Podręcznik użytkownika

Transkrypt

1 IBM Tioli Access Manager for WebSphere Application Serer Podręcznik użytkownika wersja 3.9 GC

2

3 IBM Tioli Access Manager for WebSphere Application Serer Podręcznik użytkownika wersja 3.9 GC

4 Uwaga Przed wykorzystaniem zamieszczonych tu informacji i użyciem omówionego w nich produktu, należy zapoznać się z treścią rozdziału Uwagi na stronie 61. Wydanie drugie (kwiecień 2002) Zastępuje wydanie SC Copyright International Business Machines Corporation Wszelkie prawa zastrzeżone.

5 Spis treści Wstęp Dla kogo przeznaczony jest ten podręcznik Co zamieszczono w tym podręczniku Publikacje i IBM Tioli Access Manager i Publikacje pokrewne iii Dostęp do publikacji elektronicznych x Zamawianie publikacji x Zgłaszanie uwag na temat publikacji x Dostępność xi Kontakt ze wsparciem technicznym xi Konwencje zastosowane w tym podręczniku xi Konwencje typograficzne xi Rozdział 1. IBM Tioli Access Manager for WebSphere Application Serer - wprowadzenie 1 Wprowadzenie do pakietu Access Manager Integrowanie pakietu Access Manager z serwerem IBM WebSphere Application Serer Ochrona w oparciu o role J2EE Przypisywanie kont użytkowników i grup do ról Scentralizowane zarządzanie strategią wielu serwerów WebSphere Rozdział 2. Instalowanie pakietu IBM Tioli Access Manager for WebSphere Zawartość oprogramowania Obsługiwane platformy Wymaganie dotyczące dysku i pamięci Wymagania wstępne dla oprogramowania WebSphere Application Serer Pakiet Access Manager Base Środowisko wykonawcze programów Jaa Xerces XML parser Wymagania wstępne dotyczące rejestru użytkowników Instalowanie pakietu IBM Tioli Access Manager for WebSphere Instalowanie pakietu Access Manager for WebSphere w systemie Solaris Instalowanie pakietu Access Manager for WebSphere w systemie AIX Instalowanie pakietu Access Manager for WebSphere w systemie HP-UX Instalowanie pakietu Access Manager for WebSphere w systemie Linux Instalowanie pakietu Access Manager for WebSphere w systemie Windows Konfigurowanie pakietu Access Manager for WebSphere Konfigurowanie początkowej instalacji pakietu Access Manager for WebSphere Konfigurowanie dodatkowych instalacji pakietu Access Manager for WebSphere pdwascfg script Rozdział 3. Migrowanie ról ochrony do pakietu IBM Tioli Access Manager for WebSphere Migrowanie ról ochrony Ograniczenia narzędzia migracji Wskazówki dotyczące rozwiązywania problemów migrateear Rozdział 4. IBM Tioli Access Manager for WebSphere - Administrowanie Używanie pakietu Access Manager w połączeniu z serwerem WebSphere Adanced Edition Single Serer Używanie narzędzi administracyjnych pakietu Access Manager Określanie właściwości pakietu Access Manager for WebSphere Limitowanie połączeń symultanicznych Copyright IBM Corp iii

6 Włączanie buforowania roli statycznej Definiowanie ról statycznych Konfigurowanie buforowania roli dynamicznej Określanie typu mechanizmu protokołowania Określanie poziomu protokołowania Określanie nazwy głównej pamięci obiektu Określanie katalogu definicji typów dokumentów Konfigurowanie konsoli WebSphere w celu rozpoznania grup Access Manager Rozdział 5. Przewodnik: włączanie ochrony Przewodnik - przegląd : Dodawanie funkcji ochrony do aplikacji WebSphere : Dodawanie użytkowników do rejestru użytkowników LDAP : Włączanie funkcji ochrony serwera WebSphere Application Serer : Wdrażanie aplikacji : Testowanie ochrony wdrożonej aplikacji : Instalowanie i konfigurowanie pakietu Access Manager for WebSphere : Migrowanie aplikacji do pakietu Access Manager : Testowanie ochrony wdrożonej aplikacji : Modyfikowanie ról : Testowanie ochrony wdrożonej aplikacji Rozdział 6. Usuwanie pakietu IBM Tioli Access Manager for WebSphere Usuwanie pakietu Access Manager for WebSphere w systemie Solaris Usuwanie pakietu Access Manager for WebSphere w systemie Windows Usuwanie pakietu Access Manager for WebSphere w systemie AIX Usuwanie pakietu Access Manager for WebSphere w systemie HP-UX Usuwanie pakietu Access Manager for WebSphere w systemie Linux Dodatek. Uwagi Znaki towarowe Indeks i IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

7 Wstęp IBM Tioli Access Manager for WebSphere Application Serer (Access Manager for WebSphere) - Witamy. Ten produkt rozszerza system Access Manager umożliwiając obsługę aplikacji napisanych dla serwera IBM WebSphere Application Serer. Uwaga: IBM Tioli Access Manager jest nową nazwą oprogramowania dotychczas znanego pod nazwą Tioli SecureWay Policy Director. Ponadto, użytkownicy zaznajomieni z oprogramowaniem i dokumentacją systemu Tioli SecureWay Policy Director powinni zwrócić uwagę, że termin serwer zarządzania został zastąpiony terminem serwer strategii. W książce IBM Tioli Access Manager for WebSphere Application Serer Podręcznik użytkownika zawiera instrukcje dotyczące instalowania, konfigurowania i administrowania. Do podręcznika dołączono także przewodnik opisujący sposób konfigurowania scentralizowanej strategii ochrony dla aplikacji WebSphere. Dla kogo przeznaczony jest ten podręcznik Podręcznik niniejszy jest przeznaczony dla: Administratorów ochrony Administratorów systemów sieciowych Architektów systemów informatycznych Podręcznik zakłada, że czytelnik jest zaznajomiony z następującymi zagadnieniami: Protokoły internetowe, w tym HTTP, TCP/IP, protokół transferu plików (FTP) i telnet Wdrażanie i zarządzanie aplikacjami i systemami opartymi na serwerze WebSphere Application Serer Zarządzanie ochroną, w tym uwierzytelnianiem i autoryzacją Użytkownicy wykorzystujący komunikację opartą na protokole Secure Sockets Layer (SSL) powinni także być zaznajomieni zagadnieniami dotyczącymi protokołu SSL, wymiany kluczy (publicznych i prywatnych), podpisów cyfrowych, algorytmów szyfrujących i ośrodków certyfikacji. Co zamieszczono w tym podręczniku Niniejsza książka zawiera następujące rozdziały: Rozdział 1, Wprowadzenie do pakietu Access Manager for WebSphere Zawiera przegląd komponentów systemu Access Manager, które udostępniają usługi autoryzacji dla serwera WebSphere Application Serer. Rozdział 2, Instalowanie pakietu Access Manager for WebSphere Opisuje procedurę instalowania i konfigurowania pakietu Access Manager for WebSphere. Rozdział 3, Migrowanie ról ochrony do pakietu Access Manager Opisuje sposób wykorzystania narzędzia migracji Access Manager for WebSphere w celu przeprowadzenia migracji ról ochrony Jaa 2 Enterprise Edition do użytkowników i grup Access Manager. Rozdział 4, Administrowanie pakietem Access Manager for WebSphere Copyright IBM Corp. 2002

8 Opisuje sposób wykonywania zadań administracyjnych służących do zarządzania pakietem Access Manager for WebSphere. Rozdział 5, Przewodnik: aktywowanie ochrony Opisuje sposób dodawania funkcji ochrony do aplikacji pakietu WebSphere Application Serer. W rozdziale opisano także sposób przeprowadzenia migracji informacji ochrony do systemu Access Manager oraz procedury testowe umożliwiające weryfikowanie ochrony. Rozdział 6, Usuwanie pakietu Access Manager for WebSphere Opisuje sposób usunięcia pakietu Access Manager for Websphere. Publikacje W tej sekcji zgromadzono listę publikacji znajdujących się w bibliotece Access Manager oraz innych, pokrewnych dokumentów. Opisano także sposób uzyskania dostępu do publikacji Tioli w sieci, oraz podano informacje dotyczące zamawiania publikacji Tioli i zgłaszania uwag dotyczących publikacji. IBM Tioli Access Manager Biblioteka dokumentacji Access Manager została podzielona na następujące kategorie: Uwagi do wydania Informacje podstawowe Informacje o serwerze WebSEAL Informacje o ochronie w sieci WWW Informacje dla programistów Dodatkowe informacje techniczne Dodatkowe informacje na temat systemu Access Manager i związanych z nim zagadnień można znaleźć w następujących serwisach WWW: Uwagi do wydania IBM Tioli Access Manager for e-business - Przeczytaj najpierw GI (am39_readme.pdf) Zawiera informacje, które pomagają zainstalować i rozpocząć użytkowanie pakietu Access Manager. IBM Tioli Access Manager for e-business Release Notes GI (am39_relnotes.pdf) Zawiera najnowsze informacje dotyczące między innymi ograniczeń oprogramowania i sposobów rozwiązywania problemów, a także uaktualnienia dokumentacji. Informacje podstawowe IBM Tioli Access Manager Base Podręcznik instalacji GC (am39_install.pdf) Zawiera opis procedur instalowania, konfigurowania i aktualizowania pakietu Access Manager, w tym interfejsu Web portal manager. IBM Tioli Access Manager Base Administrator s Guide GC (am39_admin.pdf) i IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

9 Zawiera opis pojęć i procedur korzystania z usług oferowanych przez pakiet Access Manager. W podręczniku tym zamieszczono także instrukcje wykonywania zadań za pomocą interfejsu Web portal manager oraz polecenia pdadmin. IBM Tioli Access Manager Base for Linux on zseries Installation Guide GC (am39_zinstall.pdf) Opisuje sposób instalowania i konfigurowania pakietu Access Manager Base for Linux na platformie zseries. Informacje o serwerze WebSEAL IBM Tioli Access Manager WebSEAL Podręcznik instalacji GC (amweb39_install.pdf) Zawiera instrukcje dotyczące instalowania, konfigurowania i usuwania serwera WebSEAL oraz komponentu ADK dla serwera WebSEAL. IBM Tioli Access Manager WebSEAL Administrator s Guide GC (amweb39_admin.pdf) Zawiera informacje ogólne, procedury administracyjne i informacje techniczne dotyczące używania serwera WebSEAL do zarządzania zasobami domeny bezpiecznej w sieci WWW. IBM Tioli Access Manager WebSEAL Deeloper s Reference GC (amweb39_deref.pdf) Zawiera informacje przeznaczone dla administratorów i programistów dotyczące usługi Cross-domain Authentication Serice (CDAS), środowiska Cross-domain Mapping Framework (CDMF) oraz modułu Password Strength. IBM Tioli Access Manager WebSEAL for Linux on zseries Installation Guide GC (amweb39_zinstall.pdf) Zawiera instrukcje dotyczące instalowania, konfigurowania i usuwania serwera WebSEAL oraz komponentu ADK dla serwera WebSEAL w systemie operacyjnym Linux na platformie zseries. Informacje o ochronie w sieci WWW IBM Tioli Access Manager for WebSphere Application Serer Podręcznik użytkownika GC (amwas39_user.pdf) Zawiera instrukcje instalowania, usuwania i administrowania dotyczące serwera Access Manager for IBM WebSphere Application Serer. IBM Tioli Access Manager for WebLogic Serer Podręcznik użytkownika GC (amwls39_user.pdf) Zawiera instrukcje instalowania, usuwania i administrowania dotyczące serwera Access Manager for BEA WebLogic Serer. IBM Tioli Access Manager Plug-in for Edge Serer User s Guide GC (amedge39_user.pdf) Opisuje procedury instalowania, konfigurowania i administrowania modułu dodatkowego dla serwera IBM WebSphere Edge Serer. IBM Tioli Access Manager Plug-in for Web Serers User s Guide GC (amws39_user.pdf) Zawiera instrukcje instalowania, procedury administrowania oraz informacje techniczne dotyczące zabezpieczania domeny sieci WWW za pomocą aplikacji modułu dodatkowego dla serwerów WWW. Wstęp ii

10 Podręczniki dla programistów IBM Tioli Access Manager Authorization C API Deeloper s Reference GC (am39_authc_deref.pdf) Zawiera szczegółowy opis interfejsu autoryzacji API Access Manager (funkcje w języku C) oraz interfejsu modułów dodatkowych Access Manager, umożliwiających dodanie funkcji ochrony do aplikacji. IBM Tioli Access Manager Authorization Jaa Classes Deeloper s Reference GC (am39_authj_deref.pdf) Zawiera szczegółowy opis implementacji interfejsu autoryzacji API w języku the Jaa, umożliwiającego wykorzystanie funkcji ochrony Access Manager z poziomu aplikacji. IBM Tioli Access Manager Administration C API Deeloper s Reference GC (am39_adminc_deref.pdf) Zawiera szczegółowy opis interfejsu administrowania API, umożliwiającego wykonywanie zadań administracyjnych Access Manager z poziomu aplikacji. W dokumencie opisano implementację funkcji API w języku C. IBM Tioli Access Manager Administration Jaa Classes Deeloper s Reference SC (am39_adminj_deref.pdf) Zawiera szczegółowy opis implementacji interfejsu administrowania API w języku Jaa, umożliwiającego wykonywanie zadań administracyjnych Access Manager z poziomu aplikacji. IBM Tioli Access Manager WebSEAL Deeloper s Reference GC (amweb39_deref.pdf) Zawiera informacje przeznaczone dla administratorów i programistów dotyczące usługi Cross-domain Authentication Serice (CDAS), środowiska Cross-domain Mapping Framework (CDMF) oraz modułu Password Strength. Dodatki techniczne IBM Tioli Access Manager Performance Tuning Guide GC (am39_perftune.pdf) Zawiera informacje dotyczące zwiększania wydajności środowiska opartego na serwerze Access Manager i używającego pakietu IBM SecureWay Directory jako rejestru użytkowników. IBM Tioli Access Manager Capacity Planning Guide GC (am39_capplan.pdf) Pomaga zaplanować liczbę serwerów WebSEAL, LDAP i serwerów WWW zaplecza, odpowiednio do założonego obciążenia. IBM Tioli Access Manager Error Message Reference SC (am39_error_ref.pdf) Zawiera objaśnienia komunikatów o błędach pakietu Access manager oraz zalecane procedury usuwania błędów. Glosariusz Tioli zawiera definicje wielu terminów technicznych dotyczących oprogramowania Tioli. Glosariusz Tioli jest dostępny, wyłącznie w języku angielskim, pod adresem: Publikacje pokrewne W tej sekcji wymieniono publikacje związane z biblioteką Access Manager. iii IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

11 IBM DB2 Uniersal Database Pakiet IBM DB2 Uniersal Database jest wymagany do zainstalowania serwerów LDAP IBM SecureWay Directory, z/os i OS/390 SecureWay. Informacje o bazie danych DB2 są dostępne w następującym serwisie WWW: IBM SecureWay Directory Serwer IBM SecureWay Directory w wersji jest dostarczany na dysku CD-ROM z pakietem IBM Tioli Access Manager Base, stosownie do platformy użytkownika. Jeśli serwer IBM SecureWay Directory będzie zainstalowany jako rejestr użytkowników, warto zapoznać się z następującymi dokumentami znajdującymi się w katalogu /doc/directory na dysku CD-ROM produktu IBM Tioli Access Manager Base, odpowiednimi dla używanej platformy: IBM SecureWay Directory Podręcznik instalowania i konfigurowania SC (aparent.pdf, lparent.pdf, sparent.pdf, wparent.pdf) Zawiera informacje dotyczące instalowania, konfigurowania i migrowania dla komponentów serwera IBM SecureWay Directory w systemach operacyjnych AIX, Linux, Solaris i Microsoft Windows. IBM SecureWay Directory - Uwagi do wydania (relnote.pdf) Suplement do dokumentacji produktu IBM SecureWay Directory wersja Zawiera także opis funkcji udostępnionych w bieżącym wydaniu. IBM SecureWay Directory Readme Addendum (addendum322.pdf) Zawiera informacje o zmianach i poprawkach wprowadzonych po przygotowaniu polskiej wersji językowej dokumentacji produktu IBM SecureWay Directory. Publikacja ta jest dostępna wyłącznie w języku angielskim. IBM SecureWay Directory Plik Readme serwera (serer.pdf) Zawiera opis produktu IBM SecureWay Directory Serer, wersja IBM SecureWay Directory Plik Readme klienta (client.pdf) Zawiera opis produktu IBM SecureWay Directory Client, wersja Jest to komponent SDK wspomagający tworzenie aplikacji LDAP. SSL Introduction and ikeyman User s Guide (gskikm5c.pdf) Zawiera informacje przeznaczone dla administratorów sieci i ochrony, którzy planują wdrożenie komunikacji opartej na protokole SSL w domenie bezpiecznej Access Manager. Schemat konfiguracyjny IBM SecureWay Directory (scparent.pdf) Zawiera opis drzewa informacji katalogu (DIT) i atrybutów służących do konfigurowania pliku slapd32.conf. W wersji 3.2 produktu IBM SecureWay Directory, ustawienia katalogu są przechowywane w formacie LDAP Directory Interchange Format (LDIF) w pliku slapd32.conf. IBM SecureWay Directory Tuning Guide (tuning.pdf) Zawiera informacje dotyczące zwiększania wydajności pakietu IBM SecureWay Directory. W podręczniku uwzględniono metody zwiększania wydajności katalogów zawierających od kilku tysięcy do kilku milionów pozycji. Wstęp ix

