IBM Tivoli Access Manager for WebSphere Application Server. 4.1-es verzió SC

IBM Tivoli Access Manager for WebSphere Application Server

򔻐򗗠򙳰

Felhasználói kézikönyv 4.1-es verzió

SC22-0275-01

IBM Tivoli Access Manager for WebSphere Application Server

򔻐򗗠򙳰

Felhasználói kézikönyv 4.1-es verzió

SC22-0275-01

Megjegyzés Jelen tájékoztató, illetve az általa bemutatott termék használata előtt olvassa el a következő információt: B. függelék, “Megjegyzések”, oldalszám: 73.

Második kiadás (2003. augusztus) Ez a kiadás az SC32-0832-00-ás kiadást váltja fel. © Szerzői jog IBM Corporation 2002, 2003. Minden jog fenntartva

Tartalom Előszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii Kinek ajánljuk ezt a könyvet? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii A kézikönyv tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii Kiadványok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viii Kiadási információk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viii Alapszintű információk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viii WebSEAL információk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix Webes adatvédelemmel kapcsolatos információk . . . . . . . . . . . . . . . . . . . . . . . . ix Fejlesztői kézikönyvek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix Technikai kiegészítések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x Kapcsolódó kiadványok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x Online kiadványok elérése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Kiadványok megrendelése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Kisegítő lehetőségek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Kapcsolatfelvétel a szoftvertámogatással . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii A könyvben használt jelölések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii Betűképes jelölések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii Operációs rendszer függő különbségek . . . . . . . . . . . . . . . . . . . . . . . . . . xiii

1. fejezet Bevezetés és áttekintés . . . . . . . . . . . . . . . . . . . . . . . . . 1 A Tivoli Access Manager és a WebSphere Application Server integrálása . Java 2 Enterprise Edition szerepkör alapú biztonság . . . . . . . Azonosítók és csoportok megfeleltetése szerepköröknek . . . . . . Házirend-kezelés központosítása több WebSphere kiszolgáló esetén . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

2 4 4 8

2. fejezet Telepítési utasítások . . . . . . . . . . . . . . . . . . . . . . . . . . 11 A szoftver összetevői . . . . . . . . . Támogatott környezetek . . . . . . . . Merevlemez- és memóriaigény . . . . . . Szoftverkövetelmények . . . . . . . . WebSphere Application Server . . . . . Tivoli Access Manager Base . . . . . . Java Runtime Environment . . . . . . Xerces XML-elemző . . . . . . . . A felhasználói címtárral kapcsolatos előfeltételek Frissítés korábbi verzióról . . . . . . . A Tivoli Access Manager for WebSphere telepítése Telepítés Solaris rendszeren . . . . . . Telepítés AIX rendszeren . . . . . . . Telepítés HP-UX rendszeren . . . . . . Telepítés Linux rendszeren . . . . . . Telepítés Windows rendszeren . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

11 11 11 12 12 13 13 14 14 15 16 16 17 18 19 20

3. fejezet Konfigurációs eljárások . . . . . . . . . . . . . . . . . . . . . . . . 23 Az első telepítés konfigurálása . . . . . . . . . . . . . . 1. rész: A Tivoli Access Manager Java futtató környezet konfigurálása . 2. rész: Felhasználó, művelet és műveletcsoport létrehozása . . . . 3. rész: Csatlakozás biztonságos tartományhoz . . . . . . . . 4. rész: A WebSphere biztonsági beállítások költöztetése . . . . . 5. rész: A pdwas–admin csoport felvétele a hozzáférés-felügyeleti listába 6 rész: A WebSphere védelmének engedélyezése. . . . . . . . További telepítések konfigurálása . . . . . . . . . . . . . A-1. rész: A Tivoli Access Manager Java futtató környezet konfigurálása A-2. rész: Csatlakozás biztonságos tartományhoz . . . . . . .

© Szerzői jog IBM 2002, 2003

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

23 24 24 25 26 29 29 30 30 31

iii

4. fejezet A biztonsági szerepkörök költöztetése . . . . . . . . . . . . . . . . . . 33 A biztonsági szerepkörök költöztetése . . . . . . . . . . . . . . A költöztető segédprogram korlátozásai . . . . . . . . . . . . . Hibaelhárítási tippek . . . . . . . . . . . . . . . . . . . Naplófájlok használata . . . . . . . . . . . . . . . . . A program nem vette fel a felhasználókat a létrehozott ACL-ekre . . . . . A költöztetés sikertelen a rövid fájlnévvel rendelkező Windows-fájlok esetében A Web Portal Manager nem tud az objektumhoz ACL-t csatolni . . . . . A program figyelmeztet, hogy a wsadmin felhasználó a pdwas-admin tagja . . Az ügyfél-hitelesítés a munkamenet lejárta miatt elveszik . . . . . . . A költöztető segédprogram üzenetei nem a kívánt nyelven jelennek meg. . . Nem lehet elérni a WebSphere mintaalkalmazásait . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

33 36 37 37 37 38 38 38 38 39 39

5. fejezet Adminisztrátori feladatok . . . . . . . . . . . . . . . . . . . . . . . . 41 WebSphere Advanced Edition Single Server . . . . . . . . . . A Tivoli Access Manager adminisztrációs eszközei . . . . . . . . A futásidejű tulajdonságok megadása . . . . . . . . . . . . Egyidejű kapcsolatok korlátozása . . . . . . . . . . . . A statikus szerepkör-gyorsítótár engedélyezése . . . . . . . . A statikus szerepkörök meghatározása . . . . . . . . . . . A dinamikus szerepkör-gyorsítótár konfigurálása . . . . . . . A naplózási mechanizmus típusának megadása . . . . . . . . A naplózási szint megadása . . . . . . . . . . . . . . A gyökérobjektum-terület nevének megadása . . . . . . . . . A dokumentumtípusok definíciós könyvtárának megadása . . . . . További jogosultságkiszolgálók konfigurálása . . . . . . . . . Objektumosztály hozzáadása a konzolhoz . . . . . . . . . . . Hibaelhárítási tippek . . . . . . . . . . . . . . . . . A WebSphere adminisztrációs kiszolgáló nem indul el . . . . . . A WebSphere kiszolgáló nem indul el a konfigurálást követően . . . A WebSphere kiszolgáló nem indul el a konfiguráció visszavonása után .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

41 41 42 42 42 43 43 44 44 45 45 45 46 47 47 47 48

6. fejezet Útmutató: Az adatbiztonság engedélyezése . . . . . . . . . . . . . . . . 49 Az útmutató használata . . . . . . . . . . . . . . . . 1. rész: Adatbiztonság hozzáadása a WebSphere alkalmazáshoz . . . . 2. rész: Felhasználók felvétele az LDAP felhasználói címtárba . . . . 3. rész: A WebSphere Application Server adatbiztonságának engedélyezése . 4. rész: Az alkalmazás telepítése . . . . . . . . . . . . . 5. rész: A telepített alkalmazás adatbiztonságának ellenőrzése . . . . . 6. rész: A Tivoli Access Manager for WebSphere telepítése . . . . . 7. rész: Az alkalmazás költöztetése a Tivoli Access Manager termékbe . . 8. rész: A telepített alkalmazás adatbiztonságának ellenőrzése . . . . . 9. rész: Szerepkörök megváltoztatása . . . . . . . . . . . . 10. rész: A telepített alkalmazás adatbiztonságának ellenőrzése . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

49 50 54 54 56 57 58 58 60 60 60

7. fejezet Eltávolítással kapcsolatos utasítások . . . . . . . . . . . . . . . . . . 63 Eltávolítás Solaris rendszerből . Eltávolítás Windows rendszerből Eltávolítás AIX rendszerből . . Eltávolítás HP-UX rendszerből . Eltávolítás Linux rendszerből .

. . . . .

. . . . .

. . . . .

A. függelék Parancsleírások pdwascfg . migrateEAR

. .

. .

. .

. .

. .

. .

. .

. .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

63 63 64 65 66

. . . . . . . . . . . . . . . . . . . . . . . . . . 67 . .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. 68 . 70

B. függelék Megjegyzések . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Védjegyek .

iv

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

IBM Tivoli Access Manager for WebSphere Application Server: Felhasználói kézikönyv

.

.

.

.

.

.

.

.

.

.

.

.

.

. 75

Fogalomtár . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Tárgymutató . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Tartalom

v

vi


Előszó Üdvözli Önt az IBM® Tivoli® Access Manager for WebSphere Application Server (Tivoli Access Manager for WebSphere) alkalmazás. Ez a termék kiterjeszti a Tivoli Access Manager terméket, hogy az kezelni tudja az IBM® WebSphere™ Application Server programhoz írt alkalmazásokat. Az IBM® Tivoli® Access Manager (Tivoli Access Manager) az az alapszoftver, amely az IBM Tivoli Access Manager termékcsomagban található alkalmazások futtatásához szükséges. Lehetővé teszi az IBM Tivoli Access Manager alkalmazások integrálását, amelyek a felhatalmazási és kezelési megoldások széles körét biztosítják. Ezek a termékek integrált megoldásként kaphatók, és olyan hozzáférés-felügyeleti megoldást biztosítanak, amely központosítja az e-business alkalmazások hálózati és alkalmazásbiztonsági rendjét. Megjegyzés: Az IBM Tivoli Access Manager a régebben kiadott Tivoli SecureWay® Policy Director nevű szoftver új neve. A Tivoli SecureWay Policy Director szoftvert és dokumentációt ismerő felhasználók kedvéért érdemes megjegyezni, hogy a kezelőkiszolgáló kifejezést felváltotta a házirend-kiszolgáló kifejezés. Az IBM Tivoli Access Manager for WebSphere Application Server felhasználói kézikönyv telepítési, konfigurálási és adminisztrációs utasításokat tartalmaz. A dokumentum ezen kívül útmutatót nyújt a WebSphere alkalmazások központi biztonsági rendjének beállításához.

Kinek ajánljuk ezt a könyvet? Az adminisztrációs útmutató célközönsége: v Adatvédelemért felelős adminisztrátorok v Hálózati rendszeradminisztrátorok v Informatikai szakemberek Az olvasónak járatosnak kell lennie az alábbi területeken: v Internet protokollok, beleértve a HTTP-t, TCP/IP-t, a fájlátviteli protokollt (FTP) és a telnetet is. v A WebSphere Application Server rendszerek és alkalmazások üzembe helyezése és irányítása. v Adatvédelem irányítása, beleértve a hitelesítést és engedélyezést is. Secure Sockets Layer (SSL) kommunikáció használata esetén ismerni kell az SSL-protokollt, a (nyilvános és magán) kulcscserét, digitális aláírásokat, kriptográfiai algoritmusokat és az igazoló hatóságokat is.

A kézikönyv tartalma A kézikönyv az alábbi fejezetekből áll: v 1. fejezet, ″”Bevezetés és áttekintés Áttekintést nyújt a Tivoli Access Manager alkalmazás azon összetevőiről, amelyek engedélyezési szolgáltatásokat biztosítanak a WebSphere Application Server számára. v 2. fejezet, “Telepítési utasítások” Bemutatja a Tivoli Access Manager for WebSphere telepítését. v 3. fejezet, ″Konfigurációs eljárások″ © Szerzői jog IBM 2002, 2003

vii

Bemutatja a Tivoli Access Manager for WebSphere konfigurálását. v 4. fejezet, “Biztonsági szerepkörök költöztetése” Bemutatja a Tivoli Access Manager for WebSphere költöztető segédprogramját, amellyel a Java 2 Enterprise Edition biztonsági szerepkörei átvihetők a Tivoli Access Manager felhasználóira és csoportjaira. v 5. fejezet, “Adminisztrációs feladatok″ Bemutatja, hogyan kell végrehajtani a Tivoli Access Manager for WebSphere irányításához szükséges adminisztrációs feladatokat. v 6. fejezet, “Útmutató: Az adatbiztonság engedélyezése” Bemutatja, hogy miképpen állítható fel a WebSphere Application Server alkalmazás védelmi rendszere. Bemutatja azt is, hogy hogyan helyezhetők át a biztonsági adatok a Tivoli Access Manager alkalmazásba, valamint azt, hogy hogyan ellenőrizhető, hogy a biztonsági rendszer működik-e. v 7. fejezet, “Eltávolítással kapcsolatos utasítások” Bemutatja a Tivoli Access Manager for WebSphere eltávolításának menetét.

Kiadványok A Tivoli Access Manager könyvtára az alábbi kategóriákba van rendezve: v “Kiadási információk” v “Alapszintű információk” v “WebSEAL információk” oldalszám: ix v “Webes adatvédelemmel kapcsolatos információk” oldalszám: ix v “Fejlesztői kézikönyvek” oldalszám: ix v “Technikai kiegészítések” oldalszám: x

Kiadási információk v IBM Tivoli Access Manager Read Me First (Fontos tudnivalók) kártya GI11-4198-00 (am41_readme.pdf) A Tivoli Access Manager telepítésére és használatának megkezdésére vonatkozó információkat tartalmaz. v IBM Tivoli Access Manager Kiadási megjegyzések SC32-1130-00 (am41_relnotes.pdf) A kiadás idején rendelkezésre álló legfrissebb, például a szoftverkorlátozásokkal, áthidaló megoldásokkal és a dokumentációfrissítésekkel kapcsolatos információkat tartalmazza.

Alapszintű információk v IBM Tivoli Access Manager Base telepítési kézikönyv SC32-1131-01 (am41_install.pdf) Ismerteti a Tivoli Access Manager szoftver, illetve a Web Portal Manager kezelőfelület telepítését, konfigurálását és frissítését. v IBM Tivoli Access Manager Base adminisztrációs kézikönyv SC32-1132-01 (am41_admin.pdf) A Tivoli Access Manager szolgáltatásainak használatával kapcsolatos fogalmakat és eljárásokat ismerteti. Utasításokat ad arra vonatkozóan, hogy hogyan hajthatók végre a feladatok a Web Portal Manager felület, illetve a pdadmin parancs segítségével.

viii


WebSEAL információk v IBM Tivoli Access Manager WebSEAL telepítési kézikönyv SC32-1133-01 (amweb41_install.pdf) A WebSEAL kiszolgáló és a WebSEAL alkalmazásfejlesztő-készlet telepítésével, konfigurálásával és eltávolításával kapcsolatos utasításokat tartalmazza. v IBM Tivoli Access Manager WebSEAL adminisztrációs kézikönyv SC32-1134-01 (amweb41_admin.pdf) Háttérinformációkkal, adminisztrációs eljárások bemutatásával és technikai referencia információkkal segíti a biztonságos webes tartomány erőforrásainak WebSEAL használatával történő kezelését.

Webes adatvédelemmel kapcsolatos információk v IBM Tivoli Access Manager for WebSphere Application Server felhasználói kézikönyv SC32-1136-01 (amwas41_user.pdf) A Tivoli Access Manager for IBM WebSphere® Application Server termék telepítésével, eltávolításával és felügyeletével kapcsolatos utasításokat tartalmazza. v IBM Tivoli Access Manager for WebLogic Server felhasználói kézikönyv SC32-1137-01 (amwls41_user.pdf) A Tivoli Access Manager for BEA WebLogic Server termék telepítésével, eltávolításával és felügyeletével kapcsolatos utasításokat tartalmazza. v IBM Tivoli Access Manager Plug-in for Edge Server User’s Guide SC32-1138-01 (amedge41_user.pdf) Ismerteti az IBM WebSphere Edge Server bővítményének telepítését, konfigurálását és rendszerfelügyeletét. v IBM Tivoli Access Manager Plug-in for Web Servers User’s Guide SC32-1139-01 (amws41_user.pdf) Telepítési, adminisztrációs utasításokat, valamint műszaki információkat ad arra vonatkozóan, hogyan tehető biztonságossá a webtartomány a webkiszolgáló-bővítmény segítségével.

Fejlesztői kézikönyvek v IBM Tivoli Access Manager Authorization C API Developer’s Reference SC32-1140-01 (am41_authC_devref.pdf) Hivatkozási kézikönyv a Tivoli Access Manager jogosultságbiztosítási C API-jának, illetve az Access Manager szolgáltatásbővítő felületének használatához, amellyel a Tivoli Access Manager biztonsági lehetőségei kiterjeszthetők az alkalmazásokra. v IBM Tivoli Access Manager Authorization Java Classes Developer’s Reference SC32-1141-01 (am41_authJ_devref.pdf) Hivatkozási kézikönyv a Java™ nyelvű jogosultságkezelési API használatához, mely lehetővé teszi, hogy az alkalmazások a Tivoli Access Manager adatvédelmi funkcióit használják. v IBM Tivoli Access Manager Administration C API Developer’s Reference SC32-1142-01 ( am41_adminC_devref.pdf) Hivatkozási kézikönyv az adminisztrációs API használatához, amellyel lehetővé válik, hogy az alkalmazások végrehajtsák a Tivoli Access Manager adminisztrációs feladatait. Ez a dokumentum a C nyelvű adminisztrációs API-t ismerteti. v IBM Tivoli Access Manager Administration Java Classes Developer’s Reference SC32-1143-01 (am41_adminJ_devref.pdf)

Előszó

ix

Hivatkozási kézikönyv az adminisztrációs API Java nyelvű megvalósításának használatához, mely lehetővé teszi, hogy az alkalmazások végrehajtsák a Tivoli Access Manager adminisztrációs feladatait. v IBM Tivoli Access Manager WebSEAL Developer’s Reference SC32-1135-01 (amweb41_devref.pdf) Adminisztrációs és programozási információkat nyújt a Cross-domain Authentication Service (CDAS), a Cross-domain Mapping Framework (CDMF) és a jelszószabályzat modullal (Password Strength Module) kapcsolatban.

Technikai kiegészítések v IBM Tivoli Access Manager Command Reference GC32-1107-01 (am41_cmdref.pdf) Ismerteti a Tivoli Access Manager által nyújtott parancssori segédprogramokat és parancsfájlokat. v IBM Tivoli Access Manager Error Message Reference SC32-1144-01 (am41_error_ref.pdf) Megmagyarázza a Tivoli Access Manager által küldött hibaüzeneteket, és ismerteti a szükséges teendőket. v IBM Tivoli Access Manager Problem Determination Guide GC32-1106-01 ( am41_pdg.pdf) A Tivoli Access Manager hibáinak meghatározásához használható információkat tartalmaz. v IBM Tivoli Access Manager Performance Tuning Guide SC32-1145-01 ( am41_perftune.pdf) Teljesítményhangolással kapcsolatos információkat tartalmaz olyan környezetek számára, ahol a Tivoli Access Manager az IBM Directory Server terméket használja felhasználói címtárként.

Kapcsolódó kiadványok Ez a szakasz tartalmazza a Tivoli Access Manager könyvtárhoz kapcsolódó kiadványok felsorolását. A Tivoli Software Library a Tivoli kiadványok széles választékát kínálja, többek között fehér könyveket, adatlapokat, bemutatókat, vörös könyveket valamint közleményeket. A Tivoli Software Library a világhálón ezen a címen érhető el:http://www.ibm.com/software/tivoli/library/ A Tivoli Software Glossary a Tivoli szoftverrel kapcsolatos sok technikai kifejezés meghatározását tartalmazza. A Tivoli Software Glossary a Tivoli Software Library weboldal http://www.ibm.com/software/tivoli/library/ bal oldal bal oldalán található Glossary hivatkozáson át érhető el. A Fogalomtár csak angol nyelvű.

IBM Global Security Toolkit A Tivoli Access Manager az IBM Global Security Toolkit (GSKit) használatán keresztül biztosít adattitkosítási szolgáltatást. A GSKit megtalálható az adott operációs rendszerhez tartozó IBM Tivoli Access Manager Base CD-lemezen. A GSKit csomag telepíti az iKeyman kulcskezelő segédprogramot (gsk5ikm), amely lehetővé teszi kulcsadatbázisok, nyilvános-saját kulcspárok és bizonyítványkérelmek létrehozását. A következő kiadvány elérhető a Tivoli Information Center weboldalán, az IBM Tivoli Access Manager termékdokumentációjával azonos helyen: v Secure Sockets Layer Introduction and iKeyman User’s Guide (gskikm5c.pdf)

x


Információkat nyújt azon hálózat- vagy rendszerbiztonsági adminisztrátorok számára, akik engedélyezni szeretnék az SSL-kommunikációt a Tivoli Access Manager környezetében.

IBM DB2 Universal Database

Az IBM DB2® Universal Database™ termékre az IBM Directory Server, a z/OS™ és az OS/390® LDAP kiszolgálók telepítésekor van szükség. A DB2 megtalálható a termék CD lemezein a következő operációs rendszerekhez: v IBM AIX® v Microsoft™ Windows™ v Sun Solaris Operating Environment DB2-vel kapcsolatos tájékoztatás a következő weboldalon található: http://www.ibm.com/software/data/db2/

IBM Directory Server Az IBM Directory Server 4.1-es verziója megtalálható a IBM Tivoli Access Manager Base CD lemezen a Linux for zSeries™ kivételével minden platformhoz.A Linux for S/390 rendszeren működő IBM Directory Server szoftver az alábbi helyen érhető el: http://www.ibm.com/software/network/directory/server/download/ Ha felhasználói címtárként az IBM Directory Server szoftvert kívánja használni, olvassa el az alábbi helyen található információkat: http://www.ibm.com/software/network/directory/library/

IBM WebSphere Application Server Az IBM WebSphere Application Server, Advanced Single Server Edition 4.0.3 megtalálható a Web Portal Manager CD lemezeken és telepítésére a Web Portal Manager illesztőfelülettel együtt kerül sor. Az IBM WebSphere Application Server termékre vonatkozó információk a következő helyen találhatók: http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM Tivoli Access Manager for Business Integration A külön megrendelésre szállított IBM Tivoli Access Manager for Business Integration biztonsági megoldást nyújt az IBM MQSeries® 5.2-es verzió és az IBM WebSphere® MQ 5.3-as verzió üzeneteihez. Az IBM Tivoli Access Manager for Business Integration lehetővé teszi a WebSphere MQSeries alkalmazások számára adatok titkosított és sértetlen továbbítását az adattovábbító és fogadó alkalmazásokhoz társított kulcsok segítségével. A WebSEAL és IBM Tivoli Access Manager for Operating Systems termékekhez hasonlóan az IBM Tivoli Access Manager for Business Integration is egyike azon erőforrás-kezelőknek, amelyek az IBM Tivoli Access Manager jogosultságkezelési szolgáltatásait veszik igénybe az e-business ügyletek során. Az IBM Tivoli Access Manager for Business Integration 4.1-es verziójához kapcsolódó következő dokumentumok megtalálhatók a Tivoli Information Center webhelyen: v IBM Tivoli Access Manager for Business Integration Administrator’s Guide (SC23-4831-00) v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-00) v IBM Tivoli Access Manager for Business Integration Read Me First (GI11-0958-00)

IBM Tivoli Access Manager for Operating Systems A külön megrendelésre szállított IBM Tivoli Access Manager for Operating Systems termék UNIX rendszereken a natív operációs rendszeren meglévőn túl biztosít egy, a jogosultsági Előszó

xi

rend megerősítését szolgáló réteget. Az IBM Tivoli Access Manager for Operating Systems a WebSEAL és IBM Tivoli Access Manager for Business Integration termékekhez hasonlóan - egyike azon erőforrás-kezelőknek, amelyek az IBM Tivoli Access Manager jogosultságkezelési szolgáltatásait veszik igénybe az e-business ügyletek során. Az IBM Tivoli Access Manager for Operating Systems 4.1-es verziójához kapcsolódó következő dokumentumok megtalálhatók a Tivoli Information Center webhelyen: v IBM Tivoli Access Manager for Operating Systems Installation Guide (SC23-4829-00) v IBM Tivoli Access Manager for Operating Systems Administration Guide (SC23-4827-00) v IBM Tivoli Access Manager for Operating Systems Problem Determination Guide (SC23-4828-00) v IBM Tivoli Access Manager for Operating Systems Release Notes (GI11-0951-00) v IBM Tivoli Access Manager for Operating Systems Read Me First (GI11-0949-00)

Online kiadványok elérése Az ehhez a termékhez tartozó kiadványok élő kapcsolatban van Portable Document Format (PDF) vagy Hypertext Markup Language (HTML) formátumban érhetők el, a Tivoli Software Library itt jelzett címén pedig mindkét formátumban: http://www.ibm.com/software/tivoli/library A Könyvtárban adott termékre vonatkozó kiadvány kereséséhez kattintson a Library (Könyvtár) lap bal oldalán található Product manuals hivatkozásra.Majd a Tivoli Software Information Center (Információs központ) lapon kattintson a termék nevére. A termékekre vonatkozó kiadványok tartalmazzák a kiadási megjegyzéseket, a telepítési, a felhasználói, a rendszergazdai, valamint a fejlesztői kézikönyveket. Megjegyzés: A PDF kiadványok megfelelő nyomtatásának biztosítására az Adobe Acrobat (File (Fájl) →Print (Nyomtatás) paranccsal meghívható) Print (Nyomtatás) ablakban jelölje be a Fit to page (Oldalhoz igazítás) négyzetet.

Kiadványok megrendelése Az itt jelölt webhelyen több IBM Tivoli kiadványt rendelhet online módon: http://www.elink.ibmlink.ibm.com/public/applications/ publications/cgibin/pbi.cgi Megrendelését telefonon is leadhatja: v Az Egyesült Államokban: 800-879-2755 v Kanadában: 800-426-4968 v A más országokból hívható telefonszámok listája a következő helyen található:http://www.ibm.com/software/tivoli/order-lit

Kisegítő lehetőségek A kisegítő lehetőségek a fizikailag sérült, mozgáskorlátozott vagy csökkent látóképességű felhasználók számára teszik lehetővé a szoftvertermékek sikeres használatát. A termék kisegítő technológiái (például hangjelzések alkalmazása) megkönnyítik az eligazodást a kezelőfelületen. Az egér helyett a billentyűzet segítségével is működtetheti a grafikus felhasználói felület összes szolgáltatását.

xii


Kapcsolatfelvétel a szoftvertámogatással Mielőtt az IBM Tivoli Software támogatáshoz fordulna egy problémával, látogasson el az IBM Tivoli Software szoftvertámogatási webhelyére: http://www.ibm.com/software/sysmgmt/products/support/ Ha további segítségre van szüksége, az itt jelölt webhely IBM Software Support Guide (szoftvertámogatási kézikönyv) kiadványban ismertetett módszerekkel keresse meg a szoftver támogatás: http://techsupport.services.ibm.com/guides/handbook.html A kézikönyvben az alábbi információk találhatók: v A támogatáshoz szükséges regisztrációs és jogosultsági követelmények v Telefonszámok és e-mail címek, a felhasználó országától függően v Milyen információkat kell összegyűjteni, mielőtt megkeresi az ügyfélszolgálatot

A könyvben használt jelölések A kézikönyv számos jelölést használ bizonyos kifejezések, tevékenységek, az operációs rendszertől függő parancsok, illetve útvonalak megnevezésére, valamint a margón látható grafikákkal kapcsolatban.

Betűképes jelölések A kézikönyvben a következők alapján használtunk egyes formázási típusokat: Félkövér A környező szövegtől nehezen megkülönböztethető kisbetűs vagy kis- és nagybetűket egyaránt tartalmazó parancsok, a kulcsszavak, a paraméterek, az opciók, a Java osztályok nevei valamint az objektumok félkövéren vannak szedve. Dőlt

A változók, a kiadványok címei és a hangsúlyozott különleges szavak és kifejezések dőlt típusúak.

Rögzített szélességű betűtípus A kód példák, a parancssorok, a képernyő kimenetek, a környező szövegtől nehezen megkülönböztethető fájl- és könyvtárnevek, a rendszer üzenetek, a felhasználó által beírandó szöveg valamint az argumentum értékek és parancsopciók rögzített szélességű betűtípussal vannak szedve.

Operációs rendszer függő különbségek Ebben a kézikönyvben a környezeti változók és a könyvtárak jelölésére a UNIX jelölésmódot használjuk. A Windows parancssor használatakor a környezeti változókhoz a $változó helyett a %változó% jelölést alkalmazza, és az alkönyvtár elérési útvonalakban a perjelek (/) helyett fordított perjelet (\) írjon. Ha a bash parancsértelmezőt használja egy Windows rendszerben, akkor használhatja a UNIX jelölésmódot.

Előszó

xiii

xiv


1. fejezet Bevezetés és áttekintés Az IBM Tivoli Access Manager for WebSphere Application Server (Tivoli Access Manager for WebSphere) az IBM Tivoli Access Manager (Tivoli Access Manager) kiterjesztése, amely tároló alapú jogosultságbiztosítást és központosított rendfelügyeletet tesz lehetővé a WebSphere Application Server alkalmazások számára. A Tivoli Access Manager for WebSphere beépíthető a WebSphere Application Server alkalmazásba, és jogosultsági döntéseket hoz a védett erőforrásokhoz való hozzáférésre érkező bejövő kérelmekre vonatkozóan. A Tivoli Access Manager for WebSphere használatával a hálózati rendszeradminisztrátor a Tivoli Access Manager segítségével központilag végezheti a biztonsági házirend felügyeletét a WebSphere Application Server erőforrásaira és a WebSphere Application Server alkalmazáshoz nem kapcsolódó erőforrásokra vonatkozóan is. A Tivoli Access Manager szolgáltatásai közé tartozik az általános azonosítók, felhasználói profilok és a jogosultsági mechanizmusok kezelése. A Tivoli Access Manager termékhez kapcsolódik egy grafikus felhasználói felületet adó segédprogram, a Tivoli Access Manager Web Portal Manager, amely biztonsági irányítóközpontként alkalmazható mind a Java™ 2 Enterprise Edition (J2EE) felülettel együttműködő, mind pedig a J2EE szabványának nem megfelelő erőforrások esetén. A WebSphere Application Server, Advanced Edition, (WebSphere) támogatja a J2EE biztonsági osztályokat és API-kat. A Tivoli Access Manager for WebSphere kezelni tudja a J2EE biztonsági osztályokat használó WebSphere alkalmazásokat is. A Tivoli Access Manager for WebSphere ezen szolgáltatásainak működéséhez nincs szükség az alkalmazások kódjának módosítására vagy használatukat érintő változtatásokra. A Tivoli Access Manager for WebSphere integrálható a WebSphere tárolóival, hogy azok használhassák a Tivoli Access Manager biztonsági tartománya által biztosított biztonsági szolgáltatásokat. A biztonságos tartományt a Tivoli Access Manager for WebSphere telepítése előtt kell kialakítani. Azoknak a felhasználóknak, akik számára még nem ismerős a Tivoli Access Manager, a Tivoli Access Manager biztonságos tartományának kialakítása előtt meg kell vizsgálniuk a Tivoli Access Manager biztonsági modelljét. Ennek rövid leírása itt olvasható. A Tivoli Access Manager egy olyan teljeskörű jogosultság- és hálózatbiztonsági házirend-felügyelő megoldás, amely lehetővé teszi a - földrajzi értelemben - nagy kiterjedésű külső és belső hálózatok erőforrásainak átfogó védelmét. A Tivoli Access Manager korszerű biztonsági irányítást tesz lehetővé. Ezenfelül a Tivoli Access Manager hitelesítési, jogosultság-meghatározó, adatbiztonsági, valamint erőforrás-kezelési szolgáltatásokkal is rendelkezik. A Tivoli Access Manager és a szokásos internet-alapú alkalmazások együttes használatával rendkívül biztonságos és jól irányított külső és belső hálózatok hozhatók létre. A Tivoli Access Manager alapvetően a következőket nyújtja: v Hitelesítési keretrendszer


1

A Tivoli Access Manager sokféle hitelesítési mechanizmust támogat. A WebSphere azonban a saját hitelesítési eljárásait még a Tivoli Access Manager for WebSphere használata előtt végrehajtja. v Jogosultsági keretrendszer A Tivoli Access Manager jogosultsági szolgáltatása, amely a J2EE szabványos jogosultsági osztályain keresztül érhető el, engedélyezi vagy elutasítja a natív Tivoli Access Manager kiszolgálókra és a harmadik féltől származó alkalmazásokra vonatkozó hozzáférési kéréseket. A Tivoli Access Manager alkalmazással kapcsolatban további információkat - beleértve az eljárásindítással kapcsolatos információkat is - a termék dokumentációjában találhat. Először a következő útmutatókat tanulmányozza: v IBM Tivoli Access Manager Base telepítési kézikönyv Ez a kézikönyv ismerteti, hogyan kell megtervezni, telepíteni és konfigurálni a Tivoli Access Manager biztonságos tartományát. Az egyszerű telepítési parancsfájlok segítségével gyorsan létrehozhat egy jól működő biztonságos tartományt. Ezek a parancsfájlok rendkívül hasznosak lehetnek a biztonságos tartományok prototípusainak kialakításakor. v IBM Tivoli Access Manager Base adminisztrációs kézikönyv Ez a kiadvány áttekinti a Tivoli Access Manager biztonság modelljét a védett erőforrások kezelését illetően. A dokumentum bemutatja a hozzáférés-felügyeleti döntéseket hozó Tivoli Access Manager kiszolgálók konfigurálását. Ezen kívül részletes utasítások segítségével mutatja be a fontos feladatok végrehajtását, például a biztonsági irányelvek megadását, a védett objektum-névtartományok meghatározását, illetve a felhasználó- és csoportprofilok kezelését. A Tivoli Access Manager dokumentációja az IBM Tivoli ügyfélszolgálat webhelyén található.

