Información de referencia de Oracle Java Web Console

Esta sección de referencia incluye los siguientes temas:

• Consideraciones de seguridad de Oracle Java Web Console

• Especificación de autorizaciones con la etiqueta authTypes

Consideraciones de seguridad de Oracle Java Web Console

Hay varias consideraciones de seguridad para tener en cuenta cuando utiliza aplicaciones de Oracle Java Web Console.

Estas consideraciones de seguridad incluyen lo siguiente:

• Acceso a Oracle Java Web Console - Si puede conectarse a la consola mediante un explorador.

• Acceso a las aplicaciones - Si puede ver una aplicación específica en la página de inicio de Oracle Java Web Console.

• Permisos de aplicación - Los niveles de permisos que debe tener para ejecutar partes o todo de una aplicación.

• Acceso de aplicación a sistemas remotos – ¿Cómo las credenciales de seguridad se relacionan con sistemas remotos?

• Contraseñas internas utilizadas en la consola - Cambio de las contraseñas predeterminadas que se utilizan internamente en la consola, a partir de la versión Solaris 10 11/06.

Acceso a Oracle Java Web Console

Los permisos para la aplicación de ejecutor de consola web generalmente están abiertos para que cualquier usuario válido pueda iniciar sesión. Sin embargo, puede restringir el acceso a la consola especificando los derechos en la etiqueta authTypes del archivo app.xml de la consola web, que se encuentra en el directorio /usr/share/webconsole/webapps/console/WEB-INF. Para obtener más información, consulte Especificación de autorizaciones con la etiqueta authTypes.

Algunas configuraciones del sistema se determinan para que sean muy seguras, de modo que los intentos de conexión desde un sistema remoto a las direcciones URL de la consola o las aplicaciones registradas sean rechazadas. Si el sistema está configurado para impedir el acceso remoto, cuando intenta acceder a la consola como https://hostname.domain:6789, el explorador muestra un mensaje como este:

Connect to hostname.domain:6789 failed (Connection refused)

El perfil SMF en uso en el sistema podría estar restringiendo el acceso. Consulte Perfiles de la SMF para obtener más información sobre los perfiles. Consulte Activación de acceso remoto a Oracle Java Web Console para conocer un procedimiento para permitir el acceso a la consola desde sistemas remotos.

Acceso a aplicaciones de Oracle Java Web Console

Después de iniciar sesión correctamente en la consola web, es posible que no tenga acceso automáticamente a todas las aplicaciones registradas en la consola. Normalmente, las aplicaciones se instalan para que todos los usuarios puedan verlas en la página de inicio de la consola. Como administrador, puede otorgar y restringir el acceso a las aplicaciones.

Para restringir el acceso a una aplicación, especifique los derechos en la etiqueta authTypes, que está en el archivo app.xml de la aplicación. Puede buscar el archivo app.xml de la aplicación en el subdirectorio installation-location/WEB-INF/. Normalmente, este directorio se encuentra ubicado en /usr/share/webconsole/webapps/app-context-name/WEB-INF.

Si los archivos de aplicación no están en la ubicación habitual, puede localizar los archivos mediante el siguiente comando:

wcadmin list --detail -a

Este comando enumera cada aplicación implementada, que muestra cuándo se ha implementado y la ruta de acceso al directorio base de la aplicación. El archivo app.xml se encuentra en el subdirectorio WEB-INF en el directorio base.

Para obtener más información, consulte Especificación de autorizaciones con la etiqueta authTypes.

Privilegios de aplicación

Si puede ver un enlace de aplicación en la página de inicio de Oracle Java Web Console, puede ejecutar dicha aplicación. Sin embargo, es posible que una aplicación realice comprobaciones de autorización adicionales según el usuario autenticado o la identidad del rol. Estas comprobaciones no están controladas por la etiqueta authTypes, pero están codificadas explícitamente en la aplicación en sí misma. Por ejemplo, es posible que una aplicación otorgue acceso de lectura a todos los usuarios autenticados, pero restrinja el acceso de actualización a unos pocos usuarios o roles.

