Obsah. Rejstřík iii

򔻐򗗠򙳰 Zabezpečení

ii

Zabezpečení

Obsah Zabezpečení . . . . . . . . . . . . . 1 Zabezpečení WebSphere a zabezpečení Java 2 . . . . . 1 Obvyklé postupy zabezpečeného prostředí . . . . . . 1 Komunikace protokolu SSL (Secure Sockets Layer) . . . 3 Terminologie SSL . . . . . . . . . . . . 3 Jednocestná a dvoucestná autentizace přes SSL . . . 4 SSL v klastrovaném prostředí . . . . . . . . . 5 Implementace SSL . . . . . . . . . . . . 5 Typy souborů obsahujících certifikáty . . . . . . . 6 Zabezpečení komunikace pomocí adaptérů . . . . . . 6 Zabezpečená komunikace s vlastními aplikacemi . . . . 7 Zabezpečená komunikace s podporovaným middleware . . 9 Ukázkové konfigurace SSL . . . . . . . . . 10 Než začnete. . . . . . . . . . . . . . 10 Vytvoření certifikátu . . . . . . . . . . . 10 Konfigurace SSL pro adresářový server . . . . . 12 Konfigurace SSL na WebSphere Application Server. . 13 Konfigurace IBM Tivoli Identity Manager Server . . 15 Testování komunikace SSL mezi servery . . . . . 15 Přesun serveru HTTP pro zajištění přídavného zabezpečení a výkonu. . . . . . . . . . . 17 SSL pro server HTTP IBM a modul plug-in WebSphere Application Server. . . . . . . . . . . . 18 Konfigurace jednotného přihlášení . . . . . . . . 20 Konfigurace jednotného přihlášení přes server WebSEAL . . . . . . . . . . . . . . 21

Mapování účtů . . . . . . . . . . . . . Změna stránky k odhlášení . . . . . . . . . Definování uživatelských účtů IBM Tivoli Access Manager. . . . . . . . . . . . . . . Definování skupin IBM Tivoli Access Manager . . . Přidání uživatelského účtu IBM Tivoli Access Manager do skupiny . . . . . . . . . . . . . . Definování spojení SSL serveru WebSEAL . . . . Definování spojení TCP serveru WebSEAL nebo SSL Definování seznamů ACL IBM Tivoli Access Manager Udělování přístupu k seznamům ACL IBM Tivoli Access Manager . . . . . . . . . . . . Přidružení spojení serveru WebSEAL k seznamům ACL . . . . . . . . . . . . . . . . Konfigurace IBM Tivoli Identity Manager pro jednotné přihlášení . . . . . . . . . . . . . . Přístup ke konzolám IBM Tivoli Identity Manager . . Často používané příkazy ke konfiguraci jednotného přihlášení . . . . . . . . . . . . . . Nastavení intervalu vypršení platnosti relace pro IBM Tivoli Identity Manager . . . . . . . . . . .

21 22 24 25 26 26 28 30 31 32 33 33 34 35

Rejstřík . . . . . . . . . . . . . . 37

iii

iv

Zabezpečení

Zabezpečení Možná budete pro vaše prostředí serveru potřebovat konfiguraci dalšího zabezpečení a ověření, včetně globálního zabezpečení WebSphere Application Server, které je rozděleno na zabezpečení pro administraci a zabezpečení aplikace, na zabezpečení Java™ 2 a na adaptéry a jiné aplikace, jako například adresářový server LDAP, implementující ověření SSL (Secure Sockets Layer). Tato témata o zabezpečení obsahují obvyklé postupy při zabezpečování přístupu k datům a protokolům, obsahujícím citlivé informace. Mezi spolehlivé postupy je také zahrnuta implementace pro funkci jednotného přihlášení, která používá webové zabezpečení IBM® Tivoli Access Manager. Konfigurace umožní uživateli, aby se jednou přihlásil a šíří identitu uživatele na IBM Tivoli Identity Manager, čímž vyloučí potřebu dalšího přihlášení.

Zabezpečení WebSphere a zabezpečení Java 2 IBM Tivoli Identity Manager používá dva typy zabezpečení: jedním je globální zabezpečení WebSphere Application Server, které se dělí na administrativní zabezpečení a zabezpečení aplikací, druhým je zabezpečení Java 2. Globální zabezpečení prosazuje ověření a autorizaci založenou na rolích. Když je povoleno globální zabezpečení WebSphere Application Server, pak se nebudete schopni přihlásit k WebSphere Application Server Administrative Console bez ID uživatele a hesla. Zabezpečení Java 2 lze volitelně zapnout nebo vypnout v případě, kdy je globální zabezpečení WebSphere Application Server povoleno a adresuje použití systémových prostředků, jako jsou zápis do systému souborů, naslouchání soketu a volání do rozhraní API. Zabezpečení Java 2 je konfigurováno v souboru was.policy. Chcete-li získat další informace o konfiguraci globálního zabezpečení WebSphere Application Server a také o konfiguraci a zabezpečení Java 2, navštivte Informační centrum WebSphere Application Server. K získání informací o instalaci a konfiguraci IBM Tivoli Identity Manager s povoleným globálním zabezpečením, navštivte WebSphere Application Server IBM Tivoli Identity Manager Installation and Configuration Guide.

Obvyklé postupy zabezpečeného prostředí Uvedené postupy vám mohou pomoci zajistit zabezpečené prostředí IBM Tivoli Identity Manager. Tabulka 1. Obvyklé postupy pro zabezpečené prostředí IBM Tivoli Identity Manager Citlivá data v těchto oblastech

Provete následující obvyklé postupy

Data databáze

Omezte přístup operačního systému k databázovým souborům. Limitujte oprávnění k účtům operačního systému (administrativní, privilegovaná kořenem nebo DBA) až k těm oprávněním, která jsou nejméně potřebná, změňte výchozí hesla a vynute periodické změny hesla. Další podrobnosti vyhledejte v dokumentaci o zabezpečení od dodavatele databáze.

1

Tabulka 1. Obvyklé postupy pro zabezpečené prostředí IBM Tivoli Identity Manager (pokračování)

2

Zabezpečení

Citlivá data v těchto oblastech

Provete následující obvyklé postupy

Protokoly databáze

Omezte přístup operačního systému k protokolu a trasujte soubory. Limitujte oprávnění k účtům operačního systému (administrativní, privilegovaná kořenem nebo DBA) až k těm oprávněním, která jsou nejméně potřebná, změňte výchozí hesla a vynute periodické změny hesla. Další podrobnosti vyhledejte v dokumentaci o zabezpečení od dodavatele databáze.

Zálohování databáze

Zálohování databáze by měla být uložena v umístěních se spolehlivým a zabezpečeným uchováním a měla by být hlídána vůči úniku nebo ohrožení důvěrných informací, které jsou zde obsaženy. Další podrobnosti vyhledejte v dokumentaci o zabezpečení a zálohování od dodavatele databáze.

Data LDAP

Data LDAP obsahující citlivé informace by měla být bezpečně zpracována, včetně zákazu anonymního čtení a povolení SSL a také omezení přístupu, na oprávněný a autorizovaný operační systém a pouze na uživatele aplikace. Další podrobnosti o zabezpečení vyhledejte v dokumentaci od dodavatele adresářového serveru LDAP.

Protokoly LDAP

Omezte přístup k souborům protokolu v adresáři protokolů adresářového serveru, na oprávněný a autorizovaný operační systém a pouze na uživatele aplikace, což je zvláště důležité, je-li povoleno protokolování auditu adresářového serveru. Další podrobnosti vyhledejte v dokumentaci o zabezpečení od dodavatele adresářového serveru.

Zálohování LDAP

Soubory LDIF obsahující citlivé informace by měly být bezpečně uloženy a zpracovány se zabezpečením.

Protokoly IBM Tivoli Identity Manager

Omezte přístup k protokolům ITIM, které obsahují v adresáři path/ibm/tivoli/common/CTGIM citlivé informace.

Adresáře pod ITIM_HOME

Omezte přístup k adresářům v ITIM_HOME, pro data, konfiguraci a protokoly_instalace obsahující citlivé informace.

Provoz na síti

Omezte provoz na síti pouze na provoz, který potřebuje implementace. Pokud zapíšete vlastní aplikaci a k získání citlivých dat použijete rozhraní API pro IBM Tivoli Identity Manager, dříve než data odešlete přes sí, zašifrujte je.

Zabezpečení WebSphere Application Server

Povolte zabezpečení v WebSphere Application Server a znemožněte spuštění WebSphere Application Server, pomocí účtu non-root.

Komunikace protokolu SSL (Secure Sockets Layer) Průmyslově standardizovaný protokol SSL (Secure Sockets Layer), který používá pro ověření podepsané digitální certifikáty od certifikační autority (CA), se používá k zabezpečené komunikaci v implementaci IBM Tivoli Identity Manager. SSL poskytuje šifrování dat, která si aplikace mezi sebou navzájem vyměňují. Aplikace, která jedná jako server SSL, předkládá svá pověření v podepsaném digitálním certifikátu, aby klientovi SSL potvrdila, že je tou entitou, kterou právě požaduje. Aplikace, která jedná jako server SSL, může být také konfigurována tak, aby požadovala po aplikaci vystupující jako klient SSL znázorňování jejích pověření v certifikátu, čímž bude dokončovat dvoucestnou výměnu certifikátů.

Terminologie SSL Tyto výrazy se používají ke komunikaci zabezpečení SSL pro IBM Tivoli Identity Manager. Server SSL Server SSL naslouchá požadavkům klientů SSL na připojení. Například, IBM Tivoli Directory Server může být server SSL, který naslouchá požadavkům na připojení od serveru IBM Tivoli Identity Manager Server a WebSphere Application Server. Klient SSL Klient SSL vydá požadavky na připojení. Například počítač, na kterém jsou instalovány Tivoli Identity Manager Server a WebSphere Application Server, je klientem SSL, který vydá požadavky na připojení k produktu IBM Tivoli Directory Integrator. Podepsané certifikáty Podepsaný digitální certifikát je průmyslově standardizovanou metodou ověřování pravosti entity, jako například serveru, klienta nebo aplikace. Podepsané certifikáty vydává certifikační autorita jiného dodavatele za určitý poplatek. Podepsané certifikáty mohou také vydávat některé obslužné programy, jako například obslužný program iKeyman. Pro ověření původu podepsaného digitálního certifikátu se musí použít nějaká certifikační autorita nebo certifikát CA. Certifikáty podepsaných uživatelů (Certifikáty certifikačních autorit) K ověření původu podepsaného digitálního certifikátu se musí použít certifikát vydavatele certifikátu (CA). Když aplikace obdrží jiný podepsaný certifikát aplikace, použije pro ověření původce tohoto certifikátu certifikát CA. Mnoho aplikací, jako například webové prohlížeče, jsou konfigurovány k certifikátům CA od dobře známých certifikačních autorit, aby eliminovaly nebo redukovaly výskyt úlohy distribuce certifikátů CA přes bezpečnostní zóny na síti. Certifikáty podepsané svým držitelem Certifikát podepsaný svým držitelem obsahuje informace o vlastníkovi certifikátu a o podpisu vlastníka. V zásadě jde o podepsaný certifikát a certifikát CA, v jednom. Pokud zvolíte a použijete certifikáty podepsané svým držitelem, musíte z nich extrahovat certifikát CA, abyste konfigurovali SSL. Úložiště klíčů SSL Úložištěm klíčů SSL je soubor databáze klíčů, označený jako úložiště klíčů. Obsahuje certifikát SSL. Poznámka: Úložištěm klíčů a úložištěm údajů o důvěryhodnosti může být stejný fyzický soubor. Úložiště údajů o důvěryhodnosti SSL Úložištěm údajů o důvěryhodnosti SSL je soubor databáze klíčů, označený jako úložiště údajů o důvěryhodnosti. Úložiště údajů o důvěryhodnosti SSL obsahuje Zabezpečení

3

seznam s certifikáty podepsaných uživatelů (certifikáty CA), které definují, kterým certifikátům protokol SSL důvěřuje. Je akceptován pouze certifikát vydaný jedním z důvěryhodných podepsaných uživatelů, které jsou vypsány v seznamu. Poznámka: Úložištěm údajů o důvěryhodnosti a úložištěm klíčů může být stejný fyzický soubor. Jednocestná autentizace přes SSL Pokud jde o jednocestné SSL, úložiště klíčů a certifikát se požadují pouze na straně serveru SSL (jako například Tivoli Directory Server) a úložiště údajů o důvěryhodnosti je požadováno pouze na straně klienta SSL (například Tivoli Identity Manager Server). Dvoucestná autentizace přes SSL (autentizace na straně klienta) Pokud jde o SSL používající dvoucestnou autentizaci přes SSL (strana klienta), zde se požadují jak na straně serveru SSL, tak na straně klienta SSL, úložiště klíčů s certifikátem a také úložiště údajů o důvěryhodnosti, obsahující certifikát podepsaných uživatelů, který vydal certifikát té druhé strany.

