IBM WebSphere Application Server: Guia de Integração

(1)

IBM

Tivoli

Access

Manager

para

e-business

IBM

WebSphere

Application

Server:

Guia

de

Integração

Versão

5.1

(2)

(3)

IBM

Tivoli

Access

Manager

para

e-business

IBM

WebSphere

Application

Server:

Guia

de

Integração

Versão

5.1

(4)

Nota

Antesdeutilizarestasinformaçõeseoprodutosuportadoporelas,leiaasinformaçõesnoApêndiceB,“Avisos”,napágina 105.

PrimeiraEdição(Novembrode2003)

Estaediçãoaplica-seàversão5,release1,modificação0doIBMTivoliAccessManager(númerodoproduto 5724-C08)eatodososreleasesemodificaçõessubseqüentes,atéquesejaindicadodeoutramaneiraemnovas edições.

(5)

Índice

Prefácio

.

. vii

QuemDeveLeresteManual . . . vii

OqueesteManualContém. . . vii

Publicações . . . viii

InformaçõessobreoRelease . . . viii

InformaçõesdeBase . . . viii

InformaçõessobreSegurançanaWeb. . . ix

ReferênciasparaDesenvolvedores. . . ix

SuplementosTécnicos . . . x

PublicaçõesRelacionadas . . . x

AcessandoPublicaçõesOn-line . . . xiv

Acessibilidade . . . xiv

EntrandoemContatocomoSuporteaoSoftware . . . xiv

ConvençõesUtilizadasnesteManual . . . xiv

ConvençõesTipográficas. . . xiv

DiferençasdoSistemaOperacional . . . xv

Capítulo

1. Introdução

e

Visão

Geral

.

. 1

IntegrandooTivoliAccessManageraoWebSphereApplicationServer . . . 2

SegurançacomBaseemFunçãodoJava2EnterpriseEdition . . . 4

MapeandoPrincipaiseGruposparaFunções . . . 5

CentralizandooGerenciamentodeCritérioparaVáriosServidoresdoWebSphere . . . 8

Capítulo

2. Instruções

de

Instalação

.

. 11

ConteúdodoSoftware. . . 11

PlataformasSuportadas . . . 11

SuporteparaoWebSphereApplicationServerVersão5.1 . . . 12

RequisitosdeDiscoeMemória. . . 12

Pré-requisitosdeSoftware . . . 12

WebSphereApplicationServer . . . 12

TivoliAccessManagerBase . . . 13

JavaRuntimeEnvironment . . . 14

Pré-requisitosdeRegistrodoUsuário. . . 14

EfetuandooUpgradeaPartirdeumReleaseAnterior . . . 15

InstalandoUtilizandooAssistentedeInstalação . . . 16

InstalandooTivoliAccessManagerparaWebSphereUsandoUtilitáriosNativos . . . 19

InstalandonoSolaris . . . 19

InstalandonoAIX . . . 20

InstalandonoHP-UX . . . 21

InstalandonoLinux . . . 23

InstalandonoWindows . . . 24

Capítulo

3. Procedimentos

de

Configuração

.

. 27

ConfigurandoaInstalaçãoInicial . . . 27

Parte1:CriaroUsuárioAdministrativodoTivoliAccessManagerparaWebSphereApplicationServer. . . . 28

Parte2:AtivaraSegurançadoWebSphere . . . 29

Parte3:ConfiguraroAccessManagerJavaRuntimeEnvironment . . . 31

Parte4:UnirumDomínioSeguro. . . 32

Parte5a:MigrarasDefiniçõesdeSegurançadoWebSphere—WebSphereVersão4.0.6 . . . 34

Parte5b:MigrarasDefiniçõesdeSegurançadoWebSphere—WebSphereVersão5.0.2 . . . 36

ConfigurandooTivoliAccessManagerparaWebSphereemumAmbientedoWebSphereApplicationServer Versão5.1. . . 39

Parte1:CriaroUsuárioAdministrativodoTivoliAccessManagerparaWebSphereApplicationServer. . . . 39

Parte2:AtivaraSegurançanoWebSphereApplicationServerVersão5.1. . . 39

(6)

Parte4:ConfiguraroTivoliAccessManagerparaWebSphere . . . 40

Parte5:MigraroCritériodeAdministração . . . 40

ConfigurandoInstalaçõesAdicionais . . . 41

ParteA-1:ConfiguraroAccessManagerJavaRuntimeEnvironment . . . 42

ParteA-2:UnirumDomínioSeguro . . . 43

Capítulo

4. Migrando

Funções

de

Segurança

.

. 45

ComoMigrarFunçõesdeSegurança . . . 45

LimitaçõesdoUtilitáriodeMigração. . . 49

DicasdeResoluçãodeProblemas . . . 50

UtilizaçãodeArquivosdeLog . . . 50

UsuáriosnãoAnexadosàsACLsCriadas . . . 50

AMigraçãoFalhaemArquivosWindowscomNomeAbreviado . . . 50

OWebPortalManagernãoÉCapazdeAnexarumaACLaumObjeto . . . 51

AvisodequeoUsuário[...]ÉumMembrodepdwas-admin . . . 51

AutenticaçãodoClientePerdidaDevidoaExpiraçãodaSessão . . . 51

AsMensagensdoUtilitáriodeMigraçãonãoSãoExibidasnoIdiomaCorreto . . . 52

Capítulo

5. Tarefas

de

Administração

.

. 53

WebSphereAdvancedEditionSingleServerVersão4.0.6 . . . 53

FerramentasdeAdministraçãodoTivoliAccessManager . . . 54

EspecificandoPropriedadesdeTempodeExecução . . . 54

ConfigurandooArmazenamentoemCachedeFunçõesEstáticas . . . 54

ConfiguraroArmazenamentoemCachedeFunçõesDinâmicas. . . 55

ParâmetrosdeEstruturadeCritérioscomBaseemFunções . . . 56

ConfigurandoServidoresdeAutorizaçãoAdicionais. . . 57

IncluindoumaClassedeObjetonoConsole . . . 58

ConfiguraçãodoMapeamentoPrincipalGSO . . . 59

CriandoumNovoLogindeAplicativo . . . 60

RegistrodoTivoliAccessManagerparaWebSphere. . . 63

ConexãoÚnicacomoWebSphereApplicationServerUtilizandooWebSEAL . . . 65

Etapa1—CriarumaContadoUsuáriodeConfiançanoTivoliAccessManager . . . 66

Etapa2—CriarumCampodeJunçãodoWebSEALparaoWebSphereApplicationServer . . . 66

Etapa3a—ConfigurarSSOUtilizandooTAIparaWebSphereApplicationServerversão4.0.6 . . . 66

Etapa3b—ConfigurarSSOUtilizandooTAIparaWebSphereApplicationServerversão5.0.2 . . . 67

Etapa4—DefiniraSenhaSSOnoWebSEAL . . . 68

Etapa5—TestaraConexãodoWebSEAL . . . 68

DicasdeResoluçãodeProblemas . . . 68

OServidorWebSpherenãoIniciaapósaConfiguraçãoeaMigração—ApenasWebSphereApplicationServer versão4.0.6 . . . 68

OServidorWebSpherenãoIniciaapósaDesconfiguração—ApenasWebSphereApplicationServerversão 4.0.6. . . 69

FazendoBackupdosArquivosdoTivoliAccessManagerparaWebSphere . . . 69

Capítulo

6. Tutorial:

Como

Ativar

a

Segurança

.

. 71

Tutorial:ParaoTivoliAccessManagerparaWebSphereApplicationServerversão4.0.6 . . . 71

ComoUtilizaroTutorial . . . 71

Parte1:IncluirUsuáriosnoRegistrodeUsuárioLDAP. . . 72

Parte2:InstalaroTivoliAccessManagerparaWebSphere. . . 73

Parte3:IncluirSegurançaemumAplicativodoWebSphere . . . 73

Parte4:CriaroUsuárioAdministrativodoTivoliAccessManagerparaoWebSphereApplicationServer . . . 75

Parte6:ImplementaroAplicativo. . . 76

Parte7:TestaraSegurançaparaoAplicativoImplementado . . . 77

Parte8:MigraroAplicativoparaoTivoliAccessManager . . . 77

Parte10:AlterarFunções. . . 79

Parte11:TestaraSegurançaparaoAplicativoImplementado. . . 80

Tutorial:ParaoTivoliAccessManagerparaWebSphereApplicationServerversão5.0.2 . . . 80

(7)

Parte1:IncluirUsuáriosnoRegistrodeUsuárioLDAP. . . 81

Parte2:InstalaroTivoliAccessManagerparaWebSphere. . . 82

Parte3:IncluirSegurançaemumAplicativodoWebSphere . . . 82

Parte4:CriaroUsuárioAdministrativodoTivoliAccessManagerparaoWebSphereApplicationServer . . . 84

Parte6:ImplementaroAplicativo. . . 84

Parte8:MigraroAplicativoparaoTivoliAccessManager . . . 86

Parte10:AlterarFunções. . . 88

Parte11:TestaraSegurançaparaoAplicativoImplementado. . . 88

Capítulo

7. Instruções

de

Remoção

.

