Use outilitáriopdadmin doTivoliAccessManager paraalterar umadefiniçãode funçãoincluindo umusuário.
1. Inicieo pdadmin:
pdadmin -a sec_master -p myPassword
2. ModifiqueaACLdoaplicativoSimpleSessionparaincluironome user4.Digite o comandoacl modifya seguircomoumalinhade comandocontínua:
pdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_SimpleSessApp_ACL set user user4 T[WebAppServer]i
3. Replique oservidoreencerre outilitário:
pdadmin> server replicate pdadmin> quit
4. Continuecomaseção“Parte11:Testara SegurançaparaoAplicativo Implementado”napágina 80.
Parte 11: Testar a Segurança para o Aplicativo Implementado
1. Verifique sea segurançaestáagorafuncionandoparaoaplicativo.Repitaas etapas parao Servleteo ClienteEspessoem “Parte7:Testara Segurançapara oAplicativoImplementado”napágina 77.
Observequequandovocêdigitaonomedeum usuárioválido,agoraé possível digitar user1, user2, user3 ou user4.
2. Verifique seuser4 agoraestáaptoa efetuarlogin. Você concluiuotutorial.
Tutorial : Para o Tivoli Access Manager para WebSphere Application
Server versão 5.0.2
Como Utilizar o Tutorial
Estetutorialmostracomoincluir segurançanoarquivoEARdoaplicativo,incluir usuáriosnoregistrode usuárioLDAP,ativarasegurançado WebSphere,
implementar etestaroaplicativodeexemplo,migraroaplicativoparaoTivoli AccessManager,ativarocomponentedeautorizaçãodoTivoliAccessManager paraWebSphereetestarasegurançado aplicativoemTivoliAccessManager.O tutorial tambémmostracomofazerumaalteraçãosimplesemumafunçãoe,em seguida,testarseoresultado éreconhecidodurante averificação.
Essasinstruções supõemo seguinte:
v OWebSphereApplicationServertenhasidoinstaladoeconfiguradoparautilizar umIBMDirectoryServer.
v Asegurança nãofoiativada paraoWebSphere.
É possívelseguirestetutorialantesoudepoisde concluira instalaçãoe
configuraçãoinicial doTivoliAccessManagerparaWebSphere. SeoTivoliAccess Manager paraWebSphereaindanão tiversidoinstalado,otutorialiráinstruí-lo quandoeledeveserinstalado.
Essasinstruções supõemqueoTivoliAccessManager eoWebSphereApplication Server estejaminstaladoseconfiguradosequeestejamutilizandoomesmoregistro de usuáriodoIBM DirectoryServer.
Sevocê aindanãotiverinstaladoeconfiguradoo TivoliAccessManagerpara WebSphere, concluaasinstruçõesemcadaumadasseçõesaseguir:
v “Parte1:IncluirUsuáriosnoRegistrodeUsuárioLDAP”napágina81 v “Parte2:InstalaroTivoliAccessManager paraWebSphere”napágina82 v “Parte3:IncluirSegurançaem umAplicativo doWebSphere”napágina 82 v “Parte4:CriaroUsuárioAdministrativodo TivoliAccessManagerparao
WebSphereApplicationServer”napágina 84
v “Parte5:AtivaraSegurançadoWebSphere”na página84 v “Parte6:ImplementaroAplicativo”na página84
v “Parte7:Testara SegurançaparaoAplicativoImplementado”napágina 85 v “Parte8:MigraroAplicativoparaoTivoliAccessManager”napágina86 v “Parte9:Testara SegurançaparaoAplicativoImplementado”napágina 87 v “Parte10:AlterarFunções”napágina88
Sevocê jáconcluiuainstalaçãoeconfiguraçãoinicialdo TivoliAccessManager paraWebSphere, deacordocomasinstruçõesnoCapítulo3,“Procedimentosde Configuração”, napágina27,énecessárioconcluirsomenteasseguintes seções: v “Parte1:IncluirUsuáriosnoRegistrodeUsuárioLDAP”
v “Parte3:IncluirSegurançaem umAplicativo doWebSphere”napágina 82
Nota: Nãoénecessário executaraEtapa3 nestaparte.Essa tarefafoiconcluída durantea configuraçãoinicialdoTivoliAccessManagerparaWebSphere. v “Parte6:ImplementaroAplicativo”na página84
v “Parte7:Testara SegurançaparaoAplicativoImplementado”napágina 85 v “Parte8:MigraroAplicativoparaoTivoliAccessManager”napágina86 v “Parte9:Testara SegurançaparaoAplicativoImplementado”napágina 87 v “Parte10:AlterarFunções”napágina88
v “Parte11:TestaraSegurançaparaoAplicativoImplementado”napágina88
Parte 1: Incluir Usuários no Registro de Usuário LDAP
Utilize outilitáriopdadmindoTivoliAccessManager paraincluirosusuários declaradosnaseçãoanterior(user1,user2e user3)noregistrodeusuárioLDAP. Inclua tambémumusuárioadicional, user4.
