Gestión del acceso administrativo en IBM PureApplication System

En IBM™ PureApplication System® los administradores organizan a los usuarios en grupos que realizan las mismas tareas y controlan su acceso a las funciones del sistema con permisos. Como un administrador que configura un sistema PureApplication, ¿cuáles son los usuarios y los grupos de usuarios que se pueden crear?, y ¿cómo se administran sus permisos?

Bobby Woolf, Consultor ISSW WebSphere J2EE, IBM

Bobby WoolfBobby Woolf es un miembro de Servicios de Software de IBM para WebSphere, consultores que ayudan a los clientes a alcanzar el éxito con los productos WebSphere. Es el coautor de Enterprise Integration Patterns y The Design Patterns Smalltalk Companion. Bobby asiste a los clientes en el desarrollo de aplicaciones con arquitectura orientada al servicio para el Servidor del Proceso WebSphere de IBM mediante el Desarrollador de Integración WebSphere de IBM. Bobby también es un orador frecuente en varias conferencias. Leer más en el blog de Bobby en developerWorks.



11-02-2013

Introducción

En IBM PureApplication System W1500 V1.0 (de ahora en adelante PureApplication System), los administradores organizan a los usuarios en grupos que realizan las mismas tareas y controlan su acceso a las funciones del sistema con permisos. Como un administrador que configura un sistema PureApplication, ¿cuáles son los usuarios y los grupos de usuarios que se pueden crear?, y ¿cómo se administran sus permisos?

Los grupos de usuarios permiten al administrador otorgar permisos a los usuarios para que todos los usuarios con la misma función tengan los mismos permisos. Para comprender los grupos de usuarios que necesitamos, primero debemos comprender las funciones dPureApplication System para administrar usuarios y permisos, y algunas pautas esenciales para administrar la seguridad. Luego veremos algunas pautas paso a paso para configurar la seguridad en PureApplication System y una estrategia para refinarla en varias tareas de usuarios. Finalmente, veremos cuáles son los principios generales que podemos extraer de la estrategia que se aplicarán en cambios de estrategias.

Secuencia de comandos

En este artículo se incluye el script correspondiente y un archivo y un archivo Léame sobre cómo usarlo:

  • Script de Python: ipas_usersetup_bestpractice.py
  • Texto Léame:IPAS_UserSetup_README.txt

Este script automatiza el esfuerzo para crear una serie de grupos y usuarios predeterminados como se describe en este artículo. Como se muestra en el archivo Léame, el usuario que usted utiliza para ejecutar el script debe ser el administrador predeterminado admin.

El script debe ser un ejemplo de cómo crear estos usuarios y grupos en vez de ser algo que se ejecuta como está para el sistema de producción. PureApplication System debe estar configurado para realizar su autenticación con un repositorio externo LDAP. Como el script no puede crear sus usuarios y grupos en LDAP, los crea de manera local dentro del repositorio de usuario integrado en PureApplication System. Idealmente, para hacer mejor uso de este script, escriba otro script para crear estos usuarios y grupos en su repositorio LDAP, y modifique este script para enlazar los usuarios y grupos en PureApplication System con sus homólogos en LDAP.


Seguridad basada en el rol en PureApplication System

Antes de que analicemos los grupos de usuarios para crear, primero debe comprender:

  • los recursos de gestión de usuarios: cómo organiza los permisos PureApplication System.
  • Los permisos de usuarios y grupo de usuarios: cómo PureApplication System otorga permisos a los usuarios.
  • Seguridad esencial dPureApplication System: Esto cubre algunas pautas esenciales para la configuración más básica dPureApplication System.

Esta sección analiza cómo un usuario puede otorgar permisos a otros usuarios. En ese análisis se asume que las acciones descritas son realizadas por un usuario avanzado que puede otorgar permisos a otros usuarios, como el usuario administrador predeterminado que tiene todos los permisos.


Recursos de gestión de usuarios:

PureApplication System organiza los permisos para usar el sistema en roles de seguridad. Un rol de seguridad no es lo mismo que un grupo de usuarios (y un usuario no es un grupo de usuarios).

  • Un rol de seguridad es un conjunto de permisos para realizar un conjunto de funciones en el sistema, como acceder a las páginas de la consola o a los comandos CLI para realizar esa función.
  • Un grupo de usuarios es un conjunto de usuarios donde todos realizan las mismas tareas.
  • Un usuario es una cuenta que tiene la capacidad para iniciar sesión en el sistema.

Otorgar un rol de seguridad a un grupo de usuarios otorga los permisos que necesitan para realizar las funciones asociadas con ese rol. También se puede otorgar un rol de seguridad a un usuario individual, pero es mejor otorgar roles a los grupos, no a los usuarios individuales.

La Figura 1 muestra la relación entre los usuarios, grupos de usuarios y roles de seguridad.

Figura 1. Relación de los recursos de gestión de usuario en PureApplication System
Relationship of PureApplication System user management resources

El administrador dPureApplication System crea los usuarios y los grupos de usuarios (especialmente, como veremos, cualquier usuario con el rol de gestión de sistema). El software dPureApplication System incluye un conjunto de roles de seguridad predeterminado. No se pueden cambiar los roles existentes o agregar nuevos. Este artículo explica cuáles son los roles de seguridad predeterminados, el acceso que tiene cada función, y cómo otorgárselos a los grupos de usuarios.