. 89

RemovendodoSolaris. . . 89

RemovendodoWindows. . . 90

RemovendodoAIX . . . 90

RemovendodoHP-UX . . . 90

RemovendodoLinux . . . 91

Apêndice

A. Referência

de

Comandos

.

. 93

pdwascfg . . . 94 migrateEAR4. . . 98 migrateEAR5 . . . 101

Apêndice

B. Avisos

.

. 105

Marcas . . . 107

Glossário

.

. 109

Índice

Remissivo

.

. 115

(8)

(9)

Prefácio

Bem-vindo aoIBM®Tivoli®AccessManagerparaWebSphereApplicationServer (TivoliAccessManagerparaWebSphere).EsteprodutoestendeoTivoliAccess Manager parasuportaraplicativosescritosparao IBM®WebSphere™Application Server.

OIBM®Tivoli®AccessManager(TivoliAccessManager)éo softwarebase

necessário paraexecutaraplicativosnoconjuntodeprodutosdo IBMTivoliAccess Manager.ElepermiteaintegraçãodeaplicativosdoIBM TivoliAccessManager quefornecemumaamplafaixadesoluções deautorizaçãoe

gerenciamento.Vendidoscomoumasoluçãointegrada,esses produtosfornecem umasoluçãode gerenciamentode controlede acessoquecentraliza ocritériode segurança deredeeaplicativoparaaplicativosdee-business.

Nota: OIBMTivoliAccessManageré onovonome dosoftwareanteriormente liberadodenominadoTivoliSecureWay®_Policy_Director._Além_disso,_para_os

usuáriosfamiliarizadoscomosoftwareea documentaçãodo Tivoli

SecureWayPolicyDirector,oservidordegerenciamentoé agorareferidocomo oservidordecritério.

OIBMTivoliAccess ManagerparaWebSphereApplicationServer:GuiadeIntegração

forneceinstruções deinstalação,configuraçãoe administração.Estedocumento também forneceum tutorialsobrecomoconfigurarocritériode segurança centralizadoparaaplicativosdoWebSphere.

Quem

Deve

Ler

este

Manual

Opúblicoalvodesteguiade administraçãoinclui: v _{Administradores}_de_segurança

v _{Administradores}_de_sistema_de _rede v _Arquitetos_de_IT

Os leitoresdevemestarfamiliarizadoscom:

v _Protocolos_de_Internet, _incluindo_HTTP,_TCP/IP,_FTP_(File_Transfer_Protocol)_e telnet

v _{Implementação}_e_{gerenciamento}_de_sistemas_e _aplicativos_do_WebSphere ApplicationServer

v _{Gerenciamento}_de _segurança,_incluindo _{autenticação}_e_{autorização}

Sevocê estiverutilizandoa comunicaçãoSSL(Secure SocketsLayer),também deverá estarfamiliarizadocomoprotocolo SSL,a trocadechaves(públicae privada),assinaturasdigitais,algoritmoscriptográficos eautoridadesde certificação.

O

que

este

Manual

Contém

Estedocumentocontémosseguintes capítulos: v _Capítulo_1, ″Introdução_e_visão_geral”

ApresentaumavisãogeraldoscomponentesdoTivoliAccessManagerque fornecemserviçosdeautorizaçãoparaoWebSphereApplicationServer.

(10)

v _Capítulo_2, _{“Instruções}_de _{instalação”}

DescrevecomoinstalaroTivoliAccessManagerparaWebSphere. v _Capítulo_3, ″Procedimentos_de configuração″

DescrevecomoconfiguraroTivoliAccessManagerparaWebSphere. v _Capítulo_4, _“Migrando_funções_de _{segurança”}

DescrevecomoutilizaroutilitáriodemigraçãodoTivoliAccessManagerpara WebSphereparamigrarasfunçõesdesegurançado Java2 EnterpriseEdition paraosusuáriosegruposdo TivoliAccessManager.

v _Capítulo_5, _“Tarefas_deadministração″

DescrevecomoexecutartarefasdeadministraçãoquegerenciamoTivoliAccess ManagerparaWebSphere.

v _Capítulo_6, _“Tutorial:_Como_ativar_a_{segurança”}

Descrevecomoincluira segurançaemumaplicativo doWebSphereApplication Server.Tambémdescrevecomomigrarasinformaçõesdesegurançaparao TivoliAccessManagerecomotestarseasegurançafoiativadacomêxito. v _Capítulo_7, _{“Instruções}_de _remoção”

DescrevecomoremoveroTivoliAccessManagerparaWebSphere.

Publicações

Revise asdescriçõesdabibliotecado TivoliAccessManager,aspublicações de pré-requisitoseaspublicações relacionadasparadeterminarquaispublicações podemser úteis.Depoisdedeterminaraspublicaçõesnecessárias,consulteas instruções paraacessarpublicações on-line.

InformaçõesadicionaissobreoprodutoIBMTivoliAccessManagerparae-business em sipodemser encontradasem:

http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/

Abibliotecado TivoliAccessManagerestáorganizadanasseguintescategorias: v _{“Informações}_sobre_o_Release”

v _{“Informações}_de_Base”

v _{“Informações}_sobre_Segurança_na_Web”_na_página_ix v _{“Referências}_para_{Desenvolvedores”}_na _página_ix v _{“Suplementos}_Técnicos”_na_página_x

Informações

sobre

o

Release

v _IBM_Tivoli_Access_Manager_para_e-business_Leia_isto_Primeiro_{(G517-7925-00)} Forneceinformaçõesparainstalarecomeçar autilizaroTivoliAccessManager. v _IBM_Tivoli_Access_Manager_para_e-business:_Notas_sobre_o_Release_{(G517-7926-00)}

Forneceasúltimasinformações,comolimitaçõesde software,soluções e atualizaçõesdesoftware.

Informações

de

Base

v _IBM_Tivoli_Access_Manager_Base:_Guia_de_Instalação_{(S517-7927-00)}

Explicacomo instalareconfigurarosoftwarebasedo TivoliAccessManager, incluindoa interfacedeWebPortalManager.Estemanual éumsubconjuntode

(11)

deveserutilizadocomoutrosprodutos doTivoliAccessManager,comoIBM TivoliAccessManagerparaBusinessIntegrationeIBMTivoliAccessManager paraSistemasOperacionais.

v _IBM_Tivoli_Access_Manager_Base_{Administration}_Guide_{(SC32-1360-00)}

Descreveosconceitose procedimentosparautilizarosserviços doTivoliAccess Manager.Fornece instruçõesparaaexecuçãode tarefasapartirdainterfacedo WebPortalManager eutilizandoocomandopdadmin.

