IBM Tivoli Access Manager for e-business
BEA WebLogic Server: Integrační příručka Verze 5.1
SC09-3711-00
IBM Tivoli Access Manager for e-business
BEA WebLogic Server: Integrační příručka Verze 5.1
SC09-3711-00
Poznámka Než začnete používat uvedené informace a produkt, kterého se týkají, přečtěte si informace uvedené v části Dodatek C, “Poznámky”, na stránce 57.
První vydání (Listopad 2003) Tato edice platí pro verzi 5, vydání 1, modifikaci 0 produktu IBM Tivoli Access Manager (číslo produktu 5724-C08) a pro všechny předchozí vydání a modifikace do té doby, než bude v nových edicích uvedeno jinak. © Copyright International Business Machines Corporation 2003. Všechna práva vyhrazena.
Obsah Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v Pro koho je určena tato kniha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v Co tato kniha obsahuje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v Publikace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi Informace o vydání . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi Základní informace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi Informace o zabezpečení Webu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi Reference pro vývojáře . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii Technické dodatky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viii Související publikace. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viii Online přístup k publikacím . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi Dostupnost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi Kontakt na softwarovou podporu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi Konvence používané v této knize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi Konvence typu písma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi Rozdíly v operačních systémech . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii
Kapitola 1. Úvod a přehled . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Model zajištění ochrany Tivoli Access Manager . . . . . . . . Integrace produktu Tivoli Access Manager a serveru WebLogic . . . Komponenty Tivoli Access Manager Security Service Provider Interface Nasazení politik a rolí . . . . . . . . . . . . . . . Zdroje a role . . . . . . . . . . . . . . . . . . Používání autentizace produktu Tivoli Access Manager . . . . . Protokolování a monitorování . . . . . . . . . . . . . . Spolehlivost, dostupnost a přizpůsobitelnost výkonu . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
1 2 2 4 4 4 6 7
Kapitola 2. Instrukce pro instalaci . . . . . . . . . . . . . . . . . . . . . . . . . 9 Podporované platformy . . . . . . . . . . . . . . . . . . . . . Požadavky na disk a paměť . . . . . . . . . . . . . . . . . . . . Softwarové předpoklady . . . . . . . . . . . . . . . . . . . . . Server politik Tivoli Access Manager . . . . . . . . . . . . . . . . Autorizační server produktu Tivoli Access Manager . . . . . . . . . . . . Tivoli Access Manager WebSEAL nebo Tivoli Access Manager Plug-in for Web Servers. BEA WebLogic Server . . . . . . . . . . . . . . . . . . . . Java runtime produktu Tivoli Access Manager . . . . . . . . . . . . . Instalace používající průvodce instalací . . . . . . . . . . . . . . . . Volby install_amwls . . . . . . . . . . . . . . . . . . . . . Instalace používající původní obslužné programy . . . . . . . . . . . . . Instalace na AIX . . . . . . . . . . . . . . . . . . . . . . Instalace na HP-UX . . . . . . . . . . . . . . . . . . . . . Instalace na Solaris . . . . . . . . . . . . . . . . . . . . . Instalace na Windows . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. 9 . 9 . 10 . 10 . 10 . 10 . 10 . 11 . 11 . 13 . 14 . 14 . 14 . 15 . 16
Kapitola 3. Procedury konfigurace . . . . . . . . . . . . . . . . . . . . . . . . 17 Část 1: Konfigurace prostředí Java runtime produktu Tivoli Access Manager . . . . . . Část 2: Nastavení CLASSPATH pro startWebLogic . . . . . . . . . . . . . . Část 3: Konfigurace Tivoli Access Manager for WebLogic . . . . . . . . . . . . Konfigurace Tivoli Access Manager for WebLogic pomocí aplikace Console Extension Web Konfigurace Tivoli Access Manager for WebLogic z příkazového řádku . . . . . . . Část 4: Konfigurace sféry Tivoli Access Manager . . . . . . . . . . . . . . Konfigurace Tivoli Access Manager pomocí aplikace Console Extension Web . . . . . Konfigurace sféry Tivoli Access Manager Realm z příkazového řádku . . . . . . . Část 5: Konfigurace jednotného přihlášení pro BEA WebLogic Server . . . . . . . . Konfigurace jednotného přihlášení pomocí spojení WebSEAL . . . . . . . . . . © Copyright IBM Corp. 2003
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
17 18 19 19 21 22 22 23 24 25
iii
Konfigurace jednotného přihlášení pomocí Tivoli Access Manager Plug-in for Web Servers . . . . . . . . . Část 6: Konfigurace Tivoli Access Manager for WebLogic v multiserverových prostředích BEA WebLogic Server včetně klastrovaných prostředí . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Část 7: Testování konfigurace . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
. 25
. .
. 26 . 26
Kapitola 4. Povolení jednotného přihlášení . . . . . . . . . . . . . . . . . . . . 27 Jednotné přihlášení pomocí Tivoli Access Manager WebSEAL
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 27
Kapitola 5. Úlohy administrativy . . . . . . . . . . . . . . . . . . . . . . . . . 29 Povolení služby nároků na autorizačním serveru Tivoli Access Manager . Správa uživatelů a skupin s Tivoli Access Manager for WebLogic . . Použití ukázkové aplikace . . . . . . . . . . . . . . Rady pro použití . . . . . . . . . . . . . . . . . Politika přihlášení ″třikrát a dost″ . . . . . . . . . . . . Vymazání sféry produktu Tivoli Access Manager . . . . . . . Odkonfigurování Tivoli Access Manager for WebLogic . . . . . Rady pro odstraňování problémů . . . . . . . . . . . . Selhání jednotného přihlášení založeného na formulářích . . . . Server WebLogic vydá výjimku týkající se paměti . . . . . . Omezení . . . . . . . . . . . . . . . . . . . Známé problémy a způsoby, jak se jim vyhnout . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
29 30 30 32 32 33 34 34 34 35 35 36
Kapitola 6. Instrukce pro odstranění . . . . . . . . . . . . . . . . . . . . . . . 37 Odstranění ze Solaris . Odstranění z Windows Odstranění z AIX . . Odstranění z HP-UX .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
37 37 38 38
Dodatek A. Odkazy na soubory vlastností . . . . . . . . . . . . . . . . . . . . . 41 amsspi.properties . . rbpf.properties . . . amwlsjlog.properties .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. 41 . 42 . 46
Dodatek B. Rychlé odkazy na příkazy . . . . . . . . . . . . . . . . . . . . . . . 49 AMWLSConfigure –action config . . AMWLSConfigure –action unconfig . AMWLSConfigure –action create_realm AMWLSConfigure –action delete_realm
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
50 52 53 55
Dodatek C. Poznámky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Ochranné známky .
Slovníček
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 58
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Rejstřík . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
iv
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Úvod Vítejte v IBM® Tivoli® Access Manager for BEA® WebLogic Server® (dále uváděno jako Tivoli Access Manager for WebLogic). Tento produkt rozšiřuje IBM Tivoli Access Manager pro podporu aplikací zapsaných pro server BEA WebLogic. IBM® Tivoli® Access Manager (Tivoli Access Manager) je základní software požadovaný pro spuštění aplikací v sadě produktů IBM Tivoli Access Manager. Umožňuje integraci aplikací IBM Tivoli Access Manager, které nabízejí širokou paletu řešení autorizace a správy. Tyto produkty poskytují integrované řešení, které soustřeďuje politiku zabezpečení aplikací a sítě pro aplikace e-business. Poznámka: IBM Tivoli Access Manager je nové jméno předchozího vydání softwaru jménem Tivoli SecureWay® Policy Director. Pro uživatele zvyklé na software a dokumentaci Tivoli SecureWay Policy Director je na server správy odkazováno jako na server politik. Průvodce uživatele IBM Tivoli Acces Manager for WebLogic Server poskytuje instrukce pro instalaci, konfiguraci a správu IBM Tivoli Access Manager s produktem BEA WebLogic Server.
Pro koho je určena tato kniha Skupina čtenářů, na kterou se zaměřuje tato příručka pro administraci, zahrnuje: v Administrátory bezpečnosti v Administrátory sítě v IT architekty Čtenáři by měli znát: v Protokol Internetu včetně HTTP, TCP/IP, protokol přesunu souborů (FTP) a Telnet v Rozmístění a správu systémů serveru WebLogic v Správu zabezpečení, včetně autentizace a autorizace Pokud používáte komunikaci SSL (Secure Sockets Layer), měli byste také znát protokol SSL, výměnu klíčů (veřejných a soukromých), digitální podpisy, šifrovací algoritmy a vydavatele certifikátů.
Co tato kniha obsahuje Tento dokument obsahuje následující kapitoly: v Kapitola 1, “Úvod a přehled” Představuje přehled služeb autentizace a autorizace poskytovaných produktem Tivoli Access Manager for WebLogic. v Kapitola 2, “Instrukce pro instalaci″ Popisuje, jak nainstalovat Tivoli Access Manager for WebLogic. v Kapitola 3, ″Konfigurační procedury” Popisuje, jak nakonfigurovat Tivoli Access Manager for WebLogic. v Kapitola 4, “Úlohy administrativy”
© Copyright IBM Corp. 2003
v
Popisuje, jak používat vzorové aplikace, poskytuje rady pro použití, informace o odstraňování problémů a omezení. v Kapitola 5, “Instrukce pro odstranění” Popisuje, jak odstranit Tivoli Access Manager for WebLogic.
Publikace Prohlédněte si popis knihovny produktu Tivoli Access Manager, předpokládané publikace a související publikace, abyste určili, které byste mohli potřebovat. Poté, co určíte publikace, které potřebujete, se obraťte na instrukce pro online přístup k publikacím. Další informace o produktu IBM Tivoli Access Manager for e-business najdete zde: http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/ Knihovna produktu Tivoli Access Manager je organizována do následujících kategorií: v “Informace o vydání” v “Základní informace” v “Informace o zabezpečení Webu” v “Reference pro vývojáře” na stránce vii v “Technické dodatky” na stránce viii
Informace o vydání v IBM Tivoli Access Manager for e-business Čtěte jako první (GI11-2930-00) Poskytuje informace pro instalaci a spouštění Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Release Notes (GI11-4156-00) Poskytuje nejnovější informace např. o omezeních softwaru, pomocných opravách problémů nebo o aktualizacích dokumentace.
Základní informace v IBM Tivoli Access Manager Base Installation Guide (SC32-1362-00) Vysvětluje, jak nainstalovat a nakonfigurovat základní verzi softwaru Tivoli Access Manager včetně rozhraní Web Portal Manager. Tato kniha je verzí IBM Tivoli Access Manager for e-business Web Security Installation Guide a je určena k použití s ostatními produkty produktu Tivoli Access Manager, jako např. IBM Tivoli Access Manager for Business Integration a IBM Tivoli Access Manager for Operating Systems. v IBM Tivoli Access Manager Base: Administrativní příručka (SC09-3708-00) Popisuje koncepty a procedury používání služeb produktu Tivoli Access Manager. Poskytuje instrukce pro provedení úkolů z rozhraní Web Portal Manager a použití příkazu pdadmin.
Informace o zabezpečení Webu v IBM Tivoli Access Manager for e-business Web Security Installation Guide (SC32-1361-00) Poskytuje instrukce pro instalaci, konfiguraci a odstranění základního softwaru Tivoli Access Manager a komponent zabezpečení Webu. Tato kniha je novější verze IBM Tivoli Access Manager Base Installation Guide. v IBM Tivoli Access Manager Upgrade Guide (SC32-1369-00)
vi
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Vysvětluje, jak přejít na vyšší verzi z Tivoli SecureWay Policy Director verze 3.8 nebo předchozích verzí produktu Tivoli Access Manager na verzi 5.1 produktu Tivoli Access Manager. v IBM Tivoli Access Manager for e-business WebSEAL: Administrativní příručka (SC09-3709-00) Poskytuje podkladové materiály, administrativní procedury a informace o technických odkazech, které se používají ke správě zdrojů ve vaší zabezpečené webové doméně pomocí WebSEAL. v IBM Tivoli Access Manager for e-business IBM WebSphere Application Server: Integrační příručka (SC09-3710-00) Poskytuje instrukce pro instalaci, odstranění a administrativu pro integraci produktu Tivoli Access Manager s IBM WebSphere® Application Server. v IBM Tivoli Access Manager for e-business IBM WebSphere Edge Server Integration Guide (SC32-1367-00) Poskytuje instrukce pro instalaci, odstranění a administrativu pro integraci produktu Tivoli Access Manager pomocí aplikace IBM WebSphere Edge Server. v IBM Tivoli Access Manager for e-business Plug-in for Web Servers: Integrační příručka (SC09-3712-00) Poskytuje instrukce pro instalaci, procedury administrativy a informace o technických odkazech, týkající se zabezpečení vaší webové domény pomocí plug-in pro aplikace webových serverů. v IBM Tivoli Access Manager for e-business BEA WebLogic Server: Integrační příručka (SC09-3711-00) Poskytuje instrukce pro instalaci, odstranění a administrativu pro integraci produktu Tivoli Access Manager pomocí serveru BEA WebLogic. v IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění (SC09-3713-00) Poskytuje přehled úloh souvisejících s integrací produktu Tivoli Access Manager a Tivoli Identity Manager a vysvětluje, jak používat a nainstalovat kolekci Funkce zajišťování rychlého spuštění (Provisioning Fast Start collection).
Reference pro vývojáře v IBM Tivoli Access Manager for e-business Authorization C API Developer Reference (SC32-1355-00) Poskytuje odkazový materiál, který popisuje, jak používat autorizaci C API produktu Tivoli Access Manager a služby rozhraní plug-in produktu Tivoli Access Manager, abyste aplikacím přiřadili zabezpečení produktu Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Authorization Java Classes Developer Reference (SC32-1350-00) Poskytuje referenční informace, jak pomocí implementace autorizačního rozhraní API v jazyce Java™ povolit, aby aplikace používala zabezpečení produktu Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Administration C API Developer Reference (SC32-1357-00) Poskytuje referenční informace, jak pomocí administrace API povolit, aby aplikace prováděla úlohy administrativy produktu Tivoli Access Manager. Tento dokument popisuje implementaci tohoto administrativního rozhraní API v jazyce C. v IBM Tivoli Access Manager for e-business Administration Java Classes Developer Reference (SC32-1356-00)
Úvod
vii
Poskytuje referenční informace, jak pomocí implementace autorizačního rozhraní API povolit v jazyce Java, aby aplikace prováděla úlohy administrativy produktu Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Web Security Developer Reference (SC32-1358-00) Poskytuje informace o administrativě a programování CDAS (cross-domain authentication service), CDMF (cross-domain mapping framework) a modulu Odolnosti hesla.
Technické dodatky v IBM Tivoli Access Manager for e-business Command Reference (SC32-1354-00) Poskytuje informace o obslužných programech a skriptech příkazového řádku poskytovaných produktem Tivoli Access Manager. v IBM Tivoli Access Manager Error Message Reference (SC32-1353-00) Poskytuje vysvětlení a doporučené akce pro zprávy produkované Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Problem Determination Guide (SC32-1352-00) Poskytuje informace o určení problému v Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Performance Tuning Guide (SC32-1351-00) Poskytuje informace o ladění výkonnosti pro prostředí sestávající z produktu Tivoli Access Manager se serverem adresářů Tivoli IBM definovaným jako registr uživatelů.
Související publikace Tato sekce obsahuje seznam publikací souvisejících s knihovnou Tivoli Access Manager. Tivoli Software Library poskytuje celou řadu publikací týkajících se produktu Tivoli jako např. dokumenty typu white paper, základní informace o produktech, demonstrační materiály, tzv. redbooky a informace o ohlášení. Tivoli Software Library je k dispozici na této webové adrese: http://www.ibm.com/software/tivoli/library/ Obsahem Tivoli Software Glossary jsou definice mnoha technických termínů, vztahujících se k systému Tivoli. Tivoli Software Glossary je k dispozici pouze v anglickém jazyce na odkazu Glossary v levé části webové stránky Tivoli Software Library http://www.ibm.com/software/tivoli/library/
IBM Global Security Kit Tivoli Access Manager poskytuje šifrování dat pomocí produktu IBM Global Security Kit (GSKit) verze 7.0. GSKit je součástí základního CD IBM Tivoli Access Manager pro vaši specifickou platformu, ale nachází se také na CD pro IBM Tivoli Access Manager Web Security, IBM Tivoli Access Manager Web Administration Interface a IBM Tivoli Access Manager CD Directory Server. Sada programů GSKit poskytuje obslužný program pro správu klíčů iKeyman, gsk7ikm, který umožňuje vytvořit databáze klíčů, dvojice veřejných a soukromých klíčů, a certifikaci požadavků. Následující dokument je dostupný na stránkách Tivoli Information Center ve stejné sekci jako dokumentace produktu IBM Tivoli Access Manager: v IBM Global Security Kit Secure Sockets Layer and iKeyman User’s Guide (SC32-1363-00) Poskytuje informace pro administrátory sítě nebo systémového zabezpečení, kteří chtějí aktivovat SSL komunikaci v prostředí produktu Tivoli Access Manager.
IBM Tivoli Directory Server IBM Tivoli Directory Server, verze 5.2, je součástí CD IBM Tivoli Access Manager Directory Server pro požadovaný operační systém.
viii
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Poznámka: IBM Tivoli Directory Server je nové jméno pro předešle vydaný software známý jako: v IBM Directory Server (verze 4.1 a verze 5.1) v IBM SecureWay Directory Server (verze 3.2.2) IBM Directory Server verze 4.1, IBM Directory Server verze 5.1 a IBM Tivoli Directory Server verze 5.2 jsou stále produktem IBM Tivoli Access Manager verze 5.1 podporovány. Další informace o IBM Tivoli Directory Server najdete zde:: http://www.ibm.com/software/network/directory/library/
IBM DB2 Universal Database Produkt IBM DB2® Universal Database™ Enterprise Server Edition, verze 8.1 je k dispozici na CD IBM Tivoli Access Manager Directory Server a je nainstalován se softwarem IBM Tivoli Directory Server. Produkt DB2 je vyžadován, pokud používáte server IBM Tivoli Directory Server, servery z/OS™, nebo OS/390® LDAP jako registr uživatelů pro Tivoli Access Manager. Další informace o DB2 najdete zde: http://www.ibm.com/software/data/db2/
IBM WebSphere Application Server Aplikační server IBM WebSphere, Advanced Single Server Edition 5.0, je součástí CD IBM Tivoli Access Manager Web Administration Interfaces pro požadovaný operační systém. Aplikační server WebSphere umožňuje podporu jak rozhraní Web Portal Manager, které se používá pro administrativu produktu Tivoli Access Manager, tak Web Administration Tool, které se používá pro administrativu serveru adresářů IBM Tivoli Directory Server. Produkt Tivoli Access Manager také vyžaduje IBM WebSphere Application Server Fix Pack 2, který je k dispozici na CD IBM Tivoli Access Manager WebSphere Fix Pack. Další informace o serveru IBM WebSphere Application Server najdete zde: http://www.ibm.com/software/webservers/appserv/infocenter.html
IBM Tivoli Access Manager for Business Integration Produkt IBM Tivoli Access Manager for Business Integration, který je k dispozici jako samostatně objednatelný produkt, nabízí řešení zabezpečení pro zprávy IBM MQSeries®, verze 5.2, a IBM WebSphere® MQ pro Verzi 5.3. Produkt IBM Tivoli Access Manager for Business Integration umožňuje, aby aplikace WebSphere MQSeries posílala data diskrétně a neporušeně pomocí klíčů, které jsou přidruženy k odesílacím a přijímacím aplikacím. Stejně jako produkt WebSEAL a IBM Tivoli Access Manager for Operating Systems, tak i IBM Tivoli Access Manager for Business Integration je jedním ze správců zdrojů, který používá služby produktu IBM Tivoli Access Manager. Další informace o produktu IBM Tivoli Access Manager for Business Integration najdete zde: http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/ Následující dokumenty, které se týkají produktu IBM Tivoli Access Manager for Business Integration verze 5.1, jsou k dispozici na webové stránce Tivoli Information Center: v IBM Tivoli Access Manager for Business Integration Administration Guide (SC23-4831-01)
Úvod
ix
v IBM Tivoli Access Manager for Business Integration Problem Determination Guide (GC23-1328-00) v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-01) v IBM Tivoli Access Manager for Business Integration Read This First (GI11-4202-00)
IBM Tivoli Access Manager for WebSphere Business Integration Brokers IBM Tivoli Access Manager for WebSphere Business Integration Brokers, k dispozici jako součást produktu IBM Tivoli Access Manager for Business Integration, nabízí řešení zabezpečení pro WebSphere Business Integration Message Broker, verze 5.0 a WebSphere Business Integration Event Broker, verze 5.0. IBM Tivoli Access Manager for WebSphere Business Integration Brokers pracuje ve spojení s produktem Tivoli Access Manager, aby zabezpečil aplikace vydání/podepsání JMS poskytnutím hesla, autentizací založené na pověření, centrálně definované autorizaci a monitorováním služeb. Další informace o IBM Tivoli Access Manager for WebSphere Integration Brokers najdete zde: http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/ Následující dokumenty, které se týkají produktu IBM Tivoli Access Manager for WebSphere Integration Brokers verze 5.1, jsou k dispozici na webové stránce Tivoli Information Center: v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Administration Guide (SC32-1347-00) v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Release Notes (GI11-4154-00) v IBM Tivoli Access Manager for Business Integration Read This First (GI11-4202-00)
IBM Tivoli Access Manager for Operating Systems Produkt IBM Tivoli Access Manager for Operating Systems je k dispozici jako samostatně objednatelný produkt, pro UNIXové systémy nabízí další úroveň pro vymáhání politiky autorizace k původní úrovni vlastního operačního systému. Produkt IBM Tivoli Access Manager for Operating Systems, je stejně jako produkty WebSEAL a IBM Tivoli Access Manager for Business Integration jedním ze správců zdrojů, který používá služby produktu IBM Tivoli Access Manager. Další informace o produktu IBM Tivoli Access Manager for Operating Systems najdete zde: http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/ Následující dokumenty, které se týkají produktu IBM Tivoli Access Manager for Operating Systems verze 5.1, jsou k dispozici na webové stránce Tivoli Information Center: v IBM Tivoli Access Manager for Operating Systems Installation Guide (SC23-4829-00) v IBM Tivoli Access Manager for Operating Systems Administration Guide (SC23-4827-00) v IBM Tivoli Access Manager for Operating Systems Problem Determination Guide (SC23-4828-00) v IBM Tivoli Access Manager for Operating Systems Release Notes (GI11-0951-00) v IBM Tivoli Access Manager for Operating Systems Read Me First (GI11-0949-00)
IBM Tivoli Identity Manager IBM Tivoli Identity Manager verze 4.5 je k dispozici jako samostatně objednatelný produkt, který vám umožňuje centrální správu uživatelů (např. ID a hesla uživatelů) a zajišťování (to znamená poskytování nebo zamezování přístupu k aplikacím, zdrojům nebo operačním
x
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
systémům). Tivoli Identity Manager lze sjednotit s produktem Tivoli Access Manager přes použití agenta Tivoli Access Manager. Kontaktujte vašeho zástupce účtu IBM pro další informace o získání agenta. Další informace o IBM Tivoli Identity Manager najdete zde: http://www.ibm.com/software/tivoli/products/identity-mgr/
Online přístup k publikacím Publikace pro tento produkt jsou k dispozici v online verzi ve formátu PDF (Portable Document Format) nebo HTML (Hypertext Markup Language), případně v obou v knihovně Tivoli software library: http://www.ibm.com/software/tivoli/library Chcete-li v knihovně nalézt publikace produktu, klepněte na odkaz Product manuals (Manuály k produktům) v levé části stránky knihovny. Pak najděte na stránce Tivoli software information center jméno produktu a klepněte na ně. Publikace produktu obsahují poznámky k jednotlivým vydáním, průvodce instalací, průvodce uživatele, průvodce administrátora a reference pro vývojáře. Poznámka: Chcete-li zajistit správný tisk PDF publikací, zaškrtněte pole Fit to page v okně Print produktu Adobe Acrobat (ke kterému se dostanete, pokud klepnete na File → Print).
Dostupnost Funkce dostupnosti pomáhají uživateli s tělesným postižením, jako např. se sníženou pohyblivostí nebo omezeným viděním, úspěšně používat softwarové produkty. Pro tento produkt můžete využívat asistenční technologie, prostřednictvím kterých můžete poslouchat a navigovat rozhraní. Pro obsluhu všech funkcí grafického uživatelského rozhraní můžete místo myši použít klávesnici.
