IBM Tivoli Access Manager Podręcznik instalacji WebSEAL Wersja 4.1 SC85-0097-01
IBM Tivoli Access Manager Podręcznik instalacji WebSEAL Wersja 4.1 SC85-0097-01
Uwaga Przed wykorzystaniem tych informacji i użyciem produktu, którego dotyczą, zapoznaj się z informacjami z sekcji Uwagi, na stronie 45. Wydanie piąte: (Sierpień 2003) To wydanie zastępuje wydanie GC32-0683-01 Copyright International Business Machines Corporation 1999, 2003. Wszelkie prawa zastrzeżone.
Spis treści Przedmowa.................................. v Dla kogo przeznaczony jest ten podręcznik...........................v Co zamieszczono w tym podręczniku............................v Publikacje....................................vi Uwagi do wydania.................................vi Informacje o pakiecie Base..............................vi Informacje o pakiecie WebSEAL............................vi Informacje o ochronie w sieci WWW........................... vii Podręczniki dla programistów............................. vii Dodatki techniczne................................ vii Publikacje pokrewne................................ viii Dostęp do publikacji elektronicznych w sieci.........................x Dostępność....................................x Kontakt ze wsparciem technicznym.............................x Konwencje stosowane w tym podręczniku...........................x Konwencje typograficzne...............................x Różnice dotyczące systemów operacyjnych.........................xi Rozdział 1. Przegląd instalacji.......................... 1 Obsługiwane platformy................................1 Wymagania dotyczące dysku i pamięci............................1 Pakiety instalacyjne..................................2 Programowe wymagania wstępne.............................2 Wymagania wstępne dla serwera WebSEAL.........................2 Wymagania wstępne dla pakietu WebSEAL ADK........................3 Opcje instalacji...................................4 Rozdział 2. Używanie instalacji uproszczonej.................... 5 Programy instalacji uproszczonej pakietu WebSEAL........................5 Korzystanie z programu instalacji uproszczonej pakietu WebSEAL..................6 Korzystanie z programu instalacji uproszczonej pakietu WebSEAL ADK.................7 Konfigurowanie pakietu WebSEAL za pomocą programów instalacji uproszczonej...............8 Uzyskiwanie ustawień konfiguracyjnych interaktywnie......................9 Uzyskiwanie ustawień konfiguracyjnych z plików odpowiedzi...................10 Ograniczenia instalacji uproszczonej............................11 Rozdział 3. Używanie instalacji rodzimej..................... 13 Instalowanie i konfigurowanie serwera WebSEAL w systemie UNIX..................14 Instalowanie serwera WebSEAL w systemie AIX.......................14 Instalowanie serwera WebSEAL w systemie HP-UX......................15 Instalowanie serwera WebSEAL w systemie Linux na zseries....................16 Instalowanie serwera WebSEAL w systemie Solaris.......................17 Konfigurowanie serwera WebSEAL w systemie UNIX......................17 Instalowanie pakietu WebSEAL ADK w systemie UNIX......................19 Instalowanie pakietu WebSEAL ADK w systemie AIX......................20 Instalowanie pakietu WebSEAL ADK w systemie HP-UX.....................20 Instalowanie WebSEAL ADK w systemie Linux on zseries....................21 Instalowanie pakietu WebSEAL ADK w systemie Solaris.....................21 Instalowanie serwera WebSEAL i pakietu WebSEAL ADK w systemie Windows...............22 Konfigurowanie serwera WebSEAL w systemie Windows.....................23 Rozdział 4. Aktualizacja serwera WebSEAL z wersji 3.8 do 4.1............ 27 Aktualizacja serwera WebSEAL w systemie AIX........................27 Aktualizacja serwera WebSEAL w systemie HP-UX.......................28 Copyright IBM Corp. 1999, 2003 iii
Aktualizacja serwera WebSEAL w systemie Solaris........................30 Aktualizacja serwera WebSEAL w systemie Windows.......................31 Rozdział 5. Aktualizacja serwera WebSEAL z wersji 3.9 do 4.1............ 33 Aktualizacja serwera WebSEAL w systemie AIX........................33 Aktualizacja serwera WebSEAL w systemie HP-UX.......................34 Aktualizacja WebSEAL w systemie Linux na zseries.......................36 Aktualizacja serwera WebSEAL w systemie Solaris........................37 Aktualizacja serwera WebSEAL w systemie Windows.......................38 Rozdział 6. Dekonfigurowanie i usuwanie WebSEAL................ 39 Dekonfigurowanie WebSEAL w systemie UNIX.........................39 Dekonfigurowanie WebSEAL w systemie Windows........................40 Usuwanie pakietu WebSEAL z systemu AIX..........................40 Usuwanie WebSEAL z systemu HP-UX...........................41 Usuwanie pakietu WebSEAL z systemu Linux.........................42 Usuwanie WebSEAL z systemu Solaris...........................42 Usuwanie WebSEAL z systemu Windows...........................43 Usuwanie pakietów WebSEAL i WebSEAL ADK.......................43 Usuwanie tylko pakietu WebSEAL ADK..........................44 Dodatek. Uwagi................................ 45 Znaki towarowe..................................47 Indeks.................................... 49 iv IBM Tivoli Access Manager: Podręcznik instalacji WebSEAL
Przedmowa IBM Tivoli Access Manager WebSEAL jest menedżerem ochrony zasobów opartych na sieci WWW. Serwer WebSEAL to wydajny, wielowątkowy serwer sieci WWW, który stosuje precyzyjne strategie ochrony wobec pamięci obiektów chronionych w sieci WWW. WebSEAL potrafi zapewnić rozwiązania dotyczące pojedynczego logowania i włączyć do swej strategii ochrony zasoby serwera aplikacji WWW zaplecza. Uwaga: IBM Tivoli Access Manager jest nową nazwą oprogramowania dotychczas znanego pod nazwą Tivoli SecureWay Policy Director. Ponadto, użytkownicy zaznajomieni z oprogramowaniem i dokumentacją systemu Tivoli SecureWay Policy Director powinni zwrócić uwagę, że termin serwer zarządzania został zastąpiony terminem serwer strategii. W książce IBM Tivoli Access Manager WebSEAL Podręcznik instalowania wyjaśniono, w jaki sposób instalować, konfigurować i aktualizować oprogramowanie Tivoli Access Manager WebSEAL. Dla kogo przeznaczony jest ten podręcznik Podręcznik niniejszy jest przeznaczony dla: v Administratorów ochrony v Administratorów systemów sieciowych v Architektów systemów informatycznych v Programistów aplikacji Podręcznik zakłada, że czytelnik jest zaznajomiony z następującymi zagadnieniami: v Protokoły internetowe, w tym HTTP, TCP/IP, FTP i telnet v