IBM WebSphere Application Server Podręcznik integrowania

IBM Tioli Access Manager for e-business IBM WebSphere Application Serer Podręcznik integrowania Wersja 5.1 SC85-0128-00

IBM Tioli Access Manager for e-business IBM WebSphere Application Serer Podręcznik integrowania Wersja 5.1 SC85-0128-00

Uwaga Przed wykorzystaniem tych informacji i użyciem produktu, którego dotyczą, zapoznaj się z informacjami z sekcji Dodatek B, Uwagi, na stronie 107. Wydanie pierwsze (Listopad 2003) Edycja ta dotyczy wersji 5, wydania 1, modyfikacji 0 produktu IBM Tioli Access Manager (numer produktu 5724-C08) i do wszelkich kolejnych wydań i modyfikacji, o ile nie wskazano inaczej. Copyright International Business Machines Corporation 2002, 2003. Wszelkie prawa zastrzeżone.

Spis treści Przedmowa.................................. ii Dla kogo przeznaczony jest ten podręcznik.......................... ii Co zamieszczono w tym podręczniku............................ ii Publikacje.................................... iii Uwagi do wydania................................ iii Informacje o pakiecie Base.............................. iii Informacje o ochronie WWW.............................ix Podręczniki dla programistów.............................ix Dodatki techniczne.................................x Publikacje pokrewne................................x Dostęp do publikacji elektronicznych w sieci........................ xiii Dostępność................................... xi Kontakt ze wsparciem technicznym............................ xi Konwencje stosowane w tym podręczniku.......................... xi Konwencje typograficzne.............................. xi Różnice dotyczące systemów operacyjnych......................... xi Rozdział 1. Wprowadzenie i przegląd....................... 1 Integrowanie Tioli Access Manager z WebSphere Application Serer..................2 Ochrona w oparciu o role Jaa 2 Enterprise Edition........................4 Przypisywanie kont użytkowników i grup do ról.........................4 Scentralizowane zarządzanie strategią wielu serwerów WebSphere....................8 Rozdział 2. Instrukcje instalowania........................ 11 Zawartość oprogramowania...............................11 Obsługiwane platformy................................11 Obsługa pakietu WebSphere Application Serer wersja 5.1.....................12 Wymagania dotyczące dysku i pamięci...........................12 Programowe wymagania wstępne.............................12 WebSphere Application Serer.............................12 Tioli Access Manager Base..............................13 Środowisko wykonawcze programów Jaa.........................14 Wymagania wstępne dotyczące rejestru użytkowników.......................14 Aktualizacja z poprzedniego wydania............................15 Instalowanie za pomocą kreatora instalacji..........................16 Instalowanie pakietu Tioli Access Manager for WebSphere za pomocą rodzimych programów narzędziowych......19 Instalowanie w systemie Solaris.............................19 Instalowanie w systemie AIX.............................20 Instalowanie w systemie HP-UX............................21 Instalowanie w systemie Linux.............................22 Instalowanie w systemie Windows............................23 Rozdział 3. Procedury konfiguracyjne...................... 27 Konfigurowanie instalacji wstępnej.............................27 Część 1: Tworzenie administratora Tioli Access Manager dla serwera WebSphere Application Serer.......28 Część 2: Aktywowanie ochrony WebSphere.........................29 Część 3: Konfigurowanie Środowiska wykonawczego programów Jaa Access Manager............31 Część 4: Dołączanie do domeny bezpiecznej.........................32 Część 5a: Migrowanie ustawień ochrony WebSphere WebSphere wersja 4.0.6..............33 Część 5b: Migrowanie ustawień ochrony WebSphere WebSphere wersja 5.0.2..............36 Konfigurowanie pakietu Tioli Access Manager for WebSphere w środowisku WebSphere Application Serer wersja 5.1...39 Część 1: Tworzenie administratora Tioli Access Manager dla serwera WebSphere Application Serer.......39 Część 2: Aktywowanie ochrony na serwerze WebSphere Application Serer wersja 5.1............39 Część 3: Konfigurowanie Środowiska wykonawczego programów Jaa Access Manager............39 Część 4: Konfigurowanie pakietu Tioli Access Manager for WebSphere................39 Copyright IBM Corp. 2002, 2003 iii

Część 5: Migrowanie strategii administrowania........................40 Konfigurowanie dodatkowych instalacji...........................41 Część A-1: Konfigurowanie Środowiska wykonawczego programów Jaa Access Manager...........42 Część A-2: Dołączanie do domeny bezpiecznej........................42 Rozdział 4. Migrowanie ról ochrony....................... 45 Jak migrować role ochrony...............................45 Ograniczenia narzędzia migracji.............................49 Wskazówki dotyczące rozwiązywania problemów........................50 Używanie plików protokołu..............................50 Użytkownicy niedołączeni do utworzonych list ACL......................50 Migracja nie powiodła się na plikach Windows z krótkimi nazwami..................50 Web Portal Manager nie może dołączyć ACL do obiektu.....................50 Ostrzeżenie, że użytkownik [...] jest członkiem grupy pdwas-admin..................51 Uwierzytelnianie klienta zostało utracone z powodu wygaśnięcia sesji.................51 Komunikaty narzędzia migracji nie są wyświetlane w odpowiednim języku................51 Rozdział 5. Zadania administrowania....................... 53 WebSphere Adanced Edition Single Serer wersja 4.0.6......................53 Narzędzia administrowania pakietu Tioli Access Manager.....................54 Określanie właściwości środowiska wykonawczego........................54 Konfigurowanie buforowania roli statycznej.........................54 Konfigurowanie buforowania roli dynamicznej........................55 Parametry środowiska strategii opartej na rolach........................56 Konfigurowanie dodatkowych serwerów autoryzacji.......................57 Dodawanie klasy obiektu do konsoli............................58 Konfigurowanie odwzorowań użytkowników GSO........................59 Tworzenie nowego logowania aplikacji..........................60 Protokołowanie Tioli Access Manager for WebSphere.......................63 Pojedyncze Logowanie na serwerze WebSphere Application Serer za pomocą serwera WebSEAL..........65 Krok 1 Utworzenie konta użytkownika zaufanego w rejestrze Tioli Access Manager............65 Krok 2 Utworzenie przyłączenia serwera WebSEAL do serwera WebSphere Application Serer.........66 Krok 3a Konfigurowanie logowania pojedynczego (Single sign-on - SSO) za pomocą modułu TAI dla serwera WebSphere Application Serer wersja 4.0.6.............................66 Krok 3b Konfigurowanie logowania pojedynczego (Single sign-on - SSO) za pomocą modułu TAI dla serwera WebSphere Application Serer wersja 5.0.2.............................67 Krok 4 Ustawianie hasła SSO na serwerze WebSEAL.....................68 Krok 5 Przetestuj połączenie WebSEAL.........................68 Wskazówki dotyczące rozwiązywania problemów........................68 Serwer WebSphere nie uruchamia się po skonfigurowaniu i migracji tylko dla WebSphere Application Serer wersja 4.0.6 68 Serwer WebSphere nie uruchamia się po zdekonfigurowaniu tylko dla WebSphere Application Serer wersja 4.0.6...69 Tworzenie kopii zapasowych plików Tioli Access Manager for WebSphere................69 Rozdział 6. Przewodnik: włączanie ochrony.................... 71 Przewodnik: dla Tioli Access Manager for WebSphere Application Serer wersja 4.0.6.............71 Jak używać przewodnika...............................71 Część 1: Dodawanie użytkowników do rejestru użytkowników LDAP.................72 Część 2: Instalowanie pakietu Tioli Access Manager for WebSphere.................73 Część 3: Dodawanie ochrony do aplikacji WebSphere......................74 Część 4: Tworzenie administratora Tioli Access Manager dla WebSphere Application Serer..........75 Część 5: Aktywowanie ochrony WebSphere.........................76 Część 6: Wdrażanie aplikacji.............................76 Część 7: Sprawdzenie ochrony dla wdrożonej aplikacji......................77 Część 8: Migrowanie aplikacji do Tioli Access Manager.....................78 Część 9: Sprawdzenie ochrony dla wdrożonej aplikacji......................80 Część 10: Zmiana ról................................80 Część 11: Sprawdzenie ochrony dla wdrożonej aplikacji.....................81 Przewodnik: dla Tioli Access Manager for WebSphere Application Serer wersja 5.0.2.............81 Jak używać przewodnika...............................81 Część 1: Dodawanie użytkowników do rejestru użytkowników LDAP.................82 i IBM Tioli Access Manager for e-business: IBM WebSphere Application Serer Podręcznik integrowania