Kontakt na softwarovou podporu Než se obrátíte na IBM Tivoli Software Support se svým problémem, podívejte se na stránku IBM Tivoli Software Support klepnutím na odkaz Tivoli support na této webové adrese: http://www.ibm.com/software/support/ Pokud budete potřebovat další pomoc, obraťte se na softwarovou podporu způsobem, který je popsán v příručce IBM Software Support Guide na této webové adrese: http://techsupport.services.ibm.com/guides/handbook.html Průvodce poskytuje následující informace: v požadavky na registraci a způsobilost pro obdržení podpory v telefonní čísla v závislosti na zemi, ve které se nacházíte v jaké informace byste měli shromáždit, než se obrátíte na zákaznickou podporu
Konvence používané v této knize Tato příručka používá několik grafických konvencí pro speciální termíny a akce, a příkazy a cesty závislé na operačním systému.
Konvence typu písma V této příručce jsou použity tyto konvence typu písma: Úvod
xi
Tučné písmo Příkazy uvedené malými písmeny nebo smíšeně malými i velkými písmeny, které je těžké odlišit od okolního textu, klíčová slova, parametry, volby a jména tříd Javy a objekty jsou uvedeny tučným písmem. Kurzíva Proměnné, názvy publikací a speciální slova nebo fráze, které je nutné zdůraznit, jsou vyznačeny kurzívou. Monospace Příklady kódů, příkazové řádky, výstupy na obrazovku, jména souborů a adresářů, která je těžké odlišit od okolního textu, systémové zprávy, text, který musí uživatel správně zadat, a hodnoty argumentů nebo voleb příkazů jsou vyznačeny pomocí monospace.
Rozdíly v operačních systémech Tato kniha používá konvence operačního systému UNIX ve specifikacích proměnných prostředí a v zápisu adresářů. Pokud používáte příkazový řádek operačního systému Windows, nahraďte $proměnná za %proměnná% v proměnných prostředí a nahraďte každé lomítko (/) lomítkem zpětným (\) v cestách k adresářům. Pokud používáte nadstavbu bash v operačním systému Windows, můžete používat konvence operačního systému UNIX.
xii
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Kapitola 1. Úvod a přehled Tivoli Access Manager for WebLogic je rozšíření produktu Tivoli Access Manager, který umožňuje přístup k aplikacím BEA WebLogic Server používajícím funkce zabezpečení produktu Tivoli Access Manager. Pomoci rozhraní BEA WebLogic Server Security Service Provider Interface, ověřuje Tivoli Access Manager for WebLogic identitu účastníků v síti pomocí uživatelského registru pod správou produktu Tivoli Access Manager. IBM Tivoli Access Manager WebSEAL (WebSEAL) nebo IBM Tivoli Access Manager Plug-in for Web Servers lze použít k rozšíření funkce zabezpečení produktu Tivoli Access Manager for WebLogic pro podporu přihlášení koncového uživatele. Tivoli Access Manager for WebLogic umožňuje aplikacím serveru WebLogic používat zabezpečení Tivoli Access Manager, aniž požaduje změny v kódování nebo v instalaci. Zabezpečená doména produktu Tivoli Access Manager musí být umístěna před instalací produktu Tivoli Access Manager for WebLogic. Noví uživatelé Tivoli Access Manager by si měli prohlédnout model zajištění ochrany Tivoli Access Manager předtím, než nasadí zabezpečenou doménu. Stručný souhrn modelu zajištění ochrany je uvedený zde.
Model zajištění ochrany Tivoli Access Manager Tivoli Access Manager je kompletní řešení správy autorizace a politiky zabezpečení sítě, které poskytuje souhrnnou ochranu zdrojů všech geograficky rozptýlených intranetů a extranetů. Tivoli Access Manager poskytuje nejmodernější funkce pro správu bezpečnostní politiky. Navíc podporuje autentizaci, autorizaci, zabezpečení dat a schopnosti správy zdrojů. Produkt Tivoli Access Manager ve spojení se standardními aplikacemi založenými na Internetu používáte pro vytvoření vysoce bezpečných a dobře spravovaných intranetů a extranetů. Ve svém jádru produkt Tivoli Access Manager poskytuje: v Základní strukturu autentizace Tivoli Access Manager podporuje široký rozsah autentizačních mechanismů včetně: certifikátů, základní autentizaci, formulářů a hlaviček HTTP. v Základní strukturu autorizace Tivoli Access Manager poskytuje základní strukturu správy politik autorizace. Politiky autorizace jsou centrálně spravovány a automaticky distribuovány tak, aby měly přístup ke kontrolním bodům v rámci celé organizace. Autorizační služba Tivoli Access Manager poskytuje volby permit (povolit) a deny (zamítnout) pro požadavky k přístupu na původní servery Tivoli Access Manager a aplikace pocházející odjinud. WebSEAL je správce zabezpečení prostředků Tivoli Access Manager pro prostředky založené na webu. WebSEAL je vysoce výkonný webový server s mnoha nezávislými segmenty programu, který poskytuje důkladné zabezpečení chráněným síťovým zdrojům. Tivoli Access Manager Plug-in for Web Servers ve spolupráci produktem Tivoli Access Manager poskytuje kompletní řešení zabezpečení pro vaše webové zdroje. Plug-in funguje jako součást stejného procesu jako váš webový server, zadrží každý doručený požadavek, určuje, zda je požadováno rozhodnutí o autorizaci a pokud je třeba, poskytuje prostředky pro autentizaci uživatele. © Copyright IBM Corp. 2003
1
Tivoli Access Manager Plug-in for Web Servers i WebSEAL mohou nabídnout řešení pro jednotné přihlášení a zahrnout zdroje webových aplikaci do své bezpečnostní politiky. Více o Tivoli Access Manager, včetně informací nezbytných při rozhodování o rozmístění, najdete v dokumentaci IBM Tivoli Access Manager. Předmluva k této publikaci obsahuje výpis související dokumentace pro produkt Tivoli Access Manager.
Integrace produktu Tivoli Access Manager a serveru WebLogic Tivoli Access Manager for WebLogic, verze 5.1, podporuje: v BEA WebLogic Server verze 7.0 SP2 v BEA WebLogic Server verze 8.1 SP1 Tivoli Access Manager for WebLogic verze 5.1 poskytuje základní strukturu celého zabezpečení BEA WebLogic Server pomocí rozhraní SSPI (Security Service Provider Interface). Poznámka: Tivoli Access Manager for WebLogic verze 5.1 nepodporuje speciální sféru BEA WebLogic Server. Podpora pro speciální sféru BEA WebLogic Server byla součástí Tivoli Access Manager for WebLogic verze 4.1. BEA WebLogic Server poskytuje rozhraní SSPI pro nezávislé poskytovatele zabezpečení, jako například Tivoli Access Manager for WebLogic, aby hladce zapojily své funkce zabezpečení do architektury BEA WebLogic Server.
Komponenty Tivoli Access Manager Security Service Provider Interface Tivoli Access Manager for WebLogic nahradí předvolenou sféru zabezpečení vytvořenou s každou zabezpečenou doménou BEA WebLogic Server a aktivuje následující poskytovatele zabezpečení BEA WebLogic Server: v poskytovatel autentizace v poskytovatel autorizace v poskytovatel mapování rolí Tivoli Access Manager for WebLogic používá poskytovatele zabezpečení BEA WebLogic Server Credential Mapping a předvolenou paměť klíčů. Každý z výše uvedených poskytovatelů také obsahuje Management Bean (MBean), který umožňuje editaci konfigurace přes konzoli WebLogic. Níže uvedené sekce podrobně popisují funkčnost, jakou poskytuje každý z těchto poskytovatelů a MBeanů. Produkt Tivoli Access Manager poskytuje následující body integrace s produktem BEA WebLogic Server:
Poskytovatel autentizace Poskytovatel autentizace Tivoli Access Manager for WebLogic provádí jednoduchou autentizaci BEA WebLogic Server. Při jednoduché autentizaci se uživatel zkouší autentizovat k BEA WebLogic Server pomocí kombinace uživatelského jména a hesla. Toto uživatelské jméno a heslo jsou zkontrolovány pomocí produktu Tivoli Access Manager používajícího komponentu Tivoli Access Manager Java runtime. Tivoli Access Manager for WebLogic také poskytuje svůj vlastní přihlašovací modul, který se používá pro umožnění funkčnosti jednotného přihlášení WebSEAL nebo Tivoli Access
2
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Manager Plug-in for Web Servers. Podrobnosti o aktivaci funkčnosti jednotného přihlášení jsou zahrnuty v Kapitola 4, “Povolení jednotného přihlášení”, na stránce 27. Poskytovatel autentizace pro Tivoli Access Manager for WebLogic se skládá z několika komponent: v Poskytovatel autentizace Začleňuje poskytovatele autentizace IBM Tivoli Access Manager for WebLogic Server do základní struktury zabezpečení WebLogic (WebLogic Security Framework). v Přihlašovací modul Služba autentizace a autorizace Java (JAAS - Java Authentication and Authorization Service) Provádí jednoduchou autentizaci a autentizaci jednotného přihlášení. Přihlašovací moduly JAAS vrátí Předmět obsazený Objekty, jak je uvedeno ve standrardu JAAS. Tivoli Access Manager for WebLogic poskytuje svůj vlastní přihlašovací modul, který používá komponentu Tivoli Access Manager Java runtime pro autentizaci k autorizačnímu serveru produktu Tivoli Access Manager. v Autentizace MBean Umožňuje konfiguraci poskytovatele autentizace přes konzoli WebLogic. Také umožňuje uživatelům provádět administrativní úlohy v registru uživatelů, jako například přidávání a mazání uživatelů pomocí rozšíření konzole Tivoli Access Manager for WebLogic.
Poskytovatel autorizace Poskytovatelé autorizace zabezpečují rozhraní mezi BEA WebLogic Server a vnější autorizační službou. Poskytovatel autorizace určuje, zda by měl být udělen nebo zamítnut přístup ke zdrojům BEA WebLogic Server. Toto přístupové rozhodnutí je provedeno pomocí tříd PDPermission, které jsou distribuovány s komponentou Tivoli Access Manager Java runtime. Poskytovatel autorizace pro Tivoli Access Manager for WebLogic se skládá z následujících komponent. v Poskytovatel autorizace Začleňuje poskytovatele autorizace do základní struktury zabezpečení WebLogic (WebLogic Security Framework). Kromě řízení přístupu ke zdrojům BEA WebLogic Server obsluhuje poskytovatel autorizace Tivoli Access Manager for WebLogic nasazení politiky do prostoru objektů Tivoli Access Manager a odstranění politiky z prostoru objektů Tivoli Access Manager. v Autorizace MBean Umožňuje konfiguraci poskytovatele autorizace přes konzoli WebLogic. Vyvolává se také pro operace jako je například vytváření a mazání politiky přes konzoli WebLogic.
Poskytovatel mapování rolí Poskytovatelé mapování rolí se používají pro zajištění rozhraní mezi BEA WebLogic Server a vnější autorizační službou, která se používá pro správu rolí. Poskytovatel mapování rolí se zaměřuje spíše na role než politiku, za tu zodpovídá poskytovatel autorizace. Poskytovatel mapování rolí se skládá z následujících komponent: v Poskytovatel mapování rolí. Začleňuje poskytovatele mapování rolí do základní struktury zabezpečení WebLogic (WebLogic Security Framework). Poskytovatel mapování rolí Tivoli Access Manager for WebLogic je zodpovědný za nasazení a odstranění rolí. v Mapování rolí MBean. Umožňuje konfiguraci poskytovatele mapování rolí přes konzoli WebLogic. Vyvolává se také pro operace jako je například vytváření a aktualizace členství rolí mazáním rolí přes konzoli WebLogic. Kapitola 1. Úvod a přehled
3
Nasazení politik a rolí Politiku a role lze definovat v popisovačích nasazení, nebo vytvořit přes konzoli WebLogic. Na základě nasazení aplikací J2EE jsou role a politika, definované v rámci popisovačů nasazení aplikací, exportovány do prostoru chráněných objektů produktu Tivoli Access Manager. Ačkoli je to možné, neočekává se, že by vytváření politik bylo prováděno pomocí administrativní utility produktu Tivoli Access Manager, příkazu pdadmin nebo správce Tivoli Access Manager Web Portal Manager. Před spuštěním BEA WebLogic Server, který používá Tivoli Access Manager for WebLogic je nutno mít v produktu Tivoli Access Manager vytvořenou nějakou předvolenou politiku. Toto se provádí při konfiguraci Tivoli Access Manager for WebLogic — podrobnosti o konfiguraci Tivoli Access Manager for WebLogic jsou zahrnuty v Kapitola 3, “Procedury konfigurace”, na stránce 17.
Zdroje a role BEA WebLogic Server definuje řadu různých typů zdrojů, které jsou všechny podporovány produktem Tivoli Access Manager for WebLogic. Všechny typy zdrojů jsou uvnitř Tivoli Access Manager for WebLogic jednotné, takže nové typy zdrojů vytvořené pro budoucí vydání BEA WebLogic Server budou podporovány automaticky. Politiky a role definované pro všechny typy zdrojů jsou v prostoru chráněných objektů produktu Tivoli Access Manager uloženy stejným způsobem. Aktuální seznam podporovaných zdrojů BEA WebLogic Server, které lze zabezpečit, je: v administrativní zdroje v aplikační zdroje v zdroje COM v v v v v v v
zdroje EIS zdroje EJB zdroje JDBC zdroje JMS zdroje serveru zdroje URL zdroje webových služeb
Zdroje jsou v chráněném prostoru objektů produktu Tivoli Access Manager znázorněny v následujícím formátu: /WebAppServer/WLS/Resources/wls_domain/wls_realm/resource_type/Details
Role jsou v chráněném prostoru objektů produktu Tivoli Access Manager znázorněny v následujícím formátu: /WebAppServer/WLS/Roles/wls_domain/wls_realm/role_name/AppName
Tato jména zásobníků chráněných objektů produktu Tivoli Access Manager jsou plně konfigurovatelné pomocí souborů vlastností nakonfigurovaných s Tivoli Access Manager for WebLogic, takže všechny aplikační servery BEA WebLogic Server a ostatní aplikační servery lze nakonfigurovat na stejnou doménu produktu Tivoli Access Manager. Toto umožňuje vytvořit centralizované umístění rolí a politik pro všechny typy serverů.
Používání autentizace produktu Tivoli Access Manager Produkt Tivoli Access Manager může být použit pro poskytnutí autentizace jak vnějším, tak vnitřním uživatelům. Autentizace pro vnější uživatele závisí na schopnostech jednotného
4
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
přihlášení buď WebSEALu nebo Tivoli Access Manager Plug-in for Web Servers. Pro optimální zabezpečení sítě by žádný server WebLogic, který dostává požadavky na přístup od vnějších uživatelů buď přes WebSEAL nebo přes Tivoli Access Manager Plug-in for Web Servers, neměl akceptovat požadavky na přístup od vnitřních uživatelů. Následující sekce popisují, jak je zacházeno s autentizací pro vnější i vnitřní uživatele.
Autentizace vnějších uživatelů pomocí WebSEAL Níže uvedený diagram zobrazuje model pro zpracování požadavků na přístup do chráněných zdrojů od vnějších uživatelů.
Obrázek 1. Tivoli Access Manager poskytuje autentizaci pro jednotné přihlášení vnějších uživatelů
Následující seznam popisuje procesy uvedené v diagramu. 1. Vnější uživatel požaduje přístup do chráněného zdroje. WebSEAL obdrží požadavek dříve, než vstoupí do zabezpečené sítě podniku. 2. WebSEAL zachytí požadavek uživatele a autentizuje uživatele v zabezpečené doméně Tivoli Access Manager. WebSEAL podporuje následující politiky autentizace: jméno uživatele a heslo, certifikáty, jméno uživatele a RSA SecureID, nebo uživatelský autentizační mechanismus. WebSEAL aplikuje vlastní autorizační rozhodnutí založené na požadované URL a politice přístupu Tivoli Access Manager. WebSEAL může posoudit například platnost účtu, denní dobu nebo autentizační mechanismus. 3. Jakmile je jednou požadavek URL uživatele oprávněný, WebSEAL postoupí požadavek serveru WebLogic. Požadavek zahrnuje jméno vnějšího uživatele a speciální heslo uvnitř základní autentizační hlavičky. Speciální heslo patří uživateli sso_user a umožňuje rozhraní Security Service Provider Interface potvrdit WebSEAL jako původce požadavku. Další informace o uživateli sso_user viz Kapitola 3, “Procedury konfigurace”, na stránce 17. 4. Server WebLogic otevřeně předá totožnost a heslo ověřeného uživatele na rozhraní SSPI (Security Service Provider Interface). 5. Rozhraní SSPI používá autentizační služby produktu Tivoli Access Manager k ověření správnosti hesla poskytnutého přes WebSEAL pro výše uvedeného uživatele sso_user. Uvedené heslo poskytuje základ důvěry v to, že původcem požadavku je WebSEAL.
Kapitola 1. Úvod a přehled
5
Požadavek je nyní připraven k autorizaci.
Autentizace vnitřních uživatelů Níže uvedený obrázek zobrazuje model pro zpracování požadavků na přístup do chráněných zdrojů od vnitřních uživatelů, kteří neprocházejí přes zabezpečení WebSEAL nebo plug-in:
Obrázek 2. Speciální sféra produktu Tivoli Access Manager poskytuje autentizaci vnitřních uživatelů.
Následující seznam popisuje procesy uvedené v diagramu. 1. Vnitřní uživatel odešle požadavek na přístup do chráněného zdroje. 2. Modul autentizace uživatele WebLogic odešle totožnost uživatele do rozhraní SSPI (Security Service Provider Interface). 3. Rozhraní SSPI odešle požadavek na autentizaci do registru uživatelů. Je-li autentizace úspěšná, vrátí rozhraní SSPI jméno uživatele serveru WebLogic jako autentizovaného uživatele. 4. Pro autorizaci požadavku se musí BEA WebLogic Server dotazovat poskytovatele autorizace Tivoli Access Manager for WebLogic, který určuje, zda má aktuální autentizovaný uživatel (nebo možná neautent.) právo na přístup k požadovanému zdroji. Přístup se určí podle volání na autorizační server Tivoli Access Manager, který vybírá role, které mají udělen přístup ke zdroji a rozhoduje, zda aktuální autentizovaný uživatel má jakoukoliv z těchto rolí udělenou.
Protokolování a monitorování Protokolování uvnitř Tivoli Access Manager for WebLogic je obsluhováno třídami IBM JLog, které jsou distribuovány s komponentou Tivoli Access Manager Java runtime. Pomocí Tivoli Access Manager for WebLogic a souborů vlastností JLog, dodávaných s Tivoli Access Manager for WebLogic, lze třídy JLog nakonfigurovat, aby používaly třídy protokolování BEA WebLogic Server. Toto umožňuje Tivoli Access Manager for WebLogic protokolovat události přímo do souborů protokolu WebLogic.
6
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Spolehlivost, dostupnost a přizpůsobitelnost výkonu Tivoli Access Manager for WebLogic používá třídy Tivoli Access Manager Java runtime pro manipulaci s databází chráněných objektů produktu Tivoli Access Manager a s registrem uživatelů. Vnitřní paměť cache Tivoli Access Manager for WebLogic poskytuje vylepšení výkonnosti pro přístupová rozhodnutí. Runtime třídy Tivoli Access Manager Java podporují přepnutí při selhání autorizačního serveru produktu Tivoli Access Manager. Pokud selže primární autorizační server, automaticky dojde k přepnutí na sekundární server. Při instalaci prostředí se doporučuje používat replikované acldy a službu nároků Tivoli Access Manager for WebLogic. Přístupová rozhodnutí lze provádět buď pomocí serveru politik Tivoli Access Manager nebo pomocí služby nároků autorizačního serveru Tivoli Access Manager, která je dodávána s Tivoli Access Manager for WebLogic. Konfigurace serveru politik Tivoli Access Manager by měla být použita pouze v testovacích prostředích kvůli jednotlivému bodu selhání a otázkám výkonnosti. Služba nároků je specificky vyvinuta pro používání v produkčních prostředích. Na další podrobnosti se podívejte do “Povolení služby nároků na autorizačním serveru Tivoli Access Manager” na stránce 29.
Kapitola 1. Úvod a přehled
7
8
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Kapitola 2. Instrukce pro instalaci Tato kapitola zahrnuje následující témata: v “Podporované platformy” v “Požadavky na disk a paměť” v “Softwarové předpoklady” na stránce 10 v “Instalace používající průvodce instalací” na stránce 11 v “Instalace používající původní obslužné programy” na stránce 14
Podporované platformy Tivoli Access Manager for WebLogic, verze 5.1, podporuje: v BEA WebLogic Server verze 7.0 SP2 v BEA WebLogic Server verze 8.1 SP1 Tivoli Access Manager for WebLogic nepodporuje pro toto vydání speciální sféru. Namísto toho tato integrace podporuje BEA WebLogic Server Security Service Provider Interface (SSPI). Tivoli Access Manager for WebLogic je podporován následujícími operačními systémy: v IBM AIX 5.1 v Sun Solaris 8 a 9 v Hewlett-Packard HP-UX 11.0 a 11i (BEA WebLogic Server pouze verze 7.0) v Microsoft Windows 2000 Server and Advanced Server (Service Pack 3) Poznámka: Tivoli Access Manager for WebLogic podporuje systémy fungující s umožněným Java 2 Security Manager. Soubor politiky Java je k dispozici se softwarem, které obsahuje oprávnění potřebná pro určité kódové báze, aby fungoval Java 2 Security Manager.
Požadavky na disk a paměť Tivoli Access Manager for WebLogic má následující požadavky na disk a paměť: v 64 MB RAM, doporučuje se 128 MB. Toto je množství paměti potřebné navíc k požadavkům na paměť zadaným produktem BEA WebLogic Server a dalšími komponentami Tivoli Access Manager. Dodatečné 64 MB RAM je využito pro optimalizaci úkonu ukládání do paměti cache. Množství paměti, které vyžadují další komponenty produktu Tivoli Access Manager, závisí na tom, které komponenty Tivoli Access Manager jsou instalovány v hostitelském systému. Další informace viz IBM Tivoli Access Manager Base Installation Guide. v 2 MB diskového prostoru, doporučuje se 4 MB. Tento požadavek je navíc k místu na disku požadovaném produktem BEA WebLogic Server a dalšími komponentami Tivoli Access Manager. v 5 MB diskového prostoru pro soubory protokolu. Toto je navíc k místu na disku požadovanému pro softwarové komponenty.
© Copyright IBM Corp. 2003
9
Softwarové předpoklady Úspěšná instalace Tivoli Access Manager for WebLogic vyžaduje předpoklady uvedené v následujících sekcích: v “Server politik Tivoli Access Manager” v “Tivoli Access Manager WebSEAL nebo Tivoli Access Manager Plug-in for Web Servers” v “BEA WebLogic Server” v “Java runtime produktu Tivoli Access Manager” na stránce 11
Server politik Tivoli Access Manager Zabezpečená doména Tivoli Access Manager musí být zavedena před instalací produktu Tivoli Access Manager for WebLogic. Zabezpečená doména Tivoli Access Manager je zavedena, když nainstalujete server politik Tivoli Access Manager. Tento server politik se distribuuje na CD produktu IBM Tivoli Access Manager Base pro váš operační systém. Obvykle je server politik Tivoli Access Manager nainstalován na jiném systému než je ten, který hostí Tivoli Access Manager for WebLogic.
Autorizační server produktu Tivoli Access Manager Autorizační server produktu Tivoli Access Manager by měl být nainstalován na stejném hostitelském systému, kde jsou nainstalované BEA WebLogic Server a Tivoli Access Manager for WebLogic. Autorizační server poskytuje BEA WebLogic Server s přístupem k autorizační službě Tivoli Access Manager. Autorizační server také slouží jako protokolový a monitorovací shromažďovací server, aby ukládal záznamy o aktivitách serveru.
Tivoli Access Manager WebSEAL nebo Tivoli Access Manager Plug-in for Web Servers WebSEAL Tivoli Access Manager (WebSEAL) a produkt Tivoli Access Manager Plug-in for Web Servers (plug-in) poskytuje služby zabezpečení založené na webu, které využívá Tivoli Access Manager for WebLogic. Po instalaci lze tyto aplikace využít k poskytnutí řešení jednotného přihlášení v BEA WebLogic Server. WebSEAL nebo plug-in nejsou předpokladem pro instalaci Tivoli Access Manager for WebLogic. Jsou však nutné, pokud vyžadujete řešení jednotného přihlášení. Na instrukce pro instalaci WebSEAL nebo plug-in se podívejte do IBM Tivoli Access Manager for e-business Web Security Installation Guide. Když používáte WebSEAL nebo jiný proxy server pro připojení k BEA WebLogic Server, měli byste zajistit, aby proxy server byl samostatným bodem kontaktu pro uživatele přistupující k chráněným zdrojům BEA WebLogic Server. Abyste omezili přístup, budete muset vytvořit filtr připojení BEA WebLogic Server. Filtr připojení vám povoluje chránit zdroje na úrovni sítě spíše než používání rolí pro omezení přístupu. Na podrobnosti o vytváření filtrů připojení se podívejte do dokumentace BEA WebLogic Server.
