin IP del cliente. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Cuando se habilita la autenticacin de direcciones IP, tambin debe configurarse una biblioteca de autenticacin adecuada estableciendo una pareja de clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. El valor predeterminado es none. Ejemplo: ipaddr-auth = none
Stanza [authentication-levels] level = {unauthenticated|password|token-card} Niveles de autenticacin incremental. WebSEAL permite a los usuarios autenticados aumentar el nivel de autenticacin mediante la utilizacin de la autenticacin incremental. Esta pareja de clave=valor especifica los niveles de autenticacin incremental a los que este servidor WebSEAL da soporte. No especifique un nivel de autenticacin a menos que el mtodo de autenticacin est habilitado. Por ejemplo, debe habilitar la autenticacin bsica o de formularios antes de establecer level = password. Escriba una pareja de clave=valor separada para cada nivel soportado. Esta entrada de stanza es obligatoria. Valores predeterminados: level = authenticated level = password Ejemplo: level = password
Stanza [step-up] verify-step-up-user = {yes|no} Aplica la poltica que requiere que la identidad del usuario que realiza la operacin incremental coincida con la identidad del usuario que realiz la operacin de autenticacin original. Para aplicar esta poltica, establezca el valor en yes. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: verify-step-up-user = yes
Stanza [mpa] mpa = {yes|no}
459
Habilita el soporte para agentes proxy multiplexor. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: mpa = no
460
Bibliotecas de autenticacin
Stanza [authentication-mechanisms] passwd-cdas = ruta_acceso_completa Ruta de acceso completa de la biblioteca que implementa una biblioteca CDAS para la autenticacin bsica o de formularios. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. passwd-ldap = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin bsica con un registro de usuarios de LDAP. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo (escrito en una sola lnea): passwd-ldap = C:\ARCHIV~1\Tivoli\POLICY~1\bin\ldapauthn.dll & -cfgfile [C:/Archivos de programa/Tivoli/PDWeb/etc/webseald-default.conf] passwd-uraf = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin bsica mediante la interfaz URAF de Tivoli Access Manager con los tipos de registro de usuarios subyacentes. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. cert-ldap = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de certificado. Esta entrada de stanza es opcional. El archivo predeterminado para la biblioteca incorporada en Solaris es: /opt/PolicyDirector/lib/libcertauthn.so & -chgfile \ [/opt/pdweb/etc/webseal-default.conf] Ejemplo en Windows (escrito en una sola lnea): cert-ldap = C:\ARCHIV~1\Tivoli\POLICY~1\bin\libcertauthn.dll & -cfgfile [C:/Archivos de programa/Tivoli/PDWeb/etc/webseald-default.conf] token-cdas = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de seal. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. cert-ssl = ruta_acceso_completa
461
Ruta de acceso completa de una biblioteca que implementa la autenticacin de certificado. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. http-request = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cabeceras HTTP o de direcciones IP. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. sso-create = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de creacin de inicio de sesin nico de WebSEAL. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. sso-consume = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de consumo de inicio de sesin nico de WebSEAL. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. kerberosv5 = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa soporte WebSEAL para la autenticacin SPNEGO. Esta biblioteca se utiliza para proporcionar el inicio de sesin nico del escritorio Windows de WebSEAL. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: kerberosv5 = /opt/PolicyDirector/lib/stliauthn.so passwd-strength = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de intensidad de contraseas. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. cred-ext-attrs = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de atributos ampliados de credencial. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. su-passwd = ruta_acceso_completa
462
Ruta de acceso completa de una biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin bsica o de formularios. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Consulte el apartado Autenticacin de cambio de usuario en la pgina 208. su-token-card = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin de seal. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Consulte el apartado Autenticacin de cambio de usuario en la pgina 208. su-certificate = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin de certificado. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Consulte el apartado Autenticacin de cambio de usuario en la pgina 208. su-http-request = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin de cabeceras HTTP o de direcciones IP. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Consulte el apartado Autenticacin de cambio de usuario en la pgina 208. su-cdsso = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin de inicio de sesin nico entre dominios. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Consulte el apartado Autenticacin de cambio de usuario en la pgina 208. su-kerberosv5 = ruta_acceso_completa Ruta de acceso completa para una biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin SPNEGO (Kerberos). Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Consulte el apartado Autenticacin de cambio de usuario en la pgina 208. failover-password = ruta_acceso_completa
463
Ruta de acceso completa de una biblioteca que implementa la autenticacin de cookie de migracin tras error para la autenticacin bsica o de formularios. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. failover-token-card = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cookie de migracin tras error para la autenticacin de tarjeta de seal. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. failover-certificate = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cookie de migracin tras error para la autenticacin de certificado. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. failover-http-request = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cookie de migracin tras error para la autenticacin de cabeceras HTTP o de direcciones IP. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. failover-cdsso = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cookie de migracin tras error para la autenticacin de inicio de sesin nico entre dominios. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. failover-kerberosv5 = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cookie de migracin tras error para la autenticacin SPNEGO. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. post-pwdchg-process = ruta_acceso_completa
464
Ruta de acceso completa de una biblioteca que implementa el proceso posterior al cambio de contrasea. WebSEAL llama a esta biblioteca cuando el usuario cambia una contrasea a travs de la pgina de cambio de contrasea pkms. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. En el siguiente ejemplo se muestra el nombre de ruta de acceso de la biblioteca incorporada de proceso posterior al cambio de contrasea, tal como se proporciona con WebSEAL en el Entorno operativo Solaris: post-pwdchg-process = /opt/PolicyDirector/lib/libxauthn.so
465
Reautenticacin
Stanza [reauthentication] reauth-for-inactive = {yes|no} Permite a WebSEAL solicitar a los usuarios que se vuelvan a autenticar cuando se haya agotado el tiempo de espera de su entrada en la cach de credenciales de WebSEAL debido a un periodo de inactividad. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: reauth-for-inactive = no reauth-reset-lifetime = {yes|no} Permite a WebSEAL restablecer el temporizador de duracin de las entradas en la cach de credenciales de WebSEAL despus de una reautenticacin correcta. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: reauth-reset-lifetime = no reauth-extend-lifetime = nmero_segundos Valor entero que expresa el tiempo en segundos en que se debe ampliar el temporizador de la cach de credenciales para permitir que los clientes realicen una reautenticacin. Cuando el valor es cero (0), no se ampla el temporizador de duracin. WebSEAL no impone ningn valor mximo. El valor mximo est limitado nicamente por el tipo de datos entero. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 0 Ejemplo: reauth-extend-lifetime = 300
466
Migracin tras error de autenticacin

v v v v [failover] [failover-attributes] [failover-add-attributes] [failover-restore-attributes]
Stanza [failover] failover-auth = {none|http|https|both} Permite a WebSEAL aceptar cookies de migracin tras error. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: failover-auth = none failover-cookies-keyfile = ruta_acceso_completa Archivo de claves para el cifrado de cookies de migracin tras error. Debe utilizarse la utilidad cdsso_key_gen para generar este archivo. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: failover-cookies-keyfile = /tmp/failover.key failover-cookie-lifetime = nmero_minutos Valor entero que especifica el nmero de minutos durante el cual el contenido de las cookies de migracin tras error es vlido. Debe ser un entero positivo. No existe ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 60 Ejemplo: failover-cookie-lifetime = 60 use-utf8 = {yes|no}
467
Utilice codificacin UTF8 para las cadenas de la cookie de autenticacin de migracin tras error. A partir de la versin 5.1, los servidores WebSEAL utilizan la codificacin UTF-8 de forma predeterminada. Cuando esta entrada de stanza se establece en yes, las cookies pueden intercambiarse con otros servidores WebSEAL que utilicen codificacin UTF-8. Esto permite utilizar cookies en distintas pginas de cdigos (como para un idioma distinto). Para obtener compatibilidad con cookies creadas por servidores WebSEAL de una versin anterior a la 5.1, establezca esta entrada de stanza en no. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: use-utf8 = yes Consulte tambin el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48. enable-failover-cookie-for-domain = {yes|no} Habilita las cookies de migracin tras error para el dominio. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: enable-failover-cookie-for-domain = no failover-update-cookie = nmero_segundos Intervalo mximo, expresado en nmero de segundos, permitido entre las actualizaciones de la marca de fecha y hora de actividad de la sesin en las cookies de migracin tras error. El valor es un nmero entero. Cuando el servidor recibe una solicitud, si ha transcurrido el nmero de segundos especificado para este parmetro, la marca de fecha y hora de actividad de la sesin se actualiza. Cuando el valor es 0, la marca de fecha y hora de la sesin se actualiza en cada solicitud. Cuando el valor es inferior a (nmero negativo), la marca de fecha y hora de actividad de la sesin no se actualiza nunca. No existe ningn valor mximo. Esta entrada de stanza es obligatoria. Valor predeterminado: 60 Ejemplo: failover-cookie-update = 60 failover-require-lifetime-timestamp-validation = {yes|no}
468
Habilita o inhabilita el requisito de validacin de la marca de fecha y hora de duracin de una sesin en la cookie de migracin tras error. Para la compatibilidad con versiones del servidor WebSEAL anteriores a la 5.1, establezca esta entrada de stanza en no. En las versiones anteriores a la 5.1, no se creaba la marca de fecha y hora de duracin de la sesin en la cookie de migracin tras error. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: failover-require-lifetime-timestamp-validation = no failover-require-activity-timestamp-validation = {yes|no} Habilita o inhabilita el requisito de validacin de la marca de fecha y hora de actividad de una sesin en la cookie de migracin tras error. Para la compatibilidad con versiones del servidor WebSEAL anteriores a la 5.1, establezca esta entrada de stanza en no. En versiones anteriores a la 5.1, no se creaba la marca de fecha y hora de actividad de la sesin en la cookie de migracin tras error. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: failover-require-activity-timestamp-validation = no
Stanza [failover-add-attributes] patrn_atributo = add Muestra una lista de los atributos de la credencial original que deben mantenerse en la cookie de migracin tras error. El formato es el siguiente: patrn_atributo = add El patrn del atributo es un patrn comodn sensible a las maysculas y minsculas. El orden de las entradas de la stanza es importante. Las reglas (patrones) que aparecen en una posicin anterior en la stanza prevalecen sobre las que aparecen ms adelante en la stanza. Los atributos que no coincidan con ningn patrn no se agregarn a la cookie de migracin tras error. Las entradas de esta stanza son opcionales. No existe ninguna entrada predeterminada en esta stanza. No obstante, el atributo AUTHENTICATION_LEVEL se agrega a la cookie de migracin tras error de forma predeterminada. No es necesario incluir este atributo en la stanza de configuracin. Ejemplo: tagvalue_* = add session-lifetime-timestamp = add
469
Esta entrada especifica que debe tomarse la marca de fecha y hora para la creacin de la sesin original de la cookie de migracin tras error y que dicha marca debe agregarse a la nueva sesin en el servidor replicado. Este atributo no puede especificarse mediante la coincidencia de patrones. Esta entrada debe agregarse exactamente como est escrita. Esta entrada de stanza es opcional. Entrada predeterminada: ninguna Ejemplo: session-lifetime-timestamp = add session-activity-timestamp = add Esta entrada indica que debe tomarse la marca de fecha y hora para la ltima actividad de usuario de la cookie de migracin tras error y que dicha marca debe agregarse a la nueva sesin en el servidor replicado. Este atributo no puede especificarse mediante la coincidencia de patrones. Esta entrada debe agregarse exactamente como est escrita. Esta entrada de stanza es opcional. Entrada predeterminada: ninguna Ejemplo: session-activity-timestamp = add
Stanza [failover-restore-attributes] patrn_atributo = preserve Lista los atributos que deben colocarse en la credencial nueva cuando se crea de nuevo una credencial desde una cookie de migracin tras error. El formato es el siguiente: patrn_atributo = preserve El patrn del atributo es un patrn comodn sensible a las maysculas y minsculas. El orden de las entradas de la stanza es importante. Las reglas (patrones) que aparecen en una posicin anterior en la stanza prevalecen sobre las que aparecen ms adelante en la stanza. Los atributos que no coincidan con ningn patrn no se agregarn a la credencial. Cuando WebSEAL vuelve a crear una credencial, todos los atributos de cookie de migracin tras error se omiten a menos que estn especificados mediante una entrada con el valor preserve. Las entradas de esta stanza son opcionales. Entradas predeterminadas: ninguna Ejemplo: tagvalue_* = preserve patrn_atributo = refresh
470
Lista de los atributos de cookie de migracin tras error que deben omitirse de la credencial de usuario que se ha creado de nuevo. El formato es el siguiente: patrn_atributo = refresh Esta lista no es necesaria en todas las configuraciones. El comportamiento predeterminado cuando se crea de nuevo una credencial de usuario es omitir todos los atributos que no se han especificado con el valor preserve. En algunos casos, puede ser necesario especificar una excepcin a la coincidencia de un patrn comodn para garantizar que un atributo especfico se renueva, no se mantiene. Esta especificacin puede ser necesaria, por ejemplo, cuando se utiliza un CDAS personalizado. El patrn del atributo es un patrn comodn sensible a las maysculas y minsculas. El orden de las entradas de la stanza es importante. Las reglas (patrones) que aparecen en una posicin anterior en la stanza prevalecen sobre las que aparecen ms adelante en la stanza. Los atributos que no coincidan con ningn patrn no se agregarn a la credencial. Las entradas de esta stanza son opcionales. Entradas predeterminadas: ninguna Ejemplo: tagvalue_special_* = refresh
471
Inicio de sesin nico entre dominios (CDSSO)

v [cdsso] v [cdsso-peers]
Stanza [cdsso] cdsso-auth = {none|http|https|both} Permite a WebSEAL aceptar seales. Requiere que se especifique un mecanismo de autenticacin para la biblioteca de consumo de seales (sso-consume) en la stanza [authentication-mechanisms]. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: cdsso-auth = none cdsso-create = {none|http|https|both} Permite a WebSEAL aceptar seales. Requiere que se especifique un mecanismo de autenticacin para la biblioteca de creacin de seales (sso-create) en la stanza [authentication-mechanisms]. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: cdsso-create = none authtoken-lifetime = nmero_segundos Entero positivo que expresa el nmero de segundos durante el cual la seal de autenticacin de inicio de sesin nico es vlida. Valor mnimo: 1. No existe ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 180 Ejemplo: authtoken-lifetime = 180 cdsso-argument = nombre_argumento Nombre del argumento que contiene la seal de inicio de sesin nico entre dominios en una cadena de consulta de una solicitud. Se utiliza para identificar las solicitudes de entrada que contienen informacin de autenticacin de CDSSO. Los caracteres vlidos son cualquier carcter ASCII, excepto el signo de interrogacin (?), ampersand (&) y el signo igual (=). Esta entrada de stanza es obligatoria. Valor predeterminado: PD-ID Ejemplo: cdsso-argument = PD-ID use-utf8 = {true|false}
472
Utilice codificacin UTF8 para las seales que se utilizan en el inicio de sesin nico entre dominios. A partir de la versin 5.1, los servidores WebSEAL utilizan la codificacin UTF-8 de forma predeterminada. Cuando esta entrada de stanza se establece en true, las seales pueden intercambiarse con otros servidores WebSEAL que utilicen codificacin UTF-8. Esto permite utilizar seales en distintas pginas de cdigos (como para un idioma distinto). Para obtener compatibilidad con seales creadas por servidores WebSEAL de una versin anterior a la 5.1, establezca esta entrada de stanza en false. Esta entrada de stanza es obligatoria. Valor predeterminado: true Ejemplo: use-utf8 = true Consulte tambin el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48. Stanza [cdsso-peers] nombre_host_completo = ruta_acceso_completa Lista de servidores de igual que estn participando en el inicio de sesin nico entre dominios. El nombre de ruta de acceso debe especificar la ubicacin del archivo de claves del servidor. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: webhost2.ibm.com = /tmp/cdsso.key
Stanza [cdsso-token-attributes] nombre_dominio = patrn1 [patrn2,] [patrnN, .... ] Atributos de credencial que deben incluirse en las seales de autenticacin de CDSSO. El nombre_dominio especifica el dominio de destino que contiene el servidor que consumir la seal. El valor para nombre_dominio puede contener una o ms entradas. Puede tratarse de un valor especfico o bien de un patrn que utilice caracteres comodn estndar de Tivoli Access Manager (*, [], ^, \, ?). Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: example1.com = my_cdas_attr_* <default> = patrn1 [patrn2,] [patrnN, .... ]
473
Atributos de credencial que deben incluirse en las seales de autenticacin de CDSSO. Cuando WebSEAL no encuentra ninguna entrada nombre_dominio que coincida con el dominio, se utilizan las entradas de <default>. La palabra <default> es una palabra clave y no puede modificarse. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: <default> = my_cdas_attr_*
Stanza [cdsso-incoming-attributes] patrn_atributo = {preserve|refresh} Atributos ampliados que deben extraerse de las seales de autenticacin de CDSSO entrantes. Los atributos generalmente coinciden con los declarados en la stanza [cdsso-token-attributes] del servidor WebSEAL del dominio de origen. El patrn_atributo puede ser un valor especfico o un patrn que utilice caracteres comodn estndar de Tivoli Access Manager (*, [], ^, \, ?). El orden de las entradas patrn_atributo es importante. Se utiliza la primera entrada que coincide con el atributo. Las dems entradas se omiten. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: my_cred_attr1 = preserve
474
Inicio de sesin nico de e-community