Estaseçãodemonstracomandospdadmincomunsparaincluir usuários.Paraobter informações completassobretodasasopções dopdadmin,consulteo IBMTivoli Access ManagerBaseAdministrationGuide.
1. Efetuelogincomo administradordoTivoliAccessManager:
C:> pdadmin -a sec_master -p myPassword
Substituaa senhacorretaparaacontasec_masterdodomíniosegurodoTivoli AccessManager.
2. Sevocê játiverinstaladooTivoliAccessManagerparaWebSphere,econcluído a configuraçãoinicial,ignore estaetapa.Vá paraapróximaetapa.
Sevocê aindanãotiverinstaladooTivoliAccessManagerparaWebSphere, crie umusuário deadministraçãodoWebSphere. Digiteo seguintecomandocomo umalinhade comandocontínua:
pdadmin> user create wsadmin cn=wsadmin,o=organization, c=país wsadmin wsadmin myPassword
Substituaosvaloresem organizaçãoepaísporvaloresválidosdoregistrode usuárioLDAP.
3. Criecontasde usuárioparacadaumdosnovosusuários.Atribuasenhas.Os exemplosa seguirmostramcomandosdeamostra,em quea organizaçãoéibm, opaísé au,etodososusuáriosrecebem asenhamyPassword.
pdadmin> user create user1 cn=user1,o=ibm,c=us user1 user1 myPassword
pdadmin> user create user2 cn=user2,o=ibm,c=us user2 user2 myPassword
pdadmin> user create user3 cn=user3,o=ibm,c=us user3 user3 myPassword
pdadmin> user create user4 cn=user4,o=ibm,c=us user4 user4 myPassword
4. Ativetodasascontas:
pdadmin> user modify wsadmin account-valid yes pdadmin> user modify user1 account-valid yes pdadmin> user modify user2 account-valid yes pdadmin> user modify user3 account-valid yes pdadmin> user modify user4 account-valid yes
5. Encerre outilitáriopdadmin:
pdadmin> quit
6. RetorneparaoconsoledoWebSphereparaativarasegurança.Continuecoma seção“Parte5:Ativara Segurançado WebSphere”napágina84.
Parte 2: Instalar o Tivoli Access Manager para WebSphere
Sevocê játiverinstaladoeconfiguradooTivoliAccessManagerparaWebSphere, ignore estaparte.Váparaapróximaparte,“Parte8: MigraroAplicativo parao TivoliAccessManager”na página86.
AgoravocêestáprontoparainstalareconfigurarosoftwareTivoliAccessManager paraWebSphere.
Sigaasinstruções noCapítulo2,“InstruçõesdeInstalação”,napágina 11.
Depoisdeinstalarosarquivosdo TivoliAccessManagerparaWebSphere,conclua a configuraçãoinicialdescritaem“Configurandoa InstalaçãoInicial” napágina27, coma seguinteexceção:
Você jácriouousuárioadministrativodoWebSphere,wsadmin,duranteeste tutorial,na“Parte1: IncluirUsuáriosnoRegistrodeUsuárioLDAP”napágina 81.Dessamaneira,nãoé necessáriofazerissodurantea configuraçãoinicial. Portanto,ignore aetapa2 na“Parte1:CriaroUsuárioAdministrativodoTivoli AccessManagerparaWebSphereApplicationServer”napágina28.
