Novedades para los especialistas en seguridad

En este tema se resaltan las características nuevas o modificadas para los responsables de proteger las aplicaciones y el entorno de servicio de aplicaciones en WebSphere® Application Server tradicional.

• Visualización del algoritmo actual utilizado para cifrar y descifrar contraseñas

  Con el getPasswordEncryptionAlgorithm comando, puedes ver el algoritmo que se utiliza actualmente para cifrar y descifrar contraseñas. El comando devuelve un valor para la codificación XOR, el cifrado aes-128, el cifrado aes-128, el cifrado aes-256 o el cifrado personalizado,

• Compatibilidad con el cifrado de contraseñas de « AES-256 ».

  El cifrado AES admite tanto AES-128 como AES-256. Anteriormente, sólo AES-128 era compatible con el cifrado.

• FIPS 140-3

  IBM, SDK, Java Technology Edition 8, es compatible con FIPS 140-3. FIPS 140-3 introduce nuevos algoritmos para las claves LTPA.

• La verificación del nombre de host y de la dirección IP está activada de forma predeterminada. La verificación se aplica a los servidores de destino en todas las conexiones SSL mediante el uso de fábricas de sockets WebSphere. Sin embargo, puede especificar una lista de nombres de host, direcciones IP o ambos para omitir la verificación. Para más información sobre la función, consulte los siguientes temas.
  • Configuración predeterminada de certificados encadenados en SSL
  • Propiedades del archivo ssl.client.props
  • Configuración de verificación de nombre de host y dirección IP en el archivo security.xml
  • java.security.cert.CertificateException: No hay coincidencia de nombres DNS alternativos MYHOST.com
  • Propiedades personalizadas de seguridad
• Propiedades personalizadas de seguridad

  Utilice la propiedad personalizada « com.ibm.websphere.security.addPartitionedAttributeToCookie » para añadir el atributo «Partitioned» a las cookies LTPA y TAI. El atributo Particionado sólo permite que los sitios de nivel superior accedan a las cookies que graba el servidor de aplicaciones.

• Propiedades personalizadas de seguridad

  Utilice la propiedad com.ibm.websphere.crypto.config.certexp.notify.emailSubject para personalizar la línea de asunto de un correo electrónico de notificación para la caducidad del certificado. También puede incluir el ámbito de la celda añadiendo _addManagementScope al valor elegido. El valor predeterminado de esta propiedad es un marcador de posición, destinado a ser sustituido por una línea de asunto de correo electrónico personalizada, con o sin el sufijo _addManagementScope.

• OpenID Conectar propiedades personalizadas de la parte que confía

  Utilice la propiedad provider_<id>.usePkce para establecer si el interceptor de asociación de confianza (TAI) utiliza la clave de prueba para el intercambio de código (PKCE) al autenticarse con el flujo de autorización de código.

• Propiedades del complemento de seguridad del servidor web en el archivo « plugin-cfg.xml »

  Las siguientes propiedades de plug-in de servidor web se añaden al archivo plugin-cfg.xml para mejorar la seguridad.

  • HostVerificationStartupCheck

    Especifica si el plug-in valida todos los transportes definidos dentro del XML durante el inicio.

  • SecureHostVerification

    Especifica cómo procesar cuando falla la validación.

  • IMSecureConnectorVerification

    Especifica si el plug-in valida todos los conectores dentro del grupo de Intelligent Management.

  • IMSecureEndpointVerification

    Especifica si el plug-in valida el nombre de host de punto final devuelto por el conector.

  • GlobalHostAlias

    Especifica una lista separada por comas de valores de nombre de host o IP para los que desea realizar la validación de certificado.

  • HostnameAlias

    Esta propiedad es específicamente una propiedad de transporte para validar un certificado para un único valor de nombre de host.

  • Se han actualizado los valores predeterminados de los protocolos SSL y TLS en el demonio. Para obtener más información, consulte Daemon Secure Sockets Layer.
• Cambios en el proveedor FIPS, los algoritmos de cifrado de SSL y la versión de TLS
  • El proveedor IBMJCEFIPS se sustituye por el proveedor IBMJCEPlusFIPS .
  • SSL Se eliminan los cifrados.
  • TLS 1 se sustituye por TLS 1.2.
• Cambios en los algoritmos de cifrado de SSL y en la versión de TLS
  • SSL Se eliminan los cifrados.
  • TLS 1 se sustituye por TLS 1.2.
• Propiedades personalizadas de seguridad

  Utilice la propiedad personalizada « com.ibm.websphere.audit.config.notify.fromAddress » para personalizar la dirección del remitente de un correo electrónico de notificación destinado a la supervisión de auditorías. El valor predeterminado para esta propiedad es WebSphereNotification@ibm.com.

