Manual Web Seal

IBM Tivoli Access Manager for e-business

WebSEAL Gua de administracinV ersin 5.1

SC10-9835-00

IBM Tivoli Access Manager for e-business

WebSEAL Gua de administracinV ersin 5.1

SC10-9835-00

Nota Antes de utilizar esta informacin y el producto al que da soporte, lea la informacin del Apndice C, Avisos, en la pgina 543.

Primera edicin (noviembre de 2003) Este manual es la traduccin del original ingls IBM Tivoli Access Manager for e-business WebSEAL Administration Guide, SC32-1359-00. Copyright International Business Machines Corporation 1999, 2003. Reservados todos los derechos.

ContenidoPrefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviiA quin va dirigido este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii Contenido de este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii Publicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix Informacin del release . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix Informacin de Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix Informacin de seguridad web . . . . . . . . . . . . . . . . . . . . . . . . . . . . xx Material de consulta para desarrolladores . . . . . . . . . . . . . . . . . . . . . . . . xx Informacin tcnica complementaria . . . . . . . . . . . . . . . . . . . . . . . . . . xxi Publicaciones relacionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxi IBM Global Security Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxii IBM Tivoli Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . xxii IBM DB2 Universal Database . . . . . . . . . . . . . . . . . . . . . . . . . . . xxii IBM WebSphere Application Server . . . . . . . . . . . . . . . . . . . . . . . . . xxii IBM Tivoli Access Manager for Business Integration . . . . . . . . . . . . . . . . . . . xxiii IBM Tivoli Access Manager for WebSphere Business Integration Brokers . . . . . . . . . . . . xxiii IBM Tivoli Access Manager for Operating Systems . . . . . . . . . . . . . . . . . . . xxiv IBM Tivoli Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiv Acceso a las publicaciones en lnea . . . . . . . . . . . . . . . . . . . . . . . . . . xxv Accesibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv Cmo ponerse en contacto con el soporte de software . . . . . . . . . . . . . . . . . . . . xxvi Convenios utilizados en este manual . . . . . . . . . . . . . . . . . . . . . . . . . . xxvi Convenios tipogrficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxvi Diferencias entre sistemas operativos . . . . . . . . . . . . . . . . . . . . . . . . . xxvi

Captulo 1. Visin general de IBM Tivoli Access Manager WebSEAL . . . . . . . . . . 1Presentacin de IBM Tivoli Access Manager y WebSEAL . . . Comprensin del modelo de seguridad de Tivoli Access Manager Espacio de objetos protegidos . . . . . . . . . . . . Definicin y aplicacin de polticas de ACL y POP . . . . La lista de control de accesos (ACL) . . . . . . . . Polticas de objetos protegidos (POP) . . . . . . . . Polticas explcitas y heredadas . . . . . . . . . . Administracin de polticas: Web Portal Manager . . . . . Proteccin del espacio web con WebSEAL . . . . . . . . Planificacin e implementacin de la poltica de seguridad . . . Identificacin de tipos de contenido y niveles de proteccin . Informacin sobre la autenticacin de WebSEAL . . . . . . Objetivos de autenticacin . . . . . . . . . . . . . Acceso autenticado y no autenticado a los recursos . . . . Estructura de cach de sesin/credenciales de WebSEAL . . Informacin sobre las uniones WebSEAL . . . . . . . . Uniones WebSEAL y escalabilidad de sitios web . . . . . Servidores WebSEAL frontales replicados . . . . . . Soporte para servidores de fondo . . . . . . . . . Servidores de fondo replicados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 . 2 . 3 . 4 . 4 . 4 . 5 . 5 . 5 . 7 . 8 . 8 . 9 . 10 . 11 . 11 . 13 . 14 . 14 . 14

Captulo 2. Configuracin del servidor WebSEAL . . . . . . . . . . . . . . . . . 15Configuracin de la instancia de servidor . . . . . . . . . . Visin general de la configuracin de la instancia de servidor . . Planificacin de una configuracin de instancia de servidor . . Valores de configuracin de la instancia de servidor de ejemplo . Archivo de configuracin exclusivo para cada instancia . . . Visin general de la configuracin interactiva . . . . . . . Visin general de la configuracin de la lnea de comandos . . Copyright IBM Corp. 1999, 2003

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

16 16 16 20 21 21 22

iii

Visin general de la configuracin silenciosa . . . . . . . . . . . . . . . Tareas de configuracin de instancias de servidor. . . . . . . . . . . . . . . Adicin de una instancia de servidor WebSEAL . . . . . . . . . . . . . . Eliminacin de una instancia de servidor . . . . . . . . . . . . . . . . Configuracin del protocolo de comunicaciones . . . . . . . . . . . . . . . . Configuracin de WebSEAL para solicitudes HTTP . . . . . . . . . . . . . . Habilitacin e inhabilitacin del acceso HTTP . . . . . . . . . . . . . . . Definicin del valor de puerto del acceso HTTP . . . . . . . . . . . . . . Configuracin de WebSEAL para solicitudes HTTPS . . . . . . . . . . . . . . Conexiones SSL que utilizan el certificado de prueba de WebSEAL (este tema pertenece a Habilitacin e inhabilitacin del acceso HTTPS . . . . . . . . . . . . . . Definicin del valor de puerto del acceso HTTPS . . . . . . . . . . . . . . Restriccin de conexiones de versiones de SSL especficas . . . . . . . . . . . . Parmetros de tiempo de espera para la comunicacin HTTP/HTTPS . . . . . . . . Parmetros adicionales de tiempo de espera del servidor WebSEAL . . . . . . . . Hardware criptogrfico para cifrado y almacenamiento de claves . . . . . . . . . . Condiciones y requisitos previos . . . . . . . . . . . . . . . . . . . . Configuracin del motor Cipher y proceso de modalidad FIPS . . . . . . . . . . Configuracin de WebSEAL para hardware criptogrfico a travs de BHAPI. . . . . . Configuracin de WebSEAL para hardware criptogrfico a travs de PKCS#11 . . . . . Instalacin de la tarjeta criptogrfica y el controlador de dispositivo . . . . . . . Creacin de una contrasea y una etiqueta de dispositivo de seal para almacenar claves Configuracin de iKeyman para que utilice el mdulo PKCS#11 (biblioteca compartida) . Apertura del dispositivo de seal de WebSEAL utilizando iKeyman . . . . . . . Solicitud y almacenamiento del certificado de servidor WebSEAL . . . . . . . . Configuracin de WebSEAL y GSKit para que utilicen la biblioteca compartida PKCS#11 Modificacin de la etiqueta del certificado de servidor WebSEAL . . . . . . . . Inhabilitacin de la modalidad de aceleracin para nCipher nForce 300 . . . . . . Reinicio de WebSEAL . . . . . . . . . . . . . . . . . . . . . . . Calidad de niveles de proteccin . . . . . . . . . . . . . . . . . . . . . QOP para redes y hosts individuales . . . . . . . . . . . . . . . . . . . Configuracin de actualizaciones y sondeo de la base de datos de autorizaciones . . . . . Configuracin de la escucha de notificaciones de actualizaciones . . . . . . . . . Configuracin del sondeo de la base de datos de autorizaciones . . . . . . . . . . Gestin de la asignacin de threads de trabajo . . . . . . . . . . . . . . . . . Configuracin de threads de trabajo de WebSEAL . . . . . . . . . . . . . . Configuracin en AIX . . . . . . . . . . . . . . . . . . . . . . . Asignacin de threads de trabajo para uniones (imparcialidad de conexiones) . . . . . Contexto . . . . . . . . . . . . . . . . . . . . . . . . . . . Asignacin global de threads de trabajo para uniones . . . . . . . . . . . . Asignacin por unin de threads de trabajo para conexiones . . . . . . . . . . Notas para la resolucin de problemas . . . . . . . . . . . . . . . . . Soporte para varios entornos locales con UTF-8 . . . . . . . . . . . . . . . . Conceptos de soporte de varios entornos locales . . . . . . . . . . . . . . . Manejo de datos de WebSEAL utilizando UTF-8 . . . . . . . . . . . . . . Dependencia de UTF-8 en la configuracin de registro de usuarios . . . . . . . . Problemas de conversin de datos UTF-8 . . . . . . . . . . . . . . . . Variables de entorno UTF-8 para programas CGI . . . . . . . . . . . . . . Impacto de UTF-8 en la autenticacin . . . . . . . . . . . . . . . . . Los URL slo deben utilizar un tipo de codificacin . . . . . . . . . . . . . Soporte para UTF-8 durante la actualizacin de WebSEAL . . . . . . . . . . . Configuracin del soporte para varios entornos locales . . . . . . . . . . . . . Soporte UTF-8 para localizadores uniformes de recursos . . . . . . . . . . . Soporte UTF-8 para formularios . . . . . . . . . . . . . . . . . . . Soporte UTF-8 en cadenas de consulta . . . . . . . . . . . . . . . . . Codificacin UTF-8 de seales para el inicio de sesin nico entre dominios . . . . . Codificacin UTF-8 de seales para el inicio de sesin nico de e-community . . . . Codificacin UTF-8 de cookies para la autenticacin de la migracin tras error . . . . Codificacin UTF-8 en solicitudes de unin . . . . . . . . . . . . . . . . Mensajes de varios entornos locales . . . . . . . . . . . . . . . . . . . . Manejo de la codificacin de caracteres no vlidos en cadenas de consultas URL . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SSL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . de WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

