Plug-in for Web Servers Integration Guide

IBM Tivoli Access Manager for e-business

򔻐򗗠򙳰

Plug-in for Web Servers Integration Guide Verze 5.1

SC09-3712-00

IBM Tivoli Access Manager for e-business

򔻐򗗠򙳰

Plug-in for Web Servers Integration Guide Verze 5.1

SC09-3712-00

Poznámka Než začnete používat uvedené informace a produkt, o který se opírají, přečtěte si informace uvedené v části Dodatek F, “Poznámky”, na stránce 213.

První vydání (Listopad 2003) Toto vydání platí pro verzi 5, vydání 1, modifikace 0 IBM Tivoli Access Manager (číslo produktu 5724-C08) a pro všechna následná vydání a modifikace, pokud nebude uvedeno jinak v novém vydání. © Copyright International Business Machines Corporation 2000, 2003. Všechna práva vyhrazena.

Obsah Obrázky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix Tabulky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii Pro koho je určena tato kniha . . Co tato kniha obsahuje . . . . Publikace . . . . . . . . Informace o vydání . . . . Základní informace . . . . Informace o zabezpečení Webu . Odkazy pro vývojáře . . . . Technické dodatky . . . . Související publikace . . . Online přístup k publikacím . . Dostupnost . . . . . . . . Kontakt na softwarovou podporu . Konvence používané v této knize . Konvence typu písma . . . . Rozdíly v operačních systémech

. .

. . . . . .

. . . . . .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. .

. . . . .

.

.

. .

. . . . .

. . . . .

.

. xiii . xiv . xv . xv . xv . xv . xvi . xvii . xvii . xx . xx . xx . xx . xx . xxi

. . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

. . . . .

. . . . . .

.

. .

.

. . . .

.

. .

. .

. . . . .

.

.

Kapitola 1. Úvod do produktu IBM Tivoli Access Manager Plug-in for Web Servers . . . . 1 Technologie produktu Tivoli Access Manager Plug-in for Web Servers . . . . . . . . . Základní provozní komponenty a architektura . . . . . . . . . . . . . . . . Podpora virtuálních hostitelů . . . . . . . . . . . . . . . . . . . . . Ochrana vašeho webového prostoru pomocí produktu Tivoli Access Manager Plug-in for Web Servers Autentizace produktu Tivoli Access Manager Plug-in for Web Servers . . . . . . . . . Získání pověření. . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

1 1 2 3 4 4

Kapitola 2. Konfigurace produktu IBM Tivoli Access Manager Plug-in for Web Servers . . 7 Obecné informace o plug-in programu . . . . . . . . . . . . . . . . Kořenový adresář instalace produktu Tivoli Access Manager Plug-in for Web Servers . Konfigurační soubor pdwebpi.conf . . . . . . . . . . . . . . . . Konfigurační soubor pdwebpimgr.conf . . . . . . . . . . . . . . . Spuštění a zastavení procesu produktu Tivoli Access Manager Plug-in for Web Servers Chybové zprávy HTTP . . . . . . . . . . . . . . . . . . . . Podpora maker . . . . . . . . . . . . . . . . . . . . . . Makra související s formáty . . . . . . . . . . . . . . . . . . Konfigurace autorizačního serveru . . . . . . . . . . . . . . . . . Konfigurace pracovních vláken . . . . . . . . . . . . . . . . . Nastavení maximální doby trvání relace pro požadavky IPC . . . . . . . . Konfigurace chybových stránek . . . . . . . . . . . . . . . . . Konfigurace virtuálních hostitelských serverů . . . . . . . . . . . . . Konfigurace specifická pro webový server . . . . . . . . . . . . . . Pokyny pro webový server . . . . . . . . . . . . . . . . . . Výpisy objektu pro přizpůsobení . . . . . . . . . . . . . . . . . Parametry příkazového řádku . . . . . . . . . . . . . . . . . Výstup . . . . . . . . . . . . . . . . . . . . . . . . Konfigurace SU (switch user) pro administrátory . . . . . . . . . . . . Pochopení toku procesu přepnutí uživatele . . . . . . . . . . . . . Povolení přepnutí uživatele . . . . . . . . . . . . . . . . . . Konfigurace formuláře HTML pro přepnutí uživatele . . . . . . . . . . Povolení nebo vyloučení uživatelů z přepnutí uživatele . . . . . . . . . . Konfigurace mechanismu pro autentizaci přepnutí uživatele . . . . . . . .

© Copyright IBM Corp. 2000, 2003

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. 7 . 7 . 8 . 9 . 9 . 9 . 10 . 10 . 11 . 11 . 12 . 12 . 13 . 15 . 17 . 18 . 18 . 19 . 19 . 20 . 20 . 20 . 22 . 22

iii

Ovlivnění funkcionality ostatních plug-in programů . . . . . . . . . . . . . Konfigurace přepnutí při selhání pro servery LDAP . . . . . . . . . . . . . . Podpora P3P (Platform for Privacy Preferences) hlaviček . . . . . . . . . . . . Konfigurování hlaviček P3P . . . . . . . . . . . . . . . . . . . . Konfigurace monitorování, protokolování, trasování a databáze paměti cache plug-in programu . Prověřovací záznamy . . . . . . . . . . . . . . . . . . . . . . Konfigurace monitorování . . . . . . . . . . . . . . . . . . . . Trasování akcí plug-in programu . . . . . . . . . . . . . . . . . . Nastavení databáze paměti cache . . . . . . . . . . . . . . . . . . Konfigurace služby autorizačního rozhraní API . . . . . . . . . . . . . . . Obnovení pověření . . . . . . . . . . . . . . . . . . . . . . . Konfigurování obnovení pověření . . . . . . . . . . . . . . . . . . Konfigurace ukládání do paměti cache požadavku HTTP . . . . . . . . . . . . Konfigurace parametrů server-side ukládání do paměti cache . . . . . . . . . . Podpora jazyků a znakové sady . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

23 24 25 25 28 29 30 31 32 33 33 33 34 35 35

Kapitola 3. Zpracování požadavku a autentizace produktu IBM Tivoli Access Manager Plug-in for Web Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Proces zacházení s požadavkem . . . . . . . . . . . Proces autentizace . . . . . . . . . . . . . . . Konfigurace autentizace . . . . . . . . . . . . . Konfigurace autentizace virtuálních hostitelů . . . . . . Konfigurace pořadí politik autentizace . . . . . . . . Konfigurace zpracování následujícího po autorizaci . . . . Správa stavu relace . . . . . . . . . . . . . . Konfigurace paměti cache pro relace/pověření plug-in programu Udržování stavu relace pomocí ID relace SSL . . . . . Udržování stavu relace pomocí Základní autentizace . . . Udržování stavu relace pomocí cookies relace . . . . . Udržování stavu relace pomocí HTTP hlaviček . . . . . Udržování stavu relace pomocí IP adres . . . . . . . Udržování stavu relace pomocí LTPA cookies . . . . . Udržování stavu relace pomocí IV hlaviček . . . . . . Přehled konfigurace autentizace . . . . . . . . . . . Mechanismus lokální autentizace . . . . . . . . . Parametry externí uživatelské autentizace CDAS . . . . . Přednastavená konfigurace plug-in programů . . . . . . Konfigurace několika politik autentizace . . . . . . . Příkazy pro odhlášení, změnu hesla a nápovědu . . . . . Konfigurace Základní autentizace . . . . . . . . . . Aktivace Základní autentizace . . . . . . . . . . Konfigurace mechanismu pro Základní autentizaci . . . . Nastavení jména sféry . . . . . . . . . . . . Práce s BA hlavičkami . . . . . . . . . . . . Uvedení UTF-8 zakódování BA hlaviček . . . . . . . Konfigurace autentizace pomocí formulářů . . . . . . . Aktivace autentizace pomocí formulářů . . . . . . . Konfigurace mechanismu pro autentizaci pomocí formulářů . Přizpůsobení HTML formulářů s odpovědí . . . . . . Přizpůsobení URI přihlášení pomocí formulářů . . . . . Vytvoření BA hlavičky . . . . . . . . . . . . Uvedení UTF-8 zakódování BA hlaviček . . . . . . . Konfigurace autentizace pomocí certifikátů . . . . . . . Vzájemná autentizace pomocí certifikátů . . . . . . . Aktivace autentizace pomocí certifikátů . . . . . . . Konfigurace mechanismu pro autentizaci pomocí certifikátů . Konfigurace autentizace pomocí tokenů . . . . . . . . Autentizace SecurID pomocí tokenu . . . . . . . . Aktivace autentizace pomocí tokenů . . . . . . . . Konfigurace mechanismu pro autentizaci pomocí tokenů . . Přizpůsobení stránek s odpovědí pro tokeny . . . . . .

iv

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

IBM Tivoli Access Manager for e-business: Plug-in for Web Servers Integration Guide

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

39 41 41 42 44 48 49 50 52 52 53 54 54 55 55 55 56 56 57 57 57 58 59 59 59 59 61 61 61 62 62 63 63 63 64 64 64 65 65 65 67 68 68

Konfigurace autentizace pomocí SPNEGO . . . . . . . . . . . . . . Podpora platformy a registru uživatelů . . . . . . . . . . . . . . . Přechod konfigurace SPNEGO z verze 4.1 na 5.1 . . . . . . . . . . . Omezení . . . . . . . . . . . . . . . . . . . . . . . Konfigurace jednotného přihlášení k pracovní ploše Windows . . . . . . . . Rady pro odstraňování problémů . . . . . . . . . . . . . . . . Konfigurace autentizace pomocí NTLM0 (pouze pro platformy IIS) . . . . . . . Konfigurace autentizace pomocí webového serveru (pouze pro platformy IIS) . . . . Konfigurace autentizace po přepnutí při selhání . . . . . . . . . . . . . Koncepty autentizace po přepnutí při selhání . . . . . . . . . . . . . Konfigurace autentizace po přepnutí při selhání . . . . . . . . . . . . Konfigurace autentizace pomocí IV hlaviček . . . . . . . . . . . . . . Aktivace autentizace pomocí IV hlaviček . . . . . . . . . . . . . . Konfigurace parametrů IV hlaviček. . . . . . . . . . . . . . . . Uveďte UTF-8 zakódování IV hlaviček . . . . . . . . . . . . . . Konfigurace mechanismu pro autentizaci pomocí IV hlaviček pro iv-remote-address . Konfigurace autentizace pomocí HTTP hlaviček . . . . . . . . . . . . . Aktivace autentizace pomocí HTTP hlaviček . . . . . . . . . . . . . Určení typů hlaviček . . . . . . . . . . . . . . . . . . . . Konfigurace mechanismu pro autentizaci pomocí HTTP hlaviček . . . . . . . Konfigurace autentizace pomocí IP adresy . . . . . . . . . . . . . . Aktivace autentizace pomocí IP adresy . . . . . . . . . . . . . . Konfigurace mechanismu pro autentizaci pomocí IP adresy . . . . . . . . Konfigurace autentizace pomocí LTPA cookies . . . . . . . . . . . . . Aktivace autentizace pomocí LTPA cookies . . . . . . . . . . . . . Nastavení podrobných informací o klíči . . . . . . . . . . . . . . Konfigurace zpracování následujícího po autorizaci pomocí LTPA cookies . . . . Konfigurace přesměrování uživatelů po přihlášení . . . . . . . . . . . . Aktivace přesměrování uživatele . . . . . . . . . . . . . . . . Konfigurace parametrů přesměrování uživatele . . . . . . . . . . . . Přidání rozšířených atributů pro pověření . . . . . . . . . . . . . . . Mechanismy pro přidání rozšířených atributů do pověření . . . . . . . . . Konfigurace služby pojmenování . . . . . . . . . . . . . . . . Přidání rozšířených atributů LDAP do HTTP hlavičky (hodnota příznaku) . . . . . Aktivace zpracování pomocí hodnoty příznaku . . . . . . . . . . . . Konfigurace parametrů hodnoty příznaku . . . . . . . . . . . . . Podpora MPA (Multiplexing Proxy Agents) . . . . . . . . . . . . . . Platné typy dat relací a metody autentizace . . . . . . . . . . . . . Průběh procesu autentizace pro MPA a několik klientů . . . . . . . . . Aktivace autentizace MPA . . . . . . . . . . . . . . . . . . Vytvoření účtu uživatele pro MPA . . . . . . . . . . . . . . . Přidání účtu MPA do skupiny pdwebpi-mpa-servers . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. 69 . 69 . 69 . 70 . 70 . 74 . 76 . 77 . 78 . 78 . 84 . 92 . 93 . 94 . 94 . 94 . 95 . 95 . 95 . 96 . 96 . 96 . 97 . 97 . 97 . 97 . 98 . 98 . 98 . 99 . 99 . 99 . 100 . 102 . 102 . 103 . 103 . 103 . 105 . 105 . 106 . 106

Kapitola 4. Bezpečnostní politika produktu IBM Tivoli Access Manager Plug-in for Web Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Politiky ACL (Access Control List) specifické pro plug-in program . . . . /PDWebPI/hostitel nebo virtuální-hostitel . . . . . . . . . . Oprávnění ACL plug-in programu. . . . . . . . . . . . . Předvolená politika ACL pro /PDWebPI . . . . . . . . . . . Politika pro přihlášení ″třikrát a dost″ . . . . . . . . . . . . . Politika odolnosti hesla . . . . . . . . . . . . . . . . . Nastavení politiky odolnosti hesla pomocí obslužného programu pdadmin . Nastavení pro určitého uživatele a globální nastavení . . . . . . . Politika POP odolnosti autentizace (zvýšená) . . . . . . . . . . Konfigurace úrovní pro zvýšenou autentizaci . . . . . . . . . Aktivace zvýšené autentizace . . . . . . . . . . . . . . Poznámky a omezení zvýšené autentizace . . . . . . . . . . Vícefaktorová autentizace . . . . . . . . . . . . . . . . Aktivace vícefaktorové autentizace . . . . . . . . . . . . Opětovná autentizace pomocí politiky chráněného objektu . . . . . . Podmínky ovlivňující opětovnou autentizaci pomocí POP. . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

107 108 109 109 110 111 111 113 113 114 114 116 116 117 117 117

Obsah

v

Vytvoření a použití opětovné autentizace pomocí POP . . Autentizace pomocí POP založená na síti . . . . . . . Určení IP adres a rozsahů . . . . . . . . . . . Zablokování zvýšené autentizace pomocí IP adresy . . . Algoritmus autentizace založené na síti . . . . . . . Úroveň zabezpečení politiky chráněného objektu . . . . . Zacházení s neautentizovanými uživateli (HTTP/HTTPS) . . . Zpracování požadavku od anonymního klienta . . . . . Přinucení uživatele, aby se přihlásil . . . . . . . . Použití neautentizovaného HTTPS . . . . . . . . Řízení neautentizovaných uživatelů pomocí politik ACL/POP

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

118 118 118 119 120 120 120 120 121 121 121

Kapitola 5. Řešení jednotného přihlášení pro web . . . . . . . . . . . . . . . . . 123 Koncepty jednotného přihlášení . . . . . . . . . . . . . . . . . Automatické přihlášení do zabezpečené aplikace . . . . . . . . . . . . Konfigurace jednotného přihlášení do zabezpečených aplikací pomocí HTTP hlaviček Jednotné přihlášení do WebSphere Application server pomocí LTPA cookies . . . Jednotné přihlášení do plug-in programu z WebSEAL nebo jiné proxy . . . . . . Aktivace a zablokování autentizace pomocí IV hlaviček . . . . . . . . . Konfigurace parametrů IV hlaviček . . . . . . . . . . . . . . . Použití failover cookie pro jednotné přihlášení . . . . . . . . . . . . . Aktivace jednotného přihlášení pomocí failover cookies . . . . . . . . . Používání globálního jednotného přihlášení (GSO - Global single sign-on) . . . . Konfigurace GSO (Global single sign-on) . . . . . . . . . . . . . Jednotné přihlášení pomocí SPNEGO (Security Provider NEGOtiation) . . . . . Jednotné přihlášení pomocí formulářů . . . . . . . . . . . . . . . Průběh procesu jednotného přihlášení pomocí formulářů . . . . . . . . . Požadavky pro podporu aplikace . . . . . . . . . . . . . . . . Aktivace jednotného přihlášení pomocí formulářů . . . . . . . . . . . Konfigurace jednotného přihlášení pomocí formulářů . . . . . . . . . . Příklad konfiguračního souboru pro IBM HelpNow . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