v v v v [e-community-sso] [e-community-domain-keys] [ecsso-token-attributes] [ecsso-incoming-attributes]
Stanza [e-community-sso] e-community-sso-auth = {none|http|https|both} Habilita la participacin en el inicio de sesin nico de e-community. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: e-community-sso-auth = none e-community-name = nombre Valor de cadena que especifica un nombre de e-community. Si se da soporte al inicio de sesin nico de comunidad electrnica, este nombre debe coincidir con cualquier seal de garantizacin o cookie de comunidad electrnica que se reciba. La cadena no puede contener el signo igual (=) o ampersand (&). Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: e-community-name = company1 is-master-authn-server = {yes|no} Especifica si este servidor WebSEAL acepta solicitudes de garantizacin procedentes de otras instancias de WebSEAL. Las instancias de WebSEAL deben tener claves de dominio listadas en la stanza [e-community-domainkeys]. Cuando este valor es yes, este servidor WebSEAL es el servidor de autenticacin maestro. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: is-master-authn-server = no master-authn-server = nombre_host_completo Ubicacin del servidor de autenticacin maestro. Este valor debe especificarse si is-master-authn-server est establecido en no. Si no se ha realizado ningn inicio de sesin en el dominio local, los intentos de autenticacin se redirigen a travs de la mquina maestra. La mquina maestra garantizar la identidad del usuario. La clave de dominio para master-authn-server debe estar listada en la stanza [e-community-domainkeys]. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: master-authn-server = diamond.dev.ibm.com master-http-port = nmero_puerto
475
Valor entero que especifica el nmero de puerto en que master-authn-server realiza la escucha de solicitudes HTTP. Este valor es necesario cuando e-community-sso-auth permite el uso del protocolo HTTP y master-authn-server realiza la escucha de solicitudes HTTP en un puerto distinto del puerto HTTP estndar (puerto 80). Esta entrada de stanza se omite si este servidor WebSEAL es el servidor de autenticacin maestro. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: master-http-port = 81 master-https-port = nmero_puerto Valor entero que especifica el nmero de puerto en que master-authn-server realiza la escucha de solicitudes HTTPS. Este valor es necesario cuando e-community-sso-auth permite el uso del protocolo HTTPS y master-authn-server realiza la escucha de solicitudes HTTPS en un puerto distinto del puerto HTTPS estndar (puerto 443). Esta entrada de stanza se omite si este servidor WebSEAL es el servidor de autenticacin maestro. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: master-https-port = 444 vf-token-lifetime = nmero_segundos Entero positivo que indica la duracin, en segundos, de la seal de garantizacin. Est establecido de forma que se tenga en cuenta la diferencia horaria entre los servidores participantes. El valor mnimo es 1 segundo. No existe ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es opcional. Valor predeterminado: 180 Ejemplo: vf-token-lifetime = 180 vf-url = designacin_URL Designador de la direccin URL de garantizacin. Esto especifica el principio de una direccin URL relativa a la raz del servidor. Se utiliza para construir solicitudes de garantizacin para los servidores de inicio de sesin nico de e-community participantes y para que el servidor de autenticacin maestro pueda distinguir entre las solicitudes de informacin de garantizacin y el resto de solicitudes. La cadena de designacin_URL puede contener caracteres alfanumricos y los siguientes caracteres especiales: signo de dlar ($), guin (-), subrayado (_), punto (.), signo ms (+), signo de exclamacin (!), asterisco (*), comillas simples (), parntesis ( ) y coma (,). Los signos de interrogacin (?) no estn permitidos. Esta entrada de stanza es opcional. Si la entrada de stanza no est presente en el archivo de configuracin, el valor predeterminado es /pkmsvouchfor. Ejemplo: vf-url = /pkmsvouchfor vf-argument = nombre_seal_garantizacin
476
Valor de cadena que contiene el nombre de la seal de garantizacin incluido en una respuesta de garantizacin. Se utiliza para que el servidor de autenticacin maestro pueda construir respuestas de garantizacin y para que los servidores de inicio de sesin nico de e-community participantes puedan distinguir las solicitudes de entrada que contienen informacin de garantizacin. Los valores vlidos para la cadena son caracteres ASCII, excepto el ampersand (&), signo igual (=) y signo de interrogacin (?). Esta entrada de stanza es opcional. Valor predeterminado: PD-VF Ejemplo: vf-argument = PD-VF ec-cookie-lifetime = nmero_minutos Valor entero positivo que indica la duracin de una cookie de e-community. El valor mnimo es 1. No existe ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 300 Ejemplo: ec-cookie-lifetime = 300 ecsso-allow-unauth = {yes|no} Habilita o inhabilita el acceso no autenticado a recursos no protegidos en un servidor esclavo SSO de e-community. El valor yes habilita el acceso no autenticado. El valor no inhabilita el acceso. Para obtener compatibilidad con versiones anteriores a la versin 5.1 de WebSEAL, establezca este valor en no. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: ecsso-allow-unauth = yes use-utf8 = {yes|no} Utilice la codificacin UTF8 para las seales utilizadas en el inicio de sesin nico de e-community. A partir de la versin 5.1, los servidores WebSEAL utilizan la codificacin UTF-8 de forma predeterminada. Cuando esta entrada de stanza se establece en true, las seales pueden intercambiarse con otros servidores WebSEAL que utilicen codificacin UTF-8. Esto permite utilizar seales en distintas pginas de cdigos (como para un idioma distinto). Para obtener compatibilidad con seales creadas por servidores WebSEAL anteriores a la versin 5.1, establezca esta entrada de stanza en no. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: use-utf8 = yes Consulte tambin el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
477
Stanza [e-community-domain-keys] nombre_dominio = ruta_acceso_completa Nombres de archivo de las claves de cada dominio que participa en e-community. Incluye el dominio en el que se ejecuta el servidor WebSEAL. Se comparten en forma de parejas por dominio. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: ecssoserver.subnet.ibm.com = /tmp/ecsso.key
Stanza [ecsso-token-attributes] nombre_dominio = patrn1 [patrn2,] [patrnN, .... ] Atributos de credencial que deben incluirse en las seales de autenticacin eCSSO. El nombre_dominio especifica el dominio de destino que contiene el servidor que consumir la seal. El valor para nombre_dominio puede contener una o ms entradas. Puede tratarse de un valor especfico o bien de un patrn que utilice caracteres comodn estndar de Tivoli Access Manager (*, [], ^, \, ?). Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: example1.com = my_cdas_attr_* <default> = patrn1 [patrn2,] [patrnN, .... ] Atributos de credencial que deben incluirse en las seales de autenticacin eCSSO. Cuando WebSEAL no encuentra ninguna entrada nombre_dominio que coincida con el dominio, se utilizan las entradas de <default>. La palabra <default> es una palabra clave y no puede modificarse. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: <default> = my_cdas_attr_*
Stanza [ecsso-incoming-attributes] patrn_atributo = {preserve|refresh}
478
Atributos ampliados que deben extraerse de las seales de autenticacin eCSSO entrantes. Los atributos generalmente coinciden con los declarados en la stanza [cdsso-token-attributes] del servidor WebSEAL del dominio de origen. El patrn_atributo puede ser un valor especfico o un patrn que utilice caracteres comodn estndar de Tivoli Access Manager (*, [], ^, \, ?). El orden de las entradas patrn_atributo es importante. Se utiliza la primera entrada que coincide con el atributo. Las dems entradas se omiten. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: my_cred_attr1 = preserve
479
Calidad de proteccin
v v v v [ssl-qop] [ssl-qop-mgmt-hosts] [ssl-qop-mgmt-networks] [ssl-qop-mgmt-default]
Stanza [ssl-qop] ssl-qop-mgmt = {yes|no} Habilita o inhabilita la gestin de la calidad de proteccin SSL. El valor yes habilita la gestin de la calidad de proteccin SSL. El valor no la inhabilita. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: ssl-qop-mgmt = no
Stanza [ssl-qop-mgmt-hosts] IP-host = {ALL|NONE|nivel_cifrado} Lista de valores de cadena que especifican los niveles de cifrado permitidos para el acceso HTTPS de una direccin IP especfica. El valor ALL permite todos los cifrados. El valor NONE inhabilita todos los cifrados y utiliza la suma de comprobacin MD5 MAC. Para especificar los cifrados permitidos para un grupo seleccionado de direcciones IP, cree una entrada separada para cada direccin. Por ejemplo: 111.222.333.444 = RC4-128 222.666.333.111 = RC2-128 Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: 111.222.333.444 = ALL Tenga en cuenta que esta stanza se ha dejado de utilizar y slo se conserva para la compatibilidad con versiones anteriores. Para obtener ms informacin y una lista de los niveles_cifrado soportados, consulte el apartado Calidad de niveles de proteccin en la pgina 40.
Stanza [ssl-qop-mgmt-networks] red/mscara_red = {ALL|NONE|nivel_cifrado}
480
Lista de valores de cadena que especifican los niveles de cifrado permitidos para el acceso HTTPS de una combinacin especfica de direccin IP y mscara de red. El valor ALL permite todos los cifrados. El valor NONE inhabilita todos los cifrados y utiliza la suma de comprobacin MD5 MAC. Para especificar los cifrados permitidos para un grupo seleccionado de direcciones IP y mscaras de red, cree una entrada separada para cada combinacin de red/mscara de red. Por ejemplo: 111.222.333.444/255.255.255.0 = RC4-128 222.666.333.111/255.255.0.0 = RC2-128 Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: 111.222.333.444/255.255.255.0 = RC4-128 Tenga en cuenta que esta stanza se ha dejado de utilizar y slo se conserva para la compatibilidad con versiones anteriores. Para obtener ms informacin y una lista de los niveles_cifrado soportados, consulte el apartado Calidad de niveles de proteccin en la pgina 40.
Stanza [ssl-qop-mgmt-default] default = {ALL|NONE|nivel_cifrado} Lista de valores de cadena que especifican los niveles de cifrado permitidos para el acceso HTTPS. El valor ALL permite todos los cifrados. El valor NONE inhabilita todos los cifrados y utiliza la suma de comprobacin MD5 MAC. Para especificar un grupo seleccionado de cifrados, cree una entrada separada para cada cifrado. Por ejemplo: default = RC4-128 default = RC2-128 default = DES-168 Los valores especificados en esta entrada de stanza se utilizan para todas las direcciones IP que no figuren en las entradas de la stanza [ssl-qop-mgmt-hosts] ni en las entradas de la stanza [ssl-qop-mgmtnetworks]. Esta entrada de stanza es obligatoria. Valor predeterminado: ALL Ejemplo: default = ALL Para obtener ms informacin y una lista de los niveles_cifrado soportados, consulte el apartado Calidad de niveles de proteccin en la pgina 40.
481
Sesin
Stanza [session] max-entries = nmero_entradas Nmero mximo de entradas simultneas en la cach de credenciales. El nmero mnimo para este valor es 0. Un valor de cero significa que la cach tiene un tamao ilimitado. WebSEAL no impone ningn valor mximo. Consulte las directrices sobre el tamao mximo de valores enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 4096 Ejemplo: max-entries = 4096 Consulte tambin el apartado Configuracin de la cach de sesin/credenciales de WebSEAL en la pgina 147 y la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. timeout = nmero_segundos Valor entero para la duracin mxima, en segundos, de una entrada en la cach de credenciales. El nmero mnimo para este valor es 0. Un valor de 0 significa que la duracin es ilimitada. WebSEAL no impone ningn valor mximo. Consulte las directrices sobre el tamao mximo de valores enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 3600 Ejemplo: timeout = 3600 Consulte tambin el apartado Configuracin de la cach de sesin/credenciales de WebSEAL en la pgina 147. inactive-timeout = nmero_segundos
482
Valor entero para la duracin, en segundos, de las entradas inactivas en la cach de credenciales. El nmero mnimo para este valor es 0. Un valor de 0 significa que, cuando se llena la cach, las entradas se borran en funcin de un algoritmo de menos utilizadas recientemente. WebSEAL no impone ningn valor mximo. Consulte las directrices sobre el tamao mximo de valores enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 600 Ejemplo: inactive-timeout = 600 Consulte tambin el apartado Configuracin de la cach de sesin/credenciales de WebSEAL en la pgina 147. ssl-id-sessions = {yes|no} Indica si se debe utilizar el ID de SSL para mantener el inicio de sesin HTTP de un usuario. El navegador Opera, en su configuracin predeterminada, no mantiene los ID de SSL entre distintas conexiones SSL. Si se utiliza este navegador, el parmetro ssl-id-sessions debe establecerse en no. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: ssl-id-sessions = yes Consulte tambin el apartado Mantenimiento del estado con cookies de sesin en la pgina 149. Nota sobre uso: Este valor debe establecerse en no si la siguiente pareja clave = valor est definida: [certificate] accept-client-certs = prompt_as_needed Para obtener ms informacin, consulte el apartado Especifique el mecanismo de autenticacin de certificado en la pgina 168. use-same-session = {yes|no}
483
Indica si se debe utilizar la misma sesin para los clientes SSL y HTTP. Cuando est establecido en yes, un usuario que se ha autenticado mediante HTTP estar autenticado al conectarse mediante HTTPS. Asimismo, el usuario que se ha autenticado mediante HTTPS estar autenticado al conectarse mediante HTTP. Si se utiliza yes, prevalecer ssl-id-sessions = yes, porque los clientes HTTP no leen un ID de SSL para mantener sesiones. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: use-same-session = no Consulte tambin el apartado Mantenimiento del estado con cookies de sesin en la pgina 149. resend-webseal-cookies = {yes|no} Indica si se deben enviar las cookies de WebSEAL con cada respuesta. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: resend-webseal-cookies = no Consulte tambin el apartado Mantenimiento del estado con cookies de sesin en la pgina 149. allow-backend-domain-cookies = {yes|no} Indica si WebSEAL puede enviar cookies de dominio de un servidor de fondo a un cliente. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: allow-backend-domain-cookies = no Consulte tambin el apartado Gestin de cookies de dominio en la pgina 342. user-session-ids = {yes|no} Habilita o inhabilita la creacin y el manejo de los ID de sesin de usuario. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: user-session-ids = yes Consulte tambin el apartado Mantenimiento del estado de la sesin entre las aplicaciones clientes y de fondo en la pgina 380.
484
Contenido
Seccin Gestin de contenido en la pgina 486 Gestin de cuentas en la pgina 488 Redireccin automtica en la pgina 492 CGI local en la pgina 493 Stanzas [content] [acnt-mgt] [content] [enable-redirects] [cgi] [cgi-types] [cgi-environment-variables] [content-index-icons] [icons]
Iconos en la pgina 495
Almacenamiento en cach de contenido en [content-cache] la pgina 497 Compresin del contenido en la pgina 498 Tipos de contenido MIME en la pgina 499 Codificacin de contenido en la pgina 500 [compress-mime-types] [content-mime-types] [content-encodings]
485
Gestin de contenido
Stanza [content] doc-root = ruta_acceso_completa Directorio raz del rbol de documentos de WebSEAL. El administrador puede aceptar el valor predeterminado de www/docs o especificar una ubicacin alternativa. Cuando el administrador acepta el valor predeterminado, la configuracin de WebSEAL anexa el valor predeterminado en el directorio de instalacin de WebSEAL. Por lo tanto, la ruta_acceso_completa predeterminada es directorio_instalacin_WebSEAL/www/docs. Cuando el administrador cambia este valor durante la configuracin, debe especificar una ruta de acceso completa. En este caso, WebSEAL no anexa la entrada en el directorio de instalacin de WebSEAL. De esta forma, la entrada doc-root coincide con la entrada del administrador. Esta entrada de stanza es obligatoria. Valor predeterminado: directorio_instalacin_WebSEAL/www/docs Ejemplo: doc-root = C:/Archivos de programa/Tivoli/PDWeb/www/docs directory-index = nombre_archivo Nombre de un archivo de ndice de directorios. Cuando se realiza una solicitud de un directorio situado en el servidor WebSEAL local, WebSEAL busca este archivo antes de proporcionar un listado de directorios. Esta entrada de stanza es obligatoria. Valor predeterminado: index.html Ejemplo: directory-index = index.html delete-trash-dir = ruta_acceso_completa Nombre de ruta de acceso de un directorio en el que se mueven los archivos eliminados mediante el mtodo DELETE. Los archivos se conservan all hasta que el administrador los elimina. Esta clave no se aplica en directorios vacos, ya que se suprimen siempre. De forma predeterminada, esta clave est inactiva (est marcada como comentario en el archivo de configuracin). Cuando la clave est inactiva, los archivos eliminados mediante el mtodo DELETE se eliminan inmediatamente del sistema de archivos. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: delete-trash-dir = /tmp/trashdir user-dir = nombre_archivo
486
Directorio dentro de los directorios iniciales del usuario que contiene documentos HTML pblicos. Esta entrada de stanza es obligatoria. Valor predeterminado: public_html Ejemplo: user-dir = public_html utf8-template-macros-enabled = {yes|no} Especifica cmo se insertan datos en los archivos HTML estndar de WebSEAL, como login.html, cuando se detectan cadenas %MACRO%. Cuando se establece en yes, los datos se insertan en formato UTF-8. Cuando se establece en no, los datos se insertan en el formato de la pgina de cdigos local. Esto afecta a los archivos que se encuentran en los directorios especificados por las entradas error-dir y mgt-pages-root de la stanza [acnt-mgt] del archivo de configuracin. Las pginas HTML de WebSEAL utilizan de forma predeterminada el juego de caracteres UTF8. Si modifica el juego de caracteres para especificar la pgina de cdigos local, establezca esta entrada en no. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: utf8-template-macros-enabled = yes error-dir = directorio_relativo Directorio en el que se encuentran las pginas de error HTML. El directorio es relativo al directorio especificado por la entrada server-root. Cuando WebSEAL necesita acceder a las pginas de error, agrega automticamente el nombre del directorio especfico del entorno local. Por ejemplo: /opt/pdweb/www-webseal1/lib/errors/C La entrada error-dir especifica solamente la parte de la ruta de acceso que se muestra en el ejemplo anterior como lib/errors. Esta entrada de stanza es obligatoria. Valor predeterminado: lib/errors Ejemplo: error-dir = lib/errors
487
Gestin de cuentas
Stanza [acnt-mgt] mgt-pages-root = nombre_ruta_acceso_relativa Raz de las pginas de gestin de cuentas. El directorio real utilizado es un subdirectorio de este directorio raz, determinado en funcin de los valores de localizacin. Esta ruta de acceso es relativa al valor de server-root de la stanza [server]. Esta entrada de stanza es obligatoria. Valor predeterminado: lib/html Ejemplo: mgt-pages-root = lib/html login = nombre_archivo Formulario de inicio de sesin estndar. Esta entrada de stanza es obligatoria. Valor predeterminado: login.html Ejemplo: login = login.html login-success = nombre_archivo Pgina que aparece despus de iniciar la sesin correctamente. Esta entrada de stanza es obligatoria. Valor predeterminado: login_success.html Ejemplo: login-success = login_success.html logout = nombre_archivo Pgina que aparece despus de finalizar la sesin correctamente. Esta entrada de stanza es obligatoria. Valor predeterminado: logout.html Ejemplo: logout = logout.html account-locked = nombre_archivo Pgina que aparece cuando se produce un error de autenticacin de usuario debido a una cuenta de usuario bloqueada. Esta entrada de stanza es obligatoria. Valor predeterminado: acct_locked.html Ejemplo: account-locked = acct_locked.html passwd-expired = nombre_archivo Pgina que aparece cuando se produce un error de autenticacin de usuario debido a una contrasea de usuario caducada. Esta entrada de stanza es obligatoria. Valor predeterminado: passwd_exp.html Ejemplo: passwd-expired = passwd_exp.html passwd-change = nombre_archivo
488
Pgina que contiene un formulario de cambio de contrasea. Esta entrada de stanza es obligatoria. Valor predeterminado: passwd.html Ejemplo: passwd-change = passwd.html passwd-change-success = nombre_archivo Pgina que aparece cuando una solicitud de cambio de contrasea ha finalizado correctamente. Esta entrada de stanza es obligatoria. Valor predeterminado: passwd_rep.html Ejemplo: passwd-change-success = passwd_rep.html passwd-change-failure = nombre_archivo Pgina que aparece cuando una solicitud de cambio de contrasea no ha finalizado correctamente. Esta entrada de stanza es obligatoria. Valor predeterminado: passwd.html Ejemplo: passwd-change-failure = passwd.html help = nombre_archivo Pgina que contiene vnculos a pginas de administracin vlidas. Esta entrada de stanza es obligatoria. Valor predeterminado: help.html Ejemplo: help = help.html token-login = nombre_archivo Formulario de inicio de sesin de seales. Esta entrada de stanza es obligatoria. Valor predeterminado: tokenlogin.html Ejemplo: token-login = tokenlogin.html next-token = nombre_archivo Formulario de siguiente seal. Esta entrada de stanza es obligatoria. Valor predeterminado: nexttoken.html Ejemplo: next-token = nexttoken.html stepup-login = nombre_archivo Formulario de inicio de sesin de autenticacin incremental. Esta entrada de stanza es obligatoria. Valor predeterminado: stepuplogin.html Ejemplo: stepup-login = stepuplogin.html certificate-login = nombre_archivo
489
Formulario que requiere un inicio de sesin de autenticacin de certificado de cliente. Este formulario slo se utiliza cuando la clave accept-client-certs de la stanza [certificate] est establecida en prompt_as_needed. Esta entrada de stanza se necesita cuando la autenticacin de certificado con demora o el nivel de intensidad de autenticacin (incremental) para certificados est habilitado. Valor predeterminado: certlogin.html Ejemplo: certificate-login = certlogin.html cert-stepup-http = certstepuphttp.html WebSEAL muestra esta pgina HTML cuando un cliente intenta incrementar el nivel de intensidad de autenticacin (incremental) para los certificados cuando se utiliza el protocolo HTTP. Esta entrada de stanza es obligatoria. Valor predeterminado: certstepuphttp.html Ejemplo: cert-stepup-http = certstepuphttp.html switch-user = nombre_archivo Formulario de gestin de cambio de usuario. Esta entrada de stanza es obligatoria. Valor predeterminado: switchuser.html Ejemplo: switch-user = switchuser.html cert-failure = nombre_archivo Pgina que aparece cuando se requieren certificados y el cliente no puede autenticarse con un certificado. Esta entrada de stanza es obligatoria. Valor predeterminado: certfailure.html Ejemplo: cert-failure = certfailure.html client-notify-tod = {yes|no} Habilita la visualizacin de una pgina de error cuando se deniega la autenticacin debido a una comprobacin de hora del da de la poltica POP. La pgina de error es 38cf08cc.html. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: client-notify-tod = yes account-expiry-notification = {yes|no}
490
Especifica si WebSEAL notifica al usuario la causa del error de inicio de sesin cuando el error se debe a una cuenta que no es vlida o que ha caducado. Cuando esta entrada est establecida en no, el usuario recibe el mismo mensaje de error que se enva cuando un inicio de sesin falla porque la informacin de autenticacin no es vlida (por ejemplo, un nombre de usuario o una contrasea que no son vlidos). Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: account-expiry-notification = no
491
Redireccin automtica
v [acnt-mgt] v [enable-redirects]
Stanza [acnt-mgt] login-redirect-page = localizador_universal_recursos Localizador universal de recursos (URL) al que se redirige automticamente a los usuarios una vez iniciada la sesin. La direccin URL puede ser relativa al servidor o una direccin URL absoluta. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo de una direccin URL relativa al servidor: login-redirect-page = /jct/page.html Ejemplo de una direccin URL absoluta: login-redirect-page = http://www.ibm.com/ Consulte tambin el apartado Redireccin automtica durante el inicio de sesin del usuario en la pgina 235.
Stanza [enable-redirects] redirect = {forms-auth|basic-auth|token-auth} Habilita la utilizacin de la redireccin en uno o ms mecanismos de autenticacin. Se da soporte a la redireccin en: v Autenticacin de formularios v Autenticacin bsica v Autenticacin de seal El archivo de configuracin debe contener una entrada separada para cada mecanismo de autenticacin en que se habilite la redireccin. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo de entradas que habilitan la redireccin en la autenticacin bsica y de formularios: redirect = forms-auth redirect = basic-auth
492
CGI local
v [cgi] v [cgi-types] v [cgi-environment-variables]
Stanza [cgi] cgi-timeout = nmero_segundos Valor entero que indica el tiempo de espera, en segundos, para la escritura y lectura de procesos CGI hijos. Este valor no se aplica a los sistemas Windows. Esta entrada de stanza es obligatoria. El valor mnimo es 0. Este valor inhabilita el tiempo de espera. No es recomendable inhabilitar el tiempo de espera. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre el tamao mximo de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Ejemplo: cgi-timeout = 120
Stanza [cgi-types] extensin_archivo = comando Esta stanza contiene entradas que correlacionan las extensiones de archivo CGI con comandos de Windows. En servidores Windows, los archivos CGI con una extensin que no aparezca en esta lista no se ejecutan, a excepcin de los archivos con la extensin .EXE. Esta stanza se utiliza slo en servidores Windows. No existe ninguna entrada predeterminada. De forma predeterminada, el archivo de configuracin de WebSEAL contiene un nmero de entradas marcadas como comentarios (inactivas). Los administradores pueden agregar entradas adicionales. Las entradas adicionales deben estar formadas por caracteres ASCII. Esta entrada de stanza es opcional. Ejemplos de entradas sin comentarios del archivo de configuracin de WebSEAL: bat = cmd cmd = cmd pl = perl sh = sh tcl = tclsh76 Stanza [cgi-environment-variables] ENV = variable_entorno
493
Lista que contiene las variables de entorno del sistema que se deben exportar a las aplicaciones CGI. El administrador puede agregar variables en la lista, segn las necesidades de las aplicaciones especficas. Las entradas deben ser nombres vlidos de variables de entorno. Estas entradas son opcionales. En el archivo de configuracin de WebSEAL predeterminado se proporcionan las siguientes entradas: ENV ENV ENV ENV ENV ENV ENV ENV = = = = = = = = SystemRoot PATH LANG LC_ALL LC_CTYPE LC_MESSAGES LOCPATH NLSPATH
El archivo de configuracin de WebSEAL predeterminado proporciona una variable inactiva (marcada como comentario): #ENV = SystemDrive
494
Iconos
v [content-index-icons] v [icons]
Stanza [content-index-icons] tipo = nombre_ruta_acceso_relativa Las entradas de esta stanza especifican los iconos que se deben utilizar en los ndices de directorios. El valor de nombre_ruta_acceso_relativa es el nombre de ruta de acceso de la ubicacin del icono. El valor de tipo indica un patrn con carcter comodn de un conjunto de tipos MIME. El nombre de ruta de acceso es relativo al espacio de objetos protegidos de WebSEAL, tal como est establecido en la entrada doc-root de la stanza [content]. Los administradores pueden agregar entradas adicionales. El valor de tipo tiene que hacer referencia a tipos MIME vlidos. El carcter comodn (*) est limitado a las entradas de un conjunto de tipos MIME. Por ejemplo, image/*. No se realiza ninguna otra ampliacin del carcter comodn. Para obtener una lista de tipos MIME, consulte la stanza [content-mime-types]. El valor de nombre_ruta_acceso_relativa puede ser cualquier direccin URI vlida dentro del espacio de objetos protegidos de WebSEAL, tal como se define en doc-root. Las entradas de esta stanza son opcionales. El archivo de configuracin de WebSEAL proporciona las siguientes entradas predeterminadas: image/* = /icons/image2.gif video/* = /icons/movie.gif audio/* = /icons/sound2.gif text/html = /icons/generic.gif text/* = /icons/text.gif application/x-tar = /icons/tar.gif application/* = /icons/binary.gif
Stanza [icons] diricon = nombre_ruta_acceso_relativa Nombre de ruta de acceso relativa de un archivo de grficos utilizado para indicar un subdirectorio. Se utiliza cuando se visualiza un ndice de directorios. El valor de nombre_ruta_acceso_relativa puede ser cualquier direccin URI vlida dentro del espacio de objetos protegidos de WebSEAL, tal como se define en doc-root. Esta entrada de stanza es obligatoria. Si no se especifica ningn valor, se utiliza el valor de unknownicon. Valor predeterminado: /icons/folder2.gif Ejemplo: diricon = /icons/folder2.gif backicon = nombre_ruta_acceso_relativa
495
Nombre de ruta de acceso relativa de un archivo de grficos utilizado para indicar el directorio padre. Se utiliza cuando se visualiza un ndice de directorios. El valor de nombre_ruta_acceso_relativa puede ser cualquier direccin URI vlida dentro del espacio de objetos protegidos de WebSEAL, tal como se define en doc-root. Esta entrada de stanza es obligatoria. Si no se especifica ningn valor, se utiliza el valor de unknownicon. Valor predeterminado: /icons/back.gif Ejemplo: backicon = /icons/back.gif unknownicon = nombre_ruta_acceso_relativa Nombre de ruta de acceso relativa de un archivo de grficos utilizado para indicar un tipo de archivo desconocido. Se utiliza cuando se visualiza un ndice de directorios. El valor de nombre_ruta_acceso_relativa puede ser cualquier direccin URI vlida dentro del espacio de objetos protegidos de WebSEAL, tal como se define en doc-root. Esta entrada de stanza es obligatoria. Si no se especifica este valor, se muestra una imagen GIF de vnculo roto. Valor predeterminado: /icons/unknown.gif Ejemplo: unknownicon = /icons/unknown.gif
496
Almacenamiento en cach de contenido