• Propiedades personalizadas de seguridad

  Utilice la propiedad com.ibm.websphere.security.ldap.suppressICH31005I para que el servidor de aplicaciones maneje una excepción de excepción javax.naming.Naming como resultado vacío. La excepción se envía desde un servidor LDAP que está habilitado para RACF.

• Configuración del TAI de OIDC para realizar el cierre de sesión iniciado por el RP

  Puede configurar el interceptor de asociación de confianza (TAI) de OpenID Connect (OIDC) Relying Party (RP) para cerrar la sesión de un usuario de un proveedor de OpenID cuando se complete el cierre de sesión de WebSphere .

  Se añaden tres propiedades personalizadas opcionales para dar soporte al cierre de sesión iniciado por RP:

  • provider_<id>.endSessionEndpointEnabled

    Establece esta propiedad a true para habilitar el cierre de sesión iniciado por el RP con el URL especificado en la propiedad provider_<id>.endSessionEndpoint .

  • provider_<id>.endSessionRedirectUrl

    Establezca esta propiedad en el valor del parámetro post_logout_redirect_uri en la solicitud para el punto final de sesión de finalización en el OP.

  • provider_<id>.endSessionUseLogoutExitPage

    Establezca esta propiedad en true para utilizar el valor del parámetro logoutExitPage como valor del parámetro post_logout_redirect_uri .

• OpenID Conectar propiedades personalizadas de la parte que confía

  La propiedad provider_<id>.endSessionEndpoint se ha actualizado para la versión 9.0.5.14 y posteriores. Establezca esta propiedad en el valor del punto final de sesión final para el proveedor de Open ID. Cuando esta propiedad se establece en un valor y la propiedad provider_<id>.endSessionEndpointEnabled se establece en true, el TAI redirige las solicitudes de cierre de sesión al punto final de sesión final configurado.

• SAML propiedades personalizadas del interceptor de asociación de confianza (TAI) para el inicio de sesión único (SSO) web

  Los operadores de expresión regular (~=) y OR lógico (||) se añaden a la lista de operadores de propiedades de filtro que admiten los TAI entrantes web SAML de inicio de sesión único, OIDC, OAuth y SAML.

  El elemento de request-uri entrada especial es válido para la propiedad de filtro TAI SAML.

  IdPSAML Se useJavaScript añade la propiedad personalizada TAI. Cuando esta propiedad se establece en true y una solicitud se redirige a un IdP,, el TAI utiliza JavaScript. Cuando no se utiliza JavaScript, se pierden todos los fragmentos que están presentes en la solicitud entrante original.

• Configuración de la delegación restringida de Kerberos para los tokens SPNEGO salientes en WebSphere Application Server

  Se da soporte a la extensión de Kerberos v5 denominada S4U (Servicios para usuarios) también conocida como delegación restringida.

• SAML propiedades personalizadas del interceptor de asociación de confianza (TAI) para el inicio de sesión único (SSO) en la web
  Hay dos propiedades personalizadas de TAI ( SAML ) disponibles para la versión 9.0.5.13 y posteriores:

  useJavaScript y sso_<id>.sp.useJavaScript

  Cuando cualquiera de estas propiedades se establece en true, el TAI utiliza JavaScript cuando una solicitud se redirige a un IdP. Cuando no se utiliza JavaScript, se pierde cualquier fragmento presente en la solicitud entrante original. Estas propiedades alteran temporalmente los valores de las propiedades redirectToIdPonServerSide y sso_.sp.redirectToIdPonServerSide existentes.

  La propiedad sso_<id>.sp.useRealm se actualiza para que pueda utilizar el nombre de reino predeterminado de WebSphere estableciendo esta propiedad en WAS_DEFAULT.

• OpenID El interceptor de asociación de confianza (TAI) de Connect (OIDC) admite tokens web JSON (JWT) cifrados

  A partir de la versión 9.0.5.13, el interceptor de asociación de confianza de OpenID Connect puede procesar un JWT cifrado. Se puede utilizar una JWT cifrada con la parte dependiente de OpenID Connect tradicional y la autenticación JWT. El uso de la RP de OIDC permite que una JWT cifrada sea la señal de ID, la señal de acceso o ambas. Se han añadido las siguientes propiedades personalizadas de OIDC TAI para dar soporte a un JWT cifrado:

  • provider_<id>.keyStore

    Especifica el almacén de claves del que obtener la clave de descifrado.