Część 2: Instalowanie pakietu Tioli Access Manager for WebSphere.................83 Część 3: Dodawanie ochrony do aplikacji WebSphere......................83 Część 4: Tworzenie administratora Tioli Access Manager dla WebSphere Application Serer..........85 Część 5: Aktywowanie ochrony WebSphere.........................86 Część 6: Wdrażanie aplikacji.............................86 Część 7: Sprawdzenie ochrony dla wdrożonej aplikacji......................87 Część 8: Migrowanie aplikacji do Tioli Access Manager.....................87 Część 9: Sprawdzenie ochrony dla wdrożonej aplikacji......................89 Część 10: Zmiana ról................................89 Część 11: Sprawdzenie ochrony dla wdrożonej aplikacji.....................89 Rozdział 7. Instrukcje usuwania......................... 91 Usuwanie z systemu Solaris...............................91 Usuwanie z systemu Windows..............................92 Usuwanie z systemu AIX................................92 Usuwanie z systemu HP-UX...............................92 Usuwanie z systemu Linux...............................93 Dodatek A. Pomoc dla poleceń......................... 95 pdwascfg....................................96 migrateear4................................... 100 migrateear5................................... 103 Dodatek B. Uwagi.............................. 107 Znaki towarowe.................................. 109 Glosariusz.................................. 111 Indeks................................... 117 Spis treści

i IBM Tioli Access Manager for e-business: IBM WebSphere Application Serer Podręcznik integrowania

Przedmowa Witamy w IBM Tioli Access Manager for WebSphere Application Serer (Tioli Access Manager for WebSphere). Ten produkt rozszerza system Tioli Access Manager umożliwiając obsługę aplikacji napisanych dla serwera IBM WebSphere Application Serer. IBM Tioli Access Manager (Tioli Access Manager) jest podstawowym pakietem oprogramowania, wymaganym do uruchamiania aplikacji wchodzących w skład zestawu IBM Tioli Access Manager. Pakiet ten integruje aplikacje IBM Tioli Access Manager, oferujących szeroką gamę rozwiązań autoryzacji i zarządzania. Produkty te, dostarczane w postaci zintegrowanego systemu, umożliwiają scentralizowane zarządzanie strategią ochrony na poziomie sieci i aplikacji w systemach e-biznesu. Uwaga: IBM Tioli Access Manager jest nową nazwą oprogramowania dotychczas znanego pod nazwą Tioli SecureWay Policy Director. Ponadto, użytkownicy zaznajomieni z oprogramowaniem i dokumentacją systemu Tioli SecureWay Policy Director powinni zwrócić uwagę, że termin serwer zarządzania został zastąpiony terminem serwer strategii. Podręcznik IBM Tioli Access Manager for e-business WebSphere Application Serer Podręcznik integrowania zawiera instrukcje dotyczące instalowania, konfigurowania oraz administrowania. Do podręcznika dołączono także przewodnik opisujący sposób konfigurowania scentralizowanej strategii ochrony dla aplikacji WebSphere. Dla kogo przeznaczony jest ten podręcznik Podręcznik niniejszy jest przeznaczony dla: Administratorów ochrony Administratorów systemów sieciowych Architektów systemów informatycznych Podręcznik zakłada, że czytelnik jest zaznajomiony z następującymi zagadnieniami: Protokoły internetowe, w tym HTTP, TCP/IP, FTP i telnet Wdrażanie i zarządzanie aplikacjami i systemami opartymi na serwerze WebSphere Application Serer Zarządzanie ochroną, w tym uwierzytelnianiem i autoryzacją Użytkownicy wykorzystujący komunikację opartą na protokole Secure Sockets Layer (SSL) powinni także być zaznajomieni zagadnieniami dotyczącymi protokołu SSL, wymiany kluczy (publicznych i prywatnych), podpisów cyfrowych, algorytmów szyfrujących i ośrodków certyfikacji. Co zamieszczono w tym podręczniku Niniejsza książka zawiera następujące rozdziały: Rozdział 1, Wprowadzenie i przegląd Zawiera przegląd komponentów systemu Tioli Access Manager, które udostępniają usługi autoryzacji dla serwera WebSphere Application Serer. Rozdział 2, Instrukcje instalacji Opisuje jak zainstalować pakiet Tioli Access Manager for WebSphere. Copyright IBM Corp. 2002, 2003 ii

