Ws Agmst

IBM Tivoli Access Manager
WebSEAL Gua del administrador

V ersin 3.9
GC10-3839-00
WebSEAL Gua del administrador

V ersin 3.9
GC10-3839-00
Nota Antes de utilizar esta informacin y el producto al que da soporte, lea la informacin incluida en el Apndice C, Avisos en la pgina 253.
Primera edicin (julio de 2002) Este manual es la traduccin del original ingls IBM Tivoli Access Manager WebSEAL Administrators Guide , GC23-4682-00. Copyright International Business Machines Corporation 1999, 2002. Reservados todos los derechos.
Contenido
Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix
A quin va dirigido este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix Contenido de este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix Publicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x IBM Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x Publicaciones relacionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii Acceso a las publicaciones en lnea . . . . . . . . . . . . . . . . . . . . . . . . . . xv Solicitud de publicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv Comentarios sobre las publicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . xv Accesibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi Cmo ponerse en contacto con el soporte al cliente . . . . . . . . . . . . . . . . . . . . . . xvi Convenios utilizados en este manual . . . . . . . . . . . . . . . . . . . . . . . . . . xvi Convenios tipogrficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi
Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL . . . . . . . . . . 1

Presentacin de IBM Tivoli Access Manager y WebSEAL . . . Informacin sobre el modelo de seguridad de Access Manager . Espacio de objetos protegidos. . . . . . . . . . . . Definicin y aplicacin de polticas de ACL y POP . . . . Administracin de poltica: Web Portal Manager . . . . . Proteccin del espacio web con WebSEAL . . . . . . . . Planificacin e implementacin de la poltica de seguridad . . . Identificacin de tipos de contenido y niveles de proteccin . Informacin sobre la autenticacin de WebSEAL . . . . . . Objetivos de autenticacin . . . . . . . . . . . . Acceso autenticado y no autenticado a los recursos . . . . Estructura de cach de sesin/credenciales de WebSEAL . . Informacin sobre las conexiones (junctions) WebSEAL . . . . Conexiones (junctions) WebSEAL y escalabilidad de sitios web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 . 3 . 4 . 4 . 6 . 7 . 8 . 9 . 10 . 10 . 11 . 12 . 14 . 16
Captulo 2. Configuracin bsica del servidor . . . . . . . . . . . . . . . . . . . 21

Informacin general del servidor . . . . . . . . . . . . . Directorio raz de la instalacin de WebSEAL . . . . . . . . Inicio y detencin de WebSEAL . . . . . . . . . . . . WebSEAL representado en el espacio de objetos protegidos . . . WebSEAL devuelve HTTP/1.1 . . . . . . . . . . . . . Archivo de registro de WebSEAL . . . . . . . . . . . . Utilizacin del archivo de configuracin de WebSEAL . . . . . . Presentacin del archivo de configuracin webseald.conf . . . . Directorio raz de servidor WebSEAL . . . . . . . . . . . Configuracin de los parmetros de comunicacin . . . . . . . Configuracin de WebSEAL para peticiones HTTP . . . . . . Configuracin de WebSEAL para peticiones HTTPS . . . . . . Restriccin de conexiones de versiones de SSL especficas . . . . Parmetros de tiempo de espera para la comunicacin HTTP/HTTPS Parmetros adicionales de tiempo de espera del servidor WebSEAL Gestin del espacio web . . . . . . . . . . . . . . . . Directorio raz del rbol de documentos web . . . . . . . . Configuracin del ndice de directorios . . . . . . . . . . Windows: convenios de denominacin para programas CGI . . . Configuracin del almacenamiento en la cach de documentos web Especificacin de tipos de documento para el filtrado . . . . . Gestin de pginas personalizadas de mensajes de error HTTP . . . Soporte para macros de las pginas de mensajes de error HTTP . . Gestin de pginas personalizadas de gestin de cuentas . . . . .
Copyright IBM Corp. 1999, 2002
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
21 21 22 22 22 23 23 23 25 25 25 26 26 26 27 28 28 29 30 31 33 33 36 36
iii
Parmetros y valores de pginas personalizadas . . . . . . . . . . . Descripciones de pginas HTML personalizadas . . . . . . . . . . . Gestin de certificados de cliente y servidor . . . . . . . . . . . . . Informacin sobre tipos de archivo de bases de datos de claves GSKit . . . . Configuracin de parmetros de base de datos de claves . . . . . . . . Utilizacin del programa de utilidad de gestin de certificados iKeyman . . . Configuracin de la comprobacin de CRL . . . . . . . . . . . . . Configuracin de la cach de CRL . . . . . . . . . . . . . . . . Configuracin del registro HTTP predeterminado . . . . . . . . . . . Habilitacin e inhabilitacin del registro HTTP . . . . . . . . . . . Especificacin del tipo de indicacin de la hora . . . . . . . . . . . Especificacin de los umbrales de creacin de archivo de registro . . . . . Especificacin de la frecuencia de vaciado de los bferes de archivo de registro Formato de registro comn HTTP (para request.log) . . . . . . . . . . Visualizacin del archivo request.log . . . . . . . . . . . . . . . Visualizacin del archivo agent.log . . . . . . . . . . . . . . . Visualizacin del archivo referer.log . . . . . . . . . . . . . . . Configuracin del registro HTTP mediante el registro de eventos . . . . . . Registro de mensajes de servicios de WebSEAL . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
36 37 38 39 40 41 42 42 43 43 44 44 44 45 45 45 45 46 47
Captulo 3. Configuracin avanzada del servidor. . . . . . . . . . . . . . . . . . 49

Configuracin de la calidad predeterminada de nivel de proteccin . . . . . . . . . Configuracin de QOP para redes y hosts individuales . . . . . . . . . . . . . Configuracin de actualizaciones y sondeo de la base de datos de autorizaciones . . . . . Configuracin de la escucha de notificaciones de actualizaciones . . . . . . . . . Configuracin del sondeo de la base de datos de autorizaciones . . . . . . . . . . Gestin de la asignacin de threads de trabajo. . . . . . . . . . . . . . . . . Configuracin de threads de trabajo de WebSEAL . . . . . . . . . . . . . . Asignacin de threads de trabajo para conexiones (junctions) (imparcialidad de conexiones) Rplica de servidores WebSEAL frontales . . . . . . . . . . . . . . . . . . Configuracin de mltiples instancias de servidor WebSEAL . . . . . . . . . . . . Visin general de la configuracin . . . . . . . . . . . . . . . . . . . . Configuracin de mltiples instancias de WebSEAL en UNIX. . . . . . . . . . . Configuracin de mltiples instancias de WebSEAL en Win NT/2000 . . . . . . . . Desconfiguracin de mltiples instancias de WebSEAL . . . . . . . . . . . . . Comandos de inicio, detencin, reinicio y estado del servidor . . . . . . . . . . Configuracin del cambio de usuario (SU) para administradores . . . . . . . . . . Informacin sobre el flujo de proceso de cambio de usuario . . . . . . . . . . . Habilitacin del cambio de usuario: Resumen . . . . . . . . . . . . . . . . Configuracin del formulario HTML de cambio de usuario . . . . . . . . . . . Habilitacin y exclusin de usuarios del cambio de usuario . . . . . . . . . . . Configuracin del mecanismo de autenticacin de cambio de usuario . . . . . . . . Configuracin de un mecanismo de cambio de usuario de CDAS . . . . . . . . . Influencia en otras funciones de WebSEAL . . . . . . . . . . . . . . . . . Configuracin del almacenamiento en la cach de peticiones del servidor WebSEAL . . . . Contexto . . . . . . . . . . . . . . . . . . . . . . . . . . . . Flujo de proceso de almacenamiento en la cach del servidor. . . . . . . . . . . Configuracin de parmetros del almacenamiento en la cach del servidor . . . . . . Notas y limitaciones . . . . . . . . . . . . . . . . . . . . . . . . Gestin de los caracteres codificados UTF-8 . . . . . . . . . . . . . . . . . Prevencin de la vulnerabilidad causada por scripts de sitios cruzados . . . . . . . . Contexto . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuracin del filtrado de cadenas de direcciones URL . . . . . . . . . . . . Supresin de la identidad del servidor . . . . . . . . . . . . . . . . . . . Utilizacin de las estadsticas de WebSEAL . . . . . . . . . . . . . . . . . . Sintaxis del comando pdadmin stats . . . . . . . . . . . . . . . . . . . Componentes de estadsticas y tipos de actividad. . . . . . . . . . . . . . . Habilitacin esttica de estadsticas mediante el registro de eventos . . . . . . . . Utilizacin del programa de utilidad de rastreo para capturar acciones de WebSEAL . . . . Sintaxis bsica del comando trace . . . . . . . . . . . . . . . . . . . . Componentes de rastreo de WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 50 51 51 52 52 52 53 55 56 56 56 59 61 61 62 63 64 65 66 67 68 69 70 70 70 72 73 73 75 75 76 76 77 77 80 85 86 86 87
iv
IBM Tivoli Access Manager: WebSEAL Gua del administrador
Captulo 4. Poltica de seguridad de WebSEAL . . . . . . . . . . . . . . . . . . 89

Polticas de ACL especficas de WebSEAL . . . . . . . . . . . . . . . . . /WebSEAL/<host>. . . . . . . . . . . . . . . . . . . . . . . . /WebSEAL/<host>/<archivo> . . . . . . . . . . . . . . . . . . . . Permisos ACL de WebSEAL . . . . . . . . . . . . . . . . . . . . . Poltica de ACL predeterminada de /WebSEAL . . . . . . . . . . . . . . Caracteres vlidos para nombres de ACL . . . . . . . . . . . . . . . . Poltica de inicio de sesin en tres intentos . . . . . . . . . . . . . . . . . Sintaxis de los comandos . . . . . . . . . . . . . . . . . . . . . . Poltica de intensidad de contraseas . . . . . . . . . . . . . . . . . . . Poltica de intensidad de contraseas establecida por el programa de utilidad pdadmin . Sintaxis de los comandos . . . . . . . . . . . . . . . . . . . . . . Ejemplos de contraseas vlidas y no vlidas . . . . . . . . . . . . . . . Valores globales y especficos para un usuario . . . . . . . . . . . . . . . Poltica POP de intensidad de autenticacin (incremental) . . . . . . . . . . . . Configuracin de los niveles de autenticacin incremental . . . . . . . . . . . Habilitacin de la autenticacin incremental . . . . . . . . . . . . . . . Formulario de inicio de sesin incremental . . . . . . . . . . . . . . . . Algoritmo de autenticacin incremental . . . . . . . . . . . . . . . . . Notas y limitaciones de autenticacin incremental . . . . . . . . . . . . . Distincin entre autenticacin incremental y de mltiples factores . . . . . . . . Poltica POP de autenticacin basada en la red . . . . . . . . . . . . . . . Configuracin de niveles de autenticacin . . . . . . . . . . . . . . . . Especificacin de direcciones IP y rangos . . . . . . . . . . . . . . . . Inhabilitacin de la autenticacin incremental por direccin IP . . . . . . . . . Algoritmo de autenticacin basada en red . . . . . . . . . . . . . . . . Notas y limitaciones de autenticacin basada en red . . . . . . . . . . . . Poltica POP de calidad de proteccin . . . . . . . . . . . . . . . . . . Gestin de usuarios no autenticados (HTTP / HTTPS) . . . . . . . . . . . . Proceso de una peticin de un cliente annimo . . . . . . . . . . . . . . Obligacin del inicio de sesin de usuario . . . . . . . . . . . . . . . . Aplicaciones HTTPS sin autenticar . . . . . . . . . . . . . . . . . . Control de usuarios no autenticados con polticas de ACL/POP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 . 89 . 89 . 89 . 90 . 90 . 91 . 91 . 92 . 92 . 93 . 94 . 94 . 95 . 95 . 96 . 97 . 98 . 99 . 100 . 101 . 101 . 101 . 102 . 103 . 103 . 103 . 104 . 104 . 104 . 104 . 105
Captulo 5. Autenticacin de WebSEAL . . . . . . . . . . . . . . . . . . . . . 107

Informacin sobre el proceso de autenticacin . . . . . . . . Tipos de datos de sesin soportados. . . . . . . . . . . Mtodos de autenticacin soportados . . . . . . . . . . Gestin del estado de la sesin . . . . . . . . . . . . . Visin general del estado de la sesin . . . . . . . . . . Visin general de la cach de sesin de GSKit y WebSEAL . . . Configuracin de la cach de ID de sesin SSL de GSKit . . . . Configuracin de la cach de sesin/credenciales de WebSEAL. . Mantenimiento del estado con cookies de sesin. . . . . . . Determinacin de los tipos de datos vlidos de ID de sesin . . Configuracin de cookies de resolucin de errores . . . . . . Visin general de la configuracin de autenticacin. . . . . . . Parmetros de autenticacin local. . . . . . . . . . . . Parmetros de autenticacin de CDAS personalizado externo . . Configuracin predeterminada para la autenticacin de WebSEAL. Configuracin de mltiples mtodos de autenticacin . . . . . Solicitud de inicio de sesin . . . . . . . . . . . . . Comandos de fin de sesin y de cambio de contrasea . . . . Configuracin de la autenticacin bsica . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin bsica . . . . Definicin del nombre de dominio . . . . . . . . . . . Configuracin del mecanismo de autenticacin bsica . . . . . Condiciones de configuracin . . . . . . . . . . . . . Configuracin de la autenticacin de formularios . . . . . . . Habilitacin e inhabilitacin de la autenticacin de formularios. . Configuracin del mecanismo de autenticacin de formularios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 108 108 109 109 109 110 111 112 114 115 118 119 119 119 120 120 121 122 122 122 123 123 123 123 124
Contenido
Condiciones de configuracin . . . . . . . . . . . . . . . . . . . Personalizacin de los formularios HTML de respuesta . . . . . . . . . . Configuracin de la autenticacin de certificados del cliente . . . . . . . . . . Informacin general: autenticacin mutua mediante certificados . . . . . . . El certificado de prueba de WebSEAL . . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de certificados . . . . . . . . Configuracin del mecanismo de autenticacin de certificados . . . . . . . . Condiciones de configuracin . . . . . . . . . . . . . . . . . . . Configuracin de la autenticacin de cabeceras HTTP . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de cabeceras HTTP . . . . . . Especificacin de tipos de cabecera . . . . . . . . . . . . . . . . . Configuracin del mecanismo de autenticacin de cabeceras HTTP . . . . . . Condiciones de configuracin . . . . . . . . . . . . . . . . . . . Configuracin de autenticacin de direcciones IP . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de direcciones IP . . . . . . . Configuracin del mecanismo de autenticacin de direcciones IP . . . . . . . Configuracin de la autenticacin de seales . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de seales . . . . . . . . . Configuracin del mecanismo de autenticacin de seales . . . . . . . . . Soporte para agentes MPA (Multiplexing Proxy Agents) . . . . . . . . . . . Tipos de datos de sesin y mtodos de autenticacin vlidos . . . . . . . . Flujo de proceso de autenticacin para MPA y clientes mltiples . . . . . . . Habilitacin e inhabilitacin de la autenticacin de MPA . . . . . . . . . . Creacin de una cuenta de usuario para el MPA. . . . . . . . . . . . . Adicin de la cuenta de MPA al grupo webseal-mpa-servers . . . . . . . . Limitaciones de la autenticacin de MPA . . . . . . . . . . . . . . . Configuracin de la reautenticacin basada en la poltica de seguridad . . . . . . Condiciones que afectan a la reautenticacin de POP . . . . . . . . . . . Creacin y aplicacin de la POP de reautenticacin. . . . . . . . . . . . Configuracin del restablecimiento y ampliacin de la duracin de la cach de sesin Configuracin de la reautenticacin basada en la poltica de inactividad de sesin . . Condiciones que afectan a la reautenticacin por inactividad . . . . . . . . Habilitacin de la reautenticacin por inactividad . . . . . . . . . . . . Configuracin del restablecimiento y ampliacin de la duracin de la cach de sesin
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
124 124 125 125 126 127 127 128 128 128 129 129 130 130 130 130 130 130 131 131 132 133 134 134 134 134 134 134 135 136 137 137 139 139
Captulo 6. Soluciones de inicio de sesin en dominios cruzados. . . . . . . . . . 141

Configuracin de la autenticacin de CDSSO . . . . . . . . Integracin de una biblioteca compartida CDMF personalizada. Flujo de proceso de autenticacin para CDSSO con CDMF . . Habilitacin e inhabilitacin de la autenticacin de CDSSO . . Configuracin del mecanismo de autenticacin de CDSSO . . Cifrado de los datos de la seal de autenticacin . . . . . Configuracin de la indicacin de la hora de seal . . . . . Expresin de vnculos HTML de CDSSO . . . . . . . . Proteccin de la seal de autenticacin . . . . . . . . . Configuracin de inicio de sesin nico de comunidad electrnica Caractersticas y requisitos de comunidad electrnica . . . . Flujo de proceso de la comunidad electrnica . . . . . . Informacin de la cookie de comunidad electrnica . . . . Informacin sobre la peticin y la respuesta de garantizacin Informacin sobre la seal de garantizacin . . . . . . Cifrado de la seal de garantizacin . . . . . . . . . Configuracin de una comunidad electrnica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 141 141 143 143 144 144 145 145 145 147 148 152 152 153 153 154
Captulo 7. Conexiones (junctions) WebSEAL . . . . . . . . . . . . . . . . . . 159

Visin general de las conexiones (junctions) WebSEAL . . . . . Ubicacin y formato de la base de datos de conexiones (junctions) Aplicacin del control de accesos flexible: resumen . . . . . . Aplicacin del control de accesos flexible: resumen . . . . . . Directrices para la creacin de conexiones (junctions) WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 159 160 160 160
vi
Informacin de consulta adicional para conexiones (junctions) WebSEAL . . . . . . . . . Utilizacin de pdadmin para crear conexiones (junctions) . . . . . . . . . . . . . . . Configuracin de una conexin (junction) WebSEAL bsica . . . . . . . . . . . . . . . Creacin de conexiones (junctions) de tipo TCP . . . . . . . . . . . . . . . . . . Creacin de conexiones (junctions) de tipo SSL . . . . . . . . . . . . . . . . . . Adicin de servidores de fondo adicionales a una conexin (junction) . . . . . . . . . . Conexiones (junctions) SSL autenticadas mutuamente . . . . . . . . . . . . . . . . . WebSEAL valida el certificado de servidor de fondo . . . . . . . . . . . . . . . . Coincidencia de Nombre distinguido (DN) . . . . . . . . . . . . . . . . . . . WebSEAL se autentica con un certificado de cliente . . . . . . . . . . . . . . . . WebSEAL se autentica con una cabecera de BA . . . . . . . . . . . . . . . . . . Gestin de informacin de identidad de cliente entre conexiones (junctions) . . . . . . . . Creacin de conexiones (junctions) de proxy TCP y SSL . . . . . . . . . . . . . . . . Conexiones (junctions) de WebSEAL a WebSEAL a travs de SSL . . . . . . . . . . . . . Modificacin de las direcciones URL de recursos de fondo . . . . . . . . . . . . . . . Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL . . . . . . . Filtrado de las direcciones URL en las respuestas . . . . . . . . . . . . . . . . . Proceso de direcciones URL en las peticiones . . . . . . . . . . . . . . . . . . . Opciones adicionales de conexin (junction) . . . . . . . . . . . . . . . . . . . . Cmo forzar una nueva conexin (junction) (f) . . . . . . . . . . . . . . . . . . Especificacin de la identidad del cliente en cabeceras HTTP (c) . . . . . . . . . . . . Especificacin de las direcciones IP de cliente en cabeceras HTTP (r) . . . . . . . . . . Limitacin del tamao de cabeceras HTTP generadas por WebSEAL . . . . . . . . . . . Transferencia de cookies de sesin a servidores de portal con conexin (junction) (k) . . . . . Soporte para direcciones URL no sensibles a maysculas y minsculas (i) . . . . . . . . . Soporte para conexin (junction) con informacin de estado (s, u) . . . . . . . . . . . Especificacin de UUID de servidor de fondo para conexiones (junctions) con informacin de estado Conexin (junction) con sistemas de archivos de Windows (w) . . . . . . . . . . . . Notas tcnicas para utilizar conexiones (junctions) WebSEAL . . . . . . . . . . . . . . Montaje de varios servidores en la misma conexin (junction) . . . . . . . . . . . . . Excepciones a la aplicacin de permisos entre conexiones (junctions) . . . . . . . . . . . Certificacin de autenticacin entre conexiones (junctions) . . . . . . . . . . . . . . Utilizacin de query_contents con servidores de terceros . . . . . . . . . . . . . . . . Instalacin de los componentes de query_contents . . . . . . . . . . . . . . . . . Instalacin de query_contents en servidores UNIX de terceros . . . . . . . . . . . . . Instalacin de query_contents en servidores Win32 de terceros . . . . . . . . . . . . . Personalizacin de query_contents . . . . . . . . . . . . . . . . . . . . . . Proteccin de query_contents . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (u) . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
161 161 162 163 163 164 165 165 165 166 166 167 168 168 169 170 171 173 176 176 177 179 179 180 180 181 182 184 185 185 186 186 186 187 187 187 189 190
Captulo 8. Soluciones de inicio de sesin nico de web
. . . . . . . . . . . . . 191
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 191 192 193 194 195 195 196 197 198 198 199 200 200 201 201 201 202 203 204 208
Configuracin de cabeceras de BA para las soluciones de inicio de sesin nico . . . Conceptos de inicio de sesin nico (SSO). . . . . . . . . . . . . . . Especificacin de la identidad de cliente en cabeceras de BA . . . . . . . . Especificacin de la identidad del cliente y la contrasea genrica . . . . . . . Reenvo de la informacin de cabecera de BA del cliente original . . . . . . . Eliminacin de la informacin de cabecera de BA de cliente . . . . . . . . . Especificacin de los nombres de usuario y las contraseas de GSO . . . . . . Utilizacin de Global Sign-on (GSO). . . . . . . . . . . . . . . . . . Correlacin de la informacin de autenticacin . . . . . . . . . . . . . Configuracin de una conexin (junction) WebSEAL habilitada para GSO . . . . Configuracin de la cach de GSO . . . . . . . . . . . . . . . . . Configuracin del inicio de sesin nico en IBM WebSphere (LTPA) . . . . . . . Configuracin de una conexin (junction) LTPA . . . . . . . . . . . . . Configuracin de la cach de LTPA . . . . . . . . . . . . . . . . . Notas tcnicas para el inicio de sesin nico de LTPA . . . . . . . . . . . Configuracin de la autenticacin de formularios de inicio de sesin nico . . . . . Contexto y objetivos . . . . . . . . . . . . . . . . . . . . . . Flujo de proceso de inicio de sesin nico con formularios . . . . . . . . . Requisitos para el soporte de aplicaciones . . . . . . . . . . . . . . . Creacin del archivo de configuracin para el inicio de sesin nico con formularios Habilitacin del inicio de sesin nico con formularios . . . . . . . . . .
Contenido
vii
Ejemplo de archivo de configuracin para IBM HelpNow
. 208
Captulo 9. Integracin de aplicaciones . . . . . . . . . . . . . . . . . . . . . 211

Soporte para la programacin de CGI . . . . . . . . . . . . . . . Windows: soporte para variables de entorno de WIN32 . . . . . . . . Soporte para aplicaciones del servidor de fondo . . . . . . . . . . . . Mejores prcticas de conexin (junction) para la integracin de aplicaciones . . Informacin completa de cabecera HOST con -v . . . . . . . . . . . Soporte para el filtrado de las direcciones URL absolutas estndar. . . . . Creacin de un servicio de personalizacin personalizado . . . . . . . . Configuracin de WebSEAL para un servicio de personalizacin . . . . . Ejemplo de servicio de personalizacin . . . . . . . . . . . . . . Habilitacin de autorizaciones empresariales dinmicas (seal/valor) . . . . Creacin de autorizaciones empresariales a partir de datos LDAP . . . . . Mantenimiento del estado de la sesin entre las aplicaciones clientes y de fondo . Informacin sobre la gestin de la sesin de usuario . . . . . . . . . Habilitacin de la gestin de ID de sesin de usuario . . . . . . . . . Insercin de datos de credenciales en la cabecera HTTP . . . . . . . . Terminacin de sesiones de usuario . . . . . . . . . . . . . . . Especificacin del control de acceso a las direcciones URL dinmicas . . . . . Componentes de direccin URL dinmica . . . . . . . . . . . . . Correlacin de objetos ACL y POP con direcciones URL dinmicas . . . . Actualizacin de WebSEAL para direcciones URL dinmicas . . . . . . Resolucin de direcciones URL dinmicas en el espacio de objetos . . . . Configuracin de limitaciones en las peticiones POST . . . . . . . . . Resumen y notas tcnicas . . . . . . . . . . . . . . . . . . Ejemplo de direccin URL dinmica: Travel Kingdom . . . . . . . . . . La aplicacin . . . . . . . . . . . . . . . . . . . . . . La interfaz . . . . . . . . . . . . . . . . . . . . . . . La poltica de seguridad . . . . . . . . . . . . . . . . . . . Clientes seguros . . . . . . . . . . . . . . . . . . . . . Control de acceso . . . . . . . . . . . . . . . . . . . . . Conclusin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 212 213 213 214 214 215 216 216 217 217 220 220 220 221 222 223 223 224 226 226 227 228 229 229 230 230 231 231 232
Apndice A. Consulta de webseald.conf . . . . . . . . . . . . . . . . . . . . . 233 Apndice B. Informacin de consulta de las conexiones (junctions) WebSEAL . . . . 247
Utilizacin de pdadmin para crear conexiones (junctions) . . . . Comandos de conexin (junction) . . . . . . . . . . . . Creacin de una nueva conexin (junction) para un servidor inicial . Adicin de un servidor adicional a una conexin (junction) existente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 248 249 251
Apndice C. Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253

Marcas registradas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
ndice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
viii
Prefacio
Bienvenido a la publicacin IBMTivoliAccess Manager WebSEAL Gua del administrador. IBM Tivoli Access Manager WebSEAL es el gestor de seguridad de recursos para los recursos basados en web. WebSEAL es un servidor web de alto rendimiento y de threads mltiples que aplica una poltica de seguridad detallada al espacio de objetos web protegidos. WebSEAL puede proporcionar soluciones de inicio de sesin nico e incorporar recursos de servidores de aplicaciones web de fondo a su poltica de seguridad. Esta gua de administracin ofrece un conjunto exhaustivo de procedimientos e informacin de consulta para la gestin de los recursos de los dominios web seguros. Tambin incluye informacin general y de conceptos til para la gran variedad de funciones de WebSEAL.
A quin va dirigido este manual

Este manual va dirigido a los administradores de sistemas que son responsables de configurar y mantener un entorno de Access Manager WebSEAL. Los lectores deben estar familiarizados con los elementos siguientes: v Sistemas operativos de PC y UNIX v Arquitectura y conceptos de bases de datos v Gestin de seguridad v Protocolos Internet, incluidos HTTP, TCP/IP, FTP (File Transfer Protocol) y Telnet v Servicios LDAP (Lightweight Directory Access Protocol) y de directorio v Un registro de usuarios soportado v Autenticacin y autorizacin Si habilita la comunicacin SSL (Secure Sockets Layer), tambin debe estar familiarizado con el protocolo SSL, intercambio de claves (pblicas y privadas), firmas digitales, algoritmos criptogrficos y entidades emisoras de certificados.
Contenido de este manual

v Captulo 1: Visin general de IBM Tivoli Access Manager WebSEAL Este captulo le presenta conceptos y funciones importantes de WebSEAL, como por ejemplo: organizacin y proteccin del espacio de objetos, autenticacin, adquisicin de credenciales y conexiones (junctions) WebSEAL. v Captulo 2: Configuracin bsica del servidor Este captulo contiene informacin tcnica de consulta para las tareas generales de configuracin de WebSEAL, que incluyen: utilizacin del archivo de configuracin de WebSEAL, gestin del espacio web, gestin de certificados y configuracin del registro. v Captulo 3: Configuracin avanzada del servidor Este captulo contiene informacin tcnica de consulta para las tareas avanzadas de configuracin de WebSEAL, que incluyen: configuracin de mltiples
ix
instancias de WebSEAL, configuracin de funciones de cambio de usuario, gestin de la asignacin de threads de trabajo y configuracin de actualizaciones y sondeos de base de datos de autorizaciones. v Captulo 4: Poltica de seguridad de WebSEAL Este captulo describe procedimientos tcnicos detallados para personalizar la poltica de seguridad de WebSEAL, que incluyen: polticas de ACL y POP, calidad de proteccin, poltica de autenticacin incremental, poltica de autenticacin basada en la red, poltica de inicio de sesin de tres intentos y poltica de intensidad de contraseas. v Captulo 5: Autenticacin de WebSEAL Este captulo proporciona procedimientos tcnicos detallados para configurar WebSEAL para que gestione varios mtodos de autenticacin, que incluyen: nombre de usuario y contrasea, certificados de cliente, cdigo de paso de seal de SecurID, datos de cabecera HTTP especiales y funciones de reautenticacin. v Captulo 6: Soluciones de inicio de sesin en dominios cruzados En este captulo se describen soluciones de inicio de sesin en dominios cruzados para el componente externo de la configuracin proxy de WebSEALentre el cliente y el servidor WebSEAL. v Captulo 7: Conexiones (junctions) WebSEAL Este captulo contiene informacin tcnica de consulta completa para configurar y utilizar las conexiones (junctions) WebSEAL. v Captulo 8: Soluciones de inicio de sesin nico de web En este captulo se describen soluciones de inicio de sesin nico para el componente interno de la configuracin proxy de WebSEALentre el servidor WebSEAL y el servidor de fondo de aplicaciones con conexin (junction). v Captulo 9: Integracin de aplicaciones Este captulo explora diversas posibilidades de WebSEAL para integrar la funcionalidad de aplicaciones de terceros. v Apndice A: Informacin de consulta de webseald.conf v Apndice B: Informacin de consulta de las conexiones (junctions) WebSEAL
Publicaciones
Este apartado contiene una lista de publicaciones de la biblioteca de Access Manager y otros documentos relacionados. Tambin describe cmo acceder a las publicaciones de Tivoli en lnea, cmo solicitar publicaciones de Tivoli y cmo realizar comentarios sobre las publicaciones de Tivoli.

La biblioteca de Access Manager est organizada en las siguientes categoras: v Informacin del release v v v v v Informacin Informacin Informacin Informacin Informacin de Base de WebSEAL de seguridad web de consulta para desarrolladores tcnica complementaria
Las publicaciones de la biblioteca del producto estn incluidas en formato PDF (Portable Document Format) en el CD del producto. Para acceder a estas
publicaciones utilizando un navegador web, abra el archivo infocenter.html, que se encuentra en el directorio /doc del CD del producto. Para obtener fuentes de informacin adicionales sobre Access Manager y temas relacionados, visite los siguientes sitios web: http://www.ibm.com/redbooks https://www.tivoli.com/secure/support/documents/fieldguides
Informacin del release

v IBM Tivoli Access Manager for e-business Read Me First GI11-0918 (am39_readme.pdf) Proporciona informacin sobre la instalacin e iniciacin al uso de Access Manager. v IBM Tivoli Access Manager for e-business Release Notes GI11-0919 (am39_relnotes.pdf) Proporciona informacin de ltima hora, como limitaciones de software, soluciones temporales y actualizaciones de la documentacin.
Informacin de Base
v IBM Tivoli Access Manager Base Installation Guide GC32-0844 (am39_install.pdf) Describe cmo instalar, configurar y actualizar el software Access Manager, incluida la interfaz Web Portal Manager. v IBM Tivoli Access Manager Base Gua del administrador GC10-3838 (am39_admin.pdf) Describe los conceptos y procedimientos para la utilizacin de los servicios de Access Manager. Proporciona instrucciones para realizar tareas desde la interfaz Web Portal Manager y mediante el comando pdadmin. v IBM Tivoli Access Manager Base for Linux on zSeries Installation Guide GC23-4796 (am39_zinstall.pdf) Describe cmo instalar y configurar Access Manager Base para Linux en la plataforma zSeries.
Informacin de WebSEAL
v IBM Tivoli Access Manager WebSEAL Installation Guide GC32-0848 (amweb39_install.pdf) Proporciona instrucciones de instalacin, configuracin y eliminacin del servidor WebSEAL y del kit de desarrollo de aplicaciones WebSEAL. v IBM Tivoli Access Manager WebSEAL Gua del administrador GC10-3839 (amweb39_admin.pdf) Proporciona material de consulta, procedimientos de administracin e informacin tcnica de consulta sobre la utilizacin de WebSEAL para gestionar los recursos de su dominio web seguro. v IBM Tivoli Access Manager WebSEAL Developers Reference GC23-4683 (amweb39_devref.pdf) Proporciona informacin de administracin y programacin para CDAS (Cross-domain Authentication Service), CDMF (Cross-domain Mapping Framework) y para el Mdulo de intensidad de contraseas. v IBM Tivoli Access Manager WebSEAL for Linux on zSeries Installation Guide
Prefacio
xi
GC23-4797 (amweb39_zinstall.pdf) Proporciona instrucciones de instalacin, configuracin y eliminacin del servidor WebSEAL y del kit de desarrollo de aplicaciones WebSEAL para Linux en la plataforma zSeries.
Informacin de seguridad web

v IBM Tivoli Access Manager for WebSphere Application Server Gua del usuario GC10-3840 (amwas39_user.pdf) Proporciona instrucciones de instalacin, eliminacin y administracin de Access Manager for IBM WebSphere Application Server. v IBM Tivoli Access Manager for WebLogic Server Users Guide GC32-0851 (amwls39_user.pdf) Proporciona instrucciones de instalacin, eliminacin y administracin de Access Manager for BEA WebLogic Server. v IBM Tivoli Access Manager Plug-in for Edge Server Users Guide GC23-4685 (amedge39_user.pdf) Describe cmo instalar, configurar y administrar Plug-in for IBM WebSphere Edge Server. v IBM Tivoli Access Manager Plug-in for Web Servers Users Guide GC23-4686 (amws39_user.pdf) Proporciona instrucciones de instalacin, procedimientos de administracin e informacin tcnica de consulta para proteger su dominio web utilizando la aplicacin Plug-in for Web Servers.
Material de consulta para desarrolladores

v IBM Tivoli Access Manager Authorization C API Developers Reference GC32-0849 (am39_authC_devref.pdf) Proporciona material de consulta que describe cmo utilizar la API C de autorizacin de Access Manager y la interfaz de plug-in de servicio de Access Manager para agregar la seguridad de Access Manager a aplicaciones. v IBM Tivoli Access Manager Authorization Java Classes Developers Reference GC23-4688 (am39_authJ_devref.pdf) Proporciona informacin de consulta sobre la utilizacin de la implementacin en lenguaje Java de la API de autorizacin para permitir que una aplicacin utilice la seguridad de Access Manager. v IBM Tivoli Access Manager Administration C API Developers Reference GC32-0843 (am39_adminC_devref.pdf) Proporciona informacin de consulta sobre la utilizacin de la API de administracin para permitir que una aplicacin pueda realizar tareas de administracin de Access Manager. Este documento describe la implementacin de C de la API de administracin. v IBM Tivoli Access Manager Administration Java Classes Developers Reference SC32-0842 (am39_adminJ_devref.pdf) Proporciona informacin de consulta sobre la utilizacin de la implementacin en lenguaje Java de la API de administracin para permitir que una aplicacin pueda realizar tareas de administracin de Access Manager. v IBM Tivoli Access Manager WebSEAL Developers Reference GC23-4683 (amweb39_devref.pdf)
xii
Proporciona informacin de administracin y programacin para CDAS (Cross-domain Authentication Service), CDMF (Cross-domain Mapping Framework) y para el Mdulo de intensidad de contraseas.
Informacin tcnica complementaria

v IBM Tivoli Access Manager Performance Tuning Guide GC43-0846 (am39_perftune.pdf) Proporciona informacin de ajuste del rendimiento para un entorno compuesto por Access Manager con IBM SecureWay Directory definido como el registro de usuarios. v IBM Tivoli Access Manager Capacity Planning Guide GC32-0847 (am39_capplan.pdf) Proporciona asistencia a los responsables de planificacin para determinar el nmero de servidores web de fondo, WebSEAL y LDAP necesarios para conseguir la carga de trabajo deseada. v IBM Tivoli Access Manager Error Message Reference SC32-0845 (am39_error_ref.pdf) Proporciona explicaciones y acciones recomendadas para los mensajes generados por Access Manager. La publicacin Tivoli Glossary incluye definiciones de muchos de los trminos tcnicos relacionados con el software de Tivoli. La publicacin Tivoli Glossary est disponible, slo en ingls, en el siguiente sitio web: http://www.tivoli.com/support/documents/glossary/termsm03.htm
Publicaciones relacionadas
Este apartado contiene una lista de las publicaciones relacionadas con la biblioteca de Access Manager.
IBM DB2 Universal Database

IBM DB2 Universal Database es necesario al instalar los servidores IBM SecureWay Directory, z/OS y OS/390 SecureWay LDAP. La informacin de DB2 est disponible en el siguiente sitio web: http://www.ibm.com/software/data/db2/
IBM Global Security Toolkit

Access Manager proporciona cifrado de datos mediante el uso de IBM Global Security Toolkit (GSKit). GSKit se proporciona en el CD de IBM Tivoli Access Manager Base para su plataforma especfica. El paquete GSKit instala el programa de utilidad de gestin de claves iKeyman (gsk5ikm), que permite crear bases de datos de claves, pares de claves pblica y privada y peticiones de certificado. El siguiente documento est disponible en el directorio /doc/GSKit: v Secure Sockets Layer Introduction and iKeyman Users Guide gskikm5c.pdf Proporciona informacin para administradores de red o administradores de seguridad de sistemas que tienen planificado habilitar la comunicacin SSL en el dominio seguro de Access Manager.
Prefacio
xiii
IBM SecureWay Directory

IBM SecureWay Directory, Versin 3.2.2, se incluye en el CD de IBM Tivoli Access Manager Base para su plataforma especfica. Si est planificando instalar el servidor IBM SecureWay Directory como su registro de usuarios, los siguientes documentos estn disponibles en la ruta de acceso /doc/Directory del CD de IBM Tivoli Access Manager Base para su plataforma especfica: v IBM SecureWay Directory Installation and Configuration Guide (aparent.pdf, lparent.pdf, sparent.pdf, wparent.pdf) Proporciona informacin de instalacin, configuracin y migracin para los componentes de IBM SecureWay Directory en los sistemas operativos AIX, Linux, Solaris y Microsoft Windows. v IBM SecureWay Directory Release Notes (relnote.pdf) Contiene informacin complementaria a la documentacin del producto IBM SecureWay Directory, Versin 3.2.2, y describe las caractersticas y funciones que estn disponibles en este release. v IBM SecureWay Directory Readme Addendum (addendum322.pdf) Proporciona informacin sobre los cambios y arreglos realizados despus de la traduccin de la documentacin de IBM SecureWay Directory. Este archivo est disponible slo en ingls. v IBM SecureWay Directory Server Readme (server.pdf) Proporciona una descripcin de IBM SecureWay Directory Server, Versin 3.2.2. v IBM SecureWay Directory Client Readme (client.pdf) Proporciona una descripcin de IBM SecureWay Directory Client SDK, Versin 3.2.2. Este kit de desarrollo de software (SDK) proporciona soporte para el desarrollo de aplicaciones LDAP. v SSL Introduction and iKeyman Users Guide (gskikm5c.pdf) Proporciona informacin para administradores de red o administradores de seguridad de sistemas que tienen planificado habilitar la comunicacin SSL en el dominio seguro de Access Manager. v IBM SecureWay Directory Configuration Schema (scparent.pdf) Describe el rbol de informacin de directorios (DIT) y los atributos utilizados para configurar el archivo slapd32.conf. En IBM SecureWay Directory Versin 3.2, los valores de directorio se almacenan utilizando el formato LDIF (LDAP Directory Interchange Format) en el archivo slapd32.conf. v IBM SecureWay Directory Tuning Guide (tuning.pdf) Proporciona informacin de ajuste del rendimiento para IBM SecureWay Directory. Incluye consideraciones sobre los ajustes del tamao de los directorios que tienen desde varios miles de entradas hasta millones de entradas, cuando procede. Para obtener ms informacin sobre IBM SecureWay Directory, visite el siguiente sitio web:
xiv
http://www.software.ibm.com/network/directory/library/
IBM WebSphere Application Server

IBM WebSphere Application Server, Advanced Single Server Edition, Versin 4.0.2, se instala con la interfaz Web Portal Manager. Para obtener informacin sobre IBM WebSphere Application Server, visite el siguiente sitio web: http://www.ibm.com/software/webservers/appserv/infocenter.html
Acceso a las publicaciones en lnea

Las publicaciones de la biblioteca del producto estn incluidas en formato PDF (Portable Document Format) en el CD del producto. Para acceder a estas publicaciones utilizando un navegador web, abra el archivo infocenter.html, que se encuentra en el directorio /doc del CD del producto. Cuando IBM publica una versin actualizada de una o ms publicaciones impresas o en lnea, se envan a Tivoli Information Center. Tivoli Information Center contiene las versiones ms recientes de las publicaciones de la biblioteca del producto en formato PDF o HTML, o en ambos. Tambin estn disponibles documentos traducidos de algunos productos. Puede acceder a Tivoli Information Center y a otras fuentes de informacin tcnica desde el siguiente sitio web: http://www.tivoli.com/support/documents/ La informacin est organizada por producto e incluye las notas del release, guas de instalacin, guas del usuario, guas del administrador y material de consulta para desarrolladores. Nota: Si desea imprimir documentos PDF en un papel que no sea de tamao carta, seleccione la casilla de verificacin Ajustar a pgina en el dilogo de impresin de Adobe Acrobat (que est disponible al hacer clic en Archivo Imprimir) para asegurarse de que se imprima todo el contenido de la pgina en tamao carta en el papel que est utilizando.
Solicitud de publicaciones
Puede realizar pedidos de muchas publicaciones de Tivoli en lnea en el siguiente sitio web: http://www.elink.ibmlink.ibm.com/public/applications/ publications/cgibin/pbi.cgi Tambin puede realizar pedidos por telfono llamando a uno de estos nmeros: v En Estados Unidos: 800-879-2755 v En Espaa: 901-100-000 v Para obtener una lista de nmeros de telfono de otros pases, visite el siguiente sitio web: http://www.tivoli.com/inside/store/lit_order.html
Comentarios sobre las publicaciones

Nos interesa conocer sus experiencias con los productos y la documentacin de Tivoli, y agradeceremos cualquier sugerencia para aplicar mejoras. Si tiene
Prefacio
xv
comentarios o sugerencias sobre nuestros productos y la documentacin, pngase en contacto con nosotros utilizando uno de los procedimientos siguientes: v Enve un mensaje de correo electrnico a pubs@tivoli.com. v Rellene la encuesta de opinin del cliente en el siguiente sitio web: http://www.tivoli.com/support/survey/
Accesibilidad
Las caractersticas de accesibilidad ayudan a los usuarios que tienen una discapacidad fsica, como movilidad restringida o visin limitada, a utilizar los productos de software sin problemas. En este producto, puede utilizar tecnologas de asistencia para tener acceso a la interfaz y navegar por ella. Tambin puede utilizar el teclado en lugar del ratn para realizar todas las funciones de la interfaz grfica de usuario.
Cmo ponerse en contacto con el soporte al cliente

Si tiene algn problema con cualquier producto de Tivoli, puede ponerse en contacto con el soporte al cliente de Tivoli. Consulte el manual Tivoli Customer Support Handbook en el siguiente sitio web: http://www.tivoli.com/support/handbook/ En el manual se proporciona informacin sobre cmo ponerse en contacto con el soporte al cliente de Tivoli, segn la gravedad del problema, y la siguiente informacin: v Registro y elegibilidad v Nmeros de telfono y direcciones de correo electrnico, segn el pas donde se encuentre v Qu informacin debe reunir antes de ponerse en contacto con el servicio de soporte
Convenios utilizados en este manual

Esta gua utiliza varias convenios para algunos trminos y acciones especiales, comandos y rutas de acceso del sistema operativo, y grficos de margen.
Convenios tipogrficos
En este manual se utilizan los siguientes convenios tipogrficos: Negrita Cursiva Los nombres de comandos y opciones, las palabras clave y otra informacin que debe utilizarse literalmente aparecen en negrita. Las variables, opciones de comandos y valores que el usuario debe proporcionar aparecen en cursiva. Los ttulos de publicaciones y las palabras o expresiones especiales que estn enfatizadas tambin aparecen en cursiva.
Monoespaciado Los ejemplos de cdigo, las lneas de comandos, la salida en pantalla, los nombres de archivo y de directorio, y los mensajes del sistema aparecen en una fuente monoespaciada.
xvi
Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL

IBMTivoliAccess Manager for e-business (Access Manager) es una solucin de gestin centralizada de polticas slida y segura para e-business y aplicaciones distribuidas. IBM Tivoli Access Manager WebSEAL es un servidor web de alto rendimiento y de threads mltiples que aplica una poltica de seguridad detallada al espacio de objetos web protegidos de Access Manager. WebSEAL puede proporcionar soluciones de inicio de sesin nico e incorporar recursos de servidores de aplicaciones web de fondo a su poltica de seguridad. Esta visin general le presenta las principales posibilidades del servidor WebSEAL. ndice de temas: v Presentacin de IBM Tivoli Access Manager y WebSEAL en la pgina 1 v Informacin sobre el modelo de seguridad de Access Manager en la pgina 3 v Proteccin del espacio web con WebSEAL en la pgina 7 v Planificacin e implementacin de la poltica de seguridad en la pgina 8 v Informacin sobre la autenticacin de WebSEAL en la pgina 10 v Informacin sobre las conexiones (junctions) WebSEAL en la pgina 14
Presentacin de IBM Tivoli Access Manager y WebSEAL

IBM Tivoli Access Manager: IBM Tivoli Access Manager es una solucin completa de gestin de polticas de autorizacin y seguridad de red que proporciona una proteccin mxima de extremo a extremo de los recursos a travs de intranets y extranets geogrficamente dispersas. Adems de sus avanzadas caractersticas de gestin de polticas de seguridad, Access Manager proporciona posibilidades de autenticacin, autorizacin, seguridad de datos y gestin centralizada de los recursos. Puede utilizar Access Manager junto con aplicaciones estndar basadas en Internet para construir intranets de alta seguridad y bien gestionadas. En su ncleo, Access Manager proporciona: v Infraestructura de autenticacin Access Manager proporciona una amplia gama de autenticadores incorporados y da soporte a autenticadores externos. v Infraestructura de autorizacin El servicio de autorizaciones de Access Manager, al que se accede a travs de la API de autorizacin de Access Manager, proporciona decisiones de permiso y denegacin en las peticiones de recursos protegidos ubicados en el dominio seguro. Con Access Manager, las empresas pueden gestionar de forma segura el acceso a los recursos internos privados basados en red, al tiempo que se aprovecha la amplia conectividad y la facilidad de uso de Internet. Access Manager, en
combinacin con un sistema de cortafuegos corporativo, puede proporcionar una proteccin completa de la intranet empresarial contra accesos no autorizados e intrusiones. IBM Tivoli Access Manager WebSEAL: IBM Tivoli Access Manager WebSEAL es el gestor de recursos que es responsable de gestionar y proteger informacin y recursos basados en web. WebSEAL es un servidor web de alto rendimiento y threads mltiples que aplica una poltica de seguridad detallada al espacio de objetos web protegidos de Access Manager. WebSEAL puede proporcionar soluciones de inicio de sesin nico e incorporar recursos de servidores de aplicaciones web de fondo a su poltica de seguridad. WebSEAL acta normalmente como un proxy web inverso al recibir peticiones HTTP/HTTPS de un navegador web y proporcionar contenido de su propio servidor web o de servidores de aplicaciones web de fondo con conexin (junction). Las peticiones que pasan a travs de WebSEAL se evalan mediante el servicio de autorizaciones de Access Manager para determinar si el usuario est autorizado para acceder al recurso solicitado. WebSEAL proporciona las siguientes funciones: v Da soporte a varios mtodos de autenticacin Tanto la arquitectura incorporada como la de plug-in permiten la flexibilidad al dar soporte a varios mecanismos de autenticacin. v Acepta peticiones HTTP y HTTPS v Integra y protege los recursos de servidor de fondo a travs de la tecnologa de conexiones (junctions) WebSEAL v Gestiona un control de acceso estricto para el espacio web del servidor local y de fondo Los recursos soportados incluyen direcciones URL, expresiones regulares basadas en direcciones URL, programas CGI, archivos HTML, servlets Java y archivos de clase Java. v Funciona como proxy web inverso WebSEAL aparece como un servidor web en los clientes y como un navegador web en los servidores de fondo con conexin (junction) que protege. v Proporciona posibilidades de inicio de sesin nico
Figura 1. Proteccin del espacio web con WebSEAL
Informacin sobre el modelo de seguridad de Access Manager

La poltica de seguridad para un dominio seguro de Access Manager se mantiene y rige mediante dos estructuras de seguridad clave: v Registro de usuarios El registro de usuarios (tal como LDAP, Lotus Domino o Microsoft Active Directory) contiene todos los usuarios y grupos que tienen permiso para participar en el dominio seguro de Access Manager. v Base de datos maestra de (poltica de) autorizaciones La base de datos de autorizaciones contiene una representacin de todos los recursos del dominio (el espacio de objetos protegidos). El administrador de seguridad puede establecer cualquier nivel de seguridad aplicando reglas, conocidas como polticas de lista de control de accesos (ACL) y polticas de objetos protegidos (POP) a aquellos recursos que necesiten proteccin. La identidad de un usuario se demuestra en WebSEAL mediante el proceso de autenticacin. Un usuario puede participar en el dominio seguro como autenticado o no autenticado. Slo los usuarios con una entrada en el registro de usuarios pueden convertirse en usuarios autenticados. Utilizando las polticas de ACL y POP, el administrador de seguridad puede establecer como disponibles ciertos recursos pblicos para usuarios no autenticados. Otros recursos pueden quedar disponibles nicamente para determinados usuarios autenticados. Cuando un usuario se autentica correctamente en WebSEAL, se crea una credencial para ese usuario. La credencial contiene la identidad del usuario, las pertenencias a grupos y cualquier atributo de seguridad especial (ampliado). El servicio de autorizaciones de Access Manager aplica polticas de seguridad comparando las credenciales de autenticacin de un usuario con los permisos de polticas asignados al recurso solicitado. La recomendacin resultante se pasa al gestor de recursos (por ejemplo, WebSEAL), que completa la respuesta a la peticin original. La credencial de usuario es esencial para la plena participacin en el dominio seguro.
Espacio de objetos protegidos

El espacio de objetos protegidos es una representacin jerrquica de los recursos que pertenecen a un dominio seguro de Access Manager. Los objetos virtuales que aparecen en el espacio de objetos jerrquico representan los recursos reales de la red fsica. v Recurso del sistema la aplicacin o el archivo fsico real. v Objeto protegido la representacin lgica de un recurso del sistema real utilizado por el servicio de autorizaciones, Web Portal Manager y otros programas de utilidad de gestin de Access Manager. Pueden asociarse plantillas de poltica con objetos en el espacio de objetos para proporcionar proteccin al recurso. El servicio de autorizaciones toma las decisiones sobre la autorizacin de acuerdo con estas plantillas. Access Manager utiliza las siguientes categoras de espacio de objetos: v Objetos web Estos objetos representan cualquier elemento que pueda direccionarse con una direccin URL HTTP. Incluye pginas web estticas y direcciones URL dinmicas que se convierten en consultas de base de datos u otro tipo de aplicacin. El servidor WebSEAL es responsable de proteger los objetos web. v Objetos de gestin de Access Manager Estos objetos representan las actividades de gestin que se pueden realizar a travs de Web Portal Manager. Los objetos representan las tareas necesarias para definir los usuarios y establecer la poltica de seguridad. Access Manager da soporte a la delegacin de las actividades de gestin y puede restringir la capacidad de un administrador para establecer una poltica de seguridad en un subconjunto del espacio de objetos. v Objetos definidos por el usuario Estos objetos representan tareas definidas por el usuario o recursos de red protegidos por aplicaciones utilizando el servicio de autorizaciones a travs de la API de autorizacin de Access Manager.
Figura 2. Espacio de objetos protegidos de Access Manager
Definicin y aplicacin de polticas de ACL y POP

Los administradores de seguridad protegen los recursos del sistema de Access Manager definiendo reglas, que se conocen como polticas de ACL y POP, y aplicando estas polticas a las representaciones de objetos de dichos recursos en el espacio de objetos protegidos.
El servicio de autorizaciones de Access Manager toma decisiones de autorizacin basadas en las polticas aplicadas a estos objetos. Cuando se permite una operacin solicitada en un objeto protegido, la aplicacin responsable del recurso implementa esta operacin. Una poltica puede establecer los parmetros de proteccin de muchos objetos. Cualquier cambio en la regla afectar a todos los objetos con los que se ha asociado la plantilla.
La lista de control de accesos (ACL)

Una poltica de lista de control de accesos, o poltica de ACL, es el conjunto de reglas (permisos) que especifica las condiciones necesarias para realizar determinadas operaciones en ese recurso. Las definiciones de poltica de ACL son componentes importantes de la poltica de seguridad establecida para el dominio seguro. Las polticas de ACL, como todas las polticas, se utilizan para indicar los requisitos de seguridad de una organizacin en los recursos representados en el espacio de objetos protegidos. Una poltica de ACL controla, de forma especfica: 1. Qu operaciones se pueden realizar en el recurso 2. Quin puede realizar estas operaciones Una poltica de ACL se compone de una o ms entradas que incluyen designaciones de usuario y de grupo y sus permisos o derechos especficos. Una ACL tambin puede contener reglas que se apliquen a usuarios no autenticados.
Figura 3. Poltica de ACL
Polticas de objetos protegidos (POP)

Las polticas de ACL proporcionan el servicio de autorizaciones con informacin para responder s o no en una peticin de acceso a un objeto protegido y realizar algunas operaciones en dicho objeto. Las polticas POP contienen condiciones adicionales sobre la peticin que se pasan de vuelta a Access Manager Base y al gestor de recursos (como WebSEAL) junto con la decisin s de poltica de ACL del servicio de autorizaciones. Es responsabilidad de Access Manager y del gestor de recursos aplicar las condiciones de la poltica POP.
Las tablas siguientes listan los atributos disponibles para una poltica POP:
Aplicado por Access Manager Base Atributo POP Nombre Descripcin Modalidad de aviso Nivel de auditora Acceso segn hora del da Descripcin Nombre de la poltica. Se convierte en <nombre-pop> en los comandos pdadmin pop. Texto descriptivo de la poltica. Aparece en el comando pop show. Proporciona a los administradores un medio para probar las polticas de ACL y POP. Especifica el tipo de auditora: toda, ninguna, acceso correcto, acceso denegado, errores. Restricciones de da y hora para acceder correctamente al objeto protegido.
Aplicado por el Gestor de recursos (como WebSEAL) Atributo POP Calidad de proteccin Descripcin Especifica el grado de la proteccin de datos: ninguna, integridad y privacidad.
Poltica de mtodos de Especifica los requisitos de autenticacin para el acceso autenticacin de punto final IP de los miembros de redes externas.
Polticas explcitas y heredadas

La poltica se puede aplicar de forma explcita o puede heredarse. El espacio de objetos protegidos de Access Manager da soporte a la herencia de los atributos de las polticas de ACL y POP. Es una cuestin importante para el administrador de seguridad que gestiona el espacio de objetos. El administrador slo tiene que aplicar polticas explcitas en los puntos de la jerarqua en que deban modificarse las reglas.
Figura 4. Polticas explcitas y heredadas
Administracin de poltica: Web Portal Manager

Web Portal Manager es una aplicacin grfica basada en web que se utiliza para gestionar la poltica de seguridad en un dominio seguro de Access Manager. El programa de utilidad de lnea de comandos pdadmin proporciona las mismas posibilidades de administracin que Web Portal Manager, adems de algunos comandos no soportados por Web Portal Manager.
Desde Web Portal Manager (o pdadmin) se puede gestionar el registro de usuarios, la base de datos maestra de poltica de autorizaciones y los servidores de Access Manager. Tambin puede agregar y suprimir usuarios/grupos y aplicar polticas de ACL y POP a los objetos de red.
Proteccin del espacio web con WebSEAL

Cuando WebSEAL aplica la seguridad en un dominio seguro, cada cliente debe proporcionar pruebas de su identidad. A su vez, la poltica de seguridad de Access Manager determina si se permite a ese cliente que realice una operacin en un recurso solicitado. Dado que el acceso a cada recurso web en un dominio seguro est controlado por WebSEAL, las exigencias de autenticacin y autorizacin de WebSEAL pueden proporcionar una seguridad de red exhaustiva. En los sistemas de seguridad, la autorizacin es distinta de la autenticacin. La autorizacin determina si un cliente autenticado tiene derecho a realizar una operacin en un recurso especfico de un dominio seguro. La autenticacin puede validar la identidad de un cliente, pero no indica nada sobre el derecho del cliente a realizar operaciones en un recurso protegido. En el modelo de autorizacin de Access Manager, la poltica de autorizaciones se implementa independientemente del mecanismo que se utilice para la autenticacin de usuarios. Los usuarios pueden autenticar su identidad utilizando mecanismos de clave pblica/privada, de clave secreta o definidos por el cliente. Una parte del proceso de autenticacin implica la creacin de una credencial que describa la identidad del cliente. Las decisiones sobre autorizaciones realizadas por un servicio de autorizaciones se basan en las credenciales de usuario. Los recursos de un dominio seguro reciben un nivel de proteccin de acuerdo con lo que dicte la poltica de seguridad para el dominio. La poltica de seguridad define los participantes legtimos del dominio seguro y el grado de proteccin que rodea a cada recurso que requiere proteccin. El proceso de autorizacin consta de los siguientes componentes bsicos: v Un gestor de recursos es responsable de implementar la operacin solicitada cuando se otorga la autorizacin. WebSEAL es un gestor de recursos. Un componente del gestor de recursos es un aplicador de polticas que dirige la peticin al servicio de autorizaciones para su proceso. Nota: Las aplicaciones tradicionales agrupan el aplicador de polticas y el gestor de recursos en un solo proceso. Son ejemplos de esta estructura WebSEAL y aplicaciones de terceros. v Un servicio de autorizaciones realiza en la peticin la accin de toma de decisiones. El diagrama siguiente muestra el proceso completo de autorizacin:
Figura 5. Proceso de autorizacin de Access Manager
1. Una peticin de cliente autenticada para un recurso se dirige al gestor de recursos y la intercepta el proceso de aplicador de polticas. El gestor de recursos puede ser WebSEAL (para acceso HTTP, HTTPS) o una aplicacin de terceros. 2. El proceso de aplicador de polticas utiliza la API de autorizacin de Access Manager para llamar al servicio de autorizaciones y solicitar una decisin de autorizacin. 3. El servicio de autorizaciones realiza una comprobacin de autorizacin en el recurso, representado como un objeto en el espacio de objetos protegidos. En primer lugar se comprueban las polticas POP de base. A continuacin, la poltica de ACL asociada con el objeto se comprueba con las credenciales del cliente. Luego se comprueban las polticas POP aplicadas por el gestor de recursos. 4. La decisin de aceptar o denegar la peticin se devuelve como recomendacin al gestor de recursos (a travs del aplicador de polticas). 5. Si finalmente se aprueba la peticin, el gestor de recursos pasa la peticin a la aplicacin responsable del recurso. 6. El cliente recibe los resultados de la operacin solicitada.
Planificacin e implementacin de la poltica de seguridad

Una poltica de seguridad de empresa identifica: 1. Los recursos web que requieren proteccin 2. El nivel de proteccin Access Manager utiliza una representacin virtual de estos recursos web, denominada espacio de objetos protegidos. Este espacio contiene objetos que representan los recursos fsicos reales de la red. La poltica de seguridad se implementa al aplicar los mecanismos de seguridad apropiados a los objetos que requieren proteccin. Los mecanismos de seguridad son:
v Polticas de lista de control de accesos (ACL) Las polticas de ACL identifican los tipos de usuario que se pueden considerar para el acceso y especifican las operaciones permitidas en el objeto. v Polticas de objetos protegidos (POP) Una POP especifica las condiciones adicionales que gobiernan el acceso al objeto protegido, como la privacidad, la integridad, la auditora y el acceso segn la hora del da. v Atributos ampliados Los atributos ampliados son valores adicionales colocados en un objeto, ACL o POP que otras aplicaciones de terceros pueden leer e interpretar (como un servicio de autorizaciones externo). El componente esencial de Access Manager es el servicio de autorizaciones de Access Manager, que permite o deniega el acceso a los objetos protegidos (recursos) segn las credenciales del usuario y los controles de acceso que se han puesto en los objetos. Para implementar correctamente la poltica de seguridad, debe organizar lgicamente los distintos tipos de contenido (tal como se describe en el apartado Identificacin de tipos de contenido y niveles de proteccin en la pgina 9 y aplicar las polticas de ACL y POP apropiadas. La gestin del control de acceso puede ser muy compleja y se lleva a cabo mucho ms fcilmente mediante la meticulosa categorizacin de los tipos de contenido.
Identificacin de tipos de contenido y niveles de proteccin

Como administrador de seguridad del espacio web, debe identificar correctamente los tipos de contenido disponibles para una variedad de tipos de usuario. Se debe proteger en gran manera una parte del contenido y ponerlo slo a disposicin de usuarios especficos; otra parte del contenido es para el pblico general. Cada caso de seguridad exige unos requisitos de proteccin distintos y la configuracin de WebSEAL asociada. Es responsabilidad del usuario: v Conocer el contenido web v Identificar los tipos de usuario que requieren el acceso a ese contenido v Comprender las ventajas y los inconvenientes de las opciones disponibles de configuracin de WebSEAL para proteger este contenido La proteccin del contenido web se divide en tres amplias categoras: 1. Contenido pblico: el acceso no requiere ninguna proteccin v Acceso de clientes no autenticados a travs de HTTP v Credencial no autenticada utilizada para el control de acceso a los recursos v Requisitos de configuracin bsica de WebSEAL 2. Contenido pblico: el acceso requiere privacidad (cifrado) v Acceso de clientes no autenticados a travs de HTTPS v Cifrado necesario para proteger datos confidenciales requeridos por el servidor de aplicaciones (como nmeros de tarjeta de crdito e informacin de cuentas de usuario) v Credencial no autenticada utilizada para el control de acceso a los recursos v La configuracin de WebSEAL debe estipular la privacidad 3. Contenido privado: el acceso requiere autenticacin
v Acceso de clientes autenticados mediante HTTP o HTTPS v El administrador determina la necesidad de cifrado v Credencial autenticada utilizada para el control de acceso a los recursos; los clientes deben tener una cuenta definida en el registro de usuarios v La configuracin de WebSEAL es compleja y todas las opciones se deben considerar con atencin para determinar el impacto de la poltica de seguridad
Informacin sobre la autenticacin de WebSEAL

La autenticacin es el mtodo para identificar un proceso o entidad individual que intenta iniciar la sesin en un dominio seguro. Cuando tanto el servidor como el cliente requieren la autenticacin, el intercambio se denomina autenticacin mutua.
Figura 6. Autenticacin mutua
WebSEAL puede aplicar un alto grado de seguridad en un dominio seguro al solicitar a cada cliente que proporcione una prueba de su identidad. Las siguientes condiciones se aplican a la autenticacin de WebSEAL: v WebSEAL da soporte a un conjunto estndar de mtodos de autenticacin. Puede personalizar WebSEAL para dar soporte a otros mtodos de autenticacin. v El proceso de servidor WebSEAL es independiente del mtodo de autenticacin. v WebSEAL slo requiere una identidad de cliente. A partir de esta identidad, WebSEAL crea una credencial autenticada (o no autenticada) que el servicio de autorizaciones de Access Manager puede utilizar para permitir o denegar el acceso a los recursos. Este enfoque flexible de la autenticacin permite que la poltica de seguridad se base en los requisitos de la empresa y no en la topologa fsica de la red.
Objetivos de autenticacin
Aunque WebSEAL es independiente del proceso de autenticacin, WebSEAL requiere el resultado de la autenticacin: la identidad del cliente. El proceso de autenticacin produce las acciones siguientes: 1. El mtodo de autenticacin produce una identidad de cliente La autenticacin de cliente slo es correcta si el usuario tiene una cuenta definida en el registro de usuarios de Access Manager o un CDAS la ha procesado correctamente. Si no, el usuario se designa como no autenticado. La informacin de identidad especfica de un mtodo como, por ejemplo, contraseas, seales y certificados representa las propiedades de identidad fsica del usuario. Esta informacin se puede utilizar para establecer una sesin segura con el servidor.
10
2. WebSEAL utiliza la identidad para adquirir credenciales para ese cliente WebSEAL compara la identidad del cliente con un usuario registrado de Access Manager. A continuacin, WebSEAL crea las credenciales adecuadas para este usuario. Esto se conoce como adquisicin de credenciales. La credencial representa los privilegios de un usuario en el dominio seguro, describe al usuario en un contexto especfico y slo es vlida durante la duracin de esa sesin. Los datos de credenciales incluyen el nombre de usuario, las pertenencias a grupos y cualquier atributo de seguridad especial ampliado. Si un usuario no es miembro del registro de usuarios (annimo), WebSEAL crea una credencial no autenticada para ese usuario. Recuerde que una ACL puede contener reglas especiales que rijan a los usuarios no autenticados. Estas credenciales estn disponibles para el servicio de autorizaciones que permite o deniega el acceso a los objetos solicitados en el espacio de objetos protegidos de WebSEAL. Cualquier servicio de Access Manager que requiera informacin acerca del cliente puede utilizar las credenciales. Las credenciales permiten que Access Manager lleve a cabo de forma segura una multitud de servicios como, por ejemplo, la autorizacin, auditora y delegacin. Access Manager distingue la autenticacin del usuario de la adquisicin de credenciales. La identidad de un usuario es siempre constante. Sin embargo, las credenciales, que definen los grupos o roles en los que participa un usuario, son variables. Las credenciales especficas del contexto pueden cambiar con el tiempo. Por ejemplo, cuando se promueve a una persona, las credenciales deben reflejar el nuevo nivel de responsabilidad. Consulte el apartado Captulo 5, Autenticacin de WebSEAL en la pgina 107 para obtener ms informacin acerca del soporte para mtodos de autenticacin especficos.
Acceso autenticado y no autenticado a los recursos

En un entorno de dominio seguro de Access Manager, la identidad de un usuario se demuestra en WebSEAL a travs del proceso de autenticacin. En general, un usuario puede participar en el dominio seguro como autenticado o no autenticado. En cualquiera de ambos casos, el servicio de autorizaciones de Access Manager requiere una credencial de usuario para tomar decisiones de autorizacin sobre las peticiones de recursos en el dominio seguro. WebSEAL gestiona las credenciales de usuario autenticado de forma distinta de las credenciales de usuario no autenticado. La credencial de un usuario no autenticado es simplemente un pasaporte genrico que permite al usuario participar en el dominio seguro y acceder a recursos que estn disponibles para los usuarios no autenticados. La credencial de un usuario autenticado es un pasaporte exclusivo que describe un usuario especfico que pertenece al registro de usuarios de Access Manager (o se procesa correctamente mediante un CDAS). La credencial de usuario autenticado contiene la identidad del usuario, las pertenencias a grupos y cualquier atributo de seguridad especial (ampliado). El flujo de proceso para los usuarios autenticados es el siguiente:
11
v Un usuario efecta una peticin de un recurso protegido por WebSEAL. La proteccin del recurso requiere que el usuario se autentique. WebSEAL solicita al usuario que inicie la sesin. v Slo puede producirse una autenticacin correcta si el usuario es miembro del registro de usuarios de Access Manager o lo gestiona una operacin de CDAS. v Se crea un ID de sesin de WebSEAL para el usuario. v Se crea una credencial para este usuario a partir de la informacin que contiene el registro acerca de este usuario (como las pertenencias a grupos). v El ID de sesin y la credencial, ms otros datos, se almacenan como una entrada en la cach de sesin/credenciales de WebSEAL. v Mientras WebSEAL procesa esta peticin y futuras peticiones a lo largo de esta sesin, mantiene disponible la informacin de las credenciales. v Siempre que es necesaria una comprobacin de autorizacin, el servicio de autorizaciones de Access Manager utiliza la informacin de las credenciales durante el proceso de toma de decisiones. v Cuando el usuario finaliza la sesin, se elimina la entrada de cach de ese usuario y se termina la sesin. El flujo de proceso para los usuarios no autenticados es el siguiente: v Un usuario efecta una peticin de un recurso protegido por WebSEAL. La proteccin del recurso no requiere que el usuario se autentique. WebSEAL no solicita al usuario que inicie la sesin. v WebSEAL crea una credencial no autenticada para el usuario. v No se crea ninguna entrada en la cach de sesin/credenciales de WebSEAL. v El usuario puede acceder a los recursos que contienen los permisos correctos para la categora de tipo no autenticado de usuario. v Si el usuario requiere el acceso a un recurso no disponible para los usuarios no autenticados, WebSEAL solicita que el usuario inicie la sesin. v Si se inicia la sesin correctamente, el estado del usuario cambia a autenticado. v Si el inicio de sesin no es correcto, se devuelve un mensaje 403 No autorizado. El usuario an puede seguir accediendo a otros recursos disponibles para los usuarios no autenticados.
Estructura de cach de sesin/credenciales de WebSEAL

La cach de sesin de WebSEAL tambin se conoce como cach de credenciales de WebSEAL. La cach se puede representar como una tabla interna en que WebSEAL almacena informacin acerca de todas las sesiones establecidas por los usuarios autenticados.
12
Figura 7. Cach de sesin/credenciales de WebSEAL
Cada sesin de usuario se representa mediante una entrada en la tabla de cach. Cada entrada de la cach contiene los siguientes tipos de informacin: v ID de sesin El ID de sesin es un identificador exclusivo que se enva con cada peticin efectuada por ese usuario. El ID de sesin identifica la entrada especfica de la cach para ese usuario. v Datos de la cach El dato ms importante que se almacena en la entrada de la cach es la credencial del usuario. La credencial es necesaria siempre que el usuario solicita recursos protegidos. El servicio de autorizaciones utiliza la informacin de la credencial para permitir o denegar el acceso al recurso. WebSEAL puede marcar, o poner un indicador en una entrada de la cach para que d soporte a una funcionalidad determinada. Por ejemplo, cuando la reautenticacin por inactividad de sesin est habilitada, se pone un indicador en la entrada de la cach cuando haya caducado el valor de inactividad de la sesin. v Indicaciones de la hora La indicacin de la hora de la creacin para la entrada de la cach se convierte en el punto de referencia para el valor de la duracin de la sesin. La indicacin de la hora que fue la ltima activa para la entrada de la cach se convierte en el punto de referencia para el temporizador de inactividad de sesin. La credencial de usuario contiene: v Nombre de usuario v Pertenencias a grupos v Atributos ampliados Los atributos ampliados permiten almacenar los datos personalizados en la credencial del usuario. Un ejemplo de atributo ampliado de credencial es el atributo tagvalue_user_session_id. El valor de este atributo se puede insertar en una cabecera HTTP para permitir que un servidor de fondo con conexin (junction) para mantener el estado de la sesin con el usuario.
13
Informacin sobre las conexiones (junctions) WebSEAL

Access Manager proporciona servicios de autenticacin, autorizacin y gestin para una red. En una red basada en la web, es mejor que estos servicios los suministren uno o ms servidores WebSEAL frontales que integren y protejan los recursos y aplicaciones web ubicadas en servidores web de fondo. La conexin entre un servidor WebSEAL y un servidor de aplicaciones web de fondo se conoce como conexin (junction) WebSEAL o conexin (junction). Una conexin (junction) WebSEAL es una conexin TCP/IP entre un servidor WebSEAL frontal y un servidor de fondo. El servidor de fondo puede ser otro servidor WebSEAL o, lo que es ms habitual, un servidor de aplicaciones web de terceros. El espacio web del servidor de fondo est conectado con el servidor WebSEAL en un punto (de montaje) de conexin (junction) especialmente designado en el espacio web de WebSEAL.
Figura 8. Las conexiones (junctions) conectan WebSEAL con servidores de fondo
Una conexin (junction) permite a WebSEAL proporcionar servicios de proteccin en nombre del servidor de fondo. WebSEAL puede realizar comprobaciones de autenticacin y autorizacin en todas las peticiones antes de pasar esas peticiones al servidor de fondo. Si el servidor de fondo requiere un control de acceso detallado sobre sus objetos, debe realizar pasos de configuracin adicionales para describir el espacio web de terceros para el servicio de seguridad de Access Manager (consulte el apartado Utilizacin de query_contents con servidores de terceros en la pgina 186). Las conexiones (junctions) proporcionan un entorno seguro escalable que permite el equilibrio de la carga, una alta disponibilidad y la posibilidad de gestin del estado, todo ello realizado de una forma transparente para los clientes. Como administrador, puede beneficiarse de esta gestin centralizada del espacio web. Las conexiones (junctions) WebSEAL proporcionan el valor aadido de combinar de una forma lgica el espacio web de un servidor de fondo con el espacio web del servidor WebSEAL. Las conexiones (junctions) entre servidores que cooperan dan como resultado un solo espacio web distribuido y unificado que es transparente y directo para los usuarios. El cliente no necesita conocer la ubicacin fsica de un recurso web. WebSEAL convierte las direcciones URL lgicas en las direcciones fsicas que espera un servidor de fondo. Los objetos web se pueden mover de servidor a servidor sin que afecte a la forma en que el cliente accede a esos objetos.
14
Un espacio web simplifica la gestin de todos los recursos para el administrador del sistema. Las ventajas administrativas adicionales incluyen la escalabilidad, el equilibrio de la carga y una alta disponibilidad.
Figura 9. La conexin (junction) WebSEAL da como resultado un espacio web unificado
La mayora de servidores web comerciales no disponen de la posibilidad de definir un espacio de objetos web lgico, sino que el control de acceso se conecta al archivo fsico y la estructura del directorio. Las conexiones (junctions) WebSEAL pueden definir de forma transparente un espacio de objetos que refleje la estructura organizativa en vez de la mquina fsica y la estructura del directorio que se encuentra habitualmente en servidores web estndar. Las conexiones (junctions) WebSEAL tambin permiten crear soluciones de inicio de sesin nico. Una configuracin de inicio de sesin nico permite al usuario acceder a un recurso, con independencia de la ubicacin del recurso, utilizando slo un inicio de sesin inicial. Los requisitos de inicio de sesin posteriores de los servidores de fondo se gestionan de una forma transparente para el usuario. Las conexiones (junctions) WebSEAL son una herramienta importante para que el sitio web sea escalable. Las conexiones (junctions) le permiten responder a las crecientes demandas de un sitio web al conectar servidores adicionales.
15
Conexiones (junctions) WebSEAL y escalabilidad de sitios web

Las conexiones (junctions) WebSEAL se utilizan para crear un sitio web escalable. Al crecer las demandas del sitio, se pueden agregar fcilmente ms servidores para ampliar las posibilidades del sitio. Se pueden agregar servidores adicionales por los siguientes motivos: v Para ampliar el sitio con contenido adicional v Para duplicar el contenido existente para el equilibrio de la carga, la posibilidad de migracin tras error y aumentar la disponibilidad
Servidores WebSEAL frontales replicados