  • provider_<id>.decryptAlias

    Especifica el alias de keyEntry en el almacén de claves que se utiliza para descifrar una señal JWT o ID cifrada.

  • provider_<id>.decryptKeyPassword

    Especifica la contraseña para la clave de descifrado.

• OpenID Conectar propiedades personalizadas de la parte que confía

  A partir de la versión 9.0.5.13, puede establecer el valor de la propiedad personalizada provider_<id>.useRealm en WAS_DEFAULT para utilizar el nombre de dominio predeterminado de WebSphere .

  El valor predeterminado para la propiedad personalizada provider_<id>.signatureAlgorithm es ahora HEADER.

  Cuando la propiedad personalizada provider_<id>.discoveryEndpointUrl se incluye en la configuración de OIDC TAI, la propiedad personalizada provider_<id>.signatureAlgorithm ya no se altera temporalmente.

  Hay dos propiedades personalizadas opcionales disponibles para la versión 9.0.5.13 y posteriores:

  provider_<id>.signatureAllowList y provider_<id>.signatureDenyList

  Estas propiedades especifican una lista separada por comas de algoritmos de firma que pueden proteger los mensajes del proveedor de OpenID Connect. Si la propiedad personalizada provider_<id>.signatureAlgorithm se establece en un valor distinto de HEADER, ambas propiedades se ignoran.

• Propiedad personalizada opcional para el TAI de la parte de confianza de « OpenID »

  La propiedad personalizada provider_<id>.revokeEndpointEnabled se añade para ignorar el valor de la propiedad provider_<id>.revokeEndpointUrl .

• Añadir un repositorio basado en archivos a una configuración de repositorios federados

  Puede utilizar el repositorio de adaptadores de archivos de para bloquear una cuenta de usuario cuando el usuario no se pueda autenticar. Especifique la configuración de bloqueo con la consola administrativa o con los mandatos wsadmin de createIdMgrFileRepository o updateIdMgrFileRepository .

• OpenID Conectar propiedades personalizadas de la parte que confía
  Puede utilizar las siguientes propiedades personalizadas de OpenID Connect Relying Party para filtrar o dar servicio a las solicitudes.

  provider_<id>.useIssuer

  Cuando esta propiedad se establece en true, el tiempo de ejecución puede utilizar la entrada de proveedor para dar servicio a las solicitudes de verificación de señal web JSON (JWT) por API.

  provider_<id>.allowJwtIssuerSelection

  Cuando esta propiedad se establece en true, el tiempo de ejecución filtra las solicitudes basándose en la declaración iss en el JWT de la cabecera Authorization de la solicitud HTTP.

• Configuración del servidor de aplicaciones y de Db2 para que se autentiquen con Kerberos

  Utilice las credenciales de Kerberos para autenticarse con las fuentes de datos de Db2 para la recuperación de XA especificando la propiedad Krb5RecoveryPrincipal personalizada en la configuración de la fuente de datos.

• Configuración de Secure Sockets Layer

  Puede especificar una lista personalizada de protocolos para el protocolo de enlace de la capa de enlace de datos ( SSL ), en lugar de un único protocolo. Especifique la lista con la lista de protocolos personalizada en la configuración de calidad de protección ( QoP ) de la consola o con el createSSLConfig comando o modifySSLConfig wsadmin.

• Eventos de seguridad auditables

  Puede establecer la propiedad com.ibm.audit.terse.progname en true para incluir el nombre de la aplicación que se está registrando en el registro de auditoría conciso o fuera de él.

• Valor del tiempo de espera de LTPA para las credenciales reenviadas entre servidores

  A partir de la versión 9.0.5.8, el valor de rango para tiempos de espera de LTPA para credenciales reenviadas es un entero entre 5 y 5265000. El valor de tiempo de espera máximo es de 5256000 minutos, el equivalente a 10 años. Antes de la versión 9.0.5.8, el valor es un entero entre 5 y 153722867280911.