Parte 3: Incluir Segurança em um Aplicativo do WebSphere
1. Copie oarquivodo aplicativodeamostra simpleSession.eardodiretório %PDWAS_HOME%\example(ondeelefoiextraído)para
C:\temp\assembly\simpleSession.ear
2. Inicie aferramentademontagem deaplicativosdo WebSphere.Cliqueem
Iniciar->Programas->IBMWebSphere->ServidordeAplicativosv5.0-> Ferramenta deMontagemdeAplicativosouexecute
C:\WebSphere\AppServer\bin\assembly Cliqueem CancelarnatelaBem-vindo.
3. Naferramentade montagemdeaplicativosdoWebSphere,abraoarquivo EARde aplicativodeamostra.CliqueemArquivo ->Abrir
C:\temp\assembly\simpleSession.ear
4. ExpandaMódulosdeEJB.ExpandaEBJ11.Cliquecomobotãodireitodo mouseem FunçõesdeSegurança.Cliqueem Novo.Inclua:
Nome: GoodGuys
Cliqueem OK.
5. ExpandaMódulosdaWeb.ExpandaSimpleSessionWar.Cliquecomo botão direitodomouseem FunçõesdeSegurança.Cliqueem Novo.Inclua:
Nome: GoodGuys
Cliqueem OK.
6. Nonívelsuperior,cliquecomo botãodireitodo mouseemFunçõesde Segurança.Selecionea guiaLigações.NaseçãoUsuários,cliqueemIncluir. Digiteuser1.
Cliqueem OK.
Nome: user2 Nome: user3
Cliqueem Aplicarquandotodososusuáriosforemincluídos.
8. ExpandaMódulosdeEJB.ExpandaEBJ11.Cliquecomobotãodireitodo mouseem PermissõesdeMétodos.SelecioneNovo.CliquenobotãoIncluire digite nocampoMethodPermission_Name:::
Nome: ’MyMethodPermissions’
a. NaseçãoMétodo,cliqueem Incluir.ExpandaSimplesessionEJBI0.jare, em seguida,com_ibm_websphere_gettingstarted_ejbs_SimpleSession_(*). SelecioneTodososMétodos.CliqueemOK.
b. NaseçãoFunções,cliqueemIncluir.SelecioneGoodGuys.CliqueemOK. c. Cliqueem OK.
9. ExpandaMódulosdaWeb.DêumcliqueduploemSimpleSessionWar. a. CliquenaguiaAvançado.
b. SelecioneacaixaConfiguraçãodeLogin. c. EspecifiqueoMétododeAutorização:Básico. d. EspecifiqueoNomedo Domínio:Iniciando e. CliqueemAplicar.
10. ExpandaMódulosdaWeb.ExpandaSimpleSessionWar.Cliquecomo botão direitodomouseem SecurityConstraints.CliqueemSim (istoconfirma a Etapa9).
11. ExpandaMódulosdaWeb novamente.ExpandaSimpleSessionWar.Clique como botãodireitodomouseem SecurityConstraints.Cliqueem
Yes.Selecione Novo.
a. ParaNomedaLimitaçãodeSegurança,digite GoodGuys. b. Funções:
v CliqueemAdicionar. v SelecioneGoodGuys.
c. ParaGarantiadeTransporte,selecione Nenhum. d. CliqueemOK.
12. Cliquecomo botãodireitodomouseem MódulosWeb ->SimpleSessionWar ->SecurityConstraints ->GoodGuys->ColetasdeRecursosWeb.
a. CliquecomobotãodireitodomouseeselecioneNovo. b. ParaoNomedoRecursodaWeb,digiteSecureMe.
c. ParaMétodosHTTP,cliqueem Incluir.SelecioneGET.CliqueemOK. d. ParaMétodosHTTP,cliqueemIncluir.SelecionePOST.CliqueemOK. e. ParaURLS,cliqueem Incluir.Digite:“/SimpleSession”.CliqueemOK. f. CliqueemOK.
13. Salve onovoarquivoEAR.SelecioneArquivo->SalvarComoe digite:
C:\temp\assembly\simpleSessionSecure.ear
14. SelecioneArquivo->Gerar CódigoparaImplementação. a. Definao diretóriode trabalhocomoC:\temp.
b. CliquenobotãoGerarAgora. c. Corrijaquaisquererros. d. CliquenobotãoFechar.