Stanza [content-cache] tipo_MIME = tipo_cach:tamao_cach Lista de entradas que definen las cachs que WebSEAL utiliza para almacenar documentos en la memoria. v tipo_MIME Cualquier tipo MIME vlido incluido en una cabecera de respuesta HTTP Content-Type:. Este valor puede contener un asterisco para indicar un carcter comodn (*). Un valor de */* representa una cach de objetos predeterminada que almacena cualquier objeto que no corresponda a una cach configurada explcitamente. v tipo_cach Define el tipo de almacn de reserva que se debe utilizar para la cach. Slo se da soporte a las cachs de tipo memory. v tamao_cach El tamao mximo, en kilobytes, que debe alcanzar la cach antes de que se eliminen los objetos de acuerdo con un algoritmo de menos utilizados recientemente. El valor mnimo permitido es 1 kilobyte. WebSEAL muestra un error y no se inicia correctamente si el valor es menor que o igual a cero (0). WebSEAL no impone ningn valor mximo permitido. Esta entrada de stanza es opcional. No existe ninguna cach predeterminada definida. Ejemplos: text/html = memory:2000 # image/* = memory:5000 # */* = memory:1000
497
Compresin del contenido

v [compress-mime-types] v [compress-user-agents]
Stanza [compress-mime-types] tipo_mime = tamao_doc_mnimo:[nivel_compresin] Habilita e inhabilita la compresin HTTP en funcin del tipo mime de la respuesta y del tamao del documento devuelto. El tipo_mime puede contener un patrn comodn como un asterisco (*) para el subtipo, o puede ser */* para que coincida con todos los tipos mime. El tamao_doc_mnimo es un nmero entero que puede ser positivo, negativo o cero. Un tamao -1 indica que no se debe comprimir el tipo mime. Un tamao 0 indica que debe comprimirse el documento independientemente de su tamao. Un tamao mayor que 0 indica que debe comprimirse el documento slo si su tamao inicial es mayor o igual que tamao_doc_mnimo. El valor de nivel_compresin es un nmero entero entre 1 y 9. Cuanto mayor sea el nmero, mayor ser la compresin. Si no se especifica un nivel de compresin, se utiliza el nivel 1 como valor predeterminado. Esta entrada de stanza es opcional. Slo existe una entrada predeterminada: */* = -1 Ejemplos: image/* = -1 text/html = 1000
Stanza [compress-user-agents] patrn = {yes|no} Habilita o inhabilita la compresin HTTP en funcin de la cabecera user-agent enviada por los clientes. Esta entrada se utiliza para inhabilitar la compresin para clientes que envan una cabecera HTTP accept-encoding: gzip pero que en realidad no manejan correctamente codificaciones de contenido gzip. Un ejemplo de agente de usuario es un navegador, como Microsoft Internet Explorer 6.0. Esta entrada de stanza es opcional. No existe ninguna entrada predeterminada. Ejemplo: *MSIE 6.0* = yes
498
Tipos de contenido MIME

Stanza [content-mime-types] extensin = tipo_MIME Esta stanza define el tipo MIME de las extensiones de documentos especficas. La stanza contiene una lista de parejas de extensin = tipo_MIME. Muchos tipos MIME comunes ya estn definidos de forma predeterminada. Los administradores pueden agregar entradas adicionales. Tanto las extensiones como los tipos_MIME deben declararse utilizando el juego de caracteres ASCII. La entrada de tipos MIME no vlidos no afecta a WebSEAL, pero puede provocar problemas para los navegadores de los clientes. v extensin La extensin del nombre de archivo de los documentos de este tipo MIME. v tipo_MIME El tipo MIME correspondiente. Los siguientes tipos MIME estn definidos de forma predeterminada: html = text/html htm = text/html gif = image/gif jpeg = image/jpeg ps = application/postscript shtml = text/x-server-parsed-html jpg = image/jpeg jpe = image/jpeg mpeg = video/mpeg mpe = video/mpeg mpg = video/mpeg bin = application/octet-stream exe = application/octet-stream Z = application/octet-stream EXE = application/octet-stream dll = application/octet-stream DLL = application/octet-stream ivsrv = application/octet-stream pdf = application/pdf au = audio/basic snd = audio/basic aiff = audio/x-aiff aifc = audio/x-aiff aif = audio/x-aiff wav = audio/x-wav ai = application/postscript eps = application/postscript rtf = application/rtf zip = application/zip ief = image/ief tiff = image/tiff tif = image/tiff ras = image/x-cmu-raster pnm = image/x-portable-anymap pbm = image/x-portable-bitmap pgm = image/x-portable-graymap ppm = image/x-portable-pixmap rgb = image/x-rgb xbm = image/x-xbitmap xpm = image/x-xpixmap xwd = image/x-xwindowdump txt = text/plain rtx = text/richtext tsv = text/tab-separated-values etx = text/x-setext qt = video/quicktime mov = video/quicktime avi = video/x-msvideo movie = video/x-sgi-movie js = application/x-javascript ls = application/x-javascript mocha = application/x-javascript wrl = x-world/x-vrml dir = application/x-director dxr = application/x-director dcr = application/x-director crt = application/x-x509-ca-cert tar = application/x-tar
deftype = tipo_MIME Tipo predeterminado que se debe asignar a las pginas que no coincidan con ninguna de las entradas extensin = tipo_MIME definidas en esta stanza. El administrador no debera cambiar este valor. Esta entrada de stanza es obligatoria. El valor predeterminado es text/plain Ejemplo: deftype = text/plain
499
Codificacin de contenido
Stanza [content-encodings] extensin = tipo_codificacin Las entradas de esta stanza correlacionan una extensin de documentos con un tipo de codificacin. WebSEAL utiliza esta correlacin para informar sobre el tipo MIME correcto en la cabecera content-type de respuesta para archivos de conexiones locales. Esta correlacin es necesaria para que WebSEAL pueda comunicarse con un navegador que devuelva datos codificados (binarios). Los tipos MIME definidos en esta stanza tambin deben estar definidos en [content-mime-types]. Esta entrada de stanza es obligatoria. Los valores predeterminados son: gz = x-gzip Z = x-compress Cuando WebSEAL encuentra un documento con dos extensiones como, por ejemplo, .txt.Z, genera dos cabeceras: content-type: text/plain content-encoding: x-compress Por lo tanto, aunque los datos sean comprimidos, en la respuesta al navegador se especifica text/plain. Sin embargo, la cabecera content-encoding adicional indica al navegador que los datos estn en formato text/plain comprimido. En muchos casos, no es necesario que el administrador agregue entradas adicionales. Sin embargo, si el administrador agrega un nuevo tipo de extensin que requiera ms de una respuesta text/plain, la extensin y el tipo_codificacin tambin deben agregarse en esta stanza.
500
Uniones
Seccin Gestin de conexiones en la pgina 502 Filtrado de documentos en la pgina 506 Filtrado de manejadores de eventos en la pgina 507 Filtrado de esquemas en la pgina 509 Filtrado de tipos MIME y cabeceras en la pgina 510 Filtrado de scripts en la pgina 511 Renovacin de credenciales en la pgina 513 Nombres de cabecera en la pgina 513 Stanza [junction] [filter-url] [filter-events] [filter-schemes] [filter-content-types] [filter-request-headers] [script-filtering] [preserve-cookie-names] [credential-refresh-attributes] [header-names]
Cach de Global Sign-On en la pgina 514 [gso-cache] Cach de LTPA (Lightweight Third Party Authentication) en la pgina 516 [ltpa-cache]
501
Gestin de conexiones
Stanza [junction] junction-db = nombre_ruta_acceso_relativa Nombre de ruta de acceso relativa que contiene la ubicacin de la base de datos de conexiones. Este valor es relativo al valor establecido en la clave server-root de la stanza [server]. Esta entrada de stanza es obligatoria. Valor predeterminado: jct Ejemplo: junction-db = jct jmt-map = nombre_ruta_acceso_relativa Nombre de ruta de acceso relativa que contiene la ubicacin de la Tabla de correlaciones de conexiones a solicitudes (JMT). Este valor es relativo al valor establecido en la clave server-root de la stanza [server]. El administrador puede cambiar el nombre de este archivo, si es necesario. El nombre de archivo puede ser cualquier nombre de archivo que sea vlido en el sistema de archivos del sistema operativo. Esta entrada de stanza es obligatoria. Valor predeterminado: lib/jmt.conf Ejemplo: jmt-map = lib/jmt.conf http-timeout = nmero_segundos Valor entero que indica el tiempo de espera, en segundos, para el envo y la lectura de una unin TCP. El valor mnimo es 0. Cuando el valor es 0, no existe tiempo de espera. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 120 Ejemplo: http-timeout = 120 https-timeout = nmero_segundos Valor entero que indica el tiempo de espera, en segundos, para el envo y la lectura de una unin SSL (Secure Socket Layer). El valor mnimo es 0. Cuando el valor es 0, no existe tiempo de espera. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 120 Ejemplo: http-timeout = 120 ping-time = nmero_segundos
502
Valor entero que indica el nmero de segundos entre pings ejecutados por el servidor WebSEAL. Los pings se ejecutan peridicamente en segundo plano para comprobar que los servidores WebSEAL con unin estn en ejecucin. El valor mnimo es 1. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 300 Ejemplo: ping-time = 300 basicauth-dummy-passwd = contrasea_ficticia Contrasea global utilizada al proporcionar los datos de autenticacin bsica a travs de conexiones creadas con el argumento -b supply. Las contraseas deben estar formadas por caracteres ASCII. Esta entrada de stanza es obligatoria. Valor predeterminado: dummy Ejemplo: basicauth-dummy-passwd = dummy worker-thread-hard-limit = nmero_threads Valor entero que indica el lmite, expresado como un porcentaje, del nmero total de threads de trabajo que se utilizarn para procesar las solicitudes de conexiones. El valor predeterminado de 100 significa que no hay ningn lmite. Cuando el valor de worker-thread-hard-limit es inferior a 100 y se supera el lmite, WebSEAL genera un mensaje de error. Esta entrada de stanza es obligatoria. Valor predeterminado: 100 Ejemplo: worker-thread-hard-limit = 100 Consulte el apartado Asignacin de threads de trabajo para uniones (imparcialidad de conexiones) en la pgina 45 y la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. worker-thread-soft-limit = nmero_threads Valor entero que indica el lmite, expresado como un porcentaje, del nmero total de threads de trabajo que se utilizarn para procesar las solicitudes de conexiones. Cuando el valor de worker-thread-soft-limit es inferior a 100 y se supera el lmite, WebSEAL genera un mensaje de aviso. Esta entrada de stanza es obligatoria. Valor predeterminado: 90 Ejemplo: worker-thread-soft-limit = 100 Consulte el apartado Asignacin de threads de trabajo para uniones (imparcialidad de conexiones) en la pgina 45 y la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide.
503
io-buffer-size = nmero_bytes Valor entero positivo que indica el tamao de bfer, en bytes, para la lectura y escritura de una unin. El valor mnimo es 1. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 4096 Ejemplo: io-buffer-size = 4096 max-webseal-header-size = nmero_bytes Valor entero que indica el tamao mximo, en bytes, de las cabeceras HTTP generadas por el servidor WebSEAL. Las cabeceras con un tamao superiores a este valor se dividen en varias cabeceras HTTP. Un valor de cero (0) inhabilita este soporte. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de tipos de datos enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 0 Ejemplo: max-webseal-header-size = 0 crl-ldap-server = nombre_servidor Nombre del servidor LDAP al que se debe hacer referencia para la comprobacin de la Lista de revocacin de certificados (CRL) durante la autenticacin a travs de conexiones SSL. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: crl-ldap-server = surf.santacruz.ibm.com crl-ldap-server-port = nmero_puerto Nmero de puerto para la comunicacin con el servidor LDAP especificado en crl-ldap-server. Se hace referencia al servidor LDAP para la comprobacin de la Lista de revocacin de certificados (CRL) durante la autenticacin a travs de uniones SSL. Esta entrada de stanza es opcional. Esta entrada de stanza es obligatoria cuando crl-ldap-server est establecido. No existe ningn valor predeterminado. Ejemplo: crl-ldap-server-port = 389 crl-ldap-user = DN_usuario Nombre distinguido (DN) completo de un usuario de LDAP que tiene los permisos para recuperar la Lista de revocacin de certificados. Esta entrada de stanza es opcional. Un valor vaco para crl-ldap-user indica que el autenticador SSL debe enlazarse al servidor LDAP de forma annima. No existe ningn valor predeterminado.
504
crl-ldap-user-password = contrasea_usuario La contrasea del usuario de LDAP especificado en la entrada de stanza crl-ldap-user. Esta entrada de stanza es opcional. Esta entrada de stanza es obligatoria cuando crl-ldap-server est establecido. No existe ningn valor predeterminado. Ejemplo: crl-ldap-user-password = mypassw0rd disable-ssl-v2 = {yes|no} Inhabilita el soporte para SSL versin 2 para las uniones. El soporte para SSL V2 est habilitado de forma predeterminada. El valor yes significa que el soporte est inhabilitado. El valor no significa que el soporte est habilitado. Esta entrada de stanza es opcional. Si no se especifica, el valor predeterminado es no. Valor predeterminado: no. La configuracin de WebSEAL establece este valor. Ejemplo: disable-ssl-v2 = no disable-ssl-v3 = {yes|no} Inhabilita el soporte para SSL versin 3 para las uniones. El soporte para SSL V3 est habilitado de forma predeterminada. El valor yes significa que el soporte est inhabilitado. El valor no significa que el soporte est habilitado. Esta entrada de stanza es opcional. Si no se especifica, el valor predeterminado es no. Valor predeterminado: no. La configuracin de WebSEAL establece este valor. Ejemplo: disable-ssl-v3 = no disable-tls-v1 = {yes|no} Inhabilita el soporte para TLS versin 1 para las uniones. El soporte para TLS V1 est habilitado de forma predeterminada. El valor yes significa que el soporte est inhabilitado. El valor no significa que el soporte est habilitado. Esta entrada de stanza es opcional. Si no se especifica, el valor predeterminado es no. Valor predeterminado: no. La configuracin de WebSEAL establece este valor. Ejemplo: disable-tls-v1 = no
505
Filtrado de documentos
Stanza [filter-url] indicador_HTML = atributo Lista de atributos de direccin URL que el servidor de WebSEAL filtra en las respuestas de los servidores con unin. Los administradores pueden agregar entradas adicionales, si es necesario. Las nuevas entradas deben estar formadas por indicadores y atributos HTML. Al agregar nuevas entradas, conserve el orden alfabtico. Esta lista es obligatoria. Aunque no todos los indicadores son necesarios para todas las aplicaciones, los indicadores que no se utilizan no causan ninguna molestia. La prctica recomendada es dejar las entradas predeterminadas de esta lista. Indicadores y atributos HTML predeterminados: A = HREF APPLET = CODEBASE AREA = HREF BASE = HREF BGSOUND = SRC BLOCKQUOTE = CITE BODY = BACKGROUND DEL = CITE DIV = EMPTYURL DIV = IMAGEPATH DIV = URL DIV = VIEWCLASS EMBED = PLUGINSPAGE EMBED = SRC FORM = ACTION FRAME = LONGDESC FRAME = SRC HEAD = PROFILE IFRAME = LONGDESC IFRAME = SRC ILAYER = BACKGROUND ILAYER = SRC IMG = SRC IMG = LOWSRC IMG = LONGDESC IMG = USEMAP IMG = DYNSRC INPUT = SRC INPUT = USEMAP INS = CITE ISINDEX = ACTION ISINDEX = HREF LAYER = BACKGROUND LAYER = SRC LINK = HREF LINK = SRC OBJECT = CODEBASE OBJECT = DATA OBJECT = USEMAP Q = CITE SCRIPT = SRC TABLE = BACKGROUND TD = BACKGROUND TH = BACKGROUND TR = BACKGROUND WM:CALENDARPICKER = FOLDERURL WM:CALENDARPICKER = IMAGEPREVARROW WM:CALENDARPICKER = IMAGENEXTARROW WM:CALENDARVIEW = FOLDERURL WM:MESSAGE = DRAFTSURL WM:MESSAGE = URL WM:NOTIFY = FOLDER WM:REMINDER = FOLDER ?IMPORT = IMPLEMENTATION
506
Filtrado de manejadores de eventos