Rozdział 3, Procedury konfiguracyjne Opisuje jak skonfigurować Tioli Access Manager for WebSphere. Rozdział 4, Migrowanie ról ochrony Opisuje sposób wykorzystania narzędzia migracji Tioli Access Manager for WebSphere w celu przeprowadzenia migracji ról ochrony Jaa 2 Enterprise Edition do użytkowników i grup Tioli Access Manager. Rozdział 5, Zadania administrowania Opisuje jak wykonywać zadania administrowania pozwalające zarządzać Tioli Access Manager for WebSphere. Rozdział 6, Przewodnik: Aktywowanie ochrony Opisuje jak dodać ochronę do aplikacji WebSphere Application Serer. W rozdziale opisano także sposób przeprowadzenia migracji informacji ochrony do systemu Tioli Access Manager oraz procedury testowe umożliwiające weryfikowanie ochrony. Rozdział 7, Instrukcje usuwania Opisuje jak usunąć pakiet Tioli Access Manager for WebSphere. Publikacje Zapraszamy do zapoznania się z opisami biblioteki Tioli Access Manager, wymaganych wstępnie publikacji oraz publikacji pokrewnych, aby stwierdzić, które z nich mogą być przydatne. Po wybraniu publikacji, należy zapoznać się z instrukcjami wyjaśniającymi jak uzyskać do nich dostęp w sieci WWW. Dodatkowe informacje o samym produkcie IBM Tioli Access Manager for e-business znajdują się pod adresem: http://www.ibm.com/software/tioli/products/access-mgr-e-bus/ Biblioteka dokumentacji Tioli Access Manager została podzielona na następujące kategorie: Uwagi do wydania Informacje o pakiecie Base Informacje o ochronie WWW na stronie ix Podręczniki dla programistów na stronie ix Dodatki techniczne na stronie x Uwagi do wydania IBM Tioli Access Manager for e-business Przeczytaj zanim zaczniesz (GI10-6721-00) Zawiera informacje, które pomagają zainstalować i rozpocząć użytkowanie Tioli Access Manager. IBM Tioli Access Manager for e-business Release Notes (GI11-4156-00) Zawiera najnowsze informacje dotyczące między innymi ograniczeń oprogramowania i sposobów rozwiązywania problemów, a także aktualizowania dokumentacji. Informacje o pakiecie Base IBM Tioli Access Manager Podręcznik instalowania pakietu Base (SC85-0126-00) Zawiera opis procedur instalowania i konfigurowania pakietu podstawowego Tioli Access Manager, w tym interfejsu Web Portal Manager. Podręcznik ten jest podzbiorem dokumentacji IBM Tioli Access Manager for e-business Podręcznik instalowania ochrony iii IBM Tioli Access Manager for e-business: IBM WebSphere Application Serer Podręcznik integrowania

WWW i jest przeznaczony do użycia wraz z innymi produktami Tioli Access Manager, takimi jak IBM Tioli Access Manager for Business Integration oraz IBM Tioli Access Manager for Operating Systems. IBM Tioli Access Manager Base Administration Guide (SC32-1360-00) Zawiera opis pojęć i procedur używania usług Tioli Access Manager. W podręczniku tym zamieszczono także instrukcje wykonywania zadań za pomocą interfejsu Web Portal Manager oraz polecenia pdadmin. Informacje o ochronie WWW IBM Tioli Access Manager for e-business Podręcznik instalowania ochrony WWW (SC85-0127-00) Zawiera instrukcje dotyczące instalowania, konfigurowania i usuwania podstawowego oprogramowania Tioli Access Manager, jak również komponentów pakietu Web Security. Podręcznik ten jest nadzbiorem dokumentacji IBM Tioli Access Manager Podręcznik instalowania pakietu Base. IBM Tioli Access Manager Upgrade Guide (SC32-1369-00) Zawiera instrukcje dotyczące aktualizowania oprogramowania Tioli SecureWay Policy Director wersja 3.8 lub wcześniejszych wersji Tioli Access Manager do Tioli Access Manager wersja 5.1. IBM Tioli Access Manager for e-business WebSEAL Administration Guide (SC32-1359-00) Zawiera informacje ogólne, procedury administracyjne i informacje techniczne dotyczące używania serwera WebSEAL do zarządzania zasobami domeny bezpiecznej w sieci WWW. IBM Tioli Access Manager for e-business IBM WebSphere Application Serer Podręcznik integrowania (SC85-0128-00) Zawiera instrukcje dotyczące instalowania, usuwania i administrowania w celach zintegrowania pakietu Tioli Access Manager z pakietem IBM WebSphere Application Serer. IBM Tioli Access Manager for e-business IBM WebSphere Edge Serer Integration Guide (SC32-1367-00) Zawiera instrukcje dotyczące instalowania, usuwania i administrowania w celach zintegrowania pakietu Tioli Access Manager z aplikacją IBM WebSphere Edge Serer. IBM Tioli Access Manager for e-business Plug-in for Web Serers Integration Guide (SC32-1365-00) Zawiera instrukcje instalowania, procedury administrowania oraz informacje techniczne dotyczące zabezpieczania domeny sieci WWW za pomocą modułu dodatkowego dla serwerów WWW. IBM Tioli Access Manager for e-business BEA WebLogic Serer Podręcznik integrowania (SC85-0129-00) Zawiera instrukcje dotyczące instalowania, usuwania i administrowania w celach zintegrowania pakietu Tioli Access Manager z pakietem BEA WebLogic Serer. IBM Tioli Access Manager for e-business IBM Tioli Identity Manager Proisioning Fast Start Guide (SC32-1364-00) Zawiera przegląd zadań związanych z zintegrowaniem pakietu Tioli Access Manager z pakietem Tioli Identity Manager oraz wyjaśnia jak używać i zainstalować kolekcję Proisioning Fast Start. Podręczniki dla programistów IBM Tioli Access Manager for e-business Authorization C API Deeloper Reference (SC32-1355-00) Przedmowa ix

Zawiera szczegółowy opis interfejsu autoryzacji API Tioli Access Manager (funkcje w języku C) oraz interfejsu modułów dodatkowych Tioli Access Manager, umożliwiających dodanie funkcji ochrony Tioli Access Manager do aplikacji. IBM Tioli Access Manager for e-business Authorization Jaa Classes Deeloper Reference (SC32-1350-00) Zawiera szczegółowy opis implementacji interfejsu autoryzacji API w języku the Jaa, umożliwiającego wykorzystanie funkcji ochrony Tioli Access Manager z poziomu aplikacji. IBM Tioli Access Manager for e-business Administration C API Deeloper Reference (SC32-1357-00) Zawiera informacje referencyjne o wykorzystywaniu interfejsu API administracji do umożliwienia aplikacjom wykonywania zadań administracyjnych pakietu Tioli Access Manager. W dokumencie opisano implementację funkcji API w języku C. IBM Tioli Access Manager for e-business Administration Jaa Classes Deeloper Reference (SC32-1356-00) Zawiera informacje referencyjne o wykorzystywaniu implementacji języka Jaa interfejsu API administracji do umożliwienia aplikacjom wykonywania zadań administracyjnych pakietu Tioli Access Manager. IBM Tioli Access Manager for e-business Web Security Deeloper Reference (SC32-1358-00) Zawiera informacje przeznaczone dla administratorów i programistów dotyczące usługi cross-domain authentication serice (CDAS), środowiska cross-domain mapping framework (CDMF) oraz modułu password strength. Dodatki techniczne IBM Tioli Access Manager for e-business Command Reference (SC32-1354-00) Zawiera informacje na temat narzędzi wiersza poleceń i skryptów dostarczanych z pakietem Tioli Access Manager. IBM Tioli Access Manager Error Message Reference (SC32-1353-00) Zawiera objaśnienia komunikatów o błędach pakietu Tioli Access Manager oraz zalecane procedury usuwania błędów. IBM Tioli Access Manager for e-business Problem Determination Guide (SC32-1352-00) Zawiera informacje o określaniu problemów w Tioli Access Manager. IBM Tioli Access Manager for e-business Performance Tuning Guide (SC32-1351-00) Zawiera informacje dotyczące zwiększania wydajności środowiska opartego na Tioli Access Manager i używającego serwera IBM Tioli Directory zdefiniowanego jako rejestr użytkowników. Publikacje pokrewne W tej sekcji wymieniono publikacje związane z biblioteką Tioli Access Manager. Biblioteka oprogramowania Tioli obejmuje różnorodne publikacje na temat produktów Tioli: raporty, arkusze danych, prezentacje, dokumenty techniczne i anonse. Biblioteka oprogramowania Tioli jest dostępna w sieci WWW pod adresem http://www.ibm.com/software/tioli/library/ Glosariusz oprogramowania Tioli zawiera definicje wielu terminów technicznych związanych z oprogramowaniem Tioli. Glosariusz oprogramowania Tioli jest dostępny, wyłącznie w języku angielskim, po kliknięciu odsyłacza Glossary (Glosariusz) w lewej ramce strony WWW Biblioteka oprogramowania Tioli, pod adresem http://www.ibm.com/software/tioli/library/ x IBM Tioli Access Manager for e-business: IBM WebSphere Application Serer Podręcznik integrowania

