v “Parte5a:MigrarasDefinições deSegurançadoWebSphere—WebSphere Versão4.0.6”napágina 34
v “Parte5b:MigrarasDefiniçõesde Segurançado WebSphere—WebSphere Versão5.0.2”napágina 36
Asetapas paraaconfiguraçãoinicialem umdomínioseguroestãoresumidasno diagrama aseguir.
Concluaasinstruções emcadaumadaspartesnumeradas nestaseção.
Parte 1: Criar o Usuário Administrativo do Tivoli Access
Manager para WebSphere Application Server
Sea segurançajátiversidoativadanoWebSphereApplicationServer, ousuário administrativodoWebSphereApplicationServer deveráserimportado parao espaçode objetodoTivoliAccessManager.Useoutilitáriodalinhade comandos do TivoliAccessManager,pdadmin,ouoTivoliAccessManagerWebPortal Manager paraimportaro usuárioadministrativodoTivoliAccessManagerpara WebSphereApplicationServer.Parafazerissoa partirdo utilitáriodalinhade comandosdo TivoliAccessManager:
1. Apartirdalinhadecomandos,inicieopdadmin comoousuário administrativosec_master:
pdadmin -a sec_master -p sec_master_password
2. Importe ousuárioadministrativodoWebSphereApplicationServer.Por exemplo:
pdadmin> user import was_admin_user dn_registry_identifier
Torneválidaa contadousuárioadministrativodoWebSphere:
pdadmin> user modify was_admin_user account-valid yes
Sea segurançanãotiversidoativadanoWebSphereApplicationServer,ousuário administrativodoWebSphereApplicationServer deverásercriado. Useoutilitário dalinhadecomandosdoTivoliAccessManager,pdadmin,ou oTivoliAccess Manager WebPortalManagerparacriarousuárioadministrativodoTivoliAccess Manager paraWebSphereApplicationServer.
Asinstruções aseguirdescrevemcomo utilizaro pdadmin.
1. Apartirdalinhadecomando,inicieopdadmincomo ousuárioadministrativo sec_master:
pdadmin -a sec_master -p sec_master_password
Figura5.TarefasdeConfiguraçãoparaInstalaçãoInicialdoTivoliAccessManagerpara WebSphere.
2. Crieumusuário administrativodo TivoliAccessManagerparaoWebSphere ApplicationServer.Porexemplo,asinstruções aseguircriamumnovousuário
wsadmin.Ocomandoa seguirdeveserdigitadocomoumalinhade comando contínua:
pdadmin> user create wsadmin cn=wsadmin,o=organization,c=country wsadmin wsadmin myPassword
Substituaosvaloresem organizaçãoepaísporvaloresválidosdoregistrode usuárioLDAP.
Torneacontawsadminválida:
pdadmin> user modify wsadmin account-valid yes
Parte 2: Ativar a Segurança do WebSphere
Concluaasetapas emumadasseçõesa seguirdependendodaversãodo WebSphereApplicationServerquevocêestiver utilizando:
v “AtivaraSegurançanoWebSphereApplicationServer versão4.0.6”
v “AtivaraSegurançanoWebSphereApplicationServer versão5.0.2” napágina 30
Asinstruções paraativara segurançadoWebSphereversão5.1sãoincluídascomo parte de“ConfigurandooTivoliAccessManagerparaWebSphereem um
Ambiente doWebSphereApplicationServerVersão5.1” napágina39.
Ativar a Segurança no WebSphere Application Server versão
4.0.6
ParaativarasegurançanoWebSphereApplicationServerversão4.0.6: 1. Inicieo WebSphereAdministrationServer.
