Tivoli
®SecureWay
®Policy
Director Base
Tivoli
®SecureWay
®Policy
Director Base
Tivoli SecureWay Policy Director Base - Guia de Instalação
Aviso de Copyright
© Copyright IBM Corporation 2001. Todos os direitos reservados. Pode ser utilizado somente mediante um Contrato de Licença de Software da Tivoli Systems, um Contrato de Licença de Software da IBM ou um Adendo para Produtos Tivoli ao Contrato de Licença ou Cliente IBM. Nenhuma parte desta publicação poderá ser reproduzida, transmitida, transcrita, armazenada em um sistema de recuperação ou convertida em qualquer linguagem de computador em hipótese alguma, seja por meio eletrônico, mecânico, magnético, ótico, químico, manual ou de outra maneira, sem permissão expressa, por escrito, da IBM Corporation. A IBM Corporation concede ao Cliente permissão limitada para fazer cópia impressa ou outras reproduções de qualquer documentação lida por máquina para utilização própria, contanto que cada reprodução contenha o aviso de copyright da IBM Corporation. Não será concedido nenhum outro direito de copyright sem permissão prévia, por escrito, da IBM Corporation. O documento não é destinado para uso de produção e é fornecido “no estado em que se encontra” sem garantia de nenhum tipo. Todas as garantias são, deste modo, renunciadas, incluindo as garantias de mercado e adequação a um determinado propósito.
Direitos Restritos para Usuários do Governo dos Estados Unidos—Uso, duplicação e divulgação restritos pelo documento GSA ADP Schedule Contract com a IBM Corporation.
Marcas
IBM, Tivoli, o logotipo Tivoli, AIX, DB2, Domino, Lotus e SecureWay são marcas ou marcas registradas da International Business Machines Corporation ou Tivoli Systems Inc. nos Estados Unidos e/ou em outros países. Java e todas as marcas e logotipos baseados em Java são marcas ou marcas registradas da Sun Microsystems Inc. nos Estados Unidos e outros países.
Lotus é uma marca registrada da Lotus Development Corporation.
Microsoft, Windows, Windows NT e o logotipo do Windows são marcas da Microsoft Corporation nos Estados Unidos e/ou em outros países.
UNIX é marca registrada de The Open Group nos Estados Unidos e em outros países.
Outros nomes de companhia, produto e serviço podem ser marcas ou marcas de serviço de terceiros. Observações
Referências nesta publicação a produtos, programas, ou serviços Tivoli Systems ou IBM não significam que a Tivoli Systems ou a IBM pretendam torná-los disponíveis em todos os países em que operam. Qualquer referência a estes produtos, programas ou serviços não significa que apenas os produtos, programas ou serviços Tivoli Systems ou IBM possam ser utilizados. Qualquer produto, programa ou serviço funcionalmente equivalente, que não infrinja nenhum direito de propriedade intelectual da Tivoli Systems ou da IBM ou outros direitos legalmente protegidos, poderá ser utilizado em substituição a este programa, produto ou serviço. A avaliação e verificação da operação em conjunto com outros produtos, exceto aqueles expressamente designados pela Tivoli Systems ou IBM, são de inteira responsabilidade do Cliente. A Tivoli Systems ou a IBM podem ter patentes ou solicitações de patentes relativas a assuntos tratados nesta publicação. O fornecimento desta publicação não garante ao Cliente nenhum direito sobre tais patentes. Pedidos de licença devem ser enviados, por escrito, para:
IBM Brasil - Gerência de Relações Comerciais e Industriais Av. Pasteur, 138-146 - Botafogo
Índice
Prefácio . . . ix
Quem Deve Ler Este Guia . . . ix
O Que Este Guia Contém . . . x
Publicações . . . xi
Biblioteca do Tivoli SecureWay Policy Director . . . xi
Biblioteca do IBM SecureWay Directory . . . xii
Tivoli SecureWay Policy Director Web Portal Manager. . . xiii
Acessando Publicações Online . . . xiii
Solicitando Publicações . . . xiv
Fornecendo Feedback sobre Publicações . . . xiv
Entrando em Contato com o Suporte ao Cliente . . . xv
Convenções Utilizadas Neste Manual. . . xv
Convenções tipográficas . . . xv
Variáveis e Caminhos Dependentes do Sistema Operacional . . . xvi
Capítulo 1. Visão Geral da Instalação . . . 1
Definindo Requisitos de Segurança . . . 1
Visão Geral do Domínio Seguro . . . 2
Componentes de Instalação . . . 4
IBM Global Security Toolkit . . . 4
Servidor LDAP Suportado . . . 4
Cliente LDAP Suportado: IBM SecureWay Directory. . . 5
Runtime Environment . . . 5
Management Server. . . 5
Authorization Server . . . 6
Authorization Application Development Kit . . . 6
Processo de Instalação. . . 6
Opções de Instalação. . . 7
Requisitos do Sistema . . . 8
Sistemas Operacionais Suportados . . . 8
Correções do Tivoli SecureWay Policy Director . . . 9
Servidores LDAP Suportados. . . 10
IBM SecureWay Directory, Versão 3.2.1 . . . 10
Netscape iPlanet Directory Server, Versão 5.0 . . . 12
LiveContent DIRECTORY, Release 8A.3 . . . 13
Requisitos de Espaço em Disco e de Memória . . . 14
Opções de Configuração . . . 15
Configurando o IBM Global Security Toolkit . . . 15
Configurando o IBM SecureWay Directory Server . . . 15
Configurando o IBM SecureWay Directory Client . . . 17
Configurando o Runtime Environment . . . 18
Configurando o Management Server . . . 19
Configurando o Authorization Server . . . 21
Configurando o Authorization ADK . . . 23
Portas Padrão . . . 23
Conteúdo do CD . . . 23
Tivoli SecureWay Policy Director Base para AIX e Linux . . . 23
Tivoli SecureWay Policy Director Base for Solaris and HP-UX . . . 27
Tivoli SecureWay Policy Director Base para Windows . . . 30
Capítulo 2. Utilizando Instalação Fácil . . . 33
Considerações sobre Instalação . . . 34
Arquivos da Instalação Fácil . . . 35
Processo de Instalação Fácil . . . 37
Considerações sobre Instalação . . . 39
Processo de Instalação Nativa . . . 41
Instalando o IBM Global Security Toolkit . . . 42
Instalando o IBM Global Security Toolkit no AIX . . . 43
Instalando o IBM Global Security Toolkit no HP-UX. . . 43
Instalando o IBM Global Security Toolkit no Linux . . . 44
Instalando o IBM Global Security Toolkit no Solaris . . . 44
Instalando o IBM Global Security Toolkit no Windows . . . 45
Instalando o IBM SecureWay Directory Client . . . 45
Instalando o IBM SecureWay Directory Client no AIX. . . 46
Instalando o IBM SecureWay Directory Client no HP-UX . . . 47
Instalando o IBM SecureWay Directory Client no Linux . . . 47
Instalando o IBM SecureWay Directory Client no Solaris. . . 48
Instalando o IBM SecureWay Directory Client no Windows . . . 49
Instalando e Configurando o Tivoli SecureWay Policy Director . . . 52
Instalando o Tivoli SecureWay Policy Director no AIX . . . 52
Instalando o Tivoli SecureWay Policy Director no HP-UX . . . 53
Instalando o Tivoli SecureWay Policy Director no Linux . . . 54
Instalando o Tivoli SecureWay Policy Director no Solaris . . . 54
Configurando o Tivoli SecureWay Policy Director no UNIX . . . 55
Instalando o Tivoli SecureWay Policy Director no Windows. . . 56
Configurando o Tivoli SecureWay Policy Director no Windows . . . 57
Capítulo 4. Utilizando Instalação Silenciosa . . . 59
Criando um Arquivo de Resposta. . . 59
Instalando Componentes Utilizando um Arquivo de Resposta . . . 60
Sintaxe do Arquivo de Resposta . . . 61
Visão Geral de Migração . . . 65
Considerações sobre Migração . . . 66
Atualizando o Management Server para a Versão 3.8 . . . 68
Atualizando Outros Sistemas para a Versão 3.8 . . . 72
Restaurando um Sistema para a Versão 3.7.x . . . 77
Editando o Arquivo de Configuração de Migração . . . 79
Fazendo Backup de Dados do Tivoli SecureWay Policy Director . . . 82
Restaurando Dados do Tivoli SecureWay Policy Director . . . 84
Capítulo 6. Desinstalando o Tivoli SecureWay Policy
Director, Versão 3.8 . . . 87
Considerações sobre Desinstalação. . . 87
Desinstalando o Tivoli SecureWay Policy Director no AIX. . . 88
Desinstalando o Tivoli SecureWay Policy Director no HP-UX . . . 89
Desinstalando o Tivoli SecureWay Policy Director no Linux . . . 90