A Tivoli Access Manager és a WebSphere Application Server integrálása A Tivoli Access Manager for WebSphere kiterjeszti a Tivoli Access Manager biztonsági modelljét, hogy az együttműködhessen az IBM WebSphere Application Server Advanced Edition termékhez készült alkalmazásokkal. A biztonsági modellt a következőképpen kell használni: Amikor a felhasználó (azonosító) védett erőforrást próbál elérni, a WebSphere a következő feladatokat hajtja végre: v Hitelesíti az azonosítót. v Amikor egy alkalmazásra vonatkozóan az eljárásindítás-leíróban meghatározzák a biztonságot (deklaratív biztonság), a WebSphere tárolója meghatározza, hogy milyen szerepkörök szükségesek az erőforrás eléréséhez, és a Tivoli Access Manager for WebSphere segítségével meghatározza, hogy az aktuális azonosítóhoz hozzá van-e rendelve bármelyik szükséges szerepkör. v Ha az alkalmazásfejlesztő közvetlenül az alkalmazásba írta bele a biztonsági kódot (parancsvezérelt biztonság), a WebSphere tároló a Tivoli Access Manager segítségével végzi el a szerepkörök tagjainak ellenőrzését.

2


1. ábra: A Tivoli Access Manager telepítése a WebSphere Application Server alkalmazással

Az 1. ábra a következő eseménysorozatot szemlélteti: 1. Ha valamilyen J2EE biztonsági rendszert használó WebSphere alkalmazást futtat, és a felhasználó megpróbál hozzáférni a védett erőforráshoz, a WebSphere a felhasználói címtár alapján ellenőrzi a felhasználó jogosultságát. Az 1. ábrán például a WebSphere Advanced Edition (többkiszolgálós változata) az IBM SecureWay Directory felhasználói címtár alapján végzi a hitelesítést. A felhasználói címtárat a Tivoli Access Manager is használja. (A WebSphere Advanced Edition Single Server esetében a hitelesítés a gazdagép-alapú biztonsági rendszer szerint folyik.) 2. Ha a felhasználó valamely védett metódushoz vagy erőforráshoz kér hozzáférést, a WebSphere tároló a J2EE eljárásindítás-leírók adatai alapján határozza meg a szükséges szerepköri tagságot. 3. A WebSphere tároló az integrált Tivoli Access Manager modulon keresztül kér jogosultsági döntést (“engedélyezve” vagy “visszautasítva”) a Tivoli Access Manager jogosultságkiszolgálótól. A WebSphere tároló további környezeti adatokat (ha vannak ilyenek) is átad a jogosultságkiszolgálónak. Az opcionális környezeti adatok közé tartozik a cella neve, a gazdanév és a kiszolgáló neve. Ha a Tivoli Access Manager házirend-adatbázisában van környezeti adatra vonatkozó házirend, a jogosultságkiszolgáló ezen információ alapján hozza meg a jogosultsági döntést. 4. A jogosultságkiszolgáló a közös címtárban található, a Tivoli Access Manager alkalmazásra vonatkozó felhasználó-definíciókat veszi figyelembe. (A felhasználói címtárat a WebSphere is használja, kivéve a WebSphere Advanced Edition Single Server használata esetén). Ezután a jogosultságkiszolgáló ellenőrzi az adott felhasználóra 1. fejezet Bevezetés és áttekintés

3

vonatkozó engedélyeket a Tivoli Access Manager védett objektum-névtartományában. A védett objektum-névtartományt a házirend-adatbázis tartalmazza, amely az 1. ábrán látható. 5. A Tivoli Access Manager jogosultságkiszolgáló visszaadja a hozzáférési döntést a WebSphere tárolónak. 6. A WebSphere Application Server engedélyezi vagy megtagadja a hozzáférést a védett metódushoz vagy erőforráshoz.

Java 2 Enterprise Edition szerepkör alapú biztonság A Java 2 Enterprise Edition (J2EE) biztonság az azonosító fogalma alapján határozza meg a műveletet végrehajtó entitás azonosságát. Az entitás lehet személy (felhasználó) vagy folyamat. Ezen felül a J2EE a szerepkör fogalmat is használja, a következőképpen: A rendszer a metódusokat szerepkörökhöz rendeli. A következő táblában, amely egy banki mintaalkalmazásból származik, láthatók az egyes szerepkörök, és az azokhoz rendelt metódusok. A táblában szereplő engedélyezve bejegyzés jelzi, hogy a szerepkör hozzáférhet a megadott metódushoz. 1. táblázat: Metódusok megfeleltetése szerepkörökkel Metódusok Szerepkörök

egyenleg

betét

Pénztáros

engedélyezve

engedélyezve

Banktisztviselő

engedélyezve

Ellenőr

számlazárás

engedélyezve

A fent megadott szerepkörök ezután leképezhetők azonosítókra és/vagy csoportokra. Az alábbi tábla celláiban szereplő Indítás bejegyzés azt jelzi, hogy az azonosító vagy csoport az adott szerepkörben engedélyezett bármelyik metódust elindíthatja. 2. táblázat: Azonosítók vagy csoportok metódusindítási engedélyei Szerepkörök Azonosító/Csoport

Pénztáros

PénztárosCsoport

Indítás

BanktisztviselőCsoport

Banktisztviselő

Ellenőr

Indítás

EllenőrCsoport Ferenc (egy azonosító)

Indítás

Indítás

A fenti tábla szerint Ferenc elindíthatja az egyenleg és a számlazárás metódusokat, de a betét metódust nem, mivel ez a metódus nem engedélyezett sem a Banktisztviselő, sem az Ellenőr szerepkörök esetében.

Azonosítók és csoportok megfeleltetése szerepköröknek Az alkalmazás futtatását megelőzően a Tivoli Access Manager védett objektumnévtartományának feltöltéséhez futtatni kell a Tivoli Access Manager for WebSphere költöztető segédprogramját. A segédprogram lekérdezi a szerepkörökkel és metódusokkal kapcsolatos információkat a J2EE eljárásindítás-leírókból. Ha az alkalmazás futtatása során a felhasználó hozzáférést kér valamely védett erőforráshoz, a következő információk átadása történik a WebSphere tárolójába:

4


v Principal A felhasználó hitelesített azonosítója. v RoleName A szerepkör neve. v AppName Az alkalmazás neve. v CellName A gazdagépcsoport neve a hálózaton. v HostName A CellName értékben megadott csoporton belül az egyik gazdarendszer neve. v ServerName A HostName által befogadott kiszolgáló neve. A rendszer a szerepkörök neveit az eljárásindítás-leírókban található metódus-szerepkör hozzárendelésekből származtatja. Alapértelmezés szerint a Tivoli Access Manager a hozzáférés-ellenőrzést a RoleName és az AppName érték alapján végzi. A hozzáférés-ellenőrzésbe egyszerűen bevonható a CellName, a HostName és a ServerName érték is. Ezek az értékek nem kötelezőek, és a rendszer csak akkor értékeli őket, ha meg vannak adva. A Tivoli Access Manager hozzáférés-vezérlési listái (ACL-ek) határozzák meg, hogy a rendszer egy azonosítóhoz a J2EE alkalmazás mely szerepköreit rendeli. A költöztető segédprogram az ACL-eket a védett objektum-névtartományban az AppName értékhez csatolja. Az alábbiakban bemutatott 2. ábra a következő eseménysorozatot szemlélteti: 1. Az alkalmazás futtatását megelőzően a Tivoli Access Manager for WebSphere költöztető segédprogramja megszerzi a szerepkörökkel és szerepkör - azonosító, illetve szerepkör csoport leképezésekkel kapcsolatos információkat a J2EE alkalmazás eljárásindítás-leírójából. 2. A költöztető segédprogram az adatokat a Tivoli Access Manager formátumára alakítja át, majd továbbítja őket a Tivoli Access Manager házirend-kiszolgálónak. 3. A házirend-kiszolgáló felveszi a védett objektum-névtartományba az alkalmazáshoz meghatározott szerepkörökhöz tartozó bejegyzéseket. Ha az eljárásindítás-leíróban szerepelnek szerepkörök és azonosítók, illetve szerepkörök és csoportok közötti leképezések, akkor a rendszer felveszi a megfelelő azonosítókat vagy csoportokat az új objektumokhoz csatolt ACL-ekre.

1. fejezet Bevezetés és áttekintés

5

2. ábra: Szerepkörök leképezése a Tivoli Access Manager védett objektumterületére

A Tivoli Access Manager biztonsági modellje a védett objektum-névtartományban tárolt meghatározások alapján alakítja ki az erőforrások hierarchiáját, amelyekhez az ACL-eket csatolni lehet. Ezek az ACL-ek határozzák meg a szerepkörök és felhasználók vagy csoportok közti leképezést. A 3. ábra azt szemlélteti, hogy hogyan lehet alkalmazni az ACL-eket a szerepköröket leíró védett objektum-névtartományra. Az összes WebSphere alkalmazás esetén a védett objektum-névtartomány tartalmaz egy legfelsőbb szintű védett objektumot, amelynek a neve WebAppServer. A objektumhoz kapcsolódik egy utódobjektum, amelynek a neve deployedResources. Ez a két objektum együttesen alkotja a WebSphere alkalmazásokban definiált összes J2EE szerepkör legfelsőbb szintű előtagját.

6


A szerepkörök meghatározása a következő hierarchia-szinten történik, a szerepkör nevét (RoleName) viselő erőforrásként. Közvetlenül ezen objektum alatt található az alkalmazást jelképező erőforrás, az AppName. Az AppName védett objektum alatt több választható erőforrás található, amelyek meghatározásával biztosítható a szerepkörökhöz való hozzáférések pontosabb irányítása. Ezek a választható erőforrások a következők: CellName, HostName és ServerName.

3. ábra: ACL-ek csatolása a védett objektum-névtartomány objektumaihoz.

A 3. ábrán az ACL 1 lista hozzáférést biztosít felh1 felhasználó részére a megadott RoleName szerepkörhöz, a hálózaton belül bármely alkalmazásban. A felh2 felhasználó és a csop1 csoport nem kapnak hozzáférést. A Tivoli Access Manager biztonsági modelljében, a védett objektumterület hierarchián belül, a hozzáférési beállításokat öröklik a RoleName szerepkör alatt meghatározott objektumok. Az öröklődés alapértelmezett. Így a 3. ábrán a hozzáférési beállításokat az AppName/CellName/HostName/ServerName objektumok öröklik. Néhány esetben a biztonsági házirend megköveteli, hogy az ACL csatolási pont alatt található objektumok hozzáférési beállításai eltérjenek az öröklött hozzáférési beállításoktól. Ebben az esetben a Tivoli Access Manager adminisztrátor határozza meg a kívánt hozzáférési beállításokat tartalmazó ACL-t. Az adminisztrátor ezt követően az új ACL-t hozzácsatolja a megadott szinten található objektumhoz. Az új ACL felülbírálja az öröklött hozzáférési beállításokat. Például a biztonsági házirend előírhatja, hogy felh1 felhasználó nem kaphat RoleName engedélyt, ha az alkalmazás egy adott kiszolgálón, adott gazdagépen, adott cellán belül fut. A házirend érvényesítése érdekében az adminisztrátor egy szigorúbb ACL-t határoz meg (lásd 3. ábra: ACL 2. Ez az ACL megtagadja a hozzáférést felh1 és felh2 felhasználó, valamint csop1 csoport esetében. Ezt követően az adminisztrátor hozzácsatolja az új ACL-t a ServerName objektumhoz, amely a korlátozandó hozzáférésű kiszolgálót jelöli. A 3. ábrán látható, hogy az ACL 2 lista a ServerName objektumhoz van csatolva. Az ACL 2 lista csak a megadott kiszolgálóra vonatkozik. Ha több ServerName objektumot adott meg a HostName alatt, az ACL 2 csak arra a ServerName objektumra vonatkozik, amelyhez


7

hozzácsatolták. Ezen a hierarchiaszinten az összes többi ServerName objektum továbbra is örökli az ACL 1 listában meghatározott, és a RoleName szerepkörhöz csatolt hozzáférési beállításokat. Ha további információkra van szüksége arról, hogyan használhatók az ACL-ek a védett objektumnév-tartományban, lapozza fel a következő kiadványt: IBM Tivoli Access Manager Base adminisztrációs kézikönyv.

Házirend-kezelés központosítása több WebSphere kiszolgáló esetén A Tivoli Access Manager biztosítja a biztonsági házirendek központi kezelését. A Tivoli Access Manager a biztonsági házirendet több WebSphere Application Server rendszer esetén is képes irányítani. Ezen felül a Tivoli Access Manager ugyanezt a modellt alkalmazza a nem-WebSphere alkalmazások biztonságának vezérlésére is. Miután a rendszer elvégezte a J2EE alkalmazás eljárásindítás-leíróiban meghatározott szerepkör - azonosító/csoport leképezések költöztetését a Tivoli Access Manager programba, és a felhasználók és csoportok regisztrálása is megtörtént a Tivoli Access Manager programban, a biztonsági definíciók további módosítására használhatja a Tivoli Access Manager kezelőeszközeit. A Tivoli Access Manager Web Portal Manager segítségével változtathatja meg a szerepkörök - azonosítók/csoportok közti leképezéshez kapcsolódó biztonsági meghatározásokat. A WebSphere konzol segítségével hajthatja végre az egyéb, biztonsággal kapcsolatos módosításokat. Ne feledje, hogy a WebSphere konzol segítségével végrehajtott szerepkörleképezés-módosítások nem jelennek meg a Tivoli Access Manager biztonsági modelljében. A biztonsági rend kezelésére a Tivoli Access Manager alábbi eszközeit használhatja: v Tivoli Access Manager Web Portal Manager A Web Portal Manager a Tivoli Access Manager irányítási konzolja. Ez a konzol a Tivoli Access Manager védett objektum-névtartományában definiált Tivoli Access Manager felhasználók, műveletek és erőforrások kezeléséhez biztosít grafikus felhasználói felületet. A konzol alkalmas ACL-ek létrehozására és kezelésére is. A konzol segítségével a felhasználói címtárban szereplő felhasználók és csoportok definícióit is kezelheti. v pdadmin A pdadmin segédprogram parancssorból futtatható, és a Tivoli Access Manager biztonsági modelljének kezelésére szolgál. Ezzel a hatékony segédprogrammal lehet kezelni a Tivoli Access Manager védett objektum-névtartományának elemeit, beleértve a felhasználókat, az objektumokat, az erőforrásokat és az ACL-eket. A pdadmin a felhasználói címtárakban szereplő felhasználók és csoportok kezelésére is alkalmas. Az adminisztrátor a parancsfájlokon és programokon belül ezzel a segédprogrammal teheti automatikussá az adminisztrációs műveleteket. További információ: IBM Tivoli Access Manager Base adminisztrációs kézikönyv. v Tivoli Access Manager adminisztrációs API A Tivoli Access Manager programozható felülettel segíti a pdadmin és a Web Portal Manager által végzett adminisztrációs feladatokat. Az alkalmazásfejlesztők a C vagy Java API-t használhatják az alkalmazásra jellemző adminisztratív feladatok elvégzéséhez. További információ: IBM Tivoli Access Manager Administration C API Developer’s Reference vagy IBM Tivoli Access Manager Administration Java Classes Developer’s Reference.

8


4. ábra: A Tivoli Access Manager több kiszolgáló központi kezelését biztosítja.

A 4. ábra azt szemlélteti, hogy a Tivoli Access Manager hogyan kezeli több WebSphere kiszolgáló biztonságát. A Web Portal Manager a WebSphere Application Server alkalmazással együtt lett telepítve az A gépen. A pdadmin segédprogram egy nem-WebSphere rendszerben látható, a B gépen. A Web Portal Manager és a pdadmin segédprogram egyaránt a D gépen található házirend-kiszolgálót használja a biztonsági házirend kezelésére. A Tivoli Access Manager jogosultságkiszolgáló a WebSphere rendszertől eltérő más rendszeren is telepíthető. A 4. ábrán az E gép szolgál a WebSphere Application Server gazdagépeként. A kiszolgálónak van egy Tivoli Access Manager for WebSphere modulja, amely beépül a jogosultsági döntésekért felelős WebSphere tárolóba. A WebSphere tároló az F gépen található Tivoli Access Manager jogosultságkiszolgálótól kapja a jogosultsággal kapcsolatos döntéseket. A jogosultságkiszolgáló és a WebSphere Application Server ugyanarra a gépre is telepíthető, ahogyan az a G gépen is látható. A Tivoli Access Manager szolgáltatásai ugyanazok, mint amikor a kiszolgálók külön rendszereken vannak (mint az E és F gép esetében). A


9

jogosultságkiszolgáló és a WebSphere Application Server egy gépen történő elhelyezésével optimalizálható a jogosultsági döntések meghozatalának teljesítménye. Ez egyben a javasolt konfiguráció. A D gépen található Tivoli Access Manager házirend-adatbázis - replikáció útján - az F és G gépre is átkerül. Ez a replikálás növeli a teljesítményt és az hibakezelési kapacitást. A 4. ábrán az is látható, hogy a Tivoli Access Manager kiszolgálók és a WebSphere kiszolgálók közösen használják a C gépen található LDAP felhasználói címtárat. A 4. ábra feltételezi, hogy a rendszer a WebSphere Advanced Edition (többkiszolgálós) változatát használja. A WebSphere Advanced Edition Single Server esetében nem használható közösen a felhasználói címtár.

10


2. fejezet Telepítési utasítások A fejezet az alábbi témaköröket tartalmazza: v “A szoftver összetevői” v “Támogatott környezetek” v “Merevlemez- és memóriaigény” v “Szoftverkövetelmények” oldalszám: 12 v “A felhasználói címtárral kapcsolatos előfeltételek” oldalszám: 14 v “Frissítés korábbi verzióról” oldalszám: 15 v “A Tivoli Access Manager for WebSphere telepítése” oldalszám: 16

A szoftver összetevői A Tivoli Access Manager for WebSphere egy olyan összetevőt biztosít, amely integrálható a WebSphere Application Server kiszolgálóval és felelős az azonosítók és csoportok szerepköreinek kiosztásáért. A Tivoli Access Manager for WebSphere költöztetési segédprogramot is tartalmaz, amely segítségével importálhatok az azonosítók és csoportok szerepkörei a Java 2 Enterprise Edition (J2EE) eljárásindítás-leíróból a Tivoli Access Manager biztonsági sémájába. A segédprogram a WebSphere tömörített és kibontott fájljaiból is tudja költöztetni az adatokat. A Tivoli Access Manager for WebSphere csomag a következő szoftvertermékeket foglalja magában: v Tivoli Access Manager for WebSphere Java osztályok v A Java osztályokhoz készült pdwascfg konfigurációs parancsfájl v Költöztető segédprogram, melynek neve migrateEAR. v A költöztető segédprogram és a Java osztályok használatát bemutató mintakód

Támogatott környezetek A Tivoli Access Manager for WebSphere a következő rendszereken használható: v AIX 4.3.3 és 5.1 v v v v

Redhat Linux 7.1 és 7.2 Solaris Operating Environment (Solaris) 2.7 és 2.8 HP-UX 11.0 és 11i Microsoft Windows 2000 Advanced Server, Service Pack 2

Merevlemez- és memóriaigény A Tivoli Access Manager for WebSphere tárolóhely- illetve memóriaigényei a következők: v 64 MB RAM Ennyi memóriára van szükség a WebSphere Application Server és a Tivoli Access Manager program többi összetevője által igényelt memóriamennyiségen kívül. A Tivoli Access Manager más összetevői által igényelt memória mennyisége attól függ, hogy a Tivoli Access Manager mely összetevőit telepítette a gazdarendszerre. További információ: IBM Tivoli Access Manager Base telepítési kézikönyv. v 100 MB lemezterület © Szerzői jog IBM 2002, 2003

11

Ez több a WebSphere Application Server és a Tivoli Access Manager bármely más összetevője által igényelt mennyiségnél.

Szoftverkövetelmények A következő fejezetek bemutatják, hogy mely termékek szükségesek a Tivoli Access Manager for WebSphere és a WebSphere Application Server környezet integrálásához. v “WebSphere Application Server” v “Tivoli Access Manager Base” oldalszám: 13 v “Java Runtime Environment” oldalszám: 13 v “Xerces XML-elemző” oldalszám: 14

WebSphere Application Server A Tivoli Access Manager for WebSphere összetevő működéséhez telepíteni kell a következő WebSphere Application Server termékek valamelyikét a gazdarendszerre: v IBM WebSphere Application Server Advanced Edition 4.0, FixPack 3 javítócsomaggal (4.0.3-as verzió). vagy v IBM WebSphere Application Server 4.0, Advanced Edition Single Server, FixPack 3 javítócsomaggal (4.0.3-as verzió). Megjegyzés: A Single Server programváltozat esetén speciális konfigurálási lépéseket is el kell végezni. Lásd: “WebSphere Advanced Edition Single Server” oldalszám: 41. A Tivoli Access Manager for WebSphere telepítése előtt telepíteni kell a WebSphere Application Server 4.0.3-as verzióját. A WebSphere Application Server Advanced Edition változatának konfigurálásakor figyelembe kell venni, hogy a felhasználói címtárat a Tivoli Access Manager programmal közösen fogja használni. A WebSphere felhasználók és csoportok adatait importálni kell a Tivoli Access Manager programba. Megjegyzés: A WebSphere Application Server Advanced Edition Single Server verziója esetén nincs szükség a felhasználói címtár megosztására. A Single Server változat gazdagép-alapú védelmi rendszert alkalmaz. Az IBM WebSphere Application Server 4.0 telepítési leírása a következő címen érhető el: http://www-4.ibm.com/software/webservers/appserv/doc/v40/ae/infocenter/was/nav_pdf.html

Az IBM WebSphere Application Server új felhasználóinak ajánlatos átolvasni a következő útmutatót: Getting Started with IBM WebSphere Application Server Version 4.0. Az útmutató a fenti webcímen érhető el. A WebSphere Application Server Advanced Edition 4.0 Fixpack 3 letöltése: 1. Lépjen az IBM Software Support webhelyére: http://www-3.ibm.com/software/support/

2. A keresési mezőben adja meg a következő karakterláncot: WebSphere Application Server 4.0 FixPak 3 (Version 4.0.3)

3. Töltse le az operációs rendszeréhez tartozó FixPack képfájlt. 4. Tekintse át a 4.0.3-as verziójú Advanced Edition szoftverkövetelményeit. Ne feledje, hogy néhány operációs rendszerhez javítócsomagokat kell alkalmazni. http://www-3.ibm.com/software/webservers/appserv/doc/latest/prereq.html

12


Tivoli Access Manager Base A Tivoli Access Manager for WebSphere programnál legalább egy telepített Tivoli Access Manager összetevőre van szükség a gazdagépen, illetve egy Tivoli Access Manager biztonságos tartomány is szükséges. A biztonságos tartomány általában több rendszeren van elosztva.

Kötelező összetevők a helyi gépen A Tivoli Access Manager for WebSphere program működéséhez a Tivoli Access Manager Base Java runtime összetevőjét telepíteni kell a WebSphere Application Server kiszolgálót futtató helyi számítógépre. Ez a Tivoli Access Manager for WebSphere programhoz szükséges minimális Tivoli Access Manager Base szoftverkövetelmény. A Tivoli Access Manager for WebSphere program működéséhez más Tivoli Access Manager összetevőnek nem kell futnia a WebSphere Application Server kiszolgálót befogadó helyi számítógépen.

Választható összetevők a helyi gépen Habár nem kötelező további Tivoli Access Manager összetevőket felvennie a helyi gépre, a teljesítményt optimalizálhatja, ha telepíti a Tivoli Access Manager jogosultságkiszolgálót a WebSphere Application Server kiszolgálót futtató gazdagépre. A jogosultságkiszolgáló működéséhez szükség van a Tivoli Access Manager futtató környezetre is. Mindkét összetevő része a Tivoli Access Manager Base terméknek. Megjegyzés: A jogosultságkiszolgáló Linux rendszerre jelenleg nem áll rendelkezésre.

Tivoli Access Manager biztonságos tartomány A Tivoli Access Manager for WebSphere programnak hozzá kell férnie a Tivoli Access Manager biztonságos tartományhoz. Fontos, hogy a jogosultsági összetevő csatlakozhasson a Tivoli Access Manager házirend-kiszolgálóhoz. A legjobb teljesítmény elérése érdekében javasolt, hogy egy vagy több Tivoli Access Manager jogosultságkiszolgáló is telepítve legyen a biztonságos tartományban. Ezért, miután telepítette az IBM WebSphere Application Server kiszolgálót, a Tivoli Access Manager for WebSphere telepítése előtt létre kell hoznia egy biztonságos tartományt. A biztonságos tartomány létrehozásához telepíteni és konfigurálni kell a házirend-kiszolgálót. Ez általában más gazdagépen fut, mint a WebSphere Application Server. A jogosultságkiszolgálót telepítheti és konfigurálhatja a WebSphere Application Server gazdagépére vagy más rendszerre is. További tájékoztatás a Tivoli Access Manager biztonságos tartomány, valamint a Tivoli Access Manager Base Java runtime telepítéséről és konfigurálásáról: IBM Tivoli Access Manager Base telepítési kézikönyv.

Java Runtime Environment A Tivoli Access Manager for WebSphere programot futtató számítógépre a következő Java Runtime Environment szoftvert kell telepíteni: 3. táblázat: A Java Runtime Environment használható verziói Operációs rendszer

Java Runtime Environment

AIX

IBM Java Runtime Environment, 1.3-as verzió

Linux Windows HP-UX Solaris

Sun Java Runtime Environment, 1.3-as verzió 2. fejezet Telepítési utasítások

13

A Java Runtime Environment telepítése és konfigurálása az IBM WebSphere Application Server telepítésének részeként történik. A Tivoli Access Manager for WebSphere ugyanezt a futtató környezetet használja. Megjegyzés: A Tivoli Access Manager for WebSphere használja a Tivoli Access Manager Java futtató környezetet is. A Tivoli Access Manager Java futtató környezet az 1.3-as verziójú Java futtató környezet kibővítése.

Xerces XML-elemző A Tivoli Access Manager for WebSphere költöztető segédprogramjának el kell érnie a Xerces 1.4.2 elemzőt. A WebSphere Application Server 4.0.3-as verziója tartalmazza a Xerces.jar elemzőprogramot. Gondoskodjon arról, hogy a migrateEAR parancsfájl hozzáférhessen a megfelelő könyvtárhoz. Ehhez a WAS_HOME környezeti változó értékéül a WebSphere Application Server telepítési könyvtárát kell beállítani.

A felhasználói címtárral kapcsolatos előfeltételek A Tivoli Access Manager for WebSphere program a Tivoli Access Manager biztonságos tartomány részeként működik. A biztonságos tartományhoz tartozó házirend-kiszolgáló felhasználói címtár segítségével kezeli a felhasználók és csoportok adatait. A Tivoli Access Manager for WebSphere a Tivoli Access Manager Base által támogatott valamennyi felhasználói címtártípust tudja kezelni: v IBM Directory v iPlanet Directory v Lotus Domino v Active Directory Az egyes felhasználói címtártípusok támogatott verzióinak listáját lásd: IBM Tivoli Access Manager Base telepítési kézikönyv. Az egyes telepítések esetén szükséges felhasználói címtár attól is függ, hogy a Tivoli Access Manager for WebSphere program melyik WebSphere Application Server verziót használja. v WebSphere Application Server Advanced Edition 4.0, FixPack 3 (4.0.3) A felhasználói címtár használatával kapcsolatban két előfeltételnek is teljesülnie kell, mielőtt a Tivoli Access Manager for WebSphere terméket telepíthetné: – A Tivoli Access Manager házirend-kiszolgálót és a WebSphere Application Server kiszolgálót úgy kell konfigurálni, hogy ugyanazt a felhasználói címtárat használják. Például ugyanazon IBM Directory LDAP felhasználói címtárát kell elérniük. – A WebSphere Application Server termékben megadott felhasználók és csoportok csak akkor válhatnak a Tivoli Access Manager felhasználóivá, illetve csoportjaivá, ha adataikat behozza a Tivoli Access Manager felhasználói címtárába. A behozatal jelen esetben azt jelenti, hogy a meglévő felhasználói és csoportmeghatározások mellé kiterjesztett Tivoli Access Manager jellemzőket is fel kell venni a Tivoli Access Manager biztonsági sémájába. A felhasználói adatokat saját kezűleg a pdadmin parancs segítségével hozhatja be a Tivoli Access Manager felhasználói címtárába. Az IBM Directory LDAP címtárt alkalmazó Tivoli Access Manager biztonságos tartományok a Directory beömlesztési szolgáltatását is használhatják. További tájékoztatás a pdadmin parancs használatáról a felhasználók manuális behozatalához: IBM Tivoli Access Manager Base adminisztrációs kézikönyv.