Jednocestná a dvoucestná autentizace přes SSL Konfigurace komunikace mezi serverem SSL a klientem může použít jednocestnou nebo dvoucestnou autentizaci přes SSL. Například, klientem SSL je stroj, na kterém je instalován IBM Tivoli Identity Manager Server a serverem SSL je IBM Tivoli Directory Server. Jednocestná autentizace vytvoří úložiště údajů o důvěryhodnosti klienta a úložiště klíčů serveru. V uvedeném příkladu, existuje certifikát CA ″A″ v úložišti údajů o důvěryhodnosti klienta SSL a také v úložišti klíčů serveru SSL.

Obrázek 1. Jednocestná komunikace SSL

Dvoucestná autentizace vytvoří úložiště údajů o důvěryhodnosti a úložiště klíčů jak na straně klienta, tak na straně serveru. V uvedeném příkladu existuje na straně klienta i serveru certifikát CA ″A″ pro úložiště údajů o důvěryhodnosti a certifikát CA B pro úložiště klíčů.

4

Zabezpečení

Obrázek 2. Dvoucestná komunikace SSL

Další informace o krocích konfigurace jednocestné a dvoucestné komunikace SSL mezi Tivoli Identity Manager Server a adaptérem Tivoli Identity Manager naleznete v instalační a konfigurační příručce adaptéru.

SSL v klastrovaném prostředí Konfigurace komunikace mezi serverem SSL a klientem může použít jednocestnou nebo dvoucestnou autentizaci přes SSL. Například, klientem SSL je stroj, na kterém je instalován IBM Tivoli Identity Manager Server a serverem SSL je IBM Tivoli Directory Server. Chcete-li konfigurovat jednocestnou autentizaci přes SSL pro skupinu serverů IBM Tivoli Identity Manager v klastru WebSphere Application Server, importujte odpovídající certifikáty CA do úložiště údajů o důvěryhodnosti, které používá každý člen aplikačního serveru tohoto klastru, nebo provete nastavení úložiště údajů o důvěryhodnosti pro jeden server s certifikáty CA a zkopírujte obsah tohoto úložiště na jiné členy aplikačního serveru v klastru. Chcete-li konfigurovat dvoucestnou autentizaci přes SSL pro klastr, musíte konfigurovat každého člena aplikačního serveru, aby používal oddělená úložiště údajů o důvěryhodnosti a úložiště klíčů. Úložištěm údajů o důvěryhodnosti může být stejný obecný soubor s certifikáty CA, zkopírovaný od jednoho člena aplikačního serveru, do úložiš údajů o důvěryhodnosti jiných členů aplikačního serveru (právě tak, jako byste to provedli u jednocestné autentizace přes SSL). Každé úložiště klíčů musí být jedinečné pro každého člena aplikačního serveru a musí obsahovat pouze certifikát aplikačního serveru (klient) a soukromý klíč. Jinak můžete implementovat méně zabezpečenou konfiguraci (například, chcete-li testovat připojitelnost), nastavením obecného úložiště klíčů s jediným certifikátem a soukromým klíčem. Pak budete exportovat certifikát a soukromý klíč do dočasného souboru (například do formátovaného souboru PKCS12) a poté tento soubor importovat do úložiště klíčů každého člena aplikačního serveru v klastru.

Implementace SSL IBM Tivoli Identity Manager Server používá několik implementací protokolu SSL. Tivoli Identity Manager Server používá tyto implementace protokolu SSL: Zabezpečení

5

IBM Global Security Toolkit (GSKit) Tento produkt používají adaptéry WebSphere Application Server, IBM Tivoli Directory Server a IBM Tivoli Identity Manager. IBM Java Secure Socket Extension (JSSE) Tento produkt používá Tivoli Identity Manager Server a IBM Tivoli Directory Integrator OpenSSL Používá adaptéry založené na Tivoli Identity Manager Server Adapter Development Kit (ADK).

Typy souborů obsahujících certifikáty Certifikáty a klíče jsou uloženy v několika typech souborů. Soubory, které ukládají certifikáty a klíče, mohou být těchto formátů: .pem

Soubor bezpečné pošty, který má příponu souboru .pem, začíná a končí následujícími řádky: -----BEGIN CERTIFICATE---------END CERTIFICATE-----

Formát bezpečné pošty podporuje více digitálních certifikátů, včetně řetězu certifikátů. Jestliže vaše organizace používá řetěz certifikátů, použijte k vytvoření certifikátů CA tento formát. .arm

Soubor s příponou .arm obsahuje znázornění kódovaného ASCII sestávající z 64 znaků certifikátu, včetně jeho soukromého klíče. Formát .arm generuje a používá obslužný program IBM Key Management. Uvete tento formát, chcete-li extrahovat certifikát podepsaný svým držitelem z počítače, na kterém byl tento certifikát vygenerován, do počítače, který tento certifikát použije jako certifikát CA.

.der

Soubor s příponou .der obsahuje binární data. Tento formát lze použít pouze pro jediný certifikát, na rozdíl od souboru, který má bezpečný formát pošty a který může obsahovat více certifikátů. Uvete tento formát, chcete-li extrahovat certifikát podepsaný svým držitelem z počítače, na kterém byl tento certifikát vygenerován, do počítače, který tento certifikát použije jako certifikát CA.

.pfx (PKCS12) Soubor PKCS12, který má příponu .pfx, obsahuje certifikát (certifikát vydaný CA nebo certifikát podepsaný svým držitelem) a odpovídající soukromý klíč. Tento formát použijte pro přenos obsahu úložiště klíčů na oddělený počítač. Můžete například vytvořit a instalovat certifikát a soukromý klíč, použitím obslužného programu správy klíčů, exportovat certifikát a klíč do souboru PKCS12, poté importovat soubor do jiného úložiště klíčů. Tento formát je také užitečný pro převod z jednoho typu implementace SSL na odlišnou implementaci. Můžete například vytvořit a exportovat soubor PKCS12 pomocí obslužného programu IBM Key Management a pak importovat soubor na jiný stroj, použitím obslužného programu OpenSSL CertTool.

Zabezpečení komunikace pomocí adaptérů IBM Tivoli Identity Manager Server používá bu komunikaci SSL nebo Secure Shell (SSH), aby mohl komunikovat s podporovanými adaptéry se zabezpečením. Obrázek 3 na stránce 7 ilustruje, jak lze konfigurovat odkazy zabezpečené komunikace.

6

Zabezpečení

Obrázek 3. Zabezpečená komunikace v prostředí IBM Tivoli Identity Manager

Spravované prostředky mohou komunikovat s adaptéry IBM Tivoli Identity Manager pomocí následujících protokolů: v SSL Adaptéry, jako Windows® Server Active Directory nebo Lotus Notes, lze konfigurovat tak, aby pro komunikaci s IBM Tivoli Identity Manager Server používaly autentizaci přes SSL. Všechny adaptéry nepoužívají stejnou konfiguraci SSL. Chcete-li získat další informace, přečtěte si instalační a konfigurační příručku pro specifický adaptér. v Secure Shell (SSH) protokol SSH se používá mezi adaptérem a spravovaným prostředkem. K použití protokolu SSH se nepožaduje žádná konfigurace. Použití SSH mezi adaptérem a spravovaným prostředkem nelze zobrazit. Avšak, ve spravovaném prostředku může být požadována konfigurace SSH. Chcete-li získat další informace, přečtěte si instalační a konfigurační příručky k adaptéru IBM Tivoli Identity Manager pro platformy Unix a Linux®.

Zabezpečená komunikace s vlastními aplikacemi Pokud vyvíjíte vlastní aplikace pro přístup na IBM Tivoli Identity Manager Server, musí být v těchto aplikacích dodrženy pokyny programování popsané v této sekci. Uvedené pokyny zajistí, že: v striktní dodržování hranic zabezpečení, vestavěných do Tivoli Identity Manager Server v pro komunikaci mezi serverem a vlastními aplikacemi se používají pouze autorizovaná rozhraní API (Application Programming Interface) v skupinám uživatelů a uživatelům, kteří pro přístup k funkcím Tivoli Identity Managerpoužívají vlastní aplikace, budou přiřazeny odpovídající role Tivoli Identity Manager chrání funkčnost svého jádra přes vrstvu EJB (komponenty enterprise Java beans) správce. Tyto EJB sídlí v neprivilegované vrstvě, kterou obsahuje Tivoli Identity Manager Server, a kterou znázorňuje Obrázek 4 na stránce 8. Když Tivoli Identity Manager Server komunikuje s aplikací klienta, každá metoda pro EJB správce přijímá podepsaný token od volajícího, aby ověřila identitu volajícího, kromě případu, kdy sama tato metoda provádí ověření. Volající obdrží tento podepsaný token poté, Zabezpečení

7

co je provedeno ověření přes Tivoli Identity Manager Server.

Obrázek 4. Vrstvy zabezpečení v Tivoli Identity Manager

Abyste zajistili komunikaci pro Tivoli Identity Manager Server, mohou být vytvořeny následující typy vlastních aplikací: Samostatný klient Java Implementuje se jako tenký klient WebSphere Application Server. Webová aplikace Implementuje se mimo WebSphere Application Server. Webová aplikace může vyvolat pouze specifickou podmnožinu rozhraní API Tivoli Identity Manager Server. Podniková aplikace, stejné prostředí JVM (Java Virtual Machine) Implementuje se ve stejné instanci serveru (enrole.ear) jako Tivoli Identity Manager Server. Podniková aplikace, oddělené prostředí JVM Implementuje se na stejném počítači jako Tivoli Identity Manager Server, ale běží jako oddělený proces prostředí JVM. Servlety Implementuje se na odděleném počítači, kde běží WebSphere Application Server. Servlety se neimplementují v kontextu webové aplikace. Při vývoji vlastních aplikací určených ke komunikaci s Tivoli Identity Manager Server použijte následující pravidla, kterými zajistíte zabezpečenou komunikaci:

8

Zabezpečení

v Povolte, aby pouze publikovaná rozhraní API měla přístup pouze k EJB správce v neprivilegované oblasti. v Povolte vlastním aplikacím, aby použily pouze funkce, které poskytují rozhraní API. v Ujistěte se, že počítač, na kterém běží Tivoli Identity Manager Server, je stále bezpečný. WebSphere Application Server používá role ke správě autorizace pro komponenty aplikací a jiné objekty, včetně jmen uživatelů a názvů skupin. Použijte pokyny, které jsou popsány níže, k přiřazení rolí ve vlastních aplikacích, které mají rozhraní s Tivoli Identity Manager. SYSTÉM_ITIM Tato role je definována, když je Tivoli Identity Manager Server implementován pro WebSphere Application Server. SYSTÉM_ITIM používají komponenty Tivoli Identity Manager Server. Je autorizována k volání všech metod EJB, jak v privilegovaných, tak v neprivilegovaných vrstvách. Do této role nepřiřazujte žádné názvy činitelů nebo ID uživatelů bez dřívější konzultace se zástupcem IBM Tivoli. KLIENT_ITIM Tato role je autorizována pouze k volání metod EJB správce v neprivilegované vrstvě. Mapujte na tuto roli jména uživatelů, názvy skupin uživatelů a jiné činitele, které provádějí úlohy s menším omezením pro Tivoli Identity Manager Server.

