Configuración de la autenticación CSI (Common Secure Interoperability) mediante scripts

Utilice este tema para utilizar la herramienta wsadmin para configurar las comunicaciones de entrada y salida utilizando el protocolo CSI (Common Secure Interoperability). Common Secure Interoperability Versión 2 (CSIv2) da soporte a una interoperatividad de proveedor mejorada y a características adicionales.

Antes de empezar

Debe satisfacer los siguientes requisitos antes de configurar los registros de usuarios del sistema operativo local:
  • Debe tener el rol de administrador o de nuevo admin.
  • Habilite la seguridad global en el entorno.
  • Configure varios dominios con dominios de seguridad en el entorno.

Procedimiento

  • Configure la autenticación de comunicación de entrada CSI.

    La autenticación de entrada hace referencia a la configuración que determina qué tipo de autenticación se acepta para solicitudes de entrada. Esta autenticación se anuncia en la IOR (Interoperable Object Reference) que el cliente recupera del servidor de nombres.

    1. Inicie la herramienta de scripts wsadmin utilizando el lenguaje de scripts Jython. Para obtener más información, consulte el artículo Inicio del cliente de scripts wsadmin.
    2. Determine los valores que se van a especificar para la comunicación de entrada CSI.
      El mandato configureCSIInbound configura los distintos valores para la comunicación de entrada CSI.
      Tabla 1. Parámetros del mandato. Revise la siguiente lista de parámetros opcionales para determinar los atributos que se van a establecer en la configuración:
      Parámetro Descripción
      -securityDomainName Especifica el nombre de la configuración de seguridad. Si no especifica un nombre de dominio de seguridad, el mandato modifica la configuración de seguridad global. (Serie)
      -messageLevelAuth Especifica si los clientes que se conectan a este servidor deben especificar un ID de usuario y una contraseña. EspecifiqueNeverpara inhabilitar el requisito de ID de usuario y contraseña. EspecifiqueSupportedpara aceptar un ID de usuario y una contraseña. EspecifiqueRequiredpara requerir un ID de usuario y una contraseña. (Serie)
      -supportedAuthMechList Especifica el mecanismo de autenticación que se va a utilizar. EspecifiqueKRB5para la autenticación Kerberos ,LTPApara Lightweight Third-Party Authentication,BasicAuthpara la autenticación básica, ycustompara utilizar su propia implementación de señal de autenticación. Puede especificar más de uno, separados por el carácter de barra vertical (|). (Serie)
      -clientCertAuth Especifica si un cliente debe utilizar un certificado SSL para conectarse al servidor. EspecifiqueNeverpara permitir que los clientes se conecten sin certificados SSL. EspecifiqueSupportedpara aceptar clientes que se conectan con y sin certificados SSL. EspecifiqueRequiredpara exigir a los clientes que utilicen el certificado SSL. (Serie)
      -transportLayer Especifica el nivel de soporte de la capa de transporte. EspecifiqueNeverpara inhabilitar el soporte de capa de transporte. EspecifiqueSupportedpara habilitar el soporte de capa de transporte. EspecifiqueRequiredpara requerir soporte de capa de transporte. (Serie)
      -sslConfiguration Especifica el alias de configuración SSL que debe utilizarse para el transporte entrante. (Serie)
      -enableIdentityAssertion Especifica si debe habilitarse la aserción de identidad. Al utilizar el método de autenticación de confirmación de identidad, la señal de seguridad generada es un elemento <wsse:UsernameToken> que contiene un elemento <wsse:Username>. Especifiquetruepara el parámetro -enableIdentityAssertion para habilitar la aserción de identidad. (Booleano)
      -trustedIdentities Especifica una lista de identidades de servidor de confianza, separadas por el carácter de barra vertical (|). Para especificar un valor nulo, establezca el valor del parámetro -trustedIdentities como una serie vacía(""). (Serie)
      -statefulSession Especifica si debe habilitarse una sesión con estado. Especifiquetruepara habilitar una sesión con estado. (Booleano)
      -enableAttributePropagation Especifica si se debe habilitar la propagación de atributos de seguridad. La propagación de atributos de seguridad permite al servidor de aplicaciones transportar contenido de sujetos autenticados e información de contexto de seguridad de un servidor a otro en la configuración. Especifiquetruepara habilitar la propagación de atributos de seguridad. (Booleano)
    3. Configure la autenticación de comunicación de entrada CSI.

