IBM · Конфигурирование IBM Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . .20 Конфигурирование iPlanet Directory Server

IBM Tivoli Access Manager

Руководство по установке базового

пакета

Версия 4.1

SC43-0265-01

��

IBM Tivoli Access Manager

Руководство по установке базового

пакета

Версия 4.1

SC43-0265-01

��

Примечание

Перед тем как воспользоваться этой информацией и продуктом, к которому она относится, прочтите информацию в разделе

Приложение E, “Замечания”, на стр. 217.

Второе издание (август 2003 г.)

Данное издание заменяет собой публикацию под номером GC32-0815-00

© Copyright International Business Machines Corporation 2001, 2003. Все права защищены.

Содержание

Предисловие . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Для кого предназначена эта книга . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Что содержится в данной книге . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Публикации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Информация о данном выпуске . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Основная информация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Информация по WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Информация по защите Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Справочная информация для разработчиков . . . . . . . . . . . . . . . . . . . . . . . . xii

Дополнительная техническая информация . . . . . . . . . . . . . . . . . . . . . . . . xii

Прочие публикации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii

IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii

IBM DB2 Universal Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii

IBM Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv

IBM WebSphere Application Server . . . . . . . . . . . . . . . . . . . . . . . . . . xiv

IBM Tivoli Access Manager for Business Integration . . . . . . . . . . . . . . . . . . . . . xiv

IBM Tivoli Access Manager for Operating Systems . . . . . . . . . . . . . . . . . . . . . xiv

Как получить доступ к электронным публикациям . . . . . . . . . . . . . . . . . . . . . . xv

Специальные возможности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv

Как обратиться в службу поддержки программ . . . . . . . . . . . . . . . . . . . . . . . . xv

Условные обозначения, используемые в этой книге . . . . . . . . . . . . . . . . . . . . . . xvi

Выделение в тексте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi

Особенности работы в разных операционных системах . . . . . . . . . . . . . . . . . . . . xvi

Глава 1. Обзор информации по установке Tivoli Access Manager . . . . . . . . . . 1

Планирование внедрения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Обзор защищенных доменов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Компоненты установки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Реестр пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

IBM Directory Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Tivoli Access Manager Policy Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Сервер авторизации (Tivoli Access Manager Authorization Server) . . . . . . . . . . . . . . . . . . 5

Tivoli Access Manager Java Runtime Environment . . . . . . . . . . . . . . . . . . . . . . . 5

Среда выполнения (Tivoli Access Manager Runtime) . . . . . . . . . . . . . . . . . . . . . . 5

Tivoli Access Manager Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . . . 5

Tivoli Access Manager Application Development Kit . . . . . . . . . . . . . . . . . . . . . . 6

Инструкции по установке . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Инструкции по простой установке . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Инструкции по собственной установке . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Интернационализация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Обзор поддержки национальных языков . . . . . . . . . . . . . . . . . . . . . . . . . 10

Установка пакетов поддержки национальных языков . . . . . . . . . . . . . . . . . . . . . 11

Установка пакетов поддержки национальных языков для необходимых программных средств . . . . . . . 13

Деинсталляция пакетов поддержки национальных языков . . . . . . . . . . . . . . . . . . . 14

Переменные среды для локалей . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Переменная LANG и системы UNIX . . . . . . . . . . . . . . . . . . . . . . . . . 16

Переменная LANG и системы Windows . . . . . . . . . . . . . . . . . . . . . . . . 16

Использование вариантов локалей . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Каталоги сообщений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Поддержка кодировки текста (наборов кодовых символов) . . . . . . . . . . . . . . . . . . . 18

Местонахождение файлов наборов кодовых символов . . . . . . . . . . . . . . . . . . . 18

Глава 2. Конфигурирование реестров для Tivoli Access Manager . . . . . . . . . . 19

Обзор конфигурирования сервера LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . 19

© Copyright IBM Corp. 2001, 2003 iii

Конфигурирование IBM Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Конфигурирование iPlanet Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . 26

Конфигурирование Novell eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Добавление суффикса GSO для конфигурирования Tivoli Access Manager . . . . . . . . . . . . . . 30

Конфигурирование серверов защиты z/OS и OS/390 . . . . . . . . . . . . . . . . . . . . . . 31

Создание базы данных DB2 для внутреннего интерфейса TDBM . . . . . . . . . . . . . . . . . 31

Создание файла конфигурации LDAP для внутреннего интерфейса TDBM . . . . . . . . . . . . . . 32

Запуск сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Обновление и загрузка файлов схем . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Применение списков ACL к новым суффиксам LDAP . . . . . . . . . . . . . . . . . . . . . 33

Как включить репликацию LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Добавление раздела в файл конфигурации сервера реплики LDAP . . . . . . . . . . . . . . . . 34

Добавление объекта во внутренний интерфейс ведущего сервера LDAP . . . . . . . . . . . . . . 34

Конфигурирование Tivoli Access Manager для LDAP . . . . . . . . . . . . . . . . . . . . . 35

Администрирование пользователей собственной аутентификации . . . . . . . . . . . . . . . . . 35

Конфигурирование Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Замечания по Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Создание домена Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Присоединение к домену Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . 37

Создание администратора Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 40

Репликация Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Конфигурирование Lotus Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Установка клиента Lotus Notes на сервере Domino . . . . . . . . . . . . . . . . . . . . . . 42

Создание пользователя-администратора Tivoli Access Manager для Domino . . . . . . . . . . . . . . 42

Глава 3. Установка Tivoli Access Manager в AIX . . . . . . . . . . . . . . . . . . 45

Использование простой установки . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Использование собственной программы установки . . . . . . . . . . . . . . . . . . . . . . 47

Установка IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Установка IBM Directory Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Установка и конфигурирование компонентов Tivoli Access Manager . . . . . . . . . . . . . . . . 48

Установка среды JRE, соответствующей платформе . . . . . . . . . . . . . . . . . . . . . 49

Установка и конфигурирование Tivoli Access Manager Java Runtime Environment . . . . . . . . . . . . 49

Установка и конфигурирование системы Web Portal Manager . . . . . . . . . . . . . . . . . . 50

Установка IBM WebSphere Application Server, Advanced Single Server . . . . . . . . . . . . . . . 51

Установка IBM WebSphere Application Server FixPack 3 . . . . . . . . . . . . . . . . . . . 52

Деинсталляция Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Деконфигурирование компонентов Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . 53

Удаление пакетов Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . 54

Глава 4. Установка Tivoli Access Manager в HP-UX . . . . . . . . . . . . . . . . 55











Глава 5. Установка Tivoli Access Manager в Linux . . . . . . . . . . . . . . . . . 63

Использование простой установки (только в Red Hat Linux) . . . . . . . . . . . . . . . . . . . . 63






Установка и конфигурирование Tivoli Access Manager Java Runtime Environment (только в Red Hat Linux) . . . . 69

iv IBM Tivoli Access Manager: Руководство по установке базового пакета




Глава 6. Установка Tivoli Access Manager в Solaris . . . . . . . . . . . . . . . . 73














Глава 7. Установка Tivoli Access Manager в Windows . . . . . . . . . . . . . . . 83






Установка JRE для данной платформы . . . . . . . . . . . . . . . . . . . . . . . . . 89








Глава 8. Обновление продукта до Tivoli Access Manager версии 4.1 . . . . . . . . 97

Замечания по обновлению, касающиеся реестров LDAP . . . . . . . . . . . . . . . . . . . . . 97

Обновление сервера политики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Обновление сервера политики с использованием двух компьютеров . . . . . . . . . . . . . . . . . 99

Обновление других систем Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . 101

Как вернуться к использованию прежней версии сервера политики . . . . . . . . . . . . . . . . . 102

Восстановление прежней версии продукта . . . . . . . . . . . . . . . . . . . . . . . . . 103

Глава 9. Сценарии простой установки в UNIX . . . . . . . . . . . . . . . . . . 105

Настройка сервера IBM Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Настройка сервера политики Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 111

Настройка системы среды выполнения Tivoli Access Manager . . . . . . . . . . . . . . . . . . . 119

Настройка системы Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 124

Глава 10. Сценарии простой установки в Windows . . . . . . . . . . . . . . . 131

Настройка сервера IBM Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Настройка сервера политики Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 137

Настройка системы среды выполнения Tivoli Access Manager . . . . . . . . . . . . . . . . . . . 144

Настройка системы Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Глава 11. Использование файлов ответов при простой установке . . . . . . . . . 157

Создание файла ответов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Установка компонентов с помощью файла ответов . . . . . . . . . . . . . . . . . . . . . . 158

Примеры файлов ответов (ezinstall) . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Пример для UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Содержание v

Пример для Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

Примеры файлов ответов (install_pdrte) . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Пример для UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Пример для Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Опции файлов ответов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Опции файлов ответов для UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Опции файлов ответов для Windows . . . . . . . . . . . . . . . . . . . . . . . . . . 162

Приложение A. Как включить Secure Sockets Layer . . . . . . . . . . . . . . . 165

Конфигурирование IBM Directory Server для поддержки доступа SSL . . . . . . . . . . . . . . . . 165

Создание файла базы данных ключей и сертификата . . . . . . . . . . . . . . . . . . . . . 166

Получение личного сертификата от сертификатора . . . . . . . . . . . . . . . . . . . . . 167

Создание и извлечение самоподписанного сертификата . . . . . . . . . . . . . . . . . . . . 168

Как включить поддержку доступа SSL . . . . . . . . . . . . . . . . . . . . . . . . . 169

Конфигурирование сервера iPlanet Directory Server для поддержки доступа SSL . . . . . . . . . . . . . 171

Получение сертификата сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Установка сертификата сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . 172


Конфигурирование серверов LDAP OS/390 и z/OS для поддержки доступа SSL . . . . . . . . . . . . . 174

Как настроить параметры защиты . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Создание файла базы данных ключей . . . . . . . . . . . . . . . . . . . . . . . . . 175

Конфигурирование Novell eDirectory Server для поддержки доступа SSL . . . . . . . . . . . . . . . 176

Создание объекта сертификатора организации . . . . . . . . . . . . . . . . . . . . . . 177

Создание самоподписанного сертификата . . . . . . . . . . . . . . . . . . . . . . . . 177

Создание сертификата сервера для сервера LDAP . . . . . . . . . . . . . . . . . . . . . . 178

Как включить SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

Добавление самоподписанного сертификата в файл ключей IBM . . . . . . . . . . . . . . . . . 179

Конфигурирование клиента IBM Directory для поддержки доступа SSL . . . . . . . . . . . . . . . . 179


Добавление сертификата подписавшего . . . . . . . . . . . . . . . . . . . . . . . . . 181

Проверка доступа SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

Конфигурирование аутентификации сервера LDAP и клиента . . . . . . . . . . . . . . . . . . . 182


Получение личного сертификата от сертификатора . . . . . . . . . . . . . . . . . . . . . 183

Создание и извлечение самоподписанного сертификата . . . . . . . . . . . . . . . . . . . . 184

Добавление сертификата подписавшего . . . . . . . . . . . . . . . . . . . . . . . . . 185

Проверка доступа SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

Как включить поддержку SSL для Domino . . . . . . . . . . . . . . . . . . . . . . . . . 187

Создание файла цепи ключей SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . 187


Приложение B. Справочник по конфигурированию Tivoli Access Manager . . . . . 189

Параметры конфигурации собственной программы установки в UNIX . . . . . . . . . . . . . . . . 189

Среда выполнения (Tivoli Access Manager Runtime) . . . . . . . . . . . . . . . . . . . . . 189


Сервер авторизации (Tivoli Access Manager Authorization Server) . . . . . . . . . . . . . . . . . 191

Параметры конфигурации собственной программы установки в Windows . . . . . . . . . . . . . . . 192

Среда выполнения (Tivoli Access Manager Runtime) . . . . . . . . . . . . . . . . . . . . . 192

Реестр LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

Lotus Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194


Сервер авторизации (Tivoli Access Manager Authorization Server) . . . . . . . . . . . . . . . . . 195

Порты по умолчанию . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

Приложение C. Справочник по конфигурированию LDAP в OS/390 и z/OS . . . . . 197

Пример конфигурирования LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

Пример базы данных DB2 и сценария табличного пространства для SPUFI . . . . . . . . . . . . . . 198

Пример сценария индекса DB2 для SPUFI . . . . . . . . . . . . . . . . . . . . . . . . . 204

Пример пакетного задания привязки CLI . . . . . . . . . . . . . . . . . . . . . . . . . 206

vi IBM Tivoli Access Manager: Руководство по установке базового пакета

Пример файла инициализации CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

Приложение D. Common Criteria . . . . . . . . . . . . . . . . . . . . . . . . 209

Политика защиты для Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . 209

Базовая политика защиты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

Системная политика защиты . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

Сетевая политика Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . 211

Допущения, касающиеся особенностей работы пользователей . . . . . . . . . . . . . . . . . 212

Установка и конфигурирование, совместимые с оценкой CC . . . . . . . . . . . . . . . . . . . 212

Как установить Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . 212

Защита WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Конфигурирование механизмов аутентификации WebSEAL . . . . . . . . . . . . . . . . . . 213

Выбор поддерживаемых наборов шифров . . . . . . . . . . . . . . . . . . . . . . . . 214

Конфигурирование аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

Другие функции WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

Политики регистрации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

Политика паролей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

Управление криптографическими ключами . . . . . . . . . . . . . . . . . . . . . . . . 215

CC-совместимые файлы конфигурации . . . . . . . . . . . . . . . . . . . . . . . . . . 215

Приложение E. Замечания . . . . . . . . . . . . . . . . . . . . . . . . . . 217

Лицензия на XML Parser Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219

Лицензия на Встраиваемые Модули Аутентификации . . . . . . . . . . . . . . . . . . . . . 219

Apache Axis Servlet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220

JArgs Command Line Option Parsing Suite for Java . . . . . . . . . . . . . . . . . . . . . . . 221

Реализация Java DOM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

Товарные знаки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

Глоссарий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

Индекс . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

Содержание vii

viii IBM Tivoli Access Manager: Руководство по установке базового пакета

Предисловие

IBM® Tivoli® Access Manager (Tivoli Access Manager) - это базовое программное

средство, необходимое для запуска приложений, входящих в комплект продуктов

IBM Tivoli Access Manager. Оно обеспечивает интеграцию приложений IBM Tivoli

Access Manager, представляющих собой различные решения в области авторизации и

управления. Эти продукты, поставляемые в виде интегрированного решения,

обеспечивают управление доступом при использовании централизованной политики

защиты сети и приложений для приложений электронного бизнеса.

Примечание: IBM Tivoli Access Manager - это новое название программы, ранее

выпускавшейся под названием Tivoli SecureWay® Policy Director. Кроме

того, (это заметят пользователи, знакомые с программой Tivoli

SecureWay Policy Director и ее документацией) вместо термина

Management Server (Сервер управления) теперь используется термин

Policy Server (Сервер политики).

В Руководстве по установке пакета IBM Tivoli Access Manager Base рассказывается, как

установить, сконфигурировать и обновить базовые программные средства Tivoli

Access Manager.

Для кого предназначена эта книга

Это руководство предназначено для администраторов, отвечающих за установку и

внедрение IBM Tivoli Access Manager.

Читатели должны быть знакомы со следующими вопросами:

v Персональные компьютеры и операционные системы UNIX®

v Архитектура и концепции баз данных

v Управление защитой

v Интернет-протоколы, включая HTTP, TCP/IP, FTP и Telnet

v Lightweight Directory Access Protocol (LDAP) и службы каталогов

v Поддерживаемый реестр

v Аутентификация и авторизация

Если вы собираетесь использовать соединение SSL (Secure Sockets Layer), вы также

должны быть знакомы с протоколом SSL, обменом ключами (открытым и

секретным), цифровыми подписями, криптографическими алгоритмами и гарантами

сертификатов.

Что содержится в данной книге

В этом руководстве содержатся следующие разделы:

v Глава 1, “Обзор информации по установке Tivoli Access Manager”, на стр. 1

Здесь описаны компоненты Tivoli Access Manager, рассматриваются процедуры

простой и собственной установки, а также шаги, которые нужно выполнить, чтобы

настроить защищенный домен Tivoli Access Manager. В этой главе также

рассказывается, как установить пакеты поддержки национальных языков, чтобы

обеспечить поддержку Tivoli Access Manager в средах с языками помимо

английского.

v Глава 2, “Конфигурирование реестров для Tivoli Access Manager”, на стр. 19

© Copyright IBM Corp. 2001, 2003 ix

Эта глава посвящена установке и конфигурированию поддерживаемых реестров

для использования в сочетании с Tivoli Access Manager.

v Глава 3, “Установка Tivoli Access Manager в AIX”, на стр. 45

v Глава 4, “Установка Tivoli Access Manager в HP-UX”, на стр. 55

v Глава 5, “Установка Tivoli Access Manager в Linux”, на стр. 63

v Глава 6, “Установка Tivoli Access Manager в Solaris”, на стр. 73

v Глава 7, “Установка Tivoli Access Manager в Windows”, на стр. 83

В этой главе приводятся инструкции по установке и конфигурированию

компонентов Tivoli Access Manager с использованием сценариев простой установки

или собственных утилит операционной системы. Также приводятся инструкции по

деконфигурированию и удалению компонентов Tivoli Access Manager.

v Глава 8, “Обновление продукта до Tivoli Access Manager версии 4.1”, на стр. 97

Здесь описано обновление защищенного домена Tivoli Access Manager 3.8 или 3.9

до уровня IBM Tivoli Tivoli Access Manager версии 4.1.

v Глава 9, “Сценарии простой установки в UNIX”, на стр. 105

Здесь содержатся пошаговые инструкции по установке и конфигурированию систем

Tivoli Access Manager в UNIX с использованием файлов простой установки и

приводятся соответствующие иллюстрации.

v Глава 10, “Сценарии простой установки в Windows”, на стр. 131

Здесь содержатся пошаговые инструкции по установке и конфигурированию систем

Tivoli Access Manager в Windows с использованием файлов простой установки и

приводятся соответствующие иллюстрации.

v Глава 11, “Использование файлов ответов при простой установке”, на стр. 157

В этой главе описывается, как с использование файлов ответов производить

установку компонентов Tivoli Access Manager (поддерживаемых сценариями

простой установки) в ″немом″ режиме, без участия оператора.

v Приложение A, “Как включить Secure Sockets Layer”, на стр. 165

Здесь рассказывается, как включить поддержку шифрования SSL для обеспечения

защиты при обмене информацией между сервером LDAP и клиентами IBM

Directory. В этой главе также приводятся инструкции по включению поддержки SSL

для связи между сервером Lotus Domino и клиентами IBM Directory.

v Приложение B, “Справочник по конфигурированию Tivoli Access Manager”, на стр.

189

Эта глава содержит описания опций конфигурации, которые вас попросят ввести

при конфигурировании компонентов Tivoli Access Manager при использовании

собственных утилит установки.

v Приложение C, “Справочник по конфигурированию LDAP в OS/390 и z/OS”, на стр.

197

Здесь находится справочная информация по конфигурированию серверов OS/390

или z/OS Security Server для использования в сочетании с Tivoli Access Manager.

v Приложение D, “Common Criteria”, на стр. 209

v Приложение E, “Замечания”, на стр. 217

v “Глоссарий” на стр. 225

x IBM Tivoli Access Manager: Руководство по установке базового пакета

Публикации

В библиотеку Tivoli Access Manager входят следующие категории публикаций:

v “Информация о данном выпуске”

v “Основная информация”

v “Информация по WebSEAL”

v “Информация по защите Web”

v “Справочная информация для разработчиков” на стр. xii

v “Дополнительная техническая информация” на стр. xii

Информация о данном выпуске

v IBM Tivoli Access Manager - Прочесть в первую очередь

GI11-4198-00 (am41_readme.pdf)

В этом документе содержатся сведения о том, как установить Tivoli Access Manager

и начать работу с ним.

v IBM Tivoli Access Manager Release Notes

SC32-1130-00 (am41_relnotes.pdf)

Этот документ содержит самую свежую информацию (в частности, ограничения

программных средств, обходные пути и обновления документации).

Основная информация

v Руководство по установке пакета IBM Tivoli Access Manager BaseSC43-0265-01 (am41_install.pdf)

В этой публикации рассказывается, как устанавливать, конфигурировать и

обновлять программу Tivoli Access Manager, включая интерфейс Web Portal

Manager.

v IBM Tivoli Access Manager Base Administrator’s Guide

SC32-1132-01 (am41_admin.pdf)

В этой публикации описаны основные понятия и процедуры, связанные с

использованием служб Tivoli Access Manager. В ней содержатся инструкции по

выполнению задач из интерфейса Web Portal Manager и с помощью команды

pdadmin.

Информация по WebSEAL

v Руководство по установке IBM Tivoli Access Manager WebSEAL

SC43-0266-01 (amweb41_install.pdf)

В этой публикации приводятся инструкции по установке, конфигурированию и

деинсталляции сервера WebSEAL и комплекта разработки приложений (Application

Development Kit - ADK) WebSEAL.

v IBM Tivoli Access Manager WebSEAL Administrator’s Guide

SC32-1134-01 (amweb41_admin.pdf)

В этой публикации содержится базовый материал, описание операций

администрирования и техническая справочная информация по управлению

ресурсами защищенного домена Web с помощью WebSEAL.

Информация по защите Web

v Руководство пользователя IBM Tivoli Access Manager for WebSphere Application

Server

SC43-0267-01 (amwas41_user.pdf)

Предисловие xi

В этой публикации приводятся инструкции по установке, деинсталляции и

администрированию Tivoli Access Manager for IBM WebSphere® Application Server.

v Руководство пользователя IBM Tivoli Access Manager for WebLogic Server

SC43-0268-01 (amwls41_user.pdf)

В этой публикации приводятся инструкции по установке, деинсталляции и

администрированию Tivoli Access Manager for BEA WebLogic Server.

v IBM Tivoli Access Manager Plug-in for Edge Server User’s Guide

SC32-1138-01 (amedge41_user.pdf)

В этой публикации описываются установка, конфигурирование и

администрирование модуля Plug-in для приложения IBM WebSphere Edge Server.

v IBM Tivoli Access Manager Plug-in for Web Servers User’s GuideSC32-1139-01 (amws41_user.pdf)

В этой публикации приводятся инструкции по установке, процедуры

администрирования и техническая справочная информация о защите вашего

домена Web с использованием модуля Plug-in для Web-серверов.

Справочная информация для разработчиков

v IBM Tivoli Access Manager Authorization C API Developer’s ReferenceSC32-1140-01 (am41_authC_devref.pdf)

В этой публикации собран справочный материал, описывающий использование

API авторизации Tivoli Access Manager на языке C и интерфейса модуля Plug-in

службы Access Manager, что позволяет добавлять в приложения защиту Tivoli

Access Manager.

v IBM Tivoli Access Manager Authorization Java Classes Developer’s Reference

SC32-1141-01 (am41_authJ_devref.pdf)

Содержит справочную информацию по реализации API авторизации на языке

Java™, которая обеспечивает для приложений возможность использования защиты

Tivoli Access Manager.

v IBM Tivoli Access Manager Administration C API Developer’s ReferenceSC32-1142-01 (am41_adminC_devref.pdf)

Содержит справочную информацию по применению API администрирования,

который обеспечивает выполнение приложением задач по администрированию

Tivoli Access Manager. В этом документе описана реализация API

администрирования на языке C.

v IBM Tivoli Access Manager Administration Java Classes Developer’s Reference

SC32-1143-01 (am41_adminJ_devref.pdf)

Содержит справочную информацию по реализации API администрирования на

языке Java для выполнения приложением задач по администрированию Tivoli

Access Manager.

v IBM Tivoli Access Manager WebSEAL Developer’s Reference

SC32-1135-01 (amweb41_devref.pdf)

В этой публикации содержатся сведения по администрированию и

программированию Cross-Domain Authentication Service (CDAS), Cross-Domain

Mapping Framework (CDMF) и Password Strength Module.

Дополнительная техническая информация

v IBM Tivoli Access Manager Command ReferenceGC32-1107-01 (am41_cmdref.pdf)

В этой публикации содержится информация о поставляемых вместе с Tivoli Access

Manager утилитах командной строки и сценариях.

xii IBM Tivoli Access Manager: Руководство по установке базового пакета

v IBM Tivoli Access Manager Error Message ReferenceSC32-1144-01 (am41_error_ref.pdf)

В этой публикации приводятся пояснения к сообщениям Tivoli Access Manager и

описываются рекомендуемые действия.

v IBM Tivoli Access Manager Problem Determination GuideGC32-1106-01 (am41_pdg.pdf)

В этой публикации дана информация по диагностике неполадок при работе с Tivoli

Access Manager.

v IBM Tivoli Access Manager Performance Tuning Guide

SC32-1145-01 (am41_perftune.pdf)

Содержит информацию по настройке производительности для среды, в которую

входят Tivoli Access Manager и сервер IBM Directory Server, сконфигурированный в

качестве пользовательского реестра.

Прочие публикации

В этом разделе перечислены прочие публикации, относящиеся к библиотеке Tivoli

Access Manager.

Библиотека программных средств Tivoli (Tivoli Software Library) включает в себя

различные публикации Tivoli - оригинальные статьи, информационные листки,

демонстрационные материалы, технические публикации и письма с объявлениями.

Tivoli Software Library находится в Web по адресу:

http://www.ibm.com/software/tivoli/library/

Tivoli Software Glossary (Глоссарий программных средств Tivoli) содержит

определения многих технических терминов, связанных с программными средствами

Tivoli. Публикация Tivoli Software Glossary представлена только на английском языке,

и ее можно найти, воспользовавшись ссылкой Glossary в левой части Web-страницы

Tivoli Software Library (http://www.ibm.com/software/tivoli/library/)

IBM Global Security Toolkit

Шифрование данных в Tivoli Access Manager обеспечивается за счет использования

IBM Global Security Toolkit (GSKit). GSKit поставляется на компакт-диске IBM Tivoli

Access Manager Base для вашей платформы.

Пакет GSKit устанавливает утилиту управления ключами iKeyman, gsk5ikm, которая

позволит вам создавать базы данных ключей, пары открытый ключ/секретный ключ

и запросы о выдаче сертификатов. Нижеследующий документ находится на

Web-сайте Информационного центра Tivoli в том же разделе, что и документация по

продукту IBM Tivoli Access Manager:

v Secure Sockets Layer Introduction and iKeyman User’s Guide

(gskikm5c.pdf)

В этой публикации приводится информация для администраторов защиты сети и

систем, которые собираются применять связь SSL в среде Tivoli Access Manager.

IBM DB2 Universal Database

Продукт IBM DB2® Universal Database™ необходим для установки серверов LDAP

IBM Directory Server, z/OS™, и OS/390®. DB2 поставляется на компакт-дисках

продукта для следующих платформ операционных систем:

v IBM AIX®

v Microsoft™ Windows™

v Sun Solaris Operating Environment

Предисловие xiii



Информацию по DB2 можно найти на Web-сайте

http://www.ibm.com/software/data/db2/

IBM Directory Server

IBM Directory Server, Version 4.1, поставляется на компакт-диске IBM Tivoli Access

Manager Base для всех платформ, за исключением Linux for zSeries™. Получить

программу IBM Directory Server для Linux for S/390 можно на Web-сайте

http://www.ibm.com/software/network/directory/server/download/

Если вы собираетесь использовать IBM Directory Server как пользовательский реестр,

смотрите информацию на сайте:

http://www.ibm.com/software/network/directory/library/

IBM WebSphere Application Server

IBM WebSphere Application Server, Advanced Single Server Edition 4.0.3, находится на

компакт-дисках Web Portal Manager и устанавливается вместе с интерфейсом Web

Portal Manager. Информацию по IBM WebSphere Application Server смотрите на сайте:

http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM Tivoli Access Manager for Business Integration

Продукт IBM Tivoli Access Manager for Business Integration поставляется как отдельно

заказываемый продукт и представляет собой решение по защите сообщений IBM

MQSeries®, Version 5.2 и WebSphere® MQ Version 5.3. IBM Tivoli Access Manager for

Business Integration обеспечивает секретность и целостность данных, пересылаемых

приложениями WebSphere MQSeries, за счет использования ключей, связанных с

приложениями, обеспечивающими отправку и прием сообщений. Подобно WebSEAL

и IBM Tivoli Access Manager for Operating Systems, IBM Tivoli Access Manager for

Business Integration является одним из диспетчеров ресурсов, использующим службы

авторизации IBM Tivoli Access Manager for e-business.

На Web-сайте Информационного центра Tivoli представлена следующая

документация по IBM Tivoli Access Manager for Business Integration Version 4.1:

v IBM Tivoli Access Manager for Business Integration Administrator’s Guide

(SC23-4831-00)

v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-00)

v IBM Tivoli Access Manager for Business Integration Read Me First (GI11-0958-00)

IBM Tivoli Access Manager for Operating Systems

IBM Tivoli Access Manager for Operating Systems поставляется как отдельно

заказываемый продукт и обеспечивает уровень применения политики авторизации в

системах UNIX в дополнение к уровню, обеспечиваемому самой операционной

системой. Подобно WebSEAL и IBM Tivoli Access Manager for Business Integration,

IBM Tivoli Access Manager for Operating Systems является одним из диспетчеров

ресурсов, использующим службы авторизации IBM Tivoli Access Manager for

e-business.

На Web-сайте Информационного центра Tivoli представлена следующая

документация по IBM Tivoli Access Manager for Operating Systems Version 4.1:

v IBM Tivoli Access Manager for Operating Systems Installation Guide (SC23-4829-00)

v IBM Tivoli Access Manager for Operating Systems Administration Guide (SC23-4827-00)

xiv IBM Tivoli Access Manager: Руководство по установке базового пакета

http://www.ibm.com/software/data/db2/



http://www.ibm.com/software/webservers/appserv/infocenter.html

v IBM Tivoli Access Manager for Operating Systems Problem Determination Guide

(SC23-4828-00)

v IBM Tivoli Access Manager for Operating Systems Release Notes (GI11-0951-00)

v IBM Tivoli Access Manager for Operating Systems Read Me First (GI11-0949-00)

Как получить доступ к электронным публикациям

Публикации по данному продукту представлены в сети в формате PDF (Portable

Document Format) и/или HTML (Hypertext Markup Language), и доступ к ним можно

получить со страницы Tivoli Software Library: http://www.ibm.com/software/tivoli/library

Чтобы найти в этой библиотеке публикации по тому или иному продукту, щелкните

по ссылке Product manuals (Руководства по продуктам) в левой части страницы Tivoli

Software Library. Затем найдите на странице информационного центра программных

средств Tivoli (Tivoli Software Information Center) название нужного продукта и

щелкните по нему.

В число публикаций по продукту входят замечания по выпуску, руководства по

установке, руководства пользователей, руководства администраторов и справочники

разработчиков.

Примечание: Чтобы обеспечить правильную печать PDF-публикаций, нужно выбрать

переключатель Fit to page (Уместить на странице) в диалоговом окне

Adobe Acrobat Print (Печать Adobe Acrobat) (это диалоговое окно

появится, когда вы щелкнете по File→ Print (Файл → Печать)).

