IBM
Tivoli
Access
Manager
para
e-business
IBM
WebSphere
Application
Server:
Guia
de
Integração
Versão
5.1
IBM
Tivoli
Access
Manager
para
e-business
IBM
WebSphere
Application
Server:
Guia
de
Integração
Versão
5.1
Nota
Antesdeutilizarestasinformaçõeseoprodutosuportadoporelas,leiaasinformaçõesnoApêndiceB,“Avisos”,napágina 105.
PrimeiraEdição(Novembrode2003)
Estaediçãoaplica-seàversão5,release1,modificação0doIBMTivoliAccessManager(númerodoproduto 5724-C08)eatodososreleasesemodificaçõessubseqüentes,atéquesejaindicadodeoutramaneiraemnovas edições.
Índice
Prefácio
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. vii
QuemDeveLeresteManual . . . vii
OqueesteManualContém. . . vii
Publicações . . . viii
InformaçõessobreoRelease . . . viii
InformaçõesdeBase . . . viii
InformaçõessobreSegurançanaWeb. . . ix
ReferênciasparaDesenvolvedores. . . ix
SuplementosTécnicos . . . x
PublicaçõesRelacionadas . . . x
AcessandoPublicaçõesOn-line . . . xiv
Acessibilidade . . . xiv
EntrandoemContatocomoSuporteaoSoftware . . . xiv
ConvençõesUtilizadasnesteManual . . . xiv
ConvençõesTipográficas. . . xiv
DiferençasdoSistemaOperacional . . . xv
Capítulo
1.
Introdução
e
Visão
Geral
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 1
IntegrandooTivoliAccessManageraoWebSphereApplicationServer . . . 2
SegurançacomBaseemFunçãodoJava2EnterpriseEdition . . . 4
MapeandoPrincipaiseGruposparaFunções . . . 5
CentralizandooGerenciamentodeCritérioparaVáriosServidoresdoWebSphere . . . 8
Capítulo
2.
Instruções
de
Instalação
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 11
ConteúdodoSoftware. . . 11
PlataformasSuportadas . . . 11
SuporteparaoWebSphereApplicationServerVersão5.1 . . . 12
RequisitosdeDiscoeMemória. . . 12
Pré-requisitosdeSoftware . . . 12
WebSphereApplicationServer . . . 12
TivoliAccessManagerBase . . . 13
JavaRuntimeEnvironment . . . 14
Pré-requisitosdeRegistrodoUsuário. . . 14
EfetuandooUpgradeaPartirdeumReleaseAnterior . . . 15
InstalandoUtilizandooAssistentedeInstalação . . . 16
InstalandooTivoliAccessManagerparaWebSphereUsandoUtilitáriosNativos . . . 19
InstalandonoSolaris . . . 19
InstalandonoAIX . . . 20
InstalandonoHP-UX . . . 21
InstalandonoLinux . . . 23
InstalandonoWindows . . . 24
Capítulo
3.
Procedimentos
de
Configuração
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 27
ConfigurandoaInstalaçãoInicial . . . 27
Parte1:CriaroUsuárioAdministrativodoTivoliAccessManagerparaWebSphereApplicationServer. . . . 28
Parte2:AtivaraSegurançadoWebSphere . . . 29
Parte3:ConfiguraroAccessManagerJavaRuntimeEnvironment . . . 31
Parte4:UnirumDomínioSeguro. . . 32
Parte5a:MigrarasDefiniçõesdeSegurançadoWebSphere—WebSphereVersão4.0.6 . . . 34
Parte5b:MigrarasDefiniçõesdeSegurançadoWebSphere—WebSphereVersão5.0.2 . . . 36
ConfigurandooTivoliAccessManagerparaWebSphereemumAmbientedoWebSphereApplicationServer Versão5.1. . . 39
Parte1:CriaroUsuárioAdministrativodoTivoliAccessManagerparaWebSphereApplicationServer. . . . 39
Parte2:AtivaraSegurançanoWebSphereApplicationServerVersão5.1. . . 39
Parte4:ConfiguraroTivoliAccessManagerparaWebSphere . . . 40
Parte5:MigraroCritériodeAdministração . . . 40
ConfigurandoInstalaçõesAdicionais . . . 41
ParteA-1:ConfiguraroAccessManagerJavaRuntimeEnvironment . . . 42
ParteA-2:UnirumDomínioSeguro . . . 43
Capítulo
4.
Migrando
Funções
de
Segurança
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 45
ComoMigrarFunçõesdeSegurança . . . 45
LimitaçõesdoUtilitáriodeMigração. . . 49
DicasdeResoluçãodeProblemas . . . 50
UtilizaçãodeArquivosdeLog . . . 50
UsuáriosnãoAnexadosàsACLsCriadas . . . 50
AMigraçãoFalhaemArquivosWindowscomNomeAbreviado . . . 50
OWebPortalManagernãoÉCapazdeAnexarumaACLaumObjeto . . . 51
AvisodequeoUsuário[...]ÉumMembrodepdwas-admin . . . 51
AutenticaçãodoClientePerdidaDevidoaExpiraçãodaSessão . . . 51
AsMensagensdoUtilitáriodeMigraçãonãoSãoExibidasnoIdiomaCorreto . . . 52
Capítulo
5.
Tarefas
de
Administração
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 53
WebSphereAdvancedEditionSingleServerVersão4.0.6 . . . 53
FerramentasdeAdministraçãodoTivoliAccessManager . . . 54
EspecificandoPropriedadesdeTempodeExecução . . . 54
ConfigurandooArmazenamentoemCachedeFunçõesEstáticas . . . 54
ConfiguraroArmazenamentoemCachedeFunçõesDinâmicas. . . 55
ParâmetrosdeEstruturadeCritérioscomBaseemFunções . . . 56
ConfigurandoServidoresdeAutorizaçãoAdicionais. . . 57
IncluindoumaClassedeObjetonoConsole . . . 58
ConfiguraçãodoMapeamentoPrincipalGSO . . . 59
CriandoumNovoLogindeAplicativo . . . 60
RegistrodoTivoliAccessManagerparaWebSphere. . . 63
ConexãoÚnicacomoWebSphereApplicationServerUtilizandooWebSEAL . . . 65
Etapa1—CriarumaContadoUsuáriodeConfiançanoTivoliAccessManager . . . 66
Etapa2—CriarumCampodeJunçãodoWebSEALparaoWebSphereApplicationServer . . . 66
Etapa3a—ConfigurarSSOUtilizandooTAIparaWebSphereApplicationServerversão4.0.6 . . . 66
Etapa3b—ConfigurarSSOUtilizandooTAIparaWebSphereApplicationServerversão5.0.2 . . . 67
Etapa4—DefiniraSenhaSSOnoWebSEAL . . . 68
Etapa5—TestaraConexãodoWebSEAL . . . 68
DicasdeResoluçãodeProblemas . . . 68
OServidorWebSpherenãoIniciaapósaConfiguraçãoeaMigração—ApenasWebSphereApplicationServer versão4.0.6 . . . 68
OServidorWebSpherenãoIniciaapósaDesconfiguração—ApenasWebSphereApplicationServerversão 4.0.6. . . 69
FazendoBackupdosArquivosdoTivoliAccessManagerparaWebSphere . . . 69
Capítulo
6.