IBM Global Security Kit Tioli Access Manager udostępnia szyfrowanie danych za pośrednictwem pakietu IBM Global Security Kit (GSKit) wersja 7.0. Pakiet GSKit jest załączony na dysku CD IBM Tioli Access Manager Base dla danej platformy, jak również na dyskach CD IBM Tioli Access Manager Web Security, IBM Tioli Access Manager Web Administration Interfaces oraz IBM Tioli Access Manager Directory Serer. Pakiet GSKit zawiera program narzędziowy do zarządzania kluczami ikeyman gsk7ikm, który umożliwia tworzenie baz danych kluczy, par kluczy publicznych i prywatnych oraz żądań certyfikatów. Poniższy dokument jest dostępny w serwisie WWW Centrum informacyjnego Tioli w tej samej sekcji co dokumentacja produktu IBM Tioli Access Manager: IBM Global Security Kit Secure Sockets Layer and ikeyman User s Guide (SC32-1363-00) Zawiera informacje przeznaczone dla administratorów sieci i ochrony, którzy planują wdrożenie komunikacji opartej na protokole SSL w środowisku Tioli Access Manager. IBM Tioli Directory Serer Pakiet Serwer IBM Tioli Directory wersja 5.2 jest załączony do dysku CD IBM Tioli Access Manager Directory Serer dla wymaganego systemu operacyjnego. Uwaga: Serwer IBM Tioli Directory jest nową nazwą dla oprogramowania wydanego wcześniej pod nazwami: IBM Directory Serer (wersja 4.1 i 5.1) IBM SecureWay Directory Serer (wersja 3.2.2) Produkty IBM Directory Serer wersja 4.1, IBM Directory Serer wersja 5.1 oraz IBM Tioli Directory Serer wersja 5.2 są obsługiwane przez pakiet IBM Tioli Access Manager wersja 5.1. Dodatkowe informacje dotyczące produktu IBM Tioli Directory Serer znajdują się pod adresem: http://www.ibm.com/software/network/directory/library/ IBM DB2 Uniersal Database IBM DB2 Uniersal Database Enterprise Serer Edition, wersja 8.1 jest dostarczany na dysku CD IBM Tioli Access Manager Directory Serer i instalowany wraz z oprogramowaniem IBM Tioli Directory Serer. Pakiet DB2 jest wymagany przy korzystaniu z serwerów LDAP IBM Tioli Directory Serer, z/os lub OS/390 jako rejestrów użytkowników dla pakietu Tioli Access Manager. Dodatkowe informacje dotyczące produktu DB2 znajdują się pod adresem: http://www.ibm.com/software/data/db2/ IBM WebSphere Application Serer Pakiet IBM WebSphere Application Serer, Adanced Single Serer Edition 5.0, jest załączony do dysku CD IBM Tioli Access Manager Web Administration Interfaces dla wymaganego systemu operacyjnego. Oprogramowanie WebSphere Application Serer umożliwia obsługę interfejsu Web Portal Manager używanego do administrowania produktem Tioli Access Manager oraz interfejsu Web Administration Tool używanego do administrowania serwerem IBM Tioli Directory Serer. Poprawka IBM WebSphere Application Serer Fix Pack 2 wymagana przez pakiet Tioli Access Manager jest zamieszczona na dysku CD IBM Tioli Access Manager WebSphere Fix Pack. Przedmowa xi

Dodatkowe informacje dotyczące produktu IBM WebSphere Application Serer znajdują się pod adresem: http://www.ibm.com/software/webserers/appser/infocenter.html IBM Tioli Access Manager for Business Integration Pakiet IBM Tioli Access Manager for Business Integration jest dostępny jako oddzielny produkt i stanowi rozwiązanie kwestii ochrony dla IBM MQSeries, wersja 5.2, i IBM WebSphere MQ dla komunikatów wersji 5.3. IBM Tioli Access Manager for Business Integration pozwala aplikacjom WebSphere MQSeries wysyłać dane chroniąc ich prywatność i integralność za pomocą kluczy powiązanych z wysyłaniem i odbieraniem aplikacji. Podobnie jak WebSEAL i IBM Tioli Access Manager for Operating Systems, IBM Tioli Access Manager for Business Integration jest jednym z menedżerów zasobów, które korzystają z usług IBM Tioli Access Manager. Dodatkowe informacje dotyczące produktu IBM Tioli Access Manager for Business Integration znajdują się pod adresem: http://www.ibm.com/software/tioli/products/access-mgr-bus-integration/ Następujące dokumenty powiązane z IBM Tioli Access Manager for Business Integration wersja 5.1 są dostępne w serwisie WWW Centrum informacyjne Tioli: IBM Tioli Access Manager for Business Integration Administration Guide (SC23-4831-01) IBM Tioli Access Manager for Business Integration Problem Determination Guide (GC23-1328-00) IBM Tioli Access Manager for Business Integration Release Notes (GI11-0957-01) IBM Tioli Access Manager for Business Integration Read This First (GI11-4202-00) IBM Tioli Access Manager for WebSphere Business Integration Brokers Pakiet IBM Tioli Access Manager for WebSphere Business Integration Brokers dostępny jako część pakietu IBM Tioli Access Manager for Business Integration, udostępnia rozwiązania dotyczące ochrony dla produktów WebSphere Business Integration Message Broker, wersja 5.0 oraz WebSphere Business Integration Eent Broker, wersja 5.0. Produkt IBM Tioli Access Manager for WebSphere Business Integration Brokers współpracuje z pakietem Tioli Access Manager w celu chronienia aplikacji JMS publish/subscribe przez zapewnienie hasła, uwierzytelniania opartego o referencje, centralnie zdefiniowanej autoryzacji oraz usług kontroli. Dodatkowe informacje dotyczące produktu IBM Tioli Access Manager for WebSphere Integration Brokers można uzyskać pod adresem: http://www.ibm.com/software/tioli/products/access-mgr-bus-integration/ Następujące dokumenty powiązane z produktem IBM Tioli Access Manager for WebSphere Integration Brokers wersja 5.1 są dostępne w serwisie WWW Centrum informacyjne Tioli: IBM Tioli Access Manager for WebSphere Business Integration Brokers Administration Guide (SC32-1347-00) IBM Tioli Access Manager for WebSphere Business Integration Brokers Release Notes (GI11-4154-00) IBM Tioli Access Manager for Business Integration Read This First (GI11-4202-00) xii IBM Tioli Access Manager for e-business: IBM WebSphere Application Serer Podręcznik integrowania