Специальные возможности

Специальные возможности - это функции, которые помогают пользователям с

физическими недостатками (например, с нарушениями опорно-двигательного

аппарата или зрения) работать с программными продуктами. В данном продукте

могут применяться вспомогательные технологии, позволяющие работать с

интерфейсом на слух. Также можно управлять графическим пользовательским

интерфейсом не с помощью мыши, а с помощью клавиатуры.

Как обратиться в службу поддержки программ

Прежде чем обращаться в службу поддержки программных средств IBM Tivoli (IBM

Tivoli Software Support) по поводу неполадок, попробуйте найти ответы на свои

вопросы на Web-сайте IBM Tivoli Software Support по адресу:

http://www.ibm.com/software/sysmgmt/products/support/

Если вам потребуется дополнительная помощь, обратитесь в службу поддержки

программных средств, воспользовавшись одним из способов, описанных в

руководстве IBM Software Support Guide на Web-сайте:

http://techsupport.services.ibm.com/guides/handbook.html

В этом руководстве содержится следующая информация:

v Как зарегистрироваться, и какие у вас имеются права на получение поддержки

v Номера телефонов и адреса электронной почты в зависимости от того, в какой

стране вы находитесь

v Перечень информации, которую нужно собрать перед обращением в службу

поддержки заказчиков

Предисловие xv


http://www.ibm.com/software/sysmgmt/products/support/

http://techsupport.services.ibm.com/guides/handbook.html

Условные обозначения, используемые в этой книге

В данном справочнике используется ряд обозначений для выделения специальных

терминов и действий, а также команд операционной системы и путей.

Выделение в тексте

В данном справочнике используются следующие способы выделения текста:

Полужирный

Команды, состоящие из символов в нижнем или смешанном регистре,

которые трудно отличить от окружающего их текста, ключевые слова,

параметры, опции, имена классов и объектов Java выделены полужирным.

Курсив Переменные, названия публикаций, а также отдельные слова или фразы,

которые автор хочет подчеркнуть, выделены курсивом.

Моноширинный шрифт

Примеры кода, командные строки, выводимая на экран информация, имена

файлов и каталогов, которые трудно отличить от окружающего их текста,

системные сообщения, текст, который может вводить пользователь, значения

аргументов и опции команд выделены моноширинным шрифтом.

Особенности работы в разных операционных системах

В этой книге в описаниях переменных среды и названий каталогов используются

условные обозначения, принятые в UNIX. Если вы работаете в Windows, то, задавая в

командной строке переменные среды, заменяйте $имя_переменной на

%имя_переменной%, а указывая пути каталогов - заменяйте прямую косую черту (/)

на обратную косую черту (\). Если вы используете оболочку bash в системе Windows,

можете применять условные обозначения UNIX.

xvi IBM Tivoli Access Manager: Руководство по установке базового пакета

Глава 1. Обзор информации по установке Tivoli Access

Manager

Прежде чем приступать к установке IBM Tivoli Access Manager, вы должны

ознакомиться с его компонентами и опциями установки. В этой главе содержатся

следующие разделы:

v “Планирование внедрения”

v “Обзор защищенных доменов” на стр. 2

v “Компоненты установки” на стр. 3

v “Инструкции по установке” на стр. 6

v “Интернационализация” на стр. 10

Внимание

Информацию о требованиях к системе, поддерживаемых реестрах и

необходимых продуктах смотрите в документе IBM Tivoli Access Manager

Release Notes.

Планирование внедрения

Прежде чем приступать к реализации конкретного решения Tivoli Access Manager,

следует выяснить, какие функции защиты и управления необходимы для вашей сети.

Первый шаг при планировании внедрения защищенной среды Tivoli Access Manager -

это определить, какие требования к защите предъявляет ваша вычислительная среда.

Определить требования к защите - означает сформулировать правила

бизнес-политики, действующие в отношении пользователей, программ и данных. При

этом необходимо определить следующее:

v Какие объекты следует защитить

v Какие действия разрешено производить с каждым из объектов

v Каким пользователям разрешено выполнять эти действия

Чтобы применить политику защиты, нужно представлять себе структуру потока

запросов о предоставлении доступа в топологии вашей сети. Для этого нужно

правильно обозначить роли и определить местонахождение брандмауэров,

маршрутизаторов и подсетей. При внедрении защищенной среды Tivoli Access

Manager (ее называют защищенным доменом) также необходимо выявить

оптимальные точки в сети для установки программы, которая будет производить

анализ запросов пользователей о предоставлении доступа и давать соответствующие

разрешения или отказывать в предоставлении таких разрешений на доступ.

Для реализации политики защиты необходимо знать число пользователей и объемы

данных в сети, а также ее пропускную способность. Также нужно оценить

характеристики производительности, масштабируемости и требования к

отказоустойчивости. Кроме того, следует учесть возможности интеграции Tivoli

Access Manager с уже имеющимися у вас программами, базами данных и

приложениями.

© Copyright IBM Corp. 2001, 2003 1

После того как вы поймете, какие функции вам нужно внедрить, вы сможете решить,

какие компоненты и приложения Tivoli Access Manager можно скомбинировать,

чтобы наилучшим образом реализовать вашу политику защиты.

Полезную документацию по планированию и бизнес-сценарии смотрите на

следующих Web-сайтах:

www.ibm.com/redbooks

http://www-3.ibm.com/software/sysmgmt/products/ support/Field_Guides_Technical.html

Обзор защищенных доменов

Вычислительная среда, в которой Tivoli Access Manager применяет вашу политику

защиты для аутентификации, авторизации и управления доступом, называется

защищенным доменом. В защищенном домене общими являются реестр и служба

авторизации, которая состоит из базы данных авторизации и механизма

авторизации. Эти центральные компоненты необходимы продукту Tivoli Access

Manager для выполнения таких ключевых операций, как предоставление или отказ в

предоставлении пользователям доступа к защищенным объектам (ресурсам). Все

остальные службы и компоненты Tivoli Access Manager строятся на этом фундаменте.

На рис. 1 представлены системы в типичном защищенном домене. Для наглядности

на этом рисунке показано по одному компьютеру для каждого типа установки —

один реестр пользователей, один сервер политики, один сервер авторизации и т.п.

Имейте в виду, что вы можете внедрить Tivoli Access Manager на нескольких

компьютерах, как показано на рисунке, либо можете установить все программные

средства, необходимые для того, чтобы сконфигурировать и использовать

защищенный домен, на автономном компьютере. Установка на одном компьютере

полезна при создании прототипа для внедрения или разработки и тестирования

приложения. После построения среды вы сможете установить в существующем

защищенном домене такие дополнительные системы, как клиенты среды выполнения

или систему разработки приложений.

Рисунок 1. Пример систем в защищенном домене

Планирование защиты

2 IBM Tivoli Access Manager: Руководство по установке базового пакета

В Табл. 1 перечислены обязательные и дополнительные компоненты систем Tivoli

Access Manager (смотрите рис. 1 на стр. 2). Описание этих компонентов смотрите в

разделе “Компоненты установки”

Таблица 1. Системные компоненты Tivoli Access Manager

Система Необходимые компоненты

Tivoli Access Manager- Сервер политики

v IBM Global Security Toolkit

v IBM Directory Client *

v Tivoli Access Manager Runtime Environment

v Tivoli Access Manager Policy Server

Tivoli Access Manager- Система среды выполнения




Tivoli Access Manager- Система разработки




v Tivoli Access Manager Application Development Kit

v Tivoli Access Manager Java Runtime Environment

Tivoli Access Managerсервер авторизации




v Tivoli Access Manager Authorization Server

Tivoli Access ManagerJava Runtime Environment


v JRE для данной платформы

Tivoli Access ManagerWeb Portal Manager




v IBM WebSphere Application Server, Advanced Single Server

4.0 и FixPack 3

v Tivoli Access Manager Web Portal Manager


* Если вы собираетесь в качестве реестра установить Active Directory, то

устанавливать IBM Directory Client на компьютерах с Tivoli Access Manager в вашем

защищенном домене не нужно.

Компоненты установки

В этом разделе представлены базовые компоненты, которые, как правило, являются

общими для всех установок Tivoli Access Manager.

Реестр пользователей

Реестр пользователей необходим продукту Tivoli Access Manager для поддержки

функций авторизации. В реестре содержится база данных с идентификационной

информацией о пользователях, известных программе Tivoli Access Manager. В нем

также содержится отображение групп в роли Tivoli Access Manager, которые можно

связывать с пользователями.


Глава 1. Обзор информации по установке Tivoli Access Manager 3

Информацию о поддерживаемых реестрах смотрите в документе IBM Tivoli Access

Manager Release Notes.

IBM Directory Client

IBM Directory Client поддерживает все реестры Tivoli Access Manager кроме Active

Directory. Этот клиент нужно установить и сконфигурировать на каждом компьютере,

на котором работает Tivoli Access Manager, за следующими исключениями:

v IBM Directory Client не нужно устанавливать в системах, где в качестве реестра

Tivoli Access Manager используется Active Directory.

v IBM Directory Client не нужно устанавливать в системах со средой выполнения

Tivoli Access Manager Java Runtime Environment.

IBM Directory Client поставляется вместе с IBM Directory на компакт-диске IBM Tivoli

Access Manager Base для вашей платформы. В этот пакет установки входят два

графических пользовательских интерфейса (Graphical User Interfaces - GUI).

Интерфейс управления серверами (Server Administration) на основе Web позволяет

выполнять задачи по управлению серверами и базами данных для IBM Directory

Server. Средство управления каталогами (Directory Management Tool - DMT) позволяет

просматривать и изменять содержащуюся в каталоге информацию, например,

определения схем, дерево каталогов и записи с данными. Подробную информацию по

каждому из этих интерфейсов можно найти в соответствующих системах

электронной справки.

Примечание: В системах Linux for zSeries Web-интерфейс управления серверами

(Server Administration) не поддерживается.

IBM Global Security Toolkit

Шифрование данных в Tivoli Access Manager обеспечивается за счет использования

IBM Global Security Toolkit (GSKit).Утилита управления ключами iKeyman (gsk5ikm)

устанавливается вместе с пакетом GSKit, что позволит вам создавать базы данных

ключей, пары открытый ключ/секретный ключ и запросы о выдаче сертификатов.

Информацию о том, как с помощью этой утилиты включить поддержку связи SSL,

смотрите в руководстве Secure Sockets Layer Introduction and iKeyman User’s Guide и в

разделе Приложение A, “Как включить Secure Sockets Layer”, на стр. 165.

Tivoli Access Manager Policy Server

Сервер политики (Tivoli Access Manager Policy Server), который в предыдущих версиях

продукта именовался сервером управления (Management Server), обеспечивает

поддержку главной базы данных авторизации в защищенном домене. Этот сервер

является ключом к обработке запросов, связанных с управлением доступом,

аутентификацией и авторизацией. Он также производит обновление реплик базы

данных авторизации и обрабатывает информацию о местонахождении других

серверов Tivoli Access Manager в защищенном домене.

В одном защищенном домене одновременно может быть только один экземпляр

сервера политики и его главной базы данных авторизации. Чтобы повысить

доступность, резервный сервер можно сконфигурировать так, чтобы в случае

системного сбоя он брал на себя функции сервера политики.



Сервер авторизации (Tivoli Access Manager Authorization

Server)

Сервер авторизации (Authorization Server) выгружает с сервера политики решения по

управлению доступом и авторизации. На нем хранится реплика базы данных

политики авторизации, и он служит механизмом оценки при принятии решений по

авторизации. Отдельный сервер авторизации также обеспечивает доступ к службу

авторизации приложениям третьих сторон, которые используют API авторизации

Tivoli Access Manager в режиме дистанционного кэширования. Это необязательный

компонент.

Tivoli Access Manager Java Runtime Environment

Среда выполнения Tivoli Access Manager Java Runtime Environment обеспечивает

надежную среду для разработки и внедрения Java-приложений в защищенном домене

Tivoli Access Manager. С помощью этой среды можно добавлять службы авторизации

и защиты Tivoli Access Manager к новым или существующим Java-приложениям.

Учтите, что перед установкой этого компонента вы должны будете установить JRE

для используемой вами платформы.

В отличие от других компонентов Tivoli Access Manager, Tivoli Access Manager Java

Runtime Environment необходимо сконфигурировать с помощью команды pdjrtecfg,

чтобы на вашем компьютере использовалась нужная JRE. Если потребуется, можно

на одном и том же компьютере сконфигурировать Tivoli Access Manager Java Runtime

Environment для работы с несколькими разными JRE.

Учтите, что если вы собираетесь установить интерфейс Web Portal Manager, данный

компонент обязателен. Он также потребуется для Tivoli Access Manager ADK, если вы

- разработчик и используете классы Tivoli Access Manager Java Runtime Environment.

Дополнительную информацию смотрите в публикациях IBM Tivoli Access Manager

Administration Java Classes Developer’s Reference и IBM Tivoli Access Manager

Authorization Java Classes Developer’s Reference.

Среда выполнения (Tivoli Access Manager Runtime)

Компонент Tivoli Access Manager Runtime Environment (среда выполнения Access

Manager) содержит библиотеки среды выполнения и файлы поддержки, которые

могут использоваться приложениями для доступа к серверам Tivoli Access Manager.

Компонент Tivoli Access Manager Runtime Environment или Tivoli Access Manager Java

Runtime Environment нужно установить на каждом компьютере в вашем защищенном

домене.

Tivoli Access Manager Web Portal Manager

Web Portal Manager - это основанный на Web графический пользовательский

интерфейс (Graphical User Interface - GUI), используемый для администрирования

Tivoli Access Manager. Аналогично интерфейсу командной строки pdadmin, это

графический пользовательский интерфейс обеспечивает управление пользователями,

группами, ролями, разрешениями и правилами политики, с также выполнение других

задач Tivoli Access Manager. Основное преимущество состоит в том, что эти задачи

можно выполнять дистанционно, и никакого специального конфигурирования сети

при этом не требуется.

В Web Portal Manager также входит набор служб делегированного управления,

которые позволяют делегировать администрирование пользователей, групп и ролей,

администрирование защиты и предоставление доступа к приложениям участникам

(субдоменам) бизнес-системы. Эти субдомены могут, в свою очередь, делегировать



функции управления и администрирования доверенным субдоменам под своим

контролем, благодаря чему обеспечивается поддержка многоуровневого

делегирования и иерархии управления на основе ролей.

Данный продукт поставляется отдельно на компакт-диске IBM Tivoli Access Manager

Web Portal Manager и выпускается для платформ AIX, Solaris Operating Environment

(именуемой ниже Solaris) и Windows. Это необязательный компонент.

Tivoli Access Manager Application Development Kit

ADK обеспечивает среду разработки, которая позволяет запрограммировать

приложения третьих сторон на запрос решений по авторизации с сервера

авторизации. В ADK имеется поддержка использования C API и классов Java для

функций авторизации и администрирования. Это необязательный компонент.

Инструкции по установке

Чтобы установить системы или компоненты Tivoli Access Manager, выполните

следующие основные шаги:

1. Спланируйте внедрение Tivoli Access Manager. Вы должны хорошо представлять

себе требования к системе бизнес-защиты, которую вы собираетесь обеспечить

путем внедрения Tivoli Access Manager. Дополнительную информацию смотрите в

разделе “Планирование внедрения” на стр. 1.

2. Обязательно прочтите и выполните все требования к программным средствам,

приведенные в документе IBM Tivoli Access Manager Release Notes.

3. Решите, какую комбинацию компонентов Tivoli Access Manager вы хотите

установить. Дополнительную информацию смотрите в разделе “Обзор

защищенных доменов” на стр. 2.

4. Выберите опцию установки, указанную в разделе Табл. 2, и следуйте

инструкциям.

Таблица 2. Опции установки

Опция Назначение Инструкции

Простая установка Позволяет быстро установить и

сконфигурировать одну или несколько

систем Tivoli Access Manager в защищенном

домене.

Смотрите раздел

“Инструкции по простой

установке”.

Собственная

установка

Позволяет провести установку и

конфигурирование компонентов Tivoli

Access Manager с использованием

собственных утилит операционной системы.


“Инструкции по

собственной установке”

на стр. 7.

Обновление Используется для обновления продуктов

Tivoli SecureWay Policy Director Version 3.8

или Tivoli Access Manager 3.9.


Глава 8, “Обновление

продукта до Tivoli Access

Manager версии 4.1”, на

стр. 97.

Инструкции по простой установке

Чтобы установить и сконфигурировать системы Tivoli Access Manager в защищенном

домене с помощью простой установки, выполните следующие основные шаги:

1. Ознакомьтесь с разделом ″Использование простой установки″ для используемой

вами платформы. Убедитесь, что для платформы, на которой вы собираетесь

установить систему Tivoli Access Manager, существуют соответствующие

программы простой установки.



2. Если вы хотите, чтобы информация о состоянии и сообщения выводились не

по-английски (английский язык используется по умолчанию), то до запуска

сценариев простой установки нужно установить пакет поддержки нужного вам

языка (Language Pack). Инструкции смотрите в разделе “Установка пакетов

поддержки национальных языков” на стр. 11

3. Чтобы установить и сконфигурировать поддерживаемый реестр для

использования в сочетании с Tivoli Access Manager, выполните одно из следующих

действий:

v Если у вас уже имеется реестр, который вы хотите использовать в сочетании с

Tivoli Access Manager, вы обязательно должны обновить сервер до версии,

поддерживаемой данным выпуском продукта. Затем, следуя инструкциям в

разделе Глава 2, “Конфигурирование реестров для Tivoli Access Manager”, на

стр. 19, сконфигурируйте реестр для использования в сочетании с Tivoli Access

Manager.

v Чтобы установить и сконфигурировать IBM Tivoli Directory Server (этот

продукт поставляется вместе с Tivoli Access Manager), запустите программу

ezinstall_ldap_server. Эта программа простой установки установит и

сконфигурирует IBM Tivoli Directory Server и необходимые для его работы

программные средства и одновременно с этим включит поддержку SSL.

v Если вы хотите установить не IBM Tivoli Directory Server, а какой-либо другой

поддерживаемый реестр, смотрите документацию по соответствующему

продукту. Затем, следуя инструкциям в разделе Глава 2, “Конфигурирование

реестров для Tivoli Access Manager”, на стр. 19, сконфигурируйте этот реестр

для использования в сочетании с Tivoli Access Manager.4. Запустите сценарий ezinstall_pdmgr, чтобы установить сервер политики (Policy

Server) Tivoli Access Manager.

5. После конфигурирования сервера политики (Policy Server) вы сможете

настраивать в защищенном домене дополнительные системы. Например, вы

сможете выполнить следующее:

v Запустить сценарий ezinstall_pdauthADK, чтобы установить систему

разработки с использованием Application Development Kit (ADK).

v Запустить сценарий ezinstall_pdacld, чтобы установить сервер авторизации

(Authorization Server).

v Запустите сценарий ezinstall_pdwpm, чтобы установить среду выполнения с

интерфейсом Web Portal Manager.

v Запустить программу InstallShield install_pdrte, чтобы установить одну или

несколько систем-клиентов среды выполнения.6. Дополнительно: Если вы разрабатываете и внедряете Java-приложения в вашем

защищенном домене Tivoli Access Manager, вы можете установить компонент

Tivoli Access Manager Java Runtime Environment. Поскольку этот компонент нельзя

установить с помощью простой установки, смотрите инструкции по собственной

установке в главе, посвященной установке на используемой вами платформе.

7. Дополнительно: Рекомендуется включить поддержку связи SSL между сервером

LDAP и клиентами IBM Directory. Инструкции смотрите в разделе Приложение A,

“Как включить Secure Sockets Layer”, на стр. 165

Примечание: Если вы включили SSL в ходе выполнения сценария

ezinstall_ldap_server, вы можете пропустить этот шаг.

Инструкции по собственной установке

Ниже рассказывается, как установить и сконфигурировать все компоненты Tivoli

Access Manager в соответствующем порядке. Выбирайте только нужные компоненты



с учетом того, что требуется для вашей системы. Список необходимых компонентов

для установки нужной вам системы Tivoli Access Manager смотрите в разделе Табл. 1

на стр. 3.

Чтобы установить и сконфигурировать компоненты Tivoli Access Manager с помощью

собственной программы установки, выполните следующие основные шаги:

1. Чтобы установить и сконфигурировать поддерживаемый реестр для

использования в сочетании с Tivoli Access Manager, выполните одно из следующих

действий:

Примечание: Если вы устанавливаете IBM Directory Server, смотрите инструкции

по установке в руководстве IBM Directory Server Version 4.1

Installation and Configuration Guide for Multiplatforms, которое можно

найти по адресу:


v Если вы хотите установить не IBM Directory Server, а какой-либо другой

поддерживаемый реестр, смотрите документацию по соответствующему

продукту.

v Если у вас уже имеется реестр, который вы хотите использовать в сочетании с

Tivoli Access Manager, вы обязательно должны обновить сервер до версии,

поддерживаемой данным выпуском продукта.

v Чтобы установить IBM Directory Server в AIX, Solaris или Windows, выполните

следующее:

a. Установите IBM Directory Server, воспользовавшись компакт-диском IBM

Tivoli Access Manager Base для AIX, Solaris или Windows. Чтобы установить

IBM Directory Server, введите одну из следующих команд:

– В системах AIX:

installp -c -a -g -X -d /dev/cd0 ldap.server

– В системах Solaris:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault \

IBMldaps

– В системах Windows:

/windows/Directory/ismp/setup.exe

b. Установите исправление (патч) LDAP для IBM Directory, которое находится

в корневом каталоге на компакт-дисках IBM Tivoli Access Manager Base для

AIX, Solaris и Windows. Чтобы применить это исправление, введите одну из

следующих команд:

– В системах AIX и Solaris:

apply_ldap41_patch.sh


apply_ldap41_patch.bat

c. Установите исправление (патч) для IBM HTTP Server, которое находится в

корневом каталоге на компакт-дисках IBM Tivoli Access Manager Base для

AIX, Solaris и Windows. Чтобы применить это исправление, введите одну из


– В системах AIX и Solaris:

http_1319_efix2.sh


http_1319_efix2.bat



v Чтобы установить IBM Directory Server в системе Linux for zSerie, выполните

следующее:

a. Установите продукт IBM Directory Server for Linux on zSeries, который

можно найти по адресу:


b. Установите Fixpack 1 для IBM Directory 4.1. Fixpack (FP410T-01.tar.Z) для

операционной системы Linux 390 можно найти по адресу:

http://www.ibm.com/software/network/directory/ server/support/efixes.html

c. Установите исправление Bulkload Patch for 4.1(.1) Fixpack 1. Fixpack для

Linux 390 (P410T-001A.tar.Z) можно найти по адресу:

http://www.ibm.com/software/network/directory/ server/support/efixes.html2. Только для реестров Lotus Domino: На этом этапе рекомендуется включить связь

SSL между сервером Domino и клиентами IBM SecureWay Directory. Инструкции

смотрите в разделе “Как включить поддержку SSL для Domino” на стр. 187

3. Выполните одно из следующих действий:

v Если вы установили IBM Directory Server в Linux for zSeries, перейдите к шагу 4.

Tivoli Access Manager следует установить до конфигурирования IBM Directory

Server.

v Сконфигурируйте реестр для использования в сочетании с Tivoli Access

Manager. Инструкции смотрите в разделе Глава 2, “Конфигурирование реестров

для Tivoli Access Manager”, на стр. 194. Настройте системы Tivoli Access Manager в защищенном домене.В зависимости от

того, какие системы вы устанавливаете, установите и сконфигурируйте один или

несколько перечисленных ниже компонентов в указанном порядке.

v IBM Global Security Toolkit (GSKit) — GSKit следует устанавливать перед

установкой всех остальных компонентов Tivoli Access Manager. GSKit

необходим для работы среды выполнения Tivoli Access Manager, которую

нужно установить на всех компьютерах в защищенном домене.

v IBM Directory Client — Этот клиент нужно установить на каждом компьютере,

на котором работает Tivoli Access Manager, за исключением Active Directory.







Инструкции смотрите в главе, посвященной установке на используемой вами

платформе.

Примечания

v Список необходимых компонентов для установки систем того или иного

типа смотрите в разделе Табл. 1 на стр. 3.

v Для каждого защищенного домена нужно установить и сконфигурировать

только один сервер политики (Policy Server).

v При установке Policy Server сначала нужно установить компонент среды

выполнения. Однако конфигурировать компонент среды выполнения

нельзя до тех пор, пока не будет установлен Policy Server.



5. Если вы установили IBM Directory Server в Linux for zSeries, сконфигурируйте этот

сервер для использования в сочетании с Tivoli Access Manager. Инструкции

смотрите в разделе “Конфигурирование IBM Directory Server” на стр. 20

6. Рекомендуется включить поддержку связи SSL между реестром и клиентами IBM

Directory. Инструкции смотрите в разделе Приложение A, “Как включить Secure

Sockets Layer”, на стр. 165

Примечание: В Active Directory for Tivoli Access Manager для шифрования

используется Kerberos, а не SSL.

7. Если вы хотите, чтобы информация о состоянии и сообщения выводились не

по-английски (английский язык используется по умолчанию), то пакет поддержки

нужного вам языка (Language Pack) нужно установить после установки

компонентов Tivoli Access Manager, но перед их конфигурированием. Инструкции

смотрите в разделе “Установка пакетов поддержки национальных языков” на стр.

11

Интернационализация

В этой главе описаны возможности интернационализации защищенного домена

Tivoli Access Manager. В этой разделе содержатся следующие темы:

v “Обзор поддержки национальных языков”

v “Установка пакетов поддержки национальных языков” на стр. 11

v “Установка пакетов поддержки национальных языков для необходимых

программных средств” на стр. 13

v “Деинсталляция пакетов поддержки национальных языков” на стр. 14

v “Переменные среды для локалей” на стр. 15

v “Каталоги сообщений” на стр. 17

v “Поддержка кодировки текста (наборов кодовых символов)” на стр. 18

Внимание

Обязательно прочтите раздел, посвященный интернационализации, в документе

IBM Tivoli Access Manager Release Notes, чтобы узнать об ограничениях для

вашего языка.

Обзор поддержки национальных языков

Программный продукт Tivoli Access Manager переведен на следующие языки:

v Португальский (Бразилия)

v Чешский

v Китайский упрощенный язык

v Китайский традиционный язык

v Французский язык

v Немецкий язык

v Венгерский язык

v Итальянский язык

v Японский язык

v Корейский язык

v Польский язык

v Испанский язык



v Русский язык

Перевод каждого продукта на эти языки предоставляется на компакт диске IBM Tivoli

Access Manager Language Support в виде пакетов поддержки национальных языков

(Language Pack). Чтобы обеспечить поддержку нужного языка для Tivoli Access

Manager, нужно установить пакет поддержки этого языка для этого продукта.

Учтите, что при использовании простой установки пакет поддержки национального

языка нужно установить до установки Tivoli Access Manager, чтобы сообщения

программы конфигурирования появлялись на вашем языке. При установке с

помощью собственной программы установки устанавливайте пакет поддержки

национального языка после установки компонентов Tivoli Access Manager, но до их

конфигурирования. Если вы не установите пакет поддержки национального языка,

весь текст в окнах соответствующего продукта будет появляться на английском

языке. Учтите, что каждому языку соответствует отдельно устанавливаемый образ

установки продукта.

Если у вас установлена поддержка национального языка и вы решите обновить

продукт, вам также нужно будет установить соответствующую поддержку

национального языка (если таковая имеется). Чтобы узнать, нужна ли поддержка

национального языка, смотрите документацию по обновлению продукта. Если вы не

установите пакет поддержки национального языка после обновления продукта,

некоторые поля и сообщения в его окнах могут появляться на английском языке.

Установка пакетов поддержки национальных языков

Чтобы установить пакеты поддержки национальных языков, сделайте следующее:

1. Зарегистрируйтесь в системе в качестве пользователя root или в качестве

пользователя-администратора.

2. Вставьте в устройство CD-ROM или смонтируйте компакт-диск IBM Tivoli Access

Manager Language Support и перейдите в корневой каталог на устройстве,

соответствующем компакт-диску.

3. Установите поддерживаемую JRE для используемой вами операционной системы.

Чтобы ознакомиться с инструкциями:

v Для AIX смотрите стр. 49.

v Для HP-UX смотрите стр. 59.

v Для систем Red Hat Linux или Linux for zSeries смотрите стр. 69.

v Для Solaris смотрите стр. 77.

v Для Windows смотрите стр. 89.4. В зависимости от того, какой продукт Tivoli Access Manager вы хотите

установить, запустите один или несколько сценариев установки из числа

указанных ниже.



Внимание

v В системах UNIX используются сценарии; В системах Windows

используются пакетные файлы (с расширением .bat).

v Если вы запустите сценарий, не указав путь_jre, то выполняемый файл

Java должен находиться в каталоге, являющемся частью оператора PATH.

В противном случае укажите параметр путь_jre при запуске сценария

следующим образом:

пакет путь_jre

Например, чтобы установить пакет поддержки национальных языков

(Language Pack) для Tivoli Access Manager Base, введите:

install_pdrte_lp /usr/bin

где /usr/bin - путь к JRE.

Имеются следующие пакеты поддержки национальных языков:

install_pdjrte_lp Установка пакетов поддержки национальных

языков (Language Pack) для Tivoli Access Manager

Java Runtime Environment.

install_pdrte_lp Установка пакетов поддержки национальных


Base.

install_pdwas_lp Установка пакетов поддержки национальных

языков (Language Pack) для WebSphere Application

Server.

install_pdwbpi_lp Установка пакетов поддержки национальных


Plug-in for Web Servers.

install_pdweb_lp Установка пакетов поддержки национальных


WebSEAL.

install_pdwls_lp Установка пакетов поддержки национальных

языков (Language Pack) для WebLogic Server.

install_pdwpm_lp Установка пакетов поддержки национальных


Web Portal Manager.

install_pdwsl_lp Установка пакетов поддержки национальных


Plug-in for Edge Server.5. Чтобы начать установку, щелкните по Далее. На экране появится диалоговое окно

с Лицензионным Соглашением.

6. Выберите Я принимаю положения лицензионного соглашения, чтобы принять

лицензионное соглашение, после чего щелкните по Далее. Появится диалоговое

окно со списком пакетов поддержки национальных языков (Language Pack).



7. Выберите пакеты поддержки национальных языков, которые вы хотите

установить, и щелкните по Далее. Появится диалоговое окно, в котором будут

указаны каталоги и характеристики выбранных вами пакетов поддержки

национальных языков.

8. Щелкните по Далее, чтобы подтвердить свой выбор пакетов поддержки

национальных языков. Будут установлены выбранные вами пакеты поддержки

национальных языков.

9. После успешного завершения установки пакета поддержки национального языка

(Language Pack) Tivoli Access Manager щелкните по Готово, чтобы закрыть окно

мастера и перезапустить компьютер.