23 25 25 27 29 29 29 29 29 29 30 31 31 31 32 33 34 34 35 35 35 35 36 37 37 38 38 39 39 40 41 42 42 43 44 44 44 45 45 45 46 47 48 48 48 49 49 50 51 51 52 53 53 54 55 56 56 57 57 59 61

iv

IBM Tivoli Access Manager for e-business: WebSEAL Gua de administracin

Prevencin de la vulnerabilidad causada por scripts entre sitios . Contexto . . . . . . . . . . . . . . . . . . Configuracin del filtrado de cadenas de direcciones URL . . Servidores WebSEAL frontales replicados . . . . . . . . Platform for Privacy Preferences (P3P) . . . . . . . . . Visin general de las polticas compactas . . . . . . . Declaracin de poltica compacta . . . . . . . . . . Conservacin de la cabecera de unin . . . . . . . . Poltica compacta predeterminada de la cabecera P3P . . . Configuracin de la cabecera P3P . . . . . . . . . . Especificacin de una poltica compacta P3P personalizada . Resolucin de problemas . . . . . . . . . . . . . Supresin de la identidad del servidor . . . . . . . . . Manejo de identificadores BASE HREF . . . . . . . . . Habilitacin del mtodo TRACE de HTTP . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

62 62 62 64 65 65 66 67 67 68 74 75 76 76 76

Captulo 3. Administracin del servidor WebSEAL . . . . . . . . . . . . . . . . . 79Tareas de servidor . . . . . . . . . . . . . . . . . . . . . . . Iniciar un servidor WebSEAL . . . . . . . . . . . . . . . . . . Detener un servidor WebSEAL . . . . . . . . . . . . . . . . . . Reiniciar un servidor WebSEAL . . . . . . . . . . . . . . . . . Mostrar el estado del servidor WebSEAL . . . . . . . . . . . . . . Gestin del espacio web . . . . . . . . . . . . . . . . . . . . . WebSEAL representado en el espacio de objetos protegidos . . . . . . . . Directorio raz del rbol de documentos web . . . . . . . . . . . . . Configuracin del ndice de directorios . . . . . . . . . . . . . . . Windows: convenios de denominacin para programas CGI . . . . . . . . Archivos UNIX ejecutables en el sistema host del servidor WebSEAL . . . . . Configuracin del almacenamiento en la cach de documentos web . . . . . Condiciones que afectan al almacenamiento en la cach de documentos web . Vaciado de todas las cachs . . . . . . . . . . . . . . . . . . Control del almacenamiento en la cach para documentos especficos . . . . Especificacin de tipos MIME de documentos para el filtrado de direcciones URL . Compresin de datos HTTP . . . . . . . . . . . . . . . . . . . . Compresin basada en el tipo MIME . . . . . . . . . . . . . . . . Compresin basada en el tipo de agente de usuario . . . . . . . . . . . Poltica de compresin en POP . . . . . . . . . . . . . . . . . . Limitacin de la compresin de datos . . . . . . . . . . . . . . . Configuracin de la compresin de datos . . . . . . . . . . . . . . Pginas de mensajes de error HTTP . . . . . . . . . . . . . . . . . Pginas de mensaje de error predeterminadas . . . . . . . . . . . . . Modificacin de pginas de error HTTP existentes . . . . . . . . . . . Creacin de pginas de error HTTP nuevas . . . . . . . . . . . . . . Habilitacin de la pgina de error de hora del da . . . . . . . . . . . Especificacin de la ubicacin de las pginas de error . . . . . . . . . . Compatibilidad con versiones anteriores . . . . . . . . . . . . . . . Gestin de pginas personalizadas de gestin de cuentas . . . . . . . . . . Parmetros y valores de pginas personalizadas . . . . . . . . . . . . Descripciones de pginas HTML personalizadas . . . . . . . . . . . . Soporte para macros de las pginas de gestin de cuentas . . . . . . . . . Modificacin de pginas de versiones anteriores de Tivoli Access Manager . . . Copia de seguridad y restauracin . . . . . . . . . . . . . . . . . Copia de seguridad de datos de WebSEAL . . . . . . . . . . . . . Restauracin de datos de WebSEAL . . . . . . . . . . . . . . . . Extraccin de datos de WebSEAL archivados . . . . . . . . . . . . . Herramientas para la determinacin de problemas para WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 . 80 . 80 . 81 . 81 . 82 . 82 . 82 . 83 . 84 . 85 . 85 . 86 . 86 . 87 . 87 . 89 . 89 . 90 . 91 . 91 . 91 . 93 . 93 . 95 . 95 . 96 . 96 . 96 . 98 . 98 . 99 . 99 . 101 . 103 . 103 . 104 . 104 . 105

Captulo 4. Servicios y registro . . . . . . . . . . . . . . . . . . . . . . . . . 107Registro de mensajes de servicios de WebSEAL . Mensajes de servicio en formato UTF-8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 . 109

Contenido

v

Captura y registro de eventos . . . . . . . . . . . . . . . Tareas de configuracin del registro de eventos . . . . . . . . Configuracin de ejemplo . . . . . . . . . . . . . . . Configuracin del registro HTTP mediante el registro de eventos . . Salida del registro de eventos HTTP . . . . . . . . . . . . Salida del registro de eventos de autenticacin . . . . . . . . Datos de auditora en formato UTF-8 . . . . . . . . . . . Auditora heredada . . . . . . . . . . . . . . . . . . Auditora heredada para autenticacin . . . . . . . . . . . Auditora heredada para HTTP . . . . . . . . . . . . . Habilitacin e inhabilitacin del registro HTTP . . . . . . . Especificacin del tipo de marca de fecha y hora . . . . . . Especificacin de los umbrales de creacin de archivo de registro . Especificacin de la frecuencia de vaciado de los bferes de archivo Formato de registro comn HTTP (para request.log) . . . . . Visualizacin del archivo request.log . . . . . . . . . . Visualizacin del archivo agent.log . . . . . . . . . . . Visualizacin del archivo referer.log . . . . . . . . . . . Datos de registro en formato UTF-8 . . . . . . . . . . .

. . . . . . . . . . . . . de . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . registro . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

111 111 112 113 114 115 117 119 119 119 120 120 120 121 121 121 122 122 122

Captulo 5. Poltica de seguridad de WebSEAL . . . . . . . . . . . . . . . . . . 123Polticas de ACL especficas de WebSEAL . . . . . . . . . . . . . . . . . /WebSEAL/nombre_instancia-host . . . . . . . . . . . . . . . . . . /WebSEAL/nombre_instancia-host/archivo . . . . . . . . . . . . . . . Permisos ACL de WebSEAL . . . . . . . . . . . . . . . . . . . . Poltica de ACL predeterminada de /WebSEAL . . . . . . . . . . . . . . Caracteres vlidos para nombres de ACL . . . . . . . . . . . . . . . . Configuracin de la poltica de inicio de sesin en tres intentos . . . . . . . . . Poltica de bloqueo de cuentas con servidores WebSEAL de equilibrio de carga . . . Sintaxis de los comandos de inicio de sesin de tres intentos . . . . . . . . . Configuracin de la poltica de intensidad de contraseas . . . . . . . . . . . Poltica de intensidad de contraseas establecida por la utilidad pdadmin . . . . . Sintaxis para los comandos de poltica de intensidad de contraseas . . . . . . . Valores predeterminados de los parmetros de poltica . . . . . . . . . . Ejemplos de contraseas vlidas y no vlidas. . . . . . . . . . . . . . . Valores globales y especficos para un usuario . . . . . . . . . . . . . . Poltica de intensidad de autenticacin . . . . . . . . . . . . . . . . . . Visin general de la intensidad de la autenticacin . . . . . . . . . . . . . Configuracin de la intensidad de autenticacin . . . . . . . . . . . . . . Establezca la poltica de intensidad de autenticacin . . . . . . . . . . . Especifique niveles de autenticacin . . . . . . . . . . . . . . . . . Especifique el formulario de inicio de sesin de intensidad de autenticacin . . . Cree una poltica de objetos protegidos . . . . . . . . . . . . . . . . Especifique las restricciones de acceso basadas en la red . . . . . . . . . . Asocie una poltica de objetos protegido a un recurso protegido . . . . . . . Aplique la coincidencia de la identidad del usuario entre los niveles de autenticacin Poltica POP de calidad de proteccin . . . . . . . . . . . . . . . . . . Gestin de usuarios no autenticados (HTTP / HTTPS) . . . . . . . . . . . . Proceso de una solicitud de un cliente annimo . . . . . . . . . . . . . . Obligacin del inicio de sesin de usuario . . . . . . . . . . . . . . . . Aplicaciones HTTPS sin autenticar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 124 124 124 125 125 126 126 127 129 129 129 130 131 131 132 132 134 134 134 135 136 137 139 140 141 141 141 141 142