123 124 124 125 126 127 127 127 128 128 130 131 131 131 133 133 134 137

Kapitola 6. Řešení přihlášení napříč doménou . . . . . . . . . . . . . . . . . . 139 Cross domain single sign-on (služba CDSSO) . . . . . . . Průběh procesu autentizace pro CDSSO . . . . . . . . Aktivace a zablokování autentizace pomocí CDSSO . . . . Zašifrování dat tokenu autentizace . . . . . . . . . Konfigurace časového označení tokenu . . . . . . . . Zahrnutí atributů pověření v tokenech autentizace . . . . . Uvedení knihoven sso-create a sso-consume . . . . . . . Vysvětlení odkazů CDSSO . . . . . . . . . . . . Ochrana tokenu autentizace . . . . . . . . . . . Jednotné přihlášení pomocí e-Community . . . . . . . . Funkce a požadavky jednotného přihlášení pomocí e-Community Průběh procesu jednotného přihlášení pomocí e-community . . Cookie e-community . . . . . . . . . . . . . ″Vouch-for″ požadavek a odpověď . . . . . . . . . ″Vouch-for″ token . . . . . . . . . . . . . . Zašifrování ″vouch-for″ tokenu . . . . . . . . . . Konfigurace e-community . . . . . . . . . . . . Konfigurace jednotného přihlášení pomocí e-community - příklad

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

139 139 141 141 142 142 143 143 144 144 145 145 147 147 148 148 149 153

Kapitola 7. Integrace aplikace . . . . . . . . . . . . . . . . . . . . . . . . . 157 Udržování stavu relace mezi klientem a aplikacemi back-end. Aktivace správy ID relace uživatele . . . . . . . Vkládání dat pověření do hlavičky HTTP . . . . . Ukončení relací uživatele . . . . . . . . . . Poskytnutí řízení přístupu k dynamickým URL . . . . . Konfigurace dynamických URL . . . . . . . .

vi

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .


. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

157 157 158 159 159 160

Kapitola 8. Vyvolání ADI (authorization decision information retrieval) . . . . . . . . 163 Vyvolání přehledu ADI . . . . . . . . . . . . . . . . Načítání ADI z požadavku plug-in programu . . . . . . . . . Příklad: Načítání ADI z hlavičky požadavku . . . . . . . . Příklad: Načítání ADI z řetězce dotazu požadavku . . . . . . . Příklad: Načítání ADI z těla požadavku POST . . . . . . . . Načítání ADI z pověření uživatele . . . . . . . . . . . . . Dodání důvodu selhání . . . . . . . . . . . . . . . . Konfigurace vyvolání dynamické ADI . . . . . . . . . . . Konfigurace plug-in programu pro použití webové služby AMWebARS

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

163 164 164 165 165 166 166 167 168

Dodatek A. Použití pdbackup k zálohování dat pro plug-in . . . . . . . . . . . . . 169 Funkčnost . . . . . . Zálohování dat pro plug-in Obnova dat pro plug-in . Syntaxe . . . . . . Příklady . . . . . . Příklady pro UNIX . . Příklady pro Windows . Obsah pdinfo-pdwebpi.lst Další data zálohování .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

169 169 170 170 171 171 171 172 172

Dodatek B. pdwebpi.conf reference . . . . . . . . . . . . . . . . . . . . . . . 173 Obecné parametry konfigurace . . . . . . . . . Parametry konfigurace autentizace . . . . . . . Konfigurační parametry relace . . . . . . . . . Konfigurační parametry LDAP . . . . . . . . Konfigurační parametry proxy . . . . . . . . . Konfigurační parametry autorizačního API . . . . . Konfigurační parametry specifické pro daný webový server

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

173 176 186 187 187 188 189

Dodatek C. Stručná reference pro moduly . . . . . . . . . . . . . . . . . . . . 195 Dodatek D. Stručná reference pro příkazy . . . . . . . . . . . . . . . . . . . . 201 pdwebpi_start . . . . pdwebpi . . . . . pdwpi-version . . . pdwpicfg –action config pdwpicfg –action unconfig

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

202 204 205 206 208

Dodatek E. Speciální znaky dovolené v běžných výrazech . . . . . . . . . . . . . 211 Dodatek F. Poznámky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 Ochranné známky

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. 214

Slovníček . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 Rejstřík . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

Obsah

vii

viii


Obrázky 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.

Výměna informací mezi plug-in programem a produktem Tivoli Access Manager. . . . . . . . . . . . . . 2 Vývojový diagram, jak plug-in program určuje modul autentizace. . . . . . . . . . . . . . . . . . 47 Vývojový diagram logiky výzvy k autentizaci. . . . . . . . . . . . . . . . . . . . . . . . 48 Vývojový diagram, jak plug-in program určuje modul relace. . . . . . . . . . . . . . . . . . . . 50 Typická architektura serveru pro failover cookies. . . . . . . . . . . . . . . . . . . . . . . 78 Přístup uživatele k zabezpečeným aplikacím pomocí GSO. . . . . . . . . . . . . . . . . . . . 129 Průběh procesu jednotného přihlášení pomocí formulářů. . . . . . . . . . . . . . . . . . . . . 132 Průběh procesu pro CDSSO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Přihlášení se do e-community. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Příklad konfigurace jednotného přihlášení pomocí e-community . . . . . . . . . . . . . . . . . . 153 Průběh procesu ARS (Attribute retrieval service). . . . . . . . . . . . . . . . . . . . . . . 167


ix

x


Tabulky 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38.

Pole certifikátu EPAC produktu Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . 5 Souhrn sekcí souboru pdwebpi.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Podporované substituce maker . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Konfigurační parametry chybové stránky ve stanze [proxy] . . . . . . . . . . . . . . . . . . . 12 Konfigurační parametry specifické pro webové servery . . . . . . . . . . . . . . . . . . . . . 16 Parametry [p3p-header] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Definice polí autentizačního prověřovacího záznamu. . . . . . . . . . . . . . . . . . . . . . 29 Definice parametrů konfigurace monitorování . . . . . . . . . . . . . . . . . . . . . . . . 30 Jazyky podporované plug-in programem s podporovanými adresáři. . . . . . . . . . . . . . . . . . 36 Lokální zabudované autentizátory . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Parametry externího serveru CDAS . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Ekvivalentní konfigurace SPNEGO mezi verzí 4.1 a 5.1. . . . . . . . . . . . . . . . . . . . . 70 Jména souboru knihovny autentizace po přepnutí při selhání . . . . . . . . . . . . . . . . . . . 86 Popis polí IV hlavičky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Platné typy dat relací pro agenty MPA . . . . . . . . . . . . . . . . . . . . . . . . . 104 Platné typy autentizace agentů MPA . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Oprávnění ACL plug-in programu . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Oprávnění WebDAV plug-in programu . . . . . . . . . . . . . . . . . . . . . . . . . 109 Příkazy politiky pro přihlášení pdadmin pro LDAP . . . . . . . . . . . . . . . . . . . . . . 111 Příkazy pdadmin odolnosti hesla pro LDAP . . . . . . . . . . . . . . . . . . . . . . . . 112 Příklady hesel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Popisy úrovní POP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Popis polí IV hlavičky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Parametry konfigurace LTPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Popis polí IV hlavičky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Obecné parametry konfigurace . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Konfigurační parametry autentizace . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Konfigurační parametry relace . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Konfigurační parametry LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Konfigurační parametry proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Konfigurační parametry autorizačního API . . . . . . . . . . . . . . . . . . . . . . . . 188 Konfigurační parametry specifické pro daný webový server . . . . . . . . . . . . . . . . . . . 189 Reference pro politiky/moduly autentizace plug-in programu . . . . . . . . . . . . . . . . . . . 195 Moduly autentizace specifické pro Windows . . . . . . . . . . . . . . . . . . . . . . . . 197 Reference pro moduly relace plug-in programu . . . . . . . . . . . . . . . . . . . . . . . 197 Modul pro zpracování předcházející autorizaci plug-in programu . . . . . . . . . . . . . . . . . . 198 Reference pro moduly pro zpracování následující po autorizaci plug-in programu . . . . . . . . . . . . . 199 Reference pro modul odpovědi . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200


xi

xii


Úvod Produkt IBM® Tivoli® Access Manager Plug-in for Web Servers spravuje zabezpečení ochrany dat vašich webových zdrojů tak, že vystupuje jako brána mezi vašimi klienty a bezpečným webovým prostorem. Plug-in program implementuje bezpečnostní politiku, která chrání váš webový prostor objektů. Plug-in program může nabídnout řešení pro jednotné přihlášení, podporovat webové servery vystupující jako virtuální hostitelé a zahrnout zdroje webového aplikačního serveru do své bezpečnostní politiky. Poznámka: Další informace o podporovaných platformách, požadavcích na disk a paměť, předem požadovaných opravách softwaru a instalační instrukce naleznete v knize Tivoli Access Manager for e-business Web Security Installation Guide. IBM® Tivoli® Access Manager (Tivoli Access Manager) je základní software, který je nezbytný, aby bylo možné pracovat s aplikacemi v produktové řadě IBM Tivoli Access Manager. Umožňuje integraci aplikací IBM Tivoli Access Manager, které nabízí širokou paletu řešení autorizace a správy. Jsou-li prodány jako integrované řešení, mohou tyto produkty nabídnout řešení pro správu řízení přístupu, které centralizuje síť a bezpečnostní politiku pro e-business aplikace. Poznámka: IBM Tivoli Access Manager je nové jméno dříve uvolněného softwaru zvaného Tivoli SecureWay® Policy Director. Uživatelům, kteří dobře znali software a dokumentaci produktu Tivoli SecureWay Policy Director, bychom chtěli dát vědět, že termín Management Server (server správy) je nyní nahrazen termínem Policy Server (server politik). Kniha IBM Tivoli Access Manager for e-business Plug-in for Web Servers: Průvodce uživatele obsahuje administrativní procedury a informace o technických odkazech, týkající se zabezpečení vaší webové domény pomocí plug-in programu pro aplikace webových serverů.

Pro koho je určena tato kniha Tento průvodce je určen pro systémové administrátory, odpovědné za instalaci, nasazení a administraci produktu Access Manager Plug-in for Web Servers. Čtenáři této knihy by měli znát: v Operační systémy pro PC a UNIX®. v Architekturu databáze a koncepty. v Správu zabezpečení. v Internetové protokoly, včetně HTTP, HTTPS a TCP/IP. v Lightweight Directory Access Protocol (LDAP) a adresářové služby. v Podporovaný registr uživatelů. v Autentizaci a autorizaci. Pokud používáte komunikaci SSL (Secure Sockets Layer), měli byste také znát protokol SSL, výměnu klíčů (veřejných a soukromých), digitální podpisy, šifrovací algoritmy a vydavatele certifikátů.


xiii

Co tato kniha obsahuje Tato kniha obsahuje následující části: v Kapitola 1, “Úvod do produktu IBM Tivoli Access Manager Plug-in for Web Servers” Obsahuje úvod do produktu Access Manager Plug-in for Web Servers, poskytuje podrobnosti o architektuře systému, o funkcionalitě a pracovním prostředí. v Kapitola 2, “Konfigurace produktu IBM Tivoli Access Manager Plug-in for Web Servers” Obsahuje informace o požadavcích konfigurace produktu Access Manager Plug-in for Web Servers. v Kapitola 3, “Zpracování požadavku a autentizace produktu IBM Tivoli Access Manager Plug-in for Web Servers” Diskuze o tom, jak plug-in obsluhuje proces autentizace a provádí zpracování následující po autorizaci, které je vyžadováno v autorizovaných relacích. v Kapitola 4, “Bezpečnostní politika produktu IBM Tivoli Access Manager Plug-in for Web Servers” Informace o konfiguraci a nastavení bezpečnostní politiky produktu Access Manager plug-in for Web Servers. v Kapitola 5, “Řešení jednotného přihlášení pro web” Diskuze o řešeních pro jednotné přihlášení do webového prostoru, chráněného produktem Access Manager Plug-in for Web Servers. v Kapitola 6, “Řešení přihlášení napříč doménou” Diskuze o řešení pro jednotné cross-domain přihlášení produktu Access Manager Plug-in for Web Servers. v Kapitola 7, “Integrace aplikace”, na stránce 157 Diskuze o integraci třístranné aplikace pomocí přídavného rozsahu proměnných prostředí a hlaviček HTTP plug-in programu a schopnosti dynamického URL. v Kapitola 8, “Vyvolání ADI (authorization decision information retrieval)”, na stránce 163 Diskuze o tom, jak plug-in program může poskytnout nebo získat ADI (autorization decision information) požadovanou ke zhodnocení autorizačních pravidel, která chrání zdroje v doméně Tivoli Access Manager. v Dodatek A, “Použití pdbackup k zálohování dat pro plug-in”, na stránce 169 Informace o použití utility pdbackup. v Dodatek B, “pdwebpi.conf reference” Seznam parametrů konfigurace Access Manager Plug-in for Web Servers, včetně odpovídajících popisů. v Dodatek C, “Stručná reference pro moduly” Seznam všech možností plug-in programu pro autentizaci, relace a po-autorizační politiky, včetně odpovídajících popisů. v Dodatek D, “Stručná reference pro příkazy” Seznam dostupných obslužných programů plug-in programu, včetně popisu akcí, které tyto obslužné programy provádějí. v Dodatek E, “Speciální znaky dovolené v běžných výrazech”, na stránce 211 Vypsání speciálních znaků povolených v běžných výrazech použitých v konfiguračním souboru pdwebpi.conf.

xiv


Publikace Abyste určili, která publikace vám může být užitečná, zobrazte znovu popis Tivoli Access Manager knihovny, předpokládané publikace a související publikace. Až určíte, které publikace potřebujete, odkaz na instrukce pro on-line přístup k publikacím. Další informace o produktu IBM Tivoli Access Manager for e-business můžete nalézt v: http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/ Knihovna produktu Tivoli Access Manager je rozdělena do následujících kategorií: v “Informace o vydání” v “Základní informace” v “Informace o zabezpečení Webu” v “Odkazy pro vývojáře” na stránce xvi v “Technické dodatky” na stránce xvii

Informace o vydání v IBM Tivoli Access Manager for e-business Čtěte jako první (GI11-2930-00) Obsahuje informace pro instalaci a začátek práce s produktem Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Release Notes (GI11-4156-00) Poskytuje nejnovější informace např. o omezeních softwaru, pomocných opravách problémů, nebo o aktualizacích dokumentace.

Základní informace v IBM Tivoli Access Manager Base Installation Guide (SC32-1362-00) Vysvětluje, jak nainstalovat a nakonfigurovat Tivoli Access Manager, základní software, včetně rozhraní Web Portal Manager. Tato publikace je podmnožinou IBM Tivoli Access Manager for e-business Web Security Installation Guide a je určena pro použití s dalšími Tivoli Access Manager produkty, stejně jako IBM Tivoli Access Manager pro Business Integration a IBM Tivoli Access Manager pro operační systémy. v IBM Tivoli Access Manager Base: Administrativní příručka (SC09-3708-00) Popisuje koncepty a procedury používání služeb produktu Tivoli Access Manager. Poskytuje instrukce pro provádění úloh z rozhraní Web Portal Manager a pro provádění úloh pomocí příkazu pdadmin.