Roles de seguridad

PureApplication System incluye un conjunto de roles de seguridad integrado que no se puede cambiar. Cada rol representa la capacidad de realizar un conjunto de funciones en el sistema, como tener acceso a través de la consola o de los comandos CLI. El conjunto de roles de seguridad se organiza en una jerarquía con dos capas, Administradores y Gestión de carga de trabajo como se muestra en la Figura 2. "Desplegar patrones en la nube" es otro rol de seguridad predeterminado, que se otorga automáticamente a todos los usuarios. Este rol predeterminado no se muestra en la consola, pero se muestra en la Figura 2.

Figura 2. Jerarquía conceptual de roles de seguridad
Conceptual security roles hierarchy

Existen cinco roles de gestión de seguridad, es decir, tipos de administradores. Dividen la responsabilidad de gestión del sistema en cinco zonas de funcionamiento principal.

  • Administradores:
    • Gestión de recursos de carga de trabajo
    • Gestión de grupo en la nube
    • Gestión de hardware
    • Auditoría
    • Gestión de seguridad

Cada rol de gestión tiene una de las dos configuraciones de nivel de acceso:

  • Ver todos los recursos de carga de trabajo (solo lectura): Este es el acceso de solo lectura o lector. Permite al usuario ver los recursos en esas páginas, pero no pueden hacer ningún cambio.
  • Gestión de recursos de carga de trabajo (Permiso completo): Este es el acceso de escritura/lectura o escritor. Permite al usuario ver los recursos en esas páginas, pero también cambiar las configuraciones, crear nuevos recursos y eliminarlos.

Un usuario puede tener opcionalmente la capacidad de delegación. Un usuario con esta capacidad y que ha recibido los roles de gestión de permisos completos puede, en cambio, otorgar o quitar estos mismos roles (permiso completo o de solo lectura) a otros usuarios y grupos existentes. Puede pensar esto como la delegación de rol a otros usuarios y grupos. Para habilitar esta capacidad, seleccione esta capacidad de delegación, Permitir delegación cuando se selecciona el permiso completo.

Además de los nuevos roles de seguridad (los cinco roles administrativos anteriores, más cuatro roles de gestión de carga de trabajo) que se muestran en la consola, existe un décimo rol de seguridad:

  • Gestión de carga de trabajo
    • Desplegar patrones en la nube

Este rol de administrador de carga de trabajo especial no se muestra en la consola. No se puede otorgar o eliminar. El sistema se lo otorga a todos los usuarios automáticamente. Le permite a cada usuario ver los patrones, instancias de patrones y contenido de catálogo; pero no permite crear, cambiar o eliminar patrones. También les permite desplegar los patrones de aplicación virtual y patrones de sistema virtual.

Existen cuatro roles de gestión de seguridad de carga de trabajo, subconjuntos de las capacidades de roles de gestión de recursos de carga de trabajo, que amplían las capacidades del rol de implementación de patrón predeterminado:

  • Gestión de carga de trabajo:
    • Crear nuevos patrones
    • Crear nuevos perfiles de entorno
    • Crear un nuevo contenido de catálogo
    • Herramienta de métricas de licencia IBM (ILMT)

Los usuarios y grupos que tienen otorgados el rol de escritor administrativo de recursos de carga de trabajo obtienen automáticamente todos los roles de gestión de carga de trabajo. Además, usted puede otorgar los roles de gestión de carga de trabajo a un usuario o grupo que no tiene ningún rol de gestión, lo que aumenta las capacidades del role de implementador de patrón.

Vista del menú de la consola

En general, los permisos otorgados por un rol de seguridad son accesos a algunos menús y páginas en la consola dPureApplication System, lo que explicaremos en detalle en la siguiente sección de este artículo.

Roles de usuarios dPureApplication System W1500 de IBM contiene una tabla, "Tabla 1: Vista de los menús de la consola para cada rol de seguridad", lo que explica específicamente los permisos otorgados por los roles de seguridad. Cada fila de la tabla describe un rol de seguridad. Cada rol de gestión tiene varias filas en la tabla para explicar las diferencias entre los niveles de acceso de los permisos de solo lectura y completos. Estas columnas en la tabla representan los menús dentro de la consola dPureApplication System. Para la mayoría de los menús, un rol puede tener o no acceso. Pero en algunos menús, el acceso a elementos específicos del menú depende del rol. Este documento luego explica cada rol de seguridad de manera más detallada.

La tabla en el Centro de información todavía no provee una explicación completa sobre qué elementos en el menú están habilitados para cada rol. Este artículo es más completo.

Permiso de interfaz de línea de comandos

Los permisos otorgados por un rol de seguridad también son permisos para ejecutar comandos específicos en la interfaz de línea de comandos (CLI) dPureApplication System. Mientras que la consola permite a un usuario ver y cambiar la configuración del sistema mediante una GUI, la CLI permite a un usuario hacerlo pero mediante programación. En ambos casos, las acciones son realizadas por un usuario que inicia sesión en el sistema, lo que significa que los roles de seguridad del usuario determinan las acciones que el sistema le permite realizar.