14


További tájékoztatás az IBM Directory felhasználók adatainak betöltéséről: IBM Tivoli Access Manager Performance Tuning Guide. v WebSphere Application Server, Advanced Edition Single Server 4.0, Fixpack 3 (4.0.3) A WebSphere Advanced Edition Single Server nem használ külső felhasználói címtárat, hanem gazdagép alapú védelmi rendszerrel rendelkezik. A gazdarendszer minden felhasználói fiókja számára fel kell venni egy bejegyzést a Tivoli Access Manager által használt felhasználói címtárba. Ne feledje, hogy ha a későbbiekben a gazdagép alapú biztonsági adatokat megváltoztatja, akkor a Tivoli Access Manager által használt felhasználói címtárba is át kell vezetni a változtatást.

Frissítés korábbi verzióról A Tivoli Access Manager for WebSphere az alábbi korábbi verziókról frissíthető: v IBM Tivoli Access Manager for WebSphere Application Server, 3.9-es verzió v Tivoli Policy Director for WebSphere Application Server, 3.8-as verzió A frissítési folyamat egyszerűen az előző verzió eltávolítását és a Tivoli Access Manager for WebSphere 4.1-es verziójának telepítését jelenti. A konfigurálási adatok megmaradnak a WebSphere Application Server konfigurációs fájlokban. A Tivoli Access Manager for WebSphere frissítéséhez hajtsa végre az alábbi lépéseket: 1. Távolítsa el az előző verziót. Kövesse az operációs rendszerhez tartozó eltávolítási utasításokat a megfelelő felhasználói kézikönyvben: v IBM Tivoli Access Manager for WebSphere Application Server felhasználói kézikönyv, 3.9-es verzió v Tivoli Policy Director for WebSphere Application Server felhasználói kézikönyv, 3.8-as verzió 2. Frissítse az előfeltételként szükséges Tivoli Access Manager Base csomagokat és a biztonságos tartományt a 3.8-as vagy 3.9-es verzióról 4.1-es verzióra. Határozza meg, mely Tivoli Access Manager Base csomagok vannak telepítve a Tivoli Access Manager for WebSphere gazdagépeként szolgáló számítógépen. Minden telepítés legalább a Tivoli Access Manager Java futtató környezetet tartalmazza. A Tivoli Access Manager biztonságos tartomány felépítésétől függően a gazdagép a következőket tartalmazhatja: v Tivoli Access Manager futtató környezet v Tivoli Access Manager házirend-kiszolgáló v Tivoli Access Manager jogosultságkiszolgáló Ha a helyi számítógépen nincs telepítve a házirend-kiszolgáló vagy a jogosultságkiszolgáló, először frissíteni kell a biztonságos tartományt ezen kiszolgálók gazdagépén. A házirend-kiszolgáló és a jogosultságkiszolgáló 4.1-es verzióra frissítésekor frissítheti a Tivoli Access Manager Java futtató környezetet a helyi számítógépen. Ha a gazdagépen megtalálható a házirend-kiszolgáló és a jogosultságkiszolgáló, egyszerre frissítheti az összes Tivoli Access Manager csomagot. A Tivoli Access Manager Base csomagok és a biztonságos tartomány frissítésével kapcsolatos utasításokat lásd: IBM Tivoli Access Manager Base telepítési kézikönyv. A következő lépés előtt hajtsa végre a dokumentum utasításait. 3. Telepítse a Tivoli Access Manager for WebSphere aktuális verzióját. Kövesse az itt leírt utasításokat: “A Tivoli Access Manager for WebSphere telepítése” oldalszám: 16. 2. fejezet Telepítési utasítások

15

Telepítés után nem szükséges konfigurálni a szoftvert.

A Tivoli Access Manager for WebSphere telepítése A fejezet bemutatja, hogyan telepíthető a Tivoli Access Manager for WebSphere, beleértve a jogosultsági összetevő és a költöztető segédprogram telepítését is. Hajtsa végre a megfelelő operációs rendszerre vonatkozó utasításokat: v “Telepítés Solaris rendszeren” v “Telepítés AIX rendszeren” oldalszám: 17 v “Telepítés HP-UX rendszeren” oldalszám: 18 v “Telepítés Linux rendszeren” oldalszám: 19 v “Telepítés Windows rendszeren” oldalszám: 20

Telepítés Solaris rendszeren A Tivoli Access Manager for WebSphere telepítése elkülöníti a fájlok kibontását és a csomagok konfigurálását. A pkgadd paranccsal telepítheti a szoftvercsomagokat Solaris rendszerre. Ezután a pdwascfg segédprogrammal konfigurálja a Tivoli Access Manager for WebSphere terméket. Megjegyzés: Ha a Tivoli Access Manager for WebSphere programot korábban már telepítette és konfigurálta, de azt újra kell telepíteni, először törölni kell a beállításokat, majd el kell távolítani a programot. További információ: “Eltávolítás Solaris rendszerből” oldalszám: 63. A Tivoli Access Manager for WebSphere telepítése Solaris operációs rendszeren: 1. Jelentkezzen be root felhasználóként. 2. Ellenőrizze, hogy teljesülnek-e a Tivoli Access Manager for WebSphere telepítésének előfeltételei. A szoftverkövetelményeket itt találja: “Szoftverkövetelmények” oldalszám: 12. 3. Ellenőrizze, hogy a Tivoli Access Manager házirend-kiszolgáló és a WebSphere Application Server ugyanazt a felhasználói címtárat használják-e. Megjegyzés: Ez a lépés nem vonatkozik a WebSphere Advanced Edition Single Server kiszolgálóra. A felhasználói címtárral kapcsolatos követelmények itt találhatók: “A felhasználói címtárral kapcsolatos előfeltételek” oldalszám: 14. 4. Ellenőrizze, hogy a WebSphere Application Server felhasználók és csoportok be lettek-e hozva a felhasználói címtárból a Tivoli Access Manager felhasználói címtársémájába. A felhasználók behozatalához használja a Tivoli Access Manager pdadmin parancsát. Például LDAP-felhasználó importálása esetén a szintaxis a következő: pdadmin> user import Felhaszn_AZ LDAP_felhaszn_megkülönböztető_neve

További tájékoztatást a pdadmin parancsról itt talál: IBM Tivoli Access Manager Base adminisztrációs kézikönyv. Ha az IBM Directory LDAP környezetben sok felhasználó van, célszerű az LDAP beömlesztési szolgáltatását használni. További információ: IBM Tivoli Access Manager Performance Tuning Guide. 5. Illessze be az IBM Tivoli Access Manager Web Security CD-t a következő helyre: /cdrom/cdrom0. 6. Váltson a /cdrom/cdrom0/solaris könyvtárra.

16


7. A Tivoli Access Manager for WebSphere csomag telepítéséhez adja ki a következő parancsot: # pkgadd -d . PDWAS

Amikor a program engedélyt kér a folytatáshoz, üssön y-t majd nyomjon Entert. Ekkor a program kibontja a CD-n található fájlokat és a merevlemezre telepíti azokat. A Tivoli Access Manager for WebSphere sikeres telepítését egy üzenet jelzi. Ezt követően a pkgadd segédprogram bezárul. 8. Ezután konfigurálja a Tivoli Access Manager for WebSphere programot. Az utasításokat a következő részben találja: 3. fejezet, “Konfigurációs eljárások”, oldalszám: 23.

Telepítés AIX rendszeren A Tivoli Access Manager for WebSphere telepítése elkülöníti a fájlok kibontását és a csomagok konfigurálását. AIX rendszeren a SMIT segítségével telepítse a szoftvercsomagot. Ezután a pdwascfg segédprogrammal konfigurálja a Tivoli Access Manager for WebSphere terméket. Megjegyzés: Ha a Tivoli Access Manager for WebSphere csomagot korábban már telepítette és konfigurálta, de újra kell telepítenie, először törölni kell a beállításokat, majd el kell távolítani a Tivoli Access Manager for WebSphere csomagot. További információ: “Eltávolítás AIX rendszerből” oldalszám: 64. A Tivoli Access Manager for WebSphere telepítése AIX operációs rendszeren: 1. Jelentkezzen be root felhasználóként. 2. Ellenőrizze, hogy teljesülnek-e a Tivoli Access Manager for WebSphere telepítésének előfeltételei. A szoftverkövetelményeket itt találja: “Szoftverkövetelmények” oldalszám: 12. 3. Ellenőrizze, hogy a Tivoli Access Manager házirend-kiszolgáló és a WebSphere Application Server ugyanazt a felhasználói címtárat használják-e. Megjegyzés: Ez a lépés nem vonatkozik a WebSphere Advanced Edition Single Server kiszolgálóra. A felhasználói címtárral kapcsolatos követelmények itt találhatók: “A felhasználói címtárral kapcsolatos előfeltételek” oldalszám: 14. 4. Ellenőrizze, hogy a WebSphere Application Server felhasználók és csoportok be lettek-e hozva a felhasználói címtárból a Tivoli Access Manager felhasználói címtársémájába. A felhasználók behozatalához használja a Tivoli Access Manager pdadmin parancsát. Például LDAP-felhasználó importálása esetén a szintaxis a következő: pdadmin> user import Felhaszn_AZ LDAP_felhaszn_megkülönböztető_neve

További tájékoztatást a pdadmin parancsról itt talál: IBM Tivoli Access Manager Base adminisztrációs kézikönyv. Ha az IBM Directory LDAP környezetben sok felhasználó van, célszerű az LDAP beömlesztési szolgáltatását használni. További információ: IBM Tivoli Access Manager Performance Tuning Guide. 5. Helyezze az IBM Tivoli Access Manager Web Security CD-lemezt a meghajtóba. 6. A parancssorba írja be az alábbi parancsot: # smit

Ekkor elindul a SMIT segédprogram. 7. Válassza a Szoftverek telepítése és karbantartása lehetőséget. Válassza a Szoftverek telepítése és frissítése lehetőséget. v AIX 4.3 rendszeren válassza a Telepítés és frissítés a szoftverek LEGFRISSEBB hozzáférhető verzióiról lehetőséget. 2. fejezet Telepítési utasítások

17

v AIX 5.1 rendszeren válassza a Szoftver telepítése lehetőséget. 8. A bemeneti eszközre irányuló kérdésnél: v AIX 4.3 rendszeren adja meg azt a helyet, ahová a CD-t beillesztette. v AIX 5.1 rendszeren adja meg a CD azon könyvtárát, ahol a telepítőcsomagok vannak. Például: /beillesztési_pont/usr/sys/inst.images

Kattintson az OK gombra. 9. Kattintson a Telepítendő SZOFTVEREK elemhez tartozó Listázás gombra. Egy ablakban megjelennek az IBM Tivoli Access Manager szoftvercsomagjai. 10. Válassza az Access Manager for WebSphere Application Server csomagot. Kattintson az OK gombra. 11. Megjelenik a ″Telepítés és frissítés a szoftverek LEGFRISSEBB hozzáférhető verzióiról″ párbeszédpanel. 12. Ellenőrizze, hogy az alapértelmezés szerinti igen érték van-e megadva az Előfeltétel szoftverek AUTOMATIKUS telepítése mezőben. 13. A többi mező értékét állítsa be a kívánt telepítésnek megfelelően. Általában el lehet fogadni az alapértékeket. Kattintson az OK gombra. 14. Megjelenik egy üzenet, amely azt kérdezi, hogy biztosan telepíteni szeretné-e ezt a csomagot. Kattintson az OK gombra. Megkezdődik a csomagok fájljainak telepítése. Több állapotüzenet is megjelenik. Az utolsó állapotjelző üzenet azt jelzi, hogy a fájlok kicsomagolása sikeresen befejeződött. 15. Kattintson a Kész gombra. A SMIT programból a Mégse gombra kattintva léphet ki. 16. Ezután konfigurálja a Tivoli Access Manager for WebSphere programot. Az utasításokat a következő részben találja: 3. fejezet, “Konfigurációs eljárások”, oldalszám: 23.

Telepítés HP-UX rendszeren A Tivoli Access Manager for WebSphere telepítése elkülöníti a fájlok kibontását és a csomagok konfigurálását. Az swinstall paranccsal telepítheti a szoftvercsomagot a HP-UX rendszerre. Ezután a pdwascfg segédprogrammal konfigurálja a Tivoli Access Manager for WebSphere terméket. Megjegyzés: Ha a Tivoli Access Manager for WebSphere programot korábban már telepítette és konfigurálta, de azt újra kell telepíteni, először törölni kell a beállításokat, majd el kell távolítani a programot. További információ: “Eltávolítás HP-UX rendszerből” oldalszám: 65. A Tivoli Access Manager for WebSphere telepítése HP-UX operációs rendszeren: 1. Jelentkezzen be root felhasználóként. 2. Ellenőrizze, hogy teljesülnek-e a Tivoli Access Manager for WebSphere telepítésének előfeltételei. A szoftverkövetelményeket itt találja: “Szoftverkövetelmények” oldalszám: 12. 3. Ellenőrizze, hogy a Tivoli Access Manager házirend-kiszolgáló és a WebSphere Application Server ugyanazt a felhasználói címtárat használják-e. Megjegyzés: Ez a lépés nem vonatkozik a WebSphere Advanced Edition Single Server kiszolgálóra. A felhasználói címtárral kapcsolatos követelmények itt találhatók: “A felhasználói címtárral kapcsolatos előfeltételek” oldalszám: 14. 4. Ellenőrizze, hogy a WebSphere Application Server felhasználók és csoportok be lettek-e hozva a felhasználói címtárból a Tivoli Access Manager felhasználói címtársémájába.

18


A felhasználók behozatalához használja a Tivoli Access Manager pdadmin parancsát. Például LDAP-felhasználó importálása esetén a szintaxis a következő: pdadmin> user import Felhaszn_AZ LDAP_felhaszn_megkülönböztető_neve

További tájékoztatást a pdadmin parancsról itt talál: IBM Tivoli Access Manager Base adminisztrációs kézikönyv. Ha az IBM Directory LDAP környezetben sok felhasználó van, célszerű az LDAP beömlesztési szolgáltatását használni. További információ: IBM Tivoli Access Manager Performance Tuning Guide. 5. Helyezze az IBM Tivoli Access Manager Web Security CD-lemezt a meghajtóba. Illessze be a CD-t a rendszerbe az alábbi parancsokkal: # nohup /usr/sbin/pfs_mountd & # nohup /usr/sbin/pfsd & # /usr/sbin/pfs_mount illesztőeszköz illesztési_pont

Például: # /usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cdrom

6. Váltson a hp könyvtárra. 7. A Tivoli Access Manager for WebSphere csomag telepítéséhez adja ki a következő parancsot: # swinstall -s /ideiglenes_könyvtár PDWAS

A megjelenő üzenet tájékoztatja, hogy az elemzési fázis sikeresen befejeződött. Egy másik üzenet pedig azt jelzi, hogy megkezdődik a végrehajtási fázis. Ekkor a program kibontja a CD-n található fájlokat és a merevlemezre telepíti azokat. Ismét megjelenik egy üzenet, amely a végrehajtási fázis sikeres befejezését jelzi. Az swinstall segédprogram ezzel kilép. 8. Ezután konfigurálja a Tivoli Access Manager for WebSphere programot. Az utasításokat a következő részben találja: 3. fejezet, “Konfigurációs eljárások”, oldalszám: 23.

Telepítés Linux rendszeren A Tivoli Access Manager for WebSphere telepítése elkülöníti a fájlok kibontását és a csomagok konfigurálását. Az rpm paranccsal telepítheti a szoftvercsomagokat Linux rendszerre. Ezután a pdwascfg segédprogrammal konfigurálja a Tivoli Access Manager for WebSphere terméket. Megjegyzés: Ha a Tivoli Access Manager for WebSphere programot korábban már telepítette és konfigurálta, de azt újra kell telepíteni, először törölni kell a beállításokat, majd el kell távolítani a programot. További információ: “Eltávolítás Linux rendszerből” oldalszám: 66. A Tivoli Access Manager for WebSphere telepítése Linux operációs rendszeren: 1. Jelentkezzen be root felhasználóként. 2. Ellenőrizze, hogy teljesülnek-e a Tivoli Access Manager for WebSphere telepítésének előfeltételei. A szoftverkövetelményeket itt találja: “Szoftverkövetelmények” oldalszám: 12. 3. Ellenőrizze, hogy a Tivoli Access Manager házirend-kiszolgáló és a WebSphere Application Server ugyanazt a felhasználói címtárat használják-e. Megjegyzés: Ez a lépés nem vonatkozik a WebSphere Advanced Edition Single Server kiszolgálóra. A felhasználói címtárral kapcsolatos követelmények itt találhatók: “A felhasználói címtárral kapcsolatos előfeltételek” oldalszám: 14.

2. fejezet Telepítési utasítások

19

4. Ellenőrizze, hogy a WebSphere Application Server felhasználók és csoportok be lettek-e hozva a felhasználói címtárból a Tivoli Access Manager felhasználói címtársémájába. A felhasználók behozatalához használja a Tivoli Access Manager pdadmin parancsát. Például LDAP-felhasználó importálása esetén a szintaxis a következő: pdadmin> user import Felhaszn_AZ LDAP_felhaszn_megkülönböztető_neve

További tájékoztatást a pdadmin parancsról itt talál: IBM Tivoli Access Manager Base adminisztrációs kézikönyv. Ha az IBM Directory LDAP környezetben sok felhasználó van, célszerű az LDAP beömlesztési szolgáltatását használni. További információ: IBM Tivoli Access Manager Performance Tuning Guide. 5. Illessze be az IBM Tivoli Access Manager Web Security CD-t. 6. Váltson az /illesztési_pont/linux könyvtárra. 7. A Tivoli Access Manager for WebSphere csomag telepítéséhez adja ki a következő parancsot: # rpm -i PDWAS-PD-4.1.0.0.i386.rpm

Amikor a program engedélyt kér a folytatáshoz, üssön y-t, majd nyomjon Entert. Ekkor a program kibontja a CD-n található fájlokat és a merevlemezre telepíti azokat. Az rpm segédprogram kilép. 8. Ezután konfigurálja a Tivoli Access Manager for WebSphere programot. Az utasításokat a következő részben találja: 3. fejezet, “Konfigurációs eljárások”, oldalszám: 23.

Telepítés Windows rendszeren A Tivoli Access Manager for WebSphere telepítése elkülöníti a fájlok kibontását és a csomagok konfigurálását. Az InstallShield telepítőprogram setup.exe fájlja segítségével telepítse a Tivoli Access Manager for WebSphere fájljait. A pdwascfg segédprogrammal konfigurálja a Tivoli Access Manager for WebSphere terméket. Megjegyzés: Ha a Tivoli Access Manager for WebSphere programot korábban már telepítette és konfigurálta, de azt újra kell telepíteni, először törölni kell a beállításokat, majd el kell távolítani a programot. További információ: “Eltávolítás Windows rendszerből” oldalszám: 63. A Tivoli Access Manager for WebSphere telepítése Windows operációs rendszeren: 1. Jelentkezzen be a Windows tartományba Windows rendszergazdai jogosultságokkal rendelkező felhasználóként. 2. Ellenőrizze, hogy teljesülnek-e a Tivoli Access Manager for WebSphere telepítésének előfeltételei. A szoftverkövetelményeket itt találja: “Szoftverkövetelmények” oldalszám: 12. 3. Ellenőrizze, hogy a Tivoli Access Manager házirend-kiszolgáló és a WebSphere Application Server ugyanazt a felhasználói címtárat használják-e. Megjegyzés: Ez a lépés nem vonatkozik a WebSphere Advanced Edition Single Server kiszolgálóra. A felhasználói címtárral kapcsolatos követelmények itt találhatók: “A felhasználói címtárral kapcsolatos előfeltételek” oldalszám: 14. 4. Ellenőrizze, hogy a WebSphere Application Server felhasználók és csoportok be lettek-e hozva a felhasználói címtárból a Tivoli Access Manager felhasználói címtársémájába. A felhasználók behozatalához használja a Tivoli Access Manager pdadmin parancsát. Például LDAP-felhasználó importálása esetén a szintaxis a következő: pdadmin> user import Felhaszn_AZ LDAP_felhaszn_megkülönböztető_neve

20


További tájékoztatást a pdadmin parancsról itt talál: IBM Tivoli Access Manager Base adminisztrációs kézikönyv. Ha az IBM Directory LDAP környezetben sok felhasználó van, célszerű az LDAP beömlesztési szolgáltatását használni. További információ: IBM Tivoli Access Manager Performance Tuning Guide. 5. Helyezze az IBM Tivoli Access Manager Web Security CD-lemezt a meghajtóba. 6. Futtassa a Tivoli Access Manager for WebSphere InstallShield telepítőprogramját. Ehhez kattintson duplán a következő fájlra (a parancsban szereplő E: a CD-meghajtó betűjele): E:\Windows\AccessManager\Disk Images\Disk1\PDWAS\Disk Images\Disk 1\setup.exe

Megjelenik a Telepítés nyelvének kiválasztása párbeszédpanel. 7. Válassza ki a kívánt nyelvet, majd kattintson az OK gombra. Ekkor elindul az InstallShield program és megjelenik az üdvözlő párbeszédpanel. 8. Kattintson a Tovább gombra. Megjelenik a Licencszerződés párbeszédpanel. 9. Ha elfogadja a szerződés feltételeit, kattintson az Igen gombra. Megjelenik a Célkönyvtár kiválasztása párbeszédpanel. 10. Fogadja el a felkínált értéket vagy válasszon más helyet. Kattintson a Tovább gombra. A program kibontja a fájlokat a merevlemezre. A telepítés befejezéséről üzenet tájékoztat. 11. A telepítőprogramból a Befejezés gombra kattintva léphet ki. 12. Ezután konfigurálja a Tivoli Access Manager for WebSphere programot. Az utasításokat a következő részben találja: 3. fejezet, “Konfigurációs eljárások”, oldalszám: 23.

2. fejezet Telepítési utasítások

21

22


3. fejezet Konfigurációs eljárások A Tivoli Access Manager for WebSphere konfigurálási lépései eltérőek attól függően, hogy az első Tivoli Access Manager for WebSphere rendszert telepíti Tivoli Access Manager biztonságos tartományra vagy egy kiegészítő Tivoli Access Manager for WebSphere rendszert vesz fel. A pdwascfg segédprogram használatával minden Tivoli Access Manager for WebSphere rendszer biztonságos tartományba van konfigurálva. A J2EE alkalmazásokhoz tartozó biztonsági információkat át kell költöztetni a Tivoli Access Manager házirend-adatbázisba. A Tivoli Access Manager for WebSphere egy költöztetési segédprogramot biztosít a művelethez. Ezt csak olyan rendszereknél kell elvégezni, ahol a J2EE alkalmazások EAR fájljai meghatározzák a biztonsági házirendet. Emellett számos olyan konfigurációs lépés van, amelyet csak egy adott Tivoli Access Manager biztonságos tartomány első Tivoli Access Manager for WebSphere rendszerének konfigurálásakor kell elvégezni. Folytassa az eljárást a megfelelő fejezet utasításai szerint: v “Az első telepítés konfigurálása” v “További telepítések konfigurálása” oldalszám: 30

Az első telepítés konfigurálása Ez a rész az első Tivoli Access Manager for WebSphere telepítés konfigurálását írja le. A Tivoli Access Manager for WebSphere segédprogramokat biztosít a konfigurálási folyamat felgyorsítására. A konfigurálási lépésekhez ezen segédprogramokra, a Tivoli Access Manager pdadmin adminisztrációs segédprogramjára, valamint a WebSphere konzolra van szükség. Számos lépést csak a Tivoli Access Manager for WebSphere első konfigurálásánál kell elvégezni egy adott Tivoli Access Manager biztonságos tartományban. A konfigurálási utasítások leírása a következő részekben található: v “1. rész: A Tivoli Access Manager Java futtató környezet konfigurálása” oldalszám: 24 v “2. rész: Felhasználó, művelet és műveletcsoport létrehozása” oldalszám: 24 v “3. rész: Csatlakozás biztonságos tartományhoz” oldalszám: 25 v “4. rész: A WebSphere biztonsági beállítások költöztetése” oldalszám: 26 v “5. rész: A pdwas–admin csoport felvétele a hozzáférés-felügyeleti listába” oldalszám: 29 v “6 rész: A WebSphere védelmének engedélyezése” oldalszám: 29 A biztonságos tartomány kezdeti konfigurálásának lépéseit az alábbi diagram foglalja össze.


23

5. ábra: A Tivoli Access Manager for WebSphere konfigurálási lépései első telepítés esetén.

Kövesse az alábbi fejezetek utasításait:

1. rész: A Tivoli Access Manager Java futtató környezet konfigurálása Az IBM WebSphere Application Server kiszolgálóhoz tartozó Java futtató környezet kiterjesztéséhez konfigurálja a Tivoli Access Manager Java futtató környezetet. Megjegyzés: A Tivoli Access Manager Java futtató környezet megléte a Tivoli Access Manager for WebSphere működésének alapfeltétele. Hajtsa végre a következő lépéseket: 1. Ellenőrizze, hogy a WAS_HOME környezeti változó az IBM WebSphere Application Server könyvtárára mutat-e. 2. Váltson erre a könyvtárra: v (UNIX) /opt/PolicyDirector/sbin v (Windows) C:\Program Files\Tivoli\Policy Director\sbin 3. Írja be a következő parancsot: v (UNIX) pdjrtecfg -action config -java_home $WAS_HOME/java/jre v (Windows) pdjrtecfg -action config -java_home %WAS_HOME%\java\jre Megjegyzés: Ellenőrizze, hogy a PATH változónál elsőként szereplő java bináris fájl útvonala megegyezik-e a pdjrtecfg -java_home útvonal segítségével megadott java bináris fájllal.

2. rész: Felhasználó, művelet és műveletcsoport létrehozása A szükséges felhasználó, művelet és műveletcsoport létrehozásához több Tivoli Access Manager adminisztrációs műveletet kell végrehajtani. Használhatja a Tivoli Access Manager parancssori segédprogramját, a pdadmin programot vagy a Tivoli Access Manager Web Portal Manager kezelőfelületet. Az alábbi utasítások a pdadmin használatát mutatják be. 1. A parancssorból indítsa el a pdadmin programot sec_master felhasználóként: pdadmin -a sec_master -p jelszó

24


Helyettesítse be a biztonságos tartomány sec_master fiókjának jelszavát. 2. Hozzon létre egy Tivoli Access Manager adminisztrációs felhasználót a WebSphere Application Server kiszolgálóhoz. Például a következő utasítások segítségével egy új wsadmin felhasználót hozhat létre. Az alábbi parancsot egyetlen összefüggő parancssorként kell beírni: pdadmin> user create wsadmin cn=wsadmin,o=szervezet,c=ország wsadmin wsadmin jelszó

A szervezet és az ország helyettesítő értékei az LDAP felhasználói címtár érvényes értékei. Érvényesítse a wsadmin fiókot: pdadmin> user modify wsadmin account-valid yes

3. Hozzon létre egy új Tivoli Access Manager műveletcsoportot WebAppServer néven: pdadmin> action group create WebAppServer

4. Hozzon létre egy új Tivoli Access Manager műveletet, amelyet az i betű jelöl: pdadmin> action create i invoke invoke WebAppServer

3. rész: Csatlakozás biztonságos tartományhoz Hajtsa végre a következő lépéseket: 1. Állítsa le a WebSphere Application Server kiszolgálót. 2. Gyűjtse össze a következő adatokat: v A Tivoli Access Manager for WebSphere alkalmazáshoz felhasználói azonosítóként használni kívánt felhasználói fiók neve. Az utasítások példáiban a pdpermadmin felhasználói azonosító szerepel. A név tetszőlegesen választható. Megjegyzés: Használhat meglévő azonosítót a Tivoli Access Manager biztonságos tartományban vagy újat is létrehozhat. A legtöbb esetben új, egyedi azonosítót kell létrehozni a Tivoli Access Manager for WebSphere összetevő jelölésére az éppen konfigurált gazdarendszereren. v A sec_master fiók jelszava. v A házirend-kiszolgáló számítógépének pontosan meghatározott tartományneve. Például: pdmgrserver.mysubnet.ibm.com v A jogosultságkiszolgáló számítógépének pontosan meghatározott tartományneve. Például: pdacldserver.mysubnet.ibm.com 3. Ellenőrizze, hogy a pdwascfg futásakor a megfelelő verziójú Java futtató környezetet fogja-e elérni. Ennek a verziónak meg kell egyeznie a Tivoli Access Manager Java futtató környezet konfigurálásakor megadott verzióval. v Windows rendszeren ellenőrizze, hogy a %PATH% változóban a WebSphere Application Server részét képező Java futtató környezet szerepel-e az elérési út első elemeként. Például a WebSphere Application Server kiszolgáló alapértelmezett útvonalú telepítése esetén a %PATH% beállítása a következő: c:\WebSphere\AppServer\java\jre\bin\java

v UNIX rendszereken az alábbi parancsot írja be: # which java

A WebSphere Application Server kiszolgáló alapértelmezett útvonalú telepítése esetén a válasz a következő: – Solaris, Linux, HP-UX /opt/WebSphere/AppServer/java/jre/bin/java

– AIX 3. fejezet Konfigurációs eljárások

25

/usr/WebSphere/AppServer/java/jre/bin/java

Ha a verzió nem megfelelő, módosítsa a PATH változót, hogy a helyes Java útvonal legyen az első. 4. Ellenőrizze, hogy a PDWAS_HOME környezeti változó a Tivoli Access Manager for WebSphere telepítési könyvtárára mutat-e. Lépjen be a következő könyvtárba: v (UNIX) /opt/pdwas/sbin v (Windows) C:\Program Files\Tivoli\pdwas\sbin 5. Futtassa a pdwascfg segédprogramot. Az előző lépésben összegyűjtött adatokat adja meg a pdwascfg segédprogram parancssori paramétereiként. Megjegyzés: Az alábbi parancsoknál feltételezzük, hogy egy új Tivoli Access Manager felhasználói fiókot hoz létre pdpermadmin néven. Ha a pdpermadmin nevű fiók már létezik, a felhasználó nevét helyettesítse a teljes DN névvel. Például cserélje a következő nevet: -remote_acl_user pdpermadmin erre: -remote_acl_user cn=pdpermadmin,o=szervezet,c=ország Például az előzőekben összeállított példaparaméterek használatával írja be az alábbi parancsot egyetlen folyamatos parancssorként: pdwascfg -action config -remote_acl_user pdpermadmin -sec_master_pwd jelszó -pdmgrd_host pdmgrserver.mysubnet.ibm.com -pdacld_host pdacldserver.mysubnet.ibm.com

A pdwascfg segédprogram a következő feladatokat hajtja végre: v Beállítja a CLASSPATH változót. v Meghívja a com.tivoli.mts.SvrSslCfg Java osztályt a Tivoli Access Manager for WebSphere jogosultsági összetevő, a házirend-kiszolgáló és a jogosultságkiszolgáló közötti SSL kommunikáció konfigurálásához. v Létrehoz egy felhasználói azonosítót a Tivoli Access Manager for WebSphere alkalmazáshoz a gazdarendszeren. 6. Ellenőrizze, hogy a pdwascfg parancs sikeresen létrehozta-e a PdPerm tulajdonságfájlt. v Solaris, Linux, HP-UX /opt/WebSphere/AppServer/java/jre/PdPerm.properties

v AIX /usr/WebSphere/AppServer/java/jre/PdPerm.properties

v Windows C:\WebSphere\AppServer\java\jre\PdPerm.properties

Megjegyzés: A fenti elérési útvonalak a WebSphere Application Server alapértelmezett telepítési könyvtára esetén érvényesek. Ha a telepítés nem az alapértelmezett helyre történt, ennek megfelelően módosítsa az elérési útvonalakat.