Captulo 6. Autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . . 143Visin general del proceso de autenticacin . . . . . . Tipos de datos de sesin soportados . . . . . . . . Mtodos de autenticacin soportados . . . . . . . Gestin del estado de la sesin . . . . . . . . . . Visin general del estado de la sesin . . . . . . . Visin general de la cach de sesin de GSKit y WebSEAL Configuracin de la cach de ID de sesin SSL de GSKit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 144 144 146 146 146 147

vi


Definicin del valor de tiempo de espera de entrada de cach . . . . . . Definicin del valor mximo de entradas simultneas . . . . . . . . . Configuracin de la cach de sesin/credenciales de WebSEAL . . . . . . Definicin del valor mximo de entradas simultneas . . . . . . . . . Definicin del valor de tiempo de espera de duracin de la entrada de cach . Definicin del valor del tiempo de espera de inactividad de entrada de cach . Limitacin de la cach de credenciales . . . . . . . . . . . . . . Mantenimiento del estado con cookies de sesin . . . . . . . . . . . Condiciones de la cookie de sesin . . . . . . . . . . . . . . . Cookies de sesin con cabeceras de autenticacin bsica . . . . . . . . Habilitacin e inhabilitacin de las cookies de ID de sesin . . . . . . . Habilitacin e inhabilitacin de las mismas sesiones . . . . . . . . . Limitacin de la misma sesin con Netscape 4.7x . . . . . . . . . . Determinacin de los tipos de datos vlidos de ID de sesin . . . . . . . Visin general de la configuracin de autenticacin. . . . . . . . . . . . Parmetros del mdulo de autenticacin . . . . . . . . . . . . . . Biblioteca de conversin de autenticacin . . . . . . . . . . . . . . Configuracin predeterminada para la autenticacin de WebSEAL. . . . . . Configuracin de mltiples mtodos de autenticacin . . . . . . . . . . Solicitud de inicio de sesin . . . . . . . . . . . . . . . . . . Configuracin de la notificacin de caducidad de cuenta . . . . . . . . . Comandos de fin de sesin y de cambio de contrasea . . . . . . . . . pkmslogout . . . . . . . . . . . . . . . . . . . . . . . pkmspasswd . . . . . . . . . . . . . . . . . . . . . . Proceso posterior al cambio de contrasea . . . . . . . . . . . . . Autenticacin bsica . . . . . . . . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin bsica . . . . . . . . . Definicin del nombre de dominio . . . . . . . . . . . . . . . . Configuracin del mecanismo de autenticacin bsica . . . . . . . . . . Condiciones de configuracin . . . . . . . . . . . . . . . . . . Inicios de sesin UTF-8 de mltiples bytes no soportados . . . . . . . . Autenticacin de formularios . . . . . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de formularios. . . . . . . Configuracin del mecanismo de autenticacin de formularios . . . . . . . Condiciones de configuracin . . . . . . . . . . . . . . . . . . Personalizacin de los formularios HTML de respuesta . . . . . . . . . Autenticacin de certificado de cliente . . . . . . . . . . . . . . . . Visin general de la autenticacin de certificado de cliente . . . . . . . . Modalidad de autenticacin de certificado necesario . . . . . . . . . Modalidad de autenticacin de certificado opcional . . . . . . . . . Modalidad de autenticacin de certificado con demora . . . . . . . . Configuracin de la autenticacin de certificado . . . . . . . . . . . . Habilite la autenticacin de certificado . . . . . . . . . . . . . . Especifique el mecanismo de autenticacin de certificado . . . . . . . . Especifique el formulario de inicio de sesin de certificado . . . . . . . Especifique la pgina de error de inicio de sesin de certificado . . . . . Inhabilite los ID de sesin de SSL para realizar el seguimiento de sesiones . . Habilite y configure la cach de ID de SSL de certificado . . . . . . . . Defina el tiempo de espera para la cach de ID de SSL de certificado . . . . Especifique una pgina de error para un protocolo incorrecto . . . . . . Inhabilite la autenticacin de certificado . . . . . . . . . . . . . Inhabilite la cach de ID de SSL de certificado . . . . . . . . . . . Autenticacin de cabeceras HTTP . . . . . . . . . . . . . . . . . Habilitar la autenticacin de cabeceras HTTP . . . . . . . . . . . . . Especificar tipos de cabecera . . . . . . . . . . . . . . . . . . Especificar el mecanismo de autenticacin de cabeceras HTTP . . . . . . . Inhabilitar la autenticacin de cabeceras HTTP . . . . . . . . . . . . Autenticacin de direcciones IP . . . . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de direcciones IP . . . . . . Configuracin del mecanismo de autenticacin de direcciones IP . . . . . . Autenticacin de seal . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

147 147 147 148 148 148 149 149 150 150 151 152 152 153 155 155 156 156 157 157 158 158 158 159 159 160 160 160 160 161 161 162 162 162 163 163 164 164 164 164 164 167 167 168 169 169 169 170 170 171 171 171 172 172 173 173 174 175 175 175 176

Contenido

vii

Conceptos de la autenticacin de seal . . . . . . . . . . . . . . . . . . . . Biblioteca de autenticacin de seal . . . . . . . . . . . . . . . . . . . . Autenticacin de seal SecurID . . . . . . . . . . . . . . . . . . . . . Flujo de trabajo de autenticacin para seales de la modalidad de PIN nuevo . . . . . . Uso de la autenticacin de seal con un servidor de intensidad de contraseas . . . . . El cliente SecurID RSA no da soporte a Linux para zSeries . . . . . . . . . . . . Configuracin de la autenticacin de seal . . . . . . . . . . . . . . . . . . Habilite la autenticacin de seal . . . . . . . . . . . . . . . . . . . . . Especifique el mecanismo de autenticacin de seal . . . . . . . . . . . . . . Habilite el acceso a la biblioteca de cliente SecurID . . . . . . . . . . . . . . . Especifique una biblioteca de intensidad de contraseas personalizada . . . . . . . . Habilite la compatibilidad con versiones anteriores para la biblioteca de autenticacin de seal personalizada . . . . . . . . . . . . . . . . . . . . . . . . . . . Inhabilite la autenticacin de seal . . . . . . . . . . . . . . . . . . . . Autenticacin de migracin tras error . . . . . . . . . . . . . . . . . . . . . Conceptos de autenticacin de migracin tras error. . . . . . . . . . . . . . . . Escenario de autenticacin de migracin tras error . . . . . . . . . . . . . . . Biblioteca de autenticacin de migracin tras error . . . . . . . . . . . . . . . Adicin de datos a una cookie de migracin tras error . . . . . . . . . . . . . Extraccin de datos de una cookie de migracin tras error . . . . . . . . . . . . Autenticacin de migracin tras error del dominio . . . . . . . . . . . . . . . Compatibilidad con versiones anteriores . . . . . . . . . . . . . . . . . . Actualizacin de la autenticacin de migracin tras error . . . . . . . . . . . . . Configuracin de la autenticacin de migracin tras error . . . . . . . . . . . . . Especifique el protocolo para la cookie de migracin tras error . . . . . . . . . . . Especifique la biblioteca de autenticacin de migracin tras error . . . . . . . . . . Cree una clave de cifrado para los datos de la cookie . . . . . . . . . . . . . . Especifique la duracin de la cookie . . . . . . . . . . . . . . . . . . . . Especifique la codificacin UTF-8 en las cadenas de cookies . . . . . . . . . . . . Agregue el nivel de autenticacin . . . . . . . . . . . . . . . . . . . . Agregue la marca de fecha y hora de la duracin de la sesin . . . . . . . . . . . Agregue la marca de fecha y hora de actividad de la sesin . . . . . . . . . . . . Agregue un intervalo para actualizar la marca de fecha y hora de actividad . . . . . . Agregue atributos ampliados . . . . . . . . . . . . . . . . . . . . . . Especifique el atributo de nivel de autenticacin despus de la autenticacin de migracin tras Especifique los atributos para la extraccin . . . . . . . . . . . . . . . . . Habilite las cookies de migracin tras error del dominio . . . . . . . . . . . . . Solicite validacin de una marca de fecha y hora de duracin . . . . . . . . . . . Solicite validacin de una marca de fecha y hora de actividad . . . . . . . . . . . Habilite la compatibilidad con versiones anteriores a la versin 4.1 para el cifrado . . . . Habilite la compatibilidad con versiones anteriores a la versin 4.1 para cookies . . . . . Protocolo SPNEGO y autenticacin Kerberos . . . . . . . . . . . . . . . . . . . Agentes proxy multiplexor . . . . . . . . . . . . . . . . . . . . . . . . . Tipos de datos de sesin y mtodos de autenticacin vlidos . . . . . . . . . . . . Flujo de proceso de autenticacin para MPA y clientes mltiples . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de MPA . . . . . . . . . . . . . . Creacin de una cuenta de usuario para el MPA. . . . . . . . . . . . . . . . . Adicin de la cuenta de MPA al grupo webseal-mpa-servers . . . . . . . . . . . . Limitaciones de la autenticacin de MPA . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

176 176 176 178 179 179 179 179 180 180 181 181 182 183 183 183 184 186 188 189 190 190 191 193 193 194 194 195 195 195 196 196 197 197 198 199 199 200 200 201 202 203 203 205 205 205 205 206