El soporte para conexiones (junctions) para los servidores de fondo empieza con, al menos, un servidor WebSEAL frontal. Los servidores WebSEAL frontales replicados proporcionan al sitio un equilibrio de carga durante los perodos de gran demanda. El mecanismo de equilibrio de carga lo gestiona un mecanismo como, por ejemplo, IBM Network Dispatcher o Cisco Local Director. La rplica frontal tambin proporciona al sitio la posibilidad de migracin tras error: si por algn motivo falla un servidor, los servidores replicados restantes continuarn ofreciendo acceso al sitio. El equilibrio de carga correcto y la posibilidad de migracin tras error da como resultado una alta disponibilidad para los usuarios del sitio.
Figura 10. Servidores WebSEAL frontales replicados
Al replicar servidores WebSEAL frontales, cada servidor debe contener una copia exacta del espacio web y la base de datos de conexiones (junctions). La informacin de cuenta para la rplica reside en un registro de usuarios que es independiente de los servidores frontales.
16
Soporte para servidores de fondo

El propio servidor WebSEAL, los servidores de fondo o una combinacin de ambos pueden servir el contenido del sitio web. El soporte para conexiones (junctions) WebSEAL para servidores de fondo le permite escalar el sitio web mediante contenido y recursos adicionales. Cada servidor de fondo exclusivo debe estar conectado con un punto (de montaje) de conexin (junction) separado. Al crecer la demanda de contenido adicional, se pueden agregar ms servidores mediante conexiones (junctions). Este ejemplo proporciona una solucin para redes que tengan una gran inversin en servidores web de terceros.
Figura 11. Servidores de fondo con conexin (junction)
El diagrama siguiente muestra cmo las conexiones (junctions) proporcionan un espacio de objetos lgico unificado. Este espacio web es transparente para el usuario y permite una gestin centralizada.
17
Figura 12. Espacio web unificado
Los servidores de fondo replicados estn conectados al mismo punto de conexin (junction), tal como se muestra en el siguiente apartado.
Servidores de fondo replicados

Para ampliar las funciones de escalabilidad para una configuracin de servidor de fondo, puede replicar los servidores de fondo. Como en el caso de los servidores frontales replicados, los servidores de fondo replicados deben contener espacio web que sean imgenes reflejadas mutuas. WebSEAL equilibra la carga de los servidores replicados mediante un algoritmo de planificacin menos ocupado. Este algoritmo dirige todas las nuevas peticiones al servidor que tenga el menor nmero de conexiones (junctions) en progreso. WebSEAL tambin utilizar la caracterstica de migracin tras error cuando un servidor no est activo y volver a utilizarlo de nuevo cuando se haya reiniciado. Si la aplicacin de fondo requiere el mantenimiento del estado de varias pginas, se pueden utilizar las conexiones (junctions) de estado que devuelve cada sesin al mismo servidor de fondo.
18
Figura 13. Servidores de fondo replicados
19
20
Captulo 2. Configuracin bsica del servidor

Este captulo contiene informacin que describe las tareas generales de configuracin y administracin que se pueden llevar a cabo para personalizar el servidor WebSEAL para la red. ndice de temas: v Informacin general del servidor en la pgina 21 v Utilizacin del archivo de configuracin de WebSEAL en la pgina 23 v Configuracin de los parmetros de comunicacin en la pgina 25 v Gestin del espacio web en la pgina 28 v v v v v Gestin de pginas personalizadas de mensajes de error HTTP en la pgina 33 Gestin de pginas personalizadas de gestin de cuentas en la pgina 36 Gestin de certificados de cliente y servidor en la pgina 38 Configuracin del registro HTTP predeterminado en la pgina 43 Configuracin del registro HTTP mediante el registro de eventos en la pgina 46 v Registro de mensajes de servicios de WebSEAL en la pgina 47
Informacin general del servidor

En los siguientes apartados se proporciona informacin general sobre el servidor WebSEAL: v Directorio raz de la instalacin de WebSEAL en la pgina 21 v Inicio y detencin de WebSEAL en la pgina 22 v WebSEAL representado en el espacio de objetos protegidos en la pgina 22 v WebSEAL devuelve HTTP/1.1 en la pgina 22 v Archivo de registro de WebSEAL en la pgina 23
Directorio raz de la instalacin de WebSEAL

Los archivos de programa de WebSEAL se instalan en el siguiente directorio raz: UNIX:
/opt/pdweb/
Windows:
C:\Archivos de programa\Tivoli\PDWeb\
Puede configurar esta ruta de acceso en una instalacin de Access Manager para Windows. No puede configurar esta ruta de acceso en las instalaciones UNIX de Access Manager. Esta gua utiliza la variable <ruta-acceso-instalacin> para representar este directorio raz. En instalaciones UNIX, el siguiente directorio contiene archivos ampliables, como, por ejemplo, archivos de auditora y de registro:
/var/pdweb/
21
Inicio y detencin de WebSEAL

El proceso del servidor WebSEAL se puede iniciar y detener utilizando el comando pdweb en UNIX o utilizando Servicios en el Panel de control de Windows. UNIX:
pdweb {start|stop|restart|status}
El comando pdweb est ubicado en el siguiente directorio:

/usr/bin/
Por ejemplo, para detener el servidor WebSEAL y reiniciarlo a continuacin utilice:

# /usr/bin/pdweb restart
Windows: Identifique el proceso del servidor WebSEAL en Servicios, en el Panel de control, y utilice los botones de control correspondientes.
WebSEAL representado en el espacio de objetos protegidos

El parmetro server-name del archivo de configuracin webseald.conf especifica el punto en el espacio de objetos protegidos de Access Manager que representa esta instancia de servidor WebSEAL. Para una sola instalacin de servidor WebSEAL, este valor se establece automticamente utilizando el nombre de host de la mquina en que se est instalando este servidor WebSEAL. Por ejemplo, si el nombre de mquina (host) es sales1, el valor del parmetro se establece como:
[server] server-name = sales1
La representacin de esta instancia de servidor WebSEAL en el espacio de objetos protegidos de Access Manager aparecera como:
/WebSEAL/sales1
Consulte tambin: Rplica de servidores WebSEAL frontales en la pgina 55. Para tener mltiples instancias de WebSEAL en la misma mquina, este valor se establece mediante la opcin i en el script PDWeb_config (UNIX) o ivweb_setup (Windows) utilizado para crear las mltiples instancias de servidor WebSEAL. Consulte tambin: Configuracin de mltiples instancias de servidor WebSEAL en la pgina 56.
WebSEAL devuelve HTTP/1.1

Las peticiones HTTP/1.0 slo se envan a servidores de fondo con conexin (junction) si dichos servidores devuelven un estado 400 (Peticin incorrecta), si devuelven un estado 504 (Versin de HTTP no soportada) o si el navegador del cliente especifica HTTP/1.0 en la peticin. En caso contrario, si el servidor de fondo acepta HTTP/1.1, WebSEAL enva peticiones HTTP/1.1.
22
Sin embargo, aun cuando WebSEAL enva una peticin HTTP/1.0 a un servidor de fondo con conexin (junction) (y el servidor de fondo devuelve una respuesta HTTP/1.0), WebSEAL devuelve siempre una respuesta HTTP/1.1 al navegador del cliente.
Archivo de registro de WebSEAL

El archivo de registro de WebSEAL registra mensajes de servicios tales como mensajes de aviso y de error del servidor. El nombre y la ubicacin del archivo de registro se define mediante el parmetro server-log en la stanza [logging] del archivo de configuracin webseald.conf: UNIX:
[logging] server-log = /var/pdweb/log/webseald.log
Windows:
[logging] server-log = C:/Archivos de programa/Tivoli/PDWeb/log/webseald.log
Consulte tambin el apartado Registro de mensajes de servicios de WebSEAL en la pgina 47.
Utilizacin del archivo de configuracin de WebSEAL

En los siguientes apartados se proporciona informacin sobre el archivo de configuracin de WebSEAL (webseald.conf): v Presentacin del archivo de configuracin webseald.conf en la pgina 23 v Directorio raz de servidor WebSEAL en la pgina 25
Presentacin del archivo de configuracin webseald.conf

Puede personalizar el funcionamiento de WebSEAL configurando los parmetros que se encuentran en el archivo de configuracin webseald.conf. Este archivo se encuentra en el siguiente directorio: UNIX:
/opt/pdweb/etc/
Windows:
C:\Archivos de programa\Tivoli\PDWeb\etc\
Los archivos de configuracin de Access Manager estn basados en texto ASCII y se pueden editar mediante un editor de texto comn. Los archivos de configuracin contienen entradas de parmetro en el formato siguiente:
parmetro = valor
La instalacin inicial de Access Manager establece valores predeterminados para la mayora de parmetros. Algunos parmetros son estticos y no cambian nunca; otros pueden modificarse para personalizar la funcionalidad y el rendimiento del servidor. Cada archivo contiene secciones, o stanzas, que contienen uno o ms parmetros para una categora especfica de la configuracin. Las cabeceras de las stanzas aparecen entre corchetes:
[nombre-stanza]
23
Por ejemplo, la stanza [junction] de webseald.conf define los valores de configuracin que afectan a las conexiones (junctions) WebSEAL. La stanza [authentication-mechanisms] define los mecanismos de autenticacin soportados por WebSEAL, junto con los archivos de bibliotecas compartidas asociados. Los archivos de configuracin contienen comentarios que explican el uso de cada parmetro. El carcter # se utiliza para designar una lnea como un comentario. Todas las lneas de comentario comienzan con el carcter #. Por consiguiente, el carcter # no es un carcter vlido para su uso en los valores de parmetro. Nota: Siempre que se efecte un cambio en el archivo webseald.conf, deber reiniciar manualmente WebSEAL para que se reconozcan los nuevos cambios. Consulte el apartado Inicio y detencin de WebSEAL en la pgina 22. La tabla siguiente resume las secciones y las stanzas contenidas en el archivo de configuracin webseald.conf:
Secciones GENERAL DE WEBSEAL LDAP ACTIVE DIRECTORY DOMINO SSL CONEXIN (JUNCTION) [server] [ldap] [uraf-ad] [uraf-domino] [ssl] [junction] [filter-url][filter-schemes][filter-content-types] [script-filtering] [gso-cache][ltpa-cache] [ba] [forms] [token] [certificate] [http-headers] [auth-headers] [ipaddr] [authentication-levels] [mpa] [cdsso] [cdsso-peers] [failover] [e-community-sso] [inter-domain-keys] [reauthentication] [authentication-mechanisms] [ssl-qop] [ssl-qop-mgmt-hosts] [ssl-qop-mgmt-networks] [ssl-qop-mgmt-default] [session] Stanzas
AUTENTICACIN
SESIN
24
Secciones CONTENIDO
Stanzas [content] [acnt-mgt] [cgi][cgi-types] [cgi-environment-variable] [content-index-icons] [icons] [content-cache] [content-mime-types] [content-encodings] [logging] [aznapi-configuration] [aznapi-entitlement-services] [policy-director]
INICIO DE SESIN API DE AUTORIZACIN POLICY DIRECTOR
Consulte el apartado Apndice A, Consulta de webseald.conf en la pgina 233.
Directorio raz de servidor WebSEAL

El parmetro server-root del archivo de configuracin webseald.conf define la ubicacin raz del servidor WebSEAL para otros parmetros de este archivo. Todos los nombres de ruta de acceso relativa expresados en el archivo de configuracin webseald.conf son relativos a este directorio raz. UNIX:
[server] server-root = /opt/pdweb/www
Windows:
[server] server-root = C:\Archivos de programa\Tivoli\PDWeb\www
Nota: En condiciones normales, no se debe cambiar este nombre de ruta de acceso.
Configuracin de los parmetros de comunicacin

En los siguientes apartados se describe la informacin general sobre el servidor WebSEAL: v Configuracin de WebSEAL para peticiones HTTP en la pgina 25 v Configuracin de WebSEAL para peticiones HTTPS en la pgina 26 v Restriccin de conexiones de versiones de SSL especficas en la pgina 26 v Parmetros de tiempo de espera para la comunicacin HTTP/HTTPS en la pgina 26 v Parmetros adicionales de tiempo de espera del servidor WebSEAL en la pgina 27
Configuracin de WebSEAL para peticiones HTTP

WebSEAL manipula habitualmente muchas peticiones HTTP de usuarios no autenticados. Por ejemplo, es habitual permitir a los usuarios annimos el acceso de slo lectura a los documentos seleccionados de la seccin pblica del sitio web. Los parmetros para manipular las peticiones HTTP mediante TCP se encuentran en la stanza [server] del archivo de configuracin webseald.conf.
25
Habilitacin e inhabilitacin del acceso HTTP

Puede habilitar o inhabilitar el acceso HTTP durante la configuracin de WebSEAL:
http = {yes|no}
Definicin del valor de puerto del acceso HTTP

El puerto predeterminado para el acceso HTTP es 80:
http-port = 80
Para cambiarlo por el puerto 8080, por ejemplo, establezca:

http-port = 8080
Configuracin de WebSEAL para peticiones HTTPS

Los parmetros para manipular peticiones HTTP mediante SSL (HTTPS) se encuentran en la stanza [server] del archivo de configuracin webseald.conf.
Habilitacin e inhabilitacin del acceso HTTPS

Puede habilitar o inhabilitar el acceso HTTPS durante la configuracin de WebSEAL:
https = {yes|no}
Definicin del valor de puerto del acceso HTTPS

El puerto predeterminado para el acceso HTTPS es 443:
https-port = 443
Para cambiarlo por el puerto 4343, por ejemplo, establezca:

https-port = 4343
Restriccin de conexiones de versiones de SSL especficas

Puede habilitar e inhabilitar independientemente la conectividad de SSL (Secure Sockets Layer) versin 2, SSL versin 3 y TLS (Transport Layer Security) versin 1. Los parmetros que controlan las conexiones para las versiones especficas de SSL y TLS se encuentran en la stanza [ssl] del archivo de configuracin webseald.conf. De forma predeterminada, estn habilitadas todas las versiones de SSL y TLS.
[ssl] disable-ssl-v2 = no disable-ssl-v3 = no disable-tls-v1 = no
Parmetros de tiempo de espera para la comunicacin HTTP/HTTPS

WebSEAL utiliza la implementacin de SSL de IBM Global Security Kit (GSKit). Cuando WebSEAL recibe una peticin de un cliente HTTPS, GSKit SSL establece el reconocimiento inicial y mantiene el estado de la sesin. WebSEAL da soporte a los siguientes parmetros de tiempo de espera para la comunicacin HTTP y HTTPS. Estos parmetros se encuentran en la stanza [server] del archivo de configuracin webseald.conf. v client-connect-timeout Una vez efectuado el reconocimiento inicial, este parmetro establece el tiempo durante el que WebSEAL mantendr abierta la conexin para la peticin HTTP o HTTPS inicial. El valor predeterminado es 120 segundos.
[server] client-connect-timeout = 120
26
v persistent-con-timeout Despus de la primera peticin HTTP y la respuesta del servidor, este parmetro controla el nmero mximo de segundos durante los que el servidor mantendr abierta una conexin persistente HTTP antes de cerrarla. El valor predeterminado es 5 segundos.
[server] persistent-con-timeout = 5
Figura 14. Parmetros de tiempo de espera para la comunicacin HTTP y HTTPS
Parmetros adicionales de tiempo de espera del servidor WebSEAL

Los siguientes parmetros adicionales de tiempo de espera se establecen en el archivo de configuracin webseald.conf:
Parmetro [junction] http-timeout Descripcin Valor de tiempo de espera para el envo a un servidor de fondo y para la lectura desde ese servidor a travs de una conexin (junction) TCP. Valor de tiempo de espera para el envo a un servidor de fondo y para la lectura desde ese servidor a travs de una conexin (junction) SSL. Valor de tiempo de espera para el envo a un proceso CGI local y para la lectura desde ese proceso. De forma peridica, WebSEAL ejecuta ping en segundo plano de cada servidor con conexin (junction) para determinar si funciona. WebSEAL no lo intentar con una frecuencia superior a 300 segundos (o el valor establecido). Valor predeterminado (segundos) 120
[junction] https-timeout
120
[cgi]cgi-timeout
120
[junction] ping-time
300
27
Gestin del espacio web

Los siguientes apartados describen las tareas necesarias para gestionar el espacio web: v Directorio raz del rbol de documentos web en la pgina 28 v Configuracin del ndice de directorios en la pgina 29 v Windows: convenios de denominacin para programas CGI en la pgina 30 v Configuracin del almacenamiento en la cach de documentos web en la pgina 31 v Especificacin de tipos de documento para el filtrado en la pgina 33
Directorio raz del rbol de documentos web

La ubicacin del rbol de documentos web es la ruta de acceso absoluta del directorio raz del rbol de documentos para los documentos disponibles mediante WebSEAL. Este nombre de ruta de acceso est representado por el parmetro doc-root de la stanza [content] del archivo de configuracin webseald.conf. La ubicacin predeterminada se establece inicialmente durante la instalacin de WebSEAL: UNIX:
[content] doc-root = /opt/pdweb/www/docs
Windows:
[content] doc-root = C:\Archivos de programa\Tivoli\PDWeb\www\docs
Este valor slo se utiliza una vez: la primera vez que WebSEAL se inicia despus de la instalacin. El valor se almacena en la base de datos de conexiones (junctions). La futura modificacin de este valor en webseald.conf no tendr ningn impacto. Cmo cambiar el directorio raz de documentos despus de la instalacin: Despus de la instalacin, deber utilizar el programa de utilidad pdadmin para cambiar el valor de la ubicacin del directorio raz de documentos. El ejemplo siguiente (el nombre de la mquina, o host, es websealA) ilustra este procedimiento: 1. Inicie la sesin en pdadmin:
# pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
2. Utilice el comando server task list para mostrar todos los puntos de conexin (junction) actuales:
pdadmin> server task webseald-websealA list /
3. Utilice el comando server task show para mostrar los detalles de la conexin (junction):
pdadmin> server task webseald-websealA show / Punto de conexin (junction): / Tipo: Local
28
Lmite fijo de conexin (junction): 0 - se utilizar el valor global Lmite dinmico de conexin (junction): 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /opt/pdweb/www/docs
4. Cree una nueva conexin (junction) local para sustituir el punto de conexin (junction) actual (la opcin -f es necesaria para forzar una nueva conexin (junction) que sobrescriba una conexin (junction) existente:
pdadmin> server task webseald-websealA create -t local -f -d /tmp/docs / Se ha creado una conexin (junction) en /
5. Visualice el punto de conexin (junction) nuevo:

pdadmin> server task webseald-websealA list /
6. Visualice los detalles de esta conexin (junction):

pdadmin> server task webseald-websealA show / Punto de conexin (junction): / Tipo: Local Lmite fijo de conexin (junction): 0 - se utilizar el valor global Lmite dinmico de conexin (junction): 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /tmp/docs
Configuracin del ndice de directorios

Puede especificar el nombre del archivo predeterminado que ha devuelto WebSEAL cuando la expresin de direccin URL de una peticin finalice con un nombre de directorio. Si este archivo predeterminado existe, WebSEAL lo devuelve al cliente. Si el archivo no existe, WebSEAL genera dinmicamente un ndice de directorios y devuelve la lista al cliente. El parmetro para configurar el archivo de ndice de directorios se encuentra en la stanza [content] del archivo de configuracin webseald.conf. El valor predeterminado para el archivo de ndice es:
[content] directory-index = index.html
Puede cambiar este nombre de archivo si el sitio utiliza un convenio distinto. Por ejemplo:
[content] directory-index = homepage.html
WebSEAL genera dinmicamente un ndice de directorios si el directorio de la peticin no contiene el archivo de ndice definido por el parmetro directory-index. El ndice generado contiene una lista con el contenido del directorio, con vnculos a cada una de las entradas del directorio. El ndice slo se genera si el cliente que solicita acceso al directorio tiene el permiso list (l) en la ACL de ese directorio. Puede configurar los iconos grficos que utiliza WebSEAL para cada tipo de archivo que aparece en el ndice generado. La stanza [content-index-icons] del archivo de configuracin webseald.conf contiene una lista de los tipos MIME de documentos y los archivos .gif asociados que se muestran:
[content-index-icons] image/*= /icons/image2.gif video/* = /icons/movie.gif audio/* = /icons/sound2.gif
29
text/html = /icons/generic.gif text/* = /icons/text.gif application/x-tar = /icons/tar.gif application/* = /icons/binary.gif
Esta lista se puede configurar para que especifique otros iconos para cada tipo MIME. Los iconos tambin se pueden ubicar de forma remota. Por ejemplo:
application/* = http://www.acme.com/icons/binary.gif
Tambin se pueden configurar estos valores de iconos adicionales: v Icono utilizado para representar subdirectorios:
[icons] diricon = /icons/folder2.gif
v Icono utilizado para representar el directorio principal:

[icons] backicon = /icons/back.gif
v Icono utilizado para representar los tipos de archivos desconocidos:

[icons] unknownicon = /icons/unknown.gif
Windows: convenios de denominacin para programas CGI

Los parmetros contenidos en la stanza [cgi-types] del archivo de configuracin webseald.conf le permiten especificar los tipos de extensin de archivo de Windows que se reconocen y ejecutan como programas CGI. El sistema operativo UNIX no tiene requisitos de extensin de nombre de archivo. No obstante, los tipos de extensin deben estar definidos para los sistemas operativos Windows. La stanza [cgi-types] enumera todos los tipos de extensin vlidos y correlaciona cada extensin (cuando es necesario) con un programa CGI apropiado.
[cgi-types] <extensin> = <programa-cgi>
De forma predeterminada, slo los archivos con extensiones que coincidan con las listadas en la stanza se ejecutarn como programas CGI. Si un programa CGI tiene una extensin que no est contenida en esta lista, el programa no se ejecutar. Los archivos con extensiones .exe se ejecutan como programas segn el valor predeterminado de Windows y no requieren ninguna correlacin. Nota: Cuando quiera instalar un archivo .exe en Windows para su descarga, deber cambiar el nombre de la extensin o bien instalar el archivo como parte de un archivador (por ejemplo, .zip). Debe proporcionar los programas intrpretes apropiados para las extensiones que representan los archivos script interpretados. Como ejemplos de esos tipos de extensiones cabe citar: scripts de shell (.sh y .ksh), scripts Perl (.pl) y scripts Tcl (.tcl). El siguiente ejemplo muestra una configuracin tpica de la stanza [cgi-types]:
[cgi-types] bat = cmd cmd = cmd pl = perl sh = sh tcl = tclsh76
30
Nota: Existen graves problemas de seguridad implicados en el uso de los archivos .bat y .cmd. Utilice esos tipos de archivo con precaucin.
Configuracin del almacenamiento en la cach de documentos web

Los clientes pueden experimentar a menudo un largo tiempo de acceso a la red y de descarga de archivos debido a un pobre rendimiento en la recuperacin de documentos web. Se puede producir un bajo rendimiento si el servidor WebSEAL espera documentos recuperados de servidores de fondo con conexin (junction) o de un almacenamiento local lento. El almacenamiento en la cach de documentos web ofrece la flexibilidad de servir documentos de forma local desde WebSEAL en vez de hacerlo desde un servidor de fondo a travs de una conexin (junction). La funcin de almacenamiento en la cach de documentos web permite almacenar los tipos de documentos web a los que se accede habitualmente en la memoria del servidor WebSEAL. Los clientes pueden experimentar una respuesta mucho ms rpida a las peticiones reiteradas de documentos que se han almacenado en la cach del servidor WebSEAL. Los documentos en la cach pueden incluir documentos de texto estticos e imgenes grficas. Los documentos generados de forma dinmica, como los resultados de consultas de bases de datos, no se pueden almacenar en la cach. El almacenamiento en la cach se realiza segn el tipo MIME. Al configurar WebSEAL para el almacenamiento en la cach de documentos web, se identifican los tres parmetros siguientes: v Tipo MIME del documento v Tipo de medio de almacenamiento v Tamao del medio de almacenamiento El almacenamiento en la cach de documentos web se define en la stanza [content-cache] del archivo de configuracin webseald.conf. Se aplica la siguiente sintaxis:
<tipo-mime> = <tipo-cach>:<tamao-cach> Parmetro tipo-mime Descripcin Representa cualquier tipo MIME transmitido en una cabecera de respuesta Content-Type:. Este valor puede contener un carcter comodn ( * ). Un valor de */* representa una cach de objetos predeterminada que retendr cualquier objeto que no corresponda a una cach configurada de forma explcita. Especifica el tipo de medio de almacenamiento que se utilizar para la cach. Este release de Access Manager da soporte slo a cachs de tipo memory (memoria). Especifica el tamao mximo (en kilobytes) que puede alcanzar una cach determinada antes de que se eliminen los objetos segn el algoritmo Usados menos recientemente.
tipo-cach
tamao-cach
Ejemplo:
text/html = memory:2000 image/* = memory:5000 */* = memory:1000
31
Condiciones que afectan al almacenamiento en la cach de documentos web

El mecanismo de almacenamiento en la cach de documentos web observa las condiciones siguientes: v El almacenamiento en la cach slo se produce cuando se define una cach en webseald.conf. v De forma predeterminada, no se define ninguna cach durante la instalacin. v Si no se especifica una cach predeterminada, los documentos que no coinciden con ninguna cach explcita no se almacenan en la cach. v La autorizacin se sigue realizando en todas las peticiones de informacin en la cach. v El mecanismo de almacenamiento en la cach no almacena en la cach las respuestas a las peticiones que contienen cadenas de consulta. v El mecanismo de almacenamiento en la cach no almacena en la cach las respuestas a las peticiones realizadas a travs de conexiones (junctions) configuradas con las opciones c y C.
Vaciado de todas las cachs

Puede utilizar el programa de utilidad pdadmin para vaciar todas las cachs configuradas. El programa de utilidad no permite vaciar cachs individuales. Debe iniciar la sesin en el dominio seguro como administrador de Access Manager sec_master antes de que pueda utilizar pdadmin. Para vaciar todas las cachs de documentos web, especifique el siguiente comando: UNIX:
# pdadmin server task webseald-<nombre-mquina> cache flush all
Windows:
MSDOS> pdadmin server task webseald-<nombre-mquina> cache flush all
Control del almacenamiento en la cach para documentos especficos

Se puede almacenar documentos especficos en la cach asociando una Poltica de objetos protegidos (POP) con esos objetos. Esta POP debe contener un atributo ampliado denominado document-cache-control. El atributo ampliado document-cache-control reconoce los dos valores siguientes:
Valor no-cache Descripcin El valor no-cache indica que WebSEAL no almacene este documento en la cach. Recuerde que todos los hijos del objeto con la POP heredan tambin las condiciones de la POP. El valor public permite que WebSEAL almacene el documento en la cach, omitiendo el hecho de que la conexin (junction) se cre con una opcin c o C. Adems, este valor tambin permite el almacenamiento en la cach de este documento cuando se enva la peticin con una cabecera de autorizacin (como la Autenticacin Bsica (BA)). Asimismo, esta condicin incluye una peticin en que WebSEAL inserta informacin de BA en nombre del cliente (como las conexiones (junctions) GSO o b supply). En circunstancias normales, los servidores proxy no almacenan en la cach los documentos de respuesta a las peticiones que incluyen cabeceras de autorizacin.
public
32
Utilice los comandos pdadmin pop create, pdadmin pop modify y pdadmin pop attach. El ejemplo siguiente muestra cmo crear una POP denominada doc-cache con el atributo ampliado document-cache-control y cmo asociarla con un objeto (budget.html):
pdadmin> pop create doc-cache pdadmin> pop modify doc-cache set attribute document-cache-control no-cache pdadmin> pop attach /WebSEAL/hostA/junction/budget.html doc-cache
WebSEAL no almacena nunca en la cach el documento budget.html. Cada peticin de este documento debe efectuarse directamente al servidor de fondo donde est ubicado. Los detalles acerca del programa de utilidad de lnea de comandos pdadmin pueden encontrarse en la publicacin IBM Tivoli Access Manager Base Gua del administrador.
Especificacin de tipos de documento para el filtrado

Puede especificar los tipos de contenido de documento que WebSEAL filtra en las respuestas de servidores de fondo con conexin (junction). El parmetro type de la stanza [filter-content-types] del archivo de configuracin webseald.conf acepta un valor de tipo MIME. WebSEAL est configurado de forma predeterminada para filtrar documentos de dos tipos MIME:
[filter-content-types] type = text/html type = text/vnd.wap.wml
Las especificaciones de tipo MIME en esta stanza determinan qu filtrado adicional realizar WebSEAL en las respuestas de servidores de fondo de conexin (junction). Entre las funciones de filtrado adicionales estn las siguientes: v Filtrado de esquemas de direcciones URL stanza [filter-schemes]en webseald.conf v Filtrado de atributos de direcciones URL Consulte el apartado Reglas de filtrado estndar de direcciones URL para WebSEAL en la pgina 171. v Filtrado de scripts para direcciones URL absolutas Consulte el apartado Modificacin de las direcciones URL absolutas con filtrado de scripts en la pgina 172.
Gestin de pginas personalizadas de mensajes de error HTTP

Algunas veces, el servidor WebSEAL intenta dar servicio a una peticin y se produce un error. ste puede deberse a muchas causas. Por ejemplo: v No existe un archivo v La configuracin de los permisos prohbe el acceso v No se pueden ejecutar los programas CGI debido a permisos de archivos UNIX incorrectos u otro motivo similar Cuando se produce un error al dar servicio a una peticin, el servidor devuelve un mensaje de error al navegador, como por ejemplo, 403 No autorizado, en una pgina de error HTML. Hay varios mensajes de error disponibles; cada mensaje se almacena en un archivo HTML separado.
33
Estos archivos se almacenan en el siguiente directorio: UNIX:<ruta-acceso-instalacin>/www/lib/errors/<dir-entornolocal> Windows:<ruta-acceso-instalacin>\www\lib\errors\<dir-entornolocal> El directorio errors contiene varios subdirectorios locales que contienen versiones traducidas de los archivos de mensajes de error. Por ejemplo, la ruta de acceso del directorio para mensajes en ingls de EE.UU. es: UNIX: <ruta-acceso-instalacin>/www/lib/errors/en_US Windows:<ruta-acceso-instalacin>\www\lib\errors\en_US Los mensajes de este directorio estn en formato HTML, por lo que se ven correctamente en un navegador. Puede editar estas pginas HTML para personalizar su contenido. Los nombres de archivo son los valores hexadecimales de los cdigos de error internos que se devuelven cuando fallan las operaciones. Estos nombres no se deben modificar. La tabla siguiente contiene una lista con los nombres de archivo y su contenido de algunos de los mensajes de error ms habituales:
Nombre de archivo 132120c8.html Ttulo La autenticacin no se ha ejecutado correctamente Descripcin No se han podido recuperar las credenciales para el certificado de cliente utilizado. Los motivos posibles son: v El usuario ha proporcionado un certificado incorrecto v Se ha rechazado el certificado v Faltan las credenciales del usuario en la base de datos de autenticacin 38ad52fa.html El directorio no est vaco La operacin indicada solicita la eliminacin de un directorio que no est vaco. Esta operacin no est permitida. Se han sobrepasado los valores de request-max-cache o request-body-max-read. El recurso que ha solicitado requiere que el servidor WebSEAL inicie la sesin en otro servidor web. Sin embargo, ha ocurrido un problema cuando WebSEAL intentaba obtener la informacin. WebSEAL no ha podido localizar el usuario GSO para el recurso solicitado. WebSEAL no ha podido localizar el destino GSO para el recurso solicitado. Hay varios destinos GSO definidos para el recurso solicitado. Se trata de un error de configuracin. Cdigo de error HTTP
38cf013d.html 38cf0259.html
Error en el almacenamiento en la cach de la peticin No se ha podido iniciar la sesin del usuario
38cf025a.html
El usuario no tiene informacin de inicio de sesin nico No hay ningn destino de inicio de sesin nico del usuario El usuario tiene varios destinos de inicio de sesin
38cf025b.html
38cf025c.html
34
Nombre de archivo 38cf025d.html
Ttulo Se necesita iniciar la sesin
Descripcin Un servidor web de fondo con conexin (junction) protege el recurso solicitado, por lo que WebSEAL debe iniciar la sesin del usuario en ese servidor web. Para ello, el usuario debe iniciar la sesin primero en WebSEAL. El recurso que ha solicitado requiere que WebSEAL inicie la sesin en otro servidor web. Sin embargo, la informacin de inicio de sesin para la cuenta de usuario es incorrecta. WebSEAL ha recibido una tentativa de autenticacin inesperada de un servidor web con conexin (junction). El recurso que ha solicitado ha sido trasladado temporalmente. Esto sucede a menudo si hay alguna redireccin mal manipulada. WebSEAL ha recibido una peticin HTTP incorrecta. El recurso que ha solicitado est protegido por WebSEAL y, para poder acceder al mismo, primero debe iniciar la sesin. El usuario no tiene permisos para acceder al recurso solicitado. No se puede localizar el recurso solicitado. En este momento, no est disponible un servicio que WebSEAL necesita para completar la peticin. El administrador del sistema ha inhabilitado temporalmente el servidor WebSEAL. No se atender ninguna peticin hasta que el administrador vuelva a habilitar el servidor. La interaccin entre navegador/servidor ha sido una sesin con informacin de estado con un servidor de fondo con conexin (junction) que ha dejado de responder. WebSEAL requiere un servicio que se encuentra en dicho servidor para ejecutar la peticin. El servicio que necesita WebSEAL se encuentra en un servidor de fondo con conexin (junction) donde ha fallado la autenticacin mutua SSL. No se ha ejecutado correctamente un programa CGI.
Cdigo de error HTTP
38cf025e.html
No se ha podido iniciar la sesin del usuario
38cf025f.html
Tentativa de autenticacin inesperada Trasladado temporalmente
38cf0421.html
302
38cf0424.html 38cf0425.html
Peticin incorrecta Se necesita iniciar la sesin
400
38cf0427.html 38cf0428.html 38cf0432.html 38cf0437.html
No autorizado No encontrado Servicio no disponible Servidor suspendido
403 404 503
38cf0439.html
Se ha perdido la informacin de la sesin
38cf0442.html
Servicio no disponible
38cf07aa.html default.html
Ejecucin incorrecta del programa CGI Error del servidor
WebSEAL no ha podido ejecutar la peticin debido 500 a un error inesperado. La operacin de supresin (DELETE) iniciada por el cliente se ha ejecutado correctamente. 200
deletesuccess.html Operacin ejecutada putsuccess.html relocated.html websealerror.html Operacin ejecutada Trasladado temporalmente 400 Error del servidor WebSEAL
La operacin de transferencia (PUT) iniciada por el 200 cliente se ha ejecutado correctamente. El recurso que ha solicitado se ha trasladado temporalmente. Error interno del servidor WebSEAL. 302 400
35
Soporte para macros de las pginas de mensajes de error HTTP

Las siguientes macros estn disponibles para personalizar las pginas HTML de error descritas en el apartado anterior. Las macros sustituyen de forma dinmica la informacin apropiada disponible.
Macro %ERROR_CODE% %ERROR_TEXT% %METHOD% %URL% %HOSTNAME% %HTTP_BASE% %HTTPS_BASE% %REFERER% %BACK_URL% %BACK_NAME% Descripcin Valor numrico del cdigo de error. Texto asociado con un cdigo de error en el catlogo de mensajes. Mtodo HTTP solicitado por el cliente. Direccin URL solicitada por el cliente. Nombre de host completo. Direccin URL HTTP base del servidor http://<host>:<puerto-tcp>/. Direccin URL HTTPS base del servidor https://<host>:<puerto-ssl>/. Valor de la cabecera de referente procedente de la peticin o bien Desconocida, si no hay ninguna. Valor de la cabecera de referente procedente de la peticin o bien /, si no hay ninguna. Valor ATRS si hay una cabecera de referente en la peticin o bien INICIO, si no hay ninguna.
Gestin de pginas personalizadas de gestin de cuentas

Access Manager incluye ejemplos de pginas HTML de gestin de cuentas que se pueden personalizar de forma que contengan mensajes especficos para el sitio o lleven a cabo acciones especficas para ste. La mayora de formularios son adecuados para la autenticacin de formularios, seales y de BA a travs de HTTP o HTTPS. Las ubicaciones de estos formularios se definen mediante el parmetro mgt-pages-root de la stanza [acnt-mgt] del archivo de configuracin webseald.conf.
mgt-pages-root = lib/html/<dir-idioma>
El directorio real utilizado se basa en el idioma. El directorio predeterminado para ingls de EE.UU. es:
lib/html/C
La configuracin regional japonesa ubica los archivos en:

lib/html/JP
Parmetros y valores de pginas personalizadas

Los siguientes parmetros y valores especiales de pginas HTML se encuentran en la stanza [acnt-mgt] del archivo de configuracin webseald.conf. Algunas pginas slo las utiliza el mtodo de inicio de sesin de formularios que proporciona la informacin de identidad.
36
Parmetro login = login-success = logout = account-locked = passwd-expired = passwd-change = passwd-change-success = passwd-change-failure = help = token-login = next-token = stepup-login =
Pgina login.html login_success.html logout.html acct_locked.html passwd_exp.html passwd.html passwd_rep.html passwd.html help.html tokenlogin.html nexttoken.html stepuplogin.html
Utilizacin Inicio de sesin de formularios Inicio de sesin de formularios Inicio de sesin de formularios Cualquier mtodo Cualquier mtodo Cualquier mtodo Cualquier mtodo Cualquier mtodo Cualquier mtodo Inicio de sesin de seales Inicio de sesin de seales Autenticacin incremental
Descripciones de pginas HTML personalizadas

Formulario login.html login_success.html logout.html acct_locked.html passwd_exp.html passwd.html passwd_rep.html help.html tokenlogin.html nexttoken.html stepuplogin.html Descripcin Peticin estndar de nombre de usuario y contrasea Pgina que aparece despus de iniciar la sesin correctamente. Pgina que aparece despus de finalizar la sesin correctamente. Pgina que aparece si falla la autenticacin del usuario debido a una cuenta bloqueada. Pgina que aparece si falla la autenticacin del usuario debido que ha caducado la contrasea. Formulario de cambio de contrasea. Aparece tambin si falla la peticin de cambio de contrasea. Pgina que aparece si la peticin de cambio de contrasea ha sido correcta. Pgina que contiene vnculos a pginas de administracin vlidas. Formulario de inicio de sesin de seales. Siguiente formulario de seales. Formulario de inicio de sesin de autenticacin incremental.
Soporte para macros de las pginas de gestin de cuentas

Tambin hay dos macros disponibles para utilizar en estas pginas. Estas cadenas de macros se pueden colocar en los archivos de plantilla. La macro sustituye de forma dinmica los valores apropiados.
37
Macro %USERNAME% %ERROR% %METHOD% %URL% %HOSTNAME% %HTTP_BASE% %HTTPS_BASE% %REFERER% %BACK_URL% %BACK_NAME%
Descripcin Nombre del usuario conectado Mensaje de error no modificable devuelto por Access Manager Mtodo HTTP solicitado por el cliente. Direccin URL solicitada por el cliente. Nombre de host completo. Direccin URL HTTP base del servidor http://<host>:<puerto-tcp>/. Direccin URL HTTPS base del servidor https://<host>:<puerto-ssl>/. Valor de la cabecera de referente procedente de la peticin o bien Desconocida, si no hay ninguna. Valor de la cabecera de referente procedente de la peticin o bien /, si no hay ninguna. Valor ATRS si hay una cabecera de referente en la peticin o bien INICIO, si no hay ninguna.
Gestin de certificados de cliente y servidor

Este apartado describe las tareas de administracin y configuracin necesarias para configurar WebSEAL de forma que manipule certificados de cliente y servidor utilizados para la autenticacin a travs de SSL. WebSEAL requiere certificados para las siguientes situaciones: v WebSEAL se identifica ante los clientes SSL con su certificado de servidor v WebSEAL se identifica ante un servidor de fondo con conexin (junction) (configurado para la autenticacin mutua) con un certificado de cliente v WebSEAL consulta su base de datos de certificados raz de CA (entidad emisora de certificados) para validar los clientes que acceden con los certificados de cliente v WebSEAL consulta su base de datos de certificados raz de CA (entidad emisora de certificados) para validar los servidores de fondo con conexin (junction) configurados para la autenticacin mutua WebSEAL utiliza la implementacin de SSL de IBM Global Security Kit (GSKit) para configurar y administrar los certificados digitales. GSKit incluye el programa de utilidad iKeyman para configurar y gestionar la base de datos de claves de certificados que contiene uno o ms certificados de servidor/cliente de WebSEAL y los certificados raz de CA. WebSEAL incluye los siguientes componentes en la instalacin para dar soporte a la autenticacin de SSL a travs de los certificados digitales: v Una base de datos de claves predeterminada (pdsrv.kdb) v Una archivo stash de la base de datos de claves predeterminada (pdsrv.sth) y la contrasea (pdsrv) v Varios certificados raz de CA comunes v Un certificado autofirmado de prueba que WebSEAL puede utilizar para identificarse en clientes SSL.
38
Es recomendable que solicite un certificado reconocido habitualmente de una entidad emisora de certificados conocida para sustituir este certificado de prueba. La configuracin para la gestin de certificados de WebSEAL incluye: v Configuracin de parmetros de base de datos de claves en la pgina 40 v Utilizacin del programa de utilidad de gestin de certificados iKeyman en la pgina 41 v Configuracin de la comprobacin de CRL en la pgina 42
Informacin sobre tipos de archivo de bases de datos de claves GSKit

La herramienta Gestin de claves de IBM (iKeyman) utiliza varios tipos de archivos que se resumen en la siguiente tabla. Una base de datos de claves CMS est formada por un archivo con la extensin .kdb y posiblemente otros dos o ms archivos. El archivo .kdb se crea cuando se crea una nueva base de datos de claves. Un registro de clave en un archivo .kdb puede ser un certificado o un certificado con informacin de clave privada cifrada. Los archivos .rdb y .crl se crean cuando se crea una nueva peticin de certificados. El archivo .rdb es necesario durante todo el proceso de la peticin de certificado de CA.
Tipo de archivo .kdb Descripcin Archivo de base de datos de claves. Almacena certificados personales, peticiones de certificados personales y certificados de firmante. Por ejemplo, el archivo de base de datos de claves predeterminado de WebSEAL es pdsrv.kdb. Archivo stash. Almacena una versin cifrada de la contrasea de la base de datos de claves. El nombre del que se deriva este archivo es el mismo que el del archivo .kdb asociado. Archivo de base de datos de peticiones. Se crea automticamente cuando se crea un archivo de base de datos de claves .kdb. El nombre del que se deriva este archivo es el mismo que el del archivo .kdb asociado. Este archivo contiene peticiones de certificado que son especiales y no se han recibido todava de la CA. Cuando se devuelve un certificado de la CA, se busca la peticin de certificados correspondiente en el archivo .rdb (segn la clave pblica). Si se encuentra alguna, se recibe el certificado y la peticin de certificado se elimina del archivo .rdb. Si no se encuentra, se rechaza el intento de recibir el certificado. En la peticin de certificado se incluyen el nombre comn, la organizacin, la direccin postal y otra informacin especificada en el momento de la peticin, as como la clave pblica y la clave privada asociadas con la peticin. Archivo de lista de revocacin de certificados. Este archivo contiene normalmente la lista de certificados que se han revocado por alguna razn. No obstante, iKeyman no da soporte a las listas de revocacin de certificados, por lo que est vaco. Archivo binario en cdigo ASCII. Un archivo .arm contiene una representacin ASCII codificada en base 64 de un certificado, incluida la clave pblica, pero no la privada. Los datos originales binarios del certificado se transforman en una representacin ASCII. Cuando un usuario recibe un certificado en un archivo .arm, iKeyman decodifica la representacin ASCII y coloca la representacin binaria en el archivo .kdb correspondiente. De la misma forma, cuando un usuario extrae un certificado de un archivo .kdb, iKeyman convierte los datos de binario a ASCII, y los coloca en un archivo .arm. Los datos ASCII del archivo .arm es lo que se enva a la CA durante el proceso de peticin de certificados. Nota: Se puede utilizar cualquier tipo de archivo (distinto de .arm), siempre que el archivo est codificado en Base64.
.sth .rdb
.crl
.arm
39
Tipo de archivo .der
Descripcin Archivo de reglas de codificacin distinguida. Un archivo .der contiene una representacin binaria de un certificado, incluida la clave pblica, pero no la privada. Es muy parecido al archivo .arm, excepto que la representacin es binaria, no ASCII. Archivo PKCS 12, donde PKCS hace referencia a los Estndares criptogrficos de clave pblica. Un archivo .p12 contiene una representacin binaria de un certificado, incluidas la clave pblica y la clave privada. Un archivo .p12 tambin puede incluir ms de un certificado; por ejemplo, un certificado, el certificado de la CA que emiti el certificado, el emisor del certificado de la CA, su emisor, etc. Como el archivo .p12 contiene una clave privada, su contrasea est protegida.
.p12
Configuracin de parmetros de base de datos de claves

Archivo de claves de certificados de WebSEAL: Durante la instalacin, WebSEAL proporciona una base de datos de claves de certificados predeterminada. El parmetro webseal-cert-keyfile, ubicado en la stanza [ssl] del archivo de configuracin webseald.conf, identifica el nombre y la ubicacin de este archivo:
[ssl] webseal-cert-keyfile = /var/pdweb/www/certs/pdsrv.kdb
Puede usar el programa de utilidad iKeyman para crear una base de datos de claves nueva. Sin embargo, deber especificar el nombre y la ubicacin de ese archivo de claves nuevo en el parmetro webseal-cert-keyfile de manera que WebSEAL pueda encontrar y utilizar los certificados contenidos en esa base de datos. Contrasea del archivo de claves de certificados: Durante la instalacin, WebSEAL proporciona tambin un archivo stash predeterminado que contiene la contrasea para el archivo de claves pdsrv.kdb. El parmetro webseal-cert-keyfile-stash informa a WebSEAL de la ubicacin del archivo stash:
webseal-cert-keyfile-stash = /var/pdweb/www/certs/pdsrv.sth
La contrasea predeterminada cifrada del archivo stash es pdsrv. Tambin puede expresar una contrasea como texto sin formato en el parmetro webseal-cert-keyfile-pwd. Por ejemplo:
webseal-cert-keyfile-pwd = pdsrv
Durante la instalacin, WebSEAL utiliza el archivo stash para obtener la contrasea de archivo de claves. El parmetro webseal-cert-keyfile-pwd est comentado. Si utiliza el archivo stash, podr evitar que la contrasea aparezca como texto en el archivo de configuracin webseald.conf. Nota: Elimine el comentario del parmetro de contrasea especfico que desee utilizar. Si ha especificado la contrasea y el archivo stash, se utilizar el valor de la contrasea. Certificado de prueba de WebSEAL: Durante la instalacin, WebSEAL proporciona un certificado autofirmado de prueba que no es seguro. El certificado de prueba, que funciona como certificado de servidor, permite a WebSEAL identificarse ante los clientes SSL.
40
Para controlar mejor la utilizacin de este certificado de prueba, el certificado no se instala como certificado predeterminado. En su lugar, el parmetro webseal-cert-keyfile-label designa al certificado como certificado de servidor activo, prevaleciendo sobre cualquier otro certificado designado como predeterminado en la base de datos del archivo de claves.
webseal-cert-keyfile-label = WebSEAL
Aunque este certificado de prueba permite a WebSEAL responder a una peticin de navegador habilitado para SSL, el navegador (que no contiene ningn certificado raz de CA apropiado) no lo puede verificar. Debido a que la clave privada para este certificado predeterminado est incluida en cada distribucin de WebSEAL, este certificado no ofrece ninguna comunicacin verdaderamente segura. Debe usar el programa de utilidad iKeyman para generar una peticin de certificado que se pueda enviar a la CA (entidad emisora de certificados). Utilice iKeyman para instalar y etiquetar el certificado de servidor devuelto. Si utiliza certificados diferentes para otras situaciones (por ejemplo, para conexiones (junction) K), puede utilizar el programa de utilidad iKeyman para crear, instalar y etiquetar estos certificados. La etiqueta del archivo de claves no debe contener espacios. WebSEAL (que se ejecuta de forma predeterminada como user ivmgr) debe disponer de permiso read (r) en esos archivos de base de datos de claves. Comunicacin SSL interna del servidor de Access Manager: La stanza [ssl] del archivo de configuracin webseald.conf contiene cuatro parmetros adicionales que se utilizan para configurar el archivo de claves utilizado por WebSEAL para la comunicacin SSL interna con otros servidores de Access Manager. Slo debe modificar estos parmetros mediante el script de configuracin pdconfig.
[ssl] ssl-keyfile = ssl-keyfile-pwd = ssl-keyfile-stash = ssl-keyfile-label =
Utilizacin del programa de utilidad de gestin de certificados iKeyman

El programa de utilidad iKeyman es una herramienta incluida con GSKit que se puede utilizar para gestionar los certificados digitales que utiliza WebSEAL. Utilice iKeyman para: v Crear una o ms bases de datos de claves v Cambiar las contraseas de la base de datos de claves v Crear certificados de WebSEAL nuevos v Establecer un certificado WebSEAL predeterminado nuevo v Crear un certificado autofirmado para realizar una prueba v Solicitar y recibir certificados raz de CA v Agregar y eliminar certificados de la base de datos v Copiar certificados de una base de datos a otra
41
Configuracin de la comprobacin de CRL

La lista CRL (lista de revocacin de certificados) es un mtodo para evitar la validacin de certificados no deseados. CRL contiene la identidad de certificados que se considera que no son fiables. La implementacin de SSL de GSKit que utiliza WebSEAL da soporte a la comprobacin de CRL. GSKit permite a WebSEAL realizar la comprobacin de CRL en certificados de cliente y certificados de conexiones (junctions) de SSL. WebSEAL debe conocer la ubicacin de esta lista para realizar la comprobacin de CRL. Los parmetros para la ubicacin del servidor LDAP a los que se puede hacer referencia durante la autenticacin de certificados de la comprobacin de CRL se encuentran en la stanza [ssl] del archivo de configuracin webseald.conf:
[ssl] #ssl-ldap-server = <nombre-servidor> #ssl-ldap-server-port = <id-puerto> #ssl-ldap-user = <nombre-admin-webseal> #ssl-ldap-user-password = <contrasea-admin>
La comprobacin de CRL est inhabilitada de forma predeterminada (los parmetros estn comentados). Para habilitar la comprobacin de CRL durante la autenticacin de certificados, elimine el comentario de cada uno de los parmetros y especifique los valores apropiados. Un valor vaco para ssl-ldap-user indica que el mecanismo de autenticacin de SSL debe enlazarse al servidor LDAP como usuario annimo.
Configuracin de la cach de CRL

GSKit permite a WebSEAL realizar la comprobacin de CRL en certificados de cliente y certificados de conexiones (junctions) de SSL.Para mejorar el rendimiento de la comprobacin CRL, puede almacenar CRL en la cach desde una entidad emisora de certificados (CA) determinada. Posteriormente se realizan comprobaciones CRL en esta versin en cach de la lista. Los valores de los dos parmetros del archivo de configuracin webseald.conf descritos en este apartado se pasan directamente al programa de utilidad GSKit. Para obtener informacin adicional acerca de la funcionalidad de GSKit, consulte la documentacin de GSKit.
Definicin del nmero mximo de entradas de cach

El parmetro gsk-crl-cache-size especifica el nmero mximo de entradas en la cach CRL de GSKit. Cada entrada representa un CRL entero para una entidad emisora de certificados (CA) determinada. El valor predeterminado es 0. Un valor mayor que 0 es necesario para activar la cach. Cuando gsk-crl-cache-size y gsk-crl-cache-entry-lifetime se establecen en 0 (valor predeterminado), se inhabilita el almacenamiento en cach CRL.
[ssl] gsk-crl-cache-size = 0
Definicin del valor de tiempo de espera de duracin de la cach de GSKit

El parmetro gsk-crl-cache-entry-lifetime especifica el valor de tiempo de espera de duracin para todas las entradas de la cach CRL de GSKit. El valor se expresa en segundos y puede tener un rango de 0 a 86400 segundos. Cuando gsk-crl-cache-size y gsk-crl-cache-entry-lifetime se establecen en 0 (valor predeterminado), se inhabilita el almacenamiento en cach CRL.
42
[ssl] gsk-crl-cache-size = 0
Configuracin del registro HTTP predeterminado

WebSEAL mantiene tres archivos de registro HTTP convencionales que registran la actividad en vez de los mensajes: v request.log v agent.log v referer.log De forma predeterminada, estos archivos de registro estn ubicados en el siguiente directorio: UNIX:
/var/pdweb/www/log/
Windows:
C:\Archivos de programa\Tivoli\PDWeb\www\log\
Los parmetros para configurar el registro HTTP estndar se encuentran en la stanza [logging] del archivo de configuracin webseald.conf. La tabla siguiente muestra la relacin entre los archivos de registro HTTP y los parmetros del archivo de configuracin:
Archivos de registro request.log referer.log agent.log Parmetro de ubicacin Habilitacin/inhabilitacin de parmetro ( = yes o no) requests-file referers-file agents-file requests referers agents
Por ejemplo, la entrada de la ubicacin predeterminada del archivo request.log aparece de la siguiente manera: UNIX:
requests-file = /var/pdweb/www/log/request.log
Windows:
requests-file = \Archivos de programa\Tivoli\PDWeb\www\log\request.log
Habilitacin e inhabilitacin del registro HTTP

Todos los registros HTTP estn habilitados de forma predeterminada:
[logging] requests = yes referers = yes agents = yes
Se puede habilitar o inhabilitar cada registro de forma independiente. Si algn parmetro se establece en no, el registro se inhabilita para ese archivo.
43
Una vez habilitado tal como se ha descrito anteriormente, el registro HTTP de WebSEAL lo manipula realmente el mecanismo de registro de eventos de Access Manager, tal como se describe en Configuracin del registro HTTP mediante el registro de eventos en la pgina 46.
Especificacin del tipo de indicacin de la hora

Puede elegir que las especificaciones de indicacin de la hora se registren en GMT (Hora del meridiano de Greenwich) en lugar de hacerlo en la zona horaria local. El valor predeterminado es la utilizacin de la zona horaria local:
[logging] gmt-time = no
Para utilizar las indicaciones de la hora en GMT, establezca:

gmt-time = yes
Especificacin de los umbrales de creacin de archivo de registro

El parmetro max-size especifica el tamao mximo que puede alcanzar cada uno de los archivos de registro HTTP y tiene el siguiente valor predeterminado (en bytes):
[logging] max-size = 2000000
Cuando un archivo de registro alcanza el valor especificado (conocido como umbral de creacin), se realiza una copia de seguridad del archivo existente en un archivo con el mismo nombre y con la indicacin anexada de la fecha y la hora actuales. A continuacin se inicia un archivo de registro nuevo. Los distintos valores posibles de max-size se interpretan de la siguiente forma: v Si el valor de max-size es menor que cero (< 0), se crea un archivo de registro nuevo con cada invocacin del proceso de registro y cada 24 horas desde esa instancia. v Si el valor de max-size es igual a cero (= 0), no se crea un nuevo registro y el archivo de registro crece indefinidamente. Si ya existe un archivo de registro, los datos nuevos se agregan a ste. v Si el valor de max-size es mayor que cero (> 0), se crea un nuevo registro cuando el archivo de registro alcanza el valor de umbral configurado. Si ya existe un archivo de registro en el inicio, los datos nuevos se agregan a ste.
Especificacin de la frecuencia de vaciado de los bferes de archivo de registro

Los archivos de registro se escriben en flujos de datos con bfer. Si supervisa los archivos de registro en tiempo real, puede alterar la frecuencia con la cual el servidor fuerza un vaciado de los bferes del archivo de registro. De forma predeterminada, los archivos de registro se vacan cada 20 segundos:
[logging] flush-time = 20
Si especifica un valor negativo, se forzar un vaciado cada vez que se escriba un registro.
44
Formato de registro comn HTTP (para request.log)

Cada respuesta (ya sea de xito o error) que vuelve a enviar el servidor de Access Manager se registra con una entrada de una lnea en el archivo request.log utilizando el siguiente formato de registro HTTP comn:
host - usuarioaut [fecha] peticin estado bytes
donde: host usuarioaut Especifica la direccin IP de la mquina que realiza la peticin. Este campo toma el valor de la cabecera From: de la peticin HTTP recibida. El valor unauth se utiliza para los usuarios no autenticados. Especifica la fecha y la hora de la peticin. Especifica la primera lnea de la peticin tal como ha llegado del cliente. Especifica el cdigo de estado HTTP enviado a la mquina que realiza la peticin. Especifica el nmero de bytes devueltos a la mquina que realiza la peticin. Este valorel tamao de contenido sin filtrar o un tamao cerose configura con el parmetro log-filtered-pages.
fecha peticin estado bytes
Visualizacin del archivo request.log

El archivo request.log realiza el registro estndar de peticiones HTTP, por ejemplo la informacin sobre las direcciones URL que se han solicitado y la informacin acerca del cliente (por ejemplo, la direccin IP) que ha realizado la peticin. El ejemplo siguiente muestra una versin de un archivo request_log:
130.15.1.90 130.15.1.90 130.15.1.90 130.15.1.90 130.15.1.90 [26/Ene/2002:17:23:33 [26/Ene/2002:17:23:47 [26/Ene/2002:17:23:59 [26/Ene/2002:17:24:04 [26/Ene/2002:17:24:11 -0800] -0800] -0800] -0800] -0800] "GET GET "GET "GET "GET /~am/a_html/ HTTP/1.0" 403 77 /icons HTTP/1.0" 302 93 /icons/ HTTP/1.0" 403 77 /~am/a_html/ HTTP/1.0" 403 77 /~am/ HTTP/1.0" 403 77
Visualizacin del archivo agent.log

El archivo agent.log registra el contenido de la cabecera User_Agent: de la peticin HTTP. Este registro muestra informacin acerca del navegador del cliente, por ejemplo la arquitectura o nmero de versin, para cada peticin. El ejemplo siguiente muestra una versin de un archivo agent.log:
Mozilla/4.01 Mozilla/4.01 Mozilla/4.01 Mozilla/4.01 [en] [en] [en] [en] (WinNT; (WinNT; (WinNT; (WinNT; U) U) U) U)
Visualizacin del archivo referer.log

El archivo referer.log registra la cabecera Referer: de la peticin HTTP. Se registra el documento que contiene el vnculo al documento solicitado de cada peticin. El registro utiliza el siguiente formato:
referente -> objeto
45
Esta informacin es til para realizar un seguimiento de vnculos externos a documentos del espacio web. El registro muestra que el origen indicado por el referente contiene un vnculo a un objeto de pgina. Este registro le permite realizar un seguimiento de vnculos obsoletos y ver quin crea vnculos a sus documentos. El ejemplo siguiente muestra una versin de un archivo referer.log:
http://manuel/maybam/index.html -> /pics/tivoli_logo.gif http://manuel/maybam/pddl/index.html ->/pics/tivoli_logo.gif http://manuel/maybam/ -> /pddl/index.html http://manuel/maybam/ -> /pddl/index.html http://manuel/maybam/pddl/index.html ->/pics/tivoli_logo.gif http://manuel/maybam/ -> /pddl/index.html
Configuracin del registro HTTP mediante el registro de eventos

El registro HTTP de WebSEAL puede configurarse en la stanza [aznapi-configuration] del archivo de configuracin webseald.conf utilizando el parmetro de registro de eventos logcfg para definir uno o ms agentes de registro (registradores), que rene una categora especfica de informacin de registro de la agrupacin de eventos y dirige esta informacin a un destino:
[aznapi-configuration] logcfg = <categora>:{stdout|stderr|file|pipe|remote} [[<parm>[=<valor>]] [,<parm>[=<valor>]]...]
Consulte el captulo Registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin del registro de eventos. Los valores de categora que son adecuados para el registro HTTP incluyen los siguientes: v http Toda la informacin de registro HTTP v http.clf Informacin de peticin HTTP en formato de registro comn v http.ref Informacin de cabecera HTTP Referer v http.agent Informacin de cabecera HTTP User_Agent v http.cof El formato combinado NCSA captura informacin de peticin HTTP (con la indicacin de la hora) y agrega las cadenas de referente y agente citadas al formato de registro comn estndar. Las siguientes configuraciones de agente de registro estn habilitadas cuando los parmetros de registro HTTP de WebSEAL estn habilitados (consulte Configuracin del registro HTTP predeterminado en la pgina 43). Tenga en cuenta que las configuraciones de agente de registro aceptan los valores de los parmetros requests-file, referers-file, agents-file, flush-time y max-size de la stanza [logging] de webseald.conf: request.log (formato de registro comn):
logcfg = http.clf:file path=<requests-file>,flush=<flush-time>, \ rollover=<max-size>,log=clf,buffer_size=8192,queue_size=48
46
referer.log:
logcfg = http.ref:file path=<referers-file>,flush=<flush-time>, \ rollover=<max-size>,log=ref,buffer_size=8192,queue_size=48
agent.log (formato de registro comn):

logcfg = http.agent:file path=<agents-file>,flush=<flush-time>, \ rollover=<max-size>,log=agent,buffer_size=8192,queue_size=48
Dado que el registro HTTP predeterminado est configurado en una stanza distinta ([logging]) que la configuracin del registro de eventos ([aznapi-configuration]), es posible que haya dos entradas duplicadas para cada evento que aparezcan en un archivo de registro cuando ambos mecanismos de registro estn habilitados. El mecanismo de registro de eventos proporciona mucha ms flexibilidad reuniendo informacin de registro HTTP y personalizando su salida.
Registro de mensajes de servicios de WebSEAL

Los mensajes de servicios de Access Manager WebSEAL estn controlados por el archivo routing de Access Manager WebSEAL. El archivo routing est ubicado en el siguiente directorio: UNIX:
/opt/pdweb/etc/
Windows:
C:\Archivos de programa\Tivoli\PDWeb\etc\
El archivo routing es un archivo ASCII que contiene informacin adicional en forma de lneas de comentarios. Las entradas de este archivo de configuracin determinan los tipos de mensajes de servicios que se registran. Para habilitar cualquier entrada, elimine el carcter de comentario (#). El archivo routing incluye las siguientes entradas predeterminadas: UNIX:
FATAL:STDERR:ERROR:STDERR:WARNING:STDERR:#NOTICE:FILE.10.100:/opt/pdweb/log/notice.log #NOTICE_VERBOSE:FILE.10.100:/opt/pdweb/log/notice.log
Windows:
FATAL:STDERR:ERROR:STDERR:WARNING:STDERR:#NOTICE:FILE.10.100:%PDWEBDIR%/log/notice.log #NOTICE_VERBOSE:FILE.10.100:%PDWEBDIR%/log/notice.log
Nota: En un sistema Windows, la variable de entorno especial PDWEBDIR se define durante la ejecucin en el directorio de instalacin de WebSEAL. De forma predeterminada, cuando WebSEAL se ejecuta en primer plano, todos los mensajes se envan a la pantalla (STDERR). De forma predeterminada, cuando WebSEAL se ejecuta de fondo, los mensajes se redirigen desde STDERR y se envan al archivo de registro del servidor WebSEAL tal como se ha definido en la stanza [logging] del archivo de configuracin
47
webseald.conf:
Servidor Servidor WebSEAL (webseald) Archivo de configuracin webseald.conf Ubicacin del archivo de registro UNIX:[logging] server-log=/var/pdweb/log/webseald.log Windows:[logging] server-log= C:\Archivos de programa\Tivoli\PDWeb\log\webseald.log
Para habilitar verbose.log, descomente de la lnea NOTICE_VERBOSE. La sintaxis FILE del mensaje NOTICE controla la creacin de nuevos archivos de registro y el reciclado de archivos:
FILE.<mx-archivos>.<mx-registros>
El valor de mx-archivos especifica el nmero de archivos que se utiliza. El valor de mx-registros especifica el nmero mximo de entradas por archivo. En el ejemplo predeterminado anterior, FILE.10.100 significa que se han creado 10 archivos, cada uno de ellos con un mximo de 100 entradas. Los archivos se denominan:
notice.log.1 notice.log.2 . . . notice.log.10
Los mensajes se reinician en el primer archivo despus de que el ltimo archivo haya alcanzado su lmite o cuando el servidor se detenga y se reinicie. Cuando se vuelve a utilizar un archivo de registro, se sobrescriben (borran) los registros existentes.
48
Captulo 3. Configuracin avanzada del servidor

Este captulo contiene informacin que describe las tareas generales de configuracin y administracin que se pueden llevar a cabo para personalizar el servidor WebSEAL para la red. ndice de temas: v Configuracin de la calidad predeterminada de nivel de proteccin en la pgina 49 v Configuracin de actualizaciones y sondeo de la base de datos de autorizaciones en la pgina 51 v Gestin de la asignacin de threads de trabajo en la pgina 52 v Rplica de servidores WebSEAL frontales en la pgina 55 v Configuracin de mltiples instancias de servidor WebSEAL en la pgina 56 v Configuracin del cambio de usuario (SU) para administradores en la pgina 62 v Configuracin del almacenamiento en la cach de peticiones del servidor WebSEAL en la pgina 70 v Gestin de los caracteres codificados UTF-8 en la pgina 73 v Prevencin de la vulnerabilidad causada por scripts de sitios cruzados en la pgina 75 v Supresin de la identidad del servidor en la pgina 76 v Utilizacin de las estadsticas de WebSEAL en la pgina 77 v Utilizacin del programa de utilidad de rastreo para capturar acciones de WebSEAL en la pgina 86
Configuracin de la calidad predeterminada de nivel de proteccin

Para controlar el nivel predeterminado de cifrado necesario para acceder a WebSEAL a travs de SSL (HTTPS), configure la calidad de proteccin (QOP). La gestin de calidad de proteccin predeterminada se controla utilizando los parmetros de la seccin GESTIN DE LA CALIDAD DE PROTECCIN SSL del archivo de configuracin webseald.conf. v Puede habilitar e inhabilitar la gestin de QOP con el parmetro ssl-qop-mgmt v Puede especificar los niveles de cifrado permitidos en la stanza [ssl-qop-mgmt-default] 1. Habilite la gestin de la calidad de proteccin:
[ssl-qop] ssl-qop-mgmt = yes
2. Especifique el nivel de cifrado predeterminado para el acceso HTTPS:

[ssl-qop-mgmt-default] # default = ALL | NONE | <nivel-cifrado> # ALL (habilita todos los cifrados) # NONE (inhabilita todos los cifrados y utiliza la suma de comprobacin MD5 MAC) # DES-40 # DES-56 # DES-168 # RC2-40
49
# RC2-128 # RC4-40 # RC4-128 default = ALL
Tenga en cuenta que tambin puede especificar un grupo seleccionado de cifrados:

[ssl-qop-mgmt-default] default = RC4-128 default = RC2-128 default = DES-168
Configuracin de QOP para redes y hosts individuales

El parmetro ssl-qop-mgmt = yes tambin habilita los valores que aparecen en las stanzas [ssl-qop-mgmt-hosts] y [ssl-qop-mgmt-networks]. Estas stanzas permiten la gestin de la calidad de proteccin mediante direcciones IP especficas de host/red/mscara de red. La stanza [ssl-qop-mgmt-default] ofrece una lista de los cifrados utilizados para todas las direcciones IP que no encuentran correspondencia en las stanzas [ssl-qop-mgmt-hosts] y [ssl-qop-mgmt-networks]. Ejemplo de sintaxis de configuracin para los hosts:
[ssl-qop-mgmt-hosts] # <ip-host> = ALL | NONE | <nivel-cifrado> # ALL (habilita todos los cifrados) # NONE (inhabilita todos los cifrados y utiliza la suma de comprobacin MD5 MAC) # DES-40 # DES-56 # DES-168 # RC2-40 # RC2-128 # RC4-40 # RC4-128 xxx.xxx.xxx.xxx = ALL yyy.yyy.yyy.yyy = RC2-128
Ejemplo de sintaxis de configuracin para red/mscara de red:

[ssl-qop-mgmt-networks] # <red/mscara_red> = ALL | NONE | <nivel-cifrado> # ALL (habilita todos los cifrados) # NONE (inhabilita todos los cifrados y utiliza la suma de comprobacin MD5 MAC) # DES-40 # DES-56 # DES-168 # RC2-40 # RC2-128 # RC4-40 # RC4-128 xxx.xxx.xxx.xxx/255.255.255.0 = RC4-128 yyy.yyy.yyy.yyy/255.255.0.0 = DES-56
Las stanzas [ssl-qop-mgmt-hosts] y [ssl-qop-mgmt-networks] se proporcionan slo a efectos de compatibilidad con versiones anteriores. Es recomendable que no las utilice para llevar a cabo la configuracin de Access Manager.
50
Configuracin de actualizaciones y sondeo de la base de datos de autorizaciones

Access Manager Policy Server (pdmgrd) gestiona la base de datos maestra de polticas de autorizacin y mantiene la informacin de ubicacin acerca de otros servidores de Access Manager en el dominio seguro. Un administrador de Access Manager puede realizar cambios de poltica de seguridad en el dominio seguro en cualquier momento. Policy Server realiza los ajustes necesarios en la base de datos maestra de autorizaciones siempre que se implementan cambios en la poltica de seguridad. Cuando Policy Server realiza un cambio en la base de datos maestra de autorizaciones, puede enviar una notificacin de este cambio a todas las bases de datos replicadas del dominio seguro que dan soporte a los aplicadores de polticas individuales (por ejemplo, WebSEAL). Los aplicadores de polticas deben solicitar a continuacin una actualizacin de la base de datos desde la base de datos maestra de autorizaciones. WebSEAL, como gestor de recursos y aplicador de polticas, tiene tres opciones para obtener informacin acerca de los cambios en la base de datos de autorizaciones: v Escuchar las notificaciones de actualizaciones de Policy Server (configurable y habilitado de forma predeterminada). v Comprobar (sondear) la base de datos maestra de autorizaciones a intervalos regulares (configurable e inhabilitado de forma predeterminada). v Habilitar la escucha y el sondeo. La stanza [aznapi-configuration] del archivo de configuracin webseald.conf contiene parmetros para configurar el sondeo de la base de datos y la escucha de notificaciones de actualizaciones. La ruta de acceso de la base de datos de polticas de autorizaciones replicada local de WebSEAL est definida por el parmetro db-file:
[aznapi-configuration] db-file = /var/pdweb/db/webseald.db
Configuracin de la escucha de notificaciones de actualizaciones

El parmetro listen-flags habilita e inhabilita la escucha de notificaciones de actualizaciones de WebSEAL. La escucha est habilitada de forma predeterminada. Para inhabilitar la escucha, escriba disable.
[aznapi-configuration] listen-flags = enable
El parmetro tcp-port configura el puerto TCP para la escucha:

[aznapi-configuration] tcp-port = 12056
El parmetro udp-port configura el puerto TCP para la escucha:

[aznapi-configuration] udp-port = 0
51
Configuracin del sondeo de la base de datos de autorizaciones

Puede configurar WebSEAL para que sondee regularmente la base de datos maestra de autorizaciones para obtener informacin de actualizaciones. El parmetro cache-refresh-interval se puede establecer en default, disable o un intervalo de tiempo especfico en segundos. El valor default es igual a 600 segundos. El sondeo est inhabilitado de forma predeterminada.
[aznapi-configuration] cache-refresh-interval = disable
Gestin de la asignacin de threads de trabajo

v Configuracin de threads de trabajo de WebSEAL en la pgina 52 v Asignacin de threads de trabajo para conexiones (junctions) (imparcialidad de conexiones) en la pgina 53
Configuracin de threads de trabajo de WebSEAL

El nmero de threads de trabajo configurados especifica el nmero de peticiones entrantes simultneas a las que puede dar servicio un servidor. Las conexiones que lleguen cuando todos los threads de trabajo estn ocupados se colocarn en el bfer hasta que haya un thread de trabajo disponible. Puede establecer el nmero de threads disponibles para dar servicio a las conexiones de entrada de WebSEAL. La configuracin del nmero de threads de trabajo se debe realizar con cuidado debido a posibles impactos en el rendimiento. Este parmetro de configuracin no impone un lmite mximo en el nmero de conexiones simultneas. Este parmetro simplemente especifica el nmero de threads disponibles para dar servicio a una cola de trabajo potencialmente ilimitada. La eleccin del nmero ptimo de threads de trabajo depender de la informacin de la cantidad y el tipo de trfico de la red. Al aumentar el nmero de threads, se suele disminuir el tiempo medio que se tarda en finalizar las peticiones. Sin embargo, el aumento del nmero de threads tiene un impacto en otros factores que pueden tener un efecto negativo en el rendimiento del servidor. WebSEAL mantiene una sola agrupacin de threads de trabajo y de lista de trabajo genrica para gestionar las peticiones de clientes que utilizan TCP o SSL. Este mecanismo mejorado posibilita el consumo de menos recursos del sistema por parte de WebSEAL, mientras que permite gestionar una carga significativamente mayor. Puede configurar el tamao de la agrupacin de threads de trabajo mediante el parmetro worker-threads de la parte de stanza [server] del archivo de configuracin webseald.conf.
[server] worker-threads = 50
Nota: Es muy recomendable que este parmetro slo se modifique para solucionar problemas de rendimiento.
52
Asignacin de threads de trabajo para conexiones (junctions) (imparcialidad de conexiones)

Se puede configurar la asignacin de los threads de trabajo de WebSEAL que se utilizan para procesar peticiones entre varias conexiones (junctions) de manera global o previa a la conexin. El mecanismo de configuracin mantiene una distribucin imparcial de threads de trabajo en todas las conexiones (junctions) y evita que una sola conexin vace la agrupacin de threads de trabajo.
Contexto
WebSEAL extrae de su agrupacin de threads de trabajo para procesar mltiples peticiones. El nmero de threads de trabajo disponibles en WebSEAL se especifica con el parmetro worker-threads del archivo de configuracin webseald.conf. Puede ajustar el valor de worker-threads para servir mejor a su implementacin especfica de WebSEAL. Cuando no hay threads de trabajo disponibles para manejar las peticiones entrantes, los usuarios experimentan que un servidor WebSEAL no responde. Los threads de trabajo se utilizan para manejar las peticiones entrantes en las aplicaciones que residen en mltiples servidores de programas de fondo con conexin (junction). Sin embargo, la agrupacin de threads de trabajo se puede vaciar rpidamente si una aplicacin de programa de fondo determinada es especialmente lenta al responder a un alto volumen de peticiones y procesarlas. El vaciado de la agrupacin de threads de trabajo por esta aplicacin hace que WebSEAL no pueda responder a peticiones de servicios en los servidores de aplicaciones con conexin (junction) restantes. Puede configurar lmites globales o por conexin (junction) basados en el nmero de los threads de trabajo utilizadas para las aplicaciones de servicio en mltiples conexiones. Estos lmites permiten que prevalezca la imparcialidad para todas las conexiones (junctions) e impiden que una aplicacin cualquiera pueda reclamar ms threads de trabajo que los que le corresponden.
Asignacin global de threads de trabajo para conexiones (junctions)

Dos parmetros ubicados en la stanza [junction] del archivo de configuracin webseald.conf controlan la asignacin global de threads de trabajo entre todas las conexiones (junctions) correspondientes a un servidor WebSEAL determinado. Los valores utilizados para estos parmetros se expresan como porcentajes dentro del rango de 0 a 100. El valor por omisin 100 (%) indica que no hay ningn lmite. v worker-thread-soft-limit Este parmetro sirve para actuar como aviso antes de que se alcance el lmite fijo. Cuando se sobrepasa el valor de worker-thread-soft-limit, se envan mensajes de aviso (cada 30 segundos) al archivo de registro de errores de WebSEAL. Por ejemplo, cuando worker-threads=50, el valor 60 (%) hace que se emitan mensajes de aviso si la conexin (junction) consume ms de 30 threads de trabajo. Todas las peticiones que sobrepasen los 30 threads de trabajo se siguen procesando hasta que se alcanza el lmite fijo. v worker-thread-hard-limit Este parmetro acta como punto de interrupcin para dar servicio a peticiones en una conexin (junction). Cuando se sobrepasa el valor de
53
worker-thread-hard-limit, se envan mensajes de error (cada 30 segundos) al archivo de registro de errores de WebSEAL. Adems, se enva al usuario un mensaje 503 Servicio no disponible. Por ejemplo, cuando worker-threads=50, el valor 80 (%) hace que se emitan mensajes de error si la conexin (junction) consume ms de 40 threads de trabajo. Todas las peticiones que representan ms de 40 threads de trabajo en la conexin (junction) se devuelven con un mensaje 503 Servicio no disponible. Estos valores globales se aplican por igual a todas las conexiones (junctions) configuradas. Cuando se configuran estos dos parmetros, es lgico que se establezca el lmite dinmico en un valor inferior al lmite fijo.
Asignacin por conexin (junction) de threads de trabajo para conexiones