2. Quandoo servidortiversidoiniciado,inicieoWebSphereAdministration Client.
3. SelecioneConsole→ CentrodeSegurança.
4. SelecioneaguiaGeral.Marquea caixaAtivar Segurança. 5. SelecioneaguiaAutenticação.
a. SelecioneLTPA.Definaasseguintesdefiniçõesde LTPA: v ExpiraçãodeToken:120
v Domínio:Seu nomededomínio.Porexemplo:
mydomain.ibm.com
b. Selecionea caixadeopçãoLDAP.Atribuaasdefiniçõesde LDAP:
Tabela4.DefiniçõesdoLDAP
DefiniçõesdoLDAP ValoresdeExemplo
IDdoServidordeSegurança cn=wsadmin,o=ibm,c=us
SenhadoServidordeSegurança myPassword
Host ldapserver.mydomain.ibm.com
TipodeDiretório SecureWay
DNBase o=ibm,c=us
DNdeLigação cn=root
SenhadeLigação myPassword
6. CliquecomobotãodireitodomouseemDomínioAdmindo WebSphere→ Nós →NomedoHost
7. SelecioneReiniciar.
Ativar a Segurança no WebSphere Application Server versão
5.0.2
ParaativarasegurançanoWebSphereApplicationServerversão5.0.2: 1. Inicie doWebSphereAdministrationServer:
2. Quando oservidortiversidoiniciado,abraoConsoleAdministrativo— http://localhost:9090/admin/
3. Efetue logincomoqualquerusuário. 4. Configureo LDAP:
a. SelecioneSegurança→ RegistrosdoUsuário→ LDAP
b. Configureosvaloresa seguir:
Tabela5.DefiniçõesdoLDAP
DefiniçõesdoLDAP ValoresdeExemplo
IDdoUsuáriodoServidor cn=wsadmin,o=ibm,c=us
SenhadoUsuáriodoServidor myPassword
Tipo IBM_Directory_Server
Host ldapserver.mydomain.ibm.com
Porta 389
DNBase o=ibm,c=us
DNdeLigação cn=root
SenhadeLigação myPassword
PesquisarTempoLimite 120
ReutilizarConexão true
IgnorarCaso true
SSLAtivado false
ConfiguraçãodoSSL cellname/DefaultSSLSettings
c. Cliqueem Aplicar.
5. Configurea autenticaçãodoLTPA:
a. SelecioneMecanismosdeAutenticação→LTPA
b. Definaa senhaparacriptografaredecriptografar chavesLTPA. c. Defina ovalordetempo limitedachavede expiraçãoLTPApara120. d. Namesma janela,confirmea senhaparacriptografaredecriptografar
chavesLTPA. e. CliqueemAplicar.
f. NaseçãoPropriedadesAdicionaisnaparteinferiordatela,selecioneConexão Única(SSO).
g. Ativeaconexãoúnica.
h. Digiteonomede domínioDNSde conexãoúnica. i. CliqueemAplicar.
6. Configureasdefiniçõesde segurança: a. SelecioneSegurança→ SegurançaGlobal
b. Configureosvaloresa seguir:
Tabela6.DefiniçõesdeSegurança
DefiniçãodeSegurança ValoresdeExemplo
Ativado true
ReforçaraSegurançadeJava2 false
UtilizarIDsdeusuárioqualificadodo domínio
true
Tempolimitedecache 600
Emitiravisodepermissão true
Protocoloativo CSIeSAS
Mecanismodeautenticaçãoativo LTPA
Registrodeusuárioativo LDAP
c. Cliqueem Aplicar. 7. CliquenolinkSalvar.
8. CliquenobotãoSalvarparasalvara ConfiguraçãoMestre.
9. Efetue logoutdoWebSphereApplicationServerAdministrationConsole. 10. Inicie novamenteoWebSphereApplicationServer.
Parte 3: Configurar o Access Manager Java Runtime
Environment
ConfigureoAccessManagerJavaRuntime EnvironmentparaestenderoJava Runtime queédistribuídocomo IBMWebSphereApplicationServer.
Nota: OAccessManagerJavaRuntime Environmentéumpré-requisito de softwareparaoTivoliAccessManager paraWebSphere.
OAccessManager JavaRuntimeEnvironment podeserconfiguradoutilizandoa GUI deconfiguraçãodoAccessManagerBase ouapartirdalinhadecomandos utilizandoo comandopdjrtecfg.ParaconfiguraroAccessManagerJava Runtime Environment apartirdaGUIde configuraçãodoAccessManagerBase:
1. Altereodiretórioparaaseguintelocalização: v (UNIX)/opt/PolicyDirector/bin
v (Windows) C:\Arquivos de Programas\Tivoli\Policy Director\bin 2. Digiteoseguintecomando:
pdconfig
AtelaConfiguraçãodoAccessManageréexibida, apartirdela vocêpode configuraroJavaRuntime.