Informace o zabezpečení Webu v IBM Tivoli Access Manager for e-business Web Security Installation Guide (SC32-1361-00) Poskytuje instrukce pro instalaci, konfiguraci a odstranění Tivoli Access Manager základního softwaru stejně jako komponent Web Security. Tato publikace je nadsadou IBM Tivoli Access Manager Base Installation Guide. v IBM Tivoli Access Manager Upgrade Guide (SC32-1369-00) Vysvětluje, jak přejít na vyšší verzi z Tivoli SecureWay Policy Director Version 3.8 nebo z předchozích verzí Tivoli Access Manager na Tivoli Access Manager verzi 5.1. v IBM Tivoli Access Manager for e-business WebSEAL: Administrativní příručka (SC09-3709-00) Poskytuje podkladové materiály, administrativní procedury a informace o technických odkazech, které používá server WebSEAL ke správě zdrojů ve vaší zabezpečené webové doméně. Úvod

xv

v IBM Tivoli Access Manager for e-business IBM WebSphere Application Server: Integrační příručka (SC09-3710-00) Poskytuje instrukce pro instalaci, odstranění a administrativu pro integrování Tivoli Access Manager s aplikačním serverem IBM WebSphere®. v IBM Tivoli Access Manager for e-business IBM WebSphere Edge Server Integration Guide (SC32-1367-00) Poskytuje instrukce pro instalaci, odstranění a administrativu pro integrování Tivoli Access Manager s aplikací IBM WebSphere Edge Server. v IBM Tivoli Access Manager for e-business Plug-in for Web Servers: Integrační příručka (SC09-3712-00) Poskytuje instrukce pro instalaci, administrativní procedury a informace o technických odkazech, týkající se zabezpečení vaší webové domény pomocí plug-in pro aplikace webových serverů. v IBM Tivoli Access Manager for e-business BEA WebLogic Server: Integrační příručka (SC09-3711-00) Poskytuje instrukce pro instalaci, odstranění a administrativu pro integrování Tivoli Access Manager s produktem BEA WebLogic Server. v IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění (SC09-3713-00) Poskytuje přehled úloh souvisejících s integrováním Tivoli Access Manager a s produktem Tivoli Identity Manager a vysvětluje, jak použít a instalovat shromažďování Provisioning Fast Start.

Odkazy pro vývojáře v IBM Tivoli Access Manager for e-business Authorization C API Developer Reference (SC32-1355-00) Obsahuje referenční materiál, který popisuje, jak používat autorizační rozhraní C API produktu Tivoli Access Manager a servisní plug-in rozhraní produktu Access Manager pro přidání zabezpečení produktu Tivoli Access Manager do aplikací. v IBM Tivoli Access Manager for e-business Authorization Java Classes Developer Reference (SC32-1350-00) Poskytuje referenční informace, jak pomocí implementace autorizačního rozhraní API v jazyce Java™ povolit, aby aplikace používala zabezpečení produktu Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Administration C API Developer Reference (SC32-1357-00) Poskytuje referenční informace, jak pomocí administrativního rozhraní API povolit, aby aplikace prováděla administrativní úlohy produktu Tivoli Access Manager. Tento dokument popisuje implementaci tohoto administrativního rozhraní API v jazyce C. v IBM Tivoli Access Manager for e-business Administration Java Classes Developer Reference (SC32-1356-00) Poskytuje referenční informace, jak pomocí implementace administrativního rozhraní API v jazyce Java povolit, aby aplikace prováděla administrativní úlohy produktu Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Web Security Developer Reference (SC32-1358-00) Poskytuje informace o administrativě a programování CDAS (cross-domain authentication service), CDMF (cross-domain mapping framework) a modulu Odolnosti hesla.

xvi


Technické dodatky v IBM Tivoli Access Manager for e-business Command Reference (SC32-1354-00) Poskytuje informace o obslužných programech příkazového řádku a skriptech, které jsou součástí produktu Tivoli Access Manager. v IBM Tivoli Access Manager Error Message Reference (SC32-1353-00) Obsahuje vysvětlení a doporučované akce pro zprávy, které vydává produkt Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Problem Determination Guide (SC32-1352-00) Obsahuje informace napomáhající určení problému pro produkt Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Performance Tuning Guide (SC32-1351-00) Poskytuje informace o ladění výkonnosti pro prostředí obsahující produkt Tivoli Access Manager, ve kterém je IBM Directory Server nadefinován jako registr uživatelů.

Související publikace Tato část obsahuje seznam publikací, souvisejících s knihovnou produktu Tivoli Access Manager. Tivoli Software Library obsahuje celou řadu publikací týkajících se produktů Tivoli, jako např. dokumenty typu white paper, základní informace o produktech, demonstrační materiály, tzv. redbooky a informace o ohlášení. Tivoli Software Library je k dispozici na této webové adrese: http://www.ibm.com/software/tivoli/library/ Obsahem Tivoli Software Glossary jsou definice mnoha technických termínů, vztahujících se k softwaru Tivoli. Tivoli Software Glossary je k dispozici pouze v anglickém jazyce na odkazu Glossary v levé části webové stránky Tivoli Software Library http://www.ibm.com/software/tivoli/library/

IBM Global Security Kit Produkt Tivoli Access Manager umožňuje šifrování dat pomocí produktu IBM Global Security Kit (GSKit) veze 7.0. Produkt GSKit je zahrnut na IBM Tivoli Access Manager základním CD-ROM pro vaši partikulární platformu, stejně jako na CD-ROM IBM Tivoli Access Manager Web Security, IBM Tivoli Access Manager Web Administration Interfaces a IBM Tivoli Access Manager Directory Server. Sada programů GSKit instaluje obslužný program pro správu klíčů iKeyman gsk7ikm, který vám dovolí vytvořit databáze klíčů, páry klíčů veřejný-soukromý a žádosti o certifikát. Následující dokument je k dispozici na webovém serveru Tivoli Information Center, a to ve stejné části jako dokumentace produktu IBM Tivoli Access Manager: v IBM Global Security Kit Secure Sockets Layer and iKeyman User’s Guide (SC32-1363-00) Obsahuje informace pro síťové nebo systémové administrátory, kteří chtějí aktivovat SSL komunikaci v prostředí produktu Tivoli Access Manager.

IBM Tivoli Directory Server Produkt IBM Tivoli Directory Server, verze 5.2, je na obsažen CD-ROM IBM Tivoli Access Manager Directory Server pro požadovaný operační systém. Poznámka: Produkt IBM Tivoli Directory Server je nové jméno pro dříve vydaný software známý jako: v IBM Directory Server (verze 4.1 a 5.1) v IBM SecureWay Directory Server (verze 3.2.2)

Úvod

xvii

Produkty IBM Directory Server verze 4.1, IBM Directory Server verze 5.1, a IBM Tivoli Directory Server verze 5.2 jsou všechny podporovány produktem IBM Tivoli Access Manager verze 5.1. Další informace o produktu IBM Tivoli Directory Server můžete nalézt v: http://www.ibm.com/software/network/directory/library/

IBM DB2 Universal Database Produkt IBM DB2® Universal Database™ Enterprise Server Edition, verze 8.1 je poskytnut na CD-ROM IBM Tivoli Access Manager Directory Server a je instalován se softwarem pro IBM Tivoli Directory Server. Produkt DB2 je požadován při použití produktu IBM Tivoli Directory Server, z/OS™, nebo OS/390® serverů LDAP jako registr uživatelů produktu Tivoli Access Manager. Další informace o produktu DB2 můžete nalézt v: http://www.ibm.com/software/data/db2/

IBM WebSphere Application Server IBM WebSphere Application Server, Advanced Single Server Edition 5.0, je součástí CD-ROM IBM Tivoli Access Manager Web Administration Interfaces pro požadovaný operační systém.WebSphere Application Server umožňuje jak podporu Web Portal Manager rozhraní, které se používá ke správě Tivoli Access Manager, tak podporu produktu Web Administration Tool, který se používá ke správě IBM Tivoli Directory Server. Produkt IBM WebSphere Application Server Fix Pack 2 je také vyžadován Tivoli Access Manager a je poskytnut na CD-ROM IBM Tivoli Access Manager WebSphere Fix Pack. Další informace o produktu IBM WebSphere Application Server můžete nalézt v: http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM Tivoli Access Manager for Business Integration Produkt IBM Tivoli Access Manager for Business Integration je k dispozici jako samostatně objednatelný produkt. Nabízí řešení zabezpečení pro zprávy z produktů IBM MQSeries® verze 5.2 a IBM WebSphere® MQ for Version 5.3. Produkt IBM Tivoli Access Manager for Business Integration umožňuje, aby aplikace WebSphere MQSeries posílala data diskrétně a neporušeně pomocí klíčů, které jsou přidruženy k odesílacím a přijímajícím aplikacím. Stejně jako produkt WebSEAL a produkt IBM Tivoli Access Manager for Operating Systems, tak i produkt IBM Tivoli Access Manager for Business Integration je jedním ze správců zdrojů, který používá autorizační služby produktu IBM Tivoli Access Manager. Další informace o produktu IBM Tivoli Access Manager for Business Integration můžete nalézt v: http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/ Níže uvedené dokumenty, které se týkají produktu IBM Tivoli Access Manager for Business Integration verze 5.1, jsou k dispozici na webové stránce Tivoli Information Center: v IBM Tivoli Access Manager for Business Integration Administration Guide (SC23-4831-01) v IBM Tivoli Access Manager for Business Integration Problem Determination Guide (GC23-1328-00) v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-01) v IBM Tivoli Access Manager for Business Integration Read This First (GI11-4202-00)

xviii


IBM Tivoli Access Manager for WebSphere Business Integration Brokers Produkt IBM Tivoli Access Manager for WebSphere Business Integration Brokers dostupný jako část produktu IBM Tivoli Access Manager for Business Integration poskytuje řešení zabezpečení produktu WebSphere Business Integration Message Broker, verze 5.0 a produktu WebSphere Business Integration Event Broker, verze 5.0. Produkt IBM Tivoli Access Manager for WebSphere Business Integration Brokers funguje ve spojení s produktem Tivoli Access Manager pro zabezpečení JMS publikačních/podpisových aplikací pomocí poskytnutí hesla a autentizace na základě pověřovacích listů, centrálně definované autorizace a monitorovacích služeb. Další informace o produktu IBM Tivoli Access Manager for WebSphere Integration Brokers můžete nalézt v: http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/ Níže uvedené dokumenty, které se týkají produktu IBM Tivoli Access Manager for WebSphere Integration Brokers verze 5.1, jsou k dispozici na webové stránce Tivoli Information Center: v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Administration Guide (SC32-1347-00) v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Release Notes (GI11-4154-00) v IBM Tivoli Access Manager for Business Integration Read This First (GI11-4202-00)

IBM Tivoli Access Manager for Operating Systems Produkt IBM Tivoli Access Manager for Operating Systems je k dispozici jako samostatně objednatelný produkt. Pro UNIXové systémy nabízí další úroveň pro vymáhání politiky autorizace k původní úrovni vlastního operačního systému. Produkt IBM Tivoli Access Manager for Operating Systems je stejně jako produkty WebSEAL a IBM Tivoli Access Manager for Business Integration jedním ze správců zdrojů, kteří používají autorizační služby produktu IBM Tivoli Access Manager. Další informace o produktu IBM Tivoli Access Manager for Operating Systems můžete nalézt v: http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/ Níže uvedené dokumenty, které se týkají produktu IBM Tivoli Access Manager for Operating Systems verze 5.1, jsou k dispozici na webové stránce Tivoli Information Center: v IBM Tivoli Access Manager for Operating Systems Installation Guide (SC23-4829-00) v IBM Tivoli Access Manager for Operating Systems Administration Guide (SC23-4827-00) v IBM Tivoli Access Manager for Operating Systems Problem Determination Guide (SC23-4828-00) v IBM Tivoli Access Manager for Operating Systems Release Notes (GI11-0951-00) v IBM Tivoli Access Manager for Operating Systems Read Me First (GI11-0949-00)

IBM Tivoli Identity Manager Produkt IBM Tivoli Identity Manager Version 4.5 dostupný jako samostatně setřiditelný produkt vám umožňuje centrální správu uživatelů (jako jsou ID uživatelů a hesla) a zajišťování (které poskytuje nebo odvolává přístup k aplikacím, zdrojům nebo operačním systémům). Produkt Tivoli Identity Manager může být integrován s produktem Tivoli Access Manager pomocí produktu Tivoli Access Manager Agent. Abyste získali další informace o použití produktu Agent, kontaktujte zástupce vašeho IBM konta. Úvod

xix

Další informace o produktu IBM Tivoli Identity Manager můžete nalézt v: http://www.ibm.com/software/tivoli/products/identity-mgr/

Online přístup k publikacím Publikace pro tento produkt jsou k dispozici v online verzi ve formátu PDF (Portable Document Format) nebo HTML (Hypertext Markup Language), případně v obou v knihovně Tivoli software library: http://www.ibm.com/software/tivoli/library Chcete-li v knihovně nalézt publikace produktu, klepněte na odkaz Product manuals v levé části stránky library. Pak najděte na stránce Tivoli software information center jméno produktu a klepněte na ně. Publikace produktu obsahují poznámky k jednotlivým vydáním, průvodce instalací, průvodce uživatele, průvodce administrátora a reference pro vývojáře. Poznámka: Pokud chcete vytisknout PDF publikace, zaškrtněte pole Fit to page v dialogu Print produktu Adobe Acrobat (ke kterému se dostanete, pokud klepnete na File → Print).

Dostupnost Funkce dostupnosti pomáhají uživateli, který má tělesné postižení, jako např. sníženou pohyblivost nebo omezené viděni, úspěšně používat softwarové produkty. Pomocí těchto produktů můžete používat asistenční technologie, prostřednictvím kterých můžete poslouchat a navigovat rozhraní. Můžete také používat klávesnici místo myši pro obsluhu všech funkcí grafického uživatelského rozhraní.

Kontakt na softwarovou podporu Než se obrátíte na Softwarovou podporu IBM Tivoli se svým problémem, podívejte se klepnutím na Tivoli support na stránku podpory softwaru IBM Tivoli na této webové adrese: http://www.ibm.com/software/support/ Pokud budete potřebovat další pomoc, obraťte se na softwarovou podporu způsobem, který je popsán v příručce IBM Software Support Guide na této webové adrese: http://techsupport.services.ibm.com/guides/handbook.html Průvodce poskytuje následující informace: v požadavky na registraci a způsobilost pro obdržení podpory v telefonní čísla v závislosti na zemi, ve které pracujete v jaké informace je nutné shromáždit, než se obrátíte na Zákaznickou podporu

Konvence používané v této knize Tato příručka používá několik grafických konvencí pro speciální termíny a akce, a příkazy a cesty závislé na operačním systému.

Konvence typu písma V této knize jsou použity tyto konvence typu písma:

xx


tučné písmo Příkazy uvedené malými písmeny nebo smíšeně malými i velkými písmeny, které je těžké odlišit od okolního textu, klíčová slova, parametry, volby a jména tříd Javy a objekty jsou uvedeny tučným písmem. kurzíva Proměnné, názvy publikací a speciální slova nebo fráze, které je nutné zdůraznit, jsou vyznačeny kurzívou. monospace Příklady kódů, příkazové řádky, výstupy na obrazovku, jména souborů a adresářů, která je těžké odlišit od okolního textu, systémové zprávy, text, který musí uživatel správně zadat, a hodnoty argumentů nebo voleb příkazů jsou vyznačeny pomocí monospace.