Como alternativa, puede limitar el consumo de threads de trabajo en base a la asignacin por conexin (junction). Las siguientes opciones del comando pdadmin server task create permiten al usuario especificar los lmites de trabajo fijos y dinmicos en una conexin (junction) especfica: v l <valor-porcentaje> Esta opcin establece un valor (porcentaje) en la conexin (junction) que define el lmite dinmico para el consumo de threads de trabajo. Como sucede con el valor del lmite dinmico global, esta opcin hace que se emitan mensajes de aviso cuando la conexin (junction) consume ms threads de trabajo de los permitidos por ese valor. v L <valor-porcentaje> Esta opcin establece un valor (porcentaje) en la conexin (junction) que define el lmite fijo para el consumo de threads de trabajo. Como sucede con el valor del lmite fsico global, esta opcin hace que se emitan mensajes de aviso cuando la conexin (junction) intenta consumir ms threads de trabajo de los permitidos por ese valor. Adems, se enva al usuario un mensaje 503 Servicio no disponible. Por ejemplo:
pdadmin> server task webseald-<nombre-servidor> create -t tcp -h <nombre-host> \ -l 60 -L 80 <punto-conex(jct)>
Los valores por conexin (junction) siempre prevalecen sobre los valores globales del archivo webseald.conf. Unos valores inadecuados en una conexin (junction) especfica podran afectar negativamente a la poltica establecida por los valores globales.
Notas para la resolucin de problemas

v Puede utilizar el comando pdadmin server task show para ver el nmero de threads de trabajo activas que hay en una conexin (junction) especfica:
pdadmin> server task webseald-<nombre-servidor> show /<punto-conex(jct)>
Esta informacin podra ser til cuando se desea determinar la ubicacin de una conexin (junction) que absorbe ms recursos de thread de trabajo de los que le corresponden. v Si especifica un valor de lmite dinmico que sea mayor que el valor de lmite fijo en una conexin (junction) especfica, esta conexin no se crear.
54
v Debe especificar los valores del lmite tanto fijo como dinmico (las opciones l y L) en una conexin (junction) especfica.
Rplica de servidores WebSEAL frontales

Nota: La informacin siguiente sustituye al comando pdadmin server modify baseurl que se utilizaba en versiones anteriores de Access Manager. En un entorno con una gran carga, la rplica de servidores WebSEAL frontales resulta til para proporcionar un mejor equilibrio de carga y la posibilidad de migracin tras error. Al replicar servidores WebSEAL frontales, cada servidor debe contener una copia exacta del espacio web, la base de datos de conexiones (junctions) y la base de datos dynurl. Esta versin de Access Manager da soporte a un procedimiento de configuracin manual para replicar servidores WebSEAL frontales. El comando pdadmin ya no se utiliza para esta tarea. En el siguiente ejemplo, WS1 es el nombre de host del servidor WebSEAL principal. WS2 es el nombre de host del servidor WebSEAL replicado. 1. Instale y configure WebSEAL en los servidores WS1 y WS2. 2. Detenga WebSEAL en WS2. 3. En WS2, cambie el valor del parmetro server-name en el archivo de configuracin webseald.conf de WS2 a WS1:
[server] server-name = WS1
4. Reinicie WebSEAL en WS2. El servidor WS2 utiliza ahora el objeto /WebSEAL/WS1 como base en las evaluaciones de autorizaciones. El servidor WS2 tambin puede responder a los comandos object list y object show para los objetos que residen en /WebSEAL/WS1. El programa de utilidad pdadmin contina mostrando el objeto /WebSEAL/WS2 como parte del espacio de objetos. Este objeto ahora no es significativo y se puede eliminar.
pdadmin> object delete /WebSEAL/WS2
Condiciones: v Gestin del espacio de objetos unificado: Aunque el administrador puede ver una nica jerarqua de objetos, todos los servidores WebSEAL estn afectados por los comandos de administracin aplicados a esa jerarqua de objetos, y todos los servidores pueden responder a esos comandos. v Evaluaciones de autorizaciones unificadas: Si el servidor WS2 se configura como servidor replicado de WS1, el servidor WS2 utiliza /WebSEAL/WS1 como base para las evaluaciones de autorizaciones. v Configuracin unificada: Para que la rplica de servidores WebSEAL frontales funcione correctamente, la configuracin del espacio web, la base de datos de conexiones (junction) y la base de datos dynurl debe ser idntica en cada servidor.
55
Configuracin de mltiples instancias de servidor WebSEAL

Access Manager proporciona la posibilidad de configurar mltiples instancias del servidor WebSEAL en una sola mquina.
Visin general de la configuracin

A fines de la configuracin, una instancia de un servidor WebSEAL se define mediante una combinacin exclusiva de interfaz de red (direccin IP) y nmero de puerto. Se pueden configurar mltiples instancias de WebSEAL mediante uno de los mtodos siguientes para crear combinaciones exclusivas de interfaz de red:puerto: v Utilice una sola interfaz de red (direccin IP) y asigne instancias de WebSEAL a puertos de escucha HTTP/HTTPS exclusivos v Asigne instancias de WebSEAL a interfaces de red exclusivas (tarjetas de interfaz de red fsica o alias de red lgica) y utilice los puertos de escucha HTTP/HTTPS comunes Nota: En ambos escenarios, el valor del puerto entre servidores especificado por la opcin m debe ser exclusivo para todas las instancias de WebSEAL. Cada instancia configurada de WebSEAL tiene un nombre exclusivo, un nmero de puerto interno exclusivo (para la comunicacin entre servidores de Access Manager), una ubicacin de directorio exclusiva y un archivo de configuracin exclusivo. Mltiples archivos de configuracin se convierten en exclusivos con el nombre de instancia del servidor, al que se agrega el prefijo webseald-. Por ejemplo:
/opt/pdweb/etc/webseald-<nombre-instancia>.conf
Las herramientas de configuracin necesarias para configurar y eliminar la configuracin de mltiples instancias de servidor WebSEAL son, entre otras: v Sistemas UNIX: Programa de utilidad de lnea de comandos PDWeb_config Programa de utilidad de lnea de comandos PDWeb_unconfig Nota: El programa de utilidad pdconfig puede utilizarse para crear la instancia inicial de WebSEAL. La lnea de comandos PDWeb_config debe utilizarse para crear todas las instancias adicionales. En este anlisis de mltiples instancias se supone que el usuario ha configurado un servidor WebSEAL inicial. v Sistemas Windows: Programa de utilidad de lnea de comandos ivweb_setup Programa de utilidad de lnea de comandos ivweb_uninst
Configuracin de mltiples instancias de WebSEAL en UNIX

El programa de utilidad PDWeb_config se encuentra en el siguiente directorio:
/opt/pdweb/sbin/
Sintaxis de PDWeb_config:
# ./PDWeb_config i <nombre-instancia> m <puerto-interno> [n <interfaz-red>]
56
Argumento nombre-instancia
Descripcin Nombre exclusivo para esta instancia. Debe utilizar este nombre para eliminar la configuracin de la instancia. La longitud de este nombre est limitada a 20 caracteres. Nmero de puerto exclusivo para la comunicacin entre servidores Access Manager. El valor debe ser mayor que 1023. (Los valores menores o iguales que 1023 estn reservados.) Argumento opcional para especificar la direccin IP de una interfaz de red.
puerto-interno
interfaz-red
Nota: El valor del puerto entre servidores especificado por la opcin m debe ser exclusivo para todas las instancias de WebSEAL. Configuracin de mltiples instancias en puertos HTTP/HTTPS exclusivos: 1. Suposicin: la mquina est configurada con un servidor WebSEAL inicial (pdconfig) y una sola tarjeta de red/direccin IP (por ejemplo: 1.2.3.4). 2. Cambie la ubicacin de directorio:
# cd /opt/pdweb/sbin
3. Ejecute el comando PDWeb_config para crear y configurar una instancia adicional de WebSEAL. En este escenario, mltiples instancias de servidor se convierten en exclusivas mediante designaciones exclusivas de puerto entre servidores y de puerto de escucha HTTP/HTTPS en la interfaz de red predeterminada. Por consiguiente, no utilice la opcin n para especificar una interfaz de red. Por ejemplo:
# ./PDWeb_config i webseal2 m 3232
4. Aparece la pantalla de configuracin:

Compruebe la configuracin del servidor web: 1. Habilitar TCP HTTP? S 2. Puerto HTTP 80 3. Habilitar HTTPS? S 4. Puerto HTTPS 443 5. Directorio raz de documentos web /opt/pdweb/www-webseal2/docs a. Aceptar la configuracin y continuar la instalacin x. Salir de la instalacin Seleccione el elemento que desea modificar:
5. De forma predeterminada, el servidor WebSEAL inicial escucha las peticiones en *:80 y *:443. Seleccione los elementos de men de los puertos HTTP y HTTPS y proporcione valores exclusivos de puerto que no utilice ningn otro servidor (por ejemplo, 81 y 444). Nota: Aparece un mensaje de aviso si selecciona un valor de puerto que ya se est utilizando. Se le da la oportunidad de seleccionar un valor distinto. 6. Ejecute el comando PDWeb_config para crear y configurar cualquier instancia adicional del servidor WebSEAL (con los puertos entre servidores exclusivos). Por ejemplo:
# ./PDWeb_config i webseal3 m 3233
7. Desde la pantalla de configuracin, configure unos valores exclusivos para los puertos HTTP y HTTPS. Nota: El nmero mximo de instancias permitidas de WebSEAL est regido por las limitaciones de la configuracin del sistema, como la RAM y el
57
espacio de disco disponibles. Si se excede cualquier recurso del sistema, aparecern mensajes de error de configuracin y de anomala de arranque. Configuracin de mltiples instancias en interfaces exclusivas de red lgica: 1. Suposicin: la mquina est configurada con un servidor WebSEAL inicial (pdconfig) y una sola tarjeta de red/direccin IP. 2. De forma predeterminada, el servidor WebSEAL inicial escucha las peticiones en *:80 y *:443. Debe asignar una direccin IP especfica para esta interfaz de red inicial antes de que pueda configurar y ejecutar servidores WebSEAL adicionales. Nota: No se pueden iniciar servidores WebSEAL adicionales si el servidor WebSEAL inicial escucha en *:80 y *:443. 3. Edite el archivo de configuracin webseald.conf y especifique la direccin IP adecuada para el servidor WebSEAL inicial agregando el parmetro network-interface a la stanza [server]. Por ejemplo:
[server] network-interface = 1.2.3.4
4. Reinicie el servidor WebSEAL:

# /opt/pdweb/bin/pdweb restart
5. Para cada instancia adicional del servidor WebSEAL, configure una interfaz de red lgica adicional (alias). Por ejemplo (en la versin 2.8 de Solaris):
# ifconfig hme0 addif 1.2.3.5 netmask w.x.y.z up # ifconfig hme0 addif 1.2.3.6 netmask w.x.y.z up
Nota: Como alternativa, puede asignar cada instancia de WebSEAL a una tarjeta de red fsica preconfigurada exclusiva. 6. Cambie la ubicacin de directorio:
7. Ejecute el comando PDWeb_config para crear y configurar una instancia adicional de WebSEAL. En este escenario, mltiples instancias de servidor se convierten en exclusivas mediante una interfaz de red exclusiva en puertos de escucha entre servidores y HTTP/HTTPS comunes. Por consiguiente, debe utilizar la opcin n. Por ejemplo:
# ./PDWeb_config i webseal2 m 3232 n 1.2.3.5
HP-UX (network interface name = lan0:1):

# ./PDWeb_config i webseal2 m 3232 n lan0:1
HP-UX utiliza el nombre de interfaz de red en lugar de la direccin IP. El programa de utilidad PDWeb_config comprueba si la interfaz tiene una direccin IP vlida. 8. Aparece la pantalla de configuracin:
Compruebe la configuracin del servidor web: 1. Habilitar TCP HTTP? S 2. Puerto HTTP 80 3. Habilitar HTTPS? S 4. Puerto HTTPS 443 5. Directorio raz de documentos web /opt/pdweb/www-webseal2/docs a. Aceptar la configuracin y continuar la instalacin x. Salir de la instalacin Seleccione el elemento que desea modificar:
58
9. Acepte los valores de puerto HTTP y HTTPS estndar tal como estn listados. 10. Ejecute el comando PDWeb_config para crear y configurar instancias adicionales de servidor WebSEAL. Por ejemplo:
# ./PDWeb_config i webseal3 m 3233 -n 1.2.3.6
HP-UX (nombre de interfaz de red = lan0:2):

# ./PDWeb_config i webseal3 m 3232 n lan0:2
11. Desde la pantalla de configuracin, acepte los valores de puerto HTTP y HTTPS estndar tal como estn listados. Nota: El nmero mximo de instancias permitidas de WebSEAL est regido por las limitaciones de la configuracin del sistema, como la RAM y el espacio de disco disponibles. Si se excede cualquier recurso del sistema, aparecern mensajes de error de configuracin y de anomala de arranque.
Configuracin de mltiples instancias de WebSEAL en Win NT/2000

Suposiciones: v Se ha configurado la instancia del servidor WebSEAL inicial v Los procedimientos descritos son adecuados para una plataforma Windows NT/2000 Sintaxis de ivweb_setup:
MSDOS> ivweb_setup -m <contrasea-pdadmin> -i <nombre-instancia> \ -M <puerto-interno> -u {yes|no} -r <puerto-http> -U {yes|no} \ -R <puerto-https> [-n <interfaz-red>] Opcin y argumento m <contrasea-pdadmin> i <nombre-instancia> Descripcin Contrasea de administracin. Nombre exclusivo para esta instancia. Debe utilizar este nombre para eliminar la configuracin de la instancia. La longitud de este nombre est limitada a 20 caracteres. Nmero de puerto exclusivo para la comunicacin entre servidores Access Manager. El valor debe ser mayor que 1023. (Los valores menores o iguales que 1023 estn reservados.) Habilitar/inhabilitar el acceso HTTP. Nmero de puerto para el acceso HTTP. Habilitar/inhabilitar el acceso HTTPS. Nmero de puerto para el acceso HTTPS. Argumento opcional para especificar la direccin IP de una interfaz de red.
M <puerto-interno>
u {yes|no} r <puerto-http> U {yes|no} R <puerto-https> n <interfaz-red>
Nota: El valor del puerto entre servidores especificado por la opcin M debe ser exclusivo para todas las instancias de WebSEAL. Configuracin de mltiples instancias en puertos HTTP/HTTPS exclusivos: 1. Suposicin: Windows est configurado con un servidor WebSEAL inicial (pdconfig) y una tarjeta de red fsica/direccin IP (para este ejemplo: 1.2.3.4). 2. Cambie la ubicacin de directorio:
59
MSDOS> cd C:\Archivos de programa\Tivoli\Policy Director\PDWeb\bin
3. Ejecute el comando ivweb_setup para crear y configurar una instancia adicional de WebSEAL. En este escenario, mltiples instancias de servidor se convierten en exclusivas mediante designaciones exclusivas de puerto entre servidores y de escucha HTTP/HTTPS en una interfaz de red comn. Por consiguiente, no utilice la opcin n para especificar interfaces de red adicionales. Por ejemplo:
MSDOS> ivweb_setup -m xxxxx i webseal2 M 3232 -u yes -r 81 -U yes -R 444
Nota: Aparece un mensaje de aviso si selecciona un valor de puerto que ya se est utilizando. Se le da la oportunidad de seleccionar un valor distinto. 4. Ejecute el comando ivweb_setup para crear y configurar instancias adicionales de servidor WebSEAL. Por ejemplo:
MSDOS> ivweb_setup -m xxxxx i webseal3 M 3233 -u yes -r 82 -U yes -R 445
Configuracin de mltiples instancias en interfaces exclusivas de red lgica: 1. Suposicin: Windows est configurado con un servidor WebSEAL inicial y una sola tarjeta de red/direccin IP. 2. De forma predeterminada, el servidor WebSEAL inicial escucha las peticiones en *:80 y *:443. Debe asignar una direccin IP especfica para esta interfaz de red inicial antes de que pueda configurar y ejecutar servidores WebSEAL adicionales. Nota: No se pueden iniciar servidores WebSEAL adicionales si el servidor WebSEAL inicial escucha en *:80 y *:443. 3. Edite el archivo de configuracin webseald.conf y especifique la direccin IP adecuada para el servidor WebSEAL inicial agregando el parmetro network-interface a la stanza [server]. Por ejemplo:
[server] network-interface = 1.2.3.4
4. Reinicie el servidor WebSEAL en Servicios del Panel de control. 5. Para cada instancia adicional del servidor WebSEAL, configure una interfaz de red lgica adicional (alias) utilizando Conexiones de red del Panel de control. Por ejemplo (en Windows 2000): a. Panel de control > Conexiones de red b. Haga clic con el botn derecho en Conexiones de rea local y seleccione Propiedades. c. Seleccione Protocolo Internet (TCP/IP). d. Haga clic en Propiedades y seleccione Avanzadas. e. En la ficha Configuracin de IP, haga clic en Agregar. f. g. h. i. Entre una direccin IP para la nueva interfaz de red. Entre una mscara de subred. Haga clic en Agregar. Abra una ventana de indicador de comandos y entre:
MSDOS> ipconfig -all
Todas las interfaces de red deben aparecer en estado de escucha. j. Repita estos pasos para las interfaces de red adicionales. 6. Cambie la ubicacin de directorio:
MSDOS> cd C:\Archivos de programa\Tivoli\PDWeb\bin
60
7. Ejecute el comando ivweb_setup para crear y configurar una instancia adicional de WebSEAL. En este escenario, mltiples instancias de servidor se convierten en exclusivas mediante una interfaz de red exclusiva en puertos de escucha entre servidores y HTTP/HTTPS comunes. Por consiguiente, debe utilizar la opcin n. Por ejemplo:
MSDOS> ivweb_setup -m xxxxx i webseal2 M 3232 -u yes -r 80 -U yes \ -R 443 -n 1.2.3.5
8. Ejecute el comando ivweb_setup para crear y configurar instancias adicionales de servidor WebSEAL. Por ejemplo:
MSDOS> ivweb_setup -m xxxxx i webseal3 M 3233 -u yes -r 80 -U yes \ -R 443 -n 1.2.3.6
Desconfiguracin de mltiples instancias de WebSEAL

No se puede desconfigurar el servidor WebSEAL inicial hasta que se hayan desconfigurado primero todas las instancias del servidor. UNIX:
PDWeb_unconfig -i <nombre-instancia>
1. Cambie la ubicacin de directorio:

2. Ejecute el comando PDWeb_unconfig para cada instancia. Por ejemplo:

# ./PDWeb_unconfig -i webseal2 # ./PDWeb_unconfig -i webseal3
Windows:
ivweb_uninst -deconfig -m <contrasea-pdadmin> -i <nombre-instancia>
1. Cambie la ubicacin de directorio:

MSDOS> cd C:\Archivos de programa\Tivoli\PDWeb\bin
2. Ejecute el comando ivweb_uninst para cada instancia. Por ejemplo:

MSDOS> ivweb_uninst -deconfig -m xxxxxx -i webseal2 MSDOS> ivweb_uninst -deconfig -m xxxxxx -i webseal3
Comandos de inicio, detencin, reinicio y estado del servidor

UNIX: El programa de utilidad pdweb proporciona la posibilidad de efectuar un inicio, detencin, reinicio y estado del servidor WebSEAL inicial y un nmero cualquiera de mltiples instancias de servidor. Tambin puede aplicar un comando a una instancia especfica del servidor.
pdweb {start|stop|restart|status} [<nombre-instancia>]
Ejemplos: Iniciar el servidor WebSEAL inicial y todas las instancias de servidor configuradas:
# /usr/bin/pdweb start
Iniciar nicamente una instancia especfica de servidor:

# /usr/bin/pdweb start webseal3
Reiniciar el servidor WebSEAL inicial y todas las instancias de servidor configuradas:

61
# /usr/bin/pdweb restart
Detener el servidor WebSEAL inicial y todas las instancias de servidor configuradas:

# /usr/bin/pdweb stop
Detener nicamente una instancia especfica de servidor:

# /usr/bin/pdweb stop webseal3
Mostrar el estado de todos los servidores configurados:

# /opt/PolicyDirector/bin/pd_start status Servidores de Access Manager Servidor Activado En ejec. -----------------------------------------pdmgrd s s pdacld s s webseald s s webseald-webseal2 s s webseald-webseal3 s s
Windows: Servicios del Panel de control de Windows proporciona informacin de inicio, detencin y estado del servidor. Como alternativa, el comando net proporciona la posibilidad de efectuar un inicio y detencin del servidor WebSEAL inicial y un nmero cualquiera de mltiples instancias de servidor.
net {start|stop} <nombre-instancia>
Ejemplos: Iniciar el servidor WebSEAL inicial y todas las instancias de servidor configuradas (debe repetir el comando para cada instancia):
MSDOS> net start webseald MSDOS> net start webseal2 MSDOS> net start webseal3
Detener el servidor WebSEAL inicial y todas las instancias de servidor configuradas (debe repetir el comando para cada instancia):
MSDOS> net stop webseald MSDOS> net stop webseal2 MSDOS> net stop webseal3
Mostrar el estado de todos los servidores configurados:

Inicio > Configuracin > Panel de control > Servicios
Configuracin del cambio de usuario (SU) para administradores

Las funciones de cambio de usuario de WebSEAL permite a los administradores especficos asumir la identidad de un usuario que sea miembro del dominio seguro de Access Manager. La implementacin del cambio de usuario es similar al comando su en los entornos UNIX. En el entorno WebSEAL, el administrador adquiere las credenciales verdaderas del usuario e interacta con recursos y aplicaciones de fondo exactamente con las mismas capacidades que el usuario real.
62
El cambio de usuario se puede utilizar en un entorno de Panel de ayuda para resolver y diagnosticar los problemas. El cambio de usuario tambin puede utilizarse para probar el acceso de un usuario a los recursos y realizar la prueba de integracin de aplicaciones. Los elementos siguientes resaltan las caractersticas importantes del cambio de usuario: v El cambio de usuario no requiere una contrasea del usuario. v El administrador utiliza una credencial que representa al usuario real. v El cambio de usuario est restringido a los miembros de un grupo especial del administrador. Un administrador no puede cambiar el usuario a ningn otro miembro de este grupo. v Los procesos de Access Manager, sec_master, y otros usuarios seleccionados pueden excluirse de las posibilidades de cambio de usuario mediante la pertenencia a un grupo de exclusin. v Se utiliza un formulario HTML especial para proporcionar informacin de cambio de usuario y activar un mecanismo de autenticacin especial que devuelve la credencial del usuario especificado sin requerir una contrasea. v El administrador utiliza el programa de utilidad pkmslogout para finalizar una sesin de cambio de usuario.
Informacin sobre el flujo de proceso de cambio de usuario

La secuencia siguiente describe el flujo de proceso de cambio de usuario: 1. Suposiciones: El administrador (miembro del grupo su-admins) est autenticado en WebSEAL, se ha establecido una sesin y se ha creado una entrada para el administrador en la cach de sesin/credenciales de WebSEAL. 2. El administrador conecta con un formulario HTML preconfigurado de cambio de usuario. Este formulario slo est disponible para los miembros del grupo su-admins. 3. El formulario de cambio de usuario se completa y se devuelve con la siguiente informacin: nombre de usuario (el administrador cambia a este usuario), una direccin URL de destino y un mtodo de autenticacin. Esta accin da como resultado que se enve una peticin POST a /pkmssu.form. 4. Una autenticacin especial de cambio de usuario se realiza mediante la biblioteca compartida de cambio de usuario incorporada o una biblioteca CDAS personalizada de cambio de usuario. La biblioteca de cambio de usuario (sea personalizada o incorporada) devuelve una credencial vlida para el usuario sin que necesite la contrasea del usuario para efectuar la entrada. 5. Durante la autenticacin del cambio de usuario, WebSEAL comprueba los grupos su-admins, securitygroup y su-excluded de Access Manager para asegurarse de que el nombre de usuario proporcionado en el formulario de cambio de usuario no sea miembro de uno de estos grupos. 6. Tras la autenticacin correcta del usuario designado, se crea una nueva estructura de datos de cach que contiene la credencial del usuario. 7. Los datos originales de cach del administrador se eliminan de la entrada de cach de sesin WebSEAL del administrador y se almacenan en una ubicacin distinta. Los datos de la cach de usuario ocupan su lugar. La entrada de cach contiene ahora el ID de sesin original del administrador y los datos de cach del usuario (con la credencial). La credencial contiene tambin un nuevo ID de sesin de usuario que puede utilizarse para cualquier situacin de
63
gestin de sesiones de usuario. La entrada de cach de sesin se indexa con el mismo ID de sesin utilizado por el administrador antes de la operacin de cambio de usuario.
Figura 15. Intercambio de los datos de cach de administrador y de usuario durante el cambio de usuario
8. WebSEAL enva una redireccin al navegador para la direccin URL de destino proporcionada en el formulario de cambio de usuario. 9. La peticin se procesa normalmente, utilizando la credencial del usuario, y se accede a la direccin URL. El administrador puede continuar haciendo otras peticiones. Todas las decisiones de autorizacin para estas peticiones se basan en la credencial del usuario. 10. El administrador finaliza la sesin de cambio de usuario utilizando el programa de utilidad /pkmslogout estndar de Access Manager. 11. Tras un fin de sesin correcto, los datos de la cach del usuario se suprimen y los datos de cach originales del administrador (y la credencial) se restauran. El administrador se devuelve a la pgina original desde la que se ha solicitado el formulario de cambio de usuario. El servicio de autorizaciones utiliza la credencial original del administrador para todas las peticiones posteriores.
Habilitacin del cambio de usuario: Resumen

Para habilitar la funcionalidad de cambio de usuario: 1. Descomente de los mecanismos de autenticacin adecuados en webseald.conf y agregue la ruta de acceso de la biblioteca compartida que maneja la operacin de cambio de usuario. 2. Utilice el programa de utilidad pdadmin para agregar administradores a la cuenta de grupo su-admins. 3. Utilice el programa de utilidad pdadmin para agregar usuarios a la cuenta de grupo su-excluded. 4. Opcionalmente, modifique el formulario switchuser.html para especificar los datos preconfigurados, como el mtodo de autenticacin y la direccin URL de destino. 5. Opcionalmente, disee otros formularios para validar o procesar los datos que se han de someter a /pkmssu.form.
64
Configuracin del formulario HTML de cambio de usuario

El formulario de cambio de usuario est definido en la stanza [acnt-mgt] del archivo de configuracin webseald.conf. v El parmetro switch-user especifica el nombre del archivo. De forma predeterminada, el nombre de archivo es switchuser.html:
[acnt-mgt] switch-user = switchuser.html
v El parmetro mgt-pages-root especifica la ubicacin de subdirectorio para el directorio de localizacin que contiene este archivo:
[acnt-mgt} mgt-pages-root = lib/html/<IDIOMA>
En los sistemas de ingls americano, el directorio IDIOMA se denomina C. v El segmento de la ruta de acceso lib/html es relativo al valor del parmetro server-root : UNIX:
[server] server-root = /opt/pdweb/www
Windows:
[server] server-root = C:/Archivos de programa/Tivoli/PDWeb/www
El formulario de cambio de usuario puede editarse para el aspecto y la funcionalidad personalizados. El formulario contiene peticiones para: v Nombre de usuario (el administrador cambia a este usuario) Este usuario no puede ser miembro de los grupos su-excluded, su-admins o securitygroup. v Direccin URL de destino Esta pgina aparece despus de una operacin correcta de cambio de usuario. Puede configurarla como una entrada oculta que contiene una pgina de presentacin adecuada o una pgina de confirmacin correcta de cambio de usuario. v Mtodo de autenticacin El mtodo de autenticacin determina el tipo de informacin utilizado para crear la credencial de usuario. Puede configurar este campo como una entrada oculta. Consulte las notas siguientes para crear una lista de los parmetros vlidos de mtodo de autenticacin. El formulario predeterminado de cambio de usuario tiene el siguiente aspecto:
65
Figura 16. Formulario de datos de cambio de usuario
Notas de formulario de cambio de usuario: v El formulario slo est disponible para los miembros del grupo su-admins. No es necesaria una ACL en este archivo. WebSEAL realiza una comprobacin no modificable de pertenencia a grupos. WebSEAL devuelve un error 404 No encontrado cuando falla la comprobacin de pertenencia a grupos. v El nombre de usuario, la direccin URL de destino y el mtodo de autenticacin son datos necesarios. v Los datos necesarios se pueden incorporar en el formulario como campos ocultos. v WebSEAL verifica que todos los datos necesarios estn presentes en el formulario sometido. Si faltan datos, se devuelve el formulario al administrador con un mensaje descriptivo. v Los valores vlidos para el mtodo de autenticacin son:
su-ba su-forms su-certificate su-token-card su-http-request su-cdsso
Estos parmetros del mtodo de autenticacin especifican qu mecanismo de autenticacin debe utilizar WebSEAL. v Los mtodos su-ba y su-forms se correlacionan con el mecanismo de autenticacin su-password especificado en el archivo de configuracin webseald.conf. v Los datos del formulario de cambio de usuario se someten a la direccin URL de accin /pkmssu.form.
Habilitacin y exclusin de usuarios del cambio de usuario

Slo los administradores que son miembros del grupo su-admins pueden utilizar la funcin de cambio de usuario y recibir el formulario HTML de cambio de usuario. La funcionalidad de cambio de usuario est habilitada para cualquier usuario que sea miembro del grupo su-admins. Los administradores pueden cambiar de usuario a cualquier cuenta de Access Manager, salvo las que pertenecen a ciertos grupos. Puede excluir otros usuarios de Access Manager del cambio de usuario hacindolos miembros del grupo su-excluded. Adems, los miembros del grupo securitygroup de Access Manager
66
estn excluidos de la funcionalidad de cambio de usuario. Habitualmente, sec_master y los procesos de Access Manager son miembros de securitygroup. Durante el cambio de usuario, WebSEAL realiza comprobaciones en los tres grupos. No se puede cambiar a un usuario que sea miembro de los grupos su-admins, su-excluded o securitygroup.
Configuracin del mecanismo de autenticacin de cambio de usuario

La responsabilidad principal del mecanismo de autenticacin de cambio de usuario (una biblioteca compartida incorporada) consiste en crear una credencial que represente al usuario al que se ha cambiado, basndose en el nombre de usuario y el mtodo de autenticacin proporcionados, sin que se necesite una contrasea como entrada. Un mecanismo personalizado de autenticacin de CDAS debe cumplir el mismo requisito. Especifique los mecanismos de autenticacin de cambio de usuario en la stanza [authentication-mechanisms] del archivo de configuracin webseald.conf. Estn soportados los siguientes mecanismos de autenticacin:
[authentication-mechanisms] #su-password = <biblioteca-contrasea-su> #su-token-card = <biblioteca-tarjeta-seal-su> #su-certificate = <biblioteca-certificado-su> #su-http-request = <biblioteca-peticin-http-su> #su-cdsso = <biblioteca-cdsso-su>
Access Manager proporciona una sola biblioteca de cambio de usuario que puede utilizarse para habilitar uno cualquiera de los mecanismos de autenticacin anteriores en un entorno predeterminado y no personalizado. La biblioteca de cambio de usuario difiere de las bibliotecas de autenticacin estndar. La biblioteca especifica un mecanismo de autenticacin que toma la identidad de usuario (proporcionada en el formulario de cambio de usuario) y devuelve una credencial vlida para ese usuario sin que se necesite la contrasea de usuario para efectuar la entrada. La biblioteca compartida de cambio de usuario incorporada que se proporciona con Access Manager se denomina:
Solaris AIX HP-UX Windows libsuauthn.so libsuauthn.a libsuauthn.sl suauthn.dll
La funcionalidad de cambio de usuario tambin da soporte a mecanismos de autenticacin de CDAS personalizados. Este soporte es importante porque, a menudo, un CDAS personalizado proporciona informacin adicional a la credencial del usuario. El usuario es responsable de escribir un CDAS de cambio de usuario personalizado que emule el comportamiento del CDAS existente, al tiempo que da soporte al requisito de devolver una credencial sin necesitar la contrasea de usuario para la entrada. Consulte la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference.
67
Cada biblioteca configurada de autenticacin de cambio de usuario debe denominarse de manera exclusiva, incluso cuando se utilice la biblioteca predeterminada (libsuauthn) para ms de un mtodo de autenticacin.
Ejemplo
En el ejemplo siguiente (para una plataforma Solaris), un entorno existente tiene habilitados tres mtodos de autenticacin: 1. Autenticacin de formularios utilizando la biblioteca libldapauthn incorporada 2. Autenticacin de certificados utilizando la biblioteca libsslauthn incorporada 3. Autenticacin de seal utilizando un mecanismo de CDAS personalizado El entorno se ampla para dar soporte a la funcionalidad de cambio de usuario para cualquiera de estos tres mtodos de autenticacin. En el archivo de configuracin webseald.conf deben habilitarse tres parmetros adicionales de autenticacin para el cambio de usuario. Adems, debe escribirse una nueva biblioteca CDAS personalizada para emular el CDAS de seal existente y dar soporte a los requisitos de autenticacin del cambio de usuario:
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so cert-ssl = /opt/PolicyDirector/lib/libsslauthn.so token-cdas = /opt/PolicyDirector/lib/libcustom.so su-password = /opt/PolicyDirector/lib/libsuformauthn.so su-certificate = /opt/PolicyDirector/lib/libsucert.so su-token-card = /opt/PolicyDirector/lib/libsucustom.so
Recuerde que el mtodo de autenticacin su-forms proporcionado en el formulario de cambio de usuario se correlaciona con el parmetro del mecanismo de autenticacin su-password de webseald.conf. Adems, se ha cambiado el nombre de la biblioteca libsuauthn que se proporciona tanto para los formularios como para los mecanismos de certificado.
Configuracin de un mecanismo de cambio de usuario de CDAS

Un mecanismo de autenticacin de CDAS existente suele devolver informacin adicional acerca del usuario que se incorpora a la credencial del usuario. Si utiliza la caracterstica de cambio de usuario en un entorno de estas caractersticas, debe escribir un CDAS especial de cambio de usuario que emule el comportamiento del CDAS existente, al tiempo que se da soporte al requisito de devolver una credencial sin que se necesite la contrasea del usuario para efectuar la entrada. La API de CDAS de Access Manager proporciona un conjunto de componentes de identidad que pueden utilizarse para pasar informacin de autenticacin de clientes a la biblioteca CDAS compartida de cambio de usuario. Esta informacin se pasa utilizando un formato de lista de nombre/valor, en que el nombre es un identificador que especifica el tipo del valor. La informacin se almacena en el tipo de datos xnlist_t data. Se puede acceder a los valores mediante la funcin del programa de utilidad xnvlist_get(). Los componentes de identidad adecuados para un CDAS de cambio de usuario son los siguientes:
xauthn_su_method xauthn_admin_name xauthn_admin_cred xauthn_existing_cred
68
xauthn_username xauthn_qop xauthn_ipaddr xauthn_browser_info
Los componentes de identidad xauthn_browser_info, xauthn_qop y xauthn_ipaddr representan los del administrador, no los del usuario al que se ha cambiado. Estos datos se proporcionan para cualquier CDAS que deba realizar validaciones adicionales de la cuenta del administrador. Consulte la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference para obtener informacin completa y material de consulta relativo a la escritura de un CDAS personalizado.
Influencia en otras funciones de WebSEAL

Influencia en la configuracin de tiempo de espera de la cach de sesin
Las funciones de los valores configurados de tiempo de espera de inactividad de la cach de sesin de WebSEAL y los de duracin no se ven afectadas por la operacin de cambio de usuario. Los temporizadores de inactividad y de duracin se asocian con la entrada de la cach de sesin del administrador y no con los datos de la cach, que cambian durante una operacin de cambio de usuario. El temporizador de inactividad se sigue restableciendo mientras el administrador efecta peticiones como usuario al que se ha cambiado. Cuando el administrador finaliza la sesin de cambio de usuario, la inactividad sigue siendo vlida para la sesin restablecida del administrador. El valor de duracin no se ampla a causa de una operacin de cambio de usuario. Es posible que el tiempo de espera de duracin de la entrada de cach de sesin caduque durante una operacin de cambio de usuario. Si se produce este tiempo de espera, se suprime la cach de sesin y finaliza la sesin del administrador. El administrador debe volver a autenticarse e iniciar de nuevo la operacin de cambio de usuario.
Incorporacin de los niveles de autenticacin incremental

La especificacin de biblioteca compartida puede tomar argumentos adicionales con el formato:
<biblioteca>&<arg1> <arg2> .... <argx>
Puede designar niveles de autenticacin incremental utilizando la opcin l seguida del nmero de nivel. Por ejemplo:
su-password = /opt/PolicyDirector/lib/libsuformauthn.so& -l 1 su-certificate = /opt/PolicyDirector/lib/libsucert.so& -l 0 su-token-card = /opt/PolicyDirector/lib/libsucustom.so& -l 2
Nota: Para esta versin de Access Manager, el administrador debe saber la contrasea del usuario para realizar correctamente la autenticacin incremental.
Soporte para la reautenticacin

La operacin de cambio de usuario reconoce la funcionalidad de la reautenticacin de WebSEAL. Si se necesita la reautenticacin durante una operacin de cambio de usuario, el administrador debe autenticarse como usuario al que se ha cambiado.
69
Nota: Para esta versin de Access Manager, el administrador debe saber la contrasea del usuario al que se ha cambiado para realizar una reautenticacin correcta.
Soporte para la gestin de la sesin de usuario

La operacin de cambio de usuario da soporte a la gestin de la sesin de usuario. El administrador tiene un ID de sesin de usuario exclusivo. Adems, durante una operacin de cambio de usuario, existe un ID de sesin de usuario exclusivo para el usuario al que se ha cambiado. Las tareas de terminar sesiones de usuario nico y terminar todas las sesiones de usuario se realizan tal como se esperaba.
Soporte para tag-value (indicador-valor)

La funcionalidad de cambio de usuario reconoce y da soporte a la posibilidad tag-value (indicador-valor) utilizada a menudo por un CDAS.
Auditora del administrador durante el cambio de usuario

Es posible auditar al administrador durante una operacin de cambio de usuario. La funcionalidad de cambio de usuario agrega un atributo ampliado a la credencial de usuario al que se ha cambiado que identifica al administrador. El atributo ampliado se denomina su-admin:
su-admin = <nombre-su-admin>
Este atributo ampliado est disponible para cualquier mecanismo de auditora.
Configuracin del almacenamiento en la cach de peticiones del servidor WebSEAL Contexto

En versiones anteriores de WebSEAL utilizando la autenticacin de formularios, WebSEAL ha creado una entrada de cach para la direccin URL de una peticin de usuario siempre que ha necesitado la autenticacin. Tras una autenticacin correcta, WebSEAL ha enviado una redireccin HTTP al navegador que inclua esta direccin URL. A continuacin, el navegador ha seguido la redireccin hasta la ubicacin original del recurso. La limitacin de esta implementacin resulta aparente cuando, por ejemplo, un tiempo de espera de sesin interrumpe una peticin POST que ha solicitado un proceso de reautenticacin. Dado que WebSEAL slo ha almacenado en la cach la direccin URL de la peticin original, los datos POST (incluidos METHOD y Cuerpo del mensaje) se han perdido durante la redireccin HTTP. El usuario ha tenido que volver a crear la peticin POST. WebSEAL almacena ahora en la cach un conjunto ms completo de datos de peticin y utiliza estos datos de la cach para volver a crear la peticin durante la redireccin HTTP, si un requisito de reautenticacin interrumpe la finalizacin del proceso de peticiones. Esta solucin beneficia especialmente a las peticiones POST y PUT, dado que estos tipos de peticiones pueden incluir diversos campos de informacin.
Flujo de proceso de almacenamiento en la cach del servidor

Cuando un requisito de autenticacin interrumpe una peticin, WebSEAL almacena en la cach toda la informacin necesaria para volver a crear la peticin durante la redireccin HTTP que sigue a la reautenticacin. Los datos de la peticin en la cach incluyen la direccin URL, METHOD, Cuerpo del mensaje, cadenas de
70
consulta y todas las cabeceras HTTP (incluyendo las cookies). Estos datos se almacenan temporalmente en la cach de credenciales/sesin de WebSEAL. Tras realizar un autenticacin (o reautenticacin) correcta, WebSEAL enva una redireccin HTTP al navegador. El navegador sigue la redireccin hasta la direccin URL original contenida en la redireccin. WebSEAL intercepta la redireccin y vuelve a crear la peticin utilizando los datos de la cach. La peticin que se ha vuelto a crear se entrega a la direccin URL de destino. El siguiente diagrama muestra un flujo de proceso tpico de almacenamiento en la cach de peticiones del servidor: 1. El usuario inicia la sesin correctamente (autenticacin de formularios) y enva una peticin HTTP de un recurso que implica un formulario de datos generado con CGI. WebSEAL crea un ID de sesin para el usuario y lo almacena en la cach. 2. El servidor de aplicaciones de fondo devuelve el formulario al usuario. 3. Durante el perodo de tiempo que el usuario tarda en rellenar el formulario, caduca el tiempo de espera de sesin configurado para el usuario. WebSEAL elimina la entrada de cach de credenciales del usuario y el ID de sesin. 4. Finalmente, el usuario enva el formulario completado (POST). WebSEAL no encuentra ninguna entrada de cach para el usuario, crea una cach nueva y almacena en ella temporalmente la informacin completa contenida en la peticin POST. 5. Dado que WebSEAL no encuentra credenciales para este usuario, ste se debe autenticar. WebSEAL enva un formulario de inicio de sesin al usuario. 6. El usuario devuelve el formulario de inicio de sesin completado a WebSEAL (POST). La autenticacin es correcta. La cach contiene ahora las credenciales del usuario, as como la peticin almacenada en la cach. 7. WebSEAL enva una redireccin HTTP de vuelta al navegador, que contiene la direccin URL del recurso solicitado originalmente. 8. El navegador sigue la redireccin (GET). WebSEAL intercepta la redireccin y vuelve a crear la peticin (formulario) original utilizando los datos de POST de la cach. La peticin (formulario) restaurada se entrega a la designacin de la direccin URL.
71
Figura 17. Ejemplo de flujo de proceso de almacenamiento en la cach de una peticin de WebSEAL
Configuracin de parmetros del almacenamiento en la cach del servidor

Aunque el almacenamiento en la cach de la peticin se produce automticamente para la autenticacin de formularios de WebSEAL, pueden especificarse lmites al tamao de la peticin que WebSEAL almacena en la cach. Los parmetros request-max-cache y request-body-max-read estn ubicados en la stanza [server] del archivo de configuracin webseald.conf. request-max-cache El parmetro request-max-cache especifica la cantidad mxima de datos, en bytes, que WebSEAL almacena en la cach para cada peticin. Por ejemplo:
[server] request-max-cache = 8192
Tal como se describe a continuacin, debe tener en cuenta el valor del parmetro request-body-max-read al especificar request-max-cache. request-body-max-read El parmetro request-body-max-read especifica el tamao mximo del cuerpo de mensaje de la peticin, en bytes, que WebSEAL almacena en la cach para cada
72
peticin. Este parmetro influye particularmente en los tipos de peticin que contienen datos de cuerpo de mensaje, como las peticiones POST y PUT. Por ejemplo:
[server] request-body-max-read = 4096
Este parmetro no limita el tamao mximo de POST (que es ilimitado) para las peticiones que no requieren autenticacin. Tenga en cuenta que el valor de request-max-cache debe acomodar correctamente el valor de request-body-max-read ms el tamao de todos los dems componentes de la peticin. Por ejemplo, si especifica 2048 como lmite de la cach para los cuerpos de mensajes de las peticiones y prev que el tamao mximo de todos los dems componentes de la peticin (tales como cabeceras y cookies) ser de 4096 bytes, entonces: 1. Defina request-body-max-read = 2048 2. Defina request-max-cache = 2048 + 4096 = 6144 Si se han excedido los valores de request-body-max-read o request-max-cache durante una peticin, WebSEAL anula el proceso de almacenamiento en la cach de la peticin, devuelve al navegador un mensaje de error Error en el almacenamiento en cach de la peticin y escribe el error en el archivo de registro. Puede personalizar este mensaje de error. Consulte el apartado Gestin de pginas personalizadas de mensajes de error HTTP en la pgina 33.
Notas y limitaciones
v El valor de request-body-max-read influye tambin en las peticiones de direccin URL dinmica porque la parte de consulta de la peticin POST est contenida en el cuerpo del mensaje de la peticin. v El valor de request-body-max-read influye tambin en la autenticacin de formularios, ya que pone un lmite al tamao de los datos de POST que se procesan durante la autenticacin. v Los parmetros request-body-max-read y request-max-cache protegen a WebSEAL de ataques del tipo de denegacin de servicio, que hacen que WebSEAL almacene en la cach ms datos de los que puede gestionar. v El almacenamiento en la cach de la peticin del servidor no funcionar correctamente si el valor de tiempo de espera de la sesin del usuario caduca durante el proceso de inicio de sesin. En esta situacin, se pierde la entrada de la cach. v El almacenamiento en la cach de la peticin en el servidor puede causar limitaciones en la capacidad del navegador de manipular el recurso. El navegador no sabe que WebSEAL ha vuelto a crear la redireccin HTTP. Por consiguiente, la funcin de recarga y renovacin y la capacidad de almacenamiento en la cach del navegador pueden quedar afectadas.
Gestin de los caracteres codificados UTF-8

De acuerdo con las especificaciones HTTP, los navegadores tienen una limitacin respecto al juego de caracteres que puede utilizarse de forma vlida en una direccin URL. Este rango est definido como los caracteres imprimibles del juego de caracteres ASCII (entre los cdigos hexadecimales 0x20 y 0x7e). Para idiomas distintos del ingls y otras finalidades, los caracteres situados fuera del juego de
73
caracteres ASCII imprimible suelen ser necesarios en las direcciones URL. Estos caracteres pueden codificarse utilizando caracteres imprimibles para su transmisin e interpretacin. Hay varios mtodos distintos de codificacin para transmitir caracteres fuera del rango permitido. A pesar de las especificaciones HTTP, hay tambin numerosos servidores web comerciales que simplemente toleran y aceptan los caracteres que se encuentran fuera del rango vlido. WebSEAL, al actuar como proxy de web, debe ser capaz de gestionar todos estos casos. El mtodo de codificacin de caracteres que goza de una aceptacin ms amplia (estndar de facto) es UTF-8. Muchos servidores web comerciales actuales pueden configurarse para que acepten la codificacin UTF-8. El parmetro utf8-url-support-enabled de la stanza [server] del archivo de configuracin webseald.conf controla cmo WebSEAL interpreta las direcciones URL enviadas desde los navegadores. El parmetro reconoce tres valores: v yes WebSEAL slo reconoce la codificacin UTF-8 en las cadenas de direcciones URL y descodifica la informacin al juego de caracteres nativo (pgina de cdigos local). No se aceptan otras tcnicas de codificacin, como el juego de caracteres de doble byte (DBCS) y Unicode. v no WebSEAL no reconoce la codificacin UTF-8 en las cadenas de las direcciones URL. Ninguna informacin codificada con UTF-8 se interpretar correctamente. Se aceptan otras tcnicas de codificacin. v auto WebSEAL intenta distinguir entre UTF-8 y otros formatos de codificacin de caracteres lingsticos (DBCS y Unicode). WebSEAL procesa correctamente cualquier codificacin UTF-8 construida correctamente. Si no parece tratarse de la codificacin UTF-8, la codificacin se procesa como DBCS o Unicode. Cuando utf8-url-support-enabled se establece en yes (valor predeterminado), WebSEAL supone que las direcciones URL pueden incluir caracteres codificados UTF-8. A continuacin, estos caracteres UTF-8 se validan y se tienen en cuenta a la hora de determinar los derechos de acceso a la direccin URL. La direccin URL se normaliza (es decir, los caracteres codificados se convierten a sus equivalentes de la pgina de cdigos local) y la comprobacin de ACL se aplica a la direccin URL normalizada. El valor predeterminado no permite las direcciones URL con caracteres DBCS o Unicode con el formato %uXXXX. sta es la configuracin recomendada para WebSEAL. Algunas aplicaciones y servidores web existentes no funcionan correctamente con WebSEAL si est habilitado el soporte para UTF-8, ya que estas aplicaciones utilizan DBCS (como Shift-JIS) en la direccin URL u otros mecanismos de codificacin. Si es ste el caso de su despliegue, tiene que realizar las dos tareas siguientes: 1. Edite webseald.conf y establezca el nuevo parmetro de la manera siguiente:
utf8-url-support-enabled = no
2. Asegrese de que todos los servidores con conexin NO aceptan direcciones URL con codificacin UTF-8. Desde la perspectiva de la seguridad, es importante que WebSEAL interprete las direcciones URL de la misma manera que los servidores con conexin (junction).
74
La estrategia de despliegue recomendada es la siguiente: 1. A menos que se necesite con fin al contenido, comprobar y establecer inmediatamente la poltica de ACL default-webseal en los despliegues de produccin existentes NO permite el acceso r no autenticado. Este hecho limita la exposicin de seguridad a los usuarios que tienen una cuenta vlida en el dominio de Access Manager. 2. Asegrese de que el parmetro utf8-url-support-enabled se establece en el valor predeterminado, yes. 3. Pruebe las aplicaciones. Si funcionan correctamente, utilice este valor. 4. Si falla alguna aplicacin con errores de Peticin errnea, vuelva a intentar la aplicacin estableciendo el parmetro utf8-url-support-enabled en no. Si esto funciona correctamente, puede realizar el despliegue con el parmetro establecido en no. Sin embargo, tambin debe asegurarse de que no haya ningn servidor web con conexin (junction) que est configurado para aceptar direcciones URL con codificacin UTF-8.
Prevencin de la vulnerabilidad causada por scripts de sitios cruzados

El script de sitios cruzados hace referencia a una tcnica utilizada para causar la vulnerabilidad de servidores web al incorporar cdigo malicioso en las direcciones URL de las peticiones web. WebSEAL proporciona cierta proteccin incorporada para este tipo de vulnerabilidad y permite refinar ms la proteccin configurando el filtrado de cadenas de direcciones URL. Nota: El trmino script de sitios cruzados, aunque aceptado por el sector, no describe por completo el rango de asuntos que implican la insercin de cdigo malicioso.
Contexto
El script de sitios cruzados es un tipo especfico de vulnerabilidad de los servidores web que se produce cuando una peticin de direccin URL del cliente incluye un script malicioso incorporado. Por ejemplo (Javascript):
<script>cdigo_malicioso</script>
Otros indicadores de script que pueden utilizarse para crear vulnerabilidad son <OBJECT>, <APPLET> y <EMBED>. Cuando un usuario hace clic en un vnculo que contiene el cdigo malicioso (o entra directamente en una direccin URL de este tipo), el script se ejecuta cuando el navegador del usuario lee el HTML. Por ejemplo, puede producirse un ataque cuando un usuario hace clic en un vnculo que contiene la direccin URL siguiente:
https://<host-webseal>/<script>cdigo_malicioso</script>
En este ejemplo, el objeto no se encuentra y WebSEAL responde devolviendo una pgina de error 404 Pgina no encontrada de HTML. Esta pgina de error incluye la direccin URL que contiene el Javascript malicioso. El navegador interpreta la direccin URL y ejecuta el script. Consulte la siguiente lista de advertencias del CERT para obtener informacin completa acerca de la mecnica de los scripts de sitios cruzados y tomar medidas preventivas de carcter general: http://www.cert.org/advisories/CA-2000-02.html
75
Configuracin del filtrado de cadenas de direcciones URL

El programa de los scripts de sitios cruzados y del cdigo malicioso incorporado en general se gestiona de dos maneras. WebSEAL codifica ahora los corchetes angulares (<, >) en las direcciones URL redirigidas. La codificacin puede ayudar a prevenir que el navegador realice una interpretacin normal de los scripts. Adems, ahora puede agregar una nueva stanza al archivo de configuracin webseald.conf. La stanza, [illegal-url-substrings], puede contener parmetros que especifiquen uno o ms fragmentos de cadenas. Por ejemplo:
[illegal-url-substrings] substring = <script substring = <applet substring = <embed
Si WebSEAL detecta cualquier fragmento de cadena configurado en la direccin URL solicitada, la direccin URL no se considera vlida y no se acepta. WebSEAL devuelve una pgina de error 400 Peticin errnea. Este flexible mecanismo permite gestionar futuros esquemas de ataque al agregar valores adicionales de subcadenas. WebSEAL filtra, de forma predeterminada, las cadenas que contienen <script>. No es necesario que se agregue manualmente la stanza [illegal-url-substrings] para filtrar esta cadena en particular. No obstante, cuando se requiere un filtrado adicional, debe crear la stanza y listar individualmente todas las subcadenas, como en el ejemplo anterior. Para inhabilitar por completo la caracterstica de filtrado de cadenas de direcciones URL (incluido el comportamiento predeterminado), ponga una stanza [illegal-url-substrings] vaca en el archivo webseald.conf. Notas funcionales: v Las subcadenas se localizan mediante una bsqueda no sensible a maysculas y minsculas v El filtrado de subcadenas acomoda caracteres de mltiples bytes v El mecanismo protege a los servidores con conexin (junction)
Supresin de la identidad del servidor

En circunstancias normales, las respuestas del servidor HTTP contienen la identidad y la versin del servidor:
content-type: text/html date: Tue, 05 Mar 2002 02:34:18 GMT content-length: 515 server: WebSEAL/3.9.0 last-modified: Thu, 21 Feb 2002 08:03:46 GMT connection: close
Por razones de seguridad, puede que prefiera que WebSEAL suprima esta informacin en sus respuestas a los clientes. Para suprimir la identidad del servidor en las respuestas del servidor HTTP, establezca el parmetro suppress-server-identity en la stanza [server] del archivo de configuracin webseald.conf en yes:
76
[server] suppress-server-identity = yes
El valor predeterminado es no.
Utilizacin de las estadsticas de WebSEAL

WebSEAL proporciona una serie de mdulos de software incorporados que, cuando estn habilitados, pueden supervisar la actividad especfica del servidor y recopilar informacin acerca de esas actividades. En cualquier momento, puede visualizar la informacin estadstica recopilada desde que se habilit ese mdulo. Adems, puede dirigir esta informacin estadstica a archivos de registro. Cuando se muestra la informacin estadsticas, se ve una instantnea de la informacin desde que se habilit el mdulo. La informacin recopilada por las estadsticas de WebSEAL proporciona una vista relativa de la actividad que se est registrando. Si se capturan estadsticas a intervalos regulares durante un cierto perodo de tiempo, se puede generar una vista grfica de la relacin relativa de las actividades del servidor.
Sintaxis del comando pdadmin stats

Utilice el comando pdadmin stats para gestionar los componentes de estadsticas. En este apartado se describen las operaciones vlidas para el comando pdadmin stats:
Comando bsico de pdadmin stats

pdadmin> server task webseald-<instancia> stats <comando>
Con el comando pdadmin stats se pueden realizar las siguientes tareas:

stats on stats off stats show stats get stats reset stats list Habilitar estadsticas dinmicamente, por componente Inhabilitar estadsticas, por componente o todos los componentes a la vez Listar componentes habilitados Mostrar valores actuales de estadsticas por componente o todos los componentes a la vez Restablecer los valores de estadsticas por componente o todos los componentes a la vez Listar todos los componentes de estadsticas disponibles
Habilitar estadsticas dinmicamente

Puede habilitar dinmicamente el informe de estadsticas con el comando pdadmin stats on o de forma esttica con los parmetros de configuracin del archivo de configuracin webseald.conf. Utilice el comando pdadmin stats on para habilitar la recopilacin de estadsticas y establecer la frecuencia, nmero y destino de los informes de estadsticas para un componente.
stats on <componente> [<intervalo> [<recuento>]] [<agentereg>]
77
Argumento componente
Descripcin Nombre del componente de estadsticas. Necesario. Las estadsticas se recopilan en la memoria de WebSEAL para este componente. Las estadsticas para este componente tambin se pueden registrar en un archivo de registro especificando los argumentos opcionales de este comando. El intervalo de tiempo entre informes de informacin. Este argumento es opcional y produce como resultado que se enven las estadsticas a un archivo de registro. Cuando se especifica esta opcin, las estadsticas se envan, de forma predeterminada, a la salida estndar del servidor WebSEAL, que es el archivo de registro de WebSEAL. Para especificar otra ubicacin de salida, utilice el argumento agentereg. Si no se especifica intervalo, no se envan estadsticas a ningn archivo de registro. Sin embargo, el componente de estadsticas seguir habilitado. Puede obtener informes de forma dinmica en cualquier momento mediante pdadmin stats get. Recuento de informes enviados a un archivo de registro. Este argumento es opcional y requiere que se especifique el argumento intervalo. Si se especifica intervalo sin nmero, la duracin del informe es indefinida. Despus de alcanzar el valor de recuento, se detiene el informe a un archivo de registro. Sin embargo, el componente de estadsticas seguir habilitado. Puede obtener informes de forma dinmica en cualquier momento mediante pdadmin stats get. Especifica de forma opcional un destino para la informacin estadstica recopilada para el componente especificado. Consulte el captulo Utilizacin del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin.
intervalo
recuento
agentereg
Nota: De manera predeterminada, los componentes pdweb.threads, pdweb.doccache y pdweb.jmt tambin se habilitan y no se pueden inhabilitar. Consulte tambin el apartado Habilitacin esttica de estadsticas mediante el registro de eventos en la pgina 85. Ejemplo 1: Este ejemplo habilita el componente pdweb.http. Dado que no se ha especificado la opcin intervalo, slo se puede obtener informacin estadstica para este componente de forma dinmica utilizando pdadmin stats get.
pdadmin> server task webseald-<instancia> stats on pdweb.http
Ejemplo 2: Este ejemplo habilita el componente pdweb.http. Dado que se ha especificado el argumento intervalo, la informacin se enva (de forma predeterminada) al archivo de registro estndar de WebSEAL. Los argumentos intervalo y recuento hacen que el archivo de registro acumule 100 entradas que representan informes de estadsticas con 20 segundos de diferencia.
pdadmin> server task webseald-<instancia> stats on pdweb.http 20 100
78
Ejemplo 3: Este ejemplo habilita el componente pdweb.http. El argumento agentereg utiliza la configuracin de registro de eventos para especificar un archivo de destino para la informacin estadstica. Cada 20 segundos y de forma indefinida, el argumento intervalo (sin el valor de recuento) enva informacin estadstica para este componente al archivo de registro. El crecimiento del archivo de registro est controlado por el parmetro rollover_size. Consulte el captulo Utilizacin del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin del registro de eventos.
pdadmin> server task webseald-<instancia> stats on pdweb.http 20 file path=/tmp/jmt-stats.log,rollover_size=-1,flush_interval=20
Ejemplo 4: Este ejemplo ilustra una limitacin de la gestin dinmica de estadsticas. El primer comando habilita el componente pdweb.http y dirige la informacin de estadsticas al archivo A.log. El segundo comando intenta activar un segundo archivo de registro, B.log. No obstante, esta accin produce finalmente como resultado la desactivacin de A.log , al tiempo que se activa B.log.
pdadmin> server task webseald-<instancia> stats on pdweb.http 20 file path=/tmp/A.log pdadmin> server task webseald-<instancia> stats on pdweb.http 20 file path=/tmp/B.log
Inhabilitar estadsticas
Inhabilita la recopilacin de estadsticas para un componente o para todos los componentes a la vez.
stats off [<componente>]
Ejemplo:
pdadmin> server task webseald-<instancia> stats off pdweb.sescache
Nota: De forma predeterminada, los componentes pdweb.threads, pdweb.doccache y pdweb.jmt estn siempre habilitados y no se pueden inhabilitar.
Mostrar componentes de estadsticas habilitados

Lista todos los componentes de estadsticas habilitados o un componente habilitado determinado. Si un componente especfico no est habilitado, no se mostrar ninguna salida.
stats show [<componente>]
Ejemplo 1:
pdadmin> server task webseald-<instancia> stats show pdweb.authn pdweb.doccache pdweb.jmt pdweb.sescache pdweb.threads
Ejemplo 2:
pdadmin> server task webseald-<instancia> stats show pdweb.authn pdweb.authn
Obtener dinmicamente los valores de estadsticas actuales

Muestra los valores actuales de las estadsticas que recopila un componente o todos los componentes habilitados.
79
stats get [<componente>]
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.threads active:4 total:50
Restablecer valores de estadsticas

Restablece los valores recopilados por un componente habilitado o por todos los componentes habilitados a la vez.
stats reset [<componente>]
Ejemplo:
pdadmin> server task webseald-<instancia> stats reset pdweb.threads
Listar todos los componentes de estadsticas disponibles

Lista todos los componentes disponibles para recopilar y generar informes de estadsticas.
stats list
Ejemplo:
pdadmin> server task webseald-<instancia> stats list pd.ras.stats.monitor pd.log.EventPool.queue pd.log.file.clf pd.log.file.ref pd.log.file.agent pdweb.authn pdweb.authz pdweb.http pdweb.https pdweb.threads pdweb.jmt pdweb.sescache pdweb.doccache pdweb.jct.1
Componentes de estadsticas y tipos de actividad

En este apartado se describen los componentes de estadsticas disponibles para IBM Tivoli Access Manager WebSEAL.
Componente pdweb.authn
El componente de estadsticas pdweb.authn recopila informacin relativa a la autenticacin de WebSEAL. La tabla siguiente describe los tipos de informacin disponibles:
Tipo pass fail pwd exp max avg total Descripcin Nmero total de autenticaciones correctas Nmero total de autenticaciones incorrectas Nmero total de intentos de autenticacin efectuados con una contrasea caducada Perodo mximo de tiempo para un solo proceso de autenticacin. Perodo medio de tiempo para un solo proceso de autenticacin. Perodo de tiempo total para todo el proceso de autenticacin
80
Ejemplo:
pdadmin> pass fail pwd exp max avg total server task webseald-<instancia> stats get pdweb.authn : 2 : 1 : 0 : 0.178 : 0.029 : 0.382
Componente pdweb.authz
El componente de estadsticas pdweb.authz recopila informacin relativa a la autorizacin de WebSEAL. La tabla siguiente describe los tipos de informacin disponibles:
Tipo pass fail Descripcin Nmero total de peticiones de autorizacin correctas (a cuntos recursos se ha accedido correctamente) Nmero total de autorizaciones incorrectas
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.authz pass : 2 fail : 1
Componente pdweb.http
El componente de estadsticas pdweb.http recopila informacin relativa a la comunicacin HTTP de WebSEAL. La tabla siguiente describe los tipos de informacin disponibles:
Tipo reqs max-worker total-worker max-webseal Descripcin Nmero total de peticiones HTTP recibidas Perodo mximo de tiempo utilizado por un solo thread de trabajo para procesar una peticin HTTP Perodo de tiempo total utilizado por todos los threads de trabajo que procesan peticiones HTTP Perodo mximo de tiempo utilizado para procesar una sola peticin HTTP, medido dentro del thread de trabajo, despus de haber ledo las cabeceras de peticin y eliminando la actividad general de configuracin de la conexin Perodo total de tiempo utilizado para procesar todas las peticiones HTTP, medido dentro del thread de trabajo, despus de haber ledo las cabeceras de peticin y eliminando la actividad general de configuracin de la conexin
total-webseal
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.http reqs : 0 max-worker : 0.000 total-worker : 0.000 max-webseal : 0.000 total-webseal : 0.000
Componente pdweb.https
El componente de estadsticas pdweb.https recopila informacin relativa a la comunicacin HTTPS de WebSEAL. La tabla siguiente describe los tipos de informacin disponibles:
81
Tipo reqs max-worker total-worker max-webseal
Descripcin Nmero total de peticiones HTTPS recibidas Perodo mximo de tiempo utilizado por un solo thread de trabajo para procesar una peticin HTTPS Perodo de tiempo total utilizado por todos los threads de trabajo que procesan peticiones HTTPS Perodo mximo de tiempo utilizado para procesar una sola peticin HTTPS, medido dentro del thread de trabajo, despus de haber ledo las cabeceras de peticin y eliminando la actividad general de configuracin de la conexin Perodo total de tiempo utilizado para procesar todas las peticiones HTTPS, medido dentro del thread de trabajo, despus de haber ledo las cabeceras de peticin y eliminando la actividad general de configuracin de la conexin
total-webseal
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.https reqs : 0 max-worker : 0.000 total-worker : 0.000 max-webseal : 0.000 total-webseal : 0.000
Componente pdweb.threads
El componente de estadsticas pdweb.threads recopila informacin relativa a la actividad de los threads de trabajo de WebSEAL. Este componente est siempre habilitado de forma predeterminada y no se puede inhabilitar. La tabla siguiente describe los tipos de informacin disponibles:
Tipo active total Descripcin Nmero total de threads de trabajo activos que gestionan peticiones Nmero total de threads de trabajo configurados
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.threads active : 0 total : 50
Componente pdweb.jmt
El componente de estadsticas pdweb.jmt recopila informacin relativa a la tabla de correlacin de conexiones (junctions) WebSEAL. Este componente est siempre habilitado de forma predeterminada y no se puede inhabilitar. La tabla siguiente describe los tipos de informacin disponibles:
Tipo hits Descripcin Nmero total de peticiones que necesitaban la correlacin de direcciones URL a travs de la tabla de correlaciones de conexin (junction)
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.jmt hits : 5
82
Componente pdweb.sescache
El componente de estadsticas pdweb.sescache recopila informacin relativa a la actividad de cach de sesin/credenciales de WebSEAL. La tabla siguiente describe los tipos de informacin disponibles:
Tipo hit Descripcin El nmero de peticiones que han dado como resultado un acierto de la cach de sesin, es decir, el usuario tena una entrada en la cach de sesin y sta se ha referenciado correctamente Nmero de peticiones que han fallado un acierto de cach de sesin Nmero de entradas que se han agregado a la cach de sesin Nmero de entradas que se han suprimido de la cach Nmero de entradas eliminadas de la cach debido a que ha caducado el valor de tiempo de espera de inactividad Nmero de entradas eliminadas de la cach debido a que ha caducado el valor de tiempo de espera de duracin Nmero de veces que una entrada de cach de Utilizado en fecha menos reciente ha caducado o se ha eliminado para crear espacio para una entrada nueva.
miss add del inactive lifetime LRU expired
Ejemplo:
pdadmin> server task webseald-<instance> stats get pdweb.sescache hit : 0 miss : 0 add : 0 del : 0 inactive : 0 lifetime : 0 LRU expired : 0
Componente pdweb.doccache
El componente de estadsticas pdweb.doccache recopila informacin relativa a la actividad de almacenamiento en la cach de documentos de WebSEAL. Este componente informa de estadsticas para todos los tipos MIME habilitados en la stanza [content-cache] del archivo de configuracin webseald.conf. Este componente est siempre habilitado de forma predeterminada y no se puede inhabilitar. La tabla siguiente describe los tipos de informacin global disponibles para todos los tipos MIME:
Tipo Descripcin
General Errors (Errores Nmero de errores sobre los que ha informado el componente generales) pdweb.doccache cuando haya anomalas de asignacin de memoria, anomalas de inicializacin y valores de cabecera de tipo MIME no vlidos. Uncachable (No almacenable en cach) Pending Deletes (Supresiones pendientes) Tamao pendiente Nmero de instancias en que no hay ninguna cach definida para el tipo MIME del documento que se ha de almacenar en cach Nmero de entradas marcadas para su supresin, pero que todava se estn utilizando Nmero de bytes utilizados por las entradas marcadas para su supresin, pero que todava se estn utilizando
83
Tipo Misses (Fallos)
Descripcin Nmero de veces que se busca una direccin URL en la cach de documentos y no se encuentra. Un documento encontrado en la cach elimina la necesidad de acceder de nuevo al documento real. El tipo MIME de documentos almacenados en esta cach.
Tipo MIME de cach
Estadsticas de tipo MIME de cach:

Tipo Max size (Tamao mximo) Max entry size (Tamao mximo de entrada) Size (Tamao) Count (Recuento) Hits (Aciertos) Stale hits (Aciertos caducados) Create waits (Crear esperas) Cache no room (Sin espacio en la cach) Additions (Adiciones) Aborts (Anulaciones) Descripcin Tamao mximo combinado en bytes de todos los documentos de la cach. El tamao mximo en bytes para cualquier documento separado en la cach. Si el tamao del documento sobrepasa este valor calculado internamente, no se almacena en la cach. Recuento total en bytes para todos los documentos que residen actualmente en la cach Nmero actual de entradas en la cach. Nmero de bsquedas satisfactorias (los documentos se han encontrado correctamente en la cach) Nmero de bsquedas satisfactorias que han encontrado una entrada demasiado antigua y que se ha depurado Nmero de veces que peticiones posteriores de un documento han sido bloqueadas (hacer que esperasen) mientras inicialmente se ha almacenado en la cach el contenido del documento Nmero de veces que un documento vlido para su almacenamiento en la cach no puede encajar en la cach porque hay demasiadas entradas que se estn creando al mismo tiempo Nmero de nuevas entradas correctas en la cach Nmero de veces que se ha anulado la creacin de una nueva entrada de cach a causa de problemas o de una cabecera que indica que la entrada no debe almacenarse en la cach
Deletes (Supresiones) Nmero de entradas de cach suprimidas porque la entrada ha caducado o la creacin se ha anulado Updates (Actualizaciones) Too big errors (Errores de demasiado grande) Nmero de entradas de las que se ha actualizado la fecha de caducidad Nmero de intentos de almacenar documentos en la cach que exceden el tamao mximo de la entrada (y, por consiguiente, no se almacenan en la cach)
MT errors (Errores de Nmero de veces que ms de un thread intenta crear la misma MT) entrada en la cach (MT=Mltiples threads)
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.doccache General Errors : 0 Uncachable : 0 Pending Deletes: 0 Pending Size : 0 Misses : 0 Cache MIME type : text/html Max size : 2048000
84
Max entry size Size Count Hits Stale hits Create waits Cache no room Additions Aborts Deletes Updates Too big errors MT errors
: : : : : : : : : : : : :
128000 0 0 0 0 0 0 0 0 0 0 0 0
Componente pdweb.jct.#
El componente de estadsticas pdweb.jct.# recopila informacin relativa a las conexiones (junctions) WebSEAL. La tabla siguiente describe los tipos de informacin disponibles:
Tipo [/] reqs max total Descripcin Nombre real de la conexin (junction) (listado como un nmero en el comando) Nmero total de peticiones direccionadas a travs de esta conexin (junction) Perodo mximo de tiempo consumido en una sola peticin a travs de esta conexin (junction) Perodo de tiempo total consumido por las peticiones a travs de esta conexin (junction)
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.jct.1 [/] reqs : 0 max : 0.000 total : 0.000
Habilitacin esttica de estadsticas mediante el registro de eventos

Las estadsticas pueden configurarse de manera esttica en la stanza [aznapi-configuration] del archivo de configuracin webseald.conf utilizando el parmetro stats para habilitar la interfaz de estadsticas y utilizando el parmetro de registro de eventos logcfg para dirigir la informacin de estadsticas a un destino:
[aznapi-configuration] stats = <componente> [intervalo [recuento]] logcfg = stats.<componente>:<destino>
Consulte Habilitar estadsticas dinmicamente en la pgina 77 para obtener informacin sobre los argumentos intervalo y recuento. Consulte el captulo Utilizacin del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin del registro de eventos.
85
Ejemplo 1: En este ejemplo, el parmetro stats habilita el componente y cualquier argumento intervalo y recuento. El parmetro logcfg especifica el destino de esta informacin. Consulte el captulo Utilizacin del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin.
[aznapi-configuration] stats = pdweb.jmt 20 logcfg = stats.pdweb.jmt:file path=/tmp/jmt.log,rollover_size=-1,flush=20
Ejemplo 2: En este ejemplo, varios parmetros stats habilitan varios componentes. Varios parmetros logcfg especifican varios destinos. Tenga en cuenta que, a diferencia del comando stats on dinmico, puede especificar varios archivos de destino para el mismo componente. Consulte el captulo Utilizacin del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin del registro de eventos.
[aznapi-configuration] stats = pdweb.jmt 20 stats = pdweb.authn 40 stats = pdweb.jct.1 50 logcfg = stats.pdweb.jmt:file path=/tmp/jmtA.log,rollover_size=-1,flush=20 logcfg = stats.pdweb.jmt:file path=/tmp/jmtB.log,rollover_size=-1,flush=20 logcfg = stats.pdweb.authn:file path=/tmp/an.log,rollover_size=-1,flush=20 logcfg = stats.pdweb.jct.1:file path=/tmp/jct.log,rollover_size=-1,flush=20
Utilizacin del programa de utilidad de rastreo para capturar acciones de WebSEAL

El programa de utilidad trace permite capturar informacin acerca de las condiciones de error y el flujo de control de programas en Access Manager Base y Access Manager WebSEAL. Esta informacin se almacena en un archivo y se utiliza con fines de depuracin. El programa de utilidad trace se proporciona principalmente para asistir al personal de soporte en el diagnstico de problemas que se producen con el funcionamiento del software de Access Manager. Como usuario, puede encontrar tiles algunos de los componentes de rastreo de WebSEAL. No obstante, la mayora son escasamente ventajosos, a menos que est diagnosticando problemas complejos con la ayuda de personal de soporte tcnico. Nota: Utilice trace con precaucin. Est pensada como una herramienta que debe utilizarse bajo la direccin de personal de soporte tcnico. Los mensajes de trace son en ocasiones crpticos, no estn traducidos y pueden degradar gravemente el rendimiento del sistema.
Sintaxis bsica del comando trace

pdadmin> server task webseald-<instancia> trace <comando>
Con el comando pdadmin trace se pueden realizar las siguientes tareas:

trace set trace show Habilita el nivel de rastreo y el destino del mensaje de rastreo para un componente y sus subordinados Muestra el nombre y el nivel de todos los componentes habilitados del rastreo o para el componente especificado
86
trace list
Lista todos los componentes de rastreo disponibles
Habilitar rastreo
Utilice el comando pdadmin trace set para habilitar la recopilacin de informacin de rastreo para el componente y nivel especificados.
trace set <componente> <nivel> [<agentereg>] Argumento componente nivel Descripcin Nombre del componente de rastreo. Necesario. Los componentes especficos de WebSEAL tienen el prefijo pdweb. Nivel de informe. Necesario. El argumento de nivel especifica la cantidad de detalles recopilados por el programa de utilidad trace. El rango es de 1 a 9. El nivel 1 especifica la salida ms detallada y el nivel 9 especifica la salida menos detallada. Especifica de forma opcional un destino para la informacin de rastreo recopilada para el componente especificado. Consulte el captulo Utilizacin del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin.
agentereg
Mostrar componentes de rastreo habilitados

Lista todos los componentes de rastreo habilitados o un componente habilitado determinado. Si un componente especfico no est habilitado, no se mostrar ninguna salida.
trace show [<componente>]
Ejemplo:
pdadmin> server task webseald-<instancia> trace set pdweb.debug 2 pdadmin> server task webseald-<instancia> trace show pdweb.debug 2
Listar todos los componentes de rastreo disponibles