Tutorial:
Como
Ativar
a
Segurança
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 71
Tutorial:ParaoTivoliAccessManagerparaWebSphereApplicationServerversão4.0.6 . . . 71
ComoUtilizaroTutorial . . . 71
Parte1:IncluirUsuáriosnoRegistrodeUsuárioLDAP. . . 72
Parte2:InstalaroTivoliAccessManagerparaWebSphere. . . 73
Parte3:IncluirSegurançaemumAplicativodoWebSphere . . . 73
Parte4:CriaroUsuárioAdministrativodoTivoliAccessManagerparaoWebSphereApplicationServer . . . 75
Parte5:AtivaraSegurançadoWebSphere . . . 76
Parte6:ImplementaroAplicativo. . . 76
Parte7:TestaraSegurançaparaoAplicativoImplementado . . . 77
Parte8:MigraroAplicativoparaoTivoliAccessManager . . . 77
Parte9:TestaraSegurançaparaoAplicativoImplementado . . . 79
Parte10:AlterarFunções. . . 79
Parte11:TestaraSegurançaparaoAplicativoImplementado. . . 80
Tutorial:ParaoTivoliAccessManagerparaWebSphereApplicationServerversão5.0.2 . . . 80
Parte1:IncluirUsuáriosnoRegistrodeUsuárioLDAP. . . 81
Parte2:InstalaroTivoliAccessManagerparaWebSphere. . . 82
Parte3:IncluirSegurançaemumAplicativodoWebSphere . . . 82
Parte4:CriaroUsuárioAdministrativodoTivoliAccessManagerparaoWebSphereApplicationServer . . . 84
Parte5:AtivaraSegurançadoWebSphere . . . 84
Parte6:ImplementaroAplicativo. . . 84
Parte7:TestaraSegurançaparaoAplicativoImplementado . . . 85
Parte8:MigraroAplicativoparaoTivoliAccessManager . . . 86
Parte9:TestaraSegurançaparaoAplicativoImplementado . . . 87
Parte10:AlterarFunções. . . 88
Parte11:TestaraSegurançaparaoAplicativoImplementado. . . 88
Capítulo
7.
Instruções
de
Remoção
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 89
RemovendodoSolaris. . . 89
RemovendodoWindows. . . 90
RemovendodoAIX . . . 90
RemovendodoHP-UX . . . 90
RemovendodoLinux . . . 91
Apêndice
A.
Referência
de
Comandos
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 93
pdwascfg . . . 94 migrateEAR4. . . 98 migrateEAR5 . . . 101
Apêndice
B.
Avisos
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 105
Marcas . . . 107Glossário
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 109
Índice
Remissivo
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 115
Prefácio
Bem-vindo aoIBM®Tivoli®AccessManagerparaWebSphereApplicationServer (TivoliAccessManagerparaWebSphere).EsteprodutoestendeoTivoliAccess Manager parasuportaraplicativosescritosparao IBM®WebSphere™Application Server.
OIBM®Tivoli®AccessManager(TivoliAccessManager)éo softwarebase
necessário paraexecutaraplicativosnoconjuntodeprodutosdo IBMTivoliAccess Manager.ElepermiteaintegraçãodeaplicativosdoIBM TivoliAccessManager quefornecemumaamplafaixadesoluções deautorizaçãoe
gerenciamento.Vendidoscomoumasoluçãointegrada,esses produtosfornecem umasoluçãode gerenciamentode controlede acessoquecentraliza ocritériode segurança deredeeaplicativoparaaplicativosdee-business.
Nota: OIBMTivoliAccessManageré onovonome dosoftwareanteriormente liberadodenominadoTivoliSecureWay®PolicyDirector.Alémdisso,paraos
usuáriosfamiliarizadoscomosoftwareea documentaçãodo Tivoli
SecureWayPolicyDirector,oservidordegerenciamentoé agorareferidocomo oservidordecritério.
OIBMTivoliAccess ManagerparaWebSphereApplicationServer:GuiadeIntegração
forneceinstruções deinstalação,configuraçãoe administração.Estedocumento também forneceum tutorialsobrecomoconfigurarocritériode segurança centralizadoparaaplicativosdoWebSphere.
Quem
Deve
Ler
este
Manual
Opúblicoalvodesteguiade administraçãoinclui: v Administradoresdesegurança
v Administradoresdesistemade rede v ArquitetosdeIT
Os leitoresdevemestarfamiliarizadoscom:
v ProtocolosdeInternet, incluindoHTTP,TCP/IP,FTP(FileTransferProtocol)e telnet
v Implementaçãoegerenciamentodesistemase aplicativosdoWebSphere ApplicationServer
v Gerenciamentode segurança,incluindo autenticaçãoeautorização
Sevocê estiverutilizandoa comunicaçãoSSL(Secure SocketsLayer),também deverá estarfamiliarizadocomoprotocolo SSL,a trocadechaves(públicae privada),assinaturasdigitais,algoritmoscriptográficos eautoridadesde certificação.
O
que
este
Manual
Contém
Estedocumentocontémosseguintes capítulos: v Capítulo1, ″Introduçãoevisãogeral”
ApresentaumavisãogeraldoscomponentesdoTivoliAccessManagerque fornecemserviçosdeautorizaçãoparaoWebSphereApplicationServer.
v Capítulo2, “Instruçõesde instalação”
DescrevecomoinstalaroTivoliAccessManagerparaWebSphere. v Capítulo3, ″Procedimentosde configuração″
DescrevecomoconfiguraroTivoliAccessManagerparaWebSphere. v Capítulo4, “Migrandofunçõesde segurança”
DescrevecomoutilizaroutilitáriodemigraçãodoTivoliAccessManagerpara WebSphereparamigrarasfunçõesdesegurançado Java2 EnterpriseEdition paraosusuáriosegruposdo TivoliAccessManager.
v Capítulo5, “Tarefasdeadministração″
DescrevecomoexecutartarefasdeadministraçãoquegerenciamoTivoliAccess ManagerparaWebSphere.
v Capítulo6, “Tutorial:Comoativarasegurança”
Descrevecomoincluira segurançaemumaplicativo doWebSphereApplication Server.Tambémdescrevecomomigrarasinformaçõesdesegurançaparao TivoliAccessManagerecomotestarseasegurançafoiativadacomêxito. v Capítulo7, “Instruçõesde remoção”
DescrevecomoremoveroTivoliAccessManagerparaWebSphere.
Publicações
Revise asdescriçõesdabibliotecado TivoliAccessManager,aspublicações de pré-requisitoseaspublicações relacionadasparadeterminarquaispublicações podemser úteis.Depoisdedeterminaraspublicaçõesnecessárias,consulteas instruções paraacessarpublicações on-line.
InformaçõesadicionaissobreoprodutoIBMTivoliAccessManagerparae-business em sipodemser encontradasem:
http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/
Abibliotecado TivoliAccessManagerestáorganizadanasseguintescategorias: v “InformaçõessobreoRelease”
v “InformaçõesdeBase”
v “InformaçõessobreSegurançanaWeb”napáginaix v “ReferênciasparaDesenvolvedores”na páginaix v “SuplementosTécnicos”napáginax
Informações
sobre
o
Release
v IBMTivoliAccessManagerparae-businessLeiaistoPrimeiro(G517-7925-00) Forneceinformaçõesparainstalarecomeçar autilizaroTivoliAccessManager. v IBMTivoliAccessManagerparae-business:NotassobreoRelease(G517-7926-00)
Forneceasúltimasinformações,comolimitaçõesde software,soluções e atualizaçõesdesoftware.
Informações
de
Base
v IBMTivoliAccessManagerBase:GuiadeInstalação(S517-7927-00)
Explicacomo instalareconfigurarosoftwarebasedo TivoliAccessManager, incluindoa interfacedeWebPortalManager.Estemanual éumsubconjuntode
deveserutilizadocomoutrosprodutos doTivoliAccessManager,comoIBM TivoliAccessManagerparaBusinessIntegrationeIBMTivoliAccessManager paraSistemasOperacionais.
v IBMTivoliAccessManagerBaseAdministrationGuide(SC32-1360-00)
Descreveosconceitose procedimentosparautilizarosserviços doTivoliAccess Manager.Fornece instruçõesparaaexecuçãode tarefasapartirdainterfacedo WebPortalManager eutilizandoocomandopdadmin.
