Cómo configurar la pre-autenticación

En esta sección:

Con la pre-autenticación, WebFOCUS confía en que la autenticación ya ha tenido lugar; la información sobre la identidad del usuario pasa a WebFOCUS siguendo uno de los métodos descritos en los siguientes temas. En esta configuración, WebFOCUS no presenta una página de inicio de sesión a los usuarios. Algunas características de WebFOCUS, como el acceso anónimo o la opción de que los usuarios cambien sus propias contraseñas, deben estar desactivadas.

La pre-autenticación ofrece muchas ventajas, como el inicio de sesión único (SSO en sus siglas en inglés) de usuario o la autenticación centralizada de administradores, eliminando la necesidad de sincronizar las contraseñas de WebFOCUS con otros orígenes. En función del método de autenticación elegido, puede que sean necesarios pasos adicionales para garantizar que la pre-autenticación no quede expuesta. Por ejemplo, si el ID de usuario pre-autenticado va a ser pasado en un encabezado HTTP, debe seguir ciertos pasos para asegurar que el valor del encabezado no quede expuesto.

Si el usuario inicia la sesión desde una zona de seguridad configurada para la pre-autenticación, WebFOCUS:
Principio de página
x
Cómo configurar la pre-autenticación con Autenticación de Windows

Cómo:

Puede configurar WebFOCUS para que pre-autentique los usuarios de Microsoft Windows que han sido autenticados por Microsoft Internet Information Services (IIS), con las opciones de Autenticación de Windows o autenticación básica. Esta configuración requiere un complemento que habilita a IIS para que pase las identidades de los usuarios de forma segura al contenedor de aplicaciones Java que alberga WebFOCUS. El siguiente procedimiento incluye información adicional para las configuraciones de IIS con Tomcat e IIS con WebSphere.

Éstos son algunos de los problemas que puede tener con la Autenticación de Windows:
x
Procedimiento: Cómo Configurar la pre-autenticación con Autenticación de Windows

Antes de empezar, siga estos pasos si aún no la hecho:

Además, recomendamos que haga una copia de seguridad del archivo securitysettings.xml antes de efectuar cualquier cambio.

Para más información sobre cómo crear una cuenta de administrador WebFOCUS, consulte Cómo Cree una cuenta de administrador WebFOCUS para orígenes externos. Para más información sobre cómo activar la zona alternativa, consulte Cómo Activar la zona alternativa. Para más información sobre cómo activar el acceso de superusuario, consulte Cómo Activar acceso de superusuario..

  1. Abra el archivo unidad:/ibi/WebFOCUS81/config/securitysettings.xml en un editor de texto, efectúe los siguientes cambios y guarde el archivo:
    1. En la sección filterPreference del archivo, establezca anonymousAuthEnabled en falso, formAuthEnabled en falso, y j2eePreAuthFilterEnabled en verdadero.
    2. WebFOCUS elimina por defecto el prefijo del dominio de Windows del ID de usuario proporcionado por IIS. Si desea mantener el prefijo del dominio, establezca stripDomain en falso, en la sección j2eepreauthPreference del archivo.
  2. Active su contenedor Java para que confíe en el ID de usuario pasado por el conector.
    • Para Tomcat, abra el archivo /tomcat/conf/server.xml, añada la palabra clave tomcatAuthentication en el bloque Conector AJP y establézcala en falso, como indica el siguiente ejemplo.
      <!-- Define an AJP 1.3 Connector on port 8009 --> 
<Connector port="8009" protocol="AJP/1.3"
tomcatAuthentication="false" redirectPort="8443" />
    • Para WebSphere, consulte la documentación correspondiente para ver las instrucciones de uso de WebSphere con la variable WebSphere REMOTE_USER y exponer el ID de usuario pasado por IIS a WebFOCUS.
  3. Si piensa desactivar el vínculo de cierre de sesión de las barras de menú de sus portales, proceda al paso 4. Si sus portales muestran el vínculo de Cerrar sesión, establezca una dirección de desconexión alternativa para evitar un ciclo interminable de intentos de desconexión.
    1. Entre a WebFOCUS como administrador y seleccione Consola de administración del menú Administración.
    2. En la Consola de administración, seleccione Configuración y después, Propiedades de aplicación, Seguridad.
    3. En el campo IBI_Signout_Redirect_URL, introduzca el URL completamente cualificado de una página, fuera de la aplicación web WebFOCUS.

      Pulse Guardar y salga de la Consola de administración.

    Para más información sobre la propiedad IBI_Signout_Redirect_URL, consulte Propiedades de seguridad.

  4. Reinicie la aplicación web de WebFOCUS.

Si, como se recomienda, ha activado la zona alternativa, ya puede entrar a WebFOCUS con la autenticación interna (equipos con WebFOCUS). El URL es http://localhost/ibi_apps.

Alternativamente, la pre-autenticación permite entrar a WebFOCUS iniciando la sesión en http://machinename/ibi_apps, desde cualquier estación de trabajo.

Note: Si el navegador web no está configurado para utilizar automáticamente la Autenticación de Windows Authentication con el dominio, el navegador solicitirá las credenciales de usuario al iniciar la sesión con http://machinename.domain.com/ibi_apps.
Principio de página
x
Cómo configurar la pre-autenticación con Sistemas de administración de acceso web

Cómo:

Puede usar los sistemas de administración de acceso web, incluidos CA SiteMinder, Oracle Access Manager (anteriormente Oblix) e IBM Tivoli Access Manager WebSEAL, para activar el inicio de sesión único (SSO en sus siglas en inglés) con WebFOCUS. Estos sistemas interceptan las solicitudes a WebFOCUS, garantizan que el usuario ha sido autenticado y autorizado para entrar a WebFOCUS y, a continuación, proporcionan un encabezado HTTP para que WebFOCUS localice el ID de usuario pre-autenticado. Puesto que estos sistemas interceptar y rellenan el encabezado HTTP en cada solicitud, WebFOCUS confía en que el ID de usuario del encabezado sea válido.
x
Procedimiento: Cómo Configurar la pre-autenticación con Sistemas de administración de acceso web

Antes de empezar, siga estos pasos si aún no la hecho:

Además, recomendamos que haga una copia de seguridad del archivo securitysettings.xml antes de efectuar cualquier cambio.

Para más información sobre cómo crear una cuenta de administrador WebFOCUS, consulte Cómo Cree una cuenta de administrador WebFOCUS para orígenes externos. Para más información sobre cómo activar la zona alternativa, consulte Cómo Activar la zona alternativa. Para más información sobre cómo activar el acceso de superusuario, consulte Cómo Activar acceso de superusuario..

  1. Entre a WebFOCUS como administrador y seleccione Consola de administración del menú Administración.
  2. Seleccione Diagnóstico, Info de solicitud HTTP. Verifique la ortografía del nombre del encabezado HTTP utilizado por WebFOCUS para la pre-autenticación.

    Nota: Algunas configuraciones de servidor web modifican los nombres de los encabezados HTTP. Por ejemplo, los subrayados (_) pueden quedar reemplazados por guiones (-) y las mayúculas convertirse en minúsculas.

  3. Seleccione Configuración y después, Propiedades de aplicación, Seguridad.
  4. En el campo IBI_Signout_Redirect_URL, introduzca una dirección válida de cierre de sesión para su sistema de administración de acceso web, y pulse Guardar.

    Para más información sobre la propiedad IBI_Signout_Redirect_URL, consulte Propiedades de seguridad.