BEA WebLogic Server BEA WebLogic Server musí být nainstalován a nakonfigurován v systému, který bude hostit Tivoli Access Manager for WebLogic. BEA WebLogic Server je spuštěn pomocí příkazu startWebLogic.
10
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
BEA WebLogic Server je distribuován s nezbytným prostředím Java Runtime na všech podporovaných platformách kromě AIX. Tivoli Access Manager for WebLogic používá stejné prostředí Java Runtime. Úspěšná instalace produktu BEA WebLogic Server uspokojí požadavky produktu Tivoli Access Manager for WebLogic na prostředí Java Runtime.
IBM Java Runtime Environment v AIX V systémech AIX vyžaduje produkt BEA WebLogic Server 7.0 prostředí IBM Java Runtime Environment verze 1.3 nainstalované v systému, který bude hostit Tivoli Access Manager for WebLogic. V systémech AIX vyžaduje produkt BEA WebLogic Server 8.1 prostředí IBM Java Runtime Environment verze 1.4 nainstalované v systému, který bude hostit Tivoli Access Manager for WebLogic. Tivoli Access Manager for WebLogic používá tyto stejné verze prostředí Java Runtime.
Java runtime produktu Tivoli Access Manager Prostředí Java runtime verze 5.1 produktu Tivoli Access Manager ze základní sady Tivoli Access Manager musí být nainstalováno a nakonfigurováno v systému, který hostí Tivoli Access Manager for WebLogic. Prostředí Java runtime produktu Tivoli Access Manager poskytuje systémové prostředky pro autentizaci a autorizaci založené na Javě. Tyto třídy Javy rozšiřují prostředí Java runtime, které produkt BEA WebLogic Server používá. Zabezpečená doména Tivoli Access Manager musí být zavedena před nakonfigurováním prostředí Java runtime produktu Tivoli Access Manager do systému, který bude hostit Tivoli Access Manager for WebLogic. Prostředí Java runtime produktu Tivoli Access Manager se distribuuje na CD produktu IBM Tivoli Access Manager Base pro každý podporovaný operační systém. Instrukce pro instalaci viz IBM Tivoli Access Manager Base Installation Guide.
Instalace používající průvodce instalací Upozornění Tento průvodce instalací je podporovaný pouze pro předvolené umístění instalace BEA WebLogic Serveru, verze 7.0. Pokud používáte BEA WebLogic Server verze 8.1, postupujte podle instrukcí v “Instalace používající původní obslužné programy” na stránce 14.
Průvodce instalací install_amwls usnadňuje nastavení systému Tivoli Access Manager for WebLogic Server nainstalováním a nakonfigurováním následujících komponent v odpovídajícím pořadí: v Access Manager Java Runtime Environment v Access Manager for WebLogic Server Abyste nainstalovali a nakonfigurovali systém Tivoli Access Manager for WebLogic Server pomocí průvodce install_amwls, proveďte následující kroky : 1. Zajistěte, že jste již na vaší doméně nastavili server registrů Tivoli Access Manager, server politik a autorizační server. 2. Zajistěte, že jsou nainstalována všechna místa operačního systému. Informace viz “Podporované platformy” na stránce 9. 3. Abyste stav a zprávy zobrazili v jiném jazyce než v angličtině (předvolba), musíte nainstalovat sadu programů podpory jazyků před spuštěním průvodce instalací.
Kapitola 2. Instrukce pro instalaci
11
4. Zajistěte, že je server BEA WebLogic nainstalován a nakonfigurován v tomto počítači a že byla vytvořená doména BEA WebLogic Server. 5. V systémech Windows ukončete všechny spuštěné programy. 6. Spusťte BEA WebLogic Server: UNIX
/WLS_install_dir/user_projects/domain_name/startWebLogic.sh
Windows C:\WLS_install_dir\user_projects\domain_name/startWebLogic.cmd 7. Nastavte proměnné CLASSPATH a PATH a přidejte WebLogic .jars ke CLASSPATH a adresáře bin a lib, provedením následujícího skriptu z adresáře BEA WebLogic Server WebLogic_install_dir/server/bin: UNIX
.setWLSEnv.sh
Windows setWLSEnv.cmd Zajistěte, aby spustitelný java program dodaný s BEA WebLogic Server byl první v systémové cestě, před spuštěním průvodce instalací. 8. Spusťte program install_amwls umístěný v kořenovém adresáři na CD Tivoli Access Manager Web Security pro platformy AIX, HP-UX (pouze BEA WebLogic Server 7.0), Solaris a Windows. Pokud BEA WebLogic Server není nainstalován v předvoleném umístění, pro spuštění průvodce instalací budete muset použít následující příkaz: install_amwls -is:javahome path
path je umístění jre, které se použije pro provedení instalace pomocí průvodce. Poznámky: a. Soubor install_amwls.options.template lze použít pro tichou instalaci nebo jednoduše pro potlačení předvolených hodnot instalace. Soubor editujte, abyste začlenili všechny požadované hodnoty. v Pro potlačení předvolených hodnot zadejte příkaz: install_amwls -options install_amwls.options.template
v Pro provedení tiché instalace použijte: install_amwls -silent -options install_amwls.options.template
b. Tento průvodce instalací může na neanglických platformách na obrazovce Vítejte při používání JDK zaslaných s BEA WebLogic Server zobrazit nesouvislý text. Toto vyobrazení neovlivní vlastní instalaci softwaru. Pokud si přejete tento problém opravit, nainstalujte IBM JDK 1.3.1 a použijte jej pro spuštění install_amwls. Průvodce instalací začíná výzvou, kde vás žádá o informace o konfiguraci, jak je popsáno v “Volby install_amwls” na stránce 13. Pouze na systémech Windows zajistěte, že souhlasíte s předvoleným instalačním adresářem pro Tivoli Access Manager for WebLogic. Poznámka: Poté, co dodáte tuto informaci (nebo přijmete předvolené hodnoty) se komponenty nainstalují a nakonfigurují bez dalších intervencí. Na konci průvodce instalací se zobrazí souhrnná obrazovka, která zobrazuje nainstalované komponenty, pokusy o konfiguraci a zda byly úspěšné či neúspěšné. Pokud je instalace úspěšná, ale selže konfigurace, můžete se pokusit Tivoli Access Manager for WebLogic nakonfigurovat ručně podle kroků, které uvádí Kapitola 3, “Procedury konfigurace”, na stránce 17, v jiném případě pokračujte podle následujících kroků. 9. Zastavte server BEA WebLogic.
12
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
10. Zkontrolujte, zda instalace zkopírovala soubor AMSSPIProviders.jar do adresáře /bea_install_dir/weblogic/server/lib/mbeantypes. Pokud soubor v tomto adresáři neexistuje, zkopírujte ho ručně z /amwls_install_dir/lib. 11. Nastavte CLASSPATH pro příkaz startWebLogic podle instrukcí, které uvádí “Část 2: Nastavení CLASSPATH pro startWebLogic” na stránce 18. 12. Vytvořte a nakonfigurujte sféru Tivoli Access Manager. Instrukce viz “Část 4: Konfigurace sféry Tivoli Access Manager” na stránce 22. 13. Restartujte server BEA WebLogic pomocí konzole WebLogic. 14. Pokud chcete, aby Tivoli Access Manager WebSEAL poskytoval služby jednotného přihlášení pro BEA WebLogic Server, následujte instrukce, které uvádí “Část 5: Konfigurace jednotného přihlášení pro BEA WebLogic Server” na stránce 24. 15. Zkontrolujte instalaci a konfiguraci, abyste ověřili, že byl Tivoli Access Manager for WebLogic správně nakonfigurován na registr Tivoli Access Manager následováním kroků, které uvádí “Část 7: Testování konfigurace” na stránce 26.
Volby install_amwls Následují volby zobrazené při spuštění install_amwls. Tabulka 1. Parametry konfigurace install_amwls průvodce instalací. Parametry konfigurace
Popis
Vzdálený uživatel ACL *
Objekt produktu Tivoli Access Manager, který je vytvořen kvůli komunikaci s autorizačním serverem.
Heslo sec_master *
Heslo administrátora produktu Tivoli Access Manager.
Jméno hostitele serveru politik *
Předvolená hodnota
Plně kvalifikované jméno hostitele serveru politik. Například: pdmgr.tivoli.com
Číslo portu serveru politik *
Číslo portu, na kterém server politik naslouchá požadavkům. Předvolené číslo 7135 portu je 7135.
Jméno hostitele autorizačního serveru*
Jméno hostitele autorizačního serveru produktu Tivoli Access Manager.
Číslo portu autorizačního serveru*
Číslo portu autorizačního serveru.
Nasadí rozšíření konzole AMWLS5.1, pokud je hodnota nastavena na true (platí)
true
Administrátor domény WebLogic *
Administrátor domény BEA WebLogic Server. Tento uživatel by byl zaveden, pokud byste vytvořili vaší doménu WebLogic.
Heslo administrátora domény WebLogic *
Heslo pro administrátora domény WebLogic.
Cesta k instalačnímu adresáři produktu Access Manager for WebLogic Server
V systémech Windows se musí použít předvolba.
URL pro server WebLogic Admin
7136
C:\Program Files\Tivoli\pdwls t3://localhost:7001
Kapitola 2. Instrukce pro instalaci
13
Instalace používající původní obslužné programy Dokončete instrukce v sekci pro svůj operační systém: v “Instalace na AIX” v “Instalace na HP-UX” v “Instalace na Solaris” na stránce 15 v “Instalace na Windows” na stránce 16 Poznámka: Před instalací Tivoli Access Manager for WebLogic nezapomeňte zastavit BEA WebLogic Server a po dokončení instalace jej pak restartovat.
Instalace na AIX Instalace Tivoli Access Manager for WebLogic vyčleňuje extrakce souborů z konfigurační sady. K instalaci sady programů na operačním systému AIX použijte příkaz installp. Poté manuálně nakonfigurujte Tivoli Access Manager for WebLogic. Poznámka: Pokud již máte nainstalovaný a nakonfigurovaný Tivoli Access Manager for WebLogic a potřebujete ho nainstalovat znovu, musíte nejdřív odkonfigurovat a odstranit sadu programů Tivoli Access Manager for WebLogic. Viz “Odstranění z AIX” na stránce 38. Pro instalaci Tivoli Access Manager for WebLogic na AIX dokončete následující instrukce: 1. Přihlaste se do systému jako uživatel root. 2. Ověřte, že byly splněny všechny softwarové předpoklady včetně požadovaných komponent ze základní sady programů Tivoli Access Manager. Viz “Softwarové předpoklady” na stránce 10. 3. Vložte CD-ROM IBM Tivoli Access Manager Web Security pro AIX do mechaniky. 4. Za náznakem shellu zadejte následující příkaz: installp -acgNXd cd_mount_point/usr/sys/inst.images PDWLS
Poznámka: Zkontrolujte, zda instalace zkopírovala soubor AMSSPIProviders.jar do adresáře /bea_install_dir/weblogic/server/lib/mbeantypes. Pokud soubor v tomto adresáři neexistuje, zkopírujte ho ručně z /amwls_install_dir/lib. 5. Poté nakonfigurujte Tivoli Access Manager for WebLogic. Pokračování obsahuje Kapitola 3, “Procedury konfigurace”, na stránce 17.
Instalace na HP-UX Upozornění Po instalaci na platformu HP-UX je Tivoli Access Manager for WebLogic podporován pouze pro BEA WebLogic Server verze 7.0.
Pokud již máte nainstalovaný a nakonfigurovaný Tivoli Access Manager for WebLogic a potřebujete ho nainstalovat znovu, musíte ho nejdřív odkonfigurovat a odstranit. Viz “Odstranění z HP-UX” na stránce 38. Pro instalaci Tivoli Access Manager for WebLogic na HP-UX dokončete následující kroky: 1. Přihlaste se do systému jako uživatel root.
14
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
2. Ověřte, že byly splněny všechny softwarové předpoklady včetně požadovaných komponent ze základní sady programů Tivoli Access Manager. Viz “Softwarové předpoklady” na stránce 10. 3. Na pozadí spusťte pfs_mountd a pak pfsd, pokud nejsou spuštěné. Vložte CD s příkazem pfs_mount. Například zadejte toto: /usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom
, kde /dev/dsk/c0t0d0 je zařízení CD a /cd-rom je místo zavedení. 4. Pro instalaci sady programů Tivoli Access Manager for WebLogic zadejte příkaz: # swinstall -s /cd_rom/hp PDWLS
Zobrazí se zpráva, která oznámí, že fáze analýzy byla úspěšná. Zobrazí se další zpráva která udává, že začíná fáze realizace. Soubory budou načteny z CD-ROM a budou nainstalovány na pevný disk. Zobrazí se zpráva, která oznámí, že fáze realizace byla úspěšná. Obslužný program swinstall bude ukončen. Poznámka: Zkontrolujte, zda instalace zkopírovala soubor AMSSPIProviders.jar do adresáře /bea_install_dir/weblogic/server/lib/mbeantypes. Pokud soubor v tomto adresáři neexistuje, zkopírujte ho ručně z /amwls_install_dir/lib. 5. Poté nakonfigurujte Tivoli Access Manager for WebLogic. Pokračování obsahuje Kapitola 3, “Procedury konfigurace”, na stránce 17.
Instalace na Solaris Instalace Tivoli Access Manager for WebLogic vyčleňuje extrakce souborů z konfigurační sady. Použijte příkaz pkgadd k nainstalování sady programů v operačním prostředí Solaris (dále jen Solaris). Poté manuálně nakonfigurujte Tivoli Access Manager for WebLogic. Poznámka: Pokud již máte nainstalovaný a nakonfigurovaný Tivoli Access Manager for WebLogic a potřebujete ho nainstalovat znovu, musíte ho nejdřív odkonfigurovat a odstranit. Viz “Odstranění ze Solaris” na stránce 37. Pro instalaci Tivoli Access Manager for WebLogic na Solaris, dokončete následující instrukce: 1. Přihlaste se do systému jako uživatel root. 2. Ověřte, že byly splněny všechny softwarové předpoklady včetně požadovaných komponent ze základní sady programů Tivoli Access Manager. Viz “Softwarové předpoklady” na stránce 10. 3. Vložte CD IBM Tivoli Access Manager Web Security for Solaris . 4. Pro instalaci softwaru spusťte následující příkaz: pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/solaris/pddefault PDWLS
kde: -d /cdrom/cdrom0/solaris
Uvádí umístění sady programů.
-a /cdrom/cdrom0/solaris/pddefault
Uvádí umístění skriptu instalační administrativy.
Když je proces instalace pro každou sadu programů dokončen, zobrazí se následující zpráva: Instalace sady programů úspěšná.
Poznámka: Zkontrolujte, zda instalace zkopírovala soubor AMSSPIProviders.jar do adresáře /bea_install_dir/weblogic/server/lib/mbeantypes. Pokud soubor v tomto adresáři neexistuje, zkopírujte ho ručně z /amwls_install_dir/lib. Kapitola 2. Instrukce pro instalaci
15
5. Poté nakonfigurujte Tivoli Access Manager for WebLogic. Pokračování obsahuje Kapitola 3, “Procedury konfigurace”, na stránce 17.
Instalace na Windows Instalace Tivoli Access Manager for WebLogic vyčleňuje extrakce souborů z konfigurační sady. Pro instalaci souborů Tivoli Access Manager for WebLogic použijte InstallShield setup.exe Po skončení InstallShield nakonfigurujte Tivoli Access Manager for WebLogic podle instrukcí, které uvádí Kapitola 3, “Procedury konfigurace”, na stránce 17. Poznámka: Pokud již máte nainstalovaný a nakonfigurovaný Tivoli Access Manager for WebLogic a potřebujete ho nainstalovat znovu, musíte ho nejdřív odkonfigurovat a odstranit. Podrobnosti najdete v části “Odstranění z Windows” na stránce 37. Pro instalaci Tivoli Access Manager for WebLogic na Windows dokončete následující instrukce: 1. Přihlaste se do domény Windows jako uživatel s oprávněním administrátora operačního systému Windows. 2. Ověřte, že byly splněny všechny softwarové předpoklady včetně požadovaných komponent ze základní sady programů Tivoli Access Manager. Viz “Softwarové předpoklady” na stránce 10. 3. Vložte CD-ROM IBM Tivoli Access Manager Web Security for Windows do mechaniky. 4. Dvojitým klepnutím na následující soubor (písmeno E: představuje jednotku CD-ROM) spusťte instalační program InstallShield Tivoli Access Manager for WebLogic: E:\Windows\PolicyDirector\Disk Images\Disk1\PDWLS\Disk Images\Disk1\setup.exe
Otevře se okno Choose Setup Language (Zvolte jazyk pro instalaci). 5. Zvolte odpovídající jazyk a klepněte na OK. Spustí se program InstallShield a otevře se uvítací okno. 6. Klepněte na tlačítko Next (Další). Otevře se okno License Agreement (Licenční podmínky). 7. Přečtěte si licenční smlouvu a klepněte na Yes, pokud souhlasíte s podmínkami smlouvy. Otevře se okno Choose Destination Location (Zvolte cílový adresář). 8. Buď přijměte předvolené umístění, nebo vyhledejte jiné umístění. Klepněte na tlačítko Next (Další). Otevře se okno Start Copying Files (Začněte kopírovat soubory). 9. Zajistěte, že zobrazené umístění instalace je správné a klepněte na Next (Další). Soubory budou zkopírovány na disk. Zobrazí se zpráva, která oznámí, že soubory byly nainstalovány. 10. Klepnutím na Finish (Dokončit) ukončíte program pro instalaci. 11. Zkontrolujte, zda instalace zkopírovala soubor AMSSPIProviders.jar do adresáře c:\bea_install_dir\weblogic\server\lib\mbeantypes. Pokud soubor v tomto adresáři neexistuje, zkopírujte ho ručně z c:\amwls_install_dir\lib. 12. Poté nakonfigurujte Tivoli Access Manager for WebLogic. Pokračování obsahuje Kapitola 3, “Procedury konfigurace”, na stránce 17.
16
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Kapitola 3. Procedury konfigurace Pro konfiguraci Tivoli Access Manager for WebLogic proveďte instrukce ve všech následujících sekcích: v “Část 1: Konfigurace prostředí Java runtime produktu Tivoli Access Manager” v “Část 2: Nastavení CLASSPATH pro startWebLogic” na stránce 18 v “Část 3: Konfigurace Tivoli Access Manager for WebLogic” na stránce 19 v “Část 4: Konfigurace sféry Tivoli Access Manager” na stránce 22 v “Část 5: Konfigurace jednotného přihlášení pro BEA WebLogic Server” na stránce 24 v “Část 6: Konfigurace Tivoli Access Manager for WebLogic v multiserverových prostředích BEA WebLogic Server včetně klastrovaných prostředí” na stránce 26 v “Část 7: Testování konfigurace” na stránce 26 Poznámka: Instrukce v této kapitole předpokládají, že máte nainstalován Tivoli Access Manager for WebLogic a požadovaný software, včetně konfigurace základních komponent Tivoli Access Manager. Pokud tento software nemáte nainstalovaný, nainstalujte jej nyní podle instrukcí, které obsahuje Kapitola 2, “Instrukce pro instalaci”, na stránce 9.
Část 1: Konfigurace prostředí Java runtime produktu Tivoli Access Manager Prostředí Java runtime produktu Tivoli Access Manager je předpokladem pro Tivoli Access Manager for WebLogic. Před konfigurací sféry produktu BEA WebLogic Server musíte správně nakonfigurovat runtime komponenty Java. Použijte obslužný program produktu Tivoli Access Manager pdjrtecfg, abyste přešli na vyšší verzi prostředí Java Runtime, kterou používá BEA WebLogic Server. Pokud systém obsahuje několik prostředí Java runtime, zajistěte, aby prostředí Java Runtime používané produktem BEA WebLogic Server bylo využíváno k provedení obslužného programu pdjrtecfg. 1. Ověřte, že bylo nainstalováno prostředí Java Runtime produktu Tivoli Access Manager Base. Další informace viz “Softwarové předpoklady” na stránce 10. 2. Nastavte proměnné CLASSPATH a PATH a přidejte WebLogic .jars k CLASSPATH a adresáře bin a lib,provedením následujícího skriptu z adresáře BEA WebLogic Server WebLogic_install_dir/server/bin: UNIX
.setWLSEnv.sh
Windows setWLSEnv.cmd Zajistěte, aby spustitelný java program dodaný s BEA WebLogic Server byl první v systémové cestě, před spuštěním ezInstall. 3. Runtime prostředí Tivoli Access Manager Java je nutno nakonfigurovat před posláním a nainstalováním JDK s BEA WebLogic Server. Chcete-li toto provést: a. V instalační cestě produktu Tivoli Access Manager změňte adresář na sbin. Například: UNIX: /opt/PolicyDirector/sbin Windows: C:\Program Files\Tivoli\Policy Director\sbin
b. Proveďte následovně příkaz pdjrtecfg: © Copyright IBM Corp. 2003
17
pdjrtecfg -action config -host policy_server_name -java_home java_location
java_location je umístění adresáře prostředí BEA WebLogic Server Java Runtime. Toto bude: Windows BEA WebLogic Server verze 7.0 c:\bea\jdk131_ob\jre
BEA WebLogic Server verze 8.1 c:\bea\jdk141\jre
Solaris, HP-UX /usr/local/bea/jdk141_03
AIX V systémech AIX, BEA WebLogic Server 7.0 vyžaduje runtime prostředí IBM Java verze 1.3 a BEA WebLogic Server 8.1 vyžaduje runtime prostředí IBM Java verze 1.4. Volba -java_home v příkazu pdjrtecfg by měla být na vašem počítači AIX nastavena v umístění instalace JRE.BEA WebLogic Server verze 7.0 /usr/java131
BEA WebLogic Server verze 8.1 /usr/java14
Poznámky: 1) Obslužný program pdjrtecfg na instalacích BEA WebLogic Server 8.1 nahrazuje soubor jsse.jar v adresáři jre/lib. Tento soubor se přeinstaluje, až se odkonfiguruje Tivoli Access Manager Java Runtime. 2) Při konfiguraci Sun v1.4 JRE, nespouštějte pdjrtecfg v interaktivním režimu nebo použijte utilitu pdconfig, abyste nakonfigurovali JRE, protože jinak by konfigurace selhala. Další informace o použití pdjrtecfg najdete na jeho odkazové stránce v IBM Tivoli Access Manager Base Installation Guide.
Část 2: Nastavení CLASSPATH pro startWebLogic Poznámka: Předtím, než budete provádět tyto konfigurační kroky se ujistěte, že jste vytvořili doménu WebLogic. Pro spuštění serveru WebLogic se používá příkaz startWebLogic. Musíte upravit proměnnou prostředí CLASSPATH, abyste umožnili příkazu startWebLogic přístup a zavedení správných tříd Javy. Proveďte následující instrukce: 1. Je-li server WebLogic spuštěn, zastavte ho. 2. Přidejte následující jména k proměnné CLASSPATH příkazu startWebLogic: UNIX /opt/pdwls/lib/AMSSPICore.jar /opt/pdwls/lib/rbpf.jar
Windows C:\amwls_install_directory\lib\AMSSPICore.jar C:\amwls_install_directory\lib\rbpf.jar
18
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Příkaz startWebLogic je umístěn v adresáři instalované domény BEA WebLogic Server. Ve standardní instalaci to znamená: UNIX
/WebLogic_install_directory/user_projects/domain_name
Windows C:\WebLogic_install_directory\user_projects\domain_name Proměnná domain_name je jméno, které jste zvolili při vytváření domény BEA WebLogic Server. 3. Pokud používáte předvolený jazyk (English), přeskočte tento krok. Pokud používáte Language Pack pro podporu jiného jazyka, než je předvolený (English), musíte přidat následující cestu do CLASSPATH ve skriptu startWebLogic: UNIX /opt/pdwls/nls/java/com/tivoli/amwls/sspi/nls
Windows C:\Progra~1\Tivoli\pdwls\nls\java\com\tivoli\amwls\sspi\nls
Poznámka: Přidáním tohoto adresáře umožníte přístup do zdrojových balíků, které jsou instalací Language Pack instalovány v /opt/pdwls/nls/java/com/tivoli/amwls/sspi/nls/.