Acceso de aplicación a sistemas remotos

Disponer de todas las credenciales adecuadas no garantiza que se pueda utilizar una aplicación para gestionar cada sistema dentro del ámbito de operación de la aplicación. Cada sistema que administra mediante la aplicación Oracle Java Web Console tiene su propio dominio de seguridad. Tener permisos de lectura y escritura en el sistema de consola web no garantiza que esas credenciales son automáticamente suficientes para administrar cualquier otro sistema remoto.

En general, el acceso a sistemas remotos depende de cómo se implementa la seguridad en la aplicación web. Normalmente, las aplicaciones web hacen llamadas a agentes que realizan acciones en nombre de las aplicaciones. Los agentes deben autenticar estas aplicaciones según sus credenciales de consola web y las credenciales por las que son conocidas en el sistema de agente. Según como se realice la autenticación de este agente, es posible que se realice una comprobación de autorización en el propio agente, según esta identidad autenticada.

Por ejemplo, en aplicaciones web que utilizan agentes WBEM remotos, la autenticación utiliza normalmente el usuario o identidad de rol que autenticó inicialmente para Oracle Java Web Console. Si esta autenticación falla en ese sistema de agente, el acceso a ese sistema es denegado en la aplicación web. Si la autenticación es correcta en ese sistema de agente, es posible que se siga denegando el acceso si el agente realiza una comprobación de control de acceso y se deniega el acceso. La mayoría de las aplicaciones están escritas de manera que las comprobaciones de autenticación y autorización en el agente nunca fallen si se lo ha autenticado correctamente en la consola web y ha asumido el rol correcto.

Contraseñas internas que se utilizan en la consola

A partir de la versión Solaris 10 11/06, Oracle Java Web Console utiliza varios nombres de usuario internos protegidos con contraseñas para realizar tareas administrativas en el servidor web subyacente y cifrar el almacén de claves y archivos de almacén de confianza. Las contraseñas se definen en los valores iniciales para activar la consola que se va a instalar. Para reducir la posibilidad de una infracción de seguridad, debe cambiar las contraseñas después de la instalación. Consulte Cambio de contraseñas internas para Oracle Java Web Console

Especificación de autorizaciones con la etiqueta authTypes

Si bien la mayoría de las aplicaciones web de gestión del sistema no requieren ninguna intervención del administrador para utilizar la etiqueta authTypes, en algunos casos, es posible que necesite cambiar los valores de esta etiqueta. La etiqueta authTypes contiene un conjunto de información que describe el nivel de autorización necesario para que un usuario visualice una aplicación en Oracle Java Web Console. La consola web determina si un usuario está autorizado para visualizar una determinada aplicación, en función de los requisitos de autorización en el archivo app.xml de la aplicación. Cada aplicación puede determinar si un usuario debe tener autorización adecuada para ejecutar la aplicación. Esta determinación podría realizarse como parte del proceso de instalación de la aplicación. O bien, podría necesitar proporcionar esta información, en función de sus propios requisitos de seguridad. La documentación del producto para la aplicación debe contener la información necesaria para determinar si necesita especificar un determinado permiso.

Puede anidar varias etiquetas authType dentro de la etiqueta authTypes.

La etiqueta authTypes debe contener al menos una etiqueta authType que proporcione la siguiente información necesaria:

• Tipo de comprobación de autorización que se debe realizar

• Nombre de subclase Permission

• Parámetros necesarios para creación de instancias de la subclase Permission

En el ejemplo siguiente, la etiqueta authType tiene un atributo, name. El atributo name requerido es el nombre del tipo de servicio de autorización. Diferentes tipos de autorización pueden necesitar valores diferentes para las etiquetas classType y permissionParam.

<authTypes>
    <authType name="SolarisRbac">
        <classType>
          com.sun.management.solaris.RbacPermission
        </classType>
        <permissionParam name="permission">
          solaris.admin.serialmgr.read
        </permissionParam>
    </authType>
</authTypes>

La siguiente tabla muestra las etiquetas que pueden estar anidadas en una etiqueta authType.