Informações

sobre

Segurança

na

Web

v _IBM_Tivoli_Access_Manager_para_e-business:_Guia_de_Instalação_de _Segurança_da_Web (S517-7928-00)

Forneceinstalação,configuraçãoeinstruções deremoçãoparao softwarebase deTivoliAccessManagere tambémoscomponentesdo WebSecurity.Este manualéumsuper conjuntode IBMTivoliAccessManagerBase:Guiade Instalação.

v _IBM_Tivoli_Access_Manager_Upgrade_Guide_{(SC32-1369-00)}

Explicacomofazer aatualizaçãodoTivoliSecureWayPolicyDirectorVersão3.8 ouversõesanterioresdoTivoliAccessManagerparaoTivoliAccessManager Versão5.1.

v _IBM_Tivoli_Access_Manager_para_e-business_WebSEAL_{Administration}_Guide (SC32-1359-00)

Forneceinformaçõessobrematerialde segundoplano, sobreprocedimentos administrativosesobrereferência técnicaparautilizaroWebSEALpara gerenciarosrecursosdeseudomínioWebseguro.

v _IBM_Tivoli_Access_Manager_para_e-business_IBM _WebSphere_Application_Server:_Guia

deIntegração(S517-7930-00)

Forneceinstruçõesdeinstalação,remoçãoeadministraçãoparaintegraro Tivoli AccessManager comoIBMWebSphere®ApplicationServer.

v _IBM_Tivoli_Access_Manager_para_e-business_IBM _WebSphere_Edge_Server:_Guia_de

Integração(S517-7931-00)

Forneceinstruçõesdeinstalação,remoçãoeadministraçãoparaintegraro Tivoli AccessManager comoaplicativoIBMWebSphereEdgeServer.

v _IBM_Tivoli_Access_Manager_para_e-business_Plug-in_for_Web_Servers:_Guia_de

Integração(S517-7933-00)

Forneceinstruçõesdeinstalação,procedimentosdeadministraçãoeinformações dereferênciatécnicaparaprotegerodomíniodaWebutilizandooplug-inpara servidoresdaWeb.

v _IBM_Tivoli_Access_Manager_para_e-business_BEA_WebLogic_Server:_Guia_de_Integração (S517-7929-00)

Forneceinstruçõesdeinstalação,remoçãoeadministraçãoparaintegraro Tivoli AccessManager comoBEAWebLogicServer.

v _IBM_Tivoli_Access_Manager_para_e-business_IBM _Tivoli_Identity_Manager_Provisioning

FastStartGuide(SC32-1364-00)

Forneceumavisãogeraldastarefasrelacionadasà integraçãodoTivoliAccess ManageredoTivoliIdentityManagereexplicacomoutilizareinstalaracoleta doProvisioningFastStart.

Referências

para

Desenvolvedores

v _IBM_Tivoli_Access_Manager_para_e-business_{Authorization}_C_API_Developer_Reference (SC32-1355-00)

(12)

Fornecematerialdereferênciaquedescrevecomo utilizaraAPICde autorizaçãodoTivoliAccessManager eainterfacede plug-inde serviçodo TivoliAccessManagerparaincluirsegurançado TivoliAccessManagerem aplicativos.

v _IBM_Tivoli_Access_Manager_para_e-business_{Authorization}_Java_Classes_Developer

Reference(SC32-1350-00)

Forneceinformaçõesdereferênciaparaousodaimplementaçãodalinguagem Java™daAPIdeautorizaçãoparapermitirqueum aplicativoutilizea segurança doTivoliAccessManager.

v _IBM_Tivoli_Access_Manager_para_e-business_{Administration}_C_API_Developer_Reference (SC32-1357-00)

ForneceinformaçõesdereferênciasobreousodaAPIde administraçãopara permitirqueumaplicativoexecutetarefasadministrativas doTivoliAccess Manager.Essedocumentodescrevea implementaçãoCdaAPIdeadministração. v _IBM_Tivoli_Access_Manager_para_e-business_{Administration}_Java_Classes_Developer

Reference(SC32-1356-00)

Forneceinformaçõesdereferênciaparaousodaimplementaçãodalinguagem JavadaAPIdeadministraçãoparapermitirqueum aplicativoexecutetarefas administrativasdoTivoliAccessManager.

v _IBM_Tivoli_Access_Manager_para_e-business_Web_Security_Developer_Reference (SC32-1358-00)

Forneceinformaçõesdeadministraçãoe programaçãoparaoCDAS (Cross-DomainAuthenticationService), oCDMF(Cross-DomainMapping Framework)eomódulodeforçadasenha.

Suplementos

Técnicos

v _IBM_Tivoli_Access_Manager_para_e-business_Command_Reference_{(SC32-1354-00)} Forneceinformaçõessobreosutilitáriosdalinhade comandose scripts fornecidoscomoTivoliAccessManager.

v _IBM_Tivoli_Access_Manager_Error_Message_Reference_{(SC32-1353-00)}

Forneceexplicaçõeseasaçõesrecomendadasparaasmensagensproduzidas peloTivoliAccessManager.

v _IBM_Tivoli_Access_Manager_para_e-business_Problem_{Determination}_Guide (SC32-1352-00)

Forneceinformaçõessobredeterminação deproblemasparaoTivoliAccess Manager.

v _IBM_Tivoli_Access_Manager_para_e-business_Performance_Tuning _Guide_{(SC32-1351-00)} Forneceinformaçõesdeajuste dedesempenhoparaumambientequeconsiste noTivoliAccessManagercomoIBM TivoliDirectoryservercomoo registrodo usuário.

Publicações

Relacionadas

Estaseçãolista publicaçõesrelacionadasàbibliotecado TivoliAccessManager. OTivoliSoftwareLibraryforneceumavariedadedepublicações Tivolicomo documentos técnicos,planilhasde dados,demonstrações,livrosderegistrose cartasdeanúncio.OTivoliSoftwareLibraryestádisponívelnaWebem: http://www.ibm.com/software/tivoli/library/

OTivoliSoftwareGlossaryinclui definiçõesparaváriostermostécnicosrelacionados aosoftwareTivoli.OTivoliSoftwareGlossaryestádisponível,somenteemInglês,a

(13)

partirdolinkGlossary,aoladoesquerdodapáginadaWebdoTivoliSoftware Library Libraryhttp://www.ibm.com/software/tivoli/library/

IBM

Global

Security

Kit

OTivoliAccessManager fornececriptografia dedadosatravésdousodoIBM GSKit (GlobalSecurityKit)Versão7.0. OGSKit estáincluídonoCDdo IBMTivoli Access ManagerBaseparasuaplataformaparticularetambémnosCDsdoIBM TivoliAccess ManagerWebSecurity,nosCDsdoIBMTivoliAccess ManagerWeb AdministrationInterfaces enosCDsdoIBMTivoliAccess ManagerDirectory Server.

Opacote GSKitforneceoutilitáriodegerenciamentode chavesdoiKeyman,

gsk7ikm,queéutilizadoparacriarbancosdedadoschave, paresde chaves pública-privadae pedidosdecertificados.Odocumentoaseguirestádisponívelno sitedoTivoliInformationCenter,namesma seçãoquea documentaçãodo produto IBM TivoliAccessManager:

v _IBM_Global_Security_Kit_Secure_Sockets _Layer_and_iKeyman:_Guia_do_Usuário (S517-7932-00)

Forneceinformaçõesparaadministradoresdesegurançade redeoudesistema queplanejamativaracomunicaçãoSSLemseuambientedoTivoliAccess Manager.

IBM

Tivoli

Server

OIBM TivoliDirectoryServer,Versão 5.2,éincluídonoCDdoIBMTivoliAccess ManagerDirectoryServer parao sistemaoperacional desejado.

Nota: IBMTivoliDirectoryServeré onovonomeparaosoftware liberado anteriormenteconhecidocomo:

v _IBM_Directory_Server _(Versão_4.1_e _Versão_5.1) v _IBM_SecureWay_Directory_Server_(Versão _3.2.2)

OIBM DirectoryServer Versão4.1,oIBM DirectoryServer Versão5.1eoIBM TivoliDirectoryServer Versão5.2sãotodossuportados peloIBM TivoliAccess Manager Versão5.1.

InformaçõesadicionaissobreoIBMTivoliDirectoryServer podemser encontradas em:

http://www.ibm.com/software/network/directory/library/

IBM

DB2

Universal

Database

OIBM DB2®Universal Database™EnterpriseServerEdition,Versão8.1éfornecido noCDdo IBMTivoliAccessManagerDirectoryServere éinstaladocomosoftware IBM TivoliDirectoryServer. ODB2é necessárioaoutilizaro IBMTivoliDirectory Server, osservidoresLDAPz/OS™ouOS/390® comooregistrodeusuárioparao TivoliAccessManager.

InformaçõesadicionaissobreoDB2podemserencontradasem: http://www.ibm.com/software/data/db2/

IBM

WebSphere

Application

Server

OIBM WebSphereApplicationServer,AdvancedSingleServerEdition5.0,é incluídonoCDdoIBM TivoliAccessManagerWebAdministrationInterfaces parao sistemaoperacional desejado.OWebSphereApplicationServerativaosuporte da interface doWebPortalManager,queéutilizadaparaadministraroTivoliAccess

(14)

Manager eoWebAdministration Tool,queé utilizadoparaadministraro IBM TivoliDirectoryServer.OIBMWebSphereApplicationServerFix Pack2 tambémé requeridopeloTivoliAccessManager eéfornecidonoCDdoIBM TivoliAccess ManagerWebSphereFixPack.