Zabezpečená komunikace s podporovaným middleware IBM Tivoli Identity Manager Server používá SSL pro zabezpečenou komunikaci s podporovaným middleware, jako například adresářovým serverem. Konfigurace může být podobná ukázkové konfiguraci klastru, v Obrázek 5.

Obrázek 5. Počáteční konfigurace

Po počáteční instalaci možná budete konfigurovat odkazy zabezpečené komunikace mezi IBM Tivoli Identity Manager Server a těmito aplikacemi: v Adresářový server v Server HTTP v Webový prohlížeč v Jiný podporovaný middleware

Zabezpečení

9

Ukázkové konfigurace SSL Ukázkové konfigurace SSL zahrnují zabezpečenou komunikaci mezi IBM Tivoli Identity Manager Server a adresářovým serverem a komunikaci mezi serverem HTTP a webovým prohlížečem. V Tabulka 2 je první aplikací klient SSL, druhou aplikací je server SSL: Tabulka 2. Ukázkové konfigurace SSL Klient SSL

Server SSL

Jednocestný Dvoucestný SSL SSL

IBM Tivoli Identity Manager Server Adresářový server LDAP Server HTTP (IBM HTTP Server)

IBM Tivoli Identity Manager Server

webový prohlížeč

IBM Tivoli Identity Manager Server

Váš server možná bude vyžadovat další konfiguraci pro autentizaci přes SSL, k IBM Tivoli Identity Manager Server.

Než začnete Než začnete s konfigurací SSL pro zabezpečenou komunikaci, instalujte a konfigurujte IBM Tivoli Identity Manager Server. Poté vyhledejte produkt IBM Global Security Kit (GSKit), abyste generovali certifikáty. Postupujte takto: 1. Nainstalujte a nakonfigurujte Tivoli Identity Manager Server a požadovaný podporovaný middleware, včetně adresářového serveru. Tento příklad předpokládá, že existuje konfigurace klastru a že je adresářový server na odděleném počítači. 2. Ujistěte se, že je počáteční konfigurace správně spuštěna. Další informace viz IBM Tivoli Identity Manager Installation and Configuration Guide. 3. Vyhledejte produkt IBM Global Security Kit (GSKit), který je zahrnutý do IBM Tivoli Directory Server a který instaluje počáteční konfiguraci. Například, vyhledejte adresář /path/local/ibm/gsk7/bin na počítači, který má Tivoli Directory Server a kde path je hodnota jako usr. Balík GSKit poskytuje obslužný program správy klíčů iKeyman (gsk7ikm), který můžete použít k vytvoření databází klíčů, dvojic klíčů veřejný-soukromý a žádostí o certifikát. Níže uvedené kroky předpokládají, že k vytvoření certifikátů pro zabezpečenou komunikaci, podepsaných svým držitelem, použijete obslužný program iKeyman. Jinak můžete k vytvoření certifikátu podepsaného svým držitelem použít WebSphere Application Server Administrative Console. Digitální certifikát podepsaný svým držitelem je dočasným digitálním certifikátem, který sami sobě vydáte a kde uvedete jako certifikační autoritu (CA) sami sebe. Když dokončíte testování, nahrate certifikát podepsaný svým držitelem za certifikát podepsaný certifikátem CA od dobře známé certifikační autority.

Vytvoření certifikátu Použitím obslužného programu iKeyman vytvořte certifikát podepsaný svým držitelem, poté vyjměte certifikát, abyste jej zpřístupnili pro zabezpečenou komunikaci.

10

Zabezpečení

Než začnete V závislosti na tom, jak administrátor systému upravil váš systém, možná nebudete mít přístup k této úloze. Chcete-li získat přístup k úloze nebo aby ji za vás někdo zpracoval, kontaktujte administrátora systému.

Informace o této úloze Obslužný program iKeyman je začleněn v produktu IBM Tivoli Directory Server. Abyste vytvořili digitální certifikát podepsaný svým držitelem, provete tyto kroky: 1. Spuste obslužný program iKeyman. Například, v adresáři /usr/local/ibm/gsk7/bin zadejte tento příkaz: gsk7ikm

2. Jestliže obslužný program iKeyman nemůže vyhledat platformu Java, spuste tento příkaz: export JAVA_HOME=opt/IBM/ldapv6.1/java/jre

3. Na stránce produktu IBM Key Management klepněte na Soubor databáze klíčů → Otevřít → Nový. 4. Vyberte výchozí typ databáze CMS. 5. V poli Název souboru zadejte název pro soubor databáze klíčů CMS. Například, zadejte: LDAPSERVER_TEST1234.kbd

Například, jako hodnota je uvedeno application_serverhostname, kde application je adresářový server a serverhostname je počítač, který je adresářovým serverem vybaven. 6. V poli Umístění zadejte umístění, ve kterém má být uložen soubor databáze klíčů. Například, zadejte /certs. 7. Klepněte na OK. 8. V nabídce Heslo, která se zobrazí, zadejte a poté potvrte heslo, jako například Pa$$word1. Poté zadejte nejvyšší odolnost hesla, která je možná a také zadejte Založit heslo do souboru? Klepněte na OK. 9. Klepněte na Vytvořit → Nový certifikát podepsaný svým držitelem a zadejte jmenovku, která odpovídá názvu souboru databáze klíčů CMS, jako například LDAPSERVER_TEST1234. V tomto příkladu je použit stejný název (LDAPSERVER_TEST1234) jak pro název certifikátu, tak pro soubor databáze klíčů, který obsahuje certifikát. 10. Do pole Organizace zadejte IBM, přijměte výchozí hodnoty zbývajících polí a poté klepněte na tlačítko OK. Certifikát podepsaný svým držitelem nyní existuje, včetně veřejných a soukromých klíčů. 11. Z důvodu následného použití klienty, extrahujte obsah certifikátu do souboru ASCII, kódovaného pomocí Base-64. Provete tyto kroky: a. Vyberte Extrahovat certifikát. b. Zadejte typ dat pro Binární DER data. Soubor s příponou .der obsahuje binární data. Tento formát lze použít pouze pro jediný certifikát. Zadáním tohoto formátu extrahujte certifikát podepsaný svým držitelem. c. Zadejte název souboru certifikátů, který jste vytvořili, jako například LDAPSERVER_TEST1234.der. d. Zadejte umístění, jako například /certs, ve kterém jste v předchozím uložili soubor databáze klíčů. e. Klepněte na OK. Zabezpečení

11

12. Ověřte, že adresář /certs obsahuje následující soubory: Tabulka 3. Soubory v adresáři /certs Soubor

Popis

LDAPSERVER_TEST1234.crl

V tomto příkladu se nepoužívá.

LDAPSERVER_TEST1234.der

Certifikát.

LDAPSERVER_TEST1234.kbd

Soubor databáze klíčů, který má certifikát.

LDAPSERVER_TEST1234.rdb

V tomto příkladu se nepoužívá.

LDAPSERVER_TEST1234.sth

Soubor pro uložení, který má heslo.

Poznámka: Pokud používáte existující nebo nově získaný certifikát od CA, zkopírujte jej do adresáře /certs v kořenovém systému souborů adresářového serveru. Jinak můžete k vytvoření certifikátu podepsaného svým držitelem použít WebSphere Application Server Administrative Console. Klepněte na Zabezpečení → Certifikát a správa klíčů SSL → Spravovat konfigurace zabezpečení koncových bodů → {Příchozí | Odchozí} → konfigurace_ssl → Úložiště klíčů a certifikáty → [úložiště klíčů ]. V oblasti Další vlastnosti klepněte na Osobní certifikáty, poté klepněte na Vytvořit certifikát podepsaný svým držitelem.

Jak pokračovat dále Chcete-li získat další informace, projděte následující zdroje: v Témata týkající se zabezpečování komunikací adresáře naleznete v příručce IBM Tivoli Directory Server Administration Guide na tomto webovém serveru: http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/ com.ibm.IBMDS.doc/admin_gd16.htm v Uživatelská příručka IBM Global Security Kit Secure Sockets Layer Introduction and iKeyman User’s Guide, na tomto webovém serveru: http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.itame2.doc_5.1/ ss7aumst.pdf .

Konfigurace SSL pro adresářový server V dalším použijte soubor LDIF k tomu, abyste konfigurovali SSL v adresářovém serveru, včetně zadání zabezpečeného portu.


Informace o této úloze Provete tyto kroky: 1. Pokud není adresářový server spuštěn, server spuste. Například, na platformě UNIX® zadejte tento příkaz: /opt/IBM/ldap/V6.1/sbin/ibmslapd -I itimldap,

12

Zabezpečení

kde -I uvádí instanci. 2. Vytvořte soubor LDIF, jako například ssl.ldif, s následujícími údaji: dn: cn=SSL,cn=Configuration changetype: modify replace: ibm-slapdSslAuth ibm-slapdSslAuth: serverauth replace: ibm-slapdSecurity ibm-slapdSecurity: sslonly replace: ibm-slapdSslKeyDatabase ibm-slapdSslKeyDatabase: /certs/LDAPSERVER_TEST1234.kdb

Poznámka: Formátování souboru LDIF vyžaduje prázdné řádky, které obsahují pouze znak - (spojovník). uChcete-li provést změnu zabezpečeného portu, z výchozího čísla portu 636, například na 637, přidejte další řádky: replace: ibm-slapdSecurePort ibm-slapdSecurePort: 637

3. Umístěte soubor LDIF do adresáře: /opt/IBM/ldap/V6.1/bin

4. Spuste příkaz idsldapmodify, který provede úpravu zásady hesla předáním souboru LDIF ke zpracování. idsldapmodify -D cn=root -w passwd -i ssl.ldif

-D

Vazba na adresář LDAP, kterým je v tomto příkladu cn=root.

-w

Jako heslo pro ověření používá hodnotu passwd (heslo administrátora adresářového serveru).

Načtení informací o úpravách položek ze souboru LDIF, místo ze standardního vstupu. V tomto příkladu je soubor s názvem ssl.ldif. Při úspěšném výsledku bude vydána zpráva, podobná této: -i

Operation 0 modifying entry cn=SSL,cn=Configuration

5. Testováním adresářového serveru ověřte, že naslouchá výchozímu zabezpečenému portu 636. Provete tyto kroky: a. Zastavte adresářový server. Zadejte: /opt/IBM/ldap/V6.1/sbin/ibmslapd -k

b. Spuste adresářový server. Zadejte: /opt/IBM/ldap/V6.1/sbin/ibmslapd -I itimldap,

kde -I uvádí instanci. c. Určete, zda adresářový server naslouchá portu 636. Například, zobrazte statistiku pro síové rozhraní k adresářovému serveru, zadáním: netstat -an |grep 636

Návratovou zprávou, která označuje, že port naslouchá, může být například tato zpráva: tcp

0

0 9.42.62.72:636

0.0.0.0:*

LISTEN

Konfigurace SSL na WebSphere Application Server V dalším nastavte WebSphere Application Server, abyste povolili komunikaci SSL mezi IBM Tivoli Identity Manager a adresářovým serverem.