Lista el componente especificado o todos los componentes disponibles para recopilar la informacin de rastreo y generar un informe.
trace list [<componente>]
Componentes de rastreo de WebSEAL

pdweb.debug
Nota: El componente pdweb.debug slo opera en el nivel 2. El comando siguiente invoca el programa de utilidad trace para el componente pdweb.debug en el nivel 2 y dirige la salida a un archivo utilizando el mecanismo de registro de eventos para especificar un agente de registro de archivos.
pdadmin> server task webseald-<instancia> trace set pdweb.debug 2 \ file path=/opt/pdweb/log/debug.log
La salida de ejemplo de este comando tal como aparece en el archivo debug.log:

/src/wand/wand/log.c:277: -------------- Browser ===> PD -------------Thread_ID:17 GET /test/index.html HTTP/1.1 Host: bevan
87
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:0.9.4) Gecko/20011128 Netscape6/6.2.1 Accept: text/xml, application/xml, application/xhtml+xml, text/html;q=0.9, image/png, image/jpeg, image/gif;q=0.2, text/plain;q=0.8, text/css, */*;q=0.1 Accept-Language: en-us Accept-Encoding: gzip, deflate, compress;q=0.9 Accept-Charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66 Keep-Alive: 300 Connection: keep-alive --------------------------------------------------/src/wand/wand/log.c:277: -------------- PD ===> BackEnd -------------Thread_ID:17 GET /index.html HTTP/1.1 via: HTTP/1.1 bevan:443 host: mokum.santacruz.na.tivoli.com user-agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:0.9.4) Gecko/20011128 Netscape6/6.2.1 accept: text/xml, application/xml, application/xhtml+xml, text/html;q=0.9, image/png, image/jpeg, image/gif;q=0.2, text/plain;q=0.8, text/css, */*;q=0.1 accept-language: en-us accept-charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66 accept-encoding: gzip, deflate, compress;q=0.9 keep-alive: 300 connection: close --------------------------------------------------/src/wand/wand/log.c:277: -------------- PD <=== BackEnd -------------Thread_ID:17 content-type: text/html date: Mon, 25 Mar 2002 19:48:32 GMT content-length: 7017 etag: "0-1b69-3b688e48" last-modified: Thu, 02 Aug 2001 00:18:32 GMT server: IBM_HTTP_SERVER/1.3.19 Apache/1.3.20 (Win32) connection: close accept-ranges: bytes --------------------------------------------------/src/wand/wand/log.c:277: -------------- Browser <=== PD -------------Thread_ID:17 HTTP/1.1 200 Document follows content-type: text/html date: Mon, 25 Mar 2002 19:48:32 GMT content-length: 7017 etag: "0-1b69-3b688e48" last-modified: Thu, 02 Aug 2001 00:18:32 GMT server: IBM_HTTP_SERVER/1.3.19 Apache/1.3.20 (Win32) connection: close accept-ranges: bytes ---------------------------------------------------
88
Captulo 4. Poltica de seguridad de WebSEAL

Este captulo contiene informacin que describe cmo configurar y personalizar la poltica de seguridad de WebSEAL. ndice de temas: v Polticas de ACL especficas de WebSEAL v Poltica de inicio de sesin en tres intentos en la pgina 91 v v v v v Poltica de intensidad de contraseas en la pgina 92 Poltica POP de intensidad de autenticacin (incremental) en la pgina 95 Poltica POP de autenticacin basada en la red en la pgina 101 Poltica POP de calidad de proteccin en la pgina 103 Gestin de usuarios no autenticados (HTTP / HTTPS) en la pgina 104
Polticas de ACL especficas de WebSEAL

Las siguientes consideraciones de seguridad se aplican al contenedor /WebSEAL del espacio de objetos protegidos: v El objeto WebSEAL empieza la cadena de herencia de ACL para la regin WebSEAL del espacio de objetos v Si no aplica ninguna otra ACL explcita, este objeto define (a travs de la herencia) la poltica de seguridad para todo el espacio web v El permiso traverse es necesario para el acceso a cualquier objeto situado por debajo de este punto Consulte la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener informacin completa sobre las polticas de ACL de Access Manager.
/WebSEAL/<host>
Esta entrada de subdirectorio representa el inicio del espacio web para una instancia determinada de servidor WebSEAL. Las siguientes consideraciones de seguridad se aplican a este objeto: v El permiso traverse es necesario para el acceso a cualquier objeto situado por debajo de este punto v Si no aplica ninguna otra ACL explcita, este objeto define (a travs de la herencia) la poltica de seguridad para todo el espacio de objetos de esta mquina
/WebSEAL/<host>/<archivo>
Esta entrada de subdirectorio representa el objeto de recurso comprobado para el acceso HTTP. Los permisos comprobados dependern de la operacin que se solicite.
Permisos ACL de WebSEAL

La tabla siguiente describe los permisos ACL aplicables para la regin WebSEAL del espacio de objetos:
89
Operacin r x d m read execute delete modify Ver el objeto web.
Descripcin
Ejecutar el programa CGI. Eliminar el objeto web del espacio web. Realizar la transferencia (PUT) de un objeto HTTP. (Colocar publicar - un objeto HTTP en el espacio de objetos de WebSEAL.) Requerido por Policy Server para generar una lista de directorios automatizada del espacio web. Este permiso rige tambin si un cliente puede ver la lista de contenido del directorio cuando no se encuentra la pgina predeterminada index.html.
list
delegation
Concede fiabilidad a un servidor WebSEAL para que acte en nombre de un cliente y pase las peticiones a un servidor WebSEAL con conexin (junction).
Poltica de ACL predeterminada de /WebSEAL

Las entradas esenciales de la ACL de WebSEAL, default-webseal, son:
Grupo iv-admin Grupo webseal-servers Usuario sec_master Cualquier otro No autenticado Tcmdbsvarxl Tgmdbsrxl Tcmdbsvarxl Trx T
Durante la instalacin, esta ACL predeterminada se asocia con el objeto contenedor /WebSEAL en el espacio de objetos. El grupo, webseal-servers, contiene una entrada para cada servidor WebSEAL en el dominio seguro. Los permisos predeterminados permiten a los servidores responder a las peticiones del navegador. El permiso traverse permite la expansin del espacio web tal y como se representa en Web Portal Manager. El permiso list permite a Web Portal Manager visualizar el contenido del espacio web.
Caracteres vlidos para nombres de ACL

Los siguientes caracteres son vlidos para crear nombres de ACL: v A-Z v a-z v v v v subrayado (_) guin (-) barra inclinada invertida (\) Cualquier carcter de un juego de caracteres de doble byte
Para obtener informacin detallada acerca de la creacin de nombres de ACL, consulte la publicacin IBM Tivoli Base Gua del administrador.
90
Poltica de inicio de sesin en tres intentos

La poltica de inicio de sesin en tres intentos, disponible para instalaciones de Access Manager basadas en LDAP, permite especificar un nmero mximo de intentos de inicio de sesin fallidos (n) y un tiempo de bloqueo de penalizacin (x), de forma que si se producen n intentos de inicio de sesin fallidos, el usuario queda bloqueado durante x segundos (o se inhabilita la cuenta). La poltica de inicio de sesin en tres intentos se utiliza para evitar ataques de contraseas contra el sistema. La poltica crea una condicin por la cual el usuario debe esperar un perodo de tiempo antes de realizar otros intentos despus del error de un inicio de sesin. Por ejemplo, una poltica puede indicar que despus de 3 intentos fallidos debe producirse una penalizacin de 180 segundos. Este tipo de poltica de inicio de sesin puede evitar que los intentos de inicio de sesin generados por un sistema de forma aleatoria se produzcan muchas veces por segundo. La poltica de inicio de sesin en tres intentos requiere la contribucin conjunta de dos valores del comando pdadmin policy: v Nmero mximo de intentos de inicio de sesin fallidos policy set max-login-failures v Penalizacin al exceder el valor de intentos de inicio de sesin fallidos policy set disable-time-interval El valor de penalizacin puede incluir un intervalo de tiempo de bloqueo de la cuenta o una inhabilitacin total de sta. Si se ha establecido una poltica de inicio de sesin (como ejemplo) en tres intentos fallidos seguidos de una penalizacin de tiempo de bloqueo especfica, un cuarto intento (correcto o incorrecto) dar como resultado una pgina de error que indicar que la cuenta no est disponible temporalmente debido a la poltica de contraseas. El intervalo de tiempo se especifica en segundos (el intervalo mnimo recomendado es de 60 segundos). Si la poltica disable-time-interval est establecida en disable (inhabilitado), se bloquea la cuenta para este usuario y el atributo account valid (cuenta vlida) de LDAP se establece en no para el usuario. Un administrador puede volver a habilitar la cuenta a travs de Web Portal Manager. Nota: Si se establece disable-time-interval en disable se producir una sobrecarga de administracin adicional. Pueden experimentarse dilaciones al replicar la informacin de account valid (cuenta vlida) en el servidor WebSEAL. Esta situacin depender del entorno LDAP. Adems, algunas implementaciones de LDAP pueden experimentar una degradacin del rendimiento como consecuencia de la operacin de actualizacin de account valid (cuenta vlida). Por estos motivos es recomendable el uso de un intervalo de tiempo de espera.
Sintaxis de los comandos

Los siguientes comandos pdadmin son apropiados slo para su uso con un registro LDAP.
91
Comando
Descripcin
policy set max-login-failures {<nmero>|unset} [-user <nombre-usuario>] policy get max-login-failures [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mximo de intentos de inicio de sesin fallidos permitidos antes de imponer una penalizacin. Este comando depende de una penalizacin establecida en el comando policy set disable-time-interval. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro LDAP. El valor predeterminado es 10 intentos. policy set disable-time-interval {<nmero>|unset|disable} [-user <nombre-usuario>] policy get disable-time-interval [-user <nombre-usuario>] Gestiona la poltica de penalizaciones controlando el perodo de tiempo que debe inhabilitarse una cuenta si se ha alcanzado el nmero mximo de intentos de inicio de sesin fallidos. Como administrador, puede aplicar esta poltica de penalizaciones a un usuario especfico o bien de forma global a todos los usuarios listados en el registro LDAP. El valor predeterminado es 180 segundos.
Poltica de intensidad de contraseas

La poltica de intensidad de contraseas, disponible para instalaciones de Access Manager basadas en LDAP, hace referencia a las estipulaciones de las reglas de la poltica de contraseas para la construccin de una contrasea. Access Manager proporciona dos formas de controlar la poltica de intensidad de contraseas: v Cinco comandos pdadmin de poltica de contraseas v Un mdulo PAM (plugable authentication module) que le permite personalizar una poltica de contraseas Consulte la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference.
Poltica de intensidad de contraseas establecida por el programa de utilidad pdadmin

Los cinco atributos de intensidad de contraseas implementados a travs del programa de utilidad pdadmin son: v Longitud mnima de la contrasea v Caracteres alfabticos mnimos v Caracteres no alfabticos mnimos v Nmero mximo de caracteres repetidos v Espacios permitidos Estas polticas se aplican al crear un usuario con pdadmin o con Web Portal Manager y cuando se cambia una contrasea con pdadmin, con Web Portal Manager o con el programa de utilidad pkmspasswd.
92
Sintaxis de los comandos

Los siguientes comandos pdadmin slo son apropiados para el uso con un registro LDAP. La opcin unset inhabilita este atributo de poltica, es decir, que no se aplica la poltica.
Comando Descripcin
policy set min-password-length {<nmero>|unset} [-user <nombre-usuario>] policy get min-password-length [-user <nombre-usuario>] Gestiona la poltica controlando la longitud mnima de una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 8. policy set min-password-alphas {<nmero>|unset} [-user <nombre-usuario>] policy get min-password-alphas [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mnimo de caracteres alfabticos permitidos en una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 4. policy set min-password-non-alphas {<nmero>|unset} [-user <nombre-usuario>] policy get min-password-non-alphas [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mnimo de caracteres no alfabticos (numricos) permitidos en una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 1. policy set max-password-repeated-chars {<nmero>|unset} [-user <nombre-usuario>] policy get max-password-repeated-chars [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mximo de caracteres repetidos permitidos en una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 2.
93
Comando
Descripcin
policy set password-spaces {yes|no|unset} [-user <nombre-usuario>] policy get password-spaces [-user <nombre-usuario>] Gestiona la poltica controlando si una contrasea puede contener espacios. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es unset (no establecido).
Valores predeterminados de los parmetros de poltica

La tabla siguiente lista los parmetros de poltica y los valores predeterminados:
Parmetro min-password-length min-password-alphas min-password-non-alphas max-password-repeated-chars password-spaces 8 4 1 2 unset Valor predeterminado
Para crear el comportamiento de la poltica de contraseas que se encuentra en releases anteriores de Access Manager, aplique la opcin unset a cada uno de los cinco parmetros de contrasea listados anteriormente.
Ejemplos de contraseas vlidas y no vlidas

La tabla siguiente muestra varios ejemplos de contraseas y los resultados de la poltica segn los valores predeterminados de los cinco parmetros de pdadmin:
Ejemplo password pass passs1234 12345678 password3 Resultado No vlida: debe contener al menos un carcter no alfabtico. No vlida: debe contener 8 caracteres como mnimo. No vlida: contiene ms de dos caracteres repetidos. No vlida: debe contener al menos cuatro caracteres alfabticos. Vlida.
Valores globales y especficos para un usuario

Los comandos pdadmin policy se pueden establecer para un usuario especfico (con la opcin -user) o bien globalmente (sin utilizar la opcin -user). Los valores especficos para un usuario prevalecen sobre los valores globales de la poltica. Tambin puede inhabilitar (unset) un parmetro de poltica, lo que significa que el parmetro no contiene ningn valor. No se comprobarn ni se aplicarn las polticas que tengan la opcin unset. Por ejemplo:
pdadmin> policy set min-password-length 8 pdadmin> policy set min-password-length 4 -user miguel
94
pdadmin> policy get min-password-length Longitud mnima de la contrasea: 8 pdadmin> policy get min-password-length -user miguel Longitud mnima de la contrasea: 4
El usuario miguel tiene una poltica de longitud mnima de contrasea de 4 caracteres; los dems tienen una poltica de longitud mnima de contrasea de 8.
pdadmin> policy set min-password-length unset -user miguel
Ahora, el usuario miguel se rige por la poltica global de longitud mnima de contrasea de 8 caracteres.
pdadmin> policy set min-password-length unset
Ahora ningn usuario, ni siquiera el usuario miguel, tiene una poltica de longitud mnima de la contrasea.
Poltica POP de intensidad de autenticacin (incremental)

Puede utilizar polticas de objetos protegidos (POP) para aplicar determinadas condiciones de acceso en recursos especficos. La poltica POP de intensidad de autenticacin hace posible el control del acceso a objetos en funcin del mtodo de autenticacin. Puede utilizar estas funciones (conocidas a veces como autenticacin incremental) para garantizar que los usuarios que acceden a recursos ms confidenciales utilicen un mecanismo de autenticacin ms potente. Tal vez prefiera esta condicin, debido a la mayor amenaza que representa el acceso inadecuado a determinados recursos. Por ejemplo, puede proporcionar una mayor seguridad a una regin con conexin (junction) del espacio web aplicando una poltica POP incremental que requiera un nivel mayor de autenticacin del que ha utilizado el cliente al entrar inicialmente en el dominio WebSEAL. La poltica de intensidad de autenticacin est establecida en el atributo Mtodo de autenticacin de punto final de IP de una poltica POP.
Configuracin de los niveles de autenticacin incremental

El primer paso al configurar el acceso especfico de la autenticacin es configurar los mtodos de autenticacin soportados y determinar el orden de importancia de estos mtodos de autenticacin. Cualquier cliente que accede a un servidor WebSEAL tiene un nivel de autenticacin, como unauthenticated (no autenticado) o password (contrasea), que indica el mtodo mediante el cual se ha autenticado el cliente por ltima vez con WebSEAL. Es posible que en algunas situaciones sea necesario aplicar los niveles mnimos de seguridad de la autenticacin necesarios para acceder a ciertos recursos. Por ejemplo, es posible que en un entorno se considere que la autenticacin mediante cdigo de paso de seal es ms segura que la autenticacin mediante nombre de usuario y contrasea. Otro entorno puede requerir estndares distintos.
95
En lugar de forzar a los clientes a reiniciar sus sesiones con WebSEAL cuando no cumplen el nivel requerido de autenticacin, el mecanismo de autenticacin incremental proporciona a los clientes una segunda oportunidad de volver a autenticarse utilizando el mtodo (nivel) necesario. La autenticacin incremental significa que el usuario no recibe inmediatamente un mensaje de acceso denegado cuando intenta acceder a un recurso que requiere un nivel de autenticacin mayor que el del inicio de sesin, sino que ve una peticin de autenticacin nueva que solicita informacin para dar soporte a un mayor nivel de autenticacin. Si puede proporcionar ese nivel, se permitir su peticin original. WebSEAL reconoce tres mtodos de autenticacin (niveles) para utilizarlos en el mecanismo de autenticacin incremental: v unauthenticated (no autenticado) v password (contrasea) v token-card (tarjeta de seal) Los niveles de autenticacin se configuran en la stanza [authentication-levels] del archivo de configuracin webseald.conf. Inicialmente, slo hay configurados dos niveles:
[authentication-levels] level = unauthenticated level = password
Segn el orden de los mtodos en la lista, se asigna un ndice de nivel, del 0 al 2, a cada mtodo. v El mtodo unauthenticated (no autenticado) debe ser siempre el primero de la lista y tiene asignado el ndice de nivel 0. v Los mtodos siguientes pueden estar en cualquier orden. Consulte el apartado Notas y limitaciones de autenticacin incremental en la pgina 99. v De forma predeterminada, password (contrasea) aparece en el nivel siguiente, por lo que se encuentra en el ndice de nivel 1. v Debe haber al menos dos entradas para habilitar la autenticacin incremental. Nota: Consulte el apartado Captulo 5, Autenticacin de WebSEAL en la pgina 107 para obtener informacin detallada acerca de la configuracin de los mecanismos de autenticacin necesarios.
Habilitacin de la autenticacin incremental

La autenticacin incremental se implementa mediante una poltica POP asociada con los objetos que requieren una autorizacin de autenticacin confidencial. Utilice el atributo Mtodo de autenticacin de punto final de IP de una poltica POP. El comando pdadmin pop modify set ipauth especifica las redes permitidas y el nivel de autenticacin necesario en el atributo Mtodo de autenticacin de punto final de IP. Los niveles de autenticacin configurados se pueden vincular a rangos de direcciones IP. Este mtodo se ha concebido para proporcionar una flexibilidad de gestin. Si no es importante el filtro de usuarios por direccin IP, puede establecer una sola entrada para anyothernw (cualquier otra red). Este valor afectar a todos
96
los usuarios que accedan, independientemente de la direccin IP, y les solicitar que se autentiquen en el nivel especificado. Es el mtodo ms habitual para implementar la autenticacin incremental. Sintaxis:
pdadmin> pop modify <nombre-pop> set ipauth anyothernw <ndice-nivel>
La entrada anyothernw se utiliza como rango de red que coincidir con cualquier red que no est especificada en la poltica POP. Este mtodo se utiliza para crear una entrada predeterminada que puede rechazar todas las direcciones IP no coincidentes o permitir el acceso a cualquiera que cumpla el requisito de nivel de autenticacin. anyothernw aparece de forma predeterminada en una poltica POP con el ndice de nivel de autenticacin 0. La entrada aparece como Cualquier otra red en el comando pop show:
pdadmin> pop show test Poltica de objetos protegidos: test Descripcin: Test POP Aviso: no Nivel de auditora: none Calidad de proteccin: none Acceso segn hora del da: sun, mon, tue, wed, thu, fri, sat: anytime:local Poltica de mtodos de autenticacin de punto final de IP Cualquier otra red 0
Ejemplo
1. Configure los niveles de autenticacin en el archivo webseald.conf:
[authentication-levels] level = unauthenticated level = token-card
2. Configure el atributo Mtodo de autenticacin de punto final de IP de la poltica POP:

pdadmin> pop modify test set ipauth anyothernw 1 pdadmin> pop show test Poltica de objetos protegidos: test Descripcin: Test POP Aviso: no Nivel de auditora: none Calidad de proteccin: none Acceso segn hora del da: mon, wed, fri:anytime:local Poltica de mtodos de autenticacin de punto final de IP Cualquier otra red 1
Esta poltica requiere incrementar la autenticacin al mtodo de autenticacin de tarjeta de seal (nivel 1) para todos los usuarios que acceden inicialmente como no autenticados (nivel 0). A todos los usuarios no autenticados que intenten acceder a los objetos protegidos por esta poltica POP se les solicitar el nombre de usuario y el cdigo de paso de seal. Consulte tambin el apartado Poltica POP de autenticacin basada en la red en la pgina 101.
Formulario de inicio de sesin incremental

WebSEAL presenta un formulario especial cuando la poltica POP incremental del recurso solicitado fuerza la reautenticacin del cliente. La ubicacin de este
97
formulario HTML se especifica mediante el parmetro stepup-login de la stanza [acnt-mgt] del archivo de configuracin webseald.conf.
[acnt-mgt] stepup-login = stepuplogin.html
Puede configurar este formulario HTML para que cumpla sus requisitos, de la misma forma que puede configurar los formularios login.html o tokenlogin.html. Este archivo contiene macros, en forma de secuencias %TEXTO%, que se sustituyen por los valores apropiados. Esta sustitucin se produce en las funciones de proceso del archivo de plantilla de WebSEAL y permite el uso del formulario para los mtodos de autenticacin de contrasea y seal con el formato correcto. Tambin permite proporcionar otra informacin, como el mensaje de error y el nombre de mtodo (incremental), en el formulario para el usuario.
Figura 18. Formulario de inicio de sesin personalizado incremental para nombre de usuario y contrasea
Figura 19. Formulario de inicio de sesin personalizado incremental para cdigo de paso de seal de SecurID
Algoritmo de autenticacin incremental

WebSEAL utiliza el siguiente algoritmo para procesar las condiciones de una poltica POP:
98
1. Comprobar la poltica de mtodo de autenticacin de punto final de IP de la poltica POP. 2. Comprobar los permisos ACL. 3. Comprobar la poltica de acceso segn la hora del da de la poltica POP. 4. Comprobar la poltica de nivel de auditora de la poltica POP.
Notas y limitaciones de autenticacin incremental

1. La autenticacin incremental tiene soporte en HTTP y HTTPS. 2. No puede pasar del protocolo HTTP a HTTPS. 3. El mtodo no autenticado debe ser siempre el primero de la lista de niveles y no puede encontrarse en ningn otro puesto de la lista. 4. Los mtodos slo se pueden especificar una vez en la lista de niveles. 5. La autenticacin de certificados no es un mtodo soportado para la autenticacin incremental. Nota: La autenticacin incremental gestiona certificados de cliente como caso especial. Si un cliente accede a WebSEAL con un certificado de cliente y WebSEAL est configurado para aceptar certificados, el cliente se tratar como no autenticado con el ndice de nivel 0.
Del mtodo: unauthenticated password token-card Se puede pasar a: password token-card token-card password
6. Los mtodos de autenticacin representan los niveles de autenticacin. Esto significa que es imposible especificar un mecanismo de autenticacin preciso para la autenticacin en ese nivel. Los mtodos de autenticacin pueden estar soportados por varios mecanismos de autenticacin, incluidos los autenticadores locales y los autenticadores externos personalizados. WebSEAL sigue reglas especficas para determinar el autenticador que se debe seleccionar cuando se han configurado varias instancias del mismo tipo de mtodo de autenticacin. 7. Si hay tres niveles configurados, los valores de ndice vlidos son 0, 1 y 2. Si hay algn otro valor de ndice configurado, WebSEAL presenta una pgina de error siempre que se solicita un objeto asociado con esa poltica POP. 8. La configuracin incorrecta de los niveles de autenticacin incremental en el archivo de configuracin webseald.conf da como resultado la inhabilitacin de la funcionalidad incremental en WebSEAL. Esta situacin puede producir comportamientos inesperados de autenticacin como, por ejemplo, la emisin de la pgina de inicio de sesin de contrasea para objetos protegidos por una poltica POP que requiera el mtodo de autenticacin de cdigo de paso de seal. Despus de configurar los niveles de autenticacin incremental, compruebe el archivo webseald.log para ver si hay informes de errores de configuracin.
99
Distincin entre autenticacin incremental y de mltiples factores

La autenticacin incremental y la autenticacin de mltiples factores de Access Manager son dos mecanismos diferentes y separados de control del acceso a los recursos. Access Manager slo proporciona funciones de autenticacin incremental, que se describen en este captulo. La autenticacin de mltiples factores obliga al usuario a autenticarse utilizando dos o ms niveles de autenticacin. Por ejemplo, el control de acceso en un recurso protegido puede requerir que el usuario se autentique con el nombre de usuario/contrasea y con el nombre de usuario/cdigo de paso de seal. La autenticacin incremental de Access Manager se basa en una jerarqua preconfigurada de niveles de autenticacin y aplica un nivel especfico de autenticacin segn la poltica establecida en un recurso. La autenticacin incremental no obliga al usuario a autenticarse utilizando mltiples niveles de autenticacin para acceder a cualquier recurso dado, sino que la autenticacin incremental requiere que el usuario se autentique a un nivel por lo menos tan alto como necesite la poltica que protege el recurso. Ejemplo de autenticacin incremental: Niveles de autenticacin configurados: v nivel de autenticacin 1 = nombre usuario/contrasea v nivel de autenticacin 2 = nombre usuario/cdigo paso seal El siguiente objeto est protegido por una POP que requiere el nivel de autenticacin 1:
/WebSEAL/hostA/junction
El siguiente objeto est protegido por una POP que requiere el nivel de autenticacin 2:
/WebSEAL/hostA/junction/aplicacinA
Bajo la autenticacin incremental, la autenticacin de nombre de usuario/contrasea es necesaria para acceder a /WebSEAL/hostA/junction. No obstante, la autenticacin de nombre de usuario/cdigo de paso de seal (nivel 2) es necesaria para acceder a /WebSEAL/hostA/junction/aplicacinA. Si el usuario ha iniciado la sesin con un nombre de usuario y una contrasea, aparece una solicitud que solicita la informacin de nombre de usuario y de cdigo de paso de seal (incremental). No obstante, si el usuario inicia la sesin inicialmente en WebSEAL con el nombre de usuario y el cdigo de paso de seal, el acceso a aplicacinA es inmediato (suponiendo que haya una comprobacin positiva de ACL). La autenticacin de mltiples factores requerira ambas autenticaciones de nivel 1 y de nivel 2 para acceder a aplicacinA.
100
Poltica POP de autenticacin basada en la red

La poltica POP de autenticacin basada en la red hace posible el control del acceso a objetos en funcin de la direccin IP del usuario. Puede utilizar esta funcin para evitar que direcciones IP especficas (o rangos de direcciones IP) accedan a cualquier recurso del dominio seguro. Tambin puede aplicar la configuracin de la autenticacin incremental a esta poltica y solicitar un mtodo de autenticacin especfico para cada rango de direcciones IP especificado. La poltica de autenticacin basada en la red est establecida en el atributo Mtodo de autenticacin de punto final de IP de una poltica POP. Debe especificar dos requisitos en este atributo: v Niveles de autenticacin v Redes permitidas
Configuracin de niveles de autenticacin

WebSEAL reconoce tres mtodos de autenticacin para utilizarlos en el mecanismo de autenticacin incremental: v unauthenticated (no autenticado) v password (contrasea) v token-card (tarjeta de seal) Segn el orden de los mtodos en la lista, se asigna un ndice de nivel, del 0 al 2, a cada mtodo. Los niveles de autenticacin se configuran en la stanza [authentication-levels] del archivo de configuracin webseald.conf. Inicialmente, slo hay configurados dos niveles:
[authentication-levels] level = unauthenticated level = password
Puede utilizar estos valores predeterminados cuando configure la autenticacin basada en la red. En ese caso, unauthenticated (no autenticado) es el nivel 0 y password (contrasea) es el nivel 1. Consulte tambin el apartado Configuracin de los niveles de autenticacin incremental en la pgina 95.
Especificacin de direcciones IP y rangos

Especifique las direcciones IP y los rangos de direcciones IP permitidos por esta poltica POP. El comando pdadmin pop modify set ipauth add especifica tanto la red (o rango de redes) como el nivel de autenticacin requerido en el atributo Mtodo de autenticacin de punto final de IP. Sintaxis:
pdadmin> pop modify <nombre-pop> set ipauth add <red> <mscara-red> <ndice-nivel>
Los niveles de autenticacin configurados estn vinculados a los rangos de direcciones IP. Este mtodo se ha concebido para proporcionar flexibilidad. Si no es
101
importante el filtro de usuarios por direccin IP, puede establecer una sola entrada para anyothernw (cualquier otra red). Este valor afectar a todos los usuarios que accedan, independientemente de la direccin IP, y les solicitar que se autentiquen en el nivel especificado. Sintaxis:
pdadmin> pop modify <nombre-pop> set ipauth anyothernw <ndice-nivel>
De lo contrario, si desea omitir el nivel de autenticacin y permitir o denegar el acceso slo segn la direccin IP, puede utilizar el nivel 0 para los rangos que desee permitir y forbidden (prohibido) para los rangos que desee rechazar. La entrada anyothernw se utiliza como rango de red que coincide con cualquier red que no est especificada en la poltica POP. Este mtodo se utiliza para crear una entrada predeterminada que puede rechazar todas las direcciones IP no coincidentes o permitir el acceso a cualquiera que cumpla el requisito de nivel de autenticacin. anyothernw aparece de forma predeterminada en una poltica POP con el ndice de nivel de autenticacin 0. La entrada aparece como Cualquier otra red en el comando pop show:
pdadmin> pop show test Poltica de objetos protegidos: test Descripcin: Test POP Aviso: no Nivel de auditora: none Calidad de proteccin: none Acceso segn hora del da: sun, mon, tue, wed, thu, fri, sat: anytime:local Poltica de mtodos de autenticacin de punto final de IP Cualquier otra red 0
Consulte el apartado Configuracin de los niveles de autenticacin incremental en la pgina 95 para obtener informacin detallada acerca de la configuracin de los niveles de autenticacin.
Ejemplos
Para solicitar a los usuarios del rango de direcciones IP 9.0.0.0 y mscara de red 255.0.0.0 la utilizacin del nivel de autenticacin 1 (el valor predeterminado es password):
pdadmin> pop modify test set ipauth add 9.0.0.0 255.0.0.0 1
Para solicitar a un usuario especfico la utilizacin del nivel de autenticacin 0:

pdadmin> pop modify test set ipauth add 9.1.2.3 255.255.255.255 0
Para evitar que todos los usuarios (distintos de los especificados en los ejemplos anteriores) tengan acceso al objeto:
pdadmin> pop modify test set ipauth anyothernw forbidden
Inhabilitacin de la autenticacin incremental por direccin IP

Sintaxis:
pdadmin> pop modify <nombre-pop> set ipauth remove <red> <mscara-red>
Por ejemplo:
pdadmin> pop modify test set ipauth remove 9.0.0.0 255.0.0.0
102
Algoritmo de autenticacin basada en red

WebSEAL utiliza el siguiente algoritmo para procesar las condiciones de una poltica POP: 1. Comprobar la poltica de mtodo de autenticacin de punto final de IP de la poltica POP. 2. Comprobar los permisos ACL. 3. Comprobar la poltica de acceso segn la hora del da de la poltica POP. 4. Comprobar la poltica de nivel de auditora de la poltica POP.
Notas y limitaciones de autenticacin basada en red

La direccin IP que utiliza WebSEAL para aplicar la poltica de autenticacin basada en la red debe ser la del originador de la conexin TCP. Si la topologa de la red utiliza proxies HTTP, la direccin que reciba WebSEAL puede ser la direccin IP del servidor proxy. En tal caso, WebSEAL no puede identificar de forma definitiva la direccin IP verdadera del cliente. Debe tener cuidado al configurar una poltica de autenticacin basada en la red para que los clientes de la red puedan conectarse directamente con el servidor WebSEAL.
Poltica POP de calidad de proteccin

El atributo POP de calidad de proteccin le permite especificar el nivel de proteccin de datos necesario al realizar una operacin en un objeto. Actualmente, este atributo slo es apropiado en un entorno WebSEAL. El atributo POP de calidad de proteccin es la sustitucin de los bits de permisos ACL P e I que activaban los requisitos de privacidad e integridad en las versiones anteriores de Access Manager. Esta implementacin anterior de la calidad de proteccin no era eficaz y minaba el rendimiento del sistema. El atributo POP de calidad de proteccin permite una sola transaccin donde la respuesta yes a la decisin de ACL incluye tambin el nivel de calidad de proteccin requerido. Si el gestor de recursos (como WebSEAL) no puede garantizar el nivel de proteccin requerido, se rechaza la peticin.
pdadmin> pop modify <nombre-pop> set qop {none|integrity|privacy} Nivel de QOP Privacy (Privacidad) Integrity (Integridad) Descripcin Es necesario el cifrado de datos (SSL). Utilizar algn mecanismo para garantizar que no han cambiado los datos.
Por ejemplo:
pdadmin> pop modify test set qop privacy
103
Gestin de usuarios no autenticados (HTTP / HTTPS)

WebSEAL acepta las peticiones de usuarios autenticados y no autenticados a travs de HTTP y HTTPS. WebSEAL utiliza entonces en el servicio de autorizaciones para aplicar la poltica de seguridad y permitir o rechazar el acceso a los recursos protegidos. Las siguientes condiciones son aplicables para los usuarios no autenticados que acceden a travs de SSL: v El intercambio de informacin entre el usuario no autenticado y WebSEAL est cifrado, de la misma forma que con los usuarios autenticados. v Las conexiones SSL entre usuarios no autenticados y WebSEAL slo requieren la autenticacin de servidor.
Proceso de una peticin de un cliente annimo

1. Un cliente annimo realiza una peticin a WebSEAL (a travs de HTTP o HTTPS). 2. WebSEAL crea una credencial no autenticada para ese cliente. 3. La peticin sigue, con esta credencial, hasta el objeto web protegido. 4. El servicio de autorizaciones comprueba los permisos en la entrada no autenticada de ACL para este objeto y permite o rechaza la operacin solicitada. 5. El acceso correcto a ese objeto depende de que la entrada de ACL no autenticada contenga al menos los permisos read (r) y traverse (T). 6. Si la peticin no supera la decisin de autorizacin, el cliente recibe un formulario de inicio de sesin (basado en formularios o BA).
Obligacin del inicio de sesin de usuario

Puede obligar a un usuario no autenticado a que inicie una sesin estableciendo correctamente los permisos apropiados en la entrada no autenticada de la poltica de ACL que protege el objeto solicitado. Los permisos read (r) y traverse (T) permiten a los usuarios no autenticados el acceso a un objeto. Para obligar al usuario no autenticado a iniciar una sesin, elimine el permiso read (r) de la entrada no autenticada de la poltica de ACL que protege el objeto. El usuario recibir una solicitud de inicio de sesin (basado en formularios o BA).
Aplicaciones HTTPS sin autenticar

Hay muchos motivos empresariales prcticos para dar soporte al acceso no autenticado a WebSEAL a travs de HTTPS: v Algunas aplicaciones no requieren un inicio de sesin personal, pero s informacin confidencial como, por ejemplo, direcciones y nmeros de tarjeta de crdito. Es el caso de las compras en lnea de billetes de avin u otros productos. v Algunas aplicaciones requieren que el usuario registre una cuenta en la empresa antes de proceder con otras transacciones. Para ello, se debe pasar informacin confidencial por la red.
104
Control de usuarios no autenticados con polticas de ACL/POP

Nota: El tipo de entrada any-authenticated (cualquier autenticado) es equivalente al tipo de entrada any-other (cualquier otro). 1. Para permitir el acceso de un usuario no autenticado a los objetos pblicos, proteja el contenido pblico con una ACL que contenga al menos los permisos read (r) y traverse (T) para las entradas unauthenticated (no autenticado) y any-authenticated (cualquier autenticado):
unauthenticated Tr any-authenticated Tr
Nota: La entrada unauthenticated es una mscara (una operacin and a nivel de bit) contra la entrada any-authenticated cuando se determinan los permisos. Slo se otorga un permiso para unauthenticated si ste aparece tambin en la entrada any-authenticated. Puesto que unauthenticated depende de any-authenticated, no tiene sentido que una ACL contenga unauthenticated sin any-authenticated. Si una ACL contiene unauthenticated sin any-authenticated, la respuesta predeterminada es no otorgar ningn permiso a unauthenticated. 2. Para requerir el cifrado (SSL), proteja el contenido con una poltica de objetos protegidos (POP) que especifica la privacidad como una condicin. Consulte el apartado Poltica POP de calidad de proteccin en la pgina 103.
105
106
Captulo 5. Autenticacin de WebSEAL

En este captulo se describe cmo WebSEAL mantiene el estado de la sesin y controla el proceso de autenticacin. Una autenticacin correcta produce una identidad de Access Manager que representa al usuario. WebSEAL utiliza esta identidad para adquirir las credenciales para este usuario. El servicio de autorizaciones utiliza las credenciales para permitir o denegar el acceso a los recursos protegidos. ndice de temas: v Informacin sobre el proceso de autenticacin en la pgina 107 v Gestin del estado de la sesin en la pgina 109 v Visin general de la configuracin de autenticacin en la pgina 118 v Configuracin de la autenticacin bsica en la pgina 122 v Configuracin de la autenticacin de formularios en la pgina 123 v Configuracin de la autenticacin de certificados del cliente en la pgina 125 v v v v v Configuracin de la autenticacin de cabeceras HTTP en la pgina 128 Configuracin de autenticacin de direcciones IP en la pgina 130 Configuracin de la autenticacin de seales en la pgina 130 Soporte para agentes MPA (Multiplexing Proxy Agents) en la pgina 131 Configuracin de la reautenticacin basada en la poltica de seguridad en la pgina 134 v Configuracin de la reautenticacin basada en la poltica de inactividad de sesin en la pgina 137
Informacin sobre el proceso de autenticacin

La autenticacin es el mtodo para identificar un proceso o entidad individual que intenta conectarse a un dominio seguro. v WebSEAL da soporte a varios mtodos de autenticacin de forma predeterminada y se puede personalizar para que utilice otros mtodos. v El resultado de la autenticacin correcta en WebSEAL es una identidad en el registro de usuarios de Access Manager. v WebSEAL utiliza esta identidad para obtener una credencial para ese usuario. v El servicio de autorizaciones utiliza esta credencial para permitir o denegar el acceso a los objetos protegidos despus de evaluar los permisos ACL y las condiciones de POP que rigen la poltica para cada objeto. Nota: ACL = poltica de lista de control de accesos POP; = poltica de objetos protegidos Durante la autenticacin, WebSEAL examina la peticin de cliente y busca la siguiente informacin: v Datos de sesin Los datos de sesin es informacin que identifica una conexin especfica entre el cliente y el servidor WebSEAL. Los datos de sesin se almacenan en el cliente y acompaan a las siguientes peticiones del cliente. Se utilizan para volver a
107
identificar la sesin de cliente en el servidor WebSEAL y evitar la sobrecarga de establecer una nueva sesin en cada peticin. v Datos de autenticacin Los datos de autenticacin es informacin del cliente que permite identificarlo en el servidor WebSEAL. Los tipos de datos de autenticacin son los certificados de cliente, las contraseas y los cdigos de seal. Cuando WebSEAL recibe una peticin de cliente, busca siempre en primer lugar los datos de sesin y, a continuacin, los datos de autenticacin. La peticin de cliente inicial no contiene nunca datos de sesin.
Tipos de datos de sesin soportados

WebSEAL da soporte a los siguientes tipos de datos de sesin: 1. ID de SSL (definido por el protocolo SSL) 2. Cookie de sesin especfica del servidor 3. Datos de cabecera BA 4. Datos de cabecera HTTP 5. Direccin IP Cuando WebSEAL examina una peticin de cliente, busca los datos de sesin en el orden especificado en esta lista.
Mtodos de autenticacin soportados

Aunque WebSEAL funciona de manera independiente del proceso de autenticacin, WebSEAL utiliza credenciales para supervisar a todos los usuarios que participan en el dominio seguro. Para obtener la informacin de identidad necesaria para la adquisicin de credenciales, WebSEAL confa en la informacin que se obtiene en el proceso de autenticacin. WebSEAL da soporte a los siguientes mtodos de autenticacin para la adquisicin de credenciales:
Mtodo de autenticacin 1. Cookie de resolucin de errores 2. Seal de ID de CDSSO 3. Certificado de cliente 4. Cdigo de paso de seal 5. Autenticacin de formularios (nombre de usuario y contrasea) 6. Autenticacin bsica (nombre de usuario y contrasea) 7. Cabeceras HTTP 8. Direccin IP Tipo de conexin soportado HTTP y HTTPS HTTP y HTTPS HTTPS HTTP y HTTPS HTTP y HTTPS HTTP y HTTPS HTTP y HTTPS HTTP y HTTPS
Cuando WebSEAL examina una peticin de cliente, busca los datos de autenticacin en el orden especificado en esta tabla. Los mtodos de autenticacin se pueden habilitar e inhabilitar de manera independiente para los transportes HTTP y HTTPS. Si no se habilita ningn
108
mtodo de autenticacin para un transporte determinado, el proceso de autenticacin estar desactivado para los clientes que utilicen ese transporte.
Gestin del estado de la sesin

Una conexin o sesin segura entre un cliente y un servidor requiere que el servidor tenga la posibilidad de recordar, a travs de numerosas peticiones, con quin est hablando. El servidor debe tener algn tipo de informacin de estado de la sesin que identifique al cliente asociado con cada peticin. Este apartado contiene los temas siguientes: v Visin general del estado de la sesin en la pgina 109 v Visin general de la cach de sesin de GSKit y WebSEAL en la pgina 109 v Configuracin de la cach de ID de sesin SSL de GSKit en la pgina 110 v Configuracin de la cach de sesin/credenciales de WebSEAL en la pgina 111 v Mantenimiento del estado con cookies de sesin en la pgina 112 v Determinacin de los tipos de datos vlidos de ID de sesin en la pgina 114 v Configuracin de cookies de resolucin de errores en la pgina 115
Visin general del estado de la sesin

Sin un estado de la sesin establecido entre el cliente y el servidor, la comunicacin entre el cliente y el servidor se debe renegociar para cada peticin posterior. La informacin sobre el estado de la sesin mejora el rendimiento, ya que evita tener que cerrar y volver a abrir repetidamente las conexiones entre cliente y servidor. El cliente puede iniciar la sesin una vez y realizar numerosas peticiones sin realizar un inicio de sesin distinto para cada peticin. WebSEAL maneja la comunicacin HTTP y HTTPS. HTTP es un protocolo sin informacin de estado y no proporciona ninguna forma para distinguir una peticin de otra. Por otro lado, el protocolo de transporte SSL est especialmente diseado para proporcionar un ID de sesin para mantener la informacin de estado de la sesin. La comunicacin HTTP se puede encapsular en SSL para convertirse en HTTPS. No obstante, WebSEAL debe manejar a menudo comunicaciones HTTP de clientes sin autenticar. Y hay casos en los que el ID de sesin SSL no es la mejor solucin. Por lo tanto, WebSEAL est diseado para utilizar cualquiera de los siguientes tipos de informacin para mantener el estado de la sesin con un cliente: 1. ID de SSL 2. Cookie de sesin especfica del servidor 3. Datos de cabecera BA 4. Datos de cabecera HTTP 5. Direccin IP
Visin general de la cach de sesin de GSKit y WebSEAL

La cach de sesin permite a un servidor almacenar la informacin de ID de sesin de varios clientes. WebSEAL utiliza dos tipos de cachs de sesin para acomodar informacin de estado de la sesin HTTPS y HTTP. v Cach de sesin/credenciales de WebSEAL
109
La cach de sesin/credenciales de WebSEAL almacena cualquier tipo de informacin de ID de sesin (vea la lista anterior), as como la informacin de credenciales que se haya obtenido para cada cliente. La informacin de credenciales se guarda en la cach para eliminar las consultas repetitivas a la base de datos de registro de usuarios durante las comprobaciones de autorizaciones. v Cach de ID de sesin SSL de GSKit La cach de sesin de GSKit maneja la comunicacin HTTPS (SSL) cuando se utiliza la informacin de ID de sesin SSL para mantener el estado de la sesin. La cach de GSKit tambin mantiene la informacin de estado de la sesin para la conexin SSL entre WebSEAL y el registro de usuarios de LDAP. Hay disponibles varios parmetros de configuracin para cada cach que permiten ajustar el rendimiento de la cach. Estos parmetros se resumen en la siguiente figura
Figura 20. Parmetros de configuracin de cach de sesin
Configuracin de la cach de ID de sesin SSL de GSKit

Las siguientes tareas de configuracin estn disponibles para la cach de ID de sesin SSL de GSKit: v Definicin del valor de tiempo de espera de entrada de cach v Definicin del valor mximo de entradas simultneas
Definicin del valor de tiempo de espera de entrada de cach

Los parmetros para establecer el tiempo de espera mximo de duracin para una entrada en la cach de ID de sesin SSL de GSKit se encuentran en la stanza [ssl] del archivo de configuracin webseald.conf. Existen dos parmetros: uno para las conexiones SSL V2 (ssl-v2-timeout) y otro para las conexiones SSL V3 (ssl-v3-timeout). El tiempo de espera predeterminado de la sesin SSL V2 (en segundos) es 100 (con un valor posible entre 1 y 100):
[ssl] ssl-v2-timeout = 100
El tiempo de espera predeterminado de la sesin SSL V3 (en segundos) es 7200 (con un valor posible entre 1 y 86400):
110
[ssl] ssl-v3-timeout = 7200
Definicin del valor mximo de entradas simultneas

El parmetro ssl-max-entries, que se encuentra en la stanza [ssl] del archivo de configuracin webseald.conf, establece el nmero mximo de entradas simultneas en la cach de ID de sesin SSL de GSKit. Este valor se corresponde con el nmero de inicios de sesin simultneos. Cuando el tamao de la cach alcanza este valor, se eliminan entradas de la cach, segn el algoritmo de menos utilizado recientemente, para permitir nuevos inicios de sesin entrantes. El nmero predeterminado de inicios de sesin simultneos es 4096:
[ssl] ssl-max-entries = 4096
Configuracin de la cach de sesin/credenciales de WebSEAL

Las siguientes tareas de configuracin estn disponibles para la cach de credenciales/sesin de WebSEAL: v Definicin del valor mximo de entradas simultneas v Definicin del valor de tiempo de espera de duracin de la entrada de cach v Definicin del valor del tiempo de espera de inactividad de entrada de cach
Definicin del valor mximo de entradas simultneas

El parmetro max-entries, ubicado en la stanza [session] del archivo de configuracin webseald.conf, establece el nmero mximo de entradas simultneas en la cach de sesin/credenciales de WebSEAL. Este valor se corresponde con el nmero de inicios de sesin simultneos. Cuando el tamao de la cach alcanza este valor, se eliminan entradas de la cach, segn el algoritmo de menos utilizado recientemente, para permitir nuevos inicios de sesin entrantes. El nmero predeterminado de inicios de sesin simultneos es 4096:
[session] max-entries = 4096
Definicin del valor de tiempo de espera de duracin de la entrada de cach

El parmetro timeout, ubicado en la stanza [session] del archivo de configuracin webseald.conf, establece el valor mximo del tiempo de espera de duracin para todas las sesiones de usuario que estn almacenadas en la cach de sesin/credenciales de WebSEAL. WebSEAL almacena internamente en la cach la informacin de credenciales. El parmetro de tiempo de espera de la cach de la sesin establece el tiempo durante el que la informacin de la credencial de autorizaciones permanece en la memoria de WebSEAL. El parmetro no es un tiempo de espera de inactividad. El valor se correlaciona con una duracin de credencial en lugar de un tiempo de espera de inactividad de sesin. Su objetivo es mejorar la seguridad forzando al usuario la reautenticacin cuando se alcanza el lmite de tiempo de espera especificado.
111
El tiempo de espera predeterminado de duracin de la entrada de cach de sesin (en segundos) es de 3600:
[session] timeout = 3600
Definicin del valor del tiempo de espera de inactividad de entrada de cach

El parmetro inactive-timeout, ubicado en la stanza [session] del archivo de configuracin webseald.conf, establece el valor del tiempo de espera de inactividad de la sesin del usuario. El tiempo de espera predeterminado de inactividad en el inicio de la sesin (en segundos) es 600:
[session] inactive-timeout = 600
Para inhabilitar esta funcin de tiempo de espera, establezca el valor del parmetro en 0.
Mantenimiento del estado con cookies de sesin

Un mtodo para mantener el estado de la sesin entre un cliente y un servidor es utilizar una cookie para retener la informacin de esta sesin. El servidor empaqueta la informacin de estado para un cliente concreto en una cookie y la enva al navegador del cliente. Para cada peticin nueva, el navegador se vuelve a identificar enviando la cookie (con la informacin sobre la sesin) de vuelta al servidor. Las cookies de sesin ofrecen una posible solucin en situaciones en las que el cliente utiliza un navegador que renegocia su sesin de SSL despus de perodos de tiempo breves. Por ejemplo, algunas versiones del navegador Microsoft Internet Explorer renegocian las sesiones de SSL cada dos o tres minutos. La cookie de sesin slo proporciona la reautenticacin de un cliente para el servidor nico que el cliente tena anteriormente autenticado en un perodo corto de tiempo (unos diez minutos). El mecanismo se basa en una cookie de servidor que no se puede pasar a ninguna mquina que no sea la que ha generado la cookie. Adems, la cookie de la sesin contiene slo un nmero de identificador aleatorio que se utiliza para el ndice en la cach de la sesin del servidor. No hay ms informacin expuesta en la cookie de la sesin, ya que sta no puede comprometer la poltica de seguridad.
Informacin sobre las cookies de sesin

WebSEAL utiliza una cookie de sesin segura especfica para el servidor. Las siguientes condiciones son aplicables a este mecanismo de cookies: v La cookie contiene slo informacin sobre la sesin; no contiene informacin sobre la identidad v La cookie reside slo en la memoria del navegador (no se escribe en el contenedor de cookies del disco) v La cookie tiene una duracin limitada v La cookie tiene parmetros de ruta de acceso y de dominio que prohben su uso a otros servidores
112
Habilitacin e inhabilitacin de las cookies de ID de sesin

El parmetro ssl-id-sessions, que se encuentra en la stanza [session] del archivo de configuracin webseald.conf, habilita e inhabilita las cookies de sesin. Este parmetro controla si se utiliza el ID de sesin SSL para mantener el inicio de sesin en los clientes que acceden mediante HTTPS. Si el parmetro se establece en no, se utilizan las cookies de sesin en la mayora de mtodos de autenticacin.
[session] ssl-id-sessions = no
Un valor de configuracin no para este parmetro da como resultado las siguientes condiciones en los clientes que acceden mediante HTTPS: 1. El ID de sesin SSL no se utiliza nunca como informacin de ID de sesin. 2. Las cookies se utilizarn para mantener las sesiones con los clientes que se autentiquen con cookies de resolucin de errores, seales de ID de CDSSO, nombre de usuario y contrasea de formularios, cdigo de paso de seal y certificados de clientes. 3. Las cookies se utilizan en los clientes de autenticacin bsica slo si use-same-session = yes (consulte el apartado siguiente). En caso contrario, se utiliza la cabecera BA para los datos de ID de sesin. 4. La cabecera HTTP se utiliza como informacin de ID de sesin en los clientes que se autentican con cabeceras HTTP. 5. La direccin IP se utiliza como informacin de ID de sesin en los clientes que se autentican con direcciones IP. Si se utilizan cookies para mantener el estado de la sesin, la cookie se enva slo una vez al navegador, despus de iniciar la sesin correctamente. No obstante, algunos navegadores imponen un lmite al nmero de cookies en memoria que pueden almacenar simultneamente. En algunos entornos, las aplicaciones pueden colocar un gran nmero de cookies en memoria por dominio en los sistemas cliente. En este caso, cualquier cookie configurada de sesin de WebSEAL o de resolucin de errores se puede sustituir fcilmente por otra cookie. Cuando se configura WebSEAL para utilizar cookies de sesin (y quizs cookies de resolucin de errores), se puede configurar el parmetro resend-webseal-cookies, que se encuentra en la stanza [session] del archivo de configuracin webseald.conf, para que WebSEAL enve la cookie de sesin y la cookie de resolucin de errores al navegador con cada respuesta. Esta accin permite asegurar que la cookie de sesin y la cookie de resolucin de errores permanecen en la memoria del navegador. El parmetro resend-webseal-cookies tiene un valor predeterminado de no:
[session] resend-webseal-cookies = no
Cambie el valor predeterminado a yes para enviar cookies de sesin de WebSEAL y cookies de resolucin de errores con cada respuesta.
Habilitacin e inhabilitacin de las mismas sesiones

Se puede configurar WebSEAL para que utilice los datos de ID de la misma sesin cuando un cliente se conecte mediante un tipo de transporte (HTTP, por ejemplo), se desconecte y vuelva a conectarse con otro tipo de transporte (HTTPS, por ejemplo).
113
El parmetro use-same-session, que se encuentra en la stanza [session] del archivo de configuracin webseald.conf, habilita e inhabilita el reconocimiento de los datos de ID de la misma sesin. De forma predeterminada, este parmetro se establece en no:
[session] use-same-session = no
Un valor de configuracin yes para este parmetro da como resultado las siguientes condiciones: 1. Las cookies de sesin se utilizan para identificar los siguientes tipos de clientes en las conexiones posteriores mediante otro transporte: a. Cookies de resolucin de errores b. Certificados de cliente c. Seal CDSSO ID d. Cdigo de paso de seal e. Nombre de usuario y contrasea de formularios f. Autenticacin bsica 2. La cabecera HTTP se utiliza para los clientes que acceden con cabeceras HTTP. 3. La direccin IP se utiliza para los clientes que acceden con direcciones IP. 4. La configuracin ssl-id-sessions se omite; el comportamiento que se obtiene es el mismo que si se estableciera ssl-id-sessions en no. Esta lgica es importante porque los clientes HTTP no tienen un ID de sesin SSL disponible como datos de sesin. 5. Como las cookies estn disponibles para los clientes HTTP y HTTPS, no se etiquetan como cookies seguras.
Determinacin de los tipos de datos vlidos de ID de sesin

El tipo de datos de sesin para un cliente que accede con un mtodo de autenticacin concreto viene determinado por combinaciones especficas de los siguientes parmetros de configuracin: v Habilitacin o inhabilitacin de las cookies de sesin (ssl-id-sessions) v Habilitacin o inhabilitacin de la posibilidad de utilizar los datos de la misma sesin cuando un cliente cambia entre HTTP y HTTPS (use-same-session) En la tabla siguiente se resumen los datos de ID de sesin vlidos para una configuracin determinada que combina los parmetros ssl-id-sessions y use-same-session:
Clientes HTTPS Mtodo de autenticacin Cookie de resolucin de errores Certificados CDSSO Seal Formularios BA Cabecera HTTP ssl-id-sessions = yes ID de SSL ID de SSL ID de SSL ID de SSL ID de SSL ID de SSL ID de SSL ssl-id-sessions = no use-same-session = no Cookie Cookie Cookie Cookie Cookie Cabecera BA Cabecera HTTP use-same-session = yesssl-id-sessions ignored Cookie Cookie Cookie Cookie Cookie Cookie Cabecera HTTP
114
Clientes HTTPS Mtodo de autenticacin Direccin IP ssl-id-sessions = yes ID de SSL ssl-id-sessions = no use-same-session = no Direccin IP use-same-session = yesssl-id-sessions ignored Direccin IP
Clientes HTTP Mtodo de autenticacin Cookie de resolucin de errores CDSSO Seal Formularios BA Cabecera HTTP Direccin IP use-same-session = no Cookie Cookie Cookie Cookie Cabecera BA Cabecera HTTP Direccin IP use-same-session = yes Cookie Cookie Cookie Cookie Cookie Cabecera HTTP Direccin IP
Configuracin de cookies de resolucin de errores

La siguiente funcin de cookie de resolucin de errores (para HTTP y HTTPS) est especialmente indicada para un cliente que se conecte a un clster replicado de servidores WebSEAL de fondo a travs de un mecanismo de equilibrio de carga. El objetivo de las cookies de resolucin de errores es evitar que se tenga que repetir la autenticacin cuando el servidor que tiene la sesin original con el cliente no est disponible. Se puede implementar un clster WebSEAL frontal para aumentar la disponibilidad de los recursos para un nmero mayor de clientes. El mecanismo de equilibrio de carga intercepta las peticiones entrantes y las distribuye entre los servidores frontales disponibles. Consulte el diagrama siguiente para obtener informacin detallada.
Figura 21. Escenario de cookie de resolucin de errores
El cliente no conoce la configuracin del servidor frontal replicado. El mecanismo de equilibrio de carga es el nico punto de contacto de la direccin URL solicitada.
115
El mecanismo de equilibrio de carga conecta un cliente con un servidor disponible (por ejemplo, WS1). Se establece el estado de la sesin con WS1 y las siguientes peticiones de ese cliente se envan a WS1. El problema que pueden resolver las cookies de resolucin de errores implica una situacin en la que el servidor WS1 deja de estar disponible por alguna razn (por ejemplo, un error del sistema o una interrupcin de la lnea por parte del administrador). Si el servidor WS1 deja de estar disponible, el mecanismo de equilibrio de carga redirecciona la peticin a uno de los otros servidores replicados (WS2 o WS3). Se perder la correlacin original de sesin a credencial. El cliente es nuevo para este servidor sustituto, y normalmente deber volver a autenticarse. Puede configurar los servidores WebSEAL replicados para que cifren los datos de identificacin del cliente en una cookie especfica del servidor. La cookie se coloca en el navegador cuando el cliente se conecta por primera vez. Si el servidor WebSEAL inicial no est disponible temporalmente, la cookie (con la informacin de identidad cifrada) se presenta al servidor sustituto. La cookie de resolucin de errores contiene el nombre de usuario, la indicacin de la hora y el mtodo de autenticacin original. Los servidores WebSEAL replicados comparten una clave comn que puede descifrar la informacin de la cookie. Cuando el servidor WebSEAL sustituto recibe esta cookie, puede utilizar el nombre de usuario y el mtodo de autenticacin para regenerar la credencial del cliente, incluidos los atributos ampliados. El cliente puede establecer ahora una sesin nueva con un servidor WebSEAL replicado sin que tenga que volver a autenticarse. El punto de referencia para la cookie es el DNS del mecanismo de equilibrio de carga. Este nico punto de referencia es importante, ya que la cookie es una cookie especfica del servidor y no una cookie especfica del dominio. La cookie slo puede ser aceptada por un servidor con el mismo nombre DNS que el del servidor que ha creado la cookie. El cliente siempre realiza peticiones a travs del mecanismo de equilibrio de carga. Por lo tanto, siempre se acepta la cookie y se pasa al siguiente servidor disponible durante la operacin de migracin tras error.
Habilitacin de cookies de resolucin de errores

El parmetro failover-auth, que se encuentra en la stanza [failover] del archivo de configuracin webseald.conf, habilita o inhabilita las cookies de resolucin de errores especficas del servidor: v Para habilitar las cookies de resolucin de errores, escriba http, https o both (ambos). v Para inhabilitar las cookies de resolucin de errores, escriba none (ninguno) (predeterminado). Por ejemplo:
[failover] failover-auth = https
Debe definir este parmetro en cada uno de los servidores WebSEAL frontales. Para cada mtodo de autenticacin soportado del entorno de clster de WebSEAL, tambin debe habilitar un parmetro equivalente del mtodo de migracin tras error en la stanza [authentication-mechanisms] del archivo de configuracin webseald.conf. Cada parmetro del mtodo de autenticacin de migracin tras error apunta a una biblioteca compartida de autenticacin especial que imita la biblioteca compartida de autenticacin original y, adems, recupera los atributos ampliados que se colocaron originalmente en la credencial del usuario.
116
Estn disponibles los siguientes parmetros del mtodo de autenticacin de migracin tras error:
[authentication-mechanisms] #failover-password = <biblioteca-contrasea-migracintraserror> #failover-token-card = <biblioteca-tarjeta-seal-migracintraserror> #failover-certificate = <biblioteca-certificados-migracintraserror> #failover-http-request = <biblioteca-peticin-http-migracintraserror> #failover-cdsso = <biblioteca-cdsso-migracintraserror>
WebSEAL proporciona una biblioteca compartida de migracin tras error estndar que funciona para todos los mtodos de autenticacin anteriores. Esta biblioteca se denomina:
Solaris AIX HP-UX Windows libfailoverauthn.so libfailoverauthn.a libfailoverauthn.sl failoverauthn.dll
Como alternativa, puede proporcionar una biblioteca CDAS personalizada que proporciona las posibilidades especficas de autenticacin que necesita el entorno del usuario. Por ejemplo: 1. El usuario autentica en WS1 a travs del nombre de usuario y la contrasea. La biblioteca estndar libldapauthn agrega (a travs de un atributo ampliado HTTP-Tag-Value en la conexin) ciertos atributos ampliados de LDAP a la credencial del usuario. Adems, un mdulo CDAS encadenado agrega otros atributos ampliados a la credencial del usuario a travs de su biblioteca cred-ext-attrs. 2. El servidor WS1 falla y se redirige al usuario al servidor WS2. 3. WS2 recibe la cookie de resolucin de errores desde el navegador del usuario y decodifica la cookie. Dado que el usuario se autentific inicialmente con el mtodo de nombre de usuario y contrasea, la biblioteca libfailoverauthn se conecta al servidor LDAP y recupera los datos de credencial estndar para este mtodo, ms los atributos ampliados que proporciona el mecanismo de cdigo/valor. A continuacin, la identidad del usuario se pasa a la biblioteca cred-ext-attrs personalizada que proporciona sus atributos ampliados adicionales. WS2 ha generado ahora la misma credencial completa para el usuario que WS1 utiliz. Si el entorno de este ejemplo incluye tambin el soporte para la autenticacin de certificados, la stanza [authentication-mechanisms] aparecer de la manera siguiente:
[authentication-mechanisms] passwd-ldap = /opt/pdweb/lib/libldapauthn.so cert-ssl = /opt/pdweb/lib/libsslauthn.so failover-password = /opt/pdweb/lib/libfailoverauthn.so failover-certificate = /opt/pdweb/lib/libfailoverauthn.so cred-ext-attrs = /usr/lib/custom-ext-attrs-CDAS.so
Cifrado y descifrado de los datos de cookie

Para proteger los datos de la cookie, utilice el programa de utilidad cdsso_key_gen que proporciona WebSEAL. Este programa de utilidad genera una clave simtrica
117
que cifra y descifra los datos de la cookie. Especifique la ubicacin (nombre de ruta de acceso completa) del archivo de claves cuando se ejecute el programa de utilidad: UNIX:
# cdsso_key_gen <nombre-ruta-acceso>
Windows:
MSDOS> cdsso_key_gen <nombre-ruta-acceso>
Ejecute el programa de utilidad en uno de los servidores replicados y copie manualmente el archivo de claves en cada uno de los otros servidores replicados. Especifique esta ubicacin del archivo de claves en la stanza [failover] del archivo de configuracin webseald.conf de cada servidor. Si no especifica ningn archivo de claves, se inhabilita la funcin de cookies de resolucin de errores para ese servidor:
[failover] failover-cookies-keyfile = <nombre-ruta-acceso-completa>
Puede darle al archivo de claves un nombre como, por ejemplo, ws.key.
Configuracin de la duracin de la cookie

El valor de la duracin de la cookie de resolucin de errores (en minutos) se establece con el parmetro failover-cookie-lifetime:
[failover] failover-cookie-lifetime = 60
Habilitacin de cookies de resolucin de errores de todo el dominio

Puede permitir que las cookies de resolucin de errores se enven a cualquier servidor del mismo dominio que el servidor WebSEAL estableciendo el parmetro enable-failover-cookie-for-domain en el valor yes. De forma predeterminada, la funcionalidad de cookies de resolucin de errores del dominio est inhabilitada:
[failover] enable-failover-cookie-for-domain = no
Visin general de la configuracin de autenticacin

Puede habilitar e inhabilitar la autenticacin para los clientes HTTP y HTTPS en base al mtodo. Los mecanismos de todos los mtodos de autenticacin soportados en WebSEAL estn configurados en la stanza [authentication-mechanisms] del archivo de configuracin webseald.conf. Los parmetros de los mtodos de autenticacin soportados son: v Autenticadores locales (incorporados) Los parmetros para los autenticadores locales especifican los archivos DLL (Windows) o de bibliotecas (UNIX) compartidos incorporados apropiados. v Autenticadores externos personalizados WebSEAL proporciona un cdigo de servidor de plantilla que se puede utilizar para crear y especificar un servidor CDAS (Servicio de autenticacin en dominios cruzados) externo personalizado. Un autenticador CDAS externo especifica la biblioteca compartida personalizada correspondiente.
118
Parmetros de autenticacin local

Los parmetros siguientes especifican los autenticadores locales incorporados:
Parmetro Autenticacin bsica y de formularios passwd-ldap Autenticacin de seales token-cdas Acceso de cliente con nombre de usuario LDAP y cdigo de paso de seal SecurID. Acceso de cliente con nombre de usuario y contrasea de LDAP. Descripcin
Autenticacin de certificados de cliente cert-ssl Acceso de cliente con certificado de cliente a travs de SSL.
Autenticacin de cabeceras HTTP o direcciones IP http-request Acceso de cliente mediante cabecera HTTP o direccin IP especiales.
Autenticacin de seal CDSSO ID cdsso Autenticacin de inicio de sesin nico en dominios cruzados.
Puede utilizar la stanza [authentication-mechanisms] para configurar el mtodo de autenticacin y la implementacin en el siguiente formato:
<parmetro-mtodo-autenticacin> = <biblioteca-compartida>
Parmetros de autenticacin de CDAS personalizado externo

Los siguientes parmetros permiten especificar bibliotecas compartidas personalizadas para servidores CDAS externos:
Parmetro passwd-cdas token-cdas cert-cdas http-request cred-ext-attrs Descripcin Acceso de cliente con nombre de usuario y contrasea para un registro de terceros. Acceso de cliente con nombre de usuario y cdigo de paso de seal. Acceso de cliente con certificado de cliente a travs de SSL. Acceso de cliente mediante cabecera HTTP o direccin IP especiales. CDAS lo utiliza para proporcionar datos de atributos ampliados a la credencial del usuario.
Consulte la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference para obtener ms detalles sobre la creacin y configuracin de una biblioteca compartida personalizada que implemente un servidor CDAS.
Configuracin predeterminada para la autenticacin de WebSEAL

De forma predeterminada, WebSEAL est establecido para autenticar clientes a travs de SSL utilizando los nombres de usuario y contraseas de autenticacin bsica (BA) (registro LDAP).
119
Generalmente, WebSEAL est habilitado para los accesos TCP y SSL. Por lo tanto, una configuracin tpica de la stanza [authentication-mechanisms] incluye el soporte para nombres de usuario y contraseas (registro LDAP) y soporte para certificados de cliente a travs de SSL. El siguiente ejemplo representa la configuracin tpica de la stanza [authentication-mechanisms] para Solaris:
[authentication-mechanisms] passwd-ldap = libldapauthn.so cert-ssl = libsslauthn.so
Para configurar otros mtodos de autenticacin, agregue el parmetro apropiado con su biblioteca compartida (o mdulo CDAS).
Configuracin de mltiples mtodos de autenticacin

Puede modificar la stanza [authentication-mechanism] del archivo de configuracin webseald.conf para especificar la biblioteca compartida que se debe utilizar para cada mtodo de autenticacin soportado. Las siguientes condiciones se aplican cuando se configuran varios mtodos de autenticacin: 1. Todos los mtodos de autenticacin pueden funcionar de forma independiente. Se puede configurar una biblioteca compartida para cada mtodo soportado. 2. El mtodo cert-cdas prevalece sobre el mtodo cert-ssl cuando ambos estn configurados. Debe habilitar uno de ellos para dar soporte a los certificados de cliente. 3. Slo se utiliza un autenticador de tipo contrasea cuando hay varios configurados. WebSEAL utiliza el siguiente orden de prioridad para resolver mltiples autenticadores de contrasea configurados: a. passwd-cdas b. passwd-ldap 4. Se puede configurar la misma biblioteca personalizada para dos mtodos de autenticacin diferentes. Por ejemplo, se puede escribir una biblioteca compartida personalizada para procesar la autenticacin del nombre de usuario/contrasea y de la cabecera HTTP. En este ejemplo, se podran configurar los parmetros passwd-cdas y http-request con la misma biblioteca compartida. Es responsabilidad del desarrollador mantener el estado de la sesin y evitar conflictos entre los dos mtodos.
Solicitud de inicio de sesin

WebSEAL solicita al cliente que inicie la sesin si se dan las siguientes condiciones: 1. Un cliente sin autenticar que no pasa la comprobacin de autenticacin 2. Un cliente de autenticacin bsica o de formularios que no pasa la comprobacin de autenticacin Los siguientes tipos de clientes reciben un error 403 Error: 1. Cuando falla la comprobacin de autenticacin: a. Certificado de cliente b. Cookie de resolucin de errores c. CDSSO d. Direccin IP e. Cabecera HTTP 2. Cuando un cliente se autentica con un mtodo inhabilitado por WebSEAL
120
Comandos de fin de sesin y de cambio de contrasea

Access Manager proporciona los siguientes comandos para dar soporte a clientes que se autentican a travs de HTTP o HTTPS.
pkmslogout
Los clientes pueden utilizar el comando pkmslogout para finalizar la sesin actual si utilizan un mtodo de autenticacin que no proporciona datos de autenticacin con cada peticin. Por ejemplo, pkmslogout no funciona en clientes que utilizan la autenticacin bsica o la autenticacin de direccin IP. En este caso, se debe cerrar el navegador para finalizar la sesin. El comando pkmslogout es adecuado para la autenticacin a travs del certificado del cliente, el cdigo de paso de seal, la autenticacin de formularios y determinadas implementaciones de la autenticacin de cabeceras HTTP. Ejecute el comando como se describe a continuacin:
https://www.tivoli.com/pkmslogout
El navegador muestra un formulario de fin de sesin definido en el archivo de configuracin webseald.conf:

[acnt-mgt] logout = logout.html
Puede modificar el archivo logout.html para que se ajuste a sus requisitos. El programa de utilidad pkmslogout tambin da soporte a varias pginas de respuesta de fin de sesin cuando la arquitectura de la red requiere diversas pantallas de salida para los usuarios que finalizan la sesin en sistemas de fondo distintos. La siguiente expresin identifica un archivo de respuesta especfico:
https://www.tivoli.com/pkmslogout?filename=<archivo_fin_sesin_personalizado>
donde archivo_fin_sesin_personalizado es el nombre de archivo de respuesta del fin de sesin. Este archivo debe residir en el mismo directorio lib/html/C que contiene el archivo predeterminado logout.html y ejemplos de otros formularios HTML de respuesta.
pkmspasswd
Puede utilizar este comando para cambiar la contrasea de inicio de sesin cuando se utiliza la autenticacin bsica (BA) o la autenticacin de formularios. Este comando es apropiado a travs de HTTP o HTTPS. Por ejemplo:
https://www.tivoli.com/pkmspasswd
Para garantizar la mxima seguridad cuando se utilice BA con WebSEAL, este comando se comporta de la siguiente forma para un cliente BA: 1. Se cambia la contrasea. 2. Finaliza la sesin del usuario del cliente. 3. Cuando el cliente realiza una peticin adicional, el navegador presenta al cliente una solicitud de BA. 4. El cliente debe volver a iniciar la sesin para continuar realizando peticiones.
121
Este ejemplo slo se aplica a los clientes que utilizan la autenticacin bsica.
Configuracin de la autenticacin bsica

La autenticacin bsica (BA) es un mtodo estndar para proporcionar un nombre de usuario y una contrasea al mecanismo de autenticacin. El protocolo HTTP define la BA y se puede implementar a travs de HTTP y de HTTPS. WebSEAL se configura de forma predeterminada para la autenticacin a travs de HTTPS mediante la autenticacin bsica (BA) de nombre de usuario y contrasea.
Habilitacin e inhabilitacin de la autenticacin bsica

El parmetro ba-auth, que se encuentra en la stanza [ba] del archivo de configuracin webseald.conf, habilita e inhabilita el mtodo de autenticacin bsica. v Para habilitar el mtodo de autenticacin bsica, escriba http, https, o both (ambos). v Para inhabilitar el mtodo de autenticacin bsica, escriba none. Por ejemplo:
[ba] ba-auth = https
Definicin del nombre de dominio

El nombre de dominio es el texto que se muestra en el cuadro de dilogo que aparece cuando el navegador solicita al usuario los datos de inicio de sesin. El parmetro de configuracin que establece el nombre de dominio se encuentra en la stanza [ba] del archivo de configuracin webseald.conf. Por ejemplo:
[ba] basic-auth-realm = Access Manager
Figura 22. Solicitud de inicio de sesin de BA
122
Configuracin del mecanismo de autenticacin bsica

El parmetro passwd-ldap especifica la biblioteca compartida que se utiliza para gestionar la autenticacin del nombre de usuario y la contrasea. v En UNIX, el archivo que proporciona la funcin de correlacin incorporada es una biblioteca compartida denominada libldapauthn. v En Windows, el archivo que proporciona la funcin de correlacin incorporada es una DLL denominada ldapauthn.
Mecanismo de autenticacin passwd-ldap Biblioteca compartida Solaris libldapauthn.so AIX libldapauthn.a Windows ldapauthn.dll HP-UX libldapauthn.sl
Puede configurar el mecanismo de autenticacin del nombre de usuario y la contrasea especificando el parmetro passwd-ldap con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf. Por ejemplo: Solaris:
[authentication-mechanisms] passwd-ldap = libldapauthn.so
Windows:
[authentication-mechanisms] passwd-ldap = ldapauthn.dll
Condiciones de configuracin
Si se habilita la autenticacin de formularios para un transporte determinado, se omitir la configuracin de autenticacin bsica para ese transporte.
Configuracin de la autenticacin de formularios

Access Manager proporciona la autenticacin de formularios como una alternativa al mecanismo estndar de autenticacin bsica. Este mtodo produce un formulario de inicio de sesin de HTML personalizado de Access Manager en lugar de la solicitud de inicio de sesin estndar que resulta de la tentativa de autenticacin bsica. Cuando se utiliza el inicio de sesin basado en formularios, el navegador no almacena en la cach la informacin de nombre de usuario y contrasea, como lo hace la autenticacin bsica.
Habilitacin e inhabilitacin de la autenticacin de formularios

El parmetro forms-auth, que se encuentra en la stanza [forms] del archivo de configuracin webseald.conf, habilita e inhabilita el mtodo de autenticacin de formularios. v Para habilitar el mtodo de Autenticacin de formularios, escriba http, https o both. v Para inhabilitar el mtodo de Autenticacin de formularios, escriba none. Por ejemplo:
123
[forms] forms-auth = https
Configuracin del mecanismo de autenticacin de formularios