Установка пакетов поддержки национальных языков для

необходимых программных средств

Помимо установки пакетов поддержки национальных языков для программ Tivoli

Access Manager вы должны установить пакеты поддержки национальных языков для

продуктов IBM HTTP Server, IBM Directory и IBM DB2 (только в системах AIX и

Solaris). Эти пакеты поддержки национальных языков также находятся на

компакт-диске IBM Tivoli Access Manager Language Support.

1. Чтобы установить необходимые пакеты поддержки национальных языков,

выполните одно из следующих действий:

v В AIX введите следующую команду:

installp -c -a -g -X -d /dev/cd0 пакет

где пакет, находящийся в каталоге usr/sys/inst.images - один или несколько

пакетов из числа следующих:

http_server.html.язык Документация по IBM HTTP Server.

http_server.msg.язык.admin Сообщения IBM HTTP Server.

http_server.msg.язык.ssl.core Сообщения SSL для IBM HTTP Server.

ldap.html.язык Документация по IBM Directory.

ldap.msg.язык Сообщения IBM Directory.

db2_07_01.msg.язык Сообщения продукта IBM DB2.

где язык - аббревиатура нужного языка.

Например, чтобы установить документацию по IBM HTTP Server на

итальянском языке, введите:

installp -c -a -g -X -d /dev/cd0 http_server.html.it_IT

v В системах Solaris введите следующую команду:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault пакет

где пакет, находящийся в каталоге /solaris - один или несколько пакетов из

числа следующих:

IBMHAязык Сообщения IBM HTTP Server.

IBMHSязык Документация по IBM HTTP Server.

IBMHSSязык Сообщения SSL для IBM HTTP Server.

IBMldiязык Документация по IBM Directory.

IBMldmязык Сообщения IBM Directory.



db2msязык1 Сообщения продукта IBM DB2.

а язык - аббревиатура нужного языка.

Например, чтобы установить сообщения IBM Directory на японском языке,

введите:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldmJa

2. Остановите демоны или службы IBM HTTP Server и IBM HTTP Administration

(если они запущены). Например, перейдя в каталог каталог_http/bin в UNIX,

введите следующие команды:

apachectl stop

adminctl stop

Примечание: Чтобы проверить, выполняется ли процесс httpd, введите команду:

ps -ef | grep -i http

Если процесс httpd существует, введите команду kill следующим

образом:

kill -i http_process_id_(pid)

3. Перейдя в каталог http_directory/bin, введите команду setuplang. Этот

сценарий оболочки модифицирует файлы httpd.conf и admin.conf для нового

языка. Выберите в меню нужный язык.

4. Чтобы перезапустить HTTP-серверы, введите команду:

каталог_http/bin/apachectl start

каталог_http/bin/adminctl start

5. Серверы должны работать на нужном вам языке. Обратитесь к серверу через

Web-браузер убедитесь, что экраны представлены на нужном языке.

Деинсталляция пакетов поддержки национальных языков

Чтобы деинсталлировать пакеты поддержки национальных языков, сделайте

следующее:

1. Перейдите в один из следующих каталогов:

v В UNIX:

/opt/путь

v В Windows:

C:\Program Files\путь

где путь - одно из следующих значений:

PDBLP/Lp_uninst Указывает местонахождение пакетов поддержки

национальных языков (Language Pack) для Tivoli

Access Manager Base.

PDJrtLP/lp_uninst Указывает местонахождение пакетов поддержки


Access Manager Java Runtime Environment.

PDWasLP/lp_uninst Указывает местонахождение пакетов поддержки

национальных языков (Language Pack) для

WebSphere Application Server.

PDWpiLP/lp_uninst Указывает местонахождение пакетов поддержки


Access Manager Plug-in for Web Servers.



PDWebLP/lp_uninst Указывает местонахождение пакетов поддержки


Access Manager WebSEAL.

PDWlsLP/lp_uninst Указывает местонахождение пакетов поддержки

национальных языков (Language Pack) для

WebLogic Server.

PDWpmLP/Lp_uninst Указывает местонахождение пакетов поддержки


Access Manager Web Portal Manager.

PDWslLP/Lp_uninst Указывает местонахождение пакетов поддержки


Access Manager Plug-in for Edge Server.2. Чтобы установить необходимые пакеты поддержки национальных языков,

введите одну из следующих команд:

v В UNIX:

путь_jre/java пакет

v В Windows:

путь_jre\java -jar пакет

где путь_jre - путь выполняемого файла Java, а пакет - одно из следующих

значений:

Примечание: Если выполняемый файл Java находится в каталоге, заданном

переменной path, указывать путь_jre не нужно.

pdrte_lp_uninstall.jar Пакет поддержки национальных языков

(Language Pack) для Tivoli Access Manager Base.

pdjrte_lp_uninstall.jar Пакет поддержки национальных языков

(Language Pack) для Tivoli Access Manager Java

Runtime Environment.

pdwas_lp_uninstall.jar Пакет поддержки национальных языков

(Language Pack) для WebSphere Application Server.

pdwbpi_lp_uninstall.jar Пакет поддержки национальных языков

(Language Pack) для Plug-in for Web Servers.

pdweb_lp_uninstall.jar Пакет поддержки национальных языков

(Language Pack) для Tivoli Access Manager

WebSEAL.

pdwls_lp_uninstall.jar Пакет поддержки национальных языков

(Language Pack) для WebLogic Server.

pdwsl_lp_uninstall.jar Пакет поддержки национальных языков

(Language Pack) для Tivoli Access Manager Plug-in

for Edge Server.

Переменные среды для локалей

Как и в большинстве операционных систем, для обеспечения поддержки

национального языка и стандартов (локализации) нужно задать соответствующую

локаль. Для программных компонентов Tivoli Access Manager в качестве значения

переменной среды LANG нужно задать локаль в соответствии с POSIX, X/Open или

другими стандартами открытых систем.



Примечание: Если вы работаете в среде Windows, вы, в качестве альтернативы,

можете изменить установку языка в записной книжке Язык и стандарты

Панели управления.

Если вы зададите переменную среды LANG, а затем измените установку языка и

стандартов, значение переменной среды LANG будет иметь приоритет перед этой

установкой.

Как указано в стандартах открытых систем, другие переменные среды

переопределяют значение LANG для некоторых или всех категорий локалей. К этим

переменным относятся:

v LC_CTYPE

v LC_TIME

v LC_NUMERIC

v LC_MONETARY

v LC_COLLATE

v LC_MESSAGES

v LC_ALL

Если задана любая из перечисленных выше переменных, то вы должны удалить ее

значение, если хотите, чтобы значение переменой LANG вступило в силу в полной

мере.

Переменная LANG и системы UNIX

В большинстве систем UNIX нужную локаль можно задать с помощью переменной

LANG. Однако в разных операционных системах UNIX для обозначения одного и

того же языка используются разные имена локалей. Обязательно укажите значение

переменной LANG, поддерживаемое в той операционной системе UNIX, в которой вы

работаете.

Чтобы узнать имена локалей, поддерживаемых в вашей операционной системе UNIX,

введите команду:

locale -a

Переменная LANG и системы Windows

В большинстве операционных систем переменная среды LANG не используется.

Однако программные средства Tivoli Access Manager способны определять язык с

помощью переменной LANG. Для этого задайте в качестве значения переменной

LANG каноническое имя локали на основе языка ISO или кодов территорий без

суффикса набора кодовых символов. Например:

v fr - локаль для стандартного французского языка

v ja - локаль для японского языка

v pt_BR - локаль для португальского языка (Бразилия)

v C - локаль для английского языка в локали C

В системах Windows, если переменная LANG не задана, Tivoli Access Manager

использует текущую установку в записной книжке Язык и стандарты Панели

управления Windows.

Использование вариантов локалей

Хотя в настоящее время для программных компонентов Tivoli Access Manager

поставляется только по одной переводной версии для каждого языка, вы можете

использовать предпочтительный вариант локали, а Tivoli Access Manager

автоматически найдет перевод продукта на соответствующий язык. Например,



существует один перевод Tivoli Access Manager на французский язык, но этот перевод

будет найден для любой из указанных ниже локалей:

v fr - имя локали для стандартного французского языка

v fr_FR - имя локали для французского языка (Франция)

v fr_CA - имя локали для французского языка (Канада)

v fr_CH - имя локали для французского языка (Швейцария)

Каталоги сообщений

Каталоги сообщений, как правило, устанавливаются в подкаталог msg, а каждый из

этих каталогов сообщений устанавливается в подкаталог, соответствующий языку,


v В UNIX:

/opt/PolicyDirector/nls/msg/локаль

v В Windows:

каталог_установки/nls/msg/локаль

Tivoli Access Manager распознает различия в именах локалей UNIX и обычно способен

отобразить указанное значение в имя соответствующего каталога сообщений.

Переменная NLSPATH позволяет найти нужный каталог сообщений в соответствии

со стандартами открытых систем. Например, если путь каталогов сообщений -

/opt/PolicyDirector/nls/msg, то в качестве значения переменной NLSPATH будет

задано:

/opt/PolicyDirector/nls/msg/%L/%N.cat:/opt/PolicyDirector/nls/msg/%L/%N

Примечание: В Windows, в качестве разделителя вместо двоеточия (:) используйте

точку с запятой (;).

Директива %L раскрывается в имя каталога сообщений, наиболее близкое к языку,

выбранному в настоящий момент пользователем, а %N.cat раскрывается в имя

нужного каталога сообщений.

Если не удастся найти каталог сообщений для нужного языка, будут использоваться

каталоги сообщений для английского языка C.

Допустим, что в системе AIX указана локаль, соответствующая немецкому языку в

Швейцарии, следующим образом:

LANG=De_CH.IBM-850

Директива %L раскрывается для поиска указанной локали в следующем порядке:

1. de_CH

2. de

3. C

Поскольку для Tivoli Access Manager нет пакета поддержки немецкого языка для

Швейцарии, de_CH найти не удастся. Если установлен пакет Tivoli Access Manager

для немецкого языка, будет использоваться имя каталога de. В противном случае

будет использоваться локаль по умолчанию, C, вследствие чего текст на экране будет

появляться на английском языке.



Поддержка кодировки текста (наборов кодовых символов)

Зачастую, в разных операционных системах используются разные способы кодировки

текста. Например, в системах Windows для текста на японском языке используется

кодировка SJIS (кодовая страница 932), в то время, как в системах UNIX часто

используется кодировка eucJP.

Кроме того, для одного и того же языка можно указать несколько локалей, так что

на одном и том же компьютере для одного и того же языка могут использоваться

разные наборы кодовых символов. Это может вызвать проблемы при переносе текста

с одного компьютера на другой или из среды одной локали в среду другой локали.

В Tivoli Access Manager эти проблемы решаются путем использования Unicode и

UTF-8 (многобайтный формат Unicode) в качестве внутреннего канонического

способа представления текста.

Каталоги сообщений кодируются с использованием UTF-8, и текст, перед тем как

представлять его пользователю, преобразовывается в кодировку, соответствующую

локали. Таким образом. одни и те же файлы каталогов сообщений на французском

языке могут использоваться для поддержки разных наборов кодовых символов

латиницы 1 (Latin 1), например, ISO8859-1, Microsoft 1252, IBM PC 850 и IBM MVS™

1047.

UTF-8 также позволяет добиться возможности обмена текстовыми данными.

Например, строки Common Object Request Broker Architecture (CORBA) передаются в

кодировке UTF-8. Это обеспечивает возможность дистанционного управления в

гетерогенной сети, в которой локальная кодировка текста может различаться.

Например, с рабочего стола, работающего с использованием локали UNIX Japanese

EUC, можно манипулировать файлами с японскими именами, хранящимися на

персональных компьютерах конечных пользователей.

Возможность обмена текстовой информацией в защищенном домене также

достигается за счет сохранения строк в базе данных объектов Tivoli в формате UTF-8.

Строки преобразовываются в локальную кодировку для просмотра на экране и

обработки в приложениях, при выполнении которых используются другие наборы

кодовых символов операционной системы.

Местонахождение файлов наборов кодовых символов

Возможность взаимодействия компонентов в защищенном домене обусловлена

наличием файлов наборов кодовых символов, которые позволяют производить

преобразование UTF-8 и иные типы обработки текста, связанные с кодировкой

символов. Эти файлы устанавливаются в следующие каталоги:

v В UNIX:

/opt/PolicyDirector/nls/msg/локаль

v В Windows:

каталог_установки/nls/msg/локаль



Глава 2. Конфигурирование реестров для Tivoli Access

Manager

В этой главе рассматривается установка поддерживаемого реестра для

использования в сочетании с Tivoli Access Manager. Этот этап установки должен

проводиться до установки компонентов Tivoli Access Manager в вашем защищенном

домене (как это указано в разделе “Инструкции по установке” на стр. 6). Требования

к системе для каждого реестра смотрите в документе IBM Tivoli Access Manager

Release Notes.

В этой главе содержатся следующие основные разделы:

v “Обзор конфигурирования сервера LDAP”

v “Конфигурирование IBM Directory Server” на стр. 20

v “Конфигурирование iPlanet Directory Server” на стр. 26

v “Конфигурирование Novell eDirectory” на стр. 29

v “Конфигурирование серверов защиты z/OS и OS/390” на стр. 31

v “Конфигурирование Active Directory” на стр. 36

v “Конфигурирование Lotus Domino” на стр. 41

Обзор конфигурирования сервера LDAP

Данные на сервере LDAP хранятся в иерархической древовидной структуре, которая

называется деревом информации о каталогах (Directory Information Tree - DIT).

Вершина дерева называется суффиксом (ее также называют контекстом именований

или корнем). Сервер LDAP может содержать несколько суффиксов для организации

дерева данных в логические ветви или организационные единицы.

В следующих разделах описывается создание суффиксов Tivoli Access Manager для

сервера LDAP.При конфигурировании Tivoli Access Manager автоматически пытается

добавить соответствующие списки управления доступом (Access control lists - ACL)

для каждого существующего в настоящий момент суффикса на сервере LDAP.Это

нужно, чтобы предоставить Tivoli Access Manager необходимые права для управления

пользователями и группами, определенными внутри этих суффиксов. Если вы

добавите суффиксы после первоначального конфигурирования Tivoli Access Manager,

нужно вручную добавить соответствующие ACL. Инструкции смотрите в документе

IBM Tivoli Access Manager Base Administrator’s Guide.

Для Tivoli Access Manager нужно создать суффикс с именем secAuthority=Default

для хранения метаданных Tivoli Access Manager.Этот суффикс нужно добавить

только один раз — когда вы конфигурируете сервер LDAP в первый раз. Этот

суффикс позволит Tivoli Access Manager легко находить данные и управлять ими.Он

также обеспечивает защиту при доступе к данным, что позволяет избежать

затруднений, связанных с нарушением целостности или повреждениями данных.

Кроме того, при конфигурировании сервера политики (Policy Server) у вас запросят

имя-идентификатор (distinguished name - DN) для глобальной регистрации (GSO). Для

хранения метаданных GSO можно либо создать суффикс, либо указать

имя-идентификатор существующего сайта в DIT LDAP. Метаданные GSO можно

хранить где угодно в пределах DIT LDAP, но этот сайт уже должен существовать.

Если вы решите создать суффикс, то имеет смысл рассмотреть возможность

хранения метаданных GSO и определений пользователей в одном суффиксе.


Например, в следующих разделах o=tivoli,c=us используется в качестве примера

места хранения метаданных GSO и определений пользователей. Заметьте, что для

хранения определений пользователей и групп также можно создавать

дополнительные суффиксы.

После создания суффиксов нужно также создать записи каталога для каждого

суффикса. Это необходимо, чтобы создать экземпляр суффикса. В противном случае

Tivoli Access Manager не сможет при конфигурировании присоединять списки

управления доступом.ACL дают Tivoli Access Manager необходимые права для

управления пользователями и группами, определенными внутри этих суффиксов.

Примечание: Подробные инструкции по созданию суффиксов смотрите в

документации, поставляемой вместе с вашим сервером LDAP.

Последующие инструкции - это лишь общее руководство по созданию

суффиксов. Мы рекомендуем вам создавать суффиксы, отражающие

вашу организационную структуру.

В последующих разделах описывается конфигурирование следующих

поддерживаемых реестров LDAP:

v “Конфигурирование IBM Directory Server”

v “Конфигурирование iPlanet Directory Server” на стр. 26

v “Конфигурирование Novell eDirectory” на стр. 29

v “Конфигурирование серверов защиты z/OS и OS/390” на стр. 31

Конфигурирование IBM Directory Server

Внимание

v Если вы устанавливали и конфигурировали IBM Directory Server с помощью

сценария простой установки ezinstall_ldap_server, пропустите шаги,

описанные в этой главе. При простой установке IBM Directory Server

конфигурируется автоматически.

v Прежде чем конфигурировать IBM Directory Server, обязательно прочтите

инструкции в разделе “Инструкции по собственной установке” на стр. 7 и

выполняйте шаги в указанном там порядке. Исправления следует применить

перед конфигурированием.

v Если вы устанавливаете IBM Directory в системе Linux for zSeries, сервер

следует конфигурировать только после установки Tivoli Access Manager, как

указано в разделе “Инструкции по собственной установке” на стр. 7.

Чтобы сконфигурировать IBM Directory Server для Tivoli Access Manager, сделайте

следующее:

1. Проверьте, установлен ли IBM Directory Server.


v Для всех систем, кроме Linux on zSeries, перейдите к шагу 3 на стр. 21.

v Только для систем Linux on zSeries: Выполните следующее:

a. Примените схему Tivoli Access Manager. Этот файл, secschema.def,

находится в подкаталоге etc каталога установки Tivoli Access Manager.

Чтобы применить эту схему, введите следующую команду (в виде одной

строки):

ldapmodify -h хост_ldap -p порт -D cn=root -w пароль

-c -v -f secschema.def


b. Установите JRE для Linux on Series. Инструкции смотрите в разделе

“Установка среды JRE, соответствующей платформе” на стр. 69.

Примечание: Для успешной работы входящих в IBM Directory Server

инструментов dmt и ldapcfg требуется JRE 1.3.1 или новее.

c. Чтобы инструменты dmt и ldapcfg использовали JRE версии 1.3.1, а не

версию JRE, установленную вместе с IBM Directory, произведите

следующие изменения:

– Отредактируйте сценарий /usr/ldap/bin/dmt, закомментировав в нем

указанные ниже строки:

find_java()

{

# First, try to find the version of Java that we install with LDAP.

# (Сначала попробуйте найти версию Java, которую мы установили

# вместе с LDAP.)

# if [ "${ENV_JAVA}" == "" ] ; then ЗАКОММЕНТИРУЙТЕ ЭТУ СТРОКУ

# OVERRIDE=${LDAPIDIR}/java/bin/java ЗАКОММЕНТИРУЙТЕ ЭТУ СТРОКУ

# fi ЗАКОММЕНТИРУЙТЕ ЭТУ СТРОКУ

– Отредактируйте сценарий /usr/ldap/bin/ldapcfg, закомментировав в

нем указанные ниже строки:

find_java()

{

# First, try to find the version of Java that we install with LDAP.

# (Сначала попробуйте найти версию Java, которую мы установили

# вместе с LDAP.)

# if [ "${OS}" != "HP-UX" ] ; then ЗАКОММЕНТИРУЙТЕ ЭТУ СТРОКУ

# if [ "${ENV_JAVA}" == "" ] ; then ЗАКОММЕНТИРУЙТЕ ЭТУ СТРОКУ

# OVERRIDE=${LDAPCIDIR}/java/bin/java ЗАКОММЕНТИРУЙТЕ ЭТУ СТРОКУ




v Для всех систем, кроме Linux on zSeries: Вызовите инструмент IBM Directory

Server Web Administration, используя указанный ниже адрес, после чего

перейдите к шагу 4 на стр. 22:

http://имя_сервера:порт/ldap/index.html

где имя_сервера - это имя сервера LDAP, а порт - номер порта приема,

указанный в файле httpd.conf.

v Только в системах Linux on zSeries: Вы должны вручную модифицировать

файл slapd32.conf, чтобы добавить необходимые суффиксы. Для этого

внесите изменения в раздел dn: cn=Directory файла slapd32.conf, добавив в

него указанный ниже необходимый суффикс Tivoli Access Manager и суффикс

(или имеющееся DN) для метаданных GSO и определений пользователей

(например, o=tivoli,c=us). Затем перейдите к шагу 14 на стр. 24, чтобы

продолжить конфигурирование IBM Directory Server.

dn: cn=Directory, cn=RDBM Backends, cn=IBM, cn=Schemas, cn=Configuration

cn: Directory

ibm-slapdDbAlias: ldapdb2b

ibm-slapdDbConnections: 30

ibm-slapdDbInstance: ldapdb2

ibm-slapdDbName: ldapdb2

ibm-slapdDbUserId: ldapdb2

ibm-slapdDbUserPW: >1aV1aFVp/G44POPw/p4ZkJAldiDt+GsRizdgwYF0F7tJYkcEUuBg4K7

HnRFBgMev8jrleaPmiblTpnxb3br96RQ6ZjHeu75ZqCQ9/cIGqH/G6aDVCfbkmk3xyErW1eQdNt

7i8iY9HHqgICIGQek6Qm1K<

ibm-slapdPlugin: database /lib/libback-rdbm.so rdbm_backend_init

ibm-slapdReadOnly: FALSE

ibm-slapdSuffix: o=tivoli,c=us


Глава 2. Конфигурирование поддерживаемых реестров 21

ibm-slapdSuffix: secAuthority=Default

ibm-slapdSuffix: cn=localhost

objectclass: top

objectclass: ibm-slapdRdbmBackend

4. Введите имя и пароль администратора LDAP, а затем щелкните по кнопке Logon

(Регистрация), как показано ниже:

Появится Web-страница IBM Directory Server Administration.

5. Чтобы убедиться, что IBM Directory Server запущен, в левой навигационной

панели выберите Current state → Server status (Текущее состояние → Состояние

сервера). Появится окно, аналогичное показанному на рисунке:

6. Если сервер остановлен, щелкните по Запустить/Остановить, а затем по

Запустить, чтобы запустить сервер. При успешном запуске или остановке сервера

появляется сообщение.

7. Чтобы создать суффикс, в левой навигационной панели выберите Settings →

Suffixes (Установки → Суффиксы). Появится окно Suffixes (Суффиксы).

8. Чтобы создать суффикс, в котором Tivoli Access Manager обрабатывает

метаданные, введите следующий обязательный суффикс:

secAuthority=Default

Примечание: В имени-идентификаторе суффикса регистр символов не

учитывается.



9. Щелкните по Update (Обновить). Появится окно Suffixes (Суффиксы). Новые

суффиксы появятся в таблице Current server suffixes (Текущие суффиксы

сервера).

10. Если вы решили создать суффикс для метаданных GSO, введите

имя-идентификатор нового суффикса в поле Suffix DN (DN суффикса).

Например, можно ввести o=tivoli,c=us, как показано на рисунке:

При конфигурировании компонентов Tivoli Access Manager вас попросят ввести

суффикс GSO. Информацию о том, зачем нужен суффикс GSO, смотрите в

разделе “Обзор конфигурирования сервера LDAP” на стр. 19.

11. Щелкните по Update (Обновить). Снова появится окно Suffixes (Суффиксы). На

данном этапе можно создать дополнительные суффиксы для хранения

определений пользователей и групп.

Примечание: Чтобы получить дополнительную информацию о добавлении

суффиксов, щелкните по значку Help (Справка) в правой верхней

панели окна.

12. Когда вы закончите добавление суффиксов, щелкните по restart the server

(Перезапустить сервер) в верхней панели окна, как это показано ниже:

Через несколько минут появится следующее сообщение:

The directory server is running. (Сервер каталога запущен.)



Если сообщение не появится, перезапустите IBM Directory Server. Например, в

Windows выберите Пуск → Настройка → Панель управления, а затем щелкните

по значку Службы. Выберите службу IBM Directory и щелкните по Запустить,

чтобы перезапустить сервер LDAP.


v Если вы не добавляли никаких суффиксов, кроме secAuthority=Default,

пропустите шаги с 14 по 20 на стр. 26. Запись каталога secAuthority=Default

добавляется автоматически при конфигурировании Policy Server.

v Если вы добавляли какие-либо другие суффиксы помимо

secAuthority=Default, перейдите к шагу 14, чтобы создать записи каталога

для каждого суффикса.14. Чтобы создать записи каталога, в командной строке введите dmt; при этом

запустится Directory Management Tool (DMT). Появится следующее окно:

15. Щелкните по кнопке Add server (Добавить сервер) в нижней панели. Появится

окно, аналогичное показанному на рисунке:




v Если вы хотите использовать поддержку Secure Sockets Layer (SSL) для связи

между DMT и сервером LDAP, укажите, что нужно использовать SSL, и

заполните указанные поля. Чтобы вызвать описание этих полей, щелкните по

Help (Справка).

v Если вы не хотите использовать поддержку Secure Sockets Layer (SSL) для

связи между DMT и сервером LDAP, выберите тип аутентификации.

a. Если вы выберете None (Нет) или SASL External (Внешняя SASL), никакой

дополнительной информации не потребуется.

b. Если вы выберете Simple (Простая) или CRAM MD5, введите DN и пароль

пользователя, а затем щелкните по ОК.17. В левой панели выберите Browse Tree (Просмотр дерева). Появятся

предупреждения о том, что созданные вами суффиксы не содержат данных.

Щелкните по OK, чтобы убрать эти сообщения. Появится окно, аналогичное

показанному на рисунке:

18. В списке справа выберите имя хоста и щелкните по Add (Добавить). Например, в

предыдущем примере имя хоста - ldap://dliburd2.tivoli.com:389 .

19. Заполните поля в окне Add an LDAP Entry (Добавить запись LDAP) и щелкните

по OK. Например, если вы добавляете запись каталога для суффикса GSO,

появится окно следующего вида:



20. Введите значения атрибутов и щелкните по Add (Добавить). Например, суффикс

GSO может принять следующий вид:

21. Когда вы добавите все записи каталога для созданных суффиксов, щелкните по

Exit (Выход), чтобы закрыть окно IBM Directory Management Tool.

Конфигурирование iPlanet Directory Server

Вначале проверьте, закончили ли вы установку и конфигурирование основного

сервера, как это описано в документации по продукту iPlanet Directory Server.

Дополнительную информацию смотрите в документации по продукту iPlanet

Directory Server по следующему Web-адресу:

http://docs.iplanet.com/docs/manuals/directory.html

Чтобы сконфигурировать iPlanet Directory Server для Tivoli Access Manager, сделайте

следующее:

1. Чтобы проверить, запущены ли демон сервера каталога (slapd-ID_сервера) и

демон сервера администрирования (admin-serv), сделайте следующее:

v В системах UNIX введите следующие команды:

/usr/iplanet/servers/slapd-ID_сервера/start-slapd

/usr/iplanet/servers/start-admin

v В системах Windows выберите Пуск → Настройка → Панель управления и

щелкните по значку Службы. Выберите службы iPlanet Administration Server 5.0

и iPlanet Directory Server 5, а затем щелкните по Запустить. 2. Чтобы запустить консоль iPlanet, введите следующее:

v В системах UNIX введите:

% /usr/iplanet/servers/startconsole

v В системах Windows выберите Пуск → Программы → iPlanet Server Products

→ iPlanet Console 5.0.

Появится окно iPlanet Console Login (Регистрация на консоли iPlanet), если

каталог конфигурации (каталог o=NetscapeRoot) не хранится на отдельном

экземпляре iPlanet Directory Server. В этом случае появится окно, в котором вас

попросят ввести ID администратора, пароль и адрес Web-сервера

администрирования для этого сервера каталога.



3. Зарегистрируйтесь, указав ID и пароль администратора LDAP. Например,

введите cn=Directory Manager и соответствующий пароль как показано ниже:

Появится консоль iPlanet.

4. На вкладке Topology (Топология) щелкните по значку Directory Server (Сервер

каталога). Появится консоль iPlanet Directory Server.

5. На консоли iPlanet Directory Server выберите вкладку Configuration

(Конфигурация).

6. Щелкните правой кнопкой мыши по Data (Данные) в левой навигационной

панели, а затем выберите New Root Suffix (Новый корневой суффикс). Новый

суффикс также можно создать, выбрав в строке меню Data (Данные), а затем

выбрав Object → Suffix (Объект → Суффикс), как показано ниже:

Появится всплывающее окно, в котором вас попросят ввести новый суффикс и

имя базы данных.

7. Чтобы создать суффикс для хранения данных Tivoli Access Manager, в поле New

suffix (Новый суффикс) введите secAuthority=Default. Затем введите

уникальное имя для новой базы данных и щелкните по OK, как показано ниже:

Примечание: Переключатель Create associated database automatically

(Автоматически создать связанную базу данных) выбирается по

умолчанию. Это нужно для того, чтобы одновременно с новым

iPlanet Directory Server


корневым суффиксом создавалась соответствующая база данных.

Новый корневой суффикс не будет действовать, пока вы не

создадите новую базу данных.

8. Если вы решили создать суффикс для обработки метаданных GSO, введите

имя-идентификатор суффикса в поле New suffix (Новый суффикс) и введите

уникальное имя базы данных. Например, вы можете ввести o=tivoli,c=us и

щелкнуть по OK, как показано на рисунке:

При конфигурировании Tivoli Access Manager вас попросят ввести суффикс GSO.

Дополнительную информацию о GSO смотрите в разделе “Обзор

конфигурирования сервера LDAP” на стр. 19.


v Если вы не добавляли никаких суффиксов, кроме secAuthority=Default,

пропустите шаги с 10 по 13. Запись каталога secAuthority=Default

добавляется автоматически при конфигурировании Policy Server.

v Если вы добавляли какие-либо другие суффиксы помимо

secAuthority=Default, перейдите к шагу 10, чтобы создать записи каталога

для каждого суффикса.10. Щелкните по вкладке Directory (Каталог) и выделите имя сервера в верхней

части левой панели.

11. Выберите Objects → New Root Object (Объекты → Новый корневой объект).

Появится следующий список новых суффиксов, записи для которых еще не

существуют:

12. Выберите новый суффикс для каждого нового суффикса (кроме

secAuthority=Default). Появится окно New Object (Новый объект). Прокрутите

данные в окне, чтобы найти тип записи, соответствующий создаваемому

суффиксу. Например, для суффикса o=tivoli,c=us можно выбрать тип

organization (Организация). Выделите тип записи и щелкните по OK, как



показано на рисунке:

13. В окне Property Editor (Редактор свойств) введите значение для записи. В

примере суффикса o=tivoli,c=us в качестве значения для organization введите

tivoli, а затем щелкните по OK как показано на рисунке:

14. После того, как вы создадите записи для всех добавленных суффиксов, выберите

Console → Exit (Консоль → Выход), чтобы закрыть консоль.

Конфигурирование Novell eDirectory

Вначале убедитесь, что вы выполнили основные шаги по установке и

конфигурированию Novell eDirectory и средства ConsoleOne, как это описано в

документации по продукту Novell, которую можно найти в Web по адресу:

http://www.novell.com/documentation/lg/ndsedir86/index.html

Кроме того, обязательно ознакомьтесь с требованиями к системе и к программным

средствам для Tivoli Access Manager, которые приводятся в документе IBM Tivoli

Access Manager Release Notes.