ParaconfiguraroAccessManagerJava RuntimeEnvironmenta partirdalinhade comandos:
1. Verifique sea variávelde ambienteWAS_HOMEestádefinida paraodiretório inicialdo IBMWebSphereApplicationServer.
2. Altereodiretórioparaaseguintelocalização: v (UNIX)/opt/PolicyDirector/sbin
v (Windows) C:\Arquivos de Programas\Tivoli\Policy Director\sbin 3. Digiteocomandoa seguircomoumalinhacontínua:
v UNIX
pdjrtecfg -action config -java_home $WAS_HOME/java/jre -host policy_server_host
v Windows
pdjrtecfg -action config -java_home %WAS_HOME%\java\jre -host policy_server_host
Nota: Certifique-sedequealocalizaçãodobináriojavaqueapareceem primeirolugar navariávelPATHcorresponda àlocalizaçãodobinário javaespecificadoempdjrtecfg naopção-java_homepathname.
Parte 4: Unir um Domínio Seguro
Concluaasseguintes etapas:
1. Pareo WebSphereApplicationServer. 2. Reúna asseguintes informações:
v Onomedacontadeusuárioquedesejautilizarcomoaidentidadedo usuário paraoaplicativodoTivoliAccessManager paraWebSphere. Os comandosde exemplonessas instruçõesutilizama identidadepdpermadmin. Onomede usuárioquevocêescolhernão deveexistirnoregistrodeusuário. v Asenha paraa contasec_master.
v Onomecompletododomíniodo computadorquehospedaoservidorde critério.Por exemplo:pdmgrserver.mysubnet.ibm.com
v Onomecompletododomíniodo computadorquehospedaoservidorde autorização.Porexemplo:pdacldserver.mysubnet.ibm.com
v OdiretórioinicialdainstalaçãodoWebSphere.
3. ParadefiniravariáveldeambienteWAS_HOMEparaodiretóriodeinstalaçãodo WebSphereApplicationServer,altereodiretóriopara
WebSphere_install_directory/bineexecuteocomandoaseguir:
UNIX
setupCmdLine.sh Windows
setupCmdLine.bat
4. Em plataformasUNIX,definaa variáveldeambientePDWAS_HOMEparao diretóriodeinstalaçãodoTivoliAccessManagerparaWebSphere.Em plataformasWindows, PDWAS_HOMEjáexistirá noambiente.
UNIX
PDWAS_HOME=/opt/amwas export PDWAS_HOME
5. Altereodiretóriopara: v (UNIX)/opt/amwas/sbin
v (Windows) C:\Arquivos de Programas\Tivoli\amwas\sbin
6. Executeoutilitáriopdwascfg.Utilizeasinformaçõescoletadasnaetapa anteriorparafornecerasopções delinhade comandosparapdwascfg.
Nota: Oscomandosdeexemploaseguirassumemquevocêestejacriandouma novacontade usuáriodoTivoliAccessManager denominada
pdpermadmin.Porexemplo:
Utilizandoosparâmetrosmontados anteriormente,digiteocomandoaseguir,
comoumalinhade comandoscontínua,utilizandooparâmetro-action
configWAS4ouconfigWAS5 dependendodaversãodoWebSphereApplication Server quevocê estiverutilizando:
pdwascfg -action configWASversion_number -remote_acl_user pdpermadmin
-sec_master_pwd myPassWord
-pdmgrd_host fully_qualified_DN_of_the_policy_server_host
-pdacld_host fully_qualified_DN_of_the_authorization_server_host
-was_home c:\WebSphere\AppServer
Nota: Ovalor daopção –was_homenocomandoacimaémostrado apenas comoexemplo.Essevalor seráalteradodependendodaversãodo WebSphereApplicationServer quevocê estiverexecutandoeda plataformaqueestiverutilizando.Porexemplo,essevalorserá:
Windows
WebSphereApplicationServer versão4.0.6:
c:\WebSphere\AppServer
WebSphereApplicationServer versão5.0.2:
"c:\Arquivos de Programas\WebSphere\AppServer" Solaris,Linux,HP-UX
/opt/WebSphere/AppServer
AIX /usr/WebSphere/AppServer
OutilitáriopdwascfgconfiguraoWebSphereApplicationServerparautilizaro TivoliAccessManager paraWebSpherecomoofornecedorde autorização.