Wdrażanie serwerów sieci WWW i zarządzanie nimi v Zarządzanie ochroną, w tym uwierzytelnianiem i autoryzacją Użytkownicy wykorzystujący komunikację opartą na protokole Secure Sockets Layer (SSL) powinni także być zaznajomieni zagadnieniami dotyczącymi protokołu SSL, wymiany kluczy (publicznych i prywatnych), podpisów cyfrowych, algorytmów szyfrujących i ośrodków certyfikacji. Co zamieszczono w tym podręczniku Niniejsza książka zawiera następujące rozdziały: v Rozdział 1, Przegląd instalacji, na stronie 1 Wylicza obsługiwane platformy i opisuje zależności pakietu IBM Tivoli Access Manager Base od oprogramowania. v Rozdział 2, Używanie instalacji uproszczonej, na stronie 5 Opisuje sposób instalowania i konfigurowania serwera WebSEAL lub pakietu WebSEAL ADK za pomocą programów instalacji uproszczonej. v Rozdział 3, Używanie instalacji rodzimej, na stronie 13 Opisuje sposób instalowania i konfigurowania serwera WebSEAL i wymaganego oprogramowania za pomocą rodzimych narzędzi systemu operacyjnego. v Rozdział 4, Aktualizacja serwera WebSEAL z wersji 3.8 do 4.1, na stronie 27 Copyright IBM Corp. 1999, 2003 v
Opisuje, w jaki sposób zaktualizować wersję 3.8 serwera WebSEAL do wersji 4.1. v Rozdział 5, Aktualizacja serwera WebSEAL z wersji 3.9 do 4.1, na stronie 33 Opisuje, w jaki sposób zaktualizować wersję 3.9 serwera WebSEAL do wersji 4.1. v Rozdział 6, Dekonfigurowanie i usuwanie WebSEAL, na stronie 39 Opisuje, w jaki sposób zdekonfigurować i usunąć serwer WebSEAL z poszczególnych platform obsługiwanych systemów operacyjnych. Publikacje Biblioteka dokumentacji Tivoli Access Manager została podzielona na następujące kategorie: v Uwagi do wydania v Informacje o pakiecie Base v Informacje o pakiecie WebSEAL v Informacje o ochronie w sieci WWW na stronie vii v Podręczniki dla programistów na stronie vii v Dodatki techniczne na stronie vii Uwagi do wydania v IBM Tivoli Access Manager Przeczytaj zanim zaczniesz GI10-6704-00 (am41_readme.pdf) Zawiera informacje, które pomagają zainstalować i rozpocząć użytkowanie Tivoli Access Manager. v IBM Tivoli Access Manager Release Notes SC32-1130-00 (am41_relnotes.pdf) Zawiera najnowsze informacje dotyczące między innymi ograniczeń oprogramowania i sposobów rozwiązywania problemów, a także aktualizowania dokumentacji. Informacje o pakiecie Base v IBM Tivoli Access Manager Podręcznik instalacji pakietu Base SC85-0096-01 (am41_install.pdf) Zawiera opis procedur instalowania, konfigurowania i aktualizowania pakietu Tivoli Access Manager, w tym interfejsu Web Portal Manager. v IBM Tivoli Access Manager Base Administrator s Guide SC32-1132-01 (am41_admin.pdf) Zawiera opis pojęć i procedur używania usług Tivoli Access Manager. W podręczniku tym zamieszczono także instrukcje wykonywania zadań za pomocą interfejsu Web Portal Manager oraz polecenia pdadmin. Informacje o pakiecie WebSEAL v IBM Tivoli Access Manager Podręcznik instalacji WebSEAL SC85-0097-01 (amweb41_install.pdf) Zawiera instrukcje dotyczące instalowania, konfigurowania i usuwania serwera WebSEAL i pakietu WebSEAL Application Development Kit (ADK). v IBM Tivoli Access Manager WebSEAL Administrator s Guide SC32-1134-01 (amweb41_admin.pdf) Zawiera informacje ogólne, procedury administracyjne i informacje techniczne dotyczące używania serwera WebSEAL do zarządzania zasobami domeny bezpiecznej w sieci WWW. vi IBM Tivoli Access Manager: Podręcznik instalacji WebSEAL
Informacje o ochronie w sieci WWW v IBM Tivoli Access Manager for WebSphere Application Server Podręcznik użytkownika SC85-0098-01 (amwas41_user.pdf) Zawiera instrukcje instalowania, usuwania i administrowania dotyczące serwera Tivoli Access Manager for IBM WebSphere Application Server. v IBM Tivoli Access Manager for WebLogic Server Podręcznik użytkownika SC85-0099-01 (amwls41_user.pdf) Zawiera instrukcje instalowania, usuwania i administrowania dotyczące serwera Tivoli Access Manager for BEA WebLogic Server. v IBM Tivoli Access Manager Plug-in for Edge Server User s Guide SC32-1138-01 (amedge41_user.pdf) Opisuje procedury instalowania, konfigurowania i administrowania modułu dodatkowego dla serwera IBM WebSphere Edge Server. v IBM Tivoli Access Manager Plug-in for Web Servers User s Guide SC32-1139-01 (amws41_user.pdf) Zawiera instrukcje instalowania, procedury administrowania oraz informacje techniczne dotyczące zabezpieczania domeny sieci WWW za pomocą modułu dodatkowego dla serwerów WWW. Podręczniki dla programistów v IBM Tivoli Access Manager Authorization C API Developer s Reference SC32-1140-01 (am41_authc_devref.pdf) Zawiera szczegółowy opis interfejsu autoryzacji API Tivoli Access Manager (funkcje w języku C) oraz interfejsu modułów dodatkowych Tivoli Access Manager, umożliwiających dodanie funkcji ochrony do aplikacji. v IBM Tivoli Access Manager Authorization Java Classes Developer s Reference SC32-1141-01 (am41_authj_devref.pdf) Zawiera szczegółowy opis implementacji interfejsu autoryzacji API w języku the Java, umożliwiającego wykorzystanie funkcji ochrony Tivoli Access Manager z poziomu aplikacji. v IBM Tivoli Access Manager Administration C API Developer s Reference SC32-1142-01 (am41_adminc_devref.pdf) Zawiera informacje referencyjne o wykorzystywaniu interfejsu API administracji do umożliwienia aplikacjom wykonywania zadań administracyjnych pakietu Tivoli Access Manager. W dokumencie opisano implementację funkcji API w języku C. v IBM Tivoli Access Manager Administration Java Classes Developer s Reference SC32-1143-01 (am41_adminj_devref.pdf) Zawiera informacje referencyjne o wykorzystywaniu implementacji języka Java interfejsu API administracji do umożliwienia aplikacjom wykonywania zadań administracyjnych pakietu Tivoli Access Manager. v IBM Tivoli Access Manager WebSEAL Developer s Reference SC32-1135-01 (amweb41_devref.pdf) Zawiera informacje przeznaczone dla administratorów i programistów dotyczące usługi Cross-domain Authentication Service (CDAS), środowiska Cross-domain Mapping Framework (CDMF) oraz modułu Password Strength. Dodatki techniczne v IBM Tivoli Access Manager Command Reference GC32-1107-01 (am41_cmdref.pdf) Przedmowa vii