IBM Tioli Access Manager for Operating Systems Pakiet IBM Tioli Access Manager for Operating Systems jest dostępny jako osobny produkt i udostępnia w systemach UNIX warstwę strategii autoryzacji istniejącą obok strategii rodzimej. IBM Tioli Access Manager for Operating Systems, podobnie jak WebSEAL i IBM Tioli Access Manager for Business Integration, jest jednym z menedżerów zasobów korzystających z usług IBM Tioli Access Manager. Dodatkowe informacje dotyczące produktu IBM Tioli Access Manager for Operating Systems znajdują się pod adresem: http://www.ibm.com/software/tioli/products/access-mgr-operating-sys/ Następujące dokumenty powiązane z IBM Tioli Access Manager for Operating Systems wersja 5.1 są dostępne w serwisie WWW Centrum informacyjne Tioli: IBM Tioli Access Manager for Operating Systems Installation Guide (SC23-4829-00) IBM Tioli Access Manager for Operating Systems Administration Guide (SC23-4827-00) IBM Tioli Access Manager for Operating Systems Problem Determination Guide (SC23-4828-00) IBM Tioli Access Manager for Operating Systems Release Notes (GI11-0951-00) IBM Tioli Access Manager for Operating Systems Read Me First (GI11-0949-00) IBM Tioli Identity Manager Produkt IBM Tioli Identity Manager wersja 4.5, jest osobnym produktem umożliwiającym centralne zarządzanie użytkownikami (identyfikatorami i hasłami użytkowników) oraz zarządzanie udostępnianiem obiektów (udzielanie i odbieranie uprawnień dostępu do aplikacji, zasobów i systemów operacyjnych). Produkt Tioli Identity Manager może zostać zintegrowany z pakietem Tioli Access Manager za pomocą agenta Tioli Access Manager. Aby uzyskać więcej informacji dotyczących zakupu Agenta, należy skontaktować się z przedstawicielem IBM. Dodatkowe informacje dotyczące produktu IBM Tioli Identity Manager znajdują się pod adresem: http://www.ibm.com/software/tioli/products/identity-mgr/ Dostęp do publikacji elektronicznych w sieci Publikacje na temat tego produktu są dostępne w sieci WWW w formacie Portable Document Format (PDF), Hypertext Markup Language (HTML) lub w obu tych formatach, w Bibliotece oprogramowania Tioli, pod adresem http://www.ibm.com/software/tioli/library Aby odszukać w bibliotece publikacje na temat określonego produktu, kliknij odsyłacz Product manuals (Podręczniki produktów) w lewej ramce strony Biblioteki. Następnie odszukaj i kliknij nazwę odpowiedniego produktu na stronie Centrum informacyjnego Tioli. Publikacje dotyczące poszczególnych produktów obejmują uwagi do wydań, podręczniki instalowania, podręczniki użytkownika oraz podręczniki dla programistów. Uwaga: Aby dokumenty w formacie PDF były drukowane poprawnie, należy zaznaczyć pole wyboru Fit to page (Dopasuj do strony) w oknie drukowania programu Adobe Acrobat (okno to jest wyświetlane po kliknięciu poleceń File Print w menu). Przedmowa xiii

Dostępność Funkcje dostępności są pomocne dla użytkowników niepełnosprawnych fizycznie, na przykład z ograniczoną mobilnością lub ograniczonym widzeniem i umożliwiają efektywne używanie oprogramowania. Używając tego produktu można korzystać z dźwiękowych i nawigacyjnych technik wspomagania interfejsu. Dostęp do wszystkich funkcji interfejsu graficznego jest możliwy za pomocą myszy i klawiatury. Kontakt ze wsparciem technicznym Przed skontaktowaniem się ze wsparciem technicznym IBM Tioli, należy zasięgnąć informacji w serwisie WWW dla oprogramowania IBM Tioli klikając odsyłacz Tioli support pod adresem: http://www.ibm.com/software/support/ Jeśli zawarte tam informacje są niewystarczające, można skontaktować się ze wsparciem technicznym w sposób opisany w publikacji IBM Software Support Guide w sieci WWW pod adresem http://techsupport.serices.ibm.com/guides/handbook.html Dokument ten zawiera następujące informacje: Procedury rejestracji i inne wymagania, jakie należy spełnić, aby móc uzyskać wsparcie techniczne. Numery telefonów, zależnie od kraju użytkownika. Lista informacji, jakie należy zgromadzić przed skontaktowaniem się ze wsparciem technicznym. Konwencje stosowane w tym podręczniku W podręczniku użyto specjalnych konwencji zapisywania pewnych terminów i działań, poleceń i ścieżek systemów operacyjnych. Konwencje typograficzne W podręczniku zastosowano następujące konwencje typograficzne: Czcionka pogrubiona Polecenia używające tylko małych liter lub liter małych i wielkich jednocześnie, słowa kluczowe, nazwy parametrów i opcji oraz nazwy klas języka Jaa i obiektów wydrukowano czcionką pogrubioną dla ułatwienia odróżnienia ich od otaczającego tekstu. Czcionka pochyła Nazwy zmiennych, tytuły publikacji oraz wyróżnione słowa i frazy wydrukowano czcionką pochyłą. Czcionka o stałej szerokości Przykłady kodu źródłowego, wiersze poleceń, informacje wyświetlane na ekranie, nazwy plików i katalogów trudne do odróżnienia od otaczającego tekstu, komunikaty systemowe, tekst wpisywany przez użytkownika oraz wartości argumentów i opcji poleceń wydrukowano czcionką o stałej szerokości. Różnice dotyczące systemów operacyjnych W podręczniku przyjęto konwencję zapisu zmiennych środowiskowych i katalogów stosowaną w systemie operacyjnym UNIX. Używając wiersza poleceń w systemie operacyjnym Windows, należy zastąpić zapis zmiennych środowiskowych $zmienna zapisem xi IBM Tioli Access Manager for e-business: IBM WebSphere Application Serer Podręcznik integrowania