12 Dodatkowe informacje na temat produktu IBM SecureWay Directory są dostepne pod następującym adresem w sieci WWW: IBM WebSphere Application Serer Pakiet IBM WebSphere Application Serer Standard Edition, wersja 4.0.2, jest instalowany z interfejsem Web portal manager. Informacje na temat pakietu IBM WebSphere Application Serer są dostępne pod następującym adresem w sieci WWW: Dostęp do publikacji elektronicznych Publikacje zawarte w bibliotece danego produktu są dostarczane razem z produktem na dysku CD-ROM w formacie Portable Document Format (PDF). Aby uzyskać dostęp do tych publikacji za pomocą przeglądarki WWW, należy otworzyć w przeglądarce plik infocenter.html, znajdujący się w katalogu /doc na dysku CD-ROM dostarczonym razem z produktem. Uaktualnione wersje publikacji drukowanych są udostępniane przez firmę IBM w formacie elektronicznym w Centrum informacyjnym Tioli. Centrum informacyjne Tioli udostępnia najnowsze wersje publikacji zawartych w bibliotekach produktów w formacie PDF, HTML, lub w obu tych formatach. Dla niektórych produktów dostępne są także publikacje przetłumaczone na inne języki. Centrum informacyjne Tioli oraz inne źródła informacji technicznych są dostępne w sieci WWW pod następującym adresem: Informacje są sklasyfikowane według produktów i zawierają uwagi do wydań, podręczniki instalacji, podręczniki użytkownika, podręczniki administratora i podręczniki programisty. Uwaga: Jeśli dokumenty w formacie PDF są drukowane na papierze o rozmiarze innymi niż letter, należy zaznaczyć pole wyboru Fit to page (Dopasuj do strony) w oknie dialogowym Print (Drukowanie) programu Adobe Acrobat (dostępnym po wybraniu kolejno poleceń File Print). Wybranie tej opcji umożliwia poprawne wydrukowanie zawartości strony przewidzianej dla rozmiaru letter na stronie o innym rozmiarze. Zamawianie publikacji Wiele publikacji Tioli można zamówić w sieci WWW pod adresem: Zamówienia można także składać telefonicznie: W Stanach Zjednoczonych: W Kanadzie: Numery telefonów dla innych krajów można znaleźć pod adresem: Zgłaszanie uwag na temat publikacji Firma IBM jest zainteresowana informacjami od użytkowników na temat ich doświadczeń z produktami Tioli i ich dokumentacją, a także sugestiami na temat ewentualnych x IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

13 udoskonaleń. Aby przekazać uwagi lub sugestie dotyczące produktów i dokumentacji, można skontaktować się z firmą IBM korzystając z jednego ze sposobów wymienionych poniżej: Prosimy o przesyłanie uwag pocztą elektroniczną na adres pubs@tioli.com. Prosimy także o wypełnienie ankiety pod adresem: Dostępność Funkcje dostępności są pomocne dla użytkowników niepełnosprawnych fizyczne, na przykład z ograniczoną mobilnością lub ograniczonym widzeniem, i umożliwiają efektywne używanie oprogramowania. Używając tego produktu można korzystać z dźwiękowych i nawigacyjnych technik wspomagania interfejsu. Dostęp do wszystkich funkcji interfejsu graficznego jest możliwy za pomocą myszy i klawiatury. Kontakt ze wsparciem technicznym W razie wystąpienia problemów z produktem Tioli, użytkownik może skontaktować się ze wsparciem technicznym Tioli. Patrz podręcznik Tioli Customer Support Handbook w następującym serwisie WWW: Publikacja ta informuje o sposobach kontaktowania się ze wsparciem technicznym Tioli w zależności od wagi problemu, a także zawiera: Informacje o rejestrowaniu oprogramowania i uprawnieniach użytkowników Numery telefonów i adresy poczty elektronicznej, zależnie od kraju użytkownika Listę informacji, jakie należy zgromadzić przed skontaktowaniem się ze wsparciem technicznym Konwencje zastosowane w tym podręczniku W podręczniku użyto specjalnych konwencji zapisywania pewnych terminów i działań, poleceń i ścieżek systemów operacyjnych oraz symboli. Konwencje typograficzne W podręczniku zastosowano następujące konwencje typograficzne: Czcionka pogrubiona Nazwy poleceń i opcji, słowa kluczowe i inne informacje wpisywane w programach wydrukowano czcionką pogrubioną. Czcionka pochyła Nazwy zmiennych, opcje poleceń i wartości wpisywane przez użytkownika wydrukowano czcionką pochyłą. Tytuły publikacji i inne wyróżnione słowa lub wyrażenia także wydrukowano czcionką pochyłą. Czcionka o stałej szerokości Przykłady kodu źródłowego, tekst wiersza poleceń, informacje wyświetlane na ekranie, nazwy plików i katalogów, a także komunikaty systemowe wydrukowano czcionką o stałej szerokości. Wstęp xi

14 xii IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

15 Rozdział 1. IBM Tioli Access Manager for WebSphere Application Serer - wprowadzenie IBM Tioli Access Manager for WebSphere Application Serer (pakiet Access Manager for WebSphere) jest rozszerzeniem pakietu Access Manager Version 3.9, które udostępnia autoryzację z użyciem obiektów-pojemników oraz zcentralizowane zarządzanie strategią aplikacji serwera IBM WebSphere Application Serer. Pakiet Access Manager for WebSphere jest zintegrowany z pakietem WebSphere Application Serer wersja i podejmuje decyzje dotyczące autoryzowania otrzymywanych żądań dostępu do chronionych zasobów. Zainstalowanie pakietu Access Manager for WebSphere pozwala administratorowi sieci wykorzystać serwer Access Manager do scentralizowanego zarządzania strategią ochrony zarówno zasobów serwera WebSphere Application Serer, jak i zasobów niezwiązanych z tym serwerem. Funkcje pakietu Access Manager obejmują zarządzanie typowymi tożsamościami, profilami użytkowników i mechanizmami autoryzacji. Access Manager udostępnia graficzny interfejs użytkownika, Access Manager Web Portal Manager, który może być wykorzystywany do centralnego zarządzania ochroną zasobów zgodnych ze standardem Jaa 2 Enterprise Edition (J2EE) oraz zasobów niezgodnych z tym standardem. WebSphere Application Serer, Adanced Edition 4.0.2, obsługuje klasy ochrony i funkcje API standardu J2EE. Access Manager for WebSphere obsługuje aplikacje WebSphere używające klas ochrony standardu J2EE. Access Manager udostępnia te funkcje nie wymagając wprowadzania do aplikacji jakichkolwiek zmian programistycznych lub wdrożeniowych. Wprowadzenie do pakietu Access Manager Pakiet Access Manager for WebSphere jest zintegrowany z pojemnikami WebSphere i umożliwia im korzystanie z usług ochrony udostępnianych przez domenę bezpieczną Access Manager. Wdrożenie domeny bezpiecznej Access Manager należy przeprowadzić przed zainstalowaniem pakietu Access Manager for WebSphere. Użytkownicy, którzy po raz pierwszy stykają się z pakietem Access Manager powinni zapoznać się z modelem ochrony pakietu Access Manager przed wdrożeniem domeny bezpiecznej. Access Manager stanowi kompletne rozwiązanie zarządzania strategiami autoryzacji i ochrony sieci, zapewniające całościowe zabezpieczenie zasobów w rozrzuconych geograficznie sieciach typu intranet i ekstranet. Pakiet Access Manager obejmuje najnowocześniejsze technologie zarządzania strategiami ochrony. Ponadto, Access Manager obsługuje funkcje uwierzytelniania, autoryzacji, ochrony danych i zarządzania zasobami. Pakiet Access Manager jest używany w połączeniu ze standardowymi aplikacjami internetowymi do tworzenia bezpiecznych i rzetelnie zarządzanych sieci typu intranet i ekstranet. U podstaw pakietu Access Manager leżą: Środowisko uwierzytelniania Copyright IBM Corp

16 Pakiet Access Manager obsługuje szeroki wachlarz mechanizmów uwierzytelniania. Należy jednak zwrócić uwagę, że pakiet WebSphere przeprowadza własne procedury uwierzytelniania przed wykorzystaniem pakietu Access Manager for WebSphere. Środowisko autoryzacji Usługa autoryzacji strategii (Policy Authorization Serice), do której można uzyskać dostęp ze standardowych klas autoryzacji Jaa 2 Enterprise Edition, umożliwia podejmowanie decyzji udzielania bądź odmowy dostępu w odpowiedzi na żądania kierowane do rodzimych serwerów Access Manager oraz aplikacji innych firm. Więcej informacji o pakiecie Access Manager, w tym informacji potrzebnych do podejmowania decyzji o instalacji, znajduje się w dokumentacji rozpowszechnianej z pakietem IBM Tioli Access Manager wersja 3.9. Zalecamy zapoznanie się w pierwszej kolejności z następującymi podręcznikami: IBM Tioli Access Manager Base Podręcznik instalacji, GC W tym podręczniku opisano sposób planowania, instalowania i konfigurowania domeny bezpiecznej Access Manager. Zestaw łatwych w użyciu skryptów instalacyjnych pozwala w krótkim czasie wdrożyć w pełni funkcjonalną domenę bezpieczną. Skrypty te są szczególnie użyteczne podczas przygotowywania prototypu domeny bezpiecznej. Tioli Access Manager Base Podręcznik administratora, GC W tym podręczniku przedstawiono opis modelu ochrony użytego w pakiecie Access Manager do zarządzania chronionymi zasobami. Opisano sposób skonfigurowania serwerów Access Manager, które podejmują decyzje dotyczące kontroli dostępu. Ponadto, w podręczniku zamieszczono szczegółowe instrukcje wykonywania podstawowych zadań, takich jak deklarowanie strategii ochrony, definiowanie przestrzeni nazw obiektów chronionych, oraz zarządzanie profilami użytkowników i grup. Dokumentacja pakietu Access Manager znajduje się na dysku CD-ROM Tioli Access Manager Base wersja 3.9, a także jest dostępna w serwisie wsparcia technicznego Tioli. Aby uzyskać dodatkowe informacje, patrz Dostęp do publikacji elektronicznych na stronie x. Integrowanie pakietu Access Manager z serwerem IBM WebSphere Application Serer Pakiet Access Manager for WebSphere jest zintegrowany z pakietem IBM WebSphere Application Serer Adanced Edition wersja Kiedy użytkownik próbuje uzyskać dostęp do chronionego zasobu, WebSphere wykonuje następujące procedury: Uwierzytelnienie użytkownika. Kiedy w deskryptorze wdrażania jest zdefiniowana ochrona dla aplikacji(ochrona deklaratywna), pojemnik WebSphere określa, czy bieżącej tożsamości użytkownika przyznano jakiekolwiek wymagane role. Jeśli programista aplikacji dodał kod ochrony bezpośrednio do aplikacji (ochrona programowa), pojemnik WebSphere używa serwera Access Manager do przeprowadzenia niezbędnej weryfikacji członkostwa ról. 2 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

17 Rysunek 1. Access Manager jest zintegrowany z serwerem WebSphere Application Serer Na rysunku 1 przedstawiono kolejność zdarzeń: 1. Kiedy wykonywana jest aplikacja WebSphere wyposażona w ochronę J2EE, a użytkownik usiłuje uzyskać dostęp do chronionego zasobu serwer WebSphere Application Serer uwierzytelnia użytkownika korzystając z rejestru użytkowników. Na przykład, pokazany na rysunku 1 serwer WebSphere Adanced Edition (wersja wieloserwerowa) uwierzytelnia użytkownika na podstawie rejestru użytkowników IBM SecureWay Directory. Rejestr użytkowników jest współużytkowany z serwerem Access Manager. Dla edycji Single Serer pakietu WebSphere Adanced Edition (AEs), uwierzytelnianie jest przeprowadzane w oparciu o ochronę hosta. 2. Kiedy użytkownik zgłasza żądanie dostępu do chronionej metody lub zasobu, pojemnik WebSphere wykorzystuje informacje zawarte w deskryptorze wdrażania aplikacji J2EE, aby określić wymaganą przynależność do ról. 3. Pojemnik WebSphere używa zintegrowanego modułu Access Manager w celu zażądania decyzji o autoryzacji ( udzielić lub odmówić ) z serwera autoryzacji Access Manager. Pojemnik WebSphere przekazuj także do serwera autoryzacji dodatkowe informacje kontekstowe, jeśli dysponuje takimi informacjami. Opcjonalne informacje kontekstowe mogą zawierać nazwę komórki, nazwę hosta oraz nazwę serwera. Jeśli dla tych informacji kontekstowych określono strategię w bazie danych strategii Access Manager, serwer autoryzacji może uwzględnić te informacje podejmując decyzję o autoryzacji. 4. Serwer autoryzacji pobiera definicje użytkowników Access Manager ze współużytkowanego rejestru użytkowników. (Rejestr użytkowników jest współużytkowany z serwerem WebSphere, jeśli używana jest edycja serwera inna niż WebSphere AEs.) Następnie, serwer autoryzacji sprawdza uprawnienia zdefiniowane dla Rozdział 1. IBM Tioli Access Manager for WebSphere Application Serer - wprowadzenie 3

18 określonego użytkownika w przestrzeni nazw obiektów chronionych Access Manager. Przestrzeń nazw obiektów chronionych znajduje się w bazie danych strategii na rysunku Serwer autoryzacji Access Manager zwraca decyzję o udzieleniu lub odmowie dostępu do pojemnika WebSphere. 6. WebSphere Application Serer udziela albo odmawia dostepu do chronionej metody lub zasobu. Ochrona w oparciu o role J2EE Ochrona J2EE wykorzystuje pojęcie konta użytkownika (ang. principal) do reprezentowania tożsamości jednostki wykonującej działania. Jednostkami mogą być osoby (użytkownicy) i procesy. Dodatkowo, J2EE używa pojęcia roli, opisanego niżej. Metody sa przypisane do ról. W następującej tabli z przykładowej aplikacji bankowej, aplikacja definiuje role i przypisuje do nich metody. Pozycja udzielić w poniższej tabeli wskazuje, że rola może uzyskać dostęp do określonej metody. Role Metody pobierzsaldo depozyt zamknijkonto Kasjer udzielić udzielić Inkasent udzielić Nadzorca udzielić Role zdefiniowane w sposób opisany powyżej można następnie przypisać do kont użytkowników i/lub grup. Pozycja Wywołanie w poniższej tabeli wskazuje, że użytkownik lub grupa może wywołać dowolne metody, do których dostęp został udzielony roli. Użytkownik/grupa Role Kasjer Inkasent Nadzorca GrupaKasjerów Wywołanie GrupaInkasentów Wywołanie GrupaNadzorców Frank (użytkownik) Wywołanie Wywołanie W tabeli powyżej, użytkownik Frank może wywołać metody pobierzsaldo i zamknijkonto, ale nie może wywołać metody depozyt, ponieważ rolom Inkasent i Nadzorca nie udzielono uprawnienia do tej metody. Przypisywanie kont użytkowników i grup do ról Przed uruchomieniem aplikacji, używane jest narzędzie migracji Access Manager do zapełnienia przestrzeni nazw obiektu chronionego Access Manager. Narzedzie migracji pobiera informacje o rolach i metodach z deskryptorów wdrażania aplikacji J2EE. Podczas wykonywania aplikacji, kiedy użytkownik zgłasza żądanie dostępu do chronionego zasobu, do pojemnika WebSphere są przekazywane następujące informacje: Użytkownik Użytkownik o uwierzytelnionej tożsamości. NazwaRoli 4 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

19 Nazwa roli. NazwaAplikacji Nazwa aplikacji. NazwaKomórki Nazwa grupy hostów w sieci. NazwaHosta Nazwa systemu hosta określonego w pozycji NazwaKomórki. NazwaSerwera Nazwa serwera zainstalowanego na hoście o nazwie określonej w pozycji NazwaHosta. Nazwy ról są pobierane z przypisań metod do ról w deskryptorach wdrażania. Domyślnie, sprawdzanie praw dostępu w Access Manager jest przeprowadzane na podstawie pozycji NazwaRoli i NazwaAplikacji. Procedurę sprawdzania uprawnień można łatwo rozszerzyć w taki sposób, aby były także uwzględniane pozycje NazwaKomórki, NazwaHosta oraz NazwaSerwera. Wartości te są opcjonalne i przetwarzane tylko wtedy, kiedy są zdefiniowane. Listy kontroli dostępu (ACL) Access Manager określają, które role aplikacji J2EE zostaną przypisane do konta użytkownika. Narzędzie migracji dołącza listy ACL do obiektu <NazwaAplikacji> w przestrzeni nazw obiektu chronionego. Rysunek 2. Przypisywanie ról do pamięci obiektu chronionego Access Manager. Na rysunku 2 przedstawiono kolejność zdarzeń: Rozdział 1. IBM Tioli Access Manager for WebSphere Application Serer - wprowadzenie 5

20 1. Przed uruchomieniem aplikacji, narzędzie migracji Access Manager pobiera informacje o rolach i przypisaniach ról do kont użytkowników i grup z deskryptora wdrażania aplikacji J2EE. 2. Narzędzie migracji konwertuje te informacje do formatu Access Manager i przekazuje je do serwera strategii Access Manager. 3. Serwer strategii Access Manager dodaje do przestrzeni nazw obiektu chronionego pozycje, które reprezentują role zdefiniowane dla aplikacji. Po zdefiniowaniu przypisań ról do kont użytkowników i grup w deskryptorze wdrażania, odpowiednie konta użytkowników i grupy są dodawane do list ACL dołączonych do nowych obiektów. Model ochrony stosowany w systemie Access Manager wykorzystuje definicje zapisane w przestrzeni nazw obiektu chronionego do generowania hierarchii zasobów, do których mogą być dołączane listy ACL. Listy te definiują przypisania ról do użytkowników i grup. Rysunek 3, poniżej, ilustruje, w jaki sposób listy ACL mogą być zastosowane do przestrzeni nazw obiektu chronionego, który opisuje rolę. We wszystkich aplikacjach WebSphere, przestrzeń nazw obiektu chronionego zawiera obiekt chroniony najwyższego poziomu o nazwie WebAppSerer. Obiekt WebAppSerer posiada obiekt potomny o nazwie Zasoby. Razem, te dwie nazwy obiektów służą jako przedrostek najwyższego poziomu dla wszystkich ról J2EE zdefiniowanych w aplikacjach WebSphere. Role są definiowane na kolejnym poziomie hierarchii, jako nazwane zasoby dla roli <NazwaRoli>. Bezpośrednio poniżej tego obiektu znajduje się zasób reprezentujący aplikację: <NazwaAplikacji>. Poniżej obiektu chronionego <NazwaAplikacji> znajduje się kilka zasobów opcjonalnych, których definicje można utworzyć, aby bardziej precyzyjnie kontrolować dostęp do ról. Zasoby opcjonalne to <NazwaKomórki>, <NazwaHosta> i <NazwaSerwera>. Rysunek 3. Dołączanie list kontroli dostępu pakietu Access Manager do obiektów w chronionej przestrzeni nazw. Na rysunku 3 powyżej, lista ACL 1 udziela użytkownikowi1 dostępu do do roli określonej w pozycji <NazwaRoli>, w dowolnej aplikacji działającej w sieci. Dla kont użytkownik2 i grupa1, dostęp nie zostanie udzielony. W modelu ochrony Access Manager, te ustawienia dostępu są dziedziczone przez obiekty znajdujące się poniżej pozycji <NazwaRoli> w hierarchii pamięci obiektu zabezpieczonego. 6 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