Para ver una introducción general a la CLI, vea Uso de la interfaz de línea de comandos.


Los permisos de usuarios y grupo de usuarios

Los permisos para tener acceso a las funciones en PureApplication System se organizan en roles de seguridad predefinidos. Un usuario o grupo de usuario tiene un conjunto de permisos cuando se le otorga un rol de seguridad. Cuando se otorga un rol a un grupo, el sistema se lo otorga a todos los miembros de ese grupo. Los roles también pueden ser otorgados o rechazados para los usuarios individuales, de ese modo agregarlos o rechazarlos de los roles que el usuario hereda por su grupo, la mejor forma es otorgar roles por grupos y no por usuarios individuales. Por comodidad, este artículo generalmente hablará de los roles que se les otorga a un usuario, que también es una forma breve de decir que el usuario recibirá el rol si este es otorgado a uno del grupo de usuarios.

Para ver y otorgar roles en un usuario: En la Consola de sistema, vaya a System > Users y seleccione un usuario. En la Figura 3, hemos seleccionado el usuario "DemoAdmin". En el panel de propiedades del usuario, vaya a la propiedad Permisos como se muestra en la Figura 3.

Figura 3. Permisos en la página de propiedades del usuario
Permissions in the user's properties page

Para ver y otorgar roles en un grupo de usuarios: En la Consola de sistema, vaya a System > User Groups y seleccione un grupo de usuarios. En la Figura 4, hemos seleccionado el grupo de usuarios "Everyone". En el panel de propiedades del grupo de usuarios, vaya a la propiedad Permisos como se muestra en la Figura 4.

Figura 4. Permisos en la página de propiedades del usuario
Permissions in the user's properties page

La jerarquía de roles de seguridad se muestra en el panel de permisos de las propiedades del usuario o grupo de usuarios. Revisaremos cada sección en el panel. Para cada rol, explicaremos los menús de consola y las páginas del rol y los comandos CLI que habilita.

Gestión de carga de trabajo

Las configuraciones de gestión de carga de trabajo se aplican a tareas específicas que se realizan en la Consola de carga de trabajo. Las configuraciones de gestión de carga de trabajo se establecen en la sección del panel de propiedades Permisos como se muestra en la Figura 5.

Figura 5. Panel de permisos de gestión de carga de trabajo
Workload management permissions panel

Cada configuración permite que el usuario realice una tarea específica:

  • Crear nuevos patrones: Este rol otorga la capacidad de crear nuevos patrones.
    • Consola: El icono agregar aparece en la página de cada tipo de patrón en el menú Workload Console > Patterns.
    • CLI: El método create() está habilitado para cada objeto de conjunto de patrones. Por ejemplo:
      • Para crear un patrón de aplicación virtual mediante el objeto ApplicationPatterns: deployer.applications.create(<specific attributes>)
      • Para crear un patrón de aplicación virtual mediante el objeto Patterns: deployer.patterns.create(<specific attributes>)
  • Crear nuevos perfiles de entorno: Este rol otorga la capacidad de crear nuevos perfiles de entorno.
    • Consola: El icono agregar aparece en la página Workload Console > Cloud > Environment Profiles.
    • CLI: El método create() está habilitado para el objeto EnvironmentProfiles: deployer.environmentprofiles.create(<specific attributes>)
  • Crear un nuevo contenido de catálogo: Este rol otorga la capacidad para crear nuevos artefactos (imágenes virtuales, paquetes de script, complementos, y más).
    • Consola: El icono agregar aparece en la página de cada tipo de artefacto en el menú Workload Console > Catalog.
    • CLI: El método create() está habilitado para cada objeto de conjunto de tipo de artefacto. Por ejemplo:
      • Para crear una imagen virtual mediante el objeto VirtualImages: deployer.virtualimages.create(<specific attributes>)
      • Para crear un complemento mediante el objeto AddOns: deployer.addons.create(<specific attributes>)
  • Herramienta de métricas de licencia IBM (ILMT): Este rol otorga la capacidad de administrar las licencias mediante REST API. No existe una página de consola o comandos de CLI correspondientes.

Nota: El icono agregar en las páginas de la consola es un signo más verde (+).

Delegación de roles

La capacidad de delegación de roles está disponible en la sección del panel de propiedades Permisos como se muestra en la Figura 6.

Figura 6. Panel de permisos de designación de roles
Role delegation permissions panel

Cuando un usuario tiene una capacidad de delegación de roles activada, si tienen uno o más roles de gestión de permisos, pueden otorgar y eliminar esos roles (permiso de solo lectura o completo) a otros usuarios y grupos existentes. Puede pensar esto como la delegación de rol a otros usuarios y grupos.

El administrador predeterminado puede crear otros usuarios y grupos, y otorgarle todos los roles, porque tiene todos los roles otorgados y la capacidad de delegación está activada.

Gestión de recursos de carga de trabajo

Las configuraciones de gestión de recursos de carga de trabajo se establecen en la sección del panel de propiedades Permisos como se muestra en la Figura 7.