Rozdíly v operačních systémech Tato kniha používá konvence operačního systému UNIX ve specifikacích proměnných prostředí a v zápisu adresářů. Pokud používáte příkazový řádek operačního systému Windows, nahraďte $proměnná za %proměnná% v proměnných prostředích a nahraďte každé lomítko (/) lomítkem zpětným (\) v cestách k adresářům.Pokud používáte nadstavbu bash v operačním systému Windows, můžete používat konvence operačního systému UNIX.

Úvod

xxi

xxii


Kapitola 1. Úvod do produktu IBM Tivoli Access Manager Plug-in for Web Servers Produkt IBM Tivoli Access Manager (Tivoli Access Manager) Plug-in for Web Servers je integrační řešení, které ulehčuje implementaci a správu bezpečnostní politiky vašeho chráněného webového prostoru. Je-li nainstalován jako součást stejného procesu jako váš webový server, vystupuje plug-in program jako bezpečnostní brána mezi vašimi klienty a vaším chráněným webovým prostorem. Tato úvodní kapitola obsahuje přehled technologie produktu Tivoli Access Manager Plug-in for Web Servers, uvádí technické požadavky produktu a nabízí úvod do procesů zajišťujících zabezpečení vašeho webového prostoru pomocí plug-in programu. Poznámka: Další informace o podporavaných platformách, požadavcích na disk a paměť, předem požadovaných opravách softwaru a instalační instrukce naleznete v publikaci Tivoli Access Manager for e-business Web Security Installation Guide.Podrobné informace o tom, jak přejít na vyšší verzi produktu Tivoli Access Manager Plug-in for Web Servers (tj. na verzi 5.1), naleznete v publikaci IBM Tivoli Access Manager Upgrade Guide. Tato úvodní kapitola obsahuje následující témata: v “Technologie produktu Tivoli Access Manager Plug-in for Web Servers” v “Ochrana vašeho webového prostoru pomocí produktu Tivoli Access Manager Plug-in for Web Servers” na stránce 3 v “Autentizace produktu Tivoli Access Manager Plug-in for Web Servers” na stránce 4 v “Získání pověření” na stránce 4

Technologie produktu Tivoli Access Manager Plug-in for Web Servers Produkt Tivoli Access Manager Plug-in for Web Servers může být zaintegrován do aplikací produktu Tivoli Access Manager, aby bylo poskytováno úplné řešení zabezpečení ochrany dat vašich webových zdrojů. Plug-in program je součástí stejného procesu jako váš webový server, zachycuje každý požadavek, který dorazí, určí, zda bude nutné vyžadovat rozhodnutí o autorizaci, a také poskytuje prostředky pro autentizaci uživatele (je-li nezbytná). Plug-in program může nabídnout řešení pro jednotné přihlášení a zahrnout zdroje webových aplikací do své bezpečnostní politiky.

Základní provozní komponenty a architektura Produkt Tivoli Access Manager Plug-in for Web Servers se skládá ze dvou základních komponent architektury – komponenty vlastního plug-in programu a komponenty autorizačního serveru. Komponenta vlastního plug-in programu pracuje s vlákny webového serveru, a odesílá na autorizační server podrobnosti o každém požadavku přes rozhraní IPC (Inter-Process Communication). Autorizační server zpracovává autentizaci a autorizaci příchozích požadavků. Autorizační server je aplikace AZNAPI v lokálním režimu, která přijímá a zpracovává požadavky z plug-in komponenty a odpovídá tak, že sdělí plug-in komponentě, jak obsloužit každý požadavek.


1

Obrázek 1. Výměna informací mezi plug-in programem a produktem Tivoli Access Manager.

Autorizační server určuje, kterému z virtuálních hostitelů je adresován požadavek (pokud na webovém serveru existují virtuální hostitelé), a určuje, zda daný požadavek vyžaduje autorizaci. Požadavky, které nevyžadují autorizaci, jsou rovnou předány webovému serveru ke zpracování. Požadavky, které vyžadují autorizaci, jsou zpracovány následujícím způsobem autorizačním serverem: 1. 2. 3. 4.

Z požadavku, který byl již autentizován, jsou vyjmuty informace o relaci a autentizaci. Je-li to třeba, je zahájena autentizační výměna informací s uživatelem. Je vytvořeno pověření produktu Tivoli Access Manager. Provede se určení zdrojů, ke kterým může uživatel přistupovat, a tyto zdroje jsou namapovány na odpovídající jméno chráněného objektu produktu Tivoli Access Manager. Jméno chráněného objektu představuje elektronickou jednotku, jako např. zabezpečenou část webového serveru nebo aplikaci, ke kterým mají povolen přístup pouze určití uživatelé. 5. Určí se, zda požadavek nebo odpověď vyžadují úpravu. 6. Jsou vygenerovány odpovědi vyžadované plug-in programem nebo hostitelským webovým serverem tak, že k požadavku nebo odpovědi jsou připojeny cookies nebo hlavičky, nebo je vygenerována samostatná odpověď (např. odpověď o provedené autentizaci nebo odpověď, že uživatel není autorizován).

Podpora virtuálních hostitelů Virtuální hostitelství je schopnost webových serverů, která jim umožňuje, aby se objevily na internetu jako více než jeden hostitel. Všechny webové servery, podporované produktem Tivoli Access Manager Plug-in for Web Servers, nabízí schopnost virtuálního hostitelství.

2


Produkt Tivoli Access Manager Plug-in for Web Servers nabízí možnost implementace bezpečnostní politiky na bázi jednotlivých virtuálních hostitelů. Nastavení aplikace nutné pro implementaci této schopnosti je obsaženo v dalších částech tohoto dokumentu.

Ochrana vašeho webového prostoru pomocí produktu Tivoli Access Manager Plug-in for Web Servers Produkt Tivoli Access Manager Plug-in for Web Servers obsahuje následující funkce: v Podporuje více politik autentizace, včetně Základní autentizace, autentizace pomocí IP adresy, tokenu, certifikátů, formulářů, atd. v Přijímá požadavky HTTP a HTTPS. v Chrání zdroje webového serveru pomocí autentizace a autorizace požadavků uživatele v závislosti na politice organizace. v Podporuje autentizaci a autorizaci požadavků v prostředí virtuálního hostitele. v Spravuje řízení přístupu do prostoru webového serveru. Podporované zdroje zahrnují URL, regulérní výrazy založené na URL, CGI programy, HTML soubory, Java servlety a soubory třídy Javy. v Ukládá do paměti cache informace o relaci a o pověření, aby eliminoval opakující se dotazy na databázi registru uživatelů během kontroly autorizace. v Nabízí schopnosti jednotného přihlášení. Firemní bezpečnostní politika určuje webové zdroje, které vyžadují ochranu, a úroveň zabezpečení ochrany dat pro každý z těchto webových zdrojů. Produkt Tivoli Access Manager používá virtuální znázornění těchto webových zdrojů, které se nazývá prostor chráněných objektů. Prostor chráněných objektů obsahuje objekty, které představují skutečné fyzické prostředky ve vaší síti. Bezpečnostní politiku naimplementujete pomocí odpovídajících zabezpečovacích mechanismů, které aplikujete na objekty vyžadující ochranu. Zabezpečovací mechanismy zahrnují: v politiky ACL (Access control list) Politiky ACL určují typy uživatelů, které mohou uvažovat o přístupu, a udávají operace, které je dovoleno provádět na objektu pro každý typ uživatele. v POP (Protected object policies - politiky chráněného objektu) POP určuje další podmínky regulující přístup ke chráněnému objektu, jako je např. utajení, integrita, monitorování a denní doba přístupu. v autorizační pravidla Autorizační pravidla jsou podmínky obsažené v autorizační metodě, které se používají k vynucení rozhodnutí o přístupu na základě atributů, jako je stav, aplikace a kontext prostředí. v rozšířené atributy Rozšířené atributy jsou další hodnoty, které jsou umístěny na objektu, ACL nebo POP, a které ovlivňují rozhodnutí o autorizaci. Autorizační server je tou komponentou produktu Tivoli Access Manager Plug-in for Web Servers, která povoluje nebo zamítá přístup ke chráněným zdrojům na základě pověření uživatele a řízení přístupu umístěných na objektu. Pokud chcete úspěšně naimplementovat bezpečnostní politiku, musíte logicky zorganizovat různé typy obsahu a aplikovat odpovídající politiky ACL a POP. Správa řízení přístupu může být komplexní a je možné ji vytvořit snadněji, pokud provedete důkladnou kategorizaci typů obsahu. Vyčerpávající informace o produktu Tivoli Access Manager, včetně podrobných informací o nastavení bezpečnostní politiky, najdete v knize IBM Tivoli Access Manager Base: Administrativní příručka. Kapitola 1. Úvod do produktu IBM Tivoli Access Manager Plug-in for Web Servers

3

Autentizace produktu Tivoli Access Manager Plug-in for Web Servers Autentizace je způsob, jak identifikovat jednotlivé procesy nebo jednotky, které se pokouší přihlásit se do zabezpečené domény. Autorizace je způsob, kterým se určuje, zda autentizovaný uživatel má právo provádět operaci s určitým zdrojem. Autentizace zajišťuje, že jedinec je tím, za koho se prohlašuje, ale neříká nic o jeho schopnosti a možnosti provádět operace se zdrojem. Produkt Tivoli Access Manager Plug-in for Web Servers prosazuje vysokou úroveň zabezpečení ochrany dat v zabezpečené doméně, a proto vyžaduje, aby každý klient poskytl důkaz o své totožnosti. Komplexní zabezpečení sítě je možné vytvořit tak, že produkt Tivoli Access Manager Plug-in for Web Servers bude řídit autentizaci a autorizaci klientů. Pro autentizaci produktu Tivoli Access Manager Plug-in for Web Servers platí následující podmínky: v Plug-in program podporuje standardní sadu politik autentizace. Plug-in program můžete přizpůsobit podle svých potřeb, aby podporoval i jiné politiky autentizace. v Proces plug-in programu je nezávislý na metodě autentizace. v Plug-in program vyžaduje pouze totožnost klienta. Z této totožnosti plug-in program získá pověření autentizován (nebo neautentizován), které může použít autorizační server k určení, zda je možné povolit nebo nutné zamítnout přístup ke zdrojům. Pružný přístup k autentizaci dovoluje, aby bezpečnostní politika byla založena na potřebách obchodu a ne na fyzické topologii sítě. Výsledkem procesu autentizace produktu Tivoli Access Manager Plug-in for Web Servers je: 1. výsledkem autentizace klienta je totožnost klienta Autentizace klienta je úspěšná pouze tehdy, má-li uživatel účet definovaný v registru uživatelů produktu Tivoli Access Manager. Jinak je uživatel označen jako neautentizovaný. 2. produkt Tivoli Access Manager Plug-in for Web Servers použije totožnost klienta, aby získal pro tohoto klienta jeho pověření Plug-in program přiřadí totožnost autentizovaného klienta k registrovanému uživateli produktu Tivoli Access Manager. Pak plug-in program získá pověření odpovídajícího uživatele. Tomuto procesu se říká získání pověření. Pověření obsahují jméno uživatele a všechny skupiny, ve kterých je uživatel členem. Tato pověření jsou plug-in programu k dispozici, aby mohl povolit nebo zamítnout přístup k požadovaným objektům v prostoru chráněných objektů produktu Tivoli Access Manager. Pověření může použít libovolná služba produktu Tivoli Access Manager, která vyžaduje informace o klientovi. Pověření dovolují produktu Tivoli Access Manager bezpečně provozovat velké množství služeb, jako např. autorizaci, monitorování a delegaci. Další informace o podpoře určitých politik autentizace najdete v části Kapitola 3, “Zpracování požadavku a autentizace produktu IBM Tivoli Access Manager Plug-in for Web Servers”, na stránce 39.

Získání pověření Primárním cílem procesu autentizace je získat informace o pověření, které popisují uživatele klienta. Pověření uživatele je klíčovým požadavkem, který musí být splněn, aby se uživatel mohl stát účastníkem zabezpečené domény. Produkt Tivoli Access Manager rozlišuje autentizaci uživatele a získání pověření. Totožnost uživatele je vždy stálá. Avšak pověření — která definují skupiny nebo role, ve kterých

4


uživatel může vystupovat — se mění. Kontextově specifická pověření se mohou během času měnit. Pokud je například určitá osoba povýšena, její pověření musí zohlednit úroveň nové odpovědnosti této osoby. Výsledkem procesu autentizace je informace o totožnosti uživatele, specifická pro danou politiku. Tato informace se porovná s informací o účtu uživatele, která je umístěna v registru uživatelů produktu Tivoli Access Manager (standardně LDAP). Produkt Tivoli Access Manager Plug-in for Web Servers namapuje informace o jménu uživatele a skupině na obecné celodoménové znázornění a formát, které jsou známy jako EPAC (Extended Privilege Attribute Certificate). Informace o totožnosti specifická pro danou politiku, jako např. hesla, tokeny a certifikáty, představují vlastnosti fyzické totožnosti uživatele. Tyto informace je možné použít k vytvoření bezpečné relace na serveru. Výsledné pověření, které představuje oprávnění uživatele v zabezpečené doméně, popisuje uživatele v určitém kontextu a je platné pouze po dobu platnosti dané relace. Pověření produktu Tivoli Access Manager obsahují totožnost uživatele a skupiny, jejichž členem je tento uživatel. Pověření může použít libovolná služba produktu Tivoli Access Manager, která vyžaduje informace o klientovi. Komponenta Tivoli Access Manager Authorization Server například používá pověření k tomu, aby určila, zda je uživatel oprávněn provádět určité operace s chráněným zdrojem v zabezpečené doméně. Pověření se také používají v dalších úlohách, jako např. v protokolování a monitorování. Certifikáty EPAC obsahují UUID (Unique Universal Identifiers), která potřebuje produkt Access Manager pro práci s přístupovými seznamy (ACL - access control list). Následující pole certifikátu EPAC využívá produkt Tivoli Access Manager: Tabulka 1. Pole certifikátu EPAC produktu Tivoli Access Manager Atribut

Popis

Secure Domain ID

Identifikátor domovské zabezpečené domény objektu

Principal UUID

UUID objektu

Group UUIDs

UUID (jedné nebo více) skupin, ve kterých je objekt členem

Produkt Tivoli Access Manager Plug-in for Web Servers může být nakonfigurován tak, aby pro uživatele obnovoval informaci pověření, když udržuje svou relaci aktuální. Toto je užitečná funkce v případě, když uživatel požaduje zvláštní přístup k určitým zabezpečeným aplikacím, nebo když chcete omezit přístup uživatele, aniž by se odhlásil ze své aktuální relace. Abyste získali další informace o konfigurování programu plug-in pro obnovení pověření, prohlédněte “Obnovení pověření” na stránce 33.