21 Dziedziczenie to jest obsługiwane domyślnie. Dlatego, na rysunku 3, ustawienia dostępu są dziedziczone przez obiekty reprezentujące pozycje <NazwaAplikacji>/<NazwaHosta>/<NazwaKomórki>/<NazwaSerwerame>. Strategia ochrony wymaga niekiedy, aby ustawienia dostępu do obiektów położonych poniżej punktu dołączenia listy ACL były inne od dziedziczonych ustawień dostępu. W takim wypadku, administrator Access Manager może zdefiniować nową listę ACL, zawierającą wymagane ustawienia dostępu. Następnie, administrator dołącza nową listę ACL do obiektu w określonym punkcie kontroli. Nowa lista ACL przesłania odziedziczone ustawienia dostępu. Na przykład, strategia ochrony może wymagać, aby użytkownikowi1 nie przyznano uprawnienia do roli określonej w pozycji <NazwaRoli>, jeśli aplikacja jest uruchomiona na określonym serwerze działającym na określonym hoście w określonej komórce. Aby zrealizować tę strategię, administrator definiuje bardziej restrykcyjną listę ACL, którą na rysunku 3 ilustruje lista ACL 2. Lista ACL odmawia dostępu dla użytkownika1, użytkownika2 i grupy1. Następnie, administrator dołącza listę ACL do obiektu <NazwaSerwera>. Obiekt ten reprezentuje serwer, do którego prawa dostępu muszą być ograniczone. Rysunek 3 ilustruje dołączenie listy ACL 2 do obiektu <NazwaSerwera>. Należy zwrócić uwagę, że lista ACL 2 ma zastosowanie wyłącznie do określonego serwera. Jeśli zdefiniowano więcej niż jeden obiekt w pozycji <NazwaSerwera> poniżej obiektu <NazwaHosta>, lista ACL 2 ma zastosowanie tylko do tego obiektu <NazwaSerwera>, do którego jest dołączona. Wszystkie inne obiekty w pozycji <NazwaSerwera> na tym poziomie hierarchii nadal dziedziczą ustawienia dostępu zdefiniowane na liście ACL 1 i dołączone do obiektu <NazwaRoli>. Więcej informacji na temat używania list ACL w przestrzeni nazw obiektu chronionego Access Manager można znaleźć w książce IBM Tioli Access Manager Base Podręcznik administratora. Scentralizowane zarządzanie strategią wielu serwerów WebSphere Access Manager zapewnia możliwość scentralizowanego zarządzania strategiami ochrony. Za pomocą systemu Access Manager można zarządzać strategią ochrony na wielu serwerach aplikacji WebSphere. Dodatkowo, Access Manager używa tego samego modelu do zarządzania ochroną aplikacji innych niż WebSphere. Po przeprowadzeniu migracji przypisań ról do użytkowników/grup Access manager na podstawie deskryptorów wdrażania w aplikacji J2EE, oraz po zarejestrowaniu użytkowników o grup w Access Manager, można użyć narzędzi zarządzania systemu Access Manager do wprowadzania dalszych zmian definicji ochrony. Interfejsu Access Manager Web portal manager można użyć do zarządzania zmianami definicji ochrony w zakresie przypisań ról do użytkowników i/lub grup. Do wprowadzania innych zmian związanych z ochroną należy użyć konsoli WebSphere. Należy zwrócić uwagę, że zmiany przypisań ról wprowadzone w konsoli WebSphere nie będą widziane z poziomu modelu ochrony Access Manager. Do zarządzania strategią ochrony służą następujące narzędzia Access Manager: Access Manager Web portal manager Program Web Portal Manager jest konsolą zarządzania Access Manager. Konsola ta udostępnia graficzny interfejs użytkownika służący do zarządzania kontami użytkowników Access Manager, działaniami i zasobami zdefiniowanymi w przestrzeni nazw obiektów chronionych Access Manager. Konsoli można użyć do tworzenia i zarządzania listami ACL, a także do zarządzania definicjami użytkowników i grup w rejestrze użytkowników. Rozdział 1. IBM Tioli Access Manager for WebSphere Application Serer - wprowadzenie 7

22 Więcej informacji na ten temat można znaleźć w książce IBM Tioli Access Manager Base Podręcznik administratora. pdadmin Program narzędziowy wiersza poleceń pdadmin służy do zarządzania modelem ochrony systemu Access Manager. Program ten ma wiele zastosowań i może być używany do zarządzania wszelkimi aspektami przestrzeni nazw obiektów chronionych Access Manager, w tym użytkownikami, obiektami, zasobami i listami ACL. Za pomocą programu pdadmin można także zarządzać pozycjami użytkowników i grup w rejestrach użytkowników. Administratorzy mogą wywoływać ten program z poziomu skryptów lub innych programów, co pozwala zautomatyzować pewne zadania związane z administrowaniem. Więcej informacji na ten temat można znaleźć w książce IBM Tioli Access Manager Base Podręcznik administratora. Administracyjne funkcje API C pakietu Access Manager Access Manager udostępnia interfejs programistyczny do zadań administrowania obsługiwanych przez program pdadmin i interfejs Web Portal Manager. Podczas tworzenia aplikacji można używać tych funkcji API do wykonywania zadań administrowania specyficznych dla danej aplikacji. Więcej informacji na ten temat można znaleźć w książce IBM Tioli Access Manager Administration C API Podręcznik programisty. 8 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

23 Rysunek 4. Access Manager zapewnia możliwość scentralizowanego administrowania wieloma serwerami aplikacji WebSphere. Rysunek 4 ilustruje zarządzanie ochroną wielu serwerów WebSphere w systemie Access Manager. Interfejs Web portal manager został zainstalowany z serwerem WebSphere Application Serer na Komputerze A. Program pdadmin znajduje się w osobnym systemie, oznaczonym jako Komputer B. Zarówno Web portal manager jak i program pdadmin wykorzystują serwer strategii Access Manager na Komputerze D do zarządzania strategią ochrony. Serwer autoryzacji Access Manager może być zainstalowany na innym komputerze niż serwer WebSphere Na rysunku 4, WebSphere Application Serer zainstalowano na Komputerze E. Serwer ten posiada moduł Access Manager for WebSphere zintegrowany z pojemnikiem WebSphere odpowiedzialnym za podejmowanie decyzji o autoryzacji. Pojemnik WebSphere otrzymuje decyzje o autoryzacji z serwera autoryzacji Access Manager zainstalowanego na Komputerze F. Serwer autoryzacji Access Manager i WebSphere Application Serer można także zainstalować w tym samym systemie, co na rysunku ilustruje Komputer G. Funkcjonalność Access Manager jest identyczna jak w wypadku, gdy serwery są zainstalowane w osobnych systemach (Komputer E i Komputer F). Zainstalowanie serwera autoryzacji Access Manager i Rozdział 1. IBM Tioli Access Manager for WebSphere Application Serer - wprowadzenie 9

24 serwera WebSphere Application Serer na tym samym komputerze zapewnia uzyskanie optymalnej wydajności procesów podejmowania decyzji o autoryzacji. Jest to konfiguracja zalecana. Należy zwrócić uwagę, że baza danych strategii Access Manager jest replikowana z Komputera D na Komputer F inakomputer G. Replikacja taka zwiększa wydajność systemu i umożliwia przełączanie awaryjne. Jak pokazano na rysunku 4, serwery Access Manager i WebSphere używają tego samego rejestru użytkowników LDAP zainstalowanego na Komputerze C. Na rysunku 4 założono, że używany jest serwer WebSphere Adanced Edition (multiserer). Edycja Single Serer serwera WebSphere Adanced Edition nie umożliwia współużytkowania rejestru użytkowników. 10 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

25 Rozdział 2. Instalowanie pakietu IBM Tioli Access Manager for WebSphere Zawartość oprogramowania Obsługiwane platformy W tym rozdziale omówiono następujące tematy: Zawartość oprogramowania Obsługiwane platformy Wymagania wstępne dla oprogramowania na stronie 12 Instalowanie pakietu IBM Tioli Access Manager for WebSphere na stronie 15 Konfigurowanie pakietu Access Manager for WebSphere na stronie 21 Pakiet IBM Tioli Access Manager for WebSphere Application Serer (Access Manager for WebSphere) jest komponentem zintegrowanym z serwerem WebSphere Application Serer i jest odpowiedzialny za wszystkie przypisania ról do użytkowników i grup. Pakiet Access Manager for WebSphere zawiera także narzędzie migracji, którego można użyć do zaimportowania przypisań ról do użytkowników i grup z deskryptora Jaa 2 Enterprise Edition (J2EE) do schematu ochrony pakietu Access Manager. Program ten obsługuje migrowanie danych ze skompresowanych i nieskompresowanych plików EAR serwera WebSphere 4.0. Z serwerem Access Manager for WebSphere jest dostarczana jedna wersja instalacyjna dla każdej obsługiwanej platformy. Pakiet instalacyjny zawiera następujące oprogramowanie: Klasy Jaa pakietu Access Manager for WebSphere Skrypt konfiguracyjny pdwascfg dla klas języka Jaa Narzędzie migracji Przykładowy kod źródłowy, ilustrujący sposób korzystania z narzędzia migracji i klas języka Jaa Pakiet Access Manager for WebSphere jest obsługiwany na następujących platformach: AIX i 5.1 Redhat Linux 7.1 Solaris 2.7 i 2.8 HP-UX 11.0 Windows 2000 Adanced Serer z pakietem poprawek 2 Wymaganie dotyczące dysku i pamięci Wymagania pakietu Access Manager for WebSphere dotyczące miejsca na dysku i pamięci są następujące: 64 MB pamięci RAM Podana tu ilość pamięci nie uwzględnia pamięci wymaganej przez serwer IBM WebSphere Application Serer i wszelkie inne zainstalowane komponenty pakietu Access Manager. Ilość pamięci, jakiej będą wymagać inne komponenty pakietu Access Manager zależy od Copyright IBM Corp

26 tego, które komponenty Access Manager zostaną zainstalowane w systemie hosta. Więcej informacji na ten temat można znaleźć w książce IBM Tioli Access Manager Base Podręcznik instalacji. 100 MB wolnego miejsca na dysku Podana tu ilość wolnego miejsca na dysku nie uwzględnia miejsca wymaganego przez serwer IBM WebSphere Application Serer i wszelkie inne zainstalowane komponenty pakietu Access Manager. Wymagania wstępne dla oprogramowania W poniższych sekcjach omówiono wymagania wstępne dla zintegrowania serwera Access Manager for WebSphere ze środowiskiem WebSphere Application Serer. WebSphere Application Serer Pakiet Access Manager Base na stronie 13 Środowisko wykonawcze programów Jaa na stronie 13 Xerces XML parser na stronie 14 WebSphere Application Serer Komponent Access Manager for WebSphere wymaga, aby w systemie hosta był zainstalowany jeden z następujących produktówz grupy WebSphere Application Serer: IBM WebSphere Application Serer, Adanced Edition wersja 4.0, PTF 2 (4.0.2) LUB IBM WebSphere Application Serer 4.0, Adanced Edition Single Serer (AEs), wersja 4.0, PTF 2 (4.0.2). Uwaga: Edycja Single Serer wymaga przeprowadzenia specjalnych procedur instalacyjnych. Patrz Używanie pakietu Access Manager w połączeniu z serwerem WebSphere Adanced Edition Single Serer na stronie 37. Przed zainstalowaniem komponentu Access Manager for WebSphere należy zainstalować serwer IBM WebSphere Application Serer wersja 4.0 PTF 2 (4.0.2). Serwer WebSphere Application Serer, Adanced Edition, musi zostać skonfigurowany w taki sposób, aby używać rejestru użytkowników współużytkowanego z serwerem Access Manager. Do serwera Access Manager należy zaimportować użytkowników i grupy serwera WebSphere. Uwaga: Wymaganie współużytkowania rejestru użytkowników nie dotyczy edycji Single Serer serwera to WebSphere Application Serer, Adanced Edition. Edycja Single Serer używa modelu ochrony w oparciu o hosta. Informacje na temat instalowania serwera IBM WebSphere Application Serer wersja 4.0 są dostępne pod adresem: Użytkownicy, którzy po raz pierwszy stykają się z pakietem IBM WebSphere Application Serer, powinni zapoznać się z informacjami w podręczniku Getting Started with IBM WebSphere Application Serer Version 4.0. Podręcznik ten jest dostępny pod wskazanym wyżej adresem URL. Poprawka PTF dla wersji jest dostępna w serwisie WWW produktu WebSphere pod adresem: 12 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

27 Pakiet Access Manager Base Komponenty wymagane na hoście lokalnym Pakiet Access Manager for WebSphere wymaga, aby komponent Środowisko wykonawcze programów Jaa Access Manager Base był zainstalowany na komputerze lokalnym, na którym zostanie zainstalowany serwer WebSphere Application Serer. Jest to minimalne wymaganie wstępne umożliwiające obsługę pakietu Access Manager for WebSphere. The Access Manager for WebSphere nie wymaga zainstalowania żadnych dodatkowych komponentów Access Manager na komputerze lokalnym. Komponenty opcjonalne na hoście lokalnym Chociaż zainstalowanie dodatkowych komponentów Access Manager na hoście lokalnym nie jest wymagane, w celu zoptymalizowania wydajności systemu można zainstalować serwer autoryzacji Access Manager na tym samym komputerze co serwer WebSphere Application Serer. Serwer autoryzacji wymaga zainstalowania środowiska wykonawczego Access Manager. Oba te komponenty są dostarczane w ramach produktu Tioli Access Manager Base. Domena bezpieczna Access Manager Access Manager for WebSphere wymaga dostępu do domeny bezpiecznej Access Manager. Komponent autoryzacji musi mieć możliwość nawiązania połączenia z serwerem strategii i serwerem autoryzacji Access Manager. Dlatego, po zainstalowaniu komponentu IBM WebSphere Application Serer, ale przed zainstalowaniem komponentu Access Manager for WebSphere, należy utworzyć domenę bezpieczną Access Manager. Aby utworzyć domenę bezpieczną Access Manager, należy zainstalować i skonfigurować serwer strategii Access Manager. Serwer ten jest zazwyczaj uruchamiany na innym hoście niż WebSphere Application Serer. Należy także zainstalować i skonfigurować serwer autoryzacji Access Manager, na tym samym hoście co WebSphere Application Serer lub w innym systemie. Więcej informacji na temat instalowania i konfigurowania domeny bezpiecznej Access Manager, w tym informacje dotyczące instalowania środowiska wykonawczego programów Jaa Access Manager Base, można znaleźć w książce IBM Tioli Access Manager Base Podręcznik instalacji. Podręcznik ten jest dostarczany na dysku CD-ROM z produktem IBM Tioli Access Manager Base wersja 3.9. Jest on także dostępny w sieci. Patrz Dostęp do publikacji elektronicznych na stronie x. Środowisko wykonawcze programów Jaa Na komputerze, na którym zostanie zainstalowany pakiet Access Manager for WebSphere musi być uprzednio zainstalowane następujące oprogramowanie środowiska wykonawczego programów Jaa (JRE): System operacyjny Środowisko wykonawcze programów Jaa AIX IBM JRE wersja 1.3 Linux Windows Solaris Sun JRE wersja 1.3 Rozdział 2. Instalowanie pakietu IBM Tioli Access Manager for WebSphere 13

28 Należy zwrócić uwagę, że Środowisko wykonawcze programów Jaa jest instalowane i konfigurowane podczas instalowania pakietu IBM WebSphere Application Serer. Pakiet Access Manager for WebSphere używa tego samego środowiska wykonawczego programów Jaa. Xerces XML parser Narzędzie migracji Access Manager for WebSphere wymaga dostępu do analizatora składni Xerces Analizator ten jest dostarczany w postaci pliku Xerces.jar jako część produktu WebSphere Application Serer wersja W konfiguracji skryptu migracji należy wskazać właściwy katalog. W tym celu należy ustawić wartość zmiennej środowiskowej WAS_HOME na katalog instalacyjny pakietu WebSphere Application Serer. Wymagania wstępne dotyczące rejestru użytkowników Serwer Access Manager for WebSphere działa jako jeden z komponentów domeny bezpiecznej Access Manager. Serwer strategii Access Manager dla tej domeny bezpiecznej używa rejestru użytkowników do zarządzania informacjami o użytkownikach i grupach. Access Manager for WebSphere obsługuje wszystkie typy rejestrów użytkowników obsługiwane przez komponent Access Manager Base: IBM SecureWay Directory iplanet Directory Lotus Domino Actie Directory Lista wszystkich obsługiwanych typów i wersji rejestru użytkowników znajduje się w książce IBM Tioli Access Manager Base Podręcznik instalacji. Wymagania dotyczące rejestru użytkowników dla każdej instalacji zależą także od wersji serwera WebSphere Application Serer używanej z serwerem Access Manager for WebSphere. WebSphere Application Serer, Adanced Edition, wersja 4.0 PTF 2 (4.0.2) Rejestry użytkowników muszą spełniać dwa warunki, aby można było zainstalować pakiet Access Manager for WebSphere: 1. Serwer strategii Access Manager i WebSphere Application Serer muszą być skonfigurowane w taki sposób, aby używały tego samego rejestru użytkowników. Na przykład, oba serwery muszą mieć dostęp do tego samego rejestru użytkowników LDAP IBM SecureWay Directory. 2. Wszyscy użytkownicy i wszystkie grupy zdefiniowane dla serwera WebSphere Application Serer muszą zostać zaimportowane do katalogu użytkowników Access Manager, aby otrzymać status użytkowników i grup Access Manager. Importowanie oznacza tutaj dodanie atrybutów rozszerzonych Access Manager attributes, wraz z definicjami istniejących użytkowników i grup, do schematu ochrony Access Manager. Użytkowników można zaimportować do rejestru Access Manager ręcznie, używając polecenia pdadmin. Domeny Access Manager używające serwera LDAP IBM SecureWay Directory mogą wykorzystywać udostępnianą przez ten serwer funkcję hurtowego ładowania użytkowników. Więcej informacji na temat ręcznego importowania użytkowników za pomocą polecenia pdadmin można znaleźć w książce IBM Tioli Access Manager Base Podręcznik administratora. Szczegółowe informacje na temat hurtowego ładowania użytkowników serwera IBM SecureWay Directory można znaleźć w podręczniku IBM Tioli Access Manager Performance Tuning Guide. 14 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