Figura 7. Panel de permisos de gestión de recursos de carga de trabajo
Workload resources administration permissions panel

Cuando un usuario o grupo tiene el rol de escritor administrador de carga de trabajo, se otorgan automáticamente todos los subroles de gestión de carga de trabajo (vea Gestión de carga de trabajo).

Cuando la gestión de recursos de carga de trabajo está habilitada, el usuario obtiene acceso a todas las funciones en la Consola de carga de trabajo, como se muestra en la Figura 8.

Figura 8. Menú de gestión de recursos de carga de trabajo
Workload resources administration menu

Especialmente, además de la función de implementación de patrón predeterminado y la función de gestión de carga de trabajo, un administrador de recursos de carga de trabajo también tiene acceso a todas las funciones de estos menús:

  • Workload Console > Instances > Shared Services
  • Workload Console > Catalog > Database Workload Standards
  • Workload Console > Catalog > DB2 Fix Packs
  • Workload Console > Cloud > Shared Services
  • Workload Console > Cloud > System Plug-ins
  • Workload Console > Cloud > Pattern Types
  • Workload Console > Cloud > Default Deploy Settings
  • Workload Console > System > Troubleshooting
  • Workload Console > System > Storehouse Browser

Los comandos correspondientes a la CLI son:

  • Lista de servicios compartidos mediante el objeto SharedServices: deployer.sharedservices
  • Lista de tipos de patrones el objeto PatternTypes: deployer.patterntypes
  • Un mapa de especificación de archivo de rastreo (para localización de fallas) mediante el objeto Trace: deployer.trace.spec()

Gestión de grupo en la nube

Las configuraciones de gestión de grupo en la nube se establecen en la sección del panel de propiedades Permisos como se muestra en la Figura 9.

Figura 9. Panel de permisos de gestión de grupo en la nube
Cloud group administration permissions panel

Cuando la gestión de grupo en la nube está habilitada, el usuario obtiene acceso a todas las funciones de estos menús, como se muestra en la Figura 10:

  • System Console > Cloud
  • System Console > Reports
  • System Console > System > Product Licenses
Figura 10. Menú de gestión de grupo en la nube
Cloud group administration menu

Los comandos correspondientes a la CLI son:

  • Lista de grupos en la nube: admin.clouds
  • Lista de grupos de IP: admin.ipgroups
  • Lista de máquinas virtuales: admin.virtualmachines
  • La información del servidor ILMT: admin.ilmt

Gestión de hardware

Las configuraciones de gestión de hardware se establecen en la sección del panel de propiedades Permisos como se muestra en la Figura 11.

Figura 11. Panel de permisos de gestión de hardware
Hardware administration permissions panel

Cuando la gestión de hardware está habilitada, el usuario obtiene acceso a todas las funciones de estos menús, como se muestra en la Figura 12:

  • System Console > Hardware
  • System Console > Reports
  • System Console > System > Settings
  • System Console > System > Customer Network Configuration
  • System Console > System > Job Queue
  • System Console > System > Events
  • System Console > System > Troubleshooting
  • System Console > System > Problems
  • System Console > System > Product Licenses
Figura 12. Menú de gestión de hardware
Hardware administration menu

Los comandos correspondientes a la CLI son:

  • Lista de nodos computados: admin.computenodes
  • Lista de nodos administrados: admin.managementnodes
  • Lista de dispositivos de almacenamiento: admin.storagedevices
  • Lista de dispositivos de red: admin.networkdevices
  • Informe de mantenimiento: admin.maintenancereport
  • Lista de trabajos: admin.jobs
  • Lista de eventos: admin.events
  • Lista de configuraciones de rastreo: admin.tracesettings

Auditoría

Las configuraciones de auditoría se establecen en la sección del panel de propiedades Permisos como se muestra en la Figura 13.

Figura 13. Panel de permisos de auditoría
Auditing permissions panel

Cuando la auditoría está activada, el usuario obtiene acceso a todas las funciones en estos menús al seleccionar System Console > System > Auditing, como se muestra en la Figura 14.

Figura 14. Menú Auditing
Auditing menu

Los comandos correspondientes a la CLI son:

  • Lista de registros de auditoría: admin.audits
  • Recuperación del uso de auditoría: admin.audits.getUtilization()
  • Recuperación de la clave pública de sistema para auditoría: admin.audits.getKey()

Gestión de seguridad

Las configuraciones de gestión de seguridad se establecen en la sección del panel de propiedades Permisos como se muestra en la Figura 15.

Figura 15. Panel de permisos de gestión de seguridad
Security administration permissions panel

Cuando la gestión de seguridad está habilitada, el usuario obtiene acceso a todas las funciones de estos menús, como se muestra en la Figura 16:

  • System Console > Reports
  • System Console > System > Users
  • System Console > System > User Group
  • System Console > System > Security (no se incluye la vista usuarios/grupos [solo lectura])
Figura 16. Menú de gestión de seguridad
Security administration menu

Los comandos correspondientes a la CLI son:

  • Lista de usuarios: admin.users
  • Lista de grupos de usuarios: admin.groups
  • Lista de configuración actual de LDAP: admin.ldap

Seguridad esencial dPureApplication System:

Gestión del usuario para el cumplimiento y seguridad en la nube explica la práctica de seguridad fundamental que debe seguirse al configurar los usuarios y grupos en PureApplication System:

  • Recomendación 1: Separar las tareas de los usuarios dPureApplication System.