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . error . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Captulo 7. Autenticacin avanzada de WebSEAL . . . . . . . . . . . . . . . . . 207Autenticacin de cambio de usuario . . . . . . . . . . . . . . Visin general de la funcin de cambio de usuario . . . . . . . . Procedimiento de configuracin . . . . . . . . . . . . . . Parte 1: Configuracin del acceso de los usuarios . . . . . . . Parte 2: Configuracin de los mecanismos de autenticacin de cambio Parte 3: Configuracin del formulario HTML de cambio de usuario . Parte 4: Diseo de formularios de entrada adicionales . . . . . . Parte 5: Detencin y reinicio de WebSEAL . . . . . . . . . . Utilizacin del cambio de usuario . . . . . . . . . . . . . Caractersticas adicionales del cambio de usuario . . . . . . . . . . . . de . . . . . . . . . . . . . . . . . usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 208 210 210 211 214 216 216 216 217

viii


Tiempo de espera de la cach de sesin . . . . . . . . . . . . . . . . . . . Autenticacin incremental . . . . . . . . . . . . . . . . . . . . . . . . Reautenticacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de la sesin de usuario . . . . . . . . . . . . . . . . . . . . . . Indicador-valor . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auditora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Desarrollo de un mdulo de autenticacin personalizado para el cambio de usuario. . . . . . Almacenamiento en la cach de solicitudes del servidor . . . . . . . . . . . . . . . . Visin general del almacenamiento en la cach de solicitudes del servidor . . . . . . . . . Configuracin de parmetros del almacenamiento en la cach del servidor . . . . . . . . . Modificacin del parmetro max-client-read . . . . . . . . . . . . . . . . . . Modificacin del parmetro request-body-max-read . . . . . . . . . . . . . . . Modificacin del parmetro request-max-cache . . . . . . . . . . . . . . . . . Configuracin de la reautenticacin basada en la poltica de seguridad . . . . . . . . . . . Condiciones que afectan a la reautenticacin de POP . . . . . . . . . . . . . . . . Creacin y aplicacin de la POP de reautenticacin . . . . . . . . . . . . . . . . . Configuracin del restablecimiento y ampliacin de la duracin de la entrada de la cach de sesin Restablecimiento del valor de duracin de la entrada de la cach de sesin. . . . . . . . Ampliacin del valor de duracin de la entrada de la cach de sesin . . . . . . . . . Personalizacin de formularios de inicio de sesin para la reautenticacin . . . . . . . . . Configuracin de la reautenticacin basada en la poltica de inactividad de sesin . . . . . . . Condiciones que afectan a la reautenticacin de la inactividad . . . . . . . . . . . . . Habilitacin de la reautenticacin por inactividad . . . . . . . . . . . . . . . . . Restablecimiento y ampliacin del valor de duracin de la entrada de la cach de sesin . . . . Restablecimiento del valor de duracin de la entrada de la cach de sesin. . . . . . . . Ampliacin del valor de duracin de la entrada de la cach de sesin . . . . . . . . . Cmo evitar el cierre de la sesin cuando caduca la duracin de la sesin . . . . . . . . Personalizacin de formularios de inicio de sesin para la reautenticacin . . . . . . . . . Redireccin automtica durante el inicio de sesin del usuario . . . . . . . . . . . . . . Visin general de la redireccin automtica . . . . . . . . . . . . . . . . . . . Habilitacin de la redireccin automtica . . . . . . . . . . . . . . . . . . . . Inhabilitacin de la redireccin automtica . . . . . . . . . . . . . . . . . . . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuracin del proceso posterior al cambio de contrasea . . . . . . . . . . . . . . Condiciones del proceso posterior al cambio de contrasea . . . . . . . . . . . . . . Atributos ampliados para credenciales . . . . . . . . . . . . . . . . . . . . . . Mecanismos para agregar atributos de registro a una credencial . . . . . . . . . . . . Configuracin del servicio de titularidad de atributos de registro . . . . . . . . . . . . Paso 1: Determine los atributos que deben agregarse a la credencial . . . . . . . . . . Paso 2: Defina el uso del servicio de titularidad . . . . . . . . . . . . . . . . . Paso 3: Especifique los atributos que deben agregarse a la credencial . . . . . . . . . . Gestin de uniones de atributos de credencial ampliados . . . . . . . . . . . . . . . Renovacin de credenciales . . . . . . . . . . . . . . . . . . . . . . . . . . Conceptos sobre la renovacin de credenciales . . . . . . . . . . . . . . . . . . Visin general de la renovacin de credenciales . . . . . . . . . . . . . . . . . Reglas de renovacin de credenciales . . . . . . . . . . . . . . . . . . . . Renovacin de la informacin de la credencial almacenada en la cach . . . . . . . . . Sintaxis y uso del archivo de configuracin . . . . . . . . . . . . . . . . . . Valores predeterminados para conservar y renovar . . . . . . . . . . . . . . . . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuracin de la renovacin de credenciales . . . . . . . . . . . . . . . . . . Paso 1: Especifique los atributos que deben conservarse o renovarse . . . . . . . . . . Paso 2: Habilite los ID de sesin de usuario . . . . . . . . . . . . . . . . . . Paso 3: Habilite la ubicacin del nombre del servidor en una cabecera de unin . . . . . . Uso de la renovacin de credenciales . . . . . . . . . . . . . . . . . . . . . Renovacin de credenciales para un usuario determinado . . . . . . . . . . . . . Resolucin de problemas . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

217 217 218 218 218 218 218 221 221 223 223 223 224 226 226 227 227 227 228 229 230 230 231 231 231 232 233 234 235 235 235 236 236 237 237 238 238 239 239 239 240 241 244 244 244 245 246 247 247 248 249 249 249 249 250 250 251

Captulo 8. Gestin de claves de WebSEAL . . . . . . . . . . . . . . . . . . . 253Visin general de la gestin de claves de WebSEAL Gestin de certificados de cliente y servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 . 254

Contenido

ix

Tipos de archivo de base de datos de claves de GSKit . . . . . . . . . Configuracin de los parmetros de la base de datos de claves de WebSEAL . Utilizacin de la utilidad de gestin de certificados iKeyman . . . . . . Configuracin de la comprobacin de CRL . . . . . . . . . . . . Configuracin de la cach de CRL . . . . . . . . . . . . . . . Definicin del nmero mximo de entradas de cach . . . . . . . . Definicin del valor de tiempo de espera de duracin de la cach de GSKit

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

254 255 257 257 258 258 258

Captulo 9. Soluciones de inicio de sesin nico de cliente . . . . . . . . . . . . 259Inicio de sesin nico del escritorio de Windows . . . . . . . . . . . . . . . . . . . . Conceptos de inicio de sesin nico del escritorio de Windows . . . . . . . . . . . . . . . Protocolo SPNEGO y autenticacin Kerberos . . . . . . . . . . . . . . . . . . . . Registro de usuarios y soporte para plataformas . . . . . . . . . . . . . . . . . . . Compatibilidad con otros mtodos de autenticacin . . . . . . . . . . . . . . . . . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuracin del inicio de sesin nico del escritorio de Windows . . . . . . . . . . . . . Paso 1: Configure el servidor WebSEAL en el dominio de Active Directory . . . . . . . . . . Paso 2: Correlacione el principal de Kerberos con el usuario de Active Directory . . . . . . . . Paso 3: Instale el cliente de ejecucin Kerberos (slo UNIX) . . . . . . . . . . . . . . . Paso 4: Configure el cliente Kerberos (slo UNIX) . . . . . . . . . . . . . . . . . . Paso 5: Verifique la autenticacin del principal del servidor web (slo UNIX) . . . . . . . . . Paso 6: Verifique la autenticacin de WebSEAL utilizando el archivo keytab (slo UNIX) . . . . . Paso 7: Habilite SPNEGO para WebSEAL . . . . . . . . . . . . . . . . . . . . . Paso 8: Agregue entradas de nombre de servicio y de archivo keytab (slo UNIX) . . . . . . . Paso 9: Reinicie WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . Paso 10: Configure el cliente Internet Explorer . . . . . . . . . . . . . . . . . . . Sugerencias para la resolucin de problemas . . . . . . . . . . . . . . . . . . . . Inicio de sesin nico entre dominios (CDSSO) . . . . . . . . . . . . . . . . . . . . . Personalizacin de la autenticacin de inicio de sesin nico . . . . . . . . . . . . . . . Flujo de proceso de autenticacin para CDSSO con CDMF . . . . . . . . . . . . . . . . Configuracin de la autenticacin de CDSSO . . . . . . . . . . . . . . . . . . . . . . Condiciones y requisitos de CDSSO . . . . . . . . . . . . . . . . . . . . . . . . Resolucin de nombres de mquina . . . . . . . . . . . . . . . . . . . . . . . Resumen de la configuracin de CDSSO . . . . . . . . . . . . . . . . . . . . . . Configuracin de la funcionalidad de creacin de seal CDSSO predeterminada . . . . . . . . Configuracin de la funcionalidad de consumo de seal CDSSO predeterminada . . . . . . . . 1. Habilitacin e inhabilitacin de la autenticacin CDSSO . . . . . . . . . . . . . . . . 2. Configuracin del mecanismo de autenticacin de inicio de sesin nico . . . . . . . . . . . 3. Cifrado de los datos de la seal de autenticacin . . . . . . . . . . . . . . . . . . . 4. Configuracin de la marca de fecha y hora de la seal . . . . . . . . . . . . . . . . . 5. Configuracin del nombre de la etiqueta de la seal . . . . . . . . . . . . . . . . . Creacin del vnculo HTML de CDSSO . . . . . . . . . . . . . . . . . . . . . . . Proteccin de la seal de autenticacin . . . . . . . . . . . . . . . . . . . . . . . Codificacin UTF-8 de seales para el inicio de sesin nico entre dominios . . . . . . . . . . Habilitacin de la compatibilidad con seales anteriores a la versin 4.1 . . . . . . . . . . . . Habilitacin de la compatibilidad con versiones anteriores para seales de la versin 4.1 . . . . . . Especificacin de los atributos ampliados que deben agregarse a la seal . . . . . . . . . . . Especificacin de los atributos ampliados que deben extraerse de la seal . . . . . . . . . . . Inicio de sesin nico de e-community . . . . . . . . . . . . . . . . . . . . . . . . Caractersticas y requisitos de e-community . . . . . . . . . . . . . . . . . . . . . Flujo de proceso de e-community. . . . . . . . . . . . . . . . . . . . . . . . . Informacin de la cookie de e-community . . . . . . . . . . . . . . . . . . . . . . Comprensin de la solicitud y respuesta de garantizacin . . . . . . . . . . . . . . . . La solicitud de garantizacin . . . . . . . . . . . . . . . . . . . . . . . . . La respuesta de garantizacin . . . . . . . . . . . . . . . . . . . . . . . . . Informacin sobre la seal de garantizacin . . . . . . . . . . . . . . . . . . . . Configuracin del inicio de sesin nico de e-community . . . . . . . . . . . . . . . . . Condiciones y requisitos de e-community . . . . . . . . . . . . . . . . . . . . . . Resolucin de nombres de mquina . . . . . . . . . . . . . . . . . . . . . . . Resumen de la configuracin de e-community . . . . . . . . . . . . . . . . . . . . Configuracin de la funcionalidad de creacin de seal predeterminada en el servidor de garantizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 260 260 261 262 262 263 264 264 267 267 268 269 269 269 270 270 270 272 272 272 274 274 274 275 275 276 276 276 277 278 278 279 279 279 280 280 281 282 283 284 285 289 289 289 290 290 290 290 291 292 292