  5. Abra el archivo unidad:/ibi/WebFOCUS81/config/securitysettings.xml en un editor de texto, efectúe los siguientes cambios y guarde el archivo:
    1. En la sección filterPreference del archivo, establezca anonymousAuthEnabled en falso, preAuthEnabled en verdadero, y formAuthEnabled en falso.
    2. En la sección requestHeaderPreAuthenticatedPreference, establezca principalRequestHeader en el nombre del encabezado HTTP que contendrá el ID. El valor no distingue el uso de mayúscula y minúscula, pero la ortografía debe coincidir con la de la Consola de administración.

      Para CA SiteMinder, el valor, normalmente, es SM_USER. Para IBM Tivoli Access Manager WebSEAL, el valor, normalmente, es iv-user. No hay un valor por defecto para Oracle Access Manager. Para más información, póngase en contacto con su administrador de Oracle Access Manager.

  6. Reinicie la aplicación web de WebFOCUS.
Principio de página
x
Cómo configurar la pre-autenticación con la seguridad de contenedores Java

Cómo:

Los contenedores Java, como Apache Tomcat, IBM WebSphere y Oracle WebLogic, son capaces de autenticar usuarios para WebFOCUS. El contenedor Java emplea la llamada getRemoteUser() para proporcionar los ID de usuario a WebFOCUS.
x
Procedimiento: Cómo Configurar la pre-autenticación con la seguridad de contenedores Java

Antes de empezar, siga estos pasos si aún no la hecho:

Además, recomendamos que haga una copia de seguridad del archivo securitysettings.xml antes de efectuar cualquier cambio.

Para más información sobre cómo crear una cuenta de administrador WebFOCUS, consulte Cómo Cree una cuenta de administrador WebFOCUS para orígenes externos. Para más información sobre cómo activar la zona alternativa, consulte Cómo Activar la zona alternativa. Para más información sobre cómo activar el acceso de superusuario, consulte Cómo Activar acceso de superusuario..

  1. Abra el archivo unidad:/ibi/WebFOCUS81/config/securitysettings.xml en un editor de texto, efectúe los siguientes cambios y guarde el archivo:
    1. En la sección filterPreference del archivo, establezca anonymousAuthEnabled en falso, formAuthEnabled en falso, y J2eePreAuthFilterEnabled en verdadero.
    2. Consulte la documentación de sus contenedores Java para más instrucciones acerca de la activación de la autenticación de J2EE.
  2. Si piensa desactivar el vínculo de cierre de sesión de las barras de menú de sus portales, proceda al paso 3. Si sus portales muestran el vínculo de Cerrar sesión, establezca una dirección de desconexión alternativa para evitar un ciclo interminable de intentos de desconexión.
    1. Entre a WebFOCUS como administrador y seleccione Consola de administración del menú Administración.
    2. En la Consola de administración, seleccione Configuración y después, Propiedades de aplicación, Seguridad.
    3. En el campo IBI_Signout_Redirect_URL, introduzca el URL completamente cualificado de una página, fuera de la aplicación web WebFOCUS.
    4. Pulse Guardar y salga de la Consola de administración.

    Para más información sobre la propiedad IBI_Signout_Redirect_URL, consulte Propiedades de seguridad.

  3. Reinicie la aplicación web de WebFOCUS.
Principio de página
x
Cómo configurar la pre-autenticación con OpenID

Cómo:

El proveedor de OpenID puede autenticar los usuarios en WebFOCUS. Google Accounts y Yahoo® son algunos de los proveedores compatibles, aunque también puede usar uno interno. WebFOCUS sólo es compatible con un proveedor por instalación. Asegúrese de haber configurado el URL de cierre de sesión adecuado.

Para más información acerca de cómo configurar OpenID, consulte la documentación del proveedor.
x
Procedimiento: Cómo Configurar la pre-autenticación con OpenID

Antes de empezar, siga estos pasos si aún no la hecho:

Además, recomendamos que haga una copia de seguridad del archivo securitysettings.xml antes de efectuar cualquier cambio.

Para más información sobre cómo crear una cuenta de administrador WebFOCUS, consulte Cómo Cree una cuenta de administrador WebFOCUS para orígenes externos. Para más información sobre cómo activar la zona alternativa, consulte Cómo Activar la zona alternativa. Para más información sobre cómo activar el acceso de superusuario, consulte Cómo Activar acceso de superusuario..

  1. Abra el archivo unidad:/ibi/WebFOCUS81/config/securitysettings.xml en un editor de texto, efectúe los siguientes cambios y guarde el archivo:
    1. En la sección filterPreference del archivo, establezca anonymousAuthEnabled en falso, formAuthEnabled en falso, y OpenIDAuthEnabled en verdadero.
    2. En la sección openIDPreference, introduzca el URL del proveedor de OpenID URL como propiedad claimedIdentityFieldValue. Introduzca el atributo de nomenclatura que empleará WebFOCUS para OpenID como propiedad attributeNameForAccountID.

      claimedIdentityFieldValue se encuentra establecido, por defecto, en el URL correspondiente para Google Accounts. El valor por defecto de attributeNameForAccountID es email.

  2. Entre a WebFOCUS como administrador y seleccione Consola de administración del menú Administración.
  3. Seleccione Configuración y después, Propiedades de aplicación, Seguridad.
  4. En el campo IBI_Signout_Redirect_URL, introduzca una dirección válida de cierre de sesión para el proveedor de OpenID, y pulse Guardar.

    Por ejemplo, para Google Accounts, introduzca:

    https://www.google.com/accounts/Logout

    Para más información sobre la propiedad IBI_Signout_Redirect_URL, consulte Propiedades de seguridad. Para más información acerca de las direcciones de cierre de sesión de OpenID, consulte la documentación del proveedor.

  5. Reinicie la aplicación web de WebFOCUS.
Principio de página
x
Cómo configurar la pre-autenticación con SAML 2.0

WebFOCUS es compatible con el inicio de sesión único de SAML 2.0. Para más información acerca de cómo configurar SAML con CA SiteMinder o CA CloudMinder, consulte:

https://techsupport.informationbuilders.com/tech/wbf/wbf_rln_saml_2.html

Principio de página
x
Cómo configurar la pre-autenticación con el Servicio de autenticación central (CAS)

Cómo:

Puede configurar WebFOCUS para que use la pre-autenticación del servicio de autenticación central (CAS en sus siglas en inglés). CAS permite que los clientes, como las aplicaciones web, autentiquen los usuarios sin acceder a las credenciales de seguridad. En su lugar, el cliente se autentica a sí mismo en el servidor CAS, que, a continuación, devuelve un vale de seguridad al cliente, para que valide que la conexión es segura. El cliente valida el vale proporcionando uno y su propio identificador de servicio al servidor CAS; CAS devuelve información fiable indicando si el usuario individual ha sido autenticado.

Si el servidor CAS utiliza un certificado autofirmado, en la mayoría de los casos, tendrá que añadir el certificado de firma de autoridad a los certificados raíz fiables de la JVM utilizada por WebFOCUS.
x
Procedimiento: Cómo Configurar la pre-autenticación con el Servicio de autenticación central

Antes de empezar, siga estos pasos si aún no la hecho:

Además, le recomendamos que haga una copia de seguridad del archivo securitysettings.xml antes de efectuar cualquier cambio.

Para más información sobre cómo crear una cuenta de administrador WebFOCUS, consulte Cómo Cree una cuenta de administrador WebFOCUS para orígenes externos. Para más información sobre cómo activar la zona alternativa, consulte Cómo Activar la zona alternativa. Para más información sobre cómo activar el acceso de superusuario, consulte Cómo Activar acceso de superusuario..

