Servicios de Seguridad
WebLogic Server proporciona seguridad para las aplicaciones a través de un "security realm"
(reino de seguridad). Un reino de la seguridad proporciona acceso a dos servicios:
- Un servicio de autentificación, que permite que el servidor WebLogic verifique la identidad de los usuarios.
- Un servicio de autorización, que controla el acceso de los usuarios a las aplicaciones.
Autentificación
Un reino tiene acceso a un almacén de usuarios y de grupos y puede autentificar a un usuario comprobando una
credencial suminstrada por el usuario (generalmente una password) contra el nombre de usuario y la credencial
en el almacén de seguridad. Los navegadores Web utilizan la autentificación solicitando un nombre de usuario y
una password cuando un cliente web intenta acceder a un servicio protegido del servidor WebLogic. Otros clientes
del servidor WebLogic proporcionan nombres de usuarios y credenciales programaticamente cuando establecen
conexiones con el servidor WebLogic.
Autorización
Los servicios de WebLogic Server se protegen con listas del control de acceso (ACLs). Una ACL es una lista de usuarios y
grupos que están autorizados para acceder a un servicio. Una vez que se haya autentificado a un usuario, el servidor
WebLogic consulta la ACL de un servicio antes de permitir que el usuario tenga acceso al servicio.
Alternartivas y Reinos Personalizados
El reino de seguridad es enchufable--podemos utilizar el Fichero del reino por defecto, un reino alternativo suministrado
con el servidor WebLogic, o podemos crear nuestro propio reino. El fichero de reino por defecto graba usuarios, passwords,
grupos, y ACLs en un fichero cifrado. El fichero se maneja a través de la consola de administración.
El servidor WebLogic incluye reinos alternativos que acceden a un almacén externo de usuarios y grupos y a veces ACLs.
Los reinos alternativos proporcionan estos sistemas externos de seguridad:
- Lightweight Directory Access Protocol (LDAP), Netscape Dirctory Server, Microsoft Site Server y Novell NDS.
- Servicio de Login de UNIX
- Dominio de Windows NT
- RDBMS, un reino que utiliza un sistema de base de datos para grabar usuarios, grupos, y ACLs.
Se puede desarrollar un reino personalizado para el uso en un servidor WebLogic implementando los interfaces Realm de
WebLogic. El servidor WebLogic soporta reinos con un sistema de almacenamiento en memoria inmediata incorporado,
para reducir al mínimo las llamadas al almacén externo. Cualquier característica que sea implementada reino personalizado
cae dentro del fichero de reino por defecto. Por ejemplo, es común desarrollar aplicaciones personalizadas de un reino
que use un almacén externo para los usuarios y los grupos, pero mantenga las ACLs en el fichero del reino.
Encriptación
WebLogic Server soporta el protocolo Secure Sockets Layer (SSL), que protege los datos transferidos sobre un cable.
SSL es el protocolo estándar para conexiones Web seguras. El servidor WebLogic utiliza SSL en conexiones Web (HTTPS) y
en los clientes independientes Java que usan servicios basados en RMI.
Para proporcionar SSL, primero debemos comprar una ID de servidor para nuestro servidor WebLogic a una "Certificate
Authority", como VeriSign o GTE Cybertrust.
Cuando un cliente establece una conexión segura, el servidor WebLogic envía su certificado al cliente, permitiendo que el
cliente verifique que la conexión sea apropiada. Los clientes examinan el certificado para cerciorarse de que no ha expirado,
que corresponde al servidor que lo envió, y que está firmado por una Certificate Authority reconocida. Después, el servidor
y el cliente intercambian claves de cifrado y establecen una conexión segura.
WebLogic Server también puede ser configurado para requerir autentificación mutua, lo que requiere que un cliente envíe
un certificado de cliente que el servidor deba validar antes de aceptar una conexión.
Tutoriales