El parmetro passwd-ldap especifica la biblioteca compartida que se utiliza para gestionar la autenticacin del nombre de usuario y la contrasea. v En UNIX, el archivo que proporciona la funcin de correlacin incorporada es una biblioteca compartida denominada libldapauthn. v En Windows, el archivo que proporciona la funcin de correlacin incorporada es una DLL denominada ldapauthn.
Mecanismo de autenticacin passwd-ldap Biblioteca compartida Solaris libldapauthn.so AIX libldapauthn.a Windows ldapauthn.dll HP-UX libldapauthn.sl
Puede configurar el mecanismo de autenticacin del nombre de usuario y la contrasea especificando el parmetro passwd-ldap con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf. Por ejemplo: Solaris:
[authentication-mechanisms] passwd-ldap = libldapauthn.so
Windows:
[authentication-mechanisms] passwd-ldap = ldapauthn.dll
Si se habilita la autenticacin de formularios para un transporte determinado, se omitir la configuracin de la autenticacin bsica para ese transporte.
Personalizacin de los formularios HTML de respuesta

La autenticacin de formularios requiere el uso de un formulario de inicio de sesin personalizado. De forma predeterminada, el formulario login.html de ejemplo se encuentra en el siguiente directorio:
<directorio-instalacin>/lib/html
Puede personalizar el contenido y el diseo de este formulario. Por ejemplo:
124
Figura 23. Ejemplo de formulario de inicio de sesin de WebSEAL
Para obtener informacin detallada acerca de los formularios HTML disponibles que se pueden personalizar, consulte el apartado Gestin de pginas personalizadas de gestin de cuentas en la pgina 36.
Configuracin de la autenticacin de certificados del cliente

WebSEAL da soporte a la comunicacin segura con clientes mediante certificados digitales de cliente a travs de SSL. En este mtodo de autenticacin, la informacin de certificado (como el Nombre distinguido o DN) se correlaciona con una identidad de Access Manager.
Informacin general: autenticacin mutua mediante certificados

El intercambio de certificados del servidor y del cliente a travs de SSL da como resultado una relacin de confianza entre el cliente y el servidor basada en los certificados. Tambin se establece un canal de comunicacin seguro. El protocolo de reconocimiento de certificados digitales de SSL que produce la autenticacin mutua tiene lugar en dos fases: v WebSEAL se identifica ante los clientes SSL con su certificado de servidor v WebSEAL utiliza su base de datos de certificados raz de CA (entidad emisora de certificados) para validar los clientes que acceden con los certificados de cliente 1. Un cliente solicita una conexin con un servidor WebSEAL a travs de SSL. 2. Como respuesta, WebSEAL enva su clave pblica mediante un certificado de cliente firmado. Una entidad emisora de certificados (CA) de terceros ha firmado previamente este certificado. 3. El cliente comprueba si el emisor del certificado es fiable y se puede aceptar. El navegador del cliente contiene habitualmente una lista de certificados raz de CA fiables. Si la firma del certificado de WebSEAL coincide con uno de estos certificados raz, el servidor es fiable.
125
Figura 24. El cliente valida el certificado de WebSEAL
4. Si no hay ninguna coincidencia con esta firma, el navegador informa al usuario de que este certificado ha sido emitido por una entidad emisora de certificados desconocida. A partir de aqu, es responsabilidad del usuario aceptar o rechazar el certificado. 5. Si la firma coincide con una entrada de la base de datos de certificados raz del navegador, las claves de sesin se negocian de forma segura entre el cliente y el servidor WebSEAL. 6. 7. El resultado final de este proceso es un canal seguro. Ahora el cliente enva su certificado de clave pblica al servidor WebSEAL. WebSEAL intenta encontrar la firma del certificado de cliente en una CA conocida. Del mismo modo que un navegador del cliente, el servidor WebSEAL mantiene una lista de certificados raz de CA fiables en su base de datos de claves. Si no hay ninguna coincidencia con esta firma, WebSEAL generar un cdigo de error de SSL y lo enviar al cliente. Si hay una coincidencia con la firma, el certificado es fiable. Access Manager autentica el cliente utilizando la biblioteca compartida incorporada cuando el Nombre distinguido (DN) del campo Asunto del certificado del cliente coincide exactamente con una entrada ya existente de DN en el registro de LDAP, o utilizando un CDAS personalizado para realizar una coincidencia de identidad alternativa. El resultado de una autenticacin correcta es una identidad de Access Manager que luego se utilizar para crear una credencial para ese usuario. Es la credencial lo que se necesita para que el cliente participe en el dominio seguro de Access Manager.
8. 9. 10.
El certificado de prueba de WebSEAL

Durante la instalacin, WebSEAL contiene un certificado de prueba autofirmado de servidor. Aunque este certificado de prueba permite a WebSEAL responder a una peticin de navegador habilitado para SSL, el navegador (que no contiene ningn certificado raz de CA apropiado) no lo puede verificar. Debido a que la clave privada para este certificado predeterminado est incluida en cada distribucin de WebSEAL, este certificado no ofrece ninguna comunicacin verdaderamente segura. Para garantizar una comunicacin segura a travs de SSL, es muy importante registrar y obtener un certificado de servidor de sitio nico desde una entidad emisora de certificados (CA) fiable. Puede utilizar el programa de utilidad iKeyman de GSKit para generar una peticin de certificado que se enviar a la
126
CA. Tambin puede utilizar iKeyman para instalar y etiquetar el certificado de sitio nuevo. Utilice el parmetro webseal-cert-keyfile-label en la stanza [ssl] del archivo de configuracin webseald.conf para designar el certificado como el certificado de servidor WebSEAL activo (este valor anula cualquier certificado designado como predeterminado en la base de datos del archivo de claves). Si necesita certificados diferentes para otras situaciones (por ejemplo, para conexiones (junctions) autenticadas mutuamente), puede utilizar el programa de utilidad iKeyman para crear, instalar y etiquetar estos certificados adicionales. Consulte el apartado Configuracin de parmetros de base de datos de claves en la pgina 40.
Habilitacin e inhabilitacin de la autenticacin de certificados

Puede especificar la forma en que WebSEAL gestionar la autenticacin mediante certificados de cliente a travs de SSL especificando el parmetro accept-client-certs, que se encuentra en la stanza [certificate] del archivo de configuracin webseald.conf. De forma predeterminada, WebSEAL no acepta certificados de cliente:
[certificate] accept-client-certs = never
Los valores adicionales para este parmetro incluyen optional y required. La tabla siguiente muestra una lista que describe los valores permitidos para el parmetro accept-client-certs:
Valor never optional Descripcin No aceptar certificados X.509 de clientes. Solicitar un certificado X.509 a los clientes y utilizar la autenticacin basada en certificados, si se proporciona un certificado. Solicitar un certificado X.509 a los clientes y utilizar la autenticacin basada en certificados. Si el cliente no presenta ningn certificado, no permitir la conexin.
required
Configuracin del mecanismo de autenticacin de certificados

El parmetro cert-ssl especifica la biblioteca compartida para la correlacin de informacin de autenticacin de certificados. v En UNIX, el archivo que proporciona la funcin de correlacin incorporada es una biblioteca compartida denominada libsslauthn. v En Windows, el archivo que proporciona la funcin de correlacin incorporada es una DLL denominada sslauthn.
Mecanismo de autenticacin cert-ssl Biblioteca compartida Solaris libsslauthn.so AIX libsslauthn.a Windows sslauthn.dll HP-UX libsslauthn.sl
127
Puede configurar el mecanismo de autenticacin de certificados especificando el parmetro cert-ssl con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf. Solaris:
[authentication-mechanisms] cert-ssl= libsslauthn.so
Windows:
[authentication-mechanisms] cert-ssl = sslauthn.dll
Durante la autenticacin de certificados, la biblioteca compartida identifica al usuario de Access Manager cuando el Nombre distinguido (DN) del campo Asunto del certificado del cliente coincide exactamente con una entrada existente de DN en el registro de LDAP.
Si la gestin de certificados de cliente se define como required, se omitir el resto de los valores de autenticacin para los clientes HTTPS.
Configuracin de la autenticacin de cabeceras HTTP

Access Manager da soporte a la autenticacin mediante la informacin de cabecera HTTP personalizada proporcionada por el cliente o un agente proxy. Este mecanismo requiere una funcin de correlacin (una biblioteca compartida) que correlaciona los datos de cabecera fiables (autenticados previamente) con una identidad de Access Manager. WebSEAL puede tomar esta identidad y crear una credencial para el usuario. WebSEAL presume que los datos de cabecera HTTP personalizados se han autenticado previamente. Por ello, es recomendable que se implemente este mtodo exclusivamente, sin ningn otro mtodo de autenticacin habilitado. Es posible imitar los datos de cabecera HTTP personalizados. De forma predeterminada, esta biblioteca compartida se crea para correlacionar datos de cabeceras de proxy Entrust.
Habilitacin e inhabilitacin de la autenticacin de cabeceras HTTP

El parmetro http-headers-auth, que se encuentra en la stanza [http-headers] del archivo de configuracin webseald.conf, habilita e inhabilita el mtodo de autenticacin de cabeceras HTTP. v Para habilitar el mtodo de autenticacin de cabeceras HTTP, escriba http, https, o both (ambos). v Para inhabilitar el mtodo de autenticacin de cabeceras HTTP, escriba none. Por ejemplo:
[http-headers] http-headers-auth = https
128
Especificacin de tipos de cabecera

Debe especificar todos los tipos de cabecera HTTP soportados en la stanza [auth-headers] del archivo de configuracin webseald.conf.
[auth-headers] header = <tipo-cabecera>
De forma predeterminada, esta biblioteca compartida incorporada est codificada de forma que no se puede modificar para dar soporte a datos de cabecera de proxy Entrust.
[auth-headers] header = entrust-client
Debe personalizar este archivo para autenticar otros tipos de datos de cabecera especiales y, de forma opcional, correlacionar estos datos con una identidad de Access Manager. Consulte los recursos API en la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference.
Configuracin del mecanismo de autenticacin de cabeceras HTTP

El parmetro http-request especifica la biblioteca compartida para la correlacin de informacin de autenticacin de cabeceras HTTP. v En UNIX, el archivo que proporciona la funcin de correlacin incorporada es una biblioteca compartida denominada libhttpauthn. v En Windows, el archivo que proporciona la funcin de correlacin incorporada es una DLL denominada httpauthn.
Mecanismo de autenticacin http-request Biblioteca compartida Solaris libhttpauthn.so AIX libhttpauthn.a Windows httpauthn.dll HP-UX libhttpauthn.sl
De forma predeterminada, esta biblioteca compartida incorporada est codificada de forma que no se puede modificar para correlacionar datos de cabecera de proxy Entrust con una identidad vlida de Access Manager. Debe personalizar este archivo para autenticar otros tipos de datos de cabecera especiales y, de forma opcional, correlacionar estos datos con una identidad de Access Manager. Consulte los recursos API en la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference. Puede configurar el mecanismo de autenticacin de cabeceras HTTP especificando el parmetro http-request con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf. Por ejemplo: Solaris:
[authentication-mechanisms] http-request = libhttpauthn.so
Windows:
[authentication-mechanisms] http-request = httpauthn.dll
129
1. Las cookies de ID de sesin no se utilizan para mantener el estado si ssl-id-sessions = no. El valor de cabecera exclusiva se utiliza para mantener el estado. 2. Si el cliente encuentra un error de autorizacin, recibe una pgina de No autorizado (HTTP 403). 3. Las cabeceras de cookies no se pueden pasar al mecanismo de autenticacin de cabeceras HTTP.
Configuracin de autenticacin de direcciones IP

Access Manager da soporte a la autenticacin a travs de una direccin IP que proporciona el cliente.
Habilitacin e inhabilitacin de la autenticacin de direcciones IP

El parmetro ipaddr-auth, que se encuentra en la stanza [ipaddr] del archivo de configuracin webseald.conf, habilita e inhabilita el mtodo de autenticacin de direcciones IP. v Para habilitar el mtodo de autenticacin de direcciones IP, escriba http, https, o both (ambos). v Para inhabilitar el mtodo de autenticacin de direcciones IP, escriba none. Por ejemplo:
[ipaddr] ipaddr-auth = https
Configuracin del mecanismo de autenticacin de direcciones IP

La autenticacin mediante una direccin IP requiere una biblioteca compartida personalizada. Utilice el parmetro http-request para esta biblioteca compartida.
Configuracin de la autenticacin de seales

Access Manager da soporte a la autenticacin a travs de un cdigo de paso de seal proporcionado por el cliente.
Habilitacin e inhabilitacin de la autenticacin de seales

El parmetro token-auth, que se encuentra en la stanza [token] del archivo de configuracin webseald.conf, habilita e inhabilita el mtodo de autenticacin de seales. v Para habilitar el mtodo de autenticacin de seales, escriba http, https, o both (ambos). v Para inhabilitar el mtodo de autenticacin de seales, escriba none. Por ejemplo:
[token] token-auth = https
130
Configuracin del mecanismo de autenticacin de seales

El parmetro token-cdas especifica la biblioteca compartida para la correlacin de informacin de autenticacin de cdigos de paso de seales. v En UNIX, el archivo que proporciona la funcin de correlacin incorporada es una biblioteca compartida denominada libxtokenauthn. v En Windows, el archivo que proporciona la funcin de correlacin incorporada es una DLL denominada xtokenauthn.
Mecanismo de autenticacin token-cdas Biblioteca compartida Solaris libxtokenauthn.so AIX libxtokenauthn.a Windows xtokenauthn.dll HP-UX libxtokenauthn.sl
De forma predeterminada, esta biblioteca compartida incorporada est codificada de forma que no se puede modificar para correlacionar datos de cdigo de paso de seal SecurID. Puede personalizar este archivo para autenticar otros tipos de datos de seales especiales y, de forma opcional, correlacionar estos datos con una identidad de Access Manager. Consulte los recursos API en la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference. Puede configurar el mecanismo de autenticacin de seales especificando el parmetro token-cdas con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf. La biblioteca compartida debe incluir la opcin y el argumento r <registro>. El tipo de registro debe especificarse como LDAP. Por ejemplo: Solaris:
[authentication-mechanisms] token-cdas = libxtokenauthn.so& -r LDAP
Windows:
[authentication-mechanisms] token-cdas = xtokenauthn.dll& -r LDAP
Soporte para agentes MPA (Multiplexing Proxy Agents)

Access Manager proporciona soluciones para proteger las redes que utilizan un MPA (Multiplexing Proxy Agent). Los SPA (Standard Proxy Agents) son gateways que dan soporte a sesiones por cliente entre clientes y el servidor de origen a travs de SSL o HTTP. WebSEAL puede aplicar la autenticacin SSL o HTTP normal a estas sesiones por cliente. Los MPA (Multiplexing Proxy Agents) son gateways que alojan varios accesos de cliente. Estos gateways se denominan gateways WAP cuando los clientes acceden a travs de WAP (Wireless Access Protocol). Los gateways establecen un solo canal autenticado con el servidor de origen y utilizan un tnel para todas las peticiones de cliente y las respuestas a travs de este canal. Para WebSEAL, la informacin a travs de este canal aparece inicialmente como peticiones mltiples de un cliente. WebSEAL debe distinguir entre la autenticacin del servidor MPA y la autenticacin adicional de cada cliente individual.
131
Figura 25. Comunicacin a travs de un gateway MPA
Puesto que WebSEAL mantiene una sesin autenticada para el MPA, debe mantener simultneamente sesiones aparte para cada cliente. Por lo tanto, los datos de sesin y el mtodo de autenticacin que se utilizan para el MPA deben ser distintos (diferentes) de los datos de sesin y el mtodo de autenticacin que utiliza el cliente.
Tipos de datos de sesin y mtodos de autenticacin vlidos

El tipo de datos de sesin que se utiliza de MPA a WebSEAL debe ser distinto (diferente) del tipo de datos de sesin que se utiliza de cliente a WebSEAL. En la tabla siguiente se muestran los tipos de sesin vlidos para el MPA y el cliente:
Tipos de sesin vlidos De MPA a WebSEAL ID de sesin SSL Cabecera HTTP Cabecera BA Direccin IP Cookie Cookie Cabecera HTTP Cabecera BA De cliente a WebSEAL
v El cliente no puede utilizar un ID de sesin SSL como tipo de datos de sesin. v Por ejemplo, si el MPA utiliza una cabecera BA para el tipo de datos de sesin, las opciones del cliente para el tipo de datos de sesin slo pueden ser la cabecera HTTP y la cookie. v Si el MPA utiliza una cabecera HTTP para los datos de sesin, el cliente puede utilizar un tipo de cabecera HTTP diferente. v La cookie especfica del servidor contiene slo informacin sobre la sesin; no contiene informacin sobre la identidad. v Si est habilitado el soporte MPA, la funcin de ssl-id-sessions cambia. Normalmente, si ssl-id-sessions=yes, slo se utiliza el ID de sesin SSL para mantener las sesiones de los clientes HTTPS. Para que el MPA pueda mantener una sesin con un ID de sesin SSL y tener clientes manteniendo sesiones con otro mtodo, se debe eliminar esta restriccin. Consulte tambin el apartado Determinacin de los tipos de datos vlidos de ID de sesin en la pgina 114. El mtodo de autenticacin que se utiliza de MPA a WebSEAL debe ser distinto (diferente) del mtodo de autenticacin que se utiliza de cliente a WebSEAL. En la
132
tabla siguiente se muestran los mtodos de autenticacin vlidos para el MPA y el cliente:
Tipos de autenticacin vlidos De MPA a WebSEAL Autenticacin bsica Formularios Seal Cabecera HTTP Certificados Direccin IP De cliente a WebSEAL Autenticacin bsica Formularios Seal Cabecera HTTP
v Por ejemplo, si el MPA utiliza la autenticacin bsica, las opciones del cliente para los mtodos de autenticacin incluyen cabeceras HTTP, de formularios y de seales. v Los mtodos de autenticacin de direcciones IP y de certificados no pueden ser utilizados por el cliente. v Normalmente, si se habilita la autenticacin de formularios (o de seales) para un transporte determinado, la autenticacin bsica se inhabilitar automticamente para ese transporte (consulte el apartado Configuracin del mecanismo de autenticacin bsica en la pgina 123. Si est habilitado el soporte MPA, esta restriccin se eliminar. Por ejemplo, esto permite al MPA iniciar la sesin con formularios (o seales) a los clientes iniciar la sesin con autenticacin bsica con autenticacin bsica a travs del mismo transporte.
Flujo de proceso de autenticacin para MPA y clientes mltiples

1. El administrador de WebSEAL lleva a cabo las siguientes tareas de configuracin preliminar: v Habilitar el soporte para los MPA (Multiplexing Proxy Agents) v Crear una cuenta de Access Manager para el gateway MPA especfico v Agregar esta cuenta MPA al grupo webseal-mpa-servers 2. 3. 4. 5. 6. Los clientes se conectan al gateway MPA. El gateway convierte la peticin en una peticin HTTP. El gateway autentica el cliente. El gateway establece una conexin con WebSEAL con la peticin del cliente. El MPA se autentica en WebSEAL (utilizando un mtodo distinto del cliente) y se crea una identidad para el MPA (que ya tiene una cuenta de WebSEAL). 7. WebSEAL verifica que el MPA es miembro del grupo webseal-mpa-servers. 8. Se crea una credencial para el MPA y se etiqueta como un tipo MPA especial en la cach. Aunque esta credencial MPA acompaa a todas las futuras peticiones del cliente, no se utiliza para las comprobaciones de autorizacin de estas peticiones. 9. Ahora WebSEAL necesita identificar al propietario de la peticin de forma adicional. El MPA puede distinguir los distintos clientes para dirigir correctamente las indicaciones de inicio de sesin.
133
10. El cliente inicia la sesin y se autentica utilizando un mtodo distinto del tipo de autenticacin utilizado por el MPA. 11. WebSEAL crea una credencial a partir de los datos de autenticacin del cliente. 12. El tipo de datos de sesin que utiliza cada cliente debe ser distinto del tipo de datos de sesin que utiliza el MPA. 13. El servicio de autorizaciones permite o rechaza el acceso a los objetos protegidos basndose en la credencial de usuario y los permisos ACL del objeto.
Habilitacin e inhabilitacin de la autenticacin de MPA

El parmetro mpa, que se encuentra en la stanza [mpa] del archivo de configuracin webseald.conf, habilita e inhabilita el mtodo de autenticacin de MPA. v Para habilitar el mtodo de autenticacin de MPA, escriba yes. v Para inhabilitar el mtodo de autenticacin de MPA, escriba no. Por ejemplo:
[mpa] mpa = yes
Creacin de una cuenta de usuario para el MPA

Consulte la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener informacin sobre cmo crear cuentas de usuario.
Adicin de la cuenta de MPA al grupo webseal-mpa-servers

Consulte la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener informacin sobre cmo gestionar grupos.
Limitaciones de la autenticacin de MPA

Este release de Access Manager slo da soporte a un MPA por servidor WebSEAL.
Configuracin de la reautenticacin basada en la poltica de seguridad

Access Manager WebSEAL puede forzar a un usuario a realizar un inicio de sesin adicional (reautenticacin) para asegurarse de que un usuario que accede a un recurso protegido es la misma persona que inicialmente se ha autenticado al comienzo de la sesin. La reautenticacin puede activarse con una poltica de objetos protegidos (POP) en el objeto protegido o a causa de la caducidad del valor de tiempo de espera de inactividad de la cach de sesin de WebSEAL. Este apartado analiza la reautenticacin basada en la poltica de seguridad tal como la establece un atributo ampliado de POP.
Condiciones que afectan a la reautenticacin de POP

Una reautenticacin forzada proporciona proteccin adicional para los recursos sensibles en el dominio seguro. La reautenticacin basada en la poltica de seguridad se activa mediante un atributo ampliado especfico de una POP que protege el objeto de recurso solicitado. La POP se puede asociar directamente con el objeto, o ste puede heredar de un objeto padre las condiciones de la POP. La reautenticacin est soportada por los siguientes mtodos de autenticacin de WebSEAL:
134
v Autenticacin de formularios (nombre de usuario y contrasea) v Autenticacin de seales Adems, se puede escribir un CDAS de nombre de usuario/contrasea personalizado que d soporte a la reautenticacin. La reautenticacin supone que el usuario ha iniciado la sesin inicialmente en el dominio seguro y que existe una credencial vlida para el usuario. Durante la reautenticacin, el usuario debe iniciar la sesin utilizando la misma identidad que gener la credencial existente. Access Manager preserva la informacin de sesin original del usuario, incluida la credencial, durante la reautenticacin. Durante la reautenticacin no se sustituye la credencial. Adems, durante la reautenticacin, WebSEAL guarda en la cach la peticin que activ la reautenticacin. Cuando la reautenticacin se haya realizado correctamente, los datos de la cach se utilizarn para volver a crear la peticin. Consulte el apartado Configuracin del almacenamiento en la cach de peticiones del servidor WebSEAL en la pgina 70. Si falla la reautenticacin, WebSEAL devuelve de nuevo la solicitud de inicio de sesin. Si la reautenticacin es satisfactoria, pero la comprobacin de ACL falla para ese recurso, se devuelve un error 403 No autorizado y se rechaza el acceso del usuario al recurso solicitado. En cualquiera de estos casos, no se finaliza nunca la sesin del usuario. Utilizando una credencial que an sea vlida, el usuario podr terminar anormalmente el proceso de reautenticacin (solicitando otra direccin URL) y participar en el dominio seguro accediendo a otros recursos que no requieran reautenticacin. Se dispone de la configuracin para restablecer el temporizador de duracin de la cach de sesin de WebSEAL. Adems, se puede configurar un perodo de gracia para permitir que haya tiempo suficiente para completar el proceso de reautenticacin antes de que caduque el tiempo de espera de duracin de la cach de sesin.
Creacin y aplicacin de la POP de reautenticacin

La reautenticacin forzada basada en la poltica de seguridad se configura creando una poltica de objeto protegido (POP) con un atributo ampliado especial denominado reauth. Puede asociar esta POP con cualquier objeto que requiera la proteccin adicional que proporciona la reautenticacin forzada. Recuerde que todos los hijos del objeto con la POP heredan tambin las condiciones de la POP. Cada objeto hijo solicitado requiere una reautenticacin independiente. Utilice los comandos pdadmin pop create, pdadmin pop modify y pdadmin pop attach. El ejemplo siguiente muestra cmo crear una POP denominada secure con el atributo ampliado reauth y cmo asociarla con un objeto (budget.html):
pdadmin> pop create secure pdadmin> pop modify secure set attribute reauth true pdadmin> pop attach /WebSEAL/hostA/junction/budget.html secure
Cualquier usuario que intente acceder a budget.html est forzado a reautenticarse utilizando la misma identidad y el mismo mtodo de autenticacin que generaron la credencial existente.
135
Si el usuario que solicita el recurso no est autenticado, la POP fuerza al usuario a autenticarse. No es necesaria ninguna reautenticacin para este recurso despus de un inicio de sesin inicial correcto. Los detalles acerca del programa de utilidad de lnea de comandos pdadmin pueden encontrarse en la publicacin IBM Tivoli Access Manager Base Gua del administrador.
Configuracin del restablecimiento y ampliacin de la duracin de la cach de sesin

Restablecimiento del valor de duracin de la cach de sesin
La cach de sesin del usuario tiene una duracin limitada, tal como especifica el parmetro timeout en la stanza [session] del archivo de configuracin webseald.conf. El valor predeterminado, en minutos, es de 3600 (1 hora):
Independientemente de la actividad o inactividad de la sesin, la cach de sesin se elimina cuando se alcanza el valor de duracin, en cuyo momento se finaliza la sesin del usuario. No obstante, el usuario puede configurar el restablecimiento de la duracin de la cach de sesin siempre que se produzca una reautenticacin. Con esta configuracin, la sesin del usuario ya no tendr un valor mximo nico de duracin. Cada vez que se produzca una reautenticacin, se restablecer el valor de duracin de la cach de sesin. Puede configurar el restablecimiento de la duracin de la cach de sesin con el parmetro reauth-reset-lifetime en la stanza [reauthentication] del archivo de configuracin webseald.conf:
[reauthentication] reauth-reset-lifetime = yes
El valor predeterminado es no. Este parmetro es tambin adecuado para la reautenticacin debido a la caducidad del valor de tiempo de espera de inactividad de la cach de sesin. Consulte el apartado Configuracin de la reautenticacin basada en la poltica de inactividad de sesin en la pgina 137.
Ampliacin del valor de duracin de la cach de sesin

Es posible que el valor de la duracin de la cach de sesin caduque mientras el usuario est realizando una reautenticacin. Esta situacin se produce bajo las condiciones siguientes: v El usuario solicita un recurso protegido por una POP de reautenticacin. v El valor de duracin de la cach de sesin del usuario est muy cerca de su caducidad. La duracin de la cach de sesin puede caducar despus de que se enve al usuario el formulario de inicio de sesin de reautenticacin y antes de que se devuelva el formulario de inicio de sesin completado. Cuando caduque el valor de duracin de la cach de sesin, se suprimir la entrada de la cach de sesin.
136
Cuando se devuelva el formulario de inicio de sesin a WebSEAL, ya no habr una sesin para ese usuario. Adems, se perdern todos los datos de la peticin de usuario guardada en la cach. Puede configurar una ampliacin de tiempo, o perodo de gracia, para la duracin de la cach de sesin, en caso de que la duracin de la cach de sesin caduque durante la reautenticacin. El parmetro reauth-extend-lifetime de la stanza [reauthentication] del archivo de configuracin webseald.conf proporciona esta ampliacin de tiempo, en segundos. Por ejemplo:
[reauthentication] reauth-extend-lifetime = 20
El valor predeterminado, 0, no proporciona ninguna ampliacin al valor de tiempo de espera de la cach de sesin. El parmetro reauth-extend-lifetime se aplica a los usuarios con entradas de cach de sesin existentes y a los que se requiera reautenticacin. Por ejemplo: v Los usuarios que realicen una reautenticacin como resultado de la poltica de seguridad POP. v Los usuarios que realicen una reautenticacin como resultado de la inactividad de la cach de sesin. v Los usuarios que realicen una autenticacin incremental. Se prev que la opcin reauth-extend-lifetime se utilice junto con la opcin reauth-reset-lifetime=yes. Este parmetro es tambin adecuado para la reautenticacin debido a la caducidad del valor de tiempo de espera de inactividad de la cach de sesin. Consulte el apartado Configuracin de la reautenticacin basada en la poltica de inactividad de sesin en la pgina 137.
Configuracin de la reautenticacin basada en la poltica de inactividad de sesin

Access Manager WebSEAL puede forzar a un usuario a realizar un inicio de sesin adicional (reautenticacin) para asegurarse de que un usuario que accede a un recurso protegido es la misma persona que inicialmente se ha autenticado al comienzo de la sesin. La reautenticacin puede activarse con una poltica de objetos protegidos (POP) en el objeto protegido o a causa de la caducidad del valor de tiempo de espera de inactividad de la cach de sesin de WebSEAL. Este apartado analiza la reautenticacin basada en la caducidad del valor de tiempo de espera de inactividad de la cach de sesin de WebSEAL.
Condiciones que afectan a la reautenticacin por inactividad

Una reautenticacin forzada proporciona proteccin adicional para los recursos sensibles en el dominio seguro. La reautenticacin basada en la poltica de inactividad de sesin se habilita mediante un parmetro de configuracin y se activa con la caducidad del valor de tiempo de espera de inactividad de la cach de sesin. La reautenticacin est soportada por los siguientes mtodos soportados de autenticacin de WebSEAL: v Autenticacin de formularios (nombre de usuario y contrasea)
137
v Autenticacin de seales Adems, se puede escribir un CDAS de nombre de usuario/contrasea personalizado que d soporte a la reautenticacin. La reautenticacin supone que el usuario ha iniciado la sesin inicialmente en el dominio seguro y que existe una credencial vlida para el usuario. Durante la reautenticacin, el usuario debe iniciar la sesin utilizando la misma identidad que gener la credencial existente. WebSEAL preserva la informacin de sesin original del usuario, incluida la credencial, durante la reautenticacin. Durante la reautenticacin no se sustituye la credencial. Adems, durante la reautenticacin, WebSEAL guarda en la cach la peticin que activ la reautenticacin. Cuando la reautenticacin se haya realizado correctamente, los datos de la cach se utilizarn para volver a crear la peticin. Consulte el apartado Configuracin del almacenamiento en la cach de peticiones del servidor WebSEAL en la pgina 70. Normalmente, una sesin del usuario se regula mediante un valor de inactividad de sesin y un valor de duracin de sesin. Cuando WebSEAL se configura para la reautenticacin basada en la inactividad de sesin, la cach de sesin del usuario se marca con un indicador siempre que caduca el valor de tiempo de espera de inactividad de la sesin. La cach de la sesin (que contiene la credencial del usuario) no se elimina. El usuario puede continuar y acceder a los recursos no protegidos. No obstante, si el usuario solicita un recurso protegido, WebSEAL enva una solicitud de inicio de sesin. Tras realizar una reautenticacin correcta, el indicador de la sesin inactiva se elimina y el temporizador de inactividad se restablece. No obstante, el valor de duracin de la cach de sesin determina, en ltima instancia, la longitud mxima de la sesin. Cuando caduque este valor de duracin, la sesin terminar independientemente de la actividad que haya. Si falla la reautenticacin, WebSEAL devuelve de nuevo la solicitud de inicio de sesin. La cach de sesin sigue marcada con un indicador y el usuario puede continuar como usuario no autenticado hasta que caduque el valor de duracin de la cach de sesin. Si la reautenticacin es satisfactoria, pero la comprobacin de ACL falla para ese recurso, se devuelve un error 403 No autorizado y se rechaza el acceso del usuario al recurso solicitado. Otras dos condiciones pueden terminar una sesin de usuario: el usuario puede finalizar la sesin de forma explcita o un administrador puede terminar una sesin de usuario. Consulte el apartado Terminacin de sesiones de usuario en la pgina 222. Se dispone de la configuracin para restablecer el temporizador de duracin de la cach de sesin de WebSEAL. Adems, se puede configurar un perodo de gracia para permitir que haya tiempo suficiente para completar el proceso de reautenticacin antes de que caduque el tiempo de espera de duracin de la cach de sesin.
138
Habilitacin de la reautenticacin por inactividad

Para configurar WebSEAL con el fin de marcar con un indicador las sesiones inactivas, en vez de eliminarlas de la cach de sesin, establezca el valor del parmetro reauth-for-inactive en yes en la stanza [reauthentication] del archivo de configuracin webseald.conf:
[reauthentication] reauth-for-inactive = yes
El valor predeterminado para este parmetro es no.
Configuracin del restablecimiento y ampliacin de la duracin de la cach de sesin

Restablecimiento del valor de duracin de la cach de sesin
La cach de sesin del usuario tiene una duracin limitada, tal como especifica el parmetro timeout en la stanza [session] del archivo de configuracin webseald.conf. El valor predeterminado, en minutos, es de 3600 (1 hora):
Independientemente de la actividad o inactividad de la sesin, la cach de sesin se elimina cuando se alcanza el valor de duracin, en cuyo momento se finaliza la sesin del usuario. No obstante, el usuario puede configurar el restablecimiento de la duracin de la cach de sesin siempre que se produzca una reautenticacin. Con esta configuracin, la sesin del usuario ya no tendr un valor mximo nico de duracin. Cada vez que se produzca una reautenticacin, se restablecer el valor de duracin de la cach de sesin. Puede configurar el restablecimiento de la duracin de la cach de sesin con el parmetro reauth-reset-lifetime en la stanza [reauthentication] del archivo de configuracin webseald.conf:
[reauthentication] reauth-reset-lifetime = yes
El valor predeterminado es no. Este parmetro es tambin adecuado para la reautenticacin debido a la poltica de seguridad (POP). Consulte el apartado Configuracin de la reautenticacin basada en la poltica de seguridad en la pgina 134.
Ampliacin del valor de duracin de la cach de sesin

Es posible que el valor de la duracin de la cach de sesin caduque mientras el usuario est realizando una reautenticacin. Esta situacin se produce bajo las condiciones siguientes: v El usuario solicita un recurso protegido por una POP de reautenticacin. v El valor de duracin de la cach de sesin del usuario est muy cerca de su caducidad. La duracin de la cach de sesin puede caducar despus de que se enve al usuario el formulario de inicio de sesin de reautenticacin y antes de que se devuelva el formulario de inicio de sesin completado. Cuando caduque el valor de duracin de la cach de sesin, se suprimir la entrada de la cach de sesin.
139
Cuando se devuelva el formulario de inicio de sesin a WebSEAL, ya no habr una sesin para ese usuario. Adems, se perdern todos los datos de la peticin de usuario guardada en la cach. Puede configurar una ampliacin de tiempo, o perodo de gracia, para la duracin de la cach de sesin, en caso de que la duracin de la cach de sesin caduque durante la reautenticacin. El parmetro reauth-extend-lifetime de la stanza [reauthentication] del archivo de configuracin webseald.conf proporciona esta ampliacin de tiempo, en segundos. Por ejemplo:
[reauthentication] reauth-extend-lifetime = 20
El valor predeterminado, 0, no proporciona ninguna ampliacin al valor de tiempo de espera de la cach de sesin. El parmetro reauth-extend-lifetime se aplica a los usuarios con entradas de cach de sesin existentes y a los que se requiera reautenticacin. Por ejemplo: v Los usuarios que realicen una reautenticacin como resultado de la poltica de seguridad POP. v Los usuarios que realicen una reautenticacin como resultado de la inactividad de la cach de sesin. v Los usuarios que realicen una autenticacin incremental. Se prev que la opcin reauth-extend-lifetime se utilice junto con la opcin reauth-reset-lifetime=yes. Este parmetro es tambin adecuado para la reautenticacin debido a la poltica de seguridad (POP). Consulte el apartado Configuracin de la reautenticacin basada en la poltica de seguridad en la pgina 134.
140
Captulo 6. Soluciones de inicio de sesin en dominios cruzados

Cuando se implementa WebSEAL como servidor proxy para proporcionar proteccin a un dominio seguro, a menudo se deben proporcionar soluciones para un inicio de sesin nico en los recursos. En este captulo se describen dos soluciones de inicio de sesin nico en dominios cruzados. ndice de temas: v Configuracin de la autenticacin de CDSSO en la pgina 141 v Configuracin de inicio de sesin nico de comunidad electrnica en la pgina 145
Configuracin de la autenticacin de CDSSO

CDSSO (Cross-Domain Single Sign-on - Inicio de sesin nico en dominios cruzados) de Access Manager proporciona un mecanismo para transferir credenciales de usuario entre mltiples dominios seguros. CDSSO permite a los usuarios web realizar un inicio de sesin nico y moverse sin problemas entre dos dominios seguros separados. El mecanismo de autenticacin de CDSSO no utiliza un Servidor maestro de autenticacin (vase SSO de comunidad electrnica). CDSSO da soporte a los objetivos de la arquitectura de red escalable al permitir la integracin de varios dominios seguros. Por ejemplo, se puede configurar una gran extranet corporativa con dos o ms dominios nicos, cada uno con sus propios usuarios y espacio de objetos. CDSSO permite el movimiento de usuarios entre los dominios con un inicio de sesin nico. Cuando un usuario realiza una peticin a un recurso ubicado en otro dominio, el mecanismo CDSSO transfiere una seal de identidad de usuario cifrada del primer dominio al segundo. El segundo dominio tendr ahora la identidad del usuario (como autenticado en el primer dominio) y el usuario no se ver forzado a iniciar otra sesin.
Integracin de una biblioteca compartida CDMF personalizada

En muchos casos de CDSSO, es posible que la correlacin unvoca predeterminada entre los usuarios en distintos dominios no sirva para todos los requisitos de despliegue. CDMF (Cross-domain Domain Mapping FrameWork) es una interfaz de programacin que permite crear una biblioteca compartida personalizada que puede gestionar atributos de usuarios ampliados y proporcionar servicios de correlacin para la identidad del usuario. La interfaz de programacin CDMF ofrece una gran flexibilidad para personalizar la correlacin de identidades de usuario y gestionar los atributos de usuario.
Flujo de proceso de autenticacin para CDSSO con CDMF

La siguiente descripcin del flujo de proceso se ilustra en la Figura 26.
141
1. Cualquier usuario que desee participar en varios dominios debe tener una cuenta de usuario vlida en el dominio principal y una identidad que se pueda correlacionar en una cuenta vlida de cada uno de los dominios remotos participantes. Un usuario no puede invocar la funcionalidad de CDSSO sin autenticarse inicialmente en un dominio seguro inicial (A) que contenga la cuenta del usuario. 2. El usuario realiza una peticin para acceder a un recurso del dominio B a travs de un vnculo personalizado en una pgina web. El vnculo contiene una expresin CDSSO especial:
/pkmscdsso?<direccin-URL-destino>
Por ejemplo:
/pkmscdsso?https://www.domainB.com/index.html
3. En primer lugar, el servidor WebSEAL del dominio A procesa la peticin. WebSEAL crea una seal de autenticacin que contiene la identidad de Access Manager del usuario (nombre corto), el dominio actual (A), informacin adicional del usuario y una indicacin de la hora. La informacin de usuario adicional se obtiene mediante una llamada a la biblioteca compartida CDMF personalizada (cdmf_get_usr_attributes). Esta biblioteca proporciona atributos de usuario que pueden ser utilizados por el dominio B durante el proceso de correlacin de usuarios. WebSEAL cifra mediante DES triple estos datos de seal con la clave simtrica generada por el programa de utilidad cdsso_key_gen. Se comparte y almacena este archivo de claves en la stanza [cdsso-peers] del archivo de configuracin webseald.conf de los servidores WebSEAL del dominio A y el dominio B. La seal contiene una indicacin de la hora configurable (authtoken-lifetime) que define la duracin de la seal. La indicacin de la hora, cuando se configura correctamente, puede evitar los ataques de respuestas. El servidor WebSEAL del dominio A redirige la peticin ms la seal cifrada de vuelta al navegador y, a continuacin, al servidor WebSEAL del dominio B (redireccin HTTP). El servidor WebSEAL del dominio B utiliza su versin del mismo archivo de claves para descifrar y validar la seal como si llegara del dominio en cuestin. En estos momentos, el servidor WebSEAL del dominio B llama a una biblioteca de mecanismo de autenticacin de CDSSO. Como respuesta, esta biblioteca CDSSO llama a la biblioteca CDMF personalizada, que es la que ejecuta la correlacin de usuarios (cdmf_map_usr). La biblioteca CDMF pasa la identidad del usuario, y opcionalmente informacin adicional de atributos de usuarios, a la biblioteca CDSSO. La biblioteca CDSSO utiliza esta informacin para crear una credencial. El servicio de autorizaciones del dominio B permite o rechaza el acceso a los objetos protegidos basndose en la credencial del usuario y los permisos ACL especficos asociados con los objetos solicitados.
4.
5. 6.
7.
142
Figura 26. Proceso de inicio de sesin nico en dominios cruzados con CDMF
Habilitacin e inhabilitacin de la autenticacin de CDSSO

El parmetro cdsso-auth, que se encuentra en la stanza [cdsso] del archivo de configuracin webseald.conf, habilita e inhabilita el mtodo de autenticacin de CDSSO. v Para habilitar el mtodo de autenticacin de CDSSO, escriba http, https, o both (ambos). v Para inhabilitar el mtodo de autenticacin de CDSSO, escriba none. Por ejemplo:
[cdsso] cdsso-auth = https
Configuracin del mecanismo de autenticacin de CDSSO

El parmetro de configuracin cdsso especifica la biblioteca compartida codificada de forma que no se pueda modificar para correlacionar la informacin de autenticacin. v En UNIX, el archivo que proporciona la funcin de correlacin incorporada es una biblioteca compartida denominada libcdssoauthn. v En Windows, el archivo que proporciona la funcin de correlacin incorporada es una DLL denominada cdssoauthn.
Mecanismo de autenticacin cdsso Biblioteca compartida Solaris libcdssoauthn.so AIX libcdssoauthn.a Windows cdssoauthn.dll HP-UX libcdssoauthn.sl
Puede configurar el mecanismo de autenticacin de CDSSO especificando el parmetro cdsso con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf.
143
Por ejemplo: Solaris:

[authentication-mechanisms] cdsso = libcdssoauthn.so
Windows:
[authentication-mechanisms] cdsso = cdssoauthn.dll
Cifrado de los datos de la seal de autenticacin

WebSEAL debe cifrar los datos de autenticacin ubicados en la seal mediante una clave generada por el programa de utilidad cdsso_key_gen. Debe sincronizar esta clave compartiendo el archivo de claves con todos los servidores WebSEAL de cada uno de los dominios participantes. Todos los servidores WebSEAL participantes de cada dominio deben utilizar la misma clave. Nota: La creacin y distribucin de archivos de claves no forma parte del proceso CDSSO de Access Manager. El programa de utilidad cdsso_key_gen precisa que se especifique la ubicacin (nombre de ruta de acceso completa) del archivo de claves cuando se ejecute el programa de utilidad: UNIX: # cdsso_key_gen <nombre-ruta-acceso-completa> Windows: MSDOS> cdsso_key_gen <nombre-ruta-acceso-completa> Especifique esta ubicacin del archivo de claves en la stanza [cdsso-peers] del archivo de configuracin webseald.conf del servidor WebSEAL que participa en cada dominio. El formato incluye el nombre de mquina WebSEAL y la ubicacin del archivo de claves:
[cdsso-peers] <nombre-mquina-webseal> = <ubicacin-archivo-claves>
Ejemplo de configuracin del Dominio A:

[cdsso-peers] www.domainB.com = <nombre-ruta-acceso>/A-B.key
Ejemplo de configuracin del Dominio B:

[cdsso-peers] www.domainA.com = <nombre-ruta-acceso>/A-B.key
En el ejemplo anterior, el archivo A-B.key se generara en una mquina (WebSEAL A, por ejemplo) y se copiara de una forma manual (y segura) en la otra mquina (WebSEAL B, por ejemplo).
Configuracin de la indicacin de la hora de seal

La seal contiene una indicacin de la hora configurable que define la duracin de la seal de identidad. Cuando caduca la indicacin de la hora, se considera que la seal no es vlida, por lo que no se utiliza. La indicacin de la hora se utiliza para evitar los ataques de respuestas al establecer un valor lo bastante corto para evitar que se robe la seal y se responda durante su perodo de duracin.
144
El parmetro authtoken-lifetime, que se encuentra en la stanza [cdsso] del archivo de configuracin webseald.conf, establece el valor de la duracin de la seal. El valor se expresa en segundos. El valor predeterminado es 180:
[cdsso] authtoken-lifetime = 180
Debe tener en cuenta las diferencias horarias entre los dominios participantes.
Expresin de vnculos HTML de CDSSO

Los vnculos HTML a los recursos de un dominio seguro secundario deben contener una expresin CDSSO especial:
/pkmscdsso?<direccin-URL-destino>
Por ejemplo:
/pkmscdsso?https://www.domainB.com/index.html
Proteccin de la seal de autenticacin

Mientras la seal de autenticacin no contenga informacin de autenticacin (como nombre de usuario y contrasea), no contendr una identidad de usuario que sea fiable en el dominio de recepcin. La propia seal se debe proteger contra robo y respuesta. La seal est protegida contra robo a travs del uso de SSL para proteger las comunicaciones entre los servidores WebSEAL y los usuarios. La seal podra robarse del historial del navegador del usuario. La indicacin de la hora de la seal debera ser lo bastante corta para que fuera poco probable que se pudiera robar la seal y reproducirla durante la duracin de la seal. Sin embargo, las seales caducadas en cuanto a su indicacin de la hora siguen siendo vulnerables a los ataques criptogrficos. Si se descubre la clave utilizada para cifrar la seal o si se compromete de alguna otra forma, algn usuario malintencionado podra crear sus propias seales. stas se podran insertar en un flujo pseudo-CDSSO. No se podran distinguir de las seales de autenticacin reales para los servidores WebSEAL que participan en el dominio CDSSO. Por este motivo, las claves utilizadas para proteger las seales se deben gestionar tambin con cuidado y se deben modificar regularmente.
Configuracin de inicio de sesin nico de comunidad electrnica

El inicio de sesin nico de comunidad electrnica es otra implementacin de la autenticacin de dominios cruzados en un entorno de Access Manager. El objetivo de la autenticacin de dominios cruzados es permitir el acceso de los usuarios a los recursos, a travs de varios servidores en varios dominios, sin necesidad de repetir la autenticacin. Una comunidad electrnica es un grupo de dominios distintos (Access Manager o DNS) que participan en una relacin empresarial. Estos dominios participantes se pueden configurar como parte de una empresa (quizs utilizando nombres DNS diferentes, por motivos geogrficos), o como empresas distintas con una relacin compartida (por ejemplo, oficinas de la compaa, una empresa de seguros o una empresa de gestin financiera).
145
En cada caso, siempre hay un dominio que se designa como dominio inicial o propietario. En el caso de empresas participantes, el dominio inicial posee los acuerdos empresariales que gobiernan la comunidad electrnica. En ambos casos, la informacin de autenticacin sobre los usuarios que participan en la comunidad electrnica (incluidos los nombres de usuario y las contraseas utilizados para la autenticacin) se mantiene en el dominio inicial. Esta disposicin permite tener un nico punto de referencia para cuestiones de administracin, como, por ejemplo, las llamadas al escritorio de ayuda dentro de la comunidad electrnica, que hacen todas referencia al dominio inicial. Como alternativa, puede utilizar Web Portal Manager de Access Manager para delegar la gestin de esta informacin, de manera que los dominios participantes tengan responsabilidades en la administracin de sus propios usuarios. En el siguiente diagrama se muestra un ejemplo de una comunidad electrnica con dos dominios participantes: dominio A (dA.com) y dominio B (dB.com). En este ejemplo, el dominio A representa el dominio inicial o propietario. El dominio B es un dominio participante o remoto.
Figura 27. El modelo de comunidad electrnica
El dominio inicial es propietario de los usuarios esto es, controla la informacin de autenticacin de los usuarios. Independientemente de dnde haga el usuario la peticin de recursos, el dominio inicial siempre es el dominio donde el usuario se tiene que autenticar. La autenticacin se produce en un servidor maestro de autenticacin (MAS)un servidor (o conjunto de servidores replicados) que se encuentra en el dominio inicial y que est configurado para autenticar todos los usuarios. El diagrama representa el MAS como mas.dA.com. La labor del MAS debe estar restringida a proporcionar servicios de autenticacin. El MAS no debe contener recursos que estn disponibles a otros usuarios.
146
Despus de que el usuario se ha autenticado correctamente en el MAS, el MAS genera una seal de garantizacin. Esta seal se pasa de nuevo al servidor en el que el usuario est realizando la peticin. El servidor considera esta seal de garantizacin como prueba de que el usuario se ha autenticado correctamente en el MAS y puede participar en la comunidad electrnica. La transferencia de informacin entre los dominios de la comunidad electrnica se describe en detalle en el apartado Flujo de proceso de la comunidad electrnica en la pgina 148.
Caractersticas y requisitos de comunidad electrnica

v El modelo da soporte al acceso a travs de direcciones URL directas (marcadores) a los recursos. Esta caracterstica contrasta con el modelo CDSSO que se basa en un vnculo pkmscdsso especialmente configurado (consulte el apartado Configuracin de la autenticacin de CDSSO en la pgina 141). v La implementacin de la comunidad electrnica requiere la configuracin consistente de todos los servidores WebSEAL en todos los dominios que participan en la comunidad electrnica. v Todos los usuarios que participan en la comunidad electrnica se autentican en un nico servidor maestro de autenticacin (MAS) que se encuentra en el dominio inicial. v La implementacin de la comunidad electrnica permite la autenticacin local en dominios remotos, si el usuario no tiene una cuenta vlida con el MAS (por ejemplo, los usuarios que pertenecen al dominio B pero que no participan en la comunidad electrnica de dominio A-dominio B). Un usuario que no pasa la autenticacin con el MAS al solicitar un recurso en un dominio no MAS (pero que s participa) tiene la opcin de autenticarse en el servidor local en el que se est realizando la peticin. v El MAS (y los otros servidores seleccionados finalmente en los dominios remotos) garantizan la identidad autenticada del usuario. v Se utilizan cookies especficas del dominio para identificar al servidor que puede proporcionar servicios de garantizacin. De esta forma, los servidores de un dominio remoto pueden solicitar informacin de garantizacin de forma local. El contenido cifrado de las cookies de la comunidad electrnica no incluye informacin de seguridad ni de identidad de usuarios. v Se utilizan seales especiales para pasar la identidad de usuario garantizada cifrada. La seal de garantizacin no contiene informacin de autenticacin del usuario. La integridad viene garantizada por la clave secreta compartida (DES triple). La seal contiene un valor de tiempo de espera (de duracin) para limitar la duracin de la validez de la seal. v La implementacin de la comunidad electrnica tiene soporte en HTTP y HTTPS. v Los dominios individuales de la comunidad electrnica gestionan sus propias identidades de usuario y privilegios asociados. Puede utilizar la API de CDMF (Cross-domain Domain Mapping Function) para correlacionar un usuario de un dominio remoto con un usuario vlido en el dominio local. Si los dominios de la comunidad electrnica comparten identidades de usuario globales, esta funcin de correlacin no es necesaria. v La configuracin de la comunidad electrnica se establece en el archivo webseald.conf de cada servidor WebSEAL participante.
147
Flujo de proceso de la comunidad electrnica

Una comunidad electrnica est formada por un servidor maestro de autenticacin (MAS) WebSEAL y otros servidores WebSEAL ubicados en el dominio inicial y los dominios remotos. El MAS puede existir como instancia nica de un servidor WebSEAL, o como un conjunto de servidores WebSEAL replicados ubicados detrs de un equilibrador de cargas (donde el equilibrador de cargas se identifica como el MAS). Todos los servidores WebSEAL locales y remotos participantes tienen que estar configurados para utilizar el MAS del dominio inicial en la autenticacin de clientes inicial. Este es un requisito obligatorio para los servidores en el dominio inicial, y un requisito modificable para los servidores en los dominios remotos. Por ejemplo, algunos servidores en los dominios remotos se pueden configurar para que gestionen sus propia autenticacin. Estos servidores, y los recursos que protegen, pueden funcionar independientemente de la comunidad electrnica, incluso si se encuentran en un dominio participante de la comunidad electrnica. La implementacin de la comunidad electrnica se basa en un sistema de garantizacin. Normalmente, cuando un usuario solicita un recurso a un servidor WebSEAL en el que no ha establecido una sesin vlida, WebSEAL solicita al usuario informacin de autenticacin. En una configuracin de comunidad electrnica, el servidor WebSEAL identifica un servidor de garantizacin y le pide verificacin de que el usuario se ha autenticado. El servidor de garantizacin tiene informacin de credencial vlida para ese usuario. Para la primera peticin del usuario, el servidor de garantizacin es siempre el MAS. El MAS contina funcionando como servidor de garantizacin para los recursos ubicados en el dominio inicial. Si el usuario contina realizando peticiones de recursos a travs de la comunidad electrnica, un servidor individual en cada dominio remoto puede crear su propia credencial para el usuario (a partir de la informacin de la identidad del usuario del MAS) y asumir la funcin de servidor de garantizacin para los recursos de su dominio. La verificacin solicitada del servidor de garantizacin toma la forma de una seal de garantizacin. El servidor de garantizacin crea la seal y la devuelve al servidor WebSEAL que la ha solicitado. La informacin de la identidad del usuario en la seal est cifrada. La seal contiene un lmite de duracin. Al recibir la seal de garantizacin, el servidor que realiza la peticin crea credenciales y una sesin local para ese usuario. El usuario tiene ahora acceso al recurso solicitado, siguiendo los controles normales de autorizacin. El usuario tiene la ventaja de que no debe repetir la autenticacinuno de los objetivos del modelo de comunidad electrnica. Consulte el siguiente diagrama para seguir el flujo de proceso de la comunidad electrnica en lo que queda de apartado. El flujo de proceso describe dos ejemplos posibles de PRIMER acceso (1 y 2). A continuacin, se presentan dos ejemplos posibles de SIGUIENTE acceso (3 y 4) que siguen inmediatamente despus de 2 o 3. El ejemplo 5 se produce en cualquier momento despus del acceso inicial.
148
Figura 28. Flujo de proceso de la comunidad electrnica
Servidores de garantizacin v El MAS se utiliza siempre para autenticar el usuario que accede a cualquier parte de la comunidad electrnica por primera vez. El MAS slo se debe utilizar como servidor de autenticaciones, y no como proveedor de recursos. El MAS no se debe configurar para funcionar como servidor maestro de autenticaciones y, simultneamente, proteger los recursos. Esta recomendacin afecta al rendimiento, y no es un requisito de seguridad. v El MAS es siempre el servidor de garantizacin para el dominio inicial (dominio A en este ejemplo). v Se utiliza una cookie de comunidad electrnica especfica del dominio para identificar el servidor de garantizacin para los otros servidores dentro de un dominio dado. El servidor de garantizacin es el primer servidor en un dominio que solicita una seal de garantizacin al MAS. El servidor de garantizacin proporciona informacin de garantizacin para el usuario del dominio. Las siguientes peticiones de servicios de garantizacin en un dominio remoto dado se pueden hacer de forma local mediante este servidor, en lugar de acceder al MAS fuera del dominio. En el dominio inicial, la cookie de comunidad electrnica identifica al MAS como el servidor de garantizacin. (1) PRIMER acceso a la comunidad electrnica : WebSEAL 1 (Dominio A) v El usuario solicita un recurso protegido por WebSEAL 1 (dentro del mismo dominio que MAS). El navegador no contiene ninguna cookie de comunidad electrnica para este dominio. WebSEAL 1 no tiene credenciales almacenadas en la cach para el usuario. v La configuracin de WebSEAL 1 tiene habilitada la autenticacin de la comunidad electrnica, y especifica la ubicacin del MAS. WebSEAL 1 redirecciona el navegador a una direccin URL especial de garantizacin en el MAS. v El MAS recibe la peticin de garantizacin y, al no encontrar las credenciales para ese usuario, solicita al usuario que inicie la sesin. v Si el inicio de sesin es correcto, el MAS crea una credencial para el usuario, la almacena en la cach, y redirecciona de nuevo el navegador a la direccin URL solicitada originalmente en WebSEAL 1 con una seal de garantizacin cifrada.
149
Asimismo, se coloca una cookie de comunidad electrnica especfica del dominio A en el navegador para identificar el servidor de garantizacin de este dominio (en este caso, el MAS). Si el intento de inicio de sesin no es correcto, el MAS devuelve una seal de garantizacin que indica un estado de error. Esta seal se construye para que no sea distinguible de una seal de garantizacin de estado correcto. El servidor que realiza la peticin reacciona a una seal de estado de error como si el usuario no hubiera pasado la autenticacin local. v WebSEAL 1 descifra la seal y crea su propia credencial para el usuario. Nota: La correlacin de identidades no debera ser necesaria dentro del mismo dominio. Si se requiere la correlacin de identidades, WebSEAL 1 debe utilizar CDMF (Cross-domain Domain Mapping Framework). v El servicio de autorizaciones permite o rechaza la peticin. (2) PRIMER acceso a la comunidad electrnica : WebSEAL 3 (Dominio B) v El usuario solicita un recurso protegido por WebSEAL 3 (dominio B remoto). El navegador no contiene ninguna cookie de comunidad electrnica para este dominio. WebSEAL 3 no tiene credenciales almacenadas en la cach para el usuario. v La configuracin de WebSEAL 3 tiene habilitada la autenticacin de la comunidad electrnica, y especifica la ubicacin del MAS. WebSEAL 3 redirecciona el navegador a una direccin URL especial de garantizacin en el MAS. v El MAS recibe la peticin de garantizacin y, al no encontrar las credenciales para ese usuario, solicita al usuario que inicie la sesin. v Si el inicio de sesin es correcto, el MAS crea una credencial para el usuario, la almacena en la cach, y redirecciona de nuevo el navegador a la direccin URL solicitada originalmente en WebSEAL 3 con una seal de garantizacin cifrada. Asimismo, se coloca una cookie de comunidad electrnica especfica del dominio A en el navegador para identificar el servidor de garantizacin de este dominio (en este caso, el MAS). Si el intento de inicio de sesin no es correcto, el MAS devuelve una seal de garantizacin que indica un estado de error. Esta seal se construye para que no sea distinguible de una seal de garantizacin de estado correcto. El servidor que realiza la peticin reacciona a una seal de estado de error como si el usuario no hubiera pasado la autenticacin local. v WebSEAL 3 descifra la seal y crea su propia credencial para el usuario. v WebSEAL 3 crea y establece una segunda cookie de comunidad electrnica (vlida para el dominio B) en el navegador, que identifica a WebSEAL 3 como el servidor de garantizacin para el dominio B. v El servicio de autorizaciones permite o rechaza la peticin. (3) SIGUIENTE acceso a la comunidad electrnica: WebSEAL 2 (Dominio A) v El usuario solicita un recurso protegido por WebSEAL 2 (dentro del mismo dominio que MAS). El navegador contiene una cookie de comunidad electrnica del dominio A que identifica al MAS como servidor de garantizacin. WebSEAL 2 recibe esta cookie. WebSEAL 2 no tiene credenciales almacenadas en la cach para el usuario. v La configuracin de WebSEAL 2 tiene habilitada la autenticacin de la comunidad electrnica, y especifica la ubicacin del MAS. La presencia de la cookie de comunidad electrnica del dominio A anula la configuracin de WebSEAL 2 para la ubicacin de MAS. La cookie proporciona a WebSEAL 2 la
150
identidad del servidor de garantizacin. (Si se da primero el ejemplo 2, tambin habra una cookie de dominio B mantenida en el navegador que no se enviara a un servidor de dominio A). v WebSEAL 2 redirecciona el navegador a una direccin URL especial de garantizacin en el servidor de garantizacin del dominio A identificado en la cookie (es este caso, el MAS, ya que WebSEAL 2 est en el dominio A). v El MAS recibe la peticin de garantizacin y busca las credenciales para ese usuario en la cach (esto se produce en el ejemplo 1 y 2). v El MAS redirecciona de nuevo el navegador a la direccin URL solicitada originalmente en WebSEAL 2 con una seal de garantizacin cifrada. v WebSEAL 2 descifra la seal y crea su propia credencial para el usuario. v El servicio de autorizaciones permite o rechaza la peticin. (4) SIGUIENTE acceso a la comunidad electrnica: WebSEAL 4 (Dominio B) v El usuario solicita un recurso protegido por WebSEAL 4 (dominio B remoto). Si el ejemplo 2 se produce primero, el navegador contiene una cookie de comunidad electrnica del dominio B que identifica a WebSEAL 3 como servidor de garantizacin. WebSEAL 4 no tiene credenciales almacenadas en la cach para el usuario. v La configuracin de WebSEAL 4 tiene habilitada la autenticacin de la comunidad electrnica, y especifica la ubicacin del MAS. La presencia de una cookie de comunidad electrnica del dominio B anula la configuracin de WebSEAL 4 para la ubicacin de MAS. La cookie proporciona a WebSEAL 4 la identidad del servidor de garantizacin. (Si se da primero el ejemplo 2, slo habr una cookie de dominio A mantenida en el navegador que no se enviara a un servidor de dominio B. En su lugar, se utilizar la ubicacin configurada del MAS. WebSEAL 4 se convertir en el servidor de garantizacin para el dominio B.) v Si el ejemplo 2 se produce primero, WebSEAL 4 redirecciona el navegador a una direccin URL especial de garantizacin en el servidor de configuracin del dominio B identificado en la cookie de dominio B (en este caso WebSEAL 3). v WebSEAL 3 recibe la peticin de garantizacin y busca las credenciales para ese usuario en la cach (esto se produce en el ejemplo 2). v WebSEAL 3 redirecciona de nuevo el navegador a la direccin URL solicitada originalmente en WebSEAL 4 con una seal de garantizacin cifrada. v WebSEAL 4 descifra la seal y crea su propia credencial para el usuario. v El servicio de autorizaciones permite o rechaza la peticin. (5) OTRO acceso a la comunidad electrnica: WebSEAL 2 (Dominio A) v El usuario se conecta a WebSEAL 2 (dominio A) con una peticin. Si se ha producido el ejemplo 3, WebSEAL 2 tiene credenciales almacenadas en la cach para el usuario. v El servicio de autorizaciones permite o rechaza la peticin. Fin de sesin de la comunidad electrnica v Si el usuario finaliza la sesin cerrando el navegador, se borrarn todas las sesiones SSL y las cookies de comunidad electrnica. v Si el usuario finaliza la sesin a travs de la pgina /pkmslogout, se borrarn la sesin SSL y la cookie de comunidad electrnica para ese dominio.
151
Informacin de la cookie de comunidad electrnica

v La cookie de comunidad electrnica es una cookie especfica del dominio establecida por un servidor WebSEAL, almacenada en la memoria del navegador del usuario y transmitida a otros servidores WebSEAL (en el mismo dominio) en las siguientes peticiones. v La cookie especfica del dominio contiene el nombre del servidor de garantizacin, la identidad de la comunidad electrnica, una ubicacin (direccin URL) del servidor de garantizacin y la funcionalidad, y un valor de duracin. La cookie no contiene informacin del usuario ni de seguridad. v La cookie de comunidad electrnica permite a los servidores de los dominios participantes solicitar informacin de garantizacin de forma local. La cookie de comunidad electrnica para el dominio en el que reside el MAS juega un papel menos importante. v La cookie tiene un valor de duracin (tiempo de espera) que se establece en el archivo de configuracin webseald.conf. Este valor de duracin especifica durante cunto tiempo puede el servidor remoto proporcionar informacin de garantizacin para el usuario. Cuando caduca la duracin de la cookie, el usuario se debe redireccionar al MAS para su autenticacin. v La cookie se borra de la memoria cuando se cierra el navegador. Si el usuario finaliza la sesin de un dominio especfica, la cookie de comunidad electrnica se sobrescribe como vaca. Esta accin la elimina definitivamente del navegador.
Informacin sobre la peticin y la respuesta de garantizacin

La operacin de garantizacin de la comunidad electrnica requiere una funcionalidad dedicada, a la que se accede a travs de dos direcciones URL especialmente construidas: la peticin de garantizacin y la respuesta de garantizacin. Estas direcciones URL se construyen durante las redirecciones HTTP garantizadas de comunidad electrnica, a partir de la informacin de configuracin de webseald.conf. La peticin de garantizacin La peticin de garantizacin se desencadena cuando un usuario solicita un recurso de un servidor de destino (configurado para la comunidad electrnica) que no contiene informacin de credenciales del usuario. El servidor enva una redireccin HTTP al servidor de garantizacin (el MAS o un servidor identificado en una cookie de comunidad electrnica). La peticin de garantizacin contiene la siguiente informacin:
https://<servidor-garantizacin>/pkmsvouchfor?<nombre-comunidad-electrnica> &<direccin-URL-destino>
El servidor receptor comprueba el nombre-comunidad-electrnica para validar la identidad de la comunidad electrnica. El servidor receptor utiliza la direccin-URL-destino de la respuesta de garantizacin para redireccionar de nuevo el navegador a la pgina solicitada originalmente. La direccin URL de garantizacin de pkmsvouchfor se puede configurar. Por ejemplo:
https://mas.dA.com/pkmsvouchfor?companyABC&https://ws5.dB.com/index.html
152
La respuesta de garantizacin La respuesta de garantizacin es la respuesta del servidor de garantizacin al servidor de destino. La respuesta de garantizacin contiene la siguiente informacin:
https://<direccin-URL-destino>?PD-VFHOST=<servidor-garantizacin>&PD-VF=<seal-cifrada>
El parmetro PD-VFHOST identifica al servidor que ha realizado la operacin de garantizacin. El servidor receptor (destino) utiliza esta informacin para seleccionar la clave correcta necesaria para descifrar la seal de garantizacin (PD-VF). El parmetro PD-VF representa la seal de garantizacin cifrada. Por ejemplo:
https://w5.dB.com/index.html?PD-VFHOST=mas.dA.com&PD-VF=3qhe9fjkp...ge56wgb
Informacin sobre la seal de garantizacin

Para conseguir el inicio de sesin nico en dominios cruzados, la informacin de identidad de usuario debe transmitirse entre los servidores. Esta informacin confidencial se gestiona utilizando una redireccin que incluye la informacin de identidad cifrada como parte de la direccin URL. Estos datos cifrados se denominan seal de autenticacin. v La seal contiene el estado de error o de xito de garantizacin, la identidad del usuario (si es correcto), el nombre completo del servidor que ha creado la seal, la identidad de la comunidad electrnica y el valor de hora de creacin. v El poseedor de una seal de garantizacin vlida puede utilizarla para establecer una sesin (y un conjunto de credenciales) en un servidor sin autenticarse explcitamente en ese servidor. v La seal se cifra utilizando una clave secreta compartida mediante DES triple, para que se pueda verificar su autenticidad. v La informacin de la seal cifrada no se almacena en el navegador. v La seal slo se pasa una vez. El servidor receptor utiliza esta informacin para crear credenciales de usuario en su propia cach. El servidor utiliza estas credenciales para futuras peticiones del usuario durante la misma sesin. v La seal tiene un valor de duracin (tiempo de espera) que se establece en el archivo de configuracin webseald.conf. Este valor puede ser muy breve (segundos) para reducir el riesgo de un ataque de respuestas.
Cifrado de la seal de garantizacin

WebSEAL debe cifrar los datos de autenticacin ubicados en la seal mediante una clave generada por el programa de utilidad cdsso_key_gen. Debe sincronizar esta clave compartiendo el archivo de claves con todos los servidores WebSEAL de cada uno de los dominios participantes. Todos los servidores WebSEAL participantes de cada dominio deben utilizar la misma clave. Nota: La creacin y distribucin de archivos de claves no forma parte del proceso de comunidad electrnica de Access Manager. Debe copiar manualmente y de forma segura las claves para cada servidor participante. El programa de utilidad cdsso_key_gen precisa que se especifique la ubicacin (nombre de ruta de acceso completa) del archivo de claves cuando se ejecute el programa de utilidad:
153
UNIX:
# cdsso_key_gen <nombre-ruta-acceso-absoluta>
Windows:
MSDOS> cdsso_key_gen <nombre-ruta-acceso-absoluta>
La ubicacin de la clave utilizada para asegurar las seales enviadas entre los servidores de un mismo dominio (local y remoto) se especifica como el valor del parmetro intra-domain-key en la stanza [e-community-sso] del archivo de configuracin webseald.conf.
[e-community-sso] intra-domain-key = <nombre-ruta-acceso-completa>
La ubicacin de los archivos de claves utilizados para asegurar las seales enviadas entre el MAS y los servidores de dominios remotos se especifica en la stanza [inter-domain-keys]. Los otros servidores del mismo dominio que MAS no necesitan inter-domain-keys. El MAS es el nico servidor que debe comunicarse con los servidores en los dominios remotos.
[inter-domain-keys] <nombre-dominio> = <nombre-ruta-acceso-completa> <nombre-dominio> = <nombre-ruta-acceso-completa>
Configuracin de una comunidad electrnica

Este apartado repasa todos los parmetros de configuracin necesarios para implementar una comunidad electrnica. Estos parmetros se encuentran en el archivo webseald.conf. Debe configurar atentamente este archivo para cada uno de los servidores participantes en la comunidad electrnica. e-community-sso-auth Este parmetro habilita o inhabilita la autenticacin de la comunidad electrnica. Los valores son http, https, both (ambos), o none (ninguno). Por ejemplo:
[e-community-sso] e-community-sso-auth = both
Los valores http, https, y both especifican el tipo de comunicacin que utilizan los participantes de la comunidad electrnica. El valor none inhabilita la comunidad electrnica para ese servidor. El valor predeterminado es none. master-http-port Si e-community-sso-auth habilita la autenticacin de la comunidad electrnica HTTP, y el servidor maestro de autenticacin escucha las peticiones HTTP en un puerto distinto del puerto HTTP estndar (puerto 80), el parmetro master-http-port permite identificar el puerto no estndar. Este parmetro se omite si este servidor es el servidor maestro de autenticacin. De forma predeterminada, este parmetro est inhabilitado.
[e-community-sso] master-http-port = <nmero-puerto>
master-https-port Si e-community-sso-auth habilita la autenticacin de la comunidad electrnica HTTPS, y el servidor maestro de autenticacin escucha las peticiones HTTPS en un puerto distinto del puerto HTTP estndar (puerto 443), el parmetro
154
master-http-port permite identificar el puerto no estndar. Este parmetro se omite si este servidor es el servidor maestro de autenticacin. De forma predeterminada, este parmetro est inhabilitado.
[e-community-sso] master-https-port = <nmero-puerto>
e-community-name Este parmetro identifica el nmero unificado de la comunidad electrnica para todos los servidores participantes en todos los dominios participantes. Por ejemplo:
[e-community-sso] e-community-name = companyABC
El valor de e-community-name debe ser el mismo para todos los servidores WebSEAL en todos los dominios que participan en la comunidad electrnica. intra-domain-key Este parmetro identifica la ubicacin del archivo de claves que se utiliza para cifrar y descifrar las seales que se intercambian en el dominio de este servidor. Por ejemplo:
[e-community-sso] intra-domain-key = /abc/xyz/key.file
Debe generar este archivo de claves en una ubicacin y copiarlo manualmente (de forma segura) en la ubicacin especificada en los otros servidores WebSEAL dentro del dominio. is-master-authn-server Este parmetro identifica si este servidor es el MAS o no. Los valores posibles son yes o no. Por ejemplo:
[e-community-sso] is-master-authn-server = yes
Se pueden configurar varios WebSEAL para actuar como servidores maestros de autenticacin y, a continuacin, colocarlos detrs de un equilibrador de carga. En este caso, el equilibrador de carga es reconocido como el MAS por lo otros servidores WebSEAL en la comunidad electrnica. master-authn-server Si el parmetro is-master-authn-server se establece en no, este parmetro debe estar especificado y sin comentarios. El parmetro identifica el nombre de dominio completo del MAS. Por ejemplo:
[e-community-sso] master-authn-server = mas.dA.com
vf-token-lifetime Este parmetro establece el valor de tiempo de espera de duracin (en segundos) de la seal de garantizacin. Este valor se comprueba comparndolo con la hora de creacin indicada en la cookie. El valor predeterminado es 180 segundos. Debe tener en cuenta las diferencias horarias entre los servidores participantes. Por ejemplo:
155
[e-community-sso] vf-token-lifetime = 180
vf-url Este parmetro especifica la direccin URL de garantizacin. El valor debe empezar con una barra inclinada (/). El valor predeterminado es /pkmsvouchfor. Por ejemplo:
[e-community-sso] vf-url = /pkmsvouchfor
Tambin puede expresar una direccin URL ampliada:

vf-url = /ecommA/pkmsvouchfor
ec-cookie-lifetime Este parmetro especifica la duracin mxima (en minutos) de la cookie de dominio de comunidad electrnica. El valor predeterminado es 300 minutos. Por ejemplo:
[e-community-sso] ec-cookie-lifetime = 300
Claves entre dominios La ubicacin de los archivos de claves necesarios para cifrar y descifrar las seales entre el MAS y los servidores participantes se especifica en la stanza [inter-domain-keys]. Debe especificar los nombres de dominio completos de los servidores y las rutas de acceso completas de las ubicaciones de los archivos de claves. El siguiente ejemplo proporciona al MAS (dominio A) los archivos de claves para comunicarse con dos dominios remotos:
[inter-domain-keys] dB.com = /abc/xyz/key.fileB dC.com = /abc/xyz/key.fileC
En este ejemplo, key.fileB identifica al archivo de claves utilizado entre el dominio A y el dominio B. key.fileC identifica el archivo de claves utilizado entre el dominio A y el dominio C. Cada servidor remoto necesitar una copia del archivo de claves correspondiente utilizado por el MAS. Para intercambiar seales con el MAS (dominio A), todos los servidores del dominio B necesitan copias de key.fileB.
[inter-domain-keys] dA.com = /efg/hij/key.fileB
Para intercambiar seales con el MAS (dominio A), todos los servidores del dominio C necesitan copias de key.fileC.
[inter-domain-keys] dA.com = /efg/hij/key.fileC
Configuracin del mecanismo de autenticacin de CDSSO

La configuracin de la comunidad electrnica necesita que habilite el mecanismo de autenticacin de cdsso. Este mecanismo es necesario cuando el servidor que realiza la peticin crea credenciales de usuario a partir de la informacin de identidad contenida en la seal de garantizacin. El parmetro de configuracin
156
cdsso especifica la biblioteca compartida codificada de forma que no se pueda modificar para correlacionar la informacin de autenticacin. v En UNIX, el archivo que proporciona la funcin de correlacin incorporada es una biblioteca compartida denominada libcdssoauthn. v En Windows, el archivo que proporciona la funcin de correlacin incorporada es una DLL denominada cdssoauthn.
Mecanismo de autenticacin cdsso Biblioteca compartida Solaris libcdssoauthn.so AIX libcdssoauthn.a Windows cdssoauthn.dll HP-UX libcdssoauthn.sl
Puede configurar el mecanismo de autenticacin de CDSSO especificando el parmetro cdsso con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf. Por ejemplo: Solaris:
[authentication-mechanisms] cdsso = libcdssoauthn.so
Windows:
[authentication-mechanisms] cdsso = cdssoauthn.dll
157
158
Captulo 7. Conexiones (junctions) WebSEAL

La conexin entre un servidor WebSEAL y un servidor de aplicaciones web de fondo se conoce como conexin (junction) WebSEAL o conexin (junction). Una conexin (junction) WebSEAL es una conexin de TCP/IP entre un servidor WebSEAL frontal y un servidor de aplicaciones web de fondo. Las conexiones (junctions) permiten a WebSEAL proteger los recursos web ubicados en los servidores de fondo. Puede crear conexiones (junctions) WebSEAL con el programa de utilidad de lnea de comandos pdadmin o con Web Portal Manager. Este captulo describe los detalles de las distintas opciones para configurar conexiones (junctions) WebSEAL. ndice de temas: v Visin general de las conexiones (junctions) WebSEAL en la pgina 159 v Utilizacin de pdadmin para crear conexiones (junctions) en la pgina 161 v Configuracin de una conexin (junction) WebSEAL bsica en la pgina 162 v Conexiones (junctions) SSL autenticadas mutuamente en la pgina 165 v Creacin de conexiones (junctions) de proxy TCP y SSL en la pgina 168 v Conexiones (junctions) de WebSEAL a WebSEAL a travs de SSL en la pgina 168 v Modificacin de las direcciones URL de recursos de fondo en la pgina 169 v Opciones adicionales de conexin (junction) en la pgina 176 v Notas tcnicas para utilizar conexiones (junctions) WebSEAL en la pgina 185 v Utilizacin de query_contents con servidores de terceros en la pgina 186
Visin general de las conexiones (junctions) WebSEAL