Kapitola 1. Úvod do produktu IBM Tivoli Access Manager Plug-in for Web Servers

5

6


Kapitola 2. Konfigurace produktu IBM Tivoli Access Manager Plug-in for Web Servers Tato kapitola popisuje obecné administrativní a konfigurační úlohy, které je možné provést pro přizpůsobení produktu IBM Tivoli Access Manager (Access Manager) Plug-in for Web Servers. Témata v této kapitole zahrnují: v “Obecné informace o plug-in programu” v “Konfigurace autorizačního serveru” na stránce 11 v “Konfigurace virtuálních hostitelských serverů” na stránce 13 v “Konfigurace specifická pro webový server” na stránce 15 v “Výpisy objektu pro přizpůsobení” na stránce 18 v “Konfigurace SU (switch user) pro administrátory” na stránce 19 v “Konfigurace přepnutí při selhání pro servery LDAP” na stránce 24 v “Podpora P3P (Platform for Privacy Preferences) hlaviček” na stránce 25 v “Konfigurace monitorování, protokolování, trasování a databáze paměti cache plug-in programu” na stránce 28 v “Konfigurace služby autorizačního rozhraní API” na stránce 33 v “Obnovení pověření” na stránce 33 v “Konfigurace ukládání do paměti cache požadavku HTTP” na stránce 34 v “Podpora jazyků a znakové sady” na stránce 35

Obecné informace o plug-in programu Následující části popisují obecné informace o produktu Tivoli Access Manager Plug-in for Web Servers: v “Kořenový adresář instalace produktu Tivoli Access Manager Plug-in for Web Servers” v “Konfigurační soubor pdwebpi.conf” na stránce 8 v “Konfigurační soubor pdwebpimgr.conf” na stránce 9 v “Spuštění a zastavení procesu produktu Tivoli Access Manager Plug-in for Web Servers” na stránce 9 v “Chybové zprávy HTTP” na stránce 9 v “Podpora maker” na stránce 10 v “Makra související s formáty” na stránce 10

Kořenový adresář instalace produktu Tivoli Access Manager Plug-in for Web Servers Programové soubory produktu Tivoli Access Manager Plug-in for Web Servers jsou nainstalovány do následujícího kořenového adresáře: UNIX: /opt/pdwebpi/

Windows: C:\Program Files\Tivoli\PDWebPI\


7

Tuto cestu můžete nakonfigurovat během instalace plug-in programu na operačním systému Windows. Tuto cestu nelze nakonfigurovat pro instalace na operačních systémech UNIX. Tento průvodce používá proměnnou instalační-cesta, která představuje tento kořenový adresář. V instalacích na operačních systémech UNIX obsahuje níže uvedený samostatný adresář soubory, jako např. soubory protokolu a soubory prověřovacích záznamů, jejichž velikost může v čase významně růst: /var/pdwebpi/

Soubory protokolu jsou zapisovány do společného adresáře Tivoli, pokud byl vybrán během konfigurace runtimeproduktu Tivoli Access Manager.

Konfigurační soubor pdwebpi.conf Činnost plug-in programu můžete přizpůsobit tak, že nakonfigurujete parametry v konfiguračním souboru pdwebpi.conf. Soubor je umístěn v následujícím adresáři: UNIX: install_path/etc/

Windows: install_path\etc\

Níže uvedená tabulka třídí stanzy konfiguračního souboru. Tabulka 2. Souhrn sekcí souboru pdwebpi.conf Sekce

Stanzy

OBECNÉ

[module-mgr] [modules] [wpiconfig] [pdweb-plugins] [performance]

AUTENTIZACE

[common-modules] [authentication-levels] [authentication-mechanisms] [user-agent] [acctmgmt] [BA] [failover] [failover-add-attributes] [failover-restore-attributes] [forms] [login-form-1] [ltpa] [tag-value] [token-card] [http-hdr] [iv-headers] [login-redirect] [ntlm] [spnego] [boolean-rules] [switch-user] [dynurl] [cred-refresh] [ext-auth-int] [auth-data] [http-method-perms] [web-server-authn]

SINGLE SIGNON

[fsso] [ecsso] [ecsso-domain-keys] [ecsso-token-attributes] [ecsso-incoming-attributes] [cdsso] [cdsso-domain-keys] [cdsso-token-attributes] [cdsso-incoming-attributes]

VIRTUÁLNÍ HOSTITELÉ

[jméno-virtuálního-hostitele]

RELACE

[sessions] [session-cookie]

LDAP

[ldap]

LOGGING

[web-log]

AUTHORIZATION SERVER

[proxy-if] [proxy]

P3P

[p3p-header]

AUTORIZAČNÍ API

[aznapi-entitlement-services] [aznapi-configuration]

WEB SERVER

[ihs] [iis] [iplanet] [apache]

V části Dodatek B, “pdwebpi.conf reference”, na stránce 173 najdete popis konfigurovatelných parametrů v konfiguračním souboru pdwebpi.conf.

8


Poznámka: Kdykoliv provedete jakoukoliv změnu v souboru pdwebpi.conf, musíte ručně znovu spustit proces produktu Tivoli Access Manager Plug-in for Web Servers, aby byly nově provedené změny tímto produktem zaznamenány. Informace o tom, jak spustit a zastavit aplikaci najdete v části “Spuštění a zastavení procesu produktu Tivoli Access Manager Plug-in for Web Servers”.

Konfigurační soubor pdwebpimgr.conf Instalace plug-in programu na operačních systémech UNIX obsahují konfigurační soubor pdwebpimgr.conf. Tento konfigurační soubor obsahuje parametry, které jsou nutné pro nastavení automatického opětovného spuštění autorizačního démona, pokud dojde k jeho náhlému zastavení. Soubor je umístěn v adresáři: install_path/etc/

Neexistují žádné důvody, proč byste mohli potřebovat měnit parametry v tomto souboru.

Spuštění a zastavení procesu produktu Tivoli Access Manager Plug-in for Web Servers Pokud chcete spustit a zastavit proces plug-in programu, použijte příkaz pdwebpi_start (v operačních systémech UNIX), nebo použijte Services Control Panel (Ovládací panel Služby) (pro operační systém Windows). UNIX: pdwebpi_start {start|stop|restart|status}

Chcete-li například zastavit plug-in program a pak jej znovu spustit, použijte: # pdwebpi_start restart

Příkaz pdwebpi_start je umístěn v tomto adresáři: install_path/sbin/

Windows: Označte proces plug-in programu v Services Control Panel (Ovládacím panelu Služby) a použijte odpovídající řídicí tlačítka. Poznámka: pdwebpi je proces autorizačního serveru. Na operačních systémech UNIX se proces pdwebpimgrd automaticky znovu spustí autorizační server, pokud tento je náhle zastaven. Na operačních systémech Windows se autorizační server znovu automaticky spustí pomocí služeb operačního systému Windows.

Chybové zprávy HTTP Někdy se produkt Tivoli Access Manager Plug-in for Web Servers pokusí obsloužit požadavek a to se mu nepodaří. Takové selhání může mít mnoho příčin. Dvě nejčastější příčiny selhání jsou: v soubor neexistuje v nastavení oprávnění nedovolí přístup Pokud se vyskytne selhání při obsluze požadavku, plug-in program vrátí webovému serveru chybový kód. Webový server přeloží obdržený chybový kód a zobrazí odpovídající chybovou stránku.

Kapitola 2. Konfigurace produktu IBM Tivoli Access Manager Plug-in for Web Servers

9

Přizpůsobení zobrazení chybových zpráv ISS Webový server IIS nabízí možnost přizpůsobit formát a obsah chybových stránek, které se zobrazují klientům. Tato vlastnost je užitečná, když chcete klientům zobrazit podrobnější informace o selhání. Pokud je plug-in program nainstalován spolu se serverem IIS, může uvedenou schopnost přizpůsobení chybových hlášení využívat. V parametru use-error-pages stanzy [iis] konfiguračního souboru pdwebpi.conf můžete nastavit, zda se budou prohlížeči klienta vracet nakonfigurované chybové stránky serveru IIS, nebo standardní chybové stránky. Hodnota yes parametru use-error-pages znamená, že plug-in program bude využívat přizpůsobené chybové stránky serveru IIS. Hodnota no znamená, že se budou zobrazovat standardní chybové stránky pro chyby, na které narazil autorizační Server. Standardně je parametr use-error-pages nastaven na hodnotu no. Poznámka: Následkem nastavení parametru use-error-pages na hodnotu yes, tedy povolení zobrazovat přizpůsobené chybové stránky serveru IIS pro chyby autorizačního serveru, je významné snížení výkonnosti plug-in programu.

Podpora maker Níže uvedená makra je možné používat pro přizpůsobení HTML chybových stránek. Makra dynamicky nahrazují odpovídající informace, které jsou dostupné. Tabulka 3. Podporované substituce maker Makro

Popis

%USERNAME%

Jméno přihlášeného uživatele

%ERROR_CODE%

Číselný chybový kód přidružený k chybě

%ERROR_TEXT%

Chybový text přidružený k chybě

%URL%

URL, které klient požadoval

%HOSTNAME%

Plně kvalifikované jméno hostitele

%HTTP_BASE%

Základní HTTP URL serveru: http://hostitel:tcpport/

%HTTPS_BASE%

Základní HTTPS URL serveru: https://hostitel:sslport/

%HTTP_BODY%

Tělo požadavku, pokud existuje.

%REFERER%

Hodnota hlavičky odkazovače z požadavku, nebo ’Unknown’, pokud neexistuje

%BACK_URL%

Hodnota hlavičky odkazovače z požadavku, nebo ’/’, pokud neexistuje

%BACK_NAME%

Hodnota ’BACK’, pokud požadavek obsahuje hlavičku odkazovače, nebo ’HOME’, pokud ji nemá

%POST_URL%

Konfigurované POST URL pro libovolné podporované formáty produktu Tivoli Access Manager.

%COOKIES%

Libovolné cookies nalezené v požadavku.

Makra související s formáty Produkt Tivoli Access Manager Plug-in for Web Servers poskytuje následující formáty umístěné v adresáři/opt/pdwebpi/nls/html/lang/charset: v switchuser v token v forms login

10


v change password Tyto formáty byly konfigurovány pomocí makra %POST_URL%. Makro %POST_URL% umožňuje plug-in programu přeposlat libovolná POST data, která mohla být zahrnuta v původním požadavku. Bez makra %HTTP_BODY% jsou poté, co plug-in program ukončí zpracování formátu, libovolná POST data poskytnutá s původním požadavkem ztracena. Předvolené formáty byly také konfigurovány, aby uchovaly v paměti cache libovolná nezbytná data relace ve formuláři. Tato data relace zahrnují původně požadované URL, odkaz na původně požadované URL a tělo původního požadavku.

Konfigurace autorizačního serveru Většina zpracování autorizací a autentizací je obsluhována autorizačním serverem. Autorizační server poskytuje množinu pracovních vláken, která: v přijímají požadavky od plug-in programu v odesílají výsledky každého požadavku zpět do plug-in programu Plug-in program komunikuje s autorizačním serverem prostřednictvím IPC mechanismu, který je naimplementován tak, aby používal sdílenou paměť. Stanza [proxy-if] v konfiguračním souboru pdwebpi.conf určuje konfigurační parametry, týkající se nastavení komunikace mezi plug-in programem a autorizačním serverem.

Konfigurace pracovních vláken Parametry number-of-workers a worker-size ve stanze [proxy-if] konfiguračního souboru udávají hodnoty, které je možné vyladit tak, aby bylo dosaženo optimální výkonnosti autorizačního serveru plug–in programu. Jak nastavíte tyto hodnoty, závisí na rozsahu a typu provozu ve vaší síti. [proxy-if] number-of-workers = 10 worker-size = 10000 cleanup-interval=300

Parametr number-of-workers určuje počet současných příchozích požadavků, které je možné plug-in programem obsloužit. Požadavky, které dorazí v okamžiku, kdy jsou všechna pracovní vlákna zaneprázdněna, jsou uloženy do vyrovnávací paměti, dokud se neuvolní nějaké pracovní vlákno. Tento parametr jednoduše určuje počet vláken, které jsou dány k dispozici pro obsluhu potenciálně nekonečné pracovní fronty. Tento parametr je možné zvýšit v závislosti na maximálním množství požadavků, které očekáváte, že bude webový server současně přijímat. Na platformách s operačním systémem UNIX může uvedenou hodnotu limitovat nastavení operačního systému. Zvýšením počtu vláken obecně snížíte průměrnou dobu, za kterou je požadavek vyřízen. Avšak zvýšení počtu vláken současně ovlivňuje další faktory, které by mohly mít nepříznivý účinek na výkonnost serveru. Parametr worker-size definuje množství paměti (v bajtech), které je předem alokováno pro každé pracovní vlákno. Parametr cleanup-interval určuje dobu (v minutách) mezi dvěma následnými vyčištěními sdílené paměti autorizačního serveru. Poznámka: Parametry cleanup-interval a worker-size měňte pouze tehdy, pokud potřebujete odstranit problémy s výkonností.


11

Nastavení maximální doby trvání relace pro požadavky IPC Parametr max-session-lifetime ve stanze [proxy-if] konfiguračního souboru pdwebpi.conf nastavuje dobu (ve vteřinách), po kterou plug-in program bude čekat na odpověď z autorizačního serveru. Po jejím uplynutí bude relace přerušena. Tento parametr se vztahuje pouze ke krátkodobým ″relacím″, které vznikají mezi plug-in programem a autorizačním serverem pro účely obsloužení požadavku. Pokud se vyskytne podobné překročení časového limitu, klientovi je odeslána chybová stránka. Podobná překročení časového limitu jsou vysoce nepravděpodobná. [proxy-if] max-session-lifetime = 300

Poznámka: Parametr max-session-lifetime neřídí dobu trvání autentizovaných relací. Doba trvání autentizovaných relací je řízena parametrem timeout ve stanze [sessions].

Konfigurace chybových stránek Ve stanze [proxy] konfiguračního souboru pdwebpi.conf jsou umístěny parametry určující HTML stránky, které se zobrazí, vyskytnou-li se chyby v proxy. Parametry, které se nastavují ve stanze [proxy], jsou: error-page, acct-locked-page, retry-limit-reached-page a login-success. Pro tyto parametry existují předvolené soubory. Tyto soubory je možné editovat, nebo můžete uvést nový soubor, který bude odpovídat požadavkům vaší organizace. Tyto parametry shrnuje níže uvedená tabulka. Tabulka 4. Konfigurační parametry chybové stránky ve stanze [proxy] Parametr

Popis

error-page

Cesta ke stránce, která se zobrazí v uživatelově prohlížeči, pokud se objeví neočekávaná chyba serveru.

acct-locked-page

Cesta ke stránce, která se zobrazí v uživatelově prohlížeči, když se uživatel pokusí přistoupit k uzamčenému účtu.

retry-limit-reached-page

Cesta ke stránce, která se zobrazí, pokud bylo dosaženo povoleného maximálního počtu selhání při přihlášení. Maximální počet povolených selhání při přihlášení je nastaven na serveru LDAP - podrobné informace o nastavení této hodnoty najdete v části “Politika pro přihlášení ″třikrát a dost″” na stránce 110.

login-success

Uvádí stránku, která se zobrazí, když plug-in program nemá stránku, na kterou by uživatele přesměroval po úspěšném přihlášení pomocí formulářů nebo tokenů. Tato situace může nastat tehdy, když vytvoříte svůj formulář pro přihlášení, které odešle POST data přihlášení přímo plug-in programu.

Standardně jsou vzorové HTML stránky umístěny v tomto adresáři: install_path/nls/html/lang/charset. Kde: v lang je brán z konfigurace NLS. Pro instalace v jazykovém prostředí americké angličtiny je parametr lang nastaven na hodnotu C. v charset je znaková sada, ve které je stránka zakódována. Předvolená hodnota je utf-8. Podrobné informace o jazykové podpoře plug-in programu najdete v části “Podpora jazyků a znakové sady” na stránce 35.