x


Configuracin de la funcionalidad de consumo de seal predeterminada en el servidor receptor Habilitacin e inhabilitacin de la autenticacin de e-community . . . . . . . . . . . Especificacin de un nombre de e-community. . . . . . . . . . . . . . . . . . Configuracin de un mecanismo de autenticacin de inicio de sesin nico . . . . . . . . Cifrado de la seal de garantizacin . . . . . . . . . . . . . . . . . . . . . Claves de dominio de e-community . . . . . . . . . . . . . . . . . . . . . 5. Configuracin de un nombre de etiqueta de la seal de garantizacin. . . . . . . . . . 6. Especificacin del servidor de autenticacin maestro (MAS) . . . . . . . . . . . . . 7. Especificacin de la direccin URL de garantizacin . . . . . . . . . . . . . . . 8. Configuracin de los valores de duracin de seal y ec-cookie . . . . . . . . . . . . Habilitacin del acceso no autenticado . . . . . . . . . . . . . . . . . . . . . Codificacin UTF-8 de seales para el inicio de sesin nico de e-community . . . . . . . . Habilitacin de la compatibilidad con seales anteriores a la versin 4.1 . . . . . . . . . . Habilitacin de la compatibilidad con versiones anteriores para seales de la versin 4.1 . . . . Especificacin de los atributos ampliados que deben agregarse a la seal . . . . . . . . . Especificacin de los atributos ampliados que deben extraerse de la seal . . . . . . . . . 1. 2. 3. 4.

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

293 293 294 294 295 295 296 296 297 298 298 299 299 299 300 301

Captulo 10. Uniones WebSEAL

. . . . . . . . . . . . . . . . . . . . . . . . 303. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 304 304 304 304 305 306 306 306 306 308 309 309 309 310 310 310 310 312 312 312 313 313 314 314 314 314 314 316 317 318 319 319 320 321 322 322 323 324 325 326 327 327

Visin general de las uniones WebSEAL . . . . . . . . . . . . . . Ubicacin y formato de la base de datos de uniones . . . . . . . . . Aplicacin del control de accesos flexible: resumen . . . . . . . . . . Aplicacin del control de accesos estricto: resumen . . . . . . . . . . Directrices para la creacin de uniones WebSEAL . . . . . . . . . . Informacin de consulta adicional para uniones WebSEAL . . . . . . . Gestin de uniones con Web Portal Manager . . . . . . . . . . . . . Creacin de una unin con Web Portal Manager . . . . . . . . . . Lista de uniones utilizando Web Portal Manager . . . . . . . . . . Eliminacin de uniones utilizando Web Portal Manager . . . . . . . . Utilizacin de pdadmin para crear uniones . . . . . . . . . . . . . Configuracin de una unin WebSEAL bsica . . . . . . . . . . . . Creacin de uniones de tipo TCP . . . . . . . . . . . . . . . . Creacin de uniones de tipo SSL . . . . . . . . . . . . . . . . Verificacin del certificado de servidor de fondo. . . . . . . . . . Ejemplos de uniones de SSL . . . . . . . . . . . . . . . . Inhabilitacin de las versiones de protocolo SSL para las uniones . . . . Adicin de servidores de fondo a una unin . . . . . . . . . . . . Uniones SSL autenticadas mutuamente . . . . . . . . . . . . . . . WebSEAL valida el certificado de servidor de fondo . . . . . . . . . Coincidencia de Nombre distinguido (DN) . . . . . . . . . . . . WebSEAL se autentica con un certificado de cliente . . . . . . . . . WebSEAL se autentica con una cabecera de BA . . . . . . . . . . . Gestin de informacin de identidad de cliente entre uniones . . . . . . Utilizacin de b supply. . . . . . . . . . . . . . . . . . Utilizacin de b ignore . . . . . . . . . . . . . . . . . . Utilizacin de b gso . . . . . . . . . . . . . . . . . . . Utilizacin de b filter . . . . . . . . . . . . . . . . . . Creacin de uniones de proxy TCP y SSL . . . . . . . . . . . . . . Uniones WebSEAL a WebSEAL a travs de SSL . . . . . . . . . . . . Modificacin de las direcciones URL de recursos de fondo . . . . . . . . Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL Filtrado de las direcciones URL en las respuestas . . . . . . . . . . Reglas de filtrado estndar de direcciones URL para WebSEAL . . . . . Modificacin de las direcciones URL absolutas con filtrado de scripts . . El filtrado cambia la cabecera Content-Length . . . . . . . . . . Limitacin con vnculos relativos al servidor no filtrados . . . . . . . Proceso de direcciones URL en las solicitudes . . . . . . . . . . . Gestin de direcciones URL relativas al servidor con cookies de unin (-j) . Gestin de direcciones URL relativas al servidor con correlacin de uniones Proceso de solicitudes de unin raz . . . . . . . . . . . . . . Gestin de cookies de servidores a travs de mltiples uniones -j . . . . . Parte 1: Las uniones -j modifican los atributos de ruta de acceso Set-Cookie

Contenido

xi

Parte 2: Las uniones -j modifican los atributos de nombre de Set-Cookie. Cmo conservar nombres de cookie . . . . . . . . . . . . . Opciones adicionales de unin . . . . . . . . . . . . . . . . Cmo forzar una nueva unin (f) . . . . . . . . . . . . . . Especificacin de la identidad del cliente en cabeceras HTTP (c) . . . . Sintaxis de c . . . . . . . . . . . . . . . . . . . . Especificacin de las direcciones IP de cliente en cabeceras HTTP (r) . . Limitacin del tamao de cabeceras HTTP generadas por WebSEAL . . . Transferencia de cookies de sesin a servidores de portal con unin (k) . Soporte para direcciones URL no sensibles a maysculas y minsculas (i) . Soporte para unin con informacin de estado (s, u) . . . . . . . Especificacin de UUID de servidor de fondo para uniones con informacin Ejemplo: . . . . . . . . . . . . . . . . . . . . . . Unin con sistemas de archivos de Windows (w) . . . . . . . . . Ejemplo: . . . . . . . . . . . . . . . . . . . . . . Las ACL y las POP deben asociarse a nombres de objeto en minsculas . Especificacin de la codificacin UTF-8 para datos de cabecera HTTP . . Notas tcnicas para utilizar uniones WebSEAL . . . . . . . . . . . Montaje de varios servidores en la misma unin . . . . . . . . . Excepciones a la aplicacin de permisos entre uniones. . . . . . . . Certificacin de autenticacin entre uniones . . . . . . . . . . . Gestin de cookies de dominio . . . . . . . . . . . . . . . WebSEAL devuelve HTTP/1.1 . . . . . . . . . . . . . . . . Aplicacin con unin con Web Portal Manager . . . . . . . . . . Utilizacin de query_contents con servidores de terceros . . . . . . . . Instalacin de los componentes de query_contents . . . . . . . . . Instalacin de query_contents en servidores UNIX de terceros . . . . . Instalacin de query_contents en servidores Win32 de terceros . . . . . Prueba de la configuracin . . . . . . . . . . . . . . . . Personalizacin de query_contents . . . . . . . . . . . . . . Personalizacin del directorio raz de documentos . . . . . . . . Funcionalidad adicional . . . . . . . . . . . . . . . . . Proteccin de query_contents . . . . . . . . . . . . . . . . Resolucin de problemas . . . . . . . . . . . . . . . . .