Desinstalando o Tivoli SecureWay Policy Director no Solaris. . . 90
Desconfigurando o Tivoli SecureWay Policy Director no UNIX . . . 91
Desinstalando o Tivoli SecureWay Policy Director no Windows . . . 92
Apêndice A. Configurando Servidores LDAP para o
Tivoli SecureWay Policy Director. . . 95
Visão Geral da Configuração do Servidor LDAP . . . 95
Configurando o IBM SecureWay Directory Server . . . 97
Configurando o iPlanet Directory Server . . . 105
Configurando o LiveContent DIRECTORY . . . 111
Carregando o Arquivo de Esquema do Tivoli SecureWay Policy Director . . . 112
Atualizando os Sufixos de Pesquisa do LiveContent
DIRECTORY . . . 115
Configurando a Porta DAP do LiveContent DIRECTORY . . . 116
Configurando o Sistema Host do Tivoli SecureWay Policy Director 117 Obtendo Arquivos do LiveContent DIRECTORY . . . 117
Configurando e Verificando Ligações . . . 119
Atualizando Esquemas DAC do LiveContent DIRECTORY . . . 120
Apêndice B. Ativando o SSL (Secure Sockets Layer) 123
Configurando o IBM SecureWay Directory Server para Acesso SSL. . . 124Criando o Arquivo de Banco de Dados de Chave e o Certificado . . . . 125
Obtendo um Certificado Pessoal de uma Autoridade de Certificação 127 Criando e Extraindo um Certificado Auto-assinado. . . 127
Ativando o Acesso SSL no Servidor LDAP . . . 129
Configurando o iPlanet Directory Server para Acesso SSL . . . 132
Obtendo um Certificado de Servidor . . . 133
Instalando o Certificado de Servidor . . . 134
Ativando Acesso SSL . . . 135
Configurando o Cliente do IBM SecureWay Directory para Acesso SSL 137 Criando um Arquivo de Banco de Dados de Chave . . . 137
Incluindo um Certificado de Assinante . . . 139
Testando o Acesso SSL . . . 140
Configurando Autenticação de Servidor e Cliente LDAP . . . 141
Criando um Arquivo de Banco de Dados de Chave . . . 142
Obtendo um Certificado Pessoal de uma Autoridade de Certificação 143 Criando e Extraindo um Certificado Auto-assinado. . . 144
Incluindo um Certificado de Assinante . . . 146
Testando o Acesso SSL . . . 148
Sintaxe do migrate37 e do migrate38 . . . 152
Sintaxe do pdupgrade . . . 159
Utilitários de Backup e Restauração . . . 160
Utilizando o Comando db2 . . . 160
Usando o Utilitário DB2LDIF . . . 161
Prefácio
O Tivoli®SecureWay®Policy Director é o software de base necessário para executar aplicativos do conjunto de produtos do Tivoli SecureWay Policy Director. Ele permite a integração de aplicativos do Tivoli SecureWay Policy Director que fornecem uma grande faixa de soluções de autorização e gerenciamento. Vendidos como uma solução integrada, esses produtos fornecem uma solução de gerenciamento de controle de acesso que centraliza o critério de segurança de rede e aplicativo para aplicativos de e-business. O Tivoli SecureWay Policy Director Base - Guia de Instalação explica como instalar, configurar e atualizar o software Tivoli SecureWay Policy Director.
Quem Deve Ler Este Guia
Este guia destina-se aos administradores de sistema responsáveis pela instalação e implementação do Tivoli SecureWay Policy Director. Os leitores devem estar familiarizados com o seguinte:
¶ Sistemas operacionais de PC e UNIX® ¶ Arquitetura e conceitos de banco de dados ¶ Gerenciamento de segurança
¶ Protocolos de Internet, incluindo HTTP, TCP/IP, FTP (file
transfer protocol) e telnet
¶ LDAP (Lightweight Directory Access Protocol) e serviços de
diretório
¶ Autenticação e autorização
Se você estiver ativando a comunicação SSL (Secure Sockets Layer), também deverá estar familiarizado com o protocolo SSL, troca de chaves (pública e privada), assinaturas digitais, algoritmos
O Que Este Guia Contém
Este guia contém as seguintes seções:
¶ Visão Geral da Instalação
Descreve os componentes de instalação em um domínio seguro, fornece uma visão geral do processo de instalação e explica as opções de instalação e configuração. Este capítulo também lista os requisitos do sistema necessários para instalar e configurar o Tivoli SecureWay Policy Director.
¶ Utilizando Instalação Fácil
Conduz você nas etapas da primeira instalação e configuração do Tivoli SecureWay Policy Director. A instalação fácil é executada através da utilização de scripts de shell para sistemas UNIX e arquivos batch para sistemas Microsoft®Windows®. Você também pode utilizar a instalação fácil para incluir um componente ou configurar um novo sistema em um domínio seguro existente.
¶ Utilizando Instalação Nativa
Fornece instruções para instalar e configurar o Tivoli SecureWay Policy Director com utilitários nativos do sistema operacional. Diferente dos scripts da instalação fácil, você deve instalar manualmente cada componente e quaisquer correções necessárias.
¶ Utilizando Instalação Silenciosa
Fornece instruções para utilizar arquivos de resposta para instalar vários componentes ao mesmo tempo.
¶ Atualizando da Versão 3.7.x
Explica como atualizar um domínio seguro existente no Tivoli SecureWay Policy Director, Versão 3.7.x, para o Tivoli
SecureWay Policy Director, Versão 3.8. Este capítulo também explica como restaurar um sistema novamente para a Versão 3.7.x, se necessário.
¶ Desinstalando o Tivoli SecureWay Policy Director, Versão 3.8
Fornece instruções para desconfigurar e remover componentes do Tivoli SecureWay Policy Director.
¶ Configurando Servidores LDAP para o Tivoli SecureWay Policy
Director
Descreve como configurar servidores LDAP suportados para serem utilizados com o Tivoli SecureWay Policy Director.
¶ Ativando o SSL (Secure Sockets Layer)
Explica como ativar a criptografia de dados SSL para
comunicações seguras entre o servidor LDAP e os clientes IBM SecureWay Directory.
¶ Utilitários de Migração
Fornece informações de referência ao atualizar do Tivoli SecureWay Policy Director, Versão 3.7.x, para a Versão 3.8.
Publicações
Esta seção lista as publicações da biblioteca do Tivoli SecureWay Policy Director e quaisquer outros documentos relacionados. Descreve também como acessar as publicações do Tivoli online, como solicitar publicações do Tivoli e como fazer comentários sobre as publicações do Tivoli.
Biblioteca do Tivoli SecureWay Policy Director
Os documentos a seguir estão disponíveis no diretório/doc do CD do Tivoli SecureWay Policy Director Base para sua plataforma e no site de Suporte ao Cliente Tivoli na Web. Para obter fontes
adicionais de informações sobre o Tivoli SecureWay Policy Director e tópicos relacionados, incluindo infra-estruturas de LDAP e chave pública, consulte o seguinte site na Web:
http://www.ibm.com/redbooks
¶ Tivoli SecureWay Policy Director Notas sobre o Release,
(pd38_relnotes.pdf)
Fornece as últimas informações, como limitações de software, soluções e disponibilidade de correções.
¶ Tivoli SecureWay Policy Director Base Administration Guide,
GC32-0680 (pd38_admin.pdf)
Descreve os conceitos e procedimentos para utilizar os serviços do Tivoli SecureWay Policy Director. Fornece instruções para executar tarefas a partir da interface de linha de comandos
pdadmin.
A documentação complementar a seguir está disponível somente no site do Suporte ao Cliente Tivoli na Web. Para obter informações sobre como acessar esse site na Web, consulte “Acessando Publicações Online” na página xiii.
¶ Tivoli SecureWay Policy Director Base Administration API Developer’s Reference
Fornece o material de referência sobre a utilização da API de administração para ativar um aplicativo para executar tarefas de administração do Tivoli SecureWay Policy Director. Esse documento descreve as implementações Java™ e C da API de administração.
¶ Tivoli SecureWay Policy Director Base Authorization ADK Developer’s Reference
Fornece o material de referência sobre a utilização de
ferramentas de desenvolvimento e API de autorização para ativar um aplicativo para utilizar a segurança do Tivoli SecureWay Policy Director. Esse documento descreve as implementações Java e C da API de autorização.