Puede crear los siguientes tipos de conexin (junction) WebSEAL: v De WebSEAL a servidor de fondo a travs de una conexin TCP v De WebSEAL a servidor de fondo a travs de una conexin SSL v De WebSEAL a servidor de fondo a travs de una conexin TCP mediante el servidor proxy HTTP v De WebSEAL a servidor de fondo a travs de una conexin SSL mediante el servidor proxy HTTPS v De WebSEAL a WebSEAL a travs de una conexin SSL Debe ocuparse de los dos temas siguientes al crear una conexin (junction): 1. Decidir dnde conectar (montar) el servidor de aplicaciones web en el espacio de objetos de WebSEAL. 2. Elegir el tipo de conexin (junction).
Ubicacin y formato de la base de datos de conexiones (junctions)

La informacin de las conexiones (junctions) WebSEAL se almacena ahora en los archivos de la base de datos en formato XML. La ubicacin del directorio de la base de datos de conexiones (junctions) est definida en la stanza [junction] del
159
archivo de configuracin webseald.conf. El directorio es relativo a la raz del servidor WebSEAL (parmetro server-root de la stanza [server]):
[junction] junction-db = jct
v Cada conexin (junction) est definida en un archivo aparte con una extensin .xml. v Utilice el programa de utilidad pdadmin para crear y gestionar las conexiones (junctions) y las opciones. v El formato XML permite crear, editar, duplicar y hacer copia de seguridad manualmente de los archivos de conexin (junction).
Aplicacin del control de accesos flexible: resumen

1. Utilice el programa de utilidad pdadmin o Web Portal Manager para crear una conexin (junction) entre WebSEAL y el servidor de fondo. 2. Coloque una poltica de ACL apropiada en el punto de conexin (junction) para proporcionar un control flexible al servidor de fondo.
Aplicacin del control de accesos flexible: resumen

1. Utilice el programa de utilidad pdadmin o Web Portal Manager para crear una conexin (junction) entre WebSEAL y el servidor de fondo. WebSEAL no puede ver ni comprender automticamente un sistema de archivos de terceros. Debe informar a WebSEAL del espacio de objetos de terceros mediante una aplicacin especial denominada query_contents, que hace un inventario del espacio web de terceros e informa a WebSEAL acerca de la estructura y el contenido. 2. Copie el programa query_contents en el servidor de terceros. 3. Aplique la poltica de ACL a los objetos apropiados del espacio de objetos unificado.
Directrices para la creacin de conexiones (junctions) WebSEAL

Las directrices siguientes resumen las reglas para las conexiones (junctions): v Puede agregar una conexin (junction) en cualquier punto del espacio de objetos de WebSEAL principal v Puede conectar varios servidores de fondo replicados al mismo punto de montaje Los diversos servidores de fondo replicados montados en el mismo punto de conexin (junction) deben ser del mismo tipo TCP o SSL v Las polticas de ACL se heredan a travs de las conexiones (junctions) en los servidores de terceros v El nombre del punto de conexin (junction) debe ser exclusivo y no debe coincidir con ningn directorio del espacio web del servidor WebSEAL local. Por ejemplo, si WebSEAL tiene recursos con el formato /ruta_acceso/..., no cree un punto de conexin (junction) con el nombre /ruta_acceso. v El punto de conexin (junction) no debe coincidir con ningn directorio del espacio web del servidor de fondo si las pginas HTML del servidor contienen programas (por ejemplo, Javascript o applets) con direcciones URL de ese directorio relativas al servidor. Por ejemplo, si las pginas del servidor de fondo contienen programas con una direccin URL con el formato /ruta_acceso/..., no cree un punto de conexin (junction) con el nombre /ruta_acceso.
160
v No cree varias conexiones (junctions) WebSEAL que apunten al mismo servidor/puerto de aplicacin de fondo. Este tipo de configuracin puede causar un control imprevisible de acceso a los recursos y, por consiguiente, no es una estrategia de configuracin de Access Manager recomendada o soportada. Cada conexin (junction) WebSEAL puede protegerse mediante un conjunto exclusivo de controles de accesos (ACL). No obstante, la poltica de ACL de cada conexin (junction) recin creada se solapa sobre las polticas de las conexiones (junctions) creadas previamente y conectadas al mismo servidor de fondo/puerto. Las conexiones (junctions) posteriores protegidas con unas ACL ms permisivas pueden comprometer conexiones (junctions) anteriores con unas ACL menos permisivas. WebSEAL y el modelo de autorizacin de Access Manager no pueden garantizar un control de acceso seguro con este tipo de implementacin de conexin (junction). v WebSEAL da soporte a HTTP 1.1 a travs de conexiones (junctions).
Informacin de consulta adicional para conexiones (junctions) WebSEAL

Consulte el apartado Informacin sobre las conexiones (junctions) WebSEAL en la pgina 14 para obtener una visin general conceptual de las conexiones (junctions) WebSEAL. Consulte el apartado Apndice B, Informacin de consulta de las conexiones (junctions) WebSEAL en la pgina 247 para obtener informacin completa acerca de las opciones de comandos de conexin (junction).
Utilizacin de pdadmin para crear conexiones (junctions)

Antes de utilizar pdadmin, debe iniciar la sesin en un dominio seguro como usuario de administracin sec_master. Por ejemplo: UNIX:
Windows:
MSDOS> pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
Para crear conexiones (junctions) WebSEAL, utilice el comando pdadmin server task create:
pdadmin> server task <identificacin-servidor> create <opciones>
El componente identificacin-servidor de este comando es una combinacin del servidor de Access Manager utilizado por este comando y el nombre de host del servidor de Access Manager.
<servidor-Access-Manager>-<nombre-host>
161
Sintaxis para un solo servidor WebSEAL: Para Access Manager WebSEAL, el servidor-Access-Manager es webseald y el nombre-host es el nombre de la mquina servidor WebSEAL:
pdadmin> server task webseald-<nombre-host> create <opciones>
El servidor WebSEAL inicial instalado en una mquina siempre se denomina segn el nombre de mquina. Por ejemplo, si el nombre de la mquina es cruz, la identificacin de servidor para una sola instalacin de WebSEAL es:
webseald-cruz
Sintaxis para mltiples instancias de WebSEAL: Si instala mltiples instancias de servidor WebSEAL en la misma mquina, el servidor-Access-Manager es el nombre configurado de la instancia de servidor WebSEAL, seguido de webseald y del nombre de host:
<nombre-instancia>-webseald-<nombre-host>
Por ejemplo, si los nombres configurados de dos instancias adicionales de WebSEAL son webseal2 y webseal3, las identificaciones de servidor aparecen como:
webseal2-webseald-cruz webseal3-webseald-cruz
Utilice el comando server list para verificar la identificacin de servidor:

pdadmin> server list webseald-cruz webseal2-webseald-cruz webseal3-webseald-cruz
Configuracin de una conexin (junction) WebSEAL bsica

WebSEAL da soporte a las conexiones (junctions) TCP estndar (HTTP) y SSL seguras (HTTPS) entre WebSEAL y los servidores de aplicaciones web. La conexin (junction) entre WebSEAL y el servidor de fondo es independiente del tipo de conexin (y su nivel de seguridad) entre el cliente y el servidor WebSEAL. Las opciones de comando obligatorias que son necesarias para crear una conexin (junction) WebSEAL bsica mediante pdadmin son: v Nombre de host del servidor de aplicaciones de fondo (opcin h) v Tipo de conexin (junction): tcp, ssl, tcpproxy, sslproxy, local (opcin t) v Punto de conexin (junction) (punto de montaje)
pdadmin> server task webseald-<nombre-instancia> create t <tipo> h \ <nombre-host> <punto-conexin>
Por ejemplo:
pdadmin> server task webseald-cruz create -t tcp -h doc.tivoli.com /pubs
Nota: La recomendacin de mejor prctica es que se utilice siempre el nombre de dominio completo del servidor de fondo al especificar el argumento en la opcin h.
162
Creacin de conexiones (junctions) de tipo TCP

Una conexin (junction) WebSEAL a travs de una conexin TCP proporciona las propiedades bsicas de una conexin (junction) pero no proporcionan una comunicacin segura a travs de sta.
Figura 29. Conexin (junction) TCP no segura (HTTP)
Para crear una conexin (junction) TCP segura y agregar un servidor inicial, utilice el comando create con la opcin t tcp:
pdadmin> server task webseald-<nombre-instancia> create t tcp h <nombre-host> \ [p <puerto>] <punto-conexin>
El valor de puerto predeterminado para una conexin (junction) TCP (si no se ha especificado) es 80.
Creacin de conexiones (junctions) de tipo SSL

Las conexiones (junctions) SSL funcionan exactamente igual que las conexiones (junctions) TCP, con el valor aadido de que todas las comunicaciones entre WebSEAL y el servidor de fondo estn cifradas.
Figura 30. Conexin (junction) SSL segura (HTTPS)
Las conexiones (junctions) SSL permiten transacciones seguras de extremo a extremo de navegador a aplicacin. Puede utilizar SSL para proteger las comunicaciones del cliente a WebSEAL y de WebSEAL al servidor de fondo. El servidor de fondo debe tener HTTPS habilitado al utilizar una conexin (junction) SSL. Para crear una conexin (junction) SSL segura y agregar un servidor inicial, utilice el comando create con la opcin t ssl:
pdadmin> server task webseald-<nombre-instancia> create t ssl h <nombre-host> \ [p <puerto>] <punto-conexin>
163
El valor de puerto predeterminado para una conexin (junction) SSL (si no se ha especificado) es 443.
Verificacin del certificado de servidor de fondo

Cuando un cliente realiza una peticin para un recurso del servidor de fondo, WebSEAL, en su rol como servidor de seguridad, realiza la peticin en nombre del cliente. El protocolo SSL especifica que cuando se realiza una peticin al servidor de fondo, ese servidor debe proporcionar una prueba de identidad mediante un certificado de servidor. Cuando WebSEAL recibe este certificado del servidor de fondo, debe verificar su autenticidad comparndolo con una lista de certificados raz de CA almacenados en su base de datos de certificados. Access Manager utiliza la implementacin de SSL de IBM Global Security Kit (GSKit). Debe utilizar el programa de utilidad iKeyman de GSKit para agregar el certificado raz de la CA que ha firmado el certificado del servidor de fondo en el archivo de claves de certificados de WebSEAL (pdsvr.kdb).
Ejemplos de conexiones (junctions) de SSL

Host de conexin (junction) sales.tivoli.com en el punto de conexin (junction) /sales a travs de SSL:
pdadmin> server task webseald-<nombre-instancia> create t ssl h \ sales.tivoli.com /sales
Nota: En el ejemplo anterior, la opcin t ssl establece el puerto predeterminado 443. Host de conexin (junction) travel_svr en el puerto 4443 en el punto de conexin (junction) /travel a travs de SSL:
pdadmin> server task webseald-<nombre-instancia> create t ssl p 4443 \ h travel_svr /travel
Adicin de servidores de fondo adicionales a una conexin (junction)

Para aumentar la alta disponibilidad de los recursos protegidos por Access Manager, puede establecer una conexin (junction) de varios servidores de fondo replicados al mismo punto de conexin (junction). v Varios servidores de fondo con la misma conexin (junction) en el mismo punto deben tener versiones de WebSEAL idnticas y espacios de documentos web idnticos. v Varios servidores de fondo con la misma conexin (junction) en el mismo punto deben usar el mismo tipo de conexin (TCP o SSL). v WebSEAL utiliza un algoritmo de menos ocupado para determinar cul es la rplica de servidor de fondo que tiene un nmero menor de conexiones de peticin y reenva las peticiones nuevas a ese servidor. Cree la conexin (junction) inicial. Por ejemplo:
pdadmin> server task webseald-cruz create -t tcp -h server1 /sales
Agregue una rplica de servidor de fondo adicional. Por ejemplo:

pdadmin> server task webseald-cruz add -h server2 /sales
164
Conexiones (junctions) SSL autenticadas mutuamente

WebSEAL da soporte a la autenticacin mutua entre un servidor WebSEAL y un servidor de fondo a travs de una conexin (junction) SSL (t ssl o t sslproxy). El siguiente esquema resume las funciones soportadas para la autenticacin mutua a travs de SSL (se incluyen las opciones de comando en la lista donde es pertinente): 1. WebSEAL autentica el servidor de fondo (proceso SSL normal) v WebSEAL valida el certificado de servidor del servidor de fondo. Consulte el apartado WebSEAL valida el certificado de servidor de fondo. v WebSEAL verifica el Nombre distinguido (DN) contenido en el certificado (D) (opcional, pero muy recomendable). Consulte el apartado Coincidencia de Nombre distinguido (DN). 2. El servidor de fondo autentica WebSEAL (dos mtodos) v El servidor de fondo valida el certificado de cliente de WebSEAL (K). Consulte el apartado WebSEAL se autentica con un certificado de cliente en la pgina 166. v El servidor de fondo valida la informacin de identidad de WebSEAL en la cabecera de autenticacin bsica (BA) (B, U, W). Consulte el apartado WebSEAL se autentica con una cabecera de BA en la pgina 166. Las opciones de comando que controlan la autenticacin mutua a travs de SSL proporcionan las siguientes funciones: v Puede especificar el certificado de cliente o el mtodo de autenticacin BA. v Puede aplicar el mtodo de autenticacin segn la conexin (junction). En el apartado Gestin de informacin de identidad de cliente entre conexiones (junctions) en la pgina 167 encontrar consideraciones especiales para combinar las opciones b (para gestionar la informacin de BA) con la autenticacin mutua a travs de SSL.
WebSEAL valida el certificado de servidor de fondo

WebSEAL verifica un certificado de servidor de fondo segn el protocolo SSL estndar. El servidor de fondo enva su certificado de servidor a WebSEAL. WebSEAL valida el certificado de servidor comparndolo con una lista predefinida de certificados raz de CA (entidad emisora de certificados). Los certificados de CA (entidad emisora de certificados) que forman la cadena fiable para el certificado de servidor de aplicaciones (de la CA firmante al certificado raz, ste incluido) deben estar incluidos en la base de datos de claves que utiliza WebSEAL. Utilice el programa de utilidad iKeyman para crear y gestionar la base de datos de certificados raz de CA.
Coincidencia de Nombre distinguido (DN)

Puede mejorar la verificacin de certificados de servidor a travs de la coincidencia del Nombre distinguido (DN). Para habilitar la coincidencia de DN del servidor, debe especificar el DN del servidor de fondo al crear la conexin (junction) SSL con ese servidor. Aunque la coincidencia de DN es una configuracin opcional, es muy recomendable que se implemente esta funcin con la autenticacin mutua a travs de las conexiones (junctions) SSL.
165
Durante la verificacin de certificados de servidor, el DN contenido en el certificado se compara con el DN definido por la conexin (junction). La conexin con el servidor de fondo falla si los dos DN no coinciden. Para habilitar la coincidencia de DN del servidor, especifique el DN del servidor de fondo cuando cree la conexin (junction) SSL mediante la opcin D <DN>. Para preservar los espacios en blanco de la cadena, especifique la cadena de DN entre comillas. Por ejemplo:
D /C=US/O=Tivoli/OU=SecureWay/CN=Access Manager
La opcin D slo es apropiada cuando se utiliza con la opcin K o B.
WebSEAL se autentica con un certificado de cliente

Utilice la opcin K para habilitar la autenticacin de WebSEAL con el servidor de fondo con conexin (junction) a travs del certificado de cliente.
K <etiqueta-clave>
Las condiciones para este escenario son: v El servidor de fondo est configurado para que requiera la verificacin de la identidad de WebSEAL con un certificado de cliente. v WebSEAL est configurado (webseald.conf) para que utilice un certificado de cliente especfico para autenticarse en el servidor de fondo (ssl-keyfile-label). v Es muy recomendable que configure la conexin (junction) para la coincidencia de DN (D). La opcin K utiliza un argumento que especifica la etiqueta de clave del certificado requerido tal como est almacenada en la base de datos de claves de GSKit. Utilice el programa de utilidad iKeyman para agregar certificados nuevos a la base de datos de claves. Utilice el parmetro ssl-keyfile-label del archivo de configuracin webseald.conf para configurar la etiqueta de clave. Debe especificar el argumento de etiqueta de clave entre comillas. Por ejemplo:
K cert1_Tiv
Consulte el apartado Configuracin de parmetros de base de datos de claves en la pgina 40.
WebSEAL se autentica con una cabecera de BA

Utilice la opcin B U <nombre-usuario> W <contrasea> para habilitar la autenticacin de WebSEAL mediante la autenticacin bsica.
B U <nombre-usuario> W <contrasea>
Las condiciones para este escenario son: v El servidor de fondo est configurado para que requiera la verificacin de la identidad de WebSEAL con una cabecera de BA. v No configure la conexin (junction) con ninguna opcin b. (Sin embargo, internamente la opcin B utiliza b filter.) v WebSEAL est configurado para pasar la informacin de identidad en una cabecera de BA para autenticarse en el servidor de fondo. v Es muy recomendable que configure tambin la conexin (junction) para la coincidencia de DN (D).
166
Debe especificar los argumentos de nombre de usuario y contrasea entre comillas. Por ejemplo:
U WS1 W abCde
Gestin de informacin de identidad de cliente entre conexiones (junctions)

Se puede configurar una conexin (junction) para especificar la informacin de identidad del cliente en cabeceras de BA. La opcin b permite cuatro argumentos posibles: filter, supply, ignore, gso. Encontrar informacin detallada acerca de estos argumentos en el apartado Configuracin de cabeceras de BA para las soluciones de inicio de sesin nico en la pgina 191. La opcin b tiene un impacto sobre los valores de la conexin (junction) para la autenticacin mutua y debe tener en cuenta la combinacin correcta de las opciones.
Utilizacin de b supply
v La autenticacin de WebSEAL mediante la cabecera de BA no se permite con esta opcin. Esta opcin utiliza la cabecera de BA para el nombre de usuario y una contrasea simulada del cliente original. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
Utilizacin de b ignore
v La autenticacin de WebSEAL mediante la cabecera de BA no se permite con esta opcin. Esta opcin utiliza la cabecera de BA para el nombre de usuario y una contrasea del cliente original. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
Utilizacin de b gso
v La autenticacin de WebSEAL mediante la cabecera de BA no se permite con esta opcin. Esta opcin utiliza la cabecera de BA para la informacin de nombre de usuario y contrasea proporcionada por el servidor GSO. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
Utilizacin de b filter
v Internamente, la opcin b filter se utiliza cuando se establece la autenticacin de WebSEAL para utilizar la informacin de cabecera de BA. La cabecera de BA de WebSEAL se utiliza para todas las transacciones HTTP subsiguientes. En el servidor de fondo, WebSEAL aparece conectado en todo momento. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin. v Si el servidor de fondo requiere una identidad de cliente real (del navegador), se pueden utilizar las variables de CGI HTTP_IV_USER, HTTP_IV_GROUP y HTTP_IV_CREDS. Para los scripts y servlets, utilice las cabeceras HTTP especficas de Access Manager correspondientes: iv-user, iv-groups e iv-creds.
167
Creacin de conexiones (junctions) de proxy TCP y SSL

Puede crear conexiones (junctions) WebSEAL que permitan la comunicacin para pasar por topologas de red que utilizan servidores proxy HTTP o HTTPS. Puede configurar la conexin (junction) para gestionar peticiones como comunicacin TCP estndar o comunicacin SSL protegida. El comando create requiere uno de los siguientes argumentos para la opcin type para establecer una conexin (junction) basada en TCP o en SSL a travs de un servidor proxy: v t tcpproxy v t sslproxy Los comandos create y add requieren que las siguientes opciones y argumentos identifiquen el servidor proxy y el servidor web de destino:
H <nombre-host> P <puerto> h <nombre-host> p <puerto> Nombre de host DNS o direccin IP del servidor proxy. Puerto TCP del servidor proxy. Nombre de host DNS o direccin IP del servidor web de destino. Puerto TCP del servidor web de destino. El valor predeterminado es 80 para conexiones (junctions) TCP; 443 para conexiones (junctions) SSL.
Ejemplo de conexin (junction) de proxy TCP (especificado en una lnea):

pdadmin> server task webseald-<nombre-instancia> create t tcpproxy \ H clipper P 8081 h www.ibm.com p 80 /ibm
Ejemplo de conexin (junction) de proxy SSL (especificado en una lnea):

pdadmin> server task webseald-<nombre-instancia> create t sslproxy \ H clipper P 8081 h www.ibm.com p 443 /ibm
Figura 31. Ejemplo de conexin (junction) de proxy
Conexiones (junctions) de WebSEAL a WebSEAL a travs de SSL

Access Manager da soporte a conexiones (junctions) SSL entre un servidor WebSEAL frontal y un servidor WebSEAL de fondo. Utilice la opcin C con el comando create para conectar los dos servidores WebSEAL a travs de SSL y proporcionar autenticacin mutua. Ejemplo:
pdadmin> server task webseald-<nombre-instancia> create t ssl C h serverA /jctA
168
La autenticacin mutua se produce en las dos etapas siguientes: v El protocolo SSL permite al servidor WebSEAL de fondo autenticarse en el servidor WebSEAL frontal a travs de su certificado de servidor. v La opcin C habilita el servidor WebSEAL frontal para pasar la informacin de identidad al servidor WebSEAL de fondo en una cabecera de autenticacin bsica (BA). Adems, la opcin C habilita las funciones de la opcin c que le permite colocar la identidad de cliente especfica de Access Manager y la informacin de pertenencia a grupos en la cabecera HTTP de la peticin destinada al servidor WebSEAL de fondo. Los parmetros de cabecera son iv-user, iv-groups e iv-creds. Consulte el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 177. Las siguientes condiciones son aplicables a las conexiones (junctions) de WebSEAL a WebSEAL: v La conexin (junction) slo es apropiada con el tipo de conexin t ssl o t sslproxy. v Ambos servidores WebSEAL deben compartir un registro LDAP o DCE comn. Esto permite al servidor WebSEAL de fondo autenticar la informacin de identidad de servidor WebSEAL frontal.
Modificacin de las direcciones URL de recursos de fondo

Las pginas devueltas al cliente desde aplicaciones de fondo suelen contener vnculos de direcciones URL a recursos que estn ubicados en esos servidores de aplicaciones. Es importante que estos vnculos estn construidos de manera que dirijan las peticiones de vuelta a las ubicaciones correctas de esos recursos. Por ejemplo (en un entorno que no sea WebSEAL), la direccin URL entrada por un cliente para un recurso en un servidor de aplicaciones puede tener el siguiente aspecto:
http://www.abc.com/archivo.html
WebSEAL, como proxy inverso frontal, proporciona servicios de seguridad a servidores de aplicaciones de fondo a travs de la caracterstica de conexin (junction) WebSEAL. Esta caracterstica produce como resultado que se acceda a los recursos a travs de distintas expresiones de direccin URL. Por ejemplo (en un entorno WebSEAL), la direccin URL entrada por un cliente para el mismo recurso en un servidor de aplicaciones de fondo con conexin (junction) debe tener el siguiente aspecto:
http://webseal.abc.com/jct/archivo.html
La caracterstica de conexin (junction) de WebSEAL cambia la informacin de servidor y ruta de acceso que debe utilizarse para acceder a los recursos en los sistemas de fondo con conexin (junction). Un vnculo a un recurso en un servidor de fondo con conexin (junction) slo es vlido si la direccin URL contiene la identidad de la conexin (junction). Para dar soporte a la caracterstica de conexin (junction) y mantener la integridad de las direcciones URL, siempre que sea posible, WebSEAL debe realizar lo siguiente:
169
1. Modificar las direcciones URL (vnculos) que se han encontrado en las respuestas enviadas a los clientes 2. Modificar las peticiones de recursos como resultado de las direcciones URL (vnculos) que WebSEAL no ha podido cambiar Tenga en cuenta que las reglas y los mecanismos de WebSEAL para filtrar y procesar las direcciones URL no se aplican a los vnculos que apuntan a recursos externos al entorno con conexin (junction) de Access Manager. El siguiente diagrama resume las soluciones disponibles en WebSEAL para modificar las direcciones URL de los recursos de fondo con conexin (junction):
Figura 32. Resumen: modificacin de las direcciones URL de recursos de fondo
Este apartado contiene los temas siguientes: v Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL en la pgina 170 v Filtrado de las direcciones URL en las respuestas en la pgina 171 v Proceso de direcciones URL en las peticiones en la pgina 173
Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL
Es probable que cualquier pgina HTML contenga direcciones URL (vnculos) a otros recursos en ese servidor de fondo o a otro sitio. Pueden aparecer expresiones de direccin URL en los siguientes formatos: v relativo v relativo al servidor v absoluto Las direcciones URL expresadas en formato relativo no requieren nunca ningn tipo de manipulacin por parte de WebSEAL. De forma predeterminada, el navegador gestiona las direcciones URL relativas agregando como prefijo la informacin correcta sobre el esquema, el servidor y el directorio (incluida la conexin (junction)) a la direccin URL relativa. La informacin agregada como prefijo procede de la pgina existente en la que reside el vnculo. Ejemplo de expresiones de direccin URL relativas:
abc.html ./abc.html ../abc.html sales/abc.html
170
No obstante, surgen dificultades con los formatos de ruta de acceso relativos al servidor y absolutos. Los vnculos a recursos de fondo expresados en formatos absolutos o relativos al servidor slo son vlidos si WebSEAL pudo modificar la expresin de ruta de acceso de direccin URL e incluyen informacin sobre la conexin (junction). Ejemplo de expresiones de direccin URL relativas al servidor:
/abc.html /accounts/abc.html
Ejemplo de expresin de direccin URL absoluta:

http://www.tivoli.com/abc.html
Nota: Es recomendable que todos los programadores de scripts de web utilicen vnculos relativos (ni absolutos ni relativos al servidor) para las direcciones URL generadas dinmicamente.
Filtrado de las direcciones URL en las respuestas

En este apartado se describe cmo WebSEAL filtra las direcciones URL en las respuestas de los servidores de aplicaciones de fondo con conexin (junction). v Reglas de filtrado estndar de direcciones URL para WebSEAL en la pgina 171 v Modificacin de las direcciones URL absolutas con filtrado de scripts en la pgina 172 v El filtrado cambia la cabecera Content-Length en la pgina 173
Reglas de filtrado estndar de direcciones URL para WebSEAL

WebSEAL utiliza un conjunto de reglas estndar para filtrar las direcciones URL contenidas en las pginas que son respuestas a las peticiones de los clientes. Para aplicar un filtrado estndar de direcciones URL, WebSEAL debe poder ver las direcciones URL en una pgina enviada desde el servidor de fondo. WebSEAL no puede utilizar reglas estndar de filtrado para las direcciones URL incorporadas en scripts. De forma predeterminada, WebSEAL slo filtra los documentos de tipo MIME text/html y text/vnd.wap.wml que se reciben de servidores con conexin (junction). Se pueden configurar tipos MIME adicionales utilizando la stanza [filter-content-types] del archivo de configuracin webseald.conf. El navegador siempre gestiona adecuadamente las direcciones URL relativas. No obstante, WebSEAL debe agregar el nombre de conexin (junction) a la ruta de acceso de las direcciones URL absolutas o relativas al servidor que hacen referencia a recursos ubicados en los servidores con conexin (junction). v Las direcciones URL relativas al servidor indican una posicin de direccin URL en relacin con la raz de documentos del servidor con conexin (junction), como por ejemplo:
/dir/archivo.html
Estas direcciones URL se modifican para reflejar el punto de conexin (junction) del servidor con conexin (junction), como por ejemplo:
/jct/dir/archivo.html
v Las direcciones URL absolutas indican una posicin de direccin URL en relacin con un nombre de host o una direccin IP y un puerto de red, por ejemplo:
171
http://<nombre-host>[:<puerto>]/archivo.html, o https://<nombre-host>[:<puerto>]/archivo.html
Estas direcciones URL se modifican segn el siguiente conjunto de reglas: 1. Si la direccin URL es HTTP y el host/puerto coincide con un servidor con conexin (junction) TCP, la direccin URL se modifica para que sea relativa al servidor para WebSEAL y refleje el punto de conexin (junction). Por ejemplo:
http://<nombre-host>[:<puerto>]/archivo.html
se convierte en:
/tcpjct/archivo.html
2. Si la direccin URL es HTTPS y el host/puerto coincide con un servidor con conexin (junction) SSL, la direccin URL se modifica para que sea relativa al servidor para WebSEAL y refleje el punto de conexin (junction). Por ejemplo:
https://<nombre-host>[:<puerto>]/archivo.html
se convierte en:
/ssljct/archivo.html
3. Slo se filtran las direcciones URL de tipos de contenido definidos en la stanza [filter-content-types] del archivo de configuracin webseald.conf. 4. Los indicadores META se filtran siempre para peticiones de actualizacin, por ejemplo:
<META HTTP-EQUIV=Refresh CONTENT=5;URL=http://server/url>
5. Si un indicador BASE contiene un atributo HREF, el indicador se eliminar de la respuesta al cliente. Los parmetros para filtrar direcciones URL a travs de servidores con conexin (junction) se encuentran en la stanza [filter-url] del archivo de configuracin webseald.conf. La stanza [filter-url] contiene una lista de indicadores HTML que el servidor WebSEAL filtra o modifica para ajustar las direcciones URL absolutas que se han obtenido a travs de un servidor con conexin (junction). Todos los indicadores HTML utilizados habitualmente se configuran de forma predeterminada. Es posible que el administrador necesite agregar indicadores HTML adicionales que contengan las direcciones URL.
Modificacin de las direcciones URL absolutas con filtrado de scripts

WebSEAL requiere una configuracin adicional para gestionar el proceso de las direcciones URL absolutas incorporadas en scripts. Los lenguajes de script de web son Javascripts, VBscripts, ASP, JSP, ActiveX y otros. El archivo de configuracin webseald.conf contiene un parmetro que habilita o inhabilita el filtrado de las direcciones URL absolutas incorporadas:
[script-filtering] script-filter = no
El filtro de scripts est inhabilitado de manera predeterminada. Para habilitarlo, establezca:

script-filter = yes
Nota: Tambin debe utilizar la opcin j para crear la conexin (junction) con el servidor de fondo.
172
El mecanismo script-filter espera direcciones URL absolutas con un esquema, servidor y formato de recurso estndar:
http://server/resource
El mecanismo script-filter sustituye las partes de esquema y servidor del vnculo por la informacin de conexin (junction) correcta.
/nombre-conexin/recurso
Esta solucin analiza el script incorporado en el cdigo HTML y, por consiguiente, requiere una actividad general de proceso adicional que puede tener una influencia negativa en el rendimiento. Limite el uso del parmetro script-filter nicamente a las conexiones (junctions) que requieran soporte para el filtrado de direcciones URL absolutas incorporadas. El diagrama siguiente muestra esta solucin de filtro de direccin URL:
Figura 33. Filtrado de direcciones URL absolutas
El filtrado cambia la cabecera Content-Length

Normalmente, la cabecera Content-Length de una respuesta de un servidor de fondo indica el tamao del contenido que se devuelve. Cuando WebSEAL filtra direcciones URL y agrega informacin sobre la conexin (junction) a la ruta de acceso de las direcciones URL que contiene la pgina, el tamao real de la pgina se hace mayor que el indicado en Content-Header. WebSEAL no puede saber cul es la nueva longitud del contenido hasta que escriba la secuencia de datos en el cliente. En ese momento ya ser demasiado tarde para insertar una nueva cabecera Content-Length. WebSEAL responde a esta situacin de la manera siguiente: 1. WebSEAL coloca el valor de la cabecera Content-Length original en una nueva cabecera denominada X-Old-Content-Length. Cualquier applet o aplicacin escrita para buscar esta cabecera puede tener acceso al valor original (previo al filtro) de Content-Length. 2. WebSEAL registra el valor modificado (posterior al filtro) de Content-Length en el archivo request.log. 3. Ya no aparecer la cabecera Content-Length.
Proceso de direcciones URL en las peticiones

Hay dificultades cuando las direcciones URL se generan dinmicamente por aplicaciones del cliente (applets) o se incorporan en scripts dentro del cdigo HTML. Los lenguajes de script de web son Javascripts, VBscripts, ASP, JSP, ActiveX y otros. Estas applets y scripts se ejecutan en cuanto ha llegado la pgina al
173
navegador del cliente. WebSEAL no tiene nunca la oportunidad de aplicar sus reglas de filtrado estndar a estas direcciones URL generadas dinmicamente. En este apartado se describe cmo WebSEAL procesa los vnculos del cliente relativos al servidor generados dinmicamente que se han encontrado en las peticiones de recursos en los servidores de fondo con conexin (junction). v Gestin de direcciones URL relativas al servidor con cookies de conexin (junction) (-j) en la pgina 174 v Gestin de direcciones URL relativas al servidor con correlacin de conexiones (junctions) en la pgina 175 Nota: No hay soluciones disponibles para gestionar las direcciones URL absolutas generadas en el cliente.
Gestin de direcciones URL relativas al servidor con cookies de conexin (junction) (-j)
Las direcciones URL relativas al servidor que las applets y los scripts han generado en el cliente carecen inicialmente de conocimiento del punto de conexin (junction). WebSEAL no puede filtrar la direccin URL porque se genera en el cliente. Durante una peticin de un recurso por el cliente utilizando esta direccin URL, WebSEAL puede intentar reprocesar la direccin URL relativa al servidor utilizando cookies de conexin (junction). En el siguiente escenario, un script ubicado en la pgina solicitada genera dinmicamente una expresin de direccin URL relativa al servidor al llegar al navegador. Si el cliente solicita el recurso especificado por este vnculo, WebSEAL recibe una peticin de una pgina local. Cuando no encuentre la pgina, devolver el error No encontrado al cliente. La opcin j proporciona una solucin basa en cookies para gestionar direcciones URL relativa al servidor que se generan dinmicamente mediante un script que se ejecuta en la mquina del cliente. Sintaxis general:
pdadmin> server task <nombre-servidor> create ... j ...
Para cada pgina solicitada, se enva al cliente una cookie de conexinidentificador. La cookie contiene la siguiente variable y valor:
IV_JCT_<nombre-servidor-fondo> = </nombre-conexin>
Cuando el cliente efecta una peticin desde esta pgina utilizando una direccin URL relativa al servidor generada dinmicamente, WebSEAL (como antes) recibe una peticin de un recurso local. Al no encontrar el recurso, WebSEAL vuelve a intentar inmediatamente la peticin mediante la informacin de conexin (junction) proporcionada por la cookie. Con la informacin de conexin (junction) correcta en la expresin de direccin URL, el recurso se localiza correctamente. El diagrama siguiente muestra esta solucin para filtrar direcciones URL relativas al servidor:
174
Figura 34. Proceso de direcciones URL relativas al servidor
WebSEAL proporciona una solucin alternativa no basada en cookies para gestionar las direcciones URL relativas al servidor generadas dinmicamente. Consulte el apartado Gestin de direcciones URL relativas al servidor con correlacin de conexiones (junctions) en la pgina 175.
Gestin de direcciones URL relativas al servidor con correlacin de conexiones (junctions)

Las direcciones URL relativas al servidor que las applets y los scripts han generado en el cliente carecen inicialmente de conocimiento del punto de conexin (junction). WebSEAL no puede filtrar la direccin URL porque se genera en el cliente. Durante una peticin de un recurso por el cliente utilizando esta direccin URL, WebSEAL puede intentar reprocesar la direccin URL relativa al servidor utilizando la correlacin de conexiones (junctions). Access Manager proporciona una alternativa a la solucin basada en cookies para filtrar direcciones URL relativas al servidor generadas dinmicamente. Puede crear y activar una tabla de correlaciones de conexiones (junctions) que asigne recursos de destino especficos a los nombres de conexin (junction). WebSEAL comprueba la informacin de ubicacin en la direccin URL relativa al servidor con los datos contenidos en la tabla de correlaciones de conexiones (junctions). Si la informacin de ruta de acceso de la direccin URL coincide con una entrada de la tabla, WebSEAL dirige la peticin a la conexin (junction) asociada con esa ubicacin. La tabla es un archivo de texto ASCII denominado jmt.conf. La ubicacin de este archivo se especifica en la stanza [junction] del archivo de configuracin webseald.conf:
jmt-map = lib/jmt.conf
El formato para la entrada de datos en la tabla consta del nombre de conexin, un espacio y el patrn de ubicacin del recurso. Tambin se pueden utilizar caracteres comodn para expresar el patrn de ubicacin del recurso. En el ejemplo siguiente del archivo de configuracin de correlaciones de conexin, dos servidores de fondo estn conectados a WebSEAL en /jctA y /jctB:
#jmt.conf #<nombre-conexin> <patrn-ubicacin-recurso> /jctA /documents/release-notes.html /jctA /travel/index.html /jctB /accounts/* /jctB /images/weather/*.jpg
175
La tabla de correlaciones jmt.conf original es un archivo vaco. Cuando haya agregado datos en el archivo, deber utilizar el comando jmt load para cargar los datos y que WebSEAL conozca la nueva informacin.
pdadmin> server task <nombre-servidor> jmt load La tabla JMT se ha cargado correctamente.
Las siguientes condiciones son aplicables a la solucin de tabla de correlaciones de conexiones (junctions): v Esta solucin no requiere la opcin -j ni la cookie de conexin (junction). v La tabla de correlaciones requiere la configuracin y activacin por parte de un administrador de seguridad. v Esta solucin no gestiona los vnculos creados con direcciones URL absolutas. v La coincidencia del patrn de ubicacin del recurso debe ser exclusiva en el espacio web local y los servidores de aplicaciones web con conexin (junction). v Si hay una entrada de patrn duplicada en el archivo, la tabla de correlaciones no se cargar. Sin embargo WebSEAL seguir ejecutndose. v Si se produce algn error al cargar la tabla de correlaciones, sta no estar disponible. Sin embargo WebSEAL seguir ejecutndose. v Si la tabla de correlaciones est vaca o hay algn error en las entradas de la tabla, sta no se cargar. Sin embargo WebSEAL seguir ejecutndose. v Cualquier error que se produzca al cargar la tabla de correlaciones producir entradas de servicio en el archivo de registro del servidor WebSEAL (webseald.log).
Opciones adicionales de conexin (junction)

Puede proporcionar las siguientes funciones de conexin (junction) WebSEAL con opciones adicionales: v Cmo forzar una nueva conexin (junction) (f) en la pgina 176 v Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 177 v Especificacin de las direcciones IP de cliente en cabeceras HTTP (r) en la pgina 179 v Limitacin del tamao de cabeceras HTTP generadas por WebSEAL en la pgina 179 v Transferencia de cookies de sesin a servidores de portal con conexin (junction) (k) en la pgina 180 v Soporte para direcciones URL no sensibles a maysculas y minsculas (i) en la pgina 180 v Soporte para conexin (junction) con informacin de estado (s, u) en la pgina 181 v Especificacin de UUID de servidor de fondo para conexiones (junctions) con informacin de estado (u) en la pgina 182 v Conexin (junction) con sistemas de archivos de Windows (w) en la pgina 184
Cmo forzar una nueva conexin (junction) (f)

Debe utilizar la opcin f si desea forzar una nueva conexin (junction) que sobrescriba una conexin (junction) existente.
176
El siguiente ejemplo (nombre de instancia de servidor = cruz) muestra este procedimiento: 1. Inicie la sesin en pdadmin:
2. Utilice el comando server task list para mostrar todos los puntos de conexin (junction) actuales:
pdadmin> server task webseald-cruz list /
3. Utilice el comando server task show para mostrar los detalles de la conexin (junction):
pdadmin> server task webseald-cruz show / Punto de conexin (junction): / Tipo: Local Lmite fijo de conexin (junction): 0 - se utilizar el valor global Lmite dinmico de conexin (junction): 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /opt/pdweb/www/docs
4. Cree una conexin (junction) local nueva para sustituir el punto de conexin (junction) actual (la opcin -f es necesaria para que se fuerce una nueva conexin (junction) que sobrescriba la conexin (junction) existente):
pdadmin> server task webseald-cruz create -t local -f -d /tmp/docs / Se ha creado una conexin (junction) en /
5. Visualice el punto de conexin (junction) nuevo:

pdadmin> server task webseald-cruz list /
6. Visualice los detalles de esta conexin (junction):

pdadmin> server task webseald-cruz show / Punto de conexin (junction): / Tipo: Local Lmite fijo de conexin (junction): 0 - se utilizar el valor global Lmite dinmico de conexin (junction): 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /tmp/docs
Especificacin de la identidad del cliente en cabeceras HTTP (c)

La opcin c le permite insertar informacin de pertenencia a grupos e identidad de cliente especfica de Access Manager en las cabeceras HTTP de las peticiones destinadas a los servidores de terceros con conexin (junction). La informacin de cabecera HTTP habilita las aplicaciones de servidores de terceros con conexin (junction) para realizar acciones especficas del usuario basadas en la identidad de Access Manager del cliente. El servidor de fondo debe convertir la informacin de cabecera HTTP en un formato de variable de entorno para que lo utilice un servicio del servidor de fondo. La informacin de cabecera se transforma en un formato de variable de entorno de CGI sustituyendo todos los guiones (-) por caracteres de subrayado (_) y agregando HTTP al inicio de la cadena. El valor de la cabecera HTTP se transforma en el valor de la nueva variable de entorno.
177
Campos de cabecera HTTP especficos de PD iv-user =
Equivalentes de variable de entorno de CGI HTTP_IV_USER =
Descripcin Nombre corto o largo del cliente. El valor predeterminado es Unauthenticated si el cliente no est autenticado (desconocido). Lista de grupos a los que pertenece el cliente. Consta de entradas entre comillas separadas por comas. Estructura de datos opacos codificados que representan una credencial de Access Manager. Proporciona credenciales para servidores remotos para que las aplicaciones de medio nivel puedan utilizar la API de autorizacin para llamar al servicio de autorizaciones. Consulte la publicacin IBM Tivoli Access Manager Authorization C API Developers Reference.
iv-groups = iv-creds =
HTTP_IV_GROUPS = HTTP_IV_CREDS =
Las entradas de cabecera HTTP especficas de Access Manager estn disponibles para los programas CGI como las variables de entorno HTTP_IV_USER, HTTP_IV_GROUPS y HTTP_IV_CREDS. Si desea informacin sobre otros productos de entornos de aplicaciones, consulte la documentacin del producto para obtener instrucciones acerca de la extraccin de cabeceras de peticiones HTTP.
Sintaxis de c
La opcin c especifica qu datos de cabecera HTTP especfica de Access Manager se envan al servidor de aplicaciones de fondo.
c <tipos-cabecera>
Los argumentos tipos-cabecera son: all, iv_user, iv_user_l, iv_groups e iv_creds.

Argumento iv_user iv_user_l iv_groups iv_creds Descripcin Proporciona el nombre de usuario (forma corta) como campo iv-user de la cabecera HTTP de la peticin. Proporciona el DN completo del usuario (forma larga) como campo iv-user de la cabecera HTTP de la peticin. Proporciona la lista de grupos del usuario como campo iv-groups de la cabecera HTTP de la peticin. Proporciona la informacin de credencial del usuario como campo iv-creds de la cabecera HTTP de la peticin.
Nota: Utilice iv-user o iv-user-l, pero no ambos. La opcin c all inserta los tres tipos de informacin de identidad en la cabecera HTTP (en este caso se utiliza el formato de nombre corto (iv_user)). Nota: Separe los argumentos mltiples slo con comas. No inserte espacios. Ejemplos:
c all c iv_creds c iv_user,iv_groups c iv_user_l,iv_groups,iv_creds
178
Especificacin de las direcciones IP de cliente en cabeceras HTTP (r)

La opcin r permite insertar informacin de direccin IP de cliente en las cabeceras HTTP de las peticiones destinadas a los servidores de aplicaciones con conexin (junction). La informacin de cabecera HTTP habilita las aplicaciones de servidores de terceros con conexin (junction) para realizar acciones basadas en esta informacin de direccin IP. El servidor de fondo debe convertir la informacin de cabecera HTTP en un formato de variable de entorno para que lo utilice un servicio del servidor de fondo. La informacin de cabecera se transforma en un formato de variable de entorno de CGI sustituyendo todos los guiones (-) por caracteres de subrayado (_) y agregando HTTP al inicio de la cadena. El valor de la cabecera HTTP se transforma en el valor de la nueva variable de entorno. Nota: El valor de la direccin IP no representa siempre la direccin de la mquina cliente de origen. El valor de la direccin IP puede representar la direccin de un servidor proxy o un traductor de direcciones de red (NAT).
Campo de cabecera HTTP especfico de PD iv-remote-address Equivalente de variable de entorno de CGI HTTP_IV_REMOTE_ADDRESS Descripcin
Direccin IP del cliente. Este valor puede representar la direccin IP de un servidor proxy o un traductor de direcciones de red (NAT).
La opcin r especifica que se enve la direccin IP de la peticin entrante al servidor de aplicaciones de fondo. Esta opcin se expresa sin argumentos.
Limitacin del tamao de cabeceras HTTP generadas por WebSEAL

Puede limitar el tamao de las cabeceras HTTP generadas por WebSEAL que se insertan en peticiones realizadas a servidores de fondo con conexin (junction). El parmetro max-webseal-header-size de la stanza [junction] del archivo de configuracin webseald.conf especifica el tamao mximo, en bytes, de cabeceras HTTP generadas por WebSEAL. Con el valor 0 se inhabilita esta funcin:
[junction] max-webseal-header-size = 0
Este parmetro puede ser til si un servidor de aplicaciones de fondo rechaza las cabeceras HTTP generadas por WebSEAL porque son demasiado grandes. Por ejemplo, una cabecera iv-creds para un usuario que pertenece a muchos grupos puede ser demasiado grande. Este parmetro, al configurarse, hace que las cabeceras generadas por WebSEAL que sobrepasen el valor mximo se dividan en varias cabeceras. La salida del ejemplo siguiente de una aplicacin CGI muestra el efecto de las cabeceras divididas:
HTTP_IV_CREDS_1=Version=1, BAKs3DCCBnMMADCCBm0wggZpAgIDkDCCAYUwKzA HTTP_IV_CREDS_2=+0+8eAgI8iAICEdYCAgCkAgFUBAaSVNCJqncMOWNuPXNlY21== HTTP_IV_CREDS_SEGMENTS=2
179
Si habilita esta funcin, debe modificar la aplicacin de fondo para reconocer cabeceras divididas, en lugar de las cabeceras HTTP estndar especficas de WebSEAL.
Transferencia de cookies de sesin a servidores de portal con conexin (junction) (k)

Un portal web es un servidor que ofrece una amplia gama de recursos y servicios personalizados. La opcin k permite enviar la cookie de sesin de Access Manager (establecida originalmente entre el cliente y WebSEAL) a un servidor de portal de fondo. Esta opcin existe actualmente para dar soporte directamente a la integracin de WebSEAL con la solucin Plumtree Corporate Portal. Cuando un cliente solicita una lista de recursos personales desde el servidor de portal, el servidor de portal crea la lista accediendo a los recursos que se encuentran en otros servidores de aplicaciones de soporte, que estn tambin protegidos por WebSEAL. La cookie de sesin permite al servidor de portal ejecutar un inicio de sesin nico sin problemas en estos servidores de aplicaciones, en nombre del cliente. La opcin k se incluye, sin argumentos, cuando se crea la conexin (junction) entre WebSEAL y el servidor de portal de fondo. Condiciones que se deben tener en cuenta en la configuracin del servidor de portal: v Para acceder mediante nombre de usuario y contrasea, se necesita la autenticacin de formularios. No se debe utilizar la autenticacin bsica (BA). v El parmetro ssl-id-sessions en la stanza [session] del archivo de configuracin webseald.conf debe estar establecido en no. En la comunicacin HTTPS, este valor exige el uso de una cookie de sesin, en lugar del ID de sesin SSL, para mantener el estado de la sesin. v Si el servidor de portal tiene delante un clster WebSEAL, habilite la cookie de tipo resolucin de errores. La cookie de resolucin de errores contiene informacin cifrada de credenciales que permite realizar con xito la autenticacin con cualquier servidor WebSEAL replicado que procese la peticin.
Soporte para direcciones URL no sensibles a maysculas y minsculas (i)

De forma predeterminada, Access Manager trata las direcciones URL como sensibles a maysculas y minsculas al realizar comprobaciones sobre los controles de acceso. La opcin i se utiliza para especificar que WebSEAL trate las direcciones URL como no sensibles a maysculas y minsculas al realizar comprobaciones de autorizacin sobre una peticin a un servidor de fondo con conexin (junction). Cuando establezca esta opcin en la conexin (junction), WebSEAL no distinguir entre los caracteres en maysculas y minsculas al analizar las direcciones URL. De forma predeterminada, se espera que los servidores web sean sensibles a maysculas y minsculas. Aunque la mayora de los servidores HTTP dan soporte a la especificacin de HTTP que define la direccin URL como sensible a maysculas y minsculas, algunos servidores HTTP tratan las direcciones URL como no sensibles.
180
Por ejemplo, en los servidores no sensibles a maysculas y minsculas, estas dos direcciones URL:
http://server/sales/index.htm http://server/SALES/index.HTM
se consideran la misma. Este comportamiento requiere que un administrador defina los mismos controles de acceso (ACL) en ambas direcciones URL. Al conectarse a un servidor de terceros con la opcin i, WebSEAL trata las direcciones URL dirigidas a ese servidor como no sensibles a maysculas y minsculas.
Soporte para conexin (junction) con informacin de estado (s, u)

La mayora de las aplicaciones preparadas para web mantienen un estado para una secuencia de peticiones HTTP de un cliente. Este estado se utiliza, por ejemplo, para: v Seguir el progreso de un usuario a travs de los campos de un formulario de entrada de datos generado por un programa CGI v Mantener el contexto de un usuario al realizar una serie de consultas en la base de datos v Mantener una lista de elementos en una aplicacin de compra en lnea donde un usuario navega de manera aleatoria y selecciona artculos para comprar Los servidores que ejecutan aplicaciones preparadas para web se pueden replicar para mejorar el rendimiento a travs del compartimento de cargas. Cuando el servidor WebSEAL proporciona una conexin (junction) con esos servidores de fondo replicados, debe asegurarse de que todas las peticiones contenidas en la sesin del cliente se reenvan al servidor correcto y no se distribuyen entre servidores de fondo replicados segn las reglas de equilibrio de carga. De forma predeterminada, Access Manager equilibra la carga del servidor de fondo al distribuir peticiones entre todos los servidores replicados disponibles. Access Manager utiliza un algoritmo de menos ocupado. Este algoritmo dirige cada peticin nueva al servidor con menos conexiones en curso. El indicador s del comando create sobrescribe esta regla de equilibrio de carga y crea una conexin (junction) con informacin de estado que garantiza que las peticiones del cliente se reenven al mismo servidor durante toda la sesin. Cuando se produce la peticin inicial del cliente, WebSEAL coloca una cookie en el sistema del cliente que contiene el UUID del servidor de fondo designado. Cuando el cliente realiza peticiones futuras al mismo recurso, la informacin de UUID de la cookie garantiza que las peticiones se dirijan de forma coherente al mismo servidor de fondo. La opcin s es apropiada para un solo servidor WebSEAL frontal con mltiples servidores de fondo conectados al mismo punto de conexin (junction). Observe que una vez creada la conexin (junction) inicial con informacin de estado, se utiliza el comando add sin la opcin s para conectar los servidores de fondo replicados restantes al mismo punto de conexin (junction). Si el caso incluye varios servidores WebSEAL frontales, todos conectados a los mismos servidores de fondo, debe utilizar la opcin u para especificar correctamente cada UUID de servidor de fondo para cada servidor WebSEAL
181
frontal. Consulte el apartado Especificacin de UUID de servidor de fondo para conexiones (junctions) con informacin de estado (u).
Especificacin de UUID de servidor de fondo para conexiones (junctions) con informacin de estado (u)
Cuando se crea una conexin (junction) nueva con un servidor de aplicaciones web de fondo, WebSEAL suele generar un identificador universal nico (UUID) para identificar el servidor de fondo. Este UUID se utiliza internamente y tambin para mantener conexiones (junctions) con informacin de estado (create s). Cuando se produce la peticin inicial del cliente, WebSEAL coloca una cookie en el sistema del cliente que contiene el UUID del servidor de fondo designado. Cuando el cliente realiza peticiones futuras al mismo recurso, la informacin de UUID de la cookie garantiza que las peticiones se dirijan de forma coherente al mismo servidor de fondo.
Figura 35. Las conexiones (junctions) con informacin de estado utilizan los UUID de servidor de fondo
La gestin de conexiones (junctions) con informacin de estado pasa a ser ms compleja cuando hay varios servidores WebSEAL frontales conectados a varios servidores de fondo. Normalmente, cada conexin (junction) entre un servidor WebSEAL frontal y un servidor de fondo genera un UUID exclusivo para el servidor de fondo. Esto significa que un solo servidor de fondo tendr un UUID diferente en cada servidor WebSEAL frontal. Si hay varios servidores frontales es necesario un mecanismo de equilibrio de carga para distribuir la carga entre los dos servidores. Por ejemplo, se podra establecer un estado inicial en un servidor de fondo a travs del servidor WebSEAL 1 mediante un UUID especfico. Sin embargo, si el mecanismo de equilibrio de carga dirige una futura peticin del mismo cliente a travs del servidor WebSEAL 2, el estado dejar de existir, a menos que el servidor WebSEAL 2 utilice el mismo UUID para identificar el mismo servidor de fondo. Normalmente, no sucede as. La opcin u le permite proporcionar el mismo UUID para un servidor de fondo especfico en cada servidor WebSEAL frontal. Por ejemplo, tenemos dos servidores WebSEAL frontales, replicados, cada uno con una conexin (junction) con informacin de estado con dos servidores de fondo. Al crear la conexin (junction) con informacin de estado entre el servidor WebSEAL 1 y el servidor de fondo 2, se genera un UUID exclusivo (UUID A) para identificar el servidor de fondo 2. Sin embargo, cuando se crea una conexin (junction) con
182
informacin de estado entre el servidor WebSEAL 2 y el servidor de fondo 2, se genera un UUID (UUID B) nuevo y distinto para identificar el servidor de fondo 2.
Figura 36. UUID distintos
Se producir un error en el estado establecido entre un cliente y el servidor de fondo 2, mediante el servidor WebSEAL 1 si se dirige una peticin posterior del cliente a travs del servidor WebSEAL 2. Aplique el siguiente proceso para especificar un UUID durante la creacin de una conexin (junction): 1. Cree una conexin (junction) del servidor WebSEAL 1 con cada servidor de fondo. Utilice create s y add. 2. Visualice el UUID generado para cada servidor de fondo durante el paso 1. Utilice show. 3. Cree una conexin (junction) del servidor WebSEAL 2 con cada servidor de fondo y especifique los UUID identificados en el paso 2. Utilice create s u y add u. En la figura siguiente, tanto WebSEAL-1 como WebSEAL-2 conocen el servidor de fondo 1 como UUID 1. Y tanto WebSEAL-1 como WebSEAL-2 conocen el servidor de fondo 2 como UUID 2.
Figura 37. Especificacin de los UUID de servidor de fondo para conexiones (junctions) con informacin de estado
183
Ejemplo:
En el siguiente ejemplo, v WebSEAL-1 se denomina WS1 v WebSEAL-2 se denomina WS2 v El servidor de fondo 1 se denomina APP1 v El servidor de fondo 2 se denomina APP2
pdadmin> server task webseald-WS1 create t tcp h APP1 s /mnt pdadmin> server task webseald-WS1 add h APP2 /mnt pdadmin> server task webseald-WS1 show /mnt
(Aparecer UUID1 y UUID2)

pdadmin> server task webseald-WS2 create t tcp h APP1 u <UUID1> s /mnt pdadmin> server task webseald-WS2 add h APP2 u <UUID2> /mnt
Cuando un cliente establece una conexin con informacin de estado con el servidor de fondo 2, recibe una cookie que contiene UUID2. El ejemplo anterior garantiza que el cliente se conectar siempre al servidor de fondo 2, independientemente de si las peticiones posteriores se dirigen a travs de WebSEAL-1 o de WebSEAL-2.
Conexin (junction) con sistemas de archivos de Windows (w)

WebSEAL realiza comprobaciones de seguridad en las peticiones de clientes a los servidores de fondo con conexin (junction) basadas en las rutas de acceso de los archivos especificadas en la direccin URL. Se puede producir un compromiso en esta comprobacin de seguridad porque los sistemas de archivos de Win32 permiten dos mtodos distintos para acceder a los nombres de archivo largos. El primer mtodo reconoce el nombre de archivo entero. Por ejemplo:
abcdefghijkl.txt
El segundo mtodo reconoce el antiguo formato de nombre de archivos 8.3 para que exista compatibilidad inversa. Por ejemplo:
abcdef~1.txt
Al crear conexiones (junctions) en entornos Windows, es importante restringir el control de acceso a una sola representacin de objeto y no permitir la posibilidad de puertas traseras que eludan el mecanismo de seguridad. La opcin w en una conexin (junction) proporciona las siguientes medidas de proteccin: 1. Impide el uso del formato de nombre de archivos 8.3 Cuando la conexin (junction) se configura con la opcin w, un usuario no puede evitar una ACL explcita en un nombre de archivo largo utilizando el formato corto (8.3) del nombre de archivo. El servidor devuelve un error 403 No autorizado en cualquier nombre de archivo de formato corto especificado. 2. Prohbe los puntos de cola en los nombres de directorio y de archivo Si un archivo o un directorio contiene puntos de cola, se devuelve un error 403 No autorizado. 3. Aplica la no sensibilidad a maysculas y minsculas estableciendo la opcin i La opcin w invoca automticamente la opcin i. Esta opcin especifica que WebSEAL trate las direcciones URL como no sensibles a maysculas y
184
minsculas al realizar comprobaciones de autorizacin en una peticin a un servidor de fondo con conexin (junction). Despus de una comprobacin de ACL correcta, el uso original de maysculas o minsculas en la direccin URL se restaura cuando se enva la peticin al servidor de fondo. Nota: Si slo necesita controlar la no sensibilidad de maysculas y minsculas para los nombres de archivo, utilice slo la opcin i en la conexin (junction) en lugar de la opcin w.
Ejemplo:
En un entorno Windows, tambin se puede acceder al archivo:
\Archivos de programa\Company Inc\Release.Notes
a travs de las rutas de acceso siguientes: 1. \archiv~1\compan~2\releas~3.not 2. \Archivos de programa\Company Inc.\Release.Notes 3. \archivos de programa\company inc\release.notes El ejemplo 1 muestra cmo Windows puede crear un alias (para la compatibilidad con DOS) que no contiene espacios en el nombre de archivo y se ajusta al formato 8.3. La opcin w hace que WebSEAL rechace este formato para las comprobaciones de ACL. El ejemplo 2 muestra cmo Windows puede incluir puntos de cola de extensin. La opcin w hace que WebSEAL rechace este formato para las comprobaciones de ACL. El ejemplo 3 muestra cmo Windows permite la no sensibilidad a maysculas y minsculas en el nombre de archivo. La opcin w invoca la opcin i para asegurar una comprobacin de ACL no sensible a maysculas y minsculas.
Notas tcnicas para utilizar conexiones (junctions) WebSEAL

v Montaje de varios servidores en la misma conexin (junction) en la pgina 185 v Excepciones a la aplicacin de permisos entre conexiones (junctions) en la pgina 186 v Certificacin de autenticacin entre conexiones (junctions) en la pgina 186
Montaje de varios servidores en la misma conexin (junction)

Puede montar varios servidores replicados en el mismo punto de conexin (junction). Puede haber cualquier cantidad de servidores montados en el mismo punto. Todos los servidores montados en un punto de conexin (junction) deben ser rplicas (espacios web duplicados) y deben utilizar el mismo protocolo: HTTP o HTTPS. No monte servidores diferentes en el mismo punto de conexin (junction). Desde el espacio web del servidor principal de Access Manager, acceda a las pginas que pertenecen al servidor o servidores con conexin (junction). Debe poder acceder a estas pginas (dependiendo, evidentemente, de los permisos) y las pginas deben aparecer de forma coherente. Si no se encuentra alguna pgina, o si sta se modifica ocasionalmente, significa que la pgina no se ha replicado de manera correcta.
185
Compruebe que exista el documento y que sea idntico en el rbol de documentos de los dos servidores replicados.
Excepciones a la aplicacin de permisos entre conexiones (junctions)

Algunos permisos de Access Manager no se pueden aplicar a travs de una conexin (junction). No puede controlar, por ejemplo, la ejecucin de un script CGI con el permiso x o un listado de directorios con el permiso l. WebSEAL no tiene ninguna forma de determinar con precisin si un objeto solicitado de un servidor de fondo es, por ejemplo, un archivo de programa CGI, un listado de directorios dinmico o un objeto HTTP normal. El acceso a los objetos a travs de conexiones (junctions), incluidos los programas CGI y los listados de directorios, slo se controla mediante el permiso r.
Certificacin de autenticacin entre conexiones (junctions)

Durante la instalacin, WebSEAL se configura con un certificado de prueba no predeterminado. El certificado de prueba se designa como el certificado activo de servidor mediante el parmetro webseal-cert-keyfile-label en la stanza [ssl] del archivo de configuracin webseald.conf. Si un servidor de aplicaciones de fondo con conexin (junction) requiere que WebSEAL se identifique con un certificado de cliente, deber crear, instalar y etiquetar primero este certificado utilizando el programa de utilidad iKeyman. A continuacin, configure la conexin (junction) con la opcin K <etiqueta-clave>. Consulte el apartado Conexiones (junctions) SSL autenticadas mutuamente en la pgina 165. Si la conexin (junction) no se configura con K, GSKit gestiona una peticin para la autenticacin mutua, enviando automticamente el certificado predeterminado contenido en la base de datos del archivo de claves. Si esta no es la respuesta adecuada, deber asegurarse de que no haya certificados marcados como predeterminado (una marca de asterisco) en la base de datos del archivo de claves (pdsrv.kdb). En resumen: v Identifique todos los certificados necesarios por el nombre de etiqueta. v No marque ningn certificado en la base de datos del archivo de claves como predeterminado. v Controle la respuesta del certificado de servidor de WebSEAL con el parmetro webseal-cert-keyfile-label. v Controle la respuesta del certificado de cliente de WebSEAL mediante la opcin de conexin (junction) K.
Utilizacin de query_contents con servidores de terceros

Si desea proteger los recursos del espacio web de aplicaciones de terceros mediante el servicio de seguridad de Access Manager, debe proporcionar a WebSEAL informacin acerca del contenido del espacio web de terceros. Un programa CGI denominado query_contents proporciona esta informacin. El programa query_contents busca el contenido del espacio web de terceros y proporciona esta informacin de inventario a Web Portal Manager en WebSEAL. El programa est incluido en la instalacin de WebSEAL, pero se debe instalar
186
manualmente en el servidor de terceros. Hay distintos tipos de archivos de programa disponibles, dependiendo de si el servidor de terceros se ejecuta en UNIX o Windows. El gestor del espacio de objetos de Web Portal Manager ejecuta automticamente query_contents en cualquier momento en que el fragmento del espacio de objetos protegidos que representa la conexin (junction) se ampla en el panel de gestin del espacio de objetos. Ahora que Web Portal Manager conoce el contenido del espacio de aplicaciones de terceros, puede ver esta informacin y aplicar las plantillas de poltica a los objetos apropiados.
Instalacin de los componentes de query_contents

La instalacin de query_contents suele ser muy fcil. La instalacin implica copiar uno o dos archivos del servidor de Access Manager en el servidor de terceros y editar un archivo de configuracin. El siguiente directorio de Access Manager contiene una plantilla del programa: UNIX: <ruta-acceso-instalacin>/www/lib/query_contents Windows: <ruta-acceso-instalacin>\www\lib\query_contents El contenido del directorio incluye:
Archivo query_contents.exe Descripcin Programa ejecutable principal para sistemas Win32. Debe instalarse en el directorio cgi-bin del servidor web de terceros. Programa ejecutable principal para sistemas UNIX. Debe instalarse en el directorio cgi-bin del servidor web de terceros. Cdigo fuente. Se incluye el cdigo fuente por si es necesario modificar el comportamiento de query_contents. En la mayora de los casos, no ser necesario. Archivo de ayuda en formato HTML. Archivo de configuracin de muestra que identifica la raz de documentos para el servidor web.
query_contents.sh
query_contents.c
query_contents.html query_contents.cfg
Instalacin de query_contents en servidores UNIX de terceros

Localice el script de shell denominado query_contents.sh en el siguiente directorio:
<ruta-acceso-instalacin>/www/lib/query_contents
1. Copie query_contents.sh en un directorio /cgi-bin en funcionamiento en el servidor web de terceros. 2. Elimine la extensin .sh. 3. Establezca el bit de ejecucin de UNIX para la cuenta de administracin del servidor web.
Instalacin de query_contents en servidores Win32 de terceros

Opcin especial de conexin (junction) para Windows:
187
Cuando se necesite y se instale el programa query_contents en un servidor de fondo de aplicaciones web de Windows con conexin (junction), se debe utilizar la opcin q al crear la conexin (junction) con ese servidor. El motivo de este requisito es que, de forma predeterminada, WebSEAL busca el programa query_contents en el directorio cgi-bin:
/cgi-bin/query_contents
Si cambia el nombre del programa query_contents o cambia su ubicacin de directorio, debe utilizar la opcin q <ubicacin> al crear la conexin (junction). El argumento de ubicacin especifica la nueva ubicacin y nombre del programa. El nombre del programa query_contents utilizado en la plataforma Windows es query_contents.exe. La presencia de la extensin .exe hace que el nombre del programa sea diferente. Por lo tanto, WebSEAL no puede encontrar el nombre de programa predeterminado. Debe utilizar la opcin y argumento q <ubicacin> para indicar a WebSEAL dnde puede encontrar el archivo. Por ejemplo:
create -t tcp -h <nombre-host> ... -q /cgi-bin/query_contents.exe /<nombre-conexin>
La opcin q no es necesaria para un servidor UNIX porque el nombre y la ubicacin del programa query_contents coinciden con la condicin predeterminada. Procedimiento: Localice el programa ejecutable denominado query_contents.exe y el archivo de configuracin denominado query_contents.cfg en el siguiente directorio: Windows: <ruta-acceso-instalacin>\www\lib\query_contents 1. Asegrese de que el servidor web de terceros tenga el directorio CGI configurado correctamente. 2. Para las comprobaciones, asegrese de que exista un documento vlido en la raz de documentos del servidor web de terceros. 3. Copie query_contents.exe en el directorio CGI del servidor web de terceros. 4. Copie query_contents.cfg en el directorio Windows. En la tabla siguiente aparecen los valores predeterminados de este directorio:
Sistema operativo Windows 95 y 98 Windows NT 4.x y 2000 c:\windows c:\winnt Directorio Windows
5. Edite el archivo query_contents.cfg para especificar correctamente el directorio raz de documentos para el servidor web de terceros. Actualmente, el archivo contiene ejemplos de entradas para los servidores Microsoft Internet Information Server y Netscape FastTrack. Las lneas de este archivo que empiecen con un punto y coma (;) son comentarios y el programa query_contents las omitir. 6. Cree una conexin (junction) con el servidor Windows de fondo y utilice la opcin q para especificar que query_contents.exe es el archivo correcto. Por ejemplo:
pdadmin> server task webseald-<nombre-instancia> create -t tcp -h <nombre-host> ... \ -q /cgi-bin/query_contents.exe /<nombre-conexin>
188
Prueba de la configuracin
1. Desde un indicador de MS-DOS de la mquina Win32, ejecute el programa query_contents del directorio CGI de la siguiente forma:
MSDOS> query_contents dirlist=/
Aparecer algo similar a la siguiente salida:

100 index.html cgi-bin// pics//
El nmero 100 es un estado de retorno que indica el xito de la operacin. Es importante ver el nmero 100 al menos como el primer valor (y tal vez el nico). Si, por lo contrario, ve un cdigo de error, ello indica que el archivo de configuracin no se encuentra en la ubicacin correcta o bien no contiene una entrada de raz de documentos vlida. Compruebe la configuracin del archivo query_contents.cfg y asegrese de que la raz de documentos existe. 2. Desde un navegador, especifique la siguiente direccin URL:
http://<nombre-mquina-win32>/cgi-bin/query_contents.exe?dirlist=/
Debera aparecer el mismo resultado que en el paso anterior. Si no es as, la configuracin de CGI del servidor web no es correcta. Consulte la documentacin del servidor para corregir el problema.
Personalizacin de query_contents
La tarea de query_contents es devolver el contenido de los directorios incluidos en una peticin de direccin URL. Por ejemplo, para obtener el contenido del directorio raz del espacio web de un servidor, el navegador ejecuta query_contents en una direccin URL, como por ejemplo:
http://servidor-de-terceros/cgi-bin/query_contents?dirlist=/
El script query_contents lleva a cabo las acciones siguientes: 1. Lee $SERVER_SOFTWARE, una variable de entorno de CGI estndar, para determinar el tipo de servidor. Segn el tipo de servidor web, la variable $DOCROOTDIR se establece en una ubicacin raz de documentos tpica. 2. Lee la variable de entorno $QUERY_STRING de la direccin URL solicitada para obtener la operacin solicitada y obtener la ruta de acceso de objetos. El valor de la operacin se almacena en la variable $OPERATION y la ruta de acceso de objetos en $OBJPATH. En el ejemplo anterior, $OPERATION es dirlist y $OBJPATH es /. 3. Crea una lista de directorios (ls) en la ruta de acceso del objeto y coloca los resultados en la salida estndar para que lo utilice el servidor de Access Manager. Las entradas que indican subdirectorios tienen una barra inclinada doble (//) agregada. sta es una salida tpica:
100 index.html cgi-bin// pics//
189
El nmero 100 es un estado de retorno que indica el xito de la operacin.
Personalizacin del directorio raz de documentos

UNIX: Para personalizar query_contents.sh para el servidor UNIX, es posible que deba modificar el valor del directorio raz de documentos. Si query_contents devuelve un estado de error (un nmero distinto de 100) y no incluye ningn archivo en la lista, examine el script y modifique la variable $DOCROOTDIR, si es necesario, para que coincida con la configuracin del servidor. Si el directorio raz de documentos est especificado correctamente y se sigue produciendo un error en el script, es posible que la especificacin de la ubicacin de cgi-bin sea incorrecta. Examine la variable $FULLOBJPATH y modifique el valor asignado a sta para que refleje la ubicacin correcta de cgi-bin. Windows: Para personalizar query_contents.exe para el servidor Windows, modifique el archivo query_contents.cfg.
Funcionalidad adicional
El cdigo fuente del programa query_contents (query_contents.c) se distribuye con Access Manager sin necesidad de pagar ningn derecho. Se pueden agregar funciones adicionales a este programa para dar soporte a las caractersticas especiales de algunos servidores web de terceros. Estas caractersticas son: 1. Correlacin de directorios, cuando un subdirectorio que no est por debajo del directorio raz de documentos se correlacione en el espacio web. 2. Generacin de un espacio web que no est basado en el sistema de archivos. Puede tratarse de un servidor web que aloje una base de datos.
Proteccin de query_contents
Access Manager utiliza el programa CGI query_contents para visualizar los espacios de objetos del servidor web con conexin (junction) en Web Portal Manager. Es muy importante proteger este archivo para que no sea ejecutado por usuarios no autorizados. Debe establecer una poltica de seguridad que slo permita a la identidad de Policy Server (pdmgrd) tener acceso al programa query_contents. La siguiente ACL de ejemplo (query_contents_acl) cumple estos requisitos:
group ivmgrd-servers Tl user sec_master dbxTrlcam
Utilice el programa de utilidad pdadmin para asociar esta ACL con el objeto de query_contents.sh (UNIX) o query_contents.exe (Windows) en los servidores con conexin (junction). Por ejemplo (UNIX):
pdadmin> acl attach /WebSEAL/<host>/<nombre-conexin>/query_contents.sh \ query_contents_acl
190

Cuando se implementa WebSEAL como servidor proxy para proporcionar proteccin a un dominio seguro, a menudo se deben proporcionar soluciones para un inicio de sesin nico en los recursos web. En este captulo se describen las soluciones de inicio de sesin nico para el espacio web de una configuracin proxy de WebSEAL. Algunos ejemplos son las conexiones (junction) especialmente configuradas, el inicio de sesin global y LTPA. ndice de temas: v Configuracin de cabeceras de BA para las soluciones de inicio de sesin nico en la pgina 191 v Utilizacin de Global Sign-on (GSO) en la pgina 196 v Configuracin del inicio de sesin nico en IBM WebSphere (LTPA) en la pgina 199 v Configuracin de la autenticacin de formularios de inicio de sesin nico en la pgina 201
Configuracin de cabeceras de BA para las soluciones de inicio de sesin nico

Este apartado trata las posibles soluciones para crear configuraciones de inicio de sesin nico a travs de conexiones (junctions) WebSEAL mediante las opciones b. v Conceptos de inicio de sesin nico (SSO) en la pgina 191 v Especificacin de la identidad de cliente en cabeceras de BA en la pgina 192 v Especificacin de la identidad del cliente y la contrasea genrica en la pgina 193 v Reenvo de la informacin de cabecera de BA del cliente original en la pgina 194 v Eliminacin de la informacin de cabecera de BA de cliente en la pgina 195 v Especificacin de los nombres de usuario y las contraseas de GSO en la pgina 195
Conceptos de inicio de sesin nico (SSO)

Cuando se encuentra un recurso protegido en un servidor de aplicaciones web de fondo, se puede requerir a los clientes que solicitan ese recurso que realicen inicios de sesin mltiples: uno para el servidor WebSEAL y uno para el servidor de fondo. Cada inicio de sesin probablemente requerir distintas identidades de inicio de sesin.
191
Figura 38. Inicios de sesin mltiples
El problema de administrar y mantener identidades de inicios de sesin mltiples puede resolverse habitualmente con un mecanismo de inicio de sesin nico (SSO). Una solucin de inicio de sesin nico permite al usuario acceder a un recurso, con independencia de la ubicacin del recurso, utilizando slo un inicio de sesin inicial. Los requisitos de inicio de sesin posteriores de los servidores de fondo se gestionan de una forma transparente para el usuario.
Especificacin de la identidad de cliente en cabeceras de BA