Zabezpečení

13


Informace o této úloze Provete tyto kroky: 1. Ručně zkopírujte všechny soubory z adresáře /certs/LDAPSERVER_TEST1234 v adresářovém serveru do identického adresáře /certs kořene WebSphere Application Server. 2. V oblasti WebSphere Application Server provete změnu na adresář /opt/IBM/WebSphere/AppServer/bin. 3. Spuste obslužný program iKeyman. Například, na platformě UNIX zadejte: ikeyman.sh

4. Klepněte na Nový soubor databáze klíčů. Na stránce Nový provete tyto kroky: a. V poli Typ databáze klíčů vyberte JKS. b. Procházejte pole Název souboru a vyhledejte název souboru, jako například /opt/IBM/WebSphere/AppServer/java/jre/lib/security/cacerts. Soubor obsahující certifikáty CA (cacert) je instalován standardně s WebSphere Application Server. c. V poli Umístění zadejte /opt/IBM/WebSphere/AppServer/java/jre/lib/security/. Poté klepněte na OK. 5. V nabídce Heslo zadejte changeit, což je výchozí heslo. Poté klepněte na OK. 6. V nabídce Zaměnit existující soubor vyberte Ano. 7. Zadejte a potvrte heslo Pa$$word1, vyberte nejvyšší možnou odolnost hesla a poté klepněte na OK. 8. Klepnutím na tlačítko Přidat přidejte certifikát ze souboru. 9. V nabídce Přidat certifikát CA ze souboru provete uvedené kroky, poté klepněte na OK: a. Zadejte typ dat pro Binární DER data. b. Procházením vyhledejte název certifikátu, jako je LDAPSERVER_TEST1234.der v uvedeném příkladu. c. Zadejte hodnotu pro umístění, jako například /certs/. 10. Zadejte popisek certifikátu, jako například ITIM2LDAP, který je výhodný k připomenutí účelu, pro jaký certifikát slouží na WebSphere Application Server. Poté klepněte na OK. 11. Prozkoumejte seznam certifikátů podepsaných uživatelů, abyste se ujistili, že obsahuje certifikát ITIM2LDAP. 12. Ukončete obslužný program iKeyman. 13. V dalším, spuštěním WebSphere Application Server Administrative Console povolte komunikaci SSL mezi Tivoli Identity Manager a adresářovým serverem. a. Otevřete konzolu WebSphere Application Server Administrative Console. Například, zadejte: https://test1234:9043/ibm/console/logon.jsp

b. Přihlaste se jako administrátor WebSphere Application Server. c. V každém záznamu serveru člena klastru klepněte na Servery → Aplikační servery → Server1 → Správa procesů a technologie Java → Definice procesu → Prostředí JVM → Přizpůsobené vlastnosti. Na stránce Aplikační servery vyberte Nový, abyste zadali tyto přizpůsobené vlastnosti:

14

Zabezpečení

Tabulka 4. Přizpůsobené vlastnosti Název

Hodnota

Popis

javax.net.ssl.trustStore

/opt/IBM/WebSphere/ AppServer/java/jre/lib/ security/cacerts

Úložiště údajů o důvěryhodnosti certifikátů adresářového serveru pro Tivoli Identity Manager

javax.net.ssl.trustStorePassword

Pa$$word1

Heslo, které jste zadali na začátku pro certifikát podepsaný svým držitelem.

javax.net.ssl.trustStoreType

jks

Výchozí formát úložiště klíčů, který je k dispozici s produktem Java VM

d. Klepněte na Uložit.

Konfigurace IBM Tivoli Identity Manager Server V dalším konfigurujte Tivoli Identity Manager Server ke komunikaci s počítačem a portem, na kterém adresářový server naslouchá zabezpečené komunikaci.


Informace o této úloze Provete tyto kroky: 1. Na počítači, který má Tivoli Identity Manager Server, upravte vlastnost, která uvádí připojení LDAP. Provete tyto kroky: a. V adresáři /opt/IBM/itim/data upravte soubor enRoleLDAPConnection.properties. b. V souboru vlastností změňte vlastnost java.naming.provider.url, abyste zadali počítač a port, na kterém adresářový server naslouchá. V uvedeném příkladu zadejte název hostitele a zabezpečený port počítače, který má adresářový server. Například, zadejte: java.naming.provider.url=test1234:636

c. Navíc, změňte vlastnost java.naming.security.protocol, abyste zadali komunikaci zabezpečení SSL: java.naming.security.protocol=ssl

2. Uložte a zavřete soubor enRoleLDAPConnection.properties. 3. Restartujte WebSphere Application Server.

Testování komunikace SSL mezi servery Nakonec provete test komunikace SSL mezi IBM Tivoli Identity Manager Server a adresářovým serverem.


Zabezpečení

15

Informace o této úloze Provete tyto kroky: 1. Testujte, zda adresářový server naslouchá. V adresáři /opt/IBM/ldap/V6.1/bin na počítači, který má adresářový server, zadejte tento příkaz na jednom řádku: ldapsearch –p 636 –K /certs/LDAPSERVER_TEST1234.kdb -s base objectclass=* -b dc=com

Výsledek obsahuje položky pro schéma nejvyšší úrovně, podobné těmto: dc=com objectclass=top objectclass=domain dc=com

2. Na počítači, na kterém je instalován Tivoli Identity Manager Server, testujte připojení SSL. Provete tyto kroky: a. V adresáři /opt/IBM/itim/bin, abyste poskytli další zabezpečení, kopírujte ldapConfig.lax do ldapConfig.lax.backup, poté upravte soubor ldapConfig.lax. Soubor ldapConfig.lax.backup použijete později v procesu ke skrytí hesla pro úložiště údajů o důvěryhodnosti. b. Dále uvedené příkazy obsahují hodnoty úložiště údajů o důvěryhodnosti, které WebSphere Application Server používá pro komunikaci SSL mezi IBM Tivoli Identity Manager a adresářovým serverem. V souboru přidejte níže uvedený příkaz jako jeden řádek: v Systémy UNIX: lax.nl.java.option.additional= -Djavax.net.ssl.trustStoreType=jks -Djavax.net.ssl.trustStore=/certs -Djavax.net.ssl.trustStorePassword=Pa$$word1 -Djava.ext.dirs= /products/IBM/WebSphere/AppServer/java/jre/lib/ext: /products/IBM/WebSphere/AppServer/plugins: /products/IBM/WebSphere/AppServer/lib: /products/IBM/WebSphere/AppServer/lib/ext

V příkladu, který je uveden výše, se požadují mezery: -Djavax.net.ssl.trustStoreType=jks SPACE -Djavax.net.ssl.trustStore=/certs SPACE

v Systémy Windows: lax.nl.java.option.additional= -Djavax.net.ssl.trustStoreType=jks -Djavax.net.ssl.trustStore= C:\Progra~1\IBM\WebSphere\AppServer\java\jre\lib\security\cacerts -Djavax.net.ssl.trustStorePassword=Pa$$word1 -Djava.ext.dirs= C:\Progra~1\IBM\WebSphere\AppServer\java\jre\lib\ext; C:\Progra~1\IBM\WebSphere\AppServer\plugins; C:\Progra~1\IBM\WebSphere\AppServer\lib; C:\Progra~1\IBM\WebSphere\AppServer\lib\ext

V příkladu, který je uveden výše, se požadují mezery: -Djavax.net.ssl.trustStoreType=jks SPACE -Djavax.net.ssl.trustStore= C:\Progra~1\IBM\WebSphere\AppServer\java\jre\lib\security\cacerts SPACE

c. Uložte soubor ldapConfig.lax. d. V souboru runConfig.lax přidejte stejné příkazy, které jste přidali do souboru ldapConfig.lax. Poté uložte soubor runConfig.lax. e. Spuste obslužný program ldapConfig, který poskytuje Tivoli Identity Manager Server.

16

Zabezpečení

f. Na stránce Test připojení LDAP provete tyto kroky: 1) Zadejte DN administrátora (cn=root) a heslo. 2) Zadejte název hostitele a port, na kterém adresářový server naslouchá zabezpečené komunikaci. Zadejte název hostitele, například test1234 a číslo portu 636. g. Klepnutím na tlačítko Testovat otestujte zabezpečené připojení k LDAP, poté klepnutím na tlačítko Storno ukončete ldapConfig. Je-li testování úspěšné, pokračujte na další krok. Pokud se test nezdaří, vrate se na předchozí kroky konfigurace, jako návod vám poslouží chybová zpráva pro test připojení ldapConfig. h. Restartujte WebSphere Application Server. i. Odstraňte soubor ldapConfig.lax a přejmenujte soubor ldapConfig.lax.backup na ldapConfig.lax. Chcete-li uchovat soubor ldapConfig.lax, který byl použit během tohoto procesu, vyprázdněte místo pro heslo úložiště údajů o důvěryhodnosti, které je zaplněno. 3. Chcete-li potvrdit, že je konfigurována zabezpečená komunikace, pokuste se o přihlášení k Tivoli Identity Manager Server, použitím vašeho ID uživatele a hesla. Úspěšné přihlášení bude označovat, že jste provedli konfiguraci komunikace SSL mezi Tivoli Identity Manager Server a adresářovým serverem. 4. Pokud nebude vaše přihlášení úspěšné, objeví se na obrazovce přihlášení chybová zpráva, která bude označovat, že je adresářový server nedostupný. Provete analýzu protokolu konfigurace LDAP a protokolu Tivoli Identity Manager Server a znovu se pokuste provést kroky konfigurace. Můžete také dodatečně určit, zda: v Příkazy přidané do souboru ldapConfig.lax jsou uvedeny správně a požadované mezery jsou také zadány. v Je platná cesta do souboru v úložišti údajů o důvěryhodnosti. v Je poškozen soubor v úložišti údajů o důvěryhodnosti.

Přesun serveru HTTP pro zajištění přídavného zabezpečení a výkonu Chcete-li poskytnout přídavné zabezpečení a zajistit lepší výkon, konfigurujte server HTTP, například IBM HTTP Server, do umístění na samostatném počítači, který bude pro veškeré ostatní komponenty IBM Tivoli Identity Manager externí. Standardně je pro SSL v produktu IBM HTTP Server nastavena hodnota vypnuto. Chcete-li nastavit použití SSL, musíte zadat pokyny pro SSL (vlastnosti) do souboru konfigurace serveru (httpd.conf). Konfigurace, která zajistí přídavné zabezpečení a výkon, je podobná s Obrázek 6 na stránce 18

Zabezpečení

17

Obrázek 6. Konfigurace serveru HTTP pro zvýšené zabezpečení

SSL pro server HTTP IBM a modul plug-in WebSphere Application Server Externí IBM HTTP Server postoupí požadavky HTTP, které jsou k němu odesílány, pro vnitřní přenos HTTP webového kontejneru WebSphere Application Server, přes modul plug-in WebSphere Application Server. Abyste tuto komunikaci zabezpečili, potřebujete povolit SSL pro produkt IBM HTTP Server a konfigurovat modul plug-in WebSphere Application Server, aby bezpečně komunikoval s webovým kontejnerem WebSphere Application Server.

