Está en la página 1de 59

IBM Security Access

Manager for Web


1. Introduccin
IBM Security Access Manager for
Web
Security Access Manager for Web provee una plataforma de
administracin de seguridad integrada para servicios de
autenticacin, control de acceso, servicios de autorizacin,
mapeo de identidad, Web single sign-on, permisos, y
servicios de auditoria, atreves de los recursos de la
empresa.
Security Access Manager for Web provee integracin,
administracin de seguridad en base a polticas para la
empresa extendida que permite a los clientes, socios
comerciales, empleados, proveedores y distribuidores para
acceder de forma segura los recursos de la empresa de una
manera confiable.
Arquitectura de Security Access
Manager
Determinar que combinacin de sistemas IBM Security
Access Manager (ISAM) para instalar.
Un directorio soportado y el sistema Policy Server son
requeridos para configurar el dominio de gestin inicial.
El siguiente diagrama muestra un ejemplo de un escenario
en despliegue.
Arquitectura de Security Access
Manager
Policy Server
Define usuarios, grupos y recursos.
Define polticas de seguridad
Distribuye la poltica de seguridad a los aseguradores
de las polticas
Mantiene la base de datos de autorizaciones maestro
para el dominio de gestin as como la base de datos de
polticas que estas asociadas con otros dominios
seguros que se decidan crear.
Se debe instalar y configurar solo un Policy Server por
cada dominio de gestin seguro.
Policy Enforcer: WebSEAL
Aplica la poltica de seguridad
Usuarios son enrutados a WebSEAL cuando acceden a un
recurso protegido
WebSEAL realiza la validacin de autenticacin mediante el
uso de un servidor de directorio
WebSEAL consulta su replica local de base de datos de
autorizacin por una decisin de autorizacin.
2. Instalacin
Planeando un nuevo despliegue
Se deben definir inicialmente los requerimientos de seguridad para
el entorno computacional. Definir requerimientos de seguridad
significa determinar las polticas de negocio que aplicarn a los
usuarios, programas y datos.
Las definiciones incluyen:
Objetos a asegurar
Acciones que son permitidas en cada objeto
Usuarios que son permitidos para realizar las acciones.
Implementacin de una poltica de seguridad requiere
entendimiento del nmero de usuarios, cantidad de datos y
rendimiento de la red.
Instalando IBM Security Access
Manager
Componentes Base:
Security Access ManagerApplication Development Kit
Security Access ManagerAuthorization Server
Security Access ManagerPolicy Proxy Server
Security Access ManagerPolicy Server
Security Access ManagerRuntime
IBM Security Utilities
IBM Security Access Manager Runtime for Java
Security Access ManagerWeb Portal Manager
Security Access ManagerLicense
Prerrequisitos de Security Access
Manager
Estos productos requeridos son incluidos en Security
Access Manager:
IBM Global Security Kit (GSKit)
IBM Tivoli Directory Server
IBM Tivoli Directory Server Web Administration Tool
IBM WebSphere Application
Directorios Soportados
ISAM soporta los siguientes directorios:
Tivoli Directory Server
z/OS Security server
Novell eDirectory
Sun Java System Directory and Sun ONE Directory
Microsoft Active Directory Application Mode (ADAM)
Mtodos de Instalacin
Asistente
El asistente de instalacin simplifica la instalacin y configuracin.
Cualquier requisito de software o parche es automticamente
instalado y configurado.

Utilitarios de Instalacin Nativa


El mtodo de instalacin native usa utilitarios especficos de la
plataforma para instalar componentes ISAM. Diferente al asistente
automatizado, se debe instalar cada componente y cualquier
prerrequisito manualmente y en el orden correcto.
Comunicacin entre servidores
Cada Servidor de ISAM usa SSL para la comunicacin
con los dems.
Security Access Manager Runtime es instalado en cada
servidor, contiene el pdadmin, el cual es la herramienta
de lnea de comandos para ISAM.
Web Portal Manager es desplegado en el servidor de
Aplicaciones.
3. Administracin
Administracin de Security Access
Manager
Como administrador se es responsable por gestionar los siguientes componentes:
Domains
Users
Groups
Roles
Permissions
ACLs
POPs
Authorization rules
Protected object space
Protected objects
Other resources
Se usa el Web Portal Manager o el pdadmin para estas tareas.
Interfaces de Administracin
ISAM cuenta con interfaz grafica y tambin de lnea de comandos para la
administracin de los recursos en la empresa.
Las interfaces con las que cuenta son las siguientes:
pdadmin
Interface de Lnea de comandos que es instalada como parte de ISAM runtime package.
Se pueden automatizar ciertas tareas de administracin mediante la escritura de scripts
que usa la utilidad pdadmin.