  1. Abra el archivo unidad:/ibi/WebFOCUS81/config/securitysettings.xml en un editor de texto, efectúe los siguientes cambios y guarde el archivo:
    1. En la sección filterPreference del archivo, establezca anonymousAuthEnabled en falso, formAuthEnabled en falso, y casAuthEnabled en verdadero.
    2. En la sección CasPreference, personalice los valores de loginURL, serviceURL y casServerUrlPrefix.

      loginURL

      Especifica el protocolo, puerto y URL de inicio de sesión del servidor CAS.

      serviceURL

      Especifica el protocolo, puerto y contexto de WebFOCUS.

      casServerUrlPrefix

      Especifica el protocolo, puerto y contexto del servidor CAS.

      Nota: No es necesario modificar las propiedades sendRenew, key y ticketValidatorClassName.

  2. Entre a WebFOCUS como administrador y seleccione Consola de administración del menú Administración.
  3. Seleccione Configuración y después, Propiedades de aplicación, Seguridad.
  4. En el campo IBI_Signout_Redirect_URL, introduzca una dirección de cierre de sesión válida para el servidor CAS (por ejemplo, https://CASserver.ibi.com/cas/logout), y pulse Guardar.

    Al desconectarse de WebFOCUS con este URL, se dan por finalizadas las sesiones de WebFOCUS y de CAS.

    Para más información sobre la propiedad IBI_Signout_Redirect_URL, consulte Propiedades de seguridad. Para más información acerca de las direcciones de cierre de sesión de CAS, consulte la documentación del proveedor.

  5. Reinicie la aplicación web de WebFOCUS.

Si está usando un certificado firmado por una autoridad de certificado fiable, WebFOCUS ha quedado configurado para usar la autenticación de CAS. Si está usando un certificado autofirmado, además tendrá que añadir el certificado de firma de autoridad a los certificados raíz fiables de la JVM utilizada por WebFOCUS. Para más información, consulte Cómo Añadir un certificado autofirmado al Almacén de certificados CAS .
Ejemplo: Cómo actualizar casPreferences en el archivo securitysettings.xml

El siguiente código se trata de un ejemplo de cómo alterar la sección casPreference del archivo securitysettings.xml para que implemente la pre-autenticación CAS. 

<bean id="casPreference" class="com.ibi.webapp.security.config.WFCasPreference">
<property name="loginUrl" value="https://CASServer:port/cas/login"/>
<property name="serviceUrl" value="http://WebFOCUSServer:port/ibi_context/"/>
<property name="sendRenew" value="false"/>
<property name="key" value=""/>
<property name="casServerUrlPrefix" value="https://CASServer:port/cas"/>
<property name="ticketValidatorClassName" value=""/>
</bean>

donde:

CASServer:port

Es el servidor y puerto de CAS.

WebFOCUSServer:port/ibi_context/

Es el servidor, puerto y directorio raíz de contexto de WebFOCUS.
x
Procedimiento: Cómo Añadir un certificado autofirmado al Almacén de certificados CAS

Si está usando un certificado autofirmado, además tendrá que añadir el certificado a los certificados raíz fiables de la JVM utilizada por WebFOCUS.

Nota: Esta tarea no es necesaria si está usando un certificado firmado por una autoridad de certificados fiable.

  1. Apague el servidor Tomcat.
  2. Vaya al JDK de Tomcat y localice el archivo cacerts. Normalmente, el archivo cacerts está situado en la carpeta JDK\jre\lib\security\.
    1. En la carpeta que contiene el archivo cacerts, ejecute el siguiente comando: 

      ..\..\..\bin\keytool -import
-alias youralias -keystore cacerts -file path\to\youralias.crt

      donde:

      youralias

      Es el alias asignado a su certificado.

      youralias.crt

      Es el archivo del certificado.

    2. Si se le solicita una contraseña, introduzca changeit.Si se le solicita que importe un certificado, introduzca yes.
  3. Reinicie el servidor Tomcat.
Ejemplo: Errores de validación de CAS

Los errores de validación de CAS pueden producirse con el uso de certificados autofirmados que no han sido añadidos al almacén de certificados fiables. En estos casos, recibirá un error similar a éste:

[YYYY-MM-DD hh:mm:ss,sss] ERROR 
org.jasig.cas.client.validation.Cas20ServiceTicketValidator
http-apr-8080-exec-2 - javax.net.ssl.SSLHandshakeException: 
sun.security.validator.ValidatorException: PKIX path building failed: 
sun.security.provider.certpath.SunCertPathBuilderException: 
unable to find valid certification path to requested target 
javax.net.ssl.SSLHandshakeException: 
sun.security.validator.ValidatorException: PKIX path building failed: 
sun.security.provider.certpath.SunCertPathBuilderException:
unable to find valid certification path to requested target
at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source)
.
.
.
... 60 more
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: 
unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(Unknown Source)
at java.security.cert.CertPathBuilder.build(Unknown Source)
... 66 more
Principio de página
x
Cómo configurar la pre-autenticación con soluciones personalizadas de inicio de sesión único (SSO)

WebFOCUS es capaz de integrarse en otras aplicaciones para ofrecer al usuario la experiencia de inicio de sesión único (SSO en sus siglas en inglés). Por ejemplo, el usuario puede entrar a una aplicación web existente con credenciales validadas por la misma. Si pulsa los botones o vínculos dirigidos a un portal WebFOCUS, puede hacer que el usuario entre automáticamente a WebFOCUS, en lugar de obligarlo a introducir nuevamente su contraseña.

La mejor manera de alcanzar este grado de integración es a través de la implementación de un filtro personalizado de miniservidor Java, dentro de la aplicación web WebFOCUS. El Servicio de soporte al cliente puede desarrollar una solución personalizada basada en IBIServletFilter. Como alternativa, si sus usuarios acceden a WebFOCUS por IIS, puede instalar un módulo HTTP utilizando ASP.NET en IIS.

Las soluciones personalizadas suelen seguir uno de estos métodos:

Token de un solo uso

El usuario inicia la sesión WebFOCUS haciendo clic en un vínculo o en una pestaña de la aplicación web existente. La aplicación web crea una cadena (token) aleatoria y la almacena, junto con el ID de usuario, en una base de datos a la que tiene acceso WebFOCUS. El token pasa a WebFOCUS con la solicitud de conexión de una redirección HTTP 302, iniciada por el servidor de aplicaciones o una solicitud de JavaScript asíncrona, iniciada por la aplicación en el navegador web.

Cuando IBIServletFilter determina que no hay ninguna sesión WebFOCUS asociada a esta solicitud SSO, el miniservidor envía una solicitud ODBC a la base de datos compartida para que recupere el ID de usuario asociado al token. Se borra la fila de la base de datos para impedir que el token vuelva a utilizarse. El ID de usuario queda establecido como valor de un encabezado HTTP pasado a WebFOCUS, en la pre-autenticación.

Secreto compartido

El usuario inicia la sesión WebFOCUS haciendo clic en un vínculo o en una pestaña de la aplicación web existente. La aplicación web crea un hash con el ID de usuario, que incorpora un secreto compartido con IBIServletFilter. A continuación, el hash pasa a WebFOCUS. IBIServletFilter genera un hash con el ID de usuario, utilizando el mismo algoritmo y secreto, y lo compara con el hash pasado en la solicitud. Si coinciden, el ID de usuario es fiable. Si no coinciden, se rechaza la conexión.

Integración de SAML

Puede que la aplicación web sea capaz de generar una aserción SAML con el ID de usuario y otra información. Puede modificar IBIServletFilter para que valide la aserción SAML pasada por la aplicación y establezca un encabezado HTTP con el ID de usuario.

Nota: El hecho de pasar el ID de usuario en un encabezado HTTP o en una cookie no crea una implementación SSO segura. También debe proporcionar un método de garantizar que el ID de usuario sea válido.

