LospasosparaconfigurarTivoliAccessManagerforWebSpheredifierenen funcióndesivaaconfigurarelprimersistemadeTivoliAccessManager for WebSphereenundominiosegurode TivoliAccessManagerosivaaagregar un sistemade TivoliAccessManagerforWebSphereadicional.
TodoslossistemasdeTivoliAccessManagerforWebSphereseconfiguranenel dominio segurousandolautilidadpdwascfg.Lainformaciónde seguridaddelas aplicacionesdeJ2EEdebemigrarsealabasededatosde políticasde TivoliAccess Manager.TivoliAccessManagerforWebSphereproporcionauna utilidadde migración parallevara caboestaacción.Tengaencuentaqueestosóloresulta necesarioensistemasquetienenaplicacionesdeJ2EEconarchivosEARque especifiquen lapolíticadeseguridad.
Además,hayciertospasosde configuraciónquesóloresultannecesarios al configurarelprimersistemadeTivoliAccessManagerforWebSphereenun dominio segurodeTivoliAccessManagerdado.
Continúeenunodelosapartadossiguientes: v “Configuracióndelainstalacióninicial”
v “ConfiguracióndeTivoliAccessManagerforWebSphereenunentornode WebSphereApplicationServer Versión5.1” enlapágina 39
v “Configuracióndeinstalacionesadicionales”enlapágina 41
Configuración
de
la
instalación
inicial
Enesteapartadosedescribecómoconfigurarlaprimerainstalación deTivoli AccessManagerforWebSphere.
TivoliAccessManagerforWebSphereproporcionautilidadesparaagilizarel proceso deconfiguración.Enlospasosdeconfiguración seusanestasutilidades, ademásde lautilidaddeadministracióndeTivoliAccessManagerpdadminy la consolade WebSphere.Hayvariospasosquesólodebenllevarsea cabolaprimera vez queseconfiguraTivoliAccessManager forWebSphereenundominioseguro de TivoliAccessManagerespecífico.
Lasinstrucciones deconfiguraciónsedescribenenlossiguientesapartados: v “Parte1:Creacióndelusuario deadministracióndeTivoliAccessManagerpara
WebSphereApplicationServer”enlapágina28
v “Parte2:Habilitaciónde laseguridadde WebSphere”enlapágina 29
v “Parte3:ConfiguracióndeAccessManagerJavaRuntime Environment”enla página31
v “Parte4:Incorporaciónaundominioseguro”enlapágina32
v “Parte5a:Migraciónde losvaloresdeseguridadde WebSphere—WebSphere Versión4.0.6” enlapágina34
v “Parte5b:MigracióndelosvaloresdeseguridaddeWebSphere—WebSphere Versión5.0.2” enlapágina36
Enelsiguientediagrama seresumenlospasosde configuraciónnecesarios parala configuración inicialenundominioseguro.
Sigalas instruccionesdecadaunadelaspartesnumeradas deesteapartado.
Parte
1:
Creación
del
usuario
de
administración
de
Tivoli
Access
Manager
para
WebSphere
Application
Server
Si yasehahabilitadolaseguridadenWebSphereApplicationServerelusuario de administraciónde WebSphereApplicationServer debeimportarse alespaciode objetosdeTivoliAccessManager.Use lautilidaddelíneade comandosTivoli AccessManager,pdadmino TivoliAccessManagerWebPortalManagerpara importarelusuariodeadministraciónde TivoliAccessManagerparaWebSphere ApplicationServer.Realiceesteprocedimientodesdelautilidaddelíneade comandosde TivoliAccessManager:
1. Enunalíneade comandos,iniciepdadmincomousuario deadministración sec_master:
pdadmin -a sec_master -p contraseña_sec_master
2. Importe elusuariode administraciónde WebSphereApplicationServer.Por ejemplo:
pdadmin> user import usuario_administración_was identificador_registro_DN
Validelacuentadelusuario deadministracióndeWebSphere:
pdadmin> user modify usuario_administración_was account-valid yes
Si nosehahabilitadolaseguridadenWebSphereApplicationServerdeberá crearse elusuario deadministracióndeWebSphereApplicationServer.Usela utilidaddelíneade comandosdeTivoliAccessManager,pdadmino TivoliAccess Manager WebPortalManagerparacrearelusuariode administraciónde Tivoli AccessManagerparaWebSphereApplicationServer.
Enlassiguientesinstruccionessedescribecómoutilizarpdadmin.
1. Enunalíneade comandos,iniciepdadmincomousuario deadministración sec_master:
pdadmin -a sec_master -p contraseña_sec_master
Figura5.TareasdeconfiguraciónparalainstalacióninicialdeTivoliAccessManagerfor WebSphere.
2. Creeunusuario deadministracióndeTivoliAccessManager paraWebSphere ApplicationServer.Porejemplo,conlassiguientesinstruccionessecreaun nuevousuariowsadmin.Escribaelsiguientecomandoenuna solalíneade comandos:
pdadmin> user create wsadmin cn=wsadmin,o=organización,c=país wsadmin wsadmin mi_contraseña
Sustituyalosvaloresdeorganizaciónypaísporvaloresválidosparasu registrodeusuariosdeLDAP.
Validelacuentawsadmin:
pdadmin> user modify wsadmin account-valid yes
Parte
2:
Habilitación
de
la
seguridad
de
WebSphere
Completelospasosdeunode losapartadossiguientesenfuncióndelaversiónde WebSphereApplicationServerqueutilice:
v “HabilitacióndelaseguridadenWebSphereApplicationServer Versión4.0.6” v “HabilitacióndelaseguridadenWebSphereApplicationServer Versión5.0.2” en
lapágina 30
Lasinstrucciones parahabilitarlaseguridaddeWebSphereVersión5.1seincluyen enelapartado“Configuraciónde TivoliAccessManagerforWebSphereenun entornodeWebSphereApplicationServerVersión5.1”enlapágina39.
Habilitación
de
la
seguridad
en
WebSphere
ApplicationServer
Versión
4.0.6
ParahabilitarlaseguridadenWebSphereApplicationServer Versión4.0.6: 1. Inicieelservidorde administraciónde WebSphere.
2. Cuandosehayainiciadoelservidor, inicieelclientedeadministraciónde WebSphere.
3. SeleccioneConsola→ Centrodeseguridad.
4. SeleccionelafichaGeneral.Seleccionelacasilladeverificación Habilitar seguridad.
5. SeleccionelafichaAutenticación.
a. SeleccioneLTPA.EstablezcalossiguientesvaloresdeLTPA: v Caducidaddeseñal:120
v Dominio:Sunombrededominio.Porejemplo:
mi_dominio.ibm.com
b. SeleccionelacasilladeverificaciónLDAP.AsignelosvaloresdeLDAP:
Tabla4.ValoresdeLDAP
ValoresdeLDAP Valoresdeejemplo
IDdeservidordeseguridad cn=wsadmin,o=ibm,c=us
Contraseñadeservidordeseguridad mi_contraseña
Sistemaprincipal ldapserver.mi_dominio.ibm.com
Tipodedirectorio SecureWay
DNdebase o=ibm,c=us
DNdeenlace cn=root
6. HagaclicconelbotónsecundariodelratónenDominioadministrativode WebSphere→Nodos→ nombre_host
7. SeleccioneReiniciar.
Habilitación
de
la
seguridad
en
WebSphere
ApplicationServer
Versión
5.0.2
ParahabilitarlaseguridadenWebSphereApplicationServer Versión5.0.2: 1. Inicie elservidor deadministracióndeWebSphere:
2. Cuando sehayainiciadoelservidor,abralaconsoladeadministración— http://localhost:9090/admin/
3. Inicie lasesióncomounusuariocualquiera. 4. ConfigureelprotocoloLDAP:
a. SeleccioneSeguridad→ Registrosdeusuarios→ LDAP
b. Configurelosvaloressiguientes:
Tabla5.ValoresdeLDAP
ValoresdeLDAP Valoresdeejemplo
IDdeusuariodelservidor cn=wsadmin,o=ibm,c=us
Contraseñadeusuariodelservidor mi_contraseña
Tipo IBM_Directory_Server
Sistemaprincipal ldapserver.mi_dominio.ibm.com
Puerto 389
DNdebase o=ibm,c=us
DNdeenlace cn=root
Contraseñadeenlace mi_contraseña
Tiempodeesperadebúsqueda 120
Reutilizarconexión true
Ignorardistinciónentremayúsculasy minúsculas
true
HabilitadoparaSSL false
ConfiguracióndeSSL nombre_celda/DefaultSSLSettings
c. HagaclicenAplicar.
5. ConfigurelaautenticaciónLTPA:
a. SeleccioneMecanismosdeautenticación→ LTPA.
b. Establezcalacontraseñaparacifrarydescifrarlasclaves LTPA.
c. Establezca elvalordeltiempodeesperade caducidaddelaclaveLTPAen 120.
d. Enlamismaventana,confirmelacontraseñaparacifrar ydescifrarlas claves LTPA.
e. HagaclicenAplicar.
f. EnlasecciónPropiedadesadicionalesqueseencuentrahaciaelfinaldela pantalla,seleccioneIniciodesesiónúnico(SSO).
g. Habilite eliniciodesesiónúnico.
h. Especifiqueelnombrede dominioDNSdeiniciodesesiónúnico. i. HagaclicenAplicar.
a. SeleccioneSeguridad→ SeguridadGlobal. b. Configurelosvaloressiguientes:
Tabla6.Valoresdeseguridad
Valordeseguridad Valoresdeejemplo
Habilitado true
AplicarseguridadenJava2 false
UtilizarIDdeusuariocualificadospara eldominio
true
Tiempodeesperadeantememoria 600
Emitiravisodepermiso true
Protocoloactivo CSIySAS
Mecanismodeautenticaciónactivo LTPA
Registrodeusuariosactivo LDAP
c. HagaclicenAplicar.
7. HagaclicenelvínculoGuardar.
8. HagaclicenelbotónGuardarparaguardarlaconfiguraciónmaestra. 9. Cierrelasesiónde laconsoladeadministraciónde WebSphereApplication
Server.
10. ReinicieWebSphereApplicationServer.
Parte
3:
Configuración
de
Access
Manager
Java
Runtime
Environment
ConfigureAccessManagerJavaRuntime Environmentparaampliarelcomponente de tiempode ejecuciónJava quesedistribuyeconIBMWebSphereApplication Server.
Nota: AccessManagerJavaRuntime Environmentesunrequisitopreviode softwareparaTivoliAccessManagerforWebSphere.
AccessManagerJava RuntimeEnvironmentpuedeconfigurarsemediantelaGUI de configuracióndeAccessManagerBaseodesdelalíneadecomandosmediante elcomandopdjrtecfg.ParaconfigurarAccessManagerJava RuntimeEnvironment desdelaGUIde configuracióndeAccessManagerBase:
1. Vayaaldirectoriosiguiente:
v (UNIX)/opt/PolicyDirector/bin
v (Windows) C:\Archivos de programa\Tivoli\Policy Director\bin 2. Escribaelsiguientecomando:
pdconfig
AparecelapantallaConfiguracióndeAccess Managerdesdedondepodrá configurarelcomponentedetiempodeejecución Java.
ParaconfigurarAccessManagerJava RuntimeEnvironmentdesdelalíneade comandos:
1. Compruebe quelavariablede entornoWAS_HOMEestéestablecidaeneldirectorio inicialde IBMWebSphereApplicationServer.
v (UNIX)/opt/PolicyDirector/sbin
v (Windows) C:\Archivos de programa\Tivoli\Policy Director\sbin 3. Escribaelsiguientecomandoenunasolalíneadecomandos:
v UNIX
pdjrtecfg -action config -java_home $WAS_HOME/java/jre -host host_Policy_Server
v Windows
pdjrtecfg -action config -java_home %WAS_HOME%\java\jre -host host_Policy_Server
Nota: Asegúresede quelaubicacióndelbinario dejavaqueapareceprimero enlavariable PATHcoincidaconlaubicacióndelbinariodejavaque hayaespecificadoenlaopcióndepdjrtecfg-java_homeruta_acceso.
Parte
4:
Incorporación
a
un
dominio
seguro
Realice lossiguientespasos:
1. DetengaWebSphereApplicationServer. 2. Reúna lasiguiente información:
v Elnombredelacuentadeusuario quedeseeutilizarcomoidentificador de usuario paralaaplicación TivoliAccessManagerforWebSphere.Los comandosde ejemplodeestas instruccionesutilizanlaidentidad
pdpermadmin.Elnombredeusuario queelijanodebeexistirenelregistrode usuarios.
v Lacontraseñade lacuentasec_master.
v ElnombrededominiocompletodelsistemaquealojaaPolicyServer.Por ejemplo: pdmgrserver.mysubnet.ibm.com
v ElnombrededominiocompletodelsistemaquealojaaAuthorizationServer. Porejemplo: pdacldserver.mysubnet.ibm.com
v Eldirectoriode iniciodelainstalación deWebSphere.
3. Paraestablecerlavariable deentornoWAS_HOMEeneldirectoriode instalación deWebSphereApplicationServer,cambiea larutadeacceso
directorio_instalación_WebSphere/bin yejecuteelcomandosiguiente:
UNIX
setupCmdLine.sh Windows
setupCmdLine.bat
4. EnlasplataformasUNIX,establezca lavariable deentornoPDWAS_HOMEenel directorio deinstalaciónde TivoliAccessManagerforWebSphere. Enlas plataformasWindows, PDWAS_HOMEyaexistiráenelentorno.
UNIX
PDWAS_HOME=/opt/amwas export PDWAS_HOME
5. Vayaaldirectorio:
v (UNIX)/opt/amwas/sbin
v (Windows) C:\Archivos de programa\Tivoli\amwas\sbin
6. Ejecutelautilidadpdwascfg.Utilicelainformaciónqueharecopiladoenel pasoanteriorparaproporcionarlas opcionesdelíneade comandosde
Nota: Enlossiguientescomandosdeejemplo,sepresuponequeseestá creandounanuevacuentade usuariodeTivoliAccessManager denominadapdpermadmin.Porejemplo:
-remote_acl_user pdpermadmin
Mediantelosparámetrosaplicadosanteriormente, escribaelcomandosiguiente
enuna solalíneadecomandos,utilizandoelparámetro-actionconfigWAS4o bienconfigWAS5enfuncióndelaversiónde WebSphereApplicationServer queutilice:
pdwascfg -action configWASnúmero_versión -remote_acl_user pdpermadmin
-sec_master_pwd mi_contraseña
-pdmgrd_host DN_completo_de_host_Policy_Server -pdacld_host DN_completo_de_host_Authorization_Server -was_home c:\WebSphere\AppServer
Nota: Elvalorde laopción–was_homedelcomandoanterioraparecesólo comoejemplo.Estevalorcambiaráenfunciónde laversión de
WebSphereApplicationServer queejecuteydelaplataformaqueutilice. Porejemplo,estevalorpuedeser:
Windows
WebSphereApplicationServer Versión4.0.6:
c:\WebSphere\AppServer
WebSphereApplicationServer Versión5.0.2:
"c:\Archivos de programa\WebSphere\AppServer" Solaris,Linux,HP-UX
/opt/WebSphere/AppServer
AIX /usr/WebSphere/AppServer
LautilidadpdwascfgconfiguraWebSphereApplicationServer parautilizar TivoliAccessManager forWebSpherecomoproveedorde autorización.
Notas:
a. Lautilidadpdwascfgsólodasoportea dominiosenlosqueelusuariode administraciónsehacreado comosec_master.
b. Lautilidadpdwascfgcreaunarchivo deregistrollamadoAMWASConfig.log eneldirectorio enelquesehaejecutadolautilidad.
7. Compruebe queelcomandopdwascfghayacreadoelarchivodepropiedades PdPermcorrectamente.
v Solaris, Linux,HP-UX
/opt/WebSphere/AppServer/java/jre/PdPerm.properties
v AIX
/usr/WebSphere/AppServer/java/jre/PdPerm.properties
v Windows
– WebSphereApplicationServerVersión4.0.6
C:\WebSphere\AppServer\java\jre\PdPerm.properties
– WebSphereApplicationServerVersión5.0.2
C:\Archivos de programa\WebSphere\AppServer\java\jre\PdPerm.properties Nota: Enlosnombresderutade accesoanteriores,sepresuponequeseutiliza
eldirectorio deinstalaciónpredeterminadode WebSphereApplication Server.Siloha instaladoenuna ubicacióndistintade lapredeterminada,
Parte
5a:
Migración
de
los
valores
de
seguridad
de
WebSphere
—
WebSphere
Versión
4.0.6
Si utilizaWebSphere5.0.2,omitaestepasoy procedaconelapartado“Parte5b: Migración delosvaloresde seguridaddeWebSphere—WebSphereVersión5.0.2” enlapágina36
Enestepasosemigra lapolítica deseguridaddelaaplicacióndelarchivo descriptordedesplieguede WebSphereadmin.ear alabasededatosde políticas de TivoliAccessManager.Lautilidadde migracióncreaobjetosquerepresentan recursos WebSphereenelespaciodeobjetosTivoliAccessManager.Nopodrá iniciarWebSpheresiestasecciónnoestácompletada.
Realice lossiguientespasos:
1. DetengaWebSpheresiseestáejecutando.
2. AsegúresedequelavariabledeentornoWAS_HOMEestáestablecidaenla ubicacióndelainstalaciónde WebSphereApplicationServer.Enlosejemplos siguientessemuestralaubicaciónpredeterminada:
v Solaris, LinuxHP-UX
WAS_HOME=/opt/WebSphere/AppServer
v AIX
WAS_HOME=/usr/WebSphere/AppServer
v Windows
WAS_HOME=C:\WebSphere\AppServer
3. Reúna lasiguiente información,quedeberáespecificarcomoparámetrosde entradadelautilidaddemigración:
v ElnombredelarchivoEARquesedebemigrar.Paraesteusoinicial dela utilidaddemigración,debemigrarelarchivoEARdeadministración: – Solaris,Linux,HP-UX
/opt/WebSphere/AppServer/config/admin.ear
– AIX
/usr/WebSphere/AppServer/config/admin.ear
– Windows
C:\WebSphere\AppServer\config\admin.ear
v Larutadeacceso completadelarchivo PDPerm.properties.Estearchivo se encuentraenundirectoriobajoeldirectoriode instalaciónde WebSphere ApplicationServer.Enlasiguientelistasemuestralaubicación
predeterminada paracadasistemaoperativo.
Nota: LaubicacióndearchivosdebeexpresarsecomoURI(Uniform ResourceIdentifier).
– Solaris,Linux,HP-UX
file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties
– AIX
file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties
– Windows
file:/c:\WebSphere\AppServer\java\jre\PdPerm.properties
v ElnombredelacuentadeadministracióndeTivoliAccessManager.Debería ser sec_master.
v Elnombredelacuentadeusuario deadministracióndeWebSphere.Debería coincidir conlacuentaquesehacreado/importadoanteriormente.Por ejemplo:
wsadmin
v Elsufijodelnombredistintivo(DN)deLDAPbajoelqueTivoliAccess Manager PolicyServer yWebSphereApplicationServeralmacenenla informacióndeusuario.Deberíacoincidir conelsufijodelDNutilizadoal crearelusuariowsadmin.
Enelejemplodelapartado“Parte1: Creacióndelusuariode administración de TivoliAccessManagerparaWebSphereApplicationServer”enlapágina 28sehacreadowsadminconelsiguienteDN:
cn=wsadmin,o=ibm,c=us
Enestecaso,elsufijodelDNes:o=ibm,c=us
Estevalordebeespecificarsecomoargumentoparalaopción–ddela utilidadmigrateEAR4.
Nota: Puedeutilizarpdadmin paravisualizar elDNdewsadminensu sistema:
pdadmin> user show wsadmin
4. Accedaaldirectoriodondeestéubicadalautilidaddemigración: v (UNIX)/opt/amwas/bin
v (Windows) C:\Archivos de programa\Tivoli\amwas\bin
5. Ejecutelautilidadde migraciónparamigrarlosdatoscontenidosenadmin.EAR. Utilizandolosparámetrosrecopiladosenelpasoanterior,escribaelsiguiente textoenunalíneadecomandosenuna solalíneadecomandos:
UNIX
migrateEAR4 -j /opt/WebSphere/AppServer/config/admin.ear
-a sec_master -p contraseña_sec_master -w wsadmin -d "o=ibm,c=us" -c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties
Tengaencuentaquelaubicaciónpredeterminada delarchivo PdPerm.propertiesenAIXes:
/usr/WebSphere/AppServer/java/jre/PdPerm.properties Windows
migrateEAR4 -j c:\WebSphere\AppServer\config\admin.ear
-a sec_master -p contraseña_sec_master -w wsadmin -d "o=ibm,c=us" -c file:/c:\WebSphere\AppServer\java\jre\PdPerm.properties
Trasfinalizarlamigración,apareceráunmensajedeestado.Lasalidadela utilidadseregistraenelarchivopdwas_migrate.logcreado eneldirectorio en elquesehaejecutadolautilidad.Consulte elarchivo deregistropara
asegurarsede quesehamigradotodalapolíticadelaaplicación.Sielarchivo deregistromuestraerrores,compruebelaúltimatransacción quesehallevado a cabo,corrijaelorigendelerrory vuelvaaejecutarlaherramientade
migración.
Silamigraciónnosehallevadoacabocorrectamente,compruebe quehaya especificado elURI(UniformResourceIdentifier)correctoenlaopción -cy el nombrede archivocorrectoenlaopción-j.
Lautilidadde migraciónnecesitaaccesoa admin.ear.Deforma
predeterminada,laherramientadeensamblajedeaplicacionescontiene referenciasde URLalaubicacióndelestándarDTD(Definicióndetipo de
conectadoa Internet,utiliceunacopialocalde laDTD.Enestecaso,actualice losdescriptoresdedespliegueparaqueapuntena laDTDlocal.
Atención: Deberáejecutarlautilidaddemigración almenosunavezmás antesdeutilizarTivoliAccessManagerforWebSphere. Deberáejecutarlo contra elarchivoEARdecadaaplicaciónquepretendaasegurar.Lasinstrucciones parallevaracaboesteprocedimientoaparecenenelapartadoCapítulo4, “Migraciónderolesdeseguridad”,enlapágina45.
Adición
del
grupo
pdwas-admin
a
la
lista
deACL
de
administración
Realice lossiguientespasosparaagregar elgrupopdwas-admina lalistadeACL de administración:
1. Utilice pdadminparaagregarelgrupopdwas-admina laACLpertinente. Escribaeltextosiguienteenunasola líneadecomandos:
pdadmin> acl modify _WebAppServer_deployedResources_AdminRole_admin_ACL set group pdwas-admin T[WebAppServer]i
2. Sisu dominiosegurocontienemásde unAuthorizationServer,utilicepdadmin
paraejecutarelcomandoserverreplicateparagarantizarasíquetodoslos AuthorizationServerseactualiceninmediatamenteconloscambiosdeACL.
Parte
5b:
Migración
de
los
valores
de
seguridad
de
WebSphere
—
WebSphere
Versión
5.0.2
Si utilizaWebSphereApplicationServer 4.0.6,omitaestepaso.
Enestepasosemigra lapolítica deseguridaddelaaplicacióndelarchivo