12


Konfigurace virtuálních hostitelských serverů Produkt Tivoli Access Manager Plug-in for Web Servers identifikuje virtuální hostitele pomocí libovolného jména, které je nastaveno ve stanze [pdweb-plugins] konfiguračního souboru pdwebpi.conf. Plug-in program může použít zvláštní bezpečnostní politiku v souladu se dvěma charakteristikami požadavku: v ID virtuálního hostitele, kterému byl požadavek adresován v protokol (HTTP nebo HTTPS), kterým byl požadavek doručen ID virtuálního hostitele se odvozuje od informací o konfiguraci hostitelského webového serveru a je specifické pro daný webový server. Určuje se následujícím způsobem: IHS a Apache

Konfigurační algoritmus, který se používá pro vytvoření ID virtuálních hostitelů, je následující: 1. Pokud v bloku existuje direktiva ServerName, pak se toto jméno použije pro vytvoření prostoru objektů pro každého hostitele v seznamu virtuálních hostitelů. Nebude učiněn žádný pokus přeložit dodané servername na plně kvalifikované hostname. 2. Pokud v bloku VirtualHost není žádná direktiva ServerName a pokud jména hostitelů v seznamu nejsou číselné IP adresy, pak se provede pokus plně kvalifikovat každé jméno a pak vytvořit prostory objektů pro každé jasné jméno hostitele. 3. Pokud v bloku VirtualHost není žádná direktiva ServerName a pokud jména hostitelů v seznamu jsou číselné IP adresy, pak je učiněn pokus přeložit každou IP adresu na plně kvalifikované jméno hostitele. 4. Pokud stále ještě neexistuje jméno hostitele a v globální direktivě ServerName je uvedeno nějaké jméno, použije se toto jméno (bez překládání). 5. Pokud neexistuje žádná globální direktiva ServerName, pak se použije plně kvalifikovaná verze jména hostitele systému.

IIS 5.0 a 6.0

ID odpovídá přesně jménu webového serveru, které je zobrazeno ve snímku správy produktu Internet Information Services. Například předvolený webový server, který se vytvoří během konfigurace IIS, se jmenuje ″Default Web Site″, což bude ID používané produktem Tivoli Access Manager Plug-in for Web Servers.

Sun ONE Web Server (dříve iPlanet)

ID odpovídá přesně jménu virtuálního hostitele, uvedenému během vytváření virtuálního hostitele v grafickém uživatelském rozhraní pro konfiguraci Sun ONE Web Server. Toto jméno je uloženo v prvku souboru server.xml.

Produkt Tivoli Access Manager Plug-in for Web Servers definuje bezpečnostní politiku z hlediska virtuálních hostitelů. Virtuální hostitel produktu Tivoli Access Manager Plug-in for Web Servers se identifikuje pomocí ID virtuálního hostitele, jak je definováno výše, a sady protokolů (http, https, nebo obou), které by měl chránit. Virtuální hostitel definuje sadu a priority autentizačních schémat, schémat pro identifikaci relací a zpracování po autorizaci, které by měly být aplikovány na požadavky přicházející na virtuální hostitele webového serveru prostřednictvím některého z odpovídajících protokolů. Virtuální hostitel také definuje mapování URI na jména v prostoru chráněných objektů produktu Tivoli Access Manager. Virtuální hostitelé produktu Tivoli Access Manager Plug-in for Web Servers jsou nadefinováni ve stanze [pdweb-plugins] konfiguračního souboru. Mohou být nadefinováni buď jako chránění, nebo jako nechránění. Nechráněný virtuální hostitel nebude používat žádnou bezpečnostní politiku produktu Tivoli Access Manager. Pokud bude obdržen požadavek, který neodpovídá žádnému definovanému chráněnému nebo nechráněnému virtuálnímu hostiteli, bude vygenerována varovná zpráva do souboru protokolu autorizačního serveru, která zaznamená ID virtuálního hostitele a protokol požadavku. To ulehčuje diagnostiku konfiguračních problémů. Kapitola 2. Konfigurace produktu IBM Tivoli Access Manager Plug-in for Web Servers

13

Chránění virtuální hostitelé jsou definováni parametrem virtual-host ve stanze [pdweb-plugins]. Nechránění virtuální hostitelé jsou definováni parametrem unprotected-virtual-host ve stanze [pdweb-plugins]. Použité jméno virtuálního hostitele obvykle odpovídá ID virtuálního hostitele, kterému tento virtuální hostitel odpovídá, ale nemusí tak tomu nutně vždy být. Jména virtuálních hostitelů definovaná ve stanze [pdweb-plugins] se používají při definování bezpečnostní politiky zaměřené na virtuální hostitele. Bezpečnostní politika určitého virtuálního hostitele se definuje pomocí konfiguračních parametrů uvedených ve stanze se jménem virtuálního hostitele. Všechny parametry, které mohou být nadefinovány ve stanze virtuálního hostitele, mají odpovídající předvolené hodnoty, takže není nezbytně nutné mít stanzu pro každého virtuálního hostitele. Podobnou stanzu je nutné mít pouze tehdy, liší-li se bezpečnostní politika daného virtuálního hostitele od předvoleného chování. K tomu, aby bylo možné přiřadit příchozí požadavek k virtuálnímu hostiteli, který definuje bezpečnostní politiku, se používají dva atributy. Uvedená bezpečnostní politika by se měla aplikovat na příchozí požadavek. Tyto parametry jsou id a protocols. Parametr id je definován jako ID virtuálního hostitele, kterému tento virtuální hostitel odpovídá. Předvolená hodnota atributu id je vlastní jméno virtuálního hostitele. Parametr protocols definuje sadu protokolů, kterým bude virtuální hostitel odpovídat. Tato hodnota může být http, https, nebo both. Předvolená hodnota je both. Ostatní parametry virtuálního hostitele definují bezpečnostní politiku, která by měla být použita na požadavky přiřazené tomuto virtuálnímu hostiteli. Virtuální hostitelé jsou přidruženi k určité vedlejší větvi prostoru chráněných objektů. URI požadavku je předesláno touto vedlejší větví, aby bylo vytvořeno jméno prostoru chráněných objektů. Toto jméno prostoru chráněných objektů se používá pro rozhodování o autorizaci. Konfigurační parametr branch určuje jméno tohoto prostoru chráněných objektů. [jméno-virtuálního-hostitele] branch = id-virtuálního-hostitele

Pokud hodnota ID virtuálního hostitele nezačíná lomítkem (/), pak je před záznam přidáno /PDWebPI/. Parametr branch je předvoleně nastaven na hodnotu parametru id. Výsledkem je předvolený prefix jména objektu /PDWebPI/id-virtuálního-hostitele. Vysvětlení větví virtuálních hostitelů Během konfigurace plug-in programu se vytvoří prostor objektů s názvem /PDWebPI. V tomto prostoru objektů se vytvoří záznamy pro každého virtuálního hostitele chráněného plug-in programem. Prostor objektů pod objektem virtuálního hostitele je vlastněn autorizačním serverem plug-in programu, který provádí rozhodnutí o autorizaci pro zdroje v prostoru objektů virtuálního hostitele. Standardně má větev prostoru objektů, kterou používá určitý virtuální hostitel, jméno podle ID virtuálního hostitele. Pokud se má používat jiná větev prostoru objektů /PDWebPI, pak musíte tuto skutečnost zadat v příponě větev. Větve mohou být sdíleny několika virtuálními hostiteli. Taková situace může nastat v prostředí, kdy virtuální hostitelé jsou sami sobě aliasy. Poznámka: Když se změní větev, musí být vytvořen objekt s novým jménem. Všechny přístupové seznamy připojené ke staré větvi zůstávají připojeny k nyní již neexistujícím objektům.

14


Následující příklad ukazuje konfigurační parametry nezbytné pro webový server, který má čtyři virtuální hostitele: v ibm.com v lotus.com-HTTP v lotus.com-HTTPS v domino.com Virtuální hostitelé lotus.com-HTTP a lotus.com-HTTPS jsou ve skutečnosti stejný virtuální hostitel a sdílejí stejnou větev. Jsou však rozlišení podle typu přístupu (HTTP nebo HTTPS). V tomto případě může být konfigurace autentizace nastavena rozdílně v závislosti na typu přístupu. Virtuální hostitel domino.com není chráněn plug-in programem a ibm.com je dalším virtuálním hostitelem na stejném serveru. [pdweb-plugins] virtual-host = ibm.com virtual-host = lotus.com-HTTPS virtual-host = lotus.com-HTTP unprotected-virtual-host = domino.com web-server = iplanet [lotus.com-HTTPS] id = lotus.com protocols = https branch = lotus.com [lotus.com-HTTP] id = lotus.com protocols = http branch = lotus.com [ibm.com] id = ibm.com protocols = http, https branch = ibm.com

Ujistěte se, že jste znovu spustili webový server pokaždé, když jste provedli změny v konfiguraci virtuálních hostitelů v konfiguračním souboru pdwebpi.conf. Je nezbytná další konfigurace, a to pro jednotlivé virtuální hostitele, aby bylo možné nastavit parametry autentizace pro každého jednotlivého virtuálního hostitele. Podrobné informace o konfiguraci metod autentizace virtuálních hostitelů najdete v části “Konfigurace autentizace virtuálních hostitelů” na stránce 42.

Konfigurace specifická pro webový server Některé akce plug-in programu jsou specifické pro daný webový server a proto je nutná určitá konfigurace, která je závislá na typu webového serveru, pro nějž plug-in program provádí zpracování. V parametru web-server stanzy [pdweb-plugins] konfiguračního souboru pdwebpi.conf nadefinujete typ vašeho webového serveru. Platné hodnoty jsou ihs, iplanet, iis, nebo apache. Například: [pdweb-plugins] web-server = ihs

Konfigurační položky specifické pro daný webový server jsou ve stanzách [iis], [ihs], [apache] a [iplanet] konfiguračního souboru pdwebpi.conf. Některé konfigurační parametry webových serverů je možné nastavit na úrovni jednotlivých větví tak, že přidáte úplnou větev virtuálního hostitele do stanzy. Například


15

[iplanet:/PDWebPI/lotus.com]. Tímto způsobem je možné nakonfigurovat parametry související s procházením webovým prostorem. Následující tabulka vysvětluje konfigurovatelné parametry pro jednotlivé typy webových serverů. Tabulka 5. Konfigurační parametry specifické pro webové servery Parametr

Popis

query-contents

Určuje program query contents, který se používá pro procházení webovým prostorem IBM HTTP Serveru pomocí příkazu ’pdadmin> object list’. Tento parametr je možné přepsat na úrovni větve uvedením hodnoty pro tento parametr ve stanze [ihs:větev], např. [ihs:/PDWebPI/lotus.com]

[ihs]

query-log-file doc-root

Umístění souboru protokolu pro chyby, na které narazil program query contents. Určuje kořen dokumentace, který poskytuje schopnost procházet webovým prostorem, která je nezbytná pro provádění příkazů ’pdadmin> object list’. Tento parametr je nastaven obslužným programem pro konfiguraci během nastavení virtuálních hostitelů - je definován na úrovni větve politiky ve stanze [ihs:větev], např. [ihs:/PDWebPI/lotus.com]

[apache] query-contents

Určuje program query contents, který se používá pro procházení webovým prostorem Apache HTTP Serveru pomocí příkazu ’pdadmin> object list’. Tento parametr je možné přepsat na úrovni větve uvedením hodnoty pro tento parametr ve stanze [apache:větev], např. [apache:/PDWebPI/lotus.com]

query-log-file

Umístění souboru protokolu pro chyby, na které narazil program query contents.

doc-root

Určuje kořen dokumentace, který poskytuje schopnost procházet webovým prostorem, která je nezbytná pro provádění příkazů ’pdadmin> object list’. Tento parametr je nastaven obslužným programem pro konfiguraci během nastavení virtuálních hostitelů - je definován na úrovni větve politiky ve stanze [apache:větev], např. [apache:/PDWebPI/lotus.com]

[iis] query-contents

query-log-file log-file

16

Určuje program query contents pro procházení webovým prostorem IIS pomocí pdadmin. Tento parametr je možné přepsat na úrovni větve uvedením hodnoty pro tento parametr ve stanze [iis:větev], např. [iis:/PDWebPI/lotus.com] Umístění souboru protokolu pro chyby, na které narazil program query contents. Definuje soubor protokolu pro chybové a trasovací zprávy z IIS plug-in programu, které se ukládají odděleně od souboru protokolu autorizačního serveru, aby byla zajištěna konzistence těchto souborů. Je-li zadán jako relativní cesta, pak je umístění relativní k podadresáři s protokoly instalačního adresáře. Je-li zadán jako absolutní cesta, použije se absolutní cesta.


Tabulka 5. Konfigurační parametry specifické pro webové servery (pokračování) Parametr

Popis

query-contents

Určuje program query contents pro procházení webovým prostorem Sun ONE (iPlanet) pomocí pdadmin. Tento parametr je možné přepsat na úrovni větve uvedením hodnoty pro tento parametr ve stanze [iplanet:větev], např. [iplanet:/PDWebPI/lotus.com]

[iplanet]

query-log-file doc-root

Umístění souboru protokolu pro chyby, na které narazil program query contents. Určuje kořen dokumentace, který poskytuje schopnost procházet webovým prostorem, která je nezbytná pro provádění příkazů ’pdadmin> object list’. Tento parametr je nastaven obslužným programem pro konfiguraci během nastavení virtuálních hostitelů - je definován na úrovni větve politiky ve stanze [iplanet:větev], např. [iplanet:/PDWebPI/lotus.com]

V níže uvedeném příkladu mají virtuální hostitelé ibm.com a lotus.com odpovídající stanzu v konfiguračním souboru: [iplanet:/PDWebPI/ibm.com] a [iplanet:/PDWebPI/lotus.com], ve které jsou nadefinovány parametry specifické pro danou konfiguraci. [pdweb-plugins] virtual-host = ibm.com virtual-host = lotus.com web-server = iplanet [iplanet] query-contents = /opt/pdweb/bin/wpi_iplanet_ls [iplanet:/PDWebPI/ibm.com] doc-root = /usr/local/ibm.com/doc/root [iplanet:/PDWebPI/lotus.com] doc-root = /usr/local/lotus.com/doc/root

Pokyny pro webový server IIS Když konfigurujete nastavení bezpečnosti serveru IIS v oušku Directory Security (Zabezpečení adresářů) v dialogovém okně Properties (Vlastnosti), je důležité si pamatovat, že některá konfigurovatelná nastavení bezpečnosti je možné v rámci hierarchie webového prostoru dědit. Plug-in program dynamicky vytváří ″virtuální″ objekty webového prostoru, aby obsloužil různé funkce. Nastavení bezpečnosti na těchto objektech jsou často velmi důležitá. Je nezbytné, aby nebyly měněny vlastnosti zabezpečení na těchto objektech. Když změníte nastavení bezpečnosti serveru IIS na oušku Directory Security (Zabezpečení adresářů) v dialogovém okně Properties (Vlastnosti), zobrazí se dialogové okno Inheritance Overrides (Dědičnost přepíše). Dialogové okno Inheritance Overrides (Dědičnost přepíše) zobrazí seznam Child Nodes (Podřízené uzly), které přepíšou hodnotu, kterou jste právě nastavili. Máte možnost zvolit, které uzly by měly používat novou hodnotu. Uzly PDWebPI nesmí být v tomto dialogu nikdy zvoleny.


17

Apache a IHS Zablokování Multiviews: Když používáte webové servery Apache nebo IHS, měla by být zablokována direktiva MultiViews na kořenovém adresáři. Povolení direktivy MultiViews vynechává kontrolu autentizace pomocí produktu Tivoli Access Manager Plug-in for Web Servers a tím ohrožuje vynechat webového serveru. Pro Apache je direktiva Multiviews povolena na dokumentovém kořenovém adresáři předvolbou. Konfigurace pro skripty PHP: Produkt Tivoli Access Manager Plug-in for Web Servers pracuje správně pouze, když jsou skripty PHP pro webový server ovládány vnitřně pomocí podpory PHP konfigurované jako implementace modulu.