      El mandato configureCSIInbound configura la autenticación de entrada CSIv2 en un dominio de seguridad o en la configuración de seguridad global. Cuando se configura la entrada CSI en un dominio de seguridad por primera vez, los objetos CSI se copian desde la seguridad global. A continuación, se aplican los cambios a la configuración.

      Utilice el mandato configureCSIInbound para configurar la autenticación de entrada CSI de un dominio de seguridad o la configuración de seguridad global, tal como se muestra en el siguiente ejemplo Jython:
      AdminTask.configureCSIInbound('-securityDomainName testDomain -messageLevelAuth Supported 
-supportedAuthMechList KRB5|LTPA -clientCertAuth Supported -statefulSession true')
    4. Guarde los cambios de configuración.
      Utilice el siguiente ejemplo de mandatos para guardar los cambios de configuración:
      AdminConfig.save()
  • Configure la autenticación de comunicación de salida CSI.

    La autenticación de salida hace referencia a la configuración que determina el tipo de autenticación que se realiza en las solicitudes de salida para servidores en sentido descendente.

    1. Inicie la herramienta de scripts wsadmin.
    2. Determine los valores que se van a especificar para la comunicación de salida CSI.
      El mandato configureCSIOutbound configura los distintos valores para la comunicación de salida CSI.
      Tabla 2. Parámetros del mandato. Revise la siguiente lista de parámetros opcionales para determinar los atributos que se van a establecer en la configuración:
      Parámetro Descripción
      -securityDomainName Especifica el nombre de la configuración de seguridad. Si no especifica un nombre de dominio de seguridad, el mandato modifica la configuración de seguridad global. (Serie)
      -enableAttributePropagation Especifica si se debe habilitar la propagación de atributos de seguridad. La propagación de atributos de seguridad permite al servidor de aplicaciones transportar contenido de sujetos autenticados e información de contexto de seguridad de un servidor a otro en la configuración. Especifiquetruepara habilitar la propagación de atributos de seguridad. (Booleano)
      -enableIdentityAssertion Especifica si debe habilitarse la aserción de identidad. Al utilizar el método de autenticación de confirmación de identidad, la señal de seguridad generada es un elemento <wsse:UsernameToken> que contiene un elemento <wsse:Username>. Especifiquetruepara el parámetro -enableIdentityAssertion para habilitar la aserción de identidad. (Booleano)
      -useServerIdentity Especifica si se debe utilizar la identidad del servidor para establecer la confianza con el servidor de destino. Especifiquetruepara utilizar la identidad del servidor. (Booleano)
      -trustedId Especifica la identidad de confianza que utiliza el servidor de aplicaciones para establecer la confianza con el servidor de destino. (Serie)
      -trustedIdentityPassword Especifica la contraseña de la identidad del servidor de confianza. (Serie)
      -messageLevelAuth Especifica si los clientes que se conectan a este servidor deben especificar un ID de usuario y una contraseña. EspecifiqueNeverpara inhabilitar el requisito de ID de usuario y contraseña. EspecifiqueSupportedpara aceptar un ID de usuario y una contraseña. EspecifiqueRequiredpara requerir un ID de usuario y una contraseña. (Serie)
      -supportedAuthMechList Especifica el mecanismo de autenticación que se va a utilizar. EspecifiqueKRB5para la autenticación Kerberos ,LTPApara Lightweight Third-Party Authentication,BasicAuthpara la autenticación básica, ycustompara utilizar su propia implementación de señal de autenticación. Puede especificar más de uno, separados por el carácter de barra vertical (|). (Serie)
      -clientCertAuth Especifica si un cliente debe utilizar un certificado SSL para conectarse al servidor. EspecifiqueNeverpara permitir que los clientes se conecten sin certificados SSL. EspecifiqueSupportedpara aceptar clientes que se conectan con y sin certificados SSL. EspecifiqueRequiredpara exigir a los clientes que utilicen el certificado SSL. (Serie)
      -transportLayer Especifica el nivel de soporte de la capa de transporte. EspecifiqueNeverpara inhabilitar el soporte de capa de transporte. EspecifiqueSupportedpara habilitar el soporte de capa de transporte. EspecifiqueRequiredpara requerir soporte de capa de transporte. (Serie)