Konfigurace SSL pro server IBM HTTP Chcete-li konfigurovat použití zabezpečení SSL, musíte zadat direktiva pro zabezpečení SSL (vlastnosti), do souboru httpd.conf, v produktu IBM HTTP Server. Standardně je zabezpečení SSL nastaveno na hodnotu vypnuto, v produktu IBM HTTP Server.

Než začnete V závislosti na tom, jak administrátor systému upravil váš systém, možná nebudete mít přístup k této úloze. Chcete-li získat přístup k úloze nebo aby ji za vás někdo zpracoval, kontaktujte administrátora systému. Než začnete, přečtěte si informace o konfiguraci, obsažené v tématu Zabezpečení přes komunikace SSL, umístěné v informačním centru pro produkt IBM HTTP Server, WebSphere Application Server, verze 6.1, na stránce: http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/topic/com.ibm.websphere.ihs.doc/info/ ihs/ihs/tihs_setupssl.html

18

Zabezpečení

Informace o této úloze Chcete-li povolit SSL v produktu IBM HTTP Server, použijte k dokončení těchto kroků informace o konfiguraci: 1. 1. Použijte obslužný program iKeyman IBM HTTP Server (grafické uživatelské rozhraní) nebo obslužný program iKeyman (příkazový řádek), abyste vytvořili soubor databáze klíčů CMS a certifikát serveru podepsaný svým držitelem. 2. 2. V konfiguračním souboru httpd.conf produktu IBM HTTP Server povolte direktivy SSL. a. Odkomentujte konfigrační direktivu LoadModule ibm_ssl_module modules/mod_ibm_ssl.so. b. V souboru httpd.conf vytvořte pomocí následujících příkladů a pokynů sekci virtuálního hostitele SSL. LoadModule ibm_ssl_module modules/mod_ibm_ssl.so Listen 443 SSLEnable SSLDisable KeyFile "c:/Program Files/IBM HTTP Server/key.kdb"

Poznámka: Na platformách Windows: v Název zaváděcího modulu je LoadModule ibm_ssl_module modules/mod_ibm_ssl.dll. v V direktivě Listen vždy zadávejte adresu s portem. Příklad přidání direktivy Listen do souboru httpd.conf, s výchozí adresou IPv4 0.0.0.0, která naslouchá na portu 443: Listen 0.0.0.0:443

3. Zastavte a spuste produkt IBM HTTP Server. 4. Provete test konfigurace, použitím prohlížeče v relaci HTTPS k produktu IBM HTTP Server (https://ihs_host).

Konfigurace SSL pro modul plug-in Poté, co povolíte pro produkt IBM HTTP Server protokol SSL, konfigurujte modul plug-in WebSphere Application Server pro bezpečnou komunikaci IBM HTTP Server s aplikačními servery. Ujistěte se také, zda byl SSL povolen pro webový kontejner WebSphere Application Server, umístěním vašeho prohlížeče na adrese URL, například na https://dm_host:9043/ibm/ console.

Než začnete V závislosti na tom, jak administrátor systému upravil váš systém, možná nebudete mít přístup k této úloze. Chcete-li získat přístup k úloze nebo aby ji za vás někdo zpracoval, kontaktujte administrátora systému. Než začnete, nastavte, aby server IBM HTTP sídlil na samostatném počítači, který je externí pro každou jinou komponentu IBM Tivoli Identity Manager. Chcete-li získat další informace o výběru diagramu pro topologii webového serveru a orientačním plánu, podívejte se na webové stránky: http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/topic/com.ibm.websphere.nd.doc/info/ ae/ae/tins_road_plugins.html

Zabezpečení

19

Instalace a konfigurace modulu plug-in registruje webový server s správce implementace serveru WebSphere Application Server a IBM HTTP Server se stane spravovaným webovým serverem. Spravovaný webový server můžete spravovat pomocí WebSphere Application Server Administrative Console.

Informace o této úloze Profil aplikačního serveru, na který ukážete myší během instalace a konfigurace modulu plug-in WebSphere Application Server, by měl zajistit, že implementace si bude v této topologii sama zajišovat správu. Výsledkem bude vytvoření souboru klíčů s názvem plugin-key.kdb, který sídlí v adresáři app_server_root/profiles/dm_profile/etc. Soubor plugin-key.kdb obsahuje certifikáty všech sdružených aplikačních serverů. Snažte se, aby byl soubor klíčů na spravovaném webovém serveru pro modul plug-in a aby byl použit k zavedení zabezpečené aplikace u aplikačních serverů. Chcete-li získat další informace, přečtěte si téma o konfiguraci modulu plug-in webového serveru pro SSL, na stránce: http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/topic/com.ibm.websphere.nd.doc/info/ ae/ae/tsec_httpserv2.html Níže uvedený souhrn kroků popisuje, jak konfigurovat modul plug-in WebSphere Application Server pro produkt IBM HTTP Server: 1. 1. Vytvořte adresář na hostiteli webového serveru pro uložení souboru klíčového řetězce, který je odkazován modulem plug-in a přidruženými soubory. Například vytvořte adresář plugin_install_root/etc/keys. 2. V konzole WebSphere Application Server Administrative Console klepněte na Servery → Webové servery. 3. Vyberte název webového serveru. 4. Klepněte na Vlastnosti modulu plug-in. 5. Klepnutím na Spravovat klíče a certifikáty zpřístupněte volby konfigurace pro vaše klíče a certifikáty. Standardně můžete změnit svoje heslo, které se používá pro ochranu úložiště klíčů. 6. Klepněte na OK. 7. Klepnutím na tlačítko úložiště klíčů webového serveru zkopírujte úložiště klíčů a uložte soubory do spravovaného webového serveru.

Konfigurace jednotného přihlášení Služby jednotného přihlášení poskytují snadné použití pro uživatele, který má přístup k několika aplikacím v podniku. Jednotné přihlášení můžete povolit jak pro administrativní konzolu, tak pro aplikace samoobslužné konzoly IBM Tivoli Identity Manager pomocí IBM Tivoli Access Manager. Použitím konfigurované funkce jednotného přihlášení se uživatel jednou přihlásí k webovému zabezpečení Tivoli Access Manager a pak je identita uživatele šířena pro IBM Tivoli Identity Manager, což eliminuje potřebu dalšího přihlášení. Tato funkce vyžaduje, aby měl Tivoli Access Manager aktivovánu schopnost jednotného přihlášení pomocí produktu IBM Tivoli Identity Manager. 1. Tivoli Access Manager provede ověření uživatele a základní hrubou autorizaci, dříve než povolí přístup do IBM Tivoli Identity Manager.

20

Zabezpečení

2. IBM Tivoli Identity Manager poté použije jemné řízení přístupu, za použití své vlastní položky ACI (Access Control Item). Tivoli Access Manager a IBM Tivoli Identity Manager lze konfigurovat pro jednotné přihlášení dvěma způsoby. v Pomocí serveru WebSEAL v Pomocí serverů modulu plug-in Tivoli Access Manager Než nakonfigurujete jednotné přihlášení přes server WebSEAL, ujistěte se, že máte nainstalován a konfigurovánTivoli Access Manager a server WebSEAL.

Konfigurace jednotného přihlášení přes server WebSEAL Použití ověření pro server WebSEAL, namísto ověření IBM Tivoli Identity Manager, eliminuje potřebu odděleného hesla pro přístup k IBM Tivoli Identity Manager. Přihlášení k serveru WebSEAL může používat jakýkoli mechanismus pro ověření. Přihlašovací stránka IBM Tivoli Identity Manager se neobjeví během operace jednotného přihlášení. Server WebSEAL podporuje spojení mezi serverem WebSEAL a IBM Tivoli Identity Manager Server jak pro standardní TCP (HTTP), tak zabezpečený SSL (HTTPS). Chcete-li konfigurovat jednotné přihlášení přes server WebSEAL, provete tyto kroky: 1. Definujte, jak Tivoli Access Manager provede mapování účtů Tivoli Access Manager na účty IBM Tivoli Identity Manager během ověření. 2. Definujte uživatelské účty Tivoli Access Manager pro uživatele, kteří budou potřebovat přístup k IBM Tivoli Identity Manager. 3.

Definujte dvě skupiny Tivoli Access Manager. Definujte jednu skupinu pro uživatele, kteří potřebují mít přístup k aplikaci administrátora IBM Tivoli Identity Manager. Definujte jinou skupinu pro ty uživatele, kteří potřebují mít přístup k samoobslužné aplikaci IBM Tivoli Identity Manager. 4. Přidejte uživatele Tivoli Access Manager do jedné nebo do obou těchto skupin,kteří potřebují mít přístup k IBM Tivoli Identity Manager. 5. Definujte spojení serveru WebSEAL. 6.

Definujte dva seznamy ACL pro Tivoli Access Manager, abyste řídili přístup k IBM Tivoli Identity Manager. Definujte jeden seznam ACL pro aplikaci administrátora IBM Tivoli Identity Manager. Definujte jiný seznam ACL pro samoobslužnou aplikaci IBM Tivoli Identity Manager.

7.

Udělte pro Skupiny Tivoli Access Manager odpovídající přístup k jejich odpovídajícím seznamům ACL pro Tivoli Access Manager. 8. Přidružte spojení serveru WebSEAL k seznamům ACL pro Tivoli Access Manager. 9. Konfigurujte IBM Tivoli Identity Manager, abyste mohli použít jednotné přihlášení.

Mapování účtů Při použití jednotného přihlášení, se během ověření přihlášení vyskytne mapování účtů mezi Tivoli Access Manager a IBM Tivoli Identity Manager. Když se uživatel přihlásí do IBM Tivoli Identity Manager pomocí serveru WebSEAL a jednotného přihlášení, musí uvést uživatelský účet a heslo Tivoli Access Manager. Tivoli Access Manager provede ověření uživatele a také zajistí, abyste viděli, zda byl uživatel autorizován pro přístup k aplikaci IBM Tivoli Identity Manager.