29 WebSphere Application Serer, Adanced Edition Single Serer (AEs), wersja 4.0 Serwer WebSphere AEs nie używa zewnętrznego rejestru użytkowników. Serwer ten wykorzystuje model ochrony w oparciu o hosta. Każdy użytkownik w systemie hosta musi posiadać odpowiadający mu wpis w rejestrze użytkowników, którego używa Access Manager. Należy zwrócić uwagę, że wszelkie zmiany wprowadzone w systemie ochrony w oparciu o hosta muszą być także wprowadzone do rejestru użytkowników, którego używa Access Manager. Instalowanie pakietu IBM Tioli Access Manager for WebSphere W tej sekcji opisano sposób instalowania pakietu Access Manager for WebSphere, w tym procedury instalowania komponentu autoryzacji oraz narzędzia migracji. Wykonaj czynności stosowne dla używanego systemu operacyjnego: Instalowanie pakietu Access Manager for WebSphere w systemie Solaris Instalowanie pakietu Access Manager for WebSphere w systemie AIX na stronie 16 Instalowanie pakietu Access Manager for WebSphere w systemie HP-UX na stronie 18 Instalowanie pakietu Access Manager for WebSphere w systemie Linux na stronie 19 Instalowanie pakietu Access Manager for WebSphere w systemie Windows na stronie 20 Instalowanie pakietu Access Manager for WebSphere w systemie Solaris Instalowanie pakietu Access Manager for WebSphere obejmuje procedurę instalowania plików i osobną procedurę konfigurowania pakietu. Należy użyć polecenia pkgadd, aby zainstalować pakiety oprogramowania w systemie Solaris. Następnie należy użyć polecenia pdwascfg, aby skonfigurować serwer Access Manager. Uwaga: Jeśli pakiet Access Manager for WebSphere został już zainstalowany i skonfigurowany, to przed jego ponowną instalacją należy przeprowadzić dekonfigurację pakietu i usunąć go z systemu. Patrz Usuwanie pakietu Access Manager for WebSphere w systemie Solaris na stronie 57. Aby zainstalować pakiet Access Manager for WebSphere w systemie Solaris, należy postępować zgodnie z instrukcjami zamieszczonymi poniżej. 1. Zaloguj się jako administrator (root). 2. Sprawdź, czy wszystkie wymagania wstępne dotyczące instalowania pakietu Manager for WebSphere są spełnione. Aby zapoznać się z zależnościami między poszczególnymi pakietami oprogramowania, patrz Wymagania wstępne dla oprogramowania na stronie Sprawdź, czy serwer strategii Access Manager i serwer WebSphere Application skonfigurowano w taki sposób, aby używały tego samego rejestru użytkowników. Uwaga: Powyższa instrukcja nie ma zastosowania do pakietu WebSphere AEs. Aby zapoznać się z zależnościami dotyczącymi rejestru użytkowników, patrz Wymagania wstępne dotyczące rejestru użytkowników na stronie Sprawdź, czy zaimportowano użytkowników i grupy serwera WebSphere Application Serer z rejestru użytkowników do schematu rejestru użytkowników Access Manager. Aby zaimportować użytkowników ręcznie, użyj polecenia pdadmin. Na przykład, aby zaimportować użytkownika LDAP, wykonaj następujące polecenie: pdadmin> user import <ID_użytkownika> <Nazwa_wyróżniająca_użytkownika_w_LDAP> Rozdział 2. Instalowanie pakietu IBM Tioli Access Manager for WebSphere 15

30 Więcej informacji na temat polecenia pdadmin można znaleźć w książce IBM Tioli Access Manager Base Podręcznik administratora. Jeśli w środowisku serwera LDAP IBM SecureWay Directory zdefiniowano dużą liczbę użytkowników, należy rozważyć możliwość wykorzystania funkcji importowania hurtowego. Więcej informacji na ten temat można znaleźć w podręczniku IBM Tioli Access Manager Performance Tuning Guide. 5. Podłącz dysk CD-ROM o nazwie IBM Tioli Access Manager Web Security do urządzenia /cdrom/cdrom0. 6. Przejdź do katalogu /cdrom/cdrom0/solaris. 7. Aby zainstalować pakiet Access Manager for WebSphere, wpisz następujące polecenie: # pkgadd -d. PDWAS Po wyświetleniu komunikatu, wpisz y i naciśnij klawisz Enter. Pliki zostaną skopiowane z dysku CD i zainstalowane na dysku twardym. Następnie zostanie wyświetlony komunikat potwierdzający, że pakiet Access Manager został zainstalowany pomyślnie. Program narzędziowy pkgadd zakończy pracę. 8. Następnie należy skonfigurować pakiet Access Manager for WebSphere. Przejdź do Konfigurowanie pakietu Access Manager for WebSphere na stronie 21. Instalowanie pakietu Access Manager for WebSphere w systemie AIX Instalowanie pakietu Access Manager for WebSphere obejmuje procedurę instalowania plików i osobną procedurę konfigurowania pakietu. Użyj programu SMIT, aby zainstalować pakiety oprogramowania w systemie AIX. Następnie należy użyć polecenia pdwascfg, aby skonfigurować serwer Access Manager for WebSphere. Uwaga: Jeśli pakiet Access Manager for WebSphere został już zainstalowany i skonfigurowany, to przed jego ponowną instalacją należy przeprowadzić dekonfigurację pakietu i usunąć go z systemu. Patrz Usuwanie pakietu Access Manager for WebSphere w systemie AIX na stronie 58. Aby zainstalować pakiet Access Manager for WebSphere w systemie AIX, należy postępować zgodnie z instrukcjami zamieszczonymi poniżej. 1. Zaloguj się jako administrator (root). 2. Sprawdź, czy wszystkie wymagania wstępne dotyczące instalowania pakietu Manager for WebSphere są spełnione. Aby zapoznać się z zależnościami między poszczególnymi pakietami oprogramowania, patrz Wymagania wstępne dla oprogramowania na stronie Sprawdź, czy serwer strategii Access Manager i serwer WebSphere Application skonfigurowano w taki sposób, aby używały tego samego rejestru użytkowników. Uwaga: Powyższa instrukcja nie ma zastosowania do pakietu WebSphere AEs. Aby zapoznać się z zależnościami dotyczącymi rejestru użytkowników, patrz Wymagania wstępne dotyczące rejestru użytkowników na stronie Sprawdź, czy zaimportowano użytkowników i grupy serwera WebSphere Application Serer z rejestru użytkowników do schematu rejestru użytkowników Access Manager. Aby zaimportować użytkowników ręcznie, użyj polecenia pdadmin. Na przykład, aby zaimportować użytkownika LDAP, wykonaj następujące polecenie: pdadmin> user import <ID_użytkownika> <Nazwa_wyróżniająca_użytkownika_w_LDAP> 16 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

31 Więcej informacji na temat polecenia pdadmin można znaleźć w książce IBM Tioli Access Manager Base Podręcznik administratora. Jeśli w środowisku serwera LDAP IBM SecureWay Directory zdefiniowano dużą liczbę użytkowników, należy rozważyć możliwość wykorzystania funkcji importowania hurtowego. Więcej informacji na ten temat można znaleźć w podręczniku IBM Tioli Access Manager Performance Tuning Guide. 5. Włóż do napędu dysk CD-ROM o nazwie IBM Tioli Access Manager Web Security. 6. Wpisz następujące polecenie w wierszu poleceń powłoki: # smit Zostanie uruchomiony program narzędziowy SMIT. 7. Wybierz opcję Software Installation and Maintenance (Instalacja i obsługa oprogramowania). Wybierz opcję Install and Update Software (Instalowanie i aktualizacja oprogramowania). W systemie AIX 4.3, wybierz opcję Install and Update Software from LATEST Aailable Software (Instalacja i aktualizacja najnowszego dostępnego oprogramowania). W systemie AIX 5.1, wybierz opcję Install Software (Instalacja oprogramowania). 8. Kiedy zostanie wyświetlone pytanie o urządzenie wejściowe: W systemie AIX 4.3, podaj położenie, w którym podłączono dysk CD-ROM W systemie AIX 5.1, podaj katalog na dysku CD-ROM zawierający pakiety instalacyjne. Na przykład: /<punkt_podłączenia>/usr/sys/inst.images Kliknij przycisk OK. 9. Kliknij przycisk List (Lista) w polu SOFTWARE to install (Instalowane oprogramowanie). Zostanie wyświetlone okno dialogowe zawierające listę wszystkich pakietów oprogramowania IBM Tioli Access Manager. 10. Wybierz pakiet the Access Manager for WebSphere Application Serer. Kliknij przycisk OK. 11. Zostanie wyświetlone okno dialogowe Install and Update Software from LATEST Aailable Software (Instalacja i aktualizacja najnowszego dostępnego oprogramowania). 12. Sprawdź, czy domyślna wartość Yes (Tak) jest wyświetlona w polu AUTOMATICALLY install requisite software (Instaluj wymagane oprogramowanie automatycznie). 13. W pozostałych polach ustaw wartości stosownie do wymagań instalacji. Zazwyczaj można użyć wartości domyślnych. Kliknij przycisk OK. 14. Zostanie wyświetlony komunikat z pytaniem o potwierdzenie, że pakiet ma zostać zainstalowany. Kliknij przycisk OK. Pliki pakietu zostaną zainstalowane. Zostanie wyświetlonych kilka komunikatów statusu. Ostatni komunikat potwierdzi pomyślne zakończenie instalowania plików. 15. Kliknij przycisk Done (Zakończ). Kliknij przycisk Cancel (Anuluj), aby zakończyć działanie programu SMIT. 16. Następnie należy skonfigurować pakiet Access Manager for WebSphere. Przejdź do sekcji: Konfigurowanie pakietu Access Manager for WebSphere na stronie 21. Rozdział 2. Instalowanie pakietu IBM Tioli Access Manager for WebSphere 17

32 Instalowanie pakietu Access Manager for WebSphere w systemie HP-UX Instalowanie pakietu Access Manager for WebSphere obejmuje procedurę instalowania plików i osobną procedurę konfigurowania pakietu. Należy użyć polecenia swinstall, aby zainstalować pakiety oprogramowania w systemie HP-UX. Następnie należy użyć polecenia pdwascfg, aby skonfigurować serwer Access Manager for WebSphere. Uwaga: Jeśli pakiet Access Manager for WebSphere został już zainstalowany i skonfigurowany, to przed jego ponowną instalacją należy przeprowadzić dekonfigurację pakietu i usunąć go z systemu. Patrz Usuwanie pakietu Access Manager for WebSphere w systemie HP-UX na stronie 59. Aby zainstalować pakiet Access Manager for WebSphere w systemie HP-UX, należy postępować zgodnie z instrukcjami zamieszczonymi poniżej. 1. Zaloguj się jako administrator (root). 2. Sprawdź, czy wszystkie wymagania wstępne dotyczące instalowania pakietu Manager for WebSphere są spełnione. Aby zapoznać się z zależnościami między poszczególnymi pakietami oprogramowania, patrz Wymagania wstępne dla oprogramowania na stronie Sprawdź, czy serwer strategii Access Manager i serwer WebSphere Application skonfigurowano w taki sposób, aby używały tego samego rejestru użytkowników. Uwaga: Powyższa instrukcja nie ma zastosowania do pakietu WebSphere AEs. Aby zapoznać się z zależnościami dotyczącymi rejestru użytkowników, patrz Wymagania wstępne dotyczące rejestru użytkowników na stronie Sprawdź, czy zaimportowano użytkowników i grupy serwera WebSphere Application Serer z rejestru użytkowników do schematu rejestru użytkowników Access Manager. Aby zaimportować użytkowników ręcznie, użyj polecenia pdadmin. Na przykład, aby zaimportować użytkownika LDAP, wykonaj następujące polecenie: pdadmin> user import <ID_użytkownika> <Nazwa_wyróżniająca_użytkownika_w_LDAP> Więcej informacji na temat polecenia pdadmin można znaleźć w książce IBM Tioli Access Manager Base Podręcznik administratora. Jeśli w środowisku serwera LDAP IBM SecureWay Directory zdefiniowano dużą liczbę użytkowników, należy rozważyć możliwość wykorzystania funkcji importowania hurtowego. Więcej informacji na ten temat można znaleźć w podręczniku IBM Tioli Access Manager Performance Tuning Guide. 5. Włóż dysk CD-ROM o nazwie IBM Tioli Access Manager Web Security do napędu. Użyj następujących poleceń, aby podłączyć dysk CD-ROM: # nohup /usr/sbin/pfs_mountd & # nohup /usr/sbin/pfsd & # /usr/sbin/pfs_mount <napęd> <punkt_podłączenia> Na przykład: # /usr/sbin/pfs_mount /de/dsk/c0t0d0 /cdrom 6. Przejdź do katalogu hp. 7. Aby zainstalować pakiet Access Manager for WebSphere, wpisz następujące polecenie: # swinstall -s /<katalog_temp> PDWAS Zostanie wyświetlony komunikat potwierdzający pomyślne zakończenie fazy analizowania. Osobny komunikat poinformuje o rozpoczęciu fazy wykonania. Pliki 18 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

33 zostaną skopiowane z dysku CD i zainstalowane na dysku twardym. Zostanie wyświetlony komunikat potwierdzający pomyślne zakończenie fazy wykonywania. Program narzędziowy swinstall zakończy pracę. 8. Następnie należy skonfigurować pakiet Access Manager for WebSphere. Przejdź do sekcji: Konfigurowanie pakietu Access Manager for WebSphere na stronie 21. Instalowanie pakietu Access Manager for WebSphere w systemie Linux Instalowanie pakietu Access Manager for WebSphere obejmuje procedurę instalowania plików i osobną procedurę konfigurowania pakietu. Należy użyć polecenia rpm, aby zainstalować pakiety oprogramowania w systemie Linux. Następnie należy użyć polecenia pdwascfg, aby skonfigurować serwer Access Manager. Uwaga: Jeśli pakiet Access Manager for WebSphere został już zainstalowany i skonfigurowany, to przed jego ponowną instalacją należy przeprowadzić dekonfigurację pakietu i usunąć go z systemu. Patrz Usuwanie pakietu Access Manager for WebSphere w systemie Linux na stronie 59. Aby zainstalować pakiet Access Manager for WebSphere w systemie Linux, należy postępować zgodnie z instrukcjami zamieszczonymi poniżej. 1. Zaloguj się jako administrator (root). 2. Sprawdź, czy wszystkie wymagania wstępne dotyczące instalowania pakietu Manager for WebSphere są spełnione. Aby zapoznać się z zależnościami między poszczególnymi pakietami oprogramowania, patrz Wymagania wstępne dla oprogramowania na stronie Sprawdź, czy serwer strategii Access Manager i serwer WebSphere Application Serer skonfigurowano w taki sposób, aby używały tego samego rejestru użytkowników. Uwaga: Powyższa instrukcja nie ma zastosowania do pakietu WebSphere AEs. Aby zapoznać się z zależnościami dotyczącymi rejestru użytkowników, patrz Wymagania wstępne dotyczące rejestru użytkowników na stronie Sprawdź, czy zaimportowano użytkowników i grupy serwera WebSphere Application Serer z rejestru użytkowników do schematu rejestru użytkowników Access Manager. Aby zaimportować użytkowników ręcznie, użyj polecenia pdadmin. Na przykład, aby zaimportować użytkownika LDAP, wykonaj następujące polecenie: pdadmin> user import <ID_użytkownika> <Nazwa_wyróżniająca_użytkownika_w_LDAP> Więcej informacji na temat polecenia pdadmin można znaleźć w książce IBM Tioli Access Manager Base Podręcznik administratora. Jeśli w środowisku serwera LDAP IBM SecureWay Directory zdefiniowano dużą liczbę użytkowników, należy rozważyć możliwość wykorzystania funkcji importowania hurtowego. Więcej informacji na ten temat można znaleźć w podręczniku IBM Tioli Access Manager Performance Tuning Guide. 5. Podłącz dysk CD-ROM o nazwie IBM Tioli Access Manager Web Security. 6. Przejdź do katalogu /<punkt_podłączenia>/linux. 7. Aby zainstalować pakiet Access Manager for WebSphere, wpisz następujące polecenie: # rpm -i PDWAS-PD i386.rpm Rozdział 2. Instalowanie pakietu IBM Tioli Access Manager for WebSphere 19