InformaçõesadicionaissobreoIBMWebSphereApplicationServerpodemser encontradasem:

http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM

Tivoli

Access

Manager

para

Business

Integration

OIBM TivoliAccessManagerparaBusinessIntegration, disponívelcomoum produtosolicitadoseparadamente,forneceumasoluçãodesegurançapara mensagens doIBM MQSeries®,Versão 5.2eo IBMWebSphere®MQparaVersão 5.3. OIBMTivoliAccessManagerparaBusiness Integrationpermitequeos aplicativosMQSeriesdoWebSphereenviemdadoscomprivacidadeeintegridade, utilizandochavesassociadasaaplicativosdeenvioerecepção.ComooWebSEALe o IBMTivoliAccessManagerparaSistemasOperacionais,oIBM TivoliAccess Manager paraBusinessIntegrationéumdosgerenciadoresderecursosque utilizam osserviçosdo IBMTivoliAccessManager.

InformaçõesadicionaissobreoIBMTivoliAccessManagerparaBusiness Integrationpodemserencontradasem:

http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/ Os seguintesdocumentosassociados aoIBM TivoliAccessManagerparaBusiness IntegrationVersão5.1estãodisponíveisnoWebsitedoTivoliInformationCenter: v _IBM_Tivoli_Access_Manager_para_Business_Integration:_Guia_de_{Administração}

(S517-7600-01)

v _IBM_Tivoli_Access_Manager_for_Business_Integration_Problem_{Determination}_Guide (GC23-1328-00)

v _IBM_Tivoli_Access_Manager_para_Business_Integration:_Notas_sobre_o_Release (G517-7602-01)

v _IBM_Tivoli_Access_Manager_para_Business_Integration:_Leia_isto_Primeiro (G517-7821-00)

IBM

Tivoli

Access

Manager

para

WebSphere

Business

Integration

Brokers

OIBM TivoliAccessManagerparaWebSphereBusiness IntegrationBrokers, disponívelcomo partedoIBM TivoliAccessManagerparaBusinessIntegration, forneceumasoluçãodesegurançaparaoWebSphereBusinessIntegrationMessage Broker,Versão 5.0e oWebSphereBusiness IntegrationEvent Broker,Versão5.0.O IBM TivoliAccessManagerparaWebSphereBusinessIntegrationBrokersopera juntamentecomoTivoliAccessManagerparadarsegurançaa aplicativosde publicação/assinaturaJMSfornecendosenhaeautenticaçãobaseada em credenciais, autorizaçãodefinidacentralmente eserviçosdeauditoria. InformaçõesadicionaissobreoIBMTivoliAccessManagerparaWebSphere IntegrationBrokerspodemser encontradasem:

(15)

Os seguintesdocumentosassociados aoIBM TivoliAccessManagerpara

WebSphereIntegrationBrokers,Versão5.1estãodisponíveisnoWebsitedoTivoli InformationCenter:

v _IBM_Tivoli_Access_Manager_para_WebSphere_Business_Integration_Brokers:_Guia_de

Administração(S517-7910-00)

v _IBM_Tivoli_Access_Manager_para_WebSphere_Business_Integration_Brokers:_Notas_sobre

oRelease(G517-7911-00)

v _IBM_Tivoli_Access_Manager_para_Business_Integration:_Leia_isto_Primeiro (G517-7821-00)

IBM

Tivoli

Access

Manager

para

Sistemas

Operacionais

OIBM TivoliAccessManagerparaSistemasOperacionais, disponívelcomoum produtoquepodeser solicitadoseparadamente,forneceumacamada deaplicação do critériodeautorizaçãoem sistemasUNIX,alémdafornecidapelosistema operacional nativo.OIBM TivoliAccessManagerparaSistemasOperacionais, como oWebSEALeoIBM TivoliAccessManagerparaBusinessIntegration, éum dosgerenciadoresderecursos queutilizamosserviçosdoIBM TivoliAccess Manager.

InformaçõesadicionaissobreoIBMTivoliAccessManagerparaSistemas Operacionais podemser encontradasem:

http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/ Os seguintesdocumentosassociados aoIBM TivoliAccessManagerparaSistemas Operacionais Versão5.1estãodisponíveisnoWebsitedoTivoliInformation Center:

v _IBM_Tivoli_Access_Manager_para_Sistemas_{Operacionais:}_Guia_de_Instalação (S517-7609-00)

v _IBM_Tivoli_Access_Manager_for_Operating_Systems_{Administration}_Guide (SC23-4827-00)

v _IBM_Tivoli_Access_Manager_for_Operating_Systems_Problem_{Determination}_Guide (SC23-4828-00)

v _IBM_Tivoli_Access_Manager_para_Sistemas_{Operacionais:}_Notas_sobre_o_Release (G517-7610-00)

v _IBM_Tivoli_Access_Manager_para_Sistemas_{Operacionais:}_Leia_isto_Primeiro (G517-7611-00)

IBM

Tivoli

Identity

Manager

OIBM TivoliIdentityManagerVersão4.5, disponívelcomoumprodutoquepode ser solicitadoseparadamente,permitegerenciar centralmenteusuários(comoIDs de usuáriose senhas)eprovisões(queestejamfornecendooucancelandooacesso a aplicativos,recursosou sistemasoperacionais.)OTivoliIdentityManager pode ser integradocomoTivoliAccessManager atravésdo usodoTivoliAccess ManagerAgent. Entreemcontatocomo representantedecontasIBMparaobter informações adicionaissobrecomocomprar oAgent.

InformaçõesadicionaissobreoIBMTivoliIdentityManagerpodemser encontradasem:

(16)

Acessando

Publicações

On-line

Aspublicações paraesseprodutoestãodisponíveison-line noformatoPDF (Portable DocumentFormat)ouHTML(HypertextMarkupLanguage)ouem ambos nabibliotecadesoftware doTivoli:

http://www.ibm.com/software/tivoli/library

Paralocalizar publicaçõesdoprodutona biblioteca,cliquenolinkProduct manuals àesquerdadapáginade bibliotecas.Emseguida,localizeecliqueno nome doprodutonapágina centraldeinformaçõesdosoftware Tivoli.

Aspublicações deprodutoincluem notassobreorelease,guiasdeinstalação,guias de usuário,guiasde administradorereferênciasde desenvolvedor.

Nota: Paragarantiraimpressãocorretadepublicações PDF,selecionea caixade opçõesAjustarà páginanajanelaImprimirdoAdobeAcrobat(disponível quandovocêclica emArquivo→ Imprimir).

Acessibilidade

Os recursosdeacessibilidadeajudamusuáriosquepossuemalgumalimitação física,comomobilidaderestritaouvisãolimitada,autilizarosprodutosde

software comêxito.Comesteproduto,épossívelutilizartecnologiasdeassistência paraouvirenavegarainterface.Você tambémpodeusarotecladoemlugardo mouseparaoperartodososrecursosdainterfacegráficacomo usuário.

Entrando

em

Contato

com

o

Suporte

ao

Software

Antesdeentrar emcontatocomosuportedo IBMTivoliSoftwarecomum problema, consulteositedesuportedo IBMTivoliSoftwareclicandonolink

TivolisupportnoWebsiteaseguir:http://www.ibm.com/software/support/ Seprecisardeajuda, entreem contatocomosuportea software,utilizandoos métodos descritosnoIBM SoftwareSupportGuide,noseguinteWebsite: http://techsupport.services.ibm.com/guides/handbook.html

Oguiaforneceasseguintesinformações:

v _Requisitos_de_registro_e _{elegibilidade}_para_receber_suporte

v _Números_de_telefone,_dependendo_do_país_em _que_você _esteja_localizado v _Uma_lista_de _{informações}_que_você _deve_reunir_antes_de_entrar_em _contato_com

osuporteaocliente

Convenções

Utilizadas

neste

Manual

Esteguiautilizaváriasconvençõesparatermoseaçõesespeciaiseparacomandos e caminhosquedependemdosistemaoperacional.

Convenções

Tipográficas

Asseguintes convençõestipográficassãoutilizadasnestareferência:

Negrito

Comandosem letraminúsculaou misturadeletrasmaiúsculas e minúsculasquesãodifíceis dedistinguirnotexto,palavras-chave,

parâmetros,opções, nomesdeclassesJava eobjetosaoredoraparecemem

(17)

Itálico Variáveis,títulosdepublicações epalavrase frasesespeciaisquesão enfatizadasaparecememitálico.