Část 3: Konfigurace Tivoli Access Manager for WebLogic Konfigurace Tivoli Access Manager for WebLogic lze provést buď z příkazového řádku nebo pomocí webové aplikace Tivoli Access Manager Console Extension. Podrobnosti o obou těchto volbách jsou zahrnuty v níže uvedených sekcích. Doména serveru BEA WebLogic Server by měla být vytvořena před provedením těchto instrukcí. Data zadaná při konfiguraci produktu Tivoli Access Manager for WebLogic a vytváření sféry se uloží do souborů vlastností. Tyto soubory vlastností lze použít pro změnu chování produktu Tivoli Access Manager for WebLogic. Abyste získali další informace, podívejte se na Dodatek A, “Odkazy na soubory vlastností”, na stránce 41.
Konfigurace Tivoli Access Manager for WebLogic pomocí aplikace Console Extension Web 1. Spusťte BEA WebLogic Server: UNIX
/WLS_install_dir/user_projects/domain_name/startWebLogic.sh
Windows C:\WLS_install_dir\user_projects\domain_name\startWebLogic.cmd 2. Otevřete prohledávací program webu a připojte se ke konzoli BEA WebLogic na počítači hostícím BEA WebLogic. To je: http://WebLogic_server_name:7001/console
7001 je předvolené číslo portu produktu BEA WebLogic Server. Tato hodnota je nastavitelná. 3. Zobrazí se obrazovka přihlášení BEA WebLogic Server. Přihlaste se jako uživatel BEA WebLogic Server s privilegii administrátora.
Kapitola 3. Procedury konfigurace
19
4. Před konfigurací serveru Tivoli Access Manager for WebLogic a vytvářením sféry Tivoli Access Manager budete muset zavést aplikaci Tivoli Access Manager Console Extension Web Application, která poskytuje webové rozhraní úlohám konfigurace. Chcete-li nasadit tuto webovou aplikaci: a. Na domovské stránce serveru BEA WebLogic Server vyberte Web Applications (Aplikace webu) uvnitř banneru Domain Configurations (Konfigurace domény). b. Vyberte odkaz Configure a New Web Application (Konfigurace nové aplikace webu). c. Vyberte odkaz Upload it through your browser (Zavést přes váš prohlížeč). d. Hledejte aplikaci amwls_install_dir\lib\AMWLSConsoleExtension.war. Klepněte na Upload (Zavést). e. Klepněte na odkaz Select (Vybrat) pro AMWLSConsoleExtension.war. f. Zvolte cíl rozmístění a klepněte na Configure and Display (Konfigurovat a zobrazit). Abyste zkontrolovali, zda byla aplikace Console Extension Web Application úspěšně zavedena, rozbalte složku Deployments (Nasazení) v levém podokně obraovky. Rozbalte složkuWeb Applications (Aplikace webu) a AMWLSConsoleExtensions by mělo být zobrazeno v seznamu. Také zavedení Console Web Application Extension by přidalo ikonu Tivoli Access Manager do navigačního podokna BEA WebLogic Server, které je zobrazeno nalevo v okně konzole. 5. Chcete-li nakonfigurovat doménu Tivoli Access Manager, klepněte na ikonu Access Manager v navigačním podokně BEA WebLogic Server. 6. Zobrazí se obrazovka konfigurace. Zadejte všechny požadované informace a jakékoli volitelné parametry. Podívejte se na níže uvedené tabulky pro radu, jaké informace máte zadat. Volby dostupné akci config jsou zobrazeny v níže uvedených tabulkách. První tabulka obsahuje požadované volby. Druhá tabulka obsahuje volitelné volby. Jméno požadované volby
Popis
domain_admin
Administrátor domény WebLogic
domain_admin_pwd
Heslo administrátora domény WebLogic
remote_acl_user
Objekt produktu Tivoli Access Manager, který je vytvořen pro autorizační server
sec_master_pass
Heslo administrátora sec_master produktu Tivoli Access Manager
pdmgrd_host
Jméno hostitele serveru politik produktu Tivoli Access Manager.
pdacld_host
Jméno hostitele autorizačního serveru produktu Tivoli Access Manager.
Poznámka: Hesla se nemusí zadat a místo toho budou vyžadována před provedením akce. Tímto se zabrání tomu, aby hesla zůstávala v historii příkazu. Následující tabulka obsahuje volitelné volby pro akci config.
20
Jméno volby
Popis
wls_server_url
Uvádí URL pro lokální server WebLogic. Předvolba je t3://localhost:7001.
pdmgrd_port
Číslo portu serveru politik produktu Tivoli Access Manager.
pdacld_port
Číslo portu autorizačního serveru produktu Tivoli Access Manager.
am_domain
Jméno domény produktu Tivoli Access Manager. Předvolba je Předvolba.
amwls_home
Uvádí cestu k instalačnímu adresáři produktu Tivoli Access Manager for WebLogic Server.
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Klepněte na Apply (Použít). 7. Pokud byla konfigurace úspěšná, zobrazí se seznam parametrů Tivoli Access Manager for WebLogic Server v pravém podokně. Sféru Tivoli Access Manager lze nyní nakonfigurovat. Viz “Část 4: Konfigurace sféry Tivoli Access Manager” na stránce 22.
Konfigurace Tivoli Access Manager for WebLogic z příkazového řádku 1. Spusťte BEA WebLogic Server: UNIX /WLS_install_dir/user_projects/domain_name/startWebLogic.sh
Windows C:\WLS_install_dir\user_projects\domain_name\startWebLogic.cmd
2. Abyste nakonfigurovali Tivoli Access Manager for WebLogic, zadejte následující příkaz. Poznámka: Pokud nebyl Tivoli Access Manager for WebLogic při vyjmutí souboru nainstalován do doporučeného umístění (jak je popsáno v předchozí kapitole), nezapomeňte nastavit proměnnou AMSSPI_DIR ve skriptu AMWLSConfigure do umístění skutečného instalačního adresáře. Stejně tak pokud není WebLogic nainstalován v předvoleném umístění, aktualizujte proměnnou WLS_JAR se správným umístěním WebLogic.jar ve skriptu ALWLSConfigure. UNIX
install-dir/sbin/AMWLSConfigure.sh
Windows install-dir\sbin\AMWLSConfigure.bat Syntaxe příkazového řádku Java aplikace AMWLSConfigure pro konfiguraci Tivoli Access Manager for WebLogic je: v AMWLSConfigure -action config [options ...] Nakonfiguruje Tivoli Access Manager for WebLogic. v AMWLSConfigure -help [action] Zobrazí požadované a volitelné hodnoty, které mají projít do AMSSPIConfigure. Volby dostupné akci config jsou zobrazeny v níže uvedených tabulkách. První tabulka obsahuje požadované volby. Druhá tabulka obsahuje volitelné volby. Jméno požadované volby
Popis
domain_admin
Administrátor domény WebLogic
domain_admin_pwd
Heslo administrátora domény WebLogic
remote_acl_user
Objekt produktu Tivoli Access Manager, který je vytvořen pro autorizační server
sec_master_pass
Heslo administrátora sec_master produktu Tivoli Access Manager
pdmgrd_host
Jméno hostitele serveru politik produktu Tivoli Access Manager.
pdacld_host
Jméno hostitele autorizačního serveru produktu Tivoli Access Manager.
Poznámka: Hesla se nemusí zadat a místo toho budou vyžadována před provedením akce. Tímto se zabrání tomu, aby hesla zůstávala v historii příkazu.
Kapitola 3. Procedury konfigurace
21
Následující tabulka obsahuje volitelné volby pro akci config. Jméno volby
Popis
deploy_extension
Nasadí rozšíření konzole produktu Tivoli Access Manager for Web Logic Server, pokud je hodnota nastavena na true (platí). Předvolená hodnota je true.
wls_server_url
Uvádí URL pro lokální server WebLogic. Předvolba je t3://localhost:7001.
pdmgrd_port
Číslo portu serveru politik produktu Tivoli Access Manager.
pdacld_port
Číslo portu autorizačního serveru produktu Tivoli Access Manager.
am_domain
Jméno domény produktu Tivoli Access Manager. Předvolba je Předvolba.
amwls_home
Uvádí cestu k instalačnímu adresáři produktu Tivoli Access Manager for WebLogic Server.
verbose
Booleovská hodnota, která povoluje nebo zakazuje okomentovaný výstup. Předvolená hodnota je false.
Sféru Tivoli Access Manager je nutno nyní nakonfigurovat.
Část 4: Konfigurace sféry Tivoli Access Manager Konfigurace Tivoli Access Manager pomocí aplikace Console Extension Web Jakmile je jednou Tivoli Access Manager for WebLogic Server nakonfigurován, aby poskytoval zabezpečení pro server BEA WebLogic, je třeba vytvořit sféru, která by byla přidružena k zabezpečení Tivoli Access Manager. Abyste toto provedli: 1. Rozbalte ikonu Access Manager v levém podokně obrazovky a klepněte na ikonu Realm (Sféra). 2. Zobrazí se obrazovka Create Realm (Vytvoření sféry). Zadejte všechny požadované proměnné. Klepněte na Appy (Použít). 3. Chcete-li nakonfigurovat BEA WebLogic Server 7.0, abyste mohli používat výše vytvořenou sféru Tivoli Access Manager: a. Vyberte ikonu související s vaší doménou v navigačním podokně BEA WebLogic Server. b. Zobrazí se obrazovka Domain Configuration (Konfigurace domény). Vyberte ouško Security (Zabezpečení). c. Z ouška General (Obecné) použijte rozbalovací seznam Default Realm (Předvolba sféry) pro výběr sféry vytvořené pomocí výše uvedených kroků. Klepněte na Apply (Použít). Chcete-li nakonfigurovat BEA WebLogic Server 8.1, abyste mohli používat výše vytvořenou sféru Tivoli Access Manager, použijte ouško Security (Zabezpečení) na konzoli BEA WebLogic Server, abyste nastavili předvolenou sféru. 4. Restartujte server BEA WebLogic. 5. Pro kontrolu, zda nová sféra Access manager správně funguje by měly ikony Users (Uživatelé) a Groups (Skupiny) uvnitř složky Access Manager v pravém podokně obrazovky obsahovat záznamy z registru uživatelů Tivoli Access Manager. Poznámka: Pokud jste uvedli uživatele SSO, který již existuje, ale zadali nesprávné heslo pro existujícího uživatele, akce vytvoření sféry bude úspěšná, ale SSO bude zablokováno. V tomto případě lze SSO jednoduše aktivovat aktualizací
22
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
odpovídajících záznamů v souboru Tivoli Access Manager for WebLogic rbpf.properties. Viz Dodatek A, “Odkazy na soubory vlastností”, na stránce 41, kde naleznete podrobnosti o rbpf.properties.
Konfigurace sféry Tivoli Access Manager Realm z příkazového řádku 1. Abyste vytvořili sféru Tivoli Access Manager for WebLogic, zadejte následující příkaz. Poznámka: Pokud nebyl Tivoli Access Manager for WebLogic při vyjmutí souboru nainstalován do doporučeného umístění (jak je popsáno v předchozí kapitole), nezapomeňte nastavit proměnnou AMSSPI_DIR ve skriptu AMWLSConfigure do umístění skutečného instalačního adresáře. Stejně tak pokud není WebLogic nainstalován v předvoleném umístění nebo pokud používáte WebLogic verze 8.1, aktualizujte proměnnou WLS_JAR se správným umístěním WebLogic.jar ve skriptuALWLSConfigure. UNIX
install-dir/sbin/AMWLSConfigure.sh
Windows install-dir\sbin\AMWLSConfigure.bat Syntaxe příkazového řádku Java aplikace AMWLSConfigure pro konfiguraci Tivoli Access Manager for WebLogic je: v AMWLSConfigure -action create_realm [options ...] Vytvoří sféru Tivoli Access Manager for WebLogic. v AMWLSConfigure -help [action] Zobrazí požadované a volitelné hodnoty, které mají projít do AMSSPIConfigure. Volby dostupné akci create_realm jsou zobrazeny v níže uvedených tabulkách. První tabulka obsahuje požadované volby. Druhá tabulka obsahuje volitelné volby. Jméno požadované volby
Popis
realm_name
Uvádí jméno sféry WLS, která se vytváří.
domain_admin_pwd
Uvádí heslo administrátora domény WebLogic.
user_dn_suffix
Uvádí příponu rozlišovacího jména (DN, distinguished name), která se použije při vytváření uživatelů přes aplikaci webu rozšíření konzole.
group_dn_suffix
Uvádí příponu rozlišovacího jména (DN, distinguished name), která se použije při vytváření skupin přes aplikaci webu rozšíření konzole.
admin_group
Uvádí skupinu produktu Tivoli Access Manager, která se použije pro účely vnitřní konfigurace.
Poznámka: Hesla se nemusí zadat a místo toho budou vyžadována před provedením akce. Tímto se zabrání tomu, aby hesla zůstávala v historii příkazu. Následující tabulka obsahuje volitelné volby pro akci create_realm. Jméno volby
Popis
user_dn_prefix
Uvádí předponu rozlišovacího jména (DN, distinguished name), která se použije při vytváření uživatelů přes aplikaci webu rozšíření konzole.
group_dn_prefix
Uvádí předponu rozlišovacího jména (DN, distinguished name), která se použije při vytváření skupin přes aplikaci webu rozšíření konzole.
sso_enabled
Umožňuje podporu jednotného přihlášení, pokud je hodnota nastavena na true (platí). Předvolená hodnota je false.
Kapitola 3. Procedury konfigurace
23
sso_user
Uvádí uživatele, který vytvoří asociace důvěry jednotného přihlášení s produktem Tivoli Access Manager.
sso_pwd
Uvádí heslo pro uživatele jednotného přihlášení.
verbose
Booleovská hodnota, která povoluje nebo zakazuje okomentovaný výstup. Předvolená hodnota je false
2. Chcete-li nakonfigurovat BEA WebLogic Server 7.0, abyste mohli používat výše vytvořenou sféru Tivoli Access Manager: a. Otevřete prohledávací program webu a připojte se ke konzoli BEA WebLogic na počítači hostícím BEA WebLogic. To je: http://WebLogic_server_name:7001/console
b. c. d. e.
7001 je předvolené číslo portu produktu BEA WebLogic Server, hodnota je konfigurovatelná. Zobrazí se obrazovka přihlášení BEA WebLogic Server. Přihlaste se jako uživatel s privilegii administrátora. Vyberte ikonu související s vaší doménou v navigačním podokně BEA WebLogic Server. Zobrazí se obrazovka Domain Configuration (Konfigurace domény). Vyberte ouško Security (Zabezpečení). Z ouška General (Obecné) použijte rozbalovací seznam Default Realm (Předvolba sféry) pro výběr sféry vytvořené pomocí výše uvedených kroků. Klepněte na Apply (Použít).
Chcete-li nakonfigurovat BEA WebLogic Server 8.1, abyste mohli používat výše vytvořenou sféru Tivoli Access Manager, použijte ouško Security (Zabezpečení) na konzoli BEA WebLogic Server, abyste nastavili předvolenou doménu. 3. Restartujte server BEA WebLogic. 4. Pro kontrolu, zda nová sféra Access manager správně funguje by měly ikony Users (Uživatelé) a Groups (Skupiny) uvnitř složky Access Manager v levém podokně obrazovky obsahovat záznamy z registru uživatelů Tivoli Access Manager.
Část 5: Konfigurace jednotného přihlášení pro BEA WebLogic Server Tato sekce vás provází procesem konfigurace jednotného přihlášení k BEA WebLogic Server buď pomocí WebSEAL nebo Tivoli Access Manager Plug-in for Web Servers. Pokud nechcete zavádět funkčnost jednotného přihlášení, můžete tuto sekci ignorovat. WebSEAL a Tivoli Access Manager Plug-in for Web Servers realizují zabezpečení a jednotné přihlášení různými způsoby a používají různé architektury systému. Pro informace o instalaci WebSEAL a plug-inu pro webové servery se podívejte do IBM Tivoli Access Manager for e-business Web Security Installation Guide. Pro další informace a podrobnosti o konfiguraci WebSEAL se podívejte do IBM Tivoli Access Manager for e-business WebSEAL Administration Guide. Na informace o provozu a konfiguraci pro plug-in se podívejte do publikace IBM Tivoli Access Manager Plug-in for Web Servers: Integrační příručka. Následující sekce poskytují další informace o konfiguraci WebSEAL a plug-inů, které jsou potřeba pro konfiguraci jednotného přihlášení k BEA WebLogic Server v závislosti na architektuře, kterou chcete zavést: v “Konfigurace jednotného přihlášení pomocí spojení WebSEAL” na stránce 25 v “Konfigurace jednotného přihlášení pomocí Tivoli Access Manager Plug-in for Web Servers” na stránce 25
24
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Konfigurace jednotného přihlášení pomocí spojení WebSEAL Abyste zajistili schopnost jednotného přihlášení pro BEA WebLogic Server pomocí WebSEAL, proveďte následující kroky v systému, který hostí server WebSEAL: 1. Otevřte konfigurační soubor WebSEAL webseald.conf. 2. Nastavte následující položku konfigurace: basicauth-dummy-passwd = sso_pwd
Toto heslo se musí shodovat s tím, které je v poli sso_pwd, aktivované během akce vytváření sféry. 3. Zastavte a restartujte WebSEAL, aby se uplatnila změna v konfiguraci. 4. Použijte příkaz pdadmin, abyste vytvořili spojení WebSEAL. Poznámka: Tento krok může být proveden na libovolném počítači v zabezpečené doméně produktu Tivoli Access Manager. Nemusíte ho provádět v systému WebSEAL. Můžete ho například spustit v systému serveru politik produktu Tivoli Access Manager. Zajistěte, že k dodání cílového spojení URL použijete volbu -b. To je požadavek jednotného přihlášení. Zadejte například následující příkaz jako jeden souvislý příkazový řádek: pdadmin> server task webseald_server_name create -t tcp -p WebLogic_Server_listen_port -h WebLogic_Server -b supply junction_target
Následující tabulka definuje proměnné ve výše uvedeném příkazu pdadmin: Tabulka 2. Volby pro příkaz pdadmin Volba
Popis
webseald_server_name
Jméno serveru WebSEAL. Jméno se skládá ze dvou částí: webseald-WebSEAL_server_instance. Použijte jméno hostitele systému pro WebSEAL_server_instance. Například, pokud jméno počítače hostitele systému je cruz,webseald_server_name bude: webseald-cruz Poznámka: Pokud jste nainstalovali více úrovní WebSEAL na stejný server, musíte také uvést úroveň serveru. Pro instrukce k vytváření spojení s několika úrovněmi serveru se podívejte na IBM Tivoli Access Manager for e-business WebSEAL: Administrativní příručka.
WebLogic_Server
Jméno hostitele BEA WebLogic Server.
WebLogic_Server_listen_port Port, na kterém naslouchá BEA WebLogic Server. Předvolba je 7001. -b supply
Požadavek jednotného přihlášení. Zajišťuje průchod WebSEAL přes heslo dummy.
junction_target
Cílová URL spojení
Úplné informace o vytváření a používání spojení WebSEAL viz IBM Tivoli Access Manager for e-business WebSEAL: Administrativní příručka.
Konfigurace jednotného přihlášení pomocí Tivoli Access Manager Plug-in for Web Servers Aby jednotné přihlášení správně fungovalo, Tivoli Access Manager Plug-in for Web Servers je nutno nakonfigurovat, aby posílal správné informace v hlavičce Basic Authentication (Základní autentizace) do IBM Tivoli Access Manager for WebLogic Server. Aby toto nastalo, Basic Authentication (Základní autentizaci) je nutno nakonfigurovat jako po-autorizační modul v konfiguračním souboru plug-in. Kapitola 3. Procedury konfigurace
25
Editujte konfigurační soubor pdwebpi.conf umístěný v adresáři plug-in_install_dir/etc a přidejte následující hodnotu k objektu stanza [common-modules]: [common-modules] post-authzn = BA
Pak nastavte v uvedeném pořadí parametry add-hdr a supply-password v objektu stanza [BA} na BA a heslo sso_user. To je: [BA] add-hdr = supply supply-password = sso_pwd
Pro více informací o konfiguraci Tivoli Access Manager Plug-in for Web Servers se podívejte do publikace IBM Tivoli Plug-in for Web Servers: Integrační příručka.
Část 6: Konfigurace Tivoli Access Manager for WebLogic v multiserverových prostředích BEA WebLogic Server včetně klastrovaných prostředí Tato sekce je pro ty architektury, kde BEA WebLogic Server je nastaven v multiserverovém nebo klastrovaném prostředí. Chcete-li nakonfigurovat Tivoli Access Manager for WebLogic ve BEA WebLogic Server v multiserverových prostředích včetně klastrovaných prostředí: 1. Nakonfigurujte Tivoli Access Manager for WebLogic a vytvořte sféru Tivoli Access Manager na serveru administrativy BEA WebLogic Server pomocí instrukcí, které uvádí “Část 3: Konfigurace Tivoli Access Manager for WebLogic” na stránce 19 a “Část 4: Konfigurace sféry Tivoli Access Manager” na stránce 22. 2. Aktivujte Tivoli Access Manager for WebLogic na spravujících serverech zahrnujících členy klastrů tak, že zkopírujete vlastnosti Tivoli Access Manager for WebLogic ze serveru administrativy domény do každého z cílových počítačů (spravujících serverů). Soubory vlastností jsou umístěny v BEA_WLS_HOME/jdk_location/jre/amwls/ a měly by být zkopírovány do stejného umístění na každém ze spravujících serverů.
Část 7: Testování konfigurace Provedením následujících kroků ověřte, že Tivoli Access Manager for WebLogic byl správně nakonfigurován na registr Tivoli Access Manager: 1. Použijte konzoli BEA WebLogic Server k vytvoření a potvrzení nového testovacího uživatele. 2. Proveďte následující příkaz pdadmin: pdadmin> user show test_user
v Ověřte, že account-valid je yes. v Ověřte, že password-valid je yes. Jednotné přihlášení produktu Tivoli Access Manager for WebLogic povoluje jednotný autentizační krok přes Webseal, který průhledně autentizuje uživatele pro BEA WebLogic Server. Spuštěním ukázkové aplikace ověřte, že autentizace je správně nakonfigurovaná. Ukázková aplikace je popsána v části “Použití ukázkové aplikace” na stránce 30.
26
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Kapitola 4. Povolení jednotného přihlášení Jednotné přihlášení pomocí Tivoli Access Manager WebSEAL Tivoli Access Manager for WebLogic podporuje jednotné přihlášení na web z ostatních produktů Tivoli Access Manager jako např. produkt Tivoli Access Manager WebSEAL, produkt Tivoli Access Manager Plug-in for Web Servers a produkt Tivoli Access Manager Plug-in for Edge Server. Vztahu důvěry mezi produktem WebSEAL a BEA WebLogic Server dosáhnete, když nakonfigurujete heslo dummy pro základní autentizaci HTTP. Stejná metoda byla použita k vytvoření jednotného přihlášení u předchozích produktů produktu Tivoli Access Manager for BEA WebLogic Server, které doplňují rozhraní Custom Security Realm. Reverzní proxy HTTP produktu Tivoli Access Manager (například WebSEAL) je nakonfigurován tak, aby posílal uživatelské jméno a známé tajné heslo jednotného přihlášení. Pomocí tohoto tajného hesla se určí, zda je reverzní proxy důvěryhodný. Poté co autorizační server produktu Tivoli Access Manager heslo potvrdí, uživatel požadující zdroj získá pověření. Níže uvedené schéma představuje podrobnosti o tom, jak je zaveden vztah důvěry.