Informações
sobre
Segurança
na
Web
v IBMTivoliAccessManagerparae-business:GuiadeInstalaçãode SegurançadaWeb (S517-7928-00)
Forneceinstalação,configuraçãoeinstruções deremoçãoparao softwarebase deTivoliAccessManagere tambémoscomponentesdo WebSecurity.Este manualéumsuper conjuntode IBMTivoliAccessManagerBase:Guiade Instalação.
v IBMTivoliAccessManagerUpgradeGuide(SC32-1369-00)
Explicacomofazer aatualizaçãodoTivoliSecureWayPolicyDirectorVersão3.8 ouversõesanterioresdoTivoliAccessManagerparaoTivoliAccessManager Versão5.1.
v IBMTivoliAccessManagerparae-businessWebSEALAdministrationGuide (SC32-1359-00)
Forneceinformaçõessobrematerialde segundoplano, sobreprocedimentos administrativosesobrereferência técnicaparautilizaroWebSEALpara gerenciarosrecursosdeseudomínioWebseguro.
v IBMTivoliAccessManagerparae-businessIBM WebSphereApplicationServer:Guia
deIntegração(S517-7930-00)
Forneceinstruçõesdeinstalação,remoçãoeadministraçãoparaintegraro Tivoli AccessManager comoIBMWebSphere®ApplicationServer.
v IBMTivoliAccessManagerparae-businessIBM WebSphereEdgeServer:Guiade
Integração(S517-7931-00)
Forneceinstruçõesdeinstalação,remoçãoeadministraçãoparaintegraro Tivoli AccessManager comoaplicativoIBMWebSphereEdgeServer.
v IBMTivoliAccessManagerparae-businessPlug-inforWebServers:Guiade
Integração(S517-7933-00)
Forneceinstruçõesdeinstalação,procedimentosdeadministraçãoeinformações dereferênciatécnicaparaprotegerodomíniodaWebutilizandooplug-inpara servidoresdaWeb.
v IBMTivoliAccessManagerparae-businessBEAWebLogicServer:GuiadeIntegração (S517-7929-00)
Forneceinstruçõesdeinstalação,remoçãoeadministraçãoparaintegraro Tivoli AccessManager comoBEAWebLogicServer.
v IBMTivoliAccessManagerparae-businessIBM TivoliIdentityManagerProvisioning
FastStartGuide(SC32-1364-00)
Forneceumavisãogeraldastarefasrelacionadasà integraçãodoTivoliAccess ManageredoTivoliIdentityManagereexplicacomoutilizareinstalaracoleta doProvisioningFastStart.
Referências
para
Desenvolvedores
v IBMTivoliAccessManagerparae-businessAuthorizationCAPIDeveloperReference (SC32-1355-00)
Fornecematerialdereferênciaquedescrevecomo utilizaraAPICde autorizaçãodoTivoliAccessManager eainterfacede plug-inde serviçodo TivoliAccessManagerparaincluirsegurançado TivoliAccessManagerem aplicativos.
v IBMTivoliAccessManagerparae-businessAuthorizationJavaClassesDeveloper
Reference(SC32-1350-00)
Forneceinformaçõesdereferênciaparaousodaimplementaçãodalinguagem Java™daAPIdeautorizaçãoparapermitirqueum aplicativoutilizea segurança doTivoliAccessManager.
v IBMTivoliAccessManagerparae-businessAdministrationCAPIDeveloperReference (SC32-1357-00)
ForneceinformaçõesdereferênciasobreousodaAPIde administraçãopara permitirqueumaplicativoexecutetarefasadministrativas doTivoliAccess Manager.Essedocumentodescrevea implementaçãoCdaAPIdeadministração. v IBMTivoliAccessManagerparae-businessAdministrationJavaClassesDeveloper
Reference(SC32-1356-00)
Forneceinformaçõesdereferênciaparaousodaimplementaçãodalinguagem JavadaAPIdeadministraçãoparapermitirqueum aplicativoexecutetarefas administrativasdoTivoliAccessManager.
v IBMTivoliAccessManagerparae-businessWebSecurityDeveloperReference (SC32-1358-00)
Forneceinformaçõesdeadministraçãoe programaçãoparaoCDAS (Cross-DomainAuthenticationService), oCDMF(Cross-DomainMapping Framework)eomódulodeforçadasenha.
Suplementos
Técnicos
v IBMTivoliAccessManagerparae-businessCommandReference(SC32-1354-00) Forneceinformaçõessobreosutilitáriosdalinhade comandose scripts fornecidoscomoTivoliAccessManager.
v IBMTivoliAccessManagerErrorMessageReference(SC32-1353-00)
Forneceexplicaçõeseasaçõesrecomendadasparaasmensagensproduzidas peloTivoliAccessManager.
v IBMTivoliAccessManagerparae-businessProblemDeterminationGuide (SC32-1352-00)
Forneceinformaçõessobredeterminação deproblemasparaoTivoliAccess Manager.
v IBMTivoliAccessManagerparae-businessPerformanceTuning Guide(SC32-1351-00) Forneceinformaçõesdeajuste dedesempenhoparaumambientequeconsiste noTivoliAccessManagercomoIBM TivoliDirectoryservercomoo registrodo usuário.
Publicações
Relacionadas
Estaseçãolista publicaçõesrelacionadasàbibliotecado TivoliAccessManager. OTivoliSoftwareLibraryforneceumavariedadedepublicações Tivolicomo documentos técnicos,planilhasde dados,demonstrações,livrosderegistrose cartasdeanúncio.OTivoliSoftwareLibraryestádisponívelnaWebem: http://www.ibm.com/software/tivoli/library/
OTivoliSoftwareGlossaryinclui definiçõesparaváriostermostécnicosrelacionados aosoftwareTivoli.OTivoliSoftwareGlossaryestádisponível,somenteemInglês,a
partirdolinkGlossary,aoladoesquerdodapáginadaWebdoTivoliSoftware Library Libraryhttp://www.ibm.com/software/tivoli/library/
IBM
Global
Security
Kit
OTivoliAccessManager fornececriptografia dedadosatravésdousodoIBM GSKit (GlobalSecurityKit)Versão7.0. OGSKit estáincluídonoCDdo IBMTivoli Access ManagerBaseparasuaplataformaparticularetambémnosCDsdoIBM TivoliAccess ManagerWebSecurity,nosCDsdoIBMTivoliAccess ManagerWeb AdministrationInterfaces enosCDsdoIBMTivoliAccess ManagerDirectory Server.
Opacote GSKitforneceoutilitáriodegerenciamentode chavesdoiKeyman,
gsk7ikm,queéutilizadoparacriarbancosdedadoschave, paresde chaves pública-privadae pedidosdecertificados.Odocumentoaseguirestádisponívelno sitedoTivoliInformationCenter,namesma seçãoquea documentaçãodo produto IBM TivoliAccessManager:
v IBMGlobalSecurityKitSecureSockets LayerandiKeyman:GuiadoUsuário (S517-7932-00)
Forneceinformaçõesparaadministradoresdesegurançade redeoudesistema queplanejamativaracomunicaçãoSSLemseuambientedoTivoliAccess Manager.
IBM
Tivoli
Directory
Server
OIBM TivoliDirectoryServer,Versão 5.2,éincluídonoCDdoIBMTivoliAccess ManagerDirectoryServer parao sistemaoperacional desejado.
Nota: IBMTivoliDirectoryServeré onovonomeparaosoftware liberado anteriormenteconhecidocomo:
v IBMDirectoryServer (Versão4.1e Versão5.1) v IBMSecureWayDirectoryServer(Versão 3.2.2)
OIBM DirectoryServer Versão4.1,oIBM DirectoryServer Versão5.1eoIBM TivoliDirectoryServer Versão5.2sãotodossuportados peloIBM TivoliAccess Manager Versão5.1.
InformaçõesadicionaissobreoIBMTivoliDirectoryServer podemser encontradas em:
http://www.ibm.com/software/network/directory/library/
IBM
DB2
Universal
Database
OIBM DB2®Universal Database™EnterpriseServerEdition,Versão8.1éfornecido noCDdo IBMTivoliAccessManagerDirectoryServere éinstaladocomosoftware IBM TivoliDirectoryServer. ODB2é necessárioaoutilizaro IBMTivoliDirectory Server, osservidoresLDAPz/OS™ouOS/390® comooregistrodeusuárioparao TivoliAccessManager.
InformaçõesadicionaissobreoDB2podemserencontradasem: http://www.ibm.com/software/data/db2/
IBM
WebSphere
Application
Server
OIBM WebSphereApplicationServer,AdvancedSingleServerEdition5.0,é incluídonoCDdoIBM TivoliAccessManagerWebAdministrationInterfaces parao sistemaoperacional desejado.OWebSphereApplicationServerativaosuporte da interface doWebPortalManager,queéutilizadaparaadministraroTivoliAccess
Manager eoWebAdministration Tool,queé utilizadoparaadministraro IBM TivoliDirectoryServer.OIBMWebSphereApplicationServerFix Pack2 tambémé requeridopeloTivoliAccessManager eéfornecidonoCDdoIBM TivoliAccess ManagerWebSphereFixPack.