Zabezpečení

21

Pokud proběhne úspěšné ověření a autorizace, uživatelský účet Tivoli Access Manager je předán do záhlaví požadavku HTTP typu iv-user, do IBM Tivoli Identity Manager. Aplikace IBM Tivoli Identity Manager předá informace uvedené v záhlaví požadavku HTTP do IBM Tivoli Identity Manager, pro další zpracování.IBM Tivoli Identity Manager používá uživatelský účet Tivoli Access Manager k tomu, aby vyhledal odpovídajícího uživatele IBM Tivoli Identity Manager v adresáři IBM Tivoli Identity Manager. Obvykle je uživatelský účet Tivoli Access Manager identický s uživatelským účtem IBM Tivoli Identity Manager. Jsou-li identické, pak IBM Tivoli Identity Manager povolí uživateli, aby se přihlásil do IBM Tivoli Identity Manager. Pokud nejsou identické, můžete konfigurovat IBM Tivoli Identity Manager, a provést mapování uživatelského účtu. Zde jsou k dispozici dva parametry konfigurace mapování, které jsou řízeny atributem enrole.authentication.idsEqual v souboru enRoleAuthentication.properties, s umístěním v adresáři ITIM_HOME/data: enrole.authentication.idsEqual=true Nebude proveden žádný pokus o mapování. Uživatelský účet Tivoli Access Manager předaný v záhlaví požadavku HTTP typu iv-user musí být identický s uživatelským účtem IBM Tivoli Identity Manager definovaným v adresáři IBM Tivoli Identity Manager, aby měl uživatel povoleno přihlásit se do IBM Tivoli Identity Manager. Pokud je ve vaší instalaci taková zásada, že všechny uživatelské účty IBM Tivoli Identity Manager musí mít odpovídající uživatelské účty Tivoli Access Manager, zadejte enrole.authentication.idsEqual=true, abyste se vyvarovali zbytečnému zpracování mapování a zbytečné režii. enrole.authentication.idsEqual=false Uživatelský účet Tivoli Access Manager předaný v záhlaví požadavku HTTP typu iv-user se použije pro hledání adresáře Tivoli Access Manager pro odpovídající uživatelský účet IBM Tivoli Identity Manager: v Jestliže je nalezen identický IBM Tivoli Identity Manager, pak má uživatel povoleno přihlásit se do IBM Tivoli Identity Manager. v Pokud identický účet IBM Tivoli Identity Manager nalezen nebyl, pak se IBM Tivoli Identity Manager pokusí vyhledat odpovídající uživatelský účet IBM Tivoli Identity Manager pomocí následující logiky mapování: Uživatelský účet Tivoli Access Manager předaný v záhlaví požadavku HTTP typu iv-user se použije pro hledání adresáře IBM Tivoli Identity Manager pro uživatelský účet Tivoli Access Manager. Pokud je nalezen identický uživatelský účet Tivoli Access Manager v adresáři IBM Tivoli Identity Manager, pak se provede hledání entity typu Person IBM Tivoli Identity Manager, která vlastní uživatelský účet Tivoli Access Manager. Jestliže nelze vyhledat vlastnící entitu typu Person IBM Tivoli Identity Manager, uživateli není přihlášení povoleno. Jestliže je nalezena entita typu Person IBM Tivoli Identity Manager, která vlastní odpovídající uživatelský účet Tivoli Access Manager, pak se provede hledání uživatelského účtu IBM Tivoli Identity Manager, který vlastní příslušná osoba IBM Tivoli Identity Manager. Pokud je nalezen uživatelský účet IBM Tivoli Identity Manager, který vlastní příslušná osoba IBM Tivoli Identity Manager, pak má uživatel povoleno přihlásit se do IBM Tivoli Identity Manager pomocí tohoto uživatelského účtu IBM Tivoli Identity Manager. Jinak není uživateli přihlášení povoleno.

Změna stránky k odhlášení Tivoli Identity Manager nabízí odlišné soubory, které lze zadat jako stránku k odhlášení pro konzolu Tivoli Identity Manager a samoobslužné grafické uživatelské rozhraní.

22

Zabezpečení


Informace o této úloze Soubory se nacházejí v adresáři $WAS_HOME/AppServer/profiles/$PROFILE_NAME/ installedApps/$NODE_NAME/ITIM.ear/itim_console.war/jsp/common a adresáři $WAS_HOME/AppServer/profiles/$PROFILE_NAME/installedApps/$NODE_NAME/ ITIM.ear/itim_self_service.war/jsp/common (kde $WAS_HOME je adresář, kde je instalován WebSphere Application Server). Chcete-li konfigurovat jinou než výchozí stránku odhlášení, upravte soubory ui.properties nebo SelfServiceUI.properties: 1. Otevřete soubor Tivoli Identity Manager $ITIM_HOME/data/ui.properties v textovém editoru. Chcete-li konfigurovat stránku k odhlášení pro samoobslužné uživatelské rozhraní, otevřete soubor SelfServiceUI.properties. 2. Pro vlastnost enrole.ui.logoffURL zadejte jednu ze stránek k odhlášení, které jsou popsány v následující tabulce. Poznámka: Soubory ssoLogout.jsp a websealLogout.jsp jsou vzorovými soubory. Ukazují vzorový kód, potřebný k použití odhlašovacího tlačítka grafického uživatelského rozhraní Tivoli Identity Manager, když je povoleno jednotné přihlášení WebSEAL. Tyto soubory můžete upravit (včetně jazyka), abyste mohli provádět libovolné funkce dle vašeho prostředí. Tabulka 5. Stránky odhlášení Název souboru

Popis

websealLogout.jsp

Tento vzorový soubor má nejvyšší zabezpečení. Použijte jej v případě, když požadujete následující kombinované chování, když uživatel klepne na tlačítko k odhlášení: v o Ukončit relaci přihlášení k Tivoli Identity Manager v o Ukončit relaci přihlášení k Tivoli Access Manager (je vyvolána funkce pkmslogout). Poznámka: pkmslogout pracuje pouze pro klienty, kteří používají mechanizmus ověřování, který ke každému požadavku neposkytne údaje o ověření. Například, pkmslogout nepracuje pro klienty používající základní ověření, certifikáty, nebo informace o adrese IP. V těchto případech musíte zavřít prohlížeč, abyste se odhlásili. pkmslogout poskytne uživateli tuto informaci ve zprávě, která je zobrazena na odhlašovací stránce. Tento soubor můžete upravit, abyste upravili funkčnost vzorového odhlášení. Nastavte hodnoty: Pro uživatelské rozhraní konzoly: enrole.ui.logoffURL=/itim/console/jsp/common/websealLogout.jsp Pro samoobslužné uživatelské rozhraní: enrole.ui.logoffURL=/itim/self/jsp/common/websealLogout.jsp

Zabezpečení

23

Tabulka 5. Stránky odhlášení (pokračování) Název souboru

Popis

ssoLogout.jsp

Tento vzorový soubor použijte, požadujete-li při klepnutí uživatele na tlačítko k odhlášení následující kombinované chování: v o Ukončit aktuální relaci přihlášení k Tivoli Identity Manager a poskytnout odkaz pro návrat do grafického uživatelského rozhraní Tivoli Identity Manager. v o Zůstat přihlášený v Tivoli Access Manager (informace o záhlaví iv-user HTTP jsou stále k dispozici). Tím je například umožněno nepřetržité použití portálové stránky nebo návrat do produktu Tivoli Identity Manager bez výzvy k přihlášení. Tento soubor můžete upravit, abyste upravili funkčnost vzorového odhlášení. Pro uživatelské rozhraní konzoly: enrole.ui.logoffURL=/itim/console/jsp/common/sso_logout.jsp Pro samoobslužné uživatelské rozhraní: enrole.ui.logoffURL=/itim/self/jsp/logon/SSOLogoff.jsp

Definování uživatelských účtů IBM Tivoli Access Manager Pro uživatele, kteří budou potřebovat přístup k produktu IBM Tivoli Identity Manager, budete muset definovat uživatelské účty Tivoli Access Manager, kromě uživatelských účtů Tivoli Identity Manager.


Informace o této úloze Doporučuje se použít Tivoli Identity Manager, abyste poskytli uživatelské účty Tivoli Access Manager. V tomto příkladu je definován myaccount jako identický uživatelský účet pro obě aplikace. Identické uživatelské účty se doporučují pro Tivoli Access Manager, ale také pro uživatelské účty Tivoli Identity Manager. Jinak musíte konfigurovat mapování uživatelského účtu. Abyste definovali uživatelské účty Tivoli Access Manager, provete tyto kroky: 1. Na počítači, kde je Tivoli Access Manager instalován, spuste obslužný program Tivoli Access Manager, zadáním pdadmin do příkazového řádku. Možná se bude jednat o Autorizační server Tivoli Access Manager nebo Server zásad Tivoli Access Manager. Můžete také použít Tivoli Identity Manager. Doporučuje se použít Tivoli Identity Manager, abyste poskytli uživatelské účty Tivoli Access Manager. 2. Přihlaste se k zabezpečené doméně jako administrátor sec_master, abyste použili obslužný program. Do příkazového řádku zadejte login. Když jste vyzváni k zadání ID uživatele, zadejte sec_master. Do příkazového řádku Zadejte heslo uvete přidružené heslo. Například: pdadmin> login Zadejte ID uživatele: sec_master Zadejte heslo: password pdadmin>

24

Zabezpečení

3. Definujte ukázkový uživatelský účet myaccount v produktu Tivoli Access Manager, pomocí příkazu vytvoření uživatelem takto: user create [-gsouser][-no-password-policy] user_name dn cn sn password [groups],

kde: -gsouser Tato volba povolí schopnosti globálního přihlášení. -no-password-policy Tato volba umožňuje administrátorovi vytvořit uživatele s počátečním heslem, které není kontrolováno existujícími zásadami pro globální heslo. user_name dn

Uvádí identifikátor registru, přiřazený pro uživatele, který se vytváří. Formátem pro rozlišující název je formát, podobný tomuto: cn=Mary Jones,out=Austing,o=Tivoli,c=us

cn

Uvádí obecný název přiřazený uživateli, který se vytváří. Například, Mary.

sn

Příjmení uživatele. Například, Jones.

password Heslo pro účet nového uživatele. groups Uvádí seznam skupin, do kterých bude nový uživatel přiřazen. Například, zadejte: user create "myaccount" "cn=FirstName LastName,o=ibm,c=us" "FirstName LastName" "LastName" password

4. Chcete-li, aby byl uživatelský účet platný, zadejte: user modify "myaccount" account-valid yes

Definování skupin IBM Tivoli Access Manager Použitím obslužného programu pdadmin definujte dvě skupiny Tivoli Access Manager.


Informace o této úloze Jedna skupina je pro uživatele, kteří potřebují přístup k administrativní konzole, kterou poskytuje IBM Tivoli Identity Manager. Druhá skupina je pro uživatele, kteří potřebují přístup k samoobslužné konzole, kterou poskytuje Tivoli Identity Manager. Abyste tyto dvě skupiny vytvořili, provete tyto kroky: 1. Vytvořte skupinu s názvem ITIM-Group pro uživatele, kteří potřebují administrativní přístup, zadáním následujícího příkazu: vytvoření skupiny ITIM-Group cn=ITIM-Group,o=ibm,c=us ITIM-Group

2. Vytvořte skupinu s názvem ITIM-Self-Service-Group pro uživatele, kteří potřebují samoobslužný přístup, zadáním následujícího příkazu: vytvoření skupiny ITIM-Self-Service-Group cn=ITIM-Self-Service-Group,o=ibm,c=us ITIM-Self-Service-Group

Zabezpečení

25

Přidání uživatelského účtu IBM Tivoli Access Manager do skupiny Uživatelské účty Tivoli Access Manager potřebujete přidat do skupin Tivoli Access Manager.


Informace o této úloze Chcete-li přidat uživatelské účty do dvou skupin, pomocí obslužného programu pdadmin provete tyto kroky: 1. Přidejte uživatelský účet myaccount do skupiny ITIM-Group, zadáním tohoto příkazu: group modify ITIM-Group add "myaccount"

2. Přidejte uživatelský účet Tivoli Access Manager myaccount do skupiny ITIM-Self-Service-Group, zadáním následujícího příkazu: group modify ITIM-Self-Service-Group add "myaccount"

Jak pokračovat dále Můžete použít také grafické uživatelské rozhraní Portal Manager pro Tivoli Access Manager, nebo IBM Tivoli Identity Manager. Doporučuje se, abyste k provedení zajišování použili Tivoli Identity Manager.

Definování spojení SSL serveru WebSEAL Než budete definovat spojení SSL serveru WebSEAL, je nutné nastavení certifikátu.


Informace o této úloze Pokud použijete místo SSL spojení TCP serveru WebSEAL, přeskočte tuto sekci a přejděte k informacím o definování spojení TCP serveru WebSEAL nebo SSL. Nejprve musíte extrahovat certifikát WebSphere z databáze úložiště klíčů v WebSphere Application Server, kde je instalován IBM Tivoli Identity Manager. Poté importujte certifikát do databáze úložiště klíčů serveru WebSEAL pro IBM Tivoli Access Manager. V tomto příkladu je použita výchozí databáze úložiště klíčů DummyServerKeyFile.jks v WebSphere Application Server. Chcete-li ověřit, které úložiště klíčů používá váš WebSphere Application Server, přihlaste se k WebSphere Application Server Administrative Console. Poté provete následující kroky: 1. Klepněte na Zabezpečené → SSL → cluster_name/DefaultSSLSettings. Vlastnost Název souboru klíčů obsahuje název souboru pro databázi úložiště klíčů. 2. Chcete-li vyjmout certifikát WebSphere, spuste obslužný program iKeyman pro WebSphere Application Server. Obslužný program je obvykle v adresáři WAS_HOME/java/jre/bin.