Obrázek 3. Jednotné přihlášení používající produkt Tivoli Access Manager WebSEAL
Výše uvedené schéma představuje následující kroky: 1. Uživatel se autentizuje k WebSEAL pomocí kteréhokoliv autentizačního mechanismu podporovaného WebSEALem (například, uživatelské jméno/heslo nebo certifikát klienta). Uživatel pak zadá požadavek pro zdroj BEA WebLogic Server. 2. WebSEAL byl nakonfigurován se spojením k serveru BEA WebLogic Server pomocí volby -b supply. WebSEAL předá požadavek do BEA WebLogic Server s hlavičkou Základní autentizace, která obsahuje: v ID autentizovaného uživatele WebSEAL (v diagramu Uživatel-1) © Copyright IBM Corp. 2003
27
v Hodnota basicauth-dummy-passwd v webseald.conf. Tajné heslo, o kterém bylo zmíněno výše. 3. BEA WebLogic Server předá ID uživatele a tajné heslo poskytovateli autentizace Tivoli Access Manager for WebLogic k ověření. 4. Přihlašovací modul Tivoli Access Manager for WebLogic používá produkt Tivoli Access Manager aby ověřil, že dané heslo je pro nakonfigurovaného uživatele jednotného přihlášení WebSEAL Tivoli Access Manager for WebLogic. Ověření tohoto hesla poskytuje vztah důvěry mezi WebSEAL a BEA WebLogic Server. Pokud je krok 4 úspěšný, poskytovatel autentizace Tivoli Access Manager for WebLogic autentizuje daný ID uživatele na BEA WebLogic Server. Pamatujte si, že autentizace nakonfigurovaného uživatele jednotného přihlášení WebSEAL, používajícího tajné heslo (v diagramu ws-passwd) je pouze provedena jednou, protože je uložena v paměti cache přihlašovacího modulu Tivoli Access Manager for WebLogic. Tato paměť cache je konfigurovatelná a lze ji vypnout. SSO lze nastavit během vytváření sféry, avšak abyste ručně povolili SSO Tivoli Access Manager for WebLogic, musíte: 1. Vytvořit uživatele SSO. 2. V konfiguračním souboru amsspi.properties Tivoli Access Manager for WebLogic nastavit: com.tivoli.amwls.sspi.Authentication.ssoEnabled = true com.tivoli.amwls.sspi.Authentication.ssoTrustId = sso_username
28
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Kapitola 5. Úlohy administrativy Tato kapitola zahrnuje následující témata Tivoli Access Manager for WebLogic: v “Povolení služby nároků na autorizačním serveru Tivoli Access Manager” v “Správa uživatelů a skupin s Tivoli Access Manager for WebLogic” na stránce 30 v “Použití ukázkové aplikace” na stránce 30 v “Rady pro použití” na stránce 32 v “Politika přihlášení ″třikrát a dost″” na stránce 32 v “Vymazání sféry produktu Tivoli Access Manager” na stránce 33 v “Odkonfigurování Tivoli Access Manager for WebLogic” na stránce 34 v “Rady pro odstraňování problémů” na stránce 34 v “Omezení” na stránce 35
Povolení služby nároků na autorizačním serveru Tivoli Access Manager Server politik Tivoli Access Manager používá předvolenou hodnotu Tivoli Access Manager for WebLogic k procházení chráněných objektů v databázi chráněných objektů Tivoli Access Manager. Tato architektura by však měla být použita pouze v testovacích prostředích, protože servery politik Tivoli Access Manager nelze replikovat, a tak představuje Tivoli Access Manager for WebLogic jednotlivý bod selhání. Mimoto umožňuje lepší provozní výkonnost na základě techniky ukládání do paměti cache. Služba nároku by se měla vždy používat v produkčních prostředích.. Následující konfigurační kroky by měly být provedeny, pouze pokud byl Tivoli Access Manager for WebLogic správně nakonfigurován. Tivoli Access Manager for WebLogic využívá dvou služeb nároků, které je třeba povolit na všech nakonfigurovaných autorizačních serverech Tivoli Access Manager: v Tivoli Access Manager Extended Attribute Entitlement Service Toto je předvolená služba nároků, která se distribuuje s autorizačním serverem Tivoli Access Manager. v RBPF Protected Object Browsing Entitlement Service Toto je služba nároků, která se distribuuje s produktem Tivoli Access Manager for WebLogic. Abyste se ujistili, že Tivoli Access Manager for WebLogic používá služby nároku, proveďte následující kroky: 1. Zkopírujte sdílenou knihovnu rbpf_ent_pos_browser z hostitele produktu Tivoli Access Manager for WebLogic do hostitele autorizačního serveru Tivoli Access Manager a umístěte ji do jakéhokoliv adresáře, který se nachází v PATH systému. Sdílenou knihovnu rbpf_ent_pos_browser najdete na hostiteli produktu Tivoli Access Manager for WebLogic v: UNIX
/opt/PolicyDirector/lib
Windows c:\Program Files\Tivoli\pdwls\bin 2. Z autorizačního hostitele Tivoli Access Manager otevřete soubor ivacld.conf, umístěný v: UNIX
/opt/PolicyDirector/etc
Windows c:\Program Files\Tivoli\Policy Director\etc © Copyright IBM Corp. 2003
29
3. Do objektu stanza [aznapi-entitlement-services] přidejte následující dva řádky: AZN_ENT_EXT_ATTR = azn_ent_ext_attr RBPF_POS_BROWSE = rbpf_ent_pos_browser
4. Restartujte autorizační server Tivoli Access Manager. 5. Z hostitele Tivoli Access Manager for WebLogic otevřete soubor rbpf.properties umístěný v java_home/amwls/WLS_Domain_Name/WLS_Realm_Name —, kde WLS_Domain_Name je jméno domény produktu BEA WebLogic Server a WLS_Realm_Name je jméno oblasti zabezpečení produktu BEA WebLogic Server. Aktualizujte následující prostředí na true: com.tivoli.pd.as.rbpf.UseEntitlements=true
6. Restartujte produkt BEA WebLogic Server. Pokud byly tyto kroky již úspěšně dokončeny, aktivovaný Tivoli Access Manager for WebLogic BEA WebLogic Server použije k provedení procházení všech chráněných objektů namísto serveru politik Tivoli Access Manager autorizační server Tivoli Access Manager.
Správa uživatelů a skupin s Tivoli Access Manager for WebLogic S produktem Tivoli Access Manager for WebLogic lze spravovat uživatele a skupiny pomocí konzole BEA WebLogic Server. V podokně zabezpečení konzole BEA WebLogic Server rozbalte ikonu Access Manager, a pak ikonu Realm, aby se zobrazily ikony Users (Uživatelé) a Groups (Skupiny). Toto jsou ikony, pomocí kterých spravujete uživatele a skupiny pro zabezpečení produktu Tivoli Access Manager for WebLogic. Výběrem ikony Users (Uživatelé) zobrazíte stránku User Management (Správa uživatelů). Na této stránce můžete: v Zobrazit seznam uživatelů produktu Tivoli Access Manager for WebLogic. v Zobrazit podrobnosti jednotlivých uživatelů. v Vytvořit uživatele. Výběrem ikony Groups (Skupiny) zobrazíte stránku Group Management (Správa skupin). Na této stránce můžete: v Zobrazit seznam skupin. v Zobrazit podrobnosti jednotlivých skupin. v Vytvořit skupiny. Můžete přidat více uživatelů do skupin nebo skupiny k uživatelům tak, že zadáte seznam oddělený mezerou na příslušnou stránku rozšíření konzole. Pokud při vyhledávání uživatelů nebo skupin není v poli Max-Return (Max. vrácených) zadaná žádná hodnota, pak budou zobrazeni ti uživatelé a skupiny, které odpovídají kritériím uvedeným v poli Pattern (Vzor).
Použití ukázkové aplikace Pro příklad dvou typů autorizace a k procvičení schopnosti jednotného přihlášení WebSEAL můžete použít ukázkovou aplikaci. Dva typy autorizace jsou: v Deklarativní Používá popisovače rozmístění pro zajištění specifických funkcí uživatelů a skupin. v Programová Kontroly rolí jsou prováděny z vnitřního zdrojového kódu aplikace.
30
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Ukázková aplikace obsahuje komponenty pro web a EJB. Dvě úrovně zabezpečení komponenty pro web lze popsat následovně: v Deklarativní: Popisovač rozmístění web.xml definuje jednu roli se jménem ServletRole. Popisovač rozmístění weblogic.xml definuje mapování objektu mezi rolí ServletRole a skupinou BankMembersServlet. Omezení zabezpečení v popisovači rozmístění web.xml zajišťuje, aby od uživatelů byla vyžadována udělená role ServletRole pro přístup k jakýmkoli způsobům Servletu. v Programová: Metoda doPost() má další zabezpečení, které tentokrát programově zajišťuje, že má volající udělenou roli ServletRole. Toto umožňuje kontrolu jak programového tak deklarativního zabezpečení uvnitř jedné komponenty webu. Metoda HTTPRequest.isUserInRole() se používá pro kontrolu autorizace. Tři úrovně zabezpečení komponenty EJB lze popsat následovně: v Deklarativní zabezpečení: Popisovači rozmístění ejb-jar.xml definuje jednu roli se jménem EJBRole. Popisovač rozmístění weblogic-ejb-jar.xml definuje mapování objektu mezi rolí EJBRole a skupinou BankMembersEJB. Oprávnění metody v popisovači rozmístění ejb-jar.xml zajišťuje, aby od uživatelů byla vyžadována udělená role EJBRole pro přístup ke způsobu getBalance(). v Programové zabezpečení: Metoda getBalance() má další zabezpečení, které tentokrát programově zajišťuje, že má volající udělenou roli EJBRole. Metoda EJBContext.isCallerInRole() se používá pro kontrolu autorizace. v Programové zabezpečení na základě jména účtu: Metoda getBalance() zajišťuje, že jméno požadovaného účtu odpovídá jménu volajícího objektu. To znamená, že pouze uživatel Banker1 by měl být schopen zobrazit stav účtu uživatele Banker1. Pro spuštění ukázkové aplikace postupujte následovně: 1. Zkopírujte ukázkovou aplikaci PDDemoApp.ear do WebLogic_domain_directory\applications. Všimněte si, že není požadováno použití tohoto adresáře. Můžete umístit soubor EAR do libovolného adresáře vašeho systému souborů. Ukázkovou aplikaci naleznete v /AMWLS_install_dir/demo. 2. Pomocí konzole produktu BEA WebLogic Server vytvořte následující uživatele: Banker1 Banker2 Banker3 Banker4 URLUser1 URLUser2 URLUser3
3. Vytvořte 2 skupiny: BankMembersEJB a BankMembersServlet. Přidejte uživatele: Banker1, Banker2, Banker3 a Banker4 do nově vytvořených skupin. Instrukce pro použití konzole BEA WebLogic Server: viz dokumentace k produktu BEA WebLogic Server. 4. Pomocí konzole BEA WebLogic Server rozmístěte ukázkovou aplikaci. 5. Pro přístup k ukázkové aplikaci použijte následující URL: http://WebLogic_Server_host:WebLogic_Server_listening_port/pddemo/PDDemo
Autentizujte se jedním z výše definovaných uživatelů Banker. WebLogic_Server_host je jméno hostitele systému BEA WebLogic Server. Kapitola 5. Úlohy administrativy
31
WebLogic_Server_listening_port je port, na kterém naslouchá BEA WebLogic Server. 6. Ověřte, že k Servletu mají přístup pouze uživatelé, kteří jsou ve skupině BankMembersServlet. 7. Ověřte, že oprávnění uživatelé, kteří jsou členy skupiny BankMembersEJB, mohou zobrazit stav svých účtů, ale ne stav účtů jiných uživatelů. Pro test jednotného přihlášení WebSEAL postupujte následovně: 1. Použijte následující URL: https://webseald_server_name/junction_target/pddemo/PDDemo
WebSEAL vás vyzve k autentizaci. Vysvětlení proměnných webseald_server_name a junction_target viz “Část 7: Testování konfigurace” na stránce 26. Poznámka: Použijte HTTPS, protože předvolba chování WebSEAL nepovoluje autentizaci Basic nebo autentizaci založenou na formulářích přes HTTP. 2. Autentizujte se jako jeden z výše definovaných uživatelů. Tento proces umožňuje uživateli jednotné přihlášení k produktu BEA WebLogic Server. Servlet bude vyvolán bez požadavku na druhou autentizaci. Při přístupu přes WebSEAL bude chování ukázkové aplikace PDDemo identické s chováním při přímém přístupu do produktu BEA WebLogic Server. 3. Ověřte, že oprávnění uživatelé mohou zobrazit stav svých účtů, ale ne stav účtů jiných uživatelů.
Rady pro použití 1. Povolení jednotného přihlášení vnějších uživatelů plní dobře úlohu zabezpečení. Zajistěte, aby autentizace byla prováděna pouze pro server WebSEAL. Abyste tohoto dosáhli, zablokujte přístup do produktu BEA WebLogic Server vnitřním uživatelům, což jsou uživatelé, kteří nemají přístup k produktu BEA WebLogic Server používající WebSEAL. Toto lze provést použitím filtru pro připojení do sítě. Filtr připojení vám povoluje chránit zdroje na úrovni sítě spíše než používání rolí pro omezení přístupu. 2. Buďte si vědomi toho, že jak Tivoli Access Manager, tak server WebLogic uchovávají záznam o neplatných pokusech o autentizaci. Každý produkt udržuje nastavení konfigurace zabezpečení, které uvádí maximální počet povolených neúspěšných pokusů, po jejichž vyčerpání bude uživatelský účet uzamčen. Účet bude uzamčen po překročení nižšího ze dvou daných nastavení. Například, je-li server WebLogic nakonfigurován pro pět neúspěšných přihlášení, ale Tivoli Access Manager je nakonfigurován pouze pro tři neúspěšná přihlášení, bude účet uzamčen po třech neúspěšných přihlášeních.
Politika přihlášení ″třikrát a dost″ Politika přihlášení ″třikrát a dost″, k dispozici pro instalace Tivoli Access Manager založené na LDAP, vám umožňuje zabránit napadení počítače hesly tak, že uvedete maximální počet neúspěšných pokusů o přihlášení a trestnou dobu uzamčení. Politika vytvoří takový stav, aby musel uživatel nějakou dobu vyčkat, než bude moci učinit další neúspěšné pokusy o přihlášení. Například, po 3 neúspěšných pokusech by politika mohla vyžadovat trest 180 vteřin. Tento typ politiky přihlášení může chránit i náhodné pokusy o přihlášení vytvořené počítačem, které se mohou vyskytnout několikrát za vteřinu. Politika přihlášení ″třikrát a dost″ vyžaduje společnou účast dvou nastavení příkazu politik pdadmin: v Maximální počet chybných pokusů o přihlášení sada politik maximum-špatných-přihlášení
32
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
v Trest za překročení nastaveného počtu chybných pokusů o přihlášení sada politik časový-interval-zablokování Nastavení trestu může obsahovat časový interval uzamčení účtu, nebo úplné zablokování účtu. Je-li politika pro přihlášení nastavena (například) na tři chybné pokusy, po kterých pak následuje určitá trestná doba uzamčení, čtvrtý pokus (správný i nesprávný) skončí zobrazením chybové stránky, která oznamuje, že účet je dočasně nedostupný kvůli politice hesla. Časový interval se uvádí ve vteřinách - nejmenší časový interval se doporučuje 60 vteřin. Pokud je politika časový-interval-zablokování nastavena na disable (zablokovat), uživatel nemá přístup k účtu a atribut LDAP account valid (účet platný) je pro tohoto uživatele nastaven na no (ne). Účet znovu zpřístupní administrátor přes Web Portal Manager. Poznámka: Je-li časový-interval-zablokování nastaven na disable (zablokovat), je nutná další vrchní administrativa. Je možné, že si povšimnete prodlevy během replikace informace account valid na plug-in. Tato situace závisí na vašem prostředí LDAP. Navíc mohou určité implementace LDAP pocítit pokles výkonnosti v důsledku aktualizační operace account valid. Z těchto důvodů se doporučuje používat interval časového limitu. Následující příkazy pdadmin jsou vhodné pouze při použití registru LDAP. Tabulka 3. příkazy politiky přihlášení pdadmin LDAP Příkaz
Popis
sada politik maximum-špatných-přihlášení {počet|unset} [-user username] sada politik maximum-špatných-přihlášení [-user username] Spravuje politiku řídicí maximální počet povolených chybných pokusů o přihlášení předtím, než je uložen trest. Tento příkaz závisí na nastavení trestu v sadě politik časový-interval-zablokování. Jako administrátor můžete tuto politiku použít pro určitého uživatele, nebo globálně pro všechny uživatele zobrazené v registru LDAP. Předvolené nastavení je 10 pokusů. sada politik časový-interval-zablokování {počet|unset|disable} [-user username] sada politik časový-interval-zablokování [-user username] Spravuje trestnou politiku řídící časové období, po které by měl být účet zakázán, pokud je překročen maximální počet chybných pokusů o přihlášení. Jako administrátor můžete tuto trestnou politiku použít pro určitého uživatele, nebo globálně pro všechny uživatele zobrazené v registru LDAP. Předvolené nastavení je 180 vteřin.
Vymazání sféry produktu Tivoli Access Manager Pro vymazání sféry produktu Tivoli Access Manager proveďte následující instrukce: 1. Ujistěte se, že je spuštěn BEA WebLogic Server.
Kapitola 5. Úlohy administrativy
33
2. Pomocí konzole změňte předvolenou sféru tak, aby to nebyla sféra vytvořená akcí create_realm (vytvořit_sféru) produktu Tivoli Access Manager for WebLogic. 3. Restartujte BEA WebLogic Server. 4. Pro vymazání sféry produktu Tivoli Access Manager pomocí Konzole proveďte následující instrukce: a. Otevřete ikonu Access Manager z příkazového řádku BEA WebLogic Server. b. Klepněte na ikonu Realm (Sféra). Zobrazí se stránka Realm Configuration (Konfigurace sféry). c. Klepněte na tlačítko Delete (Vymazat). Zobrazí se stránka Delete Realm Configuration (Vymazat konfiguraci sféry). d. Klepněte na OK. Stránka Create Realm (Vytvoření sféry) se zobrazí s prázdnými poli. 5. Pro vymazání sféry produktu Tivoli Access Manager pomocí příkazového řádku použijte příkaz AMWLSConfigure -action delete_realm. Podívejte se na Dodatek B, “Rychlé odkazy na příkazy”, na stránce 49 pro získání podrobností o volbách, které lze použít pro příkaz AMWLSConfigure -action delete_realm. Poznámka: Pokud nebyl Tivoli Access Manager for WebLogic při vyjmutí souboru nainstalován do doporučeného umístění, nezapomeňte nastavit proměnnou AMSSPI_DIR ve skriptu AMWLSConfigure do umístění skutečného instalačního adresáře. Stejně tak pokud není WebLogic nainstalován v předvoleném umístění, aktualizujte proměnnou WLS_JAR se správným umístěním WebLogic.jar ve skriptu ALWLSConfigure.
Odkonfigurování Tivoli Access Manager for WebLogic Pro odkonfigurování Tivoli Access Manager for WebLogic proveďte následující instrukce: 1. Ujistěte se, že je spuštěn BEA WebLogic Server. 2. Ujistěte se, že sféra produktu Tivoli Access Manager byla vymazána. Přejděte na “Vymazání sféry produktu Tivoli Access Manager” na stránce 33. 3. Pro odkonfigurování produktu Tivoli Access Manager for WebLogic pomocí konzole proveďte následující instrukce: a. Klepněte na složku Access Manager. Zobrazí se stránka Configuration (Konfigurace). b. Klepněte na tlačítko Delete (Vymazat). Zobrazí se stránka Unconfigure (Odkonfigurovat). c. Zadejte heslo sec_master pro Tivoli Access Manager a klepněte na OK. d. Stránka Configuration (Konfigurace) se zobrazí s prázdnými poli. 4. Chcete-li odkonfigurovat Tivoli Access Manager for WebLogic z příkazového řádku, použijte příkaz AMWLSConfigure -action unconfig. Podívejte se na Dodatek B, “Rychlé odkazy na příkazy”, na stránce 49 pro získání podrobností o volbách, které lze použít pro příkaz AMWLSConfigure -action unconfig_realm.
Rady pro odstraňování problémů Seznam témat: v “Selhání jednotného přihlášení založeného na formulářích” v “Server WebLogic vydá výjimku týkající se paměti” na stránce 35
Selhání jednotného přihlášení založeného na formulářích Pokud se uživatelé autentizovali přihlášením založeným na formulářích a pokoušeli se o přístup ke zdroji, ke kterému neměli oprávnění, může se zobrazit následující chybová hláška: Zpráva z WebSEAL: Nelze se přihlásit
34
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
To se může stát, protože ačkoliv uživatelé jsou skutečně autentizováni, nemají povolení k přístupu na servlet v zásobníku sítě. Nastane-li tato chyba, když používáte základní autentizaci, uživatelé budou místo zobrazení stránky popsané výše znovu vybídnuti k uvedení autentizačních podrobností. Jde o předvolené chování produktu BEA WebLogic Server, vstupují-li uživatelé na stránku buď přímo, nebo přes WebSEAL.
Server WebLogic vydá výjimku týkající se paměti Problém: Je vydána výjimka java.lang.OutofMemory. Vysvětlení: Spouštíte-li velké množství relací Access Manager pro server WebLogic, může BEA WebLogic Server vyčerpat zásobu volné oblasti paměti. Řešení: Zvyšte maximální velikost heapu pro Java Virtual Machine (JVM) ve skriptu startWebLogic. Například: %JAVA_HOME%\bin\java -ms64m -mx128m -xms200m -xx:MaxPermSize=128m
Konzultujte dokumentaci produktu BEA pro doporučenou velikost zásobníkové paměti; ta je založena na architektuře aplikace, počtu procesů náročných na paměť spuštěných v hostitelském systému a verzi BEA WebLogic Serveru. Aplikace by měly být testovány v extrémních podmínkách, aby bylo možné určit odpovídající velikost zásobníkové paměti v jejich prostředí.
Omezení 1. Tivoli Access Manager for WebLogic nepodporuje rekurzivní členství ve skupinách (skupiny uvnitř skupin). 2. Tivoli Access Manager for WebLogic podporuje více domén Tivoli Access Manager, avšak uživatel sec_master se pro každou doménu MUSÍ jmenovat sec_master. To znamená, že momentálně není možná volba změnit toto uživatelské jméno pro jednotlivé domény Tivoli Access Manager. 3. V produktu BEA WebLogic Server 8.1, použijte jako jméno skupiny anyother místo any-other, protože znak ″-″ není podporován pro jména skupin. 4. Pokud konfigurujete Tivoli Access Manager for WebLogic přes registr Active Directory, budete muset změnit nastavení AdminGroupProp=Administrators na něco jiného, protože skupina administrators již v registru Active Directory existuje, a proto dojde k selhání konfigurace. Důležité je toto provádět před konfigurací Tivoli Access Manager for WebLogic a vytvářením sféry Tivoli Access Manager for WebLogic. 5. Při používání konzole Tivoli Access Manager for WebLogic k vytvoření rolí a politik nejsou podporována časová omezení. Nemůžete přidat uživatele nebo skupiny k politice, ale pouze k rolím. Mezi rolemi a politikami můžete pouze zvolit ″OR″ (″NEBO″), ″AND″ (″A″) není podporováno. 6. Tivoli Access Manager uchovává pověření uživatele standardně 2 hodiny. Tuto časovou hodnotu můžete konfigurovat aktualizací vlastnosti appsvr-credcache-life v PdPerm.properties. 7. Jednotné přihlášení z WebSEAL nebo Tivoli Access Manager Plug-in for Web Servers na WebLogic Server Console Extension není podporováno. Toto by však neměl být velký problém, neboť WebLogic Server Console nebude běžně k dispozici pro uživatele přistupující z Internetu.
Kapitola 5. Úlohy administrativy
35
Známé problémy a způsoby, jak se jim vyhnout 1. Instalace, které používají registr uživatelů Active Directory, mohou narazit na problémy při rozmísťování certifikační aplikace. Tento problém se vyskytuje kvůli pevně naprogramovanému mapování rolí skupiny administrátora a uživatele systému. V registru Active Directory je jak skupina administrátora, tak uživatel systému předdefinovaný a není možné je odstranit. Chcete-li tyto chyby odstranit a zajistit, že na certifikační aplikaci je umístěno správné zabezpečení, editujte popisovač rozmístění webové aplikace certificate.war, odstraňte tato mapování a přidejte ta, která odpovídají vaší stávající skupině administrátora a uživateli systému. 2. Tento problém se vyskytuje v produktu BEA WebLogic Server verze 8.1, kde nepovoluje produktu Tivoli Access Manager for WebLogic provádět aktualizace politik z konzole. Číslo pro změnu požadavku (Change Request number (CR)) pro toto vydání produktu BEA WebLogic Server je CR125113. Aktualizace politik pomocí konzole nejsou podporovány do té doby, než je problém opraven v servisním balíku 8.1 produktu BEA WebLogic Server.