InformaçõesadicionaissobreoIBMWebSphereApplicationServerpodemser encontradasem:
http://www.ibm.com/software/webservers/appserv/infocenter.html
IBM
Tivoli
Access
Manager
para
Business
Integration
OIBM TivoliAccessManagerparaBusinessIntegration, disponívelcomoum produtosolicitadoseparadamente,forneceumasoluçãodesegurançapara mensagens doIBM MQSeries®,Versão 5.2eo IBMWebSphere®MQparaVersão 5.3. OIBMTivoliAccessManagerparaBusiness Integrationpermitequeos aplicativosMQSeriesdoWebSphereenviemdadoscomprivacidadeeintegridade, utilizandochavesassociadasaaplicativosdeenvioerecepção.ComooWebSEALe o IBMTivoliAccessManagerparaSistemasOperacionais,oIBM TivoliAccess Manager paraBusinessIntegrationéumdosgerenciadoresderecursosque utilizam osserviçosdo IBMTivoliAccessManager.
InformaçõesadicionaissobreoIBMTivoliAccessManagerparaBusiness Integrationpodemserencontradasem:
http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/ Os seguintesdocumentosassociados aoIBM TivoliAccessManagerparaBusiness IntegrationVersão5.1estãodisponíveisnoWebsitedoTivoliInformationCenter: v IBMTivoliAccessManagerparaBusinessIntegration:GuiadeAdministração
(S517-7600-01)
v IBMTivoliAccessManagerforBusinessIntegrationProblemDeterminationGuide (GC23-1328-00)
v IBMTivoliAccessManagerparaBusinessIntegration:NotassobreoRelease (G517-7602-01)
v IBMTivoliAccessManagerparaBusinessIntegration:LeiaistoPrimeiro (G517-7821-00)
IBM
Tivoli
Access
Manager
para
WebSphere
Business
Integration
Brokers
OIBM TivoliAccessManagerparaWebSphereBusiness IntegrationBrokers, disponívelcomo partedoIBM TivoliAccessManagerparaBusinessIntegration, forneceumasoluçãodesegurançaparaoWebSphereBusinessIntegrationMessage Broker,Versão 5.0e oWebSphereBusiness IntegrationEvent Broker,Versão5.0.O IBM TivoliAccessManagerparaWebSphereBusinessIntegrationBrokersopera juntamentecomoTivoliAccessManagerparadarsegurançaa aplicativosde publicação/assinaturaJMSfornecendosenhaeautenticaçãobaseada em credenciais, autorizaçãodefinidacentralmente eserviçosdeauditoria. InformaçõesadicionaissobreoIBMTivoliAccessManagerparaWebSphere IntegrationBrokerspodemser encontradasem:
Os seguintesdocumentosassociados aoIBM TivoliAccessManagerpara
WebSphereIntegrationBrokers,Versão5.1estãodisponíveisnoWebsitedoTivoli InformationCenter:
v IBMTivoliAccessManagerparaWebSphereBusinessIntegrationBrokers:Guiade
Administração(S517-7910-00)
v IBMTivoliAccessManagerparaWebSphereBusinessIntegrationBrokers:Notassobre
oRelease(G517-7911-00)
v IBMTivoliAccessManagerparaBusinessIntegration:LeiaistoPrimeiro (G517-7821-00)
IBM
Tivoli
Access
Manager
para
Sistemas
Operacionais
OIBM TivoliAccessManagerparaSistemasOperacionais, disponívelcomoum produtoquepodeser solicitadoseparadamente,forneceumacamada deaplicação do critériodeautorizaçãoem sistemasUNIX,alémdafornecidapelosistema operacional nativo.OIBM TivoliAccessManagerparaSistemasOperacionais, como oWebSEALeoIBM TivoliAccessManagerparaBusinessIntegration, éum dosgerenciadoresderecursos queutilizamosserviçosdoIBM TivoliAccess Manager.
InformaçõesadicionaissobreoIBMTivoliAccessManagerparaSistemas Operacionais podemser encontradasem:
http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/ Os seguintesdocumentosassociados aoIBM TivoliAccessManagerparaSistemas Operacionais Versão5.1estãodisponíveisnoWebsitedoTivoliInformation Center:
v IBMTivoliAccessManagerparaSistemasOperacionais:GuiadeInstalação (S517-7609-00)
v IBMTivoliAccessManagerforOperatingSystemsAdministrationGuide (SC23-4827-00)
v IBMTivoliAccessManagerforOperatingSystemsProblemDeterminationGuide (SC23-4828-00)
v IBMTivoliAccessManagerparaSistemasOperacionais:NotassobreoRelease (G517-7610-00)
v IBMTivoliAccessManagerparaSistemasOperacionais:LeiaistoPrimeiro (G517-7611-00)
IBM
Tivoli
Identity
Manager
OIBM TivoliIdentityManagerVersão4.5, disponívelcomoumprodutoquepode ser solicitadoseparadamente,permitegerenciar centralmenteusuários(comoIDs de usuáriose senhas)eprovisões(queestejamfornecendooucancelandooacesso a aplicativos,recursosou sistemasoperacionais.)OTivoliIdentityManager pode ser integradocomoTivoliAccessManager atravésdo usodoTivoliAccess ManagerAgent. Entreemcontatocomo representantedecontasIBMparaobter informações adicionaissobrecomocomprar oAgent.
InformaçõesadicionaissobreoIBMTivoliIdentityManagerpodemser encontradasem:
Acessando
Publicações
On-line
Aspublicações paraesseprodutoestãodisponíveison-line noformatoPDF (Portable DocumentFormat)ouHTML(HypertextMarkupLanguage)ouem ambos nabibliotecadesoftware doTivoli:
http://www.ibm.com/software/tivoli/library
Paralocalizar publicaçõesdoprodutona biblioteca,cliquenolinkProduct manuals àesquerdadapáginade bibliotecas.Emseguida,localizeecliqueno nome doprodutonapágina centraldeinformaçõesdosoftware Tivoli.
Aspublicações deprodutoincluem notassobreorelease,guiasdeinstalação,guias de usuário,guiasde administradorereferênciasde desenvolvedor.
Nota: Paragarantiraimpressãocorretadepublicações PDF,selecionea caixade opçõesAjustarà páginanajanelaImprimirdoAdobeAcrobat(disponível quandovocêclica emArquivo→ Imprimir).
Acessibilidade
Os recursosdeacessibilidadeajudamusuáriosquepossuemalgumalimitação física,comomobilidaderestritaouvisãolimitada,autilizarosprodutosde
software comêxito.Comesteproduto,épossívelutilizartecnologiasdeassistência paraouvirenavegarainterface.Você tambémpodeusarotecladoemlugardo mouseparaoperartodososrecursosdainterfacegráficacomo usuário.
Entrando
em
Contato
com
o
Suporte
ao
Software
Antesdeentrar emcontatocomosuportedo IBMTivoliSoftwarecomum problema, consulteositedesuportedo IBMTivoliSoftwareclicandonolink
TivolisupportnoWebsiteaseguir:http://www.ibm.com/software/support/ Seprecisardeajuda, entreem contatocomosuportea software,utilizandoos métodos descritosnoIBM SoftwareSupportGuide,noseguinteWebsite: http://techsupport.services.ibm.com/guides/handbook.html
Oguiaforneceasseguintesinformações:
v Requisitosderegistroe elegibilidadepararecebersuporte
v Númerosdetelefone,dependendodopaísem quevocê estejalocalizado v Umalistade informaçõesquevocê devereunirantesdeentrarem contatocom
osuporteaocliente
Convenções
Utilizadas
neste
Manual
Esteguiautilizaváriasconvençõesparatermoseaçõesespeciaiseparacomandos e caminhosquedependemdosistemaoperacional.
Convenções
Tipográficas
Asseguintes convençõestipográficassãoutilizadasnestareferência:
Negrito
Comandosem letraminúsculaou misturadeletrasmaiúsculas e minúsculasquesãodifíceis dedistinguirnotexto,palavras-chave,
parâmetros,opções, nomesdeclassesJava eobjetosaoredoraparecemem
Itálico Variáveis,títulosdepublicações epalavrase frasesespeciaisquesão enfatizadasaparecememitálico.