Espaçamento fixo

Exemplosde códigos,linhasdecomandos,saídadetela,nomesdoarquivo ediretórioquesãodifíceisdedistinguir notexto,mensagens dosistema, textoqueousuáriodevedigitare valoresparaargumentosouopções de comandoaoredor aparecemem espaçamentofixo.

Diferenças

do

Sistema

Operacional

Estemanualutilizaa convençãoUNIXparaespecificarvariáveisdeambientee paranotaçãododiretório.AoutilizaralinhadecomandosdoWindows,substitua

$variable por%variable%paravariáveisdeambienteesubstituacadabarra(/)por umabarrainvertida (\)noscaminhosde diretório.Sevocê forutilizaroshellbash em umsistemaWindows,poderáutilizarasconvenções UNIX.

(18)

(19)

Capítulo

1. Introdução

e

Visão

Geral

OIBM TivoliAccessManagerparaWebSphereApplicationServer (TivoliAccess Manager paraWebSphere)éumaextensãodoIBMTivoliAccessManager (Tivoli AccessManager)queforneceautorizaçãobaseadaem contêineregerenciamento de critériocentralizadoparaaplicativosdo IBMWebSphereApplicationServer. OTivoliAccessManager paraWebSpherefacilitaousodo TivoliAccessManager fornecendogerenciamentocentralizadodecritériode segurançapararecursosdo WebSphereApplicationServere pararecursos quenão estãorelacionadosao WebSphereApplicationServer.

OTivoliAccessManager fornecegerenciamentodeidentidadescomuns,perfisde usuário emecanismosdeautorização.OTivoliAccessManagertambémfornece um utilitáriode interfacegráficacomousuário,o TivoliAccessManagerWeb PortalManager,quepodeser utilizadocomoumúnicopontodegerenciamentode segurança pararecursos compatíveiscomoJ2EE(Java™₂_Enterprise_Edition)_e

pararecursos quenãosãocompatíveiscomo J2EE.

OWebSphereApplicationServersuportaasclassesdesegurançaeasAPIsdo J2EE. OTivoliAccessManagerparaWebSpheresuportaaplicativosdoWebSphere queutilizamasclassesdesegurançadoJ2EE. OTivoliAccessManagerpara WebSphereforneceestesuporte semprecisardequalqueralteraçãodecodificação ou deimplementaçãonosaplicativos.

OTivoliAccessManager paraWebSpherepode serintegradoaoscontêineresdo WebSphereparapermitirqueelesutilizemosserviçosdesegurançafornecidospor um domíniosegurodo TivoliAccessManager.Odomíniosegurodeveser

implementadoantesdainstalaçãodo TivoliAccessManagerparaWebSphere. Os usuáriosiniciantesdoTivoliAccessManagerdevemrevero modelode

segurança doTivoliAccessManagerantesdeimplementar umdomíniosegurodo TivoliAccessManager.Umbreveresumoéapresentadoaqui.

OTivoliAccessManager éumasoluçãocompletadeautorizaçãoede

gerenciamentodecritério desegurançaderede queforneceproteçãoderecursos, de umaextremidade àoutra,atravésdeintranets eextranetsgeograficamente dispersas.

OTivoliAccessManager apresentaomaisavançadogerenciamentode critériode segurança.Alémdisso,oTivoliAccessManagersuportacapacidadesde

autenticação,autorização,segurançadedados egerenciamentode recursos.Você utilizao TivoliAccessManageremconjuntocomaplicativospadrãocombasena Internet paraconstruirintranetseextranetsaltamente segurasebemgerenciadas. Em seunúcleo,oTivoliAccessManagerfornece:

v _Uma_estrutura_de _{autenticação}

OTivoliAccessManagersuportaumagrandevariedadede mecanismosde autenticação.Observe,noentanto,queoWebSphereexecutasuaspróprias etapasdeautenticaçãoantesdeutilizaroTivoliAccessManager para WebSphere.

(20)

Oserviçode autorizaçãodoTivoliAccessManager,acessadopormeiodas classesde autorizaçãopadrãodoJ2EE, fornecedecisões depermissãoerecusa desolicitaçõesdeacessoparaservidoresnativosdo TivoliAccessManagere aplicativosdeterceiros.

Você podeaprendermais sobreoTivoliAccessManager,incluindoinformações necessáriasparatomardecisõesde implementação,examinandoa documentação do produto.Comececom asseguintes publicações:

v _IBM_Tivoli_Access_Manager_Base:_Guia_de_Instalação

Esteguiadescrevecomoplanejar,instalareconfigurarumdomíniosegurodo TivoliAccessManager.Umasériedescripts deinstalaçãofáceispermiteque vocêimplementerapidamenteumdomíniosegurocompletamentefuncional. Essesscriptssãomuitoúteisaocriar oprotótipodaimplementaçãodeum domínioseguro.

v _IBM_Tivoli_Access_Manager_Base _{Administration}_Guide

Estedocumentoapresentaumavisãogeraldomodelode segurançadoTivoli AccessManager paragerenciarrecursosprotegidos.Esseguiadescrevecomo configurarosservidoresdo TivoliAccessManagerquetomamdecisõesde controlede acesso.Alémdisso,instruções detalhadasdescrevemcomorealizar tarefasimportantescomodeclararcritériosdesegurança,definirespaçode nomesde objetosprotegidoseadministrarperfisdeusuário egrupo.

Integrando

o

Tivoli

Access

Manager

ao

WebSphere

Application

Server

OTivoliAccessManager paraWebSphereestendeomodelodesegurançado Tivoli AccessManagerparatrabalhar comaplicativosconstruídosparaoIBMWebSphere ApplicationServer.Omodelodesegurançaé utilizadodaseguintemaneira: Quando umusuário(principal)tentaacessar umrecursoprotegido,oWebSphere executa asseguintetarefas:

v _Autentica_o _principal.

v _Quando_a_segurança_for _especificada_no_descritor_de_{implementação}_de_um aplicativo(segurançadeclarativa),umcontêinerdoWebSpheredeterminará quaisfunçõessãonecessáriasparaacessaro recurso,eutilizará oTivoliAccess ManagerparaWebSphereparadeterminarseoprincipalatualrecebeuconcessão aalgumadasfunçõesrequeridas.

v _Quando_o_{desenvolvedor}_de _um_aplicativo_tiver_incluído_código_de _segurança diretamentenoaplicativo(segurança programática),umcontêinerdoWebSphere utilizaráoTivoliAccessManager paraexecutarasverificaçõesdefiliaçãode funçãonecessárias.

(21)

Afigura1 ilustraa seguinteseqüênciadeeventos:

1. Quandoum aplicativodoWebSpherecomsegurançadoJ2EEéexecutadoe o usuáriotenta acessarumrecursoprotegido,oWebSphereautenticaousuário utilizandooregistrodousuário.Porexemplo,nafigura1,oWebSphere Advanced Edition,versãoparaváriosservidores, autenticaumregistrode usuáriodo IBMDirectory.Oregistrodousuário écompartilhadocomo Tivoli AccessManager.(ParaoWebSphereAdvancedEditionSingleServer,a

autenticaçãoéfeitaemrelaçãoà segurançacombaseem host).

2. Quandoo usuáriosolicitaacesso aummétodoourecursoprotegido,o contêinerdoWebSphereutilizaasinformações dodescritorde implementação doaplicativo J2EEparadeterminara afiliaçãodefunçãorequerida.

3. OcontêinerdoWebSphereutilizao módulointegradodoTivoliAccess Managerparasolicitarumadecisão deautorização(“concedida”ou “negada”) doservidor deautorizaçãodo TivoliAccessManager.

OcontêinerdoWebSpheretambém passainformaçõesde contextoadicionais, quandopresentes,paraoservidor deautorização.Asinformaçõesde contexto opcionaispodemincluiro nomedacélula,onome dohosteonome do servidor.Seobanco dedadosde critériodoTivoliAccessManager tiver critériosespecificadosparaqualquerumadasinformaçõesdecontexto,o servidor deautorizaçãopoderáutilizaressasinformaçõesaotomaradecisão de autorização.