Чтобы сконфигурировать Novell eDirectory для Tivoli Access Manager, сделайте

следующее:

1. Зарегистрируйтесь на рабочей станции Novell Client и запустите ConsoleOne.



2. Раскройте дерево NDS, а затем раскройте дерево, созданное вами при установке.

В этом дереве будут две дочерние записи: объект организации и объект

контейнера Security (Защита).

3. Выберите значок организации; например, выберите AM. В левой панели окна

будут показаны объекты для вашей организации.

4. Чтобы обновить схему, так чтобы Tivoli Access Manager смог ее установить,

щелкните право кнопкой мыши по объекту LDAP Group (Группа LDAP) и

выберите Properties (Свойства). Появится записная книжка Properties (Свойства).

5. В окне Properties of the LDAP Group (Свойства группы LDAP) выберите вкладку

Class Mappings (Отображения классов).

6. В окне Table of LDAP Group Class Mappings (Таблица отображений классов групп

LDAP) удалить указанные ниже записи, после чего выберите Apply (Применить):

inetOrgPerson

groupOFNames

7. В окне Properties of the LDAP Group (Свойства группы LDAP) выберите вкладку

Attribute Mappings (Отображения атрибутов). Появится окно Table of LDAP Group

Attribute Mappings (Таблица отображений атрибутов групп LDAP).

8. Прокрутите таблицу и в списке NDS Attributes (Атрибуты NDS) выберите

атрибут Member (Член). Убедитесь, что соответствующим значением атрибута

LDAP также является Member (Член). Если значение атрибута LDAP отличается

от Member (Член), щелкните по Modify (Модифицировать).

9. В окне Attribute Mapping (Отображения атрибутов) введите указанные ниже

строки, после чего выберите ОК.

v NDS Attribute = Member

v Primary LDAP Attribute = Member

v Secondary LDAP attribute = uniqueMember

10. В окне Properties of the LDAP Group (Свойства группы LDAP) щелкните по Apply

(Применить) и по Close (Закрыть).

Добавление суффикса GSO для конфигурирования Tivoli

Access Manager

В процессе конфигурирования вы должны добавить суффикс GSO. Для этого сделайте

следующее:

1. Запустите ConsoleOne.

2. Определите, какой суффикс нужно использовать. Это - имя-идентификатор,

указывающее, в каком месте дереве каталогов (DIT) сервера LDAP должны

находиться метаданные глобальной регистрации (GSO). Вы можете либо ввести

суффикс, либо указать DN существующего места в дереве каталогов

(существующего) LDAP (но оно должно обозначать объект-контейнер).

3. Щелкните правой кнопкой мыши по объекту организации, выберите New →

Object → Country (Новый → Объект → Страна), а затем щелкните по ОК.

4. Введите кодовое обозначение страны. Например, введите US и щелкните по ОК.

Указанная вами страна появится на консоли в дереве IBM.

5. Щелкните правой кнопкой мыши по объекту страны (US), выберите New → Object

→ Organization (Новый → Объект → Организация), а затем щелкните по ОК.

6. Введите название вашей организации. Например, введите Tivoli и щелкните по

ОК.

Novell eDirectory


Конфигурирование серверов защиты z/OS и OS/390

В этом разделе описываются шаги по конфигурированию, необходимые для

подготовки сервера LDAP к работе в сочетании с Tivoli Access Manager в системах

z/OS или OS/390. Особое внимание уделено конфигурированию Tivoli Access Manager

в сочетании с собственным реестром SAF (Security Authorization Facility - Средство

авторизации системы защиты).

Эти рекомендации исходят из того, что для реестра Tivoli Access Manager выделен

новый экземпляр сервера LDAP. Более подробную информацию, касающуюся

используемого вами выпуска OS/390 или z/OS, смотрите в руководстве LDAP Server

Administration and Use. Этот документ можно найти в библиотеке z/OS по адресу:

http://www-1.ibm.com/servers/eserver/zseries/zos/bkserv/

Требования к системе и перечень применимых временных исправлений программ

(Program Temporary Fix - PTF) смотрите в документе IBM Tivoli Access Manager Release

Notes.

В этой главе содержатся следующие разделы. В ней также представлены примеры

файлов конфигурации.

v Создание базы данных DB2 для внутреннего интерфейса TDBM

v Создание файла конфигурации LDAP для внутреннего интерфейса TDBM

v Запуск сервера

v Обновление и загрузка файлов схем

v Как включить репликацию LDAP

v Конфигурирование Tivoli Access Manager для LDAP

Создание базы данных DB2 для внутреннего интерфейса

TDBM

Чтобы создать базу данных DB2 для внутреннего интерфейса TDBM, следуйте

инструкциям в файле README, который находится в следующем подкаталоге каталога

установки LDAP:

/usr/lpp/ldap/examples/sample_server

Нужно выполнить следующие шаги:

1. Произведите привязку интерфейса уровня вызова (Call Level Interface - CLI). CLI

обеспечивает для команд SQL уровень абстракции. В этом шаге устанавливается

среда, которая нужна, чтобы сервер LDAP мог использовать CLI. В примере

сервера представлен файл задания для привязки CLI. Чтобы можно было

выполнить это задание, администратор должен переместить этот файл в раздел

MVS™.Копию этого файла смотрите в разделе “Пример пакетного задания

привязки CLI” на стр. 206.

2. Создайте файл инициализации CLI. Файл инициализации предоставляет серверу

LDAP средство и источник данных для CLI. Пример этого файла находится в

примере сервера. Ссылка на него есть в файле конфигурации LDAP. Копию этого

файла смотрите в разделе “Пример файла инициализации CLI” на стр. 207.

3. Создайте новую базу данных. Для выполнения команд SQL используйте сценарии

SQL Processor Using File Input (SPUFI) с DB2 Interactive (DB2 I) на OS/390. Чтобы

создать новую базу данных и связанные табличные пространства, запустите файл

SPUFI (“Пример базы данных DB2 и сценария табличного пространства для

SPUFI” на стр. 198). Чтобы создать индексы для новой базы данных, запустите

Серверы защиты z/OS и OS/390


файл SPUFI (“Пример сценария индекса DB2 для SPUFI” на стр. 204). Учтите, что

для выполнения сценария SPUFI нужно вызвать DB2 I и выбрать SPUFI в меню

первичных опций (Primary Option Menu).

Создание файла конфигурации LDAP для внутреннего

интерфейса TDBM

Чтобы создать файл конфигурации LDAP для внутреннего интерфейса TDBM,

используйте пример файла конфигурации из раздела “Пример конфигурирования

LDAP” на стр. 197. Для TDBM необходимы следующие записи:

database TDBM GLDBTDBM

Задает тип базы данных и имя библиотеки. Эта запись отмечает начало

раздела TDBM в файле конфигурации.

databasename имя_базы_данных

Задает имя базы данных DB2, используемой во внутреннем интерфейсе. Оно

задается в опции CREATE DATABASE (Создать базу данных) SPUFI, которая

используется для создания базы данных и табличных пространств. Смотрите

шаг 3 на стр. 31.

dsnaoini набор_данных

Задает файл инициализации DB2. Дополнительную информацию о создании

этого файла смотрите в описании шага 2 на стр. 31. Значение этого

параметра имеет вид USERID.FILENAME (ID_пользователя.имя_файла).

dbuserid ID_пользователя

Задает пользователя OS/390, который является владельцем таблиц DB2.

ID_пользователя - это ID администратора, который запускал сценарии SPUFI

(в шаге 2 на стр. 31).

servername строчное_значение

Задает местонахождение сервера DB2, который управляет таблицами для

сервера LDAP. Строчное_значение - это значение, заданное в разделе DATA

SOURCE (Источник данных) файла инициализации CLI.

attrOverflowSize количество_байтов

Задает размер записей атрибутов, загружаемых в отдельные таблицы DB2.

Выберите такое значение, чтобы большие двоичные данные хранились в

отдельном табличном пространстве.

suffix dn_суффикса

Задает корень поддерева в пространстве имен, управляемом данным

сервером в границах данного внутреннего интерфейса. Включает в себя как

DN суффикса организации для реестра, так и запись secAuthority=Default,

которая задает DN для реестра пользователей Tivoli Access Manager.

Ниже приводится описание дополнительных записей, необходимых для

использования собственной аутентификации. Подробное объяснение этих записей

смотрите в публикации OS/390 LDAP Server Administration and Usage.

UseNativeAuth [SELECTED | ALL | OFF]

Параметр SELECTED указывает, что записи пользователя со значением для

атрибута ibm-nativeId аутентифицируются с помощью SAF. Опция

SELECTED обеспечивает наибольшую гибкость и сводит к минимуму

дополнительную нагрузку на администратора. Опция ALL указывает, что

аутентификация SAF производится на основе имени пользователя,

указанного в атрибуте записи UID (если не задан атрибут ibm-nativeId).



NativeAuthSubTree суффикс_dn

Задает корень поддерева или деревья в пространстве имен, к которому

применяется собственная аутентификация.

nativeAuthUpdateAllowed YES

Разрешает пользователям Tivoli Access Manager обновлять свои пароли SAF

с помощью Web-утилиты pkmspasswd.

Запуск сервера

Укажите местонахождение файла конфигурации, созданного в разделе

“Конфигурирование Tivoli Access Manager для LDAP” на стр. 35. В ходе запуска

сервер LDAP ищет и загружает несколько библиотек динамических связей (Dynamic

Link Library - DLL). DLL расположены в файловой системе PDS. При запуске slapd из

оболочки z/OS нужная PDS должна быть указана в переменной среды STEPLIB


export STEPLIB=GLD.SGLDLNK

export PATH=$PATH:/usr/lpp/ldap/sbin

GLDSLAPD -f slapd.conf

Обновление и загрузка файлов схем

Чтобы обновить и загрузить файлы схем, нужно вначале скопировать в ваш рабочий

каталог следующие файлы схем:

v schema.user.ldif

v schema.IBM.ldif

Файлы схем содержат объекты и атрибуты, используемые для организации данных

для служб Tivoli Access Manager, а также для класса объектов собственной

аутентификации SAF.

Вы должны изменить каждый файл схемы в соответствии с именем-идентификатором

(Distinguished Name - DN) суффикса организации в файле конфигурации LDAP. В

файле есть одна строка, задающая DN обновляемой схемы.

Например, отредактируйте файл схемы, изменив:

dn: cn=schema, suffix

на:

dn: cn=schema,o=tivoli,c=us

Загрузите эти записи с помощью команды ldapmodify следующим образом:

ldapmodify -h имя_хоста -p порт -D DN_привязки -w пароль_для_привязки -f файл_схемы

Примечание: Нужно загрузить файл schema.user.ldif, а затем schema.IBM.ldif.

Перезагружать схему для каждого сконфигурированного DN суффикса

не нужно.

Применение списков ACL к новым суффиксам LDAP

Для каждого суффикса, к которому обращается Tivoli Access Manager, вы должны

будете применить ACL LDIF, как описано ниже. Учтите, что существует новое,

ограниченное разрешение для членов группы с общим именем cn=securitygroup.



Команда ldapmodify имеет следующий вид:

ldapmodify -h имя_хоста -p порт -D DN_админ -c -v -f имя_файла_ldif

Как включить репликацию LDAP

В этом разделе рассказывается, как включить репликацию LDAP. Серверы LDAP при

решении задач репликации используют модель ведущий-ведомый. Ведущий сервер

отправляет обновления каталогов на ведомый сервер. Ведомый сервер, или сервер

реплики, может совместно использовать загрузку для чтения запросов и служить в

качестве резервного сервера.

По умолчанию сервер LDAP конфигурируется как ведущий сервер. Чтобы включить

репликацию, нужно предоставить ведущему серверу объект, подробно описывающий

местонахождение одного или нескольких серверов реплик.

Добавление раздела в файл конфигурации сервера реплики

LDAP

Чтобы добавить раздел в файл конфигурации сервера реплики LDAP, смотрите

соответствующий пример в разделе “Пример конфигурирования LDAP” на стр. 197.

Ниже приводятся записи, которые требуются для сервера реплики LDAP:

masterServer ldapURL

Задает URL LDAP в виде ldap://имя_сервера:порт. В этом параметре

указывается FQDN и номер порта ведущего сервера.

masterServerDN DN

Задает DN, указанный вами в параметре replicaBindDN в разделе

“Добавление объекта во внутренний интерфейс ведущего сервера LDAP”.

masterServerPW строчное_значение

Задает пароль, который вы указали в параметре replicaCredentials в

разделе “Добавление объекта во внутренний интерфейс ведущего сервера

LDAP”.

Добавление объекта во внутренний интерфейс ведущего

сервера LDAP

Ниже приведен пример файла ldif, представляющего собой объект следующего

вида:

dn: cn=replicas

objectclass: replicaObject

cn: replicas

replicaHost: имя_хоста

replicaPort: порт

replicaBindDn: любое_уникальное_DN_для_привязки

replicaCredentials: пароль_для_привязки

description:"Здесь содержится описание"

Этот объект можно загрузить с помощью команды ldapmodify следующим образом:

<суффикс>

aclpropagate=TRUE

aclentry=group:cn=ivacld-servers,cn=securitygroups,secauthority=default:normal:csr

aclentry=group:cn=remote-acl-users,cn=securitygroups,secauthority=default:normal:csr

aclentry=group:cn=securitygroup,secauthority=default:object:ad:normal:cwsr:sensitive:cwsr:critical: \

cwsr:restricted:cwsr

aclentry=access-id:<LDAP admin DN>:object:ad:normal:rwsc:sensitive:rwsc:critical:cwsr:restricted:cwsr

<суффикс>

ownerpropagate=TRUE

entryOwner=group:cn=SecurityGroup,secAuthority=Default

entryOwner=access-id:LDAP admin DN>



ldapmodify -h имя_хоста -p порт -D DN_привязки -w пароль_для_привязки -f файл_схемы

Конфигурирование Tivoli Access Manager для LDAP

Чтобы использовать собственную аутентификацию, нужно отключить параметр

auth-using-compare. Для этого отредактируйте раздел [ldap] в файлах ivmgrd.conf

и webseald.conf, изменив строку следующим образом:

auth-using-compare = no

По умолчанию аутентификация в LDAP производится с помощью операции compare,

а не bind.

Tivoli Access Manager поддерживает защиту от сбоев LDAP и балансировку нагрузки

для операций чтения.К операциям чтения в Tivoli Access Manager относятся запросы

об аутентификации и запросы о получении данных GSO.Если вы сконфигурировали

сервер реплик (смотрите раздел “Как включить репликацию LDAP” на стр. 34), вы

можете сообщить программе Tivoli Access Manager имя хоста реплики, указав его в

файле ldap.conf.

Администрирование пользователей собственной

аутентификации

При добавлении собственной аутентификации большинство административных задач

остается без изменений. Такие операции, как создание пользователей, просмотр

пользователей, добавление пользователя в запись или группу ACL и все команды

модификации пользователей (за исключением изменения пароля) выполняются так

же, как если бы Tivoli Access Manager был сконфигурирован с использованием

любого другого реестра LDAP. Пользователи могут изменять свои пароли SAF с

помощью Web-утилиты pkmspasswd.

Собственная аутентификация обеспечивает дополнительную возможность

отображения нескольких пользователей Tivoli Access Manager в один ID

пользователей SAF.Это означает, что у нескольких пользователей будет один и тот

же идентификатор ibm-nativeId, и все эти пользователи будут использовать при

привязке один и тот же пароль.Поэтому разумным шагом с вашей стороны было бы

сделать так, чтобы пользователи, отображенные в одного пользователя SAF, не

могли изменить пароль SAF (иначе велика вероятность того, что пользователь

сможет нечаянно заблокировать учетную запись для всех остальных пользователей,

для которых используется данное отображение).

pdadmin> group modify SAFusers add user1

pdadmin> acl create deny_pkms

pdadmin> acl modify deny_pkms set group SAFusers T

pdadmin> acl attach /Webseal/имя_сервера/pkmspasswd

deny_pkms

Привязка собственной аутентификации LDAP OS/390 не дает прав на переустановку

пароля. Например, при включенной собственной аутентификации приведенная ниже

команда администрирования Tivoli Access Manager работать не будет:

pdadmin> user modify user1 password ChangeMe1

Кроме того, нет никакой готовой команды администрирования, с помощью которой

можно было бы сконфигурировать запись ibm-nativeId для пользователя. На этот

случай ниже приводятся инструкции, которые помогут вам управлять

пользователями Tivoli Access Manager с заданными идентификаторами nativeId.

Команда user create не меняется:



pdadmin> user create user1 cn=user1,o=tivoli,c=us user1 user1 ChangeMe1

pdadmin> user modify user1 account-valid yes

Пароль (в этом примере - ChangeMe1) устанавливается в записи пользователя

userpassword в LDAP; если включена собственная аутентификация, эта запись силы

не имеет. В производственной среде — на случай, если собственная аутентификация

случайно отключится — имеет смысл использовать в качестве этого пароля какое-то

длинное слово, которые было бы трудно угадать.

Чтобы сконфигурировать запись ibm-nativeId для пользователя, создайте файл ldif

следующего вида:

cn=user1,o=tivoli,c=us

objectclass=inetOrgPerson

objectclass=ibm-nativeAuthentication

ibm-nativeId=имя_пользователя_SAF

Файл ldif можно загрузить с помощью команды ldapmodify следующим образом:

ldapmodify -h имя_хоста -p порт -D DN_привязки -w

пароль_привязки -f файл_схемы

Команда SAF для сброса пароля пользователя:

префикс_подсистемы ALTUSER ID_пользователя

PASSWORD пароль

Конфигурирование Active Directory

Чтобы установить Active Directory для Tivoli Access Manager, нужно проделать

следующее:

1. Создать домен Active Directory.

2. Присоединить домен Active Directory.

3. Создать администратора Active Directory

Следующим шагом после настройки домена Active Directory для совместного

использования с Tivoli Access Manager будет установка компонентов Tivoli Access

Manager в защищенном домене. Инструкции смотрите в разделе Глава 7, “Установка

Tivoli Access Manager в Windows”, на стр. 83. Имейте в виду, что для Active Directory

продукт IBM Directory Client устанавливать не нужно. Кроме того, компоненты Tivoli

Access Manager нужно устанавливать в том порядке, какой указан в шаге 4 на стр. 9

инструкций по собственной установке.

Замечания по Active Directory

Перед конфигурированием Active Directory для Tivoli Access Manager обязательно

ознакомьтесь со следующими замечаниями:

v Tivoli Access Manager можно сконфигурировать в среде Active Directory, состоящей

из одного или нескольких доменов. Информацию об однодоменных и

мультидоменных средах смотрите в документации о продукте Active Directory по

следующему адресу Web:

http://www.microsoft.com/windows2000/en/server/help/

v В однодоменной среде компьютер, не являющийся контроллером домена, должен

относиться к тому же домену, в котором сконфигурирован Tivoli Access Manager. В

мультидоменной среде компьютер, не являющийся контроллером домена, должен

входить в домен Access Manager.

v Использовать пакетные файлы простой установки для установки Tivoli Access

Manager нельзя.



v Поддерживается только глобальная группа защиты.

v Чтобы импортировать пользователя Active Directory как пользователя Tivoli

Access Manager, используйте в качестве ID пользователя Tivoli Access Manager

регистрационное имя (login) пользователя Active Directory.

v Если вы установили и сконфигурировали Tivoli Access Manager на клиенте Active

Directory (например, Tivoli Access Manager и Active Directory установлены на разных

компьютерах), то, чтобы сконфигурировать Tivoli Access Manager на

компьютере-клиенте, компьютер-клиент следует присоединить к домену, а вы

должны зарегистрироваться в домене как Администратор.

v В настройках сетевого протокола TCP/IP на компьютере-клиенте и на контроллере

домена должен быть указан один и тот же сервер DNS. В качестве сервера DNS

можно использовать контроллер корневого домена или отдельный сервер DNS.

v Если Tivoli Access Manager сконфигурирован в одном домене и это не корневой

домен, нужно вручную запустить утилиту adschema_update.exe на контроллере

корневого домена.

Создание домена Active Directory

Чтобы повысить ранг вашего сервера Windows 2000 до контроллера домена,

используйте Active Directory Configuration Wizard (Мастер конфигурирования Active

Directory). При создании контроллера домена также создается и домен Active

Directory.

Вначале нужно решить, хотите ли вы создать контроллер домена для нового домена

или создать дополнительный контроллер для существующего домена. Если вы

собираетесь создать контроллер домена для нового домена, нужно решить, будет ли

новый домен одним из следующих:

v Первый домен в новом лесу

v Первый домен в новом дереве доменов в существующем лесу

v Дочерний домен в существующем дереве доменов

Примечание: Перед конфигурированием нового контроллера домена, если имя

нового домена отсутствует в списке зон переадресации поиска (Forward

Lookup Zones) DNS, его нужно создать как новую зону.

Дополнительную информацию о контроллерах доменов, деревьях и

массивах доменов смотрите в документации по Windows 2000 Server.

Чтобы создать домен или добавить в существующий домен дополнительный

контроллер домена, сделайте следующее:

v “Присоединение к домену Active Directory”

v “Создание администратора Active Directory” на стр. 40

Присоединение к домену Active Directory

После создания домена Active Directory присоедините Windows 2000 Advanced Server к

домену Active Directory описанным ниже способом.

Примечание: Убедитесь, что вы зарегистрировались на локальном компьютере в

качестве администратора и у вас есть действительные имя пользователя

и пароль. Кроме того, перед добавлением компьютера в домен

убедитесь, что компьютер-клиент и компьютер-сервер относятся к

одной и той же системе доменных имен (DNS).

1. Щелкните правой кнопкой мыши по Мой компьютер, а затем в выпадающем меню

щелкните по Свойства. Появится окно Свойства: Система.

Active Directory


2. Щелкните по вкладке Идентификация сети.

3. Щелкните по Свойства. В списке Член выберите по записи Домена и введите имя

домена, к которому нужно присоединиться. Чтобы продолжить, щелкните по OK.

Active Directory


4. В окне Domain Username And Password (Имя и пароль пользователя домена)

введите действительные имя пользователя и пароль, а затем щелкните по ОК,

чтобы присоединить компьютер к домену.

5. Если операция присоединения завершится успешно, появится окно с

приветствием, аналогичное показанному на рисунке. Чтобы продолжить,

щелкните по OK.

6. Появится диалоговое окно, в котором будет указано, что нужно перезагрузить

компьютер. Чтобы продолжить, щелкните по OK.

7. Появится записная книжка Свойства: Система, в которой будет указано, что

операция присоединения завершена. Щелкните по ОК, чтобы перезагрузить

Active Directory


компьютер.

Примечание: После перезапуска системы убедитесь, что вы регистрируетесь в

домене AD, к которому вы только что присоединились. Обычно в

окне регистрации в Windows 2000 доменом по умолчанию является

локальный домен.

Создание администратора Active Directory

Чтобы создать администратора Active Directory для инициализации Tivoli Access

Manager, сделайте следующее:

1. На компьютере-сервере Active Directory выберите Пуск → Программы →

Администрирование → Active Directory Users and Computers (Пользователи и

Компьютеры).

2. Создайте нового пользователя и добавьте его в группы Administrators

(Администраторы), Domain Admins (Администраторы доменов), Enterprise Admins

(Администраторы предприятия) и Schema Admins (Администраторы схем). Этот

пользователь является только пользователем Active Directory, но не

пользователем Tivoli Access Manager.В качестве имени для регистрации

пользователя можно выбрать любое имя, за исключением sec_master, которое

зарезервировано для администратора Tivoli Access Manager.

Репликация Active Directory

Когда контроллер домена вносит изменение в свою локальную копию Active

Directory, включается таймер, чтобы определить, когда нужно уведомить об этом

изменении партнеров репликации контроллера домена. По умолчанию, этот интервал

составляет 300 секунд (5 минут). По истечении этого промежутка времени

Active Directory


контроллер домена отправит каждому партнеру внутрисайтовой репликации

уведомление о том, что у него есть изменения, которые надо распространить. Другой

конфигурируемый параметр задает продолжительность паузы (в секундах) между

уведомлениями. Этот параметр исключает возможность одновременных ответов от

партнеров репликации. По умолчанию этот интервал составляет 30 секунд. Оба эти

интервала можно изменить, отредактировав реестр.

Чтобы изменить интервал времени между изменением в Active Directory и первым

уведомлением партнера репликации, с помощью редактора реестра (Registry Editor)

измените значение DWORD для параметра Replicator notify pause after modify (secs)

(Пауза до уведомления партнера репликации после изменения, в сек.) в следующем

ключе реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

Внимание: Будьте осторожны при модификации данных с помощью редактора

реестра. При его неправильном использовании могут возникнуть серьезные

неполадки, вплоть до того, что вам придется переустановить операционную систему.

По умолчанию значение DWORD в шестнадцатеричном формате для параметра

Replicator notify pause after modify (secs) (Пауза до уведомления партнера

репликации после изменения, в сек.) составляет 0x12c, что в десятеричном формате

соответствует 300, то есть, 5 минутам.

Чтобы изменить величину задержки уведомлений для контроллеров домена, с

помощью Registry Editor измените значение DWORD параметра Replicator notify

pause between DSAs (secs) (Пауза до уведомления партнера репликации между DSA, в

сек.) в следующем ключе реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

По умолчанию значение DWORD дляReplicator notify pause between DSAs (secs)

((Пауза до уведомления партнера репликации между DSA, в сек.) - 0x1e (в

шестнадцатеричном формате), что в десятеричном формате соответствует 30 (30

секундам).

Примечание: Перед редактированием реестра нужно остановить сервер политики

(Policy Server), а после этого - перезагрузить компьютер.

При конфигурировании мультидоменной среды Active Directory распространение

данных по умолчанию происходит с 5-минутной задержкой. Пользователь или

группа, созданные в некорневых доменах, могут оказаться невидимыми для команд

user list или group list. Аналогично, может оказаться, что пользователь или группа,

вновь созданные в контроллере первичного корневого домена, не будут сразу видны

во вторичном корневом домене. Подобрав значения параметров Replicator notify

pause after modify (Пауза до уведомления партнера репликации после изменения) и

Replicator notify pause between DSAs (Пауза до уведомления партнера репликации

между DSA) в реестре Windows 2000, можно настроить систему так, чтобы она

наилучшим образом соответствовала требованиям вашей среды.

Конфигурирование Lotus Domino

Чтобы сконфигурировать сервер Domino™ в качестве реестра для Tivoli Access

Manager, нужно установить клиент Lotus Notes® на сервере Domino. Кроме того, на

сервере Domino нужно включить интерфейс Lightweight Directory Access Protocol

(LDAP). Это необходимо, чтобы Tivoli Access Manager мог производить

аутентификацию пользователей, используя их Интернет-пароль. Требования к

системе смотрите в документе IBM Tivoli Access Manager Base Administrator’s Guide.

Active Directory


Tivoli Access Manager в сочетании с реестром Domino поддерживается только на

платформах Windows. Это связано с тем, что для Tivoli Access Manager нужен клиент

Notes, который выпускается только для поддерживаемых платформ Windows.

Поскольку требуется связь LDAP, для каждого компьютера Tivoli Access Manager

также необходимо, чтобы на компьютере был установлен клиент IBM Directory Client.

IBM Directory Client используется для удаленной аутентификации на сервере Domino

для проверки имени пользователя и пароля.Клиент Notes обеспечивает возможность

прямого доступа к домену (с использованием заранее заданной привилегированной

учетной записи) и для выполнения всех остальных задач (например, для просмотра и

обновления информации о пользователях).

Установка клиента Lotus Notes на сервере Domino

Чтобы установить клиент Notes на сервере Domino, сделайте следующее:

1. Запустите файл установки клиента Notes с компакт-диска Notes/Domino для

Windows.

2. В диалоговом окне Notes Installation Options (Опции установки Notes) выберите

Typical (Стандартная), чтобы установить только клиент Notes. Подробное

описание установки клиента Notes смотрите в руководстве Lotus Notes Installation

Guide.

3. По завершении установки запустите клиент Notes, чтобы произвести

конфигурирование.

4. Выберите Connect to a Domino Server (Соединиться с Domino Server).

5. Выберите Network connection (via LAN) (Сетевое соединение (через локальную

сеть)).

6. Введите полное имя сервера Domino. Например, введите:

domino1/Tivoli

7. Выберите радиокнопку Use my name as identification option (Использовать мое

имя как параметр идентификации) и введите ID администратора Tivoli Access

Manager (например, AMDaemons). Если вы предоставляете ID-файл, выберите

переключатель User ID was supplied to you in a file (ID пользователя был

предоставлен в файле) и поместите ID-файл в каталог c:\lotus\notes\data.

8. Чтобы продолжить, щелкните по OK. Если у вас запросят дополнительную

информацию о конфигурации, можно просто принять все значения по

умолчанию. Щелкните по Finish (Готово), чтобы продолжить конфигурирование

клиента Notes.

9. Если нужно, выберите радиокнопку Do not connect to an internet proxy server (Не

соединяться с прокси-сервером Интернет).

Когда клиент Notes сможет получить доступ к удаленному серверу Domino,

появится подсказка о вводе пароля.

10. Введите пароль администратора Tivoli Access Manager. Если пароль введен

правильно, клиент Notes продолжит работу, чтобы закончить конфигурирование.

По завершении конфигурирования ID-файл администратора Notes будет

установлен в каталоге установки Notes на локальном компьютере.

Создание пользователя-администратора Tivoli Access

Manager для Domino

1. В окне графического пользовательского интерфейса рабочего пространства

Domino Administrator выберите меню People (Люди), которое находится справа.

2. В этом выпадающем меню выберите Register (Зарегистрировать).

Domino


3. Выберите ID сертификатора сервера Domino (местонахождение по умолчанию -

C:\Lotus\Domino\data).

4. Введите пароль сертификатора (он был задан при конфигурировании сервера).

5. Выберите переключатель Advanced (Дополнительно) и введите информацию о

пользователе-администраторе Tivoli Access Manager и его пароль.Например:

v First name: (Имя) PD

v Last name: (Фамилия) Daemons

v Password: (Пароль) password6. Щелкните по ID Info (Информация об ID), чтобы убедиться в том, что файл ID

Notes сохранен в каталоге Domino.

7. Щелкните по кнопке Add person (Добавить личность), чтобы добавить

пользователя-администратора Tivoli Access Manager в очередь Регистрации.В

очереди появится документ личности.

8. Выделите документ личности в очереди и щелкните по Register

(Зарегистрировать), чтобы добавить пользователя на сервер Domino.

9. В меню View (Вид) щелкните по Refresh (Обновить) и убедитесь в том, что на

сервере Domino создан документ личности пользователя Tivoli Access Manager.