36
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Kapitola 6. Instrukce pro odstranění Tato kapitola popisuje jak odstranit IBM Tivoli Access Manager for WebLogic Server. Proveďte instrukce v jedné z následujících sekcí: v “Odstranění ze Solaris” v “Odstranění z Windows” v “Odstranění z AIX” na stránce 38 v “Odstranění z HP-UX” na stránce 38
Odstranění ze Solaris Předtím, než budete pokračovat s odstraňováním Tivoli Access Manager for WebLogic, ujistěte se, zda jste odstranili sféru Tivoli Access Manager a odkonfigurovali Tivoli Access Manager for WebLogic. Podrobnosti o provádění těchto úloh naleznete v částech “Vymazání sféry produktu Tivoli Access Manager” na stránce 33 a “Odkonfigurování Tivoli Access Manager for WebLogic” na stránce 34. Pro odstranění produktu Tivoli Access Manager for WebLogic v Solaris použijte příkaz pkgrm. Proveďte následující instrukce: 1. Přihlaste se do systému jako uživatel root. 2. Pro odstranění Tivoli Access Manager for WebLogic zadejte následující příkaz: # pkgrm PDWLS
Objeví se výzva, která se vás zeptá, zda chcete potvrdit odstranění zvolené sady programů. Zadejte písmeno y. 3. Zobrazí se upozornění, které vám sdělí, že budou během procesu odstraňování provedeny skripty s povoleními super uživatele. Zadejte písmeno y. Stavová zpráva vypíše každý soubor, který bude odstraněn. Po ukončení zpracování skriptu s akcemi, které je nutné provést po dokončení odstranění souborů, se zobrazí stavová zpráva, která oznámí, že odstranění sady programů bylo úspěšné. Obslužný program pkgrm bude ukončen. Odstranění sady programů Tivoli Access Manager for WebLogic je dokončeno. Chcete-li odstranit předpoklady IBM Tivoli Access Manager Base (prostředí runtime produktu Tivoli Access Manager Base, prostředí Java runtime produktu Tivoli Access Manager Base a volitelnou sadu vývoje aplikací produktu Tivoli Access Manager), následujte instrukce v IBM Tivoli Access Manager Base Installation Guide.
Odstranění z Windows Předtím, než budete pokračovat s odstraňováním Tivoli Access Manager for WebLogic, ujistěte se, zda jste odstranili sféru Tivoli Access Manager a odkonfigurovali Tivoli Access Manager for WebLogic. Podrobnosti o provádění těchto úloh naleznete v částech “Vymazání sféry produktu Tivoli Access Manager” na stránce 33 a “Odkonfigurování Tivoli Access Manager for WebLogic” na stránce 34. Pro odstranění souborů Tivoli Access Manager for WebLogic použijte ikonu Add/Remove Programs (Přidat nebo odebrat programy). Proveďte následující instrukce: © Copyright IBM Corp. 2003
37
1. 2. 3. 4.
Přihlaste se jako uživatel operačního systému Windows s oprávněním administrátora. Dvakrát klepněte na ikonu Add/Remove Programs (Přidat nebo odebrat programy). Vyberte aplikační server Access Manager for WebLogic . Klepněte na Change/Remove (Změnit nebo odebrat). Soubory Tivoli Access Manager for WebLogic byly odstraněny. Zobrazí se dialogové okno Maintenance Complete Deletion 5. Klepněte na OK. Odstranění Tivoli Access Manager for WebLogic je dokončeno. Chcete-li odstranit předpoklady IBM Tivoli Access Manager Base (prostředí runtime produktu Tivoli Access Manager Base, prostředí Java runtime produktu Tivoli Access Manager Base a volitelnou sadu vývoje aplikací produktu Tivoli Access Manager), následujte instrukce v IBM Tivoli Access Manager Base Installation Guide.
Odstranění z AIX Předtím, než budete pokračovat s odstraňováním Tivoli Access Manager for WebLogic, ujistěte se, zda jste odstranili sféru Tivoli Access Manager a odkonfigurovali Tivoli Access Manager for WebLogic. Podrobnosti o provádění těchto úloh naleznete v částech “Vymazání sféry produktu Tivoli Access Manager” na stránce 33 a “Odkonfigurování Tivoli Access Manager for WebLogic” na stránce 34. Pro odstranění Tivoli Access Manager for WebLogic v sadě programů AIX použijte obslužný program installp. Chcete-li odstranit předpoklady IBM Tivoli Access Manager Base (prostředí runtime produktu Tivoli Access Manager Base, prostředí Java runtime produktu Tivoli Access Manager Base a volitelnou sadu vývoje aplikací produktu Tivoli Access Manager), následujte instrukce v IBM Tivoli Access Manager Base Installation Guide.
Odstranění z HP-UX Předtím, než budete pokračovat s odstraňováním Tivoli Access Manager for WebLogic, ujistěte se, zda jste odstranili sféru Tivoli Access Manager a odkonfigurovali Tivoli Access Manager for WebLogic. Podrobnosti o provádění těchto úloh naleznete v částech “Vymazání sféry produktu Tivoli Access Manager” na stránce 33 a “Odkonfigurování Tivoli Access Manager for WebLogic” na stránce 34. Pro odstranění souborů Tivoli Access Manager for WebLogic použijte swremove. Proveďte následující instrukce: 1. Přihlaste se do systému jako uživatel root. 2. Pro odstranění Tivoli Access Manager for WebLogic zadejte následující příkaz: # swremove PDWLS
Zobrazí se řada stavových zpráv. Nakonec se zobrazí stavová zpráva, která oznámí, že fáze analýzy byla úspěšná. Obslužný program swremove odstraní soubory Tivoli Access Manager for WebLogic z pevného disku. Až bude odstranění souborů dokončeno, obslužný program swremove bude ukončen. Odstranění Tivoli Access Manager for WebLogic z HP-UX je nyní dokončeno. Chcete-li odstranit předpoklady IBM Tivoli Access Manager Base (prostředí runtime produktu Tivoli Access Manager Base, prostředí Java runtime produktu Tivoli Access
38
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Manager Base a volitelnou sadu vývoje aplikací produktu Tivoli Access Manager), následujte instrukce v IBM Tivoli Access Manager Base Installation Guide.
Kapitola 6. Instrukce pro odstranění
39
40
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Dodatek A. Odkazy na soubory vlastností Data zadaná při konfiguraci produktu Tivoli Access Manager for WebLogic a vytváření sféry se uloží do souborů vlastností. Tyto soubory vlastností lze použít pro změnu chování produktu Tivoli Access Manager for WebLogic. Soubory vlastností najdete na java_home/amwls/wls_domain_name/wls_realm_name/. wls_domain_name je jméno vaší nastavené domény BEA WebLogic Server a wls_realm_name je jméno vaší nakonfigurované sféry BEA WebLogic Server uvnitř domény. Existují tři typy souborů vlastností: v amsspi.properties Obsahuje vlastnosti konfigurace z hlediska SSPI specifické pro BEA WebLogic Server. v rbpf.properties Obsahuje vlastnosti konfigurace produktu Tivoli Access Manager for WebLogic, např. nastavení paměti cache, vlastnosti rolí a jména zásobníků prostorů chráněných objektů Tivoli Access Manager. v amwlsjlog.properties Parametry v tomto souboru řídí záznam dat a trasování produktu Tivoli Access Manager for WebLogic, včetně množství provedeného trasování/posílání dat. Pamatujte si, že aktivované trasování může mít vliv na výkonnost produktu Tivoli Access Manager for WebLogic. Doporučujeme mít aktivované trasování pouze pokud se pokoušíte určit příčiny nějakého problému. Následující sekce obsahují popisy parametrů, které najdete v každém ze souborů vlastností. Značka *** označuje vlastnosti, které nejsou zadány při konfiguraci Tivoli Access Manager for WebLogic. Tyto vlastnosti jsou na předvolené hodnoty nastaveny v době konfigurace. Pokud chcete tyto hodnoty nastavit jinak než v předvolbě, budete muset změnit hodnotu vlastnosti v odpovídajícím souboru .in PŘED konfigurováním a vytvářením sféry. Akce config a create_realm používají hodnoty v souborech .in k vytvoření chráněných objektů ACL a Tivoli Access Manager, proto je nelze změnit poté, co konfigurujete nebo vytvoříte sféru. Vlastnosti neoznačené *** v následujících sekcích mohou být jednoduše po konfiguraci změněny. Soubory .in lze najít v /pdwls_install_dir/add.
amsspi.properties Tato sekce zobrazuje a popisuje vlastnosti nalezené v souboru amsspi.properties. com.tivoli.amwls.sspi.config.DeployerGroupProp*** Předvolená hodnota je Deployers. Standardně má produkt BEA WebLogic Server 4 administrativní skupiny. Tato vlastnost umožňuje uživatelům změnit jméno administrativní skupiny Deployers na něco jiného než Deployers. com.tivoli.amwls.sspi.config.MonitorGroupProp*** Předvolená hodnota je Monitors. Standardně má produkt BEA WebLogic Server 4 administrativní skupiny. Tato vlastnost umožňuje uživatelům změnit jméno administrativní skupiny Monitors na něco jiného než Monitors. com.tivoli.amwls.sspi.config.OperatorGroupProp*** Předvolená hodnota je Operators. Standardně má produkt BEA WebLogic Server 4 © Copyright IBM Corp. 2003
41
administrativní skupiny, a to umožňuje uživatelům změnit jméno administrativní skupiny Operators na něco jiného než Operators. com.tivoli.amwls.sspi.config.AdminGroupProp*** Předvolená hodnota je Administrators. Standardně má produkt BEA WebLogic Server 4 administrativní skupiny, což umožňuje uživatelům změnit jméno administrativní skupiny Administrators na něco jiného než Administrators. Toto je důležitá vlastnost pro systémy používající registr Active Directory, protože se tato vlastnost MUSÍ aktualizovat, jelikož Windows již obsahuje administrativní skupinu se jménem Administrators. com.tivoli.amwls.sspi.Authentication.GroupRegistryDelete Předvolená hodnota je true.Tato vlastnost určuje, zda se vymažou skupiny v základním adresáři, pokud budou vymazány skupiny v Tivoli Access Manageru. Je to to samé jako zapnutí nebo vypnutí příznaku -registry při vymazávání skupiny, která používá příkaz pdadmin. com.tivoli.amwls.sspi.Authentication.UserRegistryDelete Předvolená hodnota je true.Toto určuje, zda se vymažou uživatelé v základním adresáři, pokud budou vymazáni uživatelé v Tivoli Access Manageru. Je to to samé jako zapnutí nebo vypnutí příznaku -registry při vymazávání uživatele, který používá příkaz pdadmin. com.tivoli.amwls.sspi.Authentication.ssoEnabled Předvolená hodnota je false. Toto povoluje nebo zakazuje jednotné přihlášení z WebSEAL nebo Tivoli Access Manager Plug-in for Web Servers na produkt BEA WebLogic Server. com.tivoli.amwls.sspi.Authentication.ssoTrustId Uživatel, který se použije k zavedení asociace důvěry s WebSEAL nebo Tivoli Access Manager Plug-in for Web Servers pro provedení jednotného přihlášení. com.tivoli.amwls.sspi.Authentication.ssoPasswdExpiry Předvolená hodnota je 120 (minut). Tato vlastnost uvádí délku času v minutách, jak dlouho zůstává v paměti cache autentizace SSO důvěry ID a když tato doba uplyne, uživatel SSO je autentizován proti Tivoli Access Manager v dalším pokusu o SSO. com.tivoli.amwls.sspi.RoleMapper.EnableWebProgRolecheck Předvolená hodnota je true.Tato vlastnost povoluje nebo zakazuje kontroly webových programových rolí. To umožňuje administrátorům vypnout programové zabezpečení pro webové aplikace. com.tivoli.amwls.sspi.RoleMapper.EnableEjbProgRolecheck Předvolená hodnota je true.Tato vlastnost povoluje nebo zakazuje kontroly programových rolí EJB. To umožňuje administrátorům vypnout programové zabezpečení pro EJB. com.tivoli.amwls.sspi.Authentication.GroupDNPrefix Pro LDAP je předvolená hodnota cn=. Tato vlastnost umožňuje administrátorům měnit prefix při vytváření skupin z rozšíření konzole. com.tivoli.amwls.sspi.Authentication.UserDNPrefix Pro LDAP je předvolená hodnota cn=. Tato vlastnost umožňuje administrátorům měnit prefix při vytváření uživatelů z rozšíření konzole.
rbpf.properties Tato sekce zobrazuje a popisuje vlastnosti nalezené v souboru rbpf.properties.
42
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
com.tivoli.pd.as.rbpf.ProductName Předvolená hodnota je PDWLS. Tato vlastnost se používá v komentářích a popisech při vytváření objektů Tivoli Access Manager a ACL. com.tivoli.pd.as.rbpf.RoleContainerName*** Předvolená hodnota je Roles. Po konfiguraci se tato vlastnost změní na Roles/$WLS_Domain_Name/$WLS_Realm_Name. WLS_Domain_Name je jméno nakonfigurované domény BEA WebLogic Server a WLS_Realm_Name je jméno nakonfigurované sféry BEA WebLogic Server. com.tivoli.pd.as.rbpf.ResourceContainerName*** Předvolená hodnota je Resources. Po konfiguraci se tato vlastnost změní na Resources/$WLS_Domain_Name/$WLS_Realm_Name. WLS_Domain_Name je jméno nakonfigurované domény BEA WebLogic Server a WLS_Realm_Name je jméno nakonfigurované sféry BEA WebLogic Server. com.tivoli.pd.as.rbpf.PosRoot*** Předvolená hodnota je WebAppServer. Tato vlastnost je úplný kořen prostoru objektů pro všechny role a zdroje v produktu Tivoli Access Manager for WebLogic. com.tivoli.pd.as.rbpf.ProductId*** Předvolená hodnota je WLS. Tato vlastnost je kombinována s hodnotou PosRoot, aby uspořádala kořen prostoru objektů pro veškeré role a zdroje. com.tivoli.pd.as.rbpf.AMActionGroup*** Předvolená hodnota je WebAppServer. Tato vlastnost je předvolené jméno pro skupinu akcí, která se použije pro uložení akce, která se má zkontrolovat přístupovými rozhodnutími produktu Tivoli Access Manager for WebLogic. com.tivoli.pd.as.rbpf.AMAction*** Předvolená hodnota pro vyvolání je i. Tato akce je kontrolována, když Tivoli Access Manager for WebLogic provádí přístupová rozhodnutí, bude přidána do skupiny AMActionGroup. com.tivoli.pd.as.cache.EnableDynamicRoleCaching Předvolená hodnota je true.Tato vlastnost povoluje nebo zakazuje ukládání dynamických rolí do paměti cache. Paměť cache dynamických rolí se používá k uložení všech normálních rolí do paměti cache, což jsou role lišící se od administrativních rolí. Do paměti cache ukládá kladná a záporná členství rolí. com.tivoli.pd.as.cache.DynamicRoleCache Předvolená hodnota je com.tivoli.pd.as.cache.DynamicRoleCacheImpl. Tato vlastnost je třída, která se používá k provádění ukládání dynamických rolí do paměti cache. Pokud je potřeba, můžete si zavést vlastní paměť cache dynamických rolí. Toto lze provést zavedením prostředí com.tivoli.pd.as.cache.IDynamicRoleCache. com.tivoli.pd.as.cache.DynamicRoleCache.NumBuckets Předvolená hodnota je 20. Tato vlastnost uvádí počet sektorů (buketů), které by měly být použity v základní transformační tabulce, která se používá k ukládání záznamů paměti cache dynamických rolí. com.tivoli.pd.as.cache.DynamicRoleCache.MaxUsers Předvolená hodnota je 100000. Tato vlastnost je celkový počet záznamů všech sektorů (buketů) uvnitř paměti cache. Toto číslo dělené pomocí NumBuckets určuje maximální velikost jednotlivého sektoru (buketu). com.tivoli.pd.as.cache.DynamicRoleCache.RoleLifetime Předvolená hodnota je 20. Tato vlastnost uvádí délku času ve vteřinách, jak dlouho zůstávají v paměti cache kladná a záporná rozhodnutí o uložení dynamických rolí do paměti cache.
Dodatek A. Odkazy na soubory vlastností
43
com.tivoli.pd.as.cache.DynamicRoleCache.PrincipalLifeTime Předvolená hodnota je 10. Tato vlastnost uvádí délku času v minutách, jak dlouho jsou hlavní pověření ukládána do paměti cache produktu Tivoli Access Manager for WebLogic. Pamatujte si, že hodnota PdPerm.properties, appsvr-credcache-life určuje, jak dlouho jsou pověření ukládány do paměti cache v PDJRTE. Tivoli Access Manager for WebLogic získává všechna pověření z PDJRTE, a tak pokud je tato hodnota menší než appsvr-credcache-life, tak je přepsána, protože Tivoli Access Manager for WebLogic vyvolává pověření v paměti cache z PDJRTE. com.tivoli.pd.as.cache.EnableStaticRoleCaching Předvolená hodnota je true. Tato vlastnost povoluje nebo zakazuje ukládání statických rolí do paměti cache. Paměť cache statických rolí se používá pro ukládání do paměti cache kladných a záporných členství rolí pro administrativní role. Tato paměť cache je stejná jako paměť cache dynamických rolí, ale její záznamy mají trvalou platnost. To zvyšuje výkonnost administrativních rolí, protože se nepředpokládá, že se členství těchto rolí změní. com.tivoli.pd.as.cache.StaticRoleCache Předvolená hodnota je com.tivoli.pd.as.cache.StaticRoleCacheImpl. Toto je třída, která se používá k provádění ukládání statických rolí do paměti cache. Pokud je potřeba, můžete si zavést vlastní paměť cache statických rolí. Toto lze provést zavedením prostředícom.tivoli.pd.as.cache.IStaticRoleCache. com.tivoli.pd.as.cache.StaticRoleCache.Roles Předvolená hodnota je Admin, Operator, Monitor, Deployer. Tato vlastnost zadržuje seznam administrativních rolí oddělených čárkou. Členství rolí v tomto seznamu jsou přidána do paměti cache statických rolí, raději než do paměti cache dynamických rolí. Všechna ostatní členství rolí jsou uložena v paměti cache dynamických rolí. com.tivoli.pd.as.cache.EnableObjectCaching Předvolená hodnota je true. Tato vlastnost povoluje nebo zakazuje ukládání objektů do paměti cache. Objektová paměť cache se používá k ukládání objektů Tivoli Access Manager, včetně rozšířených atributů. Toto umožňuje ukládání do paměti cache které role mají udělen přístup ke kterým zdrojům BEA WebLogic Server; proto se vynechává potřeba dotazovat autorizační server Tivoli Access Manager na každý požadavek zdroje. com.tivoli.pd.as.cache.ObjectCache Předvolená hodnota je com.tivoli.pd.as.cache.ObjectCacheImpl. Tato vlastnost je třída, která se používá pro ukládání objektů do paměti cache. Pokud je potřeba, můžete si zavést vlastní objektovou paměť cache. Toto lze provést zavedením prostředícom.tivoli.pd.as.cache.IObjectCache. com.tivoli.pd.as.cache.ObjectCache.NumBuckets Předvolená hodnota je 20. Tato vlastnost uvádí počet sektorů (buketů), které se používají k ukládání záznamů paměti cache v základní transformační tabulce. com.tivoli.pd.as.cache.ObjectCache.MaxResources Předvolená hodnota je 10000. Tato vlastnost uvádí celkový počet záznamů všech sektorů (buketů) uvnitř paměti cache. Toto číslo dělené pomocí NumBuckets určuje maximální velikost každého sektoru (buketu). com.tivoli.pd.as.cache.ObjectCache.ResourceLifeTime Předvolená hodnota je 20. Tato vlastnost uvádí délku času v minutách, kdy jsou objekty ponechány v objektové paměti cache. com.tivoli.pd.as.rbpf.UncheckedRoles Předvolená hodnota je Unchecked, AmasUnckeched, Anonymous. Tato vlastnost uvádí seznam nezaškrtnutých rolí J2EE oddělených čárkou. Pokud je kterékoliv ze zobrazených rolí udělen přístup ke zdroji produktu BEA WebLogic Server, všem
44
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
uživatelům je k němu také udělen přístup bez ohledu na to, které normální role jsou připojeny. Uživatelé ani skupiny nelze k těmto rolím přidat. Tyto role představují efektivní způsob, jak udělit přístup všem uživatelům (včetně neautentizovaných) k určitému zdroji. Role Anonymous by vždy měla v tomto seznamu zůstat, protože konfigurace Tivoli Access Manager for WebLogic přidává tuto nezaškrtnutou roli k několika základním zdrojům BEA WebLogic Server. Tato vlastnost se nemusí nastavovat před konfigurací, ale poté, co se jednou nastaví by se již neměla měnit. com.tivoli.pd.as.rbpf.ExcludedRoles Předvolená hodnota je Excluded, AmasExcluded. Tato vlastnost uvádí seznam vyloučených rolí J2EE oddělených čárkou. Pokud je kterákoliv z těchto rolí připojena ke zdroji, žádnému uživateli k ní nebude udělen přístup bez ohledu na to, které normální role jsou připojeny. Tyto vyloučené role J2EE představují efektivní způsob, jak odepřít přístup všem uživatelům k určitému zdroji. Tato vlastnost se nemusí nastavovat před konfigurací, ale poté, co se jednou nastaví by se již neměla měnit. com.tivoli.pd.as.rbpf.GrantUnprotectedAccess Předvolená hodnota je true. Tato vlastnost uvádí, zda se má či nemá udělit přístup k požadovanému nechráněnému zdroji; což je objekt, který nemá žádné k sobě přidělené role. com.tivoli.pd.as.rbpf.CopyParentRole*** Předvolená hodnota je false. Tato vlastnost povoluje administrátorům uvádět, zda by členy rolí definované na vyšší úrovni (například globální role) měly být při vytváření role více specifické úrovně (například role na aplikační úrovni) kopírovány. V produktu Tivoli Access Manager toto zahrnuje kopírování všech členů seznamu ACL připojeného na globální úrovni do seznamu ACL připojeného k objektu na aplikační úrovni. Tato vlastnost dává administrátorům při vytváření nové role schopnost používat koncept dědičnosti u členství v rolích. Obvykle by toto mělo být nastaveno na stejnou hodnotu jako PropogateChildRole. com.tivoli.pd.as.rbpf.PropagateChildRole*** Předvolená hodnota je false. Tato vlastnost povoluje administrátorům uvádět, zda jsou změny provedené u členů rolí definovaných na vyšší úrovni (například globální role) provedeny také u podřízených rolí (například role na aplikační úrovni). Z toho vyplývá, že pokud bychom přidali uživateleA ke globální roli, RoleA by uživateleA také přidala k roliA na aplikační úrovni. Toto zlepšuje CopyParentRole a dále uplatňuje dědičnost členu rolí při aktualizaci členství rolí. Obvykle by tato vlastnost měla být nastavena na stejnou hodnotu jako CopyParentRole. com.tivoli.pd.as.rbpf.UseEntitlements Předvolená hodnota je false. Tato vlastnost indikuje, zda by služba nároků na autorizačním serveru Tivoli Access Manager měla být použita pro shromažďování informací o tom, které role mají přístup ke kterým zdrojům. Toto se předvolí na false, takže můžete nastavit minimální počet služeb Tivoli Access Manager, aby se spustil Tivoli Access Manager for WebLogic. Tato vlastnost by však měla být v testovacích prostředích nastavena pouze na false, protože má, oproti serveru politik Tivoli Access Manager, jednotlivý bod selhání. Služba nároků také pracuje na mnohem vyšší úrovni založené na vnitřním ukládání objektů do paměti cache. Proto by tato hodnota měla v testovacích prostředích být vždy nastavena na true. com.tivoli.pd.as.rbpf.EntitlementsUser Předvolená hodnota je Tivoli Access Manager for WebLogic remote-acl-user. Tato vlastnost zadržuje uživatele, použitého k provádění vyhledávání objektů pomocí služby nároků. Služba nároků zajišťuje, že uživatel požadující objekty z prostoru chráněných objektů Tivoli Access Manager má udělené oprávnění Server Admin Generic ’s’. Při config je uživatel remote-acl-user přidán ke skupině iv-admin a je mu toto oprávnění uděleno. Uživatele požadujícího objekty lze aktualizovat tak, že Dodatek A. Odkazy na soubory vlastností
45
tohoto uživatele změníte, ale musíte zajistit, aby tento nový uživatel měl udělené oprávnění ’s’ v zásobníku Resources v prostoru chráněných objektů Tivoli Access Manager. com.tivoli.pd.as.rbpf.IgnorePasswordPolicyOnUserCreate Předvolená hodnota je false. Tato vlastnost umožňuje administrátorům ignorovat politiku hesla během vytváření nových uživatelů Tivoli Access Manager přes konzoli BEA WebLogic Server. com.tivoli.pd.as.rbpf.DeleteBaseRoleRecursive Předvolená hodnota je true. Tato vlastnost indikuje, zda se mají vymazat i všechny podřízené role, když se maže role nadřízená.
amwlsjlog.properties Soubor amwlsjlog.properties je standardní soubor vlastností JLog. Používá se pro řízení rychlého posílání zpráv a trasování v Tivoli Access Manager for WebLogic, stejně jako PDJRTE. Tato sekce nezobrazuje všechny vlastnosti obsažené v souboru amwlsjlog.properties, protože většina z nich je pro naše účely nepotřebná. Tento soubor je však ten, který povoluje nebo zakazuje rychlé posílání zpráv a trasování. Záznamy v souboru amwlsjlog.properties jsou v podstatě hierarchické. Protokolování můžete zapnout pro několik komponent najednou, nebo i pro jednu komponentu. Chcete-li zapnout protokolování, jednoduše přidáte vlastnost isLogging ke komponentě, pro kterou chcete protokolování umožnit. Všechny komponenty trasování a rychlého posílání zpráv, které podporuje Tivoli Access Manager for WebLogic jsou uvedené níže. Trasování/rychlé posílání zpráv můžete umožnit pro 1 z těchto uvedených vlastností, nebo pro všechny. Následuje stručný popis, co má každá komponenta v popisu práce. Komponenta
Popis Trasování
AmasRBPFTraceLogger
Trasovat vnitřní operace produktu Tivoli Access Manager for WebLogic.