15. Encerre aFerramenta deMontagemdeAplicativos.Continuecomapróxima seção“Parte1:IncluirUsuários noRegistrode UsuárioLDAP”napágina72.
Parte 4: Criar o Usuário Administrativo do Tivoli Access
Manager para o WebSphere Application Server
Sea segurançajátiversidoativadanoWebSphereApplicationServer, ousuário administrativodoWebSphereApplicationServer deveráserimportado parao espaçode objetodoTivoliAccessManager.Useoutilitáriodalinhade comandos do TivoliAccessManager,pdadmin,ouoTivoliAccessManagerWebPortal Manager paraimportaro usuárioadministrativodoTivoliAccessManagerpara WebSphereApplicationServer.Parafazerissoa partirdo utilitáriodalinhade comandosdo TivoliAccessManager:
1. Apartirdalinhadecomando,inicieopdadmincomo ousuárioadministrativo sec_master:
pdadmin -a sec_master -p sec_master_password
2. Importe ousuárioadministrativodoWebSphereApplicationServer.Por exemplo:
pdadmin> user import was_admin_user dn_registry_identifier
Torneválidaa contadousuárioadministrativodoWebSphere:
pdadmin> user modify was_admin_user account-valid yes
Sea segurançanãotiversidoativadanoWebSphereApplicationServer,ousuário administrativodoWebSphereApplicationServer deverásercriado. Useoutilitário dalinhadecomandosdoTivoliAccessManager,pdadmin,ou oTivoliAccess Manager WebPortalManagerparacriarousuárioadministrativodoTivoliAccess Manager paraWebSphereApplicationServer.
Asinstruções aseguirdescrevemcomo utilizaro pdadmin.
1. Apartirdalinhadecomando,inicieopdadmincomo ousuárioadministrativo sec_master:
pdadmin -a sec_master -p sec_master_password
2. Crieumusuário administrativodo TivoliAccessManagerparaoWebSphere ApplicationServer.Porexemplo,asinstruções aseguircriamumnovousuário
wsadmin.Ocomandoa seguirdeveserdigitadocomoumalinhade comando contínua:
pdadmin> user create wsadmin cn=wsadmin,o=organization,c=country wsadmin wsadmin myPassword
Substituaosvaloresem organizaçãoepaísporvaloresválidosdoregistrode usuárioLDAP.
Torneacontawsadminválida:
pdadmin> user modify wsadmin account-valid yes
Parte 5:Ativar a Segurança do WebSphere
Sevocê nãotiverativadoasegurança doWebSphere,façaissoutilizandoas instruções em“Ativara SegurançanoWebSphereApplicationServerversão5.0.2” na página30.
Parte 6: Implementar o Aplicativo
1. Certifique-se dequeoWebSphereAdministrationServerestejaemexecução. 2. Abra oAdministration Console:http://localhost:9090/admin.
Nota: Depoisquea segurançaLTPAestiver ativada,vocêdeveráutilizar FQDN:
http://hostname.domain.com:9090/admin
3. Efetue logoncomowsadmin.
4. SelecioneAplicativosCorporativose,emseguida,InstalarNovo Aplicativo
5. Cliqueem Procurarparalocalizaroaplicativo,istoé,
C:\temp\assembly\simpleSessionSecure.ear.Cliqueem Abrir.
6. Você pode,agora,selecionarAvançar emumasériedetelasquesãoexibidas. Astelas sãointituladas:
v Preparandoparaa instalaçãodoaplicativo,
v EtapaUm:FornecerOpçõesparaExecutara Instalação,
v EtapaDois:FornecerOpçõesparaExecutaraImplementaçãoEJB, v EtapaTrês:FornecerNomesJNDIparaBeans,
v EtapaQuatro:MapearReferênciasEJB paraBeans, v EtapaCinco:MapearHostsVirtuais paraMódulos Web, v EtapaSeis:MapearMódulos paraServidores deAplicativos, v EtapaSete:Mapear FunçõesdeSegurançaparaUsuários/Grupos, v EtapaOito:UtilizaçãoCorretadaIdentidadedoSistema,
v EtapaNove:Resumo.