Una consecuencia de esa recomendación es otra recomendación:

  • Recomendación 2: Crear uno o más auditores con todos los permisos.

Una vez que el sistema nuevo se configura, se aplica una tercera recomendación:

  • Recomendación 3: asegurar al administrador predeterminado (admin).

Cada una de estas recomendaciones se explica de forma detallada a continuación. Las recomendaciones 1 y 2 son muy parecidas y se detallarán como una.

Separar las tareas de gestión y crear un auditor como mínimo

De todos los roles de seguridad en PureApplication System, la responsabilidad fundamental para el sistema es dividir en dos funciones de nivel:

  • Administradores: Esta función es para usuarios que administran recursos de sistema.
    • Los roles de seguridad correspondientes son gestión de recursos de carga de trabajo, gestión de grupo en la nube, gestión de hardware y gestión de seguridad.
  • Auditores: La función es para usuarios que monitorean actividades en el sistema.
    • El rol de seguridad es Auditoría.

Es importante crear dos grupos de usuarios correspondientes con misiones muy diferentes y dividir los roles de gestión entre ellos para que ninguno se asigne a ambos grupos:

  • Auditores del sistema: El grupo de usuarios solo tiene:
    • el rol de seguridad de Auditoría (permiso completo).
    • Sin ningún rol de seguridad de Gestión.
    • Sin ningún rol de seguridad de Gestión de carga de trabajo.
  • Administradores del sistema: El grupo de usuarios es:
    • Todos los roles de Gestión de seguridad y los roles de seguridad de gestión de carga de trabajo.
    • Sin rol de seguridad de Auditoría (ni permiso completo ni solo lectura).

Cada grupo de usuario necesita un miembro como mínimo, un usuario con permisos de grupo.

La Tabla 1 muestra cómo los permisos y las responsabilidades de los dos grupos son exclusivas.

Tabla 1. Grupos de usuarios y roles de seguridad fundamentales
Grupo de usuario Roles de gestión de seguridad Rol de auditoría de seguridad
Administradores del sistema
Auditores del sistema

Esta separación es necesaria para que los auditores puedan controlar las acciones de los administradores. Los auditores siempre tendrán un registro de las tareas realizadas por los administradores y no realizarán ninguna acción de gestión que deba ser registrada.

Si el administrador también tiene el rol de acceso completo de Auditoría, puede eliminar los registros de auditoría que muestra las tareas de gestión que realizó.

Durante la duración de un sistema PureApplication, si se otorgan roles de seguridad a grupos de usuarios o usuarios, debe tener cuidado de no otorgar el rol de auditoría a un usuario o a un grupo de usuario que también tenga los roles de gestión o de gestión de carga de trabajo. Asimismo, cuando se agrega un usuario a un grupo, no lo agregue a un grupo con los roles de gestión o gestión de carga de trabajo y tampoco a uno con el rol de auditoría.

En el sistema de consola, cuando se ve un usuario o grupo con el rol de auditoría (lector o escritor), aparece un icono de advertencia junto al permiso de auditoría que dice: "No se recomienda asignar otro permiso junto con el permiso de auditoría" como se muestra en la Figura 17. Este es un recordatorio para no otorgar otros roles a este usuario o grupo. La advertencia aparece en un usuario o grupo con el privilegio de auditoría. No hay forma de eliminar la advertencia (solo eliminar todos los privilegios de auditoría).

Figura 17. Advertencia en el panel de permisos de auditoría
Warning on the auditing permissions panel

Seguridad del administrador predeterminado

Cuando un nuevo sistema se configura, uno de los artefactos creados es el usuario predeterminado, el administrador predeterminado denominado "admin". Inicialmente, este es el único usuario, la única cuenta para iniciar sesión en el sistema, y además, es un usuario avanzado (similar al usuario principal en Unix) con los permisos de todos los roles de seguridad, de gestión y auditoría. Se usa para iniciar y configurar un nuevo sistema PureApplication, y crear otros usuarios y grupos de usuarios. Asegúrese de usar el administrador predeterminado para crear los dos grupos de usuarios fundamentales (y usuarios) como se describe en Separación de las tareas de gestión y creación de un auditor como mínimo.

Una vez que la inicialización y configuración del sistema está completa, esta cuenta de administrador predeterminado debe conservarse en caso de emergencias. Por esta razón, la cuenta no se puede eliminar ni se puede borrar sus roles. Aunque exista, no se utilizará para el funcionamiento diario y debe ser segura para prevenir accesos incorrectos a todas las funciones dPureApplication System.

Para asegurar esta cuenta de administrador predeterminado, cambiar el nombre del usuario y su contraseña con datos que solo sepan los empleados de confianza.

Este enfoque crea tres tipos de usuarios fundamentales:

  • Administrador predeterminado
  • Miembros del grupo de administradores de sistema
  • Miembros del grupo de auditores de sistema

Para preservar la separación de estos tres tipos de usuarios fundamentales, ningún empleado debe saber las contraseñas de más de uno de los tipos de usuarios fundamentales.