AmasCacheTraceLogger
Trasovat všechny paměti cache produktu Tivoli Access Manager for WebLogic.
AMSSPICfgTraceLogger
Trasovat operace config produktu Tivoli Access Manager for WebLogic, například Vytvoření role.
AMSSPIAuthzTraceLogger
Trasovat poskytovatele autorizace produktu Tivoli Access Manager for WebLogic.
AMSSPIAuthnTraceLogger
Trasovat poskytovatele autentizace produktu Tivoli Access Manager for WebLogic.
AMSSPIRoleMapperTraceLogger
Trasovat poskytovatele mapování rolí produktu Tivoli Access Manager for WebLogic.
AMSSPIResourceManagerTrace Logger
Trasovat správce zdrojů uvnitř produktu Tivoli Access Manager for WebLogic. Rychlé posílání zpráv
46
AmasCacheMessageLogger
Rychlé posílání zpráv pro interní operace produktu Tivoli Access Manager for WebLogic.
AmasRBPFMessageLogger
Rychlé posílání zpráv pro všechny paměti cache produktu Tivoli Access Manager for WebLogic.
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Komponenta
Popis
AMSSPICfgMessageLogger
Rychlé posílání zpráv pro operace config produktu Tivoli Access Manager for WebLogic, například Vytvoření role.
AMSSPIAuthzMessageLogger
Rychlé posílání zpráv pro poskytovatele autorizace produktu Tivoli Access Manager for WebLogic.
AMSSPIAuthnMessageLogger
Rychlé posílání zpráv pro poskytovatele autentizace produktu Tivoli Access Manager for WebLogic.
AMSSPIRoleMapperMessage Logger
Rychlé posílání zpráv pro poskytovatele mapování rolí produktu Tivoli Access Manager for WebLogic.
AMSSPIResourceManager MessageLogger
Rychlé posílání zpráv pro správce zdrojů uvnitř produktu Tivoli Access Manager for WebLogic.
Každá z výše uvedených komponent rozšiřuje baseGroup traceLogger a baseGroup messageLogger, a tak se jejich vlastnosti budou v souboru vlastností jevit podobně jako v tomto příkladě: baseGroup.AMSSPIAuthnMessageLogger.isLogging=true
Výše uvedený příklad aktivuje rychlé posílání zpráv pro sekci poskytovatele autentizace produktu Tivoli Access Manager for WebLogic. Pokud byste chtěli aktivovat trasování pro všechny komponenty kromě té pro poskytovatele autorizace, přidáte následující řádky: baseGroup.TraceLogger.isLogging=true baseGroup.AMSSPIAuthzMessageLogger.isLogging=false
To je, všechny další komponenty trasování by jednoduše převzaly hodnotu true ze základního zapisovače. Kdežto autorizační zapisovač přepíše hodnotu true na false.
Dodatek A. Odkazy na soubory vlastností
47
48
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Dodatek B. Rychlé odkazy na příkazy
© Copyright IBM Corp. 2003
49
AMWLSConfigure –action config Konfiguruje produkt Tivoli Access Manager for WebLogic Server.
Syntaxe AMWLSConfigure –action config –domain_admin domain_admin –domain_admin_pwd domain_admin_password –remote_acl_user remote_acl_user –sec_master_pwd sec_master_pwd –pdmgrd_host pdmgrd_host –pdacld_host pdacld_host [–deploy_extension {true|false}] [–wls_server_url wls_server_url] [–am_domain am_domain] [–pdmgrd_port pdmgrd_port] [–pdacld_port pdacld_port] [–amwls_home amwls_home] [–verbose {true|false}]
Parametry –am_domain am_domain Uvádí jméno domény produktu Tivoli Access Manager. Předvolená doména je Default. –amwls_home amwls_home Uvádí cestu k instalačnímu adresáři produktu Tivoli Access Manager for WebLogic Server. –deploy_extension {true|false} Nasadí rozšíření konzole produktu Tivoli Access Manager Web Logic Server verze 5.1, pokud je nastavena hodnota true (platí). Předvolená hodnota je true. –domain_admin domain_admin Uvádí administrátora domény WebLogic. –domain_admin_pwd domain_admin_password Uvádí heslo administrátora domény WebLogic. –pdacld_host pdacld_host Uvádí jméno hostitele autorizačního serveru produktu Tivoli Access Manager. –pdacld_port pdacld_port Uvádí číslo portu autorizačního serveru produktu Tivoli Access Manager. Předvolené číslo portu je 7136. –pdmgrd_host pdmgrd_host Uvádí jméno hostitele serveru politik produktu Tivoli Access Manager. –pdmgrd_port pdmgrd_port Uvádí číslo portu serveru politik produktu Tivoli Access Manager. Předvolené číslo portu je 7135. –remote_acl_user remote_acl_user Uvádí objekt produktu Tivoli Access Manager, který je vytvořen pro autorizační server. –sec_master_pwd sec_master_pwd Uvádí heslo administrativního uživatele produktu Tivoli Access Manager (obvykle sec_master). –verbose {true|false} Umožňuje okomentovaný výstup, pokud je hodnota nastavena na true. Předvolená hodnota je false. –wls_server_url wls_server_url Uvádí URL pro lokální server WebLogic. Předvolba je t3://localhost:7001
50
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Dostupnost Příkaz je umístěn v následujících předvolených instalačních adresářích: v Pro operační systémy UNIX: /opt/pdwls/sbin/
v V systémech Windows: C:\Program Files\Tivoli\pdwls\sbin\
Je-li zvolen jiný instalační adresář než předvolený, bude tento obslužný program umístěn v adresáři sbin pod instalačním adresářem (například,install_dir\sbin\).
Návratové kódy Vráceny mohou být následující stavové kódy ukončení: 0
Příkaz byl úspěšně dokončen.
1
Došlo k selhání příkazu. Dojde-li k selhání příkazu, zobrazí se chybová zpráva. Obraťte se na IBM Tivoli Access Manager Error Message Reference pro podrobnější popis problému.
Dodatek B. Rychlé odkazy na příkazy
51
AMWLSConfigure –action unconfig Odkonfiguruje produkt Tivoli Access Manager for WebLogic Server.
Syntaxe AMWLSConfigure –action unconfig –domain_admin_pwd domain_admin_pwd –sec_master_pwd sec_master_pwd [–verbose {true|false}]
Parametry –domain_admin_pwd domain_admin_pwd Uvádí heslo administrátora domény produktu Tivoli Access Manager for WebLogic Server. –sec_master_pwd sec_master_pwd Uvádí heslo administrativního uživatele produktu Tivoli Access Manager (obvykle sec_master). –verbose {true|false} Umožňuje okomentovaný výstup, pokud je hodnota nastavena na true. Předvolená hodnota je false.
Dostupnost Příkaz je umístěn v následujících předvolených instalačních adresářích: v Pro operační systémy UNIX: /opt/pdwls/sbin/
v V systémech Windows: C:\Program Files\Tivoli\pdwls\sbin\
Je-li zvolen jiný instalační adresář než předvolený, bude tento obslužný program umístěn v adresáři sbin pod instalačním adresářem (například,install_dir\sbin\).
Návratové kódy Vráceny mohou být následující stavové kódy ukončení: 0
Příkaz byl úspěšně dokončen.
1
Došlo k selhání příkazu. Dojde-li k selhání příkazu, zobrazí se chybová zpráva. Obraťte se na IBM Tivoli Access Manager Error Message Reference pro podrobnější popis problému.
52
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
AMWLSConfigure –action create_realm Vytvoří sféru zabezpečení na serveru WebLogic.
Syntaxe AMWLSConfigure –action create_realm –realm_name realm_name –domain_admin_pwd domain_admin_pwd –user_dn_suffix user_dn_suffix –group_dn_suffix group_dn_suffix –admin_group admin_group [–user_dn_prefix user_dn_prefix] [–group_dn_prefix group_dn_prefix] [–sso_enabled {true|false}] [–sso_user sso_user] [–sso_pwd sso_pwd] [–verbose {true|false}]
Parametry –admin_group admin_group Uvádí skupinu produktu Tivoli Access Manager, která se použije pro účely vnitřní konfigurace. –domain_admin_pwd domain_admin_pwd Uvádí heslo administrátora domény WebLogic. –group_dn_prefix group_dn_prefix Uvádí předponu rozlišovacího jména (DN, distinguished name), která se použije při vytváření skupin. –group_dn_suffix group_dn_suffix Uvádí příponu rozlišovacího jména (DN, distinguished name), která se použije při vytváření skupin. –realm_name realm_name Uvádí jméno sféry WLS, která se vytváří. –sso_enabled {true|false} Umožňuje podporu jednotného přihlášení, pokud je hodnota nastavena na true (platí). Předvolená hodnota je false. –sso_pwd sso_pwd Uvádí heslo pro uživatele jednotného přihlášení (sso_user). –sso_user sso_user Uvádí uživatele, který vytvoří asociace důvěry jednotného přihlášení s produktem Tivoli Access Manager. –user_dn_prefix user_dn_prefix Uvádí předponu rozlišovacího jména (DN, distinguished name), která se použije při vytváření uživatelů. –user_dn_suffix user_dn_suffix Uvádí příponu rozlišovacího jména (DN, distinguished name), která se použije při vytváření uživatelů. –verbose {true|false} Umožňuje okomentovaný výstup, pokud je hodnota nastavena na true. Předvolená hodnota je false.
Dostupnost Příkaz je umístěn v následujících předvolených instalačních adresářích: v Pro operační systémy UNIX: /opt/pdwls/sbin/
v V systémech Windows: Dodatek B. Rychlé odkazy na příkazy
53
C:\Program Files\Tivoli\pdwls\sbin\
Je-li zvolen jiný instalační adresář než předvolený, bude tento obslužný program umístěn v adresáři sbin pod instalačním adresářem (například,install_dir\sbin\).
Návratové kódy Vráceny mohou být následující stavové kódy ukončení: 0
Příkaz byl úspěšně dokončen.
1
Došlo k selhání příkazu. Dojde-li k selhání příkazu, zobrazí se chybová zpráva. Obraťte se na IBM Tivoli Access Manager Error Message Reference pro podrobnější popis problému.
54
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
AMWLSConfigure –action delete_realm Vymaže sféru zabezpečení ze serveru WebLogic.
Syntaxe AMWLSConfigure –action delete_realm –domain_admin_pwd domain_admin_pwd [–registry_clean {true|false}] [–verbose {true|false}]
Parametry –domain_admin_pwd domain_admin_pwd Uvádí heslo administrátora domény WebLogic. –registry_clean {true|false} Odstraní uživatele a skupiny, které byly vytvořeny během konfigurace. Předvolená hodnota je false. –verbose {true|false} Umožňuje okomentovaný výstup, pokud je hodnota nastavena na true. Předvolená hodnota je false.
Dostupnost Příkaz je umístěn v následujících předvolených instalačních adresářích: v Pro operační systémy UNIX: /opt/pdwls/sbin/
v V systémech Windows: C:\Program Files\Tivoli\pdwls\sbin\
Je-li zvolen jiný instalační adresář než předvolený, bude tento obslužný program umístěn v adresáři sbin pod instalačním adresářem (například,install_dir\sbin\).
Návratové kódy Vráceny mohou být následující stavové kódy ukončení: 0
Příkaz byl úspěšně dokončen.
1
Došlo k selhání příkazu. Dojde-li k selhání příkazu, zobrazí se chybová zpráva. Obraťte se na IBM Tivoli Access Manager Error Message Reference pro podrobnější popis problému.
Dodatek B. Rychlé odkazy na příkazy
55
56
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Dodatek C. Poznámky Tyto informace byly vytvořeny pro produkty a služby, nabízené v USA. Společnost IBM nemusí v ostatních zemích nabízet produkty, služby a funkce popsané v tomto dokumentu. Informace o produktech a službách, které jsou momentálně ve vaší zemi dostupné, můžete získat od zástupce společnosti IBM pro vaši oblast. Žádný z odkazů na produkty, programové vybavení nebo služby není zamýšlen jako tvrzení, že lze použít pouze tyto produkty, programové vybavení nebo služby společnosti IBM. Jako náhrada mohou být použity libovolné funkčně ekvivalentní produkty, programové vybavení nebo služby, které neporušují žádné intelektuální vlastnické právo společnosti IBM. Za operace prováděné produkty, programovým vybavením nebo službami, které nepocházejí od společnosti IBM, nese zodpovědnost uživatel. Společnost IBM může mít k dispozici patenty nebo podané patentové přihlášky, vztahující se k informacím popsaným v tomto dokumentu. Vlastnictví tohoto dokumentu vám nedává žádná práva k těmto patentům. Písemné žádosti o licenci můžete posílat na adresu: IBM Director of Licensing IBM Corporation 500 Columbus Avenue Thornwood, NY 10594 U.S.A Pokud máte zájem o licenci v zemi s dvoubajtovou znakovou sadou (DBCS), kontaktujte přímo zastoupení společnosti IBM ve své zemi, nebo písemně zastoupení společnosti IBM na adrese: IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome, Minato-ku Tokyo 106, Japan Následující odstavec se netýká Velké Británie nebo kterékoliv jiné země, kde taková opatření odporují místním zákonům: SPOLEČNOST INTERNATIONAL BUSINESS MACHINES CORPORATION TUTO PUBLIKACI POSKYTUJE TAKOVOU, “JAKÁ JE”, BEZ JAKÝCHKOLIV ZÁRUK, VYJÁDŘENÝCH NEBO ODVOZENÝCH, VČETNĚ, ALE NE VÝHRADNĚ, ODVOZENÝCH ZÁRUK PORUŠENÍ ZÁKONŮ, PRODEJNOSTI NEBO VHODNOSTI PRO URČITÝ ÚČEL. Některé právní řády nepřipouštějí omezení či vyvázání se ze záruk nebo odpovědnosti za následné či nepředvídatelné škody. V takovém případě se na vás výše uvedené omezení nevztahuje. Tato publikace může obsahovat technické nepřesnosti nebo typografické chyby. Informace zde uvedené jsou pravidelně aktualizovány a v příštích vydáních této publikace již budou tyto změny zahrnuty. Společnost IBM má právo kdykoliv bez upozornění zdokonalovat nebo měnit produkty a programy popsané v této publikaci. Všechny odkazy na tyto informace, uvedené na webových stránkách jiných provozovatelů než společnosti IBM, jsou poskytovány pouze pro vaši potřebu a v žádném případě neslouží k propagaci těchto webových stránek. Materiály uvedené na takovýchto webových stránkách nejsou součástí materiálů určených pro tento produkt IBM, a proto tyto webové stránky používáte pouze na vlastní riziko.
© Copyright IBM Corp. 2003
57
Společnost IBM může používat nebo distribuovat informace, které jí poskytnete, způsobem, o kterém si myslí, že je odpovídající, bez dalších závazků k vám. Držitelé licence tohoto programu, kteří si přejí mít přístup i k informacím za účelem (i) výměny informací mezi nezávisle vytvořenými programy a jinými programy (včetně tohoto) a (ii) vzájemného použití sdílených informací, mohou kontaktovat: IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 USA Informace tohoto typu mohou být za odpovídajících podmínek dostupné. V některých případech připadá v úvahu zaplacení poplatku. Program popsaný v tomto dokumentu a všechny materiály s ním související, které podléhají licenci, jsou dodávány společností IBM v souladu s textem smlouvy mezi zákazníkem a společností IBM nebo ekvivalentní smlouvy. Všechny informace o provozu byly určeny v řízeném prostředí. Výsledky obdržené v jiném operačním prostředí se tudíž mohou výrazně lišit. Některá měření byla provedena v systémech s vývojovým prostředím a neexistuje žádná záruka, že tato měření budou stejná v obecně dostupných systémech. Některá měření byla odhadnuta extrapolací. Skutečné výsledky se mohou lišit. Uživatelé tohoto dokumentu by měli ověřit vhodnost dat pro svá specifická prostředí. Informace týkající se produktů jiných společností byly získány od dodavatelů těchto produktů, z jejich tištěných materiálů nebo z jiných veřejně dostupných zdrojů. Společnost IBM netestovala tyto produkty a nemůže potvrdit spolehlivost jejich provozu, kompatibilitu nebo jiné tvrzení týkající se těchto produktů. Otázky týkající se možností produktů jiných společností by měly být adresovány dodavatelům těchto produktů. Všechna tvrzení o budoucím zaměření nebo úmyslech společnosti IBM mohou být bez upozornění změněna nebo zrušena a představují pouze hrubý nástin cílů a podmínek společnosti. Tyto informace obsahují příklady dat a sestav, používaných v běžných denních obchodních operacích. Aby tyto příklady byly maximálně úplné a demonstrativní, obsahují jména osob, společností, obchodních značek a produktů. Všechna tato jména jsou fiktivní a jakákoliv podobnost se jmény a adresami, používanými skutečnými obchodními společnostmi je čistě náhodná. Pokud si tyto informace neprohlížíte v kopii s trvalým záznamem, je možné, že se nezobrazily fotografie a barevné ilustrace.
Ochranné známky Následující termíny jsou ochranné známky společnosti International Business Machines Corporation v USA, v jiných zemích nebo obojí: AIX DB2 IBM IBM logo
58
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
SecureWay Tivoli Tivoli logo Microsoft, Windows a logo Windows jsou ochranné známky nebo registrované ochranné známky společnosti Microsoft Corporation. Java a všechny ochranné známky založené na Javě a loga jsou ochranné známky nebo registrované ochranné známky společnosti Sun Microsystems, Inc. v USA nebo jiných zemích. UNIX je registrovaná ochranná známka v USA a v dalších zemích, jejíž licenci poskytuje výhradně společnost X/Open Company Limited. Jiné názvy společností, výrobků a služeb mohou být ochrannými známkami jiných společností.
Dodatek C. Poznámky
59
60
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Slovníček A access control (řízení přístupu) V zabezpečení počítače jde o proces, který zajišťuje, že zdroje počítačového systému mohou používat pouze oprávnění uživatelé a pouze oprávněným způsobem. access control list (ACL) (přístupový seznam) V zabezpečení počítačů jde o seznam, který je přidružen k objektu a který identifikuje všechny subjekty, které mohou k danému objektu přistupovat, a který určuje jejich přístupová práva k tomuto objektu. Například přístupový seznam je seznam, který je přidružen k souboru a který identifikuje uživatele, kteří mohou přistupovat k tomuto souboru, a který identifikuje přístupová práva těchto uživatelů k danému souboru. access permission (oprávnění k přístupu) přístupu, která platí pro celý objekt,
Oprávnění k
action (akce) Atribut oprávnění přístupového seznamu. Viz též access control list (přístupový seznam). ACL
Viz access control list (přístupový seznam).
administration service (administrativní služba) Plug-in program autorizačního rozhraní API, který se používá k provádění administrativních požadavků na aplikaci správce zdrojů Tivoli Access Manager. Administrativní služba odpovídá vzdáleným požadavkům z příkazu pdadmin a provádí úlohy, jako např. výpis objektů pod určitým uzlem v prostoru chráněných objektů. Zákazníci si mohou tyto služby sami vytvořit pomocí autorizační sady pro vývoj aplikací ADK. attribute list (seznam atributů) Jde o propojený seznam, který obsahuje rozšířené informace používané k provedení rozhodnutí o autorizaci. Seznamy atributů se skládají z párů jméno = hodnota. authentication (autentizace) (1) V zabezpečení počítačů jde o ověření totožnosti uživatele nebo způsobilosti uživatele přistoupit k objektu. (2) V zabezpečení počítačů jde o proces ověření, že zpráva nebyla pozměněna nebo porušena. (3) V zabezpečení počítačů jde o proces, který se používá k ověření uživatele informačního systému nebo chráněných zdrojů. Viz též multi-factor authentication (vícefaktorová autentizace), network-based authentication (autentizace založená na síti) a step-up authentication (zvýšená autentizace). authorization (autorizace) (1) V počítačovém zabezpečení jde o právo udělené uživateli, aby mohl komunikovat nebo používat počítačový systém. (2) Proces, který uživateli udělí buď úplný nebo omezený přístup k objektu, zdroji nebo funkci. authorization rule (pravidlo autorizace) (pravidlo). © Copyright IBM Corp. 2003
Viz rule
authorization service plug-in (plug-in program autorizační služby) Dynamická knihovna (knihovna DLL nebo sdílená knihovna), kterou může načíst klient autorizačního rozhraní API produktu Tivoli Access Manager během své inicializace, aby mohl provádět operace, které rozšiřují rozhraní služeb v rámci autorizačního rozhraní API. Rozhraní služeb, která jsou v současné době k dispozici jsou: administrativní rozhraní, rozhraní pro externí autorizaci, rozhraní pro úpravu pověření, rozhraní pro nároky a rozhraní pro manipulaci s PAC. Zákazníci si mohou tyto služby sami vytvořit pomocí autorizační sady pro vývoj aplikací ADK.
B BA
Viz basic authentication (základní autentizace).
basic authentication (základní autentizace) Politika autentizace, která vyžaduje, aby uživatel znal platné jméno uživatele a heslo, než mu bude povoleno přistoupit k zabezpečenému online zdroji. bind (spojit) Svázat identifikátor s jiným objektem v programu. Například spojit identifikátor s hodnotou, adresou nebo jiným identifikátorem, nebo spojit formální parametry a skutečné parametry. blade (rozřazovač) Komponenta, která poskytuje služby a komponenty specifické pro danou aplikaci. business entitlements (obchodní nároky) Doplňkový atribut pověření uživatele, který popisuje jemně strukturované podmínky, které lze použít při požadavku na autorizaci ke zdrojům.
C CA
Viz certificate authority (vydavatel certifikátů).
CDAS Viz Cross Domain Authentication Service (služba CDAS). CDMF Viz Cross Domain Mapping Framework (základní struktura CDMF). certificate (certifikát) V zabezpečení počítačů jde o digitální dokument, který spojuje veřejný klíč s totožností vlastníka certifikátu, a tím umožní vlastníkovi certifikátu, aby se autentizoval. Certifikát je vydán vydavatelem certifikátů. certificate authority (CA - vydavatel certifikátů) Organizace, která vydává certifikáty. Vydavatel certifikátů autentizuje totožnost vlastníka certifikátu a služby, které je vlastník oprávněn používat. Tato společnost dále vydává nové certifikáty, obnovuje stávající certifikáty a odvolává certifikáty, které patří uživatelům, kteří již nejsou oprávněni je používat.