¶ Tivoli SecureWay Policy Director Base Capacity Planning Guide
Auxilia os planejadores na determinação do número de servidores WebSEAL, LDAP e Web de backend, necessários para alcançar uma carga de trabalho requerida.
¶ Tivoli SecureWay Policy Director Base Performance Tuning Guide
Fornece informações de ajuste de desempenho para um ambiente que consiste nos componentes Tivoli SecureWay Policy Director e WebSEAL.
Biblioteca do IBM SecureWay Directory
O IBM SecureWay Directory, Versão 3.2.1, é fornecido no CD do Tivoli SecureWay Policy Director Base para a sua plataforma
específica. Se você pretende instalar o IBM SecureWay Directory Server, o seguinte documento está disponível no diretório
/doc/Directory/ install_config_guide/platform:
¶ IBM SecureWay Directory Installation and Configuration Guide
(aparent.htm)
Fornece informações sobre instalação, configuração e migração para os componentes do IBM SecureWay Directory em sistemas operacionais AIX, Solaris e Windows.
Para obter mais informações sobre o IBM SecureWay Directory, consulte o seguinte site na Web:
http://www.software.ibm.com/network/directory/library/
Tivoli SecureWay Policy Director Web Portal Manager
Se você recebeu um CD do Tivoli SecureWay Policy Director Web
Portal Manager com sua solução específica do Tivoli SecureWay
Policy Director, será possível instalar a interface do Web Portal Manager. Esta GUI (interface gráfica com o usuário) permite que você execute as tarefas de administração do Tivoli SecureWay Policy Director. O Web Portal Manager substitui o console de
gerenciamento anteriormente fornecido com o Tivoli SecureWay Policy Director.
O documento a seguir está localizado no diretório /doc:
¶ Tivoli SecureWay Policy Director Web Portal Manager Administration Guide, GC32-0736 (pdwpm38_admin.pdf)
Fornece informações sobre como instalar o Web Portal Manager e administrar os servidores Tivoli SecureWay Policy Director durante sua utilização.
Acessando Publicações Online
Você pode acessar várias publicações do Tivoli online no site do Suporte ao Cliente Tivoli na Web:
http://www.tivoli.com/support/documents/
Essas publicações estão disponíveis no formato PDF ou HTML, ou ambos. Para alguns produtos, estão disponíveis, também, documentos traduzidos.
Para acessar a maioria da documentação, é necessário ter um ID e uma senha. Se necessário, você poderá obtê-los no seguinte site na Web:
http://www.tivoli.com/support/getting/
Solicitando Publicações
Você pode solicitar várias publicações do Tivoli online no seguinte site na Web:
http://www.ibm.com/shop/publications/order
Você também pode solicitar, por telefone, ligando para:
¶ No Brasil: 0800-787378
¶ Em outros países, consulte o seguinte site na Web para obter
uma lista dos números de telefone:
http://www.tivoli.com/inside/store/lit_order.html
Fornecendo Feedback sobre Publicações
Estamos muito interessados em conhecer sua experiência com os produtos e a documentação do Tivoli e receberemos suas sugestões para melhorias com satisfação. Se você tiver comentários ou sugestões sobre nossos produtos e nossa documentação, entre em contato conosco por meio de uma das seguintes maneiras:
¶ Envie um e-mail para pubs@tivoli.com.
¶ Preencha nossa pesquisa de feedback do cliente no seguinte site
na Web:
http://www.tivoli.com/support/survey/
Entrando em Contato com o Suporte ao Cliente
Se você tiver um problema com qualquer produto Tivoli, poderá entrar em contato com o Suporte ao Cliente Tivoli. Consulte o Tivoli
Customer Support Handbook no seguinte site na Web:
http://www.tivoli.com/support/handbook/
O manual fornece informações sobre como entrar em contato com o Suporte ao Cliente Tivoli, dependendo da gravidade do problema e das seguintes informações:
¶ Registro e elegibilidade
¶ Números de telefone e endereços de e-mail, dependendo do país
que você está
¶ Quais informações você deve recolher antes de contatar o
suporte
Convenções Utilizadas Neste Manual
Este manual utiliza várias convenções para termos e ações especiais e comandos e caminhos dependentes do sistema operacional.
Convenções tipográficas
As seguintes convenções de tipo de letra são utilizadas neste manual:
Negrito Comandos em letras minúsculas e letras misturadas, opções de comando e sinalizadores que aparecem dentro do texto serão apresentados assim, em
negrito.
Elementos da interface gráfica com o usuário (exceto títulos de janelas e diálogos) e nomes de teclas também aparecem assim, em negrito.
Itálico Variáveis, valores que você deve fornecer, termos novos, palavras e frases que são destacados aparecem assim, em itálico.
Espaçamento fixo
Comandos, opções de comando e sinalizadores que
aparecem em uma linha separada, exemplos de código, saída e texto de mensagem aparecemassim, em espaçamento fixo.
Nomes de arquivos e diretórios, cadeias de texto que você digita, quando aparecem em um texto, nomes de métodos e classes Java e marcações HTML e
XML também aparecemassim, em espaçamento
fixo.
Variáveis e Caminhos Dependentes do Sistema
Operacional
Este manual utiliza a convenção do UNIX para especificar variáveis de ambiente e para notação de diretórios.
Ao utilizar a linha de comandos do Windows, substitua $variable por %variable% para variáveis de ambiente e substitua cada barra (/) por uma barra invertida (\) nos caminhos de diretório.
Nota: Se você estiver utilizando o shell bash em um sistema
Windows, poderá utilizar as convenções do UNIX.
Visão Geral da Instalação
Antes de começar a instalação do Tivoli SecureWay Policy Director, Versão 3.8, você deve familiarizar-se com os componentes e as decisões de configuração que devem ser tomadas durante a instalação.
Este capítulo fornece as seguintes seções:
¶ Definindo Requisitos de Segurança ¶ Visão Geral do Domínio Seguro ¶ Componentes de Instalação ¶ Processo de Instalação ¶ Opções de Instalação ¶ Requisitos do Sistema ¶ Opções de Configuração ¶ Conteúdo do CD
Definindo Requisitos de Segurança
Antes de implementar uma solução específica do Tivoli SecureWay Policy Director, você deve determinar os recursos de segurança e gerenciamento específicos que são necessários em sua rede.
requisitos de segurança para seu ambiente de computação. Definir os requisitos de segurança significa determinar os critérios comerciais que devem ser aplicados a usuários, programas e dados. Isso inclui a definição do seguinte:
¶ Objetos a serem protegidos ¶ Ações permitidas em cada objeto
¶ Usuários com permissão para realizar as ações
Reforçar o critério de segurança requer compreensão do fluxo de acesso solicitado através de sua topologia de rede. Isto inclui
identificar funções apropriadas e localizações de firewalls, roteadores e sub-redes. A implementação de um ambiente de segurança do Tivoli SecureWay Policy Director (chamado de domínio seguro) também requer a identificação de pontos favoráveis dentro de sua rede para instalar o software que avalia pedidos de acesso de usuário, e concede ou nega o acesso solicitado.
A implementação de um critério de segurança requer o conhecimento da quantidade de usuários, dados, e rendimento que sua rede deve acomodar. Você também deve avaliar as características de
desempenho, escalabilidade e a necessidade de recursos de falha inversa. A integração de software pré-existente, bancos de dados e aplicativos com o software Tivoli SecureWay Policy Director também deve ser considerada.
Depois que você tiver um entendimento dos recursos a serem
implementados, será possível decidir quais componentes e aplicativos do Tivoli SecureWay Policy Director podem ser combinados para implementar melhor o critério de segurança.
Visão Geral do Domínio Seguro
A família de produtos Tivoli SecureWay Policy Director baseia-se em um modelo que combina um conjunto de servidores e bibliotecas runtime com um ou mais aplicativos, como o Tivoli SecureWay Policy Director para Sistemas Operacionais. Os servidores e as bibliotecas runtime fornecem uma estrutura de segurança que inclui bibliotecas de autenticação e autorização.
O domínio seguro do Tivoli SecureWay Policy Director é um ambiente de computação seguro no qual o Tivoli SecureWay Policy Director aplica os critérios de segurança para autenticação,
autorização e controle de acesso. O gráfico a seguir representa as estações de trabalho em um típico domínio seguro. Para descrições desses componentes, consulte “Componentes de Instalação” na página 4.