Výpisy objektu pro přizpůsobení Produkt Tivoli Access Manager Plug-in for Web Servers dodává binární soubor pro každý podporovaný webový server použitý k určení výstupu pro výpis objektu administrativy pdadmin nebo příkaz zobrazení objektu. Následující tabulka indikuje standardní binární jména a jejich umístění: v iPlanet — install_path/bin/wpi_apache_ls v IHS — install_path/bin/wpi_ihs_ls v IIS — install_path/bin/wpi_iis_ls Pokud požadujete schopnosti procházení objektu, které nejsou součástí standardní funkcionality, k přemístění objektů dodaných s plug-in programem budete potřebovat rozvinout váš vlastní přizpůsobený binární objekt. Když vyvíjíte přizpůsobený binární objekt, platí následující pokyny:

Parametry příkazového řádku iPlanet,IHS,Apache directory virtual_host log_file [-d] Kde: directory

Absolutní cesta k adresáři nebo souboru, který se má vypsat nebo zobrazit.

virtual_host

Virtuální hostitel pro adresář nebo soubor.

log_file

Absolutní cesta k adresáři, který bude obsahovat libovolnou chybovou informaci vyprodukovanou akcí.

-d

Když je uvedena volba -d, je místo vypsání objektu provedeno jeho zobrazení.

IIS [-log log_file] -path directory -vhost virtual_host [-d] Kde:

18

log_file

Absolutní cesta k adresáři, který bude obsahovat libovolnou chybovou informaci vyprodukovanou akcí.

directory

Absolutní cesta k adresáři nebo souboru, který se má vypsat nebo zobrazit.


virtual_host

Virtuální hostitel pro adresář nebo soubor.

-d

Když je uvedena volba -d, je místo vypsání objektu provedeno jeho zobrazení.

Výstup Pro každý vypsaný záznam bude formát výstupu:

Kde: type

Číslo indikující typ objektu. Aktuální hodnoty zahrnují: v 0 Neznámý v 1 Doména v 2 Soubor v 3 Program v 4 Adresář v 5 Spojení v 9 HTTP Server v 10 Neexistující objekt v 11 Zásobník v 12 Konec v 14 Zásobníková aplikace v 15 Koncová aplikace

description

Textový popis objektu.

attachable

Zda lze metodu připojit k objektu.

name

Jméno objektu. Toto jméno objektu by nemělo obsahovat žádná jména vedoucích adresářů.

Například:

Konfigurace SU (switch user) pro administrátory Funkcionalita přepnutí uživatele produktu Plug-in for Web Servers dovoluje určitým administrátorům předpokládat totožnost uživatele, který je členem zabezpečené domény produktu Tivoli Access Manager. Implementace přepnutí uživatele je stejná jako příkaz su v prostředích UNIX. V prostředí plug-in programu získává administrátor pravá uživatelova pověření a spolupracuje se zdroji a s aplikacemi back-end se stejnými schopnostmi jako skutečný uživatel. Přepnutí uživatele je pro Help Desk užitečný nástroj k odstraňování a diagnostikování problémů. Přepnutí uživatele lze také použít k otestování přístupu uživatele ke zdrojům a provedení testování integrace aplikace. Následující položky zvýražňují důležité funkce přepnutí uživatele: v Přepnutí uživatele nevyžaduje uživatelovo heslo. v Aministrátor používá pověření reprezentující aktuálního uživatele. v Přepnutí uživatele je vyhrazeno pro členy speciální administrátorské skupiny. Administrátor nemůže přepnout uživatele na jiného člena této skupiny. Kapitola 2. Konfigurace produktu IBM Tivoli Access Manager Plug-in for Web Servers

19

v Produkt Tivoli Access Manager zpracovává sec_master a ostatní vybraní uživatelé mohou být ze schopností přepnutí uživatele vyloučeni pomocí členství ve vyloučené skupině. v Speciální formulář HTML se použije k podpoře informace přepnutí uživatele a aktivaci speciálního mechanismu autentizace, který vrací uvedené pověření uživatele bez požadavku na heslo. v Administrátor používá obslužný program pkmslogout k ukončení relace přepnutí uživatele.

Pochopení toku procesu přepnutí uživatele Následující posloupnost popisuje tok procesu přepnutí uživatele: 1. Proces je spuštěn autentizovaným administrátorem, který je členem skupiny su-admins. 2. Administrátor navazuje spojení s předkonfigurovaným formulářem HTML pro přepnutí uživatele. Tento formulář je přístupný pouze členům skupiny su-admins. Pokud uživatel není členem skupiny su-admins, je vrácena stránka ″Not Found″. 3. Formulář přepnutí uživatele je dokončen a vrácen s následující informací: jméno uživatele (administrátor je ″přepnut″ na tohoto uživatele), URL místa určení a metoda autentizace. Tato akce se projeví v požadavku POST odeslanému do /pkmssu.form. 4. Před poskytnutím oprávnění k přepnutí se provedou dvě kontroly. a. Plug-in program kontroluje, zda je ″switched to″ uživatel členem skupiny su-admins. Uživatel se nemůže ″stát″ jiným uživatelem, který je členem skupiny su-admins. b. Plug-in program kontroluje, zda je ″switched to″ uživatel členem skupiny su-excluded. Žádný uživatel se nemůže ″stát″ členem skupiny su-excluded. Pokud jedna z těchto kontrol selže, je vrácena chyba. Všechny následné požadavky jsou vytvořeny, jako by je vytvořil ″switched to″ uživatel. 5. Administrátor zůstává ″switched to″ uživatelem, dokud není standardní obslužný program /pkmslogout produktu Tivoli Access Manager dotázán, kdy je ″switched to″ uživatel odhlášen a administrátor se vrací ke své původní relaci.

Povolení přepnutí uživatele Stanza [common-modules] v konfiguračním souboru pdwebpi.conf definuje použití všech politik autentizace. K povolení funkcionality přepnutí uživatele musí být modul switch-user konfigurován jako předcházející autorizaci. To umožňuje, aby funkce přepnutí uživatele přistoupila k uživateli před provedením autorizace. [common-modules] ... pre-authzn = switch-user ...

Poznámka: Pokud je modul acctmgmt nakonfigurován jako předcházející autorizaci spolu s modulem switch-user, tak se musí modul switch-user objevit v seznamu před modulem acctmgmt. Zajistěte, že záznam pro přepnutí uživatele existuje ve stanze [modules] konfiguračního souboru pdwebpi.conf. Například: [modules] ... switch-user = pdwpi-su-module ...

Konfigurace formuláře HTML pro přepnutí uživatele Konfigurace formuláře přepnutí uživatele je definována ve stanze [switch-user] konfiguračního souboru pdwebpi.conf.

20


v Parametr switch-user-form uvádí jméno souboru. Předvoleně je jméno souboru switchuser.html a nachází se v adresáři install_path/nls/html/lang/charset. Na systémech US English je adresář lang nazýván C a adresář charset je nazýván utf-8. [switch-user] switch-user-form = switchuser.html

v Parametr switch-user-uri obsahuje URI, které se použije k vyvolání funkce přepnutí uživatele. Všimněte si, že standardní politika autorizace není pro toto URI použita. Místo kontroly autorizace ACL je provedena kontrola na základě skupiny. [switch-user] switch-user-uri = /switchuser.html

v Parametr switch-user-post-uri uvádí URI, jehož formulář přepnutí uživatele je zadán: [switch-user] switch-user-post-uri = /pkmssu.form

Formulář přepnutí uživatele může být editován na přizpůsobený vzhled a funkcionalitu. Formulář obsahuje požadavky pro: v Jméno uživatele (administrátor se na tohoto uživatele přepíná) Tento uživatel nemůže být členem su-excluded, bezpečnostní skupiny, nebo su-admins. v URL místa určení Tato stránka se zobrazí po úspěšné operaci přepnutí uživatele. Můžete ji nakonfigurovat jako skrytý vstup obsahující odpovídající domovskou stránku, nebo jako stránku potvrzující úspěšné přepnutí uživatele. v Metoda autentizace Metoda autentizace určuje typ informace použité k vytvoření pověření uživatele. Toto pole můžete nakonfigurovat jako skrytý vstup. Seznam platných parametrů metody autentizace naleznete v níže uvedených poznámkách. v Makro %CUSTOM% je zahrnuto v předvoleném formuláři a může se použít, aby ve formuláři automaticky zahrnulo všechny konfigurované mechanismy autentizace přepnutí uživatele. Poznámky pro formulář přepnutí uživatele: v Formulář je přístupný pouze členům skupiny su-admins. V tomto souboru není vyžadováno ACL. Plug-in program provádí kontrolu členství v interně pevně naprogramované skupině. Pokud kontrola členství ve skupině selže, plug-in program vrací chybu 404 ″Not Found″. v Požadovanými daty je jméno uživatele, URL místa určení a metoda autentizace. v Požadovaná data mohou být do formuláře vytvořena jako skrytá pole. v Plug-in program ověřuje, že se všechna požadovaná data nachází v zadaném formátu. Pokud data chybí, formulář je vrácen administrátorovi s popisnou zprávou. v Platné hodnoty pro metodu autentizace zahrnují: su-password su-token-card su-certificate su-http-request su-cdsso

Tyto parametry metody autentizace uvádí, který mechanismus autentizace používá plug-in program. v Data formuláře přepnutí uživatele jsou podporována pro URL akce /pkmssu.form.


21

Povolení nebo vyloučení uživatelů z přepnutí uživatele Pouze administrátoři, kteří jsou členy skupiny su-admins mohou použít funkci přepnutí uživatele a mohou obdržet formulář HTML pro přepnutí uživatele. Funkcionalitu přepnutí uživatele může použít libovolný uživatel, který je členem skupiny su-admins. Administrátoři mohou přepnout uživatele pro účet produktu Tivoli Access Manager, s výjimkou těch, které náleží k určitým skupinám. Ostatní uživatele produktu Tivoli Access Manager můžete vyloučit z přepnutí uživatele pomocí členství ve skupině su-excluded. Navíc členové skupiny securitygroup produktu Tivoli Access Manager jsou vyloučeni z funkcionality přepnutí uživatele. Obecně jsou sec_master a procesy produktu Tivoli Access Manager členy securitygroup. Během přepnutí uživatele provádí plug-in program kontrolu všech těchto skupin. Funkci ″switch to″ nemůžete použít pro někoho kdo je členem skupin su-admins , su-excluded, nebo securitygroup.

Konfigurace mechanismu pro autentizaci přepnutí uživatele Primární odpovědnost mechanismu pro autentizaci přepnutí uživatele je vytvořit pověření reprezentující uživatele ″switched-to″ na základě dodaného jména uživatele a metody autentizace, bez vyžadování hesla jako vstupu. Předvolený mechanismus pro autentizaci CDAS musí mít stejné požadavky. Mechanismus pro autentizaci přepnutí uživatele uvádíte ve stanze [authentication-mechanisms] konfiguračního souboru pdwebpi.conf. Jsou podporovány následující mechanismy pro autentizaci: [authentication-mechanisms ] #su-password = su-password-library #su-token-card = su-token-card-library #su-certificate = su-certificate-library #su-http-request = su-http-request-library #su-cdsso = su-cdsso-library

Produkt Tivoli Access Manager podporuje jednotlivou knihovnu přepnutí uživatele, která se může použít k povolení libovolného výše uvedeného mechanismu pro autentizaci v předvoleném, nepřizpůsobeném prostředí. Knihovna přepnutí uživatele se liší od standardních knihoven autentizace. Knihovna uvádí mechanismus pro autentizaci, který přijímá identitu uživatele (podporovanou ve formuláři přepnutí uživatele) a pro tohoto uživatele vrací platné pověření , aniž by vyžadoval jeho heslo jako vstup. Sdílená knihovna přepnutí uživatele built-in poskytnutá s produktem Tivoli Access Manager se nazývá: UNIX

libsuauthn

Windows suauthn Funkcionalita přepnutí uživatele také podporuje přizpůsobené mechanismy pro autentizaci CDAS. Tato podpora je důležitá, protože přizpůsobený CDAS často podporuje další informace pro pověření uživatele. Jste odpovědní za zapisování přizpůsobeného přepnutí uživatele CDAS, které napodobuje chování existujících CDAS při podporování požadavku navrácení pověření bez vyžadování hesla uživatele pro vstup.

22


Každá konfigurovaná knihovna autentizace přepnutí uživatele musí být jedinečně pojmenována, stejně tak, když je předvolená knihovna (libsuauthn) použita pro více jak jednu metodu autentizace. Příklad: V následujícím příkladě (pro platformu Solaris) má existující prostředí povoleny tři metody autentizace: 1. Autentizace pomocí formulářů s knihovnou built-in libldapauthn 2. Autentizace pomocí certifikátů s knihovnou built-in libsslauthn 3. Autentizace pomocí tokenu s přizpůsobeným mechanismem CDAS Prostředí je nyní rozšířeno na podporu funkcionality přepnutí uživatele pro libovolnou z těchto tří metod. V konfiguračním souboru pdwebpi.conf musí být povoleny pro přepnutí uživatele další tři parametry autentizace. V dodatku, nová přizpůsobená knihovna CDAS musí být zapsána, aby napodobila CDAS existujícího tokenu a aby podporovala požadavky autentizace přepnutí uživatele: [authentication-mechanisms ] passwd-ldap =/opt/PolicyDirector/lib/libldapauthn.so cert-ssl =/opt/PolicyDirector/lib/libsslauthn.so token-cdas =/opt/PolicyDirector/lib/libcustom.so su-password =/opt/PolicyDirector/lib/libsuformauthn.so su-certificate =/opt/PolicyDirector/lib/libsucert.so su-token-card =/opt/PolicyDirector/lib/libsucustom.so

Ovlivnění funkcionality ostatních plug-in programů Vliv na konfiguraci časového limitu paměti cache relace Funkcionalita nečinnosti paměti cache konfigurované relace plug-in programu a hodnoty časového limitu doby trvání nejsou operací přepnutí uživatele ovlivněny. Časovače nečinnosti a doby trvání jsou přidruženy k záznamu paměti cache administrátora a nejsou daty relace, která se mění během operace přepnutí uživatele. Časovač nečinnosti relace pokračuje k vynulování, když administrátor provádí požadavky jako uživatel ″switched-to″. Když administrátor ukončuje relaci přepnutí uživatele, nečinnost je pro znovu zavedenou relaci administrátora stále platná. Hodnota doby trvání relace není operací přepnutí uživatele přidána. Je možné, že časový limit doby trvání relace administrátora během operace přepnutí uživatele vyprší. Pokud se toto překročení časového limitu vyskytne, jsou relace vymazány a dojde k odhlášení jak administrátora tak uživatele ’switched-to’. Administrátor musí znovu získat autentizaci a musí začít operaci přepnutí uživatele znovu.

Připojení úrovní zvýšené autentizace Specifikace sdílené knihovny může obsahovat další parametry ve formátu: library&arg1 arg2 ... argx

Úrovně zvýšené autentizace můžete označit pomocí volby –l následované číslem úrovně. Například: su-password =/opt/PolicyDirector/lib/libsuformauthn.so&-l 1 su-certificate =/opt/PolicyDirector/lib/libsucert.so&-l 0 su-token-card =/opt/PolicyDirector/lib/libsucustom.so&-l 2

Poznámka: Pro tuto verzi produktu Tivoli Access Manager musí administrátor k úspěšnému provedení zvýšené autentizace znát heslo uživatele.


23

Podpora nového získání autentizuace Operace přepnutí uživatele funkcionalitu nového získání autentizace plug-in programu rozeznává. Pokud je nové získání autentizace vyžadováno během operace přepnutí uživatele, administrátor musí provést ověřování identity jako uživatel ″switched-to″. Poznámka: Pro tuto verzi produktu Tivoli Access Manager musí administrátor k úspěšnému novému získání autentizace znát heslo uživatele ″switched-to″.