Por ejemplo, si sólo pasa el ID de usuario en un encabezado HTTP llamado SSO_USER, un usuario no autorizado podría usar un complemento de navegador web para generar ese encabezado HTTP y rellenarlo con cualquier ID de usuario válido. WebFOCUS no sabría que el encabezado HTTP fue creado por un proceso no autorizado. El uso de tokens de seguridad, secretos compartidos o la integración SAML proporciona la validación necesaria para evitar estos casos.

Para obtener más información acerca de una solución de SSO personalizada, póngase en contacto son el Servicio de soporte al cliente.

Principio de página
x
Cómo configurar la pre-autenticación con tarjetas de acceso común utilizando el estándar Infraestructura de clave pública (PKI)

En esta sección:

Cómo:

El Departamento de Defensa de Estados Unidos emite una tarjeta inteligente llamada tarjeta de acceso común (CAC en sus siglas en inglés) para la identificación de todo el personal y contratistas del Departamento de Defensa. Cuando se utiliza junto con una configuración del lector de tarjetas adecuada, en un equipo de usuario final, un servidor web configurado para solicitar certificados de lado del cliente, siguiendo el estándar de infraestructura de clave pública (PKI), puede usar estas tarjetas para llevar a cabo la autenticación basada en certificados.

WebFOCUS puede recuperar los atributos de Nombre común o Nombre principal de usuario, a partir del certificado de usuario proporcionado, y usarlos para rellenar la variable REMOTE_USER. Esto ofrece un inicio de sesión WebFOCUS fiable, a través de CAC.

x
Requisitos de pre-instalación

Debe configurar el servidor web para que solicite a los usuarios los certificados de lado del cliente, mediante PKI. El software de lectura de tarjetas ActivIdentity™ debe estar instalado correctamente en los equipos del usuario final para que el Cliente WebFOCUS puede confiar en el certificado del cliente. Para más información acerca de la configuración del software ActivIdentity, consulte la documentación proporcionada por el Departamento de Defensa estadounidense.

Este procedimiento es similar a la configuración de pre-autenticación con la seguridad de contenedores Java. Antes de empezar, siga estos pasos si aún no la hecho:

El ID de usuario de la cuenta de administrador WebFOCUS debe tratarse del valor del atributo de certificado elegido para la propiedad IBI_PKI_Userid_Source.

Por ejemplo, si el nombre común (CN) del administrador de WebFOCUS es Joe.Smith.1122334455 y ha establecido IBI_PKI_Userid_Source en cn, el ID de usuario WebFOCUS debe ser Joe.Smith.1122334455. Por ejemplo, si el nombre principal del usuario (UPN) del administrador de WebFOCUS es 1122334455@mil y ha establecido IBI_PKI_Userid_Source en upn, el ID de usuario WebFOCUS debe ser 1122334455@mil.

Para más información sobre cómo crear una cuenta de administrador WebFOCUS, consulte Cómo Cree una cuenta de administrador WebFOCUS para orígenes externos. Para más información sobre cómo activar la zona alternativa, consulte Cómo Activar la zona alternativa. Para más información sobre cómo activar el acceso de superusuario, consulte Cómo Activar acceso de superusuario..
x
Procedimiento: Cómo Activar la pre-autenticación con un certificado de cliente PKI
  1. Entre a la Consola de administración WebFOCUS como administrador y seleccione Consola de administración del menú Administración.
  2. Seleccione Configuración y después, Propiedades de aplicación, PKI.
  3. Modifique las propiedades de PKI según sea necesario y guarde sus cambios.

    Los atributos se activan en cuanto quedan guardados. No es necesario reciclar el servidor de aplicaciones.
x
Referencia: Propiedades de seguridad para la pre-autenticación con un certificado de cliente PKI
IBI_PKI_Filter_Enabled

Activa el filtro PKI, que extrae el atributo especificado en la propiedad IBI_PKI_Userid_Source para rellenar REMOTE_USER. Managed Reporting y ReportCaster deben estar configurados por separado, para poder usar la variable de inicio de sesión REMOTE_USER. El valor predeterminado es Falso. Para más información, consulte Cómo configurar la pre-autenticación.

IBI_PKI_Userid_Source

Especifica el atributo de certificado que debe usarse para rellenar el id. de usuario especificado por REMOTE_USER. Los valores posibles son:

  • cn.El nombre común del certificado. Por ejemplo, Joe.Smith.1122334455.

  • subject. El atributo de asunto del certificado. Este es el valor predeterminado.

  • upn.El atributo userPrincipalName de la sección Nombre de asunto alternativo del certificado. Por ejemplo, 1122334455@mil.

    Debido a la codificación de UPN, debe disponer de una copia de la biblioteca Bouncy Castle Java Cryptography en su ruta de clase. Puede descargarla desde el sitio web de Bouncy Castle, http://www.bouncycastle.org/java.html.

IBI_PKI_Allow_IP

Especifica una lista de direcciones IP, separadas por un punto y coma, que podrán pasar el filtro PKI incluso cuando la solicitud no presente un certificado de cliente válido. La dirección IP del servidor de distribución ReportCaster debe estar incluida en la lista, para que el Servidor de distribución pueda recuperar contenido WebFOCUS. La lista puede tener este aspecto:

127.0.0.1;127.0.0.2

Si no se especifica la dirección IP y no se incluye un certificado de cliente, el filtro PKI devolverá un error 403 prohibido al acceder a él.
x
Consideraciones acerca de Developer Studio

En estos momentos, Developer Studio no es capaz de proporcionar certificados de cliente a través de PKI. No se puede usar Developer Studio en entornos que tengan configurada esta función.
Principio de página
x
Cómo configurar Kerberos para el inicio de sesión único

En esta sección:

WebFOCUS es compatible con el inicio de sesión único (SSO) entre un navegador web, el Cliente WebFOCUS y el Servidor de informes WebFOCUS para Windows. Esto incluye la compatibilidad con suplantaciones en el Servidor de informes, es decir que la capacidad SSO puede ser ampliada a los adaptadores de RDBMS compatibles con conexiones fiables, incluido Microsoft SQL Server. Este tema explica cómo configurar el entorno de SSO, que utiliza la compatibilidad nativa de Kerberos en Active Directory.

La capacidad SSO requiere un dominio de Active Directory, en Windows 2000 y posteriores:
x
Limitaciones
x
Pasos de pre-instalación para Windows 2003 y Windows 2008

Los siguientes pasos de pre-instalación debe ser realizados por un administrador de red con privilegios de administración de dominios. Las imágenes siguientes corresponden a un entorno de Windows 2003 o Windows 2008.

Nota: Si está ejecutando Windows 2008, puede que tenga que instalar la siguiente revisión de Microsoft para que su controlador de dominios sea compatible con el uso de un archivo keytab de Kerberos:

http://support.microsoft.com/kb/951191

x
Procedimiento: Cómo Llevar a cabo los pasos de pre-instalación para Windows 2003 y Windows 2008
  1. Cree una cuenta de servicio, en Active Directory, para la función SSO de WebFOCUS.

    El valor especificado para Field1 debe empezar por HTTP, en mayúscula. El formato es 

    HTTP/computername.domain.ext

    donde:

    computername.domain.ext

    Es el nombre completamente cualificado del equipo en que se va a instalar el Cliente WebFOCUS.

    El valor especificado para Field2 se convierte en el atributo sAMAccountName para la cuenta del servicio. El formato es

    http_computername

    donde:

    computername

    Es el nombre del equipo en que se va a instalar el Cliente WebFOCUS.