Publikacje Zawiera informacje na temat narzędzi wiersza poleceń i skryptów dostarczanych z pakietem Tivoli Access Manager. v IBM Tivoli Access Manager Error Message Reference SC32-1144-01 (am41_error_ref.pdf) Zawiera objaśnienia komunikatów o błędach pakietu Tivoli Access Manager oraz zalecane procedury usuwania błędów. v IBM Tivoli Access Manager Problem Determination Guide GC32-1106-01 (am41_pdg.pdf) Zawiera informacje o określaniu problemów w Tivoli Access Manager. v IBM Tivoli Access Manager Performance Tuning Guide SC32-1145-01 (am41_perftune.pdf) Zawiera informacje dotyczące zwiększania wydajności środowiska opartego na Tivoli Access Manager i używającego serwera IBM Directory zdefiniowanego jako rejestr użytkowników. pokrewne W tej sekcji wymieniono publikacje związane z biblioteką Tivoli Access Manager. Biblioteka oprogramowania Tivoli obejmuje różnorodne publikacje na temat produktów Tivoli: raporty, arkusze danych, prezentacje, dokumenty techniczne i anonse. Biblioteka oprogramowania Tivoli jest dostępna w sieci WWW pod adresem http://www.ibm.com/software/tivoli/library/ Glosariusz oprogramowania Tivoli zawiera definicje wielu terminów technicznych związanych z oprogramowaniem Tivoli. Słownik oprogramowania Tivoli jest dostępny, wyłącznie w języku angielskim, po kliknięciu odsyłacza Glossary (Słownik) w lewej ramce strony WWW Biblioteka oprogramowania Tivoli, pod adresem http://www.ibm.com/software/tivoli/library/ IBM Global Security Kit Tivoli Access Manager udostępnia szyfrowanie danych za pomocą pakietu IBM Global Security Kit (GSKit). Pakiet GSKit jest dostarczany na dysku CD IBM Tivoli Access Manager Base odpowiednim dla używanej platformy. Pakiet GSKit instaluje program narzędziowy gsk5ikm do zarządzania kluczami ikeyman, który umożliwia tworzenie baz danych kluczy, par kluczy publicznych i prywatnych oraz żądań certyfikatów. Poniższy dokument jest dostępny w serwisie WWW Centrum informacyjnego Tivoli w tej samej sekcji co dokumentacja produktu IBM Tivoli Access Manager: v Secure Sockets Layer Introduction and ikeyman User s Guide (gskikm5c.pdf) Zawiera informacje przeznaczone dla administratorów sieci i ochrony, którzy planują wdrożenie komunikacji opartej na protokole SSL w środowisku Tivoli Access Manager. IBM DB2 Universal Database Baza danych IBM DB2 Universal Database wymagana jest podczas instalowania serwerów LDAP IBM Directory, z/os i OS/390. DB2 znajduje się na dysku CD produktu w wersjach dla następujących platform systemowych: v IBM AIX v Microsoft Windows v Sun Solaris Operating Environment Informacje o bazie danych DB2 są dostępne w: viii IBM Tivoli Access Manager: Podręcznik instalacji WebSEAL
http://www.ibm.com/software/data/db2/ Serwer IBM Directory Serwer IBM Directory wersja 4.1 znajduje się na dysku CD IBM Tivoli Access Manager Base w wersji dla wszystkich platform oprócz systemu Linux for zseries. Serwer IBM Directory dla Linux for S/390 można uzyskać pod adresem: http://www.ibm.com/software/network/directory/server/download/ Jeśli serwer IBM Directory będzie używany jako rejestr użytkowników, należy przejrzeć informacje znajdujące się w: http://www.ibm.com/software/network/directory/library/ IBM WebSphere Application Server Produkt IBM WebSphere Application Server, Advanced Single Server Edition 4.0.3 znajduje się na dyskach CD Web Portal Manager i jest instalowany razem z interfejsem Web Portal Manager. Więcej informacji dotyczących IBM WebSphere Application Server znajduje się w: http://www.ibm.com/software/webservers/appserv/infocenter.html IBM Tivoli Access Manager for Business Integration Pakiet IBM Tivoli Access Manager for Business Integration jest dostępny jako oddzielny produkt i stanowi rozwiązanie kwestii ochrony dla IBM MQSeries, wersja 5.2, i IBM WebSphere MQ dla komunikatów wersji 5.3. IBM Tivoli Access Manager for Business Integration pozwala aplikacjom WebSphere MQSeries wysyłać dane chroniąc ich prywatność i integralność za pomocą kluczy powiązanych z wysyłaniem i odbieraniem aplikacji. Podobnie jak WebSEAL i IBM Tivoli Access Manager for Operating Systems, IBM Tivoli Access Manager for Business Integration jest jednym z menedżerów zasobów, które korzystają z usług autoryzacji IBM Tivoli Access Manager for e-business. Następujące dokumenty powiązane z IBM Tivoli Access Manager for Business Integration wersja 4.1 są dostępne w serwisie WWW Centrum informacyjne Tivoli: v IBM Tivoli Access Manager for Business Integration Administrator s Guide (SC23-4831-00) v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-00) v IBM Tivoli Access Manager for Business Integration Read Me First (GI11-0958-00) IBM Tivoli Access Manager for Operating Systems Pakiet IBM Tivoli Access Manager for Operating Systems jest dostępny jako osobny produkt i udostępnia w systemach UNIX warstwę strategii autoryzacji istniejącą obok strategii rodzimej. IBM Tivoli Access Manager for Operating Systems tak jak dla WebSEAL i IBM Tivoli Access Manager for Business Integration jest jednym z menedżerów zasobów korzystających z usług autoryzacji IBM Tivoli Access Manager dla e-biznesu. Następujące dokumenty powiązane z IBM Tivoli Access Manager for Operating Systems wersja 4.1 są dostępne w serwisie WWW Centrum informacyjne Tivoli: v IBM Tivoli Access Manager for Operating Systems Installation Guide (SC23-4829-00) v IBM Tivoli Access Manager for Operating Systems Administration Guide (SC23-4827-00) v IBM Tivoli Access Manager for Operating Systems Problem Determination Guide (SC23-4828-00) v IBM Tivoli Access Manager for Operating Systems Release Notes (GI11-0951-00) v IBM Tivoli Access Manager for Operating Systems Read Me First (GI11-0949-00) Przedmowa ix
Dostęp do publikacji elektronicznych w sieci Publikacje na temat tego produktu są dostępne w sieci WWW w formacie Portable Document Format (PDF), Hypertext Markup Language (HTML) lub w obu tych formatach, w Bibliotece oprogramowania Tivoli, pod adresem http://www.ibm.com/software/tivoli/library Aby odszukać w bibliotece publikacje na temat określonego produktu, kliknij odsyłacz Product manuals (Podręczniki produktów) w lewej ramce strony Biblioteki. Następnie odszukaj i kliknij nazwę odpowiedniego produktu na stronie Centrum informacyjnego Tivoli. Publikacje dotyczące poszczególnych produktów obejmują uwagi do wydań, podręczniki instalowania, podręczniki użytkownika oraz podręczniki dla programistów. Uwaga: Aby dokumenty w formacie PDF były drukowane poprawnie, należy zaznaczyć pole wyboru Fit to page (Dopasuj do strony) w oknie drukowania programu Adobe Acrobat (okno to jest wyświetlane po kliknięciu poleceń File Print w menu). Dostępność Funkcje dostępności są pomocne dla użytkowników niepełnosprawnych fizycznie, na przykład z ograniczoną mobilnością lub ograniczonym widzeniem i umożliwiają efektywne używanie oprogramowania. Używając tego produktu można korzystać z dźwiękowych i nawigacyjnych technik wspomagania interfejsu. Dostęp do wszystkich funkcji interfejsu graficznego jest możliwy za pomocą myszy i klawiatury. Kontakt ze wsparciem technicznym Przed