• Eventos de seguridad auditables

  Puede añadir las propiedades com.ibm.audit.terse.form.login y com.ibm.audit.terse.form.logout en el archivo audit.xml para inicios de sesión web y cierres de sesión en entornos donde Kerberos o SPNEGO están configurados. Los sucesos que están habilitados son SECURITY_FORM_LOGIN, SECURITY_KERBEROS_LOGIN, SECURITY_SPNEGO_LOGIN, SECURITY_FORM_LOGOUT, SECURITY_KERBEROS_LOGOUT y SECURITY_SPNEGO_LOGOUT.

• Propiedades personalizadas de seguridad

  Utilice la propiedad com.ibm.websphere.security.useOnlyCustomCookieName para especificar que el producto sólo busque cookies con nombres especificados en las propiedades personalizadas com.ibm.websphere.security.customLTPACookieName y com.ibm.websphere.security.customSSOCookieName . De forma predeterminada, el servidor evalúa las cookies LtpaToken2 y LtpaToken en el nombre predeterminado especificado con los valores LtpaToken2 y LtpaToken.

• Hay disponible soporte para el producto para autoemitir señales SAML que contienen un elemento Audience:
  • La propiedad SAMLIssuerConfig.properties Audience se añade a las propiedades de configuración del emisor de SAML.
  • La propiedad com.ibm.wsspi.wssecurity.saml.config.issuer.Audience policy bindings se añade a las propiedades personalizadas del token de seguridad de servicios web SAML.
• Propiedades personalizadas de seguridad

  Utilice la propiedad personalizada com.ibm.websphere.ssl.enforceCipherOrder de seguridad para especificar si el controlador de cifrado de cliente-servidor ( JVM ) prefiere el orden del conjunto de cifrado del lado del cliente o el orden del conjunto de cifrado del lado del servidor en una conexión de cifrado de cliente-servidor ( SSL ).

• La autenticación de enlace Kerberos con GSSAPI (Generic Security Services API) está a disposición de los servidores LDAP autónomos y los servidores LDAP en repositorios federados. Los temas siguientes contienen información acerca de la nueva función:
  • Configurar LDAP en una configuración de repositorio federado
  • Valores de utilidad de consulta de prueba de Lightweight Directory Access Protocol
  • Valores de la Configuración del repositorio LDAP (Lightweight Directory Access Protocol)
  • Configure un repositorio federado o un registro independiente de LDAP utilizando wsadmin.
  • Valores del registro LDAP autónomo
  • Configure Kerberos como mecanismo de autenticación vinculante para LDAP.
  • SecurityConfigurationCommands para el objeto AdminTask, concretamente los comandos configureAdminLDAPUserRegistry y configureAppLDAPUserRegistry
  • Consejos para la resolución de problemas de autenticación de enlaces de Kerberos
• SSLConfigCommands grupo de comandos para el objeto « AdminTask »

  Utilice el -returnAttributes parámetro para especificar una lista separada por comas de los atributos de configuración de SSL que devuelve el comando getSSLConfig.

• Compatibilidad con el protocolo Transport Layer Security ( TLS ), versión 1.3

  En la versión 9.0.5.6 y posteriores, el TLSv1.3 protocolo se añade a la lista de protocolos compatibles para el protocolo de enlace SSL o TLS. Para obtener más información, consulte las configuraciones de SSL.

• Propiedades personalizadas de seguridad

  Utilice la propiedad personalizada de seguridad com.ibm.websphere.security.spnego.includeCustomCacheKeyInSubject para incluir una clave de memoria caché personalizada en señales LTPA. Cuando esta propiedad está establecida en true, las señales LTPA que se crean a partir de la autenticación SPNEGO incluyen una clave de memoria caché personalizada que se obtiene de las credenciales de Kerberos asociadas. Si el servidor recibe una señal LTPA con la clave de memoria caché personalizada y la memoria caché de autenticación está vacía, el servidor inicia una nueva autenticación SPNEGO para obtener nuevas credenciales de Kerberos.

• OpenID Conectar propiedades personalizadas de la parte que confía
  A partir de la versión 9.0.5.6, puede utilizar las siguientes propiedades personalizadas de OpenID Connect Relying Party:

  provider_<id>.accessTokenIsJwt

  Establezca esta propiedad en el valor true si la señal de acceso que se devuelve del OP es una JWT y desea que el TAI valide la JWT.

  provider_<id>.endSessionEndpoint

  Establezca esta propiedad en el valor del punto final de sesión para el proveedor de OpenID para que se pueda acceder al proveedor de Open ID con una API.

  provider_<id>.introspectClientId

  Especifica el clientId que se debe incluir en las solicitudes al punto final de introspección del proveedor de OpenId.

  provider_<id>.introspectClientSecret

  Especifica el clientSecret que se debe incluir en las solicitudes al punto de introspección del proveedor de OpenId.

  provider_<id>.jwkClientId

  Especifica el identificador de cliente que se incluye en el esquema de autenticación básica de la solicitud JWK.

  provider_<id>.jwkClientSecret

  Especifica la contraseña de cliente que se incluye en el esquema de autenticación básica de la solicitud JWK.