Espaçamento fixo
Exemplosde códigos,linhasdecomandos,saídadetela,nomesdoarquivo ediretórioquesãodifíceisdedistinguir notexto,mensagens dosistema, textoqueousuáriodevedigitare valoresparaargumentosouopções de comandoaoredor aparecemem espaçamentofixo.
Diferenças
do
Sistema
Operacional
Estemanualutilizaa convençãoUNIXparaespecificarvariáveisdeambientee paranotaçãododiretório.AoutilizaralinhadecomandosdoWindows,substitua
$variable por%variable%paravariáveisdeambienteesubstituacadabarra(/)por umabarrainvertida (\)noscaminhosde diretório.Sevocê forutilizaroshellbash em umsistemaWindows,poderáutilizarasconvenções UNIX.
Capítulo
1.
Introdução
e
Visão
Geral
OIBM TivoliAccessManagerparaWebSphereApplicationServer (TivoliAccess Manager paraWebSphere)éumaextensãodoIBMTivoliAccessManager (Tivoli AccessManager)queforneceautorizaçãobaseadaem contêineregerenciamento de critériocentralizadoparaaplicativosdo IBMWebSphereApplicationServer. OTivoliAccessManager paraWebSpherefacilitaousodo TivoliAccessManager fornecendogerenciamentocentralizadodecritériode segurançapararecursosdo WebSphereApplicationServere pararecursos quenão estãorelacionadosao WebSphereApplicationServer.
OTivoliAccessManager fornecegerenciamentodeidentidadescomuns,perfisde usuário emecanismosdeautorização.OTivoliAccessManagertambémfornece um utilitáriode interfacegráficacomousuário,o TivoliAccessManagerWeb PortalManager,quepodeser utilizadocomoumúnicopontodegerenciamentode segurança pararecursos compatíveiscomoJ2EE(Java™2EnterpriseEdition)e
pararecursos quenãosãocompatíveiscomo J2EE.
OWebSphereApplicationServersuportaasclassesdesegurançaeasAPIsdo J2EE. OTivoliAccessManagerparaWebSpheresuportaaplicativosdoWebSphere queutilizamasclassesdesegurançadoJ2EE. OTivoliAccessManagerpara WebSphereforneceestesuporte semprecisardequalqueralteraçãodecodificação ou deimplementaçãonosaplicativos.
OTivoliAccessManager paraWebSpherepode serintegradoaoscontêineresdo WebSphereparapermitirqueelesutilizemosserviçosdesegurançafornecidospor um domíniosegurodo TivoliAccessManager.Odomíniosegurodeveser
implementadoantesdainstalaçãodo TivoliAccessManagerparaWebSphere. Os usuáriosiniciantesdoTivoliAccessManagerdevemrevero modelode
segurança doTivoliAccessManagerantesdeimplementar umdomíniosegurodo TivoliAccessManager.Umbreveresumoéapresentadoaqui.
OTivoliAccessManager éumasoluçãocompletadeautorizaçãoede
gerenciamentodecritério desegurançaderede queforneceproteçãoderecursos, de umaextremidade àoutra,atravésdeintranets eextranetsgeograficamente dispersas.
OTivoliAccessManager apresentaomaisavançadogerenciamentode critériode segurança.Alémdisso,oTivoliAccessManagersuportacapacidadesde
autenticação,autorização,segurançadedados egerenciamentode recursos.Você utilizao TivoliAccessManageremconjuntocomaplicativospadrãocombasena Internet paraconstruirintranetseextranetsaltamente segurasebemgerenciadas. Em seunúcleo,oTivoliAccessManagerfornece:
v Umaestruturade autenticação
OTivoliAccessManagersuportaumagrandevariedadede mecanismosde autenticação.Observe,noentanto,queoWebSphereexecutasuaspróprias etapasdeautenticaçãoantesdeutilizaroTivoliAccessManager para WebSphere.
Oserviçode autorizaçãodoTivoliAccessManager,acessadopormeiodas classesde autorizaçãopadrãodoJ2EE, fornecedecisões depermissãoerecusa desolicitaçõesdeacessoparaservidoresnativosdo TivoliAccessManagere aplicativosdeterceiros.
Você podeaprendermais sobreoTivoliAccessManager,incluindoinformações necessáriasparatomardecisõesde implementação,examinandoa documentação do produto.Comececom asseguintes publicações:
v IBMTivoliAccessManagerBase:GuiadeInstalação
Esteguiadescrevecomoplanejar,instalareconfigurarumdomíniosegurodo TivoliAccessManager.Umasériedescripts deinstalaçãofáceispermiteque vocêimplementerapidamenteumdomíniosegurocompletamentefuncional. Essesscriptssãomuitoúteisaocriar oprotótipodaimplementaçãodeum domínioseguro.
v IBMTivoliAccessManagerBase AdministrationGuide
Estedocumentoapresentaumavisãogeraldomodelode segurançadoTivoli AccessManager paragerenciarrecursosprotegidos.Esseguiadescrevecomo configurarosservidoresdo TivoliAccessManagerquetomamdecisõesde controlede acesso.Alémdisso,instruções detalhadasdescrevemcomorealizar tarefasimportantescomodeclararcritériosdesegurança,definirespaçode nomesde objetosprotegidoseadministrarperfisdeusuário egrupo.
Integrando
o
Tivoli
Access
Manager
ao
WebSphere
Application
Server
OTivoliAccessManager paraWebSphereestendeomodelodesegurançado Tivoli AccessManagerparatrabalhar comaplicativosconstruídosparaoIBMWebSphere ApplicationServer.Omodelodesegurançaé utilizadodaseguintemaneira: Quando umusuário(principal)tentaacessar umrecursoprotegido,oWebSphere executa asseguintetarefas:
v Autenticao principal.
v Quandoasegurançafor especificadanodescritordeimplementaçãodeum aplicativo(segurançadeclarativa),umcontêinerdoWebSpheredeterminará quaisfunçõessãonecessáriasparaacessaro recurso,eutilizará oTivoliAccess ManagerparaWebSphereparadeterminarseoprincipalatualrecebeuconcessão aalgumadasfunçõesrequeridas.
v Quandoodesenvolvedorde umaplicativotiverincluídocódigode segurança diretamentenoaplicativo(segurança programática),umcontêinerdoWebSphere utilizaráoTivoliAccessManager paraexecutarasverificaçõesdefiliaçãode funçãonecessárias.
Afigura1 ilustraa seguinteseqüênciadeeventos:
1. Quandoum aplicativodoWebSpherecomsegurançadoJ2EEéexecutadoe o usuáriotenta acessarumrecursoprotegido,oWebSphereautenticaousuário utilizandooregistrodousuário.Porexemplo,nafigura1,oWebSphere Advanced Edition,versãoparaváriosservidores, autenticaumregistrode usuáriodo IBMDirectory.Oregistrodousuário écompartilhadocomo Tivoli AccessManager.(ParaoWebSphereAdvancedEditionSingleServer,a
autenticaçãoéfeitaemrelaçãoà segurançacombaseem host).
2. Quandoo usuáriosolicitaacesso aummétodoourecursoprotegido,o contêinerdoWebSphereutilizaasinformações dodescritorde implementação doaplicativo J2EEparadeterminara afiliaçãodefunçãorequerida.
3. OcontêinerdoWebSphereutilizao módulointegradodoTivoliAccess Managerparasolicitarumadecisão deautorização(“concedida”ou “negada”) doservidor deautorizaçãodo TivoliAccessManager.
OcontêinerdoWebSpheretambém passainformaçõesde contextoadicionais, quandopresentes,paraoservidor deautorização.Asinformaçõesde contexto opcionaispodemincluiro nomedacélula,onome dohosteonome do servidor.Seobanco dedadosde critériodoTivoliAccessManager tiver critériosespecificadosparaqualquerumadasinformaçõesdecontexto,o servidor deautorizaçãopoderáutilizaressasinformaçõesaotomaradecisão de autorização.