skontaktowaniem się ze wsparciem technicznym IBM Tivoli, należy zasięgnąć informacji w serwisie WWW dla oprogramowania IBM Tivoli pod adresem http://www.ibm.com/software/sysmgmt/products/support/ Jeśli zawarte tam informacje są niewystarczające, można skontaktować się ze wsparciem technicznym w sposób opisany w publikacji IBM Software Support Guide w sieci WWW pod adresem http://techsupport.services.ibm.com/guides/handbook.html Dokument ten zawiera następujące informacje: v Procedury rejestracji i inne wymagania, jakie należy spełnić, aby móc uzyskać wsparcie techniczne. v Numery telefonów i adresy poczty elektronicznej, zależnie od kraju użytkownika v Lista informacji, jakie należy zgromadzić przed skontaktowaniem się ze wsparciem technicznym. Konwencje stosowane w tym podręczniku Konwencje W podręczniku użyto specjalnych konwencji zapisywania pewnych terminów i działań, poleceń i ścieżek systemów operacyjnych. typograficzne W podręczniku zastosowano następujące konwencje typograficzne: Czcionka pogrubiona Polecenia używające tylko małych liter lub liter małych i wielkich jednocześnie, słowa kluczowe, nazwy parametrów i opcji oraz nazwy klas języka Java i obiektów wydrukowano czcionką pogrubioną dla ułatwienia odróżnienia ich od otaczającego tekstu. x IBM Tivoli Access Manager: Podręcznik instalacji WebSEAL
Czcionka pochyła Nazwy zmiennych, tytuły publikacji oraz wyróżnione słowa i frazy wydrukowano czcionką pochyłą. Czcionka o stałej szerokości Przykłady kodu źródłowego, wiersze poleceń, informacje wyświetlane na ekranie, nazwy plików i katalogów trudne do odróżnienia od otaczającego tekstu, komunikaty systemowe, tekst wpisywany przez użytkownika oraz wartości argumentów i opcji poleceń wydrukowano czcionką o stałej szerokości. Różnice dotyczące systemów operacyjnych W podręczniku przyjęto konwencję zapisu zmiennych środowiskowych i katalogów stosowaną w systemie operacyjnym UNIX. Używając wiersza poleceń w systemie operacyjnym Windows, należy zastąpić zapis zmiennych środowiskowych $zmienna zapisem %zmienna%, a w nazwach katalogów zastąpić znak ukośnika (/) znakiem ukośnika odwrotnego (\). Jeśli w systemie Windows jest używana powłoka bash, można używać konwencji systemu UNIX. Przedmowa xi
xii IBM Tivoli Access Manager: Podręcznik instalacji WebSEAL
Rozdział 1. Przegląd instalacji Przed rozpoczęciem instalowania pakietu Tivoli Access Manager WebSEAL lub WebSEAL ADK należy zapoznać się ze składnikami pakietu i opcjami instalacji. Ten rozdział zawiera następujące sekcje: v Obsługiwane platformy v Wymagania dotyczące dysku i pamięci v Pakiety instalacyjne na stronie 2 v Programowe wymagania wstępne na stronie 2 v Opcje instalacji na stronie 4 Uwaga Najnowsze informacje, w tym listę wymaganych pakietów poprawek dla każdego obsługiwanego systemu operacyjnego, zamieszczono w dokumencie IBM Tivoli Access Manager Release Notes. Obsługiwane platformy Pakiety Tivoli Access Manager WebSEAL i Tivoli Access Manager WebSEAL ADK są obsługiwane na następujących platformach: v Sun Solaris Operating System 2.7 i 2.8 v AIX 4.3.3 i 5.1.0 v Red Hat Linux 7.1 i 7.2 v SuSE Linux Enterprise Server 7 for S/390 and zseries (Kernel 2.4.7, 31-bit, glibc 2.2.4-31, gcc 2.95.3-119) (z pakietem serwisowym Maintenance Patch-CD 1) v SuSE Linux Enterprise Server 7 for IBM zseries (Kernel 2.4.17, 64-bit z 31 bitowym trybem kompatybilności, glibc 2.2.4-12, gcc 2.95.3-61) v HP-UX 11.0 i 11i v Windows NT 4.0 (z pakietem poprawek 6a) v Windows 2000 Advanced Server (z pakietem poprawek 2) Wymagania dotyczące dysku i pamięci Wymagania sprzętowe dla pakietu WebSEAL: v Miejsce na dysku: 10 MB W połączeniu z wymaganiem wstępnym dla środowiska wykonawczego Tivoli Access Manager (65 MB), wymagana minimalna ilość miejsca na dysku wynosi 75 MB. Zaleca się zarezerwowanie dodatkowych 100 MB miejsca na dysku dla plików protokołu WebSEAL. v Pamięć: co najmniej 64 MB (zalecane 256 MB) Należy zwrócić uwagę, że program wymaga co najmniej 64 MB pamięci ponad minimalną ilość pamięci 64 MB, jakiej wymaga środowisko wykonawcze Tivoli Access Manager. Optymalną wydajność zapewni zainstalowanie 256 MB pamięci lub więcej. Copyright IBM Corp. 1999, 2003 1
Pakiety instalacyjne Dysk CD Web Security IBM Tivoli Access Manager zawiera pakiety instalacyjne dla następującego oprogramowania WebSEAL: v Tivoli Access Manager WebSEAL Pakiet ten zawiera serwer WebSEAL i pliki konfiguracyjne. v Tivoli Access Manager WebSEAL ADK Ten pakiet zawiera API dla programistów dotyczące usługi Tivoli Access Manager Cross-domain Authentication Service (CDAS), Tivoli Access Manager środowiska Cross-domain Mapping Framework (CDMF) oraz modułu Tivoli Access Manager Password Strength Module. Dysk CD Web Security zawiera także wymienione niżej pakiety programowych wymagań wstępnych. (Pakiety te umożliwiają zainstalowanie serwera WebSEAL bez korzystania z dysków CD z pakietem Base IBM Tivoli Access Manager.) v Środowisko wykonawcze Tivoli Access Manager v Klient IBM Directory v IBM Global Security Kit (GSKit) v Tivoli Access Manager ADK Programowe wymagania wstępne W poniższych sekcjach omówiono programowe wymagania wstępne dla poszczególnych pakietów WebSEAL: v Wymagania wstępne dla serwera WebSEAL na stronie 2 v Wymagania wstępne dla pakietu WebSEAL ADK na stronie 3 Uwaga: Programowe wymagania wstępne i wszelkie wymagane poprawki do produktów są instalowane automatycznie przez skrypty (UNIX) lub pliki wsadowe (Windows) instalacji uproszczonej. Aby uzyskać więcej informacji na temat instalacji uproszczonej, zobacz Opcje instalacji na stronie 4. Wymagania wstępne dla serwera WebSEAL Na każdym komputerze będącym hostem dla serwera WebSEAL musi być zainstalowane i skonfigurowane następujące oprogramowanie: v IBM Global Security Kit (GSKit) v Klient IBM Directory v Środowisko wykonawcze Tivoli Access Manager Przed zainstalowaniem pakietu WebSEAL lub WebSEAL ADK należy ustanowić domenę bezpieczną pakietu Tivoli Access Manager. Aby można było ustanowić domenę bezpieczną, na komputerze będącym hostem serwera WebSEAL lub na komputerze zdalnym musi być zainstalowane i skonfigurowane następujące oprogramowanie: v Serwer strategii Tivoli Access Manager v Obsługiwany serwer LDAP, na przykład serwer IBM Directory Dla serwera WebSEAL istnieją zatem dwa scenariusze instalowania: 1. Na tym samym komputerze jako serwer strategii Tivoli Access Manager 2. Na komputerze innym niż serwer strategii Tivoli Access Manager 2 IBM Tivoli Access Manager: Podręcznik instalacji WebSEAL