Puede configurar conexiones (junctions) WebSEAL para proporcionar al servidor de fondo informacin de identidad de cliente original o modificada. El conjunto de opciones b le permite proporcionar informacin de identidad de cliente especfica en cabeceras de autenticacin bsica (BA) HTTP. Como administrador, debe analizar la arquitectura de la red y los requisitos de seguridad y determinar las respuestas a las preguntas siguientes: 1. El servidor de fondo requiere informacin de autenticacin? (WebSEAL utiliza la cabecera de autenticacin bsica HTTP para transferir la informacin de autenticacin.) 2. Si el servidor de fondo requiere informacin de autenticacin, de dnde proviene esa informacin? (Qu informacin coloca WebSEAL en la cabecera HTTP?) 3. La conexin entre WebSEAL y el servidor de fondo debe ser segura? (Conexin (junction) TCP o SSL?) Despus de la autenticacin inicial entre el cliente y WebSEAL, WebSEAL puede crear una cabecera de autenticacin bsica. La peticin utiliza esta cabecera nueva mientras sigue por la conexin (junction) hasta el servidor de fondo. Utilice las opciones b para indicar la informacin de autenticacin especfica que se proporciona en esta cabecera nueva.
Figura 39. Especificacin de la informacin de autenticacin a los servidores de fondo
192
Especificacin de la identidad del cliente y la contrasea genrica

b supply La opcin b supply indica a WebSEAL que proporcione el nombre de usuario autenticado de Access Manager (la identidad original del cliente) con una contrasea esttica y genrica (simulada). La contrasea de cliente original no se utiliza en este escenario. Una contrasea genrica elimina la administracin de contraseas y da soporte a la aplicacin en base al usuario. La contrasea simulada est establecida en el parmetro basicauth-dummy-passwd del archivo de configuracin webseald.conf:
[junction] basicauth-dummy-passwd = <contrasea>
En este escenario se supone que el servidor de fondo necesita la autenticacin de una identidad de Access Manager. Al correlacionar un usuario de cliente con un usuario de Access Manager conocido, WebSEAL gestiona la autenticacin para el servidor de fondo y proporciona una sencilla solucin de inicio de sesin nico en todo el dominio. Existen las siguientes condiciones para esta solucin: v WebSEAL est configurado para que proporcione al servidor de fondo el nombre de usuario contenido en la peticin de cliente original ms una contrasea genrica (simulada). v La contrasea simulada est configurada en el archivo de configuracin webseald.conf. v El registro del servidor de fondo debe reconocer la identidad de Access Manager proporcionada en la cabecera de BA HTTP. v Debido a que se pasa informacin de autenticacin confidencial (nombre de usuario y contrasea) a travs de la conexin (junction), la seguridad de la conexin es importante. Es muy recomendable una conexin (junction) SSL.
Figura 40. La cabecera de BA contiene la identidad y una contrasea simulada
Limitaciones
Se utiliza la misma contrasea simulada de Access Manager para todas las peticiones; todos los usuarios tienen la misma contrasea en el registro del servidor
193
de fondo. El uso de la contrasea simulada comn no ofrece ninguna base para que el servidor de aplicaciones compruebe la legitimidad del inicio de sesin del cliente con ese nombre de usuario. Si los clientes pasan siempre a travs de WebSEAL para acceder al servidor de fondo, esta solucin no presenta ningn problema de seguridad. Sin embargo, es importante proteger fsicamente el servidor de fondo de otras posibles formas de acceso. Puesto que este escenario no tiene ninguna seguridad de nivel de contraseas, el servidor de fondo debe fiarse implcitamente de WebSEAL para verificar la legitimidad del cliente. El registro del servidor de fondo debe reconocer tambin la identidad de Access Manager para aceptarla.
Reenvo de la informacin de cabecera de BA del cliente original

b ignore La opcin b ignore indica a WebSEAL que debe pasar la cabecera de autenticacin bsica (BA) de cliente original directamente al servidor de fondo sin ninguna interferencia. WebSEAL puede configurarse para que autentique esta informacin de cliente de BA o omita la cabecera de BA que proporciona el cliente y la reenve, sin modificarla, al servidor de fondo. Nota: No es un mecanismo de inicio de sesin nico verdadero, sino un inicio de sesin directo al servidor de terceros, transparente para WebSEAL. Existen las siguientes condiciones para esta solucin: v El servidor de fondo requiere informacin de identidad de cliente mediante BA. El servidor de fondo enviar una tentativa de autenticacin bsica al cliente. El cliente responde con la informacin de nombre de usuario y contrasea que el servidor WebSEAL pasa sin ninguna modificacin. v El servidor de fondo mantiene sus propias contraseas proporcionadas por el cliente. v WebSEAL est configurado para que proporcione al servidor de fondo el nombre de usuario y la contrasea contenidos en la peticin de cliente original. v Debido a que se pasa informacin de autenticacin confidencial (nombre de usuario y contrasea) a travs de la conexin (junction), la seguridad de la conexin es importante. Es muy recomendable una conexin (junction) SSL.
194
Figura 41. WebSEAL reenva informacin de identidad del cliente original
Eliminacin de la informacin de cabecera de BA de cliente

b filter La opcin b filter indica a WebSEAL que elimine toda la informacin de cabecera de autenticacin bsica de las peticiones de cliente antes de reenviar las peticiones al servidor de fondo. En este escenario, WebSEAL es el nico proveedor de seguridad. Existen las siguientes condiciones para esta solucin: v La autenticacin bsica est configurada entre el cliente y WebSEAL v El servidor de fondo no requiere la autenticacin bsica v Slo se puede acceder al servidor de fondo a travs de WebSEAL v WebSEAL gestiona la autenticacin en nombre del servidor de fondo
Figura 42. Eliminacin de la informacin de cabecera de BA de cliente
Si necesita proporcionar al servidor de fondo alguna informacin de cliente, puede combinar esta opcin con la opcin c para insertar la informacin de identidad de cliente de Access Manager en campos de cabecera HTTP. Consulte el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 177.
Especificacin de los nombres de usuario y las contraseas de GSO

b gso
195
La opcin b gso indica a WebSEAL que debe proporcionar al servidor de fondo la informacin de autenticacin (nombre de usuario y contrasea) obtenida de la configuracin de un servidor para gestionar el inicio de sesin global (GSO). Existen las siguientes condiciones para esta solucin: v Las aplicaciones de servidor de fondo requieren distintos nombres de usuario y contraseas que no estn contenidos en el registro de WebSEAL. v La seguridad es importante para WebSEAL y el servidor de fondo. Debido a que se pasa informacin de autenticacin confidencial (nombre de usuario y contrasea) a travs de la conexin (junction), la seguridad de la conexin es importante. Es muy recomendable una conexin (junction) SSL. Este mecanismo se describe detalladamente en el apartado Utilizacin de Global Sign-on (GSO).
Utilizacin de Global Sign-on (GSO)

Access Manager da soporte a una solucin de inicio de sesin nico flexible que presenta la posibilidad de proporcionar nombres de usuario y contraseas alternativos al servidor de aplicaciones web de fondo. Global Sign-on otorga a los usuarios el acceso a los recursos de sistemas que estn autorizados a utilizar, a travs de un inicio de sesin nico. Concebido para grandes empresas que constan de varios sistemas y aplicaciones dentro de entornos de sistemas distribuidos heterogneos, GSO elimina la necesidad de los usuarios finales de gestionar varios nombres de usuario y contraseas. La integracin se consigue creando conexiones (junctions) compatibles con GSO entre WebSEAL y los servidores web de fondo. En primer lugar, los recursos GSO y los grupos de recursos GSO deben crearse utilizando Web Portal Manager o el programa de utilidad pdadmin. Cuando WebSEAL recibe una peticin para un recurso ubicado en el servidor con conexin (junction), WebSEAL pide al servidor del registro de usuarios la informacin de autenticacin adecuada. El servidor de registro de usuarios contiene una base de datos de correlaciones para cada usuario registrado que proporciona nombres de usuario y contraseas alternativos para determinados recursos y aplicaciones. La siguiente figura muestra cmo se utiliza el mecanismo GSO para recuperar nombres de usuario y contraseas para recursos de aplicaciones de fondo. 1. El cliente se autentica en WebSEAL con una peticin para acceder a un recurso de aplicacin en un servidor de fondo. Se obtiene una identidad de Access Manager. Nota: El proceso de inicio de sesin nico es independiente del mtodo de autenticacin inicial. 2. WebSEAL pasa la identidad de Access Manager al servidor de registro de usuarios. 3. El registro devuelve un nombre de usuario y una contrasea que son adecuados para el usuario y para el recurso de aplicacin solicitado.
196
4. WebSEAL inserta la informacin de nombre de usuario y contrasea en la cabecera de autenticacin bsica HTTP de la peticin que se enva a travs de la conexin (junction) con el servidor de fondo.
Figura 43. Mecanismo de Global Sign-on
Correlacin de la informacin de autenticacin

El ejemplo siguiente muestra cmo el registro de usuarios proporciona informacin de autenticacin a WebSEAL. Si el usuario Michael desea ejecutar el recurso de aplicacin travel-app (consulte la Figura 43), WebSEAL pide al servidor de registro de usuarios la informacin de autenticacin para Michael. El servidor de registro de usuarios mantiene una base de datos completa de informacin de autenticacin en forma de correlaciones de recursos con informacin de autenticacin especfica. La informacin de autenticacin es una combinacin de nombre de usuario / contrasea conocida como credencial de recurso. Slo se pueden crear credenciales de recursos para los usuarios registrados. El registro contiene una base de datos para Michael que correlaciona el recurso: travel-app con una credencial de recurso especfica. La siguiente tabla muestra la estructura de la base de datos de credenciales de recursos de GSO:
Michael resource: travel-app username=mike password=123 resource: payroll-app username=powell password=456 Paul resource: travel-app username=bundy password=abc resource: payroll-app username=jensen password=xyz
En este ejemplo, el registro devuelve el nombre de usuario mike y la contrasea 123 a WebSEAL. WebSEAL utiliza esta informacin cuando construye la cabecera de autenticacin bsica en la peticin enviada a travs de la conexin (junction) al servidor de fondo.
197
Configuracin de una conexin (junction) WebSEAL habilitada para GSO

El soporte para GSO se configura en la conexin (junction) entre WebSEAL y un servidor de fondo. Para crear una conexin (junction) que habilite GSO, utilice el comando create con la opcin b gso. El ejemplo siguiente muestra la sintaxis para el comando create:
create t tcp h <nombre-host> b gso T <recurso> <punto-conexin>
A continuacin se muestra una lista de opciones para configurar conexiones (junctions) GSO:
Opciones b gso Descripcin Especifica que GSO debe proporcionar informacin de autenticacin para todas las peticiones que pasan por esta conexin (junction). Especifica el recurso o grupo de recursos de GSO. El nombre de recurso utilizado como argumento para esta opcin debe coincidir exactamente con el nombre de recursos tal como se lista en la base de datos de GSO. Necesario para conexiones (junctions) gso.
T <recurso/grupo-recursos>
Se puede proteger una conexin (junction) utilizada en una solucin WebSEAL/GSO a travs de SSL aplicando tambin la opcin t ssl al crear la conexin. Es recomendable que utilice siempre conexiones (junctions) SSL con GSO para garantizar el cifrado de credenciales y todos los datos.
Ejemplos de conexiones (junctions) WebSEAL habilitadas para GSO

Para conectar el recurso de aplicaciones travel-app del host sales_svr con el punto de conexin (junction) /sales:
create t tcp b gso T travel-app h sales_svr /sales
Para conectar el recurso de aplicaciones payroll-app del host adm_svr con el punto de conexin (junction) /admin y proteger la conexin con SSL:
create t ssl b gso T payroll-app h adm_svr /admin
Nota: En el ejemplo anterior, la opcin t ssl establece el puerto predeterminado 443.
Configuracin de la cach de GSO

La funcionalidad de la cach de Global Sign-on (GSO) permite mejorar el rendimiento de las conexiones (junctions) GSO en un entorno de carga elevada. De forma predeterminada, la cach de GSO est inhabilitada. Sin la mejora de la cach, se necesita una llamada al servidor de registro de usuarios para cada recuperacin de informacin de destino de GSO (nombre de usuario de GSO y contrasea de GSO). Los parmetros para configurar la cach de GSO se encuentran en la stanza [gso-cache] del archivo de configuracin webseald.conf. Debe habilitar primero la cach. El resto de parmetros configuran el tamao de la cach y los valores de tiempo de espera para las entradas de la cach. Unos valores de tiempo de espera
198
de inactividad y de duracin ms altos aumentan el rendimiento, pero tambin el riesgo de exposicin de la informacin en la memoria de WebSEAL. No habilite la cach de GSO si no se utilizan las conexiones (junctions) GSO en su solucin de red.
Parmetro gso-cache-enabled Descripcin Habilita e inhabilita la funcionalidad de la cach de GSO. Los valores posibles son yes y no. El valor predeterminado es no. Establece el nmero mximo de entradas permitidas en la tabla hash de la cach. Establezca este valor para que se aproxime al valor mximo de sesiones de usuario simultneas que acceden a una aplicacin a travs de una conexin (junction) GSO. Un valor alto utiliza ms memoria pero permite un acceso a la informacin ms rpido. Cada entrada de cach consume aproximadamente 50 bytes. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach, independientemente de la actividad. Cuando una entrada de cach caduca, la siguiente peticin del mismo usuario requerir una nueva llamada al servidor de registro de usuarios. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach inactiva.
gso-cache-size
gso-cache-entry-lifetime
gso-cache-entry-idle-timeout
Configuracin del inicio de sesin nico en IBM WebSphere (LTPA)

WebSEAL puede proporcionar servicios de autenticacin, autorizacin y proteccin en un entorno IBM WebSphere. Si WebSEAL se coloca como frente de proteccin de WebSphere, los clientes que accedan se encontrarn con dos puntos potenciales de inicio de sesin. Por lo tanto, WebSEAL da soporte a una solucin de inicio de sesin nico para uno o ms servidores IBM WebSphere a travs de las conexiones (junctions) WebSEAL. WebSphere proporciona un mecanismo ligero de autenticacin de terceros (LTPA) basado en cookies. Las conexiones (junctions) WebSEAL se pueden configurar para dar soporte a LTPA y proporcionar soluciones de inicio de sesin nico a los clientes. Cuando un usuario realiza la peticin de un recurso de WebSphere, el usuario debe autenticarse primero en WebSEAL. Si la autenticacin es correcta, WebSEAL genera una cookie LTPA en nombre del usuario. La cookie LTPA, que sirve como seal de autenticacin para WebSphere, contiene informacin sobre la identidad del usuario, clave y datos de seal, longitud de bfer y caducidad. Esta informacin se cifra utilizando una clave secreta protegida por contrasea que comparten WebSEAL y el servidor WebSphere. WebSEAL inserta la cookie en la cabecera HTTP de la peticin que se enva a travs de la conexin (junction) a WebSphere. El servidor WebSphere de fondo recibe la peticin, descifra la cookie y autentica al usuario a partir de la informacin de identidad suministrada en la cookie.
199
Para aumentar el rendimiento, WebSEAL puede almacenar la cookie LTPA en la cach, y utilizar la cookie LTPA almacenada en la cach para futuras peticiones durante la misma sesin de usuario. Puede configurar los valores de tiempo de espera de duracin y de inactividad (desocupado) para la cookie almacenada en la cach.
Configuracin de una conexin (junction) LTPA

El inicio de sesin nico en WebSphere a travs de una cookie LTPA requiere los siguientes elementos de configuracin: 1. Habilitar el mecanismo LTPA. 2. Proporcionar la ubicacin del archivo de claves que se utiliza para cifrar la informacin de identidad. 3. Proporcionar la contrasea de este archivo de claves. Estos tres requisitos de configuracin se especifican en tres opciones adicionales para el comando create de conexin (junction). v La opcin A habilita las cookies LPTA. v La opcin y el argumento F <archivo-claves> especifican el nombre completo de la ruta de acceso de la ubicacin (en el servidor WebSEAL) del archivo de claves utilizado para descifrar la informacin de identidad contenida en la cookie. La clave compartida se crea originalmente en el servidor WebSphere y se copia de forma segura en el servidor WebSEAL. Consulte la documentacin de WebSphere correspondiente para obtener informacin ms detallada sobre esta tarea. v Z <contrasea-archivo-claves> especifica la contrasea necesaria para abrir el archivo de claves. La contrasea aparece como texto cifrado en el archivo XML de conexin (junction). Utilice estas opciones, adems de las otras opciones de conexin (junction) necesarias, cuando cree la conexin (junction) entre WebSEAL y el servidor WebSphere de fondo. Por ejemplo:
create ... -A -F /abc/xyz/key.file -Z abcdefg ...
Configuracin de la cach de LTPA

La creacin, el cifrado y el descifrado de las cookies LTPA introduce una carga de proceso adicional. La funcionalidad de la cach de LTPA permite mejorar el rendimiento de las conexiones (junctions) LTPA en un entorno de carga elevada. Sin la mejora de la cach, se crea y se cifra una nueva cookie LTPA para cada una de las siguientes peticiones de usuario. De forma predeterminada, la cach de LTPA est habilitada. Los parmetros para configurar la cach de LTPA se encuentran en la stanza [ltpa-cache] del archivo de configuracin webseald.conf. Los parmetros especifican el tamao de la cach y los valores de tiempo de espera para las entradas de la cach. Unos valores de tiempo de espera de inactividad y de duracin ms altos aumentan el rendimiento, pero tambin el riesgo de exposicin de la informacin en la memoria de WebSEAL.
Parmetro ltpa-cache-enabled Descripcin Habilita e inhabilita la funcionalidad de la cach de LTPA. Los valores posibles son yes y no. El valor predeterminado es yes.
200
Parmetro ltpa-cache-size
Descripcin Establece el nmero mximo de entradas permitidas en la tabla hash de la cach. Establezca este valor para que se aproxime al valor mximo de sesiones de usuario simultneas que acceden a una aplicacin a travs de una conexin (junction) LTPA. Un valor alto utiliza ms memoria pero permite un acceso a la informacin ms rpido. Cada entrada de cach consume aproximadamente 50 bytes. El valor predeterminado es 4096 entradas. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach, independientemente de la actividad. Cuando la entrada de cach caduca, la siguiente peticin del mismo usuario requerir la creacin de una nueva cookie LTPA. El valor predeterminado es 3600 segundos. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach inactiva. El valor predeterminado es 600 segundos.
ltpa-cache-entry-lifetime
ltpa-cache-entry-idle-timeout
Notas tcnicas para el inicio de sesin nico de LTPA

v El archivo de claves contiene informacin sobre un servidor WebSphere especfico. Cada conexin (junction) LTPA es especfica para un servidor WebSphere. Si agrega ms de un servidor al mismo punto de conexin (junction), todos los servidores compartirn el mismo archivo de claves. v Para que el inicio de sesin nico sea correcto, WebSEAL y el servidor WebSphere deben compartir la misma informacin de registro. v El servidor WebSphere es el responsable de configurar LTPA y crear la clave secreta compartida. La participacin de WebSEAL engloba la configuracin de la conexin (junction) y la cach.
Configuracin de la autenticacin de formularios de inicio de sesin nico

La autenticacin de los formularios de inicio de sesin nico permite a WebSEAL iniciar la sesin, de forma transparente, de un usuario de Access Manager autenticado a un servidor de aplicaciones de fondo con conexin (junction) que requiere autenticacin a travs de un formulario HTML.
Contexto y objetivos
La autenticacin de formularios de inicio de sesin nico da soporte a las aplicaciones existentes que utilizan formularios HTML para efectuar la autenticacin y no se puede modificar para confiar directamente en la autenticacin realizada por WebSEAL. La habilitacin de la autenticacin de formularios de inicio de sesin nico produce los resultados siguientes: v WebSEAL interrumpe el proceso de autenticacin iniciado por la aplicacin de fondo. v WebSEAL proporciona los datos que necesita el formulario de inicio de sesin y somete el formulario de inicio de sesin en nombre del usuario.
201
v WebSEAL guarda y restaura todas las cookies y las cabeceras v El usuario no sabe que se est realizando un segundo inicio de sesin. v La aplicacin de fondo no sabe que el formulario de inicio de sesin no procede directamente del usuario. WebSEAL debe configurarse para: v Reconocer e interceptar el formulario de inicio de sesin v Rellenar los datos de autenticacin adecuados El administrador habilita el inicio de sesin nico con formularios al realizar lo siguiente: v Crear un archivo de configuracin para especificar cmo se debe reconocer, completar y procesar el formulario de inicio de sesin v Habilitar el inicio de sesin nico con formularios configurando la conexin (junction) adecuada con la opcin S (que especifica la ubicacin del archivo de configuracin)
Flujo de proceso de inicio de sesin nico con formularios

En el siguiente escenario se supone que WebSEAL ya ha autenticado al usuario.
Figura 44. Flujo de proceso de inicio de sesin nico con formularios
1. El navegador del cliente solicita la siguiente pgina:

https://webseal/formsso/content.html
2. WebSEAL pasa la peticin a la conexin (junction). 3. Dado que la aplicacin de fondo requiere la autenticacin del usuario, la redireccin de la pgina de inicio de sesin de la aplicacin (login.html) se devuelve a travs de la conexin (junction).
202
4. WebSEAL pasa la redireccin al navegador. 5. El navegador sigue la redireccin y solicita:

https://webseal/formsso/login.html
Nota: Hasta este punto, todos los elementos del flujo de proceso corresponden a la funcionalidad estndar de WebSEAL. 6. WebSEAL se ha configurado para el inicio de sesin nico con formularios (opcin S en la conexin (junction)). WebSEAL reconoce la peticin como una peticin de pgina de inicio de sesin, basndose en la informacin que contiene el archivo de configuracin SSO de formularios. La peticin se pasa a la conexin (junction). WebSEAL guarda todas las cookies enviadas por el navegador para utilizarlas en el paso 8. 7. La aplicacin devuelve la pgina de inicio de sesin y, posiblemente, las cookies especficas de la aplicacin. WebSEAL analiza el cdigo HTML devuelto para identificar el formulario de inicio de sesin. Cuando WebSEAL encuentra un formulario HTML en el documento, compara el URI de accin del formulario con el valor del parmetro login-form-action del archivo de configuracin personalizado. Si hay una coincidencia, WebSEAL utiliza el formulario que ha encontrado. De lo contrario, WebSEAL sigue buscando otros formularios. Si ninguno de los formularios de la pgina coincide con el patrn de URI de accin del archivo de configuracin, WebSEAL anula el proceso de inicio de sesin nico con formularios y devuelve un error al navegador. WebSEAL analiza la pgina HTML para identificar el mtodo de peticin, el URI de accin y cualquier otro campo de entrada del formulario, y los guarda para utilizarlos en el paso 8. 8. WebSEAL genera la peticin de autenticacin (completa el formulario de inicio de sesin) y la enva a la aplicacin de fondo. 9. La aplicacin efecta la autenticacin utilizando los datos de autenticacin proporcionados por WebSEAL en el formulario. La aplicacin devuelve la redireccin a content.html. 10. WebSEAL combina las cookies guardadas de las respuestas de los pasos 7 y 9 y devuelve dichas cookies con la redireccin al navegador. Nota: As se completa la funcionalidad especfica de SSO de formularios. 11. El navegador sigue la redireccin y solicita:
https://webseal/formsso/content.html
12. WebSEAL pasa la peticin a la aplicacin de fondo a travs de la conexin (junction). Durante este proceso, el navegador efecta tres peticiones a WebSEAL. Desde la perspectiva del usuario, slo se efecta una sola peticin de https://webseal/formsso/content.html. Las otras peticiones se producen automticamente a travs de redirecciones HTTP.
Requisitos para el soporte de aplicaciones

El inicio de sesin nico para la autenticacin de formularios est soportado en las aplicaciones que cumplen los requisitos siguientes: 1. La pgina o pginas de inicio de sesin de la aplicacin deben identificarse de manera exclusiva a travs de una sola expresin regular o de varias expresiones regulares.
203
2. La pgina de inicio de sesin puede incluir ms de un formulario HTML. No obstante, el formulario de inicio de sesin debe identificarse aplicando una expresin regular a los URI de accin de cada uno de los formularios de inicio de sesin, o el formulario de inicio de sesin es el primero de la pgina de inicio de sesin. Tenga en cuenta que si se utiliza el atributo action para identificar el formulario de inicio de sesin, el atributo action no se habr pasado a travs del filtrado HTML de WebSEAL. La expresin regular debe coincidir con el URI de accin antes de aplicar el filtro. 3. Puede utilizarse un script del cliente para validar los datos de entrada, pero no debe modificar dichos datos. Esto incluye el uso de Javascript para establecer cookies en el navegador del usuario. 4. Los datos de inicio de sesin slo se someten en un punto del proceso de autenticacin. 5. La conexin (junction) a la que se dirige la peticin de autenticacin debe ser la misma conexin (junction) en la que se devuelve la pgina de inicio de sesin.
Creacin del archivo de configuracin para el inicio de sesin nico con formularios
El administrador crea de forma personalizada el archivo de configuracin de inicio de sesin nico con formularios y lo guarda en cualquier ubicacin. La opcin S en la conexin (junction) habilita la funcionalidad de inicio de sesin nico con formularios y especifica la ubicacin del archivo de configuracin. Consulte el apartado Habilitacin del inicio de sesin nico con formularios en la pgina 208. Un archivo de configuracin de ejemplo (que contiene instrucciones comentadas) se proporciona con la instalacin de WebSEAL y se ubica en el directorio siguiente: UNIX:
/opt/pdweb/etc/fsso.conf.template
Windows:
C:\Archivos de programa\Tivoli\PDWeb\etc\fsso.conf.template
El archivo de configuracin debe empezar con la stanza [forms-sso-login-pages] y tiene el formato siguiente
[forms-sso-login-pages] login-page-stanza = <xxxxx> #login-page-stanza = <aaaaa> #login-page-stanza = <bbbbb> [<xxxxx>] login-page = <coinc-pgina-expresin-regular> login-form-action = <coinc-formulario-expresin-regular> gso-resource = <destino-gso> argument-stanza = <yyyyy> [<yyyyy>] <nombre> = <mtodo>:<valor>
La stanza [forms-sso-login-pages]
El archivo de configuracin de inicio de sesin nico con formularios debe empezar siempre con la stanza [forms-sso-login-pages]. La stanza contiene una o ms entradas login-page-stanza que apuntan a otras stanzas con denominacin personalizada que contienen informacin de configuracin para las pginas de inicio de sesin que se encuentran en el servidor de aplicaciones de fondo.
204
La capacidad de dar soporte a mltiples pginas de inicio de sesin en una sola conexin (junction) es importante porque un solo servidor de fondo puede alojar varias aplicaciones y cada una de stas utiliza un mtodo de autenticacin diferente. Por ejemplo:
[forms-sso-login-pages] login-page-stanza = loginpage1 login-page-stanza = loginpage2
La stanza de pgina de inicio de sesin personalizada

Cada stanza de pgina de inicio de sesin personalizada se utiliza para interceptar un patrn de direccin URL determinado. La stanza puede contener los siguientes parmetros:
Parmetro login-page Descripcin Este parmetro especifica un patrn, utilizando una expresin regular, que identifica de forma exclusiva las peticiones de una pgina de inicio de sesin de una aplicacin. WebSEAL intercepta estas pginas e inicia el proceso de inicio de sesin nico con formularios. La expresin regular se compara con el URI de peticin y es relativa al punto de conexin (junction) (sin incluirlo) donde est montado el servidor. Este parmetro especifica un patrn, utilizando una expresin regular, que identifica qu formulario incluido en la pgina interceptada es el formulario de inicio de sesin de la aplicacin. Si slo hay un formulario en la pgina, o si el formulario de inicio de sesin es el primero del documento, la expresin puede ser *. De lo contrario, la expresin regular debe coincidir con el atributo action del formulario de inicio de sesin. Este parmetro especifica el recurso GSO que se ha de utilizar al recuperar el nombre de usuario y la contrasea de GSO de una base de datos de GSO. Deje en blanco este parmetro si no se utiliza GSO para almacenar un nombre de usuario y contrasea de GSO. Este parmetro apunta a otra stanza personalizada que lista los campos y los datos necesarios para completar el formulario de inicio de sesin.
login-form-action
gso-resource
argument-stanza
Por ejemplo:
[loginpage1] login-page = /cgi-bin/getloginpage* login-form-action = * gso-resource = argument-stanza = form1-data
Acerca del parmetro login-page: El valor del parmetro login-page es una expresin regular que WebSEAL utiliza para determinar si una peticin entrante es en realidad una peticin de una pgina de inicio de sesin. En caso afirmativo, WebSEAL intercepta esta peticin e inicia el proceso de inicio de sesin nico con formularios. Slo se permite un parmetro login-page en cada stanza de pgina de inicio de sesin personalizada. Debe crear una stanza de pgina de inicio de sesin personalizada para cada parmetro login-page adicional.
205
La expresin regular login-page se compara con el URI de peticin, que es relativo a la conexin (junction). En el ejemplo siguiente, el URI de una peticin a un servidor WebSEAL denominado websealA para un recurso en una conexin (junction) denominada junctionX puede tener el siguiente aspecto:
https://websealA.ibm.com/junctionX/auth/login.html
La parte de esta direccin URL que se compara con la expresin regular login-page es:
/auth/login.html
Acerca del parmetro login-form-action: El parmetro login-form-action se utiliza para identificar el formulario de inicio de sesin en la pgina interceptada. Slo se permite un parmetro login-form-action en cada stanza. El valor del parmetro login-form-action es una expresin regular que se compara con el contenido del atributo action del indicador form de HTML. El atributo action es un URI expresado como una ruta de acceso relativa, relativa al servidor, o absoluta. El parmetro login-form-action debe coincidir con esta ruta de acceso cuando proviene del servidor de fondo, aunque en circunstancias normales WebSEAL no lo modificara antes de reenviarlo al cliente. Si varios atributos action en la pgina coinciden con la expresin regular, slo se acepta la primera coincidencia en el formulario de inicio de sesin. Si la expresin regular no coincide con ningn formulario en la pgina, se devuelve un error al navegador en el que se informa que no se ha encontrado el formulario. Puede establecer login-form-action = * como una manera sencilla de coincidir con el formulario de inicio de sesin cuando la pgina slo incluye un formulario de inicio de sesin.
Utilizacin de expresiones regulares

La tabla siguiente contiene una lista de los caracteres especiales permitidos en las expresiones regulares que se utilizan en el archivo de configuracin de inicio de sesin nico con formularios.
* ? \ [acd] [^acd] [a-z] [^0-9] [a-zA-Z] Coinciden cero o ms caracteres Coincide un carcter cualquiera Carcter de escape (por ejemplo, \? coincide con ?) Coincide el carcter a, c o d (sensible a maysculas y minsculas) Coincide cualquier carcter excepto a, c o d (sensible a maysculas y minsculas) Coincide cualquier carcter entre a y z (letras minsculas) Coincide cualquier carcter que no est entre 0 y 9 (que no sea un nmero) Coincide cualquier carcter entre a y z (letras minsculas) o A y Z (letras maysculas)
En la mayora de los casos, no son necesarios los caracteres especiales porque la peticin de la pgina de inicio de sesin es un URI nico identificable. En algunos
206
casos se puede utilizar * al final de la expresin para que cualquier dato de consulta situado al final del URI no impida la coincidencia de la pgina de inicio de sesin.
La stanza de argumento
La stanza de argumento personalizada contiene una o ms entradas en el formato siguiente:
<nombre> = <mtodo>:<valor>
name El valor del parmetro name se define como igual al valor del atributo name del indicador input de HTML. Por ejemplo:
<input name=uid type=text>Nombreusuario</input>
Este parmetro tambin puede utilizar el valor del atributo name de los indicadores select o textarea de HTML. method:value Esta combinacin de parmetros recupera los datos de autenticacin que necesita el formulario. Los datos de autenticacin pueden incluir los siguientes: v Datos de cadena de literales
cadena:<texto>
La entrada utilizada es la cadena de texto. v Nombre de usuario y contrasea de GSO

gso:nombreusuario gso:contrasea
La entrada es el nombre de usuario y contrasea de GSO del usuario actual (del destino especificado en la stanza de pgina de inicio de sesin personalizada). v Valor de un atributo en la credencial del usuario
cred:<nombre-atr-ext-cred>
De forma predeterminada, la credencial incluye informacin como el nombre de usuario y DN de Access Manager. Para utilizar el nombre de usuario de Access Manager del usuario como valor de entrada, especifique el valor como:
cred:azn_cred_principal_name
Se puede acceder al DN del usuario como:

cred:azn_cred_authzn_id
Tambin pueden utilizarse atributos de credencial personalizados (se agregan mediante el mecanismo tag/value). No es necesario especificar campos de entrada ocultos en esta stanza. Estos campos se recuperan automticamente del formulario HTML y se someten con la peticin de autenticacin. Por ejemplo:
[form1-data] uid = string:brian
207
Habilitacin del inicio de sesin nico con formularios

Despus de completar el archivo de configuracin de inicio de sesin nico con formularios y localizar el archivo en el directorio adecuado, debe configurar la conexin (junction) adecuada para dar soporte al inicio de sesin nico con formularios. Utilice la opcin de conexin (junction) S con el comando pdadmin create:
-S <ruta-acceso-archivo-config>
El argumento ruta-acceso-archivo-config especifica la ubicacin del archivo personalizado de configuracin de inicio de sesin nico con formularios. La opcin S en la conexin (junction) habilita la funcionalidad de inicio de sesin nico con formularios en la conexin (junction). Por ejemplo:
pdadmin> server task webseald-<instancia> -t tcp -h websvrA \ -S /opt/pdweb/fsso/fsso.conf /jctX
El archivo de configuracin se lee cuando se crea la conexin (junction) y cada vez que se inicia WebSEAL. Los errores en el archivo de configuracin pueden provocar que WebSEAL falle durante el inicio.
Ejemplo de archivo de configuracin para IBM HelpNow

El sitio IBM HelpNow invoca su propio inicio de sesin basado en formularios y, por consiguiente, es un ejemplo de cmo una solucin de inicio de sesin nico con formularios puede proporcionar un acceso sin fisuras al sitio para sus usuarios inscritos. Esta seccin contiene: v Una seccin de formularios, similar al formulario enviado en la pgina de inicio de sesin HTML devuelta por la aplicacin HelpNow v El archivo personalizado de configuracin de inicio de sesin nico con formularios que se utiliza para procesar este formulario El formulario que se ha encontrado en la pgina HTML interceptada:
<form name="confirm" method="post" action="../files/wcls_hnb_welcomePage2.cgi"> <p> Nmero de serie de empleado: <input name="data" size="10" maxlength="6"> <p> Nombre de pas: <select name="Cntselect" size="1"> <OPTION value="notselected" selected>Seleccionar pas</OPTION> <OPTION value=675>Emiratos rabes Unidos - IBM</OPTION> <OPTION value=866>Reino Unido</OPTION> <OPTION value=897>Estados Unidos</OPTION> <OPTION value=869>Uruguay</OPTION> <OPTION value=871>Venezuela</OPTION> <OPTION value=852>Vietnam</OPTION> <OPTION value=707>Yugoslavia</OPTION> <OPTION value=825>Zimbabwe</OPTION> </select> <p> <input type=submit value=Enviar> </form>
El archivo de configuracin personalizado que se ha utilizado para procesar este formulario:
208
Configuracin FSSO de helpnow: [forms-sso-login-pages] login-page-stanza = helpnow [helpnow] # El sitio HelpNow le redirige a esta pgina en # la que tiene que iniciar la sesin. login-page = /bluebase/bin/files/wcls_hnb_welcomePage1.cgi # El formulario de inicio de sesin es el primero de la pgina, # de modo que podemos llamarlo simplemente # *. login-form-action = * # El recurso GSO, helpnow, contiene el nmero de serie de los empleados. gso-resource = helpnow # Siguen los argumentos de autenticacin. argument-stanza = auth-data [auth-data] # El campo data contiene el nmero de serie de los empleados. data = gso:username # El campo Cntselect contiene un nmero que corresponde al # pas de origen del empleado. La cadena 897 corresponde a Estados Unidos. Cntselect = string:897
209
210
Captulo 9. Integracin de aplicaciones

WebSEAL da soporte a la integracin de aplicaciones de terceros a travs de las variables de entorno y a la posibilidad de direcciones URL dinmicas. WebSEAL ampla el rango de variables de entorno y cabeceras HTTP para hacer posible que las aplicaciones de terceros realicen operaciones basadas en la identidad de un cliente. Adems, WebSEAL puede proporcionar el control de acceso en las direcciones URL dinmicas, como las que contienen el texto de la consulta. ndice de temas: v Soporte para la programacin de CGI en la pgina 211 v Soporte para aplicaciones del servidor de fondo en la pgina 213 v Mejores prcticas de conexin (junction) para la integracin de aplicaciones en la pgina 213 v Creacin de un servicio de personalizacin personalizado en la pgina 215 v Habilitacin de autorizaciones empresariales dinmicas (seal/valor) en la pgina 217 v Mantenimiento del estado de la sesin entre las aplicaciones clientes y de fondo en la pgina 220 v Especificacin del control de acceso a las direcciones URL dinmicas en la pgina 223 v Ejemplo de direccin URL dinmica: Travel Kingdom en la pgina 229
Soporte para la programacin de CGI

Para dar soporte a la programacin de CGI, WebSEAL agrega tres variables de entorno adicionales al conjunto de variables CGI estndar. Las aplicaciones CGI que se ejecuten en el servidor WebSEAL local o bien en un servidor de fondo con conexin (junction) pueden utilizar estas variables de entorno. Las variables proporcionan informacin de usuario, grupo y credencial especfica de Access Manager para la aplicacin CGI. En un servidor WebSEAL local, estas variables de entorno estn disponibles automticamente para los programas CGI. Las variables de entorno utilizadas por una aplicacin CGI que se ejecute en un servidor de terceros con conexin (junction) se producen desde la informacin de cabecera HTTP pasada al servidor desde WebSEAL. Debe utilizar la opcin c para crear una conexin (junction) que d soporte a la informacin de cabecera especfica de Access Manager en las peticiones HTTP destinadas a un servidor de fondo. Consulte tambin el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 177. Variables de entorno adicionales especficas de Access Manager:
Variables de entorno de CGI HTTP_IV_USER Descripcin Nombre de cuenta de usuario de Access Manager del solicitante.
211
Variables de entorno de CGI HTTP_IV_GROUPS
Descripcin Grupos de Access Manager a los que pertenece el solicitante. Especificados como lista de grupos separados por comas, cada grupo se especifica entre comillas. Estructura de datos opacos codificados que representan una credencial de Access Manager. Proporciona credenciales para servidores remotos para que las aplicaciones de medio nivel puedan utilizar la API de autorizacin para llamar al servicio de autorizaciones. Consulte la publicacin IBM Tivoli Access Manager Authorization C API Developers Reference.
HTTP_IV_CREDS
Variable REMOTE_USER en un servidor WebSEAL local: En un entorno de servidor local controlado por WebSEAL, el valor de la variable HTTP_IV_USER listado anteriormente se incluye como valor para la variable REMOTE_USER estndar. Observe que la variable REMOTE_USER puede estar tambin presente en el entorno de una aplicacin CGI que se ejecute en un servidor de fondo con conexin (junction). Sin embargo, en esta situacin, WebSEAL no controla su valor.
Variable de entorno de CGI REMOTE_USER Descripcin Contiene el mismo valor que el campo HTTP_IV_USER.
Windows: soporte para variables de entorno de WIN32

Este apartado se aplica slo a las conexiones (junctions) locales. Windows no pone automticamente todas las variables de entorno del sistema a disposicin de procesos como las aplicaciones CGI. Habitualmente, las variables de entorno del sistema necesarias estarn presentes. Sin embargo, si no se encuentra alguna de las variables de entorno del sistema de Windows que necesite en el entorno de CGI, puede ponerlas explcitamente a disposicin de los programas CGI a travs del archivo de configuracin webseald.conf. (Observe que las variables de entorno de Access Manager mencionadas en el apartado anterior estn disponibles automticamente en todas las plataformas). Agregue las variables de entorno del sistema de Windows necesarias en la stanza [cgi-environment-variables] del archivo de configuracin webseald.conf. Utilice el siguiente formato:
ENV = <nombre-variable>
Por ejemplo:
[cgi-environment-variables] #ENV = SystemDrive ENV = SystemRoot ENV = PATH ENV = LANG ENV = LC_ALL ENV = LC_CTYPE ENV = LC_MESSAGES ENV = LOCPATH ENV = NLSPATH
212
Las lneas sin comentarios se heredan en un entorno de CGI.
Soporte para aplicaciones del servidor de fondo

WebSEAL proporciona tambin soporte para el cdigo ejecutable que se ejecuta como componente incrustado de un servidor web de fondo. Entre los ejemplos de cdigo ejecutable de servidor se incluyen: v Servlets Java v Cartuchos para Oracle Web Listener v Plug-ins de servidor Al crear una conexin (junction) con un servidor de fondo que utilice la opcin c, WebSEAL inserta informacin especfica de pertenencia a grupos y de identidad de cliente de Access Manager en las cabeceras HTTP de las peticiones destinadas a ese servidor. La informacin de cabecera HTTP especfica para Access Manager habilita las aplicaciones de servidores de terceros con conexin (junction) para realizar acciones especficas del usuario basadas en la identidad de Access Manager del cliente. WebSEAL proporciona las siguientes cabeceras HTTP especficas para Access Manager:
Campos de cabecera HTTP especficos de PD iv-user = iv-groups = iv-creds = Descripcin
Nombre corto o largo del cliente. El valor predeterminado es Unauthenticated si el cliente no est autenticado (desconocido). Lista de grupos a los que pertenece el cliente. Especificada como lista separada por comas de grupos especificados entre comillas. Estructura de datos opacos codificados que representan una credencial de Access Manager. Proporciona credenciales para servidores remotos para que las aplicaciones de medio nivel puedan utilizar la API de autorizacin para llamar al servicio de autorizaciones. Consulte la publicacin IBM Tivoli Access Manager Authorization C API Developers Reference.
Estas cabeceras HTTP estn disponibles para las aplicaciones CGI como variables de entorno HTTP_IV_USER, HTTP_IV_GROUPS y HTTP_IV_CREDS. Si desea informacin sobre otros entornos de aplicaciones que no son CGI, consulte la documentacin asociada al producto para obtener instrucciones acerca de la extraccin de cabeceras de peticiones HTTP. Consulte tambin el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 177.
Mejores prcticas de conexin (junction) para la integracin de aplicaciones

Este apartado contiene recomendaciones de mejores prcticas al utilizar conexiones (junctions) WebSEAL. v Informacin completa de cabecera HOST con -v en la pgina 214
213
v Soporte para el filtrado de las direcciones URL absolutas estndar en la pgina 214
Informacin completa de cabecera HOST con -v

Las configuraciones de host virtual y las aplicaciones de portal requieren que se proporcione informacin correcta de direccin IP para las conexiones de socket adecuadas e informacin completa de nombre de servidor para realizar un direccionamiento correcto. Estos servicios especiales de aplicaciones de fondo requieren de los navegadores una informacin completa de nombre de servidor y de designacin de puerto. La cabecera HOST de una peticin contiene esta informacin y hace que est disponible para la aplicacin. Al utilizar conexiones (junctions) WebSEAL, esta informacin se proporciona a la cabecera HOST a travs del uso de la opcin de conexin (junction) v. Si falta la informacin de nombre de servidor y puerto, o es insuficiente, empeorar el rendimiento de las aplicaciones de host virtual y de portal. Adems, es posible que las cookies de dominio establecidas por estas aplicaciones no contengan informacin suficiente. Para proporcionar la informacin ms completa en la cabecera HOST, la recomendacin de ,mejor prctica es que se utilice siempre el nombre de dominio completo del servidor con conexin (junction) y el nmero de puerto de conexin en la opcin v al crear o agregar la conexin (junction). La opcin v utiliza la siguiente sintaxis:
-v <nombre-host-completo>[:<puerto>]
Por ejemplo:
-v xyz.ibm.com:7001
Nota: La designacin de puerto slo debe proporcionarse si se utiliza un nmero de puerto no estndar.
Soporte para el filtrado de las direcciones URL absolutas estndar

WebSEAL, como proxy inverso frontal, proporciona servicios de seguridad a los servidores de aplicacin con conexin (junction) de fondo. Las pginas devueltas al cliente desde aplicaciones de fondo suelen contener vnculos de direcciones URL a recursos que estn situados en el servidor con conexin (junction) de fondo. Es importante que estos vnculos incluyan el nombre de conexin (junction) para dirigir correctamente las peticiones de vuelta a las ubicaciones correctas de los recursos. WebSEAL utiliza un conjunto de reglas estndar para filtrar las direcciones URL estticas y proporcionar esta informacin de conexin (junction). Se necesita realizar una configuracin adicional para filtrar las direcciones URL en los scripts y en las direcciones URL generadas dinmicamente. Para obtener informacin detallada sobre el filtrado de direcciones URL, consulte Modificacin de las direcciones URL de recursos de fondo en la pgina 169. La capacidad de WebSEAL de filtrar correctamente las direcciones URL absolutas de pginas HTML estticas requiere informacin acerca del nombre de servidor, que se proporciona en la opcin de conexin (junction) h. Esta opcin proporciona
214
a WebSEAL el nombre del servidor con conexin (junction) de fondo. Entre los argumentos de esta opcin pueden estar los siguientes: v Nombre de dominio completo del servidor v Nombre corto del servidor v Direccin IP del servidor WebSEAL identifica las direcciones URL absolutas para filtrarlos segn su informacin del nombre de servidor con conexin (junction) de fondo. Dependiendo del entorno de red del usuario, es posible que la configuracinh <nombre-corto> no proporcione informacin suficiente a WebSEAL. En el ejemplo siguiente se crea una conexin (junction) utilizando la opcin y el argumento siguientes para un servidor de fondo que se encuentra en la red ibm.com, con el nombre corto xyz:
-h xyz
Un vnculo en una pgina HTML de este servidor tiene el aspecto siguiente:

http://xyz.ibm.com/doc/release-notes.html
Cuando esta pgina pasa al cliente durante una peticin, es posible que WebSEAL no filtre esta direccin URL porque, segn la informacin proporcionada por hno ha podido reconocer xyz.ibm.com como nombre del servidor. Sin el nombre de conexin (junction) en la ruta de acceso, las peticiones del documento de notas del release fallarn. Para dar soporte al filtrado correcto de las direcciones URL absolutas estticas, la recomendacin de ,mejor prctica es que se utilice siempre el nombre de dominio completo del servidor con conexin (junction) en la opcin h al crear o agregar la conexin (junction).
Creacin de un servicio de personalizacin personalizado

Un portal web, o pgina de inicio, es un servicio de sitio web integrado que produce de forma dinmica una lista personalizada de los recursos web disponibles para un usuario determinado. Los recursos pueden incluir contenidos corporativos, servicios de soporte y herramientas de aprendizaje. La salida del portal representa una lista personalizada de recursos a partir de los permisos de acceso del usuario concreto. La pgina de inicio presenta slo aquellos recursos que tengan los permisos de acceso correctos para dicho usuario. Puede utilizar las opciones de configuracin de WebSEAL y el servicio de autorizaciones de API de autorizacin para crear una solucin de portal personalizada en un entorno Access Manager. El flujo de proceso para crear un servicio de portal WebSEAL personalizado incluye los siguientes elementos: Se crea una regin especfica del espacio de objetos protegidos para localizar el conjunto de objetos de recursos de portal. 2. Las ACL explcitas correspondientes se asocian con cada uno de estos objetos de recursos. 3. Se edita el archivo de configuracin de WebSEAL para incluir la direccin URL del servicio del portal, la ruta de acceso del espacio de objetos que contiene los recursos del portal y el bit de permiso que necesita el usuario para acceder a estos recursos. 1.
215
4. Para cada peticin de usuario a la direccin URL del portal, WebSEAL utiliza el Servicio de derechos de autorizacin para buscar este espacio de objetos y producir una lista de recursos que cumplan las condiciones de autorizacin de este usuario. 5. WebSEAL coloca esta informacin enuna cabecera HTTP PD_PORTAL que se enva al servidor de fondo del portal con conexin (junction). 6. El servicio de portal personalizado (por ejemplo, un CGI o un servlet) que se encuentra en el servidor de fondo lee el contenido de la cabecera PD_PORTAL y, por ejemplo, correlaciona el contenido con descripciones y vnculos de direcciones URL que se muestran al usuario en la pgina web. Esta informacin representa la lista personalizada de recursos disponibles para el usuario, a partir de los permisos de control de accesos.
Configuracin de WebSEAL para un servicio de personalizacin

1. Cree una conexin (junction) WebSEAL nueva en el servicio de personalizacin. Por ejemplo:
pdadmin> server task <nombre-servidor> create -t tcp -h portalhost.abc.com \ /portal-jct
2. Edite el archivo de configuracin webseald.conf para agregar una nueva stanza [portal-map]:
[portal-map]
3. La entrada en esta stanza identifica la direccin URL relativa al servidor del programa de servicios del portal y la regin del espacio de objetos donde se buscan los recursos de portal protegidos disponibles, seguido del permiso necesario para el acceso. Esta es la lista que se coloca en la cabecera PD_PORTAL.
[portal-map] <URL> = <regin-espacio-objetos>:<permiso>
Nota: Durante la bsqueda, slo se seleccionan los objetos de recurso con ACL definidas explcitamente que contengan el permiso correspondiente para este usuario. 4. Despus de agregar la stanza y las entradas de correlacin adecuadas, se debe reiniciar WebSEAL (webseald).
Ejemplo de servicio de personalizacin

v Cree una conexin (junction) en el servidor de portal:
pdadmin> server task webseald-WS1 -t ssl -h PORTAL1 /portal
v Defina la regin del espacio de objetos protegidos de WebSEAL que contiene los recursos disponibles para el servicio de personalizacin:
pdadmin> pdadmin> pdadmin> pdadmin> pdadmin> objectspace create /Resources Portal Object Hierarchy 10 object create /Resources/Content 10 ispolicyattachable yes object create /Resources/Support 10 ispolicyattachable yes object create /Resources/Content/CGI 11 ispolicyattachable yes object create /Resources/Support/Servlet 11 ispolicyattachable yes
Nota: El argumento ispolicyattachable debe definirse como yes para cada uno de los recursos. El mecanismo de bsqueda slo selecciona objetos de recursos cualificados con ACL definidas explcitamente. v Configuracin de WebSEAL (webseald.conf):
216
[portal-map] /portal/servlet/PortalServlet = /Resources:r
v Direccin URL del portal que utiliza el usuario:

https://WS1/portal/servlet/PortalServlet
Habilitacin de autorizaciones empresariales dinmicas (seal/valor)

Las empresas y sus socios a menudo deben compartir derechos comunes como, por ejemplo, datos de socios (en las relaciones de empresa a empresa) o datos de clientes (en las relaciones de empresa a cliente). v Los Derechos genricos son atributos que describen la informacin que necesitan las aplicaciones proveedoras de servicios. Por ejemplo, la informacin de la cuenta de cliente y los datos de facturacin del cliente. v Los Derechos de seguridad son atributos que proporcionan condiciones muy detalladas que se utilizan en la autorizacin de las peticiones de recursos. Ejemplos de estas condiciones son las reglas empresariales de los usuarios, las restricciones del control de accesos y las reglas empresariales que definen un contrato comercial entre socios. Mediante una extensin del Servicio de autenticaciones en dominios cruzados (CDAS), Access Manager proporciona un mecanismo flexible que le permite incluir informacin de autorizaciones en credenciales de usuario en el punto de autenticacin. Las aplicaciones pueden extraer estos datos directamente de la credencial utilizando la API de autorizacin. Para obtener ms informacin sobre la implementacin de esta extensin CDAS, consulte la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference.
Creacin de autorizaciones empresariales a partir de datos LDAP

WebSEAL incorpora un mecanismo de autorizaciones especfico que permite insertar informacin LDAP suplementaria definida por el usuario en una credencial de usuario como datos de atributos ampliados. A continuacin, los valores de estos atributos de credencial ampliados se pueden colocar en la cabecera HTTP de una peticin enviada a un servidor de aplicaciones de fondo a travs de la conexin (junction). El siguiente flujo de proceso describe la secuencia de eventos: v Los datos suplementarios, definidos por el usuario, de cualquier campo de una cuenta de registro LDAP de usuario se agregan como datos de atributos ampliados a la credencial de Access Manager del usuario. v WebSEAL est configurado para extraer estos datos de la credencial y colocarlos en una cabecera HTTP de la peticin que va al servidor de fondo. v La aplicacin de fondo puede extraer los datos de la cabecera sin necesidad de ningn cdigo especial ni la API de autorizacin. La configuracin de WebSEAL para insertar informacin LDAP suplementaria en una cabecera HTTP implica dos pasos: 1. Recuperar los datos suplementarios del registro LDAP e insertarlos en la credencial de usuario en el inicio de sesin. 2. Basado en el conjunto de atributos ampliados en la conexin (junction) (HTTP-Tag-Value), extraer los datos adecuados de la credencial e insertarlos en la cabecera HTTP de la peticin que se enva a travs de la conexin (junction).
217
Insercin de datos LDAP suplementarios en una credencial

Hay dos mtodos para colocar datos de usuario LDAP suplementarios en una credencial: 1. Crear entradas en la stanza [ldap-ext-cred-tags] del archivo de configuracin pd.conf que correlaciona datos LDAP especficos con atributos ampliados de la credencial. Este mtodo se describe en este apartado. 2. Escribir un mdulo CDAS personalizado que correlacione los datos definidos por el usuario con los atributos ampliados de la credencial. Consulte la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference para obtener informacin sobre cmo implementar esta ampliacin de CDAS. La stanza [ldap-ext-cred-tags] del archivo de configuracin pd.conf se utiliza para correlacionar datos especficos de la clase de objeto LDAP inetOrgPerson con un atributo ampliado definido por el usuario de la credencial del usuario. Los parmetros de esta stanza tienen el siguiente formato:
<nombre-atr-ampl-cred> = <nombre-inetOrgPerson>
En la misma credencial, cada entrada de nombre-atr-ampl-cred definida en el archivo de configuracin pd.conf tiene un prefijo con la expresin tagvalue_. Este prefijo impide que haya conflictos con la otra informacin existente en la credencial. Por ejemplo:
Nombre y valor de la clase de objeto inetOrgPerson: Nombre del atributo ampliado de la credencial: Asocia el nombre de atributo con el nombre de datos LDAP de la stanza [ldap-ext-cred-tags]: Nombre y valor de atributo tal como aparecen en la credencial de usuario: employeeNumber:09876 ldap-employee-number ldap-employee-number = employeeNumber
tagvalue_ldap-employee-number:09876
v Esta funcionalidad requiere que el usuario se autentique mediante un nombre de usuario y una contrasea de LDAP. El mecanismo de autenticacin passwd-ldap debe estar habilitado. La biblioteca compartida libldapauthn (ldapauthn) est codificada para realizar bsquedas en la stanza [ldap-ext-cred-tags] del archivo de configuracin pd.conf, para obtener informacin suplementaria de la credencial definida por el usuario. v Los datos LDAP pueden provenir de un campo estndar o personalizado en la clase de objeto inetOrgPerson. v Pueden colocarse varias entradas en la stanza [ldap-ext-cred-tags]. v Todos los atributos ampliados especificados en las entradas de la stanza se colocan en la credencial durante el inicio de sesin del usuario. v Los nombres de los datos LDAP no son sensibles a maysculas y minsculas. v Los nombres de los atributos ampliados de credencial son sensibles a maysculas y minsculas.
218
Insercin de datos de credenciales en la cabecera HTTP

La informacin de credencial definida por el usuario que se ha creado en el apartado anterior se puede colocar en una cabecera HTTP de la peticin que se enva a travs de una conexin (junction) a un servidor de fondo. Debe configurar la conexin (junction) para extraer los datos de atributos ampliados de la credencial e insertarlos en la cabecera HTTP de la peticin. Esta funcin se consigue definiendo un atributo ampliado de conexin (junction), denominado HTTP-Tag-Value, en el objeto de conexin (junction) del espacio de objetos protegidos de WebSEAL. Utilice el comando pdadmin object modify set attribute para definir atributos ampliados en un objeto de conexin (junction) del espacio de objetos protegidos de WebSEAL.
pdadmin> object modify <nombre-obj> set attribute <nombre-atr> <valor-atr>
Un atributo ampliado (nombre-atr) habilita la conexin (junction) para realizar un tipo especfico de funcin. El atributo ampliado HTTP-Tag-Value indica a la conexin (junction) que extraiga un valor determinado de una credencial de usuario y enve el valor al servidor de fondo en una cabecera HTTP. El valor del atributo ampliado HTTP-Tag-Value utiliza el siguiente formato:
<nombre-atr-ampl-cred>=<nombre-cabecera-http>
La entrada nombre-atr-ampl-cred aparece exactamente tal como lo hace en la stanza [ldap-ext-cred-tags] del archivo de configuracin pd.conf. El prefijo tagvalue_, que aparece en la credencial, no se utiliza. La entrada es sensible a maysculas y minsculas. La entrada nombre-cabecera-http especifica el nombre de la cabecera HTTP que se ha utilizado para transmitir los datos a travs de la conexin (junction). Por ejemplo:
pdadmin> object modify /WebSEAL/WS1/junctionA set attribute \ HTTP-Tag-Value ldap-employee-number=employee-id
Cuando WebSEAL procesa una peticin de usuario para un servidor de aplicaciones de fondo, busca si hay algn atributo HTTP-Tag-Value configurado en el objeto de conexin (junction). En este ejemplo, la conexin (junction) configurada busca la credencial del usuario que ha efectuado la peticin, extrae el valor del atributo ampliado de credencial tagvalue_ldap-employee-number y lo coloca en una cabecera HTTP como:
employee-id:09876
En resumen:
Valor del atributo HTTP-Tag-Value ldap-employee-number=employee-id definido en el objeto de conexin (junction): Nombre y valor de atributo tal como aparecen en la credencial de usuario: Nombre y valor de la cabecera HTTP: tagvalue_ldap-employee-number:09876 employee-id:09876
Si la aplicacin de fondo es una aplicacin CGI, la especificacin CGI establece que las cabeceras HTTP estn disponibles para los programas CGI como variables de entorno con el formato:
219
HTTP_<nombre-cabecera-http>
Por ejemplo:
HTTP_employee-id=09876
Se pueden pasar mltiples datos de atributos de usuario al servidor con conexin (junction) utilizando varios comandos pdadmin object modify set attribute para especificar mltiples atributos de conexin (junction) HTTP-Tag-Value (se especifica un atributo por comando).
Mantenimiento del estado de la sesin entre las aplicaciones clientes y de fondo

WebSEAL puede mantener el estado de la sesin con los clientes a travs de HTTP y HTTPS. Adems, puede configurar WebSEAL para proporcionar informacin de sesin de usuario a los servidores de aplicacin con conexin (junction) de fondo. Con esta informacin de la sesin de usuario, las aplicaciones de fondo pueden mantener el estado de la sesin con los clientes.
Informacin sobre la gestin de la sesin de usuario

Una conexin o sesin segura entre un cliente y un servidor requiere que el servidor tenga la posibilidad de recordar, a travs de numerosas peticiones, con quin est hablando. El servidor debe tener algn tipo de informacin de estado de la sesin que identifique al cliente asociado con cada peticin. Sin un estado de la sesin establecido entre el cliente y el servidor, la comunicacin entre el cliente y el servidor se debe renegociar para cada peticin posterior. La informacin sobre el estado de la sesin mejora el rendimiento, ya que evita tener que cerrar y volver a abrir repetidamente las conexiones entre cliente y servidor. El cliente puede iniciar la sesin una vez y realizar numerosas peticiones sin realizar un inicio de sesin distinto para cada peticin. WebSEAL mantiene informacin del estado de la sesin a travs de la cach de ID de sesin SSL de GSKit y la cach de sesin/credenciales de WebSEAL. La cach de sesin de GSKit da soporte a la comunicacin HTTPS (SSL) cuando se utiliza el ID de sesin SSL para mantener el estado de la sesin. La cach de credenciales de WebSEAL almacena un ID de sesin de WebSEAL para cada cliente, ms cualquier informacin de credencial que sea especfica de cada cliente. Puede configurar WebSEAL para almacenar un ID de sesin de usuario exclusivo para cada cliente que efecta la autenticacin como un atributo ampliado de la credencial de cada cliente. Utilizando atributos ampliados para objetos de Access Manager, puede configurar una conexin (junction) para proporcionar esta informacin de ID de sesin de usuario al servidor de fondo. Una aplicacin en este servidor de fondo puede aprovechar la informacin de sesin de usuario para gestionar la interaccin cliente-servidor, tal como el seguimiento de la actividad de los usuarios.
Habilitacin de la gestin de ID de sesin de usuario

El parmetro user-session-ids de la stanza [session] del archivo de configuracin webseald.conf permite habilitar e inhabilitar la creacin de un ID de sesin de usuario exclusivo en la credencial de cada cliente que efecta una peticin. El valor predeterminado es yes (habilitado):
220
[session] user-session-ids = yes
El ID de sesin de usuario exclusivo se almacena en una credencial de usuario como un atributo ampliado con un nombre y un valor:
tagvalue_user_session_id = <id-sesin-usuario>
En la misma credencial, el nombre de atributo ampliado de credencial (user_session_id) aparece con el prefijo tagvalue_ para evitar cualquier conflicto con otras informaciones existentes en la credencial. El valor del ID de sesin de usuario es una cadena que identifica de forma exclusiva una sesin especfica para un usuario autenticado. El ID de sesin de usuario es una cadena codificada MIME-64 que incluye el nombre de la instancia de WebSEAL (para dar soporte a mltiples instancias de WebSEAL) y el ID de sesin estndar de WebSEAL para el usuario. Un solo usuario que inicie una sesin varias veces (por ejemplo, desde mquinas distintas) tiene mltiples ID de sesin de WebSEAL. Dado que el ID de sesin de usuario se basa en el ID de sesin de WebSEAL, hay una correlacin de uno a uno entre ambos. El ID de sesin de usuario exclusivo se almacena en la credencial de usuario como un atributo. Esto permite que se pase el valor a travs de una conexin (junction) como una cabecera HTTP (utilizando la funcionalidad de valor de seal) y que quede disponible para una aplicacin de fondo.
Insercin de datos de credenciales en la cabecera HTTP

El objetivo de la gestin de sesiones de usuario consiste en proporcionar el ID de sesin de usuario exclusivo al servidor de aplicaciones de fondo. Este objetivo se consigue configurando el atributo ampliado HTTP-Tag-Value en la conexin (junction). Utilice el comando pdadmin object modify set attribute para definir un atributo ampliado en un objeto de conexin (junction) del espacio de objetos protegidos de WebSEAL.
pdadmin> object modify <nombre-obj> set attribute <nombre-atr> <valor-atr>
Un atributo (nombre-atr) habilita la conexin (junction) para realizar un tipo especfico de funcin. El atributo HTTP-Tag-Value habilita la conexin (junction) para extraer un valor ampliado de credencial y enviar el valor al servidor de fondo en una cabecera HTTP. El valor del atributo ampliado HTTP-Tag-Value utiliza el formato siguiente:
<nombre-atr-ampl-cred>=<nombre-cabecera-http>
Para los datos de ID de sesin de usuario, la entrada cred-ext-attr-name es el nombre del atributo ampliado user_session_id en la credencial del usuario. El prefijo tagvalue_, que slo aparece en la credencial, no se utiliza. La entrada es sensible a maysculas y minsculas. El valor de este atributo ampliado contiene el ID de sesin de usuario exclusivo. La entrada nombre-cabecera-http especifica el nombre de la cabecera HTTP que se ha utilizado para transmitir los datos a travs de la conexin (junction).En este ejemplo, se utiliza una cabecera denominada PD-USER-SESSION-ID:
pdadmin> object modify /WebSEAL/WS1/junctionA set attribute \ HTTP-Tag-Value user_session_id=PD-USER-SESSION-ID
221
Cuando WebSEAL procesa una peticin de usuario a un servidor de aplicaciones de fondo, busca cualquier atributo ampliado HTTP-Tag-Value que est configurado en el objeto de conexin (junction). En este ejemplo, la conexin (junction) configurada busca la credencial del usuario que ha efectuado la peticin, extrae el valor de ID de sesin de usuario del atributo ampliado tagvalue_user de la credencial y lo coloca en una cabecera HTTP como:
PD-USER-SESSION-ID:<id-sesin-usuario>
En resumen:
Valor del atributo HTTP-Tag-Value definido en el objeto de conexin (junction): user_session_id=PD-USER-SESSION-ID
Nombre y valor de atributo tal como tagvalue_user_session_id:<id-sesin-usuario> aparecen en la credencial de usuario: Nombre y valor de la cabecera HTTP: PD-USER-SESSION-ID:<id-sesin-usuario>
Si la aplicacin de fondo es una aplicacin CGI, la especificacin CGI establece que las cabeceras HTTP estn disponibles para los programas CGI como variables de entorno con el formato:
HTTP_<nombre-cabecera-http>
Por ejemplo:
HTTP_PD-USER-SESSION-ID=<id-sesin-usuario>
Para obtener informacin detallada sobre las funciones de seal/valor, consulte Habilitacin de autorizaciones empresariales dinmicas (seal/valor) en la pgina 217.
Terminacin de sesiones de usuario

Un usuario puede iniciar la terminacin de la sesin actual mediante el comando pkmslogout. Adems, la informacin del ID de sesin de usuario permite a los administradores y a las aplicaciones de fondo rastrear y gestionar usuarios. En este apartado se describen dos mtodos de terminar la sesin de usuario a nivel de administracin: v Utilizacin de la API de Administracin para terminar sesiones de usuario nicas en la pgina 222 v Utilizacin de pdadmin para terminar todas las sesiones de usuario en la pgina 223
Utilizacin de la API de Administracin para terminar sesiones de usuario nicas

Una aplicacin de fondo puede utilizar la API de Administracin de Access Manager para terminar una sesin de usuario especfica, basndose en el ID de sesin de usuario que se ha pasado a travs de la conexin (junction). La aplicacin invoca la funcin ivadmin_server_performtask() dentro de su cdigo de terminacin. La instancia de servidor WebSEAL y el ID de sesin de usuario se incluyen como parmetros de esta funcin. WebSEAL verifica que el servidor de fondo que inicia la operacin de terminacin tenga los permisos adecuados antes de terminar la sesin de usuario.
222
Consulte la publicacin IBM Tivoli Access Manager Administration C API Developers Reference para obtener ms informacin.
Utilizacin de pdadmin para terminar todas las sesiones de usuario

Un administrador puede utilizar el programa de utilidad pdadmin para terminar todas las sesiones correspondientes a un usuario especfico, segn el ID de usuario.
pdadmin> server task webseald-<nombre-instancia> terminate all_sessions <id-usuario>
La cach de credenciales de WebSEAL se organiza para realizar una referencia cruzada de ID de usuario, ID de sesin de WebSEAL e informacin de entrada de cach. Un usuario tiene siempre un ID de usuario exclusivo en varias sesiones. En cambio, cada ID de sesin de WebSEAL es exclusivo. El comando terminate all_sessions elimina todas las entradas de cach que pertenezcan a id-usuario.
Figura 45. Terminar todas las sesiones de usuarioA
WebSEAL comprueba que haya los permisos adecuados para el administrador que inicia el comando antes de terminar las sesiones de usuario.
Especificacin del control de acceso a las direcciones URL dinmicas

El entorno web actual proporciona a los usuarios acceso inmediato a una informacin que cambia rpidamente. Muchas aplicaciones web generan dinmicamente direcciones URL (Uniform Resource Locator) como respuesta a la peticin de cada usuario. Estas direcciones URL dinmicas pueden existir slo durante un tiempo corto. A pesar de su naturaleza temporal, las direcciones URL dinmicas necesitan una gran proteccin contra el uso o acceso no deseado.
Componentes de direccin URL dinmica

Algunas herramientas de aplicaciones web sofisticadas utilizan navegadores web estndar para comunicarse con servidores de aplicaciones a travs de la interfaz CGI de un servidor web.
223
Todas estas herramientas utilizan direcciones URL dinmicas como elementos de formulario ocultos para comunicar la operacin solicitada (con su valor de parmetro) al servidor de aplicaciones. Una direccin URL dinmica ampla la direccin URL estndar con informacin acerca de la operacin especfica y sus valores de parmetros. El fragmento de la cadena de caracteres de consulta de la direccin URL proporciona operaciones, parmetros y valores para la interfaz de aplicaciones web.
Figura 46. Transferencia de datos a un gateway CGI mediante una direccin URL
Correlacin de objetos ACL y POP con direcciones URL dinmicas

WebSEAL utiliza el modelo de espacio de objetos protegidos, las listas de control de acceso (ACL) y las polticas de objetos protegidos (POP) para proteger las direcciones URL generadas dinmicamente, como los generados por las peticiones de base de datos. Cada peticin a WebSEAL se resuelve en un objeto especfico como primer paso en el proceso de autorizacin. Una ACL/POP aplicada al objeto establece la proteccin necesaria en cualquier direccin URL dinmica correlacionada con ese objeto. Puesto que las direcciones URL dinmicas slo existen temporalmente, no es posible tener entradas para stas en una base de datos de polticas de autorizaciones configuradas previamente. Access Manager resuelve este problema proporcionando un mecanismo por el cual las direcciones URL dinmicas pueden correlacionarse con un solo objeto protegido esttico. Las correlaciones de objetos con patrones se guardan en un archivo de texto sin formato:
/opt/pdweb/www/lib/dynurl.conf
La ubicacin de este archivo (relativa a la raz de servidor) est definida por el parmetro dynurl-map en la stanza [server] del archivo de configuracin webseald.conf:
[server] dynurl-map = lib/dynurl.conf
Debe crear este archivo, ya que no existe de forma predeterminada. La existencia de este archivo (con entradas) ofrece la posibilidad de direcciones URL dinmicas. Edite este archivo para modificar las correlaciones. Las entradas del archivo tienen el formato:
<objeto> <plantilla>
Access Manager utiliza un subconjunto de valores que cumplen patrones especficos de shell de UNIX (incluidos los caracteres comodn) para definir el
224
conjunto de parmetros que constituyen un objeto en el espacio de objetos. Cualquier direccin URL que coincida con esos parmetros se correlaciona con ese objeto. Access Manager da soporte a los siguientes caracteres que cumplen patrones especficos de shell de UNIX:
Carcter \ Descripcin El carcter que sigue a la barra inclinada invertida forma parte de una secuencia especial. Por ejemplo, \t es el carcter TAB. Tambin puede actuar como carcter de escape. Carcter comodn que coincide con un solo carcter. Por ejemplo, la cadena de caracteres abcde coincide con la expresin ab?de Carcter comodn que coincide con cero o ms caracteres. Define un conjunto de caracteres del cual puede coincidir cualquiera de los caracteres. Por ejemplo, la cadena abcde coincide con la expresin regular ab[cty]de. Indica una negacin. Por ejemplo, la expresin [^ab] coincide con cualquier carcter excepto los caracteres a o b.
? * []
El ejemplo siguiente muestra el formato de una direccin URL dinmica que realiza una bsqueda de balance de crdito:
http://<nombre-servidor>/home-bank/owa/acct.bal?acc=<nmero-cuenta>
El objeto que representa esta direccin URL dinmica aparecera de la siguiente forma:
http://<nombre-servidor>/home-bank/owa/acct.bal?acc=*
Si observamos la direccin URL dinmica de este ejemplo veremos que describe un nmero de cuenta especfico. El objeto de los balances de cuentas de home-bank muestra que los permisos ACL y POP se aplican a cualquier cuenta, puesto que el ltimo fragmento de la entrada (acc=*) utiliza el carcter comodn asterisco, que coincide con todos los caracteres. La siguiente figura muestra un ejemplo completo de direccin URL dinmica especfica correlacionada con un objeto protegido especfico:
225
Figura 47. Autorizacin en una direccin URL dinmica
Actualizacin de WebSEAL para direcciones URL dinmicas

Utilice el comando dynurl update para actualizar el espacio de objetos protegidos de WebSEAL con entradas realizadas en el archivo de configuracin dynurl.conf. 1. Cree, modifique o elimine una entrada de direccin URL dinmica en el archivo de configuracin dynurl.conf. 2. Despus de efectuar los cambios, use el comando dynurl update para actualizar el servidor:
pdadmin> server task webseald-<nombre-servidor> dynurl update
El argumento nombre-servidor representa el nombre de host no cualificado de la mquina WebSEAL.
Resolucin de direcciones URL dinmicas en el espacio de objetos

La resolucin de una direccin URL dinmica en un objeto depende del orden de las entradas en el archivo de configuracin dynurl.conf. Al intentar correlacionar una direccin URL dinmica con una entrada de objeto, se explora la lista de correlaciones del archivo dynurl.conf de principio a fin hasta que se encuentra el primer patrn que coincide. Cuando se encuentra la primera coincidencia, la entrada de objeto correspondiente se utiliza para la comprobacin posterior de autorizaciones. Si no se encuentra ninguna coincidencia, WebSEAL utiliza la propia direccin URL, menos el fragmento http://<servidor> de la ruta de acceso. Mantenga las correlaciones que corresponden con las ACL ms restrictivas en la parte superior de la lista. Por ejemplo, si el procedimiento book.sales de una aplicacin de pedidos de ventas se tiene que restringir a un solo grupo del club de reservas, pero todos los usuarios pueden acceder al resto de la aplicacin de pedidos de ventas, las correspondencias deben encontrarse en la tabla que se muestra a continuacin:
226
Entrada de espacio de objetos /ows/sales/bksale /ows/sales/general
Plantilla de direccin URL /ows/db-apps/owa/book.sales* /ows/db-apps/owa/*
Observe que si las entradas de correlaciones estuvieran en orden inverso, todos los procedimientos almacenados en el directorio /ows/db-apps/owa se correlacionaran con el objeto /ows/sales/general. Esto podra provocar brechas de seguridad, debido a una resolucin incorrecta del espacio de objetos. Cuando se correlaciona una expresin regular de direccin URL con una entrada de espacio de objetos, el formato de la direccin URL debera tomar el formato tal como se produce con el mtodo GET, independientemente de si se utiliza el mtodo POST o GET. En el mtodo GET de transmisin de datos, los datos dinmicos (como los proporcionados por un usuario en un formulario) se agregan a la direccin URL. En el mtodo POST de transmisin de datos, los datos dinmicos se incluyen en el texto de la peticin.
Evaluacin de ACL y POP

Una vez resuelta la direccin URL dinmica en una entrada de espacio de objetos, se utiliza el modelo de herencia de ACL/POP estndar para determinar si la peticin se debera procesar o prohibir (debido a privilegios insuficientes).
Configuracin de limitaciones en las peticiones POST

El contenido de una peticin POST est incluido en el cuerpo de la peticin. Adems, una peticin POST contiene la longitud determinada por el navegador de este contenido y muestra el valor en bytes. request-body-max-read El parmetro request-body-max-read de la stanza [server] del archivo de configuracin webseald.conf limita el impacto de peticiones POST de gran tamao en WebSEAL, ya que especifica el nmero mximo de bytes que se pueden leer como contenido en el cuerpo de las peticiones POST. El contenido que se lee en WebSEAL est sujeto a comprobaciones de autorizacin, tal y como se ha descrito anteriormente en este apartado. El valor del parmetro request-body-max-read se tiene en cuenta cuando la peticin POST se utiliza en el procesamiento de direcciones URL dinmicas o la autenticacin de formularios. El valor predeterminado es 4096 bytes:
[server] request-body-max-read = 4096
Observe que este parmetro no limita el tamao mximo de contenido POST (que es ilimitado). El parmetro protege a WebSEAL para que no procese una peticin POST de tamao excesivo. dynurl-allow-large-posts Aunque el parmetro request-body-max-read limita la cantidad de contenido de POST que WebSEAL puede leer y procesar, no impide que la peticin se pase ntegramente a travs del servidor de aplicaciones. En este caso, se pasa un
227
contenido que no se ha validado a travs del servidor de aplicaciones. Si el servidor de aplicaciones no tiene sus propias posibilidades de autorizacin, la situacin puede suponer un riesgo de seguridad. El parmetro dynurl-allow-large-posts permite controlar la forma en la que WebSEAL maneja las peticiones POST que tienen una longitud de contenido mayor que la especificada en request-body-max-read. Si el valor del parmetro se define como no (predeterminado), WebSEAL rechaza totalmente cualquier peticin POST con una longitud de contenido mayor que la especificada por request-body-max-read.
[server] dynurl-allow-large-posts = no
Si el valor del parmetro se define como yes, WebSEAL acepta la peticin POST completa, pero slo valida la cantidad de contenido equivalente al valor request-body-max-read.
[server] dynurl-allow-large-posts = yes
Ejemplo 1: v Se recibe una peticin POST de gran tamao (mayor que el valor request-body-max-read). v dynurl-allow-large-posts = no v Las direcciones URL dinmicas estn habilitadas. v Resultado: 500 Error de servidor Ejemplo 2: v Se recibe una peticin POST de gran tamao (mayor que el valor post-request-body-max-read). v dynurl-allow-large-posts = yes v Las direcciones URL dinmicas estn habilitadas. v Resultado: WebSEAL compara la cantidad de contenido hasta el valor request-body-max-read con cada una de las expresiones regulares del archivo de configuracin dynurl.conf y realiza una comprobacin de configuracin en el objeto correspondiente si se encuentra una coincidencia. De lo contrario, la comprobacin de autorizacin se realiza en el objeto que corresponde a la direccin URL recibida, como siempre. La parte del cuerpo de la peticin post-request-body-max-read no se valida. v La siguiente plantilla contiene el tipo de disposicin de coincidencia de patrones que crea dificultades debido a una peticin POST de gran tamao:
/rtpi153/webapp/examples/HitCount\?*action=reset*
Resumen y notas tcnicas