Podpora správy relace uživatele Operace přepnutí uživatele správu relace uživatele podporuje. Administrátor má jedinečné ID relace uživatele. Během operace přepnutí uživatele existuje pro uživatele ″switched-to″ jedinečné ID relace uživatele.Úloha ukončení jednotlivé relace uživatele a úlohy ukončení všech relací uživatele fungují následovně: v Relace uživatele ″switched-to″ je ukončena, když je zadáno ID relace ″switched-to″ nebo ID relace uživatele v Jak relace administrátora tak relace uživatele ″switched to″ jsou ukončeny, když je zadáno ID relace administrátora nebo ID relace uživatele

Podpora hodnoty příznaku Funkcionalita přepnutí uživatele schopnost hodnoty znaku, která je často používaná CDAS, rozeznává.

Monitorování administrátora během přepnutí uživatele Během operace přepnutí uživatele je možné administrátora monitorovat. Funkcionalita přepnutí uživatele přidává do pověření uživatele ″switch-to″ rozšířený atribut identifikující administrátora. Rozšířený atribut, tak jak je uložen v pověření, se nazývá tag_value_prefix_su-admin: tag_value_prefix_su-admin = su-admin-name

Kde tag_value_prefix_ reprezentuje hodnotu parametru tag_value_prefix konfigurovanou ve stanze [pdwebpi-plugins] konfiguračního souboru plug-in programu. Tento přídavný atribut je dostupný pro libovolný mechanismus monitorování.

Konfigurace přepnutí při selhání pro servery LDAP Produkt Tivoli Access Manager plug-in for Web Servers připojuje každý dostupný server LDAP — hlavní i replikovaný v závislosti na prioritě — když se spouští. Pokud je z nějakého důvodu hlavní server LDAP mimo provoz, plug-in program musí být schopen připojit se k dostupnému replikovanému serveru LDAP, aby mohl provádět libovolnou operaci pro čtení. To je standardní konfigurace repliky LDAP produktu Tivoli Access Manager. Podrobnější informace najdete v knize IBM Tivoli Access Manager Base: Administrativní příručka. IBM Directory (LDAP) podporuje existenci jednoho nebo více replikovaných serverů LDAP s oprávněním pouze pro čtení. Sun ONE (dříve iPlanet) Directory Server (LDAP) podporuje existenci jednoho nebo více replikovaných serverů LDAP s oprávněním pouze pro čtení, které nazývá ″spotřebiteli″ (consumers). Do stanzy [ldap] konfiguračního souboru pdwebpi.conf musíte přidat řádky, které budou označovat všechny replikované servery dostupné plug-in programu. Pro každou z replik použijte uvedenou syntaxi: replica =ldap-server,port,typ,preference

kde:

24

ldap-server

Síťové jméno replikovaného serveru LDAP.

port

Naslouchací port tohoto serveru. Obecně použijte pro nekódované komunikace 389 nebo pro komunikace přes SSL 636.


typ

Funkcionalita replikovaného serveru - buď read-only (pouze pro čtení), nebo read-write (čtení i zápis). Obvykle se používá read-only (pouze pro čtení). Typ read-write (čtení i zápis) by měl představovat hlavní server.

preference

Číslo 1 - 10. Server s nejvyšší preferenční hodnotou se vybere pro připojení LDAP. Viz ″Nastavení preferenčních hodnot pro replikované servery LDAP″ v knize IBM Tivoli Access Manager Base: Administrativní příručka.

Příklad: replica =replica1.ldap.tivoli.com,389,readonly,5 replica =replica2.ldap.tivoli.com,389,readonly,5

Podpora P3P (Platform for Privacy Preferences) hlaviček P3P (Platform for Privacy Preferences) je standard pro World Wide Web Consortium poskytující způsob popsání preferencí utajení uživatele a politiky utajení webového serveru jednotným způsobem. Pomocí P3P může uživatel konfigurovat preference utajení určující, která informace je předána webovému serveru a jak se tato informace použije. Pomocí P3P může webový server uvést, kterou informaci politiky utajení uživatele poskytuje a jak tuto informaci použije. Politika utajení webového serveru je k dipozici uživatelům, jejichž prohlížecí programy povolené P3P ji mohou číst a porovnat s vlastními uživatelovými preferencemi utajení, ve formátu, který může počítač přečíst. Uživatel je upozorněn, když se metoda utajení webového serveru a konfigurace utajení uživatele neshodují. Obecné použití P3P je umožnit prohlížecím programům provádět inteligentní rozhodnutí o tom, zda přijmout cookies obdržené z webového serveru. Podpora této funkce je v produktu Internet Explorer 6.0 umožněna předvolbou. Pokud Internet Explorer 6.0 přijímá cookie ze serveru neodesílajím politiku P3P, nebo odesílajícím politiku neodpovídající preferencím utajení uživatele, tak se může prohlížecí program rozhodnou automaticky cookie blokovat. Plug-in program spoléhá na cookies, že udrží informaci relace tak jako, že například zadrží informaci přepnutí při selhání. Internet Explorer používá své předvolené cookies pro bloky nastavení a tudíž neuloží cookies plug-in programu, které efektivně omezují jeho funkcionalitu. Plug-in program poskytuje volby konfigurace P3P uvádějící vyhlášku kompaktní politiky P3P odeslanou se stránkami při nastavení cooike plug-in programu. Parametry konfigurace plug-in programu pro P3P vám umožňují vytvořit kompaktní politiku P3P odpovídající privátní politice vaší organizace. Je pak na klientovi, aby se rozhodl, zda povolí nastavení cookies pro produkt Tivoli Access Manager. Poznámka: Neměli byste konfigurovat politiku P3P, která se neshoduje s privátní politikou vaší organizace, abyste umožnili programu Internet Explorer přijmout cookies. Než pro cookies plug-in programu povolíte politiky P3P, zajistěte, že ovládáte specifikace P3P a chápete přesně, co prohlašujete za privátní politiku vaší organizace.

Konfigurování hlaviček P3P Plug-in program poskytuje parametry konfigurace, které se shodují s definicí syntaxe kompaktní politiky doporučení W3C P3P. Tyto parametry mohou být konfigurovány, aby povolily cookies plug-in programu, zatímco stále udržují integritu privátní politiky vaší organizace. Prvním krokem konfigurace hlaviček P3P je nastavit parametr send-p3p-header v [pdweb-plugins] v konfiguračním souboru pdwebpi.conf. Tento záznam může být nastaven na bázích po jednotlivých virtuálních hostech tak, že se definuje ve stanze [virtual_host_name] definované uživatelem. Nastavením na true uvádí parametr Kapitola 2. Konfigurace produktu IBM Tivoli Access Manager Plug-in for Web Servers

25

send-p3p-header, zda plug-in program přidává hlavičku P3P obsahující příkaz kompaktní politiky do libovolné odpovědi HTTP, ve které nastavil cookies. Standardně je odeslání hlavičky P3P zakázáno. Pokud jste odesílání hlaviček P3P povolili, tak by měly být nastaveny parametry ve stanze [p3p-header] nebo [p3p-header:virtual_host]. Tyto parametry uvádějí kompaktní politiku použitou pro nastavení všech HTTP cookies. Předvolená nastavení v této stanze umožňují uložení cookies relace v prohlížecím programu Internet Explorer 6 —i když se objeví jako cookies třetí strany. Tabulka 6. Parametry [p3p-header] Parametr

Použití

p3p-element

Tento parametr se může použít k uvedení odkazu na plnou politiku XML v dodatku ke kompaktní politice konfigurované pomocí jiných parametrů v této stanze. Nevysvětlení řádku p3p-element = policyref="/w3c/p3p.xml" odkazuje prohlížecí program na odeslání uvedeného odkazu plné politice XML. Poznámka: ACL umožňující neautentizovaný přístup musí být v adresáři /w3c nastaveno, aby povolilo přístup k politice. Toto je požadováno, protože Internet Explorer neodesílá autentizační informaci s požadavkem povolujícím zobrazení politiky.

access

Uvádí přístup, který má uživatel k informaci obsažené uvnitř a odkazované pomocí cookie. Možné hodnoty jsou: none all nonident contact-and-other ident-contact other-ident

disputes

Uvádí, zda plná metoda P3P obsahuje nějakou informaci s ohledem na rozepře s informací obsaženou v cookie. Platné hodnoty jsou true or false. Tento parametr je standardně nastaven na hodnotu false.

remedies

Uvádí možné nápravy rozepří. Možné hodnoty jsou: correct money law Pokud není uvedeno, není v metodě obsažena žádná informace nápravy.

non-identifiable

26

Pokud je nastaveno na true, tento parametr uvádí, že žádná informace v cookie nebo informace odkazovaná pomocí cookie nikdy osobně neidentifikuje uživatele. Platné hodnoty jsou true nebo false. Tento parametr je standardně nastaven na hodnotu false.


Tabulka 6. Parametry [p3p-header] (pokračování) Parametr

Použití

purpose

Uvádí smysl informace v cookie a informace odkazované pomocí cookie. Možné hodnoty jsou: current admin develop tailoring pseudo-analysis pseudo-decision individual-analysis individual-decision contact historical telemarketing a other-purpose. Pro všechny hodnoty s výjimkou current může být konfigurován dodatečný specifikátor. Možné hodnoty jsou: always opt-in opt-out. Pro neuvedené smysly je předvolenou hodnotou always. Tato hodnota je uvedena po smyslu a je oddělena pomocí dvojtečky, například: purpose = contact:opt-in

recipient

Uvádí příjemce informace v cookie a informaci odkazovanou pomocí cookie. Možné hodnoty jsou: ours delivery same unrelated public other-recipient.

retention

Uvádí, jak dlouho je zadržena informace v cookie nebo informace odkazovaná pomocí cookie. Možné hodnoty jsou: no-retention stated-purpose legal-requirement business-practices indefinitely.


27

Tabulka 6. Parametry [p3p-header] (pokračování) Parametr

Použití

categories

Uvádí typ informace uložené v cookie nebo informace odkazované pomocí cookie. Pokud je neidentifikovatelný parametr nastaven na true, pak nemusí být konfigurovány kategorie. Možné hodnoty jsou: physical online uniqueid purchase financial computer navigation interactive demographic content state political health preference location government other-category

Příklad konfigurace P3P: [pdweb-plugins] nebo [jméno-virtuálního-hostitele] send-p3p-header = true ... [p3p-header] nebo [p3p-header:jméno-virtuálního-hostitele] # p3p-element = policyref="/w3c/p3p.xml" access = none disputes = false non-identifiable = false purpose = current purpose = other-purpose:opt-in recipient = ours retention = no-retention categories = uniqueid

Konfigurace monitorování, protokolování, trasování a databáze paměti cache plug-in programu Protokolování a monitorování vám mohou poskytnout informace, které vám pomohou při identifikaci všech problémů, které byste mohli mít s plug-in programem. Pokud máte problémy a potřebujete pohled na chybové zprávy v reálném čase, pak spusťte plug-in program v popředí pomocí volby -foreground, tj.: pdwebpi -foreground

Poznámka: Máte-li nainstalován webový server IIS, musíte server IIS nejprve znovu spustit, abyste mohli plug-in program spustit v režimu spuštění na popředí, protože je nezbytné uvolnit všechny stávající sdílené paměti. Stavové a chybové zprávy se protokolují do souboru, který je nakonfigurován v parametrech log-file, logs a log-entries ve stanze [pdweb-plugins] konfiguračního souboru pdwebpi.conf.

28


Konfigurace monitorovací a základní databáze paměti cache plug-in programu se provádí pomocí parametrů ve stanze [aznapi-configuration] konfiguračního souboru pdwebpi.conf.

Prověřovací záznamy Základní služby autorizačního rozhraní API umožňují zachycovat autentizační (authn) a autorizační (azn) monitorované události. Standardní ’authn’ monitorované události však nezahrnují dostatečné informace o pokusech o autentizaci, které by umožnily uvést tyto monitorované události do souvislosti s určitým virtuálním hostitelem, pokud plug-in program chrání více než jednoho hostitele. Z tohoto důvodu plug-in program obsahuje implementaci vlastní kategorie monitorovaných událostí, aby byl schopen zachycovat informace o autentizaci specifické pro daného virtuálního hostitele. Standardní ’azn’ monitorované události zachycují informace o virtuálním hostiteli relevantní pro plug-in program na základě jména chráněného objektu, které bylo vytvořeno s prefixem /PDWebPI/jméno-virtuálního-hostitele. Autentizační monitorované události specifické pro plug-in program jsou zaznamenávány do společných oblastí monitorovaných událostí specifických pro virtuální hostitele, které jsou vytvořeny následujícím způsobem: wpi.jméno-virtuálního-hostitele.authn.jméno-autentizačního-modulu

Autentizační monitorované události specifické pro plug-in program odpovídají definicím DTD, které byly popsány v knize IBM Tivoli Access Manager Base: Administrativní příručka. Prvky ’wpi’ prověřovacích záznamů ve XML stylu jsou popsány v níže uvedené tabulce: Tabulka 7. Definice polí autentizačního prověřovacího záznamu. Příznak XML

Popis

<event>

Zapouzdřuje příznak pro monitorovací záznam. Prvek obsahuje atribut, který popisuje revizi definice doc type záznamu.

Záznam data a času, kdy se událost objevila.

Prvek příznaku obsahuje parametr status, který identifikuje chybový kód produktu Tivoli Access Manager nebo plug-in programu. Prvek popisuje obecné výsledky události. Možné hodnoty jsou: v 0 = Úspěch v 1 = Selhání v 2 = Nevyřízeno v 3 = Neznámý

Příznak hlavičky části odesílatele zprávy monitorovacího záznamu. Prvek příznaku obsahuje parametr blade, který identifikuje proces blade produktu Tivoli Access Manager, který je za událost odpovědný.

Příznak identifikuje komponentu, která zachycuje prověřovací záznamy. Komponenta se zaznamenává ve tvaru: wpi.jméno-virtuálního-hostitele.typ-události.jméno-modulu


29

Tabulka 7. Definice polí autentizačního prověřovacího záznamu. (pokračování) Příznak XML

Popis Označuje použitou politiku autentizace. Kódy akcí a jim odpovídající mechanismus autentizace jsou: 16961 - BA (Základní autentizace) 17236 - Autentizace pomocí certifikátu klienta 17731 - Autentizace pomocí ECSSO modulu 17999 - Autentizace pomocí Failover cookie 17997 - Autentizace pomocí formulářů 18504 - Autentizace pomocí HTTP hlavičky 18768 - Autentizace pomocí IP adresy 4806211 - Autentizace pomocí IV hlavičky: pověření PAC 4806229 - Autentizace pomocí IV hlavičky: jméno uživatele 4806220 - Autentizace pomocí IV hlavičky: rozlišovací jméno 300609 - Autentizace pomocí IV hlavičky: IP adresa 21579 - Autentizace pomocí tokenu

Definuje jméno serveru, který inicioval událost.

Příznak hlavičky části monitorovacího záznamu pro toho, kdo se pokoušel o přístup. Prvek příznaku může obsahovat jméno toho, kdo se pokoušel o přístup.

<principal>

Příznak objektu obsahuje parametr auth, který označuje autentizační adresářovou službu. Příznak definuje potvrzené jméno uživatele.

Příznak cíle obsahuje parametr resource, který může mít jednu z následujících hodnot: v 0 = autorizace v 1 = zpracování v 2 = TCB v 3 = pověření v 4 = obecné Autentizační prověřovací záznamy vždy nastavují tuto hodnotu na 3 - pověření.

Plug-in for Web Servers Integration Guide

Recommend Documents