W pierwszym scenariuszu wszystkie wymagania wstępne dotyczące pakietu WebSEAL są spełniane podczas instalacji i konfiguracji serwera strategii. Zainstalowanie serwera strategii wymaga zainstalowania środowiska wykonawczego Tivoli Access Manager, klienta IBM Directory oraz pakietu GSKit. Podczas wdrażania pakietu WebSEAL w tej konfiguracji można po prostu zainstalować pakiet WebSEAL bez instalowania żadnych innych wymagań wstępnych. W drugim scenariuszu należy najpierw skonfigurować komputer w istniejącej domenie bezpiecznej, a następnie zainstalować serwer WebSEAL. Aby skonfigurować komputer w istniejącej domenie bezpiecznej, należy zainstalować i skonfigurować następujące oprogramowanie: v IBM Global Security Kit (GSKit) v Klient IBM Directory v Środowisko wykonawcze Tivoli Access Manager Serwer WebSEAL można zainstalować i skonfigurować dopiero po skonfigurowaniu środowiska wykonawczego Tivoli Access Manager. Uwaga: Serwer WebSEAL nie jest zależny od serwera autoryzacji Tivoli Access Manager. Serwer autoryzacji jest dostarczany jako część pakietu IBM Tivoli Access Manager Base dla danego systemu operacyjnego. Wymagania wstępne dla pakietu WebSEAL ADK Na tym samym komputerze co pakiet WebSEAL ADK musi być zainstalowane i skonfigurowane następujące oprogramowanie: v IBM Global Security Kit (GSKit) v Klient IBM Directory v Środowisko wykonawcze Tivoli Access Manager v Tivoli Access Manager ADK v Serwer Tivoli Access Manager WebSEAL Aby móc zainstalować pakiet WebSEAL ADK i korzystać z niego, należy najpierw zainstalować i skonfigurować serwer WebSEAL. Należy ponadto zainstalować pakiet Tivoli Access Manager ADK. Rozdział 1. Przegląd instalacji 3
Opcje instalacji Tabela 1 zawiera podsumowanie dostępnych opcji instalacji. Należy wybrać opcje instalacji i postępować zgodnie z instrukcjami zamieszczonymi w odpowiednim rozdziale. Tabela 1. Opcje instalacji Opcja Przeznaczenie Instrukcje Instalacja uproszczona Umożliwia przyspieszenie instalacji i konfiguracji jednego lub więcej systemów Tivoli Access Manager WebSEAL w domenie bezpiecznej za pomocą rejestru opartego na LDAP. Patrz Rozdział 2, Używanie instalacji uproszczonej, na stronie 5. Z mechanizmu instalacji uproszczonej nie można skorzystać, jeśli jako rejestr użytkowników jest używany serwer Active Directory lub Domino, lub jeśli zainstalowano Tivoli Access Manager na platformie Linux for zseries. Instalacja rodzima Umożliwia przeprowadzenie procesu instalowania i konfigurowania komponentów Tivoli Access Manager WebSEAL za pomocą rodzimych narzędzi systemu operacyjnego. W odróżnieniu od zautomatyzowanych skryptów używanych podczas instalacji uproszczonej, użytkownik musi ręcznie zainstalować każdy komponent i wstępnie wymagane oprogramowanie w odpowiedniej kolejności. Aktualizacja Umożliwia zaktualizowanie serwera WebSEAL z serwera Tivoli SecureWay Policy Director wersja 3.8 lub Tivoli Access Manager wersja 3.9. Patrz rozdział Rozdział 3, Używanie instalacji rodzimej, na stronie 13. Patrz Rozdział 4, Aktualizacja serwera WebSEAL z wersji 3.8 do 4.1, na stronie 27. Patrz Rozdział 5, Aktualizacja serwera WebSEAL z wersji 3.9 do 4.1, na stronie 33. 4 IBM Tivoli Access Manager: Podręcznik instalacji WebSEAL
Rozdział 2. Używanie instalacji uproszczonej Przed rozpoczęciem v Należy zainstalować wszystkie poprawki systemu operacyjnego i zapoznać się z listą wymagań systemowych zamieszczoną w podręczniku IBM Tivoli Access Manager Release Notes. v Należy zaznajomić się z decyzjami dotyczącymi konfiguracji, które trzeba podjąć podczas instalacji uproszczonej. Opcje konfiguracji instalacji uproszczonej zamieszczono w dokumencie Tabela 3 na stronie 9. v Aby informacje statusu i komunikaty były wyświetlane w języku innym niż angielski (język domyślny), przed uruchomieniem skryptów (UNIX) lub plików wsadowych (Windows) instalacji uproszczonej należy zainstalować odpowiedni pakiet językowy. Instrukcje instalowania pakietów językowych zamieszczono w dokumencie IBM Tivoli Access Manager Podręcznik instalacji pakietu Base. Mechanizm instalacji uproszczonej ułatwia instalowanie serwera WebSEAL lub systemu programistycznego WebSEAL, ponieważ razem z produktem automatycznie instalowane jest wymagane oprogramowanie. Programów instalacji uproszczonej można użyć zamiast narzędzi systemowych, takich jak pkgadd, installp, swinstall lub InstallShield. Instalacja uproszczona wykrywa też uprzednio zainstalowane wymagane produkty i nie instaluje ich ponownie. Programy instalacji uproszczonej zbierają od użytkownika niezbędne informacje potrzebne do instalacji i konfiguracji serwera WebSEAL, pakietu WebSEAL ADK i programowych wymagań wstępnych. W odpowiednich miejscach programy podają wartości domyślne. Po podaniu wymaganych opcji konfiguracji program instalacji uproszczonej rozpocznie instalowanie i konfigurowanie produktów i wymagań wstępnych, nie wymagając dalszej interwencji użytkownika. Programy instalacji uproszczonej zapisują informacje konfiguracyjne podane przez użytkownika w pliku danych zwanym plikiem odpowiedzi. Programy instalacji uproszczonej mogą odczytywać ustawienia konfiguracyjne z tego pliku podczas następnych instalacji, zamiast żądać podania odpowiednich danych od użytkownika. Ta opcja pozwala na uruchamianie programów instalacji uproszczonej w trybie automatycznym lub cichym. Programy instalacji uproszczonej pakietu WebSEAL są przydatne w różnych scenariuszach wdrażania pakietu. Można łączyć je z programem instalacji uproszczonej serwera strategii w celu szybkiego zainstalowania i skonfigurowania pakietu WebSEAL w domenie bezpiecznej pojedynczego systemu Tivoli Access Manager. Może to być przydatne do tworzenia prototypów, rozwoju aplikacji, testowania lub celów demonstracyjnych. Można także używać ich podczas wdrażania wielu serwerów WebSEAL. Do przyspieszenia wdrażania można wówczas użyć plików odpowiedzi. Ponadto program instalacji uproszczonej pakietu WebSEAL ADK przydaje się do szybkiego instalowania środowiska programowania WebSEAL. Programy instalacji uproszczonej pakietu WebSEAL Tabela 2 na stronie 6 zawiera listę programów instalacji uproszczonej, które znajdują się w katalogu głównym dysku CD IBM Tivoli Access Manager Web Security, odpowiedniego dla używanej platformy. Copyright IBM Corp. 1999, 2003 5