%zmienna%, a w nazwach katalogów zastąpić znak ukośnika (/) znakiem ukośnika odwrotnego (\). Jeśli w systemie Windows jest używana powłoka bash, można używać konwencji systemu UNIX. Przedmowa x

xi IBM Tioli Access Manager for e-business: IBM WebSphere Application Serer Podręcznik integrowania

Rozdział 1. Wprowadzenie i przegląd IBM Tioli Access Manager for WebSphere Application Serer (Tioli Access Manager for WebSphere) jest rozszerzeniem IBM Tioli Access Manager (Tioli Access Manager) umożliwiającym autoryzację z użyciem obiektów-pojemników oraz scentralizowane zarządzanie strategią aplikacji serwera IBM WebSphere Application Serer. Produkt Tioli Access Manager for WebSphere ułatwia korzystanie z serwera Tioli Access Manager do scentralizowanego zarządzania strategią ochrony zarówno zasobów serwera WebSphere Application Serer, jak i zasobów niezwiązanych z tym serwerem. Tioli Access Manager udostępnia funkcje zarządzania tożsamościami, profilami użytkowników i mechanizmami autoryzacji. Tioli Access Manager udostępnia graficzny interfejs użytkownika, Tioli Access Manager Web Portal Manager, który może być wykorzystywany do centralnego zarządzania ochroną zasobów zgodnych ze standardem Jaa 2 Enterprise Edition (J2EE) oraz zasobów niezgodnych z tym standardem. WebSphere Application Serer obsługuje klasy ochrony i funkcje API standardu J2EE. Tioli Access Manager for WebSphere obsługuje aplikacje WebSphere używające klas ochrony standardu J2EE. Tioli Access Manager for WebSphere udostępnia te funkcje nie wymagając wprowadzania do aplikacji jakichkolwiek zmian programistycznych lub wdrożeniowych. Tioli Access Manager for WebSphere może być zintegrowany z pojemnikami WebSphere, aby umożliwić im używanie usług ochrony udostępnionych przez domenę bezpieczną Tioli Access Manager. Bezpieczna domena musi zostać zainstalowana przed instalacją pakietu Tioli Access Manager for WebSphere. Użytkownicy po raz pierwszy używający Tioli Access Manager powinni przejrzeć model ochrony Tioli Access Manager przed instalowaniem domeny bezpiecznej Tioli Access Manager. Skrótowe omówienie znajduje się poniżej. Tioli Access Manager stanowi kompletne rozwiązanie zarządzania strategiami autoryzacji i ochrony sieci, zapewniające całościowe zabezpieczenie zasobów w rozrzuconych geograficznie sieciach typu intranet i ekstranet. Pakiet Tioli Access Manager obejmuje najnowocześniejsze technologie zarządzania strategiami ochrony. Ponadto, Tioli Access Managerobsługuje funkcje uwierzytelniania, autoryzacji, ochrony danych i zarządzania zasobami. Pakiet Tioli Access Manager używany w połączeniu ze standardowymi aplikacjami internetowymi do tworzenia bezpiecznych i rzetelnie zarządzanych sieci typu intranet i ekstranet. U podstaw pakietu Tioli Access Manager leżą: Środowisko uwierzytelniania Pakiet Tioli Access Manager obsługuje szeroki wachlarz mechanizmów uwierzytelniania. Należy jednak zwrócić uwagę, że pakiet WebSphere przeprowadza własne procedury uwierzytelniania przed wykorzystaniem pakietu Tioli Access Manager for WebSphere. Środowisko autoryzacji Usługa autoryzacji Tioli Access Manager, do której można uzyskać dostęp ze standardowych klas autoryzacji J2EE, umożliwia podejmowanie decyzji udzielania bądź odmowy dostępu w odpowiedzi na żądania kierowane do rodzimych serwerów Tioli Access Manager oraz aplikacji innych firm. Copyright IBM Corp. 2002, 2003 1

Więcej informacji o pakiecie Tioli Access Manager, w tym informacji potrzebnych do podejmowania decyzji o instalacji, znajduje się w dokumentacji. Zalecamy zapoznanie się w pierwszej kolejności z następującymi podręcznikami: IBM Tioli Access Manager Podręcznik instalowania pakietu Base W tym podręczniku opisano sposób planowania, instalowania i konfigurowania domeny bezpiecznej Tioli Access Manager. Zestaw łatwych w użyciu skryptów instalacyjnych pozwala w krótkim czasie wdrożyć w pełni funkcjonalną domenę bezpieczną. Skrypty te są szczególnie użyteczne podczas przygotowywania prototypu domeny bezpiecznej. IBM Tioli Access Manager Base Administration Guide W tym podręczniku przedstawiono opis modelu ochrony użytego w pakiecie Tioli Access Manager do zarządzania chronionymi zasobami. Opisano sposób skonfigurowania serwerów Tioli Access Manager, które podejmują decyzje dotyczące kontroli dostępu. Ponadto, w podręczniku zamieszczono szczegółowe instrukcje wykonywania podstawowych zadań, takich jak deklarowanie strategii ochrony, definiowanie przestrzeni nazw obiektów chronionych, oraz zarządzanie profilami użytkowników i grup. Integrowanie Tioli Access Manager z WebSphere Application Serer Program Tioli Access Manager for WebSphere rozszerza model ochrony Tioli Access Manager umożliwiając pracę z aplikacjami zbudowanymi dla produktu IBM WebSphere Application Serer. Model ochrony jest używany w następujący sposób: Kiedy użytkownik próbuje uzyskać dostęp do chronionego zasobu, WebSphere wykonuje następujące procedury: Uwierzytelnienie użytkownika. Kiedy w deskryptorze wdrażania jest zdefiniowana ochrona dla aplikacji (ochrona deklaratywna), pojemnik WebSphere określa, jakie role są wymagane do uzyskania dostępu do zasobu i używa Tioli Access Manager for WebSphere, aby określić, czy bieżącemu użytkownikowi przyznano jedną z wymaganych ról. Jeśli programista aplikacji dodał kod ochrony bezpośrednio do aplikacji (ochrona programowa), pojemnik WebSphere używa serwera Tioli Access Manager do przeprowadzenia niezbędnej weryfikacji członkostwa ról. 2 IBM Tioli Access Manager for e-business: IBM WebSphere Application Serer Podręcznik integrowania