Para fins ilustrativos, esse gráfico representa uma única estação de trabalho para cada tipo de configuração—servidor de gerenciamento, servidor de autorização e assim por diante. Isso facilita a
identificação de componentes requeridos quando você configura um domínio seguro na sua própria topologia de rede.
Tenha em mente que você também pode instalar todo o software necessário para configurar e utilizar um domínio seguro em uma estação de trabalho independente. Isso é útil ao criar um protótipo de uma implementação ou desenvolver e testar um aplicativo. Você também pode incluir sistemas em um domínio seguro existente, como um sistema de runtime ou um sistema de desenvolvimento com o Authorization ADK (Application Development Kit).
Visão Geral do Domínio Seguro
Os componentes mínimos necessários para um sistema que hospeda um domínio seguro são os seguintes:
¶ Um servidor LDAP (Lightweight Directory Access Protocol)
suportado
¶ IBM SecureWay Directory Client ¶ IBM GSKit (Global Security Toolkit) ¶ Runtime Environment
¶ Management Server
Componentes de Instalação
Esta seção fornece uma visão geral dos componentes de instalação que constituem um domínio seguro. Para versões suportadas, informações do sistema operacional e requisitos de espaço em disco e memória, consulte “Requisitos do Sistema” na página 8.
IBM Global Security Toolkit
O Tivoli SecureWay Policy Director fornece a criptografia de dados através da utilização do IBM GSKit (Global Security Toolkit), uma implementação do protocolo SSL (Secure Sockets Layer), Versão 3.0. Você deve instalar o GSKit, Versão 4.0.3.168, antes de instalar o ambiente de runtime do Tivoli SecureWay Policy Director.
O pacote GSKit também instala o utilitário de gerenciamento de chave iKeyman (gsk4ikm), que permite que você crie bancos de dados de chaves, pares de chaves pública-privada e pedidos de certificados.
Servidor LDAP Suportado
O Tivoli SecureWay Policy Director, Versão 3.8, suporta os seguintes servidores LDAP:
¶ IBM SecureWay Directory Server, Versão 3.2.1 ¶ iPlanet Directory Server, Versão 5.0
¶ LiveContent DIRECTORY, Release 8A.3
Para sistemas operacionais suportados e software de pré-requisito, consulte “Requisitos do Sistema” na página 8.
Cliente LDAP Suportado: IBM SecureWay Directory
O Tivoli SecureWay Policy Director suporta um cliente LDAP: IBM SecureWay Directory Client, Versão 3.2.1. Esse cliente é fornecido com o IBM SecureWay Directory no CD do Tivoli SecureWay Policy Director Base para sua plataforma específica.
O IBM SecureWay Directory Client suporta completamente qualquer um dos servidores LDAP listados em “Servidor LDAP Suportado” na página 4. Você deve instalar e configurar esse cliente LDAP em cada sistema que executa o Tivoli SecureWay Policy Director. O pacote de instalação do cliente LDAP inclui duas GUIs (interfaces gráficas com o usuário). A interface de Administração do Servidor baseada na Web permite que você execute tarefas do servidor e do banco de dados. A DMT (Directory Management Tool) permite que você procure e edite informações no diretório, como definições de esquema, árvore de diretórios e entradas de dados. A documentação detalhada para cada interface está disponível nos sistemas de ajuda online.
Runtime Environment
O Runtime Environment contém bibliotecas runtime e arquivos de suporte que os aplicativos podem utilizar para acessar os servidores Tivoli SecureWay Policy Director. Você deve instalar o ambiente de runtime em todo sistema que faz parte do domínio seguro.
Management Server
O Management Server mantém o banco de dados mestre do critério de autorização para o domínio seguro. Este servidor é a chave para o processamento de controle de acesso, autenticação e pedidos de autorização. Ele atualiza também as réplicas de banco de dados de autorização e mantém informações de localização sobre outros servidores Tivoli SecureWay Policy Director no domínio seguro. Pode haver somente uma única ocorrência, por vez, do Management Server e seu banco de dados mestre de autorização em qualquer
domínio seguro. No entanto, você pode ter um segundo servidor no modo de espera para fornecer capacidades de falha inversa a frio. O Management Server replica seu banco de dados ACL (lista de
controle de acesso) para todos os outros servidores Tivoli SecureWay Policy Director no domínio seguro.
Authorization Server
O Authorization Server descarrega as decisões de controle de acesso e de autorização do Management Server. Mantém uma réplica do banco de dados de critério de autorização e funciona como o avaliador da tomada de decisões de autorização. Um Authorization Server separado também fornece acesso ao serviço de autorização para aplicativos de terceiros que utilizam a API de autorização do Tivoli SecureWay Policy Director no modo de cache remoto. Esse componente é opcional.
Authorization Application Development Kit
O Authorization ADK (Application Development Kit) fornece um ambiente de desenvolvimento que permite que você codifique aplicativos de terceiros para consultar decisões de autorização do Authorization Server. A API de autorização protege os aplicativos das complexidades dos serviços de autorização, incluindo métodos de armazenamento, armazenamento em cache, replicação e
autenticação. Esse componente é opcional.
Web Portal Manager
A GUI do Web Portal Manager permite que você execute tarefas administrativas do servidor que podem ser executadas na interface de linha de comandos pdadmin. As tarefas incluem gerenciar
informações do usuário, criar grupos, iniciar e parar servidores e etc. Essa interface com o usuário baseada na Web é fornecida
separadamente no CD Tivoli SecureWay Policy Director Web Portal
Manager. Esse componente é opcional.
Processo de Instalação
Esta seção lista as etapas necessárias para criar um domínio seguro. As etapas gerais são as seguintes:
1. Planeje a implementação do Tivoli SecureWay Policy Director. Certifique-se de compreender os requisitos de segurança
comerciais para os quais o Tivoli SecureWay Policy Director está sendo implementado. Decida qual combinação de componentes do Tivoli SecureWay Policy Director você deseja instalar e assegure-se de atender os requisitos do sistema listados na página 8. Para obter mais informações, consulte “Definindo Requisitos de Segurança” na página 1.
2. Escolha um método de instalação para instalar o Tivoli
SecureWay Policy Director, Versão 3.8, e siga as instruções de instalação fornecidas. Para obter mais informações, consulte “Opções de Instalação” na página 7.
Opções de Instalação
O Tivoli SecureWay Policy Director oferece os seguintes métodos de instalação. Selecione o método que melhor atenda às suas
necessidades.
Tabela 1. Opções de instalação
Opção Objetivo Etapas
Instalação fácil Utilize essa opção para expedir a instalação e configuração de um novo domínio seguro. Você também pode utilizar essa opção para incluir um componente ou configurar novos sistemas em um domínio seguro existente.
Consultar “Utilizando Instalação Fácil” na página 33.
Instalação nativa Utilize essa opção se você desejar executar a instalação e configuração de
componentes do Tivoli SecureWay Policy Director utilizando procedimentos do sistema operacional nativo.
Tabela 1. Opções de instalação (continuação)
Opção Objetivo Etapas
Instalação silenciosa Utilize essa opção se você desejar criar um script para o processo de instalação. Essa opção é útil ao instalar vários componentes ao mesmo tempo.
Consultar “Utilizando Instalação Silenciosa” na página 59.
Migração Utilize essa opção se você estiver migrando do Tivoli SecureWay Policy Director, Versão 3.7.x.
Se você estiver atualizando da Versão 3.6, deverá primeiro atualizar para a Versão 3.7.x. Consulte a documentação do produto da Versão 3.7.x para obter instruções de instalação. Consultar “Atualizando da Versão 3.7.x” na página 65.
Requisitos do Sistema
O Tivoli SecureWay Policy Director possui pré-requisitos de software e de hardware específicos que devem ser atendidos antes que ele seja instalado e considerado completamente funcional. Esses pré-requisitos incluem sistemas operacionais, plataformas de
hardware, correções e etc. Os requisitos listados nas seções a seguir constituem o ambiente recomendado para os componentes do Tivoli SecureWay Policy Director na época da publicação. Para obter as informações mais atuais, consulte o Tivoli SecureWay Policy Director
Notas sobre o Release, Versão 3.8 no site de Suporte ao Cliente
Tivoli na Web.