    La siguiente imagen presenta un ejemplo del cuadro de diálogo Nuevo objeto - usuario. Muestra los campos establecidos en el formato recomendado, indicando que el Cliente WebFOCUS va a quedar instalado en un equipo llamado wf-kerb.

    Cuadro de diálogo Nuevo objeto - usuario, con campos establecidos en el formato recomendado

  2. En el cuadro de diálogo Nuevo objeto - usuario, pulse Siguiente. El cuadro de diálogo le pide que introduzca la contraseña, como indica la siguiente imagen.

    Confirmación de cuadro de diálogo Nuevo objeto - usuario

    1. En los campos Contraseña y Confirmar contraseña, introduzca una contraseña.
    2. Seleccione las casillas de No se puede cambiar la contraseña y La contraseña nunca caduca, y pulse Siguiente.

      Aparece un cuadro de diálogo de confirmación, indicando que se va a crear el usuario con las propiedades mostradas.

  3. Pulse Terminar para ir a las propiedades de la cuenta del servicio.
  4. Revise las propiedades de la cuenta del servicio, como indica la siguiente imagen.

    Propiedades de usuario de servicio

    Nota: La pestaña Delegación no aparece en el cuadro de diálogo Propiedades. La pestaña Delegación no aparece hasta que ejecute el comando ktpass, como se explica en el paso 5.

  5. Ejecute el comando ktpass para establecer el atributo servicePrincipalName (SPN) en su cuenta de servicio, y generar el archivo Kerberos keytab de WebFOCUS.

    Debe ejecutar ktpass desde la línea de comandos, en una línea del controlador de dominios. Sustituya sus valores en el ejemplo siguiente. Mantenga una copia de la sintaxis del comando que esté utilizando. Puede que la necesite para solucionar problemas más adelante.

    El formato del comando ktpass es 

    ktpass /out filename /mapuser user_ID /princ principal /crypto encryption/pass password /ptype KRB5_NT_PRINCIPAL

    donde:

    filename

    Es el nombre utilizado por ktpass para crear el archivo Kerberos keytab. El valor recomendado es http_computername.keytab.

    user_ID

    Es el valor de sAMAccountName introducido en el paso 1.

    principal

    Se especifica concatenando el valor de nombre de inicio de sesión del usuario, introducido en el paso 1, con REALM, donde REALM es el ámbito (realm) Kerberos. Por lo general, el ámbito Kerberos es igual que el sufijo DNS de Active Directory, a excepción de las mayúsculas.

    encryption

    Es la opción de cifrado utilizada durante la creación del archivo keytab. Puede que tenga que descargar las herramientas de soporte de Microsoft más recientes, para obtener una versión del comando ktpass compatible con el valor recomendado de RC4-HMAC-NT.

    Nota: Si alguno de los equipos de su red está ejecutando Windows 2008 R2, Windows 7, o superior, escoja RC4-HMAC-NT para que los equipos funcionen correctamente con Kerberos. Microsoft ha eliminado todo el soporte de DES en las versiones posteriores de Windows.

    password

    Es la contraseña de Windows asociada a la cuente de servicio, en texto simple.

    A continuación le mostramos el comando ktpass en el formato adecuado, correspondiente a los ejemplos citados anteriormente en esta sección:

    C:\>ktpass /out http_wf-kerb.keytab /mapuser http_wf-kerb /princ
HTTP/wf-kerb.ibi.com@IBI.COM /crypto RC4-HMAC-NT /pass password1
/ptype KRB5_NT_PRINCIPAL

    Windows responde con los siguientes mensajes:

    Targeting domain controller: ibidca.ibi.com
Successfully mapped HTTP/wf-kerb.ibi.com to http_wf-kerb.
Key created.
Output keytab to http_wf-kerb.keytab:
Keytab version: 0x502
keysize 63 HTTP/wf-kerb.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL)
vno 2 etype
0x17 (RC4-HMAC) keylength 16 (0x0df97e7355555817c828671454137af0)

    El comando ktpass añade un atributo llamado servicePrincipalName (SPN) y modifica el atributo userPrincipalName (UPN), como indica la siguiente imagen.

    propiedad userPrincipalName

  6. Localice la cuente del equipo en que va a instalar el Cliente WebFOCUS y seleccione el botón de radio Confiar en este equipo para delegación en cualquier servicio (sólo Kerberos), como indica la siguiente imagen.

    Cuadro de diálogo Ubicación del Cliente WebFOCUS - Confiar en este equipo para delegación en cualquier servicio

  7. Seleccione la cuenta de servicio.

    La pestaña Delegación aparece en el cuadro de diálogo Propiedades, como indica la siguiente imagen.

    Nota: La pestaña Delegación no aparece antes de ejecutar el comando ktpass. La pestaña Delegación queda disponible después de ejecutar el comando ktpass.

  8. Si no está usando encabezados de host, copie el archivo keytab resultante (por ejemplo, http_wf-kerb.keytab) en el equipo en que va a instalar WebFOCUS. Si está usando encabezados de host, consulte los Pasos de pre-instalación para Windows 2003 y Windows 2008.
x
Compatibilidad con encabezados de host

Siga estos pasos si está usando uno o varios encabezados de host.

x
Procedimiento: Cómo Implementar la compatibilidad con encabezados de host

El siguiente procedimiento presupone la existencia de dos nombres de encabezado de host, wf-kerb1 y wf-kerb2.

  1. Añada registros A para cada encabezado de host, en DNS, apuntando hacia la misma dirección IP como nombre NetBIOS.

    Nota: No cree registros C.

  2. Ejecute un comando ktpass para cada encabezado de host, en el siguiente formato: 
    ktpass /in filename /out filename /princ principal /crypto encryption/pass password /ptype KRB5_NT_PRINCIPAL
    1. Para wf-kerb1, ejecute el siguiente comando ktpass: 
      ktpass /in c:\keytab\http_wf-kerb.keytab 
/out c:\keytab\http_wf-kerb.keytab 
/princ HTTP/wf-kerb1.ibi.com@IBI.COM /crypto RC4-HMAC-NT 
/pass password1 /ptype KRB5_NT_PRINCIPAL

      La salida resultante es:

      Existing keytab:
Keytab version: 0x502
keysize 63 HTTP/wf-kerb.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 2 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)
NOTE: creating a keytab but not mapping principal to any user.
      For the account to work within a Windows domain, the
      principal must be mapped to an account, either at the
      domain level (with /mapuser) or locally (using ksetup)
      If you intend to map HTTP/wf-kerb1.ibi.com@IBI.COM to an
      account through other means or don't need to map the
      user, this message can safely be ignored.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to c:\keytab\http_wf-kerb.keytab:
Keytab version: 0x502
keysize 63 HTTP/wf-kerb.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 2 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)
keysize 64 HTTP/wf-kerb1.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 1 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)
    2. Para wf-kerb2, ejecute el siguiente comando ktpass: 
      ktpass /in c:\keytab\http_wf-kerb.keytab 
/out c:\keytab\http_wf-kerb.keytab 
/princ HTTP/wf-kerb2.ibi.com@IBI.COM /crypto RC4-HMAC-NT 
/pass password1 /ptype KRB5_NT_PRINCIPAL

      La salida resultante es:

      Existing keytab:
Keytab version: 0x502
keysize 63 HTTP/wf-kerb.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 2 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)
keysize 64 HTTP/wf-kerb1.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 1 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)
NOTE: creating a keytab but not mapping principal to any user.
      For the account to work within a Windows domain, the
      principal must be mapped to an account, either at the
      domain level (with /mapuser) or locally (using ksetup)
      If you intend to map HTTP/wf-kerb2.ibi.com@IBI.COM to an
      account through other means or don't need to map the
      user, this message can safely be ignored.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to c:\keytab\http_wf-kerb.keytab:
Keytab version: 0x502
keysize 63 HTTP/wf-kerb.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 2 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)
keysize 64 HTTP/wf-kerb1.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 1 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)
  3. Ejecute los siguientes comandos setspn:

    Nota: Haga referencia a cada encabezado de host utilizando el nombre completamente cualificado del dominio o el nombre de una parte. Por ejemplo, puede hacer referencia al primer encabezado de host como kerb1.ibi.com (nombre completamente cualificado del dominio), o wf-kerb1 (nombre de una parte). Por tanto, la ejecución de los comandos setspn produce cuatro entradas, en este paso.