26

Zabezpečení

3. V úloze pro Soubor databáze klíčů vyberte Otevřít. 4. Klepněte na Procházet a vyhledejte soubor DummyServerKeyFile.jks, který je umístěný v adresáři WAS_HOME/etc. Zobrazí se výzva k uvedení hesla. Jestliže používáte fiktivní soubor, heslo je WebAS. 5. Vyberte certifikát, poté klepněte na Vyjmout certifikát. 6. V dialogovém okně Extrahovat certifikát do souboru, zadejte následující: Typ dat Vyberte data ASCII kódovaná podle kódu Base64. Název souboru certifikátu Zadejte pro certifikát název souboru. Umístění Zadejte cestu k adresáři, kde byl certifikát uložen. Pokud jde o uvedený příklad, zadejte pro název souboru certifikátu hodnotu WebSphereServerCert.arm a certifikát uložte v adresáři WAS_HOME\etc. 7. Klepněte na OK.Když certifikát uložíte, přeneste extrahovaný certifikát na server WebSEAL a poté jej importujte do databáze úložiště klíčů serveru WebSEAL pro Tivoli Access Manager. Pokud jste definovali pro WebSphere své vlastní soubory klíčů a získali jste certifikát od CA, pak musíte použít kořenový certifikát CA, který bude podepsaný vaším certifikátem WebSphere, použijte jej v následujících krocích. 8. Na serveru WebSEAL spuste obslužný program GSKit iKeyman. 9. V nabídce pro Soubor databáze klíčů vyberte Otevřít. 10. Vyhledejte soubor databáze úložiště klíčů a klepněte na Otevřít. V tomto příkladu je použita výchozí databáze serveru WebSEAL, s názvem pdsrv.kdb.

11. 12. 13. 14.

Přejděte na: v Windows WAS_HOME\www-WebSEAL_instance\certs\pdsrv.kdb v UNIX nebo Linux /var/pdweb/www-default/certs/pdsrv.kdb Když se zobrazí dialogové okno s výzvou pro zadání hesla, zadejte heslo. Heslo pro výchozí databázi WebSEAL je pdsrv. Když se databáze otevře, vyberte Certifikáty podepsaných uživatelů. Klepněte na Přidat. Zobrazí se dialogové okno Přidat certifikát CA ze souboru. V dialogovém okně Přidat certifikát CA ze souboru, provete následující: Typ dat Vyberte ASCII s kódováním podle kódu Base64

15.

16. 17. 18.

Název souboru certifikátu Klepnutím na Procházet přejděte na název souboru certifikátu. V tomto příkladu je použit soubor WebSphereServerCert.arm, umístěný v adresáři WAS_HOME\etc. Klepněte na OK. Zobrazí se výzva pro zadání položky názvu jmenovky k uložení certifikátu. Zadejte požadovaný název pro příslušný certifikát, jako například WebSphere. Klepněte na OK. Zobrazí se stránka IBM Key Management se seznamem certifikátů podepsaných uživatelů, včetně názvu jmenovky, který jste zadali. Zavřete obslužný program iKeyman. Pokračujte v krocích pro definování spojení TCP serveru WebSEAL nebo SSL.

Zabezpečení

27

Definování spojení TCP serveru WebSEAL nebo SSL Chcete-li vytvořit TCP serveru WebSEAL nebo spojení SSL, použijte obslužný program pdadmin.


Informace o této úloze Abyste vytvořili TCP serveru WebSEAL nebo spojení SSL, provete tyto kroky: 1. Spuste obslužný program, zadáním hodnoty pdadmin do příkazového řádku. 2. Přihlaste se k zabezpečené doméně jako administrátor sec_master, abyste použili obslužný program. a. Do příkazového řádku zadejte login. b. Když jste vyzváni k zadání ID uživatele, zadejte sec_master. c. Do příkazového řádku Zadejte heslo uvete přidružené heslo. Například: pdadmin> login Zadejte ID uživatele: sec_master Zadejte heslo: password pdadmin>

3. Vyhledejte název serveru WebSEAL, abyste vytvořili spojení. Chcete-li určit název serveru WebSEAL definovaného v IBM Tivoli Access Manager, zadejte příkaz server list. V informacích, které se vám vrátí, je obsažen název, v níže uvedeném formátu: webseald-server_hostname,

kde server_hostname je název serveru WebSEAL. Poznámka: Jestliže instalujete na stejném počítači více instancí serveru WebSEAL, formát pro název je server_ instancename-webseald-server_ hostname.Například: pdadmin sec_master> server list amwpm-tam60-server ivacld-tam60-server default-webseald-tam60-server pdadmin sec_master>

4. Zadejte příkaz server task create, abyste vytvořili spojení. Formát příkazu je: server task webseal_server_name create options /junction_name

webseal_server_name Název serveru WebSEAL. options Potřebné jsou tyto volby: -t type

Definuje typ spojení. v Zadáním tcp vytvořte spojení TCP. v Zadáním ssl vytvořte spojení TCP.

-h hostname Zadejte plně kvalifikovaný název hostitele pro IBM Tivoli Identity Manager Server. -p port_number Zadejte číslo portu pro spojení.

28

Zabezpečení

v Výchozí hodnotou pro spojení TCP je 80. v Výchozí hodnotou pro spojení SSL je 9443. -s

Stavové spojení. Tento příznak je požadován při replikaci Tivoli Identity Manager Server. Poznámka: Stavové spojení je důležité, když se spojení serveru WebSEAL ve skutečnosti skládá ze dvou nebo více replikovaných serverů typu backend, kde mají všechny servery identický obsah. Každé spojení serveru WebSEAL se může skládat z jednoho nebo více serverů. Například: create .... -h server1 -s /junction add ... -h server2 /junction add ... -h server3 /junction

Server WebSEAL vyrovná zatížení pro server1, server2 a server3, z hlediska požadavků. Pokud je použit příznak -s, pak je aplikace stavová a všechny požadavky od daného uživatele musí připadnout na stejný server, což se provede přidáním souboru cookie v prohlížeči. -j

Soubor cookie pro spojení. Soubory cookie se používají ke zpracování adres URL, které se vztahují k serveru.

-e utf8-uri utf8-uri uvádí, že server WebSEAL odešle záhlaví v UTF-8, ale identifikátor URI kóduje záhlaví také. -c client_identity_options Zadejte hodnotu client_identity_options, jako například iv_user, abyste dali pokyn serveru WebSEAL k vložení proměnné záhlaví iv-user HTTP. Viz dokumentace administrace Tivoli Access Manager, kde získáte úplné volby. junction_name Zadejte název pro bod spojení. Každý bod spojení by měl mít jedinečný název. Například, chcete-li definovat spojení TCP, zadejte do jednoho řádku následující příkaz: server task default-webseald-tam60-server create -t tcp -s -j –e utf8_uri –c iv_user -p 9080 -h ITIMServer.ondemandinc.com /itimserver

Například, chcete-li definovat spojení SSL, zadejte do jednoho řádku následující příkaz: server task default-webseald-tam60-server create -t ssl -s -j –e utf8_uri -c iv_user -p 9443 -h ITIMServer.ondemandinc.com /itimserver

5. Vytvořte seznam řízení přístupu (seznam ACL) vyžadující ověřený přístup pro přidružení se spojením serveru WebSEAL. Chcete-li zobrazit spojení serveru WebSEAL, vydejte příkaz ukázat, takto: server task default-webseald-tam60-server show /itimserver

Stav serveru by měl mít hodnotu spuštěn. Jestliže spojení neběží, určete zda: v Nemáte problémy s připojením do sítě, například neplatný název hostitele nebo port. v Máte spuštěný WebSphere Application Server. v Nevznikl jiný problém s připojením do sítě.

Zabezpečení

29

Výsledky Výsledek je podobný tomuto příkladu: Bod spojení: /itimserver Typ: SSL Pevný limit spojení: 0 - použití globální hodnoty Volný limit spojení: 0 - použití globální hodnoty Aktivní podprocesy worker: 0 Základní režim autentizace: filtr SSO založený na formulářích: vypnuto Ověření záhlaví HTTP: vložit - iv_user Záhlaví HTTP vzdálené adresy: nevkládat Stavové spojení: ano Záhlaví s booleovským pravidlem: ne Podpora tvoření skriptů: ano Zachovat názvy souborů cookie: ne Názvy souborů cookie zahrnují cestu: ne Spojení s transparentní cestou: ne Podpora delegování: ne Ruční ověření: ne Vložit soubory cookie LTPA WebSphere: ne Vložit soubory cookie pro relace serveru WebSEAL: ne Kódování požadavků: UTF-8, kódováno pomocí URI Server 1: ID: 57d5c862-b2ea-11db-be6a-000c29c4fcbb Stav serveru: spuštěn Provozní stav: Online Název hostitele: ITIMServer.ondemandinc.com Port: 9443 Virtuální název hostitele: ITIMServer.ondemandinc.com:9443 DN serveru: Adresa URL obsahu dotazu: /cgi-bin/query_contents Obsah dotazu: neznámý Adresy URL rozlišují velikost písmen: ne Povolit adresy URL ve stylu Windows: ano Aktuální požadavky: 0 Celkový počet požadavků: 1

Definování seznamů ACL IBM Tivoli Access Manager Použitím obslužného programu pdadmin definujte seznamy řízení přístupu (seznamy ACL) pro Tivoli Access Manager, abyste řídili přístup ke konzole administrátora a samoobslužné konzole, které poskytuje IBM Tivoli Identity Manager.


Informace o této úloze Chcete-li definovat seznamy ACL pro Tivoli Access Manager, provete tyto kroky: 1. Spuste obslužný program, zadáním hodnoty pdadmin do příkazového řádku.

30

Zabezpečení

2. Vytvořte seznam ACL vyžadující ověřený přístup, který má být přidružen se spojením serveru WebSEAL. a. Použijte příkaz acl create acl_name, kde acl_name je název seznamu ACL, který se vytváří. Například, pro přístup administrátora zadejte následující příkaz: pdadmin> acl create ITIM-ACL

Pro samoobslužný přístup zadejte následující příkaz: pdadmin> acl create ITIM-Self-Help-ACL

Udělování přístupu k seznamům ACL IBM Tivoli Access Manager Udělte přístup skupin Tivoli Access Manager k seznamům řízení přístupů (seznamy ACL) Tivoli Access Manager, které jim odpovídají.