Domino


Domino


Глава 3. Установка Tivoli Access Manager в AIX

В этой главе описываются установка и конфигурирование компонентов Tivoli Access

Manager в системах AIX. Даны инструкции по простой установке и по установке с

помощью собственной программы установки. Здесь содержатся следующие основные

разделы:

v “Использование простой установки”

v “Использование собственной программы установки” на стр. 47

v “Деинсталляция Tivoli Access Manager” на стр. 53

Использование простой установки

Прежде чем приступать к работе...

v Установите все пакеты исправлений для операционной системы и

ознакомьтесь с требованиями к системе, приведенными в документе IBM

Tivoli Access Manager for e-business Release Notes.

v Убедитесь, что вы настроили системы Tivoli Access Manager в

последовательности, указанной в “Инструкции по установке” на стр. 6.

v Ознакомьтесь с тем, какие решения по конфигурированию вы должны будете

принять во время простой установки. Описание опций конфигурации простой

установки и пошаговые инструкции с иллюстрациями смотрите в разделе

Глава 9, “Сценарии простой установки в UNIX”, на стр. 105.

Используйте сценарии простой установки, если вы создаете защищенный домен или

добавляете системы или компоненты к уже существующим. Простая установка

упрощает установку Tivoli Access Manager, автоматически устанавливая вместе с этим

продуктом все программы, необходимые для его работы. Например, если вы

запустите ezinstall_ldap_server, чтобы установить и сконфигурировать IBM Directory

Server в качестве реестра Tivoli Access Manager, этот сценарий установит IBM

Directory Server и все продукты и исправления, необходимые для его работы.

Программа простой установки также определяет, установлены ли необходимые

продукты, и не пытается их переустанавливать. Например, если запустить сценарий

ezinstall_pdmgr для установки сервера политики (Policy Server) на том же

компьютере, где вы уже запускали ezinstall_ldap_server, программа не станет

переустанавливать ни GSKit, ни IBM SecureWay Directory Client.

Выполнение сценария простой установки начнется с того, что вас попросят ввести

информацию для конфигурирования. После того, как вы введете эту информацию,

компоненты будут установлены и сконфигурированы без дальнейшего вашего

вмешательства. А если вы когда-либо захотите переустановить эти компоненты, то

сможете использовать для этого файл ответов, сгенерированный в ходе выполнения

сценария простой установки. В файле ответов автоматически сохраняются данные о

конфигурации, которые вы вводили в процессе установки, так что вам не нужно будет

вводить из повторно. Дополнительную информацию смотрите в разделе Глава 11,

“Использование файлов ответов при простой установке”, на стр. 157.

В Табл. 3 на стр. 46 перечислены сценарии простой установки для платформы AIX.

Все программы находятся в корневом каталоге на компакт-диске IBM Tivoli Access

Manager Base for AIX за исключением сценария ezinstall_wpm, который находится в

корневом каталоге на компакт-диске IBM Tivoli Access Manager Web Portal Manager for


AIX.

Таблица 3. Сценарии простой установки для AIX

Имя файла Описание

ezinstall_ldap_server Позволяет настроить систему сервера IBM Directory,

установив в ней следующие пакеты программ:

v IBM DB2


v IBM HTTP Server

v IBM Directory Client

v IBM Directory Server

Примечание: Если у вас уже имеется установленная версия

сервера IBM Directory Server, удалите ее перед запуском

данного сценария.

ezinstall_pdacld Позволяет настроить систему сервера авторизации,






ezinstall_pdauthadk Позволяет настроить систему разработки Tivoli Access

Manager, установив в ней следующие пакеты программ:





ezinstall_pdmgr Позволяет настроить систему сервера политики Tivoli Access






ezinstall_pdwpm Позволяет настроить систему Web Portal Manager, установив в

ней следующие пакеты программ:




v IBM WebSphere Application Server, Advanced Single Server

4.0 и FixPack 3



install_pdrte Позволяет настроить систему среды выполнения Tivoli Access





AIX


Использование собственной программы установки




Tivoli Access Manager Base Administrator’s Guide.

v Убедитесь, что вы, следуя инструкциям, настроили системы Tivoli Access

Manager в последовательности, указанной в “Инструкции по установке” на

стр. 6.


принять во время собственной установки. Описание опций конфигурации при

использовании собственной установки смотрите в разделе “Параметры

конфигурации собственной программы установки в UNIX” на стр. 189

В этом разделе содержатся инструкции по установке и конфигурированию

компонентов Tivoli Access Manager с помощью собственных утилит операционной

системы. В отличие от автоматических сценариев, которые используются при

простой установки, вы должны вручную установить каждый компонент и все

необходимые программы в нужном порядке.

В этом разделе рассмотрены следующие основные вопросы:

v “Установка IBM Global Security Toolkit”

v “Установка IBM Directory Client” на стр. 48

v “Установка и конфигурирование компонентов Tivoli Access Manager” на стр. 48

v “Установка среды JRE, соответствующей платформе” на стр. 49

v “Установка и конфигурирование Tivoli Access Manager Java Runtime Environment”

на стр. 49

v “Установка и конфигурирование системы Web Portal Manager” на стр. 50

Установка IBM Global Security Toolkit

Чтобы установить GSKit в системе AIX, сделайте следующее:

1. Зарегистрируйтесь в системе в качестве пользователя root.

2. Вставьте в устройство CD-ROM компакт-диск IBM Tivoli Access Manager Base для

AIX.

3. В командной строке введите следующее:

installp -c -a -g -X -d /dev/cd0 gskkm.rte

4. Чтобы утилита iKeyman запустилась корректно, нужно задать следующую

переменную AIX:

export JAVA_HOME=путь

где путь - это путь к каталогу, где установлен компонент Tivoli Access Manager

Java Runtime Environment.

После установки GSKit никакого конфигурирования не требуется.

Обратите внимание на то, что утилита управления ключами iKeyman (gsk5ikm)

устанавливается вместе с пакетом GSKit. Это позволит вам создавать файлы ключей

SSL, пары открытый ключ/секретный ключ и запросы о выдаче сертификатов.

AIX

Глава 3. Установка Tivoli Access Manager в AIX 47

Дополнительные сведения смотрите в разделе Приложение A, “Как включить Secure

Sockets Layer”, на стр. 165 и в публикации Secure Sockets Layer Introduction and

iKeyman User’s Guide.

Установка IBM Directory Client

Чтобы установить IBM Directory Client в системе AIX, сделайте следующее:



AIX.


installp -c -a -g -X -d /dev/cd0 ldap.client

ldap.max_crypto_client

После установки IBM Directory Client никакого конфигурирования не требуется.

Установка и конфигурирование компонентов Tivoli Access

Manager




Tivoli Access Manager Base Administrator’s Guide.



стр. 6.





Чтобы установить компоненты Tivoli Access Manager, сделайте следующее:


2. Чтобы установить компоненты Tivoli Access Manager, выполните одно из

следующих действий:

v Вставьте в устройство CD-ROM компакт-диск IBM Tivoli Access Manager Base

для AIX.

v Только для компонента Web Portal Manager: Вставьте компакт-диск IBM Tivoli

Access Manager Web Portal Manager for AIX в устройство CD-ROM.3. В командной строке введите следующее:

installp -c -a -g -X -d /dev/cd0 пакет

где /dev/cd0 - каталог, а пакет - один или несколько нижеперечисленных

компонентов:

PD.RTE Tivoli Access Manager Runtime.

PD.Mgr Tivoli Access Manager Policy Server.

PD.AuthADK Tivoli Access Manager Application Development Kit.

PD.Acld Tivoli Access Manager Authorization Server.

PD.WPM Tivoli Access Manager Web Portal Manager. Вы должны выполнить

AIX


инструкции, приведенные в разделе “Установка и

конфигурирование системы Web Portal Manager” на стр. 50.

Установка этого компонента - только часть процедуры установки

Web Portal Manager.

PDJ.rte Tivoli Access Manager Java Runtime Environment. Вы должны

выполнить инструкции, приведенные в разделе “Установка и

конфигурирование Tivoli Access Manager Java Runtime

Environment”. Установка этого компонента - только часть

процедуры установки Java Runtime Environment.4. Чтобы запустить утилиту конфигурирования, введите команду:

pdconfig

Появится Меню установки Tivoli Access Manager.

5. Введите номер пункта меню Сконфигурировать пакет программ. Появится Меню

конфигурации Tivoli Access Manager. На экране появится список установленных

пакетов Tivoli Access Manager.

6. Выбирайте компоненты, которые хотите сконфигурировать, по одному.

В зависимости от того, какой компонент вы выбрали, у вас запросят параметры

конфигурации. Если вам нужна помощь в выборе параметров, смотрите раздел

“Параметры конфигурации собственной программы установки в UNIX” на стр.

189.

7. После того как появится сообщение, указывающее, что пакет программ успешно

сконфигурирован, нажмите Enter, чтобы сконфигурировать другой компонент,

или дважды выберите параметр x, чтобы закрыть утилиту конфигурирования.

Установка среды JRE, соответствующей платформе

При установке компонента Tivoli Access Manager Java Runtime и пакетов поддержки

национальных языков необходима среда JRE, соответствующая используемой

платформе. Чтобы установить необходимый пакет JRE для AIX, введите команду:

installp -c -a -g -X -d /dev/cd0 Java131.rte

Чтобы задать переменную среды path, введите:

export PATH=путь_jre:$PATH

Чтобы узнать, поддерживается ли данный уровень JRE в вашей системе, смотрите

документ IBM Tivoli Access Manager Base Administrator’s Guide.

Установка и конфигурирование Tivoli Access Manager Java

Runtime Environment

Чтобы установить и сконфигурировать Tivoli Access Manager Java Runtime

Environment, выполните следующее:



AIX.

3. Установите среду JRE, поддерживаемую вашей платформой. Инструкции

смотрите в разделе “Установка среды JRE, соответствующей платформе”.

4. Чтобы установить Tivoli Access Manager Java Runtime Environment, введите

команду:

installp -c -a -g -X -d /dev/cd0 PDJ.rte

AIX


5. Чтобы сконфигурировать Tivoli Access Manager Java Runtime Environment для

использования в качестве текущей JRE, перейдите в каталог

каталог_установки/sbin и введите следующую команду:

pdjrtecfg -action config

Примечание: Дополнительную информацию о команде pdjrtecfg смотрите в

справочнике IBM Tivoli Access Manager Command Reference.

Установка и конфигурирование системы Web Portal Manager

Чтобы установить и сконфигурировать систему Web Portal Manager, выполните

следующее:

1. Установите GSKit. Смотрите раздел “Установка IBM Global Security Toolkit” на

стр. 47.

2. Установите IBM Directory Client. Смотрите раздел “Установка IBM Directory

Client” на стр. 48.

3. Установите IBM WebSphere Application Server, Advanced Single Server 4.0.

Смотрите раздел “Установка IBM WebSphere Application Server, Advanced Single

Server” на стр. 51.

4. Установите IBM WebSphere Application Server FixPack 3. Смотрите раздел

“Установка IBM WebSphere Application Server FixPack 3” на стр. 52.

5. Установите компонент Tivoli Access Manager Java Runtime. Для этого введите:

installp -c -a -g -X -d /dev/cd0 PDJ.rte

Примечание: Конфигурировать компонент Tivoli Access Manager Java Runtime не

нужно. Кроме того, не нужно вручную устанавливать JRE для

вашей платформы. WebSphere автоматически устанавливает среду

JRE для данной платформы и конфигурирует Tivoli Access Manager

Java Runtime Environment для использования в текущей JRE.

6. Установите и сконфигурируйте компоненты Tivoli Access Manager Runtime

Environment и Web Portal Manager. Смотрите раздел “Установка и

конфигурирование компонентов Tivoli Access Manager” на стр. 48.

Примечание: Компоненты Tivoli Access Manager Runtime Environment и Web

Portal Manager нужно установить на том же компьютере, что и IBM

WebSphere Application Server. Кроме того, если вы устанавливаете

IBM WebSphere Application Server после установки среды

выполнения Tivoli Access Manager, вы должны убедиться, что у вас

установлена версия GSKit, поддерживаемая Tivoli Access Manager.

7. Перед запуском интерфейса Web Portal Manager убедитесь, что WebSphere

Application Server работает. Для этого запустите сценарий startServer.sh,

находящийся в каталоге /usr/WebSphere/AppServer/bin.

Примечание: В процессе конфигурирования IBM WebSphere Application Server

автоматически конфигурируется для установления связи SSL через

порт 443.

8. Поддержка связи SSL между браузером и IBM HTTP Server включается

автоматически с использованием файла ключей SSL и файла хранения паролей

по умолчанию. Эти файлы предоставляются только для оценки. Вы должны

получить свой собственный сертификат и заменить у себя на компьютере

следующие файлы:

/var/PolicyDirector/keytab/pdwpm.kdb

Файл базы данных ключей. Путь файла задается в файле httpd.conf.

AIX


/var/PolicyDirector/keytab/pdwpm.sth

Файл, в котором хранится пароль базы данных ключей. 9. Если вы установили сервер LDAP, который не использует IBM HTTP Server, и

собираетесь установить Web Portal Manager на том же компьютере, убедитесь,

что для Web-серверов используются разные порты. Чтобы задать другой порт по

умолчанию для IBM HTTP Server, отредактируйте файл

/usr/HTTPServer/conf/httpd.conf, изменив в нем номер порта по умолчанию

(80) на 8080, как показано ниже:

# Порт: порт приема для автономного компьютера.

Port 8080

10. Чтобы получить доступ к интерфейсу Web Portal Manager, введите в Web-браузере

следующий адрес:

https://имя_хоста/pdadmin

где имя_хоста - имя хоста, на котором выполняется IBM HTTP Server.

Примечание: Чтобы обеспечить защищенные взаимодействия с IBM HTTP

Server, вы сейчас должны вместо http указать https.

На экране появится окно с приветствием Web Portal Manager и диалоговое окно

защищенного соединения.

Установка IBM WebSphere Application Server, Advanced Single

Server

Чтобы установить IBM WebSphere Application Server, Advanced Single Server 4.0,

сделайте следующее:


2. Вставьте в устройство CD-ROM компакт-диск IBM Tivoli Access Manager Web

Portal Manager для AIX.

3. Перейдите в каталог usr/sys/inst.images/WebSphere на устройстве, в котором

находится компакт-диск.


v Чтобы установить IBM WebSphere Application Server с использованием

графического пользовательского интерфейса, введите:

./install.sh

v Чтобы использовать файл ответов, запустите сценарий install.sh, как это

описано ниже, и перейдите к разделу “Установка IBM WebSphere Application

Server FixPack 3” на стр. 52.

./install.sh -silent -responseFile ./install.script \

-prereqfile ./prereq.properties

На экране появится окно WebSphere Application Server, Advanced Single Server

Edition. Чтобы продолжить, щелкните по Next (Далее).

Примечание: Вы должны иметь возможность наблюдать за экраном во время

установки на случай, если у вас запросят какие-либо указания или

если произойдет ошибка.

5. Выберите Typical installation (Стандартная установка) (этот вариант выбирается

по умолчанию) и щелкните по Next (Далее).

6. На экран будут выведены каталоги назначения по умолчанию для WebSphere

Application Server и IBM HTTP Server. Если на компьютере уже установлена

AIX


поддерживаемая версия IBM HTTP Server, соответствующий каталог показан не

будет. Запишите эти пути и выберите Next (Далее), чтобы принять значения по

умолчанию.

Примечание: Во время установки WebSphere Application Server FixPack 3 вас

попросят ввести указанные ниже пути. По умолчанию используются

следующие пути:

v WebSphere Application Server: /usr/WebSphere/AppServer.

v IBM HTTP Server: /usr/HTTPServer

На экране появится диалоговое окно с выбранными вами опциями установки.

Чтобы начать установку, выберите Install (Установить).

7. IBM WebSphere Application Server устанавливает IBM HTTP Server. Вы должны

установить указанное ниже исправление, которое находится в корневом каталоге

компакт-диска IBM Tivoli Access Manager Web Portal Manager for AIX. Для этого

введите:

http_1319_efix2.sh

8. Чтобы установить пакет исправлений (FixPack), смотрите раздел “Установка IBM

WebSphere Application Server FixPack 3”.

Установка IBM WebSphere Application Server FixPack 3

Чтобы установить пакет исправлений IBM WebSphere Application Server FixPack 3,


1. Остановите WebSphere Application Server, HTTP Server и сервер LDAP (если они

установлены на одном и том же компьютере).


Portal Manager для AIX.

3. Перейдите в каталог /usr/sys/inst.images/WebSphere_PTF3 на устройстве, в

котором находится компакт-диск, и запустите следующий сценарий:

install.sh

4. Укажите домашний каталог IBM WebSphere Application Server и нажмите Enter.

Например, введите следующую команду:

/usr/WebSphere/AppServer

5. Выберите Yes (Да), чтобы использовать Application Server.

6. Выберите Yes (Да), чтобы произвести обновление JDK.

7. Если в качестве реестра вы используете iPlanet Directory, выберите Yes (Да),

чтобы обновить конфигурацию Web-сервера iPlanet для ее поддержки сервером

WebSphere. В противном случае выберите No (Нет).

8. Выберите Yes (Да), чтобы обновить IBM HTTP Server.

9. Если вы используете IBM HTTP Server, укажите домашний каталог IBM HTTP

Server и нажмите Enter. Например, введите следующую команду:

/usr/HTTPServer

10. Выберите Yes (Да), чтобы использовать каталог журналов Application Server.

11. Выберите Yes (Да), чтобы поместить резервные копии в домашний каталог


Начнется обновление. В командной строке появится сообщение Upgrading IBM

JDK (Обновляется IBM JDK). Во время этого обновления IBM Developer Kit for

AIX® устанавливается в каталог WebSphere. Даже если IBM Developer Kit уже

установлен где-либо на вашем компьютере, никакого конфликта не возникнет.

По окончании обновления в командной строке появится сообщение

Installation completed with no errors. Please view the activity log for

AIX


details. Press any key to continue. (Установка завершилась без ошибок.

Дополнительные сведения смотрите в журнале операций. Для продолжения

нажмите любую клавишу.)

12. Нажмите любую клавишу, чтобы продолжить.

Теперь у вас установлены WebSphere Application Server, Advanced Single Server 4.0

и FixPack 3.

13. Перезапустите компьютер, чтобы изменения вступили в силу.

Деинсталляция Tivoli Access Manager


v Перед удалением компонентов остановите все службы и приложения Tivoli

Access Manager.

v Деконфигурируйте такие приложения Tivoli Access Manager, как WebSEAL, до

деконфигурирования компонентов Tivoli Access Manager Policy Server и


v Деконфигурируйте и деинсталлируйте Policy Server в последнюю очередь.

Деинсталляция Tivoli Access Manager складывается из двух этапов. Нужно

деконфигурировать компоненты, а затем удалить их, если только вам не предлагают

иной путь, как это делается в процессе обновления.


v “Деконфигурирование компонентов Tivoli Access Manager”

v “Удаление пакетов Tivoli Access Manager” на стр. 54

Деконфигурирование компонентов Tivoli Access Manager

Перед удалением пакетов Tivoli Access Manager нужно убедиться, что

соответствующие компоненты деконфигурированы. Для этого сделайте следующее:


2. Чтобы запустить утилиту конфигурирования, введите:

pdconfig

Появится Меню установки Access Manager for e-business.

3. Чтобы деконфигурировать компонент, введите номер пункта меню,

соответствующий этому компоненту Tivoli Access Manager. Повторите эту

процедуру для всех пакетов, которые вы хотите деконфигурировать.

Примечания:

v Если компонент не сконфигурирован, его можно просто удалить. Перейдите к

разделу “Удаление пакетов Tivoli Access Manager” на стр. 54.

v Если вы деконфигурируете сервер, вас попросят ввести имя-идентификатор и

пароль администратора LDAP.

v При деконфигурировании Policy Server из защищенного домена удаляется вся

информация о конфигурации и авторизации. К ней относится информация,

используемая такими приложениями Tivoli Access Manager, как

WebSEAL.Чтобы продолжить, введите y.4. Чтобы деконфигурировать Tivoli Access Manager Java Runtime Environment,

введите команду pdjrtecfg. Например, чтобы деконфигурировать среду JRE,

заданную переменной jre_path, введите команду:

pdjrtecfg -action unconfig -java_home путь_jre

AIX


Примечание: Вы обязательно должны ввести команду pdjrtecfg для каждой

сконфигурированной JRE. Дополнительную информацию смотрите

в разделе IBM Tivoli Access Manager Command Reference.

Удаление пакетов Tivoli Access Manager

Чтобы удалить компоненты из системы AIX, сделайте следующее:

1. Убедитесь, что компоненты деконфигурированы. Следуйте указаниям в разделе

“Деконфигурирование компонентов Tivoli Access Manager” на стр. 53.

2. Чтобы удалить один или несколько пакетов и все связанные с ними программы,

введите следующую команду:

installp -u -g пакет

где пакет - один из следующих пакетов:

Примечание: Используйте опцию –g, только если хотите удалить программу,

связанную с указанным пакетом.

PD.AuthADK Tivoli Access Manager Application Development Kit.

PD.Mgr Tivoli Access Manager Policy Server.

PD.Acld Tivoli Access Manager Authorization Server.

PD.RTE Tivoli Access Manager Runtime.

PDJ.rte Tivoli Access Manager Java Runtime Environment.

PD.WPM Tivoli Access Manager Web Portal Manager.

ldap.client IBM Directory Client.

ldap.max_crypto_client

Высший уровень шифрования для IBM Directory Client.

gskkm.rte GSKit.

AIX


Глава 4. Установка Tivoli Access Manager в HP-UX


Manager в системах HP-UX. Даны инструкции по простой установке и по установке с


разделы:








Tivoli Access Manager Release Notes.

v Обязательно настраивайте системы Tivoli Access Manager в









продуктом все программы, необходимые для его работы. Так, если вы запустите

сценарий ezinstall_pdmgr для настройки компьютера-сервера политики Tivoli Access

Manager, этот процесс установит компонент Policy Server и все программные средства

и исправления, необходимые для его работы. Программа простой установки также

определяет, установлены ли необходимые продукты, и не пытается их

переустанавливать. Например, если на компьютере, где уже устанавливались

продукты с помощью install_pdrte, запустить сценарий ezinstall_pdacld, он не

переустановит ни GSKit, ни IBM Directory Client, ни среду выполнения Tivoli Access

Manager (Runtime Environment).










В Табл. 4 на стр. 56 перечислены сценарии простой установки для платформы HP-UX.

Эти сценарии находятся в корневом каталоге на компакт-диске IBM Tivoli Access

Manager Base for HP-UX.


Таблица 4. Сценарии простой установки для HP-UX

Имя сценария Описание





























v Вы должны в соответствии с инструкциями настраивать системы Tivoli

Access Manager в той последовательности, как это указано к разделе

“Инструкции по установке” на стр. 6.





В этом разделе приведены сведения о том, как установить и сконфигурировать

компоненты Tivoli Access Manager с помощью собственных утилит операционной

системы.В отличие от автоматических сценариев, которые используются при простой

установки, вы должны вручную установить каждый компонент и все необходимые

пакеты исправлений в нужном порядке.


v “Установка IBM Global Security Toolkit” на стр. 57

HP-UX


v “Установка IBM Directory Client”




на стр. 59


Чтобы установить GSKit в системе HP-UX, сделайте следующее:



HP-UX.

3. Запустите в фоновом режиме pfs_mountd, а затем pfsd, если они не запущены.

Смонтируйте компакт-диск с помощью команды pfs_mount. Например, введите:

/usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom

где /dev/dsk/c0t0d0 - устройство CD-ROM, а /cd-rom - точка монтирования.


swinstall -s /cd-rom/hp gsk5bas

где /cd-rom/hp - каталог.

5. Убедитесь, что в качестве значения переменной SHLIB_PATH задано либо /usr/lib,

либо /opt/ibm/gsk5/lib. Если эта переменная не задана, введите следующее:

export SHLIB_PATH=/usr/lib;$SHLIB_PATH

Если эта переменная не задана, служба авторизации Tivoli Access Manager может

не получить доступ к библиотекам GSKit.


Учтите, что SHLIB_PATH требуется только для того, чтобы запустить утилиту

управления ключами iKeyman (gsk5ikm), которая устанавливается вместе с пакетом

GSKit. Это позволит вам создавать файлы ключей SSL, пары открытый

ключ/секретный ключ и запросы о выдаче сертификатов. Дополнительные сведения о

gsk5ikm смотрите в разделе Приложение A, “Как включить Secure Sockets Layer”, на

стр. 165 и в руководстве Secure Sockets Layer Introduction and iKeyman User’s Guide.


Чтобы установить IBM Directory Client в системе HP-UX, сделайте следующее:

1. Перед установкой данной версии проверьте, удалили ли вы все предыдущие

пакеты клиентов LDAP.



HP-UX.






swinstall -s /cd-rom/hp LDAPClient

HP-UX

Глава 4. Установка Tivoli Access Manager в HP-UX 57

где /cd-rom/hp - это каталог, а LDAPClient - имя пакета IBM Directory Client.

6. Чтобы установить исправление (patch) IBM Directory Client, перейдите в корневой

каталог на компакт-диске IBM Tivoli Access Manager Base for HP-UX и введите:

apply_ldap41_patch.sh



Manager












Чтобы установить Tivoli Access Manager в HP-UX, сделайте следующее:



HP-UX.






swinstall -s /cd-rom/hp пакет

где /cd-rom/hp - каталог, а пакет - один или несколько нижеперечисленных

пакетов:

PDRTE Tivoli Access Manager Runtime.

PDMgr Tivoli Access Manager Policy Server.

PDAuthADK Tivoli Access Manager Application Development Kit.

PDAcld Tivoli Access Manager Authorization Server.

PDJrte Tivoli Access Manager Java Runtime Environment. Вы должны



Environment” на стр. 59. Установка этого компонента - только

часть процедуры установки Java Runtime Environment.5. Чтобы запустить утилиту конфигурирования, введите команду:

pdconfig

HP-UX










189.







платформе. Чтобы установить необходимый пакет JRE для HP-UX, введите команду:

swinstall -s /устройство_cd_rom/hp rte_13101os11.depot B9789AA

где /устройство_cd_rom - точка монтирования компакт-диска, а

/устройство_cd_rom/hp - каталог.


PATH=путь_java:$PATH


документ IBM Tivoli Access Manager Release Notes.


Runtime Environment





HP-UX.


Смонтируйте компакт-диск командой pfs_mount.


смотрите в разделе “Установка среды JRE, соответствующей платформе”


команду:

swinstall -s /cd-rom/hp PDJrte

6. Чтобы сконфигурировать Java Runtime Environment для использования в качестве

текущей JRE, перейдите в каталог каталог_установки/sbin и введите следующую

команду:

pdjrtecfg -action config -java_home jre_path



HP-UX





Access Manager.








В этом разделе рассмотрены следующие вопросы:


v “Удаление пакетов Tivoli Access Manager”


До удаления пакетов Tivoli Access Manager из систем UNIX нужно

деконфигурировать компоненты.Для этого сделайте следующее:


2. Чтобы запустить утилиту конфигурирования, введите команду:

pdconfig


3. Нажмите 2, чтобы вызвать меню деконфигурирования. Затем введите номер

пункта меню, соответствующий компоненту Tivoli Access Manager, который вы

хотите деконфигурировать. Повторите эту процедуру для всех пакетов, которые

вы хотите деконфигурировать.



разделу “Удаление пакетов Tivoli Access Manager”.

v Если вы деконфигурируете сервер, то на экране появится подсказка о вводе

имени-идентификатора и пароля администратора LDAP.











Чтобы удалить компоненты из системы HP-UX, сделайте следующее:

1. Убедитесь, что компоненты деконфигурированы. Следуйте указаниям в разделе

“Деконфигурирование компонентов Tivoli Access Manager”.

HP-UX


2. Чтобы удалить один или несколько пакетов, введите следующую команду:

swremove пакет

где пакет - один из следующих пакетов (или несколько пакетов):

PDAuthADK Пакет ADK.




PDJrte Tivoli Access Manager Java Runtime Environment.

LDAPClient IBM Directory Client.

gsk5bas GSKit.

На экране появится сообщение, указывающее, что выполняется сценарий

удаления. На экране будут появляться имена файлов по мере их удаления.

HP-UX


HP-UX


Глава 5. Установка Tivoli Access Manager в Linux


Manager в системах Red Hat Linux и Linux on zSeries. Даны инструкции по простой

установке и по установке с помощью собственной программы установки. Здесь

содержатся следующие основные разделы:

v “Использование простой установки (только в Red Hat Linux)”



В Табл. 5 перечислены поддерживаемые компоненты Tivoli Access Manager и способы

установки.

Таблица 5. Поддерживаемые компоненты Tivoli Access Manager

Компонент Red Hat Linux Linux on zSeries

Простая

установка


установка

Простая

установка


установка

Tivoli Access Manager Application

Development Kit

U U U

Tivoli Access Manager Authorization

Server

U

Tivoli Access Manager Java Runtime

Environment

U

Tivoli Access Manager Policy Server U

Tivoli Access Manager Runtime

Environment

U U U

Использование простой установки (только в Red Hat Linux)











v Прежде чем запускать сценарий простой установки, убедитесь, что у вас

установлена ksh или создайте гибкую связь с оболочкой bash следующим

образом:

ln -s /bin/bash /bin/ksh

v Прежде чем устанавливать компоненты, удалите пакет nss_ldap-149.1 или

другие конфликтующие пакеты LDAP, если они установлены.





продуктом все программы, необходимые для его работы. Например, можно

запустить install_pdrte, чтобы установить среду выполнения (Runtime), а затем

запустить ezinstall_pdauthadk на другом компьютере, чтобы отдельно установить

сервер авторизации (Authorization Server). Либо можно, запустив оба сценария,

установить и сконфигурировать эти компоненты на одном и том же компьютере.

Программа простой установки также определяет, установлены ли необходимые

продукты, и не пытается их переустанавливать.










В Табл. 6 перечислены сценарии простой установки для платформы Red Hat Linux.

Эти сценарии находятся в корневом каталоге компакт-диска IBM Tivoli Access

Manager Base for Linux.

Таблица 6. Сценарии простой установки для Red Hat Linux













Linux









стр. 6.







системы для систем Red Hat Linux и Linux на zSeries. В отличие от автоматических

сценариев, которые используются при простой установки, вы должны вручную

установить каждый компонент и все необходимые пакеты исправлений в нужном

порядке.






v “Установка и конфигурирование Tivoli Access Manager Java Runtime Environment

(только в Red Hat Linux)” на стр. 69


Чтобы установить GSKit в системе Linux, сделайте следующее:


2. Только в 31–разрядных системах SuSE SLES-7: Убедитесь, что у вас установлен

пакет compat-libstdc++. Этот пакет, compat.rpm, обеспечивает поддержку C++

прежнего стандарта, необходимую GSKit; он находится на компакт-диске

разработчика SuSE SLES-7 в каталоге /suse/a1.

Примечание: Вместе с пакетом compat-libstdc++ поставляются 64–разрядные

системы SuSE SLES-7.