  La siguiente propiedad personalizada OpenID Connect Relying Party se ha actualizado para la versión 9.0.5.6 y posteriores:

  provider_<id>.filter

  La propiedad se actualiza de forma que el URI de devolución de llamada del OP, /callbackServletContext/identifier, se intercepta automáticamente mediante TAI.

• OpenID Conectar propiedades personalizadas de la parte que confía
  La siguiente propiedad personalizada OpenID Connect Relying Party se ha actualizado para la versión 9.0.5.5 y posteriores:

  provider_<id>.setLtpaCookie

  • El valor predeterminado es true cuando la propiedad useJwtFromRequest OIDC tiene el valor required.
  • El valor predeterminado es false cuando la propiedad useJwtFromRequest OIDC tiene el valor ifPresent o el valor no.

  La siguiente propiedad personalizada OpenID Connect Relying Party es nueva para la versión 9.0.5.5 y posteriores:

  provider_<id>.userinfoEndpointEnabled

  Establezca esta propiedad con el valor false para ignorar la configuración de provider_<id>. userinfoEndpointUrl durante el inicio de sesión.

• Gestión inteligente: propiedades personalizadas del gestor de ediciones de aplicaciones
  Está disponible la siguiente propiedad personalizada del gestor de adiciones de aplicaciones de Intelligent Management para la versión 9.0.5.5 y posteriores:

  appedition.rollout.softreset.waitToQuiesceApplication

  Puede establecer la propiedad del sistema appedition.rollout.softreset.waitToQuiesceApplication en el gestor de despliegue para limitar la cantidad de tiempo, en segundos, que el gestor de desactivación temporal de la edición de la aplicación espera a que la aplicación se desactive temporalmente. De forma predeterminada, el gestor de inmovilización de edición de aplicaciones espera hasta que las sesiones se completen antes de detener una instancia de edición de aplicación.

• Soporte de certificados para uso de claves y extensiones SAN

  En la versión 9.0.5.5 y posteriores, puede configurar el uso de claves, el uso de claves ampliado y las extensiones de SAN para certificados con mandatos o con la consola administrativa. Para obtener más información, consulte cómo crear un certificado autofirmado, cómo crear un certificado personal encadenado en SSL y cómo crear una solicitud de autoridad de certificación.

• com.ibm.websphere.security.addSameSiteAttributeToCookie

  Establezca esta propiedad personalizada para especificar el valor de atributo SameSite para el inicio de sesión único (SSO) asociado con una cookie LTPA (Lightweight Third Party Authentication).

• OpenID Conectar propiedades personalizadas de la parte que confía
  Las siguientes propiedades personalizadas nuevas de OpenID Connect Relying Party están disponibles para la versión 9.0.5.4 y posteriores:

  provider_<id>.grantType

  Establezca esta propiedad en client_credentials para utilizar la entrada de proveedor para obtener una señal de acceso del punto final de señal de proveedor OpenID utilizando el tipo de otorgamiento client_credentials .

  provider_<id>.discoveryEndpointUrl

  Esta propiedad especifica el URL de punto final que llama al punto final de descubrimiento de OpenID Connect Provider.

  provider_<id>.useDiscovery

  Si esta propiedad se establece en true y no se especifica ningún valor para la propiedad discoveryEndpointUrl, se utiliza el valor de la propiedad discoveryEndpointUrl. Si esta propiedad se establece en false, se ignora el valor de la propiedad discoveryEndpointUrl.

  provider_<id>.useJavaScript

  Establezca esta propiedad en false si no desea utilizar JavaScript cuando se redirija a OpenID Connect Provider para la solicitud de autenticación inicial.

  Para la versión 9.0.5.4 y posteriores, hay un nuevo valor disponible para la propiedad personalizada provider_<id>.signatureAlgorithm OpenID Connect Relying Party. Ahora puede especificar RS512 como algoritmo que se utiliza para proteger mensajes del proveedor OpenID Connect.