Estrategia para usar la seguridad basada en roles

Ahora que conoce las funciones que provee PureApplication System para otorgar permisos, analizaremos la mejor manera de usarlos. Analizaremos:

  • Procedimientos de roles básicos: Esto explica algunas configuraciones de seguridad básicas que deberá realizar en cualquier sistema PureApplication cuando lo prepara para el uso de un cliente.
  • Grupos de implementador adicionales: Consideramos que otros grupos serán necesarios para la gestión y para los patrones de implementación.
  • Usuarios adicionales: Consideraremos qué usuarios se necesitan.

La pauta en este artículo se aplica a todo el ciclo de vida del uso dPureApplication System, pero es muy importante configurar un nuevo sistema que no tenga ningún usuario o grupos definidos (que no sean los predeterminados). Además, esta estrategia describe el sistema desde el punto de vista de una nueva marca que necesita su conjunto inicial de usuarios y grupos para ser configurada.

Primero, aquí se detalla una descripción general de los grupos de usuarios que tendrá que crear. Los grupos de usuarios y los roles de seguridad no son jerárquicos (es decir, no se heredan), pero puede pensar los grupos como una jerarquía de especialización como se muestra en la Figura 18. El usuario en la parte superior, admin es el administrador predeterminado, y como tal, es el más avanzado porque tiene todos los roles. Los grupos en la parte inferior solo tienen un rol. Cada child tiene un subconjunto de roles que tiene su parent.

Figura 18. Jerarquía conceptual de grupo de usuario
Conceptual user group hierarchy

Estas son las instrucciones para configurar los grupos que se muestran en la Figura 18.


Procedimientos de roles básicos

Estos pasos son configuraciones de seguridad básicas que deben realizarse en cualquier sistema PureApplication antes de que un cliente comience a usarlo para sus propias cargas de trabajo. El personal que realiza estos pasos debe ser del cliente o de IBM.

Hay un script de CLI que puede descargar de este artículo, ipas_usersetup_bestpractice.py, que automatiza el proceso descrito en esta sección. El script crea los usuarios y los grupos y le indica al usuario que cambie la contraseña del administrador predeterminado. Puede realizar los pasos de forma manual como se describe a continuación, haciendo todos los cambios que desee a estos procedimientos, o puede ejecutar el script y usar este artículo como una descripción sobre lo que hará el script y por qué. Tendrá que ejecutar el script como admin ya que es el único usuario definido hasta ahora.

El script, por necesidad, crear los usuarios y grupos de forma local en el repositorio de usuario integrado en PureApplication System. Idealmente, cree estos repositorios en LDAP y modifique el script para enlazar los usuarios y grupos dPureApplication System a sus homólogos en LDAP.

Paso 1: Identificar a los empleados

Identificar a una o más personas en la organización del cliente (es decir, la organización que tiene PureApplication System) para cada una de las tres funciones administrativas fundamentales:

  • Administrador principal: Esta persona es la responsable de la contraseña del usuario admin. No la usará todos los días, pero en caso de emergencia, el cliente o IBM necesitará la contraseña.
  • Administrador del sistema: Esta persona es responsable del hardware y middleware dPureApplication System. Debe ser un administrador con experiencia o el líder de un equipo con esas responsabilidades. Como mínimo, necesita la preparación técnica suficiente para usar la GUI de gestión de usuario y grupo de usuario de PureApplication. Ya sea si usa las pantallas de gestión, o crea otros usuarios para que lo hagan.
  • Auditor del sistema: Esta persona es la responsable de realizar las auditorías en PureApplication System. Puede estar familiarizado con las pantallas de auditoría del sistema, o puede ser un gerente de proyecto que supervise la función del equipo que administra PureApplication System. Como mínimo, necesita la preparación técnica suficiente para usar la GUI de gestión de usuario y grupo de usuario de PureApplication. Ya sea si usa las pantallas de auditoría, o crea otros usuarios para que lo hagan.

Paso 2: Crear usuarios y grupos fundamentales

En este punto, solo el usuario definido en el sistema es el administrador predeterminado avanzado, admin. Inicie sesión como admin para crear estos usuarios y grupos.

Cree dos grupos de usuarios fundamentales y otórguele los roles:

  • Auditores del sistema: Cree este grupo y otórguele el rol de Auditoría. No le otorgue ningún rol de gestión o gestión de carga de trabajo. Active la delegación para que estos usuarios puedan otorgar opcionalmente el mismo rol (permiso de solo lectura o completo) a otros usuarios y grupos existentes.
  • Administradores del sistema: Cree este grupo y otórguele los cuatro roles de gestión (todos menos Auditoría). También otorgue los roles de gestión de trabajo. Estos roles deben otorgarse automáticamente cuando se otorga el rol de administrador de carga de trabajo, pero se los confirma. Active la delegación para que estos usuarios puedan crear otros y delegar los roles a otros.

Los roles para estos dos grupos se resumen en la Tabla 2. Establezca cada tipo de cuenta de grupo como LDAP. El modo local también funciona, pero LDAP es más seguro.