4. rész: A WebSphere biztonsági beállítások költöztetése Költöztesse az alkalmazásbiztonsági házirendet a WebSphere admin.ear eljárásindítás-leíró fájlból a Tivoli Access Manager házirend-adatbázisba. Hajtsa végre a következő lépéseket: 1. Győződjön meg arról, hogy a WAS_HOME környezeti változó beállítása a következő: v Solaris, Linux HP-UX

26


WAS_HOME=/opt/WebSphere/AppServer

v AIX WAS_HOME=/usr/WebSphere/AppServer

v Windows WAS_HOME=C:\WebSphere\AppServer

A változót azért kell megadni, hogy a költöztető segédprogram a megfelelő xerces.jar fájlt és a Java futtató környezet megfelelő verzióját érje el. A fent leírt útvonalak a WebSphere Application Server kiszolgáló alapértelmezett útvonalú telepítése esetén helyesek. Ha a WebSphere Application Server kiszolgálót más helyre telepítette, ennek megfelelően módosítsa az elérési útvonalat. 2. Gyűjtse össze az alábbi adatokat, amelyeket a költöztetési segédprogram bemeneti paramétereiként kell majd megadnia:

3. fejezet Konfigurációs eljárások

27

4. táblázat: A költöztetési segédprogramhoz szükséges bemeneti paraméterek v A költöztetni kívánt EAR-fájl neve. A költöztető segédprogram első használata esetén költöztetnie kell az adminisztrátori EAR fájlt: – Solaris, Linux, HP-UX /opt/WebSphere/AppServer/config/admin.ear – AIX /usr/WebSphere/AppServer/config/admin.ear – Windows C:\WebSphere\AppServer\config\admin.ear v A PDPerm.properties fájl helye. Ez a fájl a WebSphere Application Server telepítési könyvtára alatti alkönyvtárban található. Az alábbi lista az alapértelmezett helyet mutatja különböző operációs rendszerek esetén. Megjegyzés: A fájl helyét egységes erőforrásjelzőként (Uniform Resource Indicator, URI) kell megadni. – Solaris, Linux, HP-UX file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties – AIX file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties – Windows file:/c:\WebSphere\AppServer\java\jre\PdPerm.properties Ha a WebSphere Application Server kiszolgáló Windows rendszernél nem az alapértelmezés szerinti helyre van telepítve, a telepítési könyvtár jelölésére használja a %WAS_HOME% változót: file:/%WAS_HOME%\java\jre\PdPerm.properties v A Tivoli Access Manager adminisztrátori fiókjához tartozó név. Ez a következő kell legyen: sec_master . v A sec_master fiók jelszava. v A WebSphere adminisztrátor felhasználói fiókjának neve. Meg kell egyeznie a fent létrehozott fiókkal. Például: wsadmin v Az LDAP megkülönböztető név (DN) utótagja, amely alatt a Tivoli Access Manager házirend-kiszolgáló és a WebSphere Application Server tárolja a felhasználói adatokat. Ennek meg kell egyeznie a wsadmin felhasználó létrehozásakor használt DN utótaggal. A “2. rész: Felhasználó, művelet és műveletcsoport létrehozása” oldalszám: 24 helyen bemutatott példában a wsadmin az alábbi DN-névvel jött létre: cn=wsadmin,o=ibm,c=us Ebben az esetben a DN-utótag a következő: o=ibm,c=us Ezt az értéket kell megadni a migrateEAR segédprogram –d beállításának argumentumaként. Megjegyzés: A wsadmin-hoz tartozó DN-nevet a pdadmin program segítségével jelenítheti meg: pdadmin> user show wsadmin

3. Lépjen be a költöztető segédprogram könyvtárába: v (UNIX) /opt/pdwas/bin v (Windows) C:\Program Files\Tivoli\pdwas\bin 4. A költöztető segédprogram futtatásával költöztesse az admin.EAR fájlban tárolt adatokat. Az előző lépésben összegyűjtött paraméterek segítségével a parancssornál írja be a következőket egyetlen folyamatos parancsként:

28


5. táblázat: A költöztető segédprogram hívása parancssorból UNIX migrateEAR -j /opt/WebSphere/AppServer/config/admin.ear -a sec_master -p sec_master_jelszó -w wsadmin -d "o=ibm,c=us" -c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties Ne feledje, hogy a PdPerm.properties fájl alapértelmezett útvonala AIX rendszernél: /usr/WebSphere/AppServer/java/jre/PdPerm.properties Windows migrateEAR -j %WAS_HOME%\config\admin.ear -a sec_master -p sec_master_jelszó -w wsadmin -d "o=ibm,c=us" -c file:/%WAS_HOME%\java\jre\PdPerm.properties

A költöztető segédprogram a kimeneti adatokat naplófájlban rögzíti. A rendszer megjeleníti a naplófájl nevét. Például: pdwas_migrate.log. A naplófájl tartalmát megvizsgálva ellenőrizheti, hogy valamennyi szerepkör költöztetése megtörtént-e. Ha a naplófájl nem jelenik meg, a költöztető segédprogram hibába ütközött. Ebben az esetben ellenőrizze, hogy a megfelelő egységes erőforrásjelzőt adta-e meg a -c paraméternél, valamint helyes-e a -j paraméternél megadott fájlnév. A költöztető segédprogramnak el kell érnie az admin.ear fájlt. Alapértelmezés szerint az alkalmazás eszköze a Document Type Definitions (DTD) szabványra mutató URL-hivatkozásokat tartalmaz. Ezért az eljárásindítás-leíró DTD meghatározások keresésekor szükség van internetkapcsolatra. Ha a gazdagép nem kapcsolódik az internethez, a DTD helyi példányát kell használni. Ebben az esetben frissítse az eljárásindítás-leírókat úgy, hogy azok a helyi DTD meghatározásra mutassanak. FIGYELEM: A Tivoli Access Manager for WebSphere használata előtt legalább még egyszer futtatni kell a költöztető segédprogramot. Ezt minden biztonsági védelemmel ellátni kívánt alkalmazás EAR fájlján futtatni kell. A “6 rész: A WebSphere védelmének engedélyezése” befejezése után a rendszer felszólítja ennek végrehajtására. További tudnivalók a költöztető segédprogramról: 4. fejezet, “A biztonsági szerepkörök költöztetése”, oldalszám: 33. A költöztető segédprogram szintaxisát áttekintheti a következő oldalon: “migrateEAR” oldalszám: 70.

5. rész: A pdwas–admin csoport felvétele a hozzáférés-felügyeleti listába Hajtsa végre a következő lépéseket: 1. A pdadmin segédprogrammal vegye fel a pdwas-admin csoportot a megfelelő hozzáférés-felügyeleti listába. Írja be a következő szöveget egyetlen folyamatos parancsként: pdadmin> acl modify _WebAppServer_deployedResources_AdminRole_admin_ACL set group pdwas-admin T[WebAppServer]i

2. Ha a biztonságos tartomány több jogosultságkiszolgálót tartalmaz, a pdadmin segítségével hajtsa végre a kiszolgáló replikálását, hogy az összes jogosultságkiszolgáló frissítve legyen az ACL módosításaival. 3. Indítsa újra a WebSphere Application Server kiszolgálót.

6 rész: A WebSphere védelmének engedélyezése Hajtsa végre a következő lépéseket: 1. Lépjen be a WebSphere konzolba és engedélyezze a WebSphere védelmet. A WebSphere védelem engedélyezésének lépései jelen leírás Útmutató fejezetében találhatók. További információ: “3. rész: A WebSphere Application Server adatbiztonságának engedélyezése” oldalszám: 54.

3. fejezet Konfigurációs eljárások

29

A WebSphere védelem engedélyezésének részletes utasításai a WebSphere Application Server dokumentációban találhatók. 2. Állítsa le, majd indítsa újra a WebSphere Application Server kiszolgálót. 3. A Tivoli Access Manager for WebSphere használata előtt át kell költöztetni az alkalmazás EAR fájlját minden védelemmel ellátni kívánt alkalmazás esetén. Kövesse az itt leírt utasításokat: 4. fejezet, “A biztonsági szerepkörök költöztetése”, oldalszám: 33.

További telepítések konfigurálása A fejezet leírja, hogyan konfigurálhatók a Tivoli Access Manager for WebSphere program további telepített példányai a Tivoli Access Manager biztonságos tartományba. A leírás a következőket feltételezi: v Sikeresen végrehajtotta ezen fejezet utasításait: “Az első telepítés konfigurálása” oldalszám: 23. Ha a fenti utasításokat sikeresen végrehajtotta, a biztonsággal kapcsolatos adatok az admin.ear fájlból a Tivoli Access Manager programba kerültek. v A Tivoli Access Manager for WebSphere programot más rendszerre is telepítette, nemcsak a korábbiakban konfigurált, eredeti gazdarendszerre. Készen áll a Tivoli Access Manager for WebSphere konfigurálására az újabb gazdarendszeren. Megjegyzés: A következő utasításokat csak akkor hajtsa végre, ha már elvégezte a következő fejezetben leírtakat: “Az első telepítés konfigurálása” oldalszám: 23. Ezek az utasítások nem térnek ki a védelmi adatok további EAR fájlokból történő költöztetésének módjára. A további EAR fájlok költöztetését az itt leírt konfigurációs utasítások végrehajtásától függetlenül is elvégezheti. További tájékoztatás az EAR fájlok költöztetéséről: 4. fejezet, “A biztonsági szerepkörök költöztetése”, oldalszám: 33. A konfigurálási lépéseket az alábbi ábra foglalja össze:

6. ábra: Konfigurálási lépések további Tivoli Access Manager for WebSphere rendszereknél

A konfigurálási lépések leírása a következő részekben található: v “A-1. rész: A Tivoli Access Manager Java futtató környezet konfigurálása” v “A-2. rész: Csatlakozás biztonságos tartományhoz” oldalszám: 31

A-1. rész: A Tivoli Access Manager Java futtató környezet konfigurálása Az IBM WebSphere Application Server kiszolgálóhoz tartozó Java futtató környezet eléréséhez konfigurálja a Tivoli Access Manager Java futtató környezetet. Megjegyzés: A Tivoli Access Manager Java futtató környezet megléte a Tivoli Access Manager for WebSphere működésének alapfeltétele.

30


A Tivoli Access Manager Java futtató környezet konfigurálásához hajtsa végre az alábbi lépéseket: 1. Ellenőrizze, hogy a WAS_HOME környezeti változó az IBM WebSphere Application Server könyvtárára van-e állítva. 2. Lépjen be a következő könyvtárba: v (UNIX) /opt/PolicyDirector/sbin v (Windows) C:\Program Files\Tivoli\Policy Director\sbin 3. Írja be a következő parancsot: v (UNIX) pdjrtecfg -action config -java_home $WAS_HOME/java/jre v (Windows) pdjrtecfg -action config -java_home %WAS_HOME%\java\jre Megjegyzés: Ellenőrizze, hogy a PATH változónál elsőként szereplő java bináris fájl útvonala megegyezik-e a pdjrtecfg -java_home útvonal segítségével megadott java bináris fájllal.

A-2. rész: Csatlakozás biztonságos tartományhoz Hajtsa végre a következő lépéseket: 1. Gyűjtse össze a következő adatokat: v A Tivoli Access Manager for WebSphere alkalmazáshoz felhasználói azonosítóként használni kívánt felhasználói fiók neve. Az utasítások példáiban a pdperm2admin felhasználói azonosító szerepel. A név tetszőlegesen választható. Megjegyzés: Használhat meglévő azonosítót a Tivoli Access Manager biztonságos tartományban vagy újat is létrehozhat. A legtöbb esetben új, egyedi azonosítót kell létrehozni a Tivoli Access Manager for WebSphere összetevő jelölésére az éppen konfigurált gazdarendszereren. v A sec_master fiók jelszava. v A házirend-kiszolgáló számítógépének pontosan meghatározott tartományneve. Például: pdmgrserver.mysubnet.ibm.com v A jogosultságkiszolgáló számítógépének pontosan meghatározott tartományneve. For example: pdacldserver.mysubnet.ibm.com 2. Ellenőrizze, hogy a pdwascfg segédprogram futáskor a megfelelő verziójú Java Runtime Environment programot fogja-e elérni. Ennek a verziónak meg kell egyeznie a Tivoli Access Manager Java futtató környezet konfigurálásakor megadott verzióval. v Windows rendszeren ellenőrizze, hogy a %PATH% változóban a WebSphere Application Server részét képező Java futtató környezet szerepel-e az elérési út első elemeként. v UNIX rendszereken az alábbi parancsot írja be: # which java

A WebSphere Application Server kiszolgáló alapértelmezett útvonalú telepítése esetén a válasz a következő: – Solaris, Linux, HP-UX /opt/WebSphere/AppServer/java/jre/bin/java

– AIX /usr/WebSphere/AppServer/java/jre/bin/java

Ha a verzió nem megfelelő, módosítsa a PATH változót, hogy a helyes Java útvonal legyen az első. 3. Lépjen be a következő könyvtárba: v UNIX: /opt/pdwas/bin 3. fejezet Konfigurációs eljárások

31

v Windows: C:\Program Files\Tivoli\pdwas\sbin 4. Futtassa a pdwascfg segédprogramot. Az előző lépésben összegyűjtött adatokat adja meg a pdwascfg segédprogram parancssori paramétereiként. Megjegyzés: Az alábbi parancsoknál feltételezzük, hogy egy új Tivoli Access Manager felhasználói fiókot hoz létre pdperm2admin néven. Ha a pdperm2admin nevű fiók már létezik, a felhasználó nevét helyettesítse a teljes DN-névvel. Például cserélje a következő nevet: -remote_acl_user pdperm2admin erre: -remote_acl_user cn=pdperm2admin,o=szervezet,c=ország Például az előzőekben összeállított példaparaméterek használatával írja be az alábbi parancsot egyetlen folyamatos parancssorként: pdwascfg -action config -remote_acl_user pdperm2admin -sec_master_pwd jelszó -pdmgrd_host pdmgrserver.mysubnet.ibm.com -pdacld_host pdacldserver.mysubnet.ibm.com

5. Ellenőrizze, hogy a pdwascfg parancs sikeresen létrehozta-e a PdPerm tulajdonságfájlt. v Solaris, Linux, HP-UX /opt/WebSphere/AppServer/java/jre/PdPerm.properties

v AIX /usr/WebSphere/AppServer/java/jre/PdPerm.properties

v Windows C:\WebSphere\AppServer\java\jre\PdPerm.properties

Megjegyzés: A fenti elérési útvonalak a WebSphere Application Server alapértelmezett telepítési könyvtára esetén érvényesek. Ha a telepítés nem az alapértelmezett helyre történt, ennek megfelelően módosítsa az elérési útvonalakat.

32


4. fejezet A biztonsági szerepkörök költöztetése A Tivoli Access Manager for WebSphere rendelkezik egy olyan költöztető segédprogrammal, amely a biztonsági szerepkörök meghatározásait automatikusan átalakítja a Tivoli Access Manager védett objektumaivá. A rendszer a szerepkör-definíciókat a WebSphere alkalmazás eljárásindítás-leíróiból olvassa be, és a Tivoli Access Manager védett objektumterületére költözteti. Ez a fejezet a segédprogram használatát mutatja be. A fejezet témakörei: v “A biztonsági szerepkörök költöztetése” v “A költöztető segédprogram korlátozásai” oldalszám: 36 v “Hibaelhárítási tippek” oldalszám: 37

A biztonsági szerepkörök költöztetése Ezeket az utasításokat a Tivoli Access Manager for WebSphere alkalmazás kezdeti konfigurálását követően kell végrehajtani. A Tivoli Access Manager for WebSphere alkalmazás kezdeti konfigurálásakor sor kerül a költöztető segédprogram első használatára a WebSphere admin.ear adminisztrációs biztonsági fájlján. Megjegyzés: Ha még nem futtatta le a költöztető segédprogramot a Tivoli Access Manager for WebSphere kezdeti konfigurálása során, ne kövesse a fejezet utasításait! További információ: “Az első telepítés konfigurálása” oldalszám: 23. A J2EE alkalmazásbiztonsági szerepkörök a következő eljárással költöztethetők át a Tivoli Access Manager for WebSphere alkalmazásba: 1. Ellenőrizze, hogy UNIX rendszer esetén root felhasználóként jelentkezett-e be, illetve Windows rendszer esetén adminisztrátori jogosultságokkal rendelkező felhasználóként jelentkezett-e be. 2. A költöztető segédprogram használatához szükség van a biztosított alkalmazások eljárásindítás-leíróinak hozzáféréséhez. Alapértelmezés szerint az alkalmazás assembly eszköze tartalmaz a Document Type Definitions (DTD) szabványra mutató URL-hivatkozásokat. Ezért az eljárásindítás-leíró DTD meghatározások keresésekor szükség van internetkapcsolatra. Ha a gazdagép nem kapcsolódik az internethez, a DTD helyi példányát kell használni. Ebben az esetben frissítse az eljárásindítás-leírókat úgy, hogy azok a helyi DTD meghatározásra mutassanak. 3. Győződjön meg arról, hogy a WAS_HOME környezeti változó beállítása a következő: v Solaris, Linux, HP-UX WAS_HOME=/opt/WebSphere/AppServer

v AIX WAS_HOME=/usr/WebSphere/AppServer

v Windows WAS_HOME=C:\WebSphere\AppServer

Ezt a változót azért kell megadni, hogy a költöztető segédprogram a megfelelő xerces.jar fájlt és a Java runtime program megfelelő verzióját érje el. A fent leírt útvonalak a WebSphere Application Server alapértelmezett útvonalra történt telepítése esetén helyesek. Ha a WebSphere Application Server kiszolgálót más helyre telepítette, ennek megfelelően módosítsa az elérési útvonalat.


33

4. Gyűjtse össze az alábbi adatokat, amelyeket a költöztetési segédprogram bemeneti paramétereiként kell majd megadnia: 6. táblázat: A költöztetési segédprogramhoz szükséges bemeneti paraméterek v A költöztetni kívánt EAR fájl neve. Például: – Solaris, Linux, HP-UX /opt/WebSphere/AppServer/config/secureApp.ear – AIX /usr/WebSphere/AppServer/config/secureApp.ear – Windows C:\WebSphere\AppServer\config\secureApp.ear v A PDPerm.properties fájl helye. Ez a fájl a WebSphere Application Server telepítési könyvtárában elhelyezkedő alkönyvtárban található. Az alábbi lista az alapértelmezett helyet mutatja különböző operációs rendszerek esetén. Megjegyzés: A fájl helyét egységes erőforrásjelzőként (Uniform Resource Indicator, URI) kell megadni. – Solaris, Linux, HP-UX file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties – AIX file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties – Windows file:/c:\WebSphere\AppServer\java\jre\PdPerm.properties Ha a WebSphere Application Server Windows rendszer esetén nem az alapértelmezés szerinti helyre van telepítve, a telepítési könyvtár jelölésére használja a %WAS_HOME% kifejezést: file:/%WAS_HOME%\java\jre\PdPerm.properties v A Tivoli Access Manager adminisztrátori fiókjához tartozó név. Ez a következő kell legyen: sec_master . v A sec_master fiók jelszava. v A WebSphere adminisztrátor felhasználói fiókjának neve. Ennek meg kell egyeznie a Tivoli Access Manager for WebSphere kezdeti konfigurálása során létrehozott fiókkal. Például: wsadmin v Az LDAP megkülönböztető név (DN) utótagja, amely alatt a Tivoli Access Manager házirend-kiszolgáló és a WebSphere Application Server tárolja a felhasználói adatokat. Ennek meg kell egyeznie a wsadmin felhasználó létrehozásakor használt DN utótaggal. A “2. rész: Felhasználó, művelet és műveletcsoport létrehozása” oldalszám: 24 címnél bemutatott példában a wsadmin az alábbi megkülönböztető névvel jött létre: cn=wsadmin,o=ibm,c=us Ebben az esetben a DN-utótag a következő: o=ibm,c=us Ezt az értéket kell megadni a migrateEAR segédprogram –d paraméterének argumentumaként. Megjegyzés: A wsadmin-hoz tartozó megkülönböztető nevet a pdadmin program segítségével jelenítheti meg: pdadmin> user show wsadmin

5. Győződjön meg arról, hogy rendelkezik-e az alkalmazás legújabb EAR fájljával. Ellenőrizze, hogy az EAR fájlban szerepel-e az összes várható felhasználó - szerepkör kiosztás. Ha nem biztos abban, hogy az összes szerepkör-megfeleltetés szerepel-e a fájlban, exportálja az alkalmazást. Az EAR fájlok exportálására vonatkozóan az IBM WebSphere Application Server dokumentáció tartalmaz utasításokat. 6. Módosítsa a költöztető segédprogram könyvtárának helyét:

34


v (UNIX) /opt/pdwas/bin v (Windows) C:\Program Files\Tivoli\pdwas\bin 7. Az alkalmazás adatainak költöztetéséhez futtassa a költöztető segédprogramot. Az előző lépésben összeállított paraméterek segítségével a parancssornál írja be a következőket egyetlen folyamatos parancsként: 7. táblázat: A költöztető segédprogram hívása parancssorból UNIX migrateEAR -j /opt/WebSphere/AppServer/config/alkalmazas.ear -a sec_master -p sec_master_jelszo -w wsadmin -d "o=ibm,c=us" -c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties Vegye figyelembe, hogy a PdPerm.properties fájl alapértelmezett útvonala AIX rendszernél: /usr/WebSphere/AppServer/java/jre/PdPerm.properties Windows migrateEAR -j %WAS_HOME%\config\alkalmazas.ear -a sec_master -p sec_master_jelszo -w wsadmin -d "o=ibm,c=us" -c file:/%WAS_HOME%\java\jre\PdPerm.properties

A költöztető segédprogram a kimeneti adatokat naplófájlban rögzíti. A rendszer megjeleníti a naplófájl nevét. Például: pdwas_migrate.log. A naplófájl tartalmát megvizsgálva meggyőződhet arról, hogy a program az összes szerepkör költöztetését végrehajtotta-e. Ha a naplófájl nem jelenik meg, a költöztető segédprogram hibába ütközött. Ebben az esetben ellenőrizze, hogy a megfelelő egységes erőforrásjelzőt adta-e meg a -c paraméternek, valamint helyes-e a -j paraméterben megadott fájlnév. A költöztető segédprogram szintaxisát áttekintheti a következő oldalon: “migrateEAR” oldalszám: 70. 8. Ismételje meg az előző lépéseket minden egyes olyan Enterprise Archive (EAR) fájlra vonatkozóan, amelyek a Tivoli Access Manager alkalmazásba költöztetendő szerepkör-meghatározásokat tartalmaznak. Nem szükséges a költöztető segédprogram futtatása olyan J2EE alkalmazások esetén, amelyek eljárásindítás-leíróiban nem szerepel biztonsági információ. Megjegyzés: Egy adott EAR fájlra vonatkozóan csak egyszer futtassa a költöztető segédprogramot. Amennyiben az EAR fájl több példányban is létezik, a segédprogramot nem kell futtatni külön-külön, minden egyes példány esetében. 9. Válasszon az alábbi lehetőségek közül: v A WebSphere Application Server Advanced Edition Single Server használata esetén ugorjon a következő lépésre. v A WebSphere Application Server Advanced Edition (nem a Single Server) használata esetén a költöztetés befejeződött. Ne hajtsa végre a következő lépést. 10. Ha a Tivoli Access Manager for WebSphere alkalmazást a WebSphere Single Server Edition termékkel együtt használja, a költöztető segédprogram által létrehozott ACL-ekre saját kezűleg kell felvennie a felhasználókat, a pdadmin segédprogram segítségével. A felhasználók felvételéhez használt pdadmin parancsokra példákat a következő helyen talál: “A költöztető segédprogram korlátozásai” oldalszám: 36.

4. fejezet A biztonsági szerepkörök költöztetése

35

Az útmutató (6. fejezet, “Útmutató: Az adatbiztonság engedélyezése”, oldalszám: 49) bemutatja, hogyan kell felvenni felhasználókat az ACL-ekre a mintaalkalmazásban. Mintaparancsokat a következő helyen talál: “7. rész: Az alkalmazás költöztetése a Tivoli Access Manager termékbe” oldalszám: 58.

A költöztető segédprogram korlátozásai A költöztető segédprogramra a következő korlátozások vonatkoznak: v A költöztető segédprogram úgy lett kialakítva, hogy az EAR fájlokban tárolt szerepköröket átköltöztesse a Tivoli Access Manager védett objektumterületére. A költöztető segédprogramot ne használja a szerepkörök karbantartására! Az EAR fájl költöztetését követően a szerepkörök kezelésére használja vagy a Web Portal Manager terméket, vagy a pdadmin segédprogramot. v A költöztető segédprogram csak az EAR fájlban meghatározott felhasználót és szerepköröket költözteti. Győződjön meg arról, hogy az alkalmazás legújabb EAR fájlját használja. v Az EAR fájl költöztetésekor az EAR fájl tartalma az alkalmazás telepítéskori konfigurációját tükrözi. Az alkalmazás eljárásindítás-leíróinak a WebSphere alkalmazásból kezdeményezett módosítása nem jelenik meg az EAR fájlban. A biztonsági szerepkörök költöztetését megelőzően mindig ellenőrizze, hogy az EAR fájl pontosan tükrözi-e a az alkalmazás beállításait. Például ellenőrizni kell, hogy helyes-e az alkalmazás neve. Az alkalmazás neve az alkalmazás indításakor vagy később, a WebSphere konzol segítségével módosítható. Ez a módosítás azonban nem jelenik meg az EAR fájlban. Ha az EAR fájlban nem a helyes név szerepel, az alkalmazás nem a megfelelő védett objektumokat hozza létre. v Ha a költöztető segédprogramot már lefuttatta az EAR fájlra, s azután módosítja a fájlt, nem javasolt a segédprogram újbóli futtatása. A következő hibák fordulhatnak elő, ha a védett objektumterületre költöztetett EAR fájlt újból költözteti. – A második vagy azt követő költöztetés során, ha az EAR fájlból egy meglévő szerepkört eltávolítottak, a rendszer azt nem távolítja el a védett objektumterületről. – A második vagy azt követő költöztetés során, az EAR fájl módosulásának eredményeként szükségessé válhat, hogy a költöztető segédprogram utasítsa a Tivoli Access Manager alkalmazást, hogy töröljön egy adott ACL-meghatározást. Bizonyos esetekben a Tivoli Access Manager megakadályozhatja a törlést. Az EAR fájlnak a Tivoli Access Manager védett objektumterületére való költöztetésekor a rendszer ACL-eket hoz létre, amelyeket objektumokhoz kapcsol. Ha az adminisztrátor saját kezűleg csatolta az ACL-meghatározást más védett objektumokhoz, a Tivoli Access Manager megakadályozza az ACL eltávolítását. Így az ACL akkor is megmarad, amikor a segédprogram első futtatásakor létrehozott eredeti objektum már nem létezik. v A szerepkörök a pdadmin segédprogram segítségével módosíthatók. A pdadmin segítségével további szerepköröket is felvehet. v Ha a költöztető segédprogramot a WebSphere Application Server Advanced Edition Single System Edition alkalmazással együtt használja, saját kezűleg kell felvennie a felhasználókat a segédprogram által létrehozott ACL-ekre. Megjegyzés: Ez csak a WebSphere Application Server Advanced Edition Single System alkalmazásra vonatkozik. Ez a korlátozás nem érinti a WebSphere Application Server Advanced Edition alkalmazást. A pdadmin segédprogram segítségével vegye fel a felhasználókat az ACL-re. A következő példa azt mutatja be, hogy hogyan történik a felhasználók felvétele az ACL-re az útmutató “7. rész: Az alkalmazás költöztetése a Tivoli Access Manager termékbe” oldalszám: 58 c. fejezetében leírt mintaalkalmazást alapul véve. Ne feledje, hogy minden pdadmin parancsot egyetlen folyamatos parancsként kell beírni.

36


c:> pdadmin -a sec_master -p sajátjelszó pdadmin> acl list (Keresse meg a következővel kezdődő ACL-t: _WebAppServer_deployedResources_GoodGuys_ ) pdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_simpleSessionApp_ACL felh1 T[WebAppServer]i pdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_simpleSessionApp_ACL felh2 T[WebAppServer]i pdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_simpleSessionApp_ACL felh3 T[WebAppServer]i pdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_simpleSessionApp_ACL felh4 T[WebAppServer]i pdadmin> exit

add user add user add user add user

Hibaelhárítási tippek Ez a fejezet az alábbi témaköröket tartalmazza: v “Naplófájlok használata” v “A program nem vette fel a felhasználókat a létrehozott ACL-ekre” v “A költöztetés sikertelen a rövid fájlnévvel rendelkező Windows-fájlok esetében” oldalszám: 38 v “A Web Portal Manager nem tud az objektumhoz ACL-t csatolni” oldalszám: 38 v “A program figyelmeztet, hogy a wsadmin felhasználó a pdwas-admin tagja” oldalszám: 38 v “Az ügyfél-hitelesítés a munkamenet lejárta miatt elveszik” oldalszám: 38 v “A költöztető segédprogram üzenetei nem a kívánt nyelven jelennek meg” oldalszám: 39 v “Nem lehet elérni a WebSphere mintaalkalmazásait” oldalszám: 39

Naplófájlok használata A költöztető segédprogram hibáinak elhárításához használja a WebSphere és a Tivoli Access Manager naplófájljait. v Állítsa be a naplózást a Tivoli Access Manager jogosultságkiszolgálón. A védett objektumok névtartományában levő objektumok hozzáférésével kapcsolatos hibák naplózása itt történik. A Tivoli Access Manager jogosultsági összetevőjétől származó kérések eredményeképpen keletkező naplóinformációk is ide kerülnek. Ne feledje, hogy ez a napló nem azonos a WebSphere naplóival. További információ: IBM Tivoli Access Manager Base adminisztrációs kézikönyv. v A költöztető segédprogram műveleteit a rendszer a pdwas_migrate.log fájlban naplózza. Ez a fájl abban a könyvtárban található, ahonnan a segédprogramot futtatják. Az utolsó naplóüzenet általában a segédprogram által megkísérelt utolsó művelet leírását tartalmazza. Így a legtöbb esetben ez jelzi a hiba előfordulásának helyét.