3. Вставьте в устройство CD-ROM компакт-диск IBM Tivoli Access Manager Base for

Linux или IBM Tivoli Access Manager Base for Linux on zSeries.


v В системах Red Hat Linux перейдите в каталог /mnt/cdrom/linux, где

/mnt/cdrom - точка монтирования компакт-диска.

v В системах Linux on zSeries получите доступ к файлам rpm для Tivoli Access

Manager Base for Linux on zSeries.

Примечание: Linux on zSeries не поддерживает подключения устройства

CD-ROM на этом этапе. Чтобы получить необходимые файлы,


Linux

Глава 5. Установка Tivoli Access Manager в Linux 65

– Загрузите файлы rpm для Tivoli Access Manager Base for Linux

on zSeries на другую рабочую станцию. Затем с помощью ftp

перенесите эти файлы в каталог на данном компьютере.

– Смонтируйте компакт-диск Tivoli Access Manager Base for

Linux on zSeries на другой рабочей станции. Затем получите к

нему доступ с данного компьютера с помощью NFS.5. Чтобы установить GSKit в каталог по умолчанию, выполните следующеее:

v В Red Hat Linux введите:

rpm -i gsk5bas-5.0.5.46.i386.rpm

v В системах Linux on zSeries введите:

rpm -i gsk5bas-5.0.5.46.s390.rpm

Примечание: При обновлении GSKit укажите опцию –U. Например, введите:

rpm -U gsk5bas-5.0.5.46.s390.rpm

6. В системах Red Hat Linux или 31–разрядных системах SuSE SLES-7 убедитесь, что

вы задали переменную среды LD_PRELOAD. Для этого введите:

export LD_PRELOAD=/usr/lib/libstdc++-libc6.1-2.so.3

Это необходимо сделать до того, как вы воспользуетесь утилитами командной

строки GSKit и LDAP.

После установки GSKit никакого конфигурирования не требуется. Дополнительные

сведения по GSKit смотрите в разделе Приложение A, “Как включить Secure Sockets

Layer”, на стр. 165 и в публикации Secure Sockets Layer Introduction and iKeyman User’s

Guide.


Чтобы установить IBM Directory Client в системе Linux, сделайте следующее:

Примечание: Перед установкой данной версии удалите все имеющиеся версии IBM

Directory Client.


2. Удалите пакет nss_ldap-149-1 и другие конфликтующие пакеты LDAP (если они

установлены).




a. В системах Red Hat Linux перейдите в каталог /mnt/cdrom/linux, где


b. В системах Linux on zSeries получите доступ к файлам rpm для Tivoli Access





v Загрузите файлы rpm для Tivoli Access Manager Base for Linux



v Смонтируйте компакт-диск Tivoli Access Manager Base for


нему доступ с данного компьютера с помощью NFS.

Linux


5. Чтобы установить IBM Directory Client в каталог по умолчанию, выполните

следующеее:

a. В Red Hat Linux введите:

rpm -i ldap-clientd-4.1-1.i386.rpm

rpm -i ldap-dmtjavad-4.1-1.i386.rpm

b. В системах Linux on zSeries введите:

rpm -i ldap-clientd-4.1-1.s390.rpm

6. В системах Red Hat Linux или 31–разрядных системах SuSE SLES-7 убедитесь, что

вы задали переменную среды LD_PRELOAD. Для этого введите:

export LD_PRELOAD=/usr/lib/libstdc++-libc6.1-2.so.3

Это необходимо сделать до того, как вы воспользуетесь утилитами командной

строки GSKit и LDAP, которые используют SSL.



Manager







стр. 6.





Чтобы установить компоненты Tivoli Access Manager в Red Hat Linux или в Linux on

zSeries, выполните следующее:





a. В системах Red Hat Linux перейдите в каталог /mnt/cdrom/linux, где


b. В системах Linux on zSeries получите доступ к файлам rpm для Tivoli Access





v Загрузите файлы rpm для Tivoli Access Manager Base for Linux



v Смонтируйте компакт-диск Tivoli Access Manager Base for


нему доступ с данного компьютера с помощью NFS.

Linux


4. Чтобы установить компоненты в каталог по умолчанию, выполните одно из


v Чтобы установить компоненты Tivoli Access Manager:

rpm -i пакет

v Чтобы обновить компоненты Tivoli Access Manager:

rpm –U пакет

где пакет - один из следующих пакетов:

v В Red Hat Linux:

PDRTE-PD-4.1.0-0.i386.rpm Tivoli Access Manager Runtime.

PDAuthADK-PD-4.1.0-0.i386.rpm

Tivoli Access Manager Application Development

Kit.

PDJrte-PD-4.1.0-0.i386.rpm Tivoli Access Manager Java Runtime Environment.

Вы должны выполнить инструкции,

приведенные в разделе “Установка и

конфигурирование Tivoli Access Manager Java

Runtime Environment (только в Red Hat Linux)”

на стр. 69. Установка этого компонента -

только часть процедуры установки Java

Runtime Environment.v В Linux on zSeries:

PDRTE-PD-4.1.0-0.s390.rpm Tivoli Access Manager Runtime.

PDMgr-PD-4.1.0-0.s390.rpm Tivoli Access Manager Policy Server.

PDAcld-PD-4.1.0-0.s390.rpm Tivoli Access Manager Authorization Server.

PDAuthADK-PD-4.1.0-0.s390.rpm

Tivoli Access Manager Application Development

Kit.

Примечание: Во время обновления в системах Linux вы можете игнорировать

сообщения следующего вида:

Среда выполнения Access Manager Runtime еще сконфигурирована.

Перед деинсталляцией необходимо деконфигурировать пакет Runtime.

Выполнение сценария PDRTE-PD-3.9.0-0 завершилось неудачно,

состояние выхода 1


pdconfig









189.




Linux





платформе. Чтобы установить необходимый пакет JRE для Linux, введите одну из


v В Red Hat Linux:

1. Чтобы установить JRE, введите:

rpm -i IBMJava2-JRE-1.3-10.0.i386.rpm

2. Чтобы задать переменную среды path, введите:

export PATH=путь_jre:$PATH

v В Linux for zSeries:

1. Получите JRE с компакт-диска IBM Tivoli Access Manager Language Support. Вы

также можете загрузить IBM Java Runtime Environment, Version 1.3.1, с сайта

IBM Java for Linux, адрес которого:

https://www6.software.ibm.com/dl/lxdk/lxdk-p

2. Чтобы установить JRE, введите:

rmp -i IBMJava2-JRE-1.3.1-2.0.s390.rpm

3. Чтобы убедиться, что значение переменной PATH обеспечивает доступ к данной

JRE, введите следующее:

export PATH=/opt/IBMJava2-s390-131/jre/bin:$PATH


документ IBM Tivoli Access Manager Release Notes.


Runtime Environment (только в Red Hat Linux)

Чтобы установить Tivoli Access Manager Java Runtime Environment в системе Red Hat

Linux, выполните описанные ниже шаги.

Примечание: Этот компонент не поддерживается для Linux on zSeries.



Linux.

3. Перейдите в каталог /mnt/cdrom/linux, где /mnt/cdrom - точка монтирования

компакт-диска.


смотрите в разделе “Установка среды JRE, соответствующей платформе”

5. Чтобы установить Tivoli Access Manager Java Runtime Environment в каталог по

умолчанию, введите:

rpm -i PDJrte-PD-4.1.0-0.i386.rpm

6. Чтобы сконфигурировать Tivoli Access Manager Java Runtime Environment для

использования в качестве текущей JRE, перейдите в каталог

opt/PolicyDirector/sbin и введите следующую команду:

./pdjrtecfg -action config -java_home путь_jre



Linux



Деинсталляция Tivoli Access Manager складывается из двух этапов. Сначала нужно

деконфигурировать компоненты, и только потом удалить пакеты Tivoli Access

Manager.



v “Удаление пакетов Tivoli Access Manager”




Access Manager.





До удаления пакетов Tivoli Access Manager из систем Linux нужно деконфигурировать

компоненты.Для этого сделайте следующее:



pdconfig


3. Нажмите 2, чтобы вызвать меню деконфигурирования. Затем введите номер

пункта меню, соответствующий компоненту Tivoli Access Manager, который вы

хотите деконфигурировать. Повторите эту процедуру для всех пакетов, которые

вы хотите деконфигурировать.

4. Чтобы деконфигурировать Tivoli Access Manager Java Runtime Environment,



/opt/PolicyDirector/sbin/pdjrtecfg -action unconfig -java_home путь_jre




Чтобы удалить компоненты из системы Linux, сделайте следующее:

1. Убедитесь, что компоненты деконфигурированы. Смотрите инструкции в разделе

“Деконфигурирование компонентов Tivoli Access Manager”.


rpm -e пакет


v В Red Hat Linux:

PDAuthADK-PD Tivoli Access Manager Application Development

Kit.

Linux


PDRTE-PD Tivoli Access Manager Runtime.

ldap_clientd IBM Directory Client.

ldap_dmtjavad Directory Management Tool (DMT).

gsk5bas-5.0.5.46 GSKit.v В Linux on zSeries:

PDRTE-PD-4.1.1–0 Tivoli Access Manager Runtime.

PDAcld-PD-4.1.0–0 Tivoli Access Manager Authorization Server.

PDMgr-PD-4.1.0–0 Tivoli Access Manager Policy Server.

PDAuthADK-PD-4.1.0–0 Tivoli Access Manager Application Development

Kit.

ldap_clientd-4.1.0–0 IBM Directory Client.

gsk5bas-5.0.5.46 GSKit.

Linux


Linux


Глава 6. Установка Tivoli Access Manager в Solaris


Manager в системах Solaris. Даны инструкции по простой установке и по установке с


разделы:











стр. 6.








продуктом все программы, необходимые для его работы. Например, если вы

запустите ezinstall_ldap_server, чтобы установить и сконфигурировать IBM Directory

Server в качестве реестра Tivoli Access Manager, этот сценарий установит сервер LDAP

и все программы и исправления, необходимые для его работы. Программа простой

установки также определяет, установлены ли необходимые продукты, и не пытается

их переустанавливать. Например, если запустить сценарий ezinstall_pdmgr для

установки сервера политики (Policy Server) на том же компьютере, где вы уже

запускали ezinstall_ldap_server, программа не станет переустанавливать ни GSKit, ни

IBM SecureWay Directory Client.










В Табл. 7 на стр. 74 перечислены сценарии простой установки для платформы Solaris.

Все программы находятся в корневом каталоге на компакт-диске IBM Tivoli Access

Manager Base for Solaris за исключением сценария ezinstall_pdwpm, который


находится в корневом каталоге на компакт-диске IBM Tivoli Access Manager Web

Portal Manager for Solaris.

Таблица 7. Сценарии простой установки для Solaris


ezinstall_ldap_server Позволяет настроить систему сервера IBM Directory,


v IBM DB2


v IBM HTTP Server


v IBM Directory Server

Примечание: Если у вас уже имеется установленная версия

сервера IBM Directory Server, удалите ее перед запуском

данного сценария.



















ezinstall_pdwpm Позволяет настроить систему Web Portal Manager, установив в





v IBM WebSphere Application Server Single Server и FixPack 3








Solaris

















программы в нужном порядке.



v “Установка IBM Directory Client”




на стр. 77



Чтобы установить GSKit в системе Solaris, сделайте следующее:



Solaris.

3. Перейдите в каталог /cdrom/cdrom0/solaris.

4. Чтобы установить нужный файл GSKit введите:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault gsk5bas





Дополнительные сведения по gsk5ikm смотрите в разделе Приложение A, “Как

включить Secure Sockets Layer”, на стр. 165 и в публикации Secure Sockets Layer

Introduction and iKeyman User’s Guide.


Чтобы установить IBM Directory Client в системе Solaris, сделайте следующее:


Solaris

Глава 6. Установка Tivoli Access Manager в Solaris 75


Solaris.

3. Перейдите в каталог /cdrom/cdrom0/solaris.

4. Чтобы установить IBM Directory Client, введите:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldapc

5. Во время установки вас спросят, хотите ли вы использовать каталог /opt в

качестве базового каталога. Если в нем достаточно места, используйте /opt в

качестве базового каталога установки. Чтобы принять /opt в качестве базового

каталога, нажмите Enter.



Manager













2. Если установка Tivoli Access Manager производится не с удаленного компьютера,



для Solaris.

v Только для компонента Web Portal Manager: Вставьте компакт-диск IBM Tivoli

Access Manager Web Portal Manager for Solaris в устройство CD-ROM.3. Чтобы установить пакеты Tivoli Access Manager, введите команду:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault пакет

где -d /cdrom/cdrom0/solaris - местонахождение пакета, а -a

/cdrom/cdrom0/solaris/pddefault - местонахождение сценария

администрирования установки.

Ниже перечислены пакеты, которые можно установить. Вы должны установить

один или несколько пакетов в следующем порядке:





PDWPM Tivoli Access Manager Web Portal Manager. Вы должны выполнить

инструкции, приведенные в разделе “Установка и

Solaris


конфигурирование системы Web Portal Manager” на стр. 78.

Установка этого компонента - только часть процедуры установки

Web Portal Manager.

PDJrte Tivoli Access Manager Java Runtime Environment. Вы должны



Environment”. Установка этого компонента - только часть

процедуры установки Java Runtime Environment.

По завершении установки всех пакетов появится следующее сообщение:

Установка имя пакета завершилась успешно.


pdconfig

Появится Меню установки Access Manager for e-business.

5. Введите номер меню Сконфигурировать пакет. Появится Меню конфигурации

Tivoli Access Manager. На экране появится список установленных пакетов Tivoli

Access Manager.





189.

Примечание: Указать каталог установки вам не предложат. Каталог по

умолчанию - /opt.







платформе. Чтобы установить необходимый пакет JRE для Solaris, введите команду:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault SUNWj3rt

где /cdrom/cdrom0/solaris - каталог, в котором находится пакет JRE.


PATH=путь_jre:$PATH

export PATH


документ IBM Tivoli Access Manager for e-business Release Notes.


Runtime Environment





Solaris.

Solaris



смотрите в разделе “Установка среды JRE, соответствующей платформе” на стр.

77


команду:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDJrte





текущей JRE, перейдите в каталог каталог_установки/sbin и введите следующую

команду:

pdjrtecfg -action config -java_home путь_jre





следующее:


стр. 75.






4. Установите IBM WebSphere Application Server, FixPack 3. Смотрите раздел


5. Установите компонент Tivoli Access Manager Java Runtime. Для этого введите:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDJrte





нужно. Кроме того, не нужно вручную устанавливать JRE для

вашей платформы. WebSphere установит JRE, соответствующую

используемой вами платформе, и сконфигурирует Tivoli Access

Manager Java Runtime Environment для использования в рамках

текущей JRE.

6. Установите и сконфигурируйте компоненты Tivoli Access Manager Runtime

Environment и Web Portal Manager. Смотрите раздел “Установка и

конфигурирование компонентов Tivoli Access Manager” на стр. 76.



WebSphere Application Server. Кроме того, если вы устанавливаете

IBM WebSphere Application Server после установки среды

выполнения Tivoli Access Manager, вы должны убедиться, что у вас

установлена версия GSKit, поддерживаемая Tivoli Access Manager.

Solaris


7. Перед запуском интерфейса Web Portal Manager убедитесь, что WebSphere

Application Server работает. Для этого запустите сценарий startServer.sh,

находящийся в каталоге /opt/WebSphere/AppServer/bin.



порт 443.

8. Поддержка связи SSL между браузером и IBM HTTP Server включается

автоматически с использованием файла ключей SSL и файла хранения паролей

по умолчанию. Эти файлы предоставляются только для оценки. Вы должны

получить свой собственный сертификат и заменить у себя на компьютере

следующие файлы:


Задает файл базы данных ключей. Путь файла задается в файле

httpd.conf.


Задает файл, в котором хранится пароль базы данных ключей. 9. Если вы установили сервер LDAP, который не использует IBM HTTP Server, и

собираетесь установить Web Portal Manager на том же компьютере, убедитесь,

что для Web-серверов используются разные порты. Чтобы задать другой порт по

умолчанию для IBM HTTP Server, отредактируйте файл

/usr/HTTPServer/conf/httpd.conf, изменив в нем номер порта по умолчанию

(80) на 8080, как показано ниже:


Port 8080

10. Чтобы запустить Web Portal Manager, введите в Web-браузере следующее:



Примечание: Чтобы обеспечить защищенные взаимодействия с IBM HTTP

Server, вы сейчас должны вместо http указать https.




Server

Чтобы установить IBM WebSphere Application Server, сделайте следующее:



Portal Manager для Solaris.

3. Перейдите в каталог /solaris/WebSphere на устройстве, в котором находится

компакт-диск.


v Чтобы установить IBM WebSphere Application Server с использованием

графического пользовательского интерфейса, введите:

./install.sh

v Чтобы использовать файл ответов, запустите сценарий install.sh, как это

описано ниже, и перейдите к разделу “Установка IBM WebSphere Application

Server FixPack 3” на стр. 80.

./install.sh -silent -responseFile ./install.script \

-prereqfile ./prereq.properties

Solaris


На экране появится окно WebSphere Application Server, Advanced Single Server

Edition v4.0. Чтобы продолжить, щелкните по Next (Далее).

Примечание: Вы должны иметь возможность наблюдать за экраном на случай,

если у вас запросят какие-либо указания или если произойдет

ошибка.

5. Выберите Typical installation (Стандартная установка) (этот вариант выбирается


6. На экран будут выведены каталоги назначения по умолчанию для WebSphere

Application Server и IBM HTTP Server. Если на компьютере уже установлен IBM

HTTP Server, соответствующая ему опция на экране не появится. Запишите эти

пути и выберите Next (Далее), чтобы принять значения по умолчанию.

Примечание: Во время установки WebSphere Application Server FixPack 3 вас

попросят ввести указанные ниже пути. По умолчанию используются


v WebSphere Application Server: /opt/WebSphere/AppServer

v IBM HTTP Server: /opt/IBMHTTPD

На экране появится диалоговое окно с выбранными вами опциями установки.

Чтобы начать установку, выберите Install (Установить).

7. IBM WebSphere Application Server устанавливает IBM HTTP Server. Вы должны


компакт-диска IBM Tivoli Access Manager Web Portal Manager for Solaris. Для этого

введите:

http_1319_efix2.sh

8. Чтобы установить пакет исправлений (FixPack), смотрите раздел “Установка IBM



Чтобы установить пакет исправлений IBM WebSphere Application Server FixPack 3,





Portal Manager для Solaris.

3. Перейдите в каталог /usr/sys/inst.images/solaris/WebSphere_PTF3 и

запустите сценарий:

install.sh



/opt/WebSphere/AppServer



7. Если в качестве реестра вы используете iPlanet Directory, выберите Yes (Да),

чтобы обновить конфигурацию Web-сервера iPlanet для ее поддержки сервером



9. Если вы используете IBM HTTP Server, укажите домашний каталог IBM HTTP

Server и нажмите Enter. Например, введите следующую команду:

/opt/IBMHTTP

10. Выберите Yes (Да), чтобы использовать каталог журналов Application Server.

Solaris




Начнется обновление. В командной строке появится сообщение Upgrading IBM

JDK (Обновляется IBM JDK). Во время этого обновления IBM Developer Kit for

Solaris будет установлен в каталог WebSphere. Даже если IBM Developer Kit уже

установлен где-либо на вашем компьютере, никакого конфликта не возникнет.







Теперь у вас установлены WebSphere Application Server Single Server 4.0 и FixPack

3.





Access Manager.












До удаления пакетов Tivoli Access Manager из систем UNIX нужно

деконфигурировать компоненты.Для этого сделайте следующее:


2. Перейдите в каталог:

cd /opt/PolicyDirector/bin


pdconfig


4. Введите номер пункта меню, соответствующий компоненту Tivoli Access Manager,

который вы хотите деконфигурировать.Деконфигурирование пакетов должно

производиться в порядке, обратном тому, в котором они конфигурировались.

Например, деконфигурируйте компоненты в следующем порядке:


Solaris


PDWPM Tivoli Access Manager Web Portal Manager.



PDMgr Tivoli Access Manager Policy Server.5. Повторите эту процедуру для всех пакетов, которые вы хотите

деконфигурировать.



разделу “Удаление пакетов Tivoli Access Manager”.

v Если вы деконфигурируете сервер, то на экране появится подсказка о вводе

имени-идентификатора и пароля администратора LDAP.











Чтобы удалить компоненты из системы Solaris, сделайте следующее:

1. Убедитесь, что компоненты деконфигурированы. Чтобы деконфигурировать

компоненты, следуйте указаниям в разделе “Деконфигурирование компонентов

Tivoli Access Manager” на стр. 81.


pkgrm пакет


PDAuthADK Пакет ADK.

PDMgr Policy Server.

PDAcld Authorization Server.


PDJrte Tivoli Access Manager Java Runtime Environment.

PDWPM Web Portal Manager.

IBMldapc IBM Directory Client.

gsk5bas GSKit.3. Когда вас попросят подтвердить, что вы хотите удалить эти компоненты, введите

y.

На экране появится сообщение, указывающее, что выполняется сценарий удаления.

На экране будут появляться имена файлов по мере их удаления.

Solaris


Глава 7. Установка Tivoli Access Manager в Windows


Manager в системах Windows. Даны инструкции по простой установке и по установке с


разделы:









v Обязательно настраивайте системы Tivoli Access Manager в


v Ознакомьтесь с тем, какие решения по конфигурированию вам придется

принимать в ходе простой установки. Описание параметров конфигурации

при простой установке и пошаговые инструкции с иллюстрациями смотрите в

разделеГлава 10, “Сценарии простой установки в Windows”, на стр. 131.

С помощью пакетных файлов простой установки создайте защищенный домен или

добавьте системы или компоненты к уже существующим. Простая установка

облегчает установку Tivoli Access Manager, автоматически устанавливая

одновременно с этим продуктом все программы, необходимые для его работы. Так,

если вы запустите пакетный файл ezinstall_ldap_server.bat для установки и

конфигурирования IBM Directory Server в качестве реестра Tivoli Access Manager, этот

процесс установит сервер LDAP и все программные средства и исправления,

необходимые для его работы. Эта процедура также определяет, установлены ли

необходимые продукты, и не пытается их переустанавливать. Например, если в

системе, где уже выполнялся пакетный файл ezinstall_ldap_server.bat, запустить

пакетный файл ezinstall_pdmgr.bat для установки сервера политики, этот пакетный

файл не переустановит ни GSKit, ни IBM Directory Client.

Выполнение простой установки начинается с того, что программа запрашивает у вас

информацию для конфигурирования. После того как вы введете эту информацию,

компоненты буду устанавливаться и конфигурироваться без дальнейшего вашего

участия. А если вы когда-либо захотите переустановить эти компоненты, то сможете

использовать для этого файл ответов, сгенерированный в ходе выполнения сценария

простой установки. В файле ответов автоматически сохраняются данные о




Учтите, что в ходе выполнения простой установки в системах Windows вам придется

время от времени перезапускать компьютер. Кроме того, во время установки могут

появляться сообщения о том, что какие-то службы не запустились. Никаких действий

от вас не требуется. Продолжайте установку.


В Табл. 8 перечислены сценарии простой установки для платформы Windows. Все

файлы простой установки находятся в корневом каталоге компакт-диска IBM Tivoli

Access Manager Base for Windows за исключением файла ezinstall_pdwpm.bat,

который находится в корневом каталоге компакт-диска IBM Tivoli Access Manager

Web Portal Manager for Windows.

Таблица 8. Программы простой установки для Windows


ezinstall_ldap_server.bat Позволяет настроить систему IBM Directory Server, установив

в ней следующие пакеты программ:

v IBM DB2


v IBM HTTP Server

v IBM Directory Server, включающий в себя IBM Directory

Client

Примечание: Если у вас уже установлена какая-то версия IBM

Directory Server, удалите ее перед запуском данной

программы.

ezinstall_pdacld.bat Позволяет настроить систему сервера авторизации,




v Access Manager Runtime

v Access Manager Authorization Server

ezinstall_pdauthadk.bat Позволяет настроить систему разработки Tivoli Access





v Access Manager Application Developer Kit

ezinstall_pdmgr.bat Позволяет настроить систему сервера политики Tivoli Access





v Access Manager Policy Server

ezinstall_pdwpm.bat Позволяет настроить систему Web Portal Manager, установив в





v IBM WebSphere Application Server Single Server и FixPack 3


v Access Manager Java Runtime

install_pdrte.exe Устанавливает в системе Tivoli Access Manager следующие

пакеты программ:




Windows











принимать в ходе собственной установки. Описание собственных параметров

конфигурации смотрите в разделе “Параметры конфигурации собственной

программы установки в Windows” на стр. 192.





пакеты исправлений.





v “Установка JRE для данной платформы” на стр. 89


на стр. 89



Чтобы установить GSKit в системе Windows, сделайте следующее:

1. Зарегистрируйтесь в системе в качестве пользователя с полномочиями

администратора.


Windows.

3. В командной строке перейдите в каталог windows\gskit на устройстве, в котором

находится компакт-диск, и введите следующую команду:

setup.exe PolicyDirector

Появится окно с приветствием.

4. Щелкните по Next (Далее). Появится диалоговое окно для выбора папки

назначения.

5. Примите предлагаемый по умолчанию каталог назначения или щелкните по

Просмотр, чтобы выбрать другой каталог в локальной системе. Если каталог не

существует, подтвердите, что вы хотите создать этот каталог, или укажите

существующий каталог.

6. Щелкните по Next (Далее), чтобы установить GSKit. На экране появится окно с

сообщением о том, что установка завершена.

7. Щелкните по Finish (Готово), чтобы закрыть программу установки.

Windows

Глава 7. Установка Tivoli Access Manager в Windows 85

8. Перезагрузите компьютер.





Дополнительные сведения о gsk5ikm смотрите в разделе Приложение A, “Как

включить Secure Sockets Layer”, на стр. 165 и в руководстве Secure Sockets Layer

Introduction and iKeyman User’s Guide.


Чтобы установить IBM Directory Client в системе Windows, сделайте следующее:

Примечание: IBM Directory Client не требуется, если в качестве реестра установлен

продукт Active Directory.




Windows.

3. Запустите файл setup.exe в каталоге:

windows\Directory\ismp

На экране появится диалоговое окно Выберите язык установки.

4. Выберите язык, который вы хотите использовать в ходе установки и щелкните по

OK.

5. Появится окно с приветствием. Чтобы продолжить, щелкните по Далее.

6. Прочтите лицензионное соглашение. Выберите опцию, указывающую, что вы

принимаете положения, и щелкните по Next (Далее).

7. Убедитесь, что вы закрыли все работающие программы Windows, и щелкните по

Next (Далее), чтобы продолжить. Появится диалоговое окно, в котором будет

указано, какие пакеты уже установлены, и нужно ли вам предпринять какие-либо

действия. Выполните все требования и щелкните по Next (Далее).

Windows


8. Щелкните по Next (Далее), чтобы установить IBM Directory в указанный каталог

по умолчанию. Если вы хотите указать другой каталог, введите путь к этому

каталогу или щелкните по Browse (Просмотр), чтобы выбрать каталог.

9. Выберите язык для установки IBM Directory и щелкните по Next (Далее).

10. Выберите Typical (Стандартная), чтобы установить IBM Directory.

11. Выберите установку Client SDK и Directory Management Tool (DMT), после чего

щелкните по Next (Далее).

12. Проверьте текущие параметры и щелкните по Next (Далее), чтобы приступить к

копированию файлов.

13. По завершении установки файлов на экране появится файл README. Прочтите

файл README и щелкните по Next (Далее), чтобы продолжить.

14. Укажите, нужно ли перезагружать компьютер сейчас или нет, и щелкните по Next

(Далее).



Manager









принимать в ходе собственной установки. Описание собственных параметров

конфигурации смотрите в разделе “Параметры конфигурации собственной

программы установки в Windows” на стр. 192.


Windows


1. Зарегистрируйтесь в домене Windows в качестве пользователя с полномочиями

администратора Windows.

2. Чтобы установить компоненты Tivoli Access Manager, выполните одно из



для Windows.

v Только для компонента Web Portal Manager: Вставьте в устройство CD-ROM

компакт-диск IBM Tivoli Access Manager Web Portal Manager for Windows. 3. Запустите файл setup.exe в каталоге:

windows\PolicyDirector\Disk Images\Disk1



OK. Появится окно с приветствием.

5. Щелкните по Next (Далее). На экране появится диалоговое окно с лицензионным

соглашением.

6. Прочтите лицензионное соглашение и щелкните по Да если вы согласны с его

условиями. Появится диалоговое окно Выберите пакеты.

7. Выберите пакеты, которые хотите установить, и щелкните по Далее. Если вы

выбрали установку среды выполнения (Runtime) Tivoli Access Manager, появится

диалоговое окно Установка Tivoli Access Manager Runtime. Выберите папку

назначения, где вы хотите разместить файлы установки среды выполнения, и

щелкните по Далее.

По окончании установки появится диалоговое окно Установка Tivoli Access

Manager завершена.

Внимание

При установке компонента Tivoli Access Manager Web Portal Manager или

Java Runtime Environment обязательно выполните шаги, описанные в

разделе “Установка и конфигурирование системы Web Portal Manager” на

стр. 90 или “Установка и конфигурирование Tivoli Access Manager Java

Runtime Environment” на стр. 89.


9. После перезапуска компьютера выберитеПуск → Программы → Access Manager

for e-business → Конфигурация. Появится диалоговое окно Конфигурирование

Access Manager for e-business.

10. Выберите компонент, который нужно сконфигурировать, и щелкните по

Конфигурировать. Компоненты следует конфигурировать по отдельности и в

указанном порядке.

11. В зависимости от того, какой компонент вы выбрали, у вас запросят параметры


“Параметры конфигурации собственной программы установки в Windows” на

стр. 192. По завершении конфигурирования на экране опять появится диалоговое

окно Конфигурирование Access Manager for e-business.

12. Проверьте информацию в этом окне и щелкните по Готово. Появится

диалоговое окно Конфигурирование Access Manager for e-business. Выберите в

списке следующий компонент, который нужно сконфигурировать, либо щелкните

по Закрыть, чтобы закрыть окно средства конфигурирования.

Windows


Установка JRE для данной платформы



платформе.

Чтобы установить поддерживаемый пакет JRE, поставляемый вместе с Tivoli Access

Manager, выполните следующее:

1. Перейдите в каталог \windows\JRE на устройстве, в котором находится

компакт-диск, и введите следующую команду:

install

2. Следуйте инструкциям на экране. Когда вас спросят, нужно ли установить Java

Runtime Environment как системную JVM, щелкните по Да.

3. Чтобы задать переменную среды path, введите:

set PATH=каталог_установки;%PATH%

Например, если вы установили IBM Developer Kit for Windows, Java 2 Technology

Edition, Version 1.3.1 в каталог по умолчанию на диске C, введите следующее:

set PATH=C:\Program Files\IBM\Java131\jre;%PATH%


Runtime Environment



1. Зарегистрируйтесь в домене Windows в качестве пользователя с полномочиями

администратора Windows.