Rysunek 1. Tioli Access Manager instalowany z WebSphere Application Serer Na rysunku 1 przedstawiono kolejność zdarzeń: 1. Kiedy wykonywana jest aplikacja WebSphere wyposażona w ochronę J2EE, a użytkownik usiłuje uzyskać dostęp do chronionego zasobu serwer WebSphere uwierzytelnia użytkownika korzystając z rejestru użytkowników. Na przykład, pokazany na rysunku 1 serwer WebSphere Adanced Edition (wersja wieloserwerowa) uwierzytelnia użytkownika na podstawie rejestru użytkowników IBM Directory. Rejestr użytkowników jest współużytkowany z serwerem Tioli Access Manager. (Dla wydania WebSphere Adanced Edition Single Serer, uwierzytelnianie jest przeprowadzane w oparciu o ochronę hosta.) 2. Kiedy użytkownik zgłasza żądanie dostępu do chronionej metody lub zasobu, pojemnik WebSphere wykorzystuje informacje zawarte w deskryptorze wdrażania aplikacji J2EE, aby określić wymaganą przynależność do ról. 3. Pojemnik WebSphere używa zintegrowanego modułu Tioli Access Manager w celu zażądania decyzji o autoryzacji ( udzielić lub odmówić ) z serwera autoryzacji Tioli Access Manager. Pojemnik WebSphere przekazuje także do serwera autoryzacji dodatkowe informacje kontekstowe, jeśli dysponuje takimi informacjami. Opcjonalne informacje kontekstowe mogą zawierać nazwę komórki, nazwę hosta oraz nazwę serwera. Jeśli dla informacji kontekstowych określono strategię w bazie danych strategii Tioli Access Manager, serwer autoryzacji może uwzględnić te informacje podejmując decyzję o autoryzacji. 4. Serwer autoryzacji sprawdza definicje użytkowników Tioli Access Manager we współużytkowanym rejestrze użytkowników. (Rejestr użytkowników jest współużytkowany z serwerem WebSphere, jeśli używane jest wydanie serwera inna niż Rozdział 1. Wprowadzenie i przegląd 3

WebSphere Adanced edition Single Serer.) Następnie, serwer autoryzacji sprawdza uprawnienia zdefiniowane dla określonego użytkownika w przestrzeni nazw obiektów chronionych Tioli Access Manager. Przestrzeń nazw obiektów chronionych znajduje się w bazie danych strategii na rysunku 1. 5. Serwer autoryzacji Tioli Access Manager zwraca decyzję o udzieleniu lub odmowie dostępu do pojemnika WebSphere. 6. WebSphere Application Serer udziela albo odmawia dostępu do chronionej metody lub zasobu. Ochrona w oparciu o role Jaa 2 Enterprise Edition Ochrona Jaa 2 Enterprise Edition (J2EE) wykorzystuje pojęcie użytkownika do reprezentowania tożsamości jednostki wykonującej działania. Jednostkami mogą być osoby (użytkownicy) i procesy. Dodatkowo, J2EE używa pojęcia roli, opisanego niżej. Metody są przypisane do ról. W następującej tabeli z przykładowej aplikacji bankowej, aplikacja definiuje role i przypisuje do nich metody. Pozycja udzielić w poniższej tabeli wskazuje, że rola może uzyskać dostęp do określonej metody. Tabela 1. Przypisywanie metod rolom. Role Metody pobierzsaldo depozyt zamknijkonto Kasjer udzielić udzielić Inkasent Nadzorca udzielić udzielić Role zdefiniowane w sposób opisany powyżej można następnie przypisać do kont użytkowników i/lub grup. Pozycja Wywołanie w poniższej tabeli wskazuje, że użytkownik lub grupa może wywołać dowolne metody, do których dostęp został udzielony roli. Tabela 2. Uprawnienia do wywołania metody dla użytkowników lub grup Role Użytkownik/Grupa GrupaKasjerów GrupaInkasentów GrupaNadzorców Jan (użytkownik, nie będący członkiem którejkolwiek z wymienionych wyżej grup) Kasjer Inkasent Nadzorca Wywołanie Wywołanie Wywołanie Wywołanie W tabeli powyżej, użytkownik Jan może wywołać metody pobierzsaldo i zamknijkonto, ale nie może wywołać metody depozyt, ponieważ rolom Inkasent i Nadzorca nie udzielono uprawnienia do tej metody. Przypisywanie kont użytkowników i grup do ról Przed uruchomieniem aplikacji, używane jest narzędzie migracji Tioli Access Manager for WebSphere do zapełnienia przestrzeni nazw obiektu chronionego Tioli Access Manager. Narzędzie migracji pobiera informacje o rolach i metodach z deskryptorów wdrażania aplikacji J2EE. 4 IBM Tioli Access Manager for e-business: IBM WebSphere Application Serer Podręcznik integrowania

Podczas wykonywania aplikacji, kiedy użytkownik zgłasza żądanie dostępu do chronionego zasobu, do pojemnika WebSphere przekazywane są następujące informacje: Użytkownik Użytkownik o uwierzytelnionej tożsamości. NazwaRoli Nazwa roli. NazwaAplikacji Nazwa aplikacji. NazwaKomórki Nazwa grupy hostów w sieci. NazwaHosta Nazwa systemu hosta określonego w pozycji NazwaKomórki. NazwaSerwera Nazwa serwera zainstalowanego na hoście o nazwie określonej w pozycji NazwaHosta. Nazwy ról są pobierane z przypisań metod do ról w deskryptorach wdrażania. Domyślnie, sprawdzanie praw dostępu w Tioli Access Manager jest przeprowadzane na podstawie pozycji NazwaRoli i NazwaAplikacji. Procedurę sprawdzania uprawnień można łatwo rozszerzyć w taki sposób, aby były także uwzględniane pozycje NazwaKomórki, NazwaHosta oraz NazwaSerwera. Wartości te są opcjonalne i przetwarzane tylko wtedy, kiedy są zdefiniowane. Listy kontroli dostępu Tioli Access Manager (ACL)określają, które role aplikacji J2EE zostały przypisane do użytkownika. Narzędzie migracji dołącza listy ACL do obiektu NazwaAplikacji w przestrzeni nazw obiektu chronionego. Na rysunku 2 przedstawiono kolejność zdarzeń: 1. Przed uruchomieniem aplikacji, narzędzie migracji Tioli Access Manager for WebSphere pobiera informacje o rolach i przypisaniach ról do kont użytkowników i grup z deskryptora wdrażania aplikacji J2EE. 2. Narzędzie migracji przekształca te informacje do formatu Tioli Access Manager i przekazuje je do serwera strategii Tioli Access Manager. 3. Serwer strategii dodaje do przestrzeni nazw obiektu chronionego pozycje, które reprezentują role zdefiniowane dla aplikacji. Po zdefiniowaniu przypisań ról do kont użytkowników i grup w deskryptorze wdrażania, odpowiednie konta użytkowników i grupy są dodawane do list ACL dołączonych do nowych obiektów. Rozdział 1. Wprowadzenie i przegląd 5

Rysunek 2. Przypisywanie ról do przestrzeni obiektów chronionych Tioli Access Manager Model ochrony stosowany w systemie Tioli Access Manager wykorzystuje definicje zapisane w przestrzeni nazw obiektu chronionego do generowania hierarchii zasobów, do których mogą być dołączane listy ACL. Listy te definiują przypisania ról do użytkowników lub grup. Rysunek 3, poniżej, ilustruje, w jaki sposób listy ACL mogą być zastosowane do przestrzeni nazw obiektu chronionego, który opisuje rolę. We wszystkich aplikacjach WebSphere, przestrzeń nazw obiektu chronionego zawiera obiekt chroniony najwyższego poziomu o nazwie WebAppSerer. Obiekt WebAppSerer posiada obiekt potomny o nazwie deployedresources. Razem, te dwie nazwy obiektów służą jako przedrostek najwyższego poziomu dla wszystkich ról J2EE zdefiniowanych w aplikacjach WebSphere. 6 IBM Tioli Access Manager for e-business: IBM WebSphere Application Serer Podręcznik integrowania