A program nem vette fel a felhasználókat a létrehozott ACL-ekre Probléma: Az admin.ear fájl nem tartalmazza a felhasználói adatokat, csak a szerepkör-kiosztást. Ennek eredményeként a segédprogram nem veszi fel a felhasználókat a létrehozott ACL-ekre. Megoldás: A pdadmin segítségével vegye fel a pdwas-admin csoportot az ACL-re. A következő parancsot egyetlen folyamatos parancssorként írja be: pdadmin> acl modify _WebAppServer_deployedResources_AdminRole_admin_ACL set group pdwas-admin T[WebAppServer]i


37

A költöztetés sikertelen a rövid fájlnévvel rendelkező Windows-fájlok esetében Probléma: A költöztető segédprogram nem alkalmazható olyan fájlokra, amelyek neve tildét (~) tartalmaz. Ez a Windows által használt rövid fájlnevek költöztetésekor okozhat problémákat. Megoldás: Nevezze át a fájlokat úgy, hogy azok ne tartalmazzanak tildét (~).

A Web Portal Manager nem tud az objektumhoz ACL-t csatolni Probléma: A Web Portal Manager valószínűleg nem tudott ACL-t csatolni azon objektumokhoz, amelyek nevében szóköz szerepel. Kikerülés: Ezt úgy lehet megkerülni, hogy az ACL csatolását a pdadmin segédprogram segítségével hajtja végre. Megoldás: Ha lehetséges, a költöztető segédprogram futtatása előtt gondoskodjon arról, hogy az eljárásindítás-leírókban szereplő meghatározások ne tartalmazzanak szóközt. Ellenőrizze azt is, hogy az alkalmazás neve nem tartalmaz-e szóközt.

A program figyelmeztet, hogy a wsadmin felhasználó a pdwas-admin tagja Probléma: A költöztető segédprogram futtatásakor figyelmeztető üzenet jelenhet meg, amely közli, hogy a wsadmin felhasználó a pdwas-admin csoport tagja. Megoldás: Ez a figyelmeztetés csak biztonsági okokból jelenik meg. A figyelmeztetés célja azon felhasználók azonosítása, akik éppen a pdwas-admin csoport tagjai; így az adminisztrátor ellenőrizni tudja ennek a fontos adminisztrátori csoportnak a taglistáját.

Az ügyfél-hitelesítés a munkamenet lejárta miatt elveszik Probléma: A Tivoli Access Manager alkalmazás egy alapértelmezett SSL időtúllépési értéket biztosít a Tivoli Access Manager házirend-kiszolgálóval létesített kapcsolatokhoz. Ha a költöztető segédprogram futása során a program meghaladja az időtúllépés mértékét, a következő üzenet jelenhet meg: A kiszolgáló elvesztette az ügyfél hitelesítését, valószínűleg a munkamenet lejárta miatt.

Megoldás: Ha megjelenik ez az üzenet, futtassa a segédprogramot a -t percek_száma paraméter megadásával. A segédprogram által használt alapértelmezett érték 60 perc. Ez az érték nem lehet nagyobb, mint a felhatalmazási API ügyfél és a házirend-kiszolgáló közötti aktuális SSL időtúllépés mértéke. Az SSL időtúllépés értéke az ssl-v3-timeout paraméter alapján határozható meg, amely a Tivoli Access Manager ivmgrd.conf konfigurációs fájljában, az [ssl] szakaszban található. Az ssl-v3-timeout paraméter alapértelmezett értéke 7200 másodperc (120 perc). Ha ez az alapértelmezett érték van beállítva, győződjön meg arról, hogy a költöztető segédprogram -t kapcsolójával megadott SSL időtúllépés értéke minimum 60 perc. További információ: IBM Tivoli Access Manager Base adminisztrációs kézikönyv.

38


A költöztető segédprogram üzenetei nem a kívánt nyelven jelennek meg Probléma: Windows rendszereken a Tivoli Access Manager for WebSphere költöztető segédprogramból származó üzenetek nem jelennek meg bizonyos nyelveken, például brazil portugálul. Megkerülés: Módosítsa a DOS Windows-os jellemzőit: 1. A DOS parancssorba írja be a következő parancsot: MSDOS> chcp 1252

2. A DOS ablak menüjében válassza a Tulajdonságok parancsot. 3. Válassza a Lucida Console lehetőséget. A Lucida Console egy True Type betűtípus. 4. Kattintson az OK gombra. A panelen lévő OK gombra kattintva csak az aktuális ablak tulajdonságait változtatja meg. 5. Most már megtekintheti a költöztető segédprogram eredményét.

Nem lehet elérni a WebSphere mintaalkalmazásait Probléma: A WebSphere Application Server mintaalkalmazásai nem érhetőek el, miután engedélyezte a Tivoli Access Manager for WebSphere biztonságát. Magyarázat: A WebSphere Application Server automatikusan telepíti és konfigurálja az alapértelmezés szerinti kiszolgáló- és mintaalkalmazásokat. Az automatikus telepítés során az alkalmazás, például a Sample Application mintaalkalmazás neve a rendszeren belül erre változik: $hostName$_sampleApp. Amikor a Tivoli Access Manager for WebSphere felhasználója költözteti a mintaalkalmazás EAR fájlját, például a sampleApp.ear fájlt, egy Tivoli Access Manager objektumterület-bejegyzés jön létre a Sample Application számára. A WebSphere Application Server azonban a $hostName$_sampleApp segítségével jeleníti meg a konzolon az alkalmazást, és oldja fel a hitelesítési kérelmeket. Megkerülés: Hajtsa végre a következő lépéseket: 1. Módosítsa az application.xml fájlt a sampleApp.ear fájlban. Ezzel úgy változtatja meg a kiírási nevet, hogy az megegyezzen azzal a névvel, amely a WebSphere Application Server adminisztrációs konzolon látható. A WebSphere Application Server alkalmazás assembly eszközével változtassa meg az alkalmazás nevét és mentse az EAR fájlt. Például keresse meg a következő címkét: Sample Applicaton

és változtassa erre: $hostName$_sampleApp

Megjegyzés: A gazdarendszer nevét helyettesítse a $hostname$ változóval. Ha például a rendszer gazdagépneve diamond, az alkalmazás kiírási (DisplayName) neve diamond_sampleApp lesz. 2. Futtassa a költöztető segédprogramot a módosított EAR fájlon.


39

40


5. fejezet Adminisztrátori feladatok Ez a fejezet az alábbi témaköröket tartalmazza: v “WebSphere Advanced Edition Single Server” v “A Tivoli Access Manager adminisztrációs eszközei” v “A futásidejű tulajdonságok megadása” oldalszám: 42 v “Objektumosztály hozzáadása a konzolhoz” oldalszám: 46 v “További jogosultságkiszolgálók konfigurálása” oldalszám: 45 v “Hibaelhárítási tippek” oldalszám: 47

WebSphere Advanced Edition Single Server Az IBM WebSphere Application Server az Advanced Edition olyan verzióját biztosítja, amely egyetlen kiszolgálót támogat. Ez a verzió a WebSphere programot külső felhasználói címtár helyett gazda alapú védelemmel futtatja. A WebSphere Application Server jelen verziója különösen hasznos alkalmazások fejlesztése, illetve alkalmazás-prototípusok készítése esetén, valamint a WebSphere Application Server funkcióinak és képességeinek bemutatására. A rendszernyilvántartás nem módosítható a WebSphere konzolról. A Tivoli Access Manager a külső felhasználói címtárak több típusát is támogatja. Ha a Tivoli Access Manager a WebSphere Advanced Edition Single Server termékkel együtt fut, a Tivoli Access Manager adminisztrátorának minden fontosabb felhasználói fiókhoz egyenértékű bejegyzést kell létrehoznia a WebSphere gazdarendszer felhasználói címtárában. Ez azt jelenti, hogy a felhasználói címtárban lévő felhasználói definíciókat saját kezűleg kell létrehozni. Ne feledje, hogy a Tivoli Access Manager felhasználói azonosítójának és az operációs rendszer felhasználói azonosítójának egyeznie kell, amikor a felhasználókat az operációs rendszer bejegyzéseiből a Tivoli Access Manager felhasználói címtárába tükrözi. Windows rendszereken ez az azonosító nem tartalmazza a tartománynevet. Ugyancsak fontos megjegyezni, hogy a Tivoli Access Manager for WebSphere költöztető segédprogramja a WebSphere Advanced Edition Single Server termékkel történő használat esetén a felhasználókat nem veszi fel automatikusan az általa létrehozott hozzáférés-felügyeleti listákba. Az adminisztrátornak saját kezűleg kell felvennie a felhasználókat. További információ: “A költöztető segédprogram korlátozásai” oldalszám: 36. A Tivoli Access Manager for WebSphere és a WebSphere Advanced Edition Single Server együttes használata nem ajánlott termelési rendszereken. Lásd: “A felhasználói címtárral kapcsolatos előfeltételek” oldalszám: 14.

A Tivoli Access Manager adminisztrációs eszközei Ne használja a WebSphere Application Server konzolt felhasználók vagy szerepkörök ismertetőjeleinek módosítására. Ezek a változtatások nem jelennek meg a Tivoli Access Manager házirend-adatbázisában.


41

A felhasználók és szerepkörök konfigurációs adataival kapcsolatos minden adminisztrációs feladatot a Tivoli Access Manager alábbi adminisztrációs eszközeinek valamelyikével kell elvégezni: v a pdadmin parancssori segédprogrammal v a Tivoli Access Manager Web Portal Manager grafikus felhasználói kezelőfelülettel A Tivoli Access Manager termék egy adminisztrációs API-t is biztosít, amely adminisztrációs feladatok programszerű végrehajtására használható. A Tivoli Access Manager adminisztrációs eszközeire vonatkozó további információk a következő útmutatókban találhatók: v A pdadmin segédprogram és a grafikus felhasználói kezelőfelület leírása: IBM Tivoli Access Manager Base adminisztrációs kézikönyv. v A programozható API leírása: IBM Tivoli Access Manager Administration C API Developer’s Reference vagy IBM Tivoli Access Manager Administration Java Classes Developer’s Reference.

A futásidejű tulajdonságok megadása A Tivoli Access Manager for WebSphere Java tulajdonságfájlt használ, amely tartalmazza a konfigurációs paramétereket. Ez a tulajdonságfájl nem jön létre alapértelmezés szerint, de használható a konfigurálható paraméterek módosítására. A Java tulajdonságfájlt az alábbi helyen kell létrehozni: v UNIX: /opt/pdwas/etc/PDWAS.properties v Windows: C:\Program Files\Tivoli\pdwas\etc\PDWAS.properties A következő szakaszokban leírás található a tulajdonságok beállításainak megváltoztatásáról: v “Egyidejű kapcsolatok korlátozása” v “A statikus szerepkör-gyorsítótár engedélyezése” v “A statikus szerepkörök meghatározása” oldalszám: 43 v “A dinamikus szerepkör-gyorsítótár konfigurálása” oldalszám: 43 v “A naplózási mechanizmus típusának megadása” oldalszám: 44 v “A naplózási szint megadása” oldalszám: 44 v “A gyökérobjektum-terület nevének megadása” oldalszám: 45 v “A dokumentumtípusok definíciós könyvtárának megadása” oldalszám: 45

Egyidejű kapcsolatok korlátozása Korlátozza a Tivoli Access Manager termékkel kialakított egyidejű összeköttetések számát. Az alapérték a nulla (0), amely korlátlan számú kapcsolatot engedélyez. Például: com.tivoli.pdwas.MaxPDConnections=0

SSL-kivételek előfordulása esetén állítsa be ezt az értéket. Nagy számú egyidejű kapcsolat korlátozhatja a Solaris Java Virtual Machine (JVM) működését.

A statikus szerepkör-gyorsítótár engedélyezése Engedélyezi vagy letiltja a statikus szerepkör-gyorsítótárat. A statikus szerepkör-gyorsítótár alapértelmezés szerint engedélyezett. com.tivoli.pdwas.EnableStaticRoleCaching=true

42


FIGYELEM: A WebSphere adminisztrációs kiszolgáló működéséhez engedélyezni kell a statikus szerepkör-gyorsítótárat. Ne tiltsa le a statikus szerepkör-gyorsítótár használatát. Amennyiben a statikus szerepkör-gyorsítótár használata le van tiltva, a WebSphere adminisztrációs kiszolgáló nem indul el.

A statikus szerepkörök meghatározása Olyan további statikus szerepköröket ad meg, amelyek nem szerepelnek a WebSphere Application Server admin.ear fájlban. com.tivoli.pdwas.StaticRoleCache.Roles=AdminRole

A dinamikus szerepkör-gyorsítótár konfigurálása Ez a szakasz az alábbi beállításokat mutatja be: v “A dinamikus szerepkör-gyorsítótár engedélyezése” v “A felhasználók maximális számának megadása” v “Az azonosító élettartamának megadása” v “A szerepkör élettartamának megadása” v “A gyorsítótártáblák számának megadása”

A dinamikus szerepkör-gyorsítótár engedélyezése Engedélyezi vagy letiltja a dinamikus szerepkör-gyorsítótár használatát. A Dinamikus szerepkör-gyorsítótár alapértelmezés szerint engedélyezett. com.tivoli.pdwas.EnableDynamicRoleCaching=true

A felhasználók maximális számának megadása A felhasználóknak az a maximális száma, amelyet a gyorsítótár támogat, mielőtt helyreállításra kerülne sor. Ezt a paramétert a program akkor használja, ha a dinamikus szerepkör-gyorsítótár engedélyezve van. A felhasználók alapértelmezés szerinti száma 10000. com.tivoli.pdwas.DynamicRoleCache.MaxUsers=10000

Az azonosító élettartamának megadása Az az időszak percekben, ameddig a program az azonosítót a gyorsítótárban tárolja. Ezt a paramétert a program akkor használja, ha a dinamikus szerepkör-gyorsítótár engedélyezve van. Ez alapértelmezés szerint 5 perc. com.tivoli.pdwas.DynamicRoleCache.PrincipalLifeTime=5

Az azonosító kifejezés itt az egyedi LDAP felhasználó által elküldött Tivoli Access Manager jogosultságra vonatkozik.

A szerepkör élettartamának megadása Az a másodpercben meghatározott időtartam, ameddig a program egy szerepkört a felhasználó szerepkörlistájában tárol. Ezt a paramétert a program akkor használja, ha a dinamikus szerepkör-gyorsítótár engedélyezve van. Ez alapértelmezés szerint 20 másodperc. com.tivoli.pdwas.DynamicRoleCache.RoleLifetime=20

A gyorsítótártáblák számának megadása A dinamikus szerepkör-gyorsítótár által belsőleg használt táblák száma. Ezt a paramétert a program akkor használja, ha a dinamikus szerepkör-gyorsítótár engedélyezve van. Az alapérték 20.

5. fejezet Adminisztrátori feladatok

43

Amikor a gyorsítótárat sok szál használja, ez az érték növelhető, ezzel hangolható és optimalizálható a gyorsítótár teljesítménye. com.Tivoli.pdwas.DynamicRoleCache.NumBuckets=20

A naplózási mechanizmus típusának megadása Meghatározza az alapvető naplózási mechanizmust. A két érvényes bejegyzés: WAS, illetve STDOUT. Az alapérték az STDOUT. Ha a megadott bejegyzés a WAS, a program a WebSphere Application Server nyomkövetési keretrendszert használja. Ebben az esetben a WebSphere szokásos eljárásával kell engedélyezni vagy letiltani a nyomkövetést. Ha a megadott bejegyzés a STDOUT, a nyomkövetés engedélyezése és letiltása a PDWAS.properties fájlban (jelen fájlban) megadott tulajdonságoknak megfelelően történik. com.tivoli.pdwas.LoggingType=STDOUT

A naplózási szint megadása Beállítja a Tivoli Access Manager for WebSphere összetevők naplózási szintjét. Ezt a paramétert a program akkor használja, ha a naplózási mechanizmus típusának beállítása STDOUT. A naplózási szint meghatározásának formátuma: com.tivoli.pdwas.összetevő.LogLevel=érték

A támogatott összetevők: v websphere.PDWASAuthzManager v cache.StaticRoleCache v cache.DynamicRoleCache v cache.GenericCache v cache.PurgeTask Ha az összetevő vagy az összetevő nevének egy része nincs megadva, a program helyettesítő karaktert használ a naplózási szint megadásához, így több Tivoli Access Manager for WebSphere összetevőt is kijelöl. Például, a com.tivoli.pdwas.cache.LogLevel érték az összes gyorsítótár-összetevő gyorsítótár-szintjét megadja. Hasonlóképpen, a com.tivoli.pdwas.LogLevel érték meghatározza minden Tivoli Access Manager for WebSphere összetevő naplózási szintjét. Ezen tulajdonságok értéke egész számként vagy vesszővel elválasztott szintek listájaként fejezhető ki. Az egész szám bitmintát jelképez. A vesszővel elválasztott lista értékei az alábbiak lehetnek: FATAL ERROR WARNING NOTICE ENTRY EXIT DEBUG

A FATAL (VÉGZETES) szint a bitminta legkisebb helyértékű bitje, a DEBUG (HIBAKERESÉS) szint pedig a bitminta legmagasabb helyiértékű bitje. Például, a websphere.PDWASAuthzManager összes naplózásának bekapcsolásához a következő bejegyzések bármelyike használható, a bejegyzések egyenértékűek:

44


com.tivoli.pdwas.websphere.PDWASAuthzManager.LogLevel = FATAL, ERROR, WARNING, NOTICE, ENTRY, EXIT, DEBUG com.tivoli.pdwas.websphere.PDWASAuthzManager.LogLevel = 127

Az egész szám és a karakterlánc-értékek együtt is használhatók. A program a legmagasabb naplózási szintet engedélyezi. A következő bejegyzés például a FATAL (VÉGZETES) és az ERROR (HIBA) értéket is engedélyezi: com.tivoli.pdwas.websphere.PDWASAuthzManager.LogLevel = 1,ERROR

A gyökérobjektum-terület nevének megadása Megváltoztatja a gyökérobjektum-terület és a csoportengedély nevét. Az alapértelmezett érték: WebAppServer. A paraméternek bármilyen érték megadható. com.tivoli.pdwas.RootObjectSpaceName=WebAppServer

Ha megváltoztatja az alapértelmezett nevet, győződjön meg arról, hogy a név egyezik a Tivoli Access Manager költöztető segédprogram futtatásakor használt névvel. Ha a nevek nem egyeznek, a Tivoli Access Manager nem találja meg a védett erőforrásokat. További információ: “migrateEAR” oldalszám: 70.

A dokumentumtípusok definíciós könyvtárának megadása Meghatározza a Tivoli Access Manager for WebSphere használatához szükséges dokumentumtípus-definíciós (Document Type Definition, DTD) fájlok helyét. Az application_1_2.dtd DTD fájlra szükség van. Ez a DTD fájl a Tivoli Access Manager for WebSphere része és a konfigurációs parancsfájl a WebSphere lib könyvtárába telepíti. Ezen fájl alapértelmezett helye a WebSphere lib könyvtára. Ezt az értéket teljes útvonalként kell megadni. UNIX rendszeren például: com.tivoli.pdwas.DTDDirectory= /opt/pdwas/etc

Windows operációs rendszerben: com.tivoli.pdwas.DTDDirectory=c:\Program Files\Tivoli\pdwas\etc

További jogosultságkiszolgálók konfigurálása A Tivoli Access Manager biztonságos tartományok választható módon több jogosultságkiszolgálót is tartalmazhatnak. Több jogosultságkiszolgáló konfigurálása két okból is hasznos lehet: v Hibakezelési képesség arra az esetre, ha az egyik jogosultságkiszolgáló nem elérhető v Teljesítmény javulása olyan esetekben, ha a hozzáférési kérelmek terjedelme igen nagy A Tivoli Access Manager for WebSphere konfigurálható több jogosultságkiszolgáló eléréséhez. További jogosultságkiszolgálók hozzáadását a com.tivoli.pd.jcfg.SvrSslCfg Java osztály segítségével végezze. A parancs szintaktikája: java com.tivoli.pd.jcfg.SvrSslCfg -action addsvr -authsvr gazdanév:portszám:rang -cfg_file cfg_fájl

Megjegyzés: A fenti parancsot folytatólagosan, egyetlen parancssorként írja be. 8. táblázat: Parancsparaméterek jogosultságkiszolgáló hozzáadásához Paraméter

Leírás

–action addsvr

Kiszolgálóra vonatkozó információk hozzáadása az alkalmazáskiszolgáló (Tivoli Access Manager for WebSphere) konfigurációs fájljához.

5. fejezet Adminisztrátori feladatok

45

8. táblázat: Parancsparaméterek jogosultságkiszolgáló hozzáadásához (Folytatás) –authsvr

Tivoli Access Manager jogosultságkiszolgáló. Az argumentum formátuma: v gazdanév Karakterlánc. A jogosultságkiszolgáló gazdagépének neve v portszám Egész érték. Az a port, amelyen keresztül a jogosultságkiszolgáló elérhető. v rang Egész érték. A jogosultságkiszolgáló prioritása a többi jogosultságkiszolgálóhoz képest. Ha az alkalmazáskiszolgáló egy hozzáférési kérelem elfogadásáról vagy elutasításáról szóló döntést igényel, először a magasabb rangú jogosultságkiszolgálókkal lép kapcsolatba. A hibakezelés a rangsor szerint zajlik.

–cfg_file cfg_fájl

Az alkalmazáskiszolgáló (Tivoli Access Manager for WebSphere) konfigurációs fájlja. A konfigurációs fájl a PdPerm.properties. Ne feledje, hogy ezt egységes erőforrásjelzőként (Uniform Resource Indicator, URI) kell megadni. Ha a WebSphere Application Server telepítése az alapértelmezett helyre történik, a teljes elérési útvonal a következő: v Solaris, Linux, HP-UX file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties v AIX file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties v Windows rendszeren file:/c:\WebSphere\AppServer\java\jre\PdPerm.properties Ha a WebSphere Application Server telepítése Windows rendszereken nem az alapértelmezett helyre történik, alkalmazza a %WAS_HOME% változót a telepítési könyvtár megjelölésére: file:/%WAS_HOME%\java\jre\PdPerm.properties

Objektumosztály hozzáadása a konzolhoz A WebSphere Application Server konzol segítségével megadhatók a WebSphere környezetben futó alkalmazásokra vonatkozó biztonsági irányelvek. A WebSphere Application Server konzol segítségével egyéb webes erőforrásokra vonatkozó biztonsági irányelvek is megadhatók a felhasználói címtárban tárolt bejegyzések alapján. A Tivoli Access Manager felveszi az accessGroup objektumosztályt a felhasználói címtárba. A Tivoli Access Manager adminisztrátorok a pdadmin parancs, illetve a Web Portal Manager segítségével új csoportokat hozhatnak létre. Ezek az új csoportok az accessGroup objektumosztályba tartoznak. A WebSphere Application Server konzol alapbeállítás szerint nem felhasználói címárcsoportként ismeri fel az accessGroup osztályba tartozó objektumokat. A WebSphere Application Server konzol azonban konfigurálható úgy, hogy felvegye ezt az objektumosztályt azon objektumosztályok listájába, amelyek felhasználói címtárcsoportokat jelölnek. Kövesse az alábbi utasításokat:

46


1. A WebSphere konzol segítségével nyissa meg a biztonság konfigurálásának speciális beállításait. 2. Módosítsa a Group Filter (Csoportszűrő) mezőben szereplő értéket. Írja be a következő bejegyzést: (objectclass=accessGroup)

Ekkor például a Group Filter mező így jelenik meg: (&(cn=%w)(|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames) (objectclass=accessGroup)))

3. Módosítsa a Group Member ID Map (Csoporttag-azonosító leképezése) mezőben szereplő értéket. Írja be a következő bejegyzést: accessGroup:member

Ekkor például a Group Member ID Map mező így jelenik meg: groupOfNames:member;groupOfUniqueNames:uniqueMember; accessGroup:member

4. Állítsa le, majd indítsa újra a WebSphere Application Server terméket a konzol utasításainak megfelelően.

Hibaelhárítási tippek Ez a szakasz a következő témaköröket tartalmazza: v “A WebSphere adminisztrációs kiszolgáló nem indul el” v “A WebSphere kiszolgáló nem indul el a konfigurálást követően” v “A WebSphere kiszolgáló nem indul el a konfiguráció visszavonása után” oldalszám: 48

A WebSphere adminisztrációs kiszolgáló nem indul el Hiba: A Tivoli Access Manager for WebSphere konfigurálását követően a WebSphere adminisztrációs kiszolgáló nem indul el és null értékű kivételt ad. Magyarázat: A WebSphere adminisztrációs kiszolgáló működéséhez engedélyezni kell a Tivoli Access Manager for WebSphere termékben a statikus szerepkör-gyorsítótár használatát. Amennyiben a statikus szerepkör-gyorsítótár használata le van tiltva, a WebSphere adminisztrációs kiszolgáló nem indul el. Megoldás: Engedélyezze a statikus szerepkör-gyorsítótár használatát. További információ: “A statikus szerepkör-gyorsítótár engedélyezése” oldalszám: 42.

A WebSphere kiszolgáló nem indul el a konfigurálást követően Hiba: A Tivoli Access Manager for WebSphere konfigurálását követően a WebSphere Application Server nem indul el. Magyarázat: Két lehetséges ok létezik: v A Tivoli Access Manager for WebSphere konfigurálása során az új pdwas-admin adminisztrációs csoport felvétele a megfelelő ACL-ekbe nem történt meg. v A Tivoli Access Manager for WebSphere konfigurálása során az új pdwas-admin adminisztrációs csoport felvétele megtörtént a megfelelő ACL-ekbe, de az ACL-ek frissítése nem történt meg minden jogosultságkiszolgálóra vonatkozóan. Ez a hiba kizárólag több jogosultságkiszolgálót tartalmazó biztonságos tartományokban fordulhat elő. Megoldás: Két lehetséges megoldás létezik: 5. fejezet Adminisztrátori feladatok

47

v Ha a pdwas-admin nem került a megfelelő ACL-ekbe, vegye fel azokat most. További információ: “5. rész: A pdwas–admin csoport felvétele a hozzáférés-felügyeleti listába” oldalszám: 29. v Ha a pdwas-admin szerepel a megfelelő ACL-ekben, a biztonságos tartományban több jogosultságkiszolgáló található és a jogosultságkiszolgálók frissítése nem történt meg, frissítse azokat most. További információ: “5. rész: A pdwas–admin csoport felvétele a hozzáférés-felügyeleti listába” oldalszám: 29.

A WebSphere kiszolgáló nem indul el a konfiguráció visszavonása után Hiba: Előfordulhat, hogy a Tivoli Access Manager for WebSphere és a Tivoli Access Manager Java runtime konfigurációjának visszavonása után a WebSphere Application Server nem indul. Ez a hiba nagyon ritkán jelentkezik. A WebSphere Application Server nem tudja betölteni a com.ibm.ejs.security.EJSSecurityCollaborator biztonsági segédalkalmazást. Elhárítás: Kapcsolja ki a WebSphere Application Server biztonsági funkcióit és indítsa újra a WebSphere Application Server terméket. 1. Menjen a DB2 programot futtató számítógéphez. Lépjen be a DB2 terméket telepítő felhasználó nevén. Például: # su - db2inst1

A használatra vonatkozó üzenet jelenik meg. 2. Írja be a félkövér betűvel jelzett következő parancsokat, ahol a was40 a gazdarendszer neve: db2 => connect to was40 user db2inst1 Enter current password for db2inst1: Database Connection Information Database Server = DB2/LINUX 7.2.0 SQL authorization ID = DB2INST1 Local database alias = WAS40 db2 => update ejsadmin.securitycfg_table set securityenabled = 0 DB20000I The SQL command completed successfully db2 => commit DB20000I The SQL command completed successfully

3. Indítsa el a WebSphere Application Server terméket.

48


6. fejezet Útmutató: Az adatbiztonság engedélyezése Ez a fejezet egy példaalkalmazáson bemutatja az adatbiztonsági rendszer felvételének módját. Az útmutató a WebSphere alkalmazás összeállításával, konfigurálásával és felhasználásával kapcsolatos szempontokat bemutató WebSphere útmutató alapján készült. A WebSphere útmutató a WebSphere termék részeként forgalmazott példakódot is tartalmaz. A Tivoli Access Manager útmutató használatához nincs szükség a WebSphere útmutatóra. A Tivoli Access Manager for WebSphere útmutató olyan alkalmazási EAR-fájlt tartalmaz, amely a WebSphere útmutató utasításai alapján a WebSphere mintakód felhasználásával készült. A WebSphere útmutató az alábbi URL-címen érhető el: http://www-4.ibm.com/software/webservers/appserv/doc/v40/ae/infocenter/was/0607.html

A Tivoli Access Manager for WebSphere részét képező példaprogram a fenti webhelyen található útmutató 6.71, 6.7.2 és 6.7.3 bekezdésének utasításai alapján készült. A jelen fejezet anyaga a webhelyen található útmutató 6.7.4 fejezetét helyettesíti.

