Estecapítuloproporcionainformaciónquepermiteconfigurarelentornopara instalarelproductoIBMTivoliPrivacy Managerfore-business(TivoliPrivacy Manager).Consulte lapublicaciónIBM TivoliPrivacyManagerInstallationGuide
paraasegurarsede quetengainstaladaslas versionesde productoynivelesdefix pack correctos.EnlapublicaciónIBMTivoliPrivacyManagerPrerequisitesInstallation Guideseproporcionanlasinstruccionespasoa pasoparainstalarlosproductosde requisito previoalosquesehacereferenciaenestecapítulo.
TivoliPrivacy Managerfuncionaconnumerososproductosde softwarepara gestionar laprivacidadenunentornodeempresa,entreellos:
v IBMWebSphereApplicationServer,incluidoIBM HTTPServer v IBMTivoliAccessManagerfore-business
v IBMDB2Universal Database
Es posiblequealgunos,todosoningunodeestosproductosyaesténutilizándose ensu organización.Sino,lasversionesdelicencialimitadadeestosproductosse incluyen enelpaquetedeinstalación deIBM TivoliPrivacyManager.Enelorden de lainstalacióndescritoenlapublicaciónIBM TivoliPrivacyManagerPrerequisites InstallationGuideserefleja queestosproductospodríanonoinstalarseyquedebe revisar yseguirestasrecomendacionesrespectoa suentornoactual.
Requisitos
previos
de
la
instalación
y
configuración
EnlapublicaciónIBMTivoliPrivacyManagerInstallationGuideseindicanlos nivelesdehardwareysoftwaresoportadosporTivoliPrivacyManager.Asegúrese de quesehayaninstaladoestosnivelesdehardwareysoftwarenecesarios antesde tratardeinstalarTivoliPrivacyManager.EnlapublicaciónIBMTivoliPrivacy ManagerPrerequisitesInstallationGuideseproporcionanlasinstruccionesde instalación delsoftwarederequisitoprevio.
Directrices
de
instalación
de
Tivoli
Privacy
Manager
y
productos
de
soporte
Enesteapartadoseproporcionanrecomendacionessobreenquélugarhayque instalarloscomponentesdeTivoliPrivacyManager paraconfigurarunentornode pruebayunentornodeproducción.Lasrecomendacionesparaconfigurarun entornodepruebapermiten másproductosenuna solamáquinaquelas recomendacionesparaunentornode producción.DebidoaqueTivoliPrivacy Manager establececomunicaciónconnumerososproductosdelprograma,las recomendacionesparaelentornode producciónsonmejorar elrendimientodel producto. Sideseaobtener másrecomendacionessobrecómomejorar Tivoli Privacy Manager,consulte elapartadoCapítulo5, “Rendimientoydisponibilidad de TivoliPrivacyManager”,enlapágina75.
Configuración
de
un
entorno
de
prueba
AntesdedesplegarTivoliPrivacy Managerenunentornodeproducción,
configureunentornodezonaprotegida(deprueba)quelepermitacrearyprobar lapolíticaantesdeincorporarlaa laproducción.Losservidoresde TivoliPrivacy
Manager utilizadosparalaspruebasdeben estarseparadosdelosservidoresde TivoliPrivacy Managerdeproducción,de formaquelosservidoresdeproducción nopuedanverseafectadosporlosproblemasquepuedansurgirmientrasse pruebaelflujodedatosentreelmonitory elservidor.
Paraconfigurarunaconfiguración mínimaparacomprobarflujos dedatosdeun componentea otroydeunproductoaotro,serecomiendasepararfísicamentelos componentes ylosproductosquefiguranenlaTabla3.Observequeesta
recomendación sóloseefectúa amododeprueba.
Tabla3.Instalaciónsóloparapruebasdeproductos
Instaleesteproductoocomponentesdel producto:
Enlamáquinaenlaqueestáninstalados estosproductosycomponentesdel producto:
ServidordeIBMTivoliPrivacyManager v IBMWebSphereApplicationServer v ComponentePDJRTEdeTivoliAccess
Manager
v MonitorLDAPdeTivoliPrivacyManager v IBMDB2UDB
Enprimerlugar,instaleelservidor deTivoliPrivacyManager,elmonitorLDAP,el componentePDJRTE yDB2enlamismamáquina. Porcuestionesderendimiento, elservidorde TivoliAccessManagery elserviciode directorios(servidor LDAP) deben residirenunamáquinaqueestéseparadadelservidor deTivoliPrivacy Manager,inclusoenunentornode prueba.
Paraprobar elflujode losdatosdeunmonitorLDAP,debehaberdisponibleun servidor deTivoliPrivacyManager totalmentefuncionalydebepublicarsey desplegarse unapolíticade privacidad.Duranteelproceso dedesplieguedela política,sepruebalaconexióna TivoliAccessManager.Consultelapublicación
IBM TivoliPrivacyManagerGuíadel usuarioparaobtener informaciónsobrecómo creary probarunapolíticaantesdedesplegarlaenunentornode producción. Inicie ypruebeelfuncionamientodeunsolomonitorLDAPparaasegurarsede quelosdatosfluyenhastaTivoliPrivacy Managerdeacuerdoconloprevisto. Establezca elmonitor enelestadoEnprueba.Si seestablece elmonitorenel estado Enpruebasepuedengenerary almacenarregistrosdeauditoríacadavez,y seefectúaunintentodeacceso conrespectoa lapolítica,como sielmonitor estuvieraenestadototalmentedesplegado,perosepuedeespecificarquese ajusten losregistrosde auditoríaEn pruebadelabasededatosuna vezfinalizada laprueba.
LadecisiónsobreellugarenelquehayquedesplegarlosmonitoresLDAP después deefectuarlapruebaycuántoshayquedesplegardependerádevarios factores relacionadosconlaconfiguraciónde lared.Consultelapublicación “Desplieguede variosmonitoresLDAP”enlapágina83paraobtenerdirectrices sobrecómodesplegarvariosmonitoresenlared.Consulteelapartado“Ajustedel monitor LDAPdeTivoliPrivacy Manager”enlapágina87paraobtener
informaciónsobrelaspropiedadesquesepuedenestablecerparapoderajustarel rendimientodeunmonitorLDAP deTivoliPrivacyManager.
Configuración
del
entorno
de
producción
EnesteapartadoseproporcionandirectricesparainstalarTivoliPrivacyManager y losproductosnecesarios enunentornodeproducción.LaFigura6 enlapágina 25 muestraeldiseñofísicodeTivoliPrivacyManagery losproductosdesoftware
asociados.Cadacomponentequefiguraenuncuadroseparadodebeinstalarsepor separadodelosotroscomponentes necesarioscomplementarios.
LaTabla4 resumelosrequisitosparainstalarconjuntamenteproductosy componentes deproductos.
Tabla4.Requisitosparainstalarconjuntamenteproductosycomponentesdeproductos
Elsiguienteproductoocomponentede producto:
Debeinstalarseenlamáquinadondeesté instaladoelsiguienteproductoo
componentedeproducto:
ServidordeTivoliPrivacyManager WebSphereApplicationServer
MonitorLDAPdeTivoliPrivacyManager ClientedeWebSphereApplicationServer ServidordeTivoliPrivacyManager JavaRuntimeEnvironmentdelclientede
TivoliAccessManager(componente PDJRTE)
IBMDB2UDBqueutilizaelservidorLDAP Serviciodedirectorios(servidorLDAP)
LaTabla5 enlapágina 26resumelasrecomendacionesparainstalarproductosy componentes deproductosporseparado.
Figura6.VisióngeneralfísicadeTivoliPrivacyManager
Tabla5.Recomendacionesparainstalarproductosycomponentesdeproductospor separado
Elsiguienteproductoocomponentede producto:
Serecomiendainstalarenunamáquina
separadadelamáquinadondeestáinstalado elsiguienteproductoocomponentede producto:
ServidordeTivoliPrivacyManager v ServidordeTivoliAccessManager v IBMDB2UDButilizadoporTivoliPrivacy
Manager
v Serviciodedirectorios(servidorLDAP) v MonitorLDAPdeTivoliPrivacyManager ServidordeTivoliAccessManager v ServidordeTivoliPrivacyManager
v IBMDB2UDButilizadoporelservidorde TivoliPrivacyManager
v Serviciodedirectorios(servidorLDAP) IBMDB2UDButilizadoporelservidorde
TivoliPrivacyManager
v ServidordeTivoliPrivacyManager v ServidordeTivoliAccessManager v Serviciodedirectorios(servidorLDAP) Serviciodedirectorios(servidorLDAP) v ServidordeTivoliPrivacyManager
v ServidordeTivoliAccessManager v IBMDB2UDButilizadoporelservidorde
TivoliPrivacyManager
Integración
de
Tivoli
Privacy
Manager
en
el
entorno
de
servidor
de
IBM
WebSphere
Application
Server
Si elentornoaúnnoestáconfiguradoparautilizarIBM WebSphereApplication Server, consulteladocumentacióndeWebSphereparaobtenerinformaciónsobre cómo instalaryconfigurarWebSphere.Enesteapartadoseproporcionaunavisión general dealtonivel,delaimplantaciónenJavade TivoliPrivacyManager.Tivoli Privacy Manageresuna aplicaciónbasadaenJ2EEqueseinstalaenunentorno WebSphereApplicationServer.TivoliPrivacyManager presentaunainterfaz(la consolade TivoliPrivacyManager)habilitadaparalawebqueenvíasolicitudes HTTP(protocolodetransferencia enhipertexto)alservidordeTivoliPrivacy Manager.Elservidorde TivoliPrivacyManagerseejecutadentrodecontenedores implementados porWebSphereApplicationServer.Enelcontenedorweb,los servletsgestionadosporstrutsy JavaServerPages(JSP)proporcionanaccesoalas normasde laempresaa travésdecorrelacionesJNDI(Interfazdedirectorio de denominaciónJava) conloscomponentesEntreprise JavaBean(EJB) del contenedorEJB.LoscomponentesEJBgestionanelalmacenamientoyacceso permanentesa labasededatos.LaFigura7enlapágina27muestralarelación entrecomponentesdeTivoli PrivacyManageryproductosde softwareasociados. Losvaloresquesemuestrancorrespondena losvaloresenlalistaordenadaquese muestrana continuacióndelailustración.
ParainstalarTivoliPrivacyManagerenWebSphereApplicationServerdebe: 1. Crearlabasededatosy tablasde basesde datosdeTivoliPrivacyManager. 2. Configurar elentornodesoportedeWebSphere:
a. CrearunproveedorJDBC. b. Crearunafuentededatos.
3. InstalarTivoliPrivacy ManagerenWebSphere,queincluye: v CorrelacionarTivoliPrivacyManagerconlosusuarios. v CorrelacionarlasentidadesEJB conlosnombresJNDI. v Especificarlas fuentesdedatos.
4. Paraestablecerlacomunicaciónentreelservidor deTivoliPrivacyManager y unmonitorLDAPde TivoliPrivacyManager,inicialiceelentornode tiempode ejecución delmonitor conelnombredehostdondeestáubicadoelserviciode JNDI.Normalmente,laJNDIseejecutaenelmismohostqueWebSphere ApplicationServer.
Consulte lapublicaciónIBMTivoliPrivacyManagerInstallationGuideparaobtener detallessobrecómollevaracaboestosprocedimientos.
Figura7.VisióngeneraldeJ2EEdeTivoliPrivacyManager
Capítulo
3.
Planificación
de
la
configuración
y
operación
de
Tivoli
Privacy
Manager
Estecapítuloproporcionainformaciónqueleayudaráa configurarsu entornopara quefuncionesTivoliPrivacyManager.Enestecapítuloseincluyenlossiguientes temas:
v Planificacióndelaseguridaddelosdatos v Configuracióndelosserviciosdeautorización v Sincronizaciónderelojes delsistema
v ConfiguracióndemonitoresdeTivoliPrivacy Manager v SoporteP3Pylimitacionesdelsoporte
Planificación
de
la
seguridad
de
los
datos
EnesteapartadosedescribenlascuestionesdeseguridadparaintegrarTivoli Privacy Managerenunentornodered.Losprimerosapartadostratan de cuestionesparadefinirloscomponentesdeaplicaciones,usuariosygruposde TivoliPrivacy Managerenelservicio deautenticaciónqueWebSphereApplication Server utiliza.Despuésdedefinirloscomponentesdeaplicaciones, usuariosy gruposenelservicio deautenticación,puedeasociarlosconlosrolesdeTivoli Privacy ManagercuandoTivoliPrivacyManagerestéinstaladoenWebSphere ApplicationServer.Elúltimoapartado,“Seguridaddelflujode datos”enlapágina 36,describeelentornode seguridadglobalenelqueTivoliPrivacy Manager realizaoperaciones.
Asignación
de
roles
de
Tivoli
Privacy
Manager
a
usuarios
y
grupos
Leaesteapartadoparasabercómo losrolesdegrupo deTivoliPrivacyManager (personal deIT,personaldeCPI, administrador,auditor)sepuedenasignara los usuariosygruposexistentes,y paradeterminarsilosusuariosygruposnuevosse hande definirenelserviciodeautenticaciónparaquepuedanutilizarTivoli Privacy Manager.EnlaConsoladeadministracióndeWebSphere, losrolesde tareasde TivoliPrivacyManagerseasignana usuariosindividualesya grupos definidos enelservicio deautenticación.ConsultelapublicaciónIBMTivoliPrivacy ManagerInstallationGuidesidesea verinstruccionessobreelprocedimiento.
Nota: Noconfundalaasignaciónderolesquesedescribeenestasecciónconlas correlacionesdeIDdeusuarioyde gruposquesedescribeenelmanual
IBMTivoliPrivacyManagerGuíadelusuario. Lasasignacionesderoles determinanquétareaspuedenrealizarenlaconsoladeTivoliPrivacy Managerlosusuariosasignadosarolesespecíficos.LascorrelacionesdeID deusuario ydegruposdeterminanquéusuariosygruposdeusuarios definidosenelserviciodeautorizaciónpuedenaccedera lainformación confidencialdesuempresa.
Despuésdeasignarlosusuariosy gruposenelpasodeconfiguración inicial, puedevolvera estatareaparacambiar lasasignacionesderoles. Consultela publicaciónIBM TivoliPrivacyManagerGuíadel usuariosideseaverconsideraciones sobreelcambiodeasociaciónenlosrolesdetareasdeTivoliPrivacy Manager.
Paraobtener unadescripciónde losdiversosnivelesdeautenticaciónquepuede asociar acadarol,consulteelapartado“Establecimientodelniveldeautenticación de WebSphere”enlapágina36.Nivelesdeautenticaciónmenosrestrictivos pueden resultarbeneficiosospararealizarpruebasyparafamiliarizarseconlas operaciones delaconsola.
Sigaestospasos paraimplementarlasasignacionesde rolesde tareasparaTivoli Privacy Manager:
1. Lea“Visióngeneralde losrolesde TivoliPrivacyManager”enesteapartado paradeterminarcómolasagrupacionesdeasignacióndetareasparacadarol detareacorrespondenalas asignacionesdeusuarioy grupoenelservicio de autenticación(localOSoLTPA).
2. Creeusuariosy gruposnuevosy cambielosgruposexistentes, segúncrea necesario,enelservicio deautenticaciónutilizado porWebSphereApplication Server.EstepasogarantizaquelosrolesdeTivoliPrivacyManager quese intentanasignaraestosusuariosygrupospuedanheredarelniveladecuado deautorización. Porejemplo,siungrupodeadministradores estádefinido en elserviciodeautenticación, esposibleasignardichogrupo alrol de
administradorde TivoliPrivacyManager.Determinarcómoasignarelroldel personalde CPOpuedeser unatareamáscomplicada.Talvezprimeronecesite configurargruposespecíficosenelserviciodeautenticación, paraasegurarsede ladisponibilidaddetareasadecuadaconaquellosindividuosquecreen,
implementenygestionenpolíticas,y genereninformesdeauditoríamuy importantes.Enfunciónde cuántopersonalparticipeenlagestiónde privacidad,talvezsólonecesiteasignaraalgunaspersonasdefinidasenel servicio deautenticacióndeterminadosrolesdeTivoliPrivacyManager. 3. Tome notasacercadequéusuariosygruposdeseaasignara losrolesde Tivoli
PrivacyManager.Puedeconsultarlasenelpróximopaso.
4. Despuésdelainstalaciónde TivoliPrivacyManager,durantelainstalaciónen WebSphereApplicationServer,asignea losusuariosy grupos(definidosenel servicio deautenticación)losrolesadecuados.
5. CuandoTivoliPrivacy Managerestéconfiguradoy enejecución, pruebelas asignacionesde rolesparalosusuariosygruposyefectúelosajustesnecesarios enlaConsolaadministrativadeWebSphere.
Visión
general
de
los
roles
de
Tivoli
Privacy
Manager
Enesteapartadosedescribenlosrolesqueestánintegrados enTivoliPrivacy Manager ylastareasquecadarol puederealizar.Losrolessonunconcepto J2EE implementadoenWebSphereApplicationServerparaclasificarobjetos(por ejemplo, tareasyaplicaciones)yparacorrelacionardichosobjetosconfunciones específicas. Losrolesdeaplicacióny losrolesde tareade TivoliPrivacyManager
deben definirseprimeroenelserviciodeautenticaciónutilizadoporWebSphere ApplicationServer.UnavezcreadoslosrolesdeTivoli PrivacyManagerenel servicio deautenticación,sedefinenenWebSphereApplicationServerdurantela instalación yconfiguración inicialesde TivoliPrivacyManager.Consultela publicaciónIBM TivoliPrivacyManagerInstallationGuidesidesea verinformación sobrecómoinstalaryconfigurarTivoliPrivacyManager.
TivoliPrivacy Managerdefinedosrolesdeaplicación(servidor,monitor) ycuatro rolesdetarea(personaldeCPO, personaldeTI,administradoryauditor)en WebSphereApplicationServer comopasodeconfiguracióninicial.
Roles deaplicación
EstosrolesautenticanelservidordeTivoli PrivacyManagerylos
Servidor(SERVER)
Esterolpermitequeloscomponentesdelservidorde Tivoli PrivacyManager secomuniquen dentrodelentornoWebSphere ApplicationServer.ElIDdeusuario ylacontraseñaparaelrolde servidor debendefinirseenelserviciodeautenticaciónantesde instalarTivoliPrivacyManagerenelentornoWebSphere.
Nota: Elrolde servidoresunrolprivilegiadoquenodebe utilizarseparainiciarlasesión enTivoliPrivacy Manager. Creey utiliceesterolúnicamenteparaespecificaruna entidadenWebSphereApplicationparaautenticare iniciar elservidor deTivoliPrivacyManager.
InWebSphere4.x, elIDdeusuario ylacontraseñasedefinenenla página EjecutarcomocorrelaciónderolesenelCentrode
seguridadde laConsolaadministrativadurante laconfiguración inicialde TivoliPrivacyManager.
EnWebSphere5.x,elIDdeusuario ylacontraseñasedefinencon lassiguientesselecciones:
Aplicaciones→Aplicacionesdeempresa→
IBM_Tivoli_Privacy_Manager→AdditionalProperties→ Correlacionarroles RunAsconusuarios.
Monitor(MONITOR)
EsterolpermitequeWebSphereApplicationServerautentiquelos monitoresdeTivoliPrivacyManager duranteelarranque.Acada monitor quesedespliegueseledebeasignarunIDde usuarioen elroldemonitor.ElIDde usuariobajoelqueelmonitorse conectaalservidorTivoliPrivacyManager notiene quecoincidir conelnombredelmonitor.
WebSphereApplicationServerautenticayautorizaatodoslosID deusuario ycontraseñasdelmismomodo,peroelproceso
utilizadoparasuministrarelIDdeusuario ycontraseñaalservidor difieresegúnelentornodetiempodeejecución delmonitor. ConsultelapublicaciónIBM TivoliPrivacyManagerMonitor
Developer’sGuidesideseaverinformaciónsobrecómoespecificarel IDdeusuarioy contraseñadelmonitordurante elarranque.
Roles detareas
Estosrolesdefinenquétareaspuedenrealizarenlaconsolade Tivoli Privacy Managerlosusuariosy gruposasignados alrol.Lastareas asociadas aunrolnosepueden modificar;sinembargo,losusuariosy grupossepueden correlacionarconvariosroles.Utilicelasdescripciones de tareasdeestasecciónparadeterminarcómoasignarusuariosygrupos definidos enelserviciode autenticacióna lastareasdecadaroldeTivoli Privacy Manager.Porejemplo, sisedefineungrupode administradores ante elserviciode autenticaciónqueWebSphereApplicationServer utiliza, podríaasignardichogrupoalroldeadministrador deTivoliPrivacy Manager.Determinar cómoasignarelroldelpersonaldeCPOpuedeser una tareamáscomplicada.Talveznecesite configurarprimero grupos específicosenelserviciodeautenticaciónparaasegurarsedela
disponibilidadde tareasmásadecuadaconaquellaspersonas quevana crearpolíticas,implementar políticas,gestionarpolíticasygenerarinformes
de auditoríamuyimportantes.Enfuncióndecuántopersonal participeen lagestióndeprivacidad,esposiblequesólotengaqueasignarunusuario a undeterminadorol.
Auditor(AUDIT_STAFF)
Elroldeauditorpuederealizarlas tareassiguientes.Estastareas relacionadasconinformestambiénlaspuederealizarelpersonal de CPOymediantelosrolesdepersonalde TI:
Crear definicionesdeinformes
Especificaloscriteriosdeinformeparauninformequese guarda.Loscriteriosde informeincluyenelnombreyel tipode informe.Lasdefinicionesdeinformeseguardan paravolverseautilizar.