61
CGI
Viz common gateway interface (program CGI).
cipher (šifra) Zašifrovaná data, která jsou nečitelná, dokud nebudou pomocí klíče převedena do prostých dat (dešifrovaných). common gateway interface (program CGI) Standard Internetu pro definování skript, která posílají informace z webového serveru do aplikačního programu přes požadavek HTTP a naopak. Skript CGI je program CGI, který je napsán ve skriptovacím jazyce, jako například v jazyce Perl. configuration (konfigurace) (1) Způsob, kterým je organizován a propojen hardware a software systémů zpracování dat. (2) Počítače, zařízení a programy, které vytvářejí systém, podsystém nebo síť. connection (připojení) (1) V datové komunikaci jde o zavedené sdružení funkčních jednotek pro postupování informací. (2) V protokolu TCP/IP jde o cestu mezi dvěma aplikacemi protokolu, které poskytují spolehlivou službu doručení toku dat. V Internetu připojení vede z aplikace TCP/IP na jednom systému k aplikaci TCP na jiném systému. (3) V systémových komunikacích jde o linku, prostřednictvím které je možné předávat data mezi dvěma systémy, nebo mezi systémem a zařízením. container object (objekt typu zásobník) Strukturální označení, které organizuje prostor objektů do rozdílných funkčních oblastí. cookie Informace, kterou server ukládá na počítači klienta a ke které se přistupuje během následujících relací. Cookies umožňují, aby si servery pamatovali určité informace o klientech. credentials (pověření) Podrobné informace získané během autentizace, které popisují uživatele, všechna přidružení ke skupinám a další atributy totožnosti spojené se zabezpečením. Pověření je možné používat k provozování velkého množství služeb, jako např. autorizace, monitorování a delegace. credentials modification service (služba pro úpravu pověření) Plig-in program autorizačního rozhraní API, který se používá k úpravě prověření produktu Tivoli Access Manager. Služby pro úpravu pověření, které byly vyvinuty externě přímo zákazníky, jsou omezeny na provádění operací pro přidání a odstranění atributů ze seznamu atributů pověření, a to pouze pro ty atributy, které se pokládají za upravitelné. cross domain authentication service (služba CDAS) Služba produktu WebSEAL, jejíž součástí je mechanismus sdílené knihovny, který vám dovoluje nahradit předvolený mechanismus autentizace produktu WebSEAL za uživatelsky přizpůsobený proces, který vrátí totožnost produktu Tivoli Access Manager do produktu WebSEAL. Viz též WebSEAL. cross domain mapping framework (základní struktura CDMF) Programovací rozhraní, které dovoluje, aby vývojář upravil mapování totožností uživatelů a zacházení s atributy uživatelů, pokud se používá funkce e-Community jednotného přihlášení produktu WebSEAL.
62
D daemon (démon) Program, který svoji činnost provádí bez účasti uživatele, a který souvisle nebo pravidelně provádí systémové funkce, jako např. kontrola síťě. Některé démony jsou spouštěny automaticky, aby prováděly své úlohy. Jiné démony pracují pravidelně. directory schema (adresářové schéma) Platné typy atributů a třídy objektů, které se mohou v adresáři objevit. Typy atributů a třídy objektů definují syntaxi hodnot atributů, které atributy musí adresář obsahovat a které atributy adresář obsahovat nemusí. distinguished name (rozlišovací jméno) Jméno, které jedinečně identifikuje záznam v adresáři. Rozlišovací jméno se skládá z párů atribut:hodnota, které jsou odděleny čárkami. digital signature (digitální podpis) V elektronickém obchodu jde o data, která jsou připojena k jednotce dat, nebo o data, která jsou zašifrovanou informací jednotky dat, a která umožňují příjemci datové jednotky ověřit zdroj a integritu jednotky a rozeznat potenciální padělek. DN
Viz distinguished name (rozlišovací jméno).
domain (doména) (1) Logické seskupení uživatelů, systémů a zdrojů, které sdílí společné služby a obvykle pracuje na společném úkolu. (2) Ta část počítačové sítě, ve které jsou zdroje zpracování dat řízeny stejným společným ovládáním. Viz též domain name (jméno domény). domain name (jméno domény) V internetové sadě protokolů jde o jméno hostitelského systému. Jméno domény se skládá z posloupnosti podjmén, které jsou odděleny oddělovacím znakem. Například pokud plně kvalifikované jméno domény (FQDN) hostitelského systému je as400.vnet.ibm.com, pak každý z následujících příkladů je jméno domény:
E EAS Viz External Authorization Service (externí autorizační služba). encryption (šifrování) V zabezpečení počítačů jde o proces transformace dat do nesrozumitelné formy takovým způsobem, aby nebylo možné originální data buď získat, nebo aby je bylo možné získat pouze pomocí dešifrovacího procesu. entitlement (nárok) Datová struktura, která obsahuje informace o realizované bezpečnostní politice. Nároky obsahují strategická data nebo schopnosti, které jsou naformátovány takovým způsobem, aby byly pro určitou aplikaci srozumitelné. entitlement service (služba nároků) Plug-in program autorizačního rozhraní API, který se používá pro daný objekt nebo sadu podmínek k navrácení nároků z externího zdroje. Nároky jsou obvykle data specifická pro aplikaci, která mohou být nějakým způsobem zpracována aplikací správce zdrojů, nebo která je možné přidat k pověření objektu, aby je bylo
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
možné použít později v průběhu procesu autorizace. Zákazníci si mohou tyto služby sami vytvořit pomocí autorizační sady pro vývoj aplikací ADK. external authorization service (externí autorizační služba) Plug-in program autorizačního rozhraní API, který se používá k provádění rozhodnutí o autorizaci, specifických pro danou aplikaci nebo prostředí. Tato rozhodnutí jsou součástí procesu rozhodování o autorizaci produktu Tivoli Access Manager. Zákazníci si mohou tyto služby sami vytvořit pomocí autorizační sady pro vývoj aplikací ADK.
F
G global signon (GSO) Pružné řešení jednotného přihlášení, které umožňuje uživateli, aby webovému aplikačnímu serveru typu back-end poskytl alternativní jména uživatele a hesla. GSO uděluje uživateli přístup k počítačovým zdrojům, k jejichž použití je autorizován — prostřednictvím jediného přihlášení. Toto řešení bylo navrženo pro velké společnosti, které se skládají z mnoha systémů a aplikací a jejichž počítačové prostředí je heterogenní a distribuované. V takovém prostředí GSO eliminuje potřebu, aby si uživatelé spravovali více jmen uživatelů a hesel. Viz též single signon (jednotné přihlášení). Viz global signon (GSO).
Viz Internet Protocol.
IPC
Viz Interprocess Communication (IPC).
J junction (spojení) HTTP nebo HTTPS propojení mezi předřazeným serverem WebSEAL a webovým aplikačním serverem typu back-end. Produkt WebSEAL používá spojení k provádění ochranné služby v zastoupení serveru typu back-end.
K key (klíč) V zabezpečení počítačů jde o posloupnost znaků, která se používá v šifrovacím algoritmu pro zašifrování nebo dešifrování dat. Viz private key (soukromý klíč) a public key (veřejný klíč). key database file (databázový soubor klíčů) (klíčový řetězec). key file (soubor klíčů)
H host (hostitel) Počítač, který je připojen k síti (jako např. k internetu nebo síti SNA) a který poskytuje přístupový bod k dané síti. Hostitel může také, v závislosti na prostředí, poskytovat centralizované řízení sítě. Hostitel může být klientem, serverem, nebo klientem a serverem současně. HTTP
interprocess communication (IPC) (1) Proces, pomocí kterého si programy předávají data mezi sebou a synchronizují své aktivity. Semafory, signály a interní fronty zpráv jsou běžnými způsoby komunikace mezi procesy. (2) Mechanismus operačního systému, který dovoluje procesům, aby mezi sebou v rámci stejného počítače nebo přes síť komunikovaly. IP
file transfer protocol (FTP) V internetové sadě protokolů jde o protokol aplikační vrstvy, který používá služby TCP (Transmission Control Protocol) a Telnet pro přenos souborů dávkových dat mezi počítači nebo hostiteli.
GSO
Internet suite of protocols (internetová sada protokolů) Sada protokolů, které byly vyvinuty, aby byly používány na internetu, a které byly publikovány jako RFC (Requests for Comments) prostřednictvím společnosti IETF (Internet Engineering Task Force).
Viz key ring
Viz key ring (klíčový řetězec).
key pair (pár klíčů) V zabezpečení počítačů jde o veřejný a soukromý klíč. Pokud se pár klíčů používá při šifrování, odesilatel použije veřejný klíč k zašifrování zprávy a příjemce použije soukromý klíč pro dešifrování zprávy. Pokud se pár klíčů používá pro podepisování, signatář vlastní soukromý klíč, aby mohl zašifrovat zprávu a příjemce použije veřejný klíč, aby dešifroval zprávu, a tak mohl ověřit podpis.
Viz Hypertext Transfer Protocol (protokol HTTP).
hypertext transfer protocol (protokol HTTP) V internetové sadě protokolů jde o protokol, který se používá k přenosu a zobrazení hypertextových dokumentů.
I
key ring (klíčový řetězec) V zabezpečení počítačů jde o soubor, který obsahuje veřejné klíče, soukromé klíče, důvěryhodné zdroje a certifikáty.
L LDAP
Internet protocol (protokol IP) V internetové sadě protokolů jde od bezspojový protokol, který směruje data v rámci sítě, nebo propojených sítí a vystupuje jako mezivrstva mezi vyššími vrstvami protokolu a fyzickou sítí.
Viz Lightweight Directory Access Protocol.
lightweight directory access protocol (LDAP) Otevřený protokol, který (a) používá protokol TCP/IP, aby poskytl přístup k adresářům, které podporují model X.500, a (b) nevyvolá požadavky na zdroje komplexnějšího protokolu X.500 Directory Access Protocol (DAP). Aplikace, které používají LDAP, (známé jako adresářové aplikace) mohou používat adresář jako obecné úložiště dat a pro získávání informací o lidech nebo službách, jako např. o adresách Slovníček
63
elektronické pošty, veřejných klíčích, nebo konfiguračních parametrech specifických pro službu. LDAP byl původně uveden v RFC 1777. LDAP verze 3 je uveden v RFC 2251 a společnost IETF pokračuje v práci na dalších standardních funkcích. Některá standardní schémata definovaná společností IETF pro LDAP je možné nalézt v RFC 2256.
a význam oprávnění pro daný objekt je nadefinován v přístupovém seznamu (ACL). Viz též access control list (přístupový seznam).
lightweight third party authentication (LTPA) Základní struktura autentizace, která umožňuje realizaci jednotného přihlášení pro sadu webových serverů, které jsou umístěny v jedné internetové doméně.
policy server (server politik) Server produktu Tivoli Access Manager, který spravuje informace o umístění dalších serverů v rámci zabezpečené domény.
LTPA
Viz lightweight third party authentication.
M
Sada pravidel, která se použijí ke správě
polling (systém výzev) Proces, ve kterém je v pravidelných intervalech vyslýchána databáze, aby se určilo, zda není nutné přenést nějaká data. POP Viz protected object policy (politika chráněného objektu).
management domain (doména správy) Předvolená doména, ve které produkt Tivoli Access Manager vynucuje uplatňování bezpečnostních politik pro autentizaci, autorizaci a řízení přístupu. Tato doména se vytvoří během konfigurace serveru politik. Viz též domain (doména). management server (server správy) server (server politik). metadata dat.
Zastaralé. Viz policy
portal (portál) Integrovaný webový server, který dynamicky vytváří přizpůsobený seznam webových zdrojů, jako např. odkazů, obsahu nebo služeb, jenž je k dispozici určitým uživatelům, a to na základě oprávnění přístupu. privilege attribute certificate (certifikát atributu oprávnění) Digitální dokument, který obsahuje atributy autentizace a autorizace objektu a schopnosti objektu.
Data, která popisují charakteristiky uložených
migration (migrace) Instalace nové verze nebo vydání programu, která má nahradit dřívější verzi nebo vydání. multi-factor authentication (vícefaktorová autentizace) Politika chráněného objektu (POP), která nutí uživatele, aby se autentizoval pomocí dvou nebo více úrovní autentizace. Řízení přístupu ke chráněnému zdroji může například vyžadovat, aby se uživatel autentizoval jak pomocí jména uživatele/hesla, tak i pomocí jména uživatele/token passcode. Viz též protected object policy (politika chráněného objektu). multiplexing proxy agent (MPA) Přenosová brána, která dokáže pojmout více přístupů klientů. Tyto přenosové brány se někdy nazývají bránami WAP (Wireless Access Protocol), a to tehdy, když klient přistupuje do zabezpečené domény pomocí protokolu WAP. Přenosové brány vytvářejí jediný autentizovaný kanál k původnímu serveru a všechny požadavky a odpovědi klientů tunelují tímto kanálem.
N network-based authentication (autentizace založená na síti) Politika chráněného objektu (POP), která řídí přístup k objektům na základě IP adresy uživatele. Viz též protected object policy (politika chráněného objektu).
P PAC Viz privilege attribute certificate (certifikát atributu oprávnění). permission (oprávnění) Schopnost přistoupit ke chráněnému objektu, jako např. k souboru nebo adresáři. Počet
64
policy (politika) zdrojů.
privilege attribute certificate service (služba certifikátu atributu oprávnění) Klientský plug-in program autorizačního rozhraní API, který překládá PAC v předdefinovaném formátu do pověření produktu Tivoli Access Manager a naopak. Tuto službu je možné použít také k zabalení nebo seřazení pověření produktu Tivoli Access Manager před jeho přenesením na další členy zabezpečené domény. Zákazníci si mohou tyto služby sami vytvořit pomocí autorizační sady pro vývoj aplikací ADK. Viz též privilege attribute certificate (certifikát atributu oprávnění). protected object (chráněný objekt) Logické znázornění skutečného systémového zdroje, které se používá pro aplikaci politik ACL a POP a pro autorizaci přístupu uživatele. Viz též protected object policy (politika chráněného objektu) a protected object space (prostor chráněných objektů). protected object policy (politika chráněného objektu) Typ bezpečnostní politiky, která zavádí další podmínky pro operace s přístupem ke chráněnému objektu, povolené politikou ACL. Správce zdrojů je odpovědný za to, že vynutí splnění podmínek POP. Viz též access control list (přístupový seznam), protected object (chráněný objekt) a protected object space (prostor chráněných objektů). protected object space (prostor chráněných objektů) Virtuální objektové znázornění skutečných systémových zdrojů, které se používá pro aplikaci politik ACL a POP a pro autorizaci přístupu uživatele. authorizing user access. Viz též protected object (chráněný objekt) a protected object policy (politika chráněného objektu). private key (soukromý klíč) V zabezpečení počítačů jde o klíč, který zná pouze jeho vlastník. Porovnejte s public key (veřejným klíčem).
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
public key (veřejný klíč) V zabezpečení počítačů jde o klíč, který je k dispozici všem. Porovnejte se private key (soukromým klíčem).
Q quality of protection (úroveň zabezpečení) Úroveň zabezpečení dat, která je určena kombinací podmínek pro autentizaci, integritu a utajení.
R registry (registr) Úložiště dat, které obsahuje informace o přístupu a konfiguraci uživatelů, systémů a softwaru. replica (replika) Server, který obsahuje kopii adresáře nebo adresářů jiného serveru. Repliky zálohují servery ve smyslu zvýšení výkonnosti nebo snížení doby odezev, a také ve smyslu zajištění integrity dat. resource object (objekt typu prostředek) Znázornění skutečného síťového prostředku, jako např. služby, souboru, nebo programu. response file (soubor odpovědí) Soubor, který obsahuje sadu předdefinovaných odpovědí na dotazy, které pokládá program a které se používají namísto zadávání těchto hodnot postupně. role activation (aktivace role) přístupu na roli.
Proces aplikování oprávnění
role assignment (přiřazení role) Proces přiřazení role uživateli, takže tento uživatel bude mít odpovídající oprávnění přístupu k objektu, nadefinovanému v této roli. routing file (soubor směrování) Soubor ASCII, který obsahuje příkazy, které řídí konfiguraci zpráv. RSA encryption (šifrování RSA) Systém pro šifrování pomocí veřejného klíče, který se používá pro šifrování a autentizaci. Byl představen Ronem Rivestem, Adi Shamirem a Leonardem Adlemanem v roce 1977. Zabezpečení systému závisí na obtížnosti vydělení výsledku dvěma velkými prvočísly. rule (pravidlo) Jeden nebo více logických příkazů, které dovolují serveru událostí rozeznávat vzájemné souvislosti mezi jednotlivými událostmi (vzájemná souvislost události) a automaticky provádět příslušné odpovědi. run time (doba zpracování) Časový úsek, během kterého se provádí počítačový program. Runtime prostředí je prováděcí prostředí.
S scalability (škálovatelnost) Schopnost síťového systému odpovídat na zvyšující se počet uživatelů, kteří požadují zdroje.
schema (schéma) Sada příkazů vyjádřená v jazyce definujícím data, která zcela popisuje strukturu databáze. Pro relační databázi jde o schéma, které definuje tabulky, pole v každé tabulce a vztahy mezi poli a tabulkami. secure sockets layer (SSL) Protokol zabezpečení, který poskytuje utajení komunikace. SSL umožňuje aplikacím klient/server, aby komunikovaly způsobem, který byl navržen tak, aby bránil naslouchání, falšování a padělání zpráv. SSL byl vyvinut společnostmi Netscape Communications Corp. a RSA Data Security, Inc. security management (správa zabezpečení ochrany dat) Obor správy, který adresuje schopnost organizace řídit přístup k aplikacím a datům, která jsou kritická pro její úspěch. self-registration (vlastní registrace) Proces, ve kterém uživatel může zadat požadovaná data a stát se registrovaným uživatelem produktu Tivoli Access Manager, aniž by bylo nutné zapojit administrátora. service (služba) Práce prováděná serverem. Služba může být jednoduchý požadavek na data, která mají být odeslána nebo uložena (jako např. u souborových serverů, HTTP serverů, serverů elektronické pošty nebo serverů finger), nebo to může být podstatně komplexnější práce, jako např. u tiskových serverů a provozních serverů. silent installation (tichá instalace) Instalace, která neposílá na konzoli zprávy, ale místo toho ukládá zprávy a chyby do souborů protokolu. Tichá instalace může také používat soubory odpovědí jako svůj datový vstup. Viz též response file (soubor odpovědí). single signon (SSO - jednotné přihlášení) Schopnost uživatele přihlásit se jednou a pak přistupovat k více aplikacím, aniž by se musel přihlašovat ke každé aplikaci samostatně. Viz též global signon (GSO). SSL
Viz Secure Sockets Layer.
SSO
Viz Single Signon (jednotné přihlášení).
step-up authentication (zvýšená autentizace) Politika chráněného objektu (POP), která je založena na předkonfigurované hierarchii úrovní autentizace a která vynucuje určitou úroveň autentizace v závislosti na sadě politik, která je nastavena na daném zdroji. Politika POP zvýšené autentizace nenutí uživatele, aby se autentizoval pomocí více úrovní autentizace, chce-li přistoupit k danému zdroji, ale vyžaduje, aby se uživatel autentizoval minimálně na takové úrovni, která je vyžadována politikou chránící daný zdroj. suffix (přípona) Rozlišovací jméno, které určuje nejvyšší záznam v lokálně držené hierarchii adresářů. Z důvodu relativity schématu pojmenování používaného v protokolu LDAP (Lightweight Directory Access Protocol) toto rozlišovací jméno je také příponou každého dalšího záznamu v této hierarchii adresářů. Server adresářů může mít více přípon, z nichž každá určuje lokálně drženou hierarchii adresářů.
Slovníček
65
T token (1) V lokální počítačové síti jde o symbol oprávnění, který se úspěšně předává z jedné datové stanice na další, aby označil stanici, která dočasně řídí přenosové médium. Každá datová stanice má možnost získat a používat token k řízení média. Token je určitá zpráva nebo bitový vzor, který podepisuje oprávnění, které se má přenést. (2) V lokálních počítačových sítích jde o posloupnost bitů, která se předává z jednoho zařízení na další spolu s přenosovým médiem. Má-li token připojena data, stane se rámcem. trusted root (důvěryhodný zdroj) V protokolu SSL jde o veřejný klíč a přidružené rozlišovací jméno vydavatele certifikátů.
bezpečnostní politiky produktů Tivoli Access Manager Base a WebSEAL v zabezpečené doméně. Alternativní prostředí k rozhraní příkazového řádku pdadmin. Toto grafické rozhraní umožňuje přístup vzdálenému administrátorovi a dovoluje administrátorům vytvářet domény delegovaných uživatelů a k těmto doménám přiřadit delegované administrátory. WebSEAL Proces blade produktu Tivoli Access Manager. Server WebSEAL je výkonný vícevláknový webový server, který aplikuje bezpečnostní politiku na prostor chráněných objektů. Server WebSEAL může nabídnout řešení pro jednotné přihlášení a zahrnout zdroje webových aplikačních serverů typu back-end do své bezpečnostní politiky. WPM
Viz Web Portal Manager.
U uniform resource identifier (URI - jednotný identifikátor zdroje) Řetězec znaků, který se používá k identifikaci obsahu na Internetu, včetně jména zdroje (adresáře a jména souboru), umístění zdroje (počítač, na kterém adresář a jméno souboru existuje) a způsobu, jak je k danému zdroji možné přistupovat (protokol, např. HTTP). Příkladem URI je jednotný lokátor zdroje URL (uniform resource locator). uniform resource locator (URL - jednotný lokátor zdroje, adresa URL) Posloupnost znaků, která představuje zdroje informací na počítači nebo v síti, jako např. v Internetu. Tato posloupnost znaků obsahuje (a) zkrácené jméno protokolu, který se používá k přístupu ke zdroji informací, a (b) informaci, kterou uvedený protokol použije k vyhledání zdroje informací. Například v prostředí Internetu se používají následující zkratky některých protokolů, které se používají k přístupu k různým zdrojům informací: http, ftp, gopher, telnet, news; a toto je například adresa URL domovské stránky firmy IBM: http://www.ibm.com. URI Viz uniform resource identifier (jednotný identifikátor zdroje). URL Viz uniform resource locator (jednotný lokátor zdroje, adresa URL). user (uživatel) Libovolná osoba, organizace, proces, zařízení, program, protokol nebo systém, který používá služby poskytované ostatními. user registry (registr uživatelů)
Viz registry (registr).
V virtual hosting (virtuální hostitelství) Schopnost webového serveru, která dovoluje, aby se tento objevil na Internetu jako více než jeden hostitel.
W Web Portal Manager (WPM, rozhraní WPM) Grafická aplikace založená na webu, která se používá ke správě
66
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Rejstřík A
jednotné přihlášení 10 test s ukázkovou aplikací
Access Manager model zajištění ochrany 1 pdjrtecfg 17 prostředí Java runtime 11, 17 server politik 10 WebSEAL 10 AIX instalace na 14 odstranění z 38 AMWLSConfigure -action config 50 AMWLSConfigure -action create_realm 53 AMWLSConfigure -action delete realm 55 AMWLSConfigure -action unconfig 52 autentizace Access Manager 5 bez WebSEAL 6 pomocí WebSEAL 5 vnějších uživatelů 5 autorizace deklarativní 30 programová 30
K konfigurace uživatele
D deklarativní autorizace
30
H HP-UX instalace na 14 odstranění z 38
I instalace 14 na AIX 14 na HP-UX 14 na Solaris 15 na Windows 16 installp 14 instrukce pro odstranění AIX 38 HP-UX 38 Solaris 37 Windows 37
J Java runtime v AIX
11
© Copyright IBM Corp. 2003
32
L Language pack non-English 19 logon policy (politika přihlášení)
32
O
C CLASSPATH nastavení pro startWebLogic 18 nastavení pro startWebLogic s balíkem jazyků configured user 5
32
19
obslužné programy AMWLSConfigure -action config 50 AMWLSConfigure -action create_realm 53 AMWLSConfigure -action delete realm 55 AMWLSConfigure -action unconfig 52 Odstranění Tivoli Access Manager for WebLogic jak 37 odstraňování problémů autentizace 34 nedostatek paměti 35 omezení rozhraní java.security.ACL 35 skupina uvnitř skupiny 35 správa zdrojů J2EE 35
P pdadmin vytvoření spojení WebSEAL pdjrtecfg příkazový řádek 17 pkgadd 15 pkgrm 37 podporované platformy 9 policy (politika) logon (přihlášení) 32 požadavky na disk 9 požadavky na paměť 9 programová autorizace 30 předpoklady software 10
25
R rady pro použití
32
S server politik 10 Server WebLogic podpora verze 7.0 9 režim kompatibility 9 Security Service Provider Interface
9
67
Server WebLogic (pokračování) servisní balíky 9 SMIT 38 Solaris instalace na 15 odstranění z 37 související publikace viii spojení konfigurace 25 spojení WebSEAL konfigurace 25 startWebLogic umístění příkazu 19 startWebLogic, Nastavení CLASSPATH pro swinstall 14 swremove 38
18
U ukázková aplikace
30
V vymezení problému 34 vytvoření spojení WebSEAL pomocí pdadmin 25
W WebSEAL 1, 10 autentizace 5 configured user 5 jednotné přihlášení 10, 25 Windows instalace na 16 odstranění z 37
Z základní autentizace configured user 5
68
IBM Tivoli Access Manager for e-business: BEA WebLogic Server: Integrační příručka
Vytištěno v Dánsku společností IBM Danmark A/S.
SC09-3711-00