. . . . . . . . . . . de . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . estado (u) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

328 329 330 330 331 331 332 333 333 334 335 335 337 338 339 339 339 341 341 341 341 342 342 342 344 344 345 345 346 346 347 347 347 348

Captulo 11. Soluciones de inicio de sesin nico a travs de unionesConfiguracin de cabeceras de BA para las soluciones de inicio de sesin nico . . . Conceptos de inicio de sesin nico (SSO) . . . . . . . . . . . . . . . Especificacin de la identidad de cliente en cabeceras de BA . . . . . . . . Especificacin de la identidad del cliente y la contrasea genrica . . . . . . . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . Reenvo de la informacin de cabecera de BA del cliente original . . . . . . . Eliminacin de la informacin de cabecera de BA de cliente . . . . . . . . . Especificacin de los nombres de usuario y las contraseas de GSO . . . . . . Utilizacin de Global Sign-on (GSO) . . . . . . . . . . . . . . . . . . Correlacin de la informacin de autenticacin . . . . . . . . . . . . . Configuracin de una unin WebSEAL habilitada para GSO . . . . . . . . . Ejemplos de uniones WebSEAL habilitadas para GSO . . . . . . . . . . Configuracin de la cach de GSO . . . . . . . . . . . . . . . . . Configuracin del inicio de sesin nico en IBM WebSphere (LTPA) . . . . . . . Configuracin de una unin LTPA . . . . . . . . . . . . . . . . . Configuracin de la cach de LTPA . . . . . . . . . . . . . . . . . Notas tcnicas para el inicio de sesin nico de LTPA . . . . . . . . . . . Configuracin de la autenticacin de formularios de inicio de sesin nico . . . . . Contexto y objetivos . . . . . . . . . . . . . . . . . . . . . . Flujo de proceso de inicio de sesin nico de formularios . . . . . . . . . Requisitos para el soporte de aplicaciones . . . . . . . . . . . . . . . Creacin del archivo de configuracin para el inicio de sesin nico con formularios La stanza [forms-sso-login-pages]. . . . . . . . . . . . . . . . . La stanza de pgina de inicio de sesin personalizada . . . . . . . . . . Utilizacin de expresiones regulares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . 349. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 350 350 351 351 352 352 353 354 355 356 356 356 358 358 359 359 361 361 361 363 363 364 364 366

xii


La stanza de argumento . . . . . . . . . . . Habilitacin del inicio de sesin nico con formularios . Ejemplo de archivo de configuracin para IBM HelpNow

. . .

. . .

. . .

. . .

. . .

. . .

. . .

. . .

. . .

. . .

. . .

. . .

. . .

. . .

. . .

. . .

. . .

. 366 . 367 . 368

Captulo 12. Integracin de aplicaciones . . . . . . . . . . . . . . . . . . . . . 371Soporte para la programacin de CGI . . . . . . . . . . . . . . . . . Variables de entorno UTF-8 para programas CGI . . . . . . . . . . . . Windows: Soporte para variables de entorno de WIN32 . . . . . . . . . . Soporte para aplicaciones del servidor de fondo . . . . . . . . . . . . . . Mejores prcticas de unin para la integracin de aplicaciones . . . . . . . . . Informacin completa de cabecera HOST con -v . . . . . . . . . . . . . Soporte para el filtrado de las direcciones URL absolutas estndar. . . . . . . Creacin de un servicio de personalizacin personalizado . . . . . . . . . . Configuracin de WebSEAL para un servicio de personalizacin . . . . . . . Ejemplo de servicio de personalizacin . . . . . . . . . . . . . . . . Mantenimiento del estado de la sesin entre las aplicaciones clientes y de fondo . . . Informacin sobre la gestin de la sesin de usuario . . . . . . . . . . . Habilitacin de la gestin de ID de sesin de usuario . . . . . . . . . . . Insercin de datos de credenciales en la cabecera HTTP . . . . . . . . . . Terminacin de sesiones de usuario . . . . . . . . . . . . . . . . . Utilizacin de la API de administracin para terminar sesiones de usuario nicas Utilizacin de pdadmin para terminar todas las sesiones de usuario . . . . . Especificacin del control de acceso a las direcciones URL dinmicas . . . . . . . Componentes de direccin URL dinmica . . . . . . . . . . . . . . . Correlacin de objetos ACL y POP con direcciones URL dinmicas . . . . . . Actualizacin de WebSEAL para direcciones URL dinmicas . . . . . . . . Resolucin de direcciones URL dinmicas en el espacio de objetos . . . . . . Evaluacin de ACL y POP . . . . . . . . . . . . . . . . . . . Configuracin de limitaciones en las solicitudes POST . . . . . . . . . . . Resumen y notas tcnicas . . . . . . . . . . . . . . . . . . . . Ejemplo de direccin URL dinmica: Travel Kingdom . . . . . . . . . . . . La aplicacin . . . . . . . . . . . . . . . . . . . . . . . . La interfaz . . . . . . . . . . . . . . . . . . . . . . . . . Estructura de espacio web . . . . . . . . . . . . . . . . . . . La poltica de seguridad . . . . . . . . . . . . . . . . . . . . . Correlaciones de direcciones URL dinmicas con el espacio de objetos . . . . Clientes seguros . . . . . . . . . . . . . . . . . . . . . . . Estructura de cuentas y grupos . . . . . . . . . . . . . . . . . Control de accesos. . . . . . . . . . . . . . . . . . . . . . . Conclusin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 373 373 375 376 376 376 378 378 379 380 380 380 381 382 382 383 384 384 384 386 386 387 387 388 390 390 390 391 391 391 391 391 392 392

Captulo 13. Recuperacin de informacin de decisiones de autorizacin . . . . . . 393Visin de la recuperacin de ADI . . . . . . . . . . . . . . Recuperacin de ADI de la solicitud de cliente de WebSEAL . . . . Ejemplo: Recuperacin de ADI de la cabecera de la solicitud . . . Ejemplo: Recuperacin de ADI de la cadena de consulta de la solicitud Ejemplo: Recuperacin de ADI del cuerpo POST de la solicitud . . Recuperacin de ADI de la credencial de usuario . . . . . . . . Especificacin de una causa de error en una unin . . . . . . . . Recuperacin de ADI dinmica . . . . . . . . . . . . . . Despliegue del servicio de recuperacin de atributos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 395 396 397 397 399 400 401 402

Captulo 14. Informacin de consulta del servicio de recuperacin de atributos . . . . 403Configuracin bsica . . . . . . Archivos de configuracin . . . amwebars.conf . . . . . . ContainerDescriptorTable.xml . ProviderTable.xml . . . . . ProtocolTable.xml . . . . . Descripciones de los parmetros de . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . configuracin . . . . . . de . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . amwebars.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404 404 404 404 404 404 404

Contenido

xiii

Ubicaciones de las tablas . . . . . . . . . . . . Registro . . . . . . . . . . . . . . . . . . Limitacin del nmero de clientes y de sesiones . . . . . Opciones varias . . . . . . . . . . . . . . . Mdulos de protocolos que deben cargarse en la inicializacin Edicin de las tablas de datos . . . . . . . . . . . . . Tabla ProviderTable . . . . . . . . . . . . . . . Subelementos del elemento Provider . . . . . . . . Tabla ProviderTable de ejemplo . . . . . . . . . . Tabla ContainerDescriptorTable . . . . . . . . . . . Subelementos del elemento ContainerDescriptor . . . . . Correlacin de atributos . . . . . . . . . . . . . Tabla ContainerDescriptorTable de ejemplo . . . . . . Tabla ProtocolTable . . . . . . . . . . . . . . . Subelementos del elemento Protocol . . . . . . . . . Tabla ProtocolTable de ejemplo . . . . . . . . . . Creacin de plug-ins de protocolo personalizados . . . . . . Visin general . . . . . . . . . . . . . . . . . Creacin del plug-in de protocolo . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

404 405 406 406 406 408 408 408 409 409 409 410 411 411 411 412 413 413 413

Apndice A. Informacin de consulta del archivo de configuracin de WebSEAL . . . 415Nombre y ubicacin del archivo de configuracin Directrices para configurar stanzas . . . . . Directrices generales . . . . . . . . . Valores predeterminados . . . . . . . Cadenas . . . . . . . . . . . . . Cadenas definidas . . . . . . . . . . Listas . . . . . . . . . . . . . . Nombres de archivo . . . . . . . . . Enteros . . . . . . . . . . . . . Valores booleanos . . . . . . . . . . Cambio de los valores de configuracin . . . Organizacin de las stanzas . . . . . . . Configuracin del servidor . . . . . . . . Registro de usuarios . . . . . . . . . . LDAP . . . . . . . . . . . . . . Active Directory . . . . . . . . . . IBM Lotus Domino . . . . . . . . . Secure Socket Layer . . . . . . . . . . Autenticacin . . . . . . . . . . . . Mtodos de autenticacin . . . . . . . Bibliotecas de autenticacin . . . . . . Reautenticacin. . . . . . . . . . . Migracin tras error de autenticacin . . . Inicio de sesin nico entre dominios (CDSSO) Inicio de sesin nico de e-community . . . Calidad de proteccin . . . . . . . . Sesin . . . . . . . . . . . . . . . Contenido . . . . . . . . . . . . . Gestin de contenido . . . . . . . . . Gestin de cuentas . . . . . . . . . Redireccin automtica . . . . . . . . CGI local . . . . . . . . . . . . . Iconos . . . . . . . . . . . . . . Almacenamiento en cach de contenido . . Compresin del contenido . . . . . . . Tipos de contenido MIME . . . . . . . Codificacin de contenido . . . . . . . Uniones . . . . . . . . . . . . . . Gestin de conexiones . . . . . . . . Filtrado de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 416 416 417 417 417 418 418 419 419 419 421 423 432 432 439 442 445 454 455 461 466 467 472 475 480 482 485 486 488 492 493 495 497 498 499 500 501 502 506

xiv


Filtrado de manejadores de eventos . . . . . . . . Filtrado de esquemas . . . . . . . . . . . . . Filtrado de tipos MIME y cabeceras . . . . . . . . Filtrado de scripts . . . . . . . . . . . . . . Renovacin de credenciales . . . . . . . . . . . Nombres de cabecera . . . . . . . . . . . . . Cach de Global Sign-On . . . . . . . . . . . Cach de LTPA (Lightweight Third Party Authentication) Registro . . . . . . . . . . . . . . . . . . Auditora . . . . . . . . . . . . . . . . . . Base de datos de polticas . . . . . . . . . . . . Servicios de titularidad . . . . . . . . . . . . . Policy Server . . . . . . . . . . . . . . . . Platform for Privacy Preferences (P3P) . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

507 509 510 511 513 513 514 516 518 521 524 526 527 528

Apndice B. Informacin de consulta de las uniones WebSEALUtilizacin de pdadmin para crear uniones . Comandos de unin . . . . . . . . . Creacin de una nueva unin para un servidor Adicin de un servidor a una unin existente . . . . . . inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . 537. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 538 539 541

Apndice C. Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543Marcas registradas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545

ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547

Contenido

xv

xvi


PrefacioBienvenido a IBM Tivoli Access Manager for e-business WebSEAL Gua de administracin. IBM Tivoli Access Manager WebSEAL es el gestor de seguridad de recursos para los recursos basados en web de un dominio seguro de Tivoli Access Manager. WebSEAL es un servidor web de alto rendimiento y de threads mltiples que aplica una poltica de seguridad detallada al espacio de objetos web protegidos. WebSEAL puede proporcionar soluciones de inicio de sesin nico e incorporar recursos de servidores de aplicaciones web de fondo a su poltica de seguridad. Esta gua de administracin ofrece un conjunto exhaustivo de procedimientos e informacin de consulta para la gestin de los recursos de los dominios web seguros. Tambin incluye informacin general y de conceptos til para la gran variedad de funciones de WebSEAL. IBM Tivoli Access Manager (Tivoli Access Manager) es el software de base necesario para ejecutar aplicaciones en los productos IBM Tivoli Access Manager. Permite la integracin de aplicaciones de IBM Tivoli Access Manager que proporcionan una amplia gama de soluciones de autorizacin y gestin. Estos productos, que se proporcionan como una solucin integrada, proporcionan una solucin de gestin de control de accesos que centraliza la poltica de seguridad de aplicaciones y redes para aplicaciones de e-business. Nota: IBM Tivoli Access Manager es el nuevo nombre del software previamente comercializado con el nombre de Tivoli SecureWay Policy Director. Adems, para los usuarios familiarizados con el software Tivoli SecureWay Policy Director y su documentacin, el trmino Management Server ahora ha pasado a denominarse Policy Server.

A quin va dirigido este manualEsta gua est diseada para administradores de sistemas responsables de la configuracin y el mantenimiento del entorno WebSEAL de Tivoli Access Manager. Los lectores deben estar familiarizados con los elementos siguientes: v Sistemas operativos de PC y UNIX v Arquitectura y conceptos de bases de datos v Gestin de seguridad v Protocolos Internet, incluidos HTTP, TCP/IP, FTP (Protocolo de transferencia de archivos) y Telnet v Servicios LDAP (Lightweight Directory Access Protocol) y de directorio v Un registro de usuarios soportado v Autenticacin y autorizacin Si habilita la comunicacin SSL (Secure Sockets Layer), tambin debe estar familiarizado con el protocolo SSL, intercambio de claves (pblicas y privadas), firmas digitales, algoritmos criptogrficos y entidades emisoras de certificados.

Copyright IBM Corp. 1999, 2003

xvii

Contenido de este manualv Captulo 1: Visin general de IBM Tivoli Access Manager WebSEAL Este captulo le presenta conceptos y funciones importantes de WebSEAL, como por ejemplo: organizacin y proteccin del espacio de objetos, autenticacin, adquisicin de credenciales y uniones WebSEAL. v Captulo 2: Configuracin del servidor WebSEAL Este captulo contiene informacin tcnica de consulta para las tareas de configuracin de WebSEAL, que incluyen: utilizacin del archivo de configuracin de WebSEAL, configuracin de los parmetros de comunicacin, gestin de la asignacin de threads de trabajo y configuracin de hardware criptogrfico. v Captulo 3: Administracin del servidor WebSEAL Este captulo contiene informacin tcnica de consulta para las tareas de administracin de WebSEAL, que incluyen: gestin del espacio web y utilizacin de pginas de gestin de cuentas personalizadas. v Captulo 4: Servicios y registro En este captulo se describe el soporte de WebSEAL para servicios, registro y auditora. v Captulo 5: Poltica de seguridad de WebSEAL Este captulo proporciona procedimientos tcnicos detallados para personalizar la poltica de seguridad en WebSEAL, que incluyen: polticas de ACL y POP, calidad de proteccin, poltica de autenticacin incremental, poltica de autenticacin basada en la red, poltica de inicio de sesin de tres intentos y poltica de intensidad de las contraseas. v Captulo 6: Autenticacin de WebSEAL Este captulo proporciona instrucciones de configuracin para configurar WebSEAL de modo que gestione distintos mtodos de autenticacin, que incluyen: nombre de usuario y contrasea, certificados de cliente, cdigo de paso de seal de SecurID, datos de cabecera HTTP especiales y agentes proxy multiplexor. v Captulo 7: Autenticacin avanzada de WebSEAL Este captulo proporciona procedimientos tcnicos detallados para configurar WebSEAL para mtodos de autenticacin avanzada, que incluyen: configuracin del cambio de usuario, almacenamiento en la cach de solicitudes de servidor, reautenticacin y redireccin automtica. v Captulo 8: Gestin de claves de WebSEAL Este captulo proporciona procedimientos tcnicos detallados para configurar la gestin de claves de WebSEAL, que incluyen: gestin de certificados de servidor y de cliente y configuracin de la comprobacin del estado de los certificados VeriSign. v Captulo 9: Soluciones de inicio de sesin nico entre dominios En este captulo se describen las soluciones de inicio de sesin nico entre dominios, que incluyen: CDSSO (inicio de sesin nico entre dominios) y e-community. v Captulo 10: Uniones WebSEAL Este captulo contiene informacin tcnica de consulta para configurar y utilizar uniones WebSEAL. v Captulo 11: Soluciones de inicio de sesin nico entre uniones

xviii


v

v

v

v v

En este captulo se describen soluciones de inicio de sesin nico para el componente interno de la configuracin proxy de WebSEAL, entre el servidor WebSEAL y el servidor de fondo de aplicaciones con unin. Captulo 12: Integracin de aplicaciones En este captulo se describen distintas posibilidades de WebSEAL para integrar la funcionalidad de aplicaciones de terceros. Captulo 13: Recuperacin de informacin de decisiones de autorizacin En este captulo se describen distintos mecanismos para obtener informacin de decisiones de autorizacin (ADI) de WebSEAL para dar soporte a la evaluacin de las reglas de autorizacin en los recursos protegidos. Captulo 14: Informacin de consulta del servicio de recuperacin de atributos En este captulo se describe la administracin y la configuracin del servicio de recuperacin de atributos. Apndice A: Informacin de consulta del archivo de configuracin de WebSEAL Apndice B: Informacin de consulta de las uniones WebSEAL

PublicacionesRevise las descripciones de la biblioteca de Tivoli Access Manager, las publicaciones que constituyen un requisito previo y las publicaciones relacionadas para determinar qu publicaciones pueden resultarle de mayor utilidad. Una vez que haya determinado las publicaciones que necesita, consulte las instrucciones para saber cmo acceder a las publicaciones en lnea. Para obtener informacin adicional sobre el producto IBM Tivoli Access Manager for e-business propiamente dicho, consulte: http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/ La biblioteca de Tivoli Access Manager est organizada en las siguientes categoras: v Informacin del release v Informacin de Base v Informacin de seguridad web en la pgina xx v Material de consulta para desarrolladores en la pgina xx v Informacin tcnica complementaria en la pgina xxi

Informacin del releasev IBM Tivoli Access Manager for e-business Read This First (GI11-4155-00) Proporciona informacin sobre la instalacin e iniciacin al uso de Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Release Notes (GI11-4156-00) Proporciona informacin de ltima hora, como limitaciones de software, soluciones temporales y actualizaciones de la documentacin.

Informacin de Basev IBM Tivoli Access Manager Base Installation Guide (SC32-1362-00) Describe cmo instalar y configurar el software base Tivoli Access Manager, incluida la interfaz Web Portal Manager. Este manual es una parte de la publicacin IBM Tivoli Access Manager for e-business Web Security Installation GuidePrefacio

xix

y est pensado para ser utilizado con otros productos de Tivoli Access Manager, como por ejemplo IBM Tivoli Access Manager for Business Integration e IBM Tivoli Access Manager for Operating Systems. v IBM Tivoli Access Manager Upgrade Guide (SC32-1369-00) Describe cmo realizar la actualizacin de Tivoli SecureWay Policy Director versin 3.8 o versiones anteriores de Tivoli Access Manager a Tivoli Access Manager versin 5.1. v IBM Tivoli Access Manager Base Gua de administracin (SC10-9834-00) Describe los conceptos y procedimientos para la utilizacin de los servicios de Tivoli Access Manager. Proporciona instrucciones para realizar tareas desde la interfaz Web Portal Manager y mediante el comando pdadmin.

Informacin de seguridad webv IBM Tivoli Access Manager for e-business Web Security Installation Guide (SC32-1361-00) Proporciona instrucciones de instalacin, configuracin y eliminacin para el software base Tivoli Access Manager, incluida la interfaz Web Portal Manager, as como los componentes de Web Security. Este manual incluye la publicacin IBM Tivoli Access Manager Base Installation Guide. v IBM Tivoli Access Manager for e-business WebSEAL Gua de administracin (SC10-9835-00) Proporciona material de consulta, procedimientos de administracin e informacin tcnica de consulta sobre la utilizacin de WebSEAL para gestionar los recursos de su dominio web seguro. v IBM Tivoli Access Manager for e-business IBM WebSphere Application Server Gua de integracin (SC10-9836-00) Proporciona instrucciones de instalacin, eliminacin y administracin para integrar Tivoli Access Manager con IBM WebSphere Application Server. IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager Provisioning Fast Start Guide (SC32-1364-00) Proporciona una descripcin general de las tareas relacionadas con la integracin de Tivoli Access Manager y Tivoli Identity Manager y describe cmo utilizar e instalar la coleccin Provisioning Fast Start. IBM Tivoli Access Manager for e-business BEA WebLogic Server Integration Guide (SC32-1366-00) Proporciona instrucciones de instalacin, eliminacin y administracin para integrar Tivoli Access Manager con BEA WebLogic Server. IBM Tivoli Access Manager for e-business IBM WebSphere Edge Server Integration Guide (SC32-1367-00) Proporciona instrucciones de instalacin, eliminacin y administracin para integrar Tivoli Access Manager con la aplicacin IBM WebSphere Edge Server. IBM Tivoli Access Manager for e-business Plug-in for Web Servers Integration Guide (SC32-1365-00) Proporciona instrucciones de instalacin, procedimientos de administracin e informacin tcnica de consulta para proteger su dominio web utilizando la aplicacin Plug-in for Web Servers.

v

v

v

v

Material de consulta para desarrolladoresv IBM Tivoli Access Manager for e-business Authorization C API Developer Reference (SC32-1355-00)

xx


Proporciona material de consulta que describe cmo utilizar la API de autorizacin en C de Tivoli Access Manager y la interfaz de plug-in de servicio de Tivoli Access Manager para agregar la seguridad de Tivoli Access Manager a las aplicaciones. v IBM Tivoli Access Manager for e-business Authorization Java Classes Developer Reference (SC32-1350-00) Proporciona informacin de consulta sobre la utilizacin de la implementacin en lenguaje Java de la API de autorizacin para permitir que una aplicacin utilice la seguridad de Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Administration C API Developer Reference (SC32-1357-00) Proporciona informacin de consulta sobre la utilizacin de la API de administracin para permitir que una aplicacin pueda realizar tareas de administracin de Tivoli Access Manager. Este documento describe la implementacin en C de la API de administracin. v IBM Tivoli Access Manager for e-business Administration Java Classes Developer Reference (SC32-1356-00) Proporciona informacin de consulta sobre la utilizacin de la implementacin en lenguaje Java de la API de administracin para permitir que una aplicacin pueda realizar tareas de administracin de Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Web Security Developer Reference (SC32-1358-00) Proporciona informacin sobre la administracin y programacin para el servicio de autenticacin entre dominios (CDAS), la infraestructura de correlacin entre dominios (CDMF) y el mdulo de intensidad de las contraseas.

Informacin tcnica complementariav IBM Tivoli Access Manager for e-business Command Reference (SC32-1354-00) Proporciona informacin sobre las utilidades de la lnea de comandos y los scripts proporcionados con Tivoli Access Manager. v IBM Tivoli Access Manager Error Message Reference (SC32-1353-00) Proporciona explicaciones y acciones recomendadas para los mensajes generados por Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Problem Determination Guide (SC32-1352-00) Proporciona informacin sobre determinacin de problemas para Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Performance Tuning Guide (SC32-1351-00) Proporciona informacin de ajuste del rendimiento para un entorno formado por Tivoli Access Manager con el servidor IBM Tivoli Directory como registro de usuarios.

Publicaciones relacionadasEste apartado contiene una lista de las publicaciones relacionadas con la biblioteca de Tivoli Access Manager. Tivoli Software Library proporciona una variedad de publicaciones de Tivoli como, por ejemplo, documentacin tcnica, hojas de datos, demostraciones, Redbooks y cartas de anuncio. Tivoli Software Library est disponible en la siguiente direccin web: http://www.ibm.com/software/tivoli/library/

Prefacio

xxi

La publicacin Tivoli Software Glossary incluye definiciones de muchos de los trminos tcnicos relacionados con el software de Tivoli. La publicacin Tivoli Software Glossary est disponible, slo en ingls, a travs del vnculo Glossary en la parte izquierda de la pgina web de Tivoli Software Library http://www.ibm.com/software/tivoli/library/

IBM Global Security KitTivoli Access Manager proporciona el cifrado de datos a travs del uso de IBM Global Security Kit (GSKit) versin 7.0. GSKit se incluye en el CD IBM Tivoli Access Manager Base para su plataforma predeterminada, as como en los CD de IBM Tivoli Access Manager Web Security, los CD de IBM Tivoli Access Manager Web Administration Interfaces y los CD de IBM Tivoli Access Manager Directory Server. El paquete GSKit proporciona la utilidad de gestin de claves iKeyman, gsk7ikm, que se utiliza para crear bases de datos clave, pares de claves pblica-privada y solicitudes de certificados. El siguiente documento est disponible en el sitio web de Tivoli Information Center en el mismo apartado que la documentacin de producto de IBM Tivoli Access Manager: v Secure Sockets Layer Introduction and iKeyman Users Guide (SC32-1363-00) Proporciona informacin para administradores de red o administradores de seguridad de sistemas que tienen planificado habilitar la comunicacin SSL en el entorno de Tivoli Access Manager.

IBM Tivoli Directory ServerIBM Tivoli Directory Server, versin 5.2, se incluye en el CD IBM Tivoli Access Manager Directory Server para el sistema operativo que se desee. Nota: IBM Tivoli Directory Server es el nuevo nombre para el software entregado anteriormente que se conoca como: v IBM Directory Server (versin 4.1 y versin 5.1) v IBM SecureWay Directory Server (versin 3.2.2) IBM Tivoli Access Manager Versin 5.1 da soporte para IBM Directory Server versin 4.1, IBM Directory Server versin 5.1 e IBM Tivoli Directory Server versin 5.2. Si tiene previsto utilizar IBM Tivoli Directory Server como registro de usuarios, consulte la informacin que se proporciona en: http://www.ibm.com/software/network/directory/library/

IBM DB2 Universal DatabaseIBM DB2 Universal Database Enterprise Server Edition, versin 8.1, se proporciona en el CD IBM Tivoli Access Manager Directory Server y se instala con el software IBM Tivoli Directory Server. DB2 es necesario cuando se utilizan servidores IBM Tivoli Directory Server, z/OS o LDAP de OS/390 como registro de usuarios para Tivoli Access Manager. La informacin de DB2 est disponible en: http://www.ibm.com/software/data/db2/

IBM WebSphere Application ServerIBM WebSphere Application Server, Advanced Single Server Edition 5.0, se incluye en el CD IBM Tivoli Access Manager Web Administration Interfaces para el sistema

xxii


operativo que se desee. WebSphere Application Server habilita el soporte de la interfaz Web Portal Manager, que se utiliza para administrar Tivoli Access Manager, y de la Herramienta de administracin web, que se utiliza para administrar IBM Tivoli Directory Server. IBM WebSphere Application Server Fix Pack 2 tambin es necesario para Tivoli Access Manager y se proporciona en el CD IBM Tivoli Access Manager WebSphere Fix Pack. Para obtener informacin sobre IBM WebSphere Application Server, consulte: http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM Tivoli Access Manager for Business IntegrationIBM Tivoli Access Manager for Business Integration, producto que se adquiere por separado, proporciona una solucin de seguridad para los mensajes de IBM MQSeries, Versin 5.2 e IBM WebSphere MQ, Versin 5.3. IBM Tivoli Access Manager for Business Integration permite a las aplicaciones de WebSphere MQSeries enviar datos con privacidad e integridad mediante las claves asociadas con las aplicaciones remitentes y receptoras. Al igual que WebSEAL e IBM Tivoli Access Manager for Operating Systems, IBM Tivoli Access Manager for Business Integration, es uno de los gestores de recursos que utilizan servicios de IBM Tivoli Access Manager. En la siguiente direccin encontrar informacin adicional sobre IBM Tivoli Access Manager for Business Integration: http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/ Los documentos siguientes asociados con IBM Tivoli Access Manager for Business Integration versin 5.1 estn disponibles en el sitio web de Tivoli Information Center: v IBM Tivoli Access Manager for Business Integration Gua de administracin (SC10-9843-01) v IBM Tivoli Access Manager for Business Integration Problem Determination Guide (GC23-1328-00) v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-01) v IBM Tivoli Access Manager for Business Integration Read This First (GI11-4202-00)

IBM Tivoli Access Manager for WebSphere Business Integration BrokersIBM Tivoli Access Manager for WebSphere Business Integration Brokers, disponible como producto que puede solicitarse por separado, proporciona una solucin de seguridad para WebSphere Business Integration Message Broker, versin 5.0 y WebSphere Business Integration Event Broker, versin 5.0. IBM Tivoli Access Manager for WebSphere Business Integration Brokers funciona conjuntamente con Tivoli Access Manager para proteger las aplicaciones de publicacin y suscripcin JMS proporcionando una autenticacin de contraseas y basada en credenciales, autorizacin definida de forma centralizada y servicios de auditora. En la siguiente direccin encontrar informacin adicional sobre IBM Tivoli Access Manager for WebSphere Integration Brokers: http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/

Prefacio

xxiii

Los documentos siguientes asociados con IBM Tivoli Access Manager for WebSphere Integration Brokers, versin 5.1, estn disponibles en el sitio web de Tivoli Information Center. v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Administration Guide (SC32-1347-00) v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Release Notes (GI11-4154-00) v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Read This First (GI11-4153-00)

IBM Tivoli Access Manager for Operating Syste

Manual Web Seal

Documents

servidor webseal configuracin

servidor configuracin

una configuracin

bhapi configuracin

comunicaciones configuracin

configuracin interactiva

configuracin silenciosa

servidor webseal inhabilitacin