Uwaga: Dostarczane są odpowiednie skrypty dla systemów UNIX oraz pliki wsadowe (pliki.bat) dla systemów Windows. Tabela 2. Pliki instalacji uproszczonej Nazwa skryptu Opis ezinstall_pdweb Instaluje serwer WebSEAL z następującymi pakietami oprogramowania: v IBM Global Security Kit v Klient IBM Directory v Środowisko wykonawcze Tivoli Access Manager v Serwer Tivoli Access Manager WebSEAL ezinstall_pdwebadk Instaluje system programistyczny WebSEAL z następującymi pakietami oprogramowania: v IBM Global Security Kit v Klient IBM Directory v Środowisko wykonawcze Tivoli Access Manager v Tivoli Access Manager Application Development Kit v Tivoli Access Manager WebSEAL v Tivoli Access Manager WebSEAL Application Development Kit ezinstall_pdauthadk Instaluje system programistyczny Tivoli Access Manager z następującymi pakietami oprogramowania: v IBM Global Security Kit v Klient IBM Directory v Środowisko wykonawcze Tivoli Access Manager v Tivoli Access Manager Application Development Kit install_pdrte Instaluje system środowiska wykonawczego Tivoli Access Manager z następującymi pakietami oprogramowania: v IBM Global Security Kit v Klient IBM Directory v Środowisko wykonawcze Tivoli Access Manager Skrypty instalacji uproszczonej pakietu WebSEAL opisano w następujących sekcjach: v Korzystanie z programu instalacji uproszczonej pakietu WebSEAL na stronie 6 v Korzystanie z programu instalacji uproszczonej pakietu WebSEAL ADK na stronie 7 Korzystanie z programu instalacji uproszczonej pakietu WebSEAL Program ezinstall_pdweb jest najczęściej używany w jednym z następujących scenariuszy: v Tworzenie nowej domeny bezpiecznej Tivoli Access Manager w celu użycia serwera WebSEAL do ochrony zasobów opartych na sieci WWW. W tym przypadku jeden komputer będzie hostem zarówno dla serwera strategii Tivoli Access Manager, jak i dla serwera WebSEAL. Dla serwera strategii istnieje równoważny program instalacji uproszczonej o nazwie ezinstall_pdmgr. Należy najpierw użyć programu ezinstall_pdmgr do zainstalowania i skonfigurowania serwera strategii, Program ezinstall_pdmgr jest dostarczany na dysku CD IBM Tivoli Access Manager Base dla danego systemu operacyjnego. Instrukcje na temat korzystania z tego programu zamieszczono w dokumencie IBM Tivoli Access Manager Podręcznik instalacji pakietu Base. 6 IBM Tivoli Access Manager: Podręcznik instalacji WebSEAL
v Dodawanie serwera WebSEAL na komputerze, na którym jest już zainstalowany i skonfigurowany serwer strategii. W tym przypadku domena bezpieczna Tivoli Access Manager została już ustanowiona i pozostaje tylko rozszerzyć ochronę domeny, tak aby wykorzystywała ona serwer WebSEAL do zabezpieczania zasobów opartych na sieci WWW. Wystarczy uruchomić program ezinstall_pdweb. Program instalacji uproszczonej zbiera od użytkownika informacje potrzebne do instalacji i konfiguracji serwera WebSEAL. v Dodawanie serwera WebSEAL podczas dodawania nowego komputera do domeny bezpiecznej Tivoli Access Manager. W tym przypadku serwer WebSEAL będzie uruchamiany na komputerze, który nie jest hostem serwera strategii, ale który będzie komunikował się ze zdalnym serwerem strategii poprzez sieć. Komputery pełniące tę rolę wymagają zainstalowania i skonfigurowania środowiska wykonawczego IBM Tivoli Access Manager w celu nawiązania komunikacji ze zdalnym serwerem strategii. Jest to wymaganie wstępne instalacji serwera WebSEAL. Skrypt instalacji uproszczonej pakietu WebSEAL ezinstall_pdweb wykryje, czy środowisko wykonawcze zostało zainstalowane i skonfigurowane. Korzystanie z programu instalacji uproszczonej pakietu WebSEAL ADK Program ezinstall_pdwebadk jest najczęściej używany w jednym z następujących scenariuszy: v Instalowanie środowiska programowania WebSEAL w ramach tworzenia nowej domeny bezpiecznej Tivoli Access Manager w celu użycia serwera WebSEAL do ochrony zasobów opartych na sieci WWW. W tym przypadku jeden komputer będzie hostem dla serwera strategii Tivoli Access Manager, serwera WebSEAL i pakietu WebSEAL ADK. Dla serwera strategii istnieje równoważny program instalacji uproszczonej o nazwie ezinstall_pdmgr. Należy najpierw użyć programu ezinstall_pdmgr do zainstalowania i skonfigurowania serwera strategii, a następnie użyć programu ezinstall_pdwebadk do zainstalowania i skonfigurowania pakietów WebSEAL i WebSEAL ADK. Uwaga: W systemie Windows NT (i tylko w nim) należy najpierw uruchomić program ezinstall_pdweb.bat w celu zainstalowania serwera WebSEAL, a następnie program ezinstall_pdwebadk.bat w celu zainstalowania pakietu WebSEAL ADK. W systemie Windows 2000 i na wszystkich platformach systemu UNIX w celu zainstalowania zarówno serwera WebSEAL, jak i pakietu WebSEAL ADK wystarczy uruchomić program ezinstall_pdwebadk.bat. Pakiet WebSEAL ADK jest zależny od pakietu Tivoli Access Manager ADK. Ten pakiet jest dostarczany na dysku CD IBM Tivoli Access Manager Web Security i ma własny program instalacji uproszczonej, ezinstall_pdauthadk. Program ezinstall_pdwebadk automatycznie wywołuje program ezinstall_pdauthadk, jeśli pakiet ADK nie został jeszcze zainstalowany. v Dodawanie serwera WebSEAL i środowiska programowania na komputerze, na którym jest już zainstalowany i skonfigurowany serwer strategii. W tym przypadku domena bezpieczna Tivoli Access Manager została już ustanowiona i pozostaje tylko dodać serwer WebSEAL dla ochrony zasobów opartych na sieci WWW, a także dodać środowisko programowania WebSEAL. Wystarczy uruchomić program ezinstall_pdwebadk. Program instalacji uproszczonej w razie potrzeby wywołuje skrypt ezinstall_pdauthadk w celu zainstalowania wymaganego wstępnie środowiska programowania ADK, a następnie żąda od użytkownika informacji dotyczących instalacji i konfiguracji zarówno serwera WebSEAL, jak i pakietu WebSEAL ADK. Rozdział 2. Używanie instalacji uproszczonej 7
Uwaga: W systemie Windows NT (i tylko w tym) należy najpierw uruchomić program ezinstall_pdweb w celu zainstalowania serwera WebSEAL, a następnie program ezinstall_pdwebadk w celu zainstalowania pakietu WebSEAL ADK. W systemie Windows 2000 i na wszystkich platformach systemu UNIX w celu zainstalowania zarówno serwera WebSEAL, jak i pakietu WebSEAL ADK wystarczy uruchomić program ezinstall_pdwebadk. v Dodawanie serwera WebSEAL i środowiska programowania WebSEAL podczas dodawania nowego komputera do domeny bezpiecznej Tivoli Access Manager. W tym przypadku serwer WebSEAL i pakiet WebSEAL ADK będą uruchamiane na komputerze, który nie jest hostem serwera strategii, ale który będzie komunikował się ze zdalnym serwerem strategii poprzez sieć. Komputery pełniące tę rolę wymagają zainstalowania i skonfigurowania środowiska wykonawczego IBM Tivoli Access Manager w celu nawiązania komunikacji ze zdalnym serwerem strategii. Jest to wymaganie wstępne instalacji serwera WebSEAL. Na tych komputerach musi być także zainstalowany pakiet IBM Tivoli Access Manager ADK; jest to wymaganie wstępne korzystania z pakietu WebSEAL ADK. Program ezinstall_pdwebadk automatycznie sprawdza każde programowe wymaganie