Az útmutató használata Az útmutató az alábbiakat ismerteti: adatbiztonság felvétele az alkalmazás EAR-fájljába, felhasználók felvétele az LDAP felhasználói címtárba, a WebSphere adatbiztonságának engedélyezése, a mintaalkalmazás telepítése és tesztelése, az alkalmazás költöztetése a Tivoli Access Manager programba, a Tivoli Access Manager for WebSphere jogosultsági összetevőjének engedélyezése, valamint az alkalmazás adatbiztonságának tesztelése a Tivoli Access Manager programban. A fejezet bemutatja azt is, hogy hogyan lehet egyszerű módosítást végrehajtani szerepkörön, majd tesztelni, hogy a program felismerte-e az eredményt a hozzáférés ellenőrzése közben. Az utasítások az alábbiak meglétét feltételezik: v A WebSphere Application Server telepítve van és az IBM Directory LDAP felhasználói címtárat használja. v A WebSphere alkalmazáshoz még nincs engedélyezve az adatbiztonság. Az útmutató a Tivoli Access Manager for WebSphere első telepítése és konfigurálása előtt vagy után is futtatható. Ha még nem történt meg a Tivoli Access Manager for WebSphere telepítése, az útmutató tájékoztatni fogja, hogy mikor kell azt telepíteni. Az utasítások a Tivoli Access Manager for WebSphere alkalmazással kapcsolatban az alábbiakat feltételezik: v A telepített és konfigurált Tivoli Access Manager for WebSphere ugyanazt az IBM Directory LDAP felhasználói címtárat használja. v Megtörtént a Tivoli Access Manager for WebSphere költöztető segédprogramjának futtatása az admin.ear fájlra. Ez a lépés a Tivoli Access Manager for WebSphere első konfigurációjára vonatkozó utasítások között található. Ha még nem telepítette és konfigurálta a Tivoli Access Manager for WebSphere alkalmazást, kövesse az alábbi fejezetek utasításait: v “1. rész: Adatbiztonság hozzáadása a WebSphere alkalmazáshoz” oldalszám: 50 v “2. rész: Felhasználók felvétele az LDAP felhasználói címtárba” oldalszám: 54


49

v “3. rész: A WebSphere Application Server adatbiztonságának engedélyezése” oldalszám: 54 v “4. rész: Az alkalmazás telepítése” oldalszám: 56 v “5. rész: A telepített alkalmazás adatbiztonságának ellenőrzése” oldalszám: 57 v v v v v

“6. rész: A Tivoli Access Manager for WebSphere telepítése” oldalszám: 58 “7. rész: Az alkalmazás költöztetése a Tivoli Access Manager termékbe” oldalszám: 58 “8. rész: A telepített alkalmazás adatbiztonságának ellenőrzése” oldalszám: 60 “9. rész: Szerepkörök megváltoztatása” oldalszám: 60 “10. rész: A telepített alkalmazás adatbiztonságának ellenőrzése” oldalszám: 60

Ha a(z) 3. fejezet, “Konfigurációs eljárások”, oldalszám: 23 fejezet utasításainak megfelelően már befejezte a Tivoli Access Manager for WebSphere első telepítését és konfigurálását, csak az alábbi fejezetek utasításait kell követnie: v “1. rész: Adatbiztonság hozzáadása a WebSphere alkalmazáshoz” v “2. rész: Felhasználók felvétele az LDAP felhasználói címtárba” oldalszám: 54 Megjegyzés: Ebben a részben nem kell végrehajtania a 2. lépését. Ezt a lépést már a Tivoli Access Manager for WebSphere első konfigurálásakor végrehajtotta. v “4. rész: Az alkalmazás telepítése” oldalszám: 56 v v v v v

“5. rész: A telepített alkalmazás adatbiztonságának ellenőrzése” oldalszám: 57 “7. rész: Az alkalmazás költöztetése a Tivoli Access Manager termékbe” oldalszám: 58 “8. rész: A telepített alkalmazás adatbiztonságának ellenőrzése” oldalszám: 60 “9. rész: Szerepkörök megváltoztatása” oldalszám: 60 “10. rész: A telepített alkalmazás adatbiztonságának ellenőrzése” oldalszám: 60

1. rész: Adatbiztonság hozzáadása a WebSphere alkalmazáshoz 1. Indítsa el a WebSphere alkalmazás assembly eszközét. Kattintson a Start->Programok->IBM WebSphere -> Application Server v4.0 AE -> Application Assembly Tool menüpontra, vagy futtassa a C:\WebSphere\AppServer\bin\assembly programot. Az üdvözlő képernyőn kattintson a Cancel gombra. 2. Másolja a simpleSession.ear mintaalkalmazás-fájlt a kibontás helyéről a C:\temp\assembly\simpleSession.ear könyvtárba. 3. Nyissa meg a mintaalkalmazás EAR fájlját. Kattintson a File -> Open parancsra, és válassza a C:\temp\assembly\simpleSession.ear fájlt. 4. Az egér jobb gombjával kattintson a Security Roles lehetősége. Kattintson a New gombra. 5. Válassza a General jelzőfület. Írja be a GoodGuys nevet: Name: GoodGuys

6. Válassza a Bindings jelzőfület. Kattintson az Add User gombra. Name: user1

Kattintson az OK gombra. 7. Vegye fel az alábbi felhasználókat is a fenti lépések szerint: Name: user2 Name: user3

Az összes felhasználó felvétele után kattintson az OK gombra. 8. Bontsa ki az EJB Modules modulokat. Bontsa ki az EBJ11 modult. Az egér jobb gombjával kattintson a Method Permissions lehetőségre. Válassza a New lehetőséget. Írja be a GoodGuys nevet: Name: MyMethodPermissions

50


a. Módszer: Kattintson az Add gombra. v Válassza a Home (*) lehetőséget. v Válassza a Remote (*) lehetőséget Kattintson az OK gombra. b. Szerepkörök: Kattintson az Add gombra. Válassza a GoodGuys elemet. Kattintson az OK gombra.

7. ábra: Adatbiztonsági szerepkör felvétele a módszer jogosultságokhoz

9. Bontsa ki a Web Modules modulokat. Kattintson duplán a SimpleSessionWar elemre. a. Kattintson az Advanced jelzőfülre. b. Jelölje be a Login Configuration négyzetet. c. Adja meg az Authorization Method értékét: Basic. d. Adja meg az alábbiakat: Realm Name: Getting Started e. Kattintson az Apply gombra. 10. Bontsa ki az Web Modules modulokat. Bontsa ki a SimpleSessionWar modult. Az egér jobb gombjával kattintson a SecurityConstraints elemre. Válassza a New lehetőséget. a. A Security Constraint Name mezőbe írja be a GoodGuys nevet. b. Szerepkörök: v Kattintson az Addgombra. v Válassza a GoodGuys elemet. v Kattintson az OK gombra. c. A Transport Guarantee mezőben válassza a None elemet. d. Kattintson az OK gombra.

6. fejezet Útmutató: Az adatbiztonság engedélyezése

51

8. ábra: Web modul adatbiztonsági korlátozásai

11. Az egér jobb gombjával kattintson a Web modules -> SimpleSessionWar -> SecurityConstraints ->GoodGuys -> Web Resource Collections menüpontra. a. Válassza a New lehetőséget. b. A Web Resource Name mezőbe írja be a SecureMe nevet. c. A HTTP Methods elemnél kattintson az Add gombra. Válassza a GET lehetőséget. Kattintson az OK gombra. d. A HTTP Methods elemnél kattintson az Add gombra. Válassza a POST elemet. Kattintson az OK gombra. e. Az URLS elemnél kattintson az Add gombra. Írja be: “/SimpleSession”. Kattintson az OK gombra. f. Kattintson az OK gombra.

52


9. ábra: A Web Resource Collections konfigurálása

12. Mentse az új EAR-fájlt. Válassza a File->Save As lehetőséget, majd írja be: C:\temp\assembly\simpleSessionSecure.ear

13. Válassza a File-> Generate Code for Deployment menüpontot. a. Váltson a C:\temp könyvtárra. b. Kattintson a Generate Now gombra.

10. ábra: Telepítési kód létrehozása.

c. Javítsa ki az esetleges hibákat. 14. Lépjen ki az Application Assembly eszközből. Lépjen tovább a következő szakaszra : “2. rész: Felhasználók felvétele az LDAP felhasználói címtárba” oldalszám: 54.


53

2. rész: Felhasználók felvétele az LDAP felhasználói címtárba A Tivoli Access Manager pdadmin segédprogramjával veheti fel az előző részben megadott felhasználókat (user1, user2 és user3) az LDAP felhasználói címtárba. Vegye fel a user4 felhasználót is. Ebben a fejezetben a felhasználók felvételéhez használható, általános pdadmin parancsok szerepelnek. A pdadmin összes paraméterének részletes leírását itt találja: IBM Tivoli Access Manager Base adminisztrációs kézikönyv. 1. Jelentkezzen be a Tivoli Access Manager adminisztrátoraként: C:> pdadmin -a sec_master -p jelszó

A parancsban a sec_master fiók helyes jelszavát adja meg a Tivoli Access Manager biztonságos tartománya számára. 2. Ha már telepítette a Tivoli Access Manager for WebSphere alkalmazást és megadta a kezdő konfigurációt, hagyja ki ezt a lépést. Folytassa a következő lépéssel. Ha még nem telepítette a Tivoli Access Manager for WebSphere alkalmazást, hozzon létre egy WebSphere adminisztrátor felhasználót. A következő parancsot egyetlen folyamatos parancsként írja be: pdadmin> user create wsadmin cn=wsadmin,o=szervezet, c=ország wsadmin wsadmin jelszó

A szervezet és az ország helyettesítő értékei az LDAP felhasználói nyilvántartás érvényes értékei. 3. Hozzon létre felhasználói fiókot minden új felhasználó számára. Rendeljen hozzájuk jelszót. Az alábbi példák olyan mintaparancsokat mutatnak be, ahol a szervezet neve ibm, az ország pedig us, és minden felhasználó a myPassword jelszót kapta. pdadmin> user create user1 myPassword pdadmin> user create user2 myPassword pdadmin> user create user3 myPassword pdadmin> user create user4 myPassword

user1 cn=user1,o=ibm,c=us user1 user2 cn=user2,o=ibm,c=us user2 user3 cn=user3,o=ibm,c=us user3 user4 cn=user4,o=ibm,c=us user4

4. Engedélyezze az összes fiókot: pdadmin> pdadmin> pdadmin> pdadmin> pdadmin>

user user user user user

modify modify modify modify modify

wsadmin account-valid yes user1 account-valid yes user2 account-valid yes user3 account-valid yes user4 account-valid yes

5. Lépjen ki a pdadmin segédprogramból: pdadmin> quit

6. Az adatbiztonság engedélyezéséhez lépjen vissza a WebSphere konzolba. A következő résszel folytassa: “3. rész: A WebSphere Application Server adatbiztonságának engedélyezése”.

3. rész: A WebSphere Application Server adatbiztonságának engedélyezése Ha már telepítette a Tivoli Access Manager for WebSphere alkalmazást és végrehajtotta a kezdeti konfigurálást (lásd: 3. fejezet, “Konfigurációs eljárások”, oldalszám: 23), akkor ugorja át ezt a részt. Már engedélyezte a WebSphere Application Server adatbiztonságát ebben a lépésben: “6 rész: A WebSphere védelmének engedélyezése” oldalszám: 29. Lépjen a következő szakaszra: “4. rész: Az alkalmazás telepítése” oldalszám: 56. 1. Indítsa el a WebSphere Administration Server alkalmazást:

54


c:\websphere\appserver\bin\adminserver

2. Amikor a kiszolgáló már fut, indítsa el a WebSphere Administration Client alkalmazást is: c:\websphere\appserver\bin\adminclient

3. Válassza a Console->Security Center menüpontot. 4. Válassza a General jelzőfület. Jelölje be az Enable Security négyzetet. 5. Válassza az Authentication jelzőfület. a. Válassza az LTPA elemet. Adja meg az alábbi LTPA beállításokat: v Jelsor lejárata: 120 v Tartomány: A tartomány neve. Például: mydomain.ibm.com

b. Jelölje be az LDAP négyzetet. Adja meg az LDAP-beállításokat: 9. táblázat: LDAP beállítások LDAP-beállítások

Érték

Security Server ID (Biztonsági kiszolgáló azonosítója)

cn=wsadmin,o=ibm,c=us

Security Server Password (Biztonsági kiszolgáló jelszava)

myPassword

Host (Gazdagép)

ldapserver.mydomain.ibm.com

Directory Type (Címtár típusa)

SecureWay

Base DN (Alap DN)

o=ibm,c=us

Bind DN (Kapcsolódási DN)

cn=root

Bind Password (Kapcsolódási jelszó)

myPassword

c. Kattintson az OK gombra.


55

11. ábra: Adatbiztonság engedélyezése a Security Centeren keresztül

6. Az egér jobb gombjával kattintson a WebSphere Admin Domain -> Nodes ->Gazdanév elemre. 7. Válassza a Restart parancsot. 8. Folytassa itt: “4. rész: Az alkalmazás telepítése”.

4. rész: Az alkalmazás telepítése 1. Ellenőrizze, hogy a WebSphere Administration Server fut-e. 2. Indítsa el a WebSphere Administration Client alkalmazást: C:\websphere\appserver\bin\adminclient

3. Jelentkezzen be wsadmin felhasználóként a myPassword jelszóval. 4. Válassza a WebSphere Admin Domain -> Enterprise Applications menüpontot. 5. Kattintson az egér jobb gombjával, és válassza az Install Enterprise Application lehetőséget. a. Kattintson az Install Application gombra. b. Adja meg az útvonalat: c:\temp\assembly\simpleSessionSecure.ear

c. Kattintson a Next gombra. A megjelenő párbeszédpanel az összes nem védett módszer letiltását kéri. Kattintson a yes gombra. d. Kattintson a Select gombra. e. Ellenőrizze, hogy az összes felhasználó szerepel-e a listán: user1 user2 user3

56


f. Kattintson az OK gombra. g. A következőkben megjelenő párbeszédpanelek mindegyikében kattintson a Next gombra. A párbeszédpanelek címe: v Mapping Users to Roles v Mapping EJB RunAs Role to User v Binding Enterprise Bean to JNDI Names v Mapping EJB References to Resources v Specifying the Default Datasources for EJB Modules v Specifying Data Sources for Individual CMP Beans v Selecting Virtual Hosts for Web Modules v Selecting Application Server h. Amikor megjelenik a Completing the Application Installation Wizard párbeszédpanel, kattintson a Finish gombra. i. A kód előállításához kattintson a Yes gombra. Kattintson az OK gombra. j. A párbeszédpanel bezárásához kattintson az OK gombra. 6. Ha az alapértelmezés szerinti kiszolgáló éppen fut, most állítsa le. Ha az alapértelmezés szerinti kiszolgáló nem fut, ugorjon a következő lépésre. Az alapértelmezés szerinti kiszolgáló leállítása: v Válassza a WebSphere Admin Domain -> Nodes -> Hostname -> Application Servers -> Default Server menüpontot. v Az egér jobb gombjával kattintson az alapértelmezett kiszolgálóra. v Kattintson a Stop gombra. v A párbeszédpanel bezárásához kattintson az OK gombra. 7. Indítsa el az alapértelmezett kiszolgálót. v Válassza a WebSphere Admin Domain -> Nodes -> Hostname -> Application Servers -> Default Server menüpontot. v Az egér jobb gombjával kattintson az alapértelmezett kiszolgálóra. v Válassza a Start parancsot. v A párbeszédpanel bezárásához kattintson az OK gombra. 8. Lépjen ki a WebSphere Advanced Administration Console alkalmazásból. 9. Folytassa itt: “5. rész: A telepített alkalmazás adatbiztonságának ellenőrzése”.

5. rész: A telepített alkalmazás adatbiztonságának ellenőrzése Szervlet 1. Indítsa el a webböngészőt. 2. Lépjen az alábbi URL-címre. A gazdagépnév helyére írja be a saját rendszerének nevét. http://gazdagépnév:9080/gettingstarted3/SimpleSession?msg=Test

3. A program a felhasználónév és a jelszó megadását kéri. Adja meg az alábbi érvényes felhasználónevek valamelyikét: user1, user2, user3, és egy érvénytelen felhasználónevet, például: user4. Írja be a helyes jelszót. Meg kell jelennie az eredménylapnak. Az érvénytelen felhasználónév (user4) beírásakor sikertelenséget jelző lapnak kell megjelennie. 4. Indítsa újra a webböngészőt. 5. Lépjen ugyanarra az URL-címre. Amikor a program a felhasználónév és a jelszó megadását kéri, írjon be érvénytelen felhasználónevet vagy jelszót. Sikertelenséget jelző lapnak kell megjelennie.


57

Vastag ügyfél 1. A biztonságos alkalmazás elindításához használja a launchclient programot. Egyetlen sorba írja be az alábbi parancsot: C:> c:\websphere\appserver\bin\launchclient c:\websphere\appserver\installedApps\simpleSessionSecure.ear

2. Ekkor meg kell jelennie a felhasználónevet és jelszót kérő bejelentkezési ablaknak. 3. Írjon be egy érvényes felhasználónevet és jelszót. Például: user1. Sikeres belépést jelző szövegnek kell megjelennie. 4. Indítsa újra a webböngészőt. 5. A fenti 1. lépésben bemutatottak szerint indítsa el a biztonságos alkalmazást a launchclient programmal. Amikor a program a felhasználónév és a jelszó megadását kéri, írjon be érvénytelen felhasználónevet vagy jelszót. Sikertelen belépést jelző szövegnek kell megjelennie. 6. Lépjen tovább a következő szakaszra.

6. rész: A Tivoli Access Manager for WebSphere telepítése Ha már telepítette és konfigurálta a Tivoli Access Manager for WebSphere alkalmazást, hagyja ki ezt a fejezetet. Lépjen a következő fejezetre: “7. rész: Az alkalmazás költöztetése a Tivoli Access Manager termékbe”. Most már készen áll a Tivoli Access Manager for WebSphere szoftver telepítésére és konfigurálására. Kövesse az itt leírt utasításokat: 2. fejezet, “Telepítési utasítások”, oldalszám: 11. A Tivoli Access Manager for WebSphere fájlok telepítése után végezze el a kezdeti konfigurálást (a leírást lásd itt: “Az első telepítés konfigurálása” oldalszám: 23), az alábbi kivétellel: Az útmutató “2. rész: Felhasználók felvétele az LDAP felhasználói címtárba” oldalszám: 54 szakaszában már létrehozta a WebSphere wsadmin adminisztrátor felhasználóját, ezért a kezdeti konfiguráció során ezt már nem kell végrehajtania. Hagyja ki a “2. rész: Felhasználó, művelet és műveletcsoport létrehozása” oldalszám: 24 2. lépését.

7. rész: Az alkalmazás költöztetése a Tivoli Access Manager termékbe Az utasítások feltételezik, hogy már végrehajtotta a Tivoli Access Manager for WebSphere első telepítését és konfigurálását (melynek leírása itt található: “Az első telepítés konfigurálása” oldalszám: 23). Az első telepítés és konfigurálás során megtörtént az admin.ear fájl költöztetése. Megjegyzés: Ha még nem hajtotta végre a Tivoli Access Manager for WebSphere első telepítését és konfigurálását, tegye meg most. Kövesse az itt leírt utasításokat: “Az első telepítés konfigurálása” oldalszám: 23. 1. Gyűjtse össze az alábbi adatokat, amelyeket a költöztetési segédprogram bemeneti paramétereiként kell majd megadnia:

58


10. táblázat: A költöztetési segédprogramhoz szükséges bemeneti paraméterek v A költöztetni kívánt EAR fájl neve: c:\temp\assembly\simpleSessionSecure.ear v A PDPerm.properties fájl helye. Ez a fájl a WebSphere Application Server telepítési könyvtárában elhelyezkedő alkönyvtárban található. Az alábbi lista az alapértelmezett helyet mutatja különböző operációs rendszerek esetén. Megjegyzés: A fájl helyét egységes erőforrásjelzőként (Uniform Resource Indicator, URI) kell megadni. – Solaris, Linux, HP-UX file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties – AIX file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties – Windows rendszeren file:/c:\WebSphere\AppServer\java\jre\PdPerm.properties Ha a WebSphere Application Server Windows rendszernél nem az alapértelmezés szerinti helyre van telepítve, a telepítési könyvtár jelölésére használja a %WAS_HOME% kifejezést: file:/%WAS_HOME%\java\jre\PdPerm.properties v A Tivoli Access Manager adminisztrátori fiókjához tartozó név. Ez a következő kell legyen: sec_master . v A sec_master fiók jelszava. v A WebSphere adminisztrátor felhasználói fiókjának neve. Ennek meg kell egyeznie a Tivoli Access Manager for WebSphere kezdeti konfigurálása során létrehozott fiókkal. Például: wsadmin v Az LDAP megkülönböztető név (DN) utótagja, amely alatt a Tivoli Access Manager házirend-kiszolgáló és a WebSphere Application Server tárolja a felhasználói adatokat. Ennek meg kell egyeznie a wsadmin felhasználó létrehozásakor használt DN utótaggal. A “2. rész: Felhasználó, művelet és műveletcsoport létrehozása” oldalszám: 24 címnél bemutatott példában a wsadmin az alábbi megkülönböztető névvel jött létre: cn=wsadmin,o=ibm,c=us Ebben az esetben a DN-utótag a következő: o=ibm,c=us Ezt az értéket kell megadni a migrateEAR segédprogram –d beállításának argumentumaként. Megjegyzés: A wsadmin felhasználóhoz tartozó megkülönböztető nevet a pdadmin program segítségével jelenítheti meg: pdadmin> user show wsadmin

2. Lépjen be a költöztető segédprogram könyvtárába: v (UNIX) /opt/pdwas/bin v (Windows) C:\Program Files\Tivoli\pdwas\bin 3. Az alkalmazásadatok költöztetéséhez futtassa a költöztető segédprogramot. Az előző lépésben összeállított paraméterek segítségével a parancssorba írja be a következőket egyetlen folyamatos parancsként: 11. táblázat: A költöztető segédprogram hívása parancssorból UNIX


59

11. táblázat: A költöztető segédprogram hívása parancssorból (Folytatás) migrateEAR -j /temp/assembly/simpleSessionSecure.ear -a sec_master -p sec_master_jelszo -w wsadmin -d "o=ibm,c=us" -c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties Vegye figyelembe, hogy a PdPerm.properties fájl alapértelmezett útvonala AIX rendszernél: /usr/WebSphere/AppServer/java/jre/PdPerm.properties Windows migrateEAR -j C:\temp\assembly\simpleSessionSecure.ear -a sec_master -p sec_master_jelszo -w wsadmin -d "o=ibm,c=us" -c file:/%WAS_HOME%\java\jre\PdPerm.properties

A költöztető segédprogram a kimeneti adatokat naplófájlban rögzíti. A rendszer megjeleníti a naplófájl nevét. Például: pdwas_migrate.log. A naplófájl tartalmát megvizsgálva ellenőrizheti, hogy valamennyi szerepkör költöztetése megtörtént-e. Ha a naplófájl nem jelenik meg, a költöztető segédprogram hibába ütközött. Ebben az esetben ellenőrizze, hogy a megfelelő egységes erőforrásjelzőt adta-e meg a -c paraméternek, valamint helyes-e a -j paraméterben megadott fájlnév. 4. Amikor a parancsfájl lefutott, lépjen a következő szakaszra: “8. rész: A telepített alkalmazás adatbiztonságának ellenőrzése”.

8. rész: A telepített alkalmazás adatbiztonságának ellenőrzése 1. Ellenőrizze, hogy az alkalmazás esetében működik-e az adatvédelem. Ismételje meg az “5. rész: A telepített alkalmazás adatbiztonságának ellenőrzése” oldalszám: 57 szakasznak a szervletre és a vastag ügyfélre vonatkozó lépéseit. 2. Az adatbiztonság ellenőrzése után lépjen tovább ide: “9. rész: Szerepkörök megváltoztatása”.

9. rész: Szerepkörök megváltoztatása A Tivoli Access Manager pdadmin segédprogramjának segítségével változtassa meg a szerepkör-meghatározást egy felhasználó eltávolításával. 1. Indítsa el a pdadmin segédprogramot: pdadmin -a sec_master -p jelszó

2. A user4 felhasználó hozzáadásához módosítsa a SimpleSession alkalmazás ACL-ét. Egyetlen folyamatos parancsként írja be a következő acl modify parancsot: pdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_SimpleSessionApp_ACL add user user4

3. Replikálja a kiszolgálót, és lépjen ki a segédprogramból: pdadmin> server replicate pdadmin> quit

4. Folytassa itt: “10. rész: A telepített alkalmazás adatbiztonságának ellenőrzése”.

10. rész: A telepített alkalmazás adatbiztonságának ellenőrzése 1. Ellenőrizze, hogy az alkalmazás esetében működik-e az adatvédelem. Ismételje meg az “5. rész: A telepített alkalmazás adatbiztonságának ellenőrzése” oldalszám: 57 szakasznak a szervletre és a vastag ügyfélre vonatkozó lépéseit. Vegye figyelembe, hogy érvényes felhasználóként az alábbi nevek valamelyikét adhatja meg: user1, user2, user3 vagy user4. 2. Ellenőrizze, hogy user4 most már be tud-e lépni.

60


Ezzel az útmutató végére ért.


61

62


7. fejezet Eltávolítással kapcsolatos utasítások A Tivoli Access Manager for WebSphere alkalmazás eltávolításához meg kell változtatni a szükséges konfigurációs fájlokat, és el kell távolítani a jogosultsági összetevőt. Lépjen az alkalmazott operációs rendszernek megfelelő fejezetre: v “Eltávolítás Solaris rendszerből” v “Eltávolítás Windows rendszerből” v “Eltávolítás AIX rendszerből” oldalszám: 64 v “Eltávolítás HP-UX rendszerből” oldalszám: 65 v “Eltávolítás Linux rendszerből” oldalszám: 66

Eltávolítás Solaris rendszerből Kövesse az alábbi utasításokat: 1. Jelentkezzen be root felhasználóként. 2. Állítsa le a WebSphere Application Server alkalmazást. 3. A Tivoli Access Manager for WebSphere jogosultsági összetevő beállításának megszüntetéséhez futtassa a pdwascfg segédprogramot. # pdwascfg -action unconfig -remote_acl_user felhasználói_CN -sec_master_pwd jelszó -pdmgrd_host házirend-kiszolgáló_gazdagépneve -pdacld_host jogosultságkiszolgáló-gazdagépneve

A parancssori paraméterekkel kapcsolatos bővebb információkat a(z) “pdwascfg” oldalszám: 68 referenciaoldalon talál. 4. A Tivoli Access Manager for WebSphere eltávolításához adja ki a következő parancsot: # pkgrm PDWAS

A megjelenő panel a kiválasztott csomag eltávolításának megerősítését kéri. 5. Üsse le az y billentyűt Az egyes fájlok eltávolítását állapotüzenetek jelzik. Az eltávolítás utáni parancsfájl lefutását követően megjelenő állapotüzenet jelzi, hogy a szoftvercsomag eltávolítása sikerrel járt. A pkgrm segédprogram kilép. 6. Ha ugyanekkor a Tivoli Access Manager kiegészítő összetevőit is el szeretné távolítani, akkor az operációs rendszer eltávolító segédprogramjával távolítsa el a Tivoli Access Manager jogosultságkiszolgálót (ha az telepítve van), illetve a Base és a Java futtató környezetet. A teljes törléssel kapcsolatos utasításokat itt találja: IBM Tivoli Access Manager Base telepítési kézikönyv. A Tivoli Access Manager for WebSphere csomag eltávolítása befejeződött.

Eltávolítás Windows rendszerből Kövesse az alábbi utasításokat: 1. Jelentkezzen be adminisztrátori jogosultsággal rendelkező Windows-felhasználóként. 2. Állítsa le a WebSphere Application Server alkalmazást. 3. A Tivoli Access Manager for WebSphere jogosultsági összetevő beállításának törléséhez futtassa a pdwascfg segédprogramot. © Szerzői jog IBM 2002, 2003

63

pdwascfg -action unconfig -remote_acl_user felhasználói_CN -sec_master_pwd jelszó -pdmgrd_host házirend-kiszolgáló_gazdagépneve -pdacld_host jogosultságkiszolgáló-gazdagépneve

A parancssori paraméterekkel kapcsolatos bővebb információkat a(z) “pdwascfg” oldalszám: 68 referenciaoldalon talál. 4. Állítsa le, majd indítsa újra a WebSphere Application Server alkalmazást. Kattintson a Programok hozzáadása ikonra. 5. Válassza az Access Manager for WebSphere elemet. 6. Kattintson az Eltávolítás gombra. Megjelenik a Telepítés nyelvének kiválasztása párbeszédpanel. 7. Válasszon ki a megfelelő nyelvet, és kattintson az OK gombra. 8. Válassza az Eltávolítás választógombot. Kattintson a Tovább gombra. Megjelenik a Fájltörlés megerősítése párbeszédpanel. 9. Kattintson az OK gombra. A Tivoli Access Manager for WebSphere fájlok törlődtek. Megjelenik a Karbantartás befejeződött párbeszédpanel. 10. Kattintson a Kész gombra. 11. Ha ugyanekkor a Tivoli Access Manager kiegészítő összetevőit is el szeretné távolítani, akkor az operációs rendszer eltávolító segédprogramjával távolítsa el a Tivoli Access Manager jogosultságkiszolgálót (ha az telepítve van), illetve a Base és a Java futtató környezetet. A teljes törléssel kapcsolatos utasításokat itt találja: IBM Tivoli Access Manager Base telepítési kézikönyv. A Tivoli Access Manager for WebSphere eltávolítása befejeződött.

Eltávolítás AIX rendszerből Kövesse az alábbi utasításokat: 1. Jelentkezzen be root felhasználóként. 2. Állítsa le a WebSphere Application Server alkalmazást. 3. A Tivoli Access Manager for WebSphere jogosultsági összetevő beállításának törléséhez futtassa a pdwascfg segédprogramot. # pdwascfg -action unconfig -remote_acl_user felhasználói_CN -sec_master_pwd jelszó -pdmgrd_host házirend-kiszolgáló_gazdagépneve -pdacld_host jogosultságkiszolgáló-gazdagépneve

4. 5. 6. 7.

8.

64

A parancssori paraméterekkel kapcsolatos bővebb információkat a(z) “pdwascfg” oldalszám: 68 referenciaoldalon talál. Indítsa el a SMIT programot. Válassza a Szoftverek telepítése és karbantartása lehetőséget. Válassza a Szoftverek karbantartása és segédprogramok lehetőséget. Válassza a Telepített szoftver eltávolítása lehetőséget. Kattintson a SZOFTVER neve mező mellett található Listázás gombra. Megjelenik a több választási lehetőséget tartalmazó lista. Megjelenik a PDWAS csomag neve. Válassza az Access Manager for WebSphere csomagot. Megjelenik a Telepített szoftver törlése párbeszédpanel.


9. Változtassa a Csak ÁTTEKINTÉS? mezőt nem értékűre. 10. A többi mező esetében fogadja el az alapértelmezett nem értékét. Kattintson az OK gombra. 11. Megjelenik a Biztos benne? üzenetablak. Kattintson az OK gombra. A megjelenő állapotüzenet jelzi, hogy a szoftver telepítésének törlése folyamatban van. Egy másik állapotüzenet az eltávolított csomagokat sorolja fel. 12. Kattintson a Kész gombra. Megjelenik a Telepített szoftver törlése párbeszédpanel. 13. Kattintson a Mégse gombra. A Kilépés gombra kattintva lépjen ki a SMIT programból. 14. Ha ugyanekkor a Tivoli Access Manager kiegészítő összetevőit is el szeretné távolítani, akkor az operációs rendszer eltávolító segédprogramjával távolítsa el a Tivoli Access Manager jogosultságkiszolgálót (ha az telepítve van), illetve a Base és a Java futtató környezetet. A teljes törléssel kapcsolatos utasításokat itt találja: IBM Tivoli Access Manager Base telepítési kézikönyv. A Tivoli Access Manager for WebSphere eltávolítása befejeződött.