4. Oservidorde autorizaçãoconsultaasdefiniçõesdousuário doTivoliAccess Managernoregistrodeusuáriocompartilhado. (Oregistrodeusuárioé
compartilhadocomoWebSphere,a menosqueoWebSphereAdvancedEdition SingleServersejautilizado).Oservidordeautorizaçãoconsultaaspermissões queforamdefinidasparaousuárioespecificado dentrodoespaçodenomesde objetoprotegidodoTivoliAccessManager.Oespaçodenomesdeobjeto protegidoestáincluídonobancodedadosde critériomostradona figura1. 5. Oservidorde autorizaçãodoTivoliAccessManager retornaa decisãode
acessoaocontêinerdoWebSphere.
6. OWebSphereApplicationServerconcedeounegaacesso aométodoourecurso protegido.
Segurança
com
Base
em
Função
do
Java
2
Enterprise
Edition
Asegurançado J2EE(Java 2EnterpriseEdition)utilizao conceitode umprincipal
pararepresentara identidadede umaentidadequeexecutaatividades.As
entidades podemserpessoas(usuários)ou processos.Alémdisso,oJ2EEutilizao conceitodeumafunção,conformedescritoabaixo.
Os métodossãomapeadosparafunções.Atabelaa seguir,de umaplicativode transações bancáriasde amostra,defineasfunçõesemapeiaosmétodosparaas mesmas.Aentradaconcedidonatabelaaseguirindicaquea funçãopodeacessar o métodoespecificado.
Tabela1.MapeamentodeMétodosparaFunções
Funções
Métodos
getBalance deposit closeAccount
Teller concedido concedido
Cashier concedido
Supervisor concedido
Asfunçõesqueforamdefinidasacima podemser mapeadasparaprincipaise/ou grupos.AentradaChamarnascélulas databelaaseguir indicaqueoprincipalou o grupopodechamar quaisquermétodosquetenhamsidoconcedidosa essa função.
Tabela2.PermissõesdeChamadadeMétodoparaPrincipaisouGrupos
Principal/Grupo
Funções
Teller Cashier Supervisor
TellerGroup Chamar
CashierGroup Chamar
SupervisorGroup
Frank(umprincipal,nãoé membrodenenhumdos gruposacima)
Chamar Chamar
Natabelaacima,oprincipalFrankpodechamarosmétodosgetBalancee
closeAccount,masnãopode chamarométododepositporqueestemétodonão foi concedido àfunçãoCashierouSupervisor.
Mapeando
Principais
e
Grupos
para
Funções
Antesdotempo deexecuçãodoaplicativo,o utilitáriode migraçãodoTivoli AccessManagerparaWebSphereéexecutadoparaocuparo espaçode nomesde objeto protegidodo TivoliAccessManager.Outilitáriode migraçãoobtém informações sobrefunçõesemétodosdosdescritoresdeimplementaçãode aplicativo J2EE.
Notempode execuçãodoaplicativo,quandoumusuáriosolicitaacessoa um recursoprotegido,asseguintesinformaçõessãotransmitidasaocontêinerdo WebSphere:
v Principal
Aidentidadeautenticadado usuário. v RoleName
Onome deumafunção. v AppName
Onome doaplicativo. v CellName
Onome deumagrupamentode sistemashostnarede. v HostName
Onome deumsistemahostcontidonoCellName. v ServerName
Onome doservidorqueéhospedadopeloHostName.
Os nomesdefunçãosãoderivados dosmapeamentosdemétodo-para-funçãonos descritoresdeimplementação.Porpadrão,a verificaçãode acessodoTivoliAccess Manager éexecutadacombasenoRoleNameeAppName.Averificaçãode acesso pode serfacilmenteestendida paraconsiderarCellName,HostNamee
ServerName.Essesvaloressãoopcionaisesãoavaliados apenasquandosão definidos.
AsACLs(listasde controlede acesso)doTivoliAccessManager determinamquais funçõesdo aplicativoJ2EEforamatribuídas aumprincipal.Outilitáriode
migraçãoanexaACLsaoAppNamenoespaçodenomesde objetoprotegido. Afigura2 aseguirilustra aseguinteseqüênciade eventos:
1. Antesdotempo deexecuçãodoaplicativo,outilitáriodemigraçãodoTivoli AccessManagerparaWebSphereacessaodescritordeimplementaçãodo aplicativoJ2EEparaextrairinformaçõessobreasfunçõesesobreo mapeamento entrefunçãoeprincipalouentrefunçãoegrupo.
2. Outilitáriodemigraçãoconverteasinformações noformatodo TivoliAccess Managere astransmiteparaoservidor decritériodo TivoliAccessManager. 3. Oservidorde critérioincluientradas noespaçode nomesdeobjeto protegido
pararepresentarasfunçõesdefinidasparao aplicativo.Quandoos
mapeamentosentrefunçãoeprincipalou entrefunçãoegrupo tiveremsido definidosnodescritordeimplementação,osprincipaisou gruposapropriados serãoincluídosnasACLsqueestão anexadasaosnovosobjetos.
Omodelode segurançadoTivoliAccessManager utilizaasdefinições armazenadasnoespaçodenomesdeobjetoprotegidoparaconstruiruma hierarquiaderecursos aosquaisasACLspodemseranexadas.EssasACLs definemomapeamento defunçõesparausuáriosougrupos.
Afigura3 abaixoilustra comoasACLspodemser aplicadasaoespaçodenomes de objetoprotegidoquedescreveumafunção.Oespaçodenomesdeobjeto protegidoparatodososaplicativosdoWebSphereconsisteem umobjetoprotegido de nívelsuperiordenominadoWebAppServer.OobjetoWebAppServerpossuium objeto filhodenominadodeployedResources.Juntos,essesdoisnomesdeobjeto funcionam comoumprefixodenívelsuperiorparatodasasfunçõesdoJ2EE definidasnosaplicativosdoWebSphere.
Figura2.MapeamentodeFunçõesparaoEspaçodeObjetoProtegidodoTivoliAccess Manager
Asfunçõessãodefinidasnopróximonívelna hierarquia,comoumrecurso denominado paraafunção:RoleName.Diretamentesobesseobjetoestáorecurso querepresentaoaplicativo:AppName.AbaixodoobjetoprotegidoAppNameestão diversosrecursos opcionaisquepodemserdefinidos paracontrolarmais
precisamenteoacessoàsfunções.Osrecursosopcionais sãoCellName,HostNamee
ServerName.
NaFigura 3acima,ACL1 concedeaouser1acessoaoRoleNameespecificado,em qualqueraplicativode qualquerparte darede.User2egroup1têmoacesso negado.
Nomodelode segurançadoTivoliAccessManager,essasdefiniçõesdeacessosão herdadas pelosobjetosdefinidossobRoleName nahierarquiade espaçode objeto protegido.Essaherançaocorreporpadrão.Portanto,nafigura3, asdefiniçõesde acesso sãoherdadaspelosobjetosquerepresentam
AppName/CellName/HostName/ServerName.
Àsvezes, ocritériode segurançarequerqueasdefiniçõesde acessoparaobjetos localizadossobopontode anexaçãodaACLsejamdiferentesdasdefiniçõesde acesso herdadas.Nesse casooadministradordoTivoliAccessManager defineuma novaACLcontendoasdefiniçõesdeacessorequeridas. Oadministrador anexaa novaACLaoobjetonopontodecontroleespecificado.Essa novaACLsubstituias definiçõesde acessoherdadas.
Por exemplo,ocritério desegurançapodeimporqueouser1nãodeverecebera permissãoRoleName quandooaplicativoéexecutado emumservidor específico, em umdeterminadohost,dentrodeumacélulaespecífica.Parareforçaresse critério, oadministradordefineumaACLmais restritiva,conformerepresentadana figura3 porACL2.EssaACLnegaacessoparauser1,user2e grp1.Emseguida,o administrador anexaessaACLaoobjetoServerNamequerepresentaoservidor para o qualoacessodeveserrestringido.
AFigura 3mostraa anexaçãode ACL2aoServerName.observequeACL2
aplica-seapenasaoservidorespecificado. Quandomaisde umobjetoServerNameé definidosobHostName,aACL2aplica-seapenasaoobjetoServerNameaoqual ela
estáanexada.Todososoutros objetosServerNamenessenívelnahierarquia
continuam herdandoasdefiniçõesdeacessoespecificadasnaACL1eanexadasao
RoleName.