4. Oservidorde autorizaçãoconsultaasdefiniçõesdousuário doTivoliAccess Managernoregistrodeusuáriocompartilhado. (Oregistrodeusuárioé

(22)

compartilhadocomoWebSphere,a menosqueoWebSphereAdvancedEdition SingleServersejautilizado).Oservidordeautorizaçãoconsultaaspermissões queforamdefinidasparaousuárioespecificado dentrodoespaçodenomesde objetoprotegidodoTivoliAccessManager.Oespaçodenomesdeobjeto protegidoestáincluídonobancodedadosde critériomostradona figura1. 5. Oservidorde autorizaçãodoTivoliAccessManager retornaa decisãode

acessoaocontêinerdoWebSphere.

6. OWebSphereApplicationServerconcedeounegaacesso aométodoourecurso protegido.

Segurança

com

Base

em

Função

do

Java

2 Enterprise

Edition

Asegurançado J2EE(Java 2EnterpriseEdition)utilizao conceitode umprincipal

pararepresentara identidadede umaentidadequeexecutaatividades.As

entidades podemserpessoas(usuários)ou processos.Alémdisso,oJ2EEutilizao conceitodeumafunção,conformedescritoabaixo.

Os métodossãomapeadosparafunções.Atabelaa seguir,de umaplicativode transações bancáriasde amostra,defineasfunçõesemapeiaosmétodosparaas mesmas.Aentradaconcedidonatabelaaseguirindicaquea funçãopodeacessar o métodoespecificado.

Tabela1.MapeamentodeMétodosparaFunções

Funções

Métodos

getBalance deposit closeAccount

Teller concedido concedido

Cashier concedido

Supervisor concedido

Asfunçõesqueforamdefinidasacima podemser mapeadasparaprincipaise/ou grupos.AentradaChamarnascélulas databelaaseguir indicaqueoprincipalou o grupopodechamar quaisquermétodosquetenhamsidoconcedidosa essa função.

Tabela2.PermissõesdeChamadadeMétodoparaPrincipaisouGrupos

Principal/Grupo

Funções

Teller Cashier Supervisor

TellerGroup Chamar

CashierGroup Chamar

SupervisorGroup

Frank(umprincipal,nãoé membrodenenhumdos gruposacima)

Chamar Chamar

Natabelaacima,oprincipalFrankpodechamarosmétodosgetBalancee

closeAccount,masnãopode chamarométododepositporqueestemétodonão foi concedido àfunçãoCashierouSupervisor.

(23)

Mapeando

Principais

e

Grupos

para

Funções

Antesdotempo deexecuçãodoaplicativo,o utilitáriode migraçãodoTivoli AccessManagerparaWebSphereéexecutadoparaocuparo espaçode nomesde objeto protegidodo TivoliAccessManager.Outilitáriode migraçãoobtém informações sobrefunçõesemétodosdosdescritoresdeimplementaçãode aplicativo J2EE.

Notempode execuçãodoaplicativo,quandoumusuáriosolicitaacessoa um recursoprotegido,asseguintesinformaçõessãotransmitidasaocontêinerdo WebSphere:

v _Principal

Aidentidadeautenticadado usuário. v _RoleName

Onome deumafunção. v _AppName

Onome doaplicativo. v _CellName

Onome deumagrupamentode sistemashostnarede. v _HostName

Onome deumsistemahostcontidonoCellName. v _ServerName

Onome doservidorqueéhospedadopeloHostName.

Os nomesdefunçãosãoderivados dosmapeamentosdemétodo-para-funçãonos descritoresdeimplementação.Porpadrão,a verificaçãode acessodoTivoliAccess Manager éexecutadacombasenoRoleNameeAppName.Averificaçãode acesso pode serfacilmenteestendida paraconsiderarCellName,HostNamee

ServerName.Essesvaloressãoopcionaisesãoavaliados apenasquandosão definidos.

AsACLs(listasde controlede acesso)doTivoliAccessManager determinamquais funçõesdo aplicativoJ2EEforamatribuídas aumprincipal.Outilitáriode

migraçãoanexaACLsaoAppNamenoespaçodenomesde objetoprotegido. Afigura2 aseguirilustra aseguinteseqüênciade eventos:

1. Antesdotempo deexecuçãodoaplicativo,outilitáriodemigraçãodoTivoli AccessManagerparaWebSphereacessaodescritordeimplementaçãodo aplicativoJ2EEparaextrairinformaçõessobreasfunçõesesobreo mapeamento entrefunçãoeprincipalouentrefunçãoegrupo.

2. Outilitáriodemigraçãoconverteasinformações noformatodo TivoliAccess Managere astransmiteparaoservidor decritériodo TivoliAccessManager. 3. Oservidorde critérioincluientradas noespaçode nomesdeobjeto protegido

pararepresentarasfunçõesdefinidasparao aplicativo.Quandoos

mapeamentosentrefunçãoeprincipalou entrefunçãoegrupo tiveremsido definidosnodescritordeimplementação,osprincipaisou gruposapropriados serãoincluídosnasACLsqueestão anexadasaosnovosobjetos.

(24)

Omodelode segurançadoTivoliAccessManager utilizaasdefinições armazenadasnoespaçodenomesdeobjetoprotegidoparaconstruiruma hierarquiaderecursos aosquaisasACLspodemseranexadas.EssasACLs definemomapeamento defunçõesparausuáriosougrupos.

Afigura3 abaixoilustra comoasACLspodemser aplicadasaoespaçodenomes de objetoprotegidoquedescreveumafunção.Oespaçodenomesdeobjeto protegidoparatodososaplicativosdoWebSphereconsisteem umobjetoprotegido de nívelsuperiordenominadoWebAppServer.OobjetoWebAppServerpossuium objeto filhodenominadodeployedResources.Juntos,essesdoisnomesdeobjeto funcionam comoumprefixodenívelsuperiorparatodasasfunçõesdoJ2EE definidasnosaplicativosdoWebSphere.

Figura2.MapeamentodeFunçõesparaoEspaçodeObjetoProtegidodoTivoliAccess Manager

(25)

Asfunçõessãodefinidasnopróximonívelna hierarquia,comoumrecurso denominado paraafunção:RoleName.Diretamentesobesseobjetoestáorecurso querepresentaoaplicativo:AppName.AbaixodoobjetoprotegidoAppNameestão diversosrecursos opcionaisquepodemserdefinidos paracontrolarmais

precisamenteoacessoàsfunções.Osrecursosopcionais sãoCellName,HostNamee

ServerName.

NaFigura 3acima,ACL1 concedeaouser1acessoaoRoleNameespecificado,em qualqueraplicativode qualquerparte darede.User2egroup1têmoacesso negado.

Nomodelode segurançadoTivoliAccessManager,essasdefiniçõesdeacessosão herdadas pelosobjetosdefinidossobRoleName nahierarquiade espaçode objeto protegido.Essaherançaocorreporpadrão.Portanto,nafigura3, asdefiniçõesde acesso sãoherdadaspelosobjetosquerepresentam

AppName/CellName/HostName/ServerName.

Àsvezes, ocritériode segurançarequerqueasdefiniçõesde acessoparaobjetos localizadossobopontode anexaçãodaACLsejamdiferentesdasdefiniçõesde acesso herdadas.Nesse casooadministradordoTivoliAccessManager defineuma novaACLcontendoasdefiniçõesdeacessorequeridas. Oadministrador anexaa novaACLaoobjetonopontodecontroleespecificado.Essa novaACLsubstituias definiçõesde acessoherdadas.

Por exemplo,ocritério desegurançapodeimporqueouser1nãodeverecebera permissãoRoleName quandooaplicativoéexecutado emumservidor específico, em umdeterminadohost,dentrodeumacélulaespecífica.Parareforçaresse critério, oadministradordefineumaACLmais restritiva,conformerepresentadana figura3 porACL2.EssaACLnegaacessoparauser1,user2e grp1.Emseguida,o administrador anexaessaACLaoobjetoServerNamequerepresentaoservidor para o qualoacessodeveserrestringido.

AFigura 3mostraa anexaçãode ACL2aoServerName.observequeACL2

aplica-seapenasaoservidorespecificado. Quandomaisde umobjetoServerNameé definidosobHostName,aACL2aplica-seapenasaoobjetoServerNameaoqual ela

(26)

estáanexada.Todososoutros objetosServerNamenessenívelnahierarquia

continuam herdandoasdefiniçõesdeacessoespecificadasnaACL1eanexadasao

RoleName.