Notas:
a. Outilitáriopdwascfgsuportaapenasdomínioscomo usuáriode administraçãocriadocomosec_master.
b. Outilitáriopdwascfgcriaum arquivodelogchamadoAMWASConfig.logno diretórioondeoutilitáriofoiexecutado.
7. Verifique seocomandopdwascfgcriou comêxitooarquivodepropriedades PdPerm.
v Solaris, Linuxe HP-UX
/opt/WebSphere/AppServer/java/jre/PdPerm.properties
v AIX
/usr/WebSphere/AppServer/java/jre/PdPerm.properties
v Windows
– WebSphereApplicationServerversão4.0.6
C:\WebSphere\AppServer\java\jre\PdPerm.properties
– WebSphereApplicationServerversão5.0.2
C:\Arquivos de Programas\WebSphere\AppServer\java\ jre\PdPerm.properties
Nota: Osnomesde caminhosacimaassumemodiretóriodeinstalaçãopadrão doWebSphereApplicationServer. Sevocêinstalouem umalocalização diferentedapadrão,ajuste osnomesdecaminhosdeacordo.
Parte 5a: Migrar as Definições de Segurança do WebSphere —
WebSphere Versão 4.0.6
Seestiver utilizandooWebSphere5.0.2,ignoreestaetapaeváparaa “Parte5b: Migrar asDefinições deSegurançadoWebSphere—WebSphereVersão5.0.2” na página 36
Estaetapamigra ocritériodesegurançado aplicativodoarquivodescritorde implementaçãoadmin.ear doWebSphereparao bancodedadosde critériosdo TivoliAccessManager.Outilitáriodemigraçãocria,noespaçodeobjetodoTivoli AccessManager,objetosquerepresentam recursosdoWebSphere.Não será possível iniciaro WebSphereseestaseçãonão estiverconcluída.
Concluaasseguintes etapas:
1. Pareo WebSphereseeleestiver emexecução.
2. Certifique-sede quea variávelde ambienteWAS_HOMEestejadefinida paraa localizaçãodeinstalaçãodoWebSphereApplicationServer.Osexemplosa seguirmostrama localizaçãopadrão:
v Solaris, LinuxeHP-UX
WAS_HOME=/opt/WebSphere/AppServer
v AIX
WAS_HOME=/usr/WebSphere/AppServer
v Windows
WAS_HOME=C:\WebSphere\AppServer
3. Reúna asseguintes informações,quevocê precisaráespecificarcomo parâmetrosde entradanoutilitáriodemigração:
v Onomedo arquivoEARaser migrado.Paraesteusoinicialdo utilitáriode migração, vocêdevemigraroarquivoEARdeadministração:
– Solaris,LinuxeHP-UX
/opt/WebSphere/AppServer/config/admin.ear
– AIX
/usr/WebSphere/AppServer/config/admin.ear
– Windows
C:\WebSphere\AppServer\config\admin.ear
v OcaminhocompletoparaoarquivoPDPerm.properties.Essearquivoestá localizadoemum diretórionodiretóriodeinstalaçãodo WebSphere ApplicationServer.Alista aseguirmostraaslocalizaçõespadrãoemcada sistemaoperacional.
Nota: Alocalizaçãodo arquivodeveserexpressacomoum Uniform ResourceIdentifier.
– Solaris,LinuxeHP-UX
file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties
– AIX
file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties
– Windows
file:/c:\WebSphere\AppServer\java\jre\PdPerm.properties
v Onomedacontadeadministraçãodo TivoliAccessManager.Estedeveser sec_master.
v OnomedacontadousuárioadministrativodoWebSphere. Eledeve corresponderà contacriada/importadaacima.Porexemplo:
wsadmin
v OsufixodoDN(NomeDistinto)doLDAP sobo qualoservidorde critério do TivoliAccessManagereoWebSphereApplicationServerarmazenam informaçõessobreousuário.EledevecorresponderaosufixodoDN utilizado quandovocê criouousuáriowsadmin.