Web Portal Manager
Consola de administracin para realizar las tareas como las provistas por los comandos
pdadmin.
Es un plug-in para el WebSphere Application Server Integrated Solutions Console.
WebSphere Integrated Solutions Console es una consola de administracin grafica
que provee un framwork para administrar multiples productos.
Equivalencias de tareas
Las equivalencias de las tareas que se pueden realizar
entre el pdadmin y el Web Portal Management son las
siguientes:

http://
www-01.ibm.com/support/knowledgecenter/SSPREK_7.0
.0.1/com.ibm.isam.doc_80/ameb_baseadmin_guide/ref
erence/ref_pdadminwpmeq.html%23ref_pdadminwpmeq?l
ang=es
Administracin de usuarios ISAM
Usuarios ISAM deben tener entradas LDAP, pero no todos los usuarios
LDAP son usuarios ISAM.
Usuarios ISAM tienen un ID de usuario y un registro UID.
La cuenta sec_master es creada durante la instalacin.
Existe solo un usuario sec_master.
Se puede usar la herramienta pdadmin, el Web Portal Manager o el API
para la creacin de usuarios.
Soluciones para la automatizar la creacin de usuarios son:
IBM Security Identity Manager (ISIM)
IBM Tivoli Directory Integrator (TDI)
Administracin de usuarios ISAM
ISAM soporta diferente tipos de usuario. Cuando un dominio es
creado, un usuario conocido como el administrador de dominio es
creado. Para el dominio de gestin el administrador de dominio es
sec_master. Este usuario es creado durante la configuracin del
ISAM policy server.
Para los otros dominios el ID de usuario y la contrasea del
administrador del dominio es establecida cuando el dominio es
creado.
El administrador de dominio es agregado como un miembro del
grupo ISAM iv-admin en el dominio. El grupo iv-admin representa
a los usuarios con privilegios de administracin de dominio.
Administracin de Dominio
Un dominio consiste de los recursos que requieren
proteccin y la poltica de seguridad asociada para
proteger estos recursos.
Los recursos pueden ser entidades lgicas y fsicas,
incluyendo objetos como archivos, directorios, paginas
web, impresoras, servicios de red y colas de mensajes.
Las polticas de seguridad implementadas en un
dominio solo afectan a ese dominio.
Administracin de Dominio
ISAM crea un dominio llamado dominio de gestin, como
parte de su configuracin inicial. El nombre por defecto del
dominio de gestin es Default.
El dominio de gestin es usado por ISAM para administrar
las polticas de seguridad de todos los dominios y esta
disponible para administrar otros recursos protegidos
tambin.
El administrador puede renombrar el dominio de gestin y
cambiar su localizacin cuando el Policy Server es
configurado.
Administracin de Dominio
Todos los dominios comparten un Policy Server, Proxy Server y
Directorio.
Cada dominio tiene sus propios componentes:
Base de Datos de autorizacin.
Servidores ISAM (policy enforcer and authorization server)
Dominio pueden compartir o compartir los siguientes
componentes:
Usuarios y grupos
Herramientas de Administracin, como Web Portal Manager o padmin.
4. Introduccin a WebSEAL
Policy Enforcer
WebSEAL es el administrador de recursos responsable por
administrar y proteger los recursos e informacin Web.
WebSEAL es un servidor web de alta performance y multihilo que
aplica polticas de seguridad avanzadas a los recursos en el
espacio de objetos Web protegido de ISAM.
WebSEAL acta como un proxy Web reverse recibiendo solicitudes
HTTP/HTTPS de un navegador Web y entregando contenido de su
propio Servidor Web o del Servidor back-end Web asociado. Las
solicitudes que pasan por WebSEAL son evaluadas por el servicio
de autorizacin de ISAM para determinar si el usuario esta
autorizado para accede al recurso requerido.
Policy Enforcer
Soporta mltiples mecanismos de autenticacin
Integra el servicio de autorizacin de ISAM
Acepta solicitudes HTTP y HTTPS
Integra y protege servidores back-end mediante la tecnologa WebSEAL
junction.
Administra los controles de acceso avanzado para los recursos locales y
de los servidores back-end
Realiza la funcin de un Proxy Web reverso. WebSEAL aparece como un
Servidor Web aparece como un Servidor Web para clientes y aparece
como un navegador Web para los servidores back-end enlazados.
Provee capacidades de single sign-on.