Windows.

3. Установите поддерживаемую JRE для вашей платформы. Инструкции смотрите

в разделе “Установка JRE для данной платформы”

4. Чтобы установить Tivoli Access Manager Java Runtime Environment, запустите

файл setup.exe в каталоге:

windows\PolicyDirector\Disk Images\Disk1\PDJRTE\Disk Images\Disk1



OK.

6. Появится окно с приветствием. Чтобы продолжить, щелкните по Далее.

7. Прочтите лицензионное соглашение и щелкните по Да если вы согласны с его

условиями. Если вы еще не установили поддерживаемую среду выполнения, то

на экране появится диалоговое окно Выберите папку назначения.

8. Примите предлагаемый по умолчанию каталог назначения или щелкните по

Просмотр, чтобы выбрать другой каталог в локальной системе. Если каталог не

существует, подтвердите, что вы хотите создать этот каталог, или укажите

существующий каталог.

9. Щелкните по Далее, чтобы начать копирование файлов в папку назначения. Если

вы хотите еще раз просмотреть параметры или изменить их, щелкните по Назад.

На экране появится диалоговое окно Состояние установки.

10. После завершения установки среды выполнения выберите Да, чтобы

перезагрузить компьютер.

Windows



текущей JRE, перейдите в каталог каталог_установки\sbin и введите

следующую команду:

pdjrtecfg -action config





следующее:


стр. 85.






4. Установите IBM WebSphere Application Server, FixPack 3. Смотрите раздел


5. Установите компонент Tivoli Access Manager Java Runtime. Для этого запустите

файл setup.exe в каталоге:

windows\PolicyDirector\Disk Images\Disk1

Установите пакет Access Manager Java Runtime, следуя инструкциям на экране.


нужно. Кроме того, вам не нужно вручную устанавливать JRE для

вашей платформы. WebSphere установит JRE, соответствующую

используемой вами платформе, и сконфигурирует Tivoli Access

Manager Java Runtime Environment для использования в рамках

текущей JRE.

6. Установите и сконфигурируйте компоненты Tivoli Access Manager Runtime и Web

Portal Manager. Смотрите раздел “Установка и конфигурирование компонентов

Tivoli Access Manager” на стр. 87.



WebSphere Application Server. Кроме того, если вы установите IBM

WebSphere Application Server после установки среды выполнения

Tivoli Access Manager, убедитесь, что у вас установлена версия

GSKit, которую поддерживает Tivoli Access Manager.

7. Прежде чем запускать интерфейс Web Portal Manager, проверьте, запущен ли

WebSphere Application Server. Для этого щелкните по Пуск → Программы → IBM

WebSphere → Application Server 4.0 → Start Application Server (Запустить

Application Server).



порт 443.

8. Поддержка связи SSL между вашим браузером и IBM HTTP Server

обеспечивается автоматически посредством использования файла ключей SSL по

умолчанию и соответствующего файла хранения пароля. Эти файлы

Windows


предоставляются только для оценки. Вы должны будете получить свой

собственный сертификат и заменить у себя на компьютере следующие файлы:

C:\Program Files\Tivoli\Policy Director\keytab\pdwpm.kdb


httpd.conf.

C:\Program Files\Tivoli\Policy Director\keytab\pdwpm.sth

Задает файл, в котором хранится пароль базы данных ключей. 9. Если вы установили сервер LDAP, который не использует IBM HTTP Server и

устанавливаете Web Portal Manager на том же компьютере, убедитесь, что для

Web-серверов назначены разные порты. Чтобы изменить порт по умолчанию для

IBM HTTP Server, отредактируйте файл C:\Program Files\IBM HTTP

Server\conf\httpd.conf, изменив номер порта по умолчанию, равный 80, на

8080, как показано ниже:


Port 8080

10. Чтобы запустить Web Portal Manager, введите в Web-браузере следующее:



Примечание: Теперь для защищенных взаимодействий с IBM HTTP Server вы

должны использовать не http, а https.




Server

Чтобы установить IBM WebSphere Application Server, сделайте следующее:




Portal Manager для Windows.

3. Перейдите в каталог windows\WebSphere на устройстве, в котором находится

компакт-диск, и введите следующую команду:

setup.exe



OK.

5. Убедитесь, что вы закрыли все работающие программы Windows, и щелкните по

Next (Далее), чтобы продолжить.

Windows


6. Выберите Typical Installation (Стандартная установка) (этот вариант выбирается


7. В окне Security Options (Опции защиты) введите имя пользователя и пароль и

выберите Next (Далее). Это - имя пользователя и пароль для WebSphere, которые

должны совпадать с ID пользователя и паролем в локальной системе.

8. Программа InstallShield предлагает использовать путь по умолчанию в качестве

каталога назначения для WebSphere Application Server и IBM HTTP Server. Если

на компьютере уже установлен IBM HTTP Server, соответствующая ему опция на

экране не появится. Примите эти значения по умолчанию, выбрав Next (Далее).

Windows


Примечание: Запишите эти пути. Во время установки WebSphere Application

Server вас попросят указать эти пути. По умолчанию используются


v WebSphere Application Server: C:\WebSphere\AppServer

v IBM HTTP Server: C:\IBM HTTP Server, если этот продукт

устанавливается как часть установки WebSphere; c:\Program

Files\IBM HTTP Server, если этот продукт устанавливается как

часть установки Web Portal Manager. 9. Выберите папку программ в Windows; имя папки по умолчанию - IBM

WebSphere\Application Server V4.0 AES. Выберите Next (Далее).

Начнется установка.

10. По завершении установки вас попросят перезапустить Windows. Выберите Нет,

не перезапускать Windows. Компьютер будет перезапущен после установки

FixPack 3.

11. IBM WebSphere Application Server установит IBM HTTP Server. Вы должны


на компакт-диске IBM Tivoli Access Manager Web Portal Manager for Windows. Для

этого введите:

http_1319_efix2.bat путь_установки

где путь_установки задает путь установки для IBM HTTP Server. Путь установки

по умолчанию - C:\Program Files\IBM HTTP Server.

12. Чтобы узнать, как установить FixPack, смотрите раздел “Установка IBM



Чтобы установить IBM WebSphere Application Server FixPack 3, сделайте следующее:




Portal Manager для Windows.

3. В командной строке перейдите в каталог windows\WebSphere\ptf403 на

устройстве, где находится компакт-диск.

4. Скопируйте содержимое каталога ptf403 во временный каталог на вашем

компьютере и запустите следующий пакетный файл:

install.bat



Windows


C:\WebSphere\AppServer



8. Если в качестве реестра вы используете iPlanet Directory, выберите Да, чтобы

обновить конфигурацию Web-сервера iPlanet для поддержки продуктом



10. Если вы используете IBM HTTP Server, укажите домашний каталог для IBM

HTTP Server и нажмите Enter. Например, введите следующую команду:

C:\Program Files\IBM HTTP Server

11. Выберите Yes (Да), чтобы использовать каталог Application Server Logs.


WebSphere Application Server. Начнется обновление. В командной строке

появится сообщение Upgrading IBM JDK (Обновляется IBM JDK). Во время этого

обновления IBM Developer Kit for Windows будет установлен в каталог

WebSphere. Даже если IBM Developer Kit уже установлен где-либо на вашем

компьютере, никакого конфликта не возникнет.







Теперь у вас установлены WebSphere Application Server Single Server 4.0 и FixPack

3.




v Перед удалением компонентов остановите все приложения Tivoli Access

Manager.












Чтобы деконфигурировать компоненты Tivoli Access Manager в Windows, сделайте

следующее:

Windows


Примечание: Если вы уже деконфигурировали какой-либо компонент Tivoli Access

Manager, то во время деконфигурирования у вас не будут запрашивать

ни имя администратора, ни пароль. Утилита конфигурирования

сохраняет эту информацию в кэше.

1. Зарегистрируйтесь в качестве пользователя Windows с полномочиями


2. Убедитесь, что сервер реестра и сервер политики работают (если вы не

производите деинсталляцию Tivoli Access Manager Policy Server).

3. ВыберитеПуск → Программы → Access Manager for e-business → Конфигурация

или введите в командной строке команду pdconfig.

4. В диалоговом окне Конфигурирование Access Manager for e-business щелкните по

одному из указанных в нем компонентов Tivoli Access Manager. Компоненты

следует деконфигурировать в следующем порядке:




v Access Manager Web Portal Manager

Примечание: Только для пользователей Active Directory: Прежде чем приступать к

деконфигурированию сервера политики Tivoli Access Manager,

убедитесь, что приложение консоли управления (Administration

Console) закрыто.

5. Щелкните по Деконфигурировать.

6. Если вы собираетесь деконфигурировать сервер авторизации, введите пароль

мастера защиты (sec_master).

7. Если вы собираетесь деконфигурировать сервер политики, введите имя

администратора LDAP (например, cn=root) и соответствующий пароль. Появится

предупреждение о том, что при деконфигурировании этого пакета будет удалена

информация о конфигурации и авторизации для всех серверов Tivoli Access

Manager в защищенном домене.Щелкните по Да, чтобы удалить эту информацию;

чтобы прервать выполнение задачи, щелкните по Нет.

8. Если вы хотите деконфигурировать другой компонент, повторите шаги с 4 по 7.

9. Чтобы деконфигурировать Tivoli Access Manager Java Runtime Environment,







Чтобы удалить компоненты из системы Windows, сделайте следующее:

1. Зарегистрируйтесь в качестве пользователя Windows с полномочиями


2. Выберите Пуск → Настройка → Панель управления, а затем щелкните по значку

Установка и удаление программ.

3. Выберите один из перечисленных ниже компонентов, после чего щелкните по

Установить/Удалить:

v IBM Directory V4.1.1


v Access Manager Application Development Kit

Windows


v Access Manager Java Runtime Environment



v Access Manager Web Portal Manager

v WebSphere Application Server


4. Выберите язык, который вы хотите использовать в ходе удаления Tivoli Access

Manager, и щелкните по OK.

5. В блоке Подтвердите удаление компонентов щелкните по Да.

Компонент Tivoli Access Manager будет удален.

6. Выберите в списке другой компонент или щелкните по ОК, чтобы закрыть

программу.

7. Чтобы удалить GSKit с компьютера, введите команду:

isuninst -f"c:\program files\ibm\gsk\ibm\gsk5\gsk5bui.isu"

где c:\program files\ibm\gsk\ibm\gsk5 - полный путь файла gsk5BUI.isu.

Примечание: Вы не сможете деинсталлировать GSKit с помощью значка

Установка и удаление программ, как в случае других компонентов


Windows


Глава 8. Обновление продукта до Tivoli Access Manager

версии 4.1

В этой главе рассказывается, как обновить системы Tivoli Access Manager версий 3.8 и

3.9 до уровня Tivoli Access Manager версии 4.1. Описанные ниже процедуры

представляют собой рекомендованные шаги для всех компонентов на момент

публикации. Требования к системе и самую свежую информацию о процедуре

обновления смотрите в документе IBM Tivoli Access Manager Release Notes на

Web-сайте Tivoli Customer Support.

Примечание: Если вы собираетесь обновить защищенный домен, в котором

используется более ранняя версия продукта, чем Tivoli SecureWay Policy

Director, Version 3.7.x, то перед установкой продукта версии 4.1 вы

сначала должны будете обновить этот домен до уровня Tivoli Access

Manager 3.8 или 3.9.

В этой главе содержатся следующие разделы:

v “Замечания по обновлению, касающиеся реестров LDAP”

v “Обновление сервера политики” на стр. 98

v “Обновление сервера политики с использованием двух компьютеров” на стр. 99

v “Обновление других систем Tivoli Access Manager” на стр. 101

v “Как вернуться к использованию прежней версии сервера политики” на стр. 102

Если вы собираетесь обновить сервер политики (Policy Server) версии 3.8 или версии

3.9, обновление можно производить на том же компьютере-сервере политики или в

системе, где используются два компьютера — ваш текущий компьютер-сервер

политики и второй, свободный, компьютер, предназначенный для версии 4.1. Такой

подход с использованием двух компьютеров позволяет не прерывать работу

текущего компьютера-сервера политики, пока вы не настроите и не протестируете

второй компьютер-сервер политики, на котором устанавливается Policy Server 4.1.

Если при обновлении с использованием двух компьютеров возникнут какие-либо

затруднения, можно будет просто установить сервер политики версии 4.1 в

автономном режиме.

Замечания по обновлению, касающиеся реестров LDAP

Перед обновлением до версии 4.1 ознакомьтесь со следующими замечаниями:

v В качестве обычной меры предосторожности, прежде чем приступать к

обновлению продукта, обязательно произведите резервное копирование

информации, содержащейся на всех серверах Tivoli Access Manager. Также

рекомендуется с помощью команд LDAP создать резервные копии всех данных

LDAP, а затем восстановить их. Инструкции смотрите документации по вашему

продукту LDAP.

v Вам не обязательно обновлять продукт до уровня версии 4.1 на всех компьютерах

в вашем защищенном домене. Список систем версий 3.8 и 3.9, обеспечивающих

обратную совместимость с сервером политики версии 4.1, смотрите в документе

IBM Tivoli Access Manager Release Notes.

v Переход на другой тип реестра при обновлении не поддерживается. Например,

перейти с реестра LDAP на реестр Domino нельзя.


v Если вы обновляете систему, в которой уже установлены приложения Tivoli Access

Manager, ознакомьтесь с дополнительными требованиями и рекомендациями по

обновлению в документации по этим приложениям, размещенной на Web-сайте

Tivoli Support.

v Только в системах UNIX:

– Все команды должны вводиться от имени пользователя root.

– Временный каталог - /tmp.

– Путь установки - /opt/PolicyDirector и /var/PolicyDirector.v Только в системах Windows:

– Команды должен вводить пользователь, входящий в группу администраторов.

– Временный каталог - это значение переменной TMP. Если переменная TMP не

задана, используется значение переменной TEMP. Если не задана ни одна из

этих переменных, в качестве временного каталога используется каталог system.

– Путь установки зависит от того, какой каталог был указан при установке.

– Реестр можно обновить в любой момент до или после обновления Tivoli Access

Manager за исключением тех случаев, когда IBM Directory Server установлен на

одном компьютере с компонентом Tivoli Access Manager. В подобной ситуации

реестр следует обновить одновременно с обновлением клиента IBM Directory.

Обновление сервера политики

Ниже приводятся инструкции по обновлению имеющегося у вас сервера политики до

Tivoli Access Manager версии 4.1.

1. Чтобы остановить все службы Tivoli Access Manager, выполните одно из


v В системах Windows выберите Пуск → Настройка → Панель управления →

Администрирование (только в Windows 2000) и дважды щелкните по значку

Службы. Остановите все службы Tivoli Access Manager, работающие на

локальном компьютере, включая такие приложения, как WebSEAL.

v В системах UNIX воспользуйтесь командой pd_start. Например, введите:

pd_start stop

Чтобы убедиться, что все все службы и приложения Tivoli Access Manager

остановлены, введите команду ps. Если окажется, что какие-то службы или

приложения Tivoli Access Manager все еще работают, введите команду kill.2. Установите все исправления операционной системы, которые требуются для

установки Tivoli Access Manager версии 4.1, и продукты, необходимые для его

работы. Информацию о требованиях к продуктам и необходимых исправлениях

операционной системы смотрите в разделе, посвященном требованиям к

программным средствам, в документе IBM Tivoli Access Manager Release Notes.

3. Установите поддерживаемую версию IBM Global Security Toolkit (GSKit) и

обновите клиент IBM Directory Client. Инструкции смотрите в разделе

″Использование собственной установки″ для вашей операционной платформы. По

завершении собственной установки вернитесь к этому шагу.


v Если при обновлении GSKit вас попросят перезагрузить компьютер,

обязательно сделайте это, а затем приступайте к выполнению данных

инструкций.

v Если IBM Directory Client находится на одном компьютере с IBM Directory

Server, вам придется обновить сервер. Информацию по обновлению сервера

смотрите в документации по IBM Directory.

Обновление продукта до Tivoli Access Manager версии 4.1


4. Создайте резервную копию важных данных Tivoli Access Manager на текущем

сервере политики с помощью команды pdbackup. Например, введите:

pdbackup -action backup -file имя_архива -list /путь/pdbackup.lst

где имя_архива - имя файла архива данных Tivoli Access Manager, а /путь/ - один

из следующих каталогов (где находится файл pdbackup.lst):

v В системах AIX:

устройство_cd_rom/usr/sys/inst.images/migrate

v В системах HP-UX:

устройство_cd_rom/HP/migrate

v В системах Red Hat Linux:

устройство_cd_rom/linux/migrate

v В системах Linux for zSeries:

устройство_cd_rom/zSeries/migrate

v В системах Solaris:

устройство_cd_rom/solaris/migrate

v В системах Windows:

устройство_cd_rom\windows\migrate

Примечание: Дополнительную информацию о команде pdbackup смотрите в


5. Убедитесь, что сервер LDAP запущен, после чего установите компоненты Tivoli

Access Manager версии 4.1. Инструкции смотрите в разделе ″Использование

собственной установки″ для вашей операционной платформы.

6. Убедитесь, что сервер политики (Tivoli Access Manager Policy Server) запущен.

Запустите все приложения Tivoli Access Manager и выполните все необходимые

задачи, связанные с данным продуктом.

Обновление сервера политики с использованием двух

компьютеров

Ниже приводятся инструкции, который позволят вам, не прерывая работу

имеющегося у вас сервера политики, установленного на одном компьютере,

установить новый сервер политики (Policy Server) версии 4.1 на втором компьютере.

1. Остановите все службы Tivoli Access Manager на имеющемся у вас

компьютере-сервере политики, выполнив одно из следующих действий:





v В системах UNIX воспользуйтесь утилитой pd_start. Например, введите:

pd_start stop

Чтобы убедиться, что все все службы и приложения Tivoli Access Manager

остановлены, введите команду ps. Если окажется, что какие-то службы или

приложения все еще работают, введите команду kill. 2. Создайте резервную копию важных данных Tivoli Access Manager на имеющемся

сервере политики с помощью команды pdbackup. Например, введите одну из


v Для версии 3.8:

pdbackup -action backup -file имя_архива -list mig38to41.lst -path путь


Глава 8. Обновление продукта до Tivoli Access Manager версии 4.1 99

v Для версии 3.9:

pdbackup -action backup -file имя_архива -list mig39to41.lst -path путь

где имя_архива - имя файла архива данных Tivoli Access Manager в UNIX или имя

каталога архива в Windows, а путь - путь создаваемого файла или каталога

архива. После выполнения команды pdbackup в указанном вами каталоге будет

создан файл или каталог архива данных Tivoli Access Manager.



3. Чтобы перезапустить демон сервера политики (pdmgrd) или службу на

имеющемся у вас сервере политики, выполните одно из следующих действий:



Службы. Запустите все службы Tivoli Access Manager, работающие на



pd_start start

4. Скопируйте архив, созданный с помощью команды pdbackup, с компьютера, где

установлен Policy Server, на компьютер с Policy Server версии 4.1. Если вы

работаете в Windows, скопируйте каталог архива и все его содержимое на новый

компьютер, где вы установили Policy Server версии 4.1. кроме того, если

используется поддержка SSL для связи с сервером LDAP, скопируйте файл

ключей клиента SSL на новый компьютер, указав то же путь назначения и то же

имя файла ключей, которые использовались в качестве исходных на первом

компьютере.

Примечание: Этот новый сервер политики версии 4.1 должен представлять собой

″пустой″ компьютер. Не используйте компьютер с уже

установленным продуктом.

5. Установите на новом компьютере все исправления операционной системы,

которые требуются для установки Tivoli Access Manager версии 4.1, и продукты,

необходимые для его работы. Информацию о требованиях к продуктам и

необходимых исправлениях операционной системы смотрите в разделе,

посвященном требованиям к программным средствам, в документе IBM Tivoli

Access Manager Command Reference.

6. Убедитесь, что сервер LDAP запущен, после чего установите на новом

компьютере-сервере политики версии 4.1 Tivoli Access Manager версии 4.1 и

продукты, необходимые для его работы. Инструкции смотрите в разделе

″Использование собственной установки″ для вашей операционной платформы.

7. Извлеките данные реестра в каталоги на новом сервере политики версии 4.1 с

помощью команды pdbackup. Например, введите:

pdbackup -action extract -path каталог_восстановления -file имя_архива

где каталог_восстановления - временный каталог на новом сервере политики

4.1, в который нужно извлечь заархивированные данные, а имя_архива - файл

архива данных Tivoli Access Manager или имя каталога архива.



8. Сконфигурируйте среду выполнения на новом сервере политики версии 4.1.

Когда вас попросят указать имя сервера LDAP, введите имя сервера LDAP,

используемого вашим прежним сервером политики.



9. Сконфигурируйте новый сервер политики (Policy Server) версии 4.1. Когда вас

спросят, хотите ли вы сконфигурировать сервер политики для перенастройки,

выберите yes (да) и укажите каталог_восстановления, заданный опцией –path в

Шаге 7 на стр. 100.

Предупреждение

Если произойдет ошибка конфигурирования, не деконфигурируйте эту

систему, иначе важные данные, необходимые существующему серверу

политики будет уничтожены. Выполните для нового сервера шаги,

описанные в разделе “Как вернуться к использованию прежней версии

сервера политики” на стр. 102. Учтите, что новая система представляет

собой клон имеющейся у вас системы. Это означает, что местонахождение

таких критически важных файлов, как файлы сертификатов, в новой

системе должно быть точно таким же, как и в имеющейся системе.

Например, если файл сертификата на имеющемся сервере политики

находится в каталоге /certs, то и в новой системе он также должен

находиться в каталоге /certs.

10. Ваш компьютер готов к работе. Запустите pdadmin и запросите информацию из

базы данных ACL и реестра, чтобы проверить их состояние.

11. Установите и сконфигурируйте на новом компьютере другие компоненты Tivoli

Access Manager (если это нужно).

12. Если при перенастройке вы внесли в базу данных обновления или изменения, вы

должны будете скопировать файлы базы данных со старого сервера политики на

новый сервер политики версии 4.1. Местонахождение (по умолчанию) файлов,

которые нужно скопировать:

v В системах UNIX: /var/PolicyDirector/db/master_authzn.db

v В системах Windows: каталог_установки\db\master_authzn.db

13. Перейдите к следующему разделу, “Обновление других систем Tivoli Access

Manager”, если хотите обновить другие системы до версии 4.1. Завершив

обновление всех систем Tivoli Access Manager, выполните инструкции,

приведенные в разделе “Как вернуться к использованию прежней версии сервера

политики” на стр. 102, чтобы вернуться к вашему прежнему серверу политики.

Обновление других систем Tivoli Access Manager

Ниже приводятся инструкции по перенастройке систем Tivoli Access Manager (помимо

сервера политики) до Tivoli Access Managerверсии 4.1:

1. Остановит приложения и службы Tivoli Access Manager, запущенные на

компьютере, и выполните все задачи, связанные с продуктом. Чтобы остановить

все приложения и службы, выполните одно из следующих действий:






pd_start stop

Примечание: Чтобы убедиться, что все все службы и приложения Tivoli Access

Manager остановлены, введите команду ps. Если окажется, что

какие-то службы или приложения Tivoli Access Manager все еще

работают, введите команду kill.



2. Установите все исправления операционной системы, которые требуются для

установки Tivoli Access Manager версии 4.1, и продукты, необходимые для его

работы. Информацию о требованиях к продуктам и необходимых исправлениях

операционной системы смотрите в разделе, посвященном требованиям к

программным средствам, в документе IBM Tivoli Access Manager Command

Reference.

3. Установите поддерживаемую версию IBM Global Security Toolkit (GSKit) и

обновите клиент IBM Directory Client. Инструкции смотрите в разделе


Удалять предыдущие версии продуктов IBM Global Security Toolkit не нужно. По

завершении собственной установки вернитесь к этому шагу, чтобы убедиться, что

процедура была выполнена успешно.


v Если при обновлении GSKit вас попросят перезагрузить компьютер,

перезагрузите его, а затем приступайте к выполнению данных инструкций.

v Если IBM Directory Client находится на одном компьютере с IBM Directory

Server, вам придется обновить сервер. Информацию по обновлению сервера

смотрите в документации по IBM Directory.4. Создайте резервную копию важных данных Tivoli Access Manager на текущем

сервере политики с помощью команды pdbackup. Например, введите:

pdbackup -action backup -file имя_архива -list /путь/pdbackup.lst

где имя_архива - имя файла архива данных Tivoli Access Manager, а /путь/ - один

из следующих каталогов (где находится файл pdbackup.lst):


устройство_cd_rom/usr/sys/inst.images/migrate

v В системах HP-UX:

устройство_cd_rom/HP/migrate

v В Red Hat Linux:

устройство_cd_rom/linux/migrate

v В системах Linux for zSeries:

устройство_cd_rom/zSeries/migrate


устройство_cd_rom/solaris/migrate

v В системах Windows:

устройство_cd_rom\windows\migrate



5. Убедитесь, что сервер LDAP и сервер политики запущены, после чего установите

компоненты Tivoli Access Manager версии 4.1. Инструкции смотрите в разделе


6. Запустите все приложения Tivoli Access Manager и выполните все задачи,

связанные с данным продуктом.

Как вернуться к использованию прежней версии сервера политики

Ниже приводятся инструкции, которые позволят вам, после того, как вы успешно

перенастроили данные сервера политики и соответствующие клиент и сервер до

уровня версии 4.1, вернуться к использованию прежнего сервера политики, если его

обновление производилось с использованием двух компьютеров.



1. Скопируйте указанный ниже файл с сервера политики версии 4.1 во временный

каталог на существующем сервере политики:

v В системах UNIX: opt/PolicyDirector/sbin/pdmgr_ucf

v В системах Windows: путь_установки_pd/sbin/pdmgr_ucf.exe

где путь_установки_pd - путь установки Tivoli Access Manager.

2. На текущем сервере политики запустите выполняемый файл pdmgr_ucf (в

Windows - pfmgr_ucf.exe).

3. Деинсталлируйте предыдущую версию Tivoli Access Manager. Описание процедур

по деинсталляции смотрите в документации по Tivoli Access Manager версии 3.8

или 3.9.

Примечание: Пока не закончится процедура обновления, ни в коем случае не

деконфигурируйте ни существующий, ни новый сервер политики.

Деконфигурирование существующего или нового сервера политики

на этом этапе приведет к тому, что вы получите неработоспособную

среду Tivoli Access Manager.

Восстановление прежней версии продукта

Если при перенастройке продукта до уровня версии 4.1 с использованием одного

компьютера вы столкнетесь с неполадками, то вам, возможно, придется

восстановить предыдущий уровень продукта. Для этого выполните описанные ниже

шаги.

Примечание: Если при резервном копировании существующих данных произойдут

ошибки, то, прежде чем переходить к обновлению, обратите за

помощью в службу поддержки Tivoli.

1. Убедитесь, что остановлены все приложения и базовые службы Tivoli Access

Manager.

2. Чтобы удалить Tivoli Access Manager версии 4.1, выполните одно из следующих

действий:

v В системах AIX удалите пакеты Tivoli Access Manager с компьютера с помощью

smitty.

v В системах HP-UX введите указанные ниже команды в следующем порядке:

rm -f /opt/PolicyDirector/.configure/*

swremove -x enforce_dependencies=false имя_пакета

rm -fR /opt/PolicyDirector

rm -fR /var/PolicyDirector

v В Linux введите следующие команды:

rm -f /opt/PolicyDirector/.configure/*rpm -e имя_пакета



v В системах Solaris введите следующие команды:

rm -f /opt/PolicyDirector/.configure/*

pkgrm имя_пакета



Утилита pkgrm спросит вам, хотите ли вы приступить к удалению компонента,

даже если этот компонент еще не деконфигурирован.Чтобы продолжить,

введите yes (да). Если у вас установлены все связанные с продуктом

программные средства (WebSEAL и т.п.), вас спросят, хотите ли вы



деинсталлировать базовый компонент Tivoli Access Manager, даже если у вас

установлены приложения, для работы которых он необходим. Чтобы

продолжить, введите yes (да).

v В системах Windows выполните следующие шаги:

a. Зарегистрируйтесь в качестве пользователя Windows с полномочиями


b. Выберите Пуск → Настройка → Панель управления, а затем щелкните по

значку Установка и удаление программ.

c. Нажмите на кнопку Добавить/Удалить, чтобы удалить пакеты Tivoli Access

Manager.3. Установите вашу предыдущую версию Tivoli Access Manager. Конкретные

инструкции смотрите в Руководстве по установке пакета Base нужной вам версии.

Примечание: Только в системах AIX: Команду installp следует вводить с опцией

–F. Либо, если установка пакетов продукта версии 3.8 или 3.9

производится с помощью SMIT, то, в ответ на вопрос, нужно ли

перезаписывать те же или более новые версии продукта, введите yes,

а в ответ на вопрос, нужно ли автоматически устанавливать

необходимые программы, введите no.

4. Примените все пакеты исправлений (FixPack) Tivoli Access Manager, которые были

установлены в системе до обновления до версии 4.1.

5. Восстановите ваши прежние данные, для чего перейдите во временный каталог и

введите команду pdbackup –action restore. Примеры и описания опций команды

pdbackup смотрите в справочнике IBM Tivoli Access Manager Command Reference.



Глава 9. Сценарии простой установки в UNIX

В этом приложении описаны следующие сценарии, в которых используются файлы

простой установки на платформах UNIX:

v “Настройка сервера IBM Directory”

v “Настройка сервера политики Tivoli Access Manager” на стр. 111

v “Настройка системы среды выполнения Tivoli Access Manager” на стр. 119

v “Настройка системы Web Portal Manager” на стр. 124







v Ознакомьтесь с разделом ″Использование простой установки″ в главе,

посвященной установке Tivoli Access Manager на используемой вами

платформе, чтобы узнать, какие сценарии простой установки

поддерживаются.

Важнейшими компонентами защищенного домена являются поддерживаемый реестр

и сервер политики Tivoli Access Manager. Приведенные ниже сценарии исходят из

следующих предпосылок:

v В качестве реестра Tivoli Access Manager устанавливается и конфигурируется IBM

Directory Server.

v Для соединений между IBM Directory Server и его клиентами LDAP используется

поддержка связи SSL (Secure Sockets Layer).

Настройка сервера IBM Directory

В приведенном ниже сценарии производится установка и конфигурирование IBM

Directory Server в качестве реестра Tivoli Access Manager с использованием сценария

ezinstall_ldap_server. Этот сценарий установит и сконфигурирует на вашем

компьютере все нужные программные компоненты, включая необходимые продукты,

компоненты Tivoli Access Manager и связанные с ними исправления (патчи).