Oexemplomostradona“Parte1:Criar oUsuárioAdministrativodoTivoli AccessManagerparaWebSphereApplicationServer”napágina28criouo wsadmincomoseguinteDN:
cn=wsadmin,o=ibm,c=us
Nesse caso,osufixodoDNé:o=ibm,c=us
Essevalor deveserdadocomoargumentoparaaopção –dparaoutilitário
migrateEAR4.
Nota: ÉpossívelutilizarpdadminparaexibiroDNdowsadminnosistema:
pdadmin> user show wsadmin
4. Altereodiretórioparaalocalizaçãodoutilitáriodemigração: v (UNIX)/opt/amwas/bin
v (Windows) C:\Arquivos de Programas\Tivoli\amwas\bin
5. Executeoutilitáriodemigraçãoparamigrarosdadoscontidos noadmin.EAR. Utilizandoosparâmetrosmontados naetapaanterior,digiteoseguintetexto emum promptdecomandoscomoumalinhadecomando contínua:
UNIX
migrateEAR4 -j /opt/WebSphere/AppServer/config/admin.ear -a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us" -c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties
ObservequealocalizaçãopadrãodoarquivoPdPerm.propertiesno AIXé:
/usr/WebSphere/AppServer/java/jre/PdPerm.properties Windows
migrateEAR4 -j c:\WebSphere\AppServer\config\admin.ear
-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us" -c file:/c:\WebSphere\AppServer\java\jre\PdPerm.properties
Umamensagemdestatuséexibidanaconclusãodamigração.Asaídado utilitárioéregistradanoarquivopdwas_migrate.logcriadonodiretórioemque outilitáriofoiexecutado.Verifiqueoarquivodelogparaassegurar-sedeque todososcritériostenhamsidomigradosparaoaplicativo.Seoarquivodelog exibirerros,verifiqueaúltimatransação ocorrida,corrijaaorigem doerroe executenovamenteaferramentade migração.
Sea migraçãonão forbem-sucedida,verifiquesevocêforneceuoUniform ResourceIdentifiercorretoparaa opção-ceo nomedoarquivocorretoparaa opção -j.
Outilitáriodemigraçãorequeracessoaoadmin.ear.Porpadrão,aferramenta demontagem deaplicativoscontémreferênciasdeURLparaa localizaçãodo padrãoDTD (DocumentTypeDefinitions). Portanto,aspesquisas porDTDsdo descritordeimplementaçãorequeremumaconexãocomaInternet. Seo computadorhostnãoestiverconectadoà Internet,utilizeumacópialocaldo DTD.Nesse caso,atualizeosdescritoresdeimplementaçãoparaapontarparao DTDlocal.
Atenção: Vocêprecisaráexecutaroutilitáriodemigraçãopelomenosumavez antesdeutilizaroTivoliAccessManager paraWebSphere. Énecessário
executá-loparaoarquivoEARdecadaaplicativoquevocêestiver protegendo. Asinstruções estãolocalizadasnoCapítulo4, “MigrandoFunções de
Segurança”,napágina45.
Incluir o Grupo pdwas-admin naACL deAdministração
Concluaasetapas aseguirparaincluiro grupopdwas-adminnaACLde administração:
1. Utilizeo pdadminparaincluirogrupo pdwas-adminnaACLapropriada. Digite oseguintetextocomoumcomando contínuo:
pdadmin> acl modify _WebAppServer_deployedResources_AdminRole_admin_ACL set group pdwas-admin T[WebAppServer]i
2. Seodomíniosegurocontivermais deumservidor deautorização,utilize
pdadmin paraexecutaro comandoserverreplicateparagarantirquetodosos servidoresdeautorizaçãosejamimediatamenteatualizadoscomasalterações daACL.
Parte 5b: Migrar as Definições de Segurança do WebSphere —
WebSphere Versão 5.0.2
Seestiver utilizandooWebSphereApplicationServer 4.0.6,ignoreestaetapa. Estaetapamigra ocritériodesegurançado aplicativodoarquivodescritorde implementação adminconsole.eardoWebSphereparaobanco dedadosde critériosdoTivoliAccessManager.Outilitáriodemigraçãocria,noespaçode objeto doTivoliAccessManager,objetosquerepresentam recursosdoWebSphere.