Informace o této úloze Pro administrátora (ITIM-Group) i pro samoobslužnou skupinu (ITIM-Self-Service-Group) provete tyto kroky: 1. Přidejte skupiny do seznamu ACL pomocí příkazu acl modify acl_name set group group_name permissions. Například, přidejte skupinu administrátorů do odpovídajícího seznamu ACL: pdadmin> acl modify ITIM-ACL set group ITIM-Group Trx,

kde: acl_name Zadejte názvy skupin v seznamu ACL, které se přidávají. group_name Zadejte název skupiny, která se přidává. permissions Zadejte jedno nebo více oprávnění, která jsou uvedena níže: T

procházet podadresáře

r

číst

x provést 2. Chcete-li umožnit neověřeným uživatelům, aby pouze Traverzovali - procházeli adresář, upravte seznam ACL: acl modify ITIM-ACL set any-other T

3. Chcete-li upravit seznam ACL, abyste povolili uživatelům, kteří nebyli ověřeni, pouze Traverzovat - procházet adresář, zadejte tento příkaz: modify ITIM-ACL set unauthenticated T

4. Abyste upravili odpovídající seznam ACL a povolili autoritě ITIM-Self-Service-Group přejít adresář Traversováním a také číst a provádět, zadejte tento příkaz: acl modify ITIM-Self-Help-ACL set group ITIM-Self-Service-Group Trx

5. Chcete-li upravit ITIM-Self-Help-ACL seznamu ACL, abyste povolili neověřeným uživatelům pouze Traverzovat - procházet adresář, zadejte tento příkaz: Zabezpečení

31

acl modify ITIM-Self-Help-ACL set any-other T

6. Chcete-li upravit ITIM-Self-Help-ACL seznamu ACL, abyste povolili uživatelům, kteří ještě nebyli ověřeni, pouze Traverzovat - procházet adresář, zadejte tento příkaz: acl modify ITIM-Self-Help-ACL set unauthenticated T

Přidružení spojení serveru WebSEAL k seznamům ACL Použitím obslužného programu pdadmin přidružte spojení serveru WebSEAL s předponou cesty k adrese URL do odpovídajícího seznamu řízení přístupu (seznam ACL) pro IBM Tivoli Access Manager.


Informace o této úloze Abyste přidružili spojení serveru WebSEAL k seznamům ACL, provete tyto kroky: Přidružte seznam ACL pro spojení, použitím příkazu attach junction_name acl_name. Syntaxe příkazu je: acl attach prefix/webseal_junction/url_path_prefix acl_name,

kde: prefix

Předpona pro místo objektů Tivoli Access Manager pro váš server WebSEAL. Chcete-li zobrazit předponu, zadejte následující příkaz: pdadmin> object list /WebSEAL /WebSEAL/tam60-server-default

Pro tento příklad je hodnota předpony /WebSEAL/tam60-server-default. webseal_junction Název spojení serveru WebSEAL, které jste vytvořili dříve, přes příkaz server task create. V tomto příkladu, názvem spojení serveru WebSEAL je /itimserver a plně kvalifikovaným názvem spojení serveru WebSEAL je /WebSEAL/tam60-serverdefault/itimserver. url_path_prefix Název předpony cesty k adrese URL pro administrativní konzolu (itim/console) nebo samoobslužnou konzolu (itim/self), které poskytuje IBM Tivoli Identity Manager. acl_name Název odpovídajícího seznamu ACL Tivoli Access Manager (ITIM-ACL nebo ITIM-Self-Help-ACL). Například, přidružte plně kvalifikovaný název spojení serveru WebSEAL /WebSEAL/tam60-server-default/itimserver/itim/console k těmto přístupům: v Konzola administrátora, kterou Tivoli Identity Manager poskytne pro seznam ACL ITIM-ACL Tivoli Access Manager. acl attach /WebSEAL/tam60-server-default/itimserver/itim/console ITIM-ACL

v Samoobslužná konzola, kterou Tivoli Identity Manager poskytne pro seznam ACL ITIM-Self-Help-ACL Tivoli Access Manager. acl attach /WebSEAL/tam60-server-default/itimserver/itim/self ITIM-Self-Help-ACL

32

Zabezpečení

Konfigurace IBM Tivoli Identity Manager pro jednotné přihlášení Chcete-li konfigurovat Tivoli Identity Manager pro použití jednotného přihlášení, změňte soubor ui.properties.


Informace o této úloze Dokončete tyto kroky: 1. Aktualizujte následující atribut v souboru ITIM_HOME/data/ui.properties tak, aby se nezobrazila přihlašovací stránka Tivoli Identity Manager: enrole.ui.ssoEnabled=true

2. Ověřte, že existuje následující příkaz v souboru ui.properties, nebo jej přidejte takto: enrole.ui.ssoEncoding=UTF-8

3. Pokud atribut enduser.ui.ssoadapter existuje v souboru ui.properties, ujistěte se, že má tento atribut výchozí hodnotu, kterou je com.ibm.itim.ui.struts.security.TAMIVHeaderSSOAdapter. enduser.ui.ssoadapter=com.ibm.itim.ui.struts.security.TAMIVHeaderSSOAdapter

Pokud je jeho hodnota odlišná, bu hodnotu změňte nebo příkaz odeberte. 4. Zastavte a restartujte WebSphere Application Server, abyste uvedli změny v platnost.

Přístup ke konzolám IBM Tivoli Identity Manager Poté, co existuje spojení mezi serverem WebSEAL a hostitelem, na kterém spouští Tivoli Identity Manager, musí adresy URL obsahovat název spojení, aby byl zajištěn přístup ke konzole administrátora nebo samoobslužné konzole, které poskytuje Tivoli Identity Manager.


Informace o této úloze V každé adrese konzoly použijte níže uvedenou syntaxi: protocol://host_name/junction_name/url_path_prefix protocol Typ protokolu, který se používá. Zadejte bu http nebo https. host_name Zadejte název počítače, na kterém je server WebSEAL IBM Tivoli Access Manager instalován. junction_name Název spojení serveru WebSEAL. url_path_prefix v Konzola administrátora, zadejte itim/console. Zabezpečení

33

Například, zadejte: http://TAM60-Server/ITIMServer/itim/console

nebo zadejte: https://TAM60-Server/ITIMServer/itim/console

v Samoobslužná konzola, zadejte itim/self. Například, zadejte: http://TAM60-Server/ITIMServer/itim/self

nebo zadejte: https://TAM60-Server/ITIMServer/itim/self

Často používané příkazy ke konfiguraci jednotného přihlášení Pomůckou při konfiguraci jednotného přihlášení IBM Tivoli Access Manager pro IBM Tivoli Identity Manager jsou nejčastěji používané příkazy (každý na jednom řádku), které jsou vypsány v této sekci. Chcete-li získat další informace, prohlédněte si dokumentaci pro obslužný program pdadmin příkazového řádku, který Tivoli Access Manager poskytuje. V uvedeném příkladu by měl být každý příkaz formátovaný na jednom řádku: Definování uživatelských účtů Tivoli Access Manager: pdadmin -a sec_master -p tivoli -m user delete -registry "itim manager" pdadmin -a sec_master -p tivoli -m user create "itim manager" "cn=itim manager,o=ibm,c=us" "itim manager" "itim manager" tivoli pdadmin -a sec_master -p tivoli -m user modify "itim manager" account-valid yes pdadmin -a sec_master -p tivoli -m user show "itim manager" pdadmin -a sec_master -p tivoli -m user delete -registry "myname" pdadmin -a sec_master -p tivoli -m user create "myname" "cn=My Name,o=ibm,c=us" "My Name" "Name" tivoli pdadmin -a sec_master -p tivoli -m user modify "myname" account-valid yes pdadmin -a sec_master -p tivoli -m user show "myname" pdadmin -a sec_master -p tivoli -m user delete -registry "teamleader" pdadmin -a sec_master -p tivoli -m user create "teamleader" "cn=Team Leader,o=ibm,c=us" "Team Leader" "Leader" tivoli pdadmin -a sec_master -p tivoli -m user modify "teamleader" account-valid yes pdadmin -a sec_master -p tivoli -m user show "teamleader" pdadmin -a sec_master -p tivoli -m server task default-webseald-tam60-server delete /itimserver

Definování TCP serveru WebSEAL nebo spojení SSL pdadmin -a sec_master -p tivoli -m server task default-webseald-tam60-server create -t tcp -s -j -e utf8_uri -c iv_user -p 9080 -h ITIMServer /itimserver pdadmin -a sec_master -p tivoli -m server task default-webseald-tam60-server create -t ssl -s -j -e utf8_uri -c iv_user -p 9443 -h ITIMServer /itimserver pdadmin -a sec_master -p tivoli -m server task default-webseald-tam60-server show /itimserver pdadmin -a sec_master -p tivoli -m acl detach /WebSEAL/tam60-server-default/itimserver/itim/console

Definování seznamů ACL pro Tivoli Access Manager:

34

Zabezpečení

pdadmin -a sec_master -p tivoli -m acl delete ITIM-ACL pdadmin -a sec_master -p tivoli -m acl create ITIM-ACL pdadmin -a sec_master -p tivoli -m acl detach /WebSEAL/tam60-server-default/itimserver/itim/self pdadmin -a sec_master -p tivoli -m acl delete ITIM-Self-Help-ACL pdadmin -a sec_master -p tivoli -m acl create ITIM-Self-Help-ACL

Definování skupin Tivoli Access Manager: pdadmin -a sec_master -p tivoli -m group delete ITIM-Group -registry pdadmin -a sec_master -p tivoli -m group create ITIM-Group cn=ITIM-Group,o=ibm,c=us ITIM-Group pdadmin -a sec_master -p tivoli -m group modify ITIM-Group add "itim manager" pdadmin -a sec_master -p tivoli -m group show ITIM-Group pdadmin -a sec_master -p tivoli -m group delete ITIM-Self-Service-Group -registry pdadmin -a sec_master -p tivoli -m group create ITIM-Self-Service-Group cn=ITIM-Self-Service-Group,o=ibm,c=us ITIM-Self-Service-Group pdadmin -a sec_master -p tivoli -m group modify ITIM-Self-Service-Group add "itim manager" pdadmin -a sec_master -p tivoli -m group modify ITIM-Self-Service-Group add "myname" pdadmin -a sec_master -p tivoli -m group modify ITIM-Self-Service-Group add "teamleader" pdadmin -a sec_master -p tivoli -m group show ITIM-Self-Service-Group

Přidružte spojení WebSEAL k seznamům ACL: pdadmin -a sec_master -p tivoli set group ITIM-Group Trx pdadmin -a sec_master -p tivoli set any-other T pdadmin -a sec_master -p tivoli set unauthenticated T pdadmin -a sec_master -p tivoli

-m acl modify ITIM-ACL -m acl modify ITIM-ACL -m acl modify ITIM-ACL -m acl show ITIM-ACL

pdadmin -a sec_master -p tivoli -m acl modify ITIM-Self-Help-ACL set group ITIM-Self-Service-Group Trx pdadmin -a sec_master -p tivoli -m acl modify ITIM-Self-Help-ACL set any-other T pdadmin -a sec_master -p tivoli -m acl modify ITIM-Self-Help-ACL set unauthenticated T pdadmin -a sec_master -p tivoli -m acl show ITIM-Self-Help-ACL pdadmin -a sec_master -p tivoli -m acl attach /WebSEAL/tam60-server-default/itimserver/itim/console ITIM-ACL pdadmin -a sec_master -p tivoli -m acl attach /WebSEAL/tam60-server-default/itimserver/itim/self ITIM-Self-Help-ACL

Nastavení intervalu vypršení platnosti relace pro IBM Tivoli Identity Manager Chcete-li nastavit hodnotu vypršení platnosti relace pro Tivoli Identity Manager, provete tyto kroky:

Zabezpečení

35


Informace o této úloze Provete tyto kroky: 1. Přihlaste se ke konzole WebSphere Application Server Administrative Console. 2. Klepněte na Aplikace → Podnikové aplikace → ITIM. 3. V oblasti Vlastnosti webového modulu, klepněte na Správa relace. 4. Pod Časovým limitem relace klepněte na Nastavit časový limit a zadejte hodnotu uvedenou v minutách. Předvolba je 30 minut.

36

Zabezpečení

Rejstřík S stránka k odhlášení konzola Tivoli Identity Manager změna 23 samoobslužné grafické uživatelské rozhraní změna 23

37

Obsah. Rejstřík iii

Recommend Documents