Resumen: v Para configurar WebSEAL para que maneje de forma segura las direcciones URL dinmicas, se debe crear el siguiente archivo:
/opt/pdweb/www/lib/dynurl.conf
v El archivo debe contener una o ms lneas con el siguiente formato:

<objeto> <plantilla>
v Si el archivo no existe, o est vaco, no se habilita la posibilidad de direcciones URL dinmicas.
228
v Despus de procesarse el archivo, el nombre de objeto aparece como recurso hijo en el espacio de objetos de WebSEAL. v La plantilla puede contener un subconjunto de los caracteres de coincidencia de patrones estndares. La plantilla tambin puede ser una cadena exacta sin caracteres de coincidencia de patrones. El siguiente archivo de ejemplo dynurl.conf define tres objetos que representan algunas de las aplicaciones web de ejemplo que forman parte del producto IBM WebSphere:
Entrada de objeto /app_showconfig /app_snoop /app_snoop /app_hitcount/ejb /app_hitcount Plantilla de direccin URL /rtpi153/webapp/examples/ShowConfig* /rtpi153/servlet/snoop /rtpi025/servlet/snoop /rtpi153/webapp/examples/HitCount\?source=EJB /rtpi153/webapp/examples/HitCount*
Notas tcnicas: v Se pueden correlacionar varias plantillas de direccin URL con el mismo objeto (por ejemplo, app_snoop se correlaciona con direcciones URL en dos servidores diferentes). v Los objetos se pueden anidar (por ejemplo, app_hitcount y app_hitcount/ejb). v Una peticin de direccin URL entrante se compara con las plantillas en orden, de arriba a abajo. Cuando se encuentra una coincidencia, el proceso se detiene. Por lo tanto, las plantillas ms restrictivas se colocan en la parte superior del archivo. v Para activar las definiciones en el archivo dynurl.conf, emita el comando dynurl update (utilice pdadmin server task). La actualizacin se produce inmediatamente y el objeto aparece en Web Portal Manager cuando se renueva la vista del espacio de objetos protegidos. v Evite el uso de maysculas en el nombre de objeto. Utilice slo caracteres en minsculas. v No utilice un nombre de objeto que ya exista en el espacio de objetos protegidos. v Antes de suprimir un objeto en el archivo dynurl.conf, elimine las ACL asociadas con el objeto.
Ejemplo de direccin URL dinmica: Travel Kingdom

El siguiente ejemplo muestra cmo una intranet corporativa puede proteger las direcciones URL generadas por un Oracle Web Listener. El servidor web de direcciones URL dinmicas utilizado en este ejemplo es Oracle Web Listener. Esta tecnologa se puede aplicar igualmente a otros servidores web de direcciones URL dinmicas.
La aplicacin
Travel Kingdom es una empresa que ofrece a los clientes un servicio de reserva de viajes a travs de Internet. La empresa quiere utilizar dos aplicaciones de bases de datos de Oracle en su servidor web accesible desde el cortafuegos corporativo y a travs de Internet. 1. Sistema de reserva de viajes
229
Los clientes autorizados pueden efectuar reservas de forma remota y consultar sus reservas actuales. El personal de Travel Kingdom tambin puede efectuar reservas para los clientes que llaman por telfono, procesar cambios y realizar otras muchas transacciones. Puesto que los clientes externos pagan por los servicios con tarjeta de crdito, la transmisin de esa informacin debe estar altamente protegida. 2. Gestor de administracin Como muchas otras empresas, Travel Kingdom mantiene una base de datos de administracin que contiene salarios, posicin e informacin sobre la experiencia. Estos datos van tambin acompaados de una foto de cada miembro del personal.
La interfaz
Se configura un servidor web de Oracle para proporcionar acceso a los siguientes procedimientos almacenados en la base de datos:
/db-apps/owa/tr.browse Ofrece a todos los usuarios la posibilidad de realizar consultas acerca de los destinos de viajes, precios, etc. Se utiliza para efectuar una reserva (personal de la agencia de viajes o clientes autenticados). Se utiliza para revisar o cambiar las reservas actuales.
/db-apps/owa/tr.book /db-apps/owa/tr.change
/db-apps/owa/admin.browse
Los miembros del personal lo utilizan para ver informacin no restringida acerca de ste, como el nmero de extensin, la direccin de correo electrnico o la fotografa. Proporciona a un miembro del personal la posibilidad de ver o cambiar la informacin de sus datos personales en la base de datos de administracin. El personal de administracin lo utiliza para actualizar la informacin acerca del personal.
/db-apps/owa/admin.resume
/db-apps/owa/admin.update
Estructura de espacio web

Se utiliza un servidor WebSEAL para proporcionar una interfaz segura al espacio web unificado de Travel Kingdom. v Se realiza una conexin (junction) (/ows) con el servidor web de Oracle ejecutando la aplicacin de reserva de viajes y la aplicacin de administracin.
La poltica de seguridad
Para proporcionar la seguridad apropiada a los recursos web, al mismo tiempo que se mantiene un sistema fcil de usar, la empresa ha establecido los siguientes objetivos de seguridad: 1. El personal de la agencia de viajes tiene un control total sobre todas las reservas. 2. Los clientes autenticados pueden efectuar y cambiar sus propias reservas, pero no pueden interferir con los datos de reservas de otros clientes autenticados. 3. El personal de administracin tiene acceso completo a toda la informacin de administracin.
230
4. El personal de Travel Kingdom que no es del departamento de administracin puede cambiar la informacin de sus propios datos personales y ver una parte de la informacin de otros miembros del personal.
Correlaciones de direcciones URL dinmicas con el espacio de objetos

Para alcanzar los objetivos de seguridad descritos anteriormente, las correlaciones de las direcciones URL dinmicas con las entradas de objetos de ACL se deben configurar tal como aparece en la siguiente tabla. Recuerde que el orden de esas correlaciones es una parte importante de alcanzar los objetivos de seguridad tratados anteriormente.
Entrada de espacio de objetos /ows/tr/browse /ows/tr/auth /ows/tr/auth /ows/admin/forall /ows/admin/forall /ows/admin/auth Patrn de direccin URL /ows/db-apps/owa/tr.browse\?dest=*&date=??/??/???? /ows/db-apps/owa/tr.book\?dest=*&depart=??/??/????& return=??/??/???? /ows/db-apps/owa/tr.change /ows/db-apps/owa/admin.resume /ows/db-apps/owa/admin.browse\?empid=[th]??? /ows/db-apps/owa/admin.update\?empid=????
Clientes seguros
El cliente se autentica en WebSEAL a travs de un canal seguro cifrado. Los clientes que deseen utilizar la interfaz web deben registrarse tambin con el administrador de web de Travel Kingdom para recibir una cuenta.
Estructura de cuentas y grupos

Se crean cuatro grupos en el sistema: Staff (Personal) Miembros de la empresa Travel Kingdom. TKStaff (PersonalTK) Agentes de viajes de Travel Kingdom. AdminStaff (PersonalAdmin) Miembros del departamento de administracin de Travel Kingdom. Observe que los miembros del personal de administracin se encuentran tambin en el grupo de personal. Customer (Cliente) Clientes de Travel Kingdom que desean efectuar sus reservas a travs de Internet. Se da a cada usuario una cuenta en el dominio seguro para que el servidor WebSEAL pueda identificarlos individualmente. La identidad del usuario se pasa tambin a los servidores web de Oracle para proporcionar una solucin de inicio de sesin nico para todos los recursos web.
Control de acceso
La tabla siguiente muestra una lista de los controles de acceso derivados de la aplicacin de la informacin anterior:
231
/ows/tr/browse /ows/tr/auth
unauthenticated Tr any_authenticated
Tr
unauthenticated any_authenticated group TKStaff Tr group Customer PTr unauthenticated any_authenticated group Staff Tr unauthenticated any_authenticated group AdminStaff Tr
/ows/admin/forall
/ows/admin/auth
Los grupos Customer (Clientes) y TKStaff (PersonalTK) tienen los mismos privilegios en los objetos de mantenimiento de reservas y planificacin de viajes, con la excepcin de que los clientes deben cifrar la informacin (permiso de privacidad) para proporcionar una mayor seguridad al enviar datos confidenciales (por ejemplo, informacin de tarjetas de crdito) a travs de Internet, que no es fiable.
Conclusin
Este sencillo ejemplo muestra los conceptos de despliegue de un sistema capaz de: v Proteger la informacin confidencial v Autenticar usuarios v Autorizar el acceso a la informacin confidencial Adems, los servidores web de WebSEAL y de Oracle conocen las identidades de los usuarios autenticados del sistema y estn habituados a proporcionar una solucin de inicio de sesin nico con registro.
232
Apndice A. Consulta de webseald.conf

Archivo de configuracin webseald.conf Categoras y stanzas: v GENERAL DE WEBSEAL [server] v LDAP [ldap] v ACTIVE DIRECTORY [uraf-ad] v DOMINO [uraf-domino] v SSL [ssl] v CONEXIN (JUNCTION) [junction] [filter-url] [filter-schemes] [filter-content-types] [script-filtering] [gso-cache] [ltpa-cache] v AUTENTICACIN [ba] [forms] [token] [certificate] [http-headers] [auth-headers] [ipaddr] [authentication-levels] [mpa] [cdsso] [cdsso-peers] [failover] [e-community-sso] [inter-domain-keys] [reauthentication] [authentication-mechanisms] [ssl-qop] [ssl-qop-mgmt-hosts] [ssl-qop-mgmt-networks]
233
[ssl-qop-mgmt-default] v SESIN [session] v CONTENIDO [content] [acnt-mgt] [cgi] [cgi-types] [cgi-environment-variables] [content-index-icons] [icons] [content-cache] [content-mime-types] [content-encodings] v INICIO DE SESIN [logging] v API DE AUTORIZACIN [aznapi-configuration] [aznapi-entitlement-services] v POLICY DIRECTOR [policy-director]
GENERAL DE WEBSEAL Parmetro stanza [server] SISTEMA unix-user unix-group unix-pid-file server-root server-name THREADS Y CONEXIONES worker-threads client-connect-timeout persistent-con-timeout CLIENTE HTTPS https https-port CLIENTE HTTP http http-port Permite el acceso HTTP (TCP) no seguro. Puerto que se debe utilizar en las peticiones HTTP no seguras. Permite el acceso HTTPS. Puerto que se debe utilizar en las peticiones HTTPS seguras. Nmero de threads de trabajo de WebSEAL. Tiempo de espera de conexin inicial del cliente. Tiempo de espera de conexin persistente HTTP/1.1 Cuenta de usuario de UNIX para el servidor WebSEAL. Cuenta de grupo de UNIX para el servidor WebSEAL. Ubicacin del archivo PID. Directorio raz del servidor WebSEAL. Nombre de instancia del servidor WebSEAL. Descripcin
234
GENERAL DE WEBSEAL Parmetro Descripcin
CUERPOS Y COLOCACIN EN ANTEMEMORIA DE PETICIN request-body-max-read request-max-cache DYNURL dynurl-map dynurl-allow-large-posts Gestin de URI utf8-url-support-enabled SUPPRESSING SERVER IDENTITY suppress-server-identity Suprime la identidad del servidor WebSEAL en las respuestas de servidor HTTP. Controla cmo WebSEAL interpreta las direcciones URL enviadas desde los navegadores. Ubicacin del archivo de correlacin de objetos de direccin URL a protegidos Limita la capacidad de WebSEAL de leer peticiones POST mayores de lo especificado en post-max-read. Nmero mximo de bytes que se pueden leer como contenido en el cuerpo de las peticiones POST. Cantidad mxima de datos guardados en cach por peticin.
LDAP Parmetro stanza [ldap] ldap-server-config cache-enabled prefer-readwrite-server auth-using-compare Ubicacin del archivo de configuracin ldap.conf (establecido durante la configuracin). Habilita e inhabilita la cach local de LDAP. Permite la seleccin de un servidor LDAP en el que se pueda escribir, cuando est disponible. Permite comprobaciones de autenticacin ms rpidas utilizando una operacin de comparacin de contrasea, en lugar de un enlace LDAP. Comprueba la poltica predeterminada o la poltica especfica del usuario. Bsquedas de rendimiento. Indica que los grupos estn definidos en el mismo sufijo LDAP que el usuario. Habilita e inhabilita SSL para la comunicacin de WebSEAL a LDAP. Ubicacin del archivo de claves SSL. Etiqueta de certificados en el archivo de claves SSL, si existe. Contrasea del archivo de claves SSL. Nombre distinguido del daemon de WebSEAL (establecido durante la configuracin). Contrasea para el daemon de WebSEAL (establecida durante la configuracin). Descripcin
default-policy-override-support user-and-group-in-same-suffix
ssl-enabled ssl-keyfile ssl-keyfile-dn ssl-keyfile-pwd bind-dn bind-pwd
235
ACTIVE DIRECTORY Parmetro stanza [uraf-ad] ad-server-config bind-id bind-pwd Ubicacin del archivo de configuracin de Active Directory (definida durante la configuracin). Identidad del servidor actual. Contrasea del servidor actual. Descripcin
DOMINO Parmetro stanza [uraf-domino] domino-server-config bind-id bind-pwd Ubicacin del archivo de configuracin de Domino (definida durante la configuracin). Identidad del servidor actual. Contrasea del servidor actual. Descripcin
SSL Parmetro stanza [ssl] webseal-cert-keyfile Ubicacin del archivo de claves que contiene el certificado del servidor enviado a los navegadores por WebSEAL al negociar las sesiones SSL. Contrasea de claves privadas de certificados de WebSEAL. Ubicacin del archivo stash de contraseas de claves privadas de WebSEAL. Nombre del certificado de WebSEAL para utilizar en lugar del predeterminado. Ubicacin del archivo de claves del certificado de WebSEAL utilizado en la comunicacin interna. Contrasea de claves privadas de certificados de WebSEAL (para la comunicacin interna). Ubicacin del archivo stash de contraseas de claves privadas de WebSEAL (para la comunicacin interna). Nombre de certificado para utilizar en lugar del predeterminado (para la comunicacin interna). Inhabilita selectivamente el soporte SSL V2. Inhabilita selectivamente el soporte SSL V3. Inhabilita selectivamente el soporte TLS V1. Tiempo de espera del ID de sesin de la cach de GSKit para las conexiones V2 de SSL. Tiempo de espera del ID de sesin de la cach de GSKit para las conexiones V3 de SSL. Nmero mximo de entradas simultneas en la cach del ID de sesin SSL de GSKit. Descripcin
webseal-cert-keyfile-pwd webseal-cert-keyfile-stash webseal-cert-keyfile-label ssl-keyfile ssl-keyfile-pwd ssl-keyfile-stash
ssl-keyfile-label disable-ssl-v2 disable-ssl-v3 disable-tls-v1 ssl-v2-timeout ssl-v3-timeout ssl-max-entries
236
SSL Parmetro gsk-crl-cache-size gsk-crl-cache-entry-lifetime Descripcin Configuracin de la cach CRL. Nmero mximo de entradas simultneas en la cach CRL de GSKit. Configuracin de la cach CRL. Tiempo de espera de duracin de las entradas individuales en la cach CRL de GSKit. Servidor LDAP utilizado para la comprobacin de CRL. Nmero de puerto de escucha de este servidor LDAP para la comprobacin de CRL. Usuario de administracin para el servidor LDAP. Contrasea del usuario de administracin para el servidor LDAP.
ssl-ldap-server ssl-ldap-server-port ssl-ldap-user ssl-ldap-user-password
CONEXIN (JUNCTION) Parmetro stanza [junction] junction-db jmt-map http-timeout Ubicacin de la base de datos de conexiones (junctions). Ubicacin de la tabla de correlaciones de conexiones (junctions) y peticiones. Tiempo de espera para el envo a una conexin (junction) basada en TCP y para la lectura desde esa conexin. Tiempo de espera para el envo a una conexin (junction) basada en SSL y para la lectura desde esa conexin. Intervalo para la rutina de ping de WebSEAL a servidores con conexin (junction). Contrasea global cuando se suministran datos de autenticacin bsica a travs de conexiones (junctions) -b supply. Porcentaje del total de threads de trabajo que procesan peticiones para una conexin (junction) particular. Porcentaje del total de threads de trabajo que procesan peticiones para una conexin (junction) particular. Tamao del bfer para leer y escribir en una conexin (junction). Tamao mximo, en bytes, de cabeceras HTTP generadas por WebSEAL. Descripcin
https-timeout
ping-time basicauth-dummy-passwd
worker-thread-hard-limit
worker-thread-soft-limit
io-buffer-size max-webseal-header-size FILTRADO DE DOCUMENTOS stanza [filter-url] <indicador> = <atributo>
Atributos de direccin URL que WebSEAL filtra en las respuestas de los servidores con conexin (junction).
237
CONEXIN (JUNCTION) Parmetro stanza [filter-schemes] scheme = <nombre-esquema> Lista de esquemas de direcciones URL que WebSEAL filtra en las respuestas de los servidores con conexin (junction). Descripcin
stanza [filter-content-types] type = text/html> Tipo de contenido de documento que WebSEAL filtra como respuestas de servidores con conexin (junction). Tipo de contenido de documento que WebSEAL filtra como respuestas de servidores con conexin (junction).
type = text/vnd.wap.wml
stanza [script-filtering] script-filter Habilita e inhabilita el filtro de direcciones URL absolutas de scripts en servidores con conexin (junction).
CACH DE GSO stanza [gso-cache] gso-cache-enabled gso-cache-size gso-cache-entry-lifetime gso-cache-entry-idle-timeout CACH DE LTPA stanza [ltpa-cache] ltpa-cache-enabled ltpa-cache-size ltpa-cache-entry-lifetime ltpa-cache-entry-idle-timeout Habilita e inhabilita la cach de LTPA. Nmero de entradas en la cach de LTPA. Duracin mxima de una entrada de cach de LTPA. Duracin mxima de una entrada de cach de LTAPA inactiva. Habilita e inhabilita la cach de GSO. Nmero de entradas en la cach de GSO. Duracin mxima de una entrada de cach de GSO. Duracin mxima de una entrada de cach de GSO inactiva.
AUTENTICACIN Parmetro AUTENTICACIN BSICA stanza [ba] ba-auth basic-auth-realm FORMULARIOS stanza [forms] forms-auth Habilita e inhabilita la autenticacin utilizando formularios. Habilita e inhabilita el mecanismo de autenticacin bsica. Nombre de dominio que aparece en la solicitud de inicio de sesin BA del navegador. Descripcin
238
AUTENTICACIN Parmetro SEAL stanza [token] token-auth CERTIFICADO stanza [certificate] accept-client-certs CABECERAS HTTP stanza [http-headers] http-headers-auth stanza [auth-headers] header DIRECCIN IP stanza [ipaddr] ipaddr-auth INCREMENTAL stanza [authentication-levels] level = unauthenticated level = password MULTIPLEXING PROXY AGENTS stanza [mpa] mpa CDSSO stanza [cdsso] cdsso-auth authtoken-lifetime stanza [cdsso-peers] <nombre-mquina> = <ubicacin-archivo-claves> RECUPERACIN TRAS ERROR stanza [failover] failover-auth failover-cookies-keyfile Habilita e inhabilita la aceptacin de las cookies de resolucin de errores. Ubicacin (nombre de ruta de acceso completa) de la clave de cifrado de cookies generada por cdsso_key_gen. Pares de dominio que participan en el CDSSO. Habilita e inhabilita la autenticacin utilizando seales CDSSO. Valor de duracin mxima de una seal de autenticacin de CDSSO. Habilita e inhabilita el soporte para la autenticacin a travs de multiplexing proxy agents. Configuracin de la autenticacin incremental. Habilita e inhabilita la autenticacin utilizando informacin de direcciones IP. Cabeceras HTTP especficas utilizadas para la autenticacin. Habilita e inhabilita la autenticacin utilizando cabeceras HTTP. Configura la gestin de certificados de cliente de WebSEAL. Habilita e inhabilita la autenticacin utilizando cdigos de paso de seal. Descripcin
239
AUTENTICACIN Parmetro failover-cookie-lifetime enable-failover-cookie-for-domain Descripcin Lmite de tiempo para la validez del contenido de la cookie de recuperacin. Cambia el tipo de cookie de resolucin de errores de cookie especfica del servidor a cookie especfica de dominio.
SSO DE COMUNIDAD ELECTRNICA stanza [e-community-sso] e-community-sso-auth e-community-name intra-domain-key Habilita e inhabilita el SSO de la comunidad electrnica. Nombre de la comunidad electrnica que aparece en las peticiones y las seales de garantizacin. Ubicacin del archivo de claves utilizado para asegurar la comunicacin entre las instancias de WebSEAL en un dominio DNS. Designa la mquina local como servidor maestro de autenticacin WebSEAL. Nombre del servidor maestro de autenticacin WebSEAL (si no es la mquina local). Puerto HTTP no estndar para la escucha del servidor maestro de autenticacin. Puerto HTTPS no estndar para la escucha del servidor maestro de autenticacin. Valor de duracin de la seal de garantizacin. La direccin URL de garantizacin. Valor de duracin de la cookie de la comunidad electrnica.
is-master-authn-server master-authn-server master-http-port master-https-port vf-token-lifetime vf-url ec-cookie-lifetime stanza [inter-domain-keys] <nombre-dominio> = <archivo-claves> REAUTENTICACIN stanza [reauthentication] reauth-for-inactive reauth-reset-lifetime
Los archivos de claves para otros dominios participantes en la comunidad electrnica.
Habilita la reautenticacin a causa del tiempo de espera de inactividad de entrada de cach de sesin. Restablece el temporizador de duracin de entrada de cach de sesin despus de una reautenticacin correcta Ampla el temporizador de duracin de entrada de cach de sesin para completar el proceso de reautenticacin.
reauth-extend-lifetime
240
AUTENTICACIN Parmetro BIBLIOTECAS Y MECANISMOS DE AUTENTICACIN stanza [authentication-mechanisms] passwd-cdas passwd-ldappasswd-uraf token-cdascert-sslcert-cdas http-requestcdssopasswd-strength cred-ext-attrs su-password su-token-card su-certificate su-http-request su-cdsso failover-password failover-token-card failover-certificate failover-http-request failover-cdsso Lista de mecanismos de autenticacin soportados y las bibliotecas compartidas asociadas. Descripcin
GESTIN DE LA CALIDAD SSL DE PROTECCIN stanza [ssl-qop] ssl-qop-mgmt stanza [ssl-qop-mgmt-hosts] <direccin-ip> stanza [ssl-qop-mgmt-networks] <direccin-ip/mscara> stanza [ssl-qop-mgmt-default] default Nivel de cifrado QOP predeterminado para las otras direcciones IP sin correlacin. Nivel de cifrado QOP para las redes individuales. Nivel de cifrado QOP para los hosts individuales. Habilita e inhabilita la gestin de la calidad de proteccin.
SESIN Parmetro stanza [session] max-entries timeout inactive-timeout SESIONES DE CLIENTE SSL ssl-id-sessions SESIONES COMPARTIDAS use-same-session Utiliza el mismo ID de sesin para los clientes que cambian entre HTTP y HTTPS. Utiliza el ID de SSL para mantener los inicios de sesin HTTPS. Nmero mximo de entradas simultneas en la cach de credenciales/sesin de WebSEAL. Duracin mxima de una entrada en la cach de credenciales/sesin de WebSEAL. Duracin de las entradas inactivas en la cach de credenciales de WebSEAL. Descripcin
241
SESIN Parmetro ENVO DE COOKIES DE SESIN resend-webseal-cookies ID DE SESIN DE USUARIO user-session-ids Habilita/inhabilita la creacin y el manejo de los ID de sesin de usuario para la gestin de sesiones. Enva todas las cookies configuradas de resolucin de errores y de sesin al cliente con cada respuesta. Descripcin
CONTENIDO Parmetro stanza [content] DIRECTORIOS Y ARCHIVOS LOCALES doc-root directory-index delete-trash-dir Directorio raz del rbol de documentos web. Nombre del archivo de ndice de directorios. Directorio de eliminacin temporal para archivos suprimidos por el administrador. Descripcin
DIRECTORIOS DE USUARIOS LOCALES user-dir PGINAS DE ERROR error-dir Directorio que contiene los archivos de descripcin de errores de WebSEAL. El directorio es el rbol inicial del usuario que contiene documentos HTML pblicos.
PGINAS DE GESTIN DE CUENTAS stanza [acnt-mgt] mgt-pages-root login login-success logout account-locked passwd-expired passwd-change passwd-change-success passwd-change-failure Raz de las pginas de gestin de cuentas. Nombre del formulario de inicio de sesin estndar. Nombre del formulario de inicio de sesin correcto. Nombre de la pgina que aparece despus de finalizar la sesin correctamente. Nombre de la pgina que aparece si falla la autenticacin debido a una cuenta bloqueada. Nombre de la pgina que aparece si falla la autenticacin debido a una contrasea caducada. Nombre del formulario de cambio de contrasea. Nombre de la pgina que aparece si la peticin de cambio de contrasea se ha ejecutado correctamente. Nombre de la pgina que aparece si la peticin de cambio de contrasea no se ha ejecutado correctamente. Nombre de la pgina que contiene vnculos a pginas de administracin vlidas. Nombre del formulario de inicio de sesin de seales. Nombre del formulario de las siguientes seales.
help token-login next-token
242
CONTENIDO Parmetro stepup-login switch-user CGI LOCAL stanza [cgi] cgi-timeout stanza [cgi-types] bat = cmd cmd = cmd pl = perl sh = sh tcl = tclsh76 stanza [cgi-environment-variables] ENV = <nombre-variable> ICONOS stanza [content-index-icons] image/* video/* audio/* text/html text/* application/x-tar application/* stanza [icons] diricon backicon unknownicon CACH DE DOCUMENTOS stanza [content-cache] text/html image/* */* TIPOS MIME stanza [content-mime-types] <extensin> = <tipo> deftype Define el tipo MIME para extensiones de documento especficas. Tipo MIME predeterminado que se debe utilizar cuando el tipo de documento no se encuentra en la lista de la tabla de correlaciones. Define el tipo y tamao de la cach para tipos MIME de documentos especficos que WebSEAL almacena en la memoria. Icono utilizado para subdirectorios. Icono utilizado para el directorio principal. Icono utilizado para tipos de archivo desconocidos. Especifica los iconos grficos que se deben utilizar cuando WebSEAL genera un ndice de directorios (esto sucede cuando no existe index.html). Variables de entorno que heredarn los programas CGI. Designa, para los servidores Win32, el programa que se debe ejecutar para una extensin de archivo CGI determinada. Valor de tiempo de espera para leer y escribir en procesos CGI hijos. Descripcin Nombre del formulario de inicio de sesin de autenticacin incremental. Nombre del formulario de gestin de cambio de usuario.
243
CONTENIDO Parmetro CODIFICACIN DE CONTENIDOS stanza [content-encodings] gz Z Correlaciona la extensin del documento con un tipo de codificacin para navegadores que dan soporte a la codificacin del contenido. Descripcin
INICIO DE SESIN Parmetro stanza [logging] server-log max-size flush-time requests requests-file referers referers-file agents agents-file gmt-time Ubicacin del archivo de registro de errores del servidor. Umbral de creacin de un nuevo archivo de registro para registros HTTP. Frecuencia de vaciado de los bferes de archivos de registro HTTP. Habilita e inhabilita el registro de peticiones HTTP. Ubicacin del registro de peticiones HTTP. Habilita e inhabilita el registro de referentes HTTP. Ubicacin del registro de referentes HTTP. Habilita e inhabilita el registro de agentes HTTP. Ubicacin del registro de agentes HTTP. Registra peticiones con la hora GMT en lugar de la franja horaria local. Descripcin
API DE AUTORIZACIN Parmetro stanza [aznapi-configuration] db-file cache-refresh-interval Ubicacin del archivo de cach de la base de datos de polticas del cliente local. Define el intervalo entre las comprobaciones de actualizaciones (sondeos) en el servidor maestro de autorizaciones. Habilita e inhabilita los indicadores para la recepcin de las modificaciones de actualizacin de la cach de polticas. Descripcin
listen-flags
REGISTRO DE API DE AUTORIZACIN logclientid=webseald logsize logflush logaudit auditlog auditcfg = azn Umbral de creacin de un nuevo archivo de registro para el registro de auditora de gestin. Frecuencia de vaciado de los bferes de archivos de registro de auditora de gestin. Habilita e inhabilita la auditora. Ubicacin del registro de auditora. Captura de los eventos de autorizacin.
244
API DE AUTORIZACIN Parmetro auditcfg = authn auditcfg = http Descripcin Captura de los eventos de autenticacin. Captura de los eventos de WebSEAL.
DEFINICIONES DE SERVICIOS API DE AUTORIZACIN <id-servicio> stanza [aznapi-entitlement-services] AZN_ENT_EXT_ATTR
POLICY DIRECTOR Parmetro stanza [policy-director] config-file Ubicacin del archivo de configuracin pd.conf. Descripcin
245
246
Apndice B. Informacin de consulta de las conexiones (junctions) WebSEAL

El programa de utilidad pdadmin proporciona un indicador de lnea de comandos interactivo desde el cual se pueden realizar tareas de conexin (junction) WebSEAL. ndice de temas: v Utilizacin de pdadmin para crear conexiones (junctions) en la pgina 247 v Comandos de conexin (junction) en la pgina 248 v Creacin de una nueva conexin (junction) para un servidor inicial en la pgina 249 v Adicin de un servidor adicional a una conexin (junction) existente en la pgina 251
Utilizacin de pdadmin para crear conexiones (junctions)

Antes de utilizar pdadmin, debe iniciar la sesin en un dominio seguro como usuario de administracin sec_master. Por ejemplo: UNIX:
Windows:
MSDOS> pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
Para crear conexiones (junctions) WebSEAL, utilice el comando pdadmin server task create:
pdadmin> server task <identificacin-servidor> create <opciones>
El componente identificacin-servidor de este comando es una combinacin del servidor de Access Manager utilizado por este comando y el nombre de host del servidor de Access Manager.
<servidor-Access-Manager>-<nombre-host>
Sintaxis para un solo servidor WebSEAL: Para Access Manager WebSEAL, el servidor-Access-Manager es webseald y el nombre-host es el nombre de la mquina servidor WebSEAL:
pdadmin> server task webseald-<nombre-host> create <opciones>
247
El servidor WebSEAL inicial instalado en una mquina siempre se denomina segn el nombre de mquina. Por ejemplo, si el nombre de la mquina es cruz, la identificacin de servidor para una sola instalacin de WebSEAL es:
webseald-cruz
Sintaxis para mltiples instancias de WebSEAL: Si instala mltiples instancias de servidor WebSEAL en la misma mquina, el servidor-Access-Manager es el nombre configurado de la instancia de servidor WebSEAL, seguido de webseald y del nombre de host:
<nombre-instancia>-webseald-<nombre-host>
Por ejemplo, si los nombres configurados de dos instancias adicionales de WebSEAL son webseal2 y webseal3, las identificaciones de servidor aparecen como:
webseal2-webseald-cruz webseal3-webseald-cruz
Utilice el comando server list para verificar la identificacin de servidor:

pdadmin> server list webseald-cruz webseal2-webseald-cruz webseal3-webseald-cruz
Opciones obligatorias de comandos de conexin (junction): Las opciones de comando obligatorias necesarias para crear una conexin (junction) WebSEAL bsica son: v Nombre de host del servidor de aplicaciones de fondo (opcin h) v Tipo de conexin (junction) tcp, ssl, tcpproxy, sslproxy, local (opcin t) v Punto de conexin (junction) (punto de montaje)
pdadmin> server task webseald-<nombre-host> create t <tipo> h <nombre-servidor> <punto-conexin>
Comandos de conexin (junction)

Los siguientes comandos de conexin (junction) estn disponibles con pdadmin server task:
Comando create add remove Descripcin Crea una conexin (junction) nueva para un servidor inicial. Agrega servidores adicionales a un punto de conexin (junction) existente. Elimina un servidor de un punto de conexin (junction). Sintaxis: remove i <id-servidor> <punto-conexin> Utilice el comando show para determinar el ID de un servidor concreto. delete Elimina el punto de conexin (junction). Sintaxis: delete <punto-conexin>
248
Comando list
Descripcin Muestra una lista de todos los puntos de conexin (junction) de este servidor. Sintaxis: list
show
Muestra los detalles de una conexin (junction). Sintaxis: show <punto-conexin>
jmt load jmt clear
El comando jmt load proporciona a WebSEAL los datos de la tabla de correlaciones de conexiones (junctions) (jmt.conf) para gestionar el proceso de las direcciones URL relativas al servidor generadas dinmicamente. El comando jmt clear elimina los datos de la tabla de correlaciones de conexiones (junctions) WebSEAL.
help
Muestra una lista de los comandos de conexin (junction). Sintaxis: help
help <comando> exit
Muestra la ayuda detallada de un comando de conexin (junction) especfico. Sale del programa de utilidad pdadmin. Sintaxis: exit
Estos comandos, y las opciones asociadas, se describen en los siguientes apartados.
Creacin de una nueva conexin (junction) para un servidor inicial

Operacin: crea un punto de conexin (junction) nuevo y conecta un servidor inicial. Sintaxis:
create t <tipo> h <nombre-host> [<opciones>] <punto-conexin> Tipo de conexin (junction) t <tipo> **Obligatorio** Tipo de conexin. Puede ser: tcp, ssl, tcpproxy, sslproxy, local. El puerto predeterminado para t tcp es 80. El puerto predeterminado para t ssl es 443. Nombre de host h <nombre-host> **Obligatorio** Nombre de host DNS o direccin IP del servidor de fondo de destino. Opciones Autenticacin mutua a travs de SSL K <etiqueta-clave> B WebSEAL utiliza el certificado de cliente para autenticarse en el servidor de fondo. WebSEAL utiliza la informacin de cabecera de BA para autenticarse en el servidor de fondo. Requiere las opciones U, W y b filter.
249
U <nombre-usuario>
Nombre de usuario de WebSEAL. Utilcelo con B para enviar informacin de cabecera de BA al servidor de fondo. Contrasea de WebSEAL. Utilcelo con B para enviar informacin de cabecera de BA al servidor de fondo. Especifica el Nombre distinguido del certificado de servidor de fondo. Este valor, que coincide con el DN de certificado real, mejora la autenticacin.
W <contrasea> D <DN>
Opciones de conexin (junction) de proxy (requiere t tcpproxy o t sslproxy) H <nombre-host> P <puerto> Nombre de host DNS o direccin IP del servidor proxy. Puerto TCP del servidor proxy.
Especificacin de la informacin de cabecera de BA b <valor-BA> Define cmo el servidor WebSEAL transfiere la informacin de autenticacin BA HTTP al servidor de fondo. Puede ser: filter (valor predeterminado), ignore, supply, gso Opciones generales de conexin (junction) TCP y SSL c <tipos-id> Inserta la identidad de cliente de Access Manager en las cabeceras HTTP a travs de la conexin (junction). El argumento id-types puede incluir cualquier combinacin de los tipos siguientes de cabecera HTTP de Access Manager: iv-user, iv-user-l, iv-groups, iv-creds, all. El servidor WebSEAL trata las direcciones URL como no sensibles a maysculas y minsculas. Proporciona la identificacin de conexin (junction) en una cookie para gestionar direcciones URL relativas al servidor generadas por script. Enviar cookie de sesin al servidor de portal de fondo. Puerto TCP del servidor de fondo de terceros. El valor predeterminado es 80 para conexiones (junctions) TCP; 443 para conexiones (junctions) SSL. Ruta de acceso relativa para el script query_contents. De forma predeterminada, Access Manager busca query_contents en /cgi_bin/. Si este directorio es distinto o si el nombre del archivo query_contents es distinto, utilice esta opcin para indicar a WebSEAL la nueva direccin URL para el archivo. Es necesario para los servidores Windows de fondo. Insertar direccin IP entrante en la cabecera HTTP a travs de la conexin (junction). Especifica que la conexin (junction) debe dar soporte a aplicaciones con informacin de estado. De forma predeterminada, las conexiones (junctions) no tienen informacin de estado. Nombre de recurso o grupo de recursos de GSO. Obligatorio y utilizado slo con la opcin b gso.
i j
k p <puerto>
q <ubicacin>
r s
T <recurso/ grupo-recursos>
250
u <UUID>
Especifica el UUID de un servidor de fondo conectado a WebSEAL a travs de una conexin (junction) con informacin de estado (s). Nombre de host virtual representado en el servidor de fondo. Esta opcin da soporte a una configuracin de host virtual del servidor de fondo. Utilice v cuando el servidor con conexin (junction) de fondo espera una cabecera de nombre de host porque se conecta a una instancia virtual de ese servidor. La peticin de cabecera HTTP predeterminada del navegador no sabe que el servidor de fondo tiene varios nombres y varios servidores virtuales. Debe configurar WebSEAL para que proporcione esa informacin de cabecera adicional en las peticiones destinadas a una configuracin de servidor de fondo como host virtual.
v <nombre-hostvirtual>[:<puerto>]
Soporte para el sistema de archivos Win32.
Imparcialidad de conexin (junction) l <valor-porcentaje> L <valor-porcentaje> Define el lmite dinmico de consumo de threads de trabajo. Define el lmite fijo de consumo de threads de trabajo.
Conexiones (junctions) LTPA A F <archivo-claves> Z <contrasea-archivoclaves> Habilitar e inhabilitar las conexiones (junctions) LTPA. Ubicacin del archivo de claves utilizado para cifrar la cookie LTPA. Contrasea del archivo de claves
Conexiones (junctions) SSL de WebSEAL a WebSEAL C Autenticacin mutua entre un servidor WebSEAL frontal y un servidor WebSEAL de fondo a travs de SSL. Requiere el tipo t ssl o t sslproxy.
Inicio de sesin nico de formularios S <archivo-config> Ubicacin del archivo de configuracin de inicio de sesin nico de formularios.
Opciones de conexin (junction) local (utilcelo con t local) d <dir> f Punto de conexin (junction) Ubicacin en el espacio de nombres de WebSEAL para crear la conexin (junction). Directorio local de la conexin (junction). **Obligatorio.** Forzar la sustitucin de una conexin (junction) existente.
Adicin de un servidor adicional a una conexin (junction) existente

Operacin: agrega un servidor adicional a un punto de conexin (junction) existente. Sintaxis:
add h <nombre-host> [<opciones>] <punto-conexin>
251
Nombre de host h <nombre-host> **Obligatorio** Nombre de host DNS o direccin IP del servidor de fondo de destino. Opciones Autenticacin mutua a travs de SSL D <DN> Especifica el Nombre distinguido del certificado de servidor de fondo. Este valor, que coincide con el DN de certificado real, mejora la autenticacin.
Opciones de conexin (junction) de proxy (obligatorio con t tcpproxy y t sslproxy) H <nombre-host> P <puerto> Nombre de host DNS o direccin IP del servidor proxy. Puerto TCP del servidor proxy.
Opciones generales de conexin (junction) TCP y SSL i p <puerto> El servidor WebSEAL trata las direcciones URL como no sensibles a maysculas y minsculas. Puerto TCP del servidor de fondo de terceros. El valor predeterminado es 80 para conexiones (junctions) TCP; 443 para conexiones (junctions) SSL. Direccin URL relativa para el script query_contents. Access busca query_contents en /cgi_bin/. Si este directorio es distinto o si se ha cambiado el nombre del archivo query_contents, utilice esta opcin para indicar a WebSEAL la direccin URL nueva para el archivo. Especifica el UUID de un servidor de fondo conectado a WebSEAL a travs de una conexin (junction) con informacin de estado (s). Nombre de host virtual representado en el servidor de fondo. Esta opcin da soporte a una configuracin de host virtual del servidor de fondo. Utilice v cuando el servidor con conexin (junction) de fondo espera una cabecera de nombre de host porque se conecta a una instancia virtual de ese servidor. La peticin de cabecera HTTP predeterminada del navegador no sabe que el servidor de fondo tiene varios nombres y varios servidores virtuales. Debe configurar WebSEAL para que proporcione esa informacin de cabecera adicional en las peticiones destinadas a una configuracin de servidor de fondo como host virtual. w Punto de conexin (junction) Agrega un servidor al punto de conexin (junction) existente. Soporte para el sistema de archivos Win32.
q <url>
u <UUID>
v <nombre-host-virt>
252
Apndice C. Avisos
Esta informacin se ha desarrollado para productos y servicios que se ofrecen en Estados Unidos. Es posible que en otros pases IBM no ofrezca los productos, los servicios o las caractersticas que se describen en este documento. Pngase en contacto con el representante local de IBM para obtener informacin sobre los productos y servicios disponibles actualmente en su rea. Las referencias a programas, productos o servicios de IBM no pretenden indicar ni implicar que slo puedan utilizarse los productos, programas o servicios de IBM. En su lugar, se puede utilizar cualquier producto, programa o servicio funcionalmente equivalente que no infrinja ninguno de los derechos de propiedad intelectual de IBM. No obstante, es responsabilidad del usuario evaluar y comprobar el funcionamiento de cualquier producto, programa o servicio que no sea de IBM. IBM puede tener patentes o solicitudes de patentes en trmite que afecten a los temas tratados en este documento. La posesin de este documento no otorga al usuario ninguna licencia sobre esas patentes. Puede enviar consultas sobre licencias, por escrito, a: IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY 10504-1785 Estados Unidos Para consultas sobre licencias en las que se solicite informacin sobre el juego de caracteres de doble byte (DBCS), pngase en contacto con el departamento de propiedad intelectual de IBM de su pas o enve directamente las consultas por escrito a: IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome Minato-ku Tokio 106 Japn El siguiente prrafo no se aplica al Reino Unido ni a ningn otro pas donde estas disposiciones sean incompatibles con la legislacin vigente: INTERNATIONAL BUSINESS MACHINES CORPORATION FACILITA ESTA PUBLICACIN TAL CUAL, SIN GARANTAS DE NINGN TIPO, NI EXPLCITAS NI IMPLCITAS, INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTAS IMPLCITAS DE NO INFRACCIN, COMERCIALIZACIN O ADECUACIN A UN FIN CONCRETO. Algunos estados o pases no permiten la renuncia a las garantas explcitas o implcitas en ciertas transacciones; por tanto, es posible que esta declaracin no resulte aplicable a su caso. Este documento puede contener imprecisiones tcnicas o errores tipogrficos. Peridicamente se efectan cambios en la informacin aqu contenida; dichos cambios se incorporarn en nuevas ediciones de la publicacin. IBM se reserva el
253
derecho a realizar, si lo considera oportuno, cualquier modificacin en los productos o programas que se describen en esta informacin y sin notificarlo previamente. Las referencias en este documento a sitios web que no sean de IBM se proporcionan nicamente como ayuda y no se consideran en modo alguno sitios web aprobados por IBM. Los materiales de dichos sitios web no forman parte de este producto de IBM y la utilizacin de los mismos ser por cuenta y riesgo del usuario. IBM puede utilizar o distribuir la informacin que se le suministre de cualquier modo que considere adecuado sin incurrir por ello en ninguna obligacin con el remitente. Los titulares de licencias de este programa que deseen informacin sobre el mismo con el fin de permitir: (i) el intercambio de informacin entre programas creados independientemente y otros programas (incluido ste) y (ii) la utilizacin mutua de la informacin intercambiada, deben ponerse en contacto con: IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 Estados Unidos Dicha informacin puede estar disponible, sujeta a los trminos y condiciones adecuados, incluido, en algunos casos, el pago de una tasa. El programa bajo licencia que se describe en este documento, y todos los materiales bajo licencia disponibles para el mismo, los proporciona IBM bajo los trminos del Acuerdo con el Cliente IBM, del Acuerdo Internacional de Licencias para Programas IBM o de cualquier acuerdo equivalente entre el cliente e IBM. Todos los datos de rendimiento contenidos en el presente documento se han determinado en un entorno controlado. Por consiguiente, los resultados obtenidos en otros entornos operativos pueden ofrecer variaciones importantes. Algunas mediciones se pueden haber realizado en sistemas de nivel de desarrollo, por lo que no existe ninguna garanta de que dichas mediciones sean iguales en los sistemas disponibles generalmente. Adems, alguna medicin se puede haber estimado mediante extrapolacin. Los resultados reales pueden variar. Los usuarios de este documento deben verificar los datos aplicables para su entorno especfico. La informacin relacionada con productos que no son de IBM se ha obtenido de los proveedores de dichos productos, sus anuncios publicados o de otras fuentes disponibles pblicamente. IBM no ha probado estos productos y no puede confirmar la precisin de su rendimiento, compatibilidad o cualquier otra reclamacin relacionada con los productos que no son de IBM. Las preguntas relacionadas con las posibilidades de los productos que no son de IBM se deben dirigir a los proveedores de dichos productos. Todas las declaraciones relacionadas con la orientacin o los propsitos futuros de IBM se pueden cambiar o retirar sin previo aviso y nicamente representan metas y objetivos. Esta informacin contiene ejemplos de datos e informes utilizados en operaciones empresariales diarias. Para ilustrarlos lo ms claramente posible, los ejemplos
254
incluyen nombres de individuos, empresas, marcas y productos. Todos estos nombres son ficticios y cualquier similitud con los nombres y direcciones utilizados en empresas reales es coincidencia. LICENCIA DE COPYRIGHT: Esta informacin contiene programas de aplicacin de ejemplo en lenguaje fuente que ilustran tcnicas de programacin en diferentes plataformas operativas. Puede copiar, modificar y distribuir estos programas de ejemplo en cualquier formato sin abonar ninguna cantidad a IBM con el propsito de desarrollo, uso, comercializacin o distribucin de dichos programas de aplicacin en conformidad con la interfaz de programacin de aplicaciones que corresponde a la plataforma operativa para la que se han escrito dichos programas de ejemplo. stos no han sido probados en su totalidad en todas las situaciones posibles. IBM, por tanto, no puede garantizar la fiabilidad, servicio o funcionalidad de estos programas. Puede copiar, modificar y distribuir estos programas de ejemplo en cualquier formato sin abonar ninguna cantidad a IBM con el propsito de desarrollo, uso, comercializacin o distribucin de dichos programas de aplicacin en conformidad con las interfaces de programacin de aplicaciones de IBM. Cada copia o cualquier fragmento de estos programas de ejemplo o cualquier trabajo que derive de ellos debe incluir un aviso de copyright como el siguiente: (el nombre de su empresa) (ao). Partes de este cdigo se derivan de Programas de ejemplo de IBM Corp. Copyright IBM Corp. _escriba el ao o aos_. Reservados todos los derechos.
Marcas registradas
Los siguientes trminos son marcas registradas de International Business Machines Corporation en Estados Unidos, en otros pases o en ambos: AIX DB2 IBM Logotipo de IBM SecureWay Tivoli Logotipo de Tivoli WebSphere Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft Corporation en Estados Unidos y/o en otros pases. Java y todos los logotipos y marcas registradas basados en Java son marcas registradas de Sun Microsystems, Inc. en Estados Unidos y en otros pases. UNIX es una marca registrada de The Open Group en Estados Unidos y en otros pases. Otros nombres de empresas, productos y servicios pueden ser marcas registradas o marcas de servicios de terceros.
Apndice C. Avisos
255
256
ndice A
accept-client-certs 127 account-locked 36 acct_locked.html 37 ACL 5 ACL, polticas caracteres vlidos para nombres de ACL 90 definicin 4 especficas de WebSEAL 89 explcita 6 heredada 6 actualizaciones y sondeo de la base de datos de autorizaciones 51 agent.log 43 ejemplo 45 formato de registro de eventos 47 agents 43 agents-file 43 agrupacin de eventos http 46 http.agent 46 http.clf 46 http.cof 46 http.ref 46 agrupacin de eventos http 46 almacenamiento en la cach de peticiones 70 almacenamiento en la cach de peticiones del servidor 70 almacenamiento en la cach de peticiones POST 70 aplicador de polticas 7 archivo de direccionamiento 47 archivo de registro, WebSEAL 23 argument-stanza 205 atributos ampliados document-cache-control (POP) 32 en credenciales de usuario 218 HTTP-Tag-Value, conexin (junction) 218, 221 reauth (POP) 135 autenticacin acceso autenticado a los recursos 11 acceso no autenticado a los recursos 11 autenticacin bsica 122 Cabecera HTTP 128 cambio de usuario 62 CDSSO 141 certificado 125 comunidad electrnica 145 configuracin de varios mtodos de autenticacin 120 configuracin predeterminada 119 direccin IP 130 formularios 123 informacin sobre el proceso 107 inicio de sesin nico con formularios 201 mtodos soportados 108 Multiplexing Proxy Agents (MPA) 131 objetivos 10 parmetro locales 119 parmetros de CDAS externo 119 reautenticacin 134, 137 seal 130 solicitud de inicio de sesin 120 tipos de datos de sesin soportados 108 Copyright IBM Corp. 1999, 2002 autenticacin (continuacin) visin general 10 visin general de la configuracin 118 autenticacin bsica configuracin 122 autenticacin de CDSSO 141 autenticacin de certificados 125 autenticacin de comunidad electrnica 145 caractersticas 147 cifrado de la seal de garantizacin 153 configuracin 154 cookie de comunidad electrnica 152 flujo de proceso 148 peticin y respuesta de garantizacin 152 seal de garantizacin 153 autenticacin de direcciones IP 130 autenticacin de formularios 123 solucin de inicio de sesin nico 201 autenticacin de mltiples factores 100 autenticacin de seales 130 autenticacin incremental 95 autenticacin MPA 131 authentication-levels, stanza 95, 101 authentication-mechanisms, stanza 67 authtoken-lifetime 144 autorizaciones empresariales (dinmicas) 217
B
ba-auth 122 backicon 29 basic-auth-realm 122 basicauth-dummy-passwd 193 biblioteca compartida CDMF 141 biblioteca compartida libfailoverauthn 117
C
cabecera 129 cabecera HOST, mejores prcticas para conexiones (junctions) 214 Cabecera HTTP lmite de tamao 179 PD-USER-SESSION-ID 221 cabecera PD_PORTAL 216 cach GSKit (SSL) 109 WebSEAL, credenciales 109 cach CRL, configuracin 42 gsk-crl-cache-entry-lifetime 42 gsk-crl-cache-size 42 cach de credenciales 109 configuracin 111 mximo de entradas 111 tiempo de espera de duracin 111 tiempo de espera de inactividad 112 visin general y estructura 12 cach de documentos 31 document-cache-control POP 32 vaciar cachs 32
257
cach de GSO, configurar 198 cach de LTPA, configurar 200 cach de sesin configuracin 110, 111 GSKit (SSL) 109 tiempo de espera de duracin 111 tiempo de espera de inactividad 112 visin general y estructura 12 WebSEAL, credenciales 109 cache-refresh-interval 52 calidad de proteccin hosts 50 nivel predeterminado 49 POP, poltica 103 redes 50 cambio de usuario 62 biblioteca compartida CDAS 68 biblioteca compartida incorporada 67 exclusin de usuarios 66 flujo de proceso 63 habilitacin 64 influencia en funciones de WebSEAL 69 mecanismo de autenticacin 67 mtodos de autenticacin vlidos 66 securitygroup 63 su-admin, atributo ampliado 70 su-admins, grupo 63 su-excluded, grupo 63 caracteres codificados UTF-8 73 cdsso 119, 143 cdsso-auth 143 cdsso_key_gen 117, 144, 153 cdsso-peers, stanza 144 cdssoauthn 143 cert-cdas 119 cert-ssl 119, 127 certificados gestin 38 GSKit 38 iKeyman 38 tipos de archivos de base de datos de claves 39 cgi-timeout 27 client-connect-timeout 26 conectividad SSL 26 conectividad TLS 26 conexiones escalabilidad 16 visin general 14 conexiones (junctions) -b filter 195 -b gso 195 -b ignore 194 -b supply 193 aplicar permisos 186 asignacin de threads de trabajo (-l) 54 asignacin de threads de trabajo (-L) 54 autenticacin de certificados 186 autenticadas mutuamente (-D, -K, -B, -U, -W) 165 autenticar con cabecera de BA (-B, -U, -W) 166 certificado de cliente (WebSEAL) (-K) 166 certificado de cliente de WebSEAL (-K) 166 coincidencia de Nombre distinguido (DN) (-D) 165 conexiones (junctions) de proxy (-H, -P) 168 consulta de comandos 247 cookie de sesin al servidor de portal (-k) 180 de WebSEAL a WebSEAL (-C) 168
conexiones (junctions) (continuacin) direcciones URL no sensibles a maysculas y minsculas (-i) 180 directrices para la creacin 160 especificar direccin IP en cabeceras HTTP (-r) 179 especificar identidad del cliente en cabeceras HTTP (-c) 177 especificar UUID de fondo (-u) 182 filtrar direcciones URL absolutas con filtrado de scripts 172 filtrar direcciones URL en las respuestas 171 forzar una nueva conexin (junction) (-f) 29, 176 global sign-on (GSO) 196 HTTP/1.0 y 1.1, respuestas 22 HTTP-Tag-Value, atributo 221 impacto de las opciones -b en las conexiones (junctions) autenticadas mutuamente 167 inicio de sesin nico con formularios (-S) 208 LTPA (-A, -F, -Z) 200 mejores prcticas 213 mejores prcticas de cabecera HOST (-v) 214 modificacin de direcciones URL en aplicaciones de fondo 169 montaje de varios servidores 185 nombre de host virtual (-v) 214 opcin de host (-h) 162 opcin de tipo (-t) 162 opciones gso (-b gso, -T) 198 opciones necesarias 162 pdadmin server task 161 procesar direcciones URL relativas al servidor con cookies 174 procesar direcciones URL relativas al servidor con correlacin de conexiones (junctions) 175 proceso de direcciones URL en las peticiones 173 query_contents 186 sistemas de archivos Windows (-w) 184 soporte para conexiones (junctions) con informacin de estado (-s, -u) 181 tabla de correlaciones de conexiones 175 visin general 159 conexiones (junctions) autenticadas mutuamente 165 conexiones (junctions) con informacin de estado 181, 182 conexiones (junctions) WebSEAL, vase junctions 159 Content-Length, cabecera 173 cookie de comunidad electrnica 152 cookies conexin (junction) 174 sesin 112, 180 cookies de conexin (junction) 174 cookies de resolucin de errores cifrado/descifrado de datos de cookie 117 configuracin 115 configuracin de la duracin de cookie 118 habilitacin 116 habilitar cookies de dominio 118 cookies de sesin 112 habilitacin 113 cred-ext-attrs 119 credenciales atributos ampliados 217, 221 insercin de ID de sesin de usuario en cabecera HTTP 221 insertar datos en cabeceras HTTP 218 insertar datos LDAP 217 visin general 13 CRL, comprobacin 42
258
D
datos de LDAP en cabeceras HTTP 217 db-file 51 derechos empresariales dinmicos 217 detencin de WebSEAL 22 dinmicos, derechos empresariales 217 direcciones URL dinmicas actualizar, dynurl update 226 colocar limitaciones en peticiones POST 227 correlacionar objetos ACL 224 dynurl-allow-large-posts 227 dynurl-map 224 ejemplo 229 mtodos GET y POST 227 proporcionar control de acceso 223 request-body-max-read 227 resolver 226 resumen y notas tcnicas 228 visin general 223 directorio raz de documentos cambiar ubicacin 28 directorio raz de instalacin de WebSEAL. 21 directorio raz de servidor 25 directory-index 29 diricon 29 disable-ssl-v2 26 disable-ssl-v3 26 disable-tls-v1 26 doc-root 28 document-cache-control, atributo ampliado de POP 32 dynurl-allow-large-posts 227 dynurl.conf 224 dynurl-map 224 dynurl update 226
estadsticas (continuacin) pdweb.http 81 pdweb.https 81 pdweb.jct.# 85 pdweb.jmt 82 pdweb.sescache 83 pdweb.threads 82 restablecer (stats reset) 80 sintaxis de comando stats 77 stats, parmetro 85 tipos de actividad 80 visualizar (stats get) 79 estado de la sesin configuracin de cach de credenciales de WebSEAL 111 configuracin de cach de ID de sesin SSL de GSKit 110 cookies de resolucin de errores 115 cookies de sesin 112 entre cliente y de fondo 220 gestin 109 gestin de ID de sesin de usuario 220 habilitar cookies de sesin 113 terminar sesin de usuario nica 222 terminar todas las sesiones de usuario 223 tipos de datos de ID de sesin vlidos 114 expresiones regulares lista de 206 para direcciones URL dinmicas 225 para inicio de sesin nico con formularios 206
F
failover-auth 116 failover-cdsso 117 failover-certificate 117 failover-cookie-lifetime 118 failover-cookies-keyfile 117 failover-http-request 117 failover-password 117 failover-token-card 117 fatal.log 47 filter-content-types, stanza 33 filter-schemes, stanza 33 filtrado Content-Length, cabecera X-Old-Content-Length 173 direcciones URL absolutas 171 direcciones URL relativas al servidor 171 documentos estticos 171 filtrar direcciones URL absolutas con filtrado de scripts 172 mejores prcticas para las direcciones URL absolutas 214 proceso de direcciones URL en las peticiones 173 reglas de filtrado de direcciones URL estndar para WebSEAL 171 text/html 171 text/vnd.wap.wml 171 tipos MIME de documento 33 filtrado de documentos 33 filtrado de las direcciones URL absolutas, mejores prcticas 214 filtrar direcciones URL Content-Length, cabecera 173 filtrado de scripts para direcciones URL absolutas 172 proceso de direcciones URL en las peticiones 173 reglas de filtrado estndar 171 fin de sesin 121 flush-time 44 ndice
E
e-community-name 155 e-community-sso-auth 154 ec-cookie-lifetime 156 enable-failover-cookie-for-domain 118 entrust-client 129 error.log 47 escalabilidad 16 servidores de fondo replicados 18 servidores frontales replicados 16 escucha de notificaciones de actualizaciones 51 espacio de objetos protegidos 4 objeto protegido 4 objetos de gestin 4 objetos definidos por el usuario 4 objetos web 4 recurso del sistema 4 server-name WebSEAL 22 estadsticas 77 comandos de estadsticas 77 componentes 80 habilitacin mediante el registro de eventos 85 habilitar (stats on) 77 inhabilitar (stats off) 79 listar (stats list) 80 logcfg, parmetro 85 mostrar (stats show) 79 pdweb.authn 80 pdweb.authz 81 pdweb.doccache 83
259
fondo, soporte para aplicaciones de 213 formato combinado NCSA 46 formato de registro comn (request.log) 45 formato de registro HTTP comn 45 forms-auth 123 forms-sso-login-pages, stanza 204 fsso.conf.template 204
I
iconos de ndice de directorios 29 ID de sesin SSL 113 identidad de servidor (HTTP), supresin 76 identidad de servidor HTTP, supresin 76 iKeyman 40 certificado de prueba de WebSEAL 126 conexiones (junctions) SSL autenticadas mutuamente 165 SSL, conexiones (junctions) de tipo 164 visin general 41 illegal-url-substrings, stanza 76 imparcialidad de conexiones (junction) 53 inactive-timeout 112 inicio de sesin condiciones de solicitud 120 inicio de sesin en dominios cruzados CDSSO 141 comunidad electrnica 145 inicio de sesin nico -b filter 195 -b gso 195 -b ignore 194 -b supply 193 autenticacin de formularios 201 CDSSO 141 comunidad electrnica 145 conceptos 191 configurar cach de GSO 198 especificar identidad del cliente en cabeceras de BA 192 global sign-on (GSO) 196 LTPA (WebSphere) 199 inicio de WebSEAL 22 intra-domain-key 153, 155 ipaddr-auth 130 is-master-authn-server 155 iv-creds 177, 213 iv-groups 177, 213 iv-remote-address 179 iv-user 177, 213 ivweb_setup 59 ivweb_uninst 61
G
gestin de ID de sesin 220 gestin de ID de sesin de usuario 220 tagvalue_user_session_id 220 user-session-ids 220 gestor de recursos 7 global sign-on (GSO) 196 gmt-time 44 gsk-crl-cache-entry-lifetime 42 gsk-crl-cache-size 42 GSKit 38 cach CRL 42 tipos de archivos 39 GSKit (SSL), cach de sesin de 109 configuracin 110 GSO 196 configurar cach de GSO 198 gso-cache-enabled 199 gso-cache-entry-idle-timeout 199 gso-cache-lifetime 199 gso-cache-size 199 gso-resource 205
H
help 36 help.html 37 HTML, pginas personalizadas 36 http 26 HTTP, autenticacin de cabeceras 128 HTTP, mensajes de error 33 soporte para macros 36 HTTP, registro utilizacin del registro de eventos 46 valor predeterminado 43 HTTP/1.1, respuestas 22 http.agent, agrupacin de eventos 46 http.clf, agrupacin de eventos 46 http.cof, agrupacin de eventos (NCSA) 46 http-headers-auth 128 HTTP_IV_CREDS 177, 211, 213 HTTP_IV_GROUPS 177, 211, 213 HTTP_IV_REMOTE_ADDRESS 179 HTTP_IV_USER 177, 211, 213 HTTP_PD_USER_SESSION_ID 220 HTTP_PD-USER-SESSION-ID 222 http-port 26 http.ref, agrupacin de eventos 46 http-request 119, 129 HTTP-Tag-Value, atributo de conexin (junction) http-timeout (junctions) 27 httpauthn 129 https 26 https-port 26 https-timeout (junctions) 27
J
jmt.conf 175 jmt load 175 jmt-map 175 junction, stanza 53 junction-db 159
L
ldapauthn 123, 124 libcdssoauthn 143 libhttpauthn 129 libldapauthn 123, 124 libsslauthn 127 libsuauthn 67 libtokenauthn 131 lista de control de accesos (ACL) listen-flags 51 logcfg 46, 85 login 36 login-form-action 205 login.html 37, 124 login-page 205
219, 221
260
login-page-stanza 204 login_success.html 37 logout 36 logout.html 37 LTPA (WebSphere) 199 configurar cach de LTPA 200 configurar conexin (junction) 200 ltpa-cache-enabled 200 ltpa-cache-entry-idle-timeout 200 ltpa-cache-entry-lifetime 200 ltpa-cache-size 200
objetos definidos por el usuario 4 objetos web 4
P
pginas de gestin de cuentas 36 pginas de gestin de cuentas HTML soporte para macros 37 parmetros de tiempo de espera HTTP y HTTPS 26 SSL de GSKit cach de sesin de 110 WebSEAL, cach de credenciales/sesin de 111 passwd-cdas 119 passwd-change 36 passwd-change-failure 36 passwd-change-success 36 passwd_exp.html 37 passwd-expired 36 passwd.html 37 passwd-ldap 119, 123, 124 passwd_rep.html 37 pd.conf 218 pd_start, comando de estado 61 PD-USER-SESSION-ID HTTP, cabecera 221 pdadmin server task terminate all_sessions 223 pdadmin server task (junctions) 161 pdweb, comando 22, 61 pdweb.authn, estadsticas 80 pdweb.authz, estadsticas 81 PDWeb_config 56 pdweb.debug (trace) 87 pdweb.doccache, estadsticas 83 pdweb.http, estadsticas 81 pdweb.https, estadsticas 81 pdweb.jct.#, estadsticas 85 pdweb.jmt, estadsticas 82 pdweb.sescache, estadsticas 83 pdweb.threads, estadsticas 82 PDWeb_unconfig 61 persistent-con-timeout 26 peticin y respuesta de garantizacin 152 ping-time (junctions) 27 pkmscdsso 145 pkmslogout 121 pkmspasswd 121 pkmsvouchfor 152, 156 poltica de ACL default-webseal 90 poltica de ACL explcita 6 poltica de ACL heredada 6 poltica de inicio de sesin en tres intentos 91 poltica de intensidad de contraseas 92 poltica de pdadmin disable-time-interval 91 max-login-failures 91 max-password-repeated-chars 92 min-password-alphas 92 min-password-length 92 min-password-non-alphas 92 password-spaces 92 poltica de seguridad identificacin de tipos de contenido 9 niveles de proteccin 9 planificacin e implementacin 8 poltica POP de autenticacin basada en la red 101 poltica POP de intensidad de autenticacin 95, 101 polticas de objetos protegidos 5 ndice
M
master-authn-server 155 master-http-port 154 master-https-port 154 max-entries 111 max-size 44 max-webseal-header-size 179 mejores prcticas filtrado de las direcciones URL absolutas 214 informacin de cabecera HOST (-v) 214 mensajes 47 archivo de direccionamiento 47 error.log 47 fatal.log 47 notice.log 47 warning.log 47 mensajes de error HTTP 33 servicios 47 soporte para macros para HTTP 36 mensajes de servicios 47 archivo de direccionamiento 47 error.log 47 fatal.log 47 notice.log 47 warning.log 47 mtodo GET 227 mtodo POST 227 configurar limitaciones 227 mtodos de autenticacin, resumen 108 mgt-pages-root 36, 65 mpa 134 mltiples instancias de WebSEAL comandos de inicio, detencin, reinicio y estado del servidor 61 configuracin en UNIX 56 configuracin en Windows 59 desconfiguracin 61 sintaxis en comandos pdadmin 162, 248 visin general de la configuracin 56 Multiplexing Proxy Agents (autenticacin) 131
N
net command (Windows) next-token 36 nexttoken.html 37 notice.log 47 62
O
objeto protegido 4 objetos de gestin 4
261
POP 5 POP, poltica autenticacin basada en la red 101 calidad de proteccin 103 definicin 4 document-cache-control, atributo ampliado 32 intensidad de autenticacin (incremental) 95 reauth, atributo ampliado 135 portal-map, stanza 216 programa de utilidad de rastreo (trace) 86 pdweb.debug, componente 87 trace list 87 trace set 87 trace show 87 programacin de CGI soporte 211 soporte para variables de entorno WIN32 212
S
script-filter 172 scripts de sitios cruzados illegal-url-substrings, stanza 76 prevencin de vulnerabilidad 75 securitygroup 63, 65, 66 server-log 23 server-name 22, 55 server-root 25, 65 servicio de autorizaciones 7 servicio de personalizacin configuracin de WebSEAL 216 ejemplo 216 visin general 215 servidores WebSEAL frontales replicar 55 solicitud de inicio de sesin condiciones 120 sondeo 51 sondeo de la base de datos de autorizaciones soporte para aplicaciones de fondo 213 soporte para aplicaciones del servidor 213 soporte para macros HTTP, mensajes de error 36 pginas de gestin de cuentas HTML 37 ssl-id-sessions 113 ssl-keyfile 41 ssl-keyfile-label 41 ssl-keyfile-pwd 41 ssl-keyfile-stash 41 ssl-ldap-server 42 ssl-ldap-server-port 42 ssl-ldap-user 42 ssl-ldap-user-password 42 ssl-max-entries 111 ssl-qop-mgmt 49 ssl-v2-timeout 110 ssl-v3-timeout 110 sslauthn 127 stanza acnt-mgt 36, 65 stanza aznapi-configuration 46, 51, 85 stanza cgi-environment-variables 212 stanza cgi-types 30 stanza content-caches 31 stanza filter-url 172 stanza inter-domain-keys 153, 156 stanza ldap-ext-cred-tags 218, 219 stanza logging 23 stanza ltpa-cache 200 stanza script-filtering 172 stanza ssl-qop-mgmt-default 49 stanza ssl-qop-mgmt-hosts 50 stanza ssl-qop-mgmt-networks 50 stats 85 stats, comandos 77 stepup-login 36, 97 stepuplogin.html 37, 97 su-admin, atributo ampliado 70 su-admins, grupo 63, 65, 66 su-excluded, grupo 63, 65, 66 suauthn 67 suppress-server-identity 76 switch-user 65
Q
query_contents 186 instalar 187 personalizar 189 proteger 190 query_contents.c 187 query_contents.cfg 187 query_contents.exe 187 query_contents.html 187 query_contents.sh 187
52
R
reautenticacin basada en inactividad de sesin 137 poltica basada en la seguridad (POP) 134 reauth, atributo ampliado de POP 135 reauth-extend-lifetime 137, 140 reauth-for-inactive, parmetro 139 reauth-reset-lifetime 136, 139 reauth, atributo ampliado de POP 135 reauth-extend-lifetime 137, 140 reauth-for-inactive 139 reauth-reset-lifetime 136, 139 recurso del sistema 4 referer.log 43 ejemplo 45 formato de registro de eventos 47 referers 43 referers-file 43 registro HTTP (registro de eventos) 46 HTTP predeterminado 43 registro de eventos estadsticas 85 HTTP, registro 46 REMOTE_USER 211 replicar servidores WebSEAL frontales 55 request-body-max-read 72, 227 request.log 43 ejemplo 45 formato de registro de eventos 46 request-max-cache 72 requests 43 requests-file 43 resend-webseal-cookies 113
262
T
tabla de correlaciones de conexiones 175 tagvalue_user_session_id 221 tcp-port 51 terminar sesin de usuario nica 222 terminar todas las sesiones de usuario 223 threads de trabajo asignacin global 53 asignacin por conexin (junction) 54 conexiones (junctions) 53 gestin 52 imparcialidad de conexiones (junction) 53 WebSEAL 52 timeout 111, 136, 139 tipo, MIME 33 tipos de archivos de base de datos de claves 39 tipos de datos de ID de sesin 114 tipos de datos de sesin 108 token-auth 130 token-cdas 119, 131 token-login 36 tokenauthn 131 tokenlogin.html 37 Transport Layer Security (TLS) 26
WebSEAL (continuacin) en espacio de objetos 22 estadsticas 77 HTTP/1.1, respuestas 22 iniciar y detener el servidor 22 server-name 22 visin general 1 webseald.conf, archivo de configuracin 23 WebSEAL, cach de credenciales/sesin de configuracin 111 visin general 109 visin general y estructura 12 webseal-cert-keyfile 40 webseal-cert-keyfile-label 40, 126, 186 webseal-cert-keyfile-pwd 40 webseal-cert-keyfile-stash 40 webseal-mpa-servers, grupo 133, 134 webseald.conf consulta 233 ubicacin 23 visin general 23 WebSphere LTPA 199 worker-thread-hard-limit 53 worker-thread-soft-limit 53 worker-threads 52, 53
U
ubicacin de bases de datos de autorizaciones replicadas 51 ubicacin de rplicas de base de datos de autorizaciones 51 udp-port 51 unknownicon 29 URL acerca de las rutas de acceso absolutas 170 acerca de las rutas de acceso relativas 170 acerca de las rutas de acceso relativas del servidor 170 gestin de UTF-8 73 informacin sobre tipos de ruta de acceso 170 modificacin de direcciones URL en recursos de fondo 169 opciones de filtrado 171 tabla de correlaciones de conexiones (junctions) 175 uso de cookies de conexin (junction) 174 use-same-session 113 user-session-ids 220 usuarios no autenticados, controlar 104 utf8-url-support-enabled 74
V
vaciar cachs 32 valor de indicador 217, 221 variables de entorno de, soporte vf-token-lifetime 155 vf-url 156 212
W
warning.log 47 Web Portal Manager 6 WebSEAL archivo de registro 23 configuracin de mltiples instancias 56 directorio raz de instalacin 21 directorio raz de servidor 25 directorio raz del rbol de documentos 28 ndice
263
264
Printed in Denmark by IBM Danmark A/S
GC10-3839-00

Ws Agmst

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ws Agmst

Uploaded by

Copyright:

Available Formats

IBM Tivoli Access Manager

WebSEAL Gua del administrador

IBM Tivoli Access Manager

WebSEAL Gua del administrador

Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL . . . . . . . . . . 1

Captulo 2. Configuracin bsica del servidor . . . . . . . . . . . . . . . . . . . 21

Captulo 3. Configuracin avanzada del servidor. . . . . . . . . . . . . . . . . . 49

IBM Tivoli Access Manager: WebSEAL Gua del administrador

Captulo 4. Poltica de seguridad de WebSEAL . . . . . . . . . . . . . . . . . . 89

Captulo 5. Autenticacin de WebSEAL . . . . . . . . . . . . . . . . . . . . . 107

Captulo 6. Soluciones de inicio de sesin en dominios cruzados. . . . . . . . . . 141

Captulo 7. Conexiones (junctions) WebSEAL . . . . . . . . . . . . . . . . . . 159

IBM Tivoli Access Manager: WebSEAL Gua del administrador

Captulo 8. Soluciones de inicio de sesin nico de web

Ejemplo de archivo de configuracin para IBM HelpNow

Captulo 9. Integracin de aplicaciones . . . . . . . . . . . . . . . . . . . . . 211

Apndice C. Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253

IBM Tivoli Access Manager: WebSEAL Gua del administrador

A quin va dirigido este manual

Contenido de este manual

IBM Tivoli Access Manager

IBM Tivoli Access Manager: WebSEAL Gua del administrador

Informacin del release

Informacin de seguridad web

Material de consulta para desarrolladores

IBM Tivoli Access Manager: WebSEAL Gua del administrador

Informacin tcnica complementaria

IBM DB2 Universal Database

IBM Global Security Toolkit

IBM SecureWay Directory

IBM Tivoli Access Manager: WebSEAL Gua del administrador

IBM WebSphere Application Server

Acceso a las publicaciones en lnea

Comentarios sobre las publicaciones

Cmo ponerse en contacto con el soporte al cliente

Convenios utilizados en este manual

IBM Tivoli Access Manager: WebSEAL Gua del administrador

Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL

Presentacin de IBM Tivoli Access Manager y WebSEAL

Copyright IBM Corp. 1999, 2002

IBM Tivoli Access Manager: WebSEAL Gua del administrador

Figura 1. Proteccin del espacio web con WebSEAL

Informacin sobre el modelo de seguridad de Access Manager

Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL

Espacio de objetos protegidos

Figura 2. Espacio de objetos protegidos de Access Manager

Definicin y aplicacin de polticas de ACL y POP

IBM Tivoli Access Manager: WebSEAL Gua del administrador

La lista de control de accesos (ACL)

Figura 3. Poltica de ACL

Polticas de objetos protegidos (POP)

Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL

Polticas explcitas y heredadas

Figura 4. Polticas explcitas y heredadas

Administracin de poltica: Web Portal Manager

IBM Tivoli Access Manager: WebSEAL Gua del administrador

Proteccin del espacio web con WebSEAL

Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL

Figura 5. Proceso de autorizacin de Access Manager

Planificacin e implementacin de la poltica de seguridad

IBM Tivoli Access Manager: WebSEAL Gua del administrador

Identificacin de tipos de contenido y niveles de proteccin

Informacin sobre la autenticacin de WebSEAL