Role są definiowane na kolejnym poziomie hierarchii, jako nazwane zasoby dla roli NazwaRoli.Bezpośrednio poniżej tego obiektu znajduje się zasób reprezentujący aplikację: NazwaAplikacji.Poniżej obiektu chronionego NazwaAplikacji znajduje się kilka zasobów opcjonalnych, których definicje można utworzyć, aby bardziej precyzyjnie kontrolować dostęp do ról.zasoby opcjonalne to NazwaKomórki, NazwaHosta i NazwaSerwera. Rysunek 3. Dołączanie list kontroli dostępu do obiektów w chronionej przestrzeni nazw. Na rysunku 3 powyżej, lista ACL 1 udziela użytkownikowi1 dostępu do do roli określonej w pozycji NazwaRoli, w dowolnej aplikacji działającej w sieci. Dla kont użytkownik2 i grupa1, dostęp nie zostanie udzielony. W modelu ochrony Tioli Access Manager, te ustawienia dostępu są dziedziczone przez obiekty znajdujące się poniżej pozycji NazwaRoli w hierarchii pamięci obiektu chronionego.dziedziczenie to jest obsługiwane domyślnie. Stąd, na Rysunku 3 ustawienia dostępu są dziedziczone przez obiekt reprezentujący AppName/CellName/HostName/SererName. Strategia ochrony wymaga niekiedy, aby ustawienia dostępu do obiektów położonych poniżej punktu dołączenia listy ACL były inne od dziedziczonych ustawień dostępu. W takim wypadku, administrator Tioli Access Manager może zdefiniować nową listę ACL, zawierającą wymagane ustawienia dostępu. Następnie, administrator dołącza nową listę ACL do obiektu w określonym punkcie kontroli. Nowa lista ACL przesłania odziedziczone ustawienia dostępu. Na przykład, strategia ochrony może wymagać, aby użytkownikowi1 nie przyznano uprawnienia do roli określonej w pozycji NazwaRoli, jeśli aplikacja jest uruchomiona na określonym serwerze działającym na określonym hoście w określonej komórce. Aby wymusić wprowadzenie tej strategii, administrator definiuje bardziej restrykcyjną listę ACL, którą na rysunku 3 ilustruje lista ACL 2. Ta lista ACL odmawia dostępu użytkownikowi1, użytkownikowi2 i grupie1. Następnie, administrator dołącza listę ACL do obiektu NazwaSerwera. Obiekt ten reprezentuje serwer, do którego prawa dostępu muszą być ograniczone. Rysunek 3 ilustruje dołączenie listy ACL 2 do obiektu NazwaSerwera.Należy zwrócić uwagę, że lista ACL 2 ma zastosowanie wyłącznie do określonego serwera. Jeśli zdefiniowano więcej niż jeden obiekt w pozycji NazwaSerwera poniżej obiektu NazwaHosta, lista ACL 2 Rozdział 1. Wprowadzenie i przegląd 7

ma zastosowanie tylko do tego obiektu NazwaSerwera, do którego jest dołączona. Wszystkie inne obiekty w pozycji NazwaSerwera na tym poziomie hierarchii nadal dziedziczą ustawienia dostępu zdefiniowane na liście ACL 1 i dołączone do obiektu NazwaRoli. Więcej informacji na temat używania list ACL w przestrzeni nazw obiektu chronionego znajduje się w IBM Tioli Access Manager Base Administration Guide. Scentralizowane zarządzanie strategią wielu serwerów WebSphere Tioli Access Manager zapewnia możliwość scentralizowanego zarządzania strategiami ochrony. Za pomocą systemu Tioli Access Manager można zarządzać strategią ochrony na wielu serwerach aplikacji WebSphere Application Serer. Dodatkowo, Tioli Access Manager używa tego samego modelu do zarządzania ochroną aplikacji innych niż WebSphere. Po przeprowadzeniu migracji do Tioli Access Manager przypisań ról do użytkowników lub grup na podstawie deskryptorów wdrażania w aplikacji J2EE, oraz po zarejestrowaniu użytkowników o grup w Tioli Access Manager, można użyć narzędzi zarządzania systemu Tioli Access Manager do wprowadzania dalszych zmian definicji ochrony. Interfejsu Tioli Access Manager Web Portal Manager można użyć do zarządzania zmianami definicji ochrony w zakresie przypisań ról do użytkowników lub grup. Do wprowadzania innych zmian związanych z ochroną należy użyć konsoli WebSphere. Należy zwrócić uwagę, że zmiany przypisań ról wprowadzone w konsoli WebSphere nie będą widziane z poziomu modelu ochrony Tioli Access Manager. Do zarządzania strategią ochrony służą następujące narzędzia Tioli Access Manager: Tioli Access Manager Web Portal Manager Interfejs Web Portal Manager jest konsolą zarządzania Tioli Access Manager. Konsola ta udostępnia graficzny interfejs użytkownika służący do zarządzania kontami użytkowników Tioli Access Manager, działaniami i zasobami zdefiniowanymi w przestrzeni nazw obiektów chronionych Tioli Access Manager. Konsoli można użyć do tworzenia i zarządzania listami ACL, a także do zarządzania definicjami użytkowników i grup w rejestrze użytkowników. pdadmin Program narzędziowy wiersza poleceń pdadmin służy do zarządzania modelem ochrony systemu Tioli Access Manager. Program ten ma wiele zastosowań i może być używany do zarządzania wszelkimi aspektami przestrzeni nazw obiektów chronionych Tioli Access Manager, w tym użytkownikami, obiektami, zasobami i listami ACL. Za pomocą programu pdadmin można także zarządzać pozycjami użytkowników i grup w rejestrach użytkowników. Administratorzy mogą wywoływać ten program z poziomu skryptów lub innych programów, co pozwala zautomatyzować pewne zadania związane z administrowaniem. Aby uzyskać więcej informacji, patrz IBM Tioli Access Manager Base Administration Guide. Administracyjne funkcje API Tioli Access Manager Tioli Access Manager udostępnia interfejs programistyczny do zadań administrowania obsługiwanych przez program pdadmin i interfejs Web Portal Manager. Programiści mogą używać języka C lub Jaa do przeprowadzania zadań administrowania specyficznych dla danej aplikacji. Aby uzyskać więcej informacji, patrz IBM Tioli Access Manager for e-business Administration C API Deeloper Reference lub IBM Tioli Access Manager for e-business Administration Jaa Classes Deeloper Reference. 8 IBM Tioli Access Manager for e-business: IBM WebSphere Application Serer Podręcznik integrowania