Paraobter informaçõesadicionaissobreautilizaçãodeACLsnoespaçode nomes de objetoprotegido,consulte oIBMTivoliAccess ManagerBase AdministrationGuide.
Centralizando
o
Gerenciamento
de
Critério
para
Vários
Servidores
do
WebSphere
OTivoliAccessManager fornecegerenciamentocentralizadodoscritériosde segurança.OTivoliAccessManager podegerenciaro critériodesegurançaem váriosWebSphereApplicationServers.Alémdisso,oTivoliAccessManagerutiliza o mesmomodeloparagerenciara segurançaemaplicativosnão-WebSphere. Após asfunçõese osmapeamentosdeprincipalougrupodescritosnos descritores de implementaçãodeumaplicativoJ2EEteremsidomigradosparaoTivoliAccess Manager,eosusuáriosegruposteremsidoregistradosnoTivoliAccessManager, você podeutilizarasferramentasde gerenciamentodoTivoliAccessManagerpara gerenciar alteraçõesadicionaisnasdefiniçõesdesegurança.Utilizeo TivoliAccess Manager WebPortalManagerparagerenciarasalteraçõesnasdefiniçõesde segurança relacionadasaomapeamento defunçõesparaprincipaisougrupos. Utilize oconsoledo WebSphereparaefetuaroutrasalteraçõesrelacionadasa segurança.Observequeasalteraçõesnos mapeamentosde funçõesfeitas
utilizandoo consoledoWebSpherenãoficarãovisíveisaomodelode segurançado TivoliAccessManager.
Utilize asseguintesferramentasdoTivoliAccessManagerparagerenciarocritério de segurança:
v TivoliAccessManagerWebPortalManager
OWebPortalManageré oconsolede gerenciamentodo TivoliAccessManager. EsseconsoleforneceumaGUI(InterfaceGráficacomoUsuário)paragerenciar osusuários, açõese recursosdoTivoliAccessManager queestãodefinidosno espaçode nomesde objetoprotegidodoTivoliAccessManager.Oconsolepode serutilizadoparacriare gerenciarACLs. Oconsoletambémpode serutilizado paragerenciardefiniçõesdeusuário edegruponoregistrodousuário.
v pdadmin
Outilitáriopdadminé umutilitáriodelinhadecomandoparagerenciar o modelodesegurançado TivoliAccessManager.Esseutilitáriopoderosopode serutilizadoparagerenciar todososaspectosdoespaçodenomesdeobjeto protegidodo TivoliAccessManager,incluindousuários, objetos,recursose ACLs.Alémdisso,opdadmin podegerenciarentradas deusuárioede grupo nosregistrosdousuário.Osadministradores podemusaresseutilitáriodentro descriptsou programasparaautomatizarastarefasdeadministração.
Paraobterinformaçõesadicionais,consulteoIBM TivoliAccess ManagerBase AdministrationGuide.
v APIdeAdministraçãodo TivoliAccessManager
OTivoliAccessManagerforneceumainterface programáticaparaastarefasde administraçãorealizadaspelopdadmin epeloWebPortalManager.Os
desenvolvedoresde aplicativospodemutilizarumaAPICouJava paraexecutar tarefasdeadministraçãoquesãoespecíficasdoaplicativo.
Paraobterinformaçõesadicionais,consulteoIBM TivoliAccess Managerpara e-businessAdministrationCAPIDeveloperReferenceou oIBMTivoliAccessManager parae-businessAdministrationJavaClassesDeveloperReference.
Afigura4 acimailustraogerenciamentodesegurançado TivoliAccessManager em váriosservidoresdo WebSphere.OWebPortalManager foiinstaladocomo WebSphereApplicationServerna MáquinaA.Outilitáriopdadminémostrado em um sistemanão-WebSpherena MáquinaB.
Tantoo WebPortalManager comoopdadminutilizam oservidordecritério na
Máquina Dparaadministrarocritériode segurança.
Oservidor deautorizaçãodoTivoliAccessManagerpodeser instaladoemum sistemaseparadodosistemaWebSphere.Nafigura4 aMáquinaEhospedao WebSphereApplicationServer.Esseservidor possuiummódulodoTivoliAccess Manager paraWebSpherequefoiintegradoaocontêinerdoWebSphere
responsávelpelas decisõesdeautorização.Ocontêinerdo WebSphereobtémas decisões deautorizaçãodoservidor deautorizaçãodo TivoliAccessManagerna
Máquina F.
Figura4.OTivoliAccessManagerForneceAdministraçãoCentralizadadeVários Servidores.
Oservidor deautorizaçãotambémpode serinstaladonomesmosistemaqueo WebSphereApplicationServer,conformemostradona MáquinaG.Afuncionalidade do TivoliAccessManageréidênticaàquelafornecidaquandoosservidoresestão em sistemasseparados(conformemostradonaMáquina EenaMáquinaF).A co-localização doservidor deautorizaçãocomoWebSphereApplicationServer otimizao desempenhona tomadadedecisões deautorização.Essaconfiguraçãoé recomendada.
Observe queobanco dedadosdecritério doTivoliAccessManager éreplicadoda
Máquina Dparaa MáquinaFeparaaMáquina G.Essareplicaçãoaumentao desempenhoefornececapacidadedetolerânciaa falhas.
Afigura4 tambémmostraqueosservidoresdoTivoliAccessManager eos servidoresdoWebSpherecompartilhamum registrodeusuário doLDAPna
Máquina C.Afigura4assumequeoWebSphereAdvanced Edition(multiservidor) estásendoutilizado.Oregistrodousuário nãoécompartilhadonautilizaçãodo WebSphereAdvanced EditionSingleServer.
Capítulo
2.
Instruções
de
Instalação
Estecapítulocontémosseguintestópicos: v “ConteúdodoSoftware”
v “PlataformasSuportadas”
v “RequisitosdeDiscoe Memória”napágina12 v “Pré-requisitosdeSoftware”napágina 12
v “Pré-requisitosdeRegistrodoUsuário” napágina14
v “EfetuandooUpgradeaPartirdeumReleaseAnterior” napágina15 v “Instalandoo TivoliAccessManagerparaWebSphereUsandoUtilitários
Nativos”napágina 19
Conteúdo
do
Software
OTivoliAccessManager paraWebSphereforneceumcomponentequepode ser integrado aoWebSphereApplicationServer,eserresponsávelportodosos mapeamentosdasfunçõesparaosprincipaisougrupos.
OTivoliAccessManager paraWebSpheretambémforneceumutilitáriode migraçãoquepodeserutilizado paraimportarmapeamentosde funçãopara principaloufunçãoparagrupo apartirdodescritorde implementaçãodo J2EE (Java 2EnterpriseEdition)paraum esquemade segurançadoTivoliAccess Manager.Esseutilitáriopodemigrar dadosapartirdearquivosEAR(Enterprise Archive)doWebSpherecompactadosouexpandidos.
AdistribuiçãodoTivoliAccessManagerparaWebSpherecontémosseguintes softwares:
v ClassesJava doTivoliAccessManagerparaWebSphere
v Umscript deconfiguraçãodenominadopdwascfg,paraasclassesJava v Utilitáriosde migraçãomigrateEAR4 emigrateEAR5.
v Ocódigodotutorial deamostraquedemonstraousodoutilitáriodemigração edasclassesJava
Plataformas
Suportadas
OTivoliAccessManager paraWebSphereésuportadonasseguintesplataformas paraasversõeslistadasdoWebSphereApplicationServer:
v WebSphereApplicationServer versão4.0.6 – IBMAIX5.1e 5.2
– SunSolaris8 – HP-UX11i
– Microsoft Windows2000ServereAdvancedServer (ServicePack 3) – SuSESLES8 emIA32
v WebSphereApplicationServer versão5.0.2 – IBMAIX5.1e 5.2
– SunSolaris8 e9 – HP-UX11i
– Microsoft Windows2000ServereAdvancedServers(ServicePack3) – Windows 2003StandardServere EnterpriseServer
– SuSESLES8 emIA32ezSeries
Suporte
para
o
WebSphere
Application
Server
Versão
5.1
OWebSphereApplicationServerversão5.1vemcompactadocomoTivoliAccess Manager paraWebSphere.Nenhumainstalaçãodo TivoliAccessManagerpara WebSphereérequeridaparaclientesutilizandooWebSphereApplicationServer versão5.1.