Stanza [filter-events] indicador_HTML = manejador_eventos
507
Lista de cdigos HTML que WebSEAL utiliza para identificar y filtrar las direcciones URL absolutas incrustadas en JavaScript. JavaScript permite que los cdigos HTML incluyan manejadores de eventos que se invocan al producirse ciertos eventos. Por ejemplo, el indicador HTML: <form onsubmit="javascript:doSomething()"> hace que se llame a la funcin JavaScript doSomething() cuando se enva el formulario. Las entradas de esta stanza se utilizan para identificar los cdigos HTML que puedan contener cdigo JavaScript. Cuando se descubre uno de estos indicadores, WebSEAL busca en el indicador para filtrar cualquier direccin URL absoluta incrustada en JavaScript. Por ejemplo, si el ejemplo form onsubmit tuviera este formato: <form onsubmit="javaScript:doSomething(http://junction.server.com)"> el filtrado HTML de WebSEAL modificara el indicador de la siguiente forma: <form onsubmit="javaScript:doSomething(/junction)"> Los administradores pueden agregar entradas adicionales, si es necesario. Las nuevas entradas deben estar formadas por cdigos HTML que estn incorporados en JavaScript. Al agregar nuevas entradas, conserve el orden alfabtico. Esta lista es obligatoria. Aunque no todos los indicadores son necesarios para todas las aplicaciones, los indicadores que no se utilizan no causan ninguna molestia. La prctica recomendada es dejar las entradas predeterminadas de esta lista. Indicadores HTML y manejadores de eventos predeterminados: A = ONCLICK A = ONDBLCLICK A = ONMOUSEDOWN A = ONMOUSEOUT A = ONMOUSEOVER A = ONMOUSEUP AREA = ONCLICK AREA = ONMOUSEOUT AREA = ONMOUSEOVER BODY = ONBLUR BODY = ONCLICK BODY = ONDRAGDROP BODY = ONFOCUS BODY = ONKEYDOWN BODY = ONKEYPRESS BODY = ONKEYUP BODY = ONLOAD BODY = ONMOUSEDOWN BODY = ONMOUSEUP BODY = ONMOVE BODY = ONRESIZE BODY = ONUNLOAD FORM = ONRESET FORM = ONSUBMIT FRAME = ONBLUR FRAME = ONDRAGDROP FRAME = ONFOCUS FRAME = ONLOAD FRAME = ONMOVE FRAME = ONRESIZE FRAME = ONUNLOAD IMG = ONABORT IMG = ONERROR IMG = ONLOAD INPUT = ONBLUR INPUT = ONCHANGE INPUT = ONCLICK INPUT = ONFOCUS INPUT = ONKEYDOWN INPUT = ONKEYPRESS INPUT = ONKEYUP INPUT = ONMOUSEDOWN INPUT = ONMOUSEUP INPUT = ONSELECT LAYER = ONBLUR LAYER = ONLOAD LAYER = ONMOUSEOUT LAYER = ONMOUSEOVER SELECT = ONBLUR SELECT = ONCHANGE SELECT = ONFOCUS TEXTAREA = ONBLUR TEXTAREA = ONCHANGE TEXTAREA = ONFOCUS TEXTAREA = ONKEYDOWN TEXTAREA = ONKEYPRESS TEXTAREA = ONKEYUP TEXTAREA = ONSELECT
508
Filtrado de esquemas
Stanza [filter-schemes] esquema = nombre_esquema Lista de esquemas de direccin URL que WebSEAL no debe filtrar. Un esquema es un identificador de protocolo. Esta lista se utiliza cuando WebSEAL encuentra un documento que contiene una direccin URL bsica. Por ejemplo: <head> <base href="http://www.foo.com"> </head> <a href="mailto:bee@bee.com>Enveme un mensaje",/a> WebSEAL identifica el esquema mailto porque est incluido de forma predeterminada en la stanza [filter-schemes]. Si mailto no estuviera identificado como un esquema, WebSEAL lo interpretara como un documento y realizara el filtrado normal. A continuacin, WebSEAL volvera a escribir el vnculo como: <a href="http://www.foo.com/mailto:bee@bee.com" Esto sera incorrecto. WebSEAL proporciona un conjunto de esquemas predeterminados. El administrador puede ampliar la lista si se utilizan protocolos adicionales. La prctica recomendada es no suprimir ninguna entrada de esta lista. Entradas de la lista predeterminada: scheme scheme scheme scheme scheme scheme = = = = = = file ftp https mailto news telnet
509
Filtrado de tipos MIME y cabeceras

v [filter-content-types] v [filter-request-headers]
Stanza [filter-content-types] tipo = nombre_tipo Lista de entradas que especifica los tipos MIME que WebSEAL debe filtrar cuando se reciben desde servidores con unin. Los administradores pueden agregar tipos MIME adicionales que hagan referencia a un documento que incluya contenido HTML o similar. Esta lista de entradas de stanza es obligatoria. No elimine las entradas predeterminadas. Entradas de la lista predeterminada: type = text/html type = text/vnd.wap.wml Consulte el apartado Reglas de filtrado estndar de direcciones URL para WebSEAL en la pgina 320.
Stanza [filter-request-headers] cabecera = nombre_cabecera Lista de cabeceras HTTP que WebSEAL filtra antes de enviar la solicitud a un servidor con unin. Existe una lista predeterminada incorporada en WebSEAL. Las entradas predeterminadas no se incluyen en el archivo de configuracin. Lista predeterminada: host connection proxy-connection expect te iv-ssl-jct iv-user iv_user iv-groups iv_groups iv-creds iv_creds iv_remote_address iv-remote-address La adicin de nuevas entradas en esta stanza es opcional. Por ejemplo, un administrador podra agregar la cabecera accept-encoding. Esto indicara a WebSEAL que debe eliminar cualquier cabecera accept-encoding de las solicitudes antes de reenviarlas a la unin. La eliminacin de la cabecera accept-encoding hara que el servidor con unin devolviera el documento en un formato sin codificar, lo que permitira a WebSEAL filtrar el documento, si fuera necesario. Las nuevas entradas deben estar formadas por cabeceras HTTP vlidas.
510
Filtrado de scripts
v [script-filtering] v [preserve-cookie-names] v [illegal-url-substrings]
Stanza [script-filtering] script-filter = {yes|no} Habilita o inhabilita el soporte para filtrado de scripts. El valor yes significa que est habilitado. El valor no significa que est inhabilitado. Cuando est habilitado, WebSEAL puede filtrar las direcciones URL absolutas que se encuentran en scripts como, por ejemplo, JavaScript. Esta entrada de stanza es opcional, pero se incluye de forma predeterminada. Cuando no est declarada, el valor de la funcionalidad script-filter est establecido en no de forma predeterminada. Valor predeterminado: no Ejemplo: script-filter = no Consulte el apartado Modificacin de las direcciones URL absolutas con filtrado de scripts en la pgina 321. rewrite-absolute-with-absolute = {yes|no} Permite a WebSEAL volver a escribir las direcciones URL absolutas con nuevas direcciones URL absolutas que contienen el protocolo, host y puerto (opcionalmente) y que representan la forma en que el usuario ha accedido al servidor WebSEAL. Esta entrada de stanza es opcional. No existe ningn valor predeterminado, pero si no se especifica la entrada en el archivo de configuracin, WebSEAL interpreta que el valor es no. Ejemplo: rewrite-absolute-with-absolute = no Consulte el apartado Modificacin de las direcciones URL absolutas con filtrado de scripts en la pgina 321. hostname-junction-cookie = {yes|no} Permite a WebSEAL identificar de forma exclusiva la cookie utilizada para resolver los vnculos sin filtrar. Se utiliza cuando otro servidor WebSEAL ha creado una unin con este servidor WebSEAL mediante una unin de WebSEAL a WebSEAL. Esta entrada de stanza es opcional, pero se incluye de forma predeterminada en el archivo de configuracin. Valor predeterminado: no Ejemplo: hostname-junction-cookie = no
Stanza [preserve-cookie-names] name = nombre_cookie
511
Lista de nombres de cookies especficas que WebSEAL no debe modificar. De forma predeterminada, WebSEAL modifica los nombres de cookies que se devuelven en respuestas desde uniones creadas con pdadmin mediante el indicador j. WebSEAL tambin modifica de forma predeterminada el nombre de las cookies que aparecen en la lista de la tabla de correlaciones de uniones (JMT). Esta modificacin predeterminada se realiza para evitar conflictos de denominacin con las cookies que devuelven otras uniones. Si una aplicacin frontal depende de los nombres de cookies especficas, el administrador puede inhabilitar la modificacin de los nombres de esas cookies especficas. Para ello, el administrador lista las cookies en esta stanza. Al especificar un valor para nombre_cookie, utilice caracteres ASCII. No existe ningn nombre de cookie establecido de forma predeterminada. Ejemplo: Name = JSESSIONID
Stanza [illegal-url-substrings] substring = cadena WebSEAL bloquea las solicitudes HTTP que contienen cualquiera de las subcadenas especificadas aqu. Esta entrada de stanza es opcional. Entrada predeterminada: substring = <script
512
Renovacin de credenciales
Stanza [credential-refresh-attributes] authentication_level = {preserve|refresh} Especifica si el nivel de autenticacin para el usuario debe mantenerse o renovarse durante la renovacin de una credencial. El nivel de autenticacin puede reflejar los resultados de una poltica de intensidad de autenticacin (autenticacin incremental). En la mayora de los casos, este nivel debera mantenerse durante la renovacin de una credencial. Esta entrada de stanza es obligatoria. Valor predeterminado: preserve Ejemplo: authentication_level = preserve patrn_nombre_atributo = {preserve|refresh} Especifica si un atributo, o un grupo de atributos que coinciden con un patrn, deben conservarse o renovarse durante la renovacin de una credencial. Esta entrada de stanza es opcional. Entrada predeterminada: tagvalue_* = preserve Ejemplo: tagvalue_* = preserve
Nombres de cabecera
Stanza [header-names] server-name = {iv-server-name|(ningn valor)} Especifica el nombre del servidor de administracin de API de autorizacin utilizado con el comando server task para la aplicacin con unin. El nombre se pasa en la cabecera al servidor con unin. Para inhabilitar la cabecera, omita cualquier valor de esta clave: server-name = Esta entrada de stanza es obligatoria. Entrada predeterminada: server-name = iv-server-name Ejemplo: server-name = iv-server-name
513
Cach de Global Sign-On

Stanza [gso-cache] gso-cache-enabled = {yes|no} Habilita o inhabilita la cach de Global Sign-on (GSO). Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: gso-cache-enabled = no gso-cache-size = nmero_entradas Valor entero que indica el nmero mximo de entradas permitidas en la cach de GSO. El valor debe ser mayor que o igual a cero. Cero significa que no hay ningn lmite de tamao de la cach de GSO. Esto no es recomendable. WebSEAL no impone ningn valor mximo. Elija un valor mximo que est dentro de los lmites de la memoria del sistema disponible. Consulte la informacin sobre los valores mximos de tipos de datos enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria, pero se omite si el almacenamiento en cach de GSO est inhabilitado. Valor predeterminado: 1024 Ejemplo: gso-cache-size = 1024 gso-cache-entry-lifetime = nmero_segundos Valor entero que especifica la duracin, en segundos, de una entrada en la cach de GSO. El valor debe ser mayor que o igual a cero (0). Un valor de 0 significa que las entradas no se eliminan de la cach de GSO al exceder su duracin. Sin embargo, es posible que se eliminen igualmente si se supera el valor de la entrada de stanza gso-cache-size o gso-cache-entry-idle-timeout. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de tipos de datos enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria, pero se omite si el almacenamiento en cach de GSO est inhabilitado. Valor predeterminado: 900 Ejemplo: gso-cache-entry-lifetime = 900 gso-cache-entry-idle-timeout = nmero_segundos
514
Valor entero que especifica el tiempo de espera, en segundos, de las entradas de cach que estn inactivas. El valor debe ser mayor que o igual a cero (0). Un valor de 0 significa que las entradas no se eliminan de la cach de GSO debido a su inactividad. Sin embargo, es posible que se eliminen igualmente si se supera el valor de la entrada de stanza gso-cache-size o gso-cache-entry-lifetime. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de tipos de datos enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria, pero se omite si el almacenamiento en cach de GSO est inhabilitado. Valor predeterminado: 120 Ejemplo: gso-cache-entry-idle-timeout = 120
515
Cach de LTPA (Lightweight Third Party Authentication)

Stanza [ltpa-cache] ltpa-cache-enabled = {yes|no} Habilita o inhabilita la cach de LTPA (Lightweight Third Party Authentication). El valor yes habilita el almacenamiento en cach. El valor no inhabilita el almacenamiento en cach. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: ltpa-cache-enabled = yes ltpa-cache-size = nmero_entradas Valor entero que indica el nmero mximo de entradas permitidas en la cach de LTPA. El valor debe ser mayor que o igual a cero. Cero significa que no hay ningn lmite de tamao de la cach de LTPA. Esto no es recomendable. WebSEAL no impone ningn valor mximo. Elija un valor mximo que est dentro de los lmites de la memoria del sistema disponible. Consulte la informacin sobre los valores mximos de tipos de datos enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria, pero se omite si el almacenamiento en cach de LTPA est inhabilitado. Valor predeterminado: 4096 Ejemplo: ltpa-cache-size = 4096 ltpa-cache-entry-lifetime = nmero_segundos Valor entero que especifica la duracin, en segundos, de una entrada en la cach de LTPA. El valor debe ser mayor que o igual a cero (0). Un valor de 0 significa que las entradas no se eliminan de la cach de LTPA al exceder su duracin. Sin embargo, es posible que se eliminen igualmente si se supera el valor de la entrada de stanza ltpa-cache-size o ltpa-cache-entry-idle-timeout. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de tipos de datos enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria, pero se omite si el almacenamiento en cach de LTPA est inhabilitado. Valor predeterminado: 3600 Ejemplo: ltpa-cache-entry-lifetime = 3600 ltpa-cache-entry-idle-timeout = nmero_segundos
516
Valor entero que especifica el tiempo de espera, en segundos, de las entradas de cach que estn inactivas. El valor debe ser mayor que o igual a cero (0). Un valor de 0 significa que las entradas no se eliminan de la cach de LTPA debido a su inactividad. Sin embargo, es posible que se eliminen igualmente si se supera el valor de la entrada de stanza ltpa-cache-size o ltpa-cache-entry-lifetime. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de tipos de datos enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria, pero se omite si el almacenamiento en cach de LTPA est inhabilitado. Valor predeterminado: 600 Ejemplo: gso-cache-entry-idle-timeout = 600
517
Registro
Stanza [logging] server-log = ruta_acceso_completa Ruta de acceso completa del archivo de registro de errores del servidor. Esta entrada de stanza es obligatoria. La ubicacin predeterminada es log/webseald.log, que se encuentra dentro del directorio de instalacin de WebSEAL. Ejemplo en UNIX: server-log = /var/pdweb/log/msg__webseald.log max-size = nmero_bytes Valor entero que indica el lmite de tamao de los archivos de registro. Tambin se hace referencia al lmite de tamao como umbral de creacin. Cuando el archivo de registro alcanza este umbral, se cambia el nombre del archivo de registro original y se crea un nuevo archivo de registro con el nombre original. Cuando el valor es cero (0), no se crea ningn archivo de registro nuevo. Cuando el valor es un entero negativo, se crean nuevos registros diariamente, independientemente del tamao. Cuando el valor es un entero positivo, el valor indica el tamao mximo, en bytes, que debe tener el archivo de registro antes de crear uno nuevo. El intervalo permitido es de 1 byte a 2 megabytes. Un valor entero que indica el lmite de tamao de los archivos de registro. Este valor se aplica a los archivos de registro de solicitudes, referentes y agentes. Esta entrada de stanza es opcional. Valor predeterminado: 2000000 Ejemplo: max-size = 2000000 flush-time = nmero_segundos Valor entero que indica la frecuencia, en segundos, con la que se debe forzar un vaciado de los bferes de registro. El valor mnimo es 1 segundo. El valor mximo es 600 segundos. Esta entrada de stanza es opcional. Valor predeterminado: 20 Ejemplo: flush-time = 20 requests = {yes|no}
518
Habilita o inhabilita el registro de solicitudes. Se trata de un registro estndar de las solicitudes HTTP. El valor yes habilita el registro de solicitudes. El valor no inhabilita el registro de solicitudes. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: requests = yes Para obtener ms informacin, consulte el apartado Auditora heredada para HTTP en la pgina 119. requests-file = ruta_acceso_completa Ruta de acceso completa del archivo de registro de solicitudes. Esta entrada de stanza es obligatoria. La ubicacin predeterminada es www-instancia/log/request.log, que se encuentra en el directorio de instalacin de WebSEAL. Ejemplo en UNIX: requests-file = /var/pdweb/www-web1/log/request.log referers = {yes|no} Habilita o inhabilita el registro de referentes. Este registro anota la cabecera Referer: de cada solicitud HTTP. El valor yes habilita el registro de referentes. El valor no inhabilita el registro de referentes. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: referers = yes Para obtener ms informacin, consulte el apartado Auditora heredada para HTTP en la pgina 119. referers-file = ruta_acceso_completa Ruta de acceso completa del archivo de registro de referentes. Esta entrada de stanza es obligatoria. La ubicacin predeterminada es www-instancia/log/referer.log, que se encuentra en el directorio de instalacin de WebSEAL. Ejemplo: referers-file = /var/pdweb/www-web1/log/referer.log agents = {yes|no} Habilita o inhabilita el registro de agentes. Este registro anota el contenido de la cabecera User_Agent: de cada solicitud HTTP. El valor yes habilita el registro de agentes. El valor no inhabilita el registro de agentes. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: agents = yes Para obtener ms informacin, consulte el apartado Auditora heredada para HTTP en la pgina 119. agents-file = ruta_acceso_completa
519
Ruta de acceso completa del archivo de registro de agentes. Esta entrada de stanza es obligatoria. La ubicacin predeterminada es www-instancia/log/agent.log, que se encuentra en el directorio de instalacin de WebSEAL. Ejemplo: agents-file = /var/pdweb/www-web1/log/agent.log gmt-time = {yes|no} Habilita o inhabilita el registro de solicitudes utilizando GMT (Hora del meridiano de Greenwich) en lugar de la zona horaria local. Un valor de yes significa que se debe utilizar GMT. Un valor de no significa que se debe utilizar la zona horaria local. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: gmt-time = no
520
Auditora
Stanza [aznapi-configuration] logclientid = webseald Nombre del daemon de cuyas actividades se realiza una auditora mediante la utilizacin del registro de la API de autorizacin. Esta entrada de stanza es obligatoria. Valor predeterminado: webseald Ejemplo: logclientid = webseald logsize = nmero_bytes Valor entero que indica el lmite de tamao de los archivos de registro de auditora. Tambin se hace referencia al lmite de tamao como umbral de creacin. Cuando el archivo de registro de auditora alcanza este umbral, se cambia el nombre del archivo de registro de auditora original y se crea un nuevo archivo de registro con el nombre original. Cuando el valor es cero (0), no se crea ningn archivo de registro nuevo. Cuando el valor es un entero negativo, se crean nuevos registros diariamente, independientemente del tamao. Cuando el valor es un entero positivo, el valor indica el tamao mximo, en bytes, que debe tener el archivo de registro de auditora antes de crear uno nuevo. El intervalo permitido es de 1 byte a 2 megabytes. Esta entrada de stanza es opcional. Valor predeterminado: 2000000 Ejemplo: max-size = 2000000 logflush = nmero_segundos Valor entero que indica la frecuencia, en segundos, con la que se debe forzar un vaciado de los bferes de registro. El valor mnimo es 1 segundo. El valor mximo es 600 segundos. Esta entrada de stanza es opcional. Valor predeterminado: 20 Ejemplo: logflush = 20 logaudit = {yes|true|no|false} Habilita o inhabilita la auditora. Los valores yes o true habilitan la auditora. Los valores no o false inhabilitan la auditora. De forma predeterminada, si se ha habilitado la auditora a travs de esta clave y no se ha especificado ningn evento de auditora mediante auditcfg, se capturarn todos los eventos auditables. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: logaudit = no
521
auditlog = ruta_acceso_completa Ubicacin del archivo de seguimiento de auditora de WebSEAL. El valor de la ruta de acceso completa representa una cadena alfanumrica. Esta entrada de stanza es obligatoria cuando la auditora est habilitada. El valor predeterminado se establece durante la configuracin de WebSEAL mediante la adicin de log/aznapi_webseald.log en la ruta de acceso del directorio de instalacin de WebSEAL. Ejemplo en UNIX: auditlog = /var/pdweb/log/aznapi_webseald.log auditcfg = {azn|authn|http} Indica los componentes para los que se ha configurado la auditora de eventos. Para habilitar los registros de auditora especficos de un componente, agregue la definicin adecuada. Los valores vlidos son: azn Captura de los eventos de autorizacin. authn Captura de los eventos de autenticacin. http Captura los eventos HTTP. Se trata de los eventos registrados por los clientes de registro de solicitudes, referentes y agentes. Esta entrada de stanza es opcional para WebSEAL. Sin embargo, esta entrada de stanza es obligatoria cuando la auditora est habilitada (logaudit = yes). No existe ningn valor predeterminado para WebSEAL, ya que la auditora est inhabilitada de forma predeterminada. Cree una entrada de stanza separada para cada componente que desee activar. En el archivo de configuracin predeterminado se incluyen los componentes, pero estn marcadas como comentarios. Para activar una entrada con comentario, elimine el signo # del principio de la entrada. Ejemplo: auditcfg = azn #auditcfg = authn #auditcfg = http logcfg = categora:{stdout|stderr|file|pipe|remote}[ [parmetro=valor ] [,parmetro=valor]...]
522
Especifica el registro de eventos para la categora especificada. En WebSEAL, las categoras son: v azn Eventos de autorizacin. v authn Autenticacin de obtencin de credenciales. v http Toda la informacin de registro HTTP. v http.clf Informacin de solicitud HTTP en formato de registro comn. v http.ref Informacin de cabecera HTTP Referer. v http.agent Informacin de cabecera HTTP User_Agent. v http.cof Formato combinado NCSA que captura informacin de solicitud HTTP (con la marca de fecha y hora) y agrega las cadenas entre comillas de referente y agente al formato de registro comn estndar. El registro de eventos da soporte a una variedad de tipos de destinos de salida: {stdout|stderr|file|pipe|remote} Normalmente, la auditora de WebSEAL est configurada para utilizar el tipo file. Cada tipo de registro de eventos da soporte a una variedad de valores de parmetro = valor opcionales. Para obtener ms informacin sobre los tipos de destinos de salida y los valores de parmetro = valor opcionales, consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Entrada de ejemplo para request.log (formato de registro comn), introducida en una sola lnea: logcfg = http.clf:file path=archivo_solicitud, \ flush=tiempo, rollover=tamao_mx, \ log=clf,buffer_size=8192,queue_size=48 Para obtener ms informacin, consulte el apartado Captura y registro de eventos en la pgina 111.
523
Base de datos de polticas