      -sslConfiguration Especifica el alias de configuración SSL que debe utilizarse para el transporte entrante. (Serie)
      -statefulSession Especifica si debe habilitarse una sesión con estado. Especifiquetruepara habilitar una sesión con estado. (Booleano)
      -enableCacheLimit Especifica si se ha de limitar el tamaño de la memoria caché de sesión CSIv2. Si especifica el valor true, se agrega un límite al tamaño de la memoria caché. El valor del límite está determinado por el valor que se establece con los parámetros -maxCacheSize y -idleSessionTimeout. El valor false, que es el valor predeterminado, no limita el tamaño de la memoria caché. Considere añadir un valor true para este parámetro si el entorno utiliza la autenticación Kerberos y el desvío para el centro de distribución de claves (KDC) configurado es pequeño. Un pequeño desvío del reloj se define como de menos de 20 minutos. Este parámetro se aplica cuando se establece el parámetro de -statefulSession en true. (Booleano)
      -maxCacheSize Especifica el tamaño máximo de la memoria caché de la sesión después de que las sesiones caducadas se supriman de la memoria caché. Las sesiones caducadas son las sesiones que están desocupadas más largo que el especificado para el parámetro -idleSessionTimeout. Considere especificar un valor para este parámetro si el entorno utiliza la autenticación Kerberos y el desvío para el centro de distribución de claves (KDC) configurado es pequeño. Un pequeño desvío del reloj se define como de menos de 20 minutos. Considere aumentar el valor de este parámetro si el tamaño de memoria caché pequeño hace que la recogida de basura se ejecute con tanta frecuencia que afecte al rendimiento del servidor de aplicaciones. Este parámetro se aplica cuando se establecen los parámetros -statefulSession y -enableCacheLimit en true y se establece un valor para el parámetro -idleSessionTimeout. El rango válido de valores para este parámetro va de 100 a 1000. (entero)
      -idleSessionTimeout Especifica el tiempo, en milisegundos, que una sesión CSIv2 puede permanecer desocupada antes de que se suprima. La sesión se suprime si se establece el parámetro -enableCacheLimit en true y se supera el valor del parámetro -maxCacheSize. Considere reducir el valor para este parámetro si el entorno utiliza la autenticación Kerberos y el desvío de reloj para el KDC es pequeño. Un pequeño desvío de reloj puede producir un mayor número de sesiones CSIv2 rechazadas. Sin embargo, con un valor más pequeño para este parámetro, el servidor de aplicaciones puede borrar las sesiones rechazadas con más frecuencia y reducir la posibilidad de una escasez de recursos. El rango válido de valores para este parámetro va de 60.000 a 86.400.000 milisegundos. (entero)
      -enableOutboundMapping Especifica si debe habilitarse la correlación de identidades salientes. Especifiquetruepara habilitar la correlación de identidades de salida personalizada. (Booleano)
      -trustedTargetRealms Especifica una lista de dominios de destino con los que se debe confiar. Separe cada nombre de reino con el carácter de barra vertical (|). (Serie)
    3. Configure la autenticación de comunicación de salida CSI.

      El mandato configureCSIOutbound configura la autenticación de salida CSIv2 en un dominio de seguridad o en la configuración de seguridad global. Cuando se configura la salida CSI en un dominio de seguridad por primera vez, el servidor de aplicaciones copia los objetos CSI desde la seguridad global. A continuación, el servidor de aplicaciones aplica los cambios a dicha configuración.

      Utilice el mandato configureCSIOutbound para configurar la autenticación de salida CSI de un dominio de seguridad o la configuración de seguridad global, tal como se muestra en el siguiente ejemplo Jython:
      AdminTask.configureCSIOutbound('-securityDomainName testDomain -enableIdentityAssertion true 
-trustedId myID -trustedIdentityPassword myPassword123 -messageLevelAuth Required 
-trustedTargetRealms realm1|realm2|realm3')
    4. Guarde los cambios de configuración.
      Utilice el siguiente ejemplo de mandatos para guardar los cambios de configuración:
      AdminConfig.save()