wstępne. Program instalacji uproszczonej zbiera od użytkownika informacje o ustawieniach instalacji i konfiguracji każdego z następujących pakietów, chyba że każdy z nich jest już skonfigurowany: IBM Global Security Kit Klient IBM Directory Środowisko wykonawcze Tivoli Access Manager Tivoli Access Manager ADK Tivoli Access Manager WebSEAL Następnie program instalacji uproszczonej instaluje i konfiguruje pakiet WebSEAL ADK. Uwaga: W systemie Windows NT (i tylko w tym) należy najpierw uruchomić program ezinstall_pdweb w celu zainstalowania serwera WebSEAL, a następnie program ezinstall_pdwebadk w celu zainstalowania pakietu WebSEAL ADK. W systemie Windows 2000 i na wszystkich platformach systemu UNIX w celu zainstalowania zarówno serwera WebSEAL, jak i pakietu WebSEAL ADK wystarczy uruchomić program ezinstall_pdwebadk. Konfigurowanie pakietu WebSEAL za pomocą programów instalacji uproszczonej Programy instalacji uproszczonej mogą uzyskiwać wymagane ustawienia konfiguracji na dwa różne sposoby. Przy pierwszym uruchomieniu programu żąda on od użytkownika podania wszystkich niezbędnych ustawień konfiguracji. Po zakończeniu instalacji programy instalacji uproszczonej zapisują ustawienia w pliku danych zwanym plikiem odpowiedzi. Za każdym następnym razem, kiedy program instalacji uproszczonej zostanie wywołany na tym samym komputerze, użytkownik uzyska od programu opcję użycia danych zapisanych w pliku odpowiedzi zamiast wprowadzania informacji o konfiguracji w wierszu polecenia. Obie powyższe metody korzystania z programów instalacji uproszczonej opisano w następujących sekcjach: v Uzyskiwanie ustawień konfiguracyjnych interaktywnie na stronie 9 v Uzyskiwanie ustawień konfiguracyjnych z plików odpowiedzi na stronie 10 8 IBM Tivoli Access Manager: Podręcznik instalacji WebSEAL
Uzyskiwanie ustawień konfiguracyjnych interaktywnie Programy instalacji uproszczonej pakietów WebSEAL i WebSEAL ADK zbierają od użytkownika wszystkie niezbędne informacje o konfiguracji. Gdy jakieś oprogramowanie stanowiące wymaganie wstępne nie zostało zainstalowane, programy instalacji uproszczonej pakietów WebSEAL i WebSEAL ADK zadają pytania, zbierając potrzebne informacje. Jedynym wyjątkiem jest wymaganie wstępne pakietu WebSEAL związane z instalacją i konfiguracją serwera strategii Tivoli Access Manager na jednym systemie w domenie bezpiecznej. Jeśli tworzona jest nowa domena bezpieczna, należy spełnić wymaganie wynikające z tej zależności, uruchamiając własny program instalacji uproszczonej serwera strategii. Program ten jest dostarczany na dyskach CD IBM Tivoli Access Manager Base. Tabela 3 zawiera informacje o konfiguracji, których podanie może być wymagane podczas instalowania pakietu WebSEAL lub WebSEAL ADK. Warto zauważyć, że niektóre z tych informacji są potrzebne do skonfigurowania środowiska wykonawczego, stanowiącego wymaganie wstępne. Zalecane jest przygotowanie tych wartości przed przystąpieniem do instalowania. Uwaga: Program instalacji uproszczonej pakietu WebSEAL używa wartości domyślnych dla niektórych ustawień konfiguracji pakietu WebSEAL. Tych ustawień nie można zmienić. Patrz Ograniczenia instalacji uproszczonej na stronie 11. Tabela 3. Opcje konfiguracji instalacji uproszczonej IBM Global Security Kit Parametr konfiguracji ustawianie Nie są wymagane żadne parametry konfiguracyjne. Klient IBM Directory Nie są wymagane żadne parametry konfiguracyjne. Konfiguracja komunikacji z serwerem LDAP następuje podczas konfigurowania środowiska wykonawczego. Środowisko wykonawcze Tivoli Access Manager Typ rejestru Wartość domyślna: Ldap Nazwa hosta serwera LDAP Brak wartości domyślnej. Należy użyć pełnej nazwy domeny. Port serwera LDAP Wartość domyślna: 389 Nazwa hosta serwera strategii Tivoli Access Manager Brak wartości domyślnej. Należy użyć pełnej nazwy domeny. LDAP DN dla bazy danych GSO Brak wartości domyślnej. Włącz warstwę SSL z serwerem LDAP Wartość domyślna to Nie. Plik kluczy SSL LDAP Pełna ścieżka do miejsca bazy danych kluczy. DN pliku kluczy LDAP SSL etykieta pliku bazy danych kluczy. Hasło pliku kluczy LDAP SSL Hasło bazy danych kluczy. Port SSL serwera LDAP Wartość domyślna: 636 Katalog instalacji UNIX: /opt/pdweb Windows: C:\Program Files\Tivoli\Policy Director Nazwa hosta serwera strategii Access Manager Brak wartości domyślnej. Należy użyć pełnej nazwy domeny. Port serwera SSL Wartość domyślna: 7135 Rozdział 2. Używanie instalacji uproszczonej 9
Tabela 3. Opcje konfiguracji instalacji uproszczonej (kontynuacja) Parametr konfiguracji ustawianie Nazwa pliku certyfikatu CA serwera strategii Brak wartości domyślnej. Tivoli Access Manager ADK Nie są wymagane żadne parametry konfiguracyjne. Tivoli Access Manager WebSEAL Główne hasło ochrony Brak wartości domyślnej. Uaktywnij komunikację SSL z serwerem LDAP Wartość domyślna to Nie. Plik kluczy klienta LDAP SSL Miejsce pliku bazy danych kluczy. Brak wartości domyślnej. Przykładowa ścieżka: /var/ldap/keytabs/pd_ldapkey.kdb Etykieta certyfikatu klienta SSL Brak wartości domyślnej Hasło pliku kluczy klienta SSL Brak wartości domyślnej Numer portu SSL serwera LDAP Wartość domyślna: 636 Tivoli Access Manager WebSEAL ADK Nie są wymagane żadne parametry konfiguracyjne. Uzyskiwanie ustawień konfiguracyjnych z plików odpowiedzi W wyniku uruchamiania programów instalacji uproszczonej w trybie interaktywnym, odpowiedzi użytkownika na pytania programów zostają zapisane w pliku danych zwanym plikiem odpowiedzi. Nazwa i miejsce pliku odpowiedzi systemu UNIX zawierają: /var/tmp/ezinstall_pdweb.rsp /var/tmp/ezinstall_pdwebadk.rsp Platforma Windows używa tylko jednego pliku odpowiedzi: %TEMP%\ezinstall.rsp Zapisanego pliku odpowiedzi można używać jako zautomatyzowanego źródła danych wejściowych podczas późniejszych uruchomień programu instalacji uproszczonej. Ta opcja umożliwia przeprowadzanie instalacji automatycznej, czyli cichej. Jest to opcja przydatna podczas wdrażania serii serwerów WebSEAL w ramach jednej domeny bezpiecznej. Można przeprowadzić edycję pliku odpowiedzi w celu ustawienia wartości specyficznych dla konkretnego serwera, a następnie uruchomić skrypt, który wykona instalację w trybie automatycznym. Za każdym razem, kiedy program instalacyjny jest uruchamiany, próbuje on wykryć istniejący plik odpowiedzi. Jeśli plik odpowiedzi zostanie znaleziony, program instalacji uproszczonej zapyta, czy użytkownik chce użyć tego pliku. Jeśli użytkownik odpowie twierdząco, program instalacji uproszczonej zażąda od niego potrzebnych haseł, a następnie przeprowadzi instalację, wczytując ustawienia konfiguracyjne z pliku odpowiedzi. Program instalacji uproszczonej nie zapisuje haseł, ponieważ przechowywanie hasła w postaci tekstowej stanowiłoby zagrożenie dla jego bezpieczeństwa. Aby dodać te informacje do pliku, można użyć edytora tekstu. Do pliku odpowiedzi należy wprowadzić następujące wartości: v Hasło administratora v Hasło pliku kluczy SSL (opcjonalne) Tego hasła używa się tylko do skonfigurowania komunikacji SSL między serwerem WebSEAL i serwerem LDAP. 10 IBM Tivoli Access Manager: Podręcznik instalacji WebSEAL