    1. Ejecutar: 
      setspn -A HTTP/wf-kerb1.ibi.com ibi\http_wf-kerb

      La salida resultante es: 

      Registering ServicePrincipalNames for CN=http_wf-kerb,OU=USERS,OU=DEVELOPMENT,
O=BIPG,OU=COR,DC=ibi,DC=com
       HTTP/wf-kerb1.ibi.com
Updated object
    2. Ejecutar: 
      setspn -A HTTP/wf-kerb1 ibi\http_wf-kerb

      La salida resultante es: 

      Registering ServicePrincipalNames for CN=http_wf-kerb,OU=USERS,OU=DEVELOPMENT,
O=BIPG,OU=COR,DC=ibi,DC=com
       HTTP/wf-kerb1
Updated object
    3. Ejecutar: 
      setspn -A HTTP/wf-kerb2.ibi.com ibi\http_wf-kerb

      La salida resultante es:

      Registering ServicePrincipalNames for CN=http_wf-kerb,OU=USERS,OU=DEVELOPMENT,
O=BIPG,OU=COR,DC=ibi,DC=com
       HTTP/wf-kerb2.ibi.com
Updated object
    4. Ejecutar: 
      setspn -A HTTP/wf-kerb2 ibi\http_wf-kerb

      La salida resultante es: 

      Registering ServicePrincipalNames for CN=http_wf-kerb,OU=USERS,OU=DEVELOPMENT,
O=BIPG,OU=COR,DC=ibi,DC=com
       HTTP/wf-kerb2
Updated object
x
Pasos de configuración del Cliente WebFOCUS

El siguiente procedimiento describe los pasos de configuración del Cliente WebFOCUS.

x
Procedimiento: Cómo Configurar el Cliente WebFOCUS sólo para la autenticación de Kerberos
  1. Entre a WebFOCUS como administrador y seleccione Centro de seguridad del menú Administración.
  2. Añada un ID de usuario administrativo al grupo Administradores. El formato de este ID de usuario depende de la propiedad kerberosPreference de stripDomainSuffix. El valor recomendado por defecto se encuentra establecido en verdadero, lo que indica que el ID de usuario no contiene información de sufijo del dominio.

    Si la información de sufijo del dominio es necesaria: 

    <property name="stripDomainSuffix" value="false" />

    El ID de usuario se crea en el siguiente formato: 

    user_ID@mydomain.extension
  3. En el archivo unidad:\ibi\WebFOCUS81\config\securitysettings.xml file, efectúe los siguientes cambios:
    1. En la sección <bean id="filterPreference">, establezca los valores de anonymousAuthEnabled y formAuthEnabled en falso, y spnegoAuthEnabled, en verdadero.

      Ahora, la sección incluye el siguiente código: 

      <property name="anonymousAuthEnabled" value="false"/>
<property name="formAuthEnabled" value="false"/>
<property name="stripDomainSuffix" value="true"/>
.
.
.
<property name="spnegoAuthEnabled" value="true"/>
    2. En la sección <bean id="kerberosPreference">, efectúe los siguientes cambios: 
      <property name="servicePrincipal" value="HTTP/wf-kerb.ibi.com" />
<property name="keyTabLocation" value="file:c:/ibi/WebFOCUS81/
   webapps/webfocus/WEB-INF/http_wf-kerb.keytab" />
  4. Desde la Consola de administración, pulse Configuración, Servidores de informes y después, Servicios remotos.
  5. Seleccione el modo Servidor de informes para la autenticación Kerberos y pulse Modificar.
  6. Selecciones Kerberos y pulse Guardar.
  7. Configure su navegador web antes de probar la configuración de inicio de sesión único de Kerberos.

Nota: Si quiere extender la capacidad SSO a un RDBMS, como Microsoft SQL Server, establezca la opción de seguridad de adaptador del Servidor de informes en Fiable.
x
Procedimiento: Cómo Configurar el Cliente WebFOCUS para Kerberos autenticación de reserva de formularios
  1. Entre a WebFOCUS como administrador y seleccione Centro de seguridad del menú Administración.
  2. Añada un ID de usuario administrativo al grupo Administradores. El formato de este ID de usuario depende de la propiedad kerberosPreference de stripDomainSuffix. El valor recomendado por defecto se encuentra establecido en verdadero, lo que indica que el ID de usuario no contiene información de sufijo del dominio.

    Si la información de sufijo del dominio es necesaria: 

    <property name="stripDomainSuffix" value="false"/>

    El ID de usuario se crea en el siguiente formato: 

    user_ID@mydomain.extension
  3. En el archivo unidad:\ibi\WebFOCUS81\config\securitysettings.xml file, efectúe los siguientes cambios:
    1. En la sección <bean id="filterPreference">, establezca los valores de anonymousAuthEnabled y formAuthEnabled en falso, y spnegoAuthEnabled, en verdadero.

      Ahora, la sección incluye el siguiente código: 

      <property name="anonymousAuthEnabled" value="false"/>
<property name="formAuthEnabled" value="true"/>
<property name="stripDomainSuffix" value="true"/>
<property name="formAuthenticationFallbackEnabled" value="true"/>
.
.
.
<property name="spnegoAuthEnabled" value="true"/>
    2. En la sección <bean id="kerberosPreference">, efectúe los siguientes cambios: 
      <property name="servicePrincipal" value="HTTP/wf-kerb.ibi.com"/>
<property name="keyTabLocation" value="file:c:/ibi/WebFOCUS81/
   webapps/webfocus/WEB-INF/http_wf-kerb.keytab"/>
  4. Desde la Consola de administración, pulse Configuración, Servidores de informes y después, Servicios remotos.
  5. Seleccione el modo Servidor de informes para la autenticación Kerberos y pulse Modificar.
  6. Selecciones Kerberos y pulse Guardar.
  7. Configure su navegador web antes de probar la configuración de inicio de sesión único de Kerberos.

    Nota:

    • El formulario Autenticación para la introducción de credenciales puede ser interno (utiliza el Repositorio WebFOCUS) o externo (utiliza el Servidor de informes). Esto depende de la propiedad IBI_Authentication_Type.
    • Si quiere extender la capacidad SSO a un RDBMS, como Microsoft SQL Server, establezca la opción de seguridad de adaptador del Servidor de informes en Fiable.
x
Configuración de navegadores web

La capacidad SSO requiere un dominio de Active Directory, en Windows 2000 y posteriores. Navegadores compatibles:

x
Procedimiento: Cómo Configurar Microsoft Internet Explorer Versión 8 y superiores
  1. Seleccione Opciones de Internet desde el menú Herramientas.
  2. En la pestaña General, seleccione la zona Intranet local y pulse Sitios.
  3. Pulse sobre Avanzado.
  4. Introduzca un comodín para todos los nombres de host de su DNS que formen parte de su intranet local, o introduzca el nombre de un solo equipo en que se esté ejecutando WebFOCUS, y pulse Añadir, como indica la siguiente imagen.