Sistemas Operacionais Suportados
Os componentes do Tivoli SecureWay Policy Director, Versão 3.8, são suportados nos seguintes sistemas operacionais, exceto Linux, que suporta somente os componentes Runtime Environment e Authorization ADK:
¶ Hewlett-Packard HP-UX 11.0 ¶ IBM AIX 4.3.3 com o seguinte:
v Correção bos.rte.libpthreads no nível 4.3.3.51 ou superior
Nota: Você pode fazer download dessa correção no seguinte
endereço da Web:
http://www-1.ibm.com/support/rs6000.html
¶ Microsoft Windows NT 4.0 com o seguinte: v Service Pack 6a
v Sistema de arquivos NTFS (recomendado)
¶ Microsoft Windows 2000 Advanced Server com o seguinte: v Service Pack 1
v Sistema de arquivos NTFS (recomendado) ¶ Red Hat Linux 7.1 com o seguinte:
v rpm-3.0.5-27mdk.i586.rpm ou superior a 3.0.5-27
Nota: Você pode localizar esse pacote no seguinte endereço
da Web:
http://www.redhat.com
v Linux Mandrake 7.2 Powerpack
libstdc++-2.95.2-12mdk.i586.rpm
Nota: Você pode localizar esse pacote no seguinte endereço
da Web:
http://www.linux-mandrake.com ¶ Sun Solaris 2.7 e 2.8
Correções do Tivoli SecureWay Policy Director
O CD do Tivoli SecureWay Policy Director Base contém os seguintes diretórios de correção.
Nota: Para obter o caminho completo desses diretórios para seu
sistema operacional, consulte “Conteúdo do CD” na página 23.
correções Contém as correções necessárias para a instalação dos componentes do Tivoli SecureWay Policy Director. Se as correções forem necessárias após a instalação, siga as instruções de instalação no arquivo README fornecido no diretório. Se as
correções não forem necessárias, esse diretório estará vazio.
ldap_efix4 ou Efix4
Contém um caminho que deve ser instalado após a instalação do IBM SecureWay Directory Client, do IBM SecureWay Directory Server, ou ambos. Essa correção é necessária somente nas plataformas AIX, Solaris e Windows. Em sistemas AIX e Solaris, essa correção está localizada no diretórioldap_efix4. Em sistemas Windows, essa correção está localizada emEfix4.
Se você utilizar a instalação fácil para instalar os componentes do IBM SecureWay Directory, esse caminho será instalado automaticamente. Se você utilizar a instalação nativa, será necessário instalar manualmente a correção, seguindo as instruções de instalação fornecidas no arquivoREADME.
Servidores LDAP Suportados
O Tivoli SecureWay Policy Director, Versão 3.8, suporta os servidores LDAP a seguir. As seções a seguir listam seus sistemas operacionais suportados, pré-requisitos necessários e notas sobre o release conhecidos na época da publicação.
IBM SecureWay Directory, Versão 3.2.1
O IBM SecureWay Directory Server é fornecido no CD do Tivoli SecureWay Policy Director Base para as plataformas AIX®, Solaris e Windows. Esse servidor LDAP é suportado nos seguintes sistemas operacionais:
¶ IBM AIX 4.3.3
¶ Microsoft Windows NT 4.0 com Service Pack 6a ¶ Microsoft Windows 2000 Advanced Server ¶ Sun Solaris 2.7 e Solaris 2.8
O software de pré-requisito para o IBM SecureWay Directory Server é o seguinte.
Nota: A correção efix4 do IBM SecureWay Directory, o IBM DB2 e
o servidor Web IBM HTTP são fornecidos no CD Tivoli SecureWay Policy Director Base para os sistemas AIX, Solaris e Windows.
¶ Correção efix4 do IBM SecureWay Directory ¶ IBM DB2®
Universal Database Edition, Versão 6.1, com FixPak3
¶ Um dos seguintes servidores Web suportados: v Apache Server 1.3.12
v IBM HTTP Server, Versão 1.3.12 v Servidor Web Lotus®
Domino™Enterprise 5.0.2b
v Microsoft Internet Information Server 4.0 v Netscape Enterprise Server 3.6.3, 4.0 v Netscape FastTrack Server 3.01
Atenção:
¶ Se houver um IBM SecureWay Directory Server que você deseja
utilizar para o Tivoli SecureWay Policy Director, assegure-se de atualizar o servidor para o nível do IBM SecureWay Directory, Versão 3.2. Para instruções de migração, consulte o IBM
SecureWay Directory Installation and Configuration Guide. ¶ Se você tiver uma versão pré-existente do LDAP de um
fornecedor diferente da IBM, será necessário removê-la antes de instalar o IBM SecureWay Directory. Se você tentar instalar o IBM SecureWay Directory sem remover a a versão do outro fornecedor, os conflitos de nome de arquivo resultantes podem impedir o funcionamento de qualquer uma das versões.
¶ Em sistemas Windows, se você não utilizar a instalação fácil
para instalar o IBM SecureWay Directory Server, certifique-se de instalar o IBM DB2 (um pré-requisito) a partir do seguinte diretório:
windows/Directory/ldap32_us/db2
Netscape iPlanet Directory Server, Versão 5.0
O iPlanet Directory Server, Version 5.0, é suportado nos seguintes sistemas operacionais:
¶ Hewlett-Packard HP-UX 11.0 ¶ IBM AIX 4.3.3
¶ Microsoft Windows NT 4.0 com Service Pack 6a ¶ Microsoft Windows 2000 Advanced Server ¶ Red Hat Linux 7.1
¶ Sun Solaris 2.7 e Solaris 2.8
Para obter informações de instalação, consulte a documentação do produto que é fornecida com o servidor LDAP.
Atenção:
¶ Esse servidor LDAP requer a instalação do GSKit somente se
você instalar o Runtime Environment na mesma estação de trabalho. O GSKit não é requerido para SSL porque o iPlanet Directory Server possui capacidade interna de SSL.
¶ Se houver um Netscape ou iPlanet Directory Server que você
deseja utilizar para o Tivoli SecureWay Policy Director, assegure-se de atualizar o servidor para o nível do iPlanet Directory Server, Versão 5.0. Para obter instruções de migração, consulte o iPlanet Directory Server, Version 5.0 Installation
Guide no seguinte endereço da Web:
http://docs.iplanet.com/docs/manuals/directory.html#dirserver50
LiveContent DIRECTORY, Release 8A.3
O LiveContent DIRECTORY, Release 8A.3, é suportado nos seguintes sistemas operacionais:
¶ Sun Solaris 2.6 e Solaris 2.7
¶ Microsoft Windows NT 4.0 com Service Pack 4 ou posterior
Para obter informações de instalação, consulte a documentação do produto que é fornecida com o servidor LDAP.
Atenção:
¶ O LiveContent DIRECTORY não suporta SSL.
¶ Se você instalar o LiveContent DIRECTORY e o IBM
SecureWay Directory Client no mesmo sistema, duas cópias dos utilitários LDAP serão instaladas no sistema. Assegure que o Tivoli SecureWay Policy Director utilize a versão IBM SecureWay Directory Client. O Tivoli SecureWay Policy Director é incompatível com a versão dos utilitários LDAP fornecidos com o LiveContent DIRECTORY.
No entanto, se você estiver utilizando o Tivoli SecureWay Policy Director em um sistema Windows NT®e tiver instalado o
LiveContent DIRECTORY para obter os binários necessários para manipular o esquema, assegure-se de que os utilitários LDAP corretos sejam chamados no sistema Windows. Em sistemas UNIX ou NT, utilize o seguinte comando para verificar qual produto do fornecedor está sendo utilizado:
ldapsearch –X
Se o LiveContent DIRECTORY estiver no caminho padrão, esse comando exibirá o nome e a versão do fornecedor. Para o IBM SecureWay Directory Server, isso exibe a mensagem de ajuda do comando.
Requisitos de Espaço em Disco e de Memória
A Tabela 2 lista o mínimo e o recomendado para o espaço em disco e a memória dos vários componentes que você pode instalar no domínio seguro.
Tabela 2. Requisitos de espaço em disco e de memória
Sistema Espaço em Disco Memória
Runtime Environment, incluindo o seguinte:
¶ IBM SecureWay Directory Client
¶ GSKit
Mínimo: 65 MB com 10 MB incluído para logs Recomendado: 70 MB com 10 MB incluído para logs
Mínimo: 64 MB Recomendado: 128 MB
Tabela 2. Requisitos de espaço em disco e de memória (continuação)
Sistema Espaço em Disco Memória
Management Server Mínimo: 15 MB Recomendado: 25 MB
Mínimo: 32 MB Recomendado: 64 MB
Authorization Server Mínimo: 10 MB Recomendado: 20 MB
Mínimo: 32 MB Recomendado: 64 MB
Authorization ADK Mínimo: 10 MB Recomendado: 10 MB
Não aplicável
Nota: Recomenda-se que você monitore cuidadosamente o uso de
espaço dos diretórios/opt e /var em sistemas UNIX. Os componentes do Tivoli SecureWay Policy Director são instalados no subdiretório/PolicyDirector desses diretórios em sistemas UNIX. Os bancos de dados do Tivoli SecureWay Policy Director também são armazenados no diretório/var.