Policy Enforcer
Caractersticas de WebSEAL
Verificacin de Autenticacin
Verificacin de Autorizacin
Planeamiento de Seguridad en el Espacio Web
Espacio Web Logico
Junctions
Descubrimiento de objetos en el espacio Web
Escalabilidad del espacio Web
Certificados y Single Sign-On
Soporte de Multples Dominios
5. Instalacin y Configuracin de
WebSEAL
Instalacin de WebSEAL
IBM Global Security Kit (GSKit)
IBM Tivoli Directory Server client (depending on the
registry used)
Security Access ManagerLicense
IBM Security Utilities
Security Access ManagerRuntime
Security Access ManagerWeb Security Runtime
Security Access ManagerWebSEAL
Prerrequisitos de Instalacin
Sistema Operativo soportado y con los parches respectivos.
Revisar las notas de ISAM para e-bussines
Servidor de directorio y Policy Server instalado y en ejecucin.
IBM Java Runtamie Environment (JRE) 1.5.0 instalado.
Exploradores Soportados
Plataforma Windows
Internet Explorer 5.5 or later
Mozilla version 1.7
UNIX o Linux
Mozilla version 1.7 or later
Configuracin de WebSEAL
Nombrando el Servidor WebSEAL
Archivo de configuracin de WebSEAL
Unique configuration file for each WebSEAL instance
/opt/pdweb/etc/webseald-instance_name.conf
C:\Program Files\Tivoli\PDWeb\etc\webseald-instance_name.conf
Organizacin del archivo de configuracin
El archivo de configuracin tiene secciones llamadas estrofas.
Cada estrofa tiene un valor asignado a una llave
[stanza]
key = value
Configuracin de multiples instancias de WebSEAL (opcional)
Multiples servidores WebSEAL pueden ejecutarse en la misma computadora.
Configuracin de WebSEAL
Soporte para Lenguaje de WebSEAL
Optionally, you can install multiple language support forWebSEAL
All static content pages associated with login and error pages are
translated into multiple languages
Contenido localizado bajo /opt/pdweb/lib esta basado en el codigo de
lenguaje enviado por el navegador
Comunicacin con multiples Servidores WebSEAL
Cada instancia de WebSEAL es tratado como un servidor diferente por
ISAM
El Puerto por defecto para el WebSEAL es 7234
Cada instancia del WebSEAL inicia conexin con el servidor ISAM en
Puerto 7135.
Configuracin de WebSEAL
Especificando Interfaces de Red.
Seleccionar una de las siguientes opciones en las interfaces:
WebSEAL se une a un Puerto especifico todas las interfaces
WebSEAL se une a un Puerto especifico en una interface.
WebSEAL se une a un Puerto especifico en algunas interfaces.
All interfaces es la configuracin por defecto
Se puede especificar en el momento de la configuracin para habilitar
interfaz de red logica.
WebSEAL y hosting virtual
WebSEAL y soporte para SSL
6. Web Gateway Appliance
Caractersticas del Web security
gateway appliance
Las principales caractersticas del dispositivo incluyen:
Capacidades de balanceo de carga en front-end.
Capacidades de Web Application Firewall
Un tablero para revisar el estado del sistema.
Anlisis y herramientas de diagnostico.
Administracin centralizada de las propiedades del proxy.
Control de las propiedades del sistema como actualizacin,
licencias, y propiedades de red.
Caractersticas del Web security
gateway appliance
IBM Security Web Gateway Appliancellega en dos
formatos: hardware appliance y virtual appliance.
El hardware appliance consiste del hardware appliance y
firmware Web Gateway Appliance preinstalado. El
hardware appliance tiene las siguientes especificaciones:
Intel i7 2600 procesador
32-GB memoria
100-GB disco de estado solido
6 puertos de red.
Caractersticas del Web security
gateway appliance
El appliance virtual es un componente ISAM. Puede ser
hosteado por los siguientes hipervisores virtuales:
VMware ESX 4.1 y fix packs
VMware ESXi 4.1 y fix packs
VMware ESXi 5.0 y fix packs
7. Administrando el control de
acceso
Protected Object Space
El Espacio protegido de objetos consiste de los
siguientes objetos:
Objetos Recursos (representacin lgica de recursos)
La representacin lgica de recursos fsicos actuales en un dominio,
como archivos, servicios, paginas web y colas de mensaje.
Objetos Contenedor (grupos lgicos de objetos recursos)
Componentes estructurales que agrupan objetos recursos
jerrquicamente en distintas regiones funcionales.
Protected Object Space
Lista de Controles de Acceso
Las polticas ACL define quien puede acceder y que operaciones
pueden ser realizadas en el objeto.
Cada poltica ACL tiene un nico nombre y puede ser aplicada a
mltiples acceso dentro de un dominio.
Una poltica ACL consiste de una o mas de las siguientes
entradas de descripcin:
Los nombres de usuarios y grupos quienes acceden al objeto es
explcitamente controlada.
Las operaciones especificas de cada usuario, o role que pueden realizar
Las operaciones especificas que las categoras especiales de usuarios
any-other y unauthenticated pueden hacer.