Cliqueem Concluirparainiciara instalaçãodoaplicativo. 7. CliquenolinkSalvaremConfiguraçãoMestre.
8. CliquenobotãoSalvarparaconfirmar SalvaremConfiguraçãoMestre. 9. Inicie oaplicativoselecionandoAplicativos Corporativos,localizando
SimpleSessionApp,marcandoacaixadeopções eselecionandoo botão
Iniciar.
10. Cliqueem Iniciar.
Parte 7: Testar a Segurança para o Aplicativo Implementado
Servlet
1. InicieseunavegadordaWeb.
2. VáparaoseguinteURL.Substituahostnamepeloseunomede sistema:
http://hostname:9080/gettingstarted3/SimpleSession?msg=Test
3. Será solicitadoa vocêparadigitar umnomedeusuário eumasenha.Digite umdosnomesdeusuárioválidos:user1,user2 ouuser3e digiteumnomede usuárioválidoquenãotenhapermissõesparaaACL,comouser4.Digitea senha correta.
Deveráaparecerumapáginade resultadoscontendootexto″Teste″.Aodigitar onome inválidouser4,vocêdeveráverumapáginadenão autorização(403 Proibido).
4. Inicienovamenteo navegadordaWeb.
5. Váparaomesmo URL.Noprompt,digiteum nomeesenhade usuário inexistente.
Será solicitadoquevocêefetue loginnovamente.
ClienteEspesso
1. Utilizeo programalaunchclientparainiciaroaplicativoseguro. Digiteo seguintecomandoemumaúnicalinha:
C:> c:\program files\websphere\appserver\bin\launchclient "c:\program files\websphere\appserver\
installedApps\<nodename>\simpleSessionSecure.ear"
2. Vocêdevereceberumpromptde login,solicitandoumnomede usuárioeuma senha.
3. Digiteumnomede usuárioesenhaválidos.Por exemplo,user1. Deveráaparecerum textoindicandoumloginbem-sucedido. 4. Inicienovamenteo navegadordaWeb.
5. Utilizeo programalaunchclientparainiciaroaplicativo seguro,conforme mostradona etapa1acima.Quandoforsolicitadoa vocêparadigitarum nome deusuário eumasenha,digiteumnomede usuárioeumasenhainválidos. Deveráaparecerum textoindicandoumafalhadelogin.
6. Continuecomapróximaseção.
Parte 8: Migrar o Aplicativo para o Tivoli Access Manager
Estas instruçõesassumemquevocê concluiuainstalaçãoeconfiguraçãoinicialdo TivoliAccessManagerparaWebSphere,conformedescritoem“Configurandoa InstalaçãoInicial”na página27.Ainstalaçãoeconfiguraçãoinicialincluiu a migraçãodoarquivoadminconsole.ear.
Nota: Sevocênão tiverconcluído ainstalaçãoeconfiguraçãoinicialdo Tivoli AccessManagerparaWebSphere,conclua-aagora.Consulteasinstruções em“Configurandoa InstalaçãoInicial” napágina27.
1. Reúna asseguintes informações,quevocê precisaráespecificarcomo parâmetrosde entradanoutilitáriodemigração:
v Onomedo arquivoEARaser migrado:
c:\temp\assembly\simpleSessionSecure.ear
v OcaminhocompletodoarquivoPDPerm.properties.Essearquivoestá localizadoemum diretórionodiretóriodeinstalaçãodo WebSphere ApplicationServer.Alista aseguirmostraaslocalizaçõespadrãoemcada sistemaoperacional.
Nota: Alocalizaçãodo arquivodeveserexpressacomoum URI(Uniform ResourceIndicator).
– Solaris,LinuxeHP-UX
file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties – AIX file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties – Windows file:/"c:\Arquivos de Programas\WebSphere\AppServer\java\ jre\PdPerm.properties"
v Onomedacontadeadministraçãodo TivoliAccessManager.Estedeveser sec_master.
v Asenha paraa contasec_master.
v OnomedacontadousuárioadministrativodoWebSphere. Eledeve corresponderà contacriadaduranteaconfiguraçãoinicial doTivoliAccess Manager paraWebSphere. Porexemplo:
wsadmin
v OsufixodoDN(NomeDistinto)do LDAPsobo qualoservidorde critério do TivoliAccessManagereoWebSphereApplicationServer armazenam
informaçõessobreousuário.EledevecorresponderaosufixodoDN utilizado quandovocê criouousuáriowsadmin.