Eltávolítás HP-UX rendszerből Kövesse az alábbi utasításokat: 1. Jelentkezzen be root felhasználóként. 2. Állítsa le a WebSphere Application Server alkalmazást. 3. A Tivoli Access Manager for WebSphere jogosultsági összetevő beállításának törléséhez futtassa a pdwascfg segédprogramot. # pdwascfg -action unconfig -remote_acl_user felhasználói_CN -sec_master_pwd jelszó -pdmgrd_host házirend-kiszolgáló_gazdagépneve -pdacld_host jogosultságkiszolgáló-gazdagépneve

A parancssori paraméterekkel kapcsolatos bővebb információkat a(z) “pdwascfg” oldalszám: 68 referenciaoldalon talál. 4. A Tivoli Access Manager for WebSphere eltávolításához adja ki a következő parancsot: # swremove PDWAS

Ezután több állapotüzenet jelenik meg. A megjelenő állapotüzenet tájékoztatja, hogy az elemzési fázis sikeresen befejeződött. Az swremove segédprogram eltávolítja a Tivoli Access Manager for WebSphere fájlokat a merevlemezről. Az eltávolítás befejezése után a swremove segédprogram kilép. 5. Ha ugyanekkor a Tivoli Access Manager kiegészítő összetevőit is el szeretné távolítani, akkor az operációs rendszer eltávolító segédprogramjával távolítsa el a Tivoli Access Manager jogosultságkiszolgálót (ha az telepítve van), illetve a Base és a Java futtató környezetet. A teljes törléssel kapcsolatos utasításokat itt találja: IBM Tivoli Access Manager Base telepítési kézikönyv. Befejeződött a Tivoli Access Manager for WebSphere eltávolítása HP-UX rendszerről.

7. fejezet Eltávolítással kapcsolatos utasítások

65

Eltávolítás Linux rendszerből Kövesse az alábbi utasításokat: 1. Jelentkezzen be root felhasználóként. 2. Állítsa le a WebSphere Application Server alkalmazást. 3. A Tivoli Access Manager for WebSphere jogosultsági összetevő beállításának megszüntetéséhez futtassa a pdwascfg segédprogramot. # pdwascfg -action unconfig -remote_acl_user felhasználói_CN -sec_master_pwd jelszó -pdmgrd_host házirend-kiszolgáló_gazdagépneve -pdacld_host jogosultságkiszolgáló-gazdagépneve

A parancssori paraméterekkel kapcsolatos bővebb információkat a(z) “pdwascfg” oldalszám: 68 referenciaoldalon talál. 4. A Tivoli Access Manager for WebSphere eltávolításához adja ki a következő parancsot: # rpm -e PDWAS-PD

A rendszer törli a fájlokat. Az rpm segédprogram kilép. 5. Ha ugyanekkor a Tivoli Access Manager kiegészítő összetevőit is el szeretné távolítani, akkor az operációs rendszer eltávolító segédprogramjával távolítsa el a Tivoli Access Manager jogosultságkiszolgálót (ha az telepítve van), illetve a Base és a Java futtató környezetet. A teljes törléssel kapcsolatos utasításokat itt találja: IBM Tivoli Access Manager Base telepítési kézikönyv. A Tivoli Access Manager for WebSphere csomag eltávolítása befejeződött.

66


A. függelék Parancsleírások Ez a szakasz a következő hivatkozási oldalakat tartalmazza: v “pdwascfg” oldalszám: 68 v “migrateEAR” oldalszám: 70


67

pdwascfg Konfigurálja a Tivoli Access Manager for WebSphere összetevőt a WebSphere Application Server termékhez.

Használat pdwascfg -action { unconfig | config } -remote_acl_user felhasználó -sec_master_pwd jelszó -pdmgrd_host Access_Manager_Policy_Server_gazdagépnév -pdacld_host Access_Manager_Authorization_Server_gazdagépnév [-pdmgrd_port Access_Manager_Policy_Server_portja] [-pdacld_port Access_Manager_Authorization_Server_portja] [-help] [-operations] [-?]

Paraméter -action A parancs által végrehajtandó művelet: konfiguráció vagy a beállítások törlése lehet. Ezen beállítás érvényes értékei: config vagy unconfig. Ezt a paramétert kötelező megadni. -help Ha nem követi paraméter, akkor felsorolja az összes paramétert és azok egysoros leírását. Ha állnak utána bizonyos paraméterek, akkor csak azokat sorolja fel, egysoros leírásukkal együtt. Használata nem kötelező. -operations A paraméterek listája, leírások nélkül. Használata nem kötelező. -usage Bemutatja a parancs használatát, példával együtt. Használata nem kötelező. -? Ugyanaz, mint a usage. Használata nem kötelező. -remote_acl_user Adja meg a távoli ACL-felhasználó felhasználói nevét, amelyet a Tivoli Access Manager jogosultságkiszolgálóval létesített SSL kapcsolat létrehozásához használ. A config vagy unconfig műveleti beállítással együtt alkalmazza. Ha a felhasználói azonosító még nem létezik a Tivoli Access Manager biztonságos tartományban, adja meg az új felhasználó nevét. Ha a felhasználói azonosító már létezik, adja meg a felhasználó LDAP általános nevét (Common Name, CN). Az unconfig beállítással együtt használva mindig adja meg az LDAP általános nevet. Például, ha a config beállítást használja és a felhasználói név pdpermadmin, illetve a felhasználó még nem létezik, a következőt írja be: -remote_acl_user pdpermadmin

Ha a felhasználó már létezik, a következőt írja be: -remote_acl_user cn=pdpermadmin,o=ibm,c=us

-sec_master_pwd Ez a paraméter a config vagy az unconfig műveleti beállítással együtt használatos. Ezzel adható meg a sec_master felhasználó jelszava. -pdmgrd_host Ez a paraméter a config vagy az unconfig műveleti beállítással együtt használatos. Ez tartalmazza a Tivoli Access Manager házirend-kiszolgáló gazdanevét.

68


-pdacld_host Ez a paraméter a config vagy az unconfig műveleti beállítással együtt használatos. Ez tartalmazza a Tivoli Access Manager jogosultságkiszolgáló gazdanevét. -pdmgrd_port Ez a paraméter a config vagy unconfig műveleti beállítással együtt használatos választható konfigurációs elem. A Tivoli Access Manager házirend-kiszolgáló portszáma megadható, ha a konfigurációja során megadott érték eltér a szabványos porttól. -pdacld_port Ez a paraméter a config vagy unconfig műveleti beállítással együtt használatos választható konfigurációs elem. A Tivoli Access Manager jogosultságkiszolgáló portszáma megadható, ha a konfigurációja során megadott érték eltér a szabványos porttól. Ne feledje, hogy ezen paraméter használata esetén a pdmgrd_port értékét is meg kell adnia.

Magyarázatok A pdwascfg segédprogram UNIX rendszereken parancsfájlként, Windows rendszereken pedig parancskötegfájlként került megvalósításra. Ha a config műveleti beállítással hívja meg, a segédprogram a következő feladatokat hajtja végre: v Beállítja a CLASSPATH változót v Meghívja a Java osztály com.tivoli.mts.SvrSslCfg parancsfájlját, amelynek segítségével konfigurálja a Tivoli Access Manager for WebSphere jogosultsági összetevő és a házirend-kiszolgáló, valamint a jogosultságkiszolgáló közti SSL kommunikációt. v Létrehoz egy felhasználói azonosítót a Tivoli Access Manager for WebSphere osztályok számára a gazdarendszeren. A parancsfájl működése függ attól, hogy megtalálja-e a szükséges szoftverek helyére vonatkozó megfelelő környezeti változókat. A parancsfájl a következő beállításokkal hívja meg a Java futtató környezetet: v –Dpdwas.lang.home A Tivoli Access Manager for WebSphere termékkel együtt szállított, natív nyelvi támogatások könyvtárait tartalmazó könyvtár. Ezek a Tivoli Access Manager for WebSphere telepítési könyvtár egyik alkönyvtárában találhatók. Például: -Dpdwas.lang.home=%PDWAS_HOME%\java\nls

v –Dpdwas.home A Tivoli Access Manager for WebSphere saját (telepítési) könyvtára. Például: -Dpdwas.home=%PDWAS_HOME%

Megjegyzés: Ezen környezeti változó megadására csak akkor kerül sor, ha új parancsablakot nyit a Tivoli Access Manager for WebSphere telepítése után. v –Dwas.home A WebSphere Application Server saját (telepítési) könyvtára. Például: -Dwas.home=%WAS_HOME%

Minta Java parancs, amilyet a pdwascfg épít fel: java -Dpdwas.lang.home=%PDWAS_HOME%\java\nls -Dpdwas.home=%PDWAS_HOME% -Dwas.home=%WAS_HOME% PDWAScfg -action config -remote_acl_user pdpermadmin -sec_master_pwd sajátjelszó -pdmgrd_host pdmgrserver.mysubnet.ibm.com -pdacld_host pdacldserver.mysubnet.ibm.com

A. függelék Parancsleírások

69

migrateEAR A biztonsági irányelvekre vonatkozó információkat költözteti az eljárásindító-leírásokból (enterprise archívum fájlokból) a Tivoli Access Manager for WebSphere termékbe.

Használat migrateEAR -j az_alkalmazás_EAR_fájljának_teljes_elérési_útvonala -c a_PDPerm.properties_URI_címe -a Access_Manager_adminisztrációs_felhasználó -p adminisztrációs_felhasználó_jelszava -w Websphere_adminisztrációs_felhasználó -d felhasználói_címtár_tartomány-utótagja [ -r gyökérobjektum-terület_és_műveletcsoport_neve ] [ -t Secure_Sockets_Layer_időtúllépési_érték ]

Paraméter -a Access_Manager_adminisztrációs_felhasználó Az adminisztrációs felhasználónak rendelkeznie kell a felhasználók, objektumok és ACL-ek létrehozásához szükséges jogosultságokkal. Például: -a sec_master. Ezt a paramétert nem kötelező megadni. Ha a paraméter nincs megadva, a felhasználónak a segédprogram futása során kell megadnia az adminisztrátori jogosultsággal rendelkező felhasználó nevét. -c a_PDperm.properties_URI_címe A pdwascfg segédprogrammal konfigurált PDPerm.properties fájl helye URI-ként (Uniform Resource Indicator). Ha a WebSphere Application Server telepítése az alapértelmezett helyre történt, az URI a következő: v Solaris, Linux, HP-UX file:/opt/WebSphere/AppServer/java/jre/PDPerm.properties

v AIX file:/opt/WebSphere/AppServer/java/jre/PDPerm.properties

v Windows rendszeren file:/c:\WebSphere\AppServer\java\jre\PdPerm.properties

Ha a WebSphere Application Server telepítése Windows rendszereken nem az alapértelmezett helyre történik, alkalmazza a %WAS_HOME% változót a telepítési könyvtár megjelölésére: file:/%WAS_HOME%\java\jre\PdPerm.properties

-d felhasználói_címtár_tartomány-utótagja A felhasználói címtárban alkalmazott tartomány-utótag. LDAP címtárak esetén például a tartomány-utótag a következő lehet: "o=ibm,c=us"

-j az_alkalmazás_EAR_fájljának_abszolút_elérési_útvonala Java 2 Enterprise Edition alkalmazás archívum fájlja. Egy EAR könyvtár is lehet. Például: -j /tmp/test_application.EAR -p adminisztrációs_felhasználó_jelszava Az előbbi parancssori paraméterben megadott, adminisztrátori jogosultsággal rendelkező felhasználó jelszava. Például: -p sajátjelszó. Ezt a paramétert nem kötelező megadni. Ha a paraméter nincs megadva, a felhasználónak a segédprogram futása során kell beírnia az adminisztrátori jogosultsággal rendelkező felhasználó jelszavát.

70


-r gyökérobjektum-terület_és_műveletcsoport_neve A gyökérobjektum-terület neve a WebSphere Application Server számára létrehozandó védett objektum névtartomány-hierarchia gyökerének neve. A paramétert nem kötelező megadni. A gyökérobjektum-terület alapértelmezés szerinti értéke: WebAppServer. A műveleti csoport neve megegyezik a gyökérobjektum-terület nevével. Így a műveleti csoport nevét a rendszer automatikusan beállítja a gyökérobjektum-terület nevének megadásakor. Megjegyzés: Ezt a műveletcsoportot még a költöztető segédprogram futtatása előtt létre kell hozni. További információ: “2. rész: Felhasználó, művelet és műveletcsoport létrehozása” oldalszám: 24. -t Secure_Sockets_Layer_időtúllépési_érték Az SSL időtúllépés mértéke percben megadva. A rendszer ezen paraméter alapján szünteti meg és hozza létre újból a Tivoli Access Manager jogosultságkiszolgáló és házirend-kiszolgáló közti SSL kapcsolatot az alapértelmezett kapcsolat időtúllépése előtt. Az alapértelmezett érték 60 perc. A minimális érték 10 perc. A maximum értéke nem haladhatja meg a Tivoli Access Manager ssl-v3-timeout paraméterének értékét. Az ssl-v3-timeout paraméter alapértelmezett értéke 120 perc. Ezt a paramétert nem kötelező megadni. Ha nem tudja, hogyan kell ezt az értéket beállítani, nyugodtan használja az alapértelmezettet. -w WebSphere_adminisztrációs_felhasználó Ez a WebSphere Application Server adminisztrációs felhasználó mezőjében adminisztrátorként megadott felhasználónév. A Tivoli Access Manager védett objektumterületének létrehozására vagy frissítésére ez a felhasználó jogosult. Ha a WebSphere adminisztrációs felhasználó még nem létezik a védett objektumterületen, létrehozása, illetve importálása megtörténik. Ebben az esetben a rendszer egy véletlen jelszót rendel a felhasználóhoz és a fiók invalid (érvénytelen) beállítást kap. Ezt a jelszót meg kell változtatni, a fiók beállítását pedig valid (érvényes) értékűre kell módosítani. A létrehozott védett objektum: /WebAppServer/deployedResources/AdminRole/admin

A létrehozott ACL: _WebAppServer_deployedResources_AdminRole_admin

Az adminisztrációs felhasználót a rendszer felveszi a pdwas-admin csoportba a következő ACL ismertetőjelekkel: v T -- traverse művelet engedélyezése v i -- invoke művelet engedélyezése v WebAppServer -- a műveletcsoport neve. A WebAppServer az alapértelmezett név. Ne feledje, hogy ez a műveletcsoportnév (és az azonos gyökérobjektum-terület) felülírható, ha a költöztető segédprogram -r beállítással fut. Az admin.ear fájl költöztetése esetén a pdwas-admin csoportot fel kell venni az adminisztrátori feladatkörbe.

A. függelék Parancsleírások

71

Magyarázatok Ez a segédprogram biztonsági irányelvekre vonatkozó információkat költöztet az eljárásindító-leírásokból (enterprise archívum fájlokból) a Tivoli Access Manager for WebSphere termékhez. A segédprogram UNIX rendszereken parancsfájlként, Windows rendszereken pedig parancskötegfájlként került megvalósításra. A parancsfájl a com.tivoli.pdas.migrate.Migrate Java osztályt hívja meg. A parancsfájl működése függ attól, hogy megtalálja-e a szükséges szoftverek helyére vonatkozó megfelelő környezeti változókat. A parancsfájl a következő beállításokkal hívja meg a Java futtató környezetet: v –Dpdwas.lang.home A Tivoli Access Manager for WebSphere termékkel együtt szállított, natív nyelvi támogatások könyvtárait tartalmazó könyvtár. Ezek a Tivoli Access Manager for WebSphere telepítési könyvtár egyik alkönyvtárában találhatók. Például: -Dpdwas.lang.home=%PDWAS_HOME%\java\nls

v –cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate A CLASSPATH paramétert hibátlanul kell megadni a Java telepítéshez. Ezen túl, Windows rendszereken a –j és a –c beállítás egyaránt lekérdezheti a %WAS_HOME% változót a WebSphere Application Server telepítési helyének meghatározásához. Ez az információ a következőkhöz használatos: v A használt xerces.jar megfelelő verziójának ellenőrzésére. v Az enterprise archívum fájl teljes elérési útvonalának felépítésére. v A PDperm.properties fájl teljes elérési útvonalának felépítésére. Minta Java parancs, amilyet a migrateEAR épít fel: %JDK_DIR%\bin\java -Dpdwas.lang.home=%PDWAS_HOME%\java\nls -cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate -j C:%WAS_HOME%\config\alkalmazás.ear -a sec_master -p sec_master_jelszava -w wsadmin -d o=vállalat_neve,c=országnév -c file:/%WAS_HOME%\java\jre\PdPerm.properties

72


B. függelék Megjegyzések Ezek az információk az Egyesült Államok területén kínált termékekre és szolgáltatásokra vonatkoznak. Elképzelhető, hogy az IBM más országokban nem árusítja a jelen dokumentumban részletezett termékeket vagy szolgáltatásokat. Az IBM helyi képviselőjétől kérhet tájékoztatást az adott területen igénybe vehető termékekről és szolgáltatásokról. Egy adott IBM-termékre, programra vagy szolgáltatásra utaló bármilyen hivatkozás nem jelenti azt, hogy kizárólag az adott IBM-termék,program vagy szolgáltatás használható. Bármely funkcionálisan egyenértékű termék, program vagy szolgáltatás felhasználható, amely nem sérti a IBM szellemi tulajdonjogát. A felhasználó felelőssége azonban a nem IBM-termékek, programok vagy szolgáltatások megfelelő működésének ellenőrzése és értékelése. A jelen dokumentumban az IBM által szabadalmazott vagy éppen szabadalmaztatás alatt álló alkalmazásokról is lehetnek leírások. A dokumentum megszerzése a szabadalmakkal kapcsolatos semmilyen engedélyt nem ad. Az engedélyekkel kapcsolatos kéréseit írásos formában az alábbi címre küldheti el: IBM Director of Licensing IBM Corporation 500 Columbus Avenue Thornwood, NY 10594 U.S.A A kétbájtos (DBCS) információkkal kapcsolatos engedélykérésekkel keresse meg az IBM Intellectual Property Department részleget a saját országában, vagy kéréseit küldje írásban a következő címre: IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome, Minato-ku Tokyo 106, Japan A következő bekezdés nem vonatkozik az Egyesült Királyságra, illetve a többi olyan országra, amelyekben ez ellentétes a helyi jogszabályokkal: AZ INTERNATIONAL BUSINESS MACHINES CORPORATION EZEN KIADVÁNYT “ÖNMAGÁBAN”, BÁRMIFÉLE KIFEJEZETT VAGY VÉLELMEZETT GARANCIA NÉLKÜL ADJA KÖZRE, BELEÉRTVE - DE NEM KIZÁRÓLAGOSAN - A JOGSÉRTÉS KIZÁRÁSÁRA, A KERESKEDELMI ÉRTÉKESÍTHETŐSÉGRE ÉS AZ ADOTT CÉLRA VALÓ ALKALMAZHATÓSÁGRA VONATKOZÓ GARANCIÁKAT. Egyes államok nem engedik meg a kifejezett, vagy beleértett garanciák visszautasítását bizonyos ügyletek esetén, ennek következtében előfordulhat, hogy ez az állítás nem vonatkozik mindenkire. Ez a kiadvány tartalmazhat technikai pontatlanságokat és nyomdahibákat. Időnként készülnek módosítások az itt tárgyalt témához; ezeket a módosításokat a kiadvány új kiadása magában foglalja. A kiadványban ismertetett terméke(ke)t és/vagy a programo(ka)t az IBM külön figyelmeztetés nélkül, bármikor javíthatja és/vagy megváltoztathatja. Az információk között szereplő, nem IBM-webhelyekre mutató hivatkozások csak kényelmi szempontokat szolgálnak, és semmiképpen nem jelentik az adott webhelyek támogatását. Az ezeken a webhelyeken található anyagok nem képezik a jelen IBM-termék részét, és a webhelyek használata saját felelősségre történik.


73

Az IBM fenntartja magának a jogot, hogy a Felhasználó által hozzá eljuttatott információt az általa megfelelőnek tartott bármilyen módon használja illetve terjessze, a Felhasználó irányában történő mindenfajta kötelezettségvállalás nélkül. A program engedélyesei a (i) függetlenül létrehozott programok és más programok (beleértve ezt a programot is) közötti információcsere és (ii) a kicserélt információ kölcsönös felhasználásának lehetővé tételére vonatkozó információkért az alábbi címre írhatnak: IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 USA Az ilyen információk a vonatkozó szerződési feltételek szerint lehetnek elérhetők, egyes esetekben díjfizetés ellenében. A jelen tájékoztatóban leírt engedélyezett programot és a hozzá rendelkezésre álló összes, engedélyköteles anyagot az IBM az IBM Általános Értékesítési Feltételeiben, az IBM Nemzetközi Programfelhasználási Megállapodásban, illetve bármely, ezekkel egyenértékű szerződés keretében biztosítja. Az itt ismertetett teljesítményadatok ellenőrzött környezetben lettek meghatározva. Ezért a más működési környezetekben kapott eredmények ezektől jelentős mértékben is eltérhetnek. Egyes mérések fejlesztési szintű rendszereken történtek, és nem garantálható, hogy az általánosan elérhető rendszereken ezek a mérések ugyanazokat az eredményeket adják. Ezen kívül egyes mérési eredmények extrapolációval lettek meghatározva. A valós adatok ezektől eltérőek lehetnek. Jelen dokumentum felhasználójának felelőssége, hogy a saját környezetére jellemző adatokat ellenőrizze. A nem IBM termékekkel kapcsolatos információkat az említett termékek szállítóitól, a termékekhez kiadott nyomtatott anyagokból vagy más széles körben hozzáférhető információs forrásokból szereztük be. Az IBM ezen termékeket nem tesztelte, így azok teljesítménybeli pontosságát, kompatibilitását és egyéb jellemzőit nem tudja alátámasztani. A nem IBM-termékekkel kapcsolatos kérdésekkel forduljon az adott termék szállítójához! Az IBM által képviselt jövőbeli irányzatra vagy szándékra utaló bármely kijelentés előzetes értesítés nélkül módosítható vagy visszavonható; ezek kizárólag célokat és szándékokat jelölnek. Jelen tájékoztató tartalmazhat a napi üzleti tevékenység során használt mintaadatokat és jelentéseket. A lehető legteljesebb szemléltetés érdekében a példákban szerepelnek egyének, cégek, márkák és termékek nevei. Az összes ilyen név kitalált, és bármilyen hasonlóság valódi üzleti vállalkozásban használt névvel vagy címmel teljes mértékben véletlenszerű. SZERZŐI JOGI ENGEDÉLY: Ez a tájékoztató a különböző operációs rendszereken alkalmazható programozási technikákat bemutató, forrásnyelvű mintaalkalmazás-programokat tartalmaz. Ezeket a mintaprogramokat bármilyen formában ingyenesen másolhatja, módosíthatja és értékesítheti olyan alkalmazás-programok fejlesztése, felhasználása, értékesítése vagy terjesztése céljából, amelyek megfelelnek azon operációs rendszer alkalmazásprogramozási felületének, amelyhez ezek a mintaprogramok íródtak. Ezek a példák nem lettek minden esetre kiterjedően, körültekintően tesztelve. Az IBM ezért nem tudja garantálni vagy sugallni ezen programok megbízhatóságát, üzemképességét és működését. Ezeket a mintaprogramokat bármilyen

74


formában ingyenesen másolhatja, módosíthatja és terjesztheti olyan alkalmazásprogramok fejlesztése, felhasználása, értékesítése vagy terjesztése céljából, amelyek megfelelnek az IBM alkalmazásprogramozási felületeinek. A mintaprogramok bármely példányának vagy azok bármely részének, illetve bármilyen származtatott programnak tartalmaznia kell az alábbi szerzőijogi figyelmeztetést: © (vállalatnév) (év). Ezen kód bizonyos részei az IBM mintaprogramjaiból származnak. © Copyright IBM Corp. _írja ide az évszámot_. Minden jog fenntartva. Ha elektronikus formában olvassa ezt az információt, előfordulhat, hogy a fényképek és az ábrák nem jelennek meg.

Védjegyek Az alábbi kifejezések az International Business Machines Corporation védjegyei vagy bejegyzett védjegyei az Egyesült Államokban és/vagy más országokban: AIX DB2 IBM IBM logó SecureWay Tivoli Tivoli logó A Microsoft, a Windows, a Windows NT és a Windows logó a Microsoft Corporation védjegyei az Egyesült Államokban és/vagy más országokban. A Java, illetve az összes Java-alapú védjegy és embléma a Sun Microsystems, Inc. védjegye vagy bejegyzett védjegye az Egyesült Államokban és más országokban. A UNIX a The Open Group bejegyzett védjegye az Egyesült Államokban és más országokban. Más cég-, termék- vagy szolgáltatásnevek más cégek védjegyei vagy szolgáltatás védjegyei lehetnek.

B. függelék Megjegyzések

75

76


Fogalomtár A

teljes vagy korlátozott hozzáférési jogosultságot kap egy objektumhoz, erőforráshoz vagy funkcióhoz.

hozzáférés-felügyelet. A számítástechnikai biztonság területén ez a kifejezés arra a folyamatra utal, melynek segítségével biztosítható, hogy egy adott számítógéprendszer erőforrásaihoz csak a jogosult felhasználók férhessenek hozzá a jogosultságaik által engedélyezett módon.

felhatalmazási szabály. Lásd: szabály.

hozzáférés-felügyeleti lista (ACL). A számítástechnikai biztonság területén egy olyan objektummal társított listára utal, amely az objektum elérésére jogosult valamennyi entitást, és ezen entitások hozzáférési jogosultságait azonosítja. A hozzáférés-felügyeleti lista például egy olyan fájllal társított lista lehet, amely azonosítja a fájl elérésére jogosult felhasználókat, és megadja az egyes felhasználók hozzáférési jogosultságait az adott fájlhoz. hozzáférési engedély. Az a hozzáférési jogosultság, amely az egész objektumra érvényes,

felhatalmazási szolgáltatás bővítmény. Egy dinamikusan betölthető könyvtár (DLL vagy megosztott könyvtár), amelyet a Tivoli Access Manager felhatalmazási API futásidejű ügyfél betölthet az inicializálás során, a felhatalmazási API-n belüli szolgáltatási kezelőfelületet kiterjesztő műveletek végrehajtásának érdekében. A jelenleg rendelkezésre álló szolgáltatás-kezelőfelületek többek között az Adminisztráció, a Külső felhatalmazás, a Jogosultság-módosítás, a Jogosítványok és a PAC-manipuláció kezelőfelületek. Az ügyfelek ezeket a szolgáltatásokat a jogosultságkezelési ADK segítségével fejleszthetik.

B BA. Lásd: alapszintű hitelesítés.

művelet. Egy hozzáférés-felügyeleti lista (ACL) engedély ismertetőjele. Lásd még hozzáférés-felügyeleti lista HVL. Lásd: hozzáférés-felügyeleti lista. adminisztrációs szolgáltatás. Olyan jogosultsági API futásidejű bővítmény, amelynek segítségével adminisztrációs kérések hajthatók végre egy Tivoli Access Manager erőforráskezelő alkalmazáson. Az adminisztrációs szolgáltatás végrehajtja a pdadmin parancstól származó távoli kéréseket, mint például a védett objektumfa egy adott csomópontja alatt található objektumok listázását. Az ügyfelek ezeket a szolgáltatásokat a jogosultságkezelési ADK segítségével fejleszthetik. attribútumlista. A jogosultsággal kapcsolatos döntések meghozatalához szükséges bővített információkat tartalmazó csatolt lista. Az attribútumlisták név = érték párokat tartalmaznak. hitelesítés. (1) A számítástechnikai biztonság területén egy felhasználó személyazonosságának ellenőrzését, illetve a felhasználó egyes objektumokra vonatkozó hozzáférési jogosultságainak megállapítását jelenti. (2) A számítástechnikai biztonság területén arra a folyamatra utal, melynek segítségével megállapítható, hogy egy adott üzenet nem módosult, illetve nem sérült-e. (3) A számítástechnikai biztonság területén egy olyan folyamatra utal, melynek során ellenőrizhető az információs rendszerek vagy védett erőforrások felhasználóinak személyazonossága. Lásd még: többfaktorú hitelesítés, hálózati hitelesítés és változó szintű hitelesítés. felhatalmazás. (1) A számítástechnikai biztonság területén a felhasználóra ruházott jog, amely alapján jogosulttá válik a számítógéprendszerrel való kommunikációra, vagy annak használatára. (2) Az a folyamat, amelynek során a felhasználó © Szerzői jog IBM 2002, 2003

alapszintű hitelesítés. Olyan hitelesítési módszer, amely csak akkor biztosít hozzáférést a biztonságos online erőforrásokhoz, ha a felhasználó beír egy érvényes felhasználónevet és jelszót. összekapcsolás. Egy azonosító és egy másik objektum összekapcsolása egy programon belül. Például egy azonosító és egy érték, egy cím vagy egy másik azonosító egymáshoz rendelése, illetve formális és valós paraméterek társítása. blade. Olyan összetevő, amely az alkalmazásra jellemző szolgáltatásokat és összetevőket biztosítja. üzleti meghatalmazás. Azon felhasználói jogosultság járulékos attribútuma, amely az erőforrások jogosultságkéréseihez szükséges részletes feltételeket írja le.