Opções de Configuração
Esta seção lista as informações de configuração que são requeridas durante os processos de instalação fácil e nativa. Recomenda-se que você identifique esses valores antes de serem solicitados durante a instalação. Isso resulta em uma instalação sem problemas, porque você saberá quais informações deverão ser fornecidas e, se alguma das opções refletidas nas listas a seguir não estiver clara, será possível pesquisá-la antes de começar o processo de instalação.
Configurando o IBM Global Security Toolkit
Após a instalação do GSKit, nenhuma configuração será necessária.
Configurando o IBM SecureWay Directory Server
Durante a configuração do IBM SecureWay Directory Server e do software pré-requisito, são solicitadas as seguintes informações:
¶ ID (DN) do Administrador LDAP—Especifica o nome distinto
do administrador LDAP. O nome padrão écn=root.
¶ Senha do Administrador LDAP—Especifica a senha associada
ao ID do administrador LDAP.
¶ DN do GSO (Sufixo)—Especifica o nome distinto da
localização do banco de dados do Tivoli GSO (Global Sign-On), na DIT (árvore de informações de diretório) do servidor LDAP. Por exemplo:
o=tivoli,c=us
Para obter mais informações sobre qual entrada de GSO deve ser incluída, consulte “Visão Geral da Configuração do Servidor LDAP” na página 95.
¶ Porta do Servidor LDAP—Especifica o número da porta em
que o servidor LDAP atende. O número da porta padrão é 636.
¶ Arquivos de Chaves do Cliente SSL do LDAP—Especifica o
nome completo do caminho no qual o arquivo de banco de dados de chaves do GSKit está localizado no Management Server. Você pode criar seu próprio arquivo de chaves de cliente com o utilitário de gerenciamento de chave gsk4ikm (instalado com o GSKit). Se você estiver utilizando a instalação fácil, é recomendável gerar um novo arquivo de chaves antes de
implementar o Tivoli SecureWay Policy Director em sua estação de trabalho. Para obter informações sobre como gerar seu próprio arquivo de chaves, consulte “Ativando o SSL (Secure Sockets Layer)” na página 123.
¶ Senha do Arquivo de Chaves do SSL—Especifica a senha do
arquivo de banco de dados de chaves do GSKit do cliente. O arquivopd_ldapkey.kdb, fornecido com a instalação fácil, possui a senha padrãogsk4ikm. Se você precisar alterar essa senha com o utilitário gsk4ikm , deverá chamar novamente a senha padrão para alterá-la.
¶ Rótulo do Certificado do Cliente SSL (se
requerido)—Especifica o rótulo do certificado de cliente, no arquivo de banco de dados de chaves do GSKit do cliente, a ser enviado para o servidor, se o servidor estiver configurado para
exigir a autenticação de cliente ao estabelecer uma sessão SSL. Geralmente, o servidor LDAP requer somente certificados do lado do servidor que foram especificados durante a criação do cliente.kdb e essa opção não é obrigatória. A instalação fácil fornece um arquivopd_ldapkey.kdb padrão, que possui um rótuloPDLDAP. Para obter mais informações sobre o rótulo do certificado de cliente SSL, consulte “Configurando Autenticação de Servidor e Cliente LDAP” na página 141.
As opções de configuração do IBM HTTP Server são as seguintes:
¶ ID de administração—Especifica root para sistemas UNIX.
Para sistemas Windows, especifica o ID de administrador com o qual você iniciou sessão na estação de trabalho.
¶ Senha de administração—Especifica a senha do ID do
administrador.
¶ Porta HTTP—Especifica o número da porta utilizado pelo
servidor IBM HTTP. É importante observar que tanto o
WebSEAL como o servidor IBM HTTP utilizam a porta padrão 80. Recomenda-se que você altere o número da porta do servidor IBM HTTP para 8080, para que o servidor Web não interfira na porta 80.
As opções de configuração do IBM DB2 são as seguintes:
¶ Somente em sistemas Windows, a senha padrão (db2admin) para
o ID de administrador é fornecida. Aceite essa senha. Se o ID de usuário não for administrador, você deverá fornecer a senha do usuário.
Configurando o IBM SecureWay Directory Client
Configurando o Runtime Environment
Durante a configuração do Runtime Environment, são solicitadas as seguintes informações:
¶ Nome do Host do Servidor LDAP—Especifica o nome
completo do host do servidor LDAP. Por exemplo: ldapserver.tivoli.com
¶ Porta do Servidor LDAP—Especifica o número da porta em
que o servidor LDAP atende. O número da porta padrão é 636.
¶ Nome do Host do Management Server— Especifica o nome
completo do host do Management Server. Por exemplo: pdmgr.tivoli.com
¶ Porta do Servidor SSL— Especifica o número da porta que o
Management Server utiliza para atender pedidos SSL. O número da porta padrão é 7135.
¶ Nome do Arquivo do Certificado CA do Policy Director—Se
você especificou para ativar o download automático do arquivo de autoridade de certificação SSL durante a configuração do Management Server, deixe essa opção em branco. Essa opção não é necessária na configuração do Runtime Environment. Caso contrário, especifique o caminho e nome de arquivo completos do arquivo de autoridade de certificação SSL. O arquivo
pd_ldapkey.kdb é criado durante a configuração do
Management Server. Esse arquivo deve ser copiado localmente.
Atenção:
v Se você não utilizar a instalação fácil para instalar o servidor
LDAP, esse arquivo não funcionará.
v Não importa o nome do arquivo de chaves escolhido para ser
utilizado, a instalação fácil copia o arquivo de chaves para um dos diretórios mencionados. Isso proporciona à instalação fácil uma maneira de referir-se ao arquivo e localizá-lo em uma data posterior. Observe que o arquivo de chaves original não é alterado.
v Recomenda-se que você gere um novo arquivo de chaves
antes de implementar o Tivoli SecureWay Policy Director. O arquivo de chaves SSL deve ser gerado com o utilitário
gsk4ikm.
v O IBM SecureWay Directory Server é configurado utilizando
o arquivopd_ldapkey.kdb com a senha gsk4ikm e um rótulo do lado do servidorPDLDAP.
Configurando o Management Server
Durante a configuração do Management Server, são solicitadas as seguintes informações:
¶ Nome do Host do Servidor LDAP—Especifica o nome
completo do host do servidor LDAP. Por exemplo: ldapserver.tivoli.com
¶ ID (DN) do Administrador LDAP—Especifica o nome distinto
do administrador LDAP. O nome padrão écn=root.
¶ Senha do Administrador LDAP—Especifica a senha associada
ao ID do administrador LDAP.
¶ Senha Mestre de Segurança—Especifica a senha associada ao
ID de administrador principal sec_master. Será solicitado que você confirme essa senha.
¶ Ativar o SSL entre o PD e o LDAP—Especifica se o SSL deve
ser ativado (yes) ou não (no). Se yes for especificado, as informações a seguir serão solicitadas.
Nota: Para obter informações sobre como ativar a comunicação
SSL entre os servidores LDAP e os clientes IBM SecureWay Directory que suportam o software Tivoli SecureWay Policy Director, consulte o “Ativando o SSL (Secure Sockets Layer)” na página 123“Capítulo 6. Ativando o SSL (Secure Sockets Layer)”, na página 93.
v Arquivos de Chaves do Cliente SSL do LDAP—Especifica
o nome completo do caminho no qual o arquivo de banco de dados de chaves do GSKit está localizado no Management Server. Você deve copiar esse arquivo de sua localização no servidor LDAP.
v Rótulo do Certificado do Cliente SSL (se
requerido)—Especifica o rótulo do certificado de cliente, no arquivo de banco de dados de chaves do GSKit do cliente, a ser enviado para o servidor, se o servidor estiver configurado para exigir a autenticação de cliente ao estabelecer uma sessão SSL. Geralmente, o servidor LDAP requer somente certificados do lado do servidor que foram especificados durante a criação do cliente.kbde essa opção não é obrigatória. Para obter mais informações sobre o rótulo do certificado de cliente SSL, consulte “Configurando
Autenticação de Servidor e Cliente LDAP” na página 141.
v Senha do Arquivo de Chaves do SSL—Especifica a senha
do arquivo de banco de dados de chaves do GSKit do cliente. O arquivopd_ldapkey.kdb, fornecido com a instalação fácil possui uma senha padrãogsk4ikm e um rótulo PDLDAP. Esses padrões poderão ser utilizados se você instalar e configurar o IBM SecureWay Directory Server utilizando o script
ezinstall_ldap_server. Se você precisar alterar essa senha
com o utilitário gsk4ikm , deverá chamar novamente a senha padrão para alterá-la.
v Porta SSL do Servidor LDAP—Especifica o número da
porta que o servidor LDAP utiliza para atender pedidos SSL. O número da porta padrão é 636.