Oexemplomostradona“Parte1:Criar oUsuárioAdministrativodoTivoli AccessManagerparaWebSphereApplicationServer”napágina28criouo wsadmincomoseguinteDN:
cn=wsadmin,o=ibm,c=us
Nesse caso,osufixodoDNé:o=ibm,c=us
Essevalor deveserfornecidocomoargumentoparaaopção –dparao utilitáriomigrateEAR5.
Nota: ÉpossívelutilizarpdadminparaexibiroDNdowsadminnosistema:
pdadmin> user show wsadmin
2. Altereodiretórioparaalocalizaçãodoutilitáriodemigração: v (UNIX)/opt/amwas/bin
v (Windows) C:\Arquivos de Programas\Tivoli\amwas\bin
3. Executeoutilitáriodemigraçãoparamigrarosdadosdo aplicativo.
Utilizandoosparâmetrosmontados naetapaanterior,digiteoseguintetexto emum promptdecomando,comoumalinhadecomandocontínua:
Tabela9.ChamadadaLinhadeComandodoUtilitáriodeMigração UNIX
migrateEAR5 -j /temp/assembly/simpleSessionSecure.ear -a sec_master -p senha_sec_master
-w wsadmin -d "o=ibm,c=us"
-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties
ObservequealocalizaçãopadrãodoarquivoPdPerm.propertiesnoAIXé: /usr/WebSphere/AppServer/java/jre/PdPerm.properties Windows migrateEAR5.bat -j C:\temp\assembly\simpleSessionSecure.ear -a sec_master -p senha_sec_master -w wsadmin -d "o=ibm,c=us" -c file:/"c:\Arquivos de Programas\WebSphere\AppServer\java\ jre\PdPerm.properties"
Outilitáriodemigraçãoregistraasaídaemumarquivodelog.Onomedo arquivodelogéexibido.Porexemplo,pdwas_migrate.log.Você podeexaminar oconteúdodoarquivodelogparaverificarsetodasasfunçõesforam
migradas.
Seoarquivodelognãoaparecer,o utilitáriode migraçãoencontrouum problema.Seissoocorrer, verifiqueseforneceuoURI(UniformResource Indicator)corretonaopção -ceonomedearquivocorretonaopção-j. 4. Quandoo scriptforconcluído,continuenapróximaseção“Parte9:Testara
SegurançaparaoAplicativo Implementado”.
Parte 9: Testar a Segurança para o Aplicativo Implementado
1. Verifique sea segurançaestáagorafuncionandoparaoaplicativo.Repitaas etapasparaoServleteo ClienteEspessoem “Parte7:Testara Segurançapara oAplicativoImplementado”napágina 85.
2. Quandoa segurançativersidoverificada,continuena“Parte10:Alterar Funções”napágina88.
Parte 10: Alterar Funções
Use outilitáriopdadmindoTivoliAccessManager paraalterar umadefiniçãode funçãoincluindo umusuário.
1. Inicieo pdadmin:
pdadmin -a sec_master -p myPassword
2. ModifiqueaACLdoaplicativoSimpleSessionparaincluironome user4.Digite o comandoacl modifya seguircomoumalinhade comandocontínua:
pdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_SimpleSessApp_ACL set user user4 T[WebAppServer]i
3. Replique oservidoreencerre outilitário:
pdadmin> server replicate pdadmin> quit
4. Continuecomaseção“Parte11:Testara SegurançaparaoAplicativo Implementado”.
Parte 11: Testar a Segurança para o Aplicativo Implementado
1. Verifique sea segurançaestáagorafuncionandoparaoaplicativo.Repitaas etapas parao Servleteo ClienteEspessoem “Parte7:Testara Segurançapara oAplicativoImplementado”napágina 85.
Observequequandovocêdigitaonomedeum usuárioválido,agoraé possível digitar user1, user2, user3 ou user4.
2. Sevocê nãoconseguiracessarapágina comouser4,aguardeo cacheatingiro tempo limiteouinicienovamenteoWebSphereApplicationServer.