Tabla 2. Grupos de gestión fundamentales
Nombre del Grupo Rol de seguridad
Auditores del sistema
  • Administrar auditoría (permiso completo)
  • Permitir delegación
Administradores del sistema
  • Gestión de recursos de carga de trabajo (Permiso completo)
  • Gestión de recursos en la nube (Permiso completo)
  • Gestión de recursos de hardware (Permiso completo)
  • Gestionar seguridad (permiso completo)
  • Permitir delegación

Crear dos usuarios fundamentales que correspondan a estos grupos. Nuevamente, establezca cada tipo de cuenta de usuario como LDAP (no local).

  • sysadmin: Este usuario es el administrador del sistema del cliente.
    • Agregue este usuario al grupo de usuario de administradores del sistema.
    • Otorgue la contraseña para este usuario al empleado que se ha seleccionado para esta tarea.
  • sysauditor: Este usuario es el auditor del sistema del cliente.
    • Agregue este usuario al grupo de usuario de auditores del sistema.
    • Otorgue la contraseña para este usuario al empleado que se ha seleccionado para esta tarea.

Una vez que estos empleados tienen las contraseñas para sus respectivas cuentas, deben cambiar sus contraseñas y no olvidarlas. Deben guardar las contraseñas en algún lugar seguro donde las contraseñas se puedan recuperar si el empleado no está disponible.

Paso 3: Seguridad del administrador predeterminado

Puede realizar este paso una vez que se cumplen estos criterios:

  • Se crearon los dos usuarios y grupos fundamentales en el paso anterior.
  • El administrador y auditor del sistema:
    • Guardaron sus credenciales de inicio (es decir, el nombre de usuario y contraseña) en un lugar seguro.
    • Iniciaron sesión en PureApplication System de forma exitosa con sus credenciales.
    • Tienen un nivel de comodidad básica para navegar en sus partes de la consola dPureApplication System.
  • IBM terminó de ayudar al cliente a configurar el sistema y está listo para dárselo al cliente.

Una vez que se cumplen estos criterios, el administrador avanzado (esto también lo puede realizar el administrador del sistema) debe:

  • Iniciar sesión en PureApplication System (como admin o sysadmin).
  • Vaya a System Console > System > Users y seleccione el nombre de usuario admin.
  • Este usuario y sus roles no pueden eliminarse. En cambio, la persona identificada en el primer paso como administrador avanzado debe cambiar el nombre a la cuenta como "backupAdmin" y cambiar la contraseña de usuario y guardarla en un lugar seguro.

Paso 4: Crear otra gestión y ver grupos

Luego de realizar el Paso 2: crear usuarios y grupos fundamentales, el cliente tiene un usuario administrador para todo el sistema, el usuario al que denominamos administrador del sistema. Las tareas de administrador siempre deben ser realizadas por los usuarios administradores especializados, y esos usuarios deben pertenecer a grupos de gestión más especializados.

Inicie sesión como sysadmin (o como admin, si esta cuenta sigue activada), vaya a System Console > System > User Groups y cree los grupos de usuario como se muestra en la Tabla 3. Cada tipo de cuenta de grupo debe ser LDAP (no local). Los usuarios que pertenecen a estos grupos pueden administrar las partes respectivas del sistema y otorgar esos roles a otros usuarios.

Tabla 3. Grupos de gestión especializados
Nombre del Grupo Rol de seguridad
Gestión de recursos de carga de trabajo
  • Gestión de recursos de carga de trabajo (Permiso completo)
  • Permitir delegación
Gestión de grupo en la nube
  • Gestión de recursos en la nube (Permiso completo)
  • Permitir delegación
Administradores de hardware
  • Gestión de recursos de hardware (Permiso completo)
  • Permitir delegación
Administradores de seguridad
  • Gestionar seguridad (permiso completo)
  • Permitir delegación

No cree un grupo para auditoría. Ese grupo ya fue creado, el grupo Auditores de sistema.

También puede crear estos grupos con las variaciones de solo lectura en los roles. Estos grupos no son necesarios pero son útiles. Cree alguno o todos los grupos de usuarios como se muestra en la Tabla 4.

Tabla 4. Grupos de vista de sistema
Nombre del Grupo Rol de seguridad
Visores de recursos de carga de trabajo Ver todos los recursos de carga de trabajo (solo lectura)
Visores de grupo en la nube Ver todos los recursos en la nube (solo lectura)
Visores de hardware Ver todos los recursos de hardware (solo lectura)
Visores de auditoría Ver todos los recursos de auditoría (solo lectura)
Visores de usuarios de seguridad Ver usuarios/grupos (solo lectura)
Visores de recursos de seguridad Ver todos los recursos de seguridad (solo lectura)

También necesitará grupos para los usuarios que administran las cargas de trabajo. Cree los grupos de usuarios como se muestra en la Tabla 5.