¶ DN do LDAP para Banco de Dados GSO—Especifica o nome
distinto da localização do banco de dados do Tivoli GSO
(Global Sign-On), na DIT (árvore de informações de diretório) do servidor LDAP. Por exemplo:
o=tivoli,c=us
Para obter mais informações sobre qual entrada de GSO deve ser incluída, consulte “Visão Geral da Configuração do Servidor LDAP” na página 95.
¶ Porta do Servidor SSL para o PD Management
Server—Especifica o número da porta que o Management
Server utiliza para atender pedidos SSL. O número da porta padrão é 7135.
¶ Duração do Certificado SSL do PDMgr— Especifica o
número de dias durante os quais o arquivo de certificados SSL é válido. O número de dias padrão é 365.
¶ Ativar o Download de Certificados—Especifique yes para
ativar o download automático do arquivo de autoridade de certificação SSL durante a configuração do Management Server. Se você especificarno, deverá especificar o caminho e nome de arquivo completos do arquivo de autoridade de certificação SSL (pdcacert.b64) durante a configuração do Tivoli SecureWay Policy Director.
Configurando o Authorization Server
Durante a configuração do Authorization Server, serão solicitadas as seguintes informações:
¶ Nome do Host do Servidor LDAP—Especifica o nome
completo do host do servidor LDAP. Por exemplo:
ldapserver.tivoli.com
¶ Porta do Servidor LDAP—Especifica o número da porta que o
servidor LDAP utiliza para escuta de pedidos SSL. O número da porta padrão é 636.
¶ ID (DN) do Administrador LDAP—Especifica o nome distinto
do administrador LDAP. O nome padrão écn=root.
¶ Senha do Administrador LDAP—Especifica a senha associada
¶ Ativar o SSL entre o PD e o LDAP—Especifica se o SSL deve
ser ativado (yes) ou não (no). Se yes for especificado, as informações a seguir serão solicitadas.
Nota: Para obter informações sobre como ativar a comunicação
SSL entre os servidores LDAP e os clientes IBM SecureWay Directory que suportam o software Tivoli SecureWay Policy Director, consulte o “Ativando o SSL (Secure Sockets Layer)” na página 123“Capítulo 6. Ativando o SSL (Secure Sockets Layer)”, na página 93.
v Arquivo de Chaves do Cliente SSL do LDAP—Especifica
o nome completo do caminho no qual o arquivo de banco de dados de chaves do GSKit está localizado no Management Server. Você deve copiar esse arquivo de sua localização no servidor LDAP.
v Rótulo do Certificado do Cliente SSL (se
requerido)—Especifica o rótulo do certificado de cliente, no arquivo de banco de dados de chaves do GSKit do cliente, a ser enviado para o servidor, se o servidor estiver configurado para exigir a autenticação de cliente ao estabelecer uma sessão SSL. Geralmente, o servidor LDAP requer somente certificados do lado do servidor que foram especificados durante a criação do cliente.kbd e essa opção não é obrigatória. Para obter mais informações sobre o rótulo do certificado de cliente SSL, consulte “Configurando
Autenticação de Servidor e Cliente LDAP” na página 141.
v Senha do Arquivo de Chaves do SSL—Especifica a senha
do arquivo de banco de dados de chaves do GSKit do cliente. O arquivopd_ldapkey.kdb fornecido com a instalação fácil possui uma senha padrãogsk4ikm e um rótulo PDLDAP. Esses padrões poderão ser utilizados se você instalar e configurar o IBM SecureWay Directory Server utilizando o script
ezinstall_ldap_server. Se você precisar alterar essa senha
com o utilitário gsk4ikm , deverá chamar novamente a senha padrão para alterá-la.
v Porta SSL do Servidor LDAP—Especifica o número da
porta que o servidor LDAP utiliza para escuta de pedidos SSL. O número da porta padrão é 636.
¶ Senha Mestre de Segurança—Especifica a senha associada ao
ID de administrador principal sec_master. Será solicitado que você confirme essa senha.
Configurando o Authorization ADK
Após a instalação do Authorization ADK, nenhuma configuração é necessária.
Portas Padrão
Os números de porta padrão são os seguintes:
¶ Porta não-SSL do servidor LDAP: 389 ¶ Porta SSL do servidor LDAP: 636 ¶ Porta SSL do Management Server: 7135 ¶ Porta do cliente SSL do servidor LDAP: 636
Conteúdo do CD
As tabelas a seguir listam o conteúdo de cada um dos seguintes CDs do Tivoli SecureWay Policy Director Base:
¶ Tivoli SecureWay Policy Director Base para AIX e Linux, Versão 3.8
¶ Tivoli SecureWay Policy Director Base para Solaris e HP-UX, Versão 3.8
¶ Tivoli SecureWay Policy Director Base para Windows, Versão 3.8
Tivoli SecureWay Policy Director Base para AIX e
Linux
O CD Tivoli SecureWay Policy Director Base para AIX e Linux,
Versão 3.8 contém os seguintes diretórios:
Diretório Descrição Conteúdo
/ Scripts da instalação fácil
Nota: O Linux suporta
somente ezinstall_pdrte e ezinstall_pdauthadk. ¶ Authorization ADK (ezinstall_pdauthadk) ¶ Management Server (ezinstall_pdmgr) ¶ IBM SecureWay Directory
Server (ezinstall_ldap_server) ¶ Authorization Server
(ezinstall_pdacld) ¶ Runtime Environment
(ezinstall_pdrte) /common Arquivos utilizados pela
instalação fácil
/doc Documentação do Tivoli
SecureWay Policy Director
¶ Tivoli SecureWay Policy Director Notas sobre o Release (pd38_relnotes.pdf) ¶ Tivoli SecureWay Policy
Director Base Administration Guide (pd38_admin.pdf) ¶ Tivoli SecureWay Policy
Director Base Guia de Instalação (pd38_install.pdf) /doc/Directory/
install_config_guide/ aix
Documentação do IBM SecureWay Directory para AIX
IBM SecureWay Directory Installation and Configuration Guide (aparent.htm)
Diretório Descrição Conteúdo
/linux Pacotes instaláveis para
Linux ¶ GSKit
(gsk4bas-4.0-3.168.i386.rpm)
¶ IBM SecureWay Directory Client (ldap-clientd-3.2-2.i386.rpm) ¶ Runtime Environment (PDRTE-PD-3.8.0-0.i386.rpm) ¶ Authorization ADK (PDAuthADK-PD-3.8.0-0.i386.rpm)
/linux/patches Correções de pré-requisito do Tivoli SecureWay Policy Director para Linux /nls Arquivos de suporte ao
idioma nacional utilizados pela instalação fácil
Diretório Descrição Conteúdo
/usr/sys/inst.images Pacotes instaláveis para AIX, incluindo pacotes de mensagens e de
documentação para os idiomas suportados
¶ GSKit (gskit.rte)
¶ IBM SecureWay Directory Server (ldap.server e
ldap.max_crypto_server)
¶ IBM SecureWay Directory Client (ldap.client e ldap.max_crypto_client) ¶ Runtime Environment (PD.RTE) ¶ Management Server (PD.Mgr) ¶ Authorization Server (PD.Acld) ¶ Authorization ADK (PD.AuthADK) ¶ Documentação do IBM SecureWay Directory (ldap.htm.language) ¶ Mensagens do IBM SecureWay Directory (ldap.msg.language)
¶ Conjunto de arquivos do IBM DB2 (db2*)
¶ Servidor IBM HTTPD (http*) /usr/sys/
inst.images/migrate
Arquivos utilizados para atualizar da Versão 3.7.x no AIX ¶ migrate.conf ¶ migrate37 ¶ migrate38 ¶ pdupgrade /usr/sys/ inst.images/patches Correções de pré-requisito do Tivoli SecureWay Policy Director para AIX
Diretório Descrição Conteúdo
/usr/sys/ inst.images/ patches/ldap_efix4
Correção e arquivo README do IBM SecureWay Directory para AIX
Tivoli SecureWay Policy Director Base for Solaris and
HP-UX
O CD Tivoli SecureWay Policy Director Base para Solaris e HP-UX,
Versão 3.8 contém os seguintes diretórios:
Diretório Descrição Conteúdo
/ Scripts da instalação fácil
Nota: O HP-UX não suporta ezinstall_ldap_server.