  5. Pulse Cerrar, Aceptar, y Aceptar nuevamente, para guardar el cambio.
  6. Seleccione la pestaña Avanzado de Opciones de Internet y compruebe que Habilitar autenticación integrada de Windows está seleccionada en la sección Seguridad.
x
Procedimiento: Cómo Configurar Mozilla Firefox
  1. Introduzca about:config en el campo de dirección y oprima la tecla Enter.
  2. Introduzca network.negotiate en el campo Buscar para localizar las dos propiedades fiables. Va a añadir su dominio a una de éstas.
  3. Haga un doble clic en la entrada network.negotiate-auth.trusted-uris, añada la información del dominio, correspondiente al servidor que está ejecutando WebFOCUS, y pulse Aceptar.
  4. Haga un doble clic en la entrada network.negotiate-auth.delegation-uris, como indica la siguiente imagen.

  5. Añada la información del dominio y pulse Aceptar.
x
Procedimiento: Cómo Configurar Google Chrome

En la mayoría de los casos, Google Chrome no requiere ninguna configuración especial para los entornos de Microsoft Windows. Normalmente, la autenticación de NTML y Kerberos puede llevarse a cabo sin necesidad de cambios en las directivas de Chrome o parámetros de línea de comandos especiales. Si es necesario, puede configurar propiedades con los parámetros de línea de comandos.

Por ejemplo, para establecer el parámetro auth-server-whitelist, inicie Chrome desde la línea de comandos:

 "C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe"
 --auth-server-whitelist="example.com"
x
Procedimiento: Cómo Probar la configuración WebFOCUS
  1. Pruebe su configuración de inicio de sesión único de Kerberos accediendo a Business Intelligence Portal (BIP), desde uno de los navegadores configurados anteriormente.

    La sintaxis es:

    http://server.url.domain:port/context

    Si ha configurado Kerberos correctamente y, como se indicó anteriormente, ha añadido su ID de usuario a Managed Reporting, ya debe estar conectado a BIP con sus credenciales de Kerberos.

  2. Asegúrese de que el Cliente WebFOCUS pueda delegar la autenticación en el Servidor de informes, mediante la ejecución de un informe basado en el nodo configurado para Kerberos.

    El archivo de registro edaprint del Servidor de informes registra request by cmrpip0000xx for Kerberos connect to agent, reflejando su ID de inicio de sesión de Windows, en formato UPN.
x
Cómo configurar el soporte de ReportCaster

La autenticación de Kerberos requiere una conexión asíncrona entre el Servidor de informes y la sesión de navegador del usuario, aunque ReportCaster no utiliza una sesión de navegador para la ejecución de informes programados. Por tanto, ReportCaster debe proporcionar un ID de usuario y una contraseña a Kerberos, para permitir los informes.

En la herramienta Configuración de servidores ReportCaster, configure cada uno de los servidores de datos con los que se comunica ReportCaster. Establezca Tipo de ID de ejecución en Usuario para asegurarse de que el usuario final reciba un aviso indicando que debe introducir su ID de usuario y su contraseña, en cada nodo.

Como alternativa, establezca Tipo de ID de ejecución en Estático e introduzca el ID de usuario y la contraseña utilizados en todas las programaciones de ese servidor de informes.

x
Procedimiento: Cómo Configurar servidores de datos de ReportCaster
  1. Entre a WebFOCUS como administrador y seleccione Consola ReportCaster del menú Herramientas.
  2. Seleccione la pestaña Configuración y abra la carpeta Servidores de datos.
  3. Seleccione el nodo deseado y modifique los siguientes ajustes.
    1. Desde la lista desplegable Tipo de seguridad, seleccione Usuario o Estático.
    2. Si selecciona Estático, pulse el botón a la derecha del campo Usuario.
    3. En el cuadro de diálogo Usuario, introduzca el ID de usuario y la contraseña, y pulse Aceptar.
    4. Pulse el botón Guardar para guardar sus cambios.
x
Cómo configurar la compatibilidad con vales de gran tamaño

La implementación Kerberos de Microsoft Windows coloca todos los identificadores de grupos de Microsoft en el interior del vale de Kerberos de cada usuario, lo que puede resultar en un vale de gran tamaño para aquellos usuarios que pertenezcan a muchos grupos. El vale de Kerberos se transporta en un encabezado HTTP, lo que puede acarrear distintos problemas técnicos cuando el vale alcanza un tamaño grande. Si algún usuario pertenece a más de 100 grupos, puede que tenga que llevar a cabo algunas de estas tareas, o todas, de configuración especial:
x
Cómo configurar WebFOCUS con Kerberos en un entorno multidominio

Este tema describe los pasos adicionales, necesarios, para que Kerberos funcione correctamente en un entorno multidominio o de subdominios.

Por ejemplo, si tiene usuarios que pertenecen a SUBA.MYDOMAIN.COM, SUBB.MYDOMAIN.COM y MYDOMAIN.COM, y todos requieren acceso al entorno Kerberos, siga las instrucciones de este tema.

Para ocuparse de las propiedades de configuración adicionales, necesarias para que Kerberos funcione correctamente en un entorno multidominio, debe crear un archivo de configuración de Kerberos llamado krb5.ini. El archivo contiene toda la información adicional, necesaria para que Kerberos funcione cuando se está utilizando más de un dominio.

Muchas versiones de Java presentan un error que impide el funcionamiento correcto de múltiples dominios, incluso con la configuración krb5.ini. Como resultado, es posible que deba actualizar su versión de Java. Para más detalles sobre este error de Java, vaya al siguiente informe de errores Java:

x
Procedimiento: Cómo Crear un archivo krb5.ini de manipulación de propiedades Kerberos
  1. Cree un nuevo archivo de texto llamado krb5.ini.

    Puede crearlo en cualquier lugar del sistema de archivos, ya que más adelante incluirá una referencia explícita a su ubicación. Para este ejemplo, cree el archivo en:

    C:\ibi\WebFOCUS81\config\krb5.ini
  2. Al principio del archivo krb5.ini, inserte las siguientes líneas de código para la sección [libdefaults].

    Sustituya el nombre de default_realm, MYDOMAIN.COM, en la última línea del ejemplo, por el nombre de DNS completamente cualificado del dominio del equipo al que se ha unido el Cliente WebFOCUS.

    Introduzca el nombre de default_realm en mayúscula.

    [libdefaults]   
    ticket_lifetime = 600   
    default_tgt_enctypes = rc4-hmac   
    default_tgs_enctypes = rc4-hmac   
    default_checksum     = rsa-md5   
    forwardable = true   
    default_realm = MYDOMAIN.COM
  3. Después de la sección [libdefaults], inserte las siguientes líneas de código para la sección [realms]. Incluya una entrada para cada dominio o subdominio que vaya a utilizar, como indica el siguiente ejemplo.

    Si los dominios y subdominios comparten controladores de dominios, puede crear una sección [realms] aquí y hacer referencia a las relaciones en la próxima sección, [domain_realm]. La sección [domain_realm] aparece descrita en el paso 4.

    [realms]
MYDOMAIN.COM = {   
   kdc = dc1.mydomain.com:88
   kdc = dc2.mydomain.com:88
   kdc = dc3.mydomain.com:88
   default_domain = mydomain.com
}
SUBA.MYDOMAIN.COM = {
   kdc = dc1.suba.mydomain.com:88
   kdc = dc2.suba.mydomain.com:88
   default_domain = suba.ibi.com
}
SUBB.MYDOMAIN.COM = {
   kdc = dc1.subb.mydomain.com:88
   kdc = dc2.subb.mydomain.com:88
   default_domain = subb.ibi.com
}

    Al igual que en la sección [libdefaults], los valores de la sección [realms] distinguen el uso de mayúsculas y minúsculas. Por ejemplo, el nombre de la primera referencia (por ejemplo, MYDOMAIN.COM, en el primer bloque del ejemplo) debe estar en mayúscula, mientras que el valor de default_domain debe aparecer en minúscula.