• OpenID Conectar propiedades personalizadas de la parte que confía
  Hay dos nuevas propiedades personalizadas de OpenID Connect Relying Party disponibles para la versión 9.0.5.3 y posteriores.

  provider_<id>.nonceEnabled

  Cuando la propiedad responseType se establece en code, este parámetro toma como valor predeterminado false. Si la propiedad responseType se establece en cualquier otro valor distinto de code, esta propiedad se establecerá en true y no se podrá modificar.

  provider_<id>.contentSecurityPolicy

  Si desea que se incluya una cabecera Content-Security-Policy HTTP en la solicitud de inicio de sesión inicial que se envía a su OP, establezca la propiedad provider_<id>.contentSecurityPolicy al valor que desee utilizar para la cabecera Content-Security-Policy HTTP. Si el valor Content-Security-Policy requiere nonce, puede utilizar la palabra clave %NONCE% para indicar dónde se debería colocar nonce en el texto.

• Propiedades personalizadas de seguridad
  Hay disponibles tres nuevas propiedades personalizadas de seguridad para la versión 9.0.5.3 y posteriores.

  com.ibm.websphere.security.ior.hostName

  Una IOR es una referencia CORBA o RMI-IIOP que identifica de forma exclusiva un objeto en un servidor CORBA remoto. De forma predeterminada, el producto utiliza una dirección IP en la IOR en lugar de un nombre de host. Cuando esta propiedad personalizada se establece en true, el producto utiliza un nombre de host en la IOR. El valor predeterminado es false.

  com.ibm.websphere.security.setKrbAuthnToken.if.cacheHit

  Cuando se especifica esta propiedad personalizada, WebSphere busca un token de autenticación Kerberos (KRBAuthnToken) en la caché, incluso si la autenticación Kerberos no está habilitada. Si existe un KRBAuthnToken, esta propiedad lo añade al asunto. El valor predeterminado es false.

  com.ibm.websphere.security.dumpJaasConfig

  Esta propiedad especifica si la información de configuración de JAAS (Java Authentication and Authorization Service) se graba en el primer archivo FFDC (First Failure Data Capture - primer archivo de captura de datos de anomalía). El valor predeterminado es true.

• OpenID Conectar propiedades personalizadas de la parte que confía
  Hay disponibles dos nuevas propiedades personalizadas de OpenID Connect Relying Party para la versión 9.0.5.2 y posteriores.

  provider_<id>.loginErrorUrl

  Esta propiedad especifica el URL al que se redirige la parte dependiente cuando se recibe un error de inicio de sesión de un proveedor de OpenID Connect.

  provider_<id>.sendOpErrorParamsToLoginErrorUrl

  Cuando esta propiedad se establece en true, la parte dependiente reenvía el error, la descripción del error y los parámetros de URI de error que se han recibido del proveedor de OpenID Connect al URL de error.

• Propiedades personalizadas de seguridad
  Hay disponible una nueva propiedad personalizada de seguridad para la versión 9.0.5.2 y posteriores.

  com.ibm.websphere.security.audit.includeHostName

  Esta propiedad especifica si los registros de auditoría incluyen información de nombre de host. Cuando los registros de auditoría incluyen información de nombre de host remoto, es necesaria la búsqueda de DNS. Si la búsqueda de DNS es lenta, puede tardar mucho tiempo en que el servidor escriba registros de auditoría. Cuando esta propiedad se establece en false, los registros de auditoría incluyen la dirección IP del host remoto pero no incluyen la información del nombre de host remoto.

• IdMgrRepositoryConfig grupo de comandos para el objeto « AdminTask »
  Hay disponibles parámetros nuevos y actualizados para los siguientes mandatos IdMgrRepositoryConfig:

  • createIdMgrDBRepository
  • createIdMgrFileRepository
  • updateIdMgrDBRepository
  • updateIdMgrFileRepository
• Algoritmo de hash actualizado para repositorios de archivos y bases de datos

  Los repositorios de bases de datos y de archivos se actualizan para que admitan el algoritmo de hash PBKDF2WithHmacSHA1, que ahora es el repositorio predeterminado de los repositorios basados en archivos. Los tamaños de clave y de Salt se incrementa, al igual que el número de iteraciones de hash. Estos parámetros se pueden configurar en la consola web o mediante mandatos wsadmin. Anteriormente, los repositorios de archivos y de bases de datos tomaban como valor predeterminado SHA-1, que no es un algoritmo suficientemente seguro.

  Estas actualizaciones para el algoritmo de hash también están disponibles en la consola administrativa.