Tabla 3-1 Etiquetas authType anidadas

La etiqueta authTypes y las etiquetas authType anidadas son elementos necesarios en el archivo app.xml. Si desea registrar una aplicación disponible para cualquier usuario, especifique la etiqueta authType sin contenido, como se muestra en el siguiente ejemplo.

<authTypes>
        <authType name="">
            <classType></classType>
            <permissionParam name=""></permissionParam>
        </authType>
</authTypes>

Activación de acceso remoto a Oracle Java Web Console

Si sólo puede conectarse a la consola mediante el registro en el sistema que ejecuta la consola y, luego, mediante la dirección URL, https://localhost:6789, el sistema utiliza una configuración que impide el acceso remoto. A partir de la versión Solaris 10 11/06, puede activar el acceso remoto sólo a la consola, dejando otras restricciones de acceso en su lugar, con el siguiente procedimiento:

Cómo activar el acceso remoto a Oracle Java Web Console

1. Conviértase en superusuario o asuma un rol equivalente en el sistema donde se ejecuta la consola.

   Los roles incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre los roles, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Establezca una propiedad para permitir que el servidor de consola responda a las solicitudes de red y reinicie el servidor de consola.

   # svccfg -s svc:/system/webconsole setprop options/tcp_listen = true
   
   # smcwebserver restart

Desactivación del acceso remoto a Oracle Java Web Console

Puede evitar que los usuarios se conecten a la consola desde sistemas remotos. A partir de la versión Solaris 10 11/06, puede desactivar el acceso remoto sólo a la consola, dejando otros permisos de acceso en su lugar, con el siguiente procedimiento:

Cómo desactivar el acceso remoto a Oracle Java Web Console

1. Conviértase en superusuario o asuma un rol equivalente en el sistema donde se ejecuta la consola.

   Los roles incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre los roles, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Establezca una propiedad para evitar que el servidor de consola responda a las solicitudes de red y reinicie el servidor de consola.

   # svccfg -s svc:/system/webconsole setprop options/tcp_listen = false
   
   # smcwebserver restart

   Después del reinicio, la consola ahora sólo responde a un explorador en el mismo sistema que el proceso de servidor de consola. No puede utilizar un proxy en el explorador, sólo una conexión directa. También puede utilizar la dirección URL https://localhost:6789/ para acceder a la consola.

Cambio de contraseñas internas para Oracle Java Web Console

A partir de la versión Solaris 10 11/06, la consola utiliza algunos nombres de usuario y contraseñas internos. Sólo la estructura de consola utiliza nombres de usuario y contraseñas internos de la consola y nunca son utilizados directamente por un usuario o administrador del sistema. Sin embargo, si las contraseñas eran conocidas, un usuario no autorizado podría potencialmente interferir con las aplicaciones de consola. Para reducir la posibilidad de dicha infracción de seguridad, debe cambiar las contraseñas. No tiene que recordar las nuevas contraseñas porque el software las utiliza de manera oculta.

Cómo cambiar las contraseñas internas de la consola

Las contraseñas se conocen como la contraseña administrativa, la contraseña del almacén de claves y la contraseña del almacén de confianza. No necesita saber los valores iniciales predeterminados para cambiar las contraseñas. En este procedimiento se explica cómo cambiar las tres contraseñas con comandos por separado.

1. Conviértase en superusuario o asuma una función similar.

   Los roles incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre los roles, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Cambie la contraseña administrativa.

   # wcadmin password -a

   Se le pedirá que introduzca la nueva contraseña dos veces. La contraseña debe tener entre 8 y 32 caracteres.

3. Cambie la contraseña del almacén de claves.

   # wcadmin password -k

   Se le pedirá que introduzca la nueva contraseña dos veces. La contraseña debe tener entre 8 y 32 caracteres.

4. Cambie la contraseña del almacén de confianza.

   # wcadmin password -t

   Se le pedirá que introduzca la nueva contraseña dos veces. La contraseña debe tener entre 8 y 32 caracteres.