Paraobter informaçõesadicionaissobreautilizaçãodeACLsnoespaçode nomes de objetoprotegido,consulte oIBMTivoliAccess ManagerBase AdministrationGuide.

Centralizando

o

Gerenciamento

de

Critério

para

Vários

Servidores

do

WebSphere

OTivoliAccessManager fornecegerenciamentocentralizadodoscritériosde segurança.OTivoliAccessManager podegerenciaro critériodesegurançaem váriosWebSphereApplicationServers.Alémdisso,oTivoliAccessManagerutiliza o mesmomodeloparagerenciara segurançaemaplicativosnão-WebSphere. Após asfunçõese osmapeamentosdeprincipalougrupodescritosnos descritores de implementaçãodeumaplicativoJ2EEteremsidomigradosparaoTivoliAccess Manager,eosusuáriosegruposteremsidoregistradosnoTivoliAccessManager, você podeutilizarasferramentasde gerenciamentodoTivoliAccessManagerpara gerenciar alteraçõesadicionaisnasdefiniçõesdesegurança.Utilizeo TivoliAccess Manager WebPortalManagerparagerenciarasalteraçõesnasdefiniçõesde segurança relacionadasaomapeamento defunçõesparaprincipaisougrupos. Utilize oconsoledo WebSphereparaefetuaroutrasalteraçõesrelacionadasa segurança.Observequeasalteraçõesnos mapeamentosde funçõesfeitas

utilizandoo consoledoWebSpherenãoficarãovisíveisaomodelode segurançado TivoliAccessManager.

Utilize asseguintesferramentasdoTivoliAccessManagerparagerenciarocritério de segurança:

v _Tivoli_Access_Manager_Web_Portal_Manager

OWebPortalManageré oconsolede gerenciamentodo TivoliAccessManager. EsseconsoleforneceumaGUI(InterfaceGráficacomoUsuário)paragerenciar osusuários, açõese recursosdoTivoliAccessManager queestãodefinidosno espaçode nomesde objetoprotegidodoTivoliAccessManager.Oconsolepode serutilizadoparacriare gerenciarACLs. Oconsoletambémpode serutilizado paragerenciardefiniçõesdeusuário edegruponoregistrodousuário.

v _pdadmin

Outilitáriopdadminé umutilitáriodelinhadecomandoparagerenciar o modelodesegurançado TivoliAccessManager.Esseutilitáriopoderosopode serutilizadoparagerenciar todososaspectosdoespaçodenomesdeobjeto protegidodo TivoliAccessManager,incluindousuários, objetos,recursose ACLs.Alémdisso,opdadmin podegerenciarentradas deusuárioede grupo nosregistrosdousuário.Osadministradores podemusaresseutilitáriodentro descriptsou programasparaautomatizarastarefasdeadministração.

Paraobterinformaçõesadicionais,consulteoIBM TivoliAccess ManagerBase AdministrationGuide.

v _API_de_{Administração}_do _Tivoli_Access_Manager

OTivoliAccessManagerforneceumainterface programáticaparaastarefasde administraçãorealizadaspelopdadmin epeloWebPortalManager.Os

desenvolvedoresde aplicativospodemutilizarumaAPICouJava paraexecutar tarefasdeadministraçãoquesãoespecíficasdoaplicativo.

(27)

Paraobterinformaçõesadicionais,consulteoIBM TivoliAccess Managerpara e-businessAdministrationCAPIDeveloperReferenceou oIBMTivoliAccessManager parae-businessAdministrationJavaClassesDeveloperReference.

Afigura4 acimailustraogerenciamentodesegurançado TivoliAccessManager em váriosservidoresdo WebSphere.OWebPortalManager foiinstaladocomo WebSphereApplicationServerna MáquinaA.Outilitáriopdadminémostrado em um sistemanão-WebSpherena MáquinaB.

Tantoo WebPortalManager comoopdadminutilizam oservidordecritério na

Máquina Dparaadministrarocritériode segurança.

Oservidor deautorizaçãodoTivoliAccessManagerpodeser instaladoemum sistemaseparadodosistemaWebSphere.Nafigura4 aMáquinaEhospedao WebSphereApplicationServer.Esseservidor possuiummódulodoTivoliAccess Manager paraWebSpherequefoiintegradoaocontêinerdoWebSphere

responsávelpelas decisõesdeautorização.Ocontêinerdo WebSphereobtémas decisões deautorizaçãodoservidor deautorizaçãodo TivoliAccessManagerna

Máquina F.

Figura4.OTivoliAccessManagerForneceAdministraçãoCentralizadadeVários Servidores.

(28)

Oservidor deautorizaçãotambémpode serinstaladonomesmosistemaqueo WebSphereApplicationServer,conformemostradona MáquinaG.Afuncionalidade do TivoliAccessManageréidênticaàquelafornecidaquandoosservidoresestão em sistemasseparados(conformemostradonaMáquina EenaMáquinaF).A co-localização doservidor deautorizaçãocomoWebSphereApplicationServer otimizao desempenhona tomadadedecisões deautorização.Essaconfiguraçãoé recomendada.

Observe queobanco dedadosdecritério doTivoliAccessManager éreplicadoda

Máquina Dparaa MáquinaFeparaaMáquina G.Essareplicaçãoaumentao desempenhoefornececapacidadedetolerânciaa falhas.

Afigura4 tambémmostraqueosservidoresdoTivoliAccessManager eos servidoresdoWebSpherecompartilhamum registrodeusuário doLDAPna

Máquina C.Afigura4assumequeoWebSphereAdvanced Edition(multiservidor) estásendoutilizado.Oregistrodousuário nãoécompartilhadonautilizaçãodo WebSphereAdvanced EditionSingleServer.

(29)

Capítulo

2. Instruções

de

Instalação

Estecapítulocontémosseguintestópicos: v _“Conteúdo_do_Software”

v _{“Plataformas}_{Suportadas”}

v _{“Requisitos}_de_Disco_e _Memória”_na_página₁₂ v _{“Pré-requisitos}_de_Software”_na_página ₁₂

v _{“Pré-requisitos}_de_Registro_do_Usuário” _na_página₁₄

v _“Efetuando_o_Upgrade_a_Partir_de_um_Release_Anterior” _na_página₁₅ v _{“Instalando}_o _Tivoli_Access_Manager_para_WebSphere_Usando_Utilitários

Nativos”napágina 19

Conteúdo

do

Software

OTivoliAccessManager paraWebSphereforneceumcomponentequepode ser integrado aoWebSphereApplicationServer,eserresponsávelportodosos mapeamentosdasfunçõesparaosprincipaisougrupos.

OTivoliAccessManager paraWebSpheretambémforneceumutilitáriode migraçãoquepodeserutilizado paraimportarmapeamentosde funçãopara principaloufunçãoparagrupo apartirdodescritorde implementaçãodo J2EE (Java 2EnterpriseEdition)paraum esquemade segurançadoTivoliAccess Manager.Esseutilitáriopodemigrar dadosapartirdearquivosEAR(Enterprise Archive)doWebSpherecompactadosouexpandidos.

AdistribuiçãodoTivoliAccessManagerparaWebSpherecontémosseguintes softwares:

v _Classes_Java _do_Tivoli_Access_Manager_para_WebSphere

v _Um_script _de_{configuração}_denominado_pdwascfg_,_para_as_classes_Java v _Utilitários_de _migração_migrateEAR4 _e_migrateEAR5_.

v _O_código_do_tutorial _de_amostra_que_demonstra_o_uso_do_utilitário_de_migração edasclassesJava

Plataformas

Suportadas

OTivoliAccessManager paraWebSphereésuportadonasseguintesplataformas paraasversõeslistadasdoWebSphereApplicationServer:

v _WebSphere_Application_Server _versão_4.0.6 – IBMAIX5.1e 5.2

– SunSolaris8 – HP-UX11i

– Microsoft Windows2000ServereAdvancedServer (ServicePack 3) – SuSESLES8 emIA32

v _WebSphere_Application_Server _versão_5.0.2 – IBMAIX5.1e 5.2

– SunSolaris8 e9 – HP-UX11i

(30)

– Microsoft Windows2000ServereAdvancedServers(ServicePack3) – Windows 2003StandardServere EnterpriseServer

– SuSESLES8 emIA32ezSeries

Suporte

para

o

WebSphere

Application

Server

Versão

5.1

OWebSphereApplicationServerversão5.1vemcompactadocomoTivoliAccess Manager paraWebSphere.Nenhumainstalaçãodo TivoliAccessManagerpara WebSphereérequeridaparaclientesutilizandooWebSphereApplicationServer versão5.1.