34 Po wyświetleniu komunikatu, wpisz y i naciśnij klawisz Enter. Pliki zostaną skopiowane z dysku CD i zainstalowane na dysku twardym. Program narzędziowy rpm zakończy pracę. 8. Następnie należy skonfigurować pakiet Access Manager for WebSphere. Przejdź do Konfigurowanie pakietu Access Manager for WebSphere na stronie 21. Instalowanie pakietu Access Manager for WebSphere w systemie Windows Instalowanie pakietu Access Manager for WebSphere obejmuje procedurę instalowania plików i osobną procedurę konfigurowania pakietu. Użyj programu setup.exe należącego do instalatora InstallShield, aby zainstalować pliki pakietu Access Manager for WebSphere. Następnie użyj polecenia pdwascfg, aby skonfigurować serwer Access Manager for WebSphere. Uwaga: Jeśli pakiet Access Manager for WebSphere został już zainstalowany i skonfigurowany, to przed jego ponowną instalacją należy przeprowadzić dekonfigurację pakietu i usunąć go z systemu. Patrz Usuwanie pakietu Access Manager for WebSphere w systemie Windows na stronie 57. Aby zainstalować i skonfigurować pakiet Access Manager for WebSphere w systemie Windows, należy postępować zgodnie z instrukcjami zamieszczonymi poniżej. 1. Zaloguj się w domenie systemu Windows jako użytkownik o uprawnieniach administratora. 2. Sprawdź, czy wszystkie wymagania wstępne dotyczące instalowania pakietu Manager for WebSphere są spełnione. Aby zapoznać się z zależnościami między poszczególnymi pakietami oprogramowania, patrz Wymagania wstępne dla oprogramowania na stronie Sprawdź, czy serwer strategii Access Manager i serwer WebSphere Application skonfigurowano w taki sposób, aby używały tego samego rejestru użytkowników. Uwaga: Powyższa instrukcja nie ma zastosowania do pakietu WebSphere AEs. Aby zapoznać się z zależnościami dotyczącymi rejestru użytkowników, patrz Wymagania wstępne dotyczące rejestru użytkowników na stronie Sprawdź, czy zaimportowano użytkowników i grupy serwera WebSphere Application Serer z rejestru użytkowników do schematu rejestru użytkowników Access Manager. Aby zaimportować użytkowników ręcznie, użyj polecenia pdadmin. Na przykład, aby zaimportować użytkownika LDAP, wykonaj następujące polecenie: pdadmin> user import <ID_użytkownika> <Nazwa_wyróżniająca_użytkownika_w_LDAP> Więcej informacji na temat polecenia pdadmin można znaleźć w książce IBM Tioli Access Manager Base Podręcznik administratora. Jeśli w środowisku serwera LDAP IBM SecureWay Directory zdefiniowano dużą liczbę użytkowników, należy rozważyć możliwość wykorzystania funkcji importowania hurtowego. Więcej informacji na ten temat można znaleźć w podręczniku IBM Tioli Access Manager Performance Tuning Guide. 5. Włóż do napędu dysk CD-ROM o nazwie IBM Tioli Access Manager Web Security. 6. Uruchom instalator pakietu Access Manager for WebSphere - program InstallShield - klikając dwukrotnie następujący plik (litera E: w podanym niżej poleceniu oznacza napęd CD-ROM): E:\Windows\AccessManager\Disk Images\Disk1\PDWAS\Disk Images\Disk 1\setup.exe 20 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

35 Zostanie wyświetlone okno dialogowe Wybierz opcje instalacji. 7. Aby uruchomić instalator pakietu Access Manager for WebSphere, kliknij dwukrotnie plik setup.exe. Zostanie wyświetlone okno dialogowe Wybierz opcje instalacji. 8. Wybierz język instalatora i kliknij przycisk OK. Zostanie uruchomiony program InstallShield i wyświetlone powitalne okno dialogowe. 9. Kliknij przycisk Dalej. Zostanie wyświetlone okno dialogowe zawierające tekst Umowy licencyjnej. 10. Kliknij przycisk Tak, aby zaakceptować warunki Umowy licencyjnej. Zostanie wyświetlone okno dialogowe Wybierz katalog docelowy. 11. Zaakceptuj domyślny katalog, lub wybierz inny. Kliknij przycisk Dalej. Pliki zostaną skopiowane na dysk twardy. Zostanie wyświetlony komunikat informujący o zainstalowaniu plików. 12. Kliknij przycisk Zakończ, aby zakończyć działanie instalatora. 13. Następnie należy skonfigurować pakiet Access Manager for WebSphere. Przejdź do sekcji: Konfigurowanie pakietu Access Manager for WebSphere. Konfigurowanie pakietu Access Manager for WebSphere Konfiguracja pakietu Access Manager for WebSphere jest procesem dwuetapowym. Etapy konfiguracji są następujące: 1. Konfigurowanie komponentu autoryzacji Ten etap konfiguracji należy przeprowadzić na każdym serwerze WebSphere Application Serer, na którym będą obsługiwane chronione aplikacje. Uruchom program narzędziowy pdwascfg, aby skonfigurować komponent autoryzacji Access Manager for WebSphere. Program ten ustawia wartość zmiennej CLASSPATH, a następnie wywołuje klasję Jaa com.tioli.mts.sfsslcfg, aby skonfigurować komunikację SSL między komponentem autoryzacji Access Manager for WebSphere a serwerem strategii i serwerem autoryzacji Access Manage. Program ten tworzy także tożsamość użytkownika dla klas Access Manager for WebSphere w systemie hosta. Podczas przeprowadzania konfiguracji wstępnej (wyłącznie), należy użyć narzędzi administrowania Access Manager, aby utworzyć wymagane konto użytkownika-administratora. 2. Migracja informacji ochrony z plików EAR aplikacji J2EE do bazy danych strategii pakietu Access Manager. Ten etap konfiguracji należy przeprowadzić wyłącznie w systemach używających plików EAR aplikacji J2EE zawierających informacje ochrony, które muszą zostać przeniesione do bazy danych strategii pakietu Access Manager. Użyj programu narzędziowego migrate, aby przeprowadzić ten etap konfiguracji. Wykonaj migrację pliku admin.ear podczas konfiguracji wstępnej pakietu Access Manager for Websphere. Przejdź do jednej z następujących sekcji: Konfigurowanie początkowej instalacji pakietu Access Manager for WebSphere na stronie 22 Konfigurowanie dodatkowych instalacji pakietu Access Manager for WebSphere na stronie 25 Rozdział 2. Instalowanie pakietu IBM Tioli Access Manager for WebSphere 21

36 Konfigurowanie początkowej instalacji pakietu Access Manager for WebSphere Aby skonfigurować początkową instalację pakietu Access Manager for WebSphere, należy wykonać opisane niżej czynności. 1. Sprawdź, czy środowisko wykonawcze programów Jaa Access Manager zostało już skonfigurowane, aby uzyskać dostep do środowiska wykonawczego programów Jaa dostarczonego z pakietem IBM WebSphere Application Serer. Ten etap konfiguracji przeprowadza się zwykle podczas konfigurowania środowiska wykonawczego programów Jaa Access Manager. Uwaga: Środowisko wykonawcze programó Jaa Access Manager jest wymaganiem wstępnym dla pakietu Access Manager for WebSphere. Jeśli środowisko wykonawcze programów Jaa Access Manager nie zostało jeszcze skonfigurowane w taki sposób, aby mieć dostęp do środowiska wykonawczego programów Jaa dostarczonego z pakietem IBM WebSphere Application Serer, konfigurację taką należy przeprowadzić teraz. Wykonaj następujące czynności: a. Sprawdź, czy wartość zmiennej środowiskowej WAS_HOME ustawiono na katalog instalacyjny pakietu IBM WebSphere Application Serer. b. Przejdź do katalogu (UNIX) /opt/policydirector/sbin (Windows) C:\Program Files\Tioli\Policy Director\sbin c. Wpisz następujące polecenie: (UNIX) pdjrtecfg -action config -jaa_home $WAS_HOME/jaa/jre (Windows) pdjrtecfg -action config -jaa_home %WAS_HOME%\jaa\jre 2. Utwórz użytkownika-administratora Access Manager dla pakietu WebSphere Application Serer. Nowego użytkownika można utworzyć za pomocą programu pdadmin, lub za pomocą interfejsu Access Manager Web portal manager. Na przykład, wukonaj następujące polecenie korzystając z programu pdadmin: C:> pdadmin -a sec_master -p <mojehasło> Podaj poprawne hasło konta sec_master dla używanej domeny bezpiecznej Access Manager. pdadmin> user create wsadmin cn=wsadmin,o=<organizacja>,c=<kraj> wsadmin wsadmin mojehasło W miejsce opcji organizacja i kraj należy podstawić wartości właściwe dla używanego rejestru użytkowników LDAP. 3. Przygotuj następujące informacje: Nazwa konta użytkownika, które ma zostać utworzone jako tożsamość użytkownika dla aplikacji Access Manager for WebSphere. Na przykład, pdpermadmin. Hasło konta sec_master. Pełna nazwa domeny dla komputera, który służy jako host serwera strategii Access Manager. Pełna nazwa domeny dla komputera, który służy jako host serwera autoryzacji Access Manager. Informacje przykładowe: [ cn=pdpermadmin mojehasło pdmgrserer.mysubnet.ibm.com pdacldserer.mysubnet.ibm.com ] 22 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

37 4. Upewnij się, że program pdwascfg używa właściwej wersji środowiska wykonawczego programów Jaa. Powinna to być ta sama wersja, którą określono podczas konfigurowania środowiska wykonawczego programów Jaa Access Manager Jaa. W systemach Windows należy sprawdzić, czy zmienna środowiskowa %PATH% zawiera ścieżkę do środowiska wykonawczego programów Jaa dostarczonego z pakietem WebSphere Application Serer, oraz czy ścieżka ta jest wymieniona jako pierwsza. W systemach UNIX należy wykonać następujące polecenie: # which jaa Spodziewany wynik polecenia: /opt/websphere/appserer/jaa/jre/bin/jaa Jeśli wersja nie jest poprawna, zmień wartość zmiennej środowiskowej PATH, tak aby właściwa ścieżka znajdowała się na początku. 5. Uruchom program narzędziowy pdwascfg. Zgromadzone uprzednio informacje należy podać jako opcje wiersza poleceń dla programu pdwascfg. Wykonaj te z poniższych procedur, które mają zastosowanie do używanego systemu operacyjnego: Dla systemów operacyjnych UNIX: Na przykład, używając informacji wymienionych powyżej, należy wprowadzić następujące polecenie: # pwdwascfg -action config -remote_acl_user cn=pdpermadmin -sec_master_pwd mojehasło -pdmgrd_host pdmgrserer.mysubnet.ibm.com -pdacld_host pdacldserer.mysubnet.ibm.com Dla Windows: a. Otwórz okno MSDOS i wpisz: > PDWAScfg.bat Plik bat wyświetli na ekranie komunikat o składni dla programu PDWAScfg. b. Zgodnie z wyświetloną informacją o składni, wpisz następujące polecenie (w jednym wierszu), używając przykładowych informacji podanych wyżej: > jaa PDWAScfg -action config -remote_acl_user cn=pdpermadmin -sec_master_pwd mojehasło -pdmgrd_host pdmgrserer.mysubnet.ibm.com -pdacld_host pdacldserer.mysubnet.ibm.com 6. Sprawdź, czy program pdwascfg poprawnie utworzył plik właściwości PdPerm. W systemach Unix: /opt/websphere/appserer/jaa/jre/pdperm.properties W systemie Windows: C:\WebSphere\AppSerer\jaa\jre\PdPerm.properties 7. Utwórz nowe działanie i grupę działań Access Manager: Utwóz nową grupę działań Access Manager o nazwie WebAppSerer. pdadmin> action group create WebAppSerer Utwóz nowe działanie Access Manager for WebSphere, oznaczone literą i. pdadmin> action create i inoke inoke WebAppSerer 8. Sprawdź, czy wartość zmiennej środowiskowej WAS_HOME jest następująca: (UNIX) WAS_HOME=/opt/WebSphere/AppSerer (Windows) WAS_HOME=C:\WebSphere\AppSerer Poprawne ustawienie wartości tej zmiennej jest wymagane, aby narzędzie migracji mogło uzyskać dostęp do właściwego pliku xerces.jar oraz do odpowiedniej wersji środowiska wykonawczego programów Jaa. Rozdział 2. Instalowanie pakietu IBM Tioli Access Manager for WebSphere 23

38 9. Należy przygotować następujące informacje, które zostaną podane jako parametry dla narzędzia migracji: Nazwa pliku EAR podlegającego migracji. Przy pierwszym użyciu narzędzia migracji, należy przeprowadzić migrację pliku EAR administrowania: UNIX: /opt/websphere/appserer/config/admin.ear Windows: C:\WebSphere\AppSerer\config\admin.ear Położenie pliku PDPerm.properties. Ścieżka pliku musi zostać podana w formacie URI (Uniform Resource Indicator). Na przykład: file:/c:/websphere/appserer/jaa/jre/pdperm.properties Nazwa konta administratora Access Manager. Powinno to być konto sec_master. Hasło konta sec_master. Nazwa konta administratora WebSphere. Nazwa powinna być taka sama jak nazwa konta utworzonego wcześniej. Na przykład: wsadmin Przyristek nazwy wyróżniającej LDAP dla konta użytkownika. Na przykład: o=ibm,c=us 10. Uruchom narzędzie migracji, aby przenieść dane zawarte w pliku admin.ear. Położenie narzędzia migracji: (UNIX) /opt/pdwas/bin/migrateear.sh (Windows) C:\Program Files\Tioli\pdwas\bin\migrateEAR.bat Wykonaj te z poniższych procedur, które mają zastosowanie do używanego systemu operacyjnego: Dla systemów operacyjnych UNIX: Używając podanych wyżej informacji przykładowych, wpisz następujące polecenie w wierszu poleceń. (Polecenie należy wprowadzić w jednym wierszu.) migrateear -c file://websphere/appserer/jaa/jre/pdperm.properties -j /opt/websphere/appserer/config/admin.ear -a sec_master -p hasło_sec_master -w wsadmin -d o=ibm,c=us Dla Windows: a. Otwórz okno MSDOS i wpisz: > migrateear.bat Plik bat wyświetli na ekranie komunikat o składni dla programu migrateear. b. Po wyświetleniu komunikatu, wpisz w jednym wierszu nastepujące polecenie (informacje przykładowe): > jaa migrateear -c file:/c:/websphere/appserer/jaa/jre/pdperm.properties -j \opt\websphere\appserer\config\admin.ear -a sec_master -p hasło_sec_master -w wsadmin -d o=ibm,c=us Narzędzie migracji zapisuje dane wyjściowe do pliku protokołu. Nazwa pliku protokołu jest wyświetlona. Na przykład, pdwas_migrate.log. Można przejrzeć zawartość pliku protokołu, aby sprawdzić, czy migracja wszystkich ról została przeprowadzona poprawnie. Brak pliku protokołu świadczy o wystąpieniu błędu narzędzia migracji. W takim wypadku należy sprawdzić, czy podano właściwy adres URI z opcją -c i właściwą nazwę pliku z opcją -j. 24 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

39 Aby uzyskać dodatkowe informacje na temat narzędzia migracji, patrz Rozdział 3, Migrowanie ról ochrony do pakietu IBM Tioli Access Manager for WebSphere na stronie 29. Składnia poleceń narzędzia migracji została zamieszczona na stronie migrateear na stronie Użyj polecenia pdadmin, aby dodać grupępdwas-admin do odpowiedniej listy ACL (wpisz polecenie w jednym wierszu): pdadmin> acl modify _WebAppSerer_deployedResources_AdminRole_admin_ACL set group pdwas-admin T[WebAppSerer]i 12. Uruchom konsolę WebSphere i włącz ochronę WebSphere. Skrócony opis włączania ochrony WebSphere znajduje się w przewodniku dołączonym do tej publikacji. Patrz 3: Włączanie funkcji ochrony serwera WebSphere Application Serer na stronie 49. Wyczerpujące instrukcje dotyczące włączania ochrony WebSphere znajdują się w dokumentacji pakietu WebSphere Application Serer. 13. Zatrzymaj i uruchom ponownie serwer WebSphere Application Serer. Konfigurowanie dodatkowych instalacji pakietu Access Manager for WebSphere W tej sekcji opisano sposób skonfigurowania dodatkowych instalacji pakietu Access Manager for WebSphere w domenie bezpiecznej Access Manager. W poniższych instrukcjach przyjęto następujące założenia: Pomyślnie ukończono procedury opisane w sekcji Konfigurowanie początkowej instalacji pakietu Access Manager for WebSphere na stronie 22. Jeśli wykonano procedurę migracji opisaną powyżej, informacje ochrony zawarte w pliku admin.ear zostały już przeniesione do pakietu Access Manager. Pakiet Access Manager for WebSphere został zainstalowany na innym (dodatkowym) hoście niż skonfigurowany uprzednio system początkowy. Można teraz skonfigurować pakiet Access Manager for WebSphere na dodatkowym hoście. Uwaga: Instrukcji zawartych w tej sekcji nie należy używać, jeśli nie wykonano jeszcze wszystkich procedur opisanych w sekcji Konfigurowanie początkowej instalacji pakietu Access Manager for WebSphere na stronie 22. Instrukcje te nie opisują sposobu migrowania informacji ochrony z dodatkowych plików EAR. Migrowanie wszelkich dodatkowych plików EAR jest procedurą osobną od konfiguracji opisanej w niniejszej sekcji. Aby uzyskać dodatkowe informacje na temat migrowania plików EAR, patrz Rozdział 3, Migrowanie ról ochrony do pakietu IBM Tioli Access Manager for WebSphere na stronie 29. Aby skonfigurować dodatkową instalację pakietu Access Manager for WebSphere, należy postępować zgodnie z instrukcjami zamieszczonymi poniżej. 1. Przygotuj następujące informacje: Hasło konta sec_master. Pełna nazwa domeny dla komputera, który służy jako host serwera strategii Access Manager. Pełna nazwa domeny dla komputera, który służy jako host serwera autoryzacji Access Manager. Informacje przykładowe: [ mojehasło pdmgrserer.mysubnet.ibm.com pdacldserer.mysubnet.ibm.com ] Rozdział 2. Instalowanie pakietu IBM Tioli Access Manager for WebSphere 25