Propiedades de Control de Acceso
Cada poltica ACL puede contener una o mas entradas ACL. Cada entrada ACL
contiene atributos que identifican los usuarios o grupos y las acciones que
este usuario o grupo puede realizar.
El formato general de una entrada ACL contiene los siguientes atributos:
Tipo:
Especifica la categora de la entidad (usuario, grupo, especial) por la cual la entrada
ACL fue creada.
ID:
El nico identificador (nombre) del usuario o grupo que es especificafo con el tipo de
atributo.
Permisos:
Define el grupo de permisos que son permitidos en el recurso para el usuario o grupos.
Permisos son definidos mediante el uso de bits de accin.
Propiedades de Control de Acceso
Protectec Object Policy
Protected object policies (POP) proven condiciones adicionale para
el gobierno de acceso a los objetos, incluyendo estos ejemplos:
Hora del dia
Nivel de auditoria
Permit
Deny
Error
Admin
Autenticacin IP
Warning attribute
8. Autenticacin WebSEAL
Vista General de Autenticacin
Proceso de identificacin de usuario
Mtodos autenticacin incorporados
El resultado de autenticacin es una identidad de usuario
Identidad de usuario es usado para la creacin de
credenciales de usuario
Credenciales de usuario son usados para decisin de
autorizacin
Mtodos de Autenticacin
Autenticacin Basica
Formularios de Autenticacin
Autenticacin certificada desde el cliente
Autenticacin por token
Reautenticacin
Interfaz de Autenticacin Externa
9. WebSEAL Junctions
Vista General de WebSEAL juctions
La conexin entre un servidor WebSEAL y un Servidor
back-end es conocido como un WebSEAL junction
estndar. Un WebSEAL junction es una conexin TCP/IP
entre un WebSEAL front-end y un Servidor back-end.
WebSEAL tambin soporta hosting virtual a travs de
otras formas de junctions llamados juctions de hosting
virtual.
El servidor back-end puede ser otro servidor WebSEAL o
comnmente un Servidor de aplicaciones de terceros.
Junctions
Espacio web lgico
Como trabajan los juctions
Luego que un junction es configurado, un cliente puede
requerir paginas de un servidor back-end anteponiendo la ruta
URL con el nombre del junction configurado.
Ejemplo:
Un usuario se conecta directamente a un servidor back-end (Servidor
A), mediante el siguiente URL para acceceder a la pagina index.html:
http://serverA(/index.html
Luego el Servidor WebEAL (WebSEAL 7) tiene un junction (llamado
Junction1), el usuario puede accede a la misma pagina mediante el
uso de la siguiente URL:
http://WebSEAL7/Junction1/index.html
Como trabajan los juctions
Junction mapping table
WebSEAL puede corregir solicitudes entrants
Agregar un junction name que esta basado en una
coincidencia con un patron
No funciona en todas las situaciones por ejemplo, el
mismo patron en dos servidores back-end
Configuracin del junction mapping
table
Crear un archivo jmt.conf en el directorio /lib como se indica:
#<Junction> <Pattern>
/junction1 *pattern1*
/junction2 /pa??ern2*
Cargar el JMT mediante el uso del siguiente comando pdadmin jmt:
pdadmin> server task server-name jmt load
La localizacin del jmt.conf esta especificado en webseald-
default.conf
[junction]
jmt-map = lib/jmt.conf
Transparent Path Junctions
El nombre del junction de ruta transparente representa el
nombre del actual subdirectorio en el servidor back-end.
En un junction de Ruta Transparente el nombre del junction
configurado debe coincidir con el nombre del subdirectorio
bajo la raz del espacio de documentos del Servidor back-end.
Todos los recursos a travs de este junction deben estar
localizados bajo este subdirectorio.
Si el junction configurado es /docs, todos los recursos
controlados por el junction deben estar localizados en el
servidor back-end bajo el subdirectorio llamado /docs.
Worker Thread Limit
Un servidor back-end con tiempos de respuestas puede causar
que el servidor WebSEAL se quede sin respuesta en todos los
junctions.
Todos los hilos de trabajo estan esperando por un junction
No hay hilos disponibles para otros junctions.
Se pueden limitar el numero de hilos de trabajo por junction
asi como el porcentaje de hilos de trabajo
Se pueden definer dos niveles en un junction
Limite a nivel de software
Limite a nivel de hardware
Fijando los limites
El limite para un especifico junction es fijada en la creacin del
junction:
-l <soft limit percentage>
-L <hard limit percentage>
Para fijas los limites ingresar los siguientes comandos:
pdadmin> server task webseald-myhost create -l 60 -L 80 /jct1
Para obtener las estadsticas, ingresar los siguientes comandos:
pdadmin> server task default-webseald-tam.ibm.com stats get
pdweb.threads