C CA. Lásd: igazoló hatóság. CDAS. Lásd: Tartományok közti hitelesítési szolgáltatás. CDMF. Lásd: Tartományok közti leképezési keretrendszer. tanúsítvány. A számítástechnikai biztonság területén olyan digitális dokumentumra utal, amely egy nyilvános kulcsot a tanúsítvány birtokosának személyazonosságához kapcsol, ezzel lehetővé téve a tanúsítvány birtokosának azonosítását. A tanúsítványokat az igazoláskibocsátó adja ki. igazoló hatóság (CA). Igazolásokat kibocsátó szervezet. Az igazoláskibocsátó hitelesíti a tanúsítvány tulajdonosának személyazonosságát és a tulajdonos által használható szolgáltatásokat, új tanúsítványokat bocsát ki, megújítja a

77

létező tanúsítványokat, valamint visszavonja a tanúsítványokat azoktól a felhasználóktól, akik többé nem jogosultak a használatukra. CGI. Lásd: közös átjáróillesztő. rejtjel. Olyan titkosított adatok, amelyek egészen addig olvashatatlanok maradnak, amíg egy kulcs segítségével sima adatokká nem alakítja (meg nem fejti) azokat. közös átjáróillesztő (CGI). Az információt HTTP kérésekkel egy web-szerverről alkalmazási programba és vissza adó parancsállományok megadására szolgáló Internet szabvány. A CGI parancsállomány egy parancsfájl létrehozására alkalmas nyelven - például Perl nyelven - megírt CGI program. konfiguráció. (1) Az a mód, ahogyan egy információfeldolgozó rendszer hardveres és szoftveres részei szerveződnek és kapcsolódnak. (2) Egy rendszert, alrendszert vagy hálózatot alkotó számítógépek, eszközök és programok. kapcsolat. (1) Az adatkommunikáció területén a funkcionális egységek közti társításokra utal, amelyek segítségével információ továbbítható. (2) TCP/IP esetében két protokollalkalmazás közti útvonal, amely megbízható adatfolyam-kézbesítési szolgáltatást nyújt. Az intereneten a kapcsolat az egyik rendszeren található TCP/IP alkalmazástól egy másik rendszeren működő TCP/IP alkalmazásig terjed. (3) A rendszerkommunikáció területén olyan vonalat jelent, amelyen keresztül két rendszer között, illetve egy rendszer és egy eszköz között adatok továbbíthatók. tárolóobjektum. Egy strukturális megjelölés, amely az objektumteret különálló funkcionális tartományokra osztja. cookie. (Lábnyom, süti) Olyan információ, amelyet a kiszolgáló az ügyfélgépen tárol, és a további munkamenetek során beolvas. A cookie-k segítségével a kiszolgálók az ügyfelekkel kapcsolatos információkra emlékezhetnek. jogosultságok. A hitelesítés során szerzett részletes információk, amelyek a felhasználót, a csoport-társításokat, és a biztonsággal kapcsolatos egyéb azonossági ismertetőjeleket írják le. A jogosultságok olyan szolgáltatások használatát teszik lehetővé, mint például a felhatalmazás, a követés és a meghatalmazás. jogosultságmódosító szolgáltatás. A felhatalmazási API futásidejű bővítője, amelynek segítségével módosíthatók a Tivoli Access Manager jogosultságok.Az ügyfelek által fejlesztett jogosultságmódosító szolgáltatások segítségével csak eltávolítani és felvenni lehet ismertetőjeleket a jogosultságok ismertetőjel-listájára, és ezek a műveletek csak a módosíthatónak minősülő ismertetőjelekkel hajthatók végre. tartományok közti hitelesítési szolgáltatás (CDAS). Egy WebSEAL-szolgáltatás, amely olyan megosztottkönyvtármechanizmust bocsát rendelkezésre, amelynek használatával az alapértelmezett WebSEAL hitelesítési mechanizmusokat egy testreszabott folyamattal helyettesítheti, amely Tivoli Access Manager azonosítót küld vissza a WebSEAL számára. Lásd még: WebSEAL.

78

tartományok közti leképezési keretrendszer (CDMF). Olyan programozási felület, amelynek segítségével a fejlesztő testre szabhatja a felhasználói azonosságok leképezését és a felhasználói ismertetőjelek kezelését a WebSEAL e-Community SSO funkciók használatakor.

D démon. Folyamatos vagy időszakos rendszerfunkciókat például hálózatvezérlést - ellátó felügyelet nélkül futó program. Egyes démonok automatikusan hajtják végre feladataikat, míg mások megadott időközönként lépnek működésbe. címtárséma. Azok az érvényes tulajdonságtípusok és objektumosztályok, amelyek megjelenhetnek egy címtárban. A tulajdonságtípusok és az objektumosztályok a tulajdonságértékek szintaktikáját határozzák meg: mely tulajdonságoknak kell jelen lenniük, és mely tulajdonságok lehetnek jelen a címtárban. megkülönböztető név (DN). Az a név, amely egyértelműen azonosít egy bejegyzést a címtárban. A megkülönböztető név tulajdonság:érték párokból áll, amelyeket vessző választ el egymástól. digitális aláírás. Az elektronikus kereskedelemben olyan adatot jelent, amely egy adategységhez kapcsolódik, vagy az adategység titkosított példányát foglalja magában. Az adategység címzettje ezen adat segítségével az esetleges hamisítványok kiszűréséhez ellenőrizheti az egység forrását és integritását. DN. Lásd: megkülönböztető név. tartomány. (1) Azon felhasználók, rendszerek és erőforrások logikai csoportba foglalása, amelyek közös szolgáltatásokon osztoznak és általában közös céllal működnek. (2) A számítógépes hálózat azon része, amelyben az adatfeldolgozó erőforrások közös irányítás alá tartoznak. Lásd még: tartománynév. tartománynév. Az internetes protokollok területén egy gazdarendszer nevére utal. A tartománynevek alnevek sorozatából állnak, amelyeket elválasztó karakterek különítenek el egymástól.Ha például egy gazdarendszer teljesen megadott tartományneve (FQDN-je) as400.rchland.vnet.ibm.com, akkor a következő nevek mindegyike tartománynévnek minősül: as400.rchland.vnet.ibm.com, vnet.ibm.com, ibm.com.

E EAS. Lásd: Külső felhatalmazási szolgáltatás. titkosítás. A számítástechnikai biztonság területén az a folyamat, amelynek során az adatok úgy alakulnak értelmezhetetlen adatokká, hogy az eredeti adatok egyáltalán nem nyerhetők vissza, vagy pedig kizárólag egy visszafejtő folyamat alkalmazásával nyerhetők vissza.


meghatalmazás. Olyan adatszerkezet, amely külső feldolgozásra alkalmas biztonsági irányelv-információkat tartalmaz. A meghatalmazások olyan rendadatokat vagy képességeket tartalmaznak, amelyek egy adott alkalmazás számára feldolgozható formátumban állnak rendelkezésre. meghatalmazási szolgáltatás. A felhatalmazási API futásidejű bővítője, amelynek segítségével jogosultságok küldhetők vissza egy külső forrásból egy vagy több feltétel teljesülése esetén. A meghatalmazások általában alkalmazásfüggő adatok, amelyeket valamilyen módon az erőforráskezelő alkalmazás dolgoz fel, vagy pedig az azonosító jogosultságai közé kerülnek a felhatalmazási folyamat során történő további felhasználás céljából. Az ügyfelek ezeket a szolgáltatásokat a jogosultságkezelési ADK segítségével fejleszthetik. külső felhatalmazási szolgáltatás. Egy olyan felhatalmazási API futásidejű bővítmény, amelynek segítségével az alkalmazásra vagy a környezetre jellemző felhatalmazási döntések hozhatók meg a Tivoli Access Manager felhatalmazási döntéslánc részeként. Az ügyfelek ezeket a szolgáltatásokat a jogosultságkezelési ADK segítségével fejleszthetik.

F fájlátviteli protokoll (FTP). Az internetes protokollok között található alkalmazásréteg-protokoll, amely Átvitelvezérlő protokoll (TCP) és Telnet szolgáltatások segítségével nagy méretű adatfájlok átvitelét teszi lehetővé számítógépek vagy gazdagépek között.

G globális bejelentkezés (GSO). Olyan rugalmas egypontos bejelentkezési megoldás, amelynek segítségével a felhasználó alternatív felhasználóneveket és jelszavakat adhat meg a célterület webalkalmazás-kiszolgáló számára.A globális bejelentkezés segítségével a felhasználók hozzáférhetnek a számukra egyetlen bejelentkezéssel is elérhető számítástechnikai erőforrásokhoz. A GSO a több rendszert és alkalmazást heterogén, elosztott számítástechnikai környezetekben üzemeltető, nagy vállalatok számára ideális, mivel használatával nincs szükség arra, hogy a felhasználók több felhasználónevet és jelszót használjanak. Lásd még: egypontos bejelentkezés.

hipertext átviteli protokoll (HTTP). Az internetes protokollok között található protokoll, amely a hipertext-dokumentumok átviteléhez és megjelenítéséhez használatos.

I Internet protokoll (IP). Az internetes protokollok között található kapcsolat nélküli protokoll, amely adatokat továbbít egy hálózaton vagy összekapcsolt hálózatokon keresztül, és közvetítőként működik a magasabb protokollrétegek és a fizikai hálózat között. Internetes protokollok. Olyan protokollok csoportja, amelyek az interneten történő működéshez jöttek létre, és amelyeket az Internet Engineering Task Force (IETF) RFC-dokumentumokként tesz közzé. folyamatok közti kommunikáció (IPC). (1) Az a folyamat, amellyel a programok egymás számára adatokat küldenek és összehangolják tevékenységüket. A folyamatok közti kommunikáció gyakori formája a szemaforok, jelek és belső üzenetsorok használata. (2) Az operációs rendszer azon eljárása, amellyel a folyamatok akár egy számítógépen belül, akár hálózatban egymással kommunikálhatnak. IP. Lásd: Internet protokoll. IPC. Lásd: Folyamatok közti kommunikáció.

J junction. WebSEAL-kapcsolat; HTTP vagy HTTPS kapcsolat egy WebSEAL kiszolgáló és egy célterület webalkalmazás-kiszolgáló között. A WebSEAL junction segítségével biztosít védelmi szolgáltatásokat a célterület-kiszolgáló oldalán.

K kulcs. A számítástechnikai biztonság területén olyan jelkészletet jelent, amely titkosítási algoritmusok segítségével adatok titkosításához és visszafejtéséhez használható. Lásd: saját kulcs és nyilvános kulcs. kulcsadatbázis-fájl. Lásd: kulcskarika. kulcsfájl. Lásd: kulcskarika.

GSO. Lásd: globális bejelentkezés.

H gazda. Egy hálózathoz (például az internethez vagy egy SNA hálózathoz) csatlakoztatott számítógép, amely hozzáférési pontot biztosít az adott hálózathoz. A környezettől függően a gazda ezenkívül a hálózat központosított kezelését is lehetővé teheti. A gazda ügyfél, kiszolgáló, illetve egyidejűleg ügyfél és kiszolgáló is lehet. HTTP. Lásd: Hipertext átviteli protokoll.

kulcspár. A számítástechnikai biztonság területén egy nyilvános kulcsra és egy saját kulcsra utal. Ha a kulcspár titkosításban vesz részt, akkor a feladó a nyilvános kulcs használatával titkosítja az üzenetet, majd a címzett a saját kulcs segítségével visszafejti azt. Ha a kulcspár aláíráshoz szükséges, akkor az aláíró a saját kulcs használatával titkosítja az üzenetet egy példányát, majd a címzett a nyilvános kulcs segítségével visszafejti azt az aláírás ellenőrzésének céljából. kulcskarika. A számítástechnikai biztonság területén olyan fájlt jelent, amely nyilvános kulcsokat, saját kulcsokat, megbízható gyökereket és igazolásokat tartalmaz. Fogalomtár

79

L

N

LDAP. Lásd: Lightweight Directory Access Protocol.

hálózatalapú hitelesítés. Védett objektumrend (POP), amely a felhasználó internet protokoll (IP) címe alapján szabályozza az objektumokhoz való hozzáférést. Lásd még: védett objektumrend.

lightweight directory access protocol (LDAP). Nyílt protokoll, amely (a) TCP/IP segítségével biztosít hozzáférést az X.500 modellt támogató címtárakhoz és (b) alacsonyabb erőforrásigényekkel rendelkezik a jóval összetettebb X.500 Címtárhozzáférési protokollnál (DAP). Az LDAP protokollt használó alkalmazások (címtárkezelésre képes alkalmazások) a címtárat közös adatforrásként használhatják, illetve az emberekkel és a szolgáltatásokkal kapcsolatos adatok - például e-mail címek, nyilvános kulcsok vagy szolgáltatásokra jellemző konfigurációs paraméterek - beszerzéséhez is alkalmazhatják. Az LDAP eredeti meghatározása az 1777-es számú RFC-dokumentumban található. Az LDAP 3. verzióját a 2251-es számú RFC határozza meg, és az IETF továbbra is dolgozik a további szabványos funkciók felvételén. Az IETF által az LDAP protokollal kapcsolatban meghatározott szabványsémák némelyike a 2256-os számú RFC-ben található. lightweight third party authentication (LTPA). Olyan hitelesítési keretrendszer, amely lehetővé teszi az egypontos bejelentkezést egy internetes tartományhoz tartozó webkiszolgálók csoportján keresztül.

P PAC. Lásd: jogosultság ismertetőjel bizonyítvány. engedély. Védett objektumok, például fájlok és könyvtárak elérésére irányuló képesség.Az egyes objektumokkal kapcsolatos engedélyek számát és jelentését a hozzáférés-felügyeleti lista (ACL) határozza meg.Lásd még: hozzáférés-felügyeleti lista rend. A kezelt erőforrásokra érvényes szabályok csoportja. házirend-kiszolgáló. A Tivoli Access Manager kiszolgáló, amely a biztonságos tartományban található egyéb kiszolgálók helyinformációit tartja karban. lekérdezés. Az adatbázisok vizsgálatának szabályos időközönként történő folyamata annak eldöntése érdekében, hogy szükség van-e adatátvitelre.

LTPA. Lásd: lightweight third party authentication.

POP. Lásd: védett objektumrend.

M

portál. Olyan integrált webhely, amely a hálózati erőforrások dinamikusan változó, testreszabott listáját szolgáltatja, például egy adott felhasználó hozzáférési engedélyeitől függően a számára elérhető hivatkozásokat, tartalmat és szolgáltatásokat.

felügyelet tartomány. Az az alapértelmezés szerinti tartomány, amelyben a Tivoli Access Manager megköveteli a hitelesítéshez, a felhatalmazáshoz és a hozzáférésvezérléshez szükséges biztonsági alapelveket.Ez a tartomány a házirend-kiszolgáló konfigurálásakor jön létre.Lásd még: tartomány. kezelőkiszolgáló. Elavult. Lásd: házirend-kiszolgáló. metaadat. Olyan adat, amely tárolt adatok jellemzőit írja le. költöztetés. Egy program új verziójának vagy új kiadásának telepítése egy régebbi verzió vagy kiadás helyettesítéséhez. többfaktorú hitelesítés. Olyan védett objektumrend (POP), amely a felhasználót legalább két hitelesítési szint használatával történő hitelesítésre kötelezi. Egy védett erőforráshoz tartozó hozzáférés-felügyelet például megkövetelheti, hogy a felhasználók csak a felhasználónév/jelszó és a felhasználónév/jelsor kód egyidejű használatával végezhessenek hitelesítést. Lásd még: védett objektumrend. többcsatornás proxy ügynök (MPA). Egy átjáró, amely több ügyfélhozzáférést biztosít. Ezek az átjárók Vezetéknélküli hozzáférési protokoll (WAP) átjárók is lehetnek, ha az ügyfelek WAP használatával érik el a biztonságos tartományt. Az átjárók egyetlen hitelesített csatornát hoznak létre az eredetkiszolgáló irányába, és az összes ügyfélkérést és -választ ezen a csatornán áramoltatják.

80

jogosultság ismertetőjel bizonyítvány. Digitális dokumentum, amely egy alapelem hitelesítési és felhatalmazási attribútumait és egy alapelem képességeit tartalmazza. jogosultság ismertetőjel bizonyítvány szolgáltatás. Olyan felhatalmazási API futásidejű ügyfél bővítmény, amely egy előre meghatározott PAC-jogosultságot Tivoli Access Manager jogosultsággá alakít, és ezt fordítva is képes végrehajtani.Ezen szolgáltatások segítségével a Tivoli Access Manager jogosultság becsomagolás után a biztonságos tartomány más tagjai számára is átküldhető.Az ügyfelek ezeket a szolgáltatásokat a jogosultságkezelési ADK segítségével fejleszthetik.Lásd még: jogosultság ismertetőjel bizonyítvány. védett objektum. Valós rendszererőforrások logikai objektum-ábrázolása, amelyek ACL-ek és POP-ok alkalmazására, valamint a felhasználói hozzáférés felhatalmazására használhatók.Lásd még: védett objektumrend és védett objektumtér. védett objektumrend (POP). Olyan biztonsági irányelv típus, amely a HVL házirend védett objektumok hozzáférését szabályozó működésén túl további feltételeket támaszt. A POP feltételek megkövetelése az erőforrás-kezelő felelőssége.Lásd még: hozzáférés-felügyeleti lista, védett objektum és védett objektumtér.


védett objektumtér. Valós rendszererőforrások látszólagos objektum-ábrázolása, amely ACL-ek és POP-ok alkalmazására, valamint a felhasználói hozzáférés felhatalmazására használható.Lásd még: védett objektum és védett objektumrend. saját kulcs. A számítástechnikai biztonság területén olyan kulcsot jelent, amely csak a tulajdonosa számára ismert. Ellentétpárja a nyilvános kulcs. nyilvános kulcs. A számítástechnikai biztonság területén olyan kulcsot jelent, amelyhez bárki hozzáférhet. Ellentétpárja a saját kulcs.

Q védelem minősége. Az adatbiztonság szintje, amelyet a hitelesítési, integritási és bizalmassági körülmények határoznak meg.

R rendszerleíró-adatbázis. A felhasználók, rendszerek és szoftverek hozzáférési és konfigurációs információit tartalmazó adattár. replika. Olyan kiszolgáló, amely egy másik kiszolgáló címtárának vagy címtárainak másolatát tartalmazza. A replikák biztonsági másolatot készítenek más kiszolgálókról, ezáltal növelve a teljesítményt, csökkentve a válaszidőket és biztosítva az adatok épségét. erőforrás-objektum. Egy valós hálózati erőforrás - például egy szolgáltatás, fájl vagy program - ábrázolása. válaszfájl. Olyan fájl, amely egy program által feltett kérdésekre előre megadott válaszokat tartalmaz, és amelynek használatával nem kell egyenként beírni az értékeket. szerepkör-aktivizálás. A hozzáférési engedélyek szerepkörhöz történő hozzárendelésének folyamata. szerepkörkiosztás. A szerepkörök felhasználókhoz történő hozzárendelésének folyamata. Ennek során a felhasználó megfelelő hozzáférési engedélyeket kap a szerepkörhöz meghatározott objektumok eléréséhez. továbbító fájl. Egy ASCII fájl, amely az üzenetek konfigurációját vezérlő parancsokat tartalmaz. RSA-titkosítás. Nyilvános kulcsú titkosítást alkalmazó rendszer, amely titkosításra és hitelesítésre használatos. 1977-ben találta fel Ron Rivest, Adi Shamir és Leonard Adleman. A rendszer biztonsága attól függ, hogy mennyire nehéz két nagy prímszám szorzatát tényezőkre bontani. szabály. Egy vagy több logikai állítás, amely(ek) révén az esemény-kiszolgáló felismeri az események közötti kapcsolatokat (eseményösszefüggést) és ennek megfelelő automatizált válaszokat hajt végre.

futásidő. Az az időtartam, amíg egy számítógépes program végrehajtása folyik. A futásidejű környezet végrehajtási környezet.

S skálázhatóság. Egy hálózatos rendszer képessége arra, hogy az erőforrásaihoz hozzáférő felhasználók számával együtt növekedjen. séma. Azon utasítások csoportja adatmeghatározási nyelven kifejezve, amelyek teljes mértékben leírják az adatbázis szerkezetét. Relációs adatbázisban a séma határozza meg a táblákat, az egyes táblákban szereplő mezőket, valamint a mezők és táblák közötti kapcsolatokat. secure sockets layer (SSL). A kommunikáció bizalmasságát biztosító biztonsági protokoll. Az SSL lehetővé teszi, hogy az ügyfél/kiszolgáló alkalmazások kommunikációja a lehallgatás, a befolyásolás és a meghamisítás veszélye nélkül folyhasson. Az SSL-t a Netscape Communications Corp. és az RSA Data Security, Inc fejlesztette ki. biztonsági vezérlés. Az irányítás azon területe, amely a szervezeten belül azon alkalmazásokhoz és adatokhoz kezeli a hozzáférést, amelyek a szervezet sikeréhez elengedhetetlenül fontosak. önregisztrálás. Az a folyamat, amelynek során egy felhasználó adminisztrátori beavatkozás nélkül adhatja meg a szükséges adatokat és válhat Tivoli Access Manager felhasználóvá. szolgáltatás. A kiszolgáló által végzett munka. A szolgáltatás egyszerű adattovábbításra vagy adattárolásra irányuló kérés (például a fájlkiszolgálók, HTTP-kiszolgálók, e-mail kiszolgálók és finger kiszolgálók esetében), vagy pedig a nyomtatókiszolgálók és a folyamatkiszolgálók esetében például összetettebb feladat is lehet. csendes telepítés. Olyan telepítési folyamat, amelynek során nem érkeznek üzenetek a konzolra, hanem az üzenetek és a hibaüzenetek naplófájlokba kerülnek. A csendes telepítések során válaszfájlok is használhatók az adatbevitelhez. Lásd még: válaszfájl. egypontos bejelentkezés (SSO). A felhasználó azon képessége, amelynek segítségével egy bejelentkezés elvégzése után több alkalmazást is elérhet anélkül, hogy minden egyes alkalmazásba külön be kellene jelentkeznie. Lásd még: globális bejelentkezés. SSL. Lásd: Secure Sockets Layer. SSO. Lásd: Egypontos bejelentkezés. változó szintű hitelesítés. Olyan védett objektumrend (POP), amely a hitelesítési szintek előre konfigurált hierarchiájára támaszkodva az erőforrás esetében beállított rend alapján megadott szintű hitelesítést végez. A változó szintű hitelesítés POP alkalmazásával a felhasználó nem csak a változó szintű hitelesítés használatával képes elérni az egyes erőforrásokat, Fogalomtár

81

hanem az is elég, ha a felhasználó legalább olyan magas szintű hitelesítést végez, mint ami az adott erőforrást védő rend számára szükséges. utótag. Olyan megkülönböztető név, amely egy helyileg tárolt címtár-hierarchia legfelső bejegyzését azonosítja. A Lightweight Directory Access Protocol (LDAP) által használt viszonylagos névadási séma miatt ez az utótag a címtár-hierarchia minden további bejegyzésére érvényes. A címtárkiszolgálók több utótaggal is rendelkezhetnek, amelyek mindegyike egy helyileg tárolt címtár-hierarchiát azonosít.

T jelsor. (1) Helyi hálózatokban a jogosultság szimbóluma, amelyet egy adatállomás egy másik adatállomásnak ad át, ezzel jelezve, hogy az adott állomás kezeli átmenetileg az átviteli csatornát. Az összes adatállomásnak lehetősége nyílik a jelsor megszerzésére, és ezzel a csatorna vezérlésére. A jelsor egy adott üzenet vagy bitminta, amely az átviteli engedélyt képviseli. (2) Helyi hálózatokban (LAN) olyan bitsorozat, amelyet egy eszköz a másiknak ad át az átviteli csatornán keresztül. Ha a jelsorhoz adatok is kapcsolódnak, akkor keretté válik. megbízható gyökér. A Secure Sockets Layer (SSL) titkosítás esetén a nyilvános kulcs és egy igazoló hatóság (CA) társított megkülönböztető neve.

V látszólagos gazdaszerep. A webkiszolgálók azon képessége, amelynek segítségével az interneten több gazdagépként jelenhetnek meg.

W Web Portal Manager (WPM). Web-alapú grafikus alkalmazás, amelynek segítségével a Tivoli Access Manager Base és WebSEAL biztonsági rend kezelhető a biztonságos tartományokban. A pdadmin parancssori kezelőfelület alternatívája. A távoli adminisztrátorok ennek a grafikus felületnek a segítségével férhetnek hozzá a rendszerhez, az adminisztrátorok pedig ennek segítségével hozhatnak létre meghatalmazott felhasználói tartományokat és rendelhetnek meghatalmazott adminisztrátorokat ezen tartományokhoz. WebSEAL. A Tivoli Access Manager termék összetevője. A WebSEAL egy nagy teljesítményű, többszálú webkiszolgáló, amely biztonsági rendet tart fenn a védett objektumterületen. A WebSEAL egypontos bejelentkezési megoldásokat nyújt, és a célterületen található webes alkalmazáskiszolgálók erőforrásait beépíti saját biztonsági rendjébe. WPM. Lásd: Web Portal Manager.

U egységes erőforrás-azonosító (URI). Olyan karaktersorozat, amely az Interneten található tartalmat azonosítja. A karaktersorozat az erőforrás nevét (egy könyvtár és egy fájl nevet), az erőforrás helyét (azt a számítógépet, amelyen a könyvtár és a fájl található), valamint az erőforrás elérési módját (a protokollt - például HTTP) tartalmazza.Az URI egyik formája az egységes erőforrás-mutató, másnéven URL. egységes erőforrás-mutató (URL). Olyan karaktersorozat, amely egy számítógépen vagy egy hálózaton (például az interneten) található információs erőforrásokat képvisel. Ez a karaktersorozat (a) az információs erőforrás eléréséhez használt protokoll rövidített nevét és (b) a protokoll által az információs erőforrás megkereséséhez használt információkat tartalmazza. Az internet esetében például az következő rövidített nevek a különféle információs erőforrások eléréséhez használt protokollokra utalnak: http, ftp, gopher, telnet és news; a következő URL pedig az IBM honlap címe: http://www.ibm.com. URI. Lásd: egységes erőforrás-azonosító. URL. Lásd: egységes erőforrás-mutató. felhasználó. Bármely olyan személy, szervezet, folyamat, eszköz, program, protokoll vagy rendszer, amely mások által nyújtott szolgáltatást használ. felhasználói címtár. Lásd: címtár.

82


Tárgymutató A, Á

felhasználói címtár (Folytatás) LDAP 14 felhasználók megfeleltetése szerepköröknek felhasználók beömlesztése 14 felhasználók importálása 14 felhasználók maximális száma megadás 43 frissítés Access Manager 3.9-ről 15 Policy Director 3.8-ról 15

admin.ear 27, 34, 58 adminisztrációs API 8, 42 adminisztrációs eszközök pdadmin 42 Webportál-kezelő 42 adminisztrációs felhasználó WebSphere létrehozás 25 Advanced Edition 3 azonosító élettartama megadás 43 azonosítók 4

G gazda alapú adatbiztonság 41 gazdagép alapú adatbiztonság 15

B biztonság deklaratív 2 parancsvezérelt

GY

2

gyorsítótár-táblák megadás 43 gyökérobjektum-terület neve megadás 45

C címtár 14 CLASSPATH beállítás 26 com.tivoli.mts.SvrSslCfg

26

CS csoportok

34

4

D deklaratív biztonság 2 dinamikus szerepkör-gyorsítótár konfigurálás 43 Dokumentumtípus definíciója megadás 45 DTD 33, 45

H házirend-kezelés központosítás 8 hibaelhárítási tippek 37, 47 hibafelderítés 37, 47 hozzáférés-vezérlési listák 5 hozzáférési beállítás felülbírálás 7 öröklődés 7

I, Í InstallShield

20

J E, É EAR fájlok 36 egyidejű kapcsolatok korlátozás 42 eljárásindítás-leírók 3, 5, 33, 36 eltávolítás AIX 64 HP-UX 65 Linux 66 Solaris 63 Windows 63

F felhasználói címtár követelmények 14 közös 3, 12 © Szerzői jog IBM 2002, 2003

J2EE biztonság 4 Java Runtime Environment előfeltételként szükséges verzió Java tulajdonságfájl 42 jogosultsági döntés 3 jogosultságkiszolgáló továbbiak konfigurálása 45

13

K kapcsolódó kiadványok x konfigurációs paraméterek megadás 42 konfigurálás dinamikus szerepkör-gyorsítótár kezdeti rendszer 23 Tivoli Access Manager 23

43

83

konfigurálás (Folytatás) további rendszerek 23, 30 költöztető segédprogram áttekintése 33 első használat 29, 35, 60 használata 33 hivatkozási oldal 70 korlátozások 36 naplózás 29, 35, 60 útmutató 58 követelmények lemezterület 11 memória 11

L létrehozás Tivoli Access Manager művelet 25 Tivoli Access Manager műveletcsoport 25 WebSphere adminisztrációs felhasználó 25

M megfeleltetés azonosítók szerepközökhöz 4 csoportok szerepkörökhöz 4 felhasználót szerepköröknek 34 memóriakövetelmény 11 merevlemez-követelmény 11 migrateEAR hivatkozási oldal 70 művelet létrehozás 25 művelet indítása létrehozás 25 műveletcsoport létrehozás 25

pdwascfg használat 26, 32 hivatkozási oldal 68 pkgadd 16

R rpm

19, 66

S Single Server felhasználók felvétele az ACL-ekre 35 gazda alapú adatbiztonság 41 SMIT 17 ssl időtúllépés értéke 37 Statikus szerepkör-gyorsítótár engedélyezés 42 statikus szerepkörök meghatározás 43 SvrSslCfg jogosultságkiszolgáló hozzáadása 45 swinstall 18 swremove 65

SZ szerepkör élettartama megadás 43 szerepkör-alapú biztonság 4 szerepkörök 4 szerepkörök megfeleltetése 34 szoftver összetevői 11 szoftverkövetelmények Tivoli Access Manager Base

13

T N naplózási mechanizmus megadás 44 naplózási szint megadás 44 támogatott értékek 44

O, Ó operációs rendszerek támogatott verziók

11

P parancsvezérelt biztonság 2 pdadmin adminisztrációs felhasználó létrehozása 25 felhasználók felvétele 54 felhasználók importálása 14 összefoglalás 8 szerepkörök megváltoztatása 60 PDPerm.properties 27, 34, 58 pdwas-admin csoport felvétel a hozzáférés-felügyeleti listába 29 PDWAS.properties 42 pdwas_migrate.log 29, 35, 60

84

támogatott környezetek 11 telepítőcsomagok 11 Tivoli Access Manager adminisztrációs API 8, 42 beépülés a WebSphere alkalmazásba biztonsági modell 1 biztonságos tartomány 13 eltávolítás 63 házirend-adatbázis replikáció 9 házirend-kiszolgáló 5, 13 jogosultsági keretrendszer 2 jogosultságkiszolgáló 9 konfigurálás 23 Tivoli Access Manager eltávolítása 63 Tivoli Access Manager telepítése AIX 17 HP-UX 18 Linux 19 Solaris 16 Windows 20

U, Ú útmutató adatbiztonság ellenőrzése Szervlet 57


2

útmutató (Folytatás) adatbiztonság ellenőrzése (Folytatás) Vastag ügyfél 57 adatbiztonság engedélyezése 49 adatbiztonság felvétele 50 áttekintés 49 felhasználó felvétele az LDAP-címtárba 54 költöztető segédprogram használata 58 szerepkörök megváltoztatása 60

W WAS_HOME beállítás 26 Web Portal Manager 8 Webportál-kezelő 42 WebSphere Admin Client 56 adminisztrációs kiszolgáló 54 Advanced Edition Single Server 12, 41 Bindings 50 dokumentáció URL-címe 12 EJB Modules 50 Security Constraints 51 Security Roles 50 Single Server gazdagép alapú adatbiztonság 15 költöztetés lépései 35 több kiszolgáló irányítása 8 útmutató alkalmazás telepítése 56 Web Modules 51 WebSphere Advanced Edition 3 WebSphere konzol Tivoli Access Manager csoportok konfigurálása WebSphere védelem engedélyezés 29, 54

46

X Xerces elemző 14 xerces.jar 14 XML-elemző előfeltételek 14

Tárgymutató

85

86


򔻐򗗠򙳰

Nyomtatva Dániában

SC22-0275-01

IBM Tivoli Access Manager for WebSphere Application Server. 4.1-es verzió SC

Recommend Documents