40 2. Uruchom program narzędziowy pdwascfg. Zgromadzone uprzednio informacje należy podać jako opcje wiersza poleceń dla programu pdwascfg. Dla systemów operacyjnych UNIX: # pwdwascfg -action config -remote_acl_user cn=pdperm2admin -sec_master_pwd mojehasło -pdmgrd_host pdmgrserer.mysubnet.ibm.com -pdacld_host pdacldserer.mysubnet.ibm.com Dla Windows: a. Otwórz okno MSDOS i wpisz: MSDOS> PDWAScfg.bat Plik bat wyświetli na ekranie komunikat o składni dla programu PDWAScfg. b. Zgodnie z wyświetloną informacją o składni, wpisz następujące polecenie (w jednym wierszu), używając przykładowych informacji podanych wyżej: MSDOS> jaa PDWAScfg -action config -remote_acl_user cn=pdperm2admin -sec_master_pwd mojehasło -pdmgrd_host pdmgrserer.mysubnet.ibm.com -pdacld_host pdacldserer.mysubnet.ibm.com 26 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

41 pdwascfg script Użycie Parametry Konfiguruje komponent autoryzacji Access Manager dla serwera WebSphere Application Serer. jaa PDWAScfg -action { unconfig config -remote_acl_user <NazwaWyróżniającaUżytkownika> -sec_master_pwd <Hasło> -pdmgrd_host <Nazwa_hosta_serwera_strategii_Access_Manager> -pdacld_host <Nazwa_hosta_serwera_autoryzacji_Access_Manager> [-pdmgrd_port <Port_serwera_strategii_Access_Manager>] [-pdacld_port <Port_serwera_autoryzacji_Access_Manager>] } [-help] [-operations] [-rspfile <pełna_nazwa_pliku>] [-usage] [-?] -action Działanie, które ma zostać wykonane. Działaniem tym może być konfiguracja lub dekonfiguracja. Poprawnymi wartościami dla tego argumentu są config i unconfig. Argument ten jest wymagany. -help Wyświetla nazwę i jednowierszowy opis wszystkich dostępnych opcji, jeśli żadna opcja nie zostanie podana. Jeśli zostanie podana jedna lub więcej opcji, wyświetlane są nazwy i opisy wymienionych opcji. Ten argument jest opcjonalny. -operations Wyświetla tylko nazwy wszystkich dostępnych opcji (bez opisu). Ten argument jest opcjonalny. -rspfile Pełna nazwa pliku odpowiedzi, który ma zostać użyty do instalacji cichej. Ten argument jest opcjonalny. Plik odpowiedzi jest plikiem właściwości, składającym się z par opcja=wartość. Opcje muszą być podane w sekcji pdwas. -usage Wyświetla składnię polecenia i przykłady użycia. Ten argument jest opcjonalny. -? Tak samo jak -usage. Ten argument jest opcjonalny. -remote_acl_user Opcja ta jest używana z działaniem config. Służy do podania pełnej nazwy wyróżniającej zdalnego użytkownika listy ACL, używanej do nawiązania połączenia SSL z serwerem autoryzacji Access Manager. -sec_master_pwd Opcja ta jest używana z działaniem config. Służy do podania hasła użytkownika sec_master. -pdmgrd_host Opcja ta jest używana z działaniem config. Służy do podania nazwy hosta serwera strategii Access Manager. -pdacld_host Opcja ta jest używana z działaniem config. Służy do podania nazwy hosta serwera autoryzacji Access Manager. Rozdział 2. Instalowanie pakietu IBM Tioli Access Manager for WebSphere 27

42 -pdmgrd_port Jest to opcjonalny element konfiguracji używany z działaniem config. Argument ten umożliwia podanie numeru portu serwera strategii Access Manager, jeśli dla serwera skonfigurowano niestandardowy numer portu. -pdacld_port Jest to opcjonalny element konfiguracji używany z działaniem config. Argument ten umożliwia podanie numeru portu serwera autoryzacji Access Manager, jeśli dla serwera skonfigurowano niestandardowy numer portu. Jeśli zostanie użyta ta opcja, należy także użyć opcji pdmgrd_port. 28 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

43 Rozdział 3. Migrowanie ról ochrony do pakietu IBM Tioli Access Manager for WebSphere Migrowanie ról ochrony Serwer IBM Tioli Access Manager for WebSphere Application Serer (Access Manager for WebSphere) udostępnia narzędzie migracji, które automatycznie konwertuje definicje ról ochrony do obiektów chronionych Access Manager. Definicje ról są wczytywane z deskryptorów wdrażania aplikacji WebSphere i podlegają migracji do pamięci obiektów chronionych Access Manager. W tym rozdziale opisano sposób użycia narzędzia migracji. Spis tematów: Migrowanie ról ochrony Ograniczenia narzędzia migracji na stronie 31 Wskazówki dotyczące rozwiązywania problemów na stronie 32 migrateear na stronie 34 Opisane tu procedury należy wykonać po przeprowadzeniu konfiguracji wstępnej pakietu Access Manager for WebSphere. Konfiguracja wstępna pakietu Access Manager for WebSphere obejmuje wstępne użycie narzędzia migracji. Uwaga: Jeśli narzędzie migracji nie zostało jeszcze użyte podczas konfiguracji wstępnej pakietu Access Manager for WebSphere, nie należy wykonywać czynności opisanych w tej sekcji. Patrz Konfigurowanie początkowej instalacji pakietu Access Manager for WebSphere na stronie 22. Aby przeprowadzić migrację ról ochrony aplikacji J2EE do pakietu Access Manager for WebSphere, należy wykonać opisane niżej czynności: 1. Sprawdź, czy bieżący użytkownik jest zalogowany jako root w systemach UNIX, lub jako użytkownik z uprawnieniami administratora w systemie Windows. 2. Narzędzie migracji wymaga dostępu do deskryptorów wdrażania dla zabezpieczonych aplikacji. Domyślnie, narzędzie tworzenia aplikacji zawiera adresy URL dokumentów zawierających definicje typu dokumentu (DTD). Z tego względu, wyszukiwanie dokumentó DTD dla deskryptorów wdrażania wymaga połączenia z Internetem. Jeśli host nie jest połączony z Internetem, należy użyć lokalnej kopii dokumentu DTD. W takim wypadku należy zaktualizować deskryptory wdrażania, tak aby zawierały lokalne adresy dokumentów DTD. 3. Sprawdź, czy dla zmiennej środowiskowej $WAS_HOME ustawiono wartość: (UNIX) WAS_HOME=/opt/WebSphere/AppSerer (Windows) WAS_HOME=C:\WebSphere\AppSerer Poprawne ustawienie wartości tej zmiennej jest wymagane, aby narzędzie migracji mogło uzyskać dostęp do właściwego pliku xerces.jar oraz do odpowiedniej wersji środowiska wykonawczego programów Jaa. 4. Należy przygotować następujące informacje, które zostaną podane jako parametry dla narzędzia migracji: Nazwa pliku EAR podlegającego migracji. /opt/websphere/appserer/secureapp.ear Copyright IBM Corp

44 Położenie pliku PDPerm.properties. Ścieżka pliku musi zostać podana w formacie URI (Uniform Resource Indicator). Na przykład: file://opt/websphere/appserer/jaa/jre/pdperm.properties Nazwa konta administratora Access Manager. Powinno to być konto sec_master. Hasło konta sec_master. Nazwa konta administratora WebSphere. Nazwa ta powinna być zgodna z nazwą konta utworzonego podczas konfiguracji wstępnej pakietu Access Manager for WebSphere. Na przykład: wsadmin Przyrostek domeny rejestru użytkowników dla konta użytkownika. Na przykład, dla rejestru użytkownikóe LDAP: o=ibm,c=us 5. Należy sprawdzić, czy dla danej aplikacji jest używany najnowszy plik EAR, oraz czy plik EAR zawiera wszystkie oczekiwane przypisania użytkowników do ról. Jeśli nie jest pewne, czy obecne sa wszystkie przypisania ról, należy wyeksportować aplikację. Instrukcje eksportowania plików EAR znajdują się w dokumentacji pakietu IBM WebSphere Application Serer. 6. Uruchom narzędzie migracji, aby przeprowadzić migrację danych. Ścieżka narzędzia migracji: /opt/pdwas/bin/migrateear.sh (UNIX) C:\Program Files\Tioli\pdwas\bin\migrateEAR.bat (Windows) Podaj informacje wymienione wyżej jako parametry wiersza poleceń dla narzędzia migracji. Na przykład: Wykonaj te z poniższych procedur, które mają zastosowanie do używanego systemu operacyjnego: Dla systemów operacyjnych UNIX: Używając podanych wyżej informacji przykładowych, wpisz następujące polecenie w wierszu poleceń. (Polecenie należy wprowadzić w jednym wierszu.) # migrateear -c file://opt/websphere/appserer/jaa/jre/pdperm.properties -j /opt/websphere/appserer/config/<aplikacja.ear> -a sec_master -p hasło_sec_master -w wsadmin -d o=ibm,c=us Dla Windows: a. Otwórz okno MSDOS i wpisz: > migrateear.bat Plik bat wyświetli na ekranie komunikat o składni dla programu migrateear. b. Zgodnie z wyświetloną informacją o składni, wpisz następujące polecenie (w jednym wierszu), używając przykładowych informacji podanych wyżej: > jaa migrateear -c file:/c:/websphere/appserer/jaa/jre/pdperm.properties -j c:\websphere\appserer\config\<aplikacja.ear> -a sec_master -p hasło_sec_master -w wsadmin -d o=ibm,c=us Narzędzie migracji zapisuje dane wyjściowe do pliku protokołu. Nazwa pliku protokołu jest wyświetlona. Na przykład, pdwas_migrate.log. Można przejrzeć zawartość pliku protokołu, aby sprawdzić, czy migracja wszystkich ról została przeprowadzona poprawnie. 30 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

45 Brak pliku protokołu świadczy o wystąpieniu błędu narzędzia migracji. W takim wypadku należy sprawdzić, czy podano właściwy adres URI z opcją -c i właściwą nazwę pliku z opcją -j. Składnia poleceń narzędzia migracji została zamieszczona na stronie migrateear na stronie Powtórz powyższe kroki dla każdego pliku Enterprise Archie (EAR), zawierającego definicje ról, które podlegają migracji do pakietu Access Manager. Nie ma potrzeby uruchamiania narzędzia migracji dla aplikacji J2EE, których deskryptory wdrażania nie zawierają informacji ochrony. Uwaga: Uruchom narzędzie migracji tylko raz dla każdego pliku EAR. Jeśli istnieje więcej niż jedna kopia danego pliku EAR, nie ma potrzeby uruchamiania narzędzia migracji dla każdej kopii z osobna. 8. Wybierz jedno z następujących działań: Jeśli używany jest pakiet WebSphere Application Serer Adanced Edition Single Serer (AEs), przejdź do następnego etapu. Jeśli używany jest pakiet WebSphere Application Serer Adanced Edition (nie edycja Single Serer), migracja została zakończona. Nie należy wykonywać czynności opisanych w następnym etapie. 9. Jeśli jest używana edycja Single Serer pakietu Access Manager for WebSphere with WebSphere (AEs), należy użyć polecenia pdadmin, aby ręcznie dodać użytkowników do list ACL utworzonych przez narzędzie migracji. Przykłady użycia polecenia pdadmin znajdują się w rozdziale Ograniczenia narzędzia migracji. Przykład procedury dodawania użytkowników do list ACL jest także zawarty w opisie przykładowej aplikacji, znajdującym się w przewodniku: Rozdział 5, Przewodnik: włączanie ochrony na stronie 43. Patrz przykłady poleceń w rozdziale 7: Migrowanie aplikacji do pakietu Access Manager na stronie 53. Ograniczenia narzędzia migracji Narzędzie migracji cechują następujące ograniczenia: Narzędzie migracji jest przeznaczone wyłącznie do migrowania ról zawartych w plikach EAR do pamięci obiektów chronionych Access Manager. Nie powinno być używane do jakichkolwiek innych zadań związanych z zarządzaniem rolami. Po przeprowadzeniu migracji pliku EAR, do zarządzania rolami należy używać interfejsu Access Manager Web portal manager lub polecenia pdadmin. Narzędzie migracji przeprowadza wyłącznie migrację użytkowników i ról określonych w pliku EAR. Należy się upewnić, że używana jest najnowsza wersja pliku EAR dla danej aplikacji. Podczs migrowania pliku EAR, zawartość tego pliku odzwierciedla konfigurację aplikacji w chwili jej zainstalowania. Zmiany wprowadzone do deskryptorów wdrażania aplikacji z poziomu programu WebSphere nie są zapisywane w pliku EAR. Przed przeprowadzeniem migracji ról ochrony należy zawsze sprawdzić, czy plik EAR ściśle odpowiada konfiguracji aplikacji. Na przykład, należy sprawdzić, czy nazwa aplikacji jest poprawna. Nazwę aplikacji można zmienić podczas jej wdrażania lub później, za pomocą konsoli WebSphere. Zmiana taka nie zostanie odzwieciedlona w pliku EAR. Jeśli nowa nazwa aplikacji nie zostanie wprowadzona do pliku EAR, w wyniku migracji zostaną utworzone niepoprawne obiekty chronione. Po użyciu narzędzia migracji z danym plikiem EAR, nie zaleca się ponownego migrowania tego pliku, jeśli plik został zmodyfikowany. Utworzenie i przeprowadzenie migracji pliku Rozdział 3. Migrowanie ról ochrony do pakietu IBM Tioli Access Manager for WebSphere 31

46 EAR do pamięci obiektów chronionych Access Manager, a następnie ponowne przeprowadzenie migracji tego samego pliku, może spowodować wystąpienie następujących problemów: Przy drugiej i każdej następnej migracji, istniejąca rola, która została usunięta z pliku EAR, nie zostanie usunięta z pamięci obiektów chronionych Access Manager. Przy drugiej i każdej następnej migracji, zmiany w pliku EAR mogą spowodować, że narzędzie migracji usunie definicję listy ACL z Access Manager. W niektórych wypadkach Access Manager może nie dopuścić do usunięcia listy ACL. Należy zwrócić uwagę, że przeprowadzenie migracji pliku EAR do pamięci obiektów chronionych Access Manager powoduje utworzenie list ACL, które są dołączone do obiektów. Jeśli administrator ręcznie dołączył definicję listy ACL do innych obiektów chronionych, Access Manager nie dopuści do usunięcia listy ACL. Dlatego, nawet jeśli oryginalny obiekt utworzony przy pierwszym uruchomieniu narzędzia migracji już nie istnieje, usunięcie listy ACL nie będzie możliwe. Do modyfikowania ról należy użyć polecenia pdadmin. Polecenia pdadmin można także użyć do tworzenia nowych ról. Jeśli używana jest edycja Single Serer pakietu WebSphere Application Serer, należy ręcznie dodać użytkowników do list ACL, które zostały utworzone przez narzędzie migracji. Uwaga: Powyższa uwaga ma zastosowanie wyłącznie do pakietu WebSphere AEs. Ograniczenie to nie dotyczy pakietu WebSphere AE. Użyj polecenia pdadmin, aby dodać użytkowników do listy ACL. Następujący przykład ilustruje sposób dodawania użytkowników do listy ACL, w oparciu o przykłądową aplikację opisaną w sekcji 7: Migrowanie aplikacji do pakietu Access Manager na stronie 53 w przewodniku. c:> pdadmin -a sec_master -p <mojehasło> pdadmin> acl list (Znajdź listę ACL rozpoczynającą się od _WebAppSerer_deployedResources_GoodGuys_) pdadmin> acl modify _WebAppSerer_deployedResources_GoodGuys_simpleSessionApp_ACL add user użytkownik1 T[WebAppSerer]i pdadmin> acl modify _WebAppSerer_deployedResources_GoodGuys_simpleSessionApp_ACL add user użytkownik2 T[WebAppSerer]i pdadmin> acl modify _WebAppSerer_deployedResources_GoodGuys_simpleSessionApp_ACL add user użytkownik3 T[WebAppSerer]i pdadmin> acl modify _WebAppSerer_deployedResources_GoodGuys_simpleSessionApp_ACL add user użytkownik4 T[WebAppSerer]i pdadmin> exit Wskazówki dotyczące rozwiązywania problemów Rozwiązując problemy dotyczące narzędzia migracji, należy użyć plików protokołu udostępnianych przez programy WebSphere i Access Manager: Skonfiguruj protokołowanie w serwerze autoryzacji Access Manager. Ewentualne problemy związane z dostępem do obiektów w przestrzeni nazw obiektów chronionych zostaną zapisane do pliku protokołu. W tym pliku protokołowane są także informacje generowane przez żądania pochodzące z komponentu autoryzacji Access Manager. Należy także zwrócić uwagę, że serwer Websphere zapisuje protokołowane informacje w osobnych plikach. Więcej informacji na ten temat można znaleźć w książce IBM Tioli Access Manager Base - Podręcznik administratora. Działania przeprowadzane przez narzędzie migracji są protokołowane w pliku pdwas_migrate.log. Plik ten znajduje się w katalogu, w którym uruchomiono narzędzie 32 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