Os clientesutilizandooWebSphereApplicationServerversão5.1devemignoraras instruções noCapítulo2, “InstruçõesdeInstalação”,napágina 11eseguiras instruções em“ConfigurandooTivoliAccessManagerparaWebSphereem um Ambiente doWebSphereApplicationServerVersão5.1” napágina39.
Requisitos
de
Disco
e
Memória
OTivoliAccessManager paraWebSpherepossuiosseguintesrequisitosdediscoe de memória:
v 64MBRAM,128 MBrecomendado.
Estaé aquantidadedememórianecessáriaalémdosrequisitosdememória especificadospeloWebSphereApplicationServereporquaisqueroutros componentesdoTivoliAccessManager.Aquantidadede memórianecessária poroutroscomponentesdoTivoliAccessManagerdependerádequais componentesdoTivoliAccessManager estãoinstaladosnosistemahost.Para obterinformaçõesadicionais,consulteoIBM TivoliAccessManagerBase:Guiade Instalação.
v 2MBde espaçoemdisco,4 MBrecomendado.
Esterequisitoestáacima ealémdoespaçoemdiscorequeridopeloWebSphere ApplicationServer eporquaisqueroutroscomponentesdo TivoliAccess Manager.
v 5MBde espaçoemdiscoparaarquivosde log.
Esseespaçoé umaadição aoespaçorequeridoparaoscomponentesdo software.
Pré-requisitos
de
Software
Asseçõesa seguirabordamospré-requisitosparaa integraçãodoTivoliAccess Manager paraWebSpherecomumambiente doWebSphereApplicationServer. v “WebSphereApplicationServer”
v “TivoliAccessManager Base”napágina 13 v “JavaRuntimeEnvironment”napágina14
WebSphere
Application
Server
Antesdepoder instalaro TivoliAccessManagerparaWebSphere,énecessário ter instalada umadasseguintes versõesdo WebSphereApplicationServer nosistema host:
v IBMWebSphereApplicationServer,Advanced Edition,Versão4.0.6
ou
IBMWebSphereApplicationServer,Advanced EditionSingleServer,Versão4.0.6 v IBMWebSphereApplicationServer,Versão5.0.2
v IBMWebSphereApplicationServer,Versão5.1
OWebSphereApplicationServer,Advanced Edition,Versão4.0.6e5.0.2e o WebSphereApplicationServerVersão 5.1devem serconfiguradosparautilizarum registrodeusuário queserácompartilhadocomoTivoliAccessManager.Os usuáriosegruposdoWebSpheredevemserimportadosparaoTivoliAccess Manager.
Nota: Orequisitoparacompartilharumregistrodeusuárionão seaplicaao WebSphereApplicationServer,AdvancedEditionSingleServerVersão 4.0.6. Estaversãoutilizaa segurançabaseadanohost.Paraobterdetalhes
adicionais,consulte“WebSphereAdvanced EditionSingleServer Versão 4.0.6”napágina 53.
AdocumentaçãosobreainstalaçãodoIBM WebSphereApplicationServer está disponívelem:
http://www-4.ibm.com/software/webservers/appserv/doc/v40/ae/infocenter/was/nav_pdf.html
Sevocê nãoestiverfamiliarizadocomoIBM WebSphereApplicationServer, consulte oguiaIBMWebSphereApplicationServer:Introdução.Esteguiaestá disponívelnoWebsiteacima.
Tivoli
Access
Manager
Base
OTivoliAccessManager paraWebSphererequerquepelomenosumcomponente do TivoliAccessManagerestejainstaladonohostlocal,e queumdomínioseguro do TivoliAccessManagersejaestabelecido.Tipicamente,odomínioseguroé distribuídoporváriossistemas.
Componente
Obrigatório
no
Host
Local
OTivoliAccessManager paraWebSphererequerqueocomponenteAccess Manager JavaRuntimeEnvironment sejainstaladonocomputadorlocalque hospedao WebSphereApplicationServer.Esseéo pré-requisitomínimode software doTivoliAccessManagerBaseparasuportaroTivoliAccessManager paraWebSphere.
OTivoliAccessManager paraWebSpherenãorequer nenhumcomponente adicionaldoTivoliAccessManagernocomputadorlocalquehospedao WebSphereApplicationServer.
Componentes
Opcionais
no
Host
Local
Embora nãosejanecessário incluirnenhumcomponenteadicionaldoTivoliAccess Manager nohostlocal,épossível otimizaro desempenhoinstalandooservidor de autorização doTivoliAccessManagernomesmohostqueoWebSphere
ApplicationServer.OTivoliAccessManagerRuntime Environmentéum pré-requisito paraoservidorde autorização.Sevocê instalaroservidor de
autorização nohostdo WebSphere,oTivoliAccessManager RuntimeEnvironment também deveráserinstaladonessamáquina.Ambososcomponentessão
distribuídos comopartedo produtoTivoliAccessManagerBase.
Domínio
Seguro
do
Tivoli
Access
Manager
OTivoliAccessManager paraWebSpheredevesercapazde acessarumdomínio segurodoTivoliAccessManager.Aferramentademigraçãodeveser capazde contatar umservidorde critériosdo TivoliAccessManager.Paraobterummelhor desempenho,recomenda-sequeum oumaisservidoresdeautorizaçãodo Tivoli AccessManagertambém sejaminstalados nodomínio seguro.Assim,apósinstalar
o IBMWebSphereApplicationServer,énecessárioestabelecerumdomínioseguro antesdeinstalaroTivoliAccessManagerparaWebSphere.
Paraestabelecerumdomínioseguro, énecessárioinstalareconfiguraroservidor de critério.Geralmenteelenãoé executadonomesmohostqueoWebSphere ApplicationServer.Épossívelinstalareconfigurarumservidorde autorizaçãono host doWebSphereApplicationServer ouemum sistemadiferente.
Paraobter informaçõesadicionaissobrecomoinstalareconfigurarumdomínio segurodoTivoliAccessManager,incluindooAccessManager JavaRuntime Environment,consulte oIBMTivoliAccessManagerBase:Guiade Instalação.
Java
Runtime
Environment
Osistemadecomputadorquehospedao TivoliAccessManagerparaWebSphere deveteroJava RuntimeEnvironmentversão1.3.1instalado.
OJava RuntimeEnvironmentéinstaladoeconfiguradocomoparte dainstalação do IBMWebSphereApplicationServer.OTivoliAccessManagerparaWebSphere utilizao mesmoJavaRuntimeEnvironment.
Nota: OTivoliAccessManagerparaWebSpheretambémutilizaoAccessManager JavaRuntime Environment.OAccessManagerJavaRuntimeEnvironment estendeaVersão1.3.1Java Runtime.
Pré-requisitos
de
Registro
do
Usuário
OTivoliAccessManager paraWebSphereoperacomopartede umdomínioseguro do TivoliAccessManager.Oservidordecritério dodomínioseguroutilizaum registrodousuário paragerenciar informaçõesdeusuáriosedegrupos. o TivoliAccessManagerparaWebSpheresuportatodosostiposde registrode usuário suportadospeloTivoliAccessManagerBase:
v IBMDirectoryServer v SunONE DirectoryServer v IBMLotusDominoServer
v MicrosoftActive Directoryincluindo aversãoquenão temaplicativo. v NovelleDirectory
Paraobter umalista completadasversõessuportadasdecadatipode registrode usuário, consulteoIBMTivoliAccess ManagerBase: Guiade Instalação.
OSunONEDirectoryServerversão5.1e 5.2ésuportado peloTivoliAccess Manager Base,masnãopeloWebSphereApplicationServer 4.0.6ou5.0.2.Consulte aspáginasdepré-requisito desoftwareparaWebSphereApplicationServerparaa confirmaçãodasversões:
WebSphereApplicationServer versão4.0.6
http://www.ibm.com/software/webservers/appserv/ doc/v40/prereqs/ae_v406.htm
WebSphereApplicationServer versão5.0.2
http://www.ibm.com/software/webservers/appserv/ doc/v50/prereqs/was_v502.htm