Os clientesutilizandooWebSphereApplicationServerversão5.1devemignoraras instruções noCapítulo2, “InstruçõesdeInstalação”,napágina 11eseguiras instruções em“ConfigurandooTivoliAccessManagerparaWebSphereem um Ambiente doWebSphereApplicationServerVersão5.1” napágina39.

Requisitos

de

Disco

e

Memória

OTivoliAccessManager paraWebSpherepossuiosseguintesrequisitosdediscoe de memória:

v ₆₄_MB_RAM,₁₂₈ _MB_recomendado.

Estaé aquantidadedememórianecessáriaalémdosrequisitosdememória especificadospeloWebSphereApplicationServereporquaisqueroutros componentesdoTivoliAccessManager.Aquantidadede memórianecessária poroutroscomponentesdoTivoliAccessManagerdependerádequais componentesdoTivoliAccessManager estãoinstaladosnosistemahost.Para obterinformaçõesadicionais,consulteoIBM TivoliAccessManagerBase:Guiade Instalação.

v ₂_MB_de _espaço_em_disco,₄ _MB_recomendado.

Esterequisitoestáacima ealémdoespaçoemdiscorequeridopeloWebSphere ApplicationServer eporquaisqueroutroscomponentesdo TivoliAccess Manager.

v ₅_MB_de _espaço_em_disco_para_arquivos_de _log.

Esseespaçoé umaadição aoespaçorequeridoparaoscomponentesdo software.

Pré-requisitos

de

Software

Asseçõesa seguirabordamospré-requisitosparaa integraçãodoTivoliAccess Manager paraWebSpherecomumambiente doWebSphereApplicationServer. v _“WebSphere_Application_Server”

v _“Tivoli_Access_Manager _Base”_na_página ₁₃ v _“Java_Runtime_{Environment”}_na_página₁₄

WebSphere

Application

Server

Antesdepoder instalaro TivoliAccessManagerparaWebSphere,énecessário ter instalada umadasseguintes versõesdo WebSphereApplicationServer nosistema host:

v _IBM_WebSphere_Application_Server,_Advanced _Edition,_Versão_4.0.6

ou

IBMWebSphereApplicationServer,Advanced EditionSingleServer,Versão4.0.6 v _IBM_WebSphere_Application_Server,_Versão_5.0.2

(31)

v _IBM_WebSphere_Application_Server,_Versão_5.1

OWebSphereApplicationServer,Advanced Edition,Versão4.0.6e5.0.2e o WebSphereApplicationServerVersão 5.1devem serconfiguradosparautilizarum registrodeusuário queserácompartilhadocomoTivoliAccessManager.Os usuáriosegruposdoWebSpheredevemserimportadosparaoTivoliAccess Manager.

Nota: Orequisitoparacompartilharumregistrodeusuárionão seaplicaao WebSphereApplicationServer,AdvancedEditionSingleServerVersão 4.0.6. Estaversãoutilizaa segurançabaseadanohost.Paraobterdetalhes

adicionais,consulte“WebSphereAdvanced EditionSingleServer Versão 4.0.6”napágina 53.

AdocumentaçãosobreainstalaçãodoIBM WebSphereApplicationServer está disponívelem:

http://www-4.ibm.com/software/webservers/appserv/doc/v40/ae/infocenter/was/nav_pdf.html

Sevocê nãoestiverfamiliarizadocomoIBM WebSphereApplicationServer, consulte oguiaIBMWebSphereApplicationServer:Introdução.Esteguiaestá disponívelnoWebsiteacima.

Tivoli

Access

Manager

Base

OTivoliAccessManager paraWebSphererequerquepelomenosumcomponente do TivoliAccessManagerestejainstaladonohostlocal,e queumdomínioseguro do TivoliAccessManagersejaestabelecido.Tipicamente,odomínioseguroé distribuídoporváriossistemas.

Componente

Obrigatório

no

Host

Local

OTivoliAccessManager paraWebSphererequerqueocomponenteAccess Manager JavaRuntimeEnvironment sejainstaladonocomputadorlocalque hospedao WebSphereApplicationServer.Esseéo pré-requisitomínimode software doTivoliAccessManagerBaseparasuportaroTivoliAccessManager paraWebSphere.

OTivoliAccessManager paraWebSpherenãorequer nenhumcomponente adicionaldoTivoliAccessManagernocomputadorlocalquehospedao WebSphereApplicationServer.

Componentes

Opcionais

no

Host

Local

Embora nãosejanecessário incluirnenhumcomponenteadicionaldoTivoliAccess Manager nohostlocal,épossível otimizaro desempenhoinstalandooservidor de autorização doTivoliAccessManagernomesmohostqueoWebSphere

ApplicationServer.OTivoliAccessManagerRuntime Environmentéum pré-requisito paraoservidorde autorização.Sevocê instalaroservidor de

autorização nohostdo WebSphere,oTivoliAccessManager RuntimeEnvironment também deveráserinstaladonessamáquina.Ambososcomponentessão

distribuídos comopartedo produtoTivoliAccessManagerBase.

Domínio

Seguro

do

Tivoli

Access

Manager

OTivoliAccessManager paraWebSpheredevesercapazde acessarumdomínio segurodoTivoliAccessManager.Aferramentademigraçãodeveser capazde contatar umservidorde critériosdo TivoliAccessManager.Paraobterummelhor desempenho,recomenda-sequeum oumaisservidoresdeautorizaçãodo Tivoli AccessManagertambém sejaminstalados nodomínio seguro.Assim,apósinstalar

(32)

o IBMWebSphereApplicationServer,énecessárioestabelecerumdomínioseguro antesdeinstalaroTivoliAccessManagerparaWebSphere.

Paraestabelecerumdomínioseguro, énecessárioinstalareconfiguraroservidor de critério.Geralmenteelenãoé executadonomesmohostqueoWebSphere ApplicationServer.Épossívelinstalareconfigurarumservidorde autorizaçãono host doWebSphereApplicationServer ouemum sistemadiferente.

Paraobter informaçõesadicionaissobrecomoinstalareconfigurarumdomínio segurodoTivoliAccessManager,incluindooAccessManager JavaRuntime Environment,consulte oIBMTivoliAccessManagerBase:Guiade Instalação.

Java

Runtime

Environment

Osistemadecomputadorquehospedao TivoliAccessManagerparaWebSphere deveteroJava RuntimeEnvironmentversão1.3.1instalado.

OJava RuntimeEnvironmentéinstaladoeconfiguradocomoparte dainstalação do IBMWebSphereApplicationServer.OTivoliAccessManagerparaWebSphere utilizao mesmoJavaRuntimeEnvironment.

Nota: OTivoliAccessManagerparaWebSpheretambémutilizaoAccessManager JavaRuntime Environment.OAccessManagerJavaRuntimeEnvironment estendeaVersão1.3.1Java Runtime.

Pré-requisitos

de

Registro

do

Usuário

OTivoliAccessManager paraWebSphereoperacomopartede umdomínioseguro do TivoliAccessManager.Oservidordecritério dodomínioseguroutilizaum registrodousuário paragerenciar informaçõesdeusuáriosedegrupos. o TivoliAccessManagerparaWebSpheresuportatodosostiposde registrode usuário suportadospeloTivoliAccessManagerBase:

v _IBM_Directory_Server v _Sun_ONE _Directory_Server v _IBM_Lotus_Domino_Server

v _Microsoft_Active _Directory_incluindo _a_versão_que_não _tem_aplicativo. v _Novell_eDirectory

Paraobter umalista completadasversõessuportadasdecadatipode registrode usuário, consulteoIBMTivoliAccess ManagerBase: Guiade Instalação.

OSunONEDirectoryServerversão5.1e 5.2ésuportado peloTivoliAccess Manager Base,masnãopeloWebSphereApplicationServer 4.0.6ou5.0.2.Consulte aspáginasdepré-requisito desoftwareparaWebSphereApplicationServerparaa confirmaçãodasversões:

WebSphereApplicationServer versão4.0.6

http://www.ibm.com/software/webservers/appserv/ doc/v40/prereqs/ae_v406.htm

WebSphereApplicationServer versão5.0.2

http://www.ibm.com/software/webservers/appserv/ doc/v50/prereqs/was_v502.htm