Nota: OTivoliAccessManagerparaWebSpherenãosuportaasegurançapara tarefasdeadministraçãodo WebSphereApplicationServer.
Concluaasseguintes etapas:
1. Pareo WebSphereseeleestiver emexecução.
2. Certifique-sede quea variávelde ambienteWAS_HOMEestejadefinida paraa localizaçãodeinstalaçãodoWebSphereApplicationServer.Osexemplosa seguirmostrama localizaçãopadrão:
v Solaris, LinuxeHP-UX
WAS_HOME=/opt/WebSphere/AppServer
v AIX
WAS_HOME=/usr/WebSphere/AppServer
v Windows
WAS_HOME=C:\Arquivos de Programas\WebSphere\AppServer
3. Reúna asseguintes informações,quevocê precisaráespecificarcomo parâmetrosde entradanoutilitáriodemigração:
v Onomedo arquivoEARaser migrado.Paraesteusoinicialdo utilitáriode migração, você devemigraro EARdeadministração, admin-authz.xmle naming-authz.xml:
– Solaris,LinuxeHP-UX
/opt/WebSphere/AppServer/installedApps/cellname/adminconsole.ear /opt/WebSphere/AppServer/config/cells/cellname/admin-authz.xml /opt/WebSphere/AppServer/config/cells/cellname/naming-authz.xml
/usr/WebSphere/AppServer/installedApps/cellname/adminconsole.ear /usr/WebSphere/AppServer/config/cells/cellname/admin-authz.xml /usr/WebSphere/AppServer/config/cells/cellname/naming-authz.xml – Windows C:\Arquivos de Programas\WebSphere\AppServer\installedApps\ cellname\adminconsole.ear C:\Arquivos de Programas\WebSphere\AppServer\config\cells\ cellname\admin-authz.xml C:\Arquivos de Programas\WebSphere\AppServer\config\cells\ cellname\naming-authz.xml
v OcaminhocompletoparaoarquivoPDPerm.properties.Essearquivoestá localizadoemum diretórionodiretóriodeinstalaçãodoWebSphere ApplicationServer.Alista aseguirmostraaslocalizaçõespadrãoemcada sistemaoperacional.
Nota: Alocalizaçãodo arquivodeveserexpressacomoum Uniform ResourceIdentifier.
– Solaris,LinuxeHP-UX
file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties – AIX file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties – Windows file:/"c:\Arquivos de Programas\WebSphere\AppServer\java\ jre\PdPerm.properties"
v Onomedacontadeadministraçãodo TivoliAccessManager.Estedeveser sec_master.
v Asenha paraa contasec_master.
v OnomedacontadousuárioadministrativodoWebSphere. Eledeve corresponderà contacriadaacima.Porexemplo:
wsadmin
v OsufixodoDN(NomeDistinto)doLDAP sobo qualoservidorde critério do TivoliAccessManagereoWebSphereApplicationServerarmazenam informaçõessobreousuário.EledevecorresponderaosufixodoDN utilizado quandovocê criouousuáriowsadmin.
Oexemplomostradona“Parte1:Criar oUsuárioAdministrativodoTivoli AccessManagerparaWebSphereApplicationServer”napágina28criouo wsadmincomoseguinteDN:
cn=wsadmin,o=ibm,c=us
Nesse caso,osufixodoDNé:o=ibm,c=us
Estevalordeveser dadocomo argumentoparaa opção–dparaoutilitário
migrateEAR5.
Nota: ÉpossívelutilizarpdadminparaexibiroDNdowsadminnosistema:
pdadmin> user show wsadmin
4. Altereodiretórioparaalocalizaçãodoutilitáriodemigração: v (UNIX)/opt/amwas/bin
v (Windows) C:\Arquivos de Programas\Tivoli\amwas\bin
5. Executeoutilitáriodemigraçãoparamigrarosdadoscontidos nosarquivos adminconsole.EAR,admin-authz.xmlenaming-authz.xml.
Utilizandoosparâmetrosmontados naetapaanterior,digiteotextoa seguir comoum promptde comandos,comoumcomando contínuo:
Solaris,Linux,HP-UX