    Cada entrada correspondiente a kdc debe hacer referencia al nombre DNS del controlador correspondiente al dominio en cuestión. Sólo se requiere una entrada de kdc por cada dominio listado; la presencia de múltiples entradas kdc puede dar lugar a redundancias.

  4. Este paso es opcional. Para asignar dominios o nombres de host adicionales a un ámbito específico, inserte las siguientes líneas de código en la sección opcional [domain_realm].

    Los dominios se encuentran asignados a un ámbito del mismo nombre, aunque éste aparece en mayúscula. Como resultado, las siguientes entradas son redundantes:

    [domain_realm]
   .suba.mydomain.com = SUBA.MYDOMAIN.COM
   .subb.mydomain.com = SUBB.MYDOMAIN.COM
   .mydomain.com = MYDOMAIN.COM

    Para más información sobre la sección [domain_realm], consulte las especificaciones MIT Kerberos, en la siguiente página web:

    http://web.mit.edu/kerberos/krb5-1.4/krb5-1.4.1/doc/krb5-admin/domain_realm.html

  5. Este paso es opcional. Si su sitio lo requiere, inserte las siguientes líneas de código en la sección opcional [capaths].

    La sección [capaths] sólo es necesaria en entornos cuyo dominio principal no tiene relaciones de confianza unilateral con todos los dominios secundarios, o en entornos con múltiples jerarquías de dominios.

    En estos casos, el protocolo de Kerberos no es capaz de determinar cómo autenticar un usuario de un dominio, correspondiente a un recurso en otro dominio. Como resultado, las relaciones requeridas para llevar a cabo la autenticación deben quedar asignadas para que Kerberos conozca qué ruta debe tomar para autenticar al usuario. Se aplican las siguientes relaciones de confianza:

    • El dominio SUBA.MYDOMAIN.COM confía de forma unilateral en SUBB.MYDOMAIN.COM.
    • El dominio SUBB.MYDOMAIN.COM confía de forma unilateral en MYDOMAIN.COM.
    • El dominio SUBA.MYDOMAIN.COM no confía en MYDOMAIN.COM.

    En este ejemplo, Kerberos puede autenticar directamente cualquier usuario de SUBA.MYDOMAIN.COM, para cualquier recurso en SUBB.MYDOMAIN.COM. Para autenticar usuarios en SUBA.MYDOMAIN.COM con MYDOMAIN.COM, debe autenticarlos a través de SUBB.MYDOMAIN.COM, puesto que SUBA.MYDOMAIN.COM no tiene una relación directa de confianza con MYDOMAIN.COM.

    [capaths]
SUBA.MYDOMAIN.COM {
SUBB.MYDOMAIN.COM = .
MYDOMAIN.COM = SUBB.MYDOMAIN.COM
}
SUBB.MYDOMAIN.COM {
SUBA.MYDOMAIN.COM = .
MYDOMAIN.COM = .
}
MYDOMAIN.COM {
SUBB.MYDOMAIN.COM = .
SUBA.MYDOMAIN.COM = SUBB.MYDOMAIN.COM
}

    En el primer bloque, es la información de autenticación del usuario de SUBA.MYDOMAIN.COM. Kerberos puede autenticar a un usuario directamente desde SUBA.MYDOMAIN.COM en base a SUBB.MYDOMAIN.COM, como indica el punto (.). Para autenticar un usuario de SUBA.MYDOMAIN.COM en base a MYDOMAIN.COM, Kerberos debe utilizar SUBB.MYDOMAIN.COM. Esto explica la presencia de MYDOMAIN.COM =SUBB.MYDOMAIN.COM. en el código.

    En el segundo bloque, es la información de autenticación del usuario de SUBB.MYDOMAIN.COM. Puesto que Kerberos puede autenticar a un usuario directamente desde SUBB.MYDOMAIN.COM en base a SUBA.MYDOMAIN.COM y MYDOMAIN.COM, se incluye un punto (.) en ambas columnas.

    En el tercer bloque, es la información de autenticación del usuario de MYDOMAIN.COM. Kerberos puede autenticar a un usuario directamente desde MYDOMAIN.COM, para los recursos en SUBB.MYDOMAIN.COM, como indica el punto (.). Kerberos debe pasar primero por SUBB.MYDOMAIN.COM para autenticar al usuario de SUBA.MYDOMAIN.COM.

    Para más información sobre el uso de la sección [capaths] con el protocolo Kerberos, consulte el siguiente documento de MIT:

    http://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.4/doc/krb5-admin/capaths.html

Cuando haya terminado, su archivo kbr5.ini tendrá un aspecto similar a éste:

[libdefaults]
   ticket_lifetime = 600
   default_tgt_enctypes = rc4-hmac
   default_tgs_enctypes = rc4-hmac
   default_checksum = rsa-md5
   forwardable = true
   default_realm = MYDOMAIN.COM
[realms]
MYDOMAIN.COM = {
   kdc = dc1.mydomain.com:88
   kdc = dc2.mydomain.com:88
   kdc = dc3.mydomain.com:88
   default_domain = mydomain.com
}
SUBA.MYDOMAIN.COM = {
   kdc = dc1.suba.mydomain.com:88
   kdc = dc2.suba.mydomain.com:88
   default_domain = suba.ibi.com
}
SUBB.MYDOMAIN.COM = {
   kdc = dc1.subb.mydomain.com:88
   kdc = dc2.subb.mydomain.com:88
   default_domain = subb.ibi.com
}
[domain_realm]
   .suba.mydomain.com = SUBA.MYDOMAIN.COM
   .subb.mydomain.com = SUBB.MYDOMAIN.COM
   .mydomain.com = MYDOMAIN.COM
[capaths]
SUBA.MYDOMAIN.COM {
SUBB.MYDOMAIN.COM = .
MYDOMAIN.COM = SUBB.MYDOMAIN.COM
}
SUBB.MYDOMAIN.COM {
SUBA.MYDOMAIN.COM = .
MYDOMAIN.COM = .
}
MYDOMAIN.COM {
SUBB.MYDOMAIN.COM = .
SUBA.MYDOMAIN.COM = SUBB.MYDOMAIN.COM
}
x
Procedimiento: Cómo Especificar la ubicación de kbr5.ini en Apache Tomcat

Para que Kerberos utilice su archivo krb5.ini en WebFOCUS, haga referencia a la ubicación del archivo, mediante las siguiente opción de Java™. Puede especificar la opción -Djava.security.krb5.conf en Tomcat, como aparece en el siguiente procedimiento.

  1. Vaya al directorio bin de Tomcat.

    Normalmente, el directorio bin se encuentra en:

    C:\ibi\tomcat\bin\
  2. Haga un doble clic en tomcat7WFw.exe para abrir el cuadro de diálogo de configuración de Tomcat.
  3. Seleccione la pestaña Java y añada la siguiente entrada al final de la lista de Opciones Java. 
    -Djava.security.krb5.conf=C:\ibi\WebFOCUS81\config\krb5.ini

    Si escoge otra ubicación para almacenar su archivo krb5.ini, debe hacer referencia a ésta, en vez de la ubicación del ejemplo anterior.

  4. Pulse Aplicar para guardar la configuración.
  5. Detenga Tomcat y reinícielo para que entre en vigor la configuración.
WebFOCUS