Tabla 5. Grupos de gestión de carga de trabajo especializados
Nombre del Grupo Rol de seguridad
Creadores de patrones Crear nuevos patrones
Creadores de perfil de entorno Crear nuevos perfiles de entorno
Creadores de contenido de catálogo Crear un nuevo contenido de catálogo
Administradores de ILMT Herramienta de métricas de licencia IBM (ILMT)

Grupos de implementador adicionales

Tenga en cuenta que no es necesario crear un grupo "Implementadores de patrones". Ese es un rol implícito, predeterminado, cada usuario en PureApplication System tiene permiso para implementar patrones, y este permiso no se puede eliminar. En la práctica, sin permisos adicionales, un usuario que desea implementar un patrón necesita acceso a un patrón que ya haya sido creado por otra persona y acceso para implementarlo con un perfil de entorno que haya sido creado por otra persona. Aunque todos tengan permisos para implementar patrones, un usuario no puede hacerlo sin la ayuda de otros.

Su organización necesita otros grupos de usuarios para representar equipos diferentes que necesitan acceso a algunos perfiles de entornos para implementar patrones. La cantidad de grupos de usuarios depende de la estructura de procesos de desarrollo de su organización: la cantidad de equipos que implementan aplicaciones y la cantidad de perfiles de entorno que se usan en la implementación. Para obtener la guía de estos problemas, vea el artículo, Gestión de los entornos de tiempo de ejecución en una aplicación en PureApplication System de IBM. Estos grupos se definen en LDAP, por eso establezca el tipo de cuenta "LDAP".


Usuarios adicionales

Cree un usuario para cada persona que iniciará sesión en PureApplication System. El usuario que inicia sesión para crear esos usuarios debe tener el rol de seguridad de gestión (permiso completo), y ese usuario debe ser miembro de Administradores de seguridad (o administradores de sistema). Generalmente, estos usuarios se crean desde un directorio LDAP que PureApplication System le da acceso, por eso establezca el tipo de cuenta como "LDAP".

Convenio de denominación: Nombre a cada usuario en el sistema luego del nombre del empleado que el usuario representa. Por ejemplo, si esta dirección de correo electrónico corporativo es "jdoe@acme.com", el nombre para esta cuenta podría ser "jdoe".

Las personas que necesitan usuarios son los administradores y auditores (como se detalló anteriormente), aquellos que van a crear patrones, implementarlos y crear otros artefactos de gestión de carga de trabajo como perfiles de entorno y buscar instancias de patrones. Interactuarán con el sistema a través de la consola o los scripts de CLI. En general, cree un usuario para cada una de estas personas y agregue cada usuario a los grupos con los roles que necesitan.


Principios de roles de seguridad

Esta estrategia tiene un uso consistente de algunos principios:

  • Otorgue roles de seguridad a los grupos de usuarios, no a los usuarios individuales. Luego agregue usuarios a los grupos. Este enfoque simplifica la otorgación y eliminación de los roles a varios usuarios. Un grupo de usuarios muestra sus miembros del grupo, y muestra a cada uno que tiene los roles que han sido otorgados al grupo.
  • No otorgue roles de gestión y de auditoría al mismo grupo de usuario. Vea Separar las tareas de gestión y crear un auditor como mínimo. Además, cree un grupo de Auditores de sistema para los usuarios que pueden solo realizar auditorías y un grupo de Administradores de sistema para los usuarios que pueden hacer todo excepto auditorías. (La mayoría de los usuarios no pertenece a estos grupos de grandes privilegios).
  • Una vez que se configura PureApplication System, asegure el administrador predeterminado (admin). Para hacerlo, cambie el nombre de la cuenta y la contraseña.
  • Cree un grupo de usuarios para cada rol de seguridad y cada configuración de nivel de acceso. Esto le permite otorgar un rol a cualquier usuario agregándolo al grupo correspondiente.
  • Cree un grupo de usuario para cada equipo que usará los perfiles de entorno para implementar los patrones. Esto requiere la designación de grupos de usuarios y perfiles de entorno, y se explica en el artículo Gestión de los entornos de tiempo de ejecución en una aplicación en PureApplication System de IBM.
  • Cree un usuario para cada persona que iniciará sesión en PureApplication System. No permite que se compartan los inicios de sesión.

Conclusión

Este artículo explica los roles de seguridad en PureApplication System y cómo usarlos para controlar las funciones en el sistema que pueden administrar varios usuarios. Explica qué son los roles de seguridad, y su relación con los grupos de usuarios y usuarios. Detalla cada uno de los roles de seguridad integrados en el sistema, los permisos que otorgan, y muestra cómo esos permisos se reflejan en la consola de gestión y los comandos de CLI. Repase las recomendaciones para asegurar un acceso de gestión de sistema y presenta la estrategia paso a paso para aplicarlos a las recomendaciones, como un script CLI para automatizar el procedimiento, y revisar los principios que se detallan en esta estrategia. Con esta información, ahora está preparado para administrar el acceso a su sistema PureApplication.

Reconocimientos

El autor desea agradecer a los seguidores de IBM por su ayuda en este artículo: Vishy Gadepalli, Tamiko Brown, Chris Laffoon y Ching-Yun Chao. Agradecimientos especiales a Tamiko y Chris por desarrollar el script CLI que crea los usuarios y grupos y por la guía sobre los comandos de CLI que corresponden a los roles.


Descargar

DescripciónNombretamaño
Code sampleipas_usersetup_bestpractice.zip3KB

Recursos

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=Cloud computing, WebSphere
ArticleID=857714
ArticleTitle=Gestión del acceso administrativo en IBM PureApplication System
publish-date=02112013