47 migracji. Ostatni komunikat w pliku protokołu zawiera zwykle informację o ostatnim działaniu, które usiłowało wykonać narzędzie migracji. Zazwyczaj jest to komunikat wskazujący miejsce wystąpienia błędu. Podczas pracy z narzędziem migracji mogą wystąpić następujące błędy: Problem: plik admin.ear nie zawiera informacji o użytkownikach; zawiera wyłącznie przypisania ról. Powoduje to, że użytkownicy nie zostaną dołączeni do utworzonych list ACL. Rozwiązanie: użyj polecenia pdadmin, aby dodać grupę pdwas-admin do listy ACL. Wpisz następujące polecenie w jednym wierszu: pdadmin> acl modify _WebAppSerer_deployedResources_AdminRole_admin_ACL set group pdwas-admin T[WebAppSerer]i Sekcja 7: Migrowanie aplikacji do pakietu Access Manager na stronie 53 zawiera przykład uruchamiania narzędzia migracji dla pliku admin.ear i pliku EAR aplikacji. Narzędzie migracji nie może używać plików, których nazwy zawierają znak tyldy (~). Może to spowodować wystąpienie problemów przy próbie migrowania pliku z użyciem jego skróconej nazwy w systemie Windows. Web portal manager może zgłosić błąd przy próbie dołączenia listy ACL do obiektów, których nazwy zawierają znak spacji. Problem ten można ominąć dołączając listę ACL za pomocą polecenia pdadmin. O ile to możliwe, przed uruchomieniem narzędzia migracji należy się upewnić, że definicje wymienione w deskryptorach wdrażania nie zawierają spacji. Należy także upewnić się, że nazwa aplikacji nie zawiera znaku spacji. Narzędzie migracji może wyświetlić komunikat ostrzegawczy, informujący, że użytkownik wsadmin należy do grupy pdwas-admin. Wystąpienie tego ostrzeżenia jest normalne i służy jedynie celom ochrony. Komunikat wskazuje, że użytkownik należy do grupy pdwas-admin, co pozwala administratorowi zweryfikować poprawność listy użytkowników należących do grupy administratorów o kluczowym znaczeniu dla ochrony systemu. Access Manager używa domyślnej wartości limitu czasu protokołu SSL dla połączeń z serwerem strategii Access Manager. Kiedy wartość limitu zostanie przekroczona podczas pracy narzędzia migracji, może zostać wyświetlony następujący komunikat: Serwer utracił uwierzytelnienie klienta, prawdopodobnie na skutek wygaśnięcia ważności sesji. Jeśli zostanie wyświetlony ten komunikat, należy ponownie uruchomić narzędzie migracji, używając opcji -t <liczba_minut>. Domyślna wartość limitu czasu oczekiwania wynosi 60 minut. Wartość ta nie powinna być większa niż bieżąca wartość limitu czasu oczekiwania SSL dla sesji klienta autoryzacji API i serwera zarządzania. Aby określić bieżące ustawienie limitu czasu dla połączenia SSL, należy sprawdzić wartość parametru ssl-3-timeout, znajdującego się w sekcji [ssl] w pliku konfiguracyjnym Access Manager imgrd.conf. Wartość domyślna parametru ssl-3-timeout wynosi 7200 sekund (120 minut). Zmieniając tę wartość należy pamiętać, że limit czasu oczekiwania dla połączeń SSL narzędzia migracji określony za pomocą parametru -t nie może być mniejszy niż 60 minut. Więcej informacji na ten temat można znaleźć w książce IBM Tioli Access Manager Base Podręcznik administratora. Rozdział 3. Migrowanie ról ochrony do pakietu IBM Tioli Access Manager for WebSphere 33

48 migrateear Użycie Parametry Program narzędziowy migracji jest klasą języka Jaa i jest uruchamiany z wiersza poleceń. Program wymaga określenia kilku wartości wejściowych jako parametrów wiersza poleceń. jaa com.tioli.pdas.migrate.migrate -j <absolna_ścieżka_pliku_ear_aplikacji> -c położenie_uri_pliku_pdperm.properties -a administrator_access_manager -p hasło_administratora -w administrator_websphere -d przyrostek_domeny_rejestru_użytkowników [-rnazwa_głównej_pamięci_obiektu_i_grupy_działań ] [-tlimit_czasu_oczekiwania_ssl ] -a administrator_access_manager Użytkownik o uprawnieniach administratora posiadający uprawnienia wymagane do tworzenia użytkowników, obiektów i list ACL. Na przykład, -a sec_master. Parametr opcjonalny. Jeśli parametr nie zostanie podany, program wyświetli komunikat wymagający podania nazwy administratora po uruchomieniu. -c położenie_uri_pliku_pdperm.properties Adres URI pliku PDPerm.properties, skonfigurowanego za pomocą programu narzędziowego pdwascfg. Na przykład, w systemach UNIX, typowy adres URI tego pliku to file://opt/websphere/appserer/jaa/jre/pdperm.properties. -d przyrostek_domeny_rejestru_użytkowników Przyrostek domeny używany przez rejestr użytkowników. Na przykład, dla rejestrów LDAP jest to przyrostek domeny taki jak: o=ibm,c=us -j <absolutna_ścieżka_pliku_ear_aplikacji> Plik archiwum aplikacji Jaa 2 Enterprise Edition. Opcjonalnie, można także podać katalog pliku EAR. Na przykład, -j /tmp/test_application.ear -p hasło_administratora Hasło użytkownika o uprawnieniach administratora, określonego w jednym z parametrów powyżej. Na przykład, -p mojehasło. Parametr opcjonalny. Jeśli parametr nie zostanie podany, program wyświetli komunikat wymagający podania hasła administratora po uruchomieniu. -r nazwa_głównej_pamięci_obiektu_i_grupy_działań Nazwa głównej pamięci obiektu jest nazwą głównego obiektu w hierarchii przestrzeni nazw obiektów chronionych, który zostanie utworzony dla serwera WebSphere Application Serer. Parametr opcjonalny. Wartością domyślną głównej przestrzeni nazw jest WebAppSerer. Nazwa grupy działań jest zgodna z nazwą głównej pamięci obiektu. W ten sposób, nazwa grupy działań jest ustawiana automatycznie z chwilą określenia nazwy głównej pamięci obiektu. 34 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

49 Uwaga: Działanie to musi istnieć w chwili uruchomienia narzędzia migracji. Patrz etap 7 w Konfigurowanie początkowej instalacji pakietu Access Manager for WebSphere na stronie 22. -t limit_czasu_oczekiwania_ssl Limit czasu oczekiwania dla protokołu SSL, w minutach. Parametr ten służy do zrywania i ponownego nawiązywania połączenia SSL między serwerem autoryzacji a serwerem zarządzania Access Manager przed upływem domyślnego limitu czasu oczekiwania ustalonego dla połączenia. Wartość domyślna wynosi 60 minut. Wartość minimalna wynosi 10 minut. Wartość maksymalna nie powinna przekraczać wartości opcji ssl-3-timeout w Access Manager. Wartość domyślna opcji ssl-3-timeout wynosi 120 minut. Parametr opcjonalny. Użytkownicy nie zaznajomieni z kryteriami doboru tej wartości mogą pozostawić wartość domyślną. -w administrator_websphere Nazwa użytkownika skonfigurowanego jako administrator w polu ochrony rejestru użytkowników WebSphere Application Serer. Dostęp w imieniu tego użytkownika jest niezbędny do tworzenia i aktualizowania pamięci obiektu Access Manager. Jeśli użytkownik-administrator Websphere jeszcze nie istnieje w pamięci obiektu Access Manager, zostanie utworzony lub zaimportowany. W takim wypadku, dla konta administratora zostanie wygenerowane losowe hasło, a konto zostanie oznaczone jako niepoprawne. Hasło należy zmienić na inne, a dla konta ustawić wartość poprawne. Zostanie utworzona pamięć obiektu: /WebAppSerer/deployedResources/AdminRole/admin Zostanie utworzona lista ACL: _WebAppSerer_deployedResources_AdminRole_admin Użytkownik-administrator zostanie dodany do grupy pdwas-admin z następującymi atrybutami listy ACL: T -- uprawnienie traerse i -- uprawnienie inoke <WebAppSerer> -- nazwa grupy działań. WebAppSerer jest nazwą domyślną. Należy zwrócić uwagę, że nazwa grupy działań (oraz odpowiadająca jej główna pamięć obiektu) mogą zostać zastąpione, jeśli narzędzie migracji uruchomiono z opcją -r. Grupę group pdwas-admin należy następnie dodać do roli administratora jeśli jest migrowany plik admin.ear. Rozdział 3. Migrowanie ról ochrony do pakietu IBM Tioli Access Manager for WebSphere 35

50 36 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

51 Rozdział 4. IBM Tioli Access Manager for WebSphere - Administrowanie W tym rozdziale omówiono następujące tematy: Używanie pakietu Access Manager w połączeniu z serwerem WebSphere Adanced Edition Single Serer Używanie narzędzi administracyjnych pakietu Access Manager Określanie właściwości pakietu Access Manager for WebSphere na stronie 38 Konfigurowanie konsoli WebSphere w celu rozpoznania grup Access Manager na stronie 41 Używanie pakietu Access Manager w połączeniu z serwerem WebSphere Adanced Edition Single Serer Pakiet IBM WebSphere Application Serer zawiera wersję Adanced Edition, która obsługuje pojedynczy serwer. Wersja ta jest przeznaczona do uruchamiania serwera WebSphere w trybie ochrony w oparciu o hosta zamiast o zewnętrzny rejestr użytkowników. Ta wersja serwera WebSphere Application Serer nadaje się doskonale do programowania i tworzenia prototypów aplikacji, a także do demonstrowania funkcji i możliwości serwera. Z poziomu konsoli WebSphere nie można modyfikować rejestru systemowego. Access Manager obsługuje kilka typów zewnętrznego rejestru użytkowników. Kiedy pakiet Access Manager jest używany z edycją Single Serer pakietu WebSphere Adanced Edition, the administrator Access Manager musi utworzyć pozycje rejestru użytkowników odpowiednio dla każdego konta użytkownika w systemie, w którym zainstalowany jest serwer WebSphere. Oznacza to, że definicje użytkowników w rejestrze muszą zostać utworzone ręcznie. Należy zwrócić uwagę, że kiedy w rejestrze użytkowników Access Manager tworzone są zapisy lustrzane kont użytkowników systemu operacyjnego, tożsamość (identyfikator) użytkownika Access Manager musi być taka sama, jak identyfikator użytkownika systemu operacyjnego. W systemie Windows, identyfikator ten nie zawiera nazwy domeny. Należy także zwrócić uwagę, że narzędzie migracji Access Manager for WebSphere, użyte z edycją Single Serer pakietu WebSphere Adanced Edition, nie dodaje automatycznie użytkowników do tworzonych list ACL. Użytkownicy muszą zostać dodani ręcznie przez administratora. Więcej informacji na ten temat można znaleźć w rozdziale Ograniczenia narzędzia migracji na stronie 31. Używanie serwera IBM Tioli Access Manager for WebSphere Application Serer (Access Manager for WebSphere) z edycją Single Serer pakietu WebSphere Adanced Edition nie jest zalecane w systemach produkcyjnych. Patrz Wymagania wstępne dotyczące rejestru użytkowników na stronie 14. Używanie narzędzi administracyjnych pakietu Access Manager Nie należy używać konsoli serwera WebSphere Application Serer do modyfikowania atrybutów użytkowników lub ról. Wprowadzone w ten sposób zmiany nie zostaną odzwierciedlone w bazie danych strategii pakietu Access Manager. Copyright IBM Corp

52 Wszystkie procedury związane z zarządzaniem konfiguracją użytkowników i ról muszą być wykonywane za pomocą jednego z następujących narzędzi administrowania pakietu Access Manager: Program narzędziowy pdadmin (wiersz poleceń) Interfejs graficzny Access Manager Web portal manager Pakiet Access Manager udostępnia także administracyjne funkcje API, za pomocą których można wykonywać procedury administrowania programistycznie. Szczegółowe informacje na temat narzędzi administrowania pakietu Access Manager znajdują się w następujących podręcznikach: Program pdadmin i interfejs graficzny opisane są w książce IBM Tioli Access Manager Base Podręcznik administratora. Programistyczne funkcje API można znaleźć w książce IBM Tioli Access Manager Administration C API Podręcznik programisty. Aby uzyskać dodatkowe informacje na temat dostępu do dokumentacji pakietu Access Manager, patrz Publikacje na stronie i. Określanie właściwości pakietu Access Manager for WebSphere Access Manager for WebSphere używa pliku właściwości Jaa, który zawiera parametry konfiguracji. Plik właściwości nie jest tworzony domyślnie, ale może zostać użyty do modyfikowania konfigurowalnych parametrów. Plik właściwości Jaa musi zostać utworzony w następującym położeniu: UNIX: /opt/pdwas/etc/pdwas.properties Windows: C:\Program Files\Tioli\pdwas\etc\PDWAS.properties W pliku tym należy określić następujące ustawienia: Limitowanie połączeń symultanicznych Włączanie buforowania roli statycznej Definiowanie ról statycznych na stronie 39 Konfigurowanie buforowania roli dynamicznej na stronie 39 Określanie typu mechanizmu protokołowania na stronie 39 Określanie poziomu protokołowania na stronie 40 Określanie nazwy głównej pamięci obiektu na stronie 41 Określanie katalogu definicji typów dokumentów na stronie 41 Limitowanie połączeń symultanicznych Ogranicza liczbę symultanicznych połączeń z pakietem Access Manager. Wartością domyślną jest zero (0), co oznacza brak limitu liczby połączeń. Na przykład: com.tioli.pdwas.maxpdconnections=0 Wartość tę należy ustawić jeśli wystąpią wyjątki protokołu SSL. Duża liczba jednoczesnych połączeń może ograniczyć wydajność wirtualnej maszyny języka Jaa (JVM) w systemie operacyjnym Solaris. Włączanie buforowania roli statycznej Włącza lub wyłącza buforowanie roli statycznej. Domyślnie, buforowanie roli statycznej jest włączone. com.tioli.pdwas.enablestaticrolecaching=true 38 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

53 Definiowanie ról statycznych Definiuje dodatkowe role statyczne, niezdefiniowane w pliku admin.ear serwera WebSphere Application Serer. com.tioli.pdwas.staticrolecache.roles=adminrole Konfigurowanie buforowania roli dynamicznej Sekcja ta opisuje następujące ustawienia: Włączanie buforowania roli dynamicznej Określanie maksymalnej liczby użytkowników Określanie czasu życia konta użytkownika Określanie czasu życia roli Określanie liczby tablic pamięci podręcznej Włączanie buforowania roli dynamicznej Włącza lub wyłącza buforowanie roli dynamicznej. Domyślnie, buforowanie roli dynamicznej jest włączone. com.tioli.pdwas.enabledynamicrolecaching=true Określanie maksymalnej liczby użytkowników Maksymalna liczba użytkowników, jaką obsługuje pamięć podręczna przed przeprowadzeniem czyszczenia pamięci podręcznej. Parametr ten jest używany, kiedy włączone jest buforowanie roli dynamicznej. Domyślna liczba użytkowników wynosi com.tioli.pdwas.dynamicrolecache.maxusers=10000 Określanie czasu życia konta użytkownika Okres, przez jaki wpis konta użytkownika jest przechowywany w pamięci podręcznej (w minutach). Parametr ten jest używany, kiedy włączone jest buforowanie roli dynamicznej. Wartość domyślna wynosi 5 minut. com.tioli.pdwas.dynamicrolecache.principallifetime=5 Termin konto użytkownika (ang. principal) oznacza tu referencję Access Manager zwróconą przez unikalnego użytkownika LDAP. Określanie czasu życia roli Okres, przez jaki rola jest przechowywana na liście ról użytkowników, zanim zostanie z niej usunięta, w sekundach. Parametr ten jest używany, kiedy włączone jest buforowanie roli dynamicznej. Wartość domyślna wynosi 20 sekund. com.tioli.pdwas.dynamicrolecache.rolelifetime=20 Określanie liczby tablic pamięci podręcznej Liczba tablic używanych wewnętrznie przez pamięć podręczną ról dynamicznych. Parametr ten jest używany, kiedy włączone jest buforowanie roli dynamicznej. Wartość domyślna wynosi 20. Jeśli z pamięci podręcznej korzysta duża liczba wątków, wartość tę należy zwiększyć, aby poprawić wydajność pamięci podręcznej. com.tioli.pdwas.dynamicrolecache.numbuckets=20 Określanie typu mechanizmu protokołowania Określa wewnętrzny mechanizm protokołowania. Opcja ta może przyjmować wartość WAS lub STDOUT. Wartością domyślną jest STDOUT. Rozdział 4. IBM Tioli Access Manager for WebSphere - Administrowanie 39

54 Jeśli zostanie wybrana opcja WAS, użyte będzie środowisko śledzenia serwera WebSphere Application Serer. W takim wypadku, należy użyć normalnej procedury WebSphere dla włączania i wyłączania śledzenia. Jeśli zostanie wybrana opcja STDOUT, włączanie i wyłączanie śledzenia jest przeprowadzane z użyciem właściwości zawartych w pliku PDWAS.properties (w tym pliku). com.tioli.pdwas.loggingtype=stdout Określanie poziomu protokołowania Określa poziom protokołowania dla komponentów Access Manager for WebSphere. Parametr ten jest używany, kiedy jako typ mechanizmu logowania wybrano STDOUT. Poziom protokołowania należy określić zgodnie z następującym formatem: com.tioli.pdwas.<komponent>.logleel=<wartość> Obsługiwane <komponenty>: websphere.pdwasauthzmanager cache.staticrolecache cache.dynamicrolecache cache.genericcache cache.purgetask Jeśli komponent nie zostanie określony, lub jeśli nie zostanie określona część nazwy komponentu, dla poziomu protokołowania jest ustawiany znak zastępczy, dopasowywany do więcej niż jednego komponentu pakietu Access Manager for WebSphere. Na przykład, wartość com.tioli.pdwas.cache.logleel ustawia poziom buforowania dla wszystkich komponentów pamięci podręcznej. Podobnie, wartość com.tioli.pdwas.logleel ustawia poziom buforowania dla wszystkich komponentów pakietu Access Manager for WebSphere. Wartości tych właściwości mogą być wyrażone jako liczby całkowite lub jako listy poziomów rozdzielane przecinkami. Liczba całkowita reprezentuje mapę bitową. Lista rozdzielana przecinkami może przyjmować następujące wartości: FATAL ERROR WARNING NOTICE ENTRY EXIT DEBUG Poziom FATAL jest najmniej znaczącym bitem mapy bitowej, a poziom DEBUG jest bitem najbardziej znaczącym. Na przykład, aby włączyć pełne protokołowanie dla websphere.pdwasauthzmanager, można użyć dowolnej z następujących wartości (wartości te są równoważne): com.tioli.pdwas.websphere.pdwasauthzmanager.logleel = FATAL, ERROR, WARNING, NOTICE, ENTRY, EXIT, DEBUG com.tioli.pdwas.websphere.pdwasauthzmanager.logleel = IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