¶ Authorization ADK (ezinstall_pdauthadk) ¶ Management Server
(ezinstall_pdmgr) ¶ IBM SecureWay Directory
Server (ezinstall_ldap_server) ¶ Authorization Server (ezinstall_pdacld) ¶ Runtime Environment (ezinstall_pdrte) /common Arquivos utilizados pela
instalação fácil
/doc Documentação do Tivoli
SecureWay Policy Director ¶ Tivoli SecureWay Policy Director Notas sobre o Release (pd38_relnotes.pdf) ¶ Tivoli SecureWay Policy
Director Base Administration Guide (pd38_admin.pdf) ¶ Tivoli SecureWay Policy
Diretório Descrição Conteúdo
/doc/Directory/ install_config_ guide/solaris
Documentação do IBM SecureWay Directory para Solaris
IBM SecureWay Directory Installation and Configuration Guide (aparent.htm)
/hp Pacotes instaláveis para
HP-UX ¶ GSKit (gsk4bas)
¶ IBM SecureWay Directory Client (LDAP) ¶ Runtime Environment (PDRTE) ¶ Management Server (PDMgr) ¶ Authorization Server (PDAcld) ¶ Authorization ADK (PDAuthADK) /hp/migrate Arquivos utilizados para
atualizar da Versão 3.7.x no HP-UX ¶ migrate.conf ¶ migrate37 ¶ migrate38 ¶ pdupgrade /hp/patches Correções de pré-requisito do
Tivoli SecureWay Policy Director para HP-UX /nls Arquivos de suporte ao
idioma nacional utilizados pela instalação fácil
Diretório Descrição Conteúdo
/solaris Pacotes instaláveis para
Solaris ¶ GSKit (gsk4bas)
¶ IBM SecureWay Directory Server (IBMldaps) ¶ IBM SecureWay Directory
Client (IBMldapc) ¶ Runtime Environment (PDRTE) ¶ Management Server (PDMgr) ¶ Authorization Server (PDAcld) ¶ Authorization ADK (PDAuthADK) ¶ Documentação do IBM SecureWay Directory (IBMldilanguage) ¶ Mensagens do IBM SecureWay Directory (IBMldmlanguage) ¶ Conjunto de arquivos do IBM DB2 (db2*) ¶ Servidor IBM HTTPD (IBMH*) /solaris/migrate Arquivos utilizados para
atualizar da Versão 3.7.x no Solaris ¶ migrate.conf ¶ migrate37 ¶ migrate38 ¶ pdupgrade /solaris/patches Correções de pré-requisito do
Tivoli SecureWay Policy Director para Solaris
Diretório Descrição Conteúdo
/solaris/ patches/ ldap_efix4
Correção e arquivo README do IBM SecureWay Directory para Solaris
Tivoli SecureWay Policy Director Base para Windows
O CD Tivoli SecureWay Policy Director Base para Windows, Versão
3.8 contém os seguintes diretórios:
Diretório Descrição Conteúdo
/ Arquivos batch da
instalação fácil ¶ IBM SecureWay Directory Server (ezinstall_ldap_server.bat) ¶ Authorization Server (ezinstall_pdacld.bat) ¶ Authorization ADK (ezinstall_pdauthadk.bat) ¶ Management Server (ezinstall_pdmgr.bat) ¶ Runtime Environment (ezinstall_pdrte.bat) /common Arquivos utilizados pela
instalação fácil
/doc Documentação do Tivoli
SecureWay Policy Director ¶ Tivoli SecureWay Policy Director Notas sobre o Release (pd38_relnotes.pdf) ¶ Tivoli SecureWay Policy
Director Base Administration Guide (pd38_admin.pdf) ¶ Tivoli SecureWay Policy
Director Base - Guia de Instalação (pd38_install.pdf) /doc/Directory/ install_config_ guide/windows Documentação do IBM SecureWay Directory
IBM SecureWay Directory Installation and Configuration Guide (aparent.htm)
Diretório Descrição Conteúdo
/nls Arquivos de suporte ao idioma nacional utilizados pela instalação fácil /windows/migrate Arquivos utilizados para
atualizar da Versão 3.7.x ¶ migrate.conf ¶ pdupgrade.exe ¶ migrate37.exe ¶ migrate38.exe /windows/Policy Director/Disk Images/Disk 1
Arquivos utilizados durante a instalação do Tivoli SecureWay Policy Director Se necessário, você pode instalar cada pacote do Tivoli SecureWay Policy Director separadamente, utilizando os arquivos
setup.exe nos subdiretórios
do componente.
Contém o arquivo Setup.exe para instalar os seguintes componentes do Tivoli SecureWay Policy Director: ¶ Runtime Environment ¶ Management Server ¶ Authorization Server ¶ Authorization ADK /windows/Directory/ ldap32_us
Arquivos utilizados durante a instalação do IBM SecureWay Directory Se necessário, você pode instalar cada pacote do IBM SecureWay Directory separadamente, utilizando os arquivos setup.exe nos subdiretórios do
componente.
Contém o arquivo setup.exe para instalar todos os componentes e software de pré-requisito do IBM SecureWay Directory /windows/Directory/ Efix4 Correção e arquivo README do IBM SecureWay Directory /windows/gskit IBM Global Security
Toolkit
Contém o arquivo setup.exe para instalar o GSKit, Versão 4.0.3.168
Utilizando Instalação Fácil
Este capítulo descreve como instalar o Tivoli SecureWay Policy Director, Versão 3.8, utilizando o método de instalação fácil. Esse método é recomendável se você estiver criando um domínio seguro ou incluindo estações de trabalho ou componentes em um já existente.
A instalação é executada através da utilização de scripts de shell para sistemas UNIX e arquivos batch para sistemas Windows. Esses scripts e arquivos batch facilitam a instalação do Tivoli SecureWay Policy Director instalando automaticamente os pré-requisitos de software ao mesmo tempo. Eles também permitem que você saiba quais componentes estão atualmente instalados e solicitam
informações de configuração. Depois que você fornece as opções de configuração necessárias, o script instala e configura os componentes sem intervenção adicional. E se, alguma vez, for necessário instalar esses componentes novamente, você poderá executar o arquivo de resposta associado, que armazena automaticamente as informações de configuração digitadas. Para obter mais informações sobre os arquivos de resposta, consulte “Utilizando Instalação Silenciosa” na página 59.
Este capítulo contém as seguintes seções:
¶ Considerações sobre Instalação ¶ Arquivos da Instalação Fácil ¶ Processo de Instalação Fácil
2
2.
Utilizando
Instalação
Considerações sobre Instalação
Antes de começar a utilizar o processo de instalação fácil, revise as seguintes considerações sobre instalação:
¶ Você deve instalar e configurar pelo menos um Management
Server para cada domínio seguro. As informações de configuração do Management Server são utilizadas para configurar todos os componentes do Tivoli SecureWay Policy Director, exceto o Authorization ADK (Application Development Kit). Para descrições das opções de configuração que você deve fornecer durante a instalação fácil, consulte “Opções de
Configuração” na página 15.
¶ Depois de configurar o Management Server, você pode instalar e
configurar o Authorization Server ou o Authorization ADK, ou ambos, em qualquer estação de trabalho no domínio seguro, incluindo a estação de trabalho que hospeda o Management Server.
¶ Somente em sistemas Linux, faça o seguinte:
v Antes de executar os scripts de instalação fácil, assegure que
o ksh esteja instalado ou crie um link de software para o bash, conforme mostrado:
ln -s /bin/bash /bin/ksh
v Antes de instalar os componentes, remova o pacote nss_ldap-149.1, se estiver instalado. Caso contrário,
ocorrerá uma falha de instalação.
¶ Se você pretende instalar o Management Server utilizando o
script ezinstall_pdmgr, ele não é necessário para executar o script de runtime ezinstall_pdrte. O Runtime Environment é instalado com o componente Management Server. Utilize
ezinstall_pdrte somente se você desejar configurar um sistema
de runtime sem o Management Server.
¶ O IBM SecureWay Directory Server não é suportado em
sistemas Linux e HP-UX. Portanto, ezinstall_ldap_server está disponível somente em sistemas AIX, Solaris e Windows.
¶ Somente em sistemas Windows, observe o seguinte:
