Está en la página 1de 586

IBM Tivoli Access Manager for e-business

WebSEAL Guía de administración

Versión 5.1

SC10-9835-00

IBM Tivoli Access Manager for e-business

WebSEAL Guía de administración

Versión 5.1

SC10-9835-00

Nota Antes de utilizar esta información y el producto al que da soporte, lea la

Nota Antes de utilizar esta información y el producto al que da soporte, lea la información del Apéndice C, “Avisos”, en la página 543.

esta información y el producto al que da soporte, lea la información del Apéndice C, “Avisos”,

Primera edición (noviembre de 2003)

Este manual es la traducción del original inglés IBM Tivoli Access Manager for e-business WebSEAL Administration Guide , SC32-1359-00.

© Copyright International Business Machines Corporation 1999, 2003. Reservados todos los derechos.

Contenido

Prefacio

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

xvii

A quién va dirigido este manual .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xvii

Contenido de este manual .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xviii

Publicaciones

. Información del release .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xix

. xix

Información de Base

Información de seguridad web .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xix

. xx

Material de consulta para desarrolladores .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xx

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xxi

Información técnica complementaria Publicaciones relacionadas IBM Global Security Kit . IBM Tivoli Directory Server IBM DB2 Universal Database . IBM WebSphere Application Server .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. IBM Tivoli Access Manager for Business Integration

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xxi

. xxii

. xxii

. xxii

. xxii

. xxiii

. IBM Tivoli Access Manager for WebSphere Business Integration Brokers .

 

.

.

.

.

.

.

.

.

.

.

. xxiii

IBM Tivoli Access Manager for Operating Systems

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xxiv

IBM Tivoli Identity Manager

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xxiv

Acceso a las publicaciones en línea .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xxv

. Cómo ponerse en contacto con el soporte de software

Accesibilidad .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xxv

. xxvi

Convenios utilizados en este manual .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xxvi

. Diferencias entre sistemas operativos .

Convenios tipográficos .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. xxvi

. xxvi

Capítulo 1. Visión general de IBM Tivoli Access Manager WebSEAL

 

1

Presentación de IBM Tivoli Access Manager y WebSEAL

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

1

Comprensión del modelo de seguridad de Tivoli Access Manager

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

2

Espacio de objetos protegidos

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

3

Definición y aplicación de políticas de ACL y POP

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 4

La lista de control de accesos (ACL)

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 4

Políticas de objetos protegidos (POP) .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 4

Políticas explícitas y heredadas .

. Administración de políticas: Web Portal Manager .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

5

5

. Planificación e implementación de la política de seguridad .

Protección del espacio web con WebSEAL

.

. Identificación de tipos de contenido y niveles de protección

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

5

7

8

Información sobre la autenticación de WebSEAL .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

8

. Acceso autenticado y no autenticado a los recursos

Objetivos de autenticación

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

9

. 10

.

Estructura de caché de sesión/credenciales de WebSEAL .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 11

Información sobre las uniones WebSEAL

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 11

Uniones WebSEAL y escalabilidad de sitios web .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 13

Servidores WebSEAL frontales replicados

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 14

Soporte para servidores de fondo .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 14

Servidores de fondo replicados .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 14

Capítulo 2. Configuración del servidor WebSEAL

15

Configuración de la instancia de servidor

. Visión general de la configuración de la instancia de servidor Planificación de una configuración de instancia de servidor .

.

.

.

.

.

.

.

.

.

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 16

. 16

. 16

. Valores de configuración de la instancia de servidor de ejemplo .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 20

Archivo de configuración exclusivo para cada instancia

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 21

Visión general de la configuración interactiva

Visión general de la configuración de la línea de comandos .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 21

. 22

Visión general de la configuración silenciosa

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 23

Tareas de configuración de instancias de servidor

.

.

.

.

.

. 25

Adición de una instancia de servidor WebSEAL .

.

.

.

.

.

. 25

Eliminación de una instancia de servidor

. Configuración del protocolo de comunicaciones .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 27

. 29

Configuración de WebSEAL para solicitudes HTTP

.

.

.

.

.

. 29

Habilitación e inhabilitación del acceso HTTP .

Definición del valor de puerto del acceso HTTP .

.

.

.

.

.

.

.

.

.

.

. 29

. 29

Configuración de WebSEAL para solicitudes HTTPS .

.

.

.

.

.

. 29

Conexiones SSL que utilizan el certificado de prueba de WebSEAL (este tema pertenece a SSL)

.

.

.

.

. 29

Habilitación e inhabilitación del acceso HTTPS

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 30

Definición del valor de puerto del acceso HTTPS

Restricción de conexiones de versiones de SSL específicas .

.

.

.

.

.

.

.

.

.

.

. 31

. 31

Parámetros de tiempo de espera para la comunicación HTTP/HTTPS .

.

.

.

.

.

.

.

.

.

.

.

.

.

. 31

Parámetros adicionales de tiempo de espera del servidor WebSEAL

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 32

Hardware criptográfico para cifrado y almacenamiento de claves

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 33

. Configuración del motor Cipher y proceso de modalidad FIPS .

Condiciones y requisitos previos

. Configuración de WebSEAL para hardware criptográfico a través de BHAPI

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 34

. 34

. 35

Configuración de WebSEAL para hardware criptográfico a través de PKCS#11 .

.

.

.

.

.

. 35

. Creación de una contraseña y una etiqueta de dispositivo de señal para almacenar claves de WebSEAL

Instalación de la tarjeta criptográfica y el controlador de dispositivo

.

.

.

.

.

.

.

.

.

.

. 35

. 35

Configuración de iKeyman para que utilice el módulo PKCS#11 (biblioteca compartida)

.

.

.

.

.

. 36

Apertura del dispositivo de señal de WebSEAL utilizando iKeyman

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 37

Solicitud y almacenamiento del certificado de servidor WebSEAL .

Configuración de WebSEAL y GSKit para que utilicen la biblioteca compartida PKCS#11

.

.

.

.

.

.

.

.

.

.

. 37

. 38

Modificación de la etiqueta del certificado de servidor WebSEAL

.

.

.

.

.

.

.

.

.

.

.

.

. 38

Inhabilitación de la modalidad de aceleración para nCipher nForce 300 .

.

.

.

.

.

.

.

.

.

.

.

. 39

Reinicio de WebSEAL

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 39

Calidad de niveles de protección

.

.

.

.

.

. 40

QOP para redes y hosts individuales .

.

.

.

.

.

. 41

Configuración de actualizaciones y sondeo de la base de datos de autorizaciones .

.

.

.

.

.

.

.

.

.

.

. 42

Configuración de la escucha de notificaciones de actualizaciones

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 42

Configuración del sondeo de la base de datos de autorizaciones .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 43

Gestión de la asignación de threads de trabajo

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 44

Configuración de threads de trabajo de WebSEAL

.

.

.

.

.

. 44

Configuración en AIX

Contexto .

.

.

.

.

. Asignación de threads de trabajo para uniones (imparcialidad de conexiones) .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 44

. 45

. 45

. Asignación global de threads de trabajo para uniones .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 45

Asignación por unión de threads de trabajo para conexiones .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 46

Notas para la resolución de problemas

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 47

Soporte para varios entornos locales con UTF-8 .

Conceptos de soporte de varios entornos locales .

.

.

.

.

.

.

.

.

.

.

. 48

. 48

Manejo de datos de WebSEAL utilizando UTF-8 .

.

.

.

.

.

. 48

Dependencia de UTF-8 en la configuración de registro de usuarios .

.

.

.

.

.

.

.

.

.

.

.

.

.

. 49

Problemas de conversión de datos UTF-8

.

.

.

.

.