В отличие от простой установки в Windows с использованием пакетных файлов у вас

будет возможность изменить каталоги установки. По умолчанию используются

следующие каталоги:

v Для AIX:

– IBM DB2 — /usr/ldap/db2

– IBM HTTP Server — /usr/HTTPServer

– LDAP — /usr/ldap

– GSKit — /usr/opt/ibm/gskkm

v Для Solaris:

– IBM DB2 — /opt/IBMdb2

– IBM HTTP Server — /opt/IBMHTTP


– LDAP server — /opt/IBMldaps

– LDAP client — /opt/IBMldapc

– GSKit — /opt/ibm/gsk5

В Табл. 9 указаны опции конфигурации для IBM Directory Server, а также

программные средства, необходимые для работы этого продукта. Прежде чем

приступать к установке, прочтите приведенный ниже сценарий и впишите нужные

значения в оставленное для них место.

Таблица 9. Рабочая таблица по установке IBM Directory Server

Конфигурация IBM HTTP Server Значение по умолчанию Ваше значение

ID администратора

Программа простой установки

определяет ID администратора,

указанный при регистрации в системе.

____________________________

Пароль администратора ____________________________

Порт HTTP 80 ____________________________

Конфигурация IBM Directory Server Значение по умолчанию Ваше значение

ID администратора LDAP (DN) cn=root ____________________________

Пароль администратора LDAP ____________________________

Имя хоста сервера LDAP


определит и автоматически подставит

имя хоста вашего компьютера.

____________________________

DN LDAP для базы данных GSO

Рекомендация:

o=tivoli,c=us

____________________________

Порт сервера LDAP 389 ____________________________

Файл ключей SSL LDAP cd_rom/common/pd_ldapkey.kdb ____________________________

Пароль файла ключей SSL LDAP gsk4ikm ____________________________

Метка сертификата клиента SSL PDLDAP ____________________________

Чтобы установить и сконфигурировать IBM Directory Server и программные средства,

необходимые для его работы, выполните следующее:

Примечание: Если у вас уже имеется установленная версия сервера IBM Directory

Server, удалите ее. Кроме того, перед инициацией сценариев простой

установки необходимо закрыть все работающие программы.


2. В ходе простой установки на ваш компьютер будет скопирован файл ключей SSL

LDAP по умолчанию (pd_ldapkey.kdb). Если вы включаете поддержку SSL и

собираетесь использовать другой файл ключей SSL, вы должны будете вручную

скопировать на свой компьютер нужный файл ключей SSL.

3. Запустите файл ezinstall_ldap_server, находящийся в корневом каталоге на

компакт-диске Tivoli Access Manager Base для вашей платформы.

Если вы уже запускали файл простой установки на этом компьютере, вас

спросят, хотите ли вы использовать сохраненный файл ответов. Чтобы

продолжить выполнение этого сценария, нажмите N. Более подробная

информация о файлах ответов приведена в разделе Приложение B, “Справочник

по конфигурированию Tivoli Access Manager”, на стр. 189.

Появится окно, аналогичное показанному на рисунке. В нем будет показано

текущее состояние продуктов, необходимых для работы IBM Directory Server.

Чтобы начать установку, нажмите Enter и при появлении соответствующих

Сценарии простой установки в UNIX


запросов вводите информацию о конфигурации.

Примечание: Программа простой установки не предлагает изменить значения по

умолчанию. Однако вы можете изменить эти значения при

подтверждении каждого набора опций конфигурации. Когда

программа попросит вас подтвердить заданные значения, введите

номер, соответствующий нужной опции, измените значение, как

вам требуется, и нажмите Enter.

4. Введите пароль, связанный с ID root, который вы использовали при регистрации

в данной системе, и нажмите Enter.


Глава 9. Сценарии простой установки в UNIX 107

5. Чтобы продолжить, введите Y и нажмите Enter. Затем создайте пароль для ID

администратора LDAP, повторно введя его для подтверждения.

6. Вас попросят ввести DN LDAP для базы данных GSO. Это - имя-идентификатор,

указывающее, в каком месте дереве каталогов (DIT) сервера LDAP должны



(существующего) LDAP. Например, введите o=tivoli,c=us, чтобы создать новый

суффикс для метаданных GSO.

Примечание: DN LDAP для базы данных GSO необходимо указать даже в том

случае, если вы реализуете с помощью Tivoli Access Manager

решение с единой регистрацией (Single Signon - SSO). Более

подробную информацию о DN LDAP для базы данных GSO

смотрите в разделе “Обзор конфигурирования сервера LDAP” на

стр. 19



стр. 19.

7. После того, как вы введете DN LDAP для базы данных GSO, у вас будет

возможность изменить любую опцию конфигурации сервера IBM Directory.

Например, если вы не хотите использовать файл ключей SSL LDAP по

умолчанию (опция 6), введите6 и нажмите Enter, чтобы изменить

соответствующее значение. Если вы укажете другой файл ключей SSL, вы также

должны будете изменить значения опций 8 и 9.

8. Если вы не измените значение по умолчанию для опции 7 (Файл ключей SSL

LDAP), вас попросят нажать Enter, чтобы скопировать файл

устройство_cd_rom/common/pd_ldapkey.kdb в каталог

var/ldap/keytab/pd_ldapkey.kdb на вашем компьютере. Чтобы продолжить,

введите Y и нажмите Enter.


v Опция 8 (Пароль файла ключей SSL LDAP) - это пароль, связанный с файлом

ключей по умолчанию, pd_ldapkey.kdb. Пароль для файла по умолчанию -

gsk4ikm. Если вы решите изменить этот пароль с помощью утилиты gsk5ikm,

то вам придется вспомнить этот пароль.

v Если вы измените файл по умолчанию, pd_ldapkey.kdb, в опции 7, программа

не предложит вам скопировать этот файл ключей.



9. Начнется установка IBM Directory Server и продуктов, необходимых для его

работы.

10. Продолжайте следить за ходом установки и конфигурирования IBM Directory

Server и необходимых продуктов. Это может занять несколько минут. Дождитесь

окончания процесса. По завершении установки в качестве состояния для всех



продуктов будет указано Сконфигурирован, как показано на рисунке:

Примечание: Если при установке обнаружится ошибка, вы можете просмотреть

файл /var/ezinstall_ldap_server.log.

Настройка сервера политики Tivoli Access Manager

Следующим шагом после успешного завершения установки реестра LDAP будет

установка сервера политики. В приведенном ниже примере производится установка и

конфигурирование сервера политики (Policy Server) с использованием сценария

ezinstall_pdmgr. Этот сценарий установит и сконфигурирует на вашем компьютере

все нужные программные компоненты, включая необходимые продукты, компоненты

Tivoli Access Manager и связанные с ними исправления (патчи).

Этот сценарий устанавливает сервер политики на одном компьютере с реестром

(который вы установили в разделе “Настройка сервера IBM Directory” на стр. 105).

Это полезно при создании прототипа для внедрения или разработки и тестирования

приложения. Однако, при реальном внедрении эти серверы рекомендуется

устанавливать на отдельных компьютерах. Обратите внимание на то, что

единственное отличие установки на отдельном компьютере состоит в том, что в ходе

установки также устанавливаются продукты IBM Global Security Toolkit и IBM

Directory Client.

В Табл. 10 указаны опции конфигурации для сервера политики (Tivoli Access Manager

Policy Server), а также программные средства, необходимые для работы этого

компонента. Прежде чем приступать к установке, прочтите приведенный ниже

сценарий и впишите нужные значения в оставленное для них место.

Таблица 10. Рабочая таблица по установке Tivoli Access Manager Policy Server

Конфигурация IBM Tivoli Access Manager

Runtime

Значение по умолчанию Ваше значение

Конфигурировать, используя этот тип

реестра

ldapВ настоящее время

поддерживается только LDAP.

____________________________



Таблица 10. Рабочая таблица по установке Tivoli Access Manager Policy Server (продолжение)

Имя хоста сервера LDAP ____________________________



Policy Server





Включить связь SSL между Policy Server и

LDAP?

Рекомендуется: Y ____________________________

Если вы включите связь SSL с сервером LDAP, вас попросят указать следующие четыре значения:

Файл ключей клиента SSL LDAP ____________________________

Метка сертификата клиента LDAP

Это значение не требуется, если

используется файл ключей SSL по

умолчанию.

____________________________

Пароль файла ключей SSL gsk4ikm ____________________________

Порт SSL сервера LDAP 636 ____________________________


Вы должны указать то же DN, которое

вы использовали при конфигурировании

сервера LDAP.

____________________________

Порт сервера SSL для AM Policy Server 7135 ____________________________

Срок действия сертификата SSL Policy

Server

365 ____________________________

Включить загрузку сертификатов Рекомендуется: Y ____________________________

Чтобы установить и сконфигурировать Tivoli Access Manager Policy Server, выполните

следующее:

1. Убедитесь, что вы зарегистрировались в системе в качестве администратора

root.


v Если вы устанавливаете сервер политики на отдельном компьютере,

скопируйте вручную файл ключей SSL, который вы использовали для

конфигурирования сервера LDAP, в каталог на данном компьютере.

Например, скопируйте файл по умолчанию, pd_ldapkey.kdb, из каталога

var/ldap/keytab на компьютере-сервере IBM Directory, в каталог

/var/ldap/keytab на данном компьютере.

v Если вы устанавливаете сервер политики на том же компьютере, что и IBM

Directory Server, перейдите к шагу 3. 3. Запустите файл ezinstall_pdmgr, который находится в корневом каталоге

компакт-диска Tivoli Access Manager Base для вашей платформы.






Появится окно, аналогичное показанному на рисунке. Чтобы начать установку,

нажмите Enter и при появлении соответствующих запросов вводите



информацию о конфигурации.

Если вы собираетесь установить сервер политики на одном компьютере с

сервером LDAP, сценарий ezinstall_pdmgr определит, что IBM Global Security

Toolkit и IBM SecureWay Directory Client уже установлены.

4. Введите имя хоста сервера LDAP и нажмите Enter. Это - имя хост-компьютера,

на котором вы установили IBM Directory Server. Например, в предыдущем

сценарии в качестве имени хоста IBM Directory Server использовалось имя

pdsun3. Можно ввести либо краткое, либо полное имя хоста (например,

pdsun3.dev.company.com).

5. Чтобы продолжить, введите Y и нажмите Enter. С целью обеспечения защиты

рекомендуется включить поддержку связи SSL с сервером LDAP. Для этого



введите Y и нажмите Enter. В противном случае введите N и перейдите к шагу 8

на стр. 116.

6. Введите полный путь файла, в который вы скопировали файл ключей клиента

SSL LDAP в шаге 2 на стр. 112, и нажмите Enter. Например, если вы

скопировали файл по умолчанию, pd_ldapkey.kdb, в каталог /var/ldap/keytab,

введите: /var/ldap/keytab/pd_ldapkey.kdb.

7. Введите пароль файла ключей клиента SSL LDAP и нажмите Enter. Пароль для

файла pd_ldapkey.kdb по умолчанию, поставляемого с простой установкой -

gsk4ikm. Этот пароль по умолчанию подходит только в том случае, если вы

установили и сконфигурировали IBM Directory Server с использованием сценария

ezinstall_ldap_server или если при собственной установке вы указали файл



ключей по умолчанию. Если вы решите изменить этот пароль с помощью

утилиты gsk5ikm, то вам придется вспомнить этот пароль по умолчанию.

Примечание: Опция 7 задает в файле базы данных ключей GSKit клиента метку

для сертификата клиента, который нужно послать на сервер LDAP.

Если вы включаете поддержку SSL с использованием значений по

умолчанию, это значение вводить не нужно. Это значение

требуется, только если сервер сконфигурирован так, что для

установления связи SSL необходима аутентификация клиента, или

если вы хотите использовать какой-либо сертификат помимо

сертификата по умолчанию в файле ключей. Как правило, для

сервера LDAP нужны лишь сертификаты стороны сервера, которые

были заданы в ходе создания файла .kdb клиента.



8. Введите пароль, связанный с ID администратора LDAP, который вы создали при

установке сервера LDAP, и нажмите Enter.

9. Создайте пароль для ID мастера защиты (sec_master), повторно введя его для

подтверждения. Используя этот ID администратора создайте свои ID

администраторов, группы и их полномочия.

10. Введите значение DN LDAP для базы данных GSO, которое вы ввели при

конфигурировании сервера LDAP, и нажмите Enter. Например, в предыдущем



сценарии использовался суффикс o=tivoli,c=us.

11. При конфигурировании сервера политики Tivoli Access Manager создается файл

сертификата сертификатора SSL, pdcacert.b64, который обеспечивает

поддержку защиты связи между сервером и другими системами среды

выполнения Tivoli Access Manager. Вы можете упростить конфигурирование,

разрешив компьютерам среды выполнения Tivoli Access Manager загружать этот

файл автоматически. В противном случае вы должны будете перед

конфигурированием каждого очередного компьютера среды выполнения Tivoli

Access Manager вручную копировать на него этот файл.

Чтобы включить автоматическую загрузку файла сертификатора SSL, введите Y

и нажмите Enter.

Примечание: Если вы не включите автоматическую загрузку, файл

сертификатора SSL будет помещен в каталог:

/var/PolicyDirector/keytab/pdcacert.b64



12. Чтобы продолжить, введите Y и нажмите Enter. Следите за ходом установки. По

завершении установки в качестве состояния для всех продуктов будет указано

Сконфигурирован, как показано на рисунке:


настраивать в защищенном домене дополнительные системы Tivoli Access

Manager. Например, вы сможете выполнить следующее:

v Запустить программу InstallShield install_pdrte, чтобы установить одну или

более систем-клиентов среды выполнения (без сервера политики). Инструкции

смотрите в разделе “Настройка системы среды выполнения Tivoli Access

Manager” на стр. 119



v Запустить сценарий ezinstall_pdwpm, чтобы установить среду выполнения

Tivoli Access Manager с интерфейсом Web Portal Manager. Инструкции смотрите

в разделе “Настройка системы Web Portal Manager” на стр. 124

v Запустить сценарий ezinstall_pdacld, чтобы установить сервер авторизации


v Запустить сценарий ezinstall_pdauthADK, чтобы установить систему


Примечание: Если при установке обнаружится ошибка, вы можете просмотреть

файл /var/ezinstall_pdmgr.log.

Настройка системы среды выполнения Tivoli Access Manager

В приведенном ниже сценарии производится установка и конфигурирование среды

выполнения Tivoli Access Manager (Runtime) с использованием мастера установки

InstallShield Wizard (install_pdrte). В отличие от других сценариев простой установки в

программе install_pdrte используется мастер InstallShield Wizard, который поможет

вам установить систему среды выполнения. При этом устанавливаются и

конфигурируются все необходимые продукты и компоненты Tivoli Access Manager за

исключением необходимой JRE, которую следует установить вручную.

В Табл. 11 указаны опции конфигурации для среды выполнения (Tivoli Access

Manager Runtime), а также программные средства, необходимые для ее работы.

Прежде чем приступать к установке, прочтите приведенный ниже сценарий и впишите

нужные значения в оставленное для них место.

Примечание: Если продукт уже установлен, InstallShield не предложит вам указать

каталог установки. Кроме того, учтите, что простая установка

поддерживается только при использовании реестра на основе LDAP.

Таблица 11. Рабочая таблица по установке Tivoli Access Manager Runtime

IBM Tivoli Access Manager Runtime Значение по умолчанию Ваше значение

Имя хоста Policy Server ____________________________

Порт SSL Policy Server 7135 ____________________________

Файл сертификата CA Policy Server

Если при установке сервера политики и

вы разрешите другим компьютерам

среды выполнения Tivoli Access Manager

загрузку файла сертификата по

умолчанию, никакого значения вводить

не нужно.

____________________________



По умолчанию, связь SSL с сервером LDAP включена. Вас попросят указать следующие значения:

Файл ключей и его полный путь

Вы должны скопировать файл по

умолчанию, pd_ldapkey.kdb, из

каталога на сервере IBM Directory Server

в каталог на данном компьютере.

____________________________

Пароль файла ключей gsk4ikm ____________________________

DN файла ключей SSL LDAP (если

нужно)

Если вы используете файл ключей по

умолчанию, pd_ldapkey.kdb, никакого

значения вводить не нужно

____________________________

Номер порта SSL 636 ____________________________



Примечание: Параметры конфигурации компонентов GSKit и IBM Directory Client

программа запрашивать не будет. Кроме того, автоматически

включается поддержка SSL для связи с IBM Directory Server.

Чтобы установить и сконфигурировать Tivoli Access Manager Runtime, сделайте

следующее:

1. Убедитесь, что сервер LDAP и сервер политики запущены и что вы

зарегистрировались в качестве администратора root.

2. Скопируйте вручную файл ключей SSL, который вы использовали для

конфигурирования сервера LDAP, в каталог на данном компьютере. Например,

скопируйте файл по умолчанию, pd_ldapkey.kdb, из каталога var/ldap/keytab

на компьютере-сервере IBM Directory, в каталог var/ldap/keytab на данном


3. Установите среду JRE, поддерживаемую вашей платформой. Чтобы

ознакомиться с инструкциями:

v Для AIX смотрите стр. 49.

v Для HP-UX смотрите стр. 59.

v Для Red Hat Linux смотрите стр. 69.

v Для Solaris смотрите стр. 77. 4. Выберите язык, который вы хотите использовать в ходе установки и щелкните по

OK.

5. Щелкните по Далее, чтобы запустить InstallShield Wizard для установки среды

выполнения Tivoli Access Manager.




принимаете положения, и щелкните по Далее.

7. Заполните указанные ниже поля и щелкните по Next (Далее).

v Имя хоста Policy Server — Введите имя хоста Policy Server.

v Порт SSL Policy Server — Номер порта SSL для Policy Server уже назначен

(7135). Если вы используете другой номер порта, измените это значение.

v Файл сертификата CA Policy Server — Чтобы среда выполнения Tivoli Access

Manager смогла аутентифицировать другие серверы Tivoli Access Manager, с

которыми она соединяется, в ней должна быть копия файла pdcacert.b64,

который сервер политики сгенерировал в ходе конфигурирования. Выполните

одно из следующих действий:

– Если вы разрешили серверу политики загрузку файла pdcacert.b64,

никакого значения вводить не нужно.

– Если вы не разрешили серверу политики загрузить этот файл сертификата,

введите полный путь файла, в который вы скопировали файл pdcacert.b64

на этом компьютере.



8. Введите имя хоста сервера LDAP. Порт сервера LDAP уже будет указан (389).

Измените этот номер порта, если нужно, и нажмите Далее, чтобы продолжить.



9. Проверьте опции конфигурации. Выберите Далее, чтобы начать установку.

10. Начнется установка. Это может занять несколько минут.

11. Продолжайте следить за ходом установки среды выполнения Tivoli Access

Manager и созданием программы деинсталляции. По окончании установки вам

сообщат, что установка среды выполнения завершилась успешно. Чтобы



закрыть эту программу, щелкните по Готово, как показано на рисунке:

Если при установке обнаружится ошибка, вы можете просмотреть файл

/tmp/msg__amismp.log.

Настройка системы Web Portal Manager


выполнения Tivoli Access Manager (Runtime) с интерфейсом Web Portal Manager с

использованием сценария ezinstall_pdwpm. Этот сценарий установит и

сконфигурирует на вашем компьютере все нужные программные компоненты,

включая необходимые продукты, компоненты Tivoli Access Manager и связанные с

ними исправления (патчи).

В Табл. 12 указаны опции конфигурации для Web Portal Manager, а также

программные средства, необходимые для работы этого компонента. Прежде чем



Таблица 12. Рабочая таблица по установке системы Web Portal Manager






____________________________


Порт HTTP 80 ____________________________



реестра

ldap ____________________________




Таблица 12. Рабочая таблица по установке системы Web Portal Manager (продолжение)


Имя хоста Access Manager Policy Server ____________________________

Порт сервера SSL 7135 ____________________________

Имя файла сертификата CA сервера

политики

Если вы разрешили серверу политики

загрузку файла сертификата, никакого

значения вводить не нужно.

____________________________

IBM Tivoli Access Manager Web Portal

Manager


Регистрационное имя PDADMIN sec_master ____________________________

Пароль мастера защиты ____________________________

Чтобы установить и сконфигурировать систему Tivoli Access Manager с интерфейсом

Web Portal Manager, сделайте следующее:


зарегистрировались в качестве администратора root.

2. Убедитесь, что у вас установлен Web-браузер, обеспечивающий поддержку

интерфейса Web Portal Manager. Информацию о поддерживаемых браузерах

смотрите в документе IBM Tivoli Access Manager Release Notes.

3. Запустите сценарий ezinstall_pdwpm, находящийся в корневом каталоге на

компакт-диске IBM Tivoli Access Manager Web Portal Manager для используемой

вами платформы UNIX.











Примечание: Если на этом компьютере уже установлен компонент Tivoli Access

Manager Runtime, в столбце Состояние будет указано, что

компоненты IBM Global Security Toolkit, IBM Directory Client и

Tivoli Access Manager Runtime уже установлены.

4. Введите пароль, связанный с ID root, который вы использовали при регистрации

в данной системе, и нажмите Enter. Учтите, что при простой установке

обновляется версия IBM HTTP Server, которая устанавливалась вместе с IBM

WebSphere Application Server. При этом также устанавливается необходимое

исправление (патч) для IBM HTTP Server.

Примечание: Опция 3 задает номер порта, который использует IBM HTTP Server.

Если вы установили сервер LDAP, который не использует IBM

HTTP Server и устанавливаете Web Portal Manager на том же

компьютере, убедитесь, что для них назначены разные порты. Вы

можете либо изменить значение опции 3 в ходе простой установки,

либо изменить в файле /usr/HTTPServer/conf/httpd.conf номер

порта по умолчанию (80) на 8080, как показано на иллюстрации:

# Port: Порт приема для автономного компьютера.

Port 8080

5. Чтобы продолжить, введите Y и нажмите Enter. Затем введите имя хоста

сервера LDAP и нажмите Enter. Это - имя хост-компьютера, на котором вы

установили IBM Directory Server. Например, в предыдущем сценарии в качестве

имени хоста IBM Directory Server использовалось имя pdsun3. Можно ввести



либо краткое, либо полное имя хоста (например, pdsun3.dev.company.com).

6. Введите имя хоста сервера политики (Policy Server) и нажмите Enter.

7. Чтобы среда выполнения Tivoli Access Manager смогла аутентифицировать

другие серверы Tivoli Access Manager, с которыми она соединяется, в ней должна

быть копия файла сертификата CA, который сервер политики сгенерировал в

ходе конфигурирования.

Выполните одно из следующих действий:

v Если вы разрешили серверу политики загрузку файла pdcacert.b64, нажмите

Enter. Никакого значения вводить не нужно.

v Если вы не разрешили серверу политики автоматически загрузить этот файл

сертификата, введите полный путь файла, в который вы скопировали файл

pdcacert.b64 на этом компьютере, и нажмите Enter.



8. Чтобы продолжить, введите Y и нажмите Enter. Затем введите пароль,

связанный с ID sec_master, который вы создали при установке сервера политики.

Чтобы продолжить, введите Y и нажмите Enter.



9. Начнется установка. Продукты устанавливаются в указанной

последовательности.

После этого производится конфигурирование компонентов и устанавливается

Web Portal Manager. Среда выполнения Tivoli Access Manager Java Runtime также

устанавливается в ″немом″ режиме вместе с компонентом Web Portal Manager.

10. Продолжайте следить за ходом установки продуктов. Это может занять

несколько минут. Дождитесь окончания процесса. По завершении установки в

качестве состояния для всех продуктов будет указано Сконфигурирован, как



WebSphere Application Server. Для этого запустите сценарий startServer.sh,

который находится в одном из следующих каталогов:




/usr/WebSphere/AppServer/bin


/opt/WebSphere/AppServer/bin



порт 443.








httpd.conf.


Задает файл, в котором хранится пароль базы данных ключей.13. Чтобы вызвать интерфейс Web Portal Manager, введите в Web-браузере

следующее:







Примечание: Если при установке обнаружится ошибка, вы можете просмотреть файл

/var/ezinstall_pdwpm.log.



Глава 10. Сценарии простой установки в Windows

В этом приложении описаны следующие сценарии, в которых используются файлы

простой установки на платформе Windows:

v “Настройка сервера IBM Directory”

v “Настройка сервера политики Tivoli Access Manager” на стр. 137

v “Настройка системы среды выполнения Tivoli Access Manager” на стр. 144

v “Настройка системы Web Portal Manager” на стр. 147




Tivoli Access Manager for e-business Release Notes.



Важнейшими компонентами защищенного домена являются поддерживаемый реестр

и сервер политики Tivoli Access Manager. Приведенные ниже сценарии исходят из

следующих предпосылок:

v В качестве реестра Tivoli Access Manager устанавливается и конфигурируется IBM

Directory Server.

v Для соединений между IBM Directory Server и его клиентами LDAP используется

поддержка связи SSL (Secure Sockets Layer).

Настройка сервера IBM Directory

В приведенном ниже сценарии производится установка и конфигурирование IBM

Directory Server в качестве реестра Tivoli Access Manager с использованием файла

ezinstall_ldap_server.bat. Этот пакетный файл установит и сконфигурирует на вашем



В Табл. 13 указаны опции конфигурации для IBM Directory Server, а также

программные средства, необходимые для работы этого продукта. Прежде чем



Таблица 13. Рабочая таблица по установке IBM Directory Server

Конфигурация IBM DB2 Значение по умолчанию Ваше значение

ID администратора db2admin ____________________________


Каталог установки C:\Program Files\SQLLIB ____________________________






____________________________



Таблица 13. Рабочая таблица по установке IBM Directory Server (продолжение)

Порт HTTP 80 ____________________________

Каталог установки C:\Program Files\IBM HTTP Server ____________________________

IBM Global Security Toolkit Значение по умолчанию Ваше значение

Каталог установки C:\Program Files\IBM\GSK ____________________________

Конфигурация IBM Directory Server Значение по умолчанию Ваше значение



Имя хоста сервера LDAP


определит и автоматически подставит

имя хоста вашего компьютера.

____________________________


Рекомендация:

o=tivoli,c=us

____________________________


Файл ключей SSL LDAP cd_rom:\common\pd_ldapkey.kdb ____________________________


Метка сертификата клиента SSL PDLDAP ____________________________

Каталог установки C:\Program Files\IBM\LDAP ____________________________

Чтобы установить и сконфигурировать IBM Directory Server и программные средства,

необходимые для его работы, выполните следующее:


v Если у вас уже имеется установленная версия сервера IBM Directory Server, удалите

ее.

v В системах Windows вас время от времени будут просить перезапустить

компьютер. Прежде чем запускать простую установку, закройте все работающие

программы. 1. Зарегистрируйтесь на компьютере Windows в качестве администратора или как

пользователь, ID которого включен в группу администраторов.

2. В ходе простой установки на ваш компьютер будет скопирован файл ключей SSL

LDAP по умолчанию (pd_ldapkey.kdb). Если вы включаете поддержку SSL и

собираетесь использовать другой файл ключей SSL, вы должны будете вручную

скопировать на свой компьютер нужный файл ключей SSL.

3. Запустите файл ezinstall_ldap_server.bat, который находится в корневом

каталоге компакт-диска IBM Tivoli Access Manager Base for Windows.






Появится окно, аналогичное показанному на рисунке. В нем будет показано

текущее состояние продуктов, необходимых для работы IBM Directory Server.

Чтобы начать установку, нажмите Enter и при появлении соответствующих

Сценарии простой установки в Windows


запросов вводите информацию о конфигурации.

4. Создайте пароль для ID администратора DB2, повторно введя его для

подтверждения.

Примечание: Вас попросят вводить каждый новый пароль повторно для


Примечание: Программа простой установки не предлагает изменить значения по

умолчанию. Однако вы можете изменить эти значения при

подтверждении каждого набора опций конфигурации (как показано

в шаге 6 на стр. 134). Для этого введите номер, соответствующий

нужной опции, измените значение, как вам требуется, и нажмите

Enter.


связанный с ID администратора, который вы использовали при регистрации в


Глава 10. Сценарии простой установки в Windows 133

данной системе (значение, указанное в опции 1), и нажмите Enter.

6. Чтобы продолжить, введите Y и нажмите Enter. Чтобы установить GSKit в

каталог по умолчанию, введите Y и нажмите Enter.

7. Создайте пароль для ID администратора LDAP, повторно введя его для


8. Вас попросят ввести DN LDAP для базы данных GSO. Это - имя-идентификатор,

указывающее, в каком месте дерева каталогов (DIT) сервера LDAP должны





(существующего) LDAP. Например, введите o=tivoli,c=us, чтобы создать новый

суффикс для метаданных GSO.

Примечание: DN LDAP для базы данных GSO необходимо указать даже в том

случае, если вы реализуете с помощью Tivoli Access Manager

решение с единой регистрацией (Single Signon - SSO). Более

подробную информацию о DN LDAP для базы данных GSO

смотрите в разделе “Обзор конфигурирования сервера LDAP” на

стр. 19.

9. После того, как вы введете DN LDAP для базы данных GSO, у вас будет

возможность изменить любую опцию конфигурации сервера IBM Directory.

Например, если вы не хотите использовать файл ключей SSL LDAP по

умолчанию (опция 6), введите6 и нажмите Enter, чтобы изменить

соответствующее значение. Если вы укажете другой файл ключей SSL, вы также

должны будете изменить значения опций 7 и 8.

10. Если вы не измените значение по умолчанию для опции 6 (Файл ключей SSL

LDAP), вас попросят нажать Enter, чтобы скопировать файл

устройство_cd_rom:\common\pd_ldapkey.kdb в каталог c:\keytabs на вашем



v Опция 7 (Пароль файла ключей SSL LDAP) - это пароль, связанный с файлом

ключей по умолчанию, pd_ldapkey.kdb. Пароль для файла по умолчанию -

gsk4ikm. Если вы решите изменить этот пароль с помощью утилиты gsk5ikm,

то вам придется вспомнить этот пароль.

v Если вы измените файл по умолчанию, pd_ldapkey.kdb, в опции 6, программа

не предложит вам скопировать этот файл ключей. Вы должны будете вручную

скопировать этот файл ключей на свой компьютер-сервер LDAP.



11. Чтобы продолжить, введите Y и нажмите Enter. Начнется установка IBM

Directory Server и продуктов, необходимых для его работы. По завершении

установки DB2 нажмите Enter, чтобы систем автоматически перезапустилась.

12. После перезапуска компьютера будет завершена установка IBM Directory Server

вместе со всеми необходимыми исправлениями (патчами) LDAP, как показано

ниже. По окончании установки IBM Directory Server нажмите Enter, чтобы

систем перезапустилась еще раз.



13. После перезапуска компьютера продолжайте следить за ходом установки IBM

Directory Server и продуктов, необходимых для его работы. Это может занять

несколько минут. Дождитесь окончания процесса. По завершении установки в

качестве состояния для всех продуктов будет указано Сконфигурирован, как



ezinstall.log, который находится во временном каталоге, заданном значением

переменной среды %TEMP%.

Настройка сервера политики Tivoli Access Manager

Следующим шагом после успешного завершения установки реестра LDAP будет

установка сервера политики. В приведенном ниже сценарии производится