55 Należy zwrócić uwagę, że wartości liczbowe i łańcuchowe mogą być używane razem. Zostaje wybrany najwyższy poziom protokołowania. Na przykład, następujący wpis włącza poziomy FATAL i ERROR: com.tioli.pdwas.websphere.pdwasauthzmanager.logleel = 1,ERROR Określanie nazwy głównej pamięci obiektu Zmienia nazwę głównej pamięci obiektu oraz nazwę uprawnienia grupy. Wartością domyślną jest WebAppSerer. Parametrowi temu można nadać dowolną wartość. com.tioli.pdwas.rootobjectspacename=webappserer Jeśli nazwa domyślna zostanie zastąpiona inną, należy zwrócić uwagę, że nowa nazwa musi odpowiadać nazwie użytej w narzędziu migracji Access Manager. Jeśli nazwy te nie będą zgodne, Access Manager nie będzie mógł zlokalizować chronionych zasobów. Więcej informacji na ten temat można znaleźć w rozdziale migrateear na stronie 34. Określanie katalogu definicji typów dokumentów Konfiguruje położenie plików DTD (Document Type Definition, Definicja typu dokumentu), niezbędnych do poprawnej pracy pakietu Access Manager for WebSphere. Wymagany jest plik DTD application_1_2.dtd. Plik ten jest dostarczany z pakietem Access Manager for WebSphere i jest instalowany przez skrupt konfiguracyjny w katalogu lib pakietu WebSphere. Katalog lib pakietu WebSphere jest domyślnym położeniem dla tego pliku. Wartością musi być ścieżka absolutna. Na przykład, w systemie UNIX: com.tioli.pdwas.dtddirectory= /opt/pdwas/etc W systemie Windows: com.tioli.pdwas.dtddirectory=c:\program Files\Tioli\pdwas\etc Konfigurowanie konsoli WebSphere w celu rozpoznania grup Access Manager Można użyć konsoli serwera WebSphere Application Serer w celu określenia strategii ochrony dla aplikacji uruchamianych w środowisku WebSphere. Konsola serwera WebSphere Application Serer może określić strategię ochrony dla aplikacji przedsiębiorstwa i innych zasobów sieci WWW, w oparciu o elementy znajdujące się w katalogu użytkownika. Access Manager dodaje klasę obiektów accessgroup do rejestru użytkowników. Administratorzy Access Manager mogą tworzyć nowe grupy za pomocą polecenia pdadmin lub interfejsu graficznego Web Portal Manager. Nowo utworzone grupy będą należeć do klasy obiektów accessgroup. Domyślnie, konsola serwera WebSphere Application Serer nie jest konfigurowana w taki sposób, aby móc rozpoznawać obiekty należące do klasy accessgroup jako grupy rejestru użytkowników. Można skonfigurować konsolę WebSphere Application Serer, dodając tę klasę obiektów do listy klas obiektów, które reprezentują grupy rejestru użytkowników. Procedura: 1. W konsoli WebSphere, uzyskaj dostęp do ustawień zaawansowanych, aby skonfigurować opcje ochrony. Rozdział 4. IBM Tioli Access Manager for WebSphere - Administrowanie 41

56 2. Zmień wartość w polu Group Filter (Filtr grup). Dodaj następujący wpis: (objectclass=accessgroup) Na przykład, wartość wpisana w polu Group Filter może być następująca: (&(cn=%w)( (objectclass=groupofnames) (objectclass=groupofuniquenames) (objectclass=accessgroup))) 3. Zmień wartość w polu Group Member ID Map (Mapa identyfikatorów członków grup). Dodaj następujący wpis: accessgroup:member Na przykład, wartość wpisana w polu Group Member ID Map może być następująca: groupofnames:member;groupofuniquenames:uniquemember; accessgroup:member 4. Zatrzymaj i ponownie uruchom serwer WebSphere Application Serer, zgodnie z poleceniem wyświetlonym w konsoli. 42 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

57 Rozdział 5. Przewodnik: włączanie ochrony Przewodnik - przegląd Ten rozdział zawiera przewodnik opisujący sposób dodawania funkcji ochrony do przykładowej aplikacji. Podane tu informacje są oparte na informacjach zamieszczonych w przewodniku WebSphere, który pomaga użytkownikom zapoznać się z rozmaitymi aspektami tworzenia, konfigurowania i w drażania aplikacji WebSphere. Dodatkiem do przewodnika WebSphere jest przykładowy kod źródłowy, dostarczony z produktem WebSphere. Korzystanie z niniejszego przewodnika Access Manager nie wymaga odwoływania się do przewodnika WebSphere. Do niniejszego przewodnika dołączono plik EAR utworzony na podstawie przykładowego kodu WebSphere, postępując zgodnie z instrukcjami zamieszczonymi w przewodniku WebSphere. Przewodnik WebSphere jest dostępny pod adresem: Przykładowy program dostarczany z pakietem IBM Tioli Access Manager for WebSphere Application Serer (Access Manager for WebSphere) jest tworzony zgodnie z instrukcjami zamieszczonymi w przewodniku w sekcjach 6.71, i pod adresem podanym powyżej. Materiał zamieszczony w tym rozdziale zastępuje przewodnik w sekcji pod adresem podanym powyżej.. Niniejszy przewodnik opisuje następujące procedury: dodawanie funkcji ochrony do pliku EAR aplikacji, dodawanie użytkowników do rejestry LDAP, włączanie ochrony WebSphere, wdrażanie i testowanie przykładowej aplikacji, migrowanie aplikacji do pakietu Access Manager, włączanie komponentu autoryzacji Access Manager, oraz testowanie ochrony aplikacji w środowisku Access Manager. W przewodniku opisano także sposób wprowadzania prostych zmian do definicji roli oraz weryfikowania, że wprowadzona zmiana została uwzględniona przy sprawdzaniu praw dostępu. W poniższych instrukcjach przyjęto następujące założenia: Serwer WebSphere Application Serer został zainstalowany i używa rejestru użytkowników LDAP IBM SecureWay Directory. Dla serwera Websphere nie włączono funkcji ochrony. Procedury zawarte w tym przewodniku można wykonać przed lub po zakończeniu wstępnej instalacji i konfiguracji pakietu Access Manager for WebSphere. Jeśli pakiet Access Manager for WebSphere nie został jeszcze zainstalowany, instrukcje dotyczące instalowania go można znaleźć w przewodniku. W poniższych instrukcjach przyjęto następujące założenia dotyczące pakietu Access Manager for WebSphere: Jeśli pakiet Access Manager for WebSphere został zainstalowany i skonfigurowany, używa on tego samego rejestru użytkowników LDAP IBM SecureWay. Uruchomiono program narzędziowy migracji Access Manager for WebSphere korzystając z pliku admin.ear. Etap ten jest wymieniony wśród instrukcji dotyczących przeprowadzania konfiguracji wstępnej pakietu Access Manager for WebSphere. Postępuj zgodnie z instrukcjami zamieszczonymi w poniższych sekcjach: Copyright IBM Corp

58 1: Dodawanie funkcji ochrony do aplikacji WebSphere 2: Dodawanie użytkowników do rejestru użytkowników LDAP na stronie 49 3: Włączanie funkcji ochrony serwera WebSphere Application Serer na stronie 49 4: Wdrażanie aplikacji na stronie 51 5: Testowanie ochrony wdrożonej aplikacji na stronie 52 6: Instalowanie i konfigurowanie pakietu Access Manager for WebSphere na stronie 53 7: Migrowanie aplikacji do pakietu Access Manager na stronie 53 8: Testowanie ochrony wdrożonej aplikacji na stronie 55 9: Modyfikowanie ról na stronie 55 10: Testowanie ochrony wdrożonej aplikacji na stronie 55 1: Dodawanie funkcji ochrony do aplikacji WebSphere 1. Uruchom narzędzie tworzenia aplikacji WebSphere. Kliknij kolejno Start->Programy->IBM WebSphere -> Application Serer 4.0 AE -> Application Assembly Tool, albo uruchom program C:\WebSphere\AppSerer\bin\assembly Na ekranie powitalnym kliknij przycisk Anuluj. 2. Skopiuj przykładowy plik aplikacji simplesession.ear z katalogu, w którym został zainstalowany do C:\temp\assembly\simpleSession.ear 3. Otwórz przykładowy plik EAR. Kliknij kolejno Plik -> Otwórz C:\temp\assembly\simpleSession.ear 4. Prawym przyciskiem myszy kliknij Security Roles (Role ochrony). Kliknij polecenie New (Nowa). 5. Wybierz zakładkę General (Ogólne). Dodaj: Name: GoodGuys 6. Wybierz zakładkę Bindings (Powiązania). Kliknij polecenie Add user (Dodaj użytkownika). Name: użytkownik1 Kliknij przycisk OK. 7. Powtórz poprzedni krok, aby dodać następujących użytkowników: Name: użytkownik2 Name: użytkownik3 Name: użytkownik4 Po dodaniu wszystkich użytkowników, kliknij przycisk OK. 44 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

59 Rysunek 5. Modyfikowanie właściwości roli ochrony celem dodania użytkowników do grup. 8. Rozwiń opcję EJB Modules (Moduły EJB). Rozwiń opcję EBJ11. Prawym przyciskiem myszy kliknij opcję Method Permissions (Uprawnienia metody). Wybierz polecenie New (Nowe). Dodaj: Name (Nazwa): MyMethodPermissions a. Method (Metoda): Kliknij polecenie Add (Dodaj). Wybierz opcję Home (*) Wybierz opcję Remote (*) Kliknij przycisk OK. b. Role: Kliknij przycisk Add (Dodaj). Wybierz opcję GoodGuys. Kliknij przycisk OK. Rozdział 5. Przewodnik: włączanie ochrony 45

60 Rysunek 6. Dodawanie roli ochrony do uprawnień metody 9. Rozwiń opcję Web Modules (Moduły sieci WWW). Kliknij opcję SimpleSessionWar. a. Kliknij zakładkę Adanced (Zaawansowane). b. Kliknij pole Login Configuration (Konfiguracja logowania). c. W polu Authorization Method (Metoda uwierzyelniania) wybierz: Basic (Podstawowe). d. Podaj nazwę dziedziny w polu Realm Name: Getting Started e. Kliknij przycisk Apply (Zastosuj). 10. Rozwiń opcję Web Modules (Moduły sieci WWW). Rozwiń grupę SimpleSessionWar. Prawym przyciskiem myszy kliknij opcję SecurityConstraints. Wybierz polecenie New (Nowe). a. W polu Security Constraint Name (Nazwa ograniczenia ochrony), wpisz GoodGuys. b. Role: Kliknij przycisk Add (Dodaj). Wybierz opcję GoodGuys. Kliknij przycisk OK. c. Dla opcji Transport Guarantee (Gwarancja transportu), wybierz wartość None (Brak). d. Kliknij przycisk OK. 46 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

61 Rysunek 7. Ograniczenia ochrony modułu sieci WWW 11. Kliknij prawym przyciskiem myszy i wybierz kolejno: Web modules -> SimpleSessionWar -> SecurityConstraints ->GoodGuys -> Web Resource Collections. a. Wybierz polecenie New (Nowy). b. W polu Web Resource Name (Nazwa zasobu sieci WWW), wpisz SecureMe. c. W polu HTTP Methods (Metody HTTP), kliknij przycisk Add (Dodaj). Wybierz opcję GET. Kliknij przycisk OK. d. W polu HTTP Methods (Metody HTTP), kliknij przycisk Add (Dodaj). Wybierz opcję POST. Kliknij przycisk OK. e. W polu URLS, kliknij przycisk Add (Dodaj). Wpisz: /SimpleSession. Kliknij przycisk OK. f. Kliknij przycisk OK. Rozdział 5. Przewodnik: włączanie ochrony 47

62 Rysunek 8. Konfigurowanie kolekcji zasobów sieci WWW dla ograniczeń ochrony modułu sieci WWW 12. Zapisz nowy plik EAR. Wybierz kolejno polecenia File->Sae As (Plik, Zapisz jako) i wpisz: C:\temp\assembly\SimpleSessionSecure.ear 13. Wybierz kolejno polecenia File-> Generate Code for Deployment (Plik, Wygeneruj kod dla wdrożenia). a. Ustaw katalog roboczy na C:\temp. b. Kliknij polecenie Generate Now (Wygeneruj). Rysunek 9. Generowanie kodu dla wdrażania. c. Usuń ewentualne błędy. 48 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

63 14. Zakończ narzędzie tworzenia aplikacji. Przejdź do następnej sekcji 2: Dodawanie użytkowników do rejestru użytkowników LDAP. 2: Dodawanie użytkowników do rejestru użytkowników LDAP Użyj programu narzędziowego pdadmin, aby dodać użytkowników, których zadeklarowano w poprzedniej sekcji (użytkownik1, użytkownik2, użytkownik3 i użytkownik4) do rejestru użytkowników LDAP. W tej sekcji przedstawiono typowe polecenia programu pdadmin służące do dodawania użytkowników. Szczegółowe informacje na temat wszystkich dostępnych opcji programu pdadmin znajdują się w podręczniku Tioli SecureWay Access Manager Base Podręcznik administratora. 1. Zaloguj się jako administrator Access Manager: C:> pdadmin -a sec_master -p <mojehasło> Podaj właściwe hasło użytkownika sec_master dla domeny bezpiecznej. 2. Jeśli przeprowadzono już instalowanie i konfigurację wstępną pakietu Access Manager for WebSphere, krok ten należy pominąć. Przejdź do następnego etapu. Jeśli pakiet Access Manager for WebSphere nie został jeszcze zainstalowany, należy utworzyć użytkownika o uprawnieniach administratora WebSphere: pdadmin> user create wsadmin cn=wsadmin,o=<organizacja>, c=<kraj> wsadmin wsadmin mojehasło W miejsce opcji organizacja i kraj należy podstawić wartości właściwe dla używanego rejestru użytkowników LDAP. 3. Utwórz konta dla wszystkich nowych użytkowników. Przypisz im hasła. W przykładowych poleceniach zamieszczonych poniżej, wartością opcji organizacja jest ibm, a wartością opcji kraj jest au. Wszystkim użytkownikom przypisywane jest hasło mojehasło. pdadmin> user create użytkownik1 cn=użytkownik1,o=ibm,c=us użytkownik1 użytkownik1 mojehasło pdadmin> user create użytkownik2 cn=użytkownik2,o=ibm,c=us użytkownik2 użytkownik2 mojehasło pdadmin> user create użytkownik3 cn=użytkownik3,o=ibm,c=us użytkownik3 użytkownik3 mojehasło pdadmin> user create użytkownik4 cn=użytkownik4,o=ibm,c=us użytkownik4 użytkownik4 mojehasło 4. Włącz wszystkie konta: pdadmin> user modify wsadmin account-alid yes pdadmin> user modify użytkownik1 account-alid yes pdadmin> user modify użytkownik2 account-alid yes pdadmin> user modify użytkownik3 account-alid yes pdadmin> user modify użytkownik4 account-alid yes 5. Zakończ program narzędziowy pdadmin: pdadmin> quit 6. Powróć do konsoli WebSphere, aby włączyć funkcje ochrony. Przejdź do sekcji 3: Włączanie funkcji ochrony serwera WebSphere Application Serer. 3: Włączanie funkcji ochrony serwera WebSphere Application Serer 1. Uruchom serwer WebSphere Administration Serer: c:\websphere\appserer\bin\adminserer 2. Po uruchomieniu serwera, uruchom klienta WebSphere Admin: c:\websphere\appserer\bin\adminclient Rozdział 5. Przewodnik: włączanie ochrony 49

64 3. Wybierz kolejno polecenia Console->Security Center (Konsola, Centrum ochrony). 4. Wybierz zakładkę General (Ogólne). Kliknij pole Enable Security (Włącz ochronę). 5. Wybierz zakładkę Authentication (Uwierzytelnianie). a. Wybierz opcję LTPA. Podaj następujące ustawienia LTPA: Czas wygaśnięcia ważności znacznika: 120 Domena: Nazwa domeny. Na przykład: mojadomena.ibm.com b. Zaznacz pole wyboru LDAP. Podaj ustawienia LDAP: ustawienia LDAP ID serwera ochrony Hasło serwera ochrony Host Typ katalogu Nazwa wyróżniająca Powiązanie z nazwą wyróżniającą Hasło powiązania Wartość cn=wsadmin,o=ibm,c=us mojehasło serwerldap.mojadomena.ibm.com SecureWay o=ibm,c=us cn=root mojehasło c. Kliknij przycisk OK. Rysunek 10. Włączanie ochrony za pomocą Centrum ochrony 50 IBM Tioli Access Manager for WebSphere Application Serer: Podręcznik użytkownika

65 4: Wdrażanie aplikacji 6. Kliknij prawym przyciskiem myszy i wybierz kolejno: WebSphere Admin Domain -> Nodes -> <Hostname> 7. Kliknij polecenie Restart (Restartuj). 8. Przejdź do sekcji 4: Wdrażanie aplikacji. 1. Sprawdź, czy serwer WebSphere Admin Serer jest uruchomiony. 2. Uruchom klienta WebSphere Admin: C:\websphere\appserer\bin\adminclient 3. Zaloguj się jako użytkownik pdpermadmin podając hasło mojehasło. 4. Wybierz opcję WebSphere Admin Domain -> Enterprise Applications. 5. Kliknij prawym przyciskiem myszy i wybierz polecenie Install Enterprise Application (Zainstaluj aplikację przedsiębiorstwa). a. Zaznacz pole Install Application (Zainstaluj aplikację). b. Podaj ścieżkę: c:\temp\assembly\simplesessionsecure.ear c. Kliknij przycisk Dalej. Zostanie wyświetlone okno dialogowe z komunikatem sugerującym odmowę dostępu dla wszystkich metod niechronionych. Kliknij przycisk Tak. Rysunek 11. Odmowa dostępu dla metod niechronionych d. Kliknij pole Select (Wybierz). e. Sprawdź, czy wyświetleni są wszyscy użytkownicy użytkownik1 użytkownik2 użytkownik3 użytkownik4 f. Kliknij przycisk OK. g. W każdym następnym oknie dialogowym kliknij przycisk Next (Dalej). Kolejno wyświetlane są następujące okna dialogowe: Mapping Users to Roles (Przypisywanie użytkowników do ról) Mapping EJB RunAs Role to user (Przypisanie roli EJB RunAs do użytkownika) Binding Enterprise Bean to JNDI Names (Powiązanie komponentu Bean Enterprise z nazwami JNDI) Rozdział 5. Przewodnik: włączanie ochrony 51