Ograniczenia instalacji uproszczonej Korzystając z programów instalacji uproszczonej należy pamiętać o następujących ograniczeniach: v Programów instalacji uproszczonej nie można użyć do aktualizacji serwera WebSEAL z wersji 3.8 lub 3.9 do wersji 4.1. v Programu ezinstall_pdweb nie można użyć, chcąc skonfigurować serwer WebSEAL do korzystania z wartości innych niż domyślne dla następujących ustawień konfiguracyjnych serwera WebSEAL: Parametr Czy włączyć protokół TCP HTTP? Tak Numer portu TCP 80 Czy włączyć protokół HTTPS Tak Numer portu HTTPS 443 Hierarchia katalogu głównego dokumentu sieci WWW UNIX: /opt/pdweb/www/docs Windows: Wartość C:\Progam Files\Tivoli\PolicyDirector\PDWeb\www\docs Rozdział 2. Używanie instalacji uproszczonej 11
12 IBM Tivoli Access Manager: Podręcznik instalacji WebSEAL
Rozdział 3. Używanie instalacji rodzimej W tym rozdziale zamieszczono instrukcje na temat instalowania i konfigurowania pakietów Tivoli Access Manager WebSEAL za pomocą rodzimych narzędzi systemu operacyjnego. W rozdziale tym zawarto też instrukcje dotyczące instalowania programowych wymagań wstępnych dla każdego pakietu WebSEAL. Uwaga: W przypadku aktualizowania WebSEAL z wcześniejszej wersji Tivoli Access Manager, nie należy korzystać z tego rozdziału. Zobacz albo rozdział Rozdział 5, Aktualizacja serwera WebSEAL z wersji 3.9 do 4.1, na stronie 33, albo rozdział Rozdział 4, Aktualizacja serwera WebSEAL z wersji 3.8 do 4.1, na stronie 27. Produkt WebSEAL składa się z dwóch pakietów: v Serwer WebSEAL v WebSEAL ADK Serwer WebSEAL można zainstalować bez instalowania pakietu WebSEAL ADK. Aby jednak zainstalować pakiet WebSEAL ADK, należy zainstalować serwer WebSEAL jako programowe wymaganie wstępne. Zarówno serwer WebSEAL, jak i pakiet WebSEAL ADK, wymagają zainstalowania i skonfigurowania środowiska wykonawczego Tivoli Access Manager. Ponadto, pakiet WebSEAL ADK wymaga zainstalowania pakietu Tivoli Access Manager ADK. Uwaga: Pełne instrukcje dotyczące instalowania i ustawiania opcji konfiguracyjnych środowiska wykonawczego Tivoli Access Manager i pakietu Tivoli Access Manager ADK zamieszczono w dokumencie IBM Tivoli Access Manager Podręcznik instalacji pakietu Base. Niniejszy rozdział zawiera oddzielne sekcje dotyczące instalowania i konfigurowania serwera WebSEAL i pakietu WebSEAL ADK na każdym z obsługiwanych systemów UNIX. Przed przejściem do sekcji dotyczącej instalowania pakietu WebSEAL ADK w systemie UNIX należy wykonać instrukcje zamieszczone w sekcji dotyczącej instalowania serwera WebSEAL w systemie UNIX. Instrukcje dotyczące instalowania i konfigurowania serwera WebSEAL i pakietu WebSEAL ADK w systemie Windows połączono w jednej sekcji. Uwaga: Zamiast wykonywania czynności opisanych w tym rozdziale można użyć programów instalacji uproszczonej. Więcej informacji zawiera sekcja Rozdział 2, Używanie instalacji uproszczonej, na stronie 5. Aby zainstalować serwer WebSEAL, wykonaj instrukcje zawarte w odpowiedniej sekcji poniżej: v Instalowanie i konfigurowanie serwera WebSEAL w systemie UNIX na stronie 14 v Instalowanie pakietu WebSEAL ADK w systemie UNIX na stronie 19 v Instalowanie serwera WebSEAL i pakietu WebSEAL ADK w systemie Windows na stronie 22 Copyright IBM Corp. 1999, 2003 13
Instalowanie i konfigurowanie serwera WebSEAL w systemie UNIX Aby zainstalować serwer WebSEAL w systemie UNIX, wykonaj instrukcje zawarte w odpowiedniej sekcji: v Instalowanie serwera WebSEAL w systemie AIX na stronie 14 v Instalowanie serwera WebSEAL w systemie HP-UX na stronie 15 v Instalowanie serwera WebSEAL w systemie Linux na zseries na stronie 16 v Instalowanie serwera WebSEAL w systemie Solaris na stronie 17 Po zainstalowaniu pakietu serwera WebSEAL należy skonfigurować serwer WebSEAL, postępując zgodnie z instrukcjami zamieszczonymi w sekcji: v Konfigurowanie serwera WebSEAL w systemie UNIX na stronie 17 Instalowanie serwera WebSEAL w systemie AIX W procesie instalacji serwera WebSEAL wyodrębnianie plików i konfiguracja pakietów przebiegają oddzielnie. Użyj narzędzia installp, aby zainstalować pakiety oprogramowania w systemie AIX. Następnie użyj narzędzia konfiguracyjnego Tivoli Access Manager pdconfig, aby skonfigurować WebSEAL. Uwaga: Jeśli serwer WebSEAL jest już zainstalowany i skonfigurowany, a wymaga on reinstalacji, należy najpierw zdekonfigurować i usunąć pakiet WebSEAL. Odpowiednie instrukcje zamieszczono w rozdziale Rozdział 6, Dekonfigurowanie i usuwanie WebSEAL, na stronie 39. Aby zainstalować serwer WebSEAL w systemie AIX, wykonaj następujące czynności: 1. Zaloguj się jako administrator (root). 2. Przed kontynuacją sprawdź, czy są zainstalowane wymagane poprawki dla danej wersji systemu operacyjnego AIX. Pełne informacje na temat programowych wymagań wstępnych zamieszczono w dokumencie IBM Tivoli Access Manager Release Notes. 3. Sprawdź, czy na komputerze jest skonfigurowane środowisko wykonawcze Tivoli Access Manager. Środowisko wykonawcze jest skonfigurowane, jeśli na komputerze jest zainstalowany serwer strategii Tivoli Access Manager lub jeśli komputer został uprzednio dodany do domeny bezpiecznej Tivoli Access Manager. 4. Wykonaj jedną z poniższych czynności: v Jeśli na tym komputerze jest już skonfigurowane środowisko wykonawcze, przejdź do kroku 5. v Jeśli na tym komputerze nie skonfigurowano środowiska wykonawczego Tivoli Access Manager, zainstaluj i skonfiguruj wymagane oprogramowanie, postępując zgodnie z instrukcjami odpowiednimi dla używanej platformy zamieszczonymi w dokumencie IBM Tivoli Access Manager Podręcznik instalacji pakietu Base. 5. Włóż dysk CD IBM Tivoli Access Manager Web Security for AIX do napędu i wpisz następujące polecenie, aby zainstalować pakiet serwera WebSEAL: installp -c -a -g -X -d /dev/cd0 PDWeb.Web Opcja Opis c Zatwierdza wszystkie aktualizacje, które zostały zastosowane, ale nie są jeszcze zatwierdzone. a Stosuje jeden lub kilka produktów lub aktualizacji. Jest to działanie domyślne. Ta opcja może być używana z opcją c, aby zastosować i zatwierdzić aktualizację oprogramowania kiedy jest instalowana. 14 IBM Tivoli Access Manager: Podręcznik instalacji WebSEAL