Stanza [aznapi-configuration] db-file = ruta_acceso_completa Ruta de acceso completa del archivo de cach de la base de datos de polticas de WebSEAL. Esta entrada de stanza es obligatoria. El valor predeterminado es un nombre de ruta de acceso en el que db/webseald.db se agrega a la ruta de acceso del directorio de instalacin de WebSEAL. Ejemplo en UNIX: db-file = /var/pdweb/db/webseald.db cache-refresh-interval = {disable|default|nmero_segundos} Intervalo de sondeo entre las comprobaciones de actualizaciones del Authorization Server maestro. Los valores vlidos son: disable No se establece ningn valor de intervalo en segundos. default Si el valor est establecido en default, se utiliza un intervalo de 600 segundos. nmero_segundos Valor entero que indica el nmero de segundos entre los sondeos del Authorization Server maestro en busca de actualizaciones. El nmero mnimo de segundos es 0. No existe ningn valor mximo. Consulte la informacin sobre los valores mximos de tipos de datos enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es opcional. El valor predeterminado para WebSEAL es disable. Ejemplo: cache-refresh-interval = disable listen-flags = {enable|disable} Habilita o inhabilita la recepcin por parte de WebSEAL de las notificaciones de actualizacin de la cach de polticas procedentes del Authorization Server maestro. El valor enable activa la escucha de notificaciones. El valor disable desactiva la escucha de notificaciones. Esta entrada de stanza es obligatoria. Valor predeterminado: disable Ejemplo: listen-flags = enable mode = local Especifica la modalidad del cliente de API de autorizacin para el servidor WebSEAL. Slo se da soporte a la modalidad local. svrsslcfg establece esta entrada de stanza durante la configuracin de WebSEAL y el administrador no debera cambiarla. Esta entrada de stanza es obligatoria. Valor predeterminado: local Ejemplo: mode = local
524
policy-cache-size = tamao_cach El tamao mximo de la cach de polticas en memoria puede configurarse. La cach est formada por la poltica y por relaciones entre la poltica y los recursos. La informacin que indica que un recurso no tiene una poltica asociada directamente tambin se almacena en la cach. El tamao mximo de la cach debe ser relativo al nmero de objetos de poltica definidos, al nmero de recursos protegidos y a la memoria disponible. Un buen algoritmo para empezar es: (nmero de objetos de poltica * 3) + (nmero de recursos protegidos * 3) Este valor controla cunta informacin se almacena en la cach. Una cach de mayor tamao posiblemente mejorar el rendimiento de la aplicacin pero tambin supondr un uso adicional de memoria. El tamao se especifica como nmero de entradas. Esta entrada de stanza es opcional. Valor predeterminado: ninguno Ejemplo: policy-cache-size = 32768 azn-server-name = nombre_servidor_webseal Especifica el nombre de servidor WebSEAL que se debe utilizar para ponerse en contacto con Policy Server como un cliente de API de autorizacin. Esta entrada de stanza se establece durante la configuracin de WebSEAL y normalmente el administrador no debe cambiarla. Esta entrada de stanza es obligatoria. El valor predeterminado consiste en una combinacin de webseald y el nombre de host, separados por un guin (-): Ejemplo: azn-server-name = webseald-surf pd-user-name = identidad_servidor_webseal Identidad de Tivoli Access Manager del servidor WebSEAL. svrsslcfg establece esta entrada de stanza durante la configuracin de WebSEAL y el administrador no debera cambiarla. Esta entrada de stanza es obligatoria. El valor predeterminado consiste en una combinacin de webseald y el nombre de host, separados por una barra inclinada (/): Ejemplo: pd-user-name = webseald/surf pd-user-pwd = contrasea Contrasea de la identidad del cliente de API de autorizacin. Esta identidad representa el daemon del servidor WebSEAL. svrsslcfg establece esta entrada de stanza durante la configuracin de WebSEAL y el administrador no debera cambiarla. Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado. Ejemplo: pd-user-pwd = ZsLuBKSo
525
Servicios de titularidad
Stanza [aznapi-entitlement-services] service-id = nombre_base_biblioteca La API de autorizacin de Tivoli Access Manager proporciona una infraestructura para agregar servicios de titularidad al proceso de toma de decisiones de autorizacin. La API de autorizacin obtiene la informacin de los servicios de titularidad activos a travs de la lectura de las entradas de los archivos de stanza, como este, y de la lectura de las entradas de la stanza de inicializacin que se envan a la API al iniciarse. WebSEAL utiliza un servicio de titularidad incorporado que se proporciona en forma de biblioteca compartida. Esta entrada del archivo de configuracin proporciona un ID-servicio de AZN_ENT_EXT_ATR. Nota: La API de autorizacin utiliza el ID-servicio para denotar la presencia de un servicio que se debe cargar al inicializar la API. Para obtener ms informacin, consulte la publicacin IBM Tivoli Access Manager for e-business Authorization C API Developer Reference. Esta entrada del archivo de configuracin tambin especifica el nombre de la biblioteca compartida: azn_ent_ext_attr. El nombre de la biblioteca compartida azn_ent_ext_attr y su ubicacin dentro del sistema de archivos dependen de cada sistema operativo. Por ejemplo, en plataformas Windows, los nombres de las bibliotecas compartidas contienen el sufijo .dll. Sin embargo, el nombre base de la biblioteca es comn en todos los sistemas operativos. Este valor se especifica en nombre_base_biblioteca. WebSEAL lee el nombre_base_biblioteca y utiliza un algoritmo interno de bsqueda para encontrar la biblioteca compartida adecuada mediante la utilizacin de todos los prefijos, sufijos y ubicaciones de archivos conocidos. Esta entrada de stanza es obligatoria. El administrador no debera cambiar esta entrada. Para obtener ms informacin sobre los servicios de titularidad, consulte la publicacin IBM Tivoli Access Manager for e-business Authorization C API Developer Reference. WebSEAL contiene una entrada predeterminada para un servicio de titularidad: AZN_ENT_EXT_ATTR = azn_ent_ext_attr
526
Policy Server
v [policy-director] v [manager]
Stanza [policy-director] config-file = /opt/PolicyDirector/etc/pd.conf Nombre de ruta de acceso del archivo de configuracin de Tivoli Access Manager Policy Server para el dominio en el que est configurado el servidor WebSEAL. La configuracin de WebSEAL establece esta entrada de stanza y no se debera modificar. Esta entrada de stanza es obligatoria. El valor predeterminado de la ruta de acceso del archivo de configuracin se forma agregando etc/pd.conf en el directorio de instalacin de Tivoli Access Manager. Ejemplo en UNIX: config-file = /opt/PolicyDirector/etc/pd.conf
Stanza [manager] master-host = nombre_host_Policy_Server Nombre de host de Tivoli Access Manager Policy Server para el dominio al que pertenece este servidor WebSEAL. Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado.svrsslcfg establece esta entrada de stanza durante la configuracin de WebSEAL. Los administradores no deberan cambiar esta entrada de stanza. Ejemplo: master-host = server77 master-port = nmero_puerto Puerto TCP que el host de Policy Server utiliza para comunicarse con WebSEAL. Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado.svrsslcfg establece esta entrada de stanza durante la configuracin de WebSEAL. Los administradores no deberan cambiar esta entrada de stanza. Ejemplo: master-port = 7135 master-dn = DN_LDAP DN completo del daemon de Policy Server para este dominio seguro de Tivoli Access Manager. Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado.svrsslcfg establece esta entrada de stanza durante la configuracin de WebSEAL. Los administradores no deberan cambiar esta entrada de stanza. Ejemplo: master-dn = CN=ivmgrd/master,O=Policy Director,C=US
527
Platform for Privacy Preferences (P3P)

v [server] v [p3p-header]
Stanza [server] preserve-p3p-policy = {yes|no} Especifica si las cabeceras de los servidores con unin deben reemplazarse o mantenerse. El valor yes indica que las cabeceras se mantienen. El valor no indica que las cabeceras se reemplazan. Esta entrada de stanza es obligatoria. El valor predeterminado es no. Ejemplo: preserve-p3p-policy = no
Stanza [p3p-header] p3p-element = policyref=ubicacin_referencia_poltica Especifica los elementos que deben agregarse a la cabecera P3P adems de los elementos especificados por otros elementos de configuracin de esta stanza. Generalmente, esto se lleva a cabo haciendo referencia a la ubicacin de una poltica XML completa. La entrada predeterminada remite a una referencia de poltica predeterminada que se encuentra en el sitio web de World Wide Web Consortium. Esta entrada de stanza es obligatoria. El valor predeterminado es policyref="/w3c/p3p.xml". Ejemplo: p3p-element = policyref="/w3c/p3p.xml" access = {none|all|nonident|contact-and-other|ident-contact|other-ident}
528
Especifica el tipo de acceso que tiene el usuario a la informacin que contiene y con la que la cookie establece un vnculo. v none No se otorga acceso a los datos identificados. v all Se otorga acceso a todos los datos identificados. v contact-and-other Se otorga acceso a informacin en lnea y a informacin de contactos fsicos identificada, as como a otros datos identificados determinados. v ident-contact Se otorga acceso a informacin en lnea y a informacin de contactos fsicos identificada. Los usuarios, por ejemplo, pueden acceder a datos tales como una direccin postal. v nonident El sitio web no recopila los datos identificados. v other-ident Se otorga acceso a otros datos identificados determinados. Los usuarios, por ejemplo, pueden acceder a datos tales como sus cargos de cuenta en lnea. Esta entrada de stanza es obligatoria. El valor predeterminado es none. Ejemplo: access = none
529
categories = {physical|online|uniqueid|purchase|financial| computer|navigation|interactive|demographic| content|state|political|health|preference| location|government|other-category} Especifica el tipo de informacin que se almacena en la cookie o con la que la cookie establece un vnculo. Cuando la opcin non-identifiable se establece en yes, no es necesario configurar ninguna categora. Los valores posibles son: v physical Informacin que permite establecer contacto con un individuo o localizarlo en el mundo fsico. Por ejemplo, nmero de telfono o direccin. v online Informacin que permite establecer contacto con un individuo o localizarlo en Internet. v uniqueid Identificadores no financieros (excepto los identificadores emitidos por el gobierno) que se emiten para poder identificar o reconocer a un individuo de forma sistemtica. v purchase Informacin que se genera de forma activa al adquirir un producto o servicio, incluyendo informacin sobre el mtodo de pago. v financial Informacin sobre las finanzas de un individuo incluyendo el estado de las cuentas e informacin de la actividad, como el saldo de la cuenta, los pagos o el historial de descubiertos, e informacin sobre la adquisicin o el uso de instrumentos financieros por parte de un individuo, incluida informacin sobre la tarjeta de crdito o de dbito. v computer Informacin sobre el sistema informtico que el individuo utiliza para acceder a la red. Por ejemplo, nmero de IP, nombre del dominio, tipo de navegador o sistema operativo. v navigation Datos generados de forma pasiva al navegar por el sitio web. Por ejemplo, pginas visitadas y tiempo durante el que los usuarios permanecen en una pgina. v interactive Datos generados de forma activa a partir de interacciones explcitas, o que las reflejan, con un proveedor de servicio a travs de su sitio. Por ejemplo, consultas a un motor de bsquedas o registros sobre la actividad de las cuentas. v demographic Datos sobre las caractersticas de un individuo. Por ejemplo, sexo, edad e ingresos. v content Palabras y expresiones que contiene el cuerpo de una comunicacin. Por ejemplo, texto de un correo electrnico, destino de los tablones de anuncios o comunicaciones en salas de chat.
530
v state Mecanismos para mantener una sesin con informacin de estado con un usuario o para reconocer automticamente a los usuarios que han visitado un sitio determinado o que han accedido con anterioridad a un determinado contenido. Por ejemplo, cookies HTTP. v political Pertenencia a grupos o afiliacin a los mismos, tales como organizaciones religiosas, sindicatos, asociaciones profesionales y partidos polticos. v health Informacin sobre la salud fsica o mental de un individuo, orientacin sexual, uso o consulta o adquisicin de servicios o productos de salud. v preference Datos sobre aquello que gusta o no gusta a un individuo. Por ejemplo, color o estilos musicales favoritos. v location Informacin que puede utilizarse para identificar la ubicacin fsica actual de un individuo y realizar un seguimiento del individuo a medida que su ubicacin va cambiando. Por ejemplo, datos sobre la posicin del sistema GPS (Global Positioning System). v government Identificadores que emite un gobierno para poder identificar a un individuo de forma sistemtica. v other-category Otros tipos de datos no recogidos por las definiciones anteriores. Esta entrada de stanza es obligatoria. El valor predeterminado es uniqueid. Ejemplo: categories = uniqueid disputes = {yes|no} Especifica si la poltica P3P completa contiene informacin relacionada con las disputas sobre la informacin que contiene la cookie. El valor yes indica que la informacin sobre las disputas se encuentra la poltica P3P completa. El valor no indica que la poltica no contiene informacin sobre las disputas. Esta entrada de stanza es obligatoria. El valor predeterminado es no. Ejemplo: disputes = no
531
remedies = {correct|money|law} Especifica los tipos de remedio en caso de que se produzca una infraccin de una poltica. Cuando esta entrada no tiene ningn valor, la poltica compacta P3P no contiene informacin sobre remedios. v correct El servicio remediar los errores o las acciones improcedentes que surjan en relacin con la poltica de privacidad. v money Si el proveedor de servicios infringe su poltica de privacidad, deber pagar al individuo una cantidad especificada en la poltica de privacidad en formato legible por el usuario o el importe de los daos. v law Los remedios para las infracciones de la sentencia de poltica se determinarn en funcin de la ley a la que se haga referencia en la descripcin en formato legible por el usuario. Esta entrada de stanza es obligatoria. El valor predeterminado es correct. Ejemplo: remedies = correct non-identifiable = {yes|no} Especifica que la informacin de la cookie, o con la que la cookie establece un vnculo, no identifica de forma personal al usuario. v yes Los datos que se recopilan identifican al usuario. v no O bien no se recopilan datos (incluidos registros de la web) o bien la informacin que se recopila no identifica al usuario. Esta entrada de stanza es obligatoria. El valor predeterminado es no. Ejemplo: non-identifiable = no purpose = {current|admin|develop|tailoring|pseudo-analysis| pseudo-decision|individual-analysis|individual-decision| contact|historical|telemarketing|other-purpose} [:[opt-in|opt-out|always]]
532
Especifica la finalidad de la informacin de la cookie y de la informacin con la que la cookie establece un vnculo. v current El proveedor de servicios puede utilizar la informacin para completar la actividad para la que se ha proporcionado. v admin La informacin puede utilizarse para el soporte tcnico del sitio web y del sistema. v develop La informacin puede utilizarse para mejorar, evaluar o revisar de otro modo el sitio, el servicio, el producto o el mercado. v tailoring La informacin puede utilizarse para adaptar o modificar el contenido o el diseo del sitio en el que se utiliza la informacin solamente para una visita al sitio. v pseudo-analysis La informacin puede utilizarse para crear o construir un registro de un individuo o un sistema determinado que est vinculado con un identificador de pseudnimo, sin vincular datos identificados (como el nombre, la direccin, el nmero de telfono o la direccin de correo electrnico) al registro. Este perfil se utilizar para determinar los hbitos, los intereses u otras caractersticas de los individuos a fin de llevar a cabo investigacin, anlisis e informes, pero no se utilizar para intentar identificar a individuos especficos. v pseudo-decision La informacin puede utilizarse para crear o construir un registro de un individuo o un sistema determinado que est vinculado con un identificador de pseudnimo, sin vincular datos identificados (como el nombre, la direccin, el nmero de telfono o la direccin de correo electrnico) al registro. Este perfil se utilizar para determinar los hbitos, los intereses u otras caractersticas de los individuos a fin de tomar decisiones que directamente afectan al individuo, pero no se utilizar para intentar identificar a individuos especficos. v individual-analysis La informacin puede utilizarse para determinar los hbitos, los intereses u otras caractersticas de los individuos y combinarlos con datos identificados a fin de llevar a cabo investigacin, anlisis e informes. v individual-decision La informacin puede utilizarse para determinar los hbitos, los intereses u otras caractersticas de los individuos y combinarlos con datos identificados a fin de tomar una decisin que directamente afecta al individuo. v contact La informacin puede utilizarse para establecer contacto con un individuo, a travs de un canal de comunicaciones que no sea el telfono por voz, para promocionar un producto o un servicio. v historical La informacin puede archivarse o almacenarse con el objeto de mantener un historial social segn establezca una ley o una poltica. v telemarketing La informacin puede utilizarse para establecer contacto con un individuo a travs de una llamada de telfono por voz para promocionar un producto o un servicio. v other-purpose La informacin puede utilizarse de otras formas no recogidas por las definiciones anteriores.
533
Para todos los valores, con la excepcin de current, puede especificarse una opcin adicional. Los valores posibles son: v always Los usuarios no pueden permitir (opt-in) ni denegar (opt-out) este uso de sus datos. v opt-in Los datos pueden utilizarse con esta finalidad slo si el usuario solicita afirmativamente este uso. v opt-out Los datos pueden utilizarse con esta finalidad a menos que el usuario solicite que no se utilicen de este modo. Si no se especifica ninguna opcin adicional, el valor predeterminado es always. Esta entrada de stanza es obligatoria. Los valores predeterminados son current y other-purpose:opt-in. Ejemplo: purpose = current purpose = other-purpose:opt-in recipient = {ours|delivery|same|unrelated|public|other-recipient} [:[opt-in|opt-out|always]]
534
Especifica los destinatarios de la informacin de la cookie y de la informacin con la que la cookie establece un vnculo. Los valores posibles son: v ours Nosotros mismos o entidades que actan como nuestros agentes, o entidades para las que nosotros actuamos como agente. Un agente es un tercero que procesa datos solamente en nombre del proveedor de servicios. v delivery Entidades legales que llevan a cabo servicios de entrega que pueden utilizar datos para otros objetivos que no sean la realizacin del objetivo indicado. v same Entidades legales que siguen nuestros procedimientos. Se trata de entidades legales que utilizan los datos en su propio nombre en procedimientos ecunimes. v unrelated Terceros no relacionados. Se trata de entidades legales cuyos procedimientos de uso de datos no conoce el proveedor de servicios original. v public Foros pblicos. Se trata de foros pblicos, tales como tablones de anuncios, directorios pblicos o directorios de CD-ROM comerciales. v other-recipient Entidades legales que siguen procedimientos distintos. Se trata de entidades legales que estn limitadas por el proveedor de servicios original y que son responsables ante ste, pero que pueden utilizar datos de una forma no especificada en los procedimientos del proveedor de servicios. Para todos los valores, puede especificarse una opcin adicional. Los valores posibles son: v always Los usuarios no pueden permitir (opt-in) ni denegar (opt-out) este uso de sus datos. v opt-in Los datos pueden utilizarse con esta finalidad slo si el usuario solicita afirmativamente este uso. v opt-out Los datos pueden utilizarse con esta finalidad a menos que el usuario solicite que no se utilicen de este modo. Si no se especifica ninguna opcin adicional, el valor predeterminado es always. Esta entrada de stanza es obligatoria. El valor predeterminado es ours. Ejemplo: recipient = ours recipient = public:opt-in retention = {no-retention|stated-purpose|legal-requirement| business-practices|indefinitely}
535
Especifica el tiempo durante el que se mantiene la informacin de la cookie y la informacin con la que la cookie establece un vnculo. Los valores posibles son: v no-retention La informacin slo se retiene durante el breve perodo de tiempo necesario para utilizarla durante el curso de una nica interaccin en lnea. v stated-purpose La informacin se retiene para cumplir la finalidad indicada y debe descartarse lo antes posible. v legal-requirement La informacin se retiene para cumplir la finalidad indicada pero el perodo de retencin es ms largo debido a un requisito o a una responsabilidad legal. v business-practices La informacin se retiene segn los procedimientos empresariales indicados por el proveedor de servicios. v indefinitely La informacin se retiene durante un perodo indeterminado de tiempo. Esta entrada de stanza es obligatoria. El valor predeterminado es no-retention. Ejemplo: retention = no-retention
536

la utilidad pdadmin proporciona un indicador de lnea de comandos interactivo desde el cual se pueden realizar tareas de unin WebSEAL. Este apartado describe el comando pdadmin server task para crear uniones de WebSEAL. Consulte la publicacin IBM Tivoli Access Manager for e-business Command Reference para obtener informacin completa sobre la sintaxis para la utilidad pdadmin. Nota: Tambin puede utilizar Tivoli Access Manager Web Portal Manager para gestionar uniones. Para obtener ms informacin, consulte las pantallas de ayuda en lnea de Web Portal Manager. ndice de temas: v Utilizacin de pdadmin para crear uniones en la pgina 537 v Comandos de unin en la pgina 538 v Creacin de una nueva unin para un servidor inicial en la pgina 539 v Adicin de un servidor a una unin existente en la pgina 541
Utilizacin de pdadmin para crear uniones

Antes de utilizar pdadmin, debe iniciar la sesin en un dominio seguro como usuario de administracin sec_master. Por ejemplo: UNIX:
Windows:
MSDOS> pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
Para crear uniones WebSEAL, utilice el comando pdadmin server task create:
pdadmin> server task nombre_servidor-nombre_host create opciones
Por ejemplo, si el nombre configurado de un nico servidor WebSEAL es default, el nombre_servidor es default-webseald seguido por -nombre_host. Por ejemplo, el nombre del servidor sera:
default-webseald-cruz.dallas.ibm.com
Si instala varias instancias de servidor WebSEAL en la misma mquina, el nombre_servidor-nombre_host es el nombre configurado de la instancia de servidor WebSEAL, seguido por webseald, seguido por el nombre de host:
nombre_instancia-webseald-nombre_host
537
Por ejemplo, si los nombres configurados de dos instancias adicionales de WebSEAL son webseal2 y webseal3, las identificaciones de servidor aparecen como:
webseal2-webseald-cruz webseal3-webseald-cruz
Opciones obligatorias de comandos de unin: Las opciones de comando obligatorias necesarias para crear una unin WebSEAL bsica son: v Nombre de host del servidor de aplicaciones de fondo (opcin h) v Tipo de unin tcp, ssl, tcpproxy, sslproxy, local (opcin t) v Punto de unin (punto de montaje)
pdadmin> server task nombre_instancia-webseald-nombre_host create -t tipo -h nombre_host punto-unin
Comandos de unin
Los siguientes comandos de unin estn disponibles con pdadmin server task:
Comando create add remove Descripcin Crea una unin nueva para un servidor inicial. Agrega servidores adicionales a un punto de unin existente. Elimina un servidor de un punto de unin. Sintaxis: remove i id-servidor punto-unin Utilice el comando show para determinar el ID de un servidor concreto. delete Elimina el punto de unin. Sintaxis: delete punto-unin list Muestra una lista de todos los puntos de unin de este servidor. Sintaxis: list show Muestra los detalles de una unin. Sintaxis: show punto-unin jmt load jmt clear El comando jmt load proporciona a WebSEAL los datos de la tabla de correlaciones de uniones(jmt.conf) para gestionar el proceso de las direcciones URL relativas al servidor gestionadas dinmicamente. El comando jmt clear elimina los datos de la tabla de correlaciones de uniones WebSEAL. help Muestra una lista de los comandos de unin. Sintaxis: help help comando exit Muestra la ayuda detallada de un comando de unin especfico. Sale de la utilidad pdadmin. Sintaxis: exit
538
Estos comandos, y las opciones asociadas, se describen en los siguientes apartados.
Creacin de una nueva unin para un servidor inicial

Operacin: crea un punto de unin nuevo y conecta un servidor inicial. Sintaxis:
create -t type -h nombre-host [opciones] punto-unin Tipo de unin t tipo **Obligatorio** Tipo de unin. Puede ser: tcp, ssl, tcpproxy, sslproxy, local. El puerto predeterminado para t tcp es 80. El puerto predeterminado para t ssl es 443. Nombre de host h nombre-host **Obligatorio** Nombre de host DNS o direccin IP del servidor de fondo de destino. Opciones Autenticacin mutua a travs de SSL K etiqueta-clave B WebSEAL utiliza el certificado de cliente para autenticarse en el servidor de fondo. WebSEAL utiliza la informacin de cabecera de BA para autenticarse en el servidor de fondo. Requiere las opciones U y W. Nombre de usuario de WebSEAL. Utilcelo con B para enviar informacin de cabecera de BA al servidor de fondo. Contrasea de WebSEAL. Utilcelo con B para enviar informacin de cabecera de BA al servidor de fondo. Especifica el Nombre distinguido del certificado de servidor de fondo. Este valor, que coincide con el DN de certificado real, mejora la autenticacin.
U nombre_usuario
W contrasea D DN
Opciones de unin de proxy (requiere t tcpproxy o t sslproxy) H nombre-host P puerto Nombre de host DNS o direccin IP del servidor proxy. Puerto TCP del servidor proxy.
Especificacin de la informacin de cabecera de BA b valor-BA Define cmo el servidor WebSEAL transfiere la informacin de autenticacin BA HTTP al servidor de fondo. Puede ser: filter (valor predeterminado), ignore, supply, gso Opciones generales de unin TCP y SSL
539
c tipos-id
Inserta la identidad de cliente de Access Manager en las cabeceras HTTP a travs de la unin. El argumento id-types puede incluir cualquier combinacin de los tipos siguientes de cabecera HTTP de Access Manager: iv-user, iv-user-l, iv-groups, iv-creds, all. El servidor WebSEAL trata las direcciones URL como no sensibles a maysculas y minsculas. Proporciona la identificacin de unin en una cookie para gestionar direcciones URL relativas al servidor generadas por script. Enviar cookie de sesin al servidor de portal de fondo. Puerto TCP del servidor de fondo de terceros. El valor predeterminado es 80 para uniones TCP; 443 para uniones SSL. Ruta de acceso relativa para el script query_contents. De forma predeterminada, Access Manager busca query_contents en /cgi_bin/. Si este directorio es distinto o si el nombre del archivo query_contents es distinto, utilice esta opcin para indicar a WebSEAL la nueva direccin URL para el archivo. Es necesario para los servidores Windows de fondo. Insertar direccin IP entrante en la cabecera HTTP a travs de la unin. Permite que las solicitudes denegadas y la informacin de las causas de error de las reglas de autorizacin procedan a travs de la unin. Especifica que la unin debe dar soporte a aplicaciones con informacin de estado. De forma predeterminada, las uniones no tienen informacin de estado. Nombre de recurso o grupo de recursos de GSO. Obligatorio y utilizado slo con la opcin b gso. Especifica el UUID de un servidor de fondo conectado a WebSEAL a travs de una unin con informacin de estado (s). Nombre de host virtual representado en el servidor de fondo. Esta opcin da soporte a una configuracin de host virtual del servidor de fondo. Utilice v cuando el servidor con unin de fondo espera una cabecera de nombre de host porque se conecta a una instancia virtual de ese servidor. La solicitud de cabecera HTTP predeterminada del navegador no sabe que el servidor de fondo tiene varios nombres y varios servidores virtuales. Debe configurar WebSEAL para que proporcione esa informacin de cabecera adicional en las solicitudes destinadas a una configuracin de servidor de fondo como host virtual.
i j
k p puerto
q ubicacin
r R
T recurso/ grupo-recursos u UUID
v nombre-hostvirtual[:puerto]
w Imparcialidad de unin
Soporte para el sistema de archivos Win32.
540
l valor-porcentual L valor-porcentual Uniones LTPA A F archivo_claves Z contrasea-archivoclaves
Define el lmite dinmico de consumo de threads de trabajo. Define el lmite fijo de consumo de threads de trabajo.
Habilitar e inhabilitar las uniones LTPA. Ubicacin del archivo de claves utilizado para cifrar la cookie LTPA. Contrasea del archivo de claves
Uniones SSL de WebSEAL a WebSEAL C Autenticacin mutua entre un servidor WebSEAL frontal y un servidor WebSEAL de fondo a travs de SSL. Requiere el tipo t ssl o t sslproxy.
Inicio de sesin nico de formularios S archivo-config Ubicacin del archivo de configuracin de inicio de sesin nico de formularios.
Opciones de unin local (utilcelo con t local) d dir f Punto de unin Ubicacin en el espacio de nombres de WebSEAL para crear la unin. Directorio local de la unin. **Obligatorio.** Forzar la sustitucin de una unin existente.
Adicin de un servidor a una unin existente

Operacin: Agrega un servidor a un punto de unin existente. Sintaxis:
add -h nombre-host [opciones] punto-unin Nombre de host h nombre-host **Obligatorio** Nombre de host DNS o direccin IP del servidor de fondo de destino. Opciones Autenticacin mutua a travs de SSL D DN Especifica el Nombre distinguido del certificado de servidor de fondo. Este valor, que coincide con el DN de certificado real, mejora la autenticacin.
Opciones de unin de proxy (obligatorio con t tcpproxy y t sslproxy) H nombre-host P puerto Nombre de host DNS o direccin IP del servidor proxy. Puerto TCP del servidor proxy.
Opciones generales de unin TCP y SSL i El servidor WebSEAL trata las direcciones URL como no sensibles a maysculas y minsculas.
541
p puerto
Puerto TCP del servidor de fondo de terceros. El valor predeterminado es 80 para uniones TCP; 443 para uniones SSL. Direccin URL relativa para el script query_contents. Access busca query_contents en /cgi_bin/. Si este directorio es distinto o si se ha cambiado el nombre del archivo query_contents, utilice esta opcin para indicar a WebSEAL la direccin URL nueva para el archivo. Especifica el UUID de un servidor de fondo conectado a WebSEAL a travs de una unin con informacin de estado (s). Nombre de host virtual representado en el servidor de fondo. Esta opcin da soporte a una configuracin de host virtual del servidor de fondo. Utilice v cuando el servidor con unin de fondo espera una cabecera de nombre de host porque se conecta a una instancia virtual de ese servidor. La solicitud de cabecera HTTP predeterminada del navegador no sabe que el servidor de fondo tiene varios nombres y varios servidores virtuales. Debe configurar WebSEAL para que proporcione esa informacin de cabecera adicional en las solicitudes destinadas a una configuracin de servidor de fondo como host virtual.
q url
u UUID
v nombre-host-virt
w Punto de unin
Soporte para el sistema de archivos Win32.
Agrega un servidor al punto de unin existente.
542
Apndice C. Avisos
Esta informacin se ha desarrollado para productos y servicios que se ofrecen en Estados Unidos. Es posible que en otros pases IBM no ofrezca los productos, los servicios o las caractersticas que se describen en este documento. Pngase en contacto con el representante local de IBM para obtener informacin sobre los productos y servicios disponibles actualmente en su rea. Las referencias a programas, productos o servicios de IBM no pretenden indicar ni implicar que slo puedan utilizarse los productos, programas o servicios de IBM. En su lugar, se puede utilizar cualquier producto, programa o servicio funcionalmente equivalente que no infrinja ninguno de los derechos de propiedad intelectual de IBM. No obstante, es responsabilidad del usuario evaluar y comprobar el funcionamiento de cualquier producto, programa o servicio que no sea de IBM. IBM puede tener patentes o solicitudes de patentes en trmite que afecten a los temas tratados en este documento. La posesin de este documento no confiere ninguna licencia sobre dichas patentes. Puede enviar consultas sobre licencias, por escrito, a: IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY 10504-1785 Estados Unidos Para consultas sobre licencias en las que se solicite informacin sobre el juego de caracteres de doble byte (DBCS), pngase en contacto con el departamento de propiedad intelectual de IBM de su pas o enve directamente las consultas por escrito a: IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome Minato-ku Tokio 106 Japn El siguiente prrafo no se aplica al Reino Unido ni a ningn otro pas donde estas disposiciones sean incompatibles con la legislacin vigente: INTERNATIONAL BUSINESS MACHINES CORPORATION FACILITA ESTA PUBLICACIN TAL CUAL, SIN GARANTAS DE NINGN TIPO, NI EXPLCITAS NI IMPLCITAS, INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTAS IMPLCITAS DE NO INFRACCIN, COMERCIALIZACIN O ADECUACIN A UN FIN CONCRETO. Algunos estados o pases no permiten la renuncia a las garantas explcitas o implcitas en ciertas transacciones; por tanto, es posible que esta declaracin no resulte aplicable a su caso. Este documento puede contener imprecisiones tcnicas o errores tipogrficos. Peridicamente se efectan cambios en la informacin aqu contenida; dichos cambios se incorporarn en nuevas ediciones de la publicacin. IBM se reserva el
543
derecho a realizar, si lo considera oportuno, cualquier modificacin en los productos o programas que se describen en esta informacin y sin notificarlo previamente. Las referencias en este documento a sitios web que no sean de IBM se proporcionan nicamente como ayuda y no se consideran en modo alguno sitios web aprobados por IBM. Los materiales de dichos sitios web no forman parte de este producto de IBM y la utilizacin de los mismos ser por cuenta y riesgo del usuario. IBM puede utilizar o distribuir la informacin que se le suministre de cualquier modo que considere adecuado sin incurrir por ello en ninguna obligacin con el remitente. Los titulares de licencias de este programa que deseen informacin sobre el mismo con el fin de permitir: (i) el intercambio de informacin entre programas creados independientemente y otros programas (incluido ste) y (ii) la utilizacin mutua de la informacin intercambiada, deben ponerse en contacto con: IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 Estados Unidos Dicha informacin puede estar disponible, sujeta a los trminos y condiciones adecuados, incluido, en algunos casos, el pago de una tasa. El programa bajo licencia que se describe en este documento, y todos los materiales bajo licencia disponibles para el mismo, los proporciona IBM bajo los trminos del Acuerdo con el Cliente IBM, del Acuerdo Internacional de Licencias para Programas IBM o de cualquier acuerdo equivalente entre el cliente e IBM. Todos los datos de rendimiento contenidos en el presente documento se han determinado en un entorno controlado. Por consiguiente, los resultados obtenidos en otros entornos operativos pueden ofrecer variaciones importantes. Algunas mediciones se pueden haber realizado en sistemas de nivel de desarrollo, por lo que no existe ninguna garanta de que dichas mediciones sean iguales en los sistemas disponibles generalmente. Adems, alguna medicin se puede haber estimado mediante extrapolacin. Los resultados reales pueden variar. Los usuarios de este documento deben verificar los datos aplicables para su entorno especfico. La informacin relacionada con productos que no son de IBM se ha obtenido de los proveedores de dichos productos, sus anuncios publicados o de otras fuentes disponibles pblicamente. IBM no ha probado estos productos y no puede confirmar la precisin de su rendimiento, compatibilidad o cualquier otra reclamacin relacionada con los productos que no son de IBM. Las preguntas relacionadas con las posibilidades de los productos que no son de IBM se deben dirigir a los proveedores de dichos productos. Todas las declaraciones relacionadas con la orientacin o los propsitos futuros de IBM se pueden cambiar o retirar sin previo aviso y nicamente representan metas y objetivos. Esta informacin contiene ejemplos de datos e informes utilizados en operaciones empresariales diarias. Para ilustrarlos lo ms claramente posible, los ejemplos
544
incluyen nombres de individuos, empresas, marcas y productos. Todos estos nombres son ficticios y cualquier similitud con los nombres y direcciones utilizados en empresas reales es coincidencia. LICENCIA DE COPYRIGHT: Esta informacin contiene programas de aplicacin de ejemplo en lenguaje fuente que ilustran tcnicas de programacin en diferentes plataformas operativas. Puede copiar, modificar y distribuir estos programas de ejemplo en cualquier formato sin abonar ninguna cantidad a IBM con el propsito de desarrollo, uso, comercializacin o distribucin de dichos programas de aplicacin en conformidad con la interfaz de programacin de aplicaciones que corresponde a la plataforma operativa para la que se han escrito dichos programas de ejemplo. stos no han sido probados en su totalidad en todas las situaciones posibles. IBM, por tanto, no puede garantizar la fiabilidad, servicio o funcionalidad de estos programas. Puede copiar, modificar y distribuir estos programas de ejemplo en cualquier formato sin abonar ninguna cantidad a IBM con el propsito de desarrollo, uso, comercializacin o distribucin de dichos programas de aplicacin en conformidad con las interfaces de programacin de aplicaciones de IBM. Cada copia o cualquier fragmento de estos programas de ejemplo o cualquier trabajo que derive de ellos debe incluir un aviso de copyright como el siguiente: (el nombre de su empresa) (ao). Partes de este cdigo se derivan de Programas de ejemplo de IBM Corp. Copyright IBM Corp. _escriba el ao o los aos_. Reservados todos los derechos.
Marcas registradas
Los siguientes trminos son marcas registradas de International Business Machines Corporation en Estados Unidos, en otros pases o en ambos: AIX DB2 IBM Logotipo de IBM SecureWay Tivoli Logotipo de Tivoli WebSphere Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft Corporation en Estados Unidos o en otros pases. Java y todos los logotipos y marcas registradas basados en Java son marcas registradas de Sun Microsystems, Inc. en Estados Unidos y en otros pases. UNIX es una marca registrada de The Open Group en Estados Unidos y en otros pases. Otros nombres de empresas, productos y servicios pueden ser marcas registradas o marcas de servicio de terceros.
Apndice C. Avisos
545
546
ndice A
accept-client-certs 167, 171, 457 access, p3p 528 account-expiry-notification 158, 490 account-locked 98, 488 acct_locked.html 99 ACL 4 ACL, polticas caracteres vlidos para nombres de ACL 125 definicin 4 especficas de WebSEAL 124 explcita 5 heredada 5 acnt-mgt, stanza 235 actualizaciones y sondeo de la base de datos de autorizaciones 42 actualizar utf-8, problemas 52 ad-server-config 439 ADI 393 ADI, recuperacin 393 ADI de la solicitud de cliente de WebSEAL 395 aznapi-configuration, stanza 396 configurar la recuperacin de ADI dinmica 401 desplegar el servicio de recuperacin de atributos 402 especificar causas de error en las conexiones 400 recuperar ADI de la cabecera de la solicitud 396 recuperar ADI de la cadena de consulta de la solicitud 397 recuperar ADI de la credencial de usuario 399 recuperar ADI del cuerpo POST de la solicitud 397 resource-manager-provided-adi 396 visin general 394 agent.log 119 ejemplo 122 formato de registro de eventos 114 agentes proxy multiplexor (autenticacin) 203 agents 119, 519 agents-file 119, 519 agrupacin de eventos http 114 http.agent 114 http.clf 114 http.cof 114 http.ref 114 agrupacin de eventos http 114 almacenamiento en la cach de solicitudes 221 almacenamiento en la cach de solicitudes del servidor 221 almacenamiento en la cach de solicitudes POST 221 allow-backend-domain-cookies 342, 484 amwebars, stanza 402 amwebars.conf 404 amwebbackup.lst 103 amwebcfg archivo de respuestas 23 amwebcfg, sintaxis 22 AMWS_hd_ prefix 395 AMWS_pb_ prefix 395 AMWS_qs_ prefix 395 aplicador de polticas 6 archivo de configuracin para cada instancia 21 archivo de direccionamiento 108 archivo de respuestas 23 archivos de seguimiento de auditora 111 archivos locales archivos de UNIX ejecutables 85 argument-stanza 364 atributos ampliados credenciales 238 document-cache-control (POP) 87 HTTP-Tag-Value, unin 381 reauth (POP) 227 auditcfg 119, 522 auditlog 119, 522 auditora 111 autenticacin acceso autenticado a los recursos 10 acceso no autenticado a los recursos 10 agentes proxy multiplexor (MPA) 203 autenticacin bsica 160 biblioteca de conversin 156 cabecera HTTP 172 cambio de usuario 208 CDSSO 272 certificado 164 configuracin de varios mtodos de autenticacin configuracin predeterminada 156 direccin IP 175 e-community 283 formularios 162 inicio de sesin nico con formularios 361 mtodos soportados 144 objetivos 9 parmetros locales 155 reautenticacin 226, 230 redireccin automtica 235 redireccin forzada 235 registros de eventos 115 seal 176 solicitud de inicio de sesin 157 tipos de datos de sesin soportados 144 visin general 8 visin general de la configuracin 155 visin general del proceso 144 autenticacin bsica configuracin 160 autenticacin de CDSSO 272 autenticacin de certificado 164 con demora 170 modalidad con demora 164 modalidad opcional 164 pasos de configuracin 167 autenticacin de direcciones IP 175 autenticacin de e-community 283 caractersticas 284 cifrado de la seal de garantizacin 295 claves de dominio 295 condiciones y requisitos 290 configuracin 292 cookie de e-community 289
157
547
autenticacin de e-community (continuacin) flujo de proceso 285 seal de garantizacin 290 solicitud y respuesta de garantizacin 289 autenticacin de formularios 162 solucin de inicio de sesin nico 361 autenticacin de migracin tras error actualizar 190 dominio 189 pasos de configuracin 191 visin general 183 autenticacin de seal 176 intensidad de contraseas 179 SecurID 176 autenticacin incremental 132 autenticacin Kerberos 202, 260 autenticacin MPA 203 auth-headers, stanza 458 auth-using-compare 437 authentication_level 513 AUTHENTICATION_LEVEL 195 authentication-levels, stanza 134, 459 authentication-mechanisms, stanza 212 authtoken-lifetime 278, 472 azn_ent_amwebars, biblioteca 402 azn-entitlements-services, stanza 402 azn-server-name 525 aznapi-configuration, stanza 396, 402 aznapi-entitlement-services, stanza 526
B
ba-auth 160, 455 backicon 84, 495 base-crypto-library 34, 451 basic-auth-realm 160, 455 basicauth-dummy-passwd 351, 503 BHAPI 33 biblioteca CDMF 272 biblioteca compartida libfailoverauthn bind-dn ldap 433 bind-id Active Directory 440 bind-pwd Active Directory 441 ldap 433 BSAFE (RSA) 33
193
C
cabecera 173 cabecera HOST, mejores prcticas para conexiones 376 cabecera HTTP accept-charset 60 accept-language 59 lmite de tamao 333 PD-USER-SESSION-ID 381 cabecera HTTP accept-language 59 cabecera PD_PORTAL 378 cabecera set-cookie gestin del atributo de dominio 342 modificacin de atributo de ruta de acceso en uniones -j 327 modificacin del atributo de nombre en las uniones -j 328 cabecera set-cookie, gestionada por uniones -j 327
cach GSKit (SSL) 146 WebSEAL, credenciales 146 cach CRL, configuracin 258 gsk-crl-cache-entry-lifetime 258 gsk-crl-cache-size 258 cach de credenciales 146 configuracin 147 mximo de entradas 148 tiempo de espera de duracin 148 tiempo de espera de inactividad 148 visin general y estructura 11 cach de documentos 85 document-cache-control POP 87 vaciado de cachs 86 cach de GSO, configurar 356 cach de ID de SSL de certificado 170 inhabilitar 171 cach de LTPA, configurar 359 cach de sesin configuracin 147 GSKit (SSL) 146 tiempo de espera de duracin 148 tiempo de espera de inactividad 148 visin general y estructura 11 WebSEAL, credenciales 146 cach de sesin/credenciales de WebSEAL visin general y estructura 11 cache-enabled 434 cache-group-expire-time 435 cache-group-membership 435 cache-group-size 434 cache-policy-expire-time 435 cache-policy-size 434 cache-refresh-interval 43, 524 cache-use-user-cache 435 cache-user-expire-time 434 cache-user-size 434 caducidad de cuenta 158 calidad de proteccin hosts 41 nivel predeterminado 40 POP, poltica 141 redes 41 cambio de usuario 208 biblioteca compartida incorporada 211 biblioteca compartida personalizada 218 exclusin de usuarios 210 habilitacin 210 mecanismo de autenticacin 211 mtodos de autenticacin vlidos 215 securitygroup 210 su-admin, atributo ampliado 218 su-admins, grupo 208, 210 su-excluded, grupo 210 utilizacin 216 cambio posterior a la contrasea 159 categories, p3p 530 causa del error 400 cdsso-argument 278, 472 cdsso-auth 276, 472 cdsso-create 276, 472 cdsso-incoming-attributes, stanza 474 cdsso_key_gen 194, 277, 295 cdsso-peers, stanza 277, 473 cdsso-token-attributes, stanza 473 cert-cache-max-entries 170, 457
548
cert-cache-timeout 170, 457 cert-failure 98, 169, 490 cert-ldap 461 cert-ssl 168, 461 cert-stepup-http 171, 490 certfailure.html 99 certificado del servidor WebSEAL 37 certificados gestin 254 GSKit 254 iKeyman 254 prompt_as_needed 167 tipos de archivos de base de datos de claves 254 certificados de cliente visin general 164 certificate-login 169, 489 cgi-environment-variables, stanza 373 cgi-timeout 32, 493 client-connect-timeout 31, 424 client-notify-tod 96, 490 codificacin, caracteres no vlidos (en cadena de consulta URL) 61 codificacin de caracteres (cadena de consulta URL), no vlidos 61 compatibilidad con versiones anteriores autenticacin de migracin tras error 190 autenticacin de seal 181 cookies de migracin tras error 190 pginas de error 96 compresin datos HTTP 89 compresin de datos gzip 89 HTTP 89 POP, poltica 91 tipo de agente de usuario 90 compress-mime-types, stanza 89, 498 compress-user-agents, stanza 90, 498 comprobacin de CRL, configuracin 257 conectividad SSL 31 conectividad TLS 31 conexiones escalabilidad 13 especificar causa de error (-R) 400 HTTP-Tag-Value, atributo 381 mejores prcticas 376 mejores prcticas de cabecera HOST (-v) 376 nombre de host virtual (-v) 376 visin general 11 config-file, Policy Server 527 configuracin de hardware criptogrfico aceleracin SSL 33 almacenamiento de claves seguras 33 BHAPI 33 IBM 4758 33 IBM 4960 33 nCipher nForce 300 33 PKCS#11 33 pkcs11driver-path 38 pkcs11token-label 38 pkcs11token-pwd 38 Rainbow CryptoSwift 33 seal 35 webseal-cert-keyfile-label 38 configuracin de WebSEAL amwebcfg 22 lnea de comandos 22
configuracin interactiva 21 configuracin SSL WebSEAL a LDAP 18 content-cache, stanza 497 content-encodings, stanza 500 content-index-icons, stanza 495 Content-Length, cabecera 322 content-mime-types, stanza 499 cookie, nombre 511 cookie de e-community 289 cookie de migracin tras error adicin de datos 186 agregar nivel de autenticacin 195 atributos ampliados 197 extraccin de datos 188 marca de fecha y hora de duracin de la sesin 186 cookie de unin, evitar conflictos de denominacin 317 cookies conservar nombres de cookies de aplicacin 329 cookie de unin, evitar conflictos de denominacin 317 dominio 342 hostname-junction-cookie, parmetro 317 preserve-cookie-names, stanza 329 sesin 149, 333 unin (IV_JCT) 324 cookies de dominio 342 cookies de migracin tras error cifrado/descifrado de datos de cookie 194 codificacin utf8 195 configuracin 183 configuracin de la duracin de cookie 194 habilitacin 193 habilitar cookies de dominio 199 marca de fecha y hora de duracin de la sesin 195 utf8, compatibilidad con versiones anteriores 195 cookies de sesin 149 habilitacin 151 cookies de unin 324 copia de seguridad 103 cred-attribute-entitlement-services 239 cred-ext-attrs 462 credenciales atributos ampliados (indicador/valor) 238, 381 insercin de ID de sesin de usuario en cabecera HTTP 381 visin general 11 credential-refresh-attributes, stanza 247, 513 crl-ldap-server 257, 449, 504 crl-ldap-server-port 257, 449, 504 crl-ldap-user 257, 449, 504 crl-ldap-user-password 257, 450, 505
CH
chunk-responses 425
D
datos cifrados lista de soportados 41 datos de auditora utf8 117 datos de LDAP en cabeceras HTTP datos de registro codificacin utf8 122
238
ndice
549
datos de WebSEAL realizar copia de seguridad 103 restaurar 103 db-file 42, 524 decode-query 61, 427 default-policy-override-support 437 deftype 499 delete-trash-dir 486 detencin de WebSEAL 80 determinacin de problemas estadsticas 105 rastreo 105 direcciones URL dinmicas actualizar, dynurl update 386 colocar limitaciones en solicitudes POST 387 correlacionar objetos ACL 384 dynurl-allow-large-posts 388 dynurl-map 385 ejemplo 390 mtodos GET y POST 387 proporcionar control de acceso 384 request-body-max-read 387 resolver 386 resumen y notas tcnicas 388 visin general 384 directorio raz de documentos 19 cambiar ubicacin 83 directory-index 83, 486 diricon 84, 495 disable-ncipher-bsafe 35, 39, 450 disable-rainbow-bsafe 35, 451 disable-ssl-v2 31, 447, 505 para uniones 310 disable-ssl-v3 31, 447, 505 para uniones 310 disable-tls-v1 31, 447, 505 para uniones 310 disputes, p3p 531 dnforpd 441 doc-root 20, 82, 486 document-cache-control, atributo ampliado de POP domain, Active Directory 440 domino-server-config 442 double-byte-encoding 429 dynamic-adi-entitlements-services 402 dynurl-allow-large-posts 388, 427 dynurl.conf 384 dynurl-map 385, 426 dynurl update 386
error.log 108 escalabilidad 13 servidores de fondo replicados 14 servidores frontales replicados 14 escucha de notificaciones de actualizaciones 42 espacio de objetos protegidos 3 objeto protegido 3 objetos de gestin 3 objetos definidos por el usuario 3 objetos web 3 recurso del sistema 3 server-name WebSEAL 82 estado de la sesin configuracin de cach de credenciales de WebSEAL 147 configuracin de cach de ID de sesin SSL de GSKit 147 cookies de migracin tras error 183 cookies de sesin 149 entre cliente y de fondo 380 gestin 146 gestin de ID de sesin de usuario 380 habilitar cookies de sesin 151 terminar sesin de usuario nica 382 terminar todas las sesiones de usuario 383 tipos de datos de ID de sesin vlidos 153 evaluador de reglas de autorizacin 394 expresiones regulares lista de 366 para direcciones URL dinmicas 385 para inicio de sesin nico con formularios 366
F
failover-add-attributes, stanza 469 failover-auth 467 failover-cdsso 193, 464 failover-certificate 193, 464 failover-cookie-lifetime 194, 467 failover-cookies-keyfile 194, 467 failover-http-request 193, 464 failover-kerberosv5 464 failover-password 184, 193, 463 failover-require-activity-timestamp-validation 200, 469 failover-require-lifetime-timestamp-validation 199, 468 failover-restore-attributes, stanza 198, 470 failover-token-card 193, 464 failover-update-cookie 196, 468 fatal.log 108 filter-content-types, stanza 87, 510 filter-events, stanza 507 filter-request-headers, stanza 510 filter-schemes, stanza 88, 509 filtrado Content-Length, cabecera X-Old-Content-Length 322 direcciones URL absolutas 320 direcciones URL relativas al servidor 320 documentos estticos 320 especificacin de tipos MIME de documentos 87 filtrado de direcciones URL absolutas con filtrado de scripts 321 mejores prcticas para las direcciones URL absolutas 376 proceso de direcciones URL en las solicitudes 323 reglas de filtrado de direcciones URL estndar para WebSEAL 320 text/html 320 text/vnd.wap.wml 320
87
E
e-community-domain-keys, stanza 295 e-community-name 294, 475 e-community-sso-auth 293, 475 ec-cookie-lifetime 298, 477 ecsso acceso no autenticado 298 utf8 299 ecsso-allow-unauth 298, 477 ecsso-incoming-attributes, stanza 478 ecsso-token-attributes, stanza 478 enable-failover-cookie-for-domain 199, 468 entrust-client 173 ENV 493 Eracom 33 error-dir 96, 487
550
filtrado de direcciones URL Content-Length, cabecera 322 filtrado de scripts para direcciones URL absolutas 321 proceso de direcciones URL en las solicitudes 323 reglas de filtrado estndar 320 filtrado de las direcciones URL, mejores prcticas 376 filtrado de scripts (direcciones URL absolutas) rewrite-absolute-with-absolute, parmetro 322 script-filter, parmetro 321 stanza script-filtering 321 fin de sesin 158 fips-mode-processing 35, 451 flush-time 121, 518 fondo, soporte para aplicaciones de 375 formato combinado NCSA 114 formato de registro comn (request.log) 121 formato de registro HTTP comn 121 forms-auth 162, 455 forms-sso-login-pages, stanza 364 fsso.conf.template 364
G
gestin de claves configurar la cach de CRL 258 configurar la comprobacin de CRL 257 configurar los parmetros de la base de datos de claves de WebSEAL 255 gestin de certificados de cliente 254 gestin de certificados de servidor 254 iKeyman, utilidad 257 tipos de archivos de base de datos de claves 254 visin general de los parmetros de WebSEAL 253 gestin de ID de sesin 380 gestin de ID de sesin de usuario 380 tagvalue_user_session_id 380 user-session-ids 380 gestor de recursos 6 GET, mtodo 387 global sign-on (GSO) 354 gmt-time 120, 520 gsk-crl-cache-entry-lifetime 258, 449 gsk-crl-cache-size 258, 448 GSKit 254 cach CRL 258 tipos de archivos 254 GSKit (SSL), cach de sesin de 146 configuracin 147 GSO 354 configuracin de la cach de GSO 356 gso-cache-enabled 356, 514 gso-cache-entry-idle-timeout 356, 514 gso-cache-entry-lifetime 514 gso-cache-lifetime 356 gso-cache-size 356, 514 gso-resource 364 gzip 89
HTTP compresin de datos 89 HTTP, autenticacin de cabeceras 172 HTTP, mensajes de error 93 soporte para macros 95 HTTP, registro habilitar e inhabilitar 120 utilizacin del registro de eventos 113 valor predeterminado 119 HTTP/1.1, respuestas 342 http.agent, agrupacin de eventos 114 http.clf, agrupacin de eventos 114 http.cof, agrupacin de eventos (NCSA) 114 http-headers-auth 172, 458 HTTP_IV_CREDS 331, 372, 375 HTTP_IV_GROUPS 331, 372, 375 HTTP_IV_REMOTE_ADDRESS 332 HTTP_IV_USER 331, 372, 375 http-method-trace-enabled 76, 430 http-method-trace-enabled-remote 76, 430 HTTP_PD_USER_SESSION_ID 243 HTTP_PD-USER-SESSION-ID 382 http-port 29, 425 http.ref, agrupacin de eventos 114 http-request 173, 462 HTTP-Tag-Value, atributo de unin 242, 381 http-timeout 502 http-timeout (uniones) 32 httpauthn 173 https 30, 425 https-port 31, 425 https-timeout 502 https-timeout (uniones) 32
I
IBM 4758 33 IBM 4960 33 ICC 34 iconos de ndice de directorios 84 ID de sesin SSL 151 inhabilitar 169 identidad de servidor (HTTP), supresin 76 identidad de servidor HTTP, supresin 76 identidad de usuario match with step-up 140 iKeyman 256 certificado de prueba de WebSEAL 29 configuracin de hardware criptogrfico 36 SSL, uniones de tipo 310 uniones SSL autenticadas mutuamente 312 visin general 257 ikmuser.properties 36 ikmuser.sample 36 illegal-url-substrings, stanza 62 imparcialidad de uniones 45 inactive-timeout 148, 482 informacin de consulta del servicio de recuperacin de atributos 403 informacin de decisiones de autorizacin (ADI) 393 inicio de sesin condiciones de solicitud 157 inicio de sesin entre dominios CDSSO 272 e-community 283 inicio de sesin nico -b filter 352 ndice
H
help 98, 489 help.html 99 hostname, Active Directory 439 hostname-junction-cookie 317, 511 HTML, pginas personalizadas 98 http 29, 425
551
inicio de sesin nico (continuacin) -b gso 353 -b ignore 352 -b supply 351 autenticacin de formularios 361 CDSSO 272 conceptos 350 configuracin de la cach de GSO 356 e-community 283 especificar identidad del cliente en cabeceras de BA global sign-on (GSO) 354 LTPA (WebSphere) 358 inicio de sesin nico del escritorio de Windows 260 pasos de configuracin 263 inicio de WebSEAL 80 instancia de servidor agregar nueva 25 caracteres vlidos para el nombre 16 interfaz de red lgica 17 nombre de host 16 instancia de servidor, configuracin 16 instancia de servidor, eliminar 27 intensidad de contraseas autenticacin de seal 181 interfaz de red lgica 17 io-buffer-size 504 ipaddr-auth 175, 458 ipauth 137 is-master-authn-server 296, 475 iv-creds 331, 375 iv-groups 331, 375 IV_JCT (cookie de unin) 324 iv-remote-address 332 iv-user 331, 375
350
login 98, 488 login-form-action 364 login.html 99, 163, 234 login-page 364 login-page-stanza 364 login-redirect-page 235, 492 login-success 98, 488 login_success.html 99 logout 98, 488 logout.html 99 logsize 119, 521 Lotus Domino hostname 442 keyfile 443 KeyFile_DN 443 KeyFile_PW 443 LDAPPort 443 NAB 444 password 444 PDM 444 server 442 UseSSL 443 LTPA (WebSphere) 358 configuracin de la cach de LTPA 359 configuracin de la unin 358 ltpa-cache-enabled 359, 516 ltpa-cache-entry-idle-timeout 359, 516 ltpa-cache-entry-lifetime 359, 516 ltpa-cache-size 359, 516
M
macro USERNAME, para formularios de reautenticacin master-authn-server 297, 475 master-dn 527 master-host, policy server 527 master-http-port 297, 475 master-https-port 297, 476 master-port 527 max-client-read 223, 426 max-entries 148, 482 max-size 120, 518 max-webseal-header-size 333, 504 mejores prcticas filtrado de las direcciones URL absolutas 376 informacin de cabecera HOST (-v) 376 mensajes 108 archivo de direccionamiento 108 error.log 108 fatal.log 108 notice.log 108 warning.log 108 mensajes de error HTTP 93 servicios 108 soporte para macros para HTTP 95 mensajes de servicios 108 archivo de direccionamiento 108 error.log 108 fatal.log 108 notice.log 108 warning.log 108 mtodos de autenticacin, resumen 144 mgt-pages-root 98, 488 mkkrb5clnt 267 Modalidad FIPS 34 modalidad PIN 176 234
J
jmt.conf 325 jmt load 325 jmt-map 325, 502 junction, stanza 45 junction-db 304, 502
K
kerberosv5 269, 462 kinit 269 ktpass 264
L
lcp_bin 58 lcp_uri 58 ldap-server-config 432 ldapauthn 160, 162 libhttpauthn 173 libldapauthn 160, 162 libsslauthn 168 libsuauthn 211 libtokenauthn 180 lista de control de accesos (ACL) listen-flags 42, 524 logaudit 119, 521 logcfg 112, 113, 522 logclientid 521 logflush 119, 521
552
mode 524 mpa 205, 459 msg_webseald.log 108 multi-domain Active Directory 439 mltiples instancias de WebSEAL sintaxis en comandos pdadmin
308, 537
N
nCipher nForce 300 33 net, comando (Windows) 80 next-token 98, 489 nexttoken.html 99 nivel de autenticacin 459 niveles de autenticacin 134 nombre, cookie 511 nombre de instancia 16 nombre de instancia de servidor 16 nombres de cookie, conservar entre uniones -j non-identifiable, p3p 532 notice.log 108
329
O
objeto protegido 3 objetos de gestin 3 objetos definidos por el usuario objetos web 3 3
P
p3p access 69 categories 69 configuracin 68 conservacin de la cabecera 67 declaracin de poltica 66 disputes 70 non-identifiable 71 poltica, visin general 65 poltica compacta completa 74 poltica compacta personalizada 74 poltica predeterminada 67 purpose 71 recipient 72 remedies 70 retention 73 p3p-element 528 pgina de error inicio de sesin de certificado 169 pginas de error HTTP crear nuevas 95 hora del da 96 ubicacin 96 pginas de gestin de cuentas 98 pginas de gestin de cuentas HTML soporte para macros 99 parmetros de tiempo de espera HTTP y HTTPS 31 SSL de GSKit cach de sesin de 147 WebSEAL, cach de credenciales/sesin de passwd-cdas 461 passwd-change 98, 488 passwd-change-failure 98, 489 passwd-change-success 98, 489
147
passwd_exp.html 99 passwd-expired 98, 488 passwd.html 99 passwd-ldap 160, 162, 461 passwd_rep.html 99 passwd-strength 181, 462 passwd-uraf 461 pd-user-name 525 pd-user-pwd 525 PD-USER-SESSION-ID HTTP, cabecera 381 pdadmin server task terminate all_sessions 383 pdbackup 103 pdbackup, extraccin de datos archivados 104 pdbackup, restaurar 104 pdconfig configuracin de WebSEAL 21 pdweb 80 pdweb, comando 80 pdweb_start 80 persistent-con-timeout 31, 424 ping-time 502 ping-time (uniones) 32 PKCS#11 33 pkcs11-driver-path 38, 450 pkcs11driver-path 38 pkcs11token-label 38 pkcs11token-pwd 38 pkcs11-token-label 38, 450 pkcs11-token-pwd 38, 450 pkmscdsso 279 pkmslogout 158 pkmspasswd 159, 237 pkmsvouchfor 289, 297 policy-cache-size 525 poltica de ACL default-webseal 125 poltica de ACL explcita 5 poltica de ACL heredada 5 poltica de inicio de sesin en tres intentos 126 poltica de intensidad de autenticacin 132 poltica de intensidad de contraseas 129 poltica de pdadmin disable-time-interval 126 max-login-failures 126 max-password-repeated-chars 129 min-password-alphas 129 min-password-length 129 min-password-non-alphas 129 password-spaces 129 poltica de seguridad identificacin de tipos de contenido 8 niveles de proteccin 8 planificacin e implementacin 7 polticas de objetos protegidos 4 POP 4 definicin 4 document-cache-control, atributo ampliado 87 intensidad de autenticacin (incremental) 132 reauth, atributo ampliado 227 POP, poltica calidad de proteccin 141 portal-map, stanza 378 POST, mtodo 387 configuracin de limitaciones 387 post-pwd-change 237 post-pwdchg-process 464 pre-410-compatible-tokens 200, 280, 299 ndice
553
pre-410compatible-tokens 429 pre-510-compatible-tokens 201, 280, 299 pre-510compatible-tokens 430 prefer-readwrite-server 435 preserve-base-href 76, 430 preserve-cookie-names, stanza 329, 511 preserve-p3p-policy 67, 528 proceso posterior al cambio de contrasea 237 process-root-filter, stanza 431 process-root-requests 431 programacin de CGI soporte 372 soporte para variables de entorno WIN32 373 prompt_as_needed autenticacin de certificado 167 publicaciones relacionadas xxi puerto de escucha 17 purpose, p3p 532
Q
query_contents 344 instalar 344 personalizar 346 proteger 347 query_contents.c 344 query_contents.cfg 344 query_contents.exe 344 query_contents.html 344 query_contents.sh 344
registro de eventos (continuacin) logcfg 112 remedies, p3p 532 REMOTE_USER 372 renovar credenciales conservar y renovar 247 pasos de configuracin 249 sintaxis de configuracin 247 usuario especfico 250 visin general 244 replicar servidores WebSEAL frontales 64 request-body-max-read 223, 387, 426 request.log 119 ejemplo 121 formato de registro de eventos 114 request-max-cache 224, 426 requests 119, 518 requests-file 119, 519 resend-webseal-cookies 151, 484 resource-manager-provided-adi 396 restauracin 103 retention, p3p 535 rewrite-absolute-with-absolute 322, 511 RSA 34
S
salida del registro de eventos HTTP 114 script-filter 321, 511 scripts entre sitios illegal-url-substrings, stanza 62 prevencin de vulnerabilidad 62 SecurID 176 SecurID (RSA) 176 SecurID RSA Linux para zSeries 179 SecurID RSA, cliente 176 securitygroup 210 seal 35 server-log 518 server-name 64, 82, 249, 423, 513 server-root 215, 423 service-url 402 servicio de autorizaciones 6 servicio de personalizacin configuracin de WebSEAL 378 ejemplo 379 visin general 378 servicio de recuperacin de atributos 401, 402 servicio de titularidad de atributos de registro 238 servidor WebSEAL detener 80 iniciar 80 mostrar estado 81 reiniciar 81 servidores WebSEAL frontales replicar 64 session-activity-timestamp 196, 470 session-lifetime-timestamp 195, 469 solicitud de inicio de sesin condiciones 157 solicitud y respuesta de garantizacin 289 sondeo 42 sondeo de la base de datos de autorizaciones 43 soporte para aplicaciones de fondo 375 soporte para aplicaciones del servidor 375
R
Rainbow CryptoSwift 33 reautenticacin basada en inactividad de sesin 230 evitar eliminacin de entradas de la cach de sesin 233 personalizacin de formularios de inicio de sesin 234 poltica basada en la seguridad (POP) 226 reauth, atributo ampliado de POP 227 reauth-extend-lifetime 228, 232, 233 reauth-for-inactive, parmetro 231 reauth-reset-lifetime 228, 232, 233 reauth, atributo ampliado de POP 227 reauth-extend-lifetime 228, 232, 466 reauth-for-inactive 231, 233, 466 reauth-reset-lifetime 228, 232, 466 recipient, p3p 534 recuperacin de ADI dinmica 401 desplegar el servicio de recuperacin de atributos 402 recurso del sistema 3 redireccin, a pgina de presentacin 235 redireccin automtica, a pgina de presentacin 235 redireccin forzada, a pgina de presentacin 235 redirect 492 referer.log 119 ejemplo 122 formato de registro de eventos 114 referers 119, 519 referers-file 119, 519 registro HTTP (registro de eventos) 113 HTTP predeterminado 119 registro de eventos autenticacin 115 HTTP, registro 113
554
soporte para macros HTTP, mensajes de error 95 pginas de gestin de cuentas HTML 99 USERNAME, para formularios de reautenticacin soporte para varios idiomas 59 SPNEGO 202 autenticacin, compatibilidad 262 kinit 269 pasos de configuracin 263 plataformas soportadas 261 visin general 260 spnego, stanza 269 spnego-auth 269, 455 spnego-krb-keytab-file 456 spnego-krb-service-name 456 ssl-authn-type 452 ssl-auto-refresh 451 ssl-enabled ldap 436 ssl-id-sessions 150, 151, 169, 483 ssl-keyfile 257, 446 ldap 436 ssl-keyfile-label 257, 446 ldap 436 ssl-keyfile-pwd 257, 446 ldap 437 ssl-keyfile-stash 257, 446 ssl-listening-port 42, 452 ssl-max-entries 147, 170, 448 ssl-pwd-life 452 ssl-qop-mgmt 40, 480 ssl-v2-timeout 147, 447 ssl-v3timeout 448 ssl-v3-timeout 147 sslauthn 168 sso-consume 276, 462 sso-create 276, 462 stanza acnt-mgt 98 stanza aznapi-configuration 42, 113 stanza cgi-environment-variables 493 stanza cgi-types 84, 493 stanza content-caches 85 stanza e-community-domain-keys 295, 478 stanza filter-url 321, 506 stanza ltpa-cache 359 stanza ssl-qop-mgmt-default 40, 481 stanza ssl-qop-mgmt-hosts 41, 480 stanza ssl-qop-mgmt-networks 41, 480 stanza uraf-ad en activedir.conf 439 stanzas uraf-ad en activedir.conf 439 uraf-domino 442 stepup-login 98, 135, 489 stepuplogin.html 99, 135 su-admin, atributo ampliado 218 su-admins, grupo 208, 210 su-cdsso 463 su-certificate 463 su-excluded, grupo 210 su-http-request 463 su-kerberosv5 463 su-passwd 462 su-token-card 463 suauthn 211 substring 512 suppress-server-identity 76, 429 switch-user 98, 490
switchuser.html
99
234
T
tabla de correlaciones de conexiones 325 tagvalue_ atributos 240 tagvalue_user_session_id 381 tarea de servidor pdadmin (uniones) 308 terminar sesin de usuario nica 382 terminar todas las sesiones de usuario 383 threads de trabajo asignacin global 45 asignacin por unin 46 gestin 44 imparcialidad de uniones 45 uniones 45 WebSEAL 44 timeout 148, 227, 231, 233, 482 tipo, MIME 88 tipos de archivos de base de datos de claves 254 tipos de datos de ID de sesin 153 tipos de datos de sesin 144 tipos de documentos para el filtrado de direcciones URL 87 tipos MIME, especificacin para el filtrado de direcciones URL 87 token-auth 179, 456 token-cdas 180, 461 token-login 98, 489 tokenauthn 180 tokenlogin.html 99, 234 TRACE de HTTP, habilitar 76 Transport Layer Security (TLS) 31
U
ubicacin de bases de datos de autorizaciones replicadas 42 ubicacin de rplicas de base de datos de autorizaciones 42 uniones -b filter 352 -b gso 353 -b ignore 352 -b supply 351 aplicacin de permisos 341 asignacin de threads de trabajo (-l) 46 asignacin de threads de trabajo (-L) 46 autenticacin con cabecera de BA (-B, -U, -W) 313 autenticacin de certificado 341 autenticadas mutuamente (-D, -K, -B, -U, -W) 312 certificado de cliente (WebSEAL) (-K) 313 certificado de cliente de WebSEAL (-K) 313 coincidencia de Nombre distinguido (DN) (-D) 312 conservar nombres de cookies de aplicacin 329 consulta de comandos 537 cookie de sesin al servidor de portal (-k) 333 cookie de unin, evitar conflictos de denominacin 317 cookies a travs de mltiples uniones -j 327 de WebSEAL a WebSEAL (-C) 317 direcciones URL no sensibles a maysculas y minsculas (-i) 334 directrices para la creacin 304 especificacin del UUID de fondo (-u) 335 especificar direccin IP en cabeceras HTTP (-r) 332 especificar identidad del cliente en cabeceras HTTP (-c) 331
ndice
555
uniones (continuacin) filtrado de direcciones URL absolutas con filtrado de scripts 321 filtrado de direcciones URL en las respuestas 320 forzar una nueva unin (-f) 83, 330 global sign-on (GSO) 354 HTTP/1.0 y 1.1, respuestas 342 impacto de las opciones -b en las uniones autenticadas mutuamente 314 inicio de sesin nico con formularios (-S) 367 LTPA (-A, -F, -Z) 358 modificacin de direcciones URL en aplicaciones de fondo 318 montaje de varios servidores 341 opcin de host (-h) 309 opcin de tipo (-t) 309 opciones gso (-b gso, -T) 356 opciones necesarias 309 pdadmin server task 308 procesar direcciones URL relativas al servidor con correlacin de uniones 325 proceso de direcciones URL en las solicitudes 323 proceso de las direcciones URL relativas al servidor con cookies (-j) 324 query_contents 344 sistemas de archivos Windows (-w) 338 soporte para uniones con informacin de estado (-s, -u) 335 tabla de correlaciones de conexiones 325 uniones de proxy (-H, -P) 316 utilizar WPM 306 visin general 304 uniones autenticadas mutuamente 312 uniones con informacin de estado 335 uniones WebSEAL, vase uniones 303 unix-group 423 unix-pid-file 423 unix-user 423 unknownicon 84, 496 uraf-domino 442 URL acerca de las rutas de acceso absolutas 319 acerca de las rutas de acceso relativas 319 acerca de las rutas de acceso relativas del servidor 319 codificacin nica 51 especificacin de tipos MIME de documentos para el filtrado 87 informacin sobre tipos de ruta de acceso 319 modificacin de direcciones URL en recursos de fondo 318 opciones de filtrado 319 tabla de correlaciones de uniones 325 uso de cookies de unin 324 use-same-session 151, 152, 483 use-utf8 56, 57, 279, 299, 467, 472, 477 useEncryption, Active Directory 440 user-and-group-in-same-suffix 438 user-dir 486 User Registry Adapter Framework (URAF) 439 user-session-ids 249, 380, 484 usuarios no autenticados, controlar 141 utf-8 conversin de datos 49 impactos en la autenticacin 51 problemas de actualizacin 52 programas CGI 50
utf8 cabeceras HTTP de unin 339 cdsso 279 datos de auditora 117 datos de registro 122 ecsso 299 inicio de sesin de mltiples bytes macros HTML 101 mensajes de servicios 109 programas CGI 373 uniones 57 visin general 48 utf8_bin 58 utf8-form-support-enabled 54, 428 utf8temnplate-macros-enabled 101 utf8-qstring-support-enabled 55, 428 utf8-template-macros-enabled 487 utf8_uri 58 utf8-url-support-enabled 53, 427 utilidad de estadsticas 105 utilidad de rastreo (trace) 105
161
V
vaciado de cachs 86 valor de indicador 238, 381 variables de entorno de WIN32, soporte verify-step-up-user 140, 459 VeriSign, servicio de perfiles 401 vf-argument 296, 476 vf-token-lifetime 298, 476 vf-url 297, 476 373
W
warning.log 108 Web Portal Manager 5 gestionar conexiones 306 WebSEAL directorio raz del rbol de documentos 82 en espacio de objetos 82 estadsticas 105 HTTP/1.1, respuestas 342 inicio y detencin del servidor 80 rastreo 105 server-name 82 visin general 1 WebSEAL, cach de credenciales/sesin de configuracin 147 visin general 146 webseal-cert-keyfile 255, 445 webseal-cert-keyfile-label 29, 38, 255, 341, 445 webseal-cert-keyfile-pwd 255, 445 webseal-cert-keyfile-stash 255, 445 webseal-mpa-servers, grupo 205 WebSphere desplegar el servicio de recuperacin de atributos WebSphere LTPA 358 worker-thread-hard-limit 46, 503 worker-thread-soft-limit 46, 503 worker-threads 44, 45, 424 WPM conexiones, gestionar 306
402
556
Printed in Denmark by IBM Danmark A/S.
SC10-9835-00

Manual Web Seal

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Manual Web Seal

Hochgeladen von

Copyright:

Verfügbare Formate

IBM Tivoli Access Manager for e-business

WebSEAL Gua de administracin

IBM Tivoli Access Manager for e-business

WebSEAL Gua de administracin

Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL . . . . . . . . . . 1

Captulo 2. Configuracin del servidor WebSEAL . . . . . . . . . . . . . . . . . 15

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

Captulo 3. Administracin del servidor WebSEAL . . . . . . . . . . . . . . . . . 79

Captulo 4. Servicios y registro . . . . . . . . . . . . . . . . . . . . . . . . . 107

Captulo 5. Poltica de seguridad de WebSEAL . . . . . . . . . . . . . . . . . . 123

Captulo 6. Autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

Captulo 7. Autenticacin avanzada de WebSEAL . . . . . . . . . . . . . . . . . 207

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

Captulo 8. Gestin de claves de WebSEAL . . . . . . . . . . . . . . . . . . . 253

254 255 257 257 258 258 258

Captulo 9. Soluciones de inicio de sesin nico de cliente . . . . . . . . . . . . 259

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

Captulo 10. Uniones WebSEAL

Captulo 11. Soluciones de inicio de sesin nico a travs de uniones

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

. 366 . 367 . 368

Captulo 12. Integracin de aplicaciones . . . . . . . . . . . . . . . . . . . . . 371

Captulo 13. Recuperacin de informacin de decisiones de autorizacin . . . . . . 393

Captulo 14. Informacin de consulta del servicio de recuperacin de atributos . . . . 403

Apndice A. Informacin de consulta del archivo de configuracin de WebSEAL . . . 415

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

Apndice B. Informacin de consulta de las uniones WebSEAL

Apndice C. Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

A quin va dirigido este manual

Copyright IBM Corp. 1999, 2003

Contenido de este manual

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

Informacin del release

Informacin de seguridad web

Material de consulta para desarrolladores

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

Informacin tcnica complementaria

IBM Global Security Kit

IBM Tivoli Directory Server

IBM DB2 Universal Database

IBM WebSphere Application Server

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

IBM Tivoli Access Manager for Business Integration

IBM Tivoli Access Manager for WebSphere Business Integration Brokers

IBM Tivoli Access Manager for Operating Systems

IBM Tivoli Identity Manager

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

Acceso a las publicaciones en lnea

Cmo ponerse en contacto con el soporte de software

Convenios utilizados en este manual

Diferencias entre sistemas operativos

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL

Presentacin de IBM Tivoli Access Manager y WebSEAL

Comprensin del modelo de seguridad de Tivoli Access Manager

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

Espacio de objetos protegidos

Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL

Definicin y aplicacin de polticas de ACL y POP

La lista de control de accesos (ACL)

Polticas de objetos protegidos (POP)

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin