IBM Tivoli Access Manager for e-business: WebSEAL Guía de administración36
IBM
Tivoli
Access
Manager
for
e-business:
WebSEAL
Guía
de
administración
IBM
4758-023:
\\cryptoki.dll
Eracom
Orange
DEFAULT_CRYPTOGRAPHIC_MODULE=
7.
Haga
clic
en
Aceptar.
Aparece
el
cuadro
de
diálogo
Contraseña
de
señal.
8.
Escriba
la
contraseña
predeterminada
″pdsrv″.
Haga
clic
en
Aceptar.
9.
Volverá
a
la
ventana
principal
de
iKeyman.
Solicitud
y
almacenamiento
del
certificado
de
servidor
WebSEAL
1.
Siga
las
instrucciones
de
la
publicación
IBM
Global
Security
Kit
Secure
Sockets
Layer
and
iKeyman
IBM
4758-023:
[ssl]
pkcs11-driver-path
Eracom
Orange
[ssl]
pkcs11-driver-path
En
este
ejemplo,
el
objeto
no
se
encuentra
y
WebSEAL
responde
devolviendo
una
página
de
error
404
″Página
no
encontrada″
de
HTML.
Esta
página
de
error
incluye
la
dirección
URL
que
contiene
el
Javascript
malicioso.
El
navegador
interpreta
la
dirección
URL
y
ejecuta
el
script.
Consulte
la
siguiente
lista
de
advertencias
del
CERT
para
obtener
información
completa
acerca
de
la
mecánica
de
los
scripts
entre
sitios
y
tomar
medidas
preventivas
de
carácter
general:
http://www.cert.org/advisories/CA-2000-02.html
Configuración
del
filtrado
de
cadenas
de
direcciones
URL
El
programa
de
los
scripts
entre
sitios
—y
del
código
malicioso
incorporado
en
general—
se
gestiona
de
dos
maneras.
WebSEAL
codifica
los
corchetes
angulares
El
valor
predeterminado
es:
access
interactive|demographic|content|state|political|health|preference|location|
government|other-category}
individual-analysis|individual-decision|contact|historical|
[:[opt-in|opt-out|always]]
Este
valor
se
utiliza
sólo
una
En
Windows,
la
lista
de
archivos
también
indica
las
claves
de
registro
que
deben
incluirse
en
la
copia
de
seguridad.
La
lista
de
archivos
es
un
archivo
de
texto
plano.
Puede
personalizar
el
contenido
del
archivo
para
agregar
información
específica
para
cada
despliegue.
Por
ejemplo,
puede
agregarse
información
sobre
sistemas
iguales
(peers)
entre
dominios,
servidores
de
e-community
y
claves
de
dominio
de
e-community.
Siga
el
formato
del
archivo
amwebbackup.lst.
Ejemplo:
[cdsso-peers]
nombre_máquina
Durante
la
instalación,
el
archivo
de
plantilla
de
rutas
se
personaliza
para
el
sistema
actual
y
se
copia
en
un
archivo
denominado
routing
en
el
mismo
directorio.
El
archivo
routing
es
un
archivo
ASCII
que
contiene
información
adicional
en
forma
de
líneas
de
comentarios.
Las
entradas
de
este
archivo
de
configuración
determinan
los
tipos
de
mensajes
de
servicios
que
se
registran.
Para
habilitar
cualquier
entrada,
elimine
el
carácter
de
comentario
108
IBM
Tivoli
Access
Manager
for
e-business:
WebSEAL
Guía
de
administración
Para
habilitar
msg__verbose.log,
anule
el
comentario
de
la
línea
NOTICE_VERBOSE.
La
sintaxis
FILE
del
mensaje
NOTICE
controla
la
creación
de
nuevos
archivos
de
registro
y
el
reciclado
de
archivos:
FILE.máx_archivos.máx_registros
El
valor
máx_archivos
especifica
el
número
de
archivos
que
se
utilizan.
El
valor
máx_registros
especifica
el
número
máximo
de
entradas
por
registro.
En
el
ejemplo
predeterminado
anterior,
FILE.10.100
significa
que
se
han
creado
10
archivos,
cada
uno
de
ellos
con
un
máximo
de
100
entradas.
Los
archivos
se
denominan:
notice.log.1
notice.log.2
[[parám[=valor]]
[,parám[=valor]]...]
referer.log:
logcfg
agent.log
(formato
de
registro
común):
logcfg
Dado
que
el
registro
HTTP
heredado
se
configura
en
una
stanza
distinta
([logging])
que
la
configuración
de
registro
de
eventos
([aznapi-configuration]),
es
posible
que
aparezcan
dos
entradas
duplicadas
para
cada
evento
en
un
archivo
de
configuración
cuando
ambos
mecanismos
de
registro
están
habilitados.
Para
obtener
más
información
sobre
cómo
configurar
logcfg,
consulte
la
publicación
IBM
Tivoli
Access
Manager
Base
Guía
de
administración.
Salida
del
registro
de
eventos
HTTP
La
configuración
del
indicador
de
auditoría
″http″
captura
la
misma
información
que
los
archivos
de
registro
HTTP
estándar
(request.log,
referer.log
y
agent.log).
A
continuación
se
muestra
un
ejemplo
de
registro
de
auditoría
HTTP
de
un
evento
de
cambio
de
contraseña.
114
IBM
Tivoli
Access
Manager
for
e-business:
WebSEAL
Guía
de
administración
<data>
<data>
</data>
</event>
Salida
del
registro
de
eventos
de
autenticación
La
autenticación
de
un
principal
se
realiza
durante
la
obtención
de
credenciales.
Tivoli
Access
Manager
puede
capturar
los
registros
de
auditoría
para
registrar
los
intentos
correctos
e
incorrectos
de
autenticación.
El
siguiente
es
un
ejemplo
de
evento
de
autenticación
registrado
en
WebSEAL
de
un
usuario
no
autenticado.
<event
<data>
</data>
</event>
El
siguiente
es
un
ejemplo
de
evento
de
autenticación
registrado
en
WebSEAL
de
un
usuario
autenticado.
<event
<data>
</data>
</event>
A
continuación
se
muestra
un
ejemplo
de
error
de
autenticación
debido
a
una
contraseña
errónea.
Observe
que
el
valor
del
resultado
es
1.
<event
<data>
Error
de
contraseña:
<data>
</data>
</event>
El
siguiente
es
un
ejemplo
de
evento
de
error
de
autenticación
debido
a
demasiados
intentos
de
inicio
de
sesión
incorrectos
(política
de
tres
intentos)
registrado
en
WebSEAL.
Observe
que
el
resultado
es
1.
<event
<data>
Bloqueo
de
cuenta:
<data>
Cambiar
la
contraseña
para
for
Los
parámetros
para
configurar
el
registro
HTTP
estándar
se
encuentran
en
la
stanza
[logging]
del
archivo
de
configuración
de
WebSEAL.
La
tabla
siguiente
muestra
la
relación
entre
los
archivos
de
registro
HTTP
y
los
parámetros
del
archivo
de
configuración:
Capítulo
4.
Servicios
y
registro
119
Archivos
de
registro
Ubicación
Parámetro
Habil./inhabil.
parámetro
Habilitación
e
inhabilitación
del
registro
HTTP
Todos
los
registros
HTTP
están
habilitados
de
forma
predeterminada:
[logging]
requests
9.1.2.3
255.0.0.0
v
Requerir
que
las
solicitudes
de
una
dirección
IP
específica
utilicen
un
nivel
de
intensidad
de
autenticación
determinado.
Por
ejemplo,
para
requerir
que
las
solicitudes
de
la
dirección
IP
9.1.2.3
utilicen
el
nivel
de
intensidad
de
autenticación
1:
pdadmin>
pop
modify
test
set
ipauth
add
9.1.2.3
255.255.255.255
1
Para
requerir
que
las
solicitudes
de
todas
las
direcciones
IP
de
la
subred
9.1.2.x
utilicen
el
nivel
de
intensidad
de
autenticación
1:
pdadmin>
pop
modify
test
set
ipauth
add
9.1.2.3
255.255.255.0
1
v
Inhabilitar
el
uso
del
incremento
de
nivel
de
intensidad
de
autenticación
de
todas
las
solicitudes
de
un
rango
de
direcciones
de
red.
La
sintaxis
es
la
siguiente:
138
IBM
Tivoli
Access
Manager
for
e-business:
WebSEAL
Guía
de
administración
pdadmin>
pop
modify
nombre_pop
set
ipauth
remove
red
máscara_red
Por
ejemplo,
para
inhabilitar
todas
las
solicitudes
del
rango
de
direcciones
IP
de
la
subred
9.1.2.x:
pdadmin>
pop
modify
test
set
ipauth
remove
9.1.2.1
255.255.255.0
v
Permitir
el
acceso
al
recurso
protegido
en
función
únicamente
de
la
dirección
IP,
o
rango
de
direcciones
IP,
independientemente
del
nivel
de
intensidad
de
autenticación.
Esta
restricción
se
aplica
especificando
la
dirección
o
direcciones
IP
y
asignando
un
nivel
de
autenticación
(0).
Por
ejemplo,
para
permitir
solicitudes
de
la
dirección
IP
9.1.2.3,
independientemente
del
nivel
de
intensidad
de
autenticación:
pdadmin>
pop
modify
test
set
ipauth
add
9.1.2.3
255.255.255.255
0
Del
mismo
modo,
para
permitir
solicitudes
de
todas
las
direcciones
IP
de
la
subred
9.1.2.x,
independientemente
del
nivel
de
intensidad
de
autenticación:
pdadmin>
pop
modify
test
set
ipauth
add
9.1.2.3
255.255.255.0
0
v
Denegar
el
acceso
en
función
únicamente
de
la
dirección
IP,
o
rango
de
direcciones
IP,
independientemente
del
nivel
de
intensidad
de
autenticación.
Esta
restricción
se
aplica
utilizando
la
palabra
clave
forbidden
como
parámetro
final.
Por
ejemplo,
para
restringir
sólo
el
acceso
al
recurso
protegido
del
cliente
de
la
dirección
IP
9.1.2.3:
pdadmin>
pop
modify
test
set
ipauth
9.1.2.3
255.255.255.255
forbidden
Del
mismo
modo,
para
restringir
todas
las
solicitudes
de
todas
las
direcciones
IP
de
la
subred
9.1.2.x
para
el
acceso
al
recurso:
pdadmin>
pop
modify
test
set
ipauth
9.1.2.3
255.255.255.0
forbidden
v
Evitar
que
las
solicitudes
de
todas
las
direcciones
IP
accedan
al
objeto
protegido,
a
menos
que
un
comando
pop
modify
set
ipauth
add
haya
habilitado
la
dirección
IP.
Por
ejemplo,
en
un
caso
de
uso
anterior,
se
requería
que
un
rango
de
direcciones
IP
accediera
al
recurso
protegido
utilizando
el
nivel
de
intensidad
de
autenticación
1:
pdadmin>
pop
modify
test
set
ipauth
add
9.1.2.3
255.255.255.0
1
El
administrador
puede,
además,
especificar
que
se
denieguen
las
solicitudes
de
todas
las
demás
direcciones
IP,
independientemente
del
nivel
de
intensidad
de
autenticación,
en
el
siguiente
comando
pdadmin:
pdadmin>
pop
modify
test
set
ipauth
anyothernw
forbidden
La
opción
anyothernw
significa
cualquier
otra
dirección
de
red
y
la
opción
forbidden
aplica
la
política
de
denegación.
Asocie
una
política
de
objetos
protegido
a
un
recurso
protegido
Una
vez
que
se
ha
definido
y
creado
una
política
de
objetos
protegidos
(POP),
ésta
debe
asociarse
a
los
recursos
protegidos
a
los
que
se
aplica.
La
sintaxis
para
asociar
una
política
POP
es
la
siguiente:
pdadmin
pop
attach
nombre_objeto
nombre_pop
Por
ejemplo,
una
política
de
autenticación
para
un
despliegue
de
WebSEAL
podría
definirse
del
siguiente
modo:
v
El
despliegue
utilizará
autenticación
de
formularios
y
autenticación
de
certificado.
La
autenticación
de
formularios
es
el
primer
nivel
de
intensidad
de
autenticación
(1)
y
la
autenticación
de
certificado
es
el
segundo
(más
intenso)
nivel
de
autenticación
(2).
Capítulo
5.
Política
de
seguridad
de
WebSEAL
139
v
Los
usuarios
deben
autenticarse
utilizando
la
autenticación
de
formularios
o
una
autenticación
más
intensa
para
acceder
al
siguiente
recurso
protegido
(una
unión
de
WebSEAL):
/WebSEAL/hostA/junction
v
Los
usuarios
deben
autenticarse
utilizando
la
autenticación
de
certificado
para
acceder
al
siguiente
recurso
protegido
(una
aplicación):
/WebSEAL/hostA/junction/aplicaciónA
Para
implementar
esta
política,
deben
llevarse
a
cabo
los
pasos
de
configuración
siguientes.
1.
Modifique
el
archivo
de
configuración
de
WebSEAL
para
otorgar
a
la
autenticación
de
formularios
la
intensidad
de
autenticación
1,
y
a
la
autenticación
de
certificado,
la
intensidad
2:
[authentication-levels]
level
nombre_ruta_acceso_absoluta_archivo_clave
Puede
asignar
al
archivo
de
claves
cualquier
nombre
adecuado,
como
por
ejemplo
/opt/pdweb/lib/ws.key.
2.
Edite
el
archivo
de
configuración
de
WebSEAL.
En
la
stanza
[failover],
especifique
la
ubicación
del
archivo
de
claves.
[failover]
failover-cookies-keyfile
Personalización
del
formulario
HTML
Para
personalizar
el
formulario
de
cambio
de
usuario,
abra
el
formulario
para
editarlo
y
realice
los
pasos
siguientes:
1.
Especifique
la
ubicación
y
el
contenido
de
la
dirección
URL
de
destino.
Puede
configurarla
como
una
entrada
oculta
que
contiene
una
página
de
presentación
adecuada
o
una
página
de
confirmación
correcta
de
cambio
de
usuario.
2.
Especifique
los
métodos
de
autenticación.
Puede
configurar
este
campo
como
una
entrada
oculta.
Los
valores
válidos
para
el
método
de
autenticación
son:
su-ba
su-forms
su-certificate
su-token-card
su-http-request
su-cdsso
Los
métodos
de
la
lista
anterior
se
correlacionan
directamente
con
los
mecanismos
de
autenticación
especificados
en
el
archivo
de
configuración
de
WebSEAL.
Sin
embargo,
tenga
en
cuenta
que
tanto
el
método
su-ba
como
el
Capítulo
7.
Autenticación
avanzada
de
WebSEAL
215
método
su-forms
se
correlacionan
con
el
mecanismo
de
autenticación
su-password.
Tanto
la
autenticación
básica
(ba)
como
la
autenticación
de
formularios
(forms)
utilizan
la
biblioteca
de
autenticación
su-password.
Tenga
en
cuenta
que
un
despliegue
de
WebSEAL
puede
dar
soporte
a
la
autenticación
básica
sin
dar
soporte
a
la
autenticación
de
formularios.
Por
lo
tanto,
se
mantiene
valores
de
configuración
separados
para
cada
tipo
de
autenticación
(su-ba
y
su-forms).
Parte
4:
Diseño
de
formularios
de
entrada
adicionales
Esta
parte
es
opcional.
Puede
diseñar
formularios
adicionales
para
validar
o
procesar
los
datos
que
se
deben
enviar
a
/pkmssu.form.
Estos
formularios
pueden
utilizarse
para
asistir
al
administrador
y
completar
algunas
de
las
entradas
del
formulario
de
cambio
de
usuario.
Algunos
ejemplos
son:
v
Es
posible
que
un
administrador
haya
elegido
tener
direcciones
URL
de
destino
distintas,
a
las
que
se
accede
en
función
de
la
identidad
del
usuario.
Se
podría
escribir
otro
formulario
para
generar
y
presentar
una
lista
de
estas
direcciones
URL,
en
la
que
el
administrador
podría
seleccionar
la
entrada
adecuada.
v
Se
podría
desarrollar
un
formulario
que
llamara
a
otro
programa,
como
un
script
CGI,
para
proporcionar
una
lista
de
identidades
de
usuarios
para
los
que
se
permite
el
cambio
de
usuario.
Esta
lista
podría
ayudar
a
los
administradores
a
determinar
si
se
debe
permitir
el
acceso
a
una
identidad
de
usuario
a
través
del
cambio
de
usuario.
v
Se
podría
desarrollar
un
formulario
para
mostrar
una
lista
de
identidades
de
usuarios
para
los
que
no
se
permite
el
cambio
de
usuario.
Esta
lista
estaría
basada
en
la
pertenencia
a
los
grupos
su-excluded
y
securitygroup.
Parte
5:
Detención
y
reinicio
de
WebSEAL
Para
activar
los
nuevos
cambios
en
la
configuración,
debe
detener
y
reiniciar
WebSEAL.
Esto
permite
a
WebSEAL
utilizar
los
nuevos
valores
especificados
en
el
archivo
de
configuración
de
WebSEAL
en
los
apartados
“Parte
1:
Configuración
del
acceso
de
los
usuarios”
en
la
página
210
y
“Parte
2:
Configuración
de
los
mecanismos
de
autenticación
de
cambio
de
usuario”
en
la
página
211.
Los
métodos
para
detener
y
reiniciar
el
servidor
WebSEAL
se
describen
en
el
apartado
“Tareas
de
servidor”
en
la
página
80.
Utilización
del
cambio
de
usuario
Después
de
realizar
los
pasos
de
configuración
del
apartado
anterior,
los
administradores
de
WebSEAL
pueden
utilizar
la
función
de
cambio
de
usuario.
Para
utilizar
la
función
de
cambio
de
usuario,
realice
los
siguientes
pasos:
1.
Inicie
la
sesión
como
un
usuario
que
tenga
permiso
de
acceso
a
la
función
de
cambio
de
usuario.
Normalmente,
son
los
administradores
los
que
acceden
a
esta
función.
El
usuario
debe
ser
miembro
del
grupo
su-admins.
2.
Invoque
el
formulario
HTML
de
cambio
de
usuario.
El
nombre
de
archivo
predeterminado
es
switchuser.html.
Para
obtener
más
información
sobre
el
nombre
completo
de
ruta
de
acceso,
consulte
el
apartado
“Parte
3:
Configuración
del
formulario
HTML
de
cambio
de
usuario”
en
la
página
214.
216
IBM
Tivoli
Access
Manager
for
e-business:
WebSEAL
Guía
de
administración
3.
En
el
formulario,
especifique:
v
El
nombre
de
la
identidad
del
usuario
que
desea
adquirir.
v
Una
dirección
URL
de
destino.
v
Un
método
de
autenticación.
Esta
acción
da
como
resultado
que
se
envíe
una
solicitud
POST
a
/pkmssu.form.
WebSEAL
envía
una
redirección
al
navegador
para
la
dirección
URL
de
destino
proporcionada
en
el
formulario
de
cambio
de
usuario.
La
solicitud
se
procesa
utilizando
la
credencial
del
usuario
y
se
accede
a
la
dirección
URL.
4.
Realice
otras
solicitudes,
si
es
necesario.
Todas
las
decisiones
de
autorización
para
estas
solicitudes
se
basan
en
la
credencial
del
usuario.
5.
Cuando
haya
terminado,
finalice
la
sesión
de
cambio
de
usuario
usando
la
utilidad
/pkmslogout
estándar
de
Tivoli
Access
Manager.
Para
obtener
más
información
sobre
el
funcionamiento
de
la
función
de
cambio
de
usuario,
consulte
el
apartado
“Visión
general
de
la
función
de
cambio
de
usuario”
en
la
página
208.
Características
adicionales
del
cambio
de
usuario
En
este
apartado
se
describe
el
soporte
para
características
adicionales
del
cambio
de
usuario,
como
la
reautenticación,
autenticación
incremental,
gestión
de
la
sesión
de
usuario
y
auditoría.
Tiempo
de
espera
de
la
caché
de
sesión
Las
funciones
de
los
valores
configurados
de
tiempo
de
espera
de
inactividad
de
la
caché
de
sesión
de
WebSEAL
y
los
de
duración
no
se
ven
afectadas
por
la
operación
de
cambio
de
usuario.
Los
temporizadores
de
inactividad
y
de
duración
se
asocian
con
la
entrada
de
la
caché
de
sesión
del
administrador
y
no
con
los
datos
de
la
caché,
que
cambian
durante
una
operación
de
cambio
de
usuario.
El
temporizador
de
inactividad
se
sigue
restableciendo
mientras
el
administrador
efectúa
solicitudes
como
usuario
al
que
se
ha
″cambiado″.
Cuando
el
administrador
finaliza
la
sesión
de
cambio
de
usuario,
la
inactividad
sigue
siendo
válida
para
la
sesión
restablecida
del
administrador.
El
valor
de
duración
no
se
amplía
a
causa
de
una
operación
de
cambio
de
usuario.
Es
posible
que
el
tiempo
de
espera
de
duración
de
la
entrada
de
caché
de
sesión
caduque
durante
una
operación
de
cambio
de
usuario.
Si
se
produce
este
tiempo
de
espera,
se
suprime
la
caché
de
sesión
y
finaliza
la
sesión
del
administrador.
El
administrador
debe
volver
a
autenticarse
e
iniciar
de
nuevo
la
operación
de
cambio
de
usuario.
Autenticación
incremental
La
especificación
de
biblioteca
compartida
puede
tomar
argumentos
adicionales
con
el
formato:
<biblioteca>&
<arg1>
<arg2>
Mensaje
de
error
de
supresión
cuando
el
principal
de
Kerberos
ya
está
asociado
con
el
usuario
(-map0p)
set
El
comando
ktpass
sería
el
siguiente:
ktpass
-princ
HTTP/diamond.subnet2.ibm.com@IBM.COM
-pass
mypassw0rd
-mapuser
diamond
-out
-mapOp
set
Especifique
este
comando
en
una
sola
línea
de
comandos.
La
identidad
de
usuario
es
el
usuario
de
Active
Directory
creado
en
el
paso
anterior.
La
contraseña
especificada
aquí
restablece
la
contraseña
para
el
usuario
de
Active
Directory.
Es
preferible
utilizar
una
contraseña
muy
segura,
como
una
contraseña
creada
de
forma
aleatoria.
La
ubicación
del
archivo
keytab
es
arbitraria.
Conserve
esta
contraseña
para
utilizarla
en
un
paso
posterior
para
probar
la
configuración
Kerberos
(al
probar
la
autenticación
de
una
máquina
UNIX
con
el
Centro
de
distribución
de
claves
de
Active
Directory).
2.
Transfiera
el
archivo
keytab
al
sistema
UNIX.
Asegúrese
de
que
se
utiliza
un
método
de
transferencia
seguro.
La
ubicación
recomendada
es
la
siguiente:
/var/pdweb/keytab-nombre_instancia/nombre_archivo_keytab
3.
Para
una
mayor
seguridad,
elimine
el
archivo
keytab
del
sistema
Windows.
266
IBM
Tivoli
Access
Manager
for
e-business:
WebSEAL
Guía
de
administración
4.
En
el
sistema
UNIX,
asigne
la
propiedad
del
archivo
a
ivmgr
y
limite
los
permisos
en
el
archivo
keytab
de
modo
que
sólo
el
propietario
tenga
acceso
al
mismo.
Por
ejemplo:
sso-consume
3.
Cifrado
de
los
datos
de
la
señal
de
autenticación
WebSEAL
debe
cifrar
los
datos
de
autenticación
ubicados
en
la
señal
mediante
una
clave
generada
por
la
utilidad
cdsso_key_gen.
Debe
″sincronizar″
esta
clave
compartiendo
el
archivo
de
claves
con
cada
servidor
WebSEAL
participante
en
cada
dominio
participante.
Todos
los
servidores
WebSEAL
participantes
de
cada
dominio
deben
utilizar
la
misma
clave.
La
clave
generada
es
una
clave
de
bits
DES
192
triple.
No
puede
especificar
un
tiempo
de
intervalo
de
duración
en
esta
clave.
Nota:
La
distribución
de
los
archivos
de
claves
no
es
parte
del
proceso
de
CDSSO
de
Tivoli
Access
Manager.
La
utilidad
cdsso_key_gen
requiere
que
especifique
la
ubicación
(nombre
de
ruta
de
acceso
absoluta)
del
archivo
de
claves
cuando
ejecute
la
utilidad.
También
debe
utilizar
un
nombre
de
ruta
de
acceso
completo
para
ejecutar
esta
utilidad:
UNIX:
<ubicación-archivo-claves>
Especifique
esta
ubicación
del
archivo
de
claves
en
la
stanza
[cdsso-peers]
del
archivo
de
configuración
de
WebSEAL
del
servidor
WebSEAL
participante
de
cada
dominio.
El
formato
debe
incluir
el
nombre
de
host
completo
del
servidor
WebSEAL
y
el
nombre
de
ruta
de
acceso
absoluta
de
la
ubicación
del
archivo
de
claves:
[cdsso-peers]
<nombre-host-completo>
sso-consume
294
IBM
Tivoli
Access
Manager
for
e-business:
WebSEAL
Guía
de
administración
4.
Cifrado
de
la
señal
de
garantización
WebSEAL
debe
cifrar
los
datos
de
autenticación
ubicados
en
la
señal
mediante
una
clave
generada
por
la
utilidad
cdsso_key_gen.
Debe
″sincronizar″
esta
clave
compartiendo
el
archivo
de
claves
con
cada
servidor
WebSEAL
en
cada
dominio
participante.
Todos
los
servidores
WebSEAL
participantes
de
cada
dominio
deben
utilizar
la
misma
clave.
Nota:
La
distribución
de
los
archivos
de
claves
no
es
parte
del
proceso
de
e-community
de
Tivoli
Access
Manager.
Debe
copiar
manualmente
y
de
forma
segura
las
claves
para
cada
servidor
participante.
La
utilidad
cdsso_key_gen
requiere
que
especifique
la
ubicación
(nombre
de
ruta
de
acceso
absoluta)
del
archivo
de
claves
cuando
ejecute
la
utilidad.
También
debe
utilizar
un
nombre
de
ruta
de
acceso
completo
para
ejecutar
esta
utilidad:
UNIX:
<ubicación-archivo-claves>
La
ubicación
de
los
archivos
de
claves
utilizados
para
asegurar
las
señales
enviadas
entre
los
servidores
participantes
de
e-community
se
especifica
en
la
stanza
[e-community-domain-keys].
[e-community-domain-keys]
<nombre-dominio>
Manager"
La
opción
–D
sólo
es
adecuada
cuando
se
utiliza
con
la
opción
–K
o
–B.
WebSEAL
se
autentica
con
un
certificado
de
cliente
Utilice
la
opción
–K
para
permitir
a
WebSEAL
autenticar
el
servidor
de
fondo
de
unión
utilizando
su
certificado
de
cliente.
-K
"etiqueta_clave"
Las
condiciones
para
este
escenario
son:
v
El
servidor
de
fondo
está
configurado
para
que
requiera
la
verificación
de
la
identidad
de
WebSEAL
con
un
certificado
de
cliente.
v
Utilización
de
la
utilidad
iKeyman
para
crear,
etiquetar
y
almacenar
una
clave
especial
que
se
utiliza
solamente
como
certificado
de
cliente
WebSEAL
al
autenticar
un
servidor
de
fondo
con
unión.
v
Es
muy
recomendable
que
configure
la
unión
para
la
coincidencia
de
DN
(–D).
La
opción
–K
utiliza
un
argumento
que
especifica
la
etiqueta
de
clave
del
certificado
requerido
tal
como
está
almacenada
en
la
base
de
datos
de
claves
de
GSKit.
Use
la
utilidad
iKeyman
para
agregar
certificados
nuevos
a
la
base
de
datos
de
claves.
Debe
especificar
el
argumento
de
etiqueta
de
clave
entre
comillas.
Por
ejemplo:
-K
"cert1_Tiv"
Si
la
clave
reside
en
hardware
criptográfico,
debe
especificar
el
dispositivo
de
señal
de
WebSEAL
con
la
etiqueta
de
clave.
-K
"nombre_señal:etiqueta-clave"
Por
ejemplo:
-K
"websealtoken:junctionkey"
Consulte
el
apartado
“Hardware
criptográfico
para
cifrado
y
almacenamiento
de
claves”
en
la
página
33.
Consulte
el
apartado
“Configuración
de
los
parámetros
de
la
base
de
datos
de
claves
de
WebSEAL”
en
la
página
255.
WebSEAL
se
autentica
con
una
cabecera
de
BA
Utilice
la
opción
–B
–U
″nombre_usuario″
–W
″contraseña″
para
habilitar
la
autenticación
de
WebSEAL
mediante
la
autenticación
básica.
-B
-U
"nombre_usuario"
-W
"contraseña"
Las
condiciones
para
este
escenario
son:
Capítulo
10.
Uniones
WebSEAL
313
v
El
servidor
de
fondo
está
configurado
para
que
requiera
la
verificación
de
la
identidad
de
WebSEAL
con
una
cabecera
BA.
v
No
configure
la
unión
con
ninguna
opción
–b.
(No
obstante,
internamente,
la
opción
–B
utiliza
el
filtro
–b.)
v
WebSEAL
está
configurado
para
pasar
la
información
de
identidad
en
una
cabecera
de
BA
para
autenticarse
en
el
servidor
de
fondo.
v
Es
muy
recomendable
que
configure
también
la
unión
para
la
coincidencia
de
DN
(–D).
Debe
especificar
los
argumentos
de
nombre
de
usuario
y
contraseña
entre
comillas.
Por
ejemplo:
-U
"WS1"
-W
"abCde"
Gestión
de
información
de
identidad
de
cliente
entre
uniones
Se
puede
configurar
una
unión
para
especificar
la
información
de
identidad
del
cliente
en
cabeceras
de
BA.
La
opción
–b
permite
cuatro
argumentos
posibles:
filter,
supply,
ignore,
gso.
Encontrará
información
detallada
acerca
de
estos
argumentos
en
el
apartado
“Configuración
de
cabeceras
de
BA
para
las
soluciones
de
inicio
de
sesión
único”
en
la
página
350.
La
opción
–b
tiene
un
impacto
sobre
los
valores
de
la
unión
para
la
autenticación
mutua
y
debe
tener
en
cuenta
la
combinación
correcta
de
las
opciones.
Utilización
de
–b
supply
v
La
autenticación
de
WebSEAL
mediante
la
cabecera
de
BA
no
se
permite
con
esta
opción.
Esta
opción
utiliza
la
cabecera
BA
para
el
nombre
de
usuario
del
cliente
original
y
una
contraseña
″ficticia″.
v
La
autenticación
de
WebSEAL
mediante
el
certificado
de
cliente
se
permite
con
esta
opción.
Utilización
de
–b
ignore
v
La
autenticación
de
WebSEAL
mediante
la
cabecera
de
BA
no
se
permite
con
esta
opción.
Esta
opción
utiliza
la
cabecera
de
BA
para
el
nombre
de
usuario
y
una
contraseña
del
cliente
original.
v
La
autenticación
de
WebSEAL
mediante
el
certificado
de
cliente
se
permite
con
esta
opción.
Utilización
de
–b
gso
v
La
autenticación
de
WebSEAL
mediante
la
cabecera
de
BA
no
se
permite
con
esta
opción.
Esta
opción
utiliza
la
cabecera
de
BA
para
la
información
de
nombre
de
usuario
y
contraseña
proporcionada
por
el
servidor
GSO.
v
La
autenticación
de
WebSEAL
mediante
el
certificado
de
cliente
se
permite
con
esta
opción.
Utilización
de
–b
filter
v
Internamente,
la
opción
–b
filter
se
utiliza
cuando
se
establece
la
autenticación
de
WebSEAL
para
utilizar
la
información
de
cabecera
de
BA.
La
cabecera
de
BA
de
WebSEAL
se
utiliza
para
todas
las
transacciones
HTTP
subsiguientes.
En
el
servidor
de
fondo,
WebSEAL
aparece
conectado
en
todo
momento.
v
La
autenticación
de
WebSEAL
mediante
el
certificado
de
cliente
se
permite
con
esta
opción.
314
IBM
Tivoli
Access
Manager
for
e-business:
WebSEAL
Guía
de
administración
v
Si
el
servidor
de
fondo
requiere
una
identidad
de
cliente
real
(del
navegador),
se
pueden
utilizar
las
variables
de
CGI
HTTP_IV_USER,
HTTP_IV_GROUP
y
HTTP_IV_CREDS.
Para
los
scripts
y
servlets,
utilice
las
cabeceras
HTTP
específicas
de
Tivoli
Access
Manager
correspondientes:
iv-user,
iv-groups,
iv-creds.
Capítulo
10.
Uniones
WebSEAL
315
Creación
de
uniones
de
proxy
TCP
y
SSL
Puede
crear
uniones
WebSEAL
que
permitan
la
comunicación
para
pasar
por
topologías
de
red
que
utilizan
servidores
proxy
HTTP
o
HTTPS.
Puede
configurar
la
unión
para
gestionar
solicitudes
como
comunicación
TCP
estándar
o
comunicación
SSL
protegida.
El
comando
create
requiere
uno
de
los
siguientes
argumentos
para
la
opción
type
para
establecer
una
unión
basada
en
TCP
o
en
SSL
a
través
de
un
servidor
proxy:
v
–t
tcpproxy
v
–t
sslproxy
Los
comandos
create
y
add
requieren
que
las
siguientes
opciones
y
argumentos
identifiquen
el
servidor
proxy
y
el
servidor
web
de
destino:
–H
nombre-host
Nombre
de
host
DNS
o
dirección
IP
del
servidor
proxy.
–P
puerto
Puerto
TCP
del
servidor
proxy.
–h
nombre-host
Nombre
de
host
DNS
o
dirección
IP
del
servidor
web
de
destino.
–p
puerto
Puerto
TCP
del
servidor
web
de
destino.
El
valor
predeterminado
es
80
para
uniones
TCP;
443
para
uniones
SSL.
Ejemplo
de
unión
de
proxy
TCP
(especificado
en
una
línea):
pdadmin>
server
task
web1-webseald-cruz
create
-t
tcpproxy
2.
\Archivos
de
El
archivo
de
configuración
debe
comenzar
con
la
stanza
[forms-sso-login-pages]
y
tener
el
siguiente
formato
[forms-sso-login-pages]
login-page-stanza
Cuando
se
configuran
instancias
adicionales
del
servidor
WebSEAL,
el
administrador
especifica
el
valor
de
nombre_instancia.
Este
método
para
especificar
el
nombre
depende
del
método
de
la
utilidad
de
configuración,
ya
sea
como
una
entrada
de
campo
de
la
GUI
de
pdconfig
o
un
argumento
de
la
línea
de
mandatos
para
amwebcfg
v
Instalación
interactiva:
como
una
entrada
de
campo
de
la
GUI
en
pdconfig.
v
Instalación
desde
la
línea
de
comandos:
como
una
opción
de
la
línea
de
comandos
amwebcfg.
v
Instalación
silenciosa:
como
una
entrada
en
un
archivo
de
respuesta
utilizado
por
amwebcfg.
Los
caracteres
válidos
para
una
instancia
de
servidor
WebSEAL
son
los
siguientes:
v
Caracteres
alfanuméricos
&
&
[parámetro=valor
Normalmente,
la
auditoría
de
WebSEAL
está
configurada
para
utilizar
el
tipo
file.
Cada
tipo
de
registro
de
eventos
da
soporte
a
una
variedad
de
valores
de
parámetro
528
IBM
Tivoli
Access
Manager
for
e-business:
WebSEAL
Guía
de
administración
Especifica
el
tipo
de
acceso
que
tiene
el
usuario
a
la
información
que
contiene
y
con
la
que
la
cookie
establece
un
vínculo.
v
none
No
se
otorga
acceso
a
los
datos
identificados.
v
all
Se
otorga
acceso
a
todos
los
datos
identificados.
v
contact-and-other
Se
otorga
acceso
a
información
en
línea
y
a
información
de
contactos
físicos
identificada,
así
como
a
otros
datos
identificados
determinados.
v
ident-contact
Se
otorga
acceso
a
información
en
línea
y
a
información
de
contactos
físicos
identificada.
Los
usuarios,
por
ejemplo,
pueden
acceder
a
datos
tales
como
una
dirección
postal.
v
nonident
El
sitio
web
no
recopila
los
datos
identificados.
v
other-ident
Se
otorga
acceso
a
otros
datos
identificados
determinados.
Los
usuarios,
por
ejemplo,
pueden
acceder
a
datos
tales
como
sus
cargos
de
cuenta
en
línea.
Esta
entrada
de
stanza
es
obligatoria.
El
valor
predeterminado
es
none.
Ejemplo:
access
computer|navigation|interactive|demographic|
location|government|other-category}
pseudo-decision|individual-analysis|individual-decision|
[:[opt-in|opt-out|always]]
Contenido de este manual
Información técnica complementaria
IBM Tivoli Access Manager for WebSphere Business Integration Brokers
IBM Tivoli Access Manager for Operating Systems
IBM Tivoli Identity Manager
Accesibilidad
Convenios utilizados en este manual
Convenios tipográficos
Capítulo 1. Visión general de IBM Tivoli Access Manager WebSEAL
Presentación de IBM Tivoli Access Manager y WebSEAL
Comprensión del modelo de seguridad de Tivoli Access Manager
Espacio de objetos protegidos
La lista de control de accesos (ACL)
Políticas de objetos protegidos (POP)
Políticas explícitas y heredadas
Planificación e implementación de la política de seguridad
Identificación de tipos de contenido y niveles de protección
Información sobre la autenticación de WebSEAL
Objetivos de autenticación
Estructura de caché de sesión/credenciales de WebSEAL
Información sobre las uniones WebSEAL
Uniones WebSEAL y escalabilidad de sitios web
Servidores WebSEAL frontales replicados
Servidores de fondo replicados
Visión general de la configuración de la instancia de servidor
Planificación de una configuración de instancia de servidor
Valores de configuración de la instancia de servidor de ejemplo
Archivo de configuración exclusivo para cada instancia
Visión general de la configuración interactiva
Visión general de la configuración de la línea de comandos
Visión general de la configuración silenciosa
Tareas de configuración de instancias de servidor
Adición de una instancia de servidor WebSEAL
Eliminación de una instancia de servidor
Configuración del protocolo de comunicaciones
Configuración de WebSEAL para solicitudes HTTP
Habilitación e inhabilitación del acceso HTTP
Definición del valor de puerto del acceso HTTP
Configuración de WebSEAL para solicitudes HTTPS
Conexiones SSL que utilizan el certificado de prueba de WebSEAL (este tema pertenece a SSL)
Habilitación e inhabilitación del acceso HTTPS
Definición del valor de puerto del acceso HTTPS
Restricción de conexiones de versiones de SSL específicas
Parámetros de tiempo de espera para la comunicación HTTP/HTTPS
Parámetros adicionales de tiempo de espera del servidor WebSEAL
Hardware criptográfico para cifrado y almacenamiento de claves
Condiciones y requisitos previos
Configuración de WebSEAL para hardware criptográfico a través de BHAPI
Configuración de WebSEAL para hardware criptográfico a través de PKCS#11
Instalación de la tarjeta criptográfica y el controlador de dispositivo
Creación de una contraseña y una etiqueta de dispositivo de señal para almacenar claves de WebSEAL
Configuración de iKeyman para que utilice el módulo PKCS#11 (biblioteca compartida)
Apertura del dispositivo de señal de WebSEAL utilizando iKeyman
Solicitud y almacenamiento del certificado de servidor WebSEAL
Configuración de WebSEAL y GSKit para que utilicen la biblioteca compartida PKCS#11
Modificación de la etiqueta del certificado de servidor WebSEAL
Inhabilitación de la modalidad de aceleración para nCipher nForce 300
Reinicio de WebSEAL
QOP para redes y hosts individuales
Configuración de actualizaciones y sondeo de la base de datos de autorizaciones
Configuración de la escucha de notificaciones de actualizaciones
Configuración del sondeo de la base de datos de autorizaciones
Gestión de la asignación de threads de trabajo
Configuración de threads de trabajo de WebSEAL
Configuración en AIX
Asignación de threads de trabajo para uniones (imparcialidad de conexiones)
Contexto
Asignación por unión de threads de trabajo para conexiones
Notas para la resolución de problemas
Soporte para varios entornos locales con UTF-8
Conceptos de soporte de varios entornos locales
Manejo de datos de WebSEAL utilizando UTF-8
Dependencia de UTF-8 en la configuración de registro de usuarios
Problemas de conversión de datos UTF-8
Variables de entorno UTF-8 para programas CGI
Impacto de UTF-8 en la autenticación
Los URL sólo deben utilizar un tipo de codificación
Soporte para UTF-8 durante la actualización de WebSEAL
Configuración del soporte para varios entornos locales
Soporte UTF-8 para localizadores uniformes de recursos
Soporte UTF-8 para formularios
Soporte UTF-8 en cadenas de consulta
Codificación UTF-8 de señales para el inicio de sesión único entre dominios
Codificación UTF-8 de señales para el inicio de sesión único de e-community
Codificación UTF-8 de cookies para la autenticación de la migración tras error
Codificación UTF-8 en solicitudes de unión
Mensajes de varios entornos locales
Manejo de la codificación de caracteres no válidos en cadenas de consultas URL
Prevención de la vulnerabilidad causada por scripts entre sitios
Contexto
Servidores WebSEAL frontales replicados
Visión general de las políticas compactas
Declaración de política compacta
Política compacta predeterminada de la cabecera P3P
Configuración de la cabecera P3P
Especificación de una política compacta P3P personalizada
Resolución de problemas
Manejo de identificadores BASE HREF
Habilitación del método TRACE de HTTP
Capítulo 3. Administración del servidor WebSEAL
Tareas de servidor
Gestión del espacio web
Directorio raíz del árbol de documentos web
Configuración del índice de directorios
Windows: convenios de denominación para programas CGI
Archivos UNIX ejecutables en el sistema host del servidor WebSEAL
Configuración del almacenamiento en la caché de documentos web
Condiciones que afectan al almacenamiento en la caché de documentos web
Vaciado de todas las cachés
Control del almacenamiento en la caché para documentos específicos
Especificación de tipos MIME de documentos para el filtrado de direcciones URL
Compresión de datos HTTP
Compresión basada en el tipo de agente de usuario
Política de compresión en POP
Limitación de la compresión de datos
Configuración de la compresión de datos
Páginas de mensajes de error HTTP
Páginas de mensaje de error predeterminadas
Modificación de páginas de error HTTP existentes
Creación de páginas de error HTTP nuevas
Habilitación de la página de error de hora del día
Especificación de la ubicación de las páginas de error
Compatibilidad con versiones anteriores
Parámetros y valores de páginas personalizadas
Descripciones de páginas HTML personalizadas
Soporte para macros de las páginas de gestión de cuentas
Modificación de páginas de versiones anteriores de Tivoli Access Manager
Copia de seguridad y restauración
Copia de seguridad de datos de WebSEAL
Restauración de datos de WebSEAL
Extracción de datos de WebSEAL archivados
Herramientas para la determinación de problemas para WebSEAL
Capítulo 4. Servicios y registro
Registro de mensajes de servicios de WebSEAL
Mensajes de servicio en formato UTF-8
Captura y registro de eventos
Tareas de configuración del registro de eventos
Configuración de ejemplo
Salida del registro de eventos HTTP
Salida del registro de eventos de autenticación
Datos de auditoría en formato UTF-8
Auditoría heredada
Especificación del tipo de marca de fecha y hora
Especificación de los umbrales de creación de archivo de registro
Especificación de la frecuencia de vaciado de los búferes de archivo de registro
Formato de registro común HTTP (para request.log)
Visualización del archivo request.log
Visualización del archivo agent.log
Visualización del archivo referer.log
Capítulo 5. Política de seguridad de WebSEAL
Políticas de ACL específicas de WebSEAL
/WebSEAL/nombre_instancia-host
/WebSEAL/nombre_instancia-host/archivo
Política de ACL predeterminada de /WebSEAL
Caracteres válidos para nombres de ACL
Configuración de la política de inicio de sesión en tres intentos
Política de bloqueo de cuentas con servidores WebSEAL de equilibrio de carga
Sintaxis de los comandos de inicio de sesión de tres intentos
Configuración de la política de intensidad de contraseñas
Política de intensidad de contraseñas establecida por la utilidad pdadmin
Sintaxis para los comandos de política de intensidad de contraseñas
Valores predeterminados de los parámetros de política
Ejemplos de contraseñas válidas y no válidas
Valores globales y específicos para un usuario
Política de intensidad de autenticación
Visión general de la intensidad de la autenticación
Configuración de la intensidad de autenticación
Establezca la política de intensidad de autenticación
Especifique niveles de autenticación
Especifique el formulario de inicio de sesión de intensidad de autenticación
Cree una política de objetos protegidos
Especifique las restricciones de acceso basadas en la red
Asocie una política de objetos protegido a un recurso protegido
Aplique la coincidencia de la identidad del usuario entre los niveles de autenticación
Política POP de calidad de protección
Gestión de usuarios no autenticados (HTTP / HTTPS)
Proceso de una solicitud de un cliente anónimo
Obligación del inicio de sesión de usuario
Aplicaciones HTTPS sin autenticar
Métodos de autenticación soportados
Visión general del estado de la sesión
Visión general de la caché de sesión de GSKit y WebSEAL
Configuración de la caché de ID de sesión SSL de GSKit
Definición del valor de tiempo de espera de entrada de caché
Definición del valor máximo de entradas simultáneas
Configuración de la caché de sesión/credenciales de WebSEAL
Definición del valor máximo de entradas simultáneas
Definición del valor de tiempo de espera de duración de la entrada de caché
Definición del valor del tiempo de espera de inactividad de entrada de caché
Limitación de la caché de credenciales
Mantenimiento del estado con cookies de sesión
Condiciones de la cookie de sesión
Cookies de sesión con cabeceras de autenticación básica
Habilitación e inhabilitación de las cookies de ID de sesión
Habilitación e inhabilitación de las mismas sesiones
Limitación de la misma sesión con Netscape 4.7x
Determinación de los tipos de datos válidos de ID de sesión
Visión general de la configuración de autenticación
Parámetros del módulo de autenticación
Biblioteca de conversión de autenticación
Configuración predeterminada para la autenticación de WebSEAL
Configuración de múltiples métodos de autenticación
Solicitud de inicio de sesión
Configuración de la notificación de caducidad de cuenta
Comandos de fin de sesión y de cambio de contraseña
pkmslogout
pkmspasswd
Autenticación básica
Definición del nombre de dominio
Configuración del mecanismo de autenticación básica
Condiciones de configuración
Autenticación de formularios
Configuración del mecanismo de autenticación de formularios
Condiciones de configuración
Autenticación de certificado de cliente
Visión general de la autenticación de certificado de cliente
Modalidad de autenticación de certificado necesario
Modalidad de autenticación de certificado opcional
Modalidad de autenticación de certificado con demora
Configuración de la autenticación de certificado
Habilite la autenticación de certificado
Especifique el mecanismo de autenticación de certificado
Especifique el formulario de inicio de sesión de certificado
Especifique la página de error de inicio de sesión de certificado
Inhabilite los ID de sesión de SSL para realizar el seguimiento de sesiones
Habilite y configure la caché de ID de SSL de certificado
Defina el tiempo de espera para la caché de ID de SSL de certificado
Especifique una página de error para un protocolo incorrecto
Inhabilite la autenticación de certificado
Inhabilite la caché de ID de SSL de certificado
Autenticación de cabeceras HTTP
Especificar tipos de cabecera
Inhabilitar la autenticación de cabeceras HTTP
Autenticación de direcciones IP
Configuración del mecanismo de autenticación de direcciones IP
Autenticación de señal
Biblioteca de autenticación de señal
Autenticación de señal SecurID
Flujo de trabajo de autenticación para señales de la modalidad de PIN nuevo
Uso de la autenticación de señal con un servidor de intensidad de contraseñas
El cliente SecurID RSA no da soporte a Linux para zSeries
Configuración de la autenticación de señal
Habilite la autenticación de señal
Especifique el mecanismo de autenticación de señal
Habilite el acceso a la biblioteca de cliente SecurID
Especifique una biblioteca de intensidad de contraseñas personalizada
Habilite la compatibilidad con versiones anteriores para la biblioteca de autenticación de señal personalizada
Inhabilite la autenticación de señal
Autenticación de migración tras error
Conceptos de autenticación de migración tras error
Escenario de autenticación de migración tras error
Biblioteca de autenticación de migración tras error
Adición de datos a una cookie de migración tras error
Extracción de datos de una cookie de migración tras error
Autenticación de migración tras error del dominio
Compatibilidad con versiones anteriores
Especifique el protocolo para la cookie de migración tras error
Especifique la biblioteca de autenticación de migración tras error
Cree una clave de cifrado para los datos de la cookie
Especifique la duración de la cookie
Especifique la codificación UTF-8 en las cadenas de cookies
Agregue el nivel de autenticación
Agregue la marca de fecha y hora de la duración de la sesión
Agregue la marca de fecha y hora de actividad de la sesión
Agregue un intervalo para actualizar la marca de fecha y hora de actividad
Agregue atributos ampliados
Especifique el atributo de nivel de autenticación después de la autenticación de migración tras error
Especifique los atributos para la extracción
Habilite las cookies de migración tras error del dominio
Solicite validación de una marca de fecha y hora de duración
Solicite validación de una marca de fecha y hora de actividad
Habilite la compatibilidad con versiones anteriores a la versión 4.1 para el cifrado
Habilite la compatibilidad con versiones anteriores a la versión 4.1 para cookies
Protocolo SPNEGO y autenticación Kerberos
Agentes proxy multiplexor
Tipos de datos de sesión y métodos de autenticación válidos
Flujo de proceso de autenticación para MPA y clientes múltiples
Habilitación e inhabilitación de la autenticación de MPA
Creación de una cuenta de usuario para el MPA
Adición de la cuenta de MPA al grupo webseal-mpa-servers
Limitaciones de la autenticación de MPA
Capítulo 7. Autenticación avanzada de WebSEAL
Autenticación de cambio de usuario
Visión general de la función de cambio de usuario
Procedimiento de configuración
Parte 1: Configuración del acceso de los usuarios
Parte 2: Configuración de los mecanismos de autenticación de cambio de usuario
Parte 3: Configuración del formulario HTML de cambio de usuario
Parte 4: Diseño de formularios de entrada adicionales
Parte 5: Detención y reinicio de WebSEAL
Utilización del cambio de usuario
Características adicionales del cambio de usuario
Tiempo de espera de la caché de sesión
Autenticación incremental
Indicador-valor
Auditoría
Desarrollo de un módulo de autenticación personalizado para el cambio de usuario
Almacenamiento en la caché de solicitudes del servidor
Visión general del almacenamiento en la caché de solicitudes del servidor
Configuración de parámetros del almacenamiento en la caché del servidor
Modificación del parámetro max-client-read
Modificación del parámetro request-body-max-read
Modificación del parámetro request-max-cache
Configuración de la reautenticación basada en la política de seguridad
Condiciones que afectan a la reautenticación de POP
Creación y aplicación de la POP de reautenticación
Configuración del restablecimiento y ampliación de la duración de la entrada de la caché de sesión
Restablecimiento del valor de duración de la entrada de la caché de sesión
Ampliación del valor de duración de la entrada de la caché de sesión
Personalización de formularios de inicio de sesión para la reautenticación
Configuración de la reautenticación basada en la política de inactividad de sesión
Condiciones que afectan a la reautenticación de la inactividad
Habilitación de la reautenticación por inactividad
Restablecimiento y ampliación del valor de duración de la entrada de la caché de sesión
Restablecimiento del valor de duración de la entrada de la caché de sesión
Ampliación del valor de duración de la entrada de la caché de sesión
Cómo evitar el cierre de la sesión cuando caduca la duración de la sesión
Personalización de formularios de inicio de sesión para la reautenticación
Redirección automática durante el inicio de sesión del usuario
Visión general de la redirección automática
Habilitación de la redirección automática
Inhabilitación de la redirección automática
Limitaciones
Atributos ampliados para credenciales
Mecanismos para agregar atributos de registro a una credencial
Configuración del servicio de titularidad de atributos de registro
Paso 1: Determine los atributos que deben agregarse a la credencial
Paso 2: Defina el uso del servicio de titularidad
Paso 3: Especifique los atributos que deben agregarse a la credencial
Gestión de uniones de atributos de credencial ampliados
Renovación de credenciales
Visión general de la renovación de credenciales
Reglas de renovación de credenciales
Renovación de la información de la credencial almacenada en la caché
Sintaxis y uso del archivo de configuración
Valores predeterminados para conservar y renovar
Limitaciones
Paso 1: Especifique los atributos que deben conservarse o renovarse
Paso 2: Habilite los ID de sesión de usuario
Paso 3: Habilite la ubicación del nombre del servidor en una cabecera de unión
Uso de la renovación de credenciales
Renovación de credenciales para un usuario determinado
Resolución de problemas
Visión general de la gestión de claves de WebSEAL
Gestión de certificados de cliente y servidor
Tipos de archivo de base de datos de claves de GSKit
Configuración de los parámetros de la base de datos de claves de WebSEAL
Utilización de la utilidad de gestión de certificados iKeyman
Configuración de la comprobación de CRL
Configuración de la caché de CRL
Definición del número máximo de entradas de caché
Definición del valor de tiempo de espera de duración de la caché de GSKit
Capítulo 9. Soluciones de inicio de sesión único de cliente
Inicio de sesión único del escritorio de Windows
Conceptos de inicio de sesión único del escritorio de Windows
Protocolo SPNEGO y autenticación Kerberos
Registro de usuarios y soporte para plataformas
Compatibilidad con otros métodos de autenticación
Limitaciones
Configuración del inicio de sesión único del escritorio de Windows
Paso 1: Configure el servidor WebSEAL en el dominio de Active Directory
Paso 2: Correlacione el principal de Kerberos con el usuario de Active Directory
Paso 3: Instale el cliente de ejecución Kerberos (sólo UNIX)
Paso 4: Configure el cliente Kerberos (sólo UNIX)
Paso 5: Verifique la autenticación del principal del servidor web (sólo UNIX)
Paso 6: Verifique la autenticación de WebSEAL utilizando el archivo keytab (sólo UNIX)
Paso 7: Habilite SPNEGO para WebSEAL
Paso 8: Agregue entradas de nombre de servicio y de archivo keytab (sólo UNIX)
Paso 9: Reinicie WebSEAL
Sugerencias para la resolución de problemas
Inicio de sesión único entre dominios (CDSSO)
Personalización de la autenticación de inicio de sesión único
Flujo de proceso de autenticación para CDSSO con CDMF
Configuración de la autenticación de CDSSO
Condiciones y requisitos de CDSSO
Resolución de nombres de máquina
Resumen de la configuración de CDSSO
Configuración de la funcionalidad de creación de señal CDSSO predeterminada
Configuración de la funcionalidad de consumo de señal CDSSO predeterminada
1. Habilitación e inhabilitación de la autenticación CDSSO
2. Configuración del mecanismo de autenticación de inicio de sesión único
3. Cifrado de los datos de la señal de autenticación
4. Configuración de la marca de fecha y hora de la señal
5. Configuración del nombre de la etiqueta de la señal
Creación del vínculo HTML de CDSSO
Protección de la señal de autenticación
Codificación UTF-8 de señales para el inicio de sesión único entre dominios
Habilitación de la compatibilidad con señales anteriores a la versión 4.1
Habilitación de la compatibilidad con versiones anteriores para señales de la versión 4.1
Especificación de los atributos ampliados que deben agregarse a la señal
Especificación de los atributos ampliados que deben extraerse de la señal
Inicio de sesión único de e-community
Características y requisitos de e-community
Flujo de proceso de e-community
Información de la cookie de e-community
Comprensión de la solicitud y respuesta de garantización
La solicitud de garantización
La respuesta de garantización
Configuración del inicio de sesión único de e-community
Condiciones y requisitos de e-community
Resolución de nombres de máquina
Resumen de la configuración de e-community
Configuración de la funcionalidad de creación de señal predeterminada en el servidor de garantización
Configuración de la funcionalidad de consumo de señal predeterminada en el servidor receptor
1. Habilitación e inhabilitación de la autenticación de e-community
2. Especificación de un nombre de e-community
3. Configuración de un mecanismo de autenticación de inicio de sesión único
4. Cifrado de la señal de garantización
Claves de dominio de e-community
5. Configuración de un nombre de etiqueta de la señal de garantización
6. Especificación del servidor de autenticación maestro (MAS)
7. Especificación de la dirección URL de garantización
8. Configuración de los valores de duración de señal y ec-cookie
Habilitación del acceso no autenticado
Codificación UTF-8 de señales para el inicio de sesión único de e-community
Habilitación de la compatibilidad con señales anteriores a la versión 4.1
Habilitación de la compatibilidad con versiones anteriores para señales de la versión 4.1
Especificación de los atributos ampliados que deben agregarse a la señal
Especificación de los atributos ampliados que deben extraerse de la señal
Capítulo 10. Uniones WebSEAL
Ubicación y formato de la base de datos de uniones
Aplicación del control de accesos flexible: resumen
Aplicación del control de accesos estricto: resumen
Directrices para la creación de uniones WebSEAL
Información de consulta adicional para uniones WebSEAL
Gestión de uniones con Web Portal Manager
Creación de una unión con Web Portal Manager
Lista de uniones utilizando Web Portal Manager
Eliminación de uniones utilizando Web Portal Manager
Utilización de pdadmin para crear uniones
Configuración de una unión WebSEAL básica
Creación de uniones de tipo TCP
Creación de uniones de tipo SSL
Verificación del certificado de servidor de fondo
Ejemplos de uniones de SSL
Inhabilitación de las versiones de protocolo SSL para las uniones
Adición de servidores de fondo a una unión
Uniones SSL autenticadas mutuamente
Coincidencia de Nombre distinguido (DN)
WebSEAL se autentica con un certificado de cliente
WebSEAL se autentica con una cabecera de BA
Gestión de información de identidad de cliente entre uniones
Utilización de –b supply
Utilización de –b ignore
Utilización de –b gso
Utilización de –b filter
Modificación de las direcciones URL de recursos de fondo
Información sobre los tipos de ruta de acceso utilizados en las direcciones URL
Filtrado de las direcciones URL en las respuestas
Reglas de filtrado estándar de direcciones URL para WebSEAL
Modificación de las direcciones URL absolutas con filtrado de scripts
El filtrado cambia la cabecera Content-Length
Limitación con vínculos relativos al servidor no filtrados
Proceso de direcciones URL en las solicitudes
Gestión de direcciones URL relativas al servidor con cookies de unión (-j)
Gestión de direcciones URL relativas al servidor con correlación de uniones
Proceso de solicitudes de unión raíz
Gestión de cookies de servidores a través de múltiples uniones -j
Parte 1: Las uniones -j modifican los atributos de ruta de acceso Set-Cookie
Parte 2: Las uniones -j modifican los atributos de nombre de Set-Cookie
Cómo conservar nombres de cookie
Opciones adicionales de unión
Especificación de la identidad del cliente en cabeceras HTTP (–c)
Sintaxis de –c
Especificación de las direcciones IP de cliente en cabeceras HTTP (–r)
Limitación del tamaño de cabeceras HTTP generadas por WebSEAL
Transferencia de cookies de sesión a servidores de portal con unión (–k)
Soporte para direcciones URL no sensibles a mayúsculas y minúsculas (–i)
Soporte para unión con información de estado (–s, –u)
Especificación de UUID de servidor de fondo para uniones con información de estado (–u)
Ejemplo:
Ejemplo:
Las ACL y las POP deben asociarse a nombres de objeto en minúsculas
Especificación de la codificación UTF-8 para datos de cabecera HTTP
Notas técnicas para utilizar uniones WebSEAL
Montaje de varios servidores en la misma unión
Excepciones a la aplicación de permisos entre uniones
Certificación de autenticación entre uniones
Gestión de cookies de dominio
WebSEAL devuelve HTTP/1.1
Instalación de los componentes de query_contents
Instalación de query_contents en servidores UNIX de terceros
Instalación de query_contents en servidores Win32 de terceros
Prueba de la configuración
Funcionalidad adicional
Protección de query_contents
Resolución de problemas
Capítulo 11. Soluciones de inicio de sesión único a través de uniones
Configuración de cabeceras de BA para las soluciones de inicio de sesión único
Conceptos de inicio de sesión único (SSO)
Especificación de la identidad de cliente en cabeceras de BA
Especificación de la identidad del cliente y la contraseña genérica
Limitaciones
Reenvío de la información de cabecera de BA del cliente original
Eliminación de la información de cabecera de BA de cliente
Especificación de los nombres de usuario y las contraseñas de GSO
Utilización de Global Sign-on (GSO)
Correlación de la información de autenticación
Configuración de una unión WebSEAL habilitada para GSO
Ejemplos de uniones WebSEAL habilitadas para GSO
Configuración de la caché de GSO
Configuración del inicio de sesión único en IBM WebSphere (LTPA)
Configuración de una unión LTPA
Configuración de la caché de LTPA
Notas técnicas para el inicio de sesión único de LTPA
Configuración de la autenticación de formularios de inicio de sesión único
Contexto y objetivos
Flujo de proceso de inicio de sesión único de formularios
Requisitos para el soporte de aplicaciones
Creación del archivo de configuración para el inicio de sesión único con formularios
La stanza [forms-sso-login-pages]
Utilización de expresiones regulares
La stanza de argumento
Capítulo 12. Integración de aplicaciones
Soporte para la programación de CGI
Variables de entorno UTF-8 para programas CGI
Windows: Soporte para variables de entorno de WIN32
Soporte para aplicaciones del servidor de fondo
Mejores prácticas de unión para la integración de aplicaciones
Información completa de cabecera HOST con -v
Soporte para el filtrado de las direcciones URL absolutas estándar
Creación de un servicio de personalización personalizado
Configuración de WebSEAL para un servicio de personalización
Ejemplo de servicio de personalización
Mantenimiento del estado de la sesión entre las aplicaciones clientes y de fondo
Información sobre la gestión de la sesión de usuario
Habilitación de la gestión de ID de sesión de usuario
Inserción de datos de credenciales en la cabecera HTTP
Terminación de sesiones de usuario
Utilización de la API de administración para terminar sesiones de usuario únicas
Utilización de pdadmin para terminar todas las sesiones de usuario
Especificación del control de acceso a las direcciones URL dinámicas
Componentes de dirección URL dinámica
Correlación de objetos ACL y POP con direcciones URL dinámicas
Actualización de WebSEAL para direcciones URL dinámicas
Resolución de direcciones URL dinámicas en el espacio de objetos
Evaluación de ACL y POP
Configuración de limitaciones en las solicitudes POST
Resumen y notas técnicas
La aplicación
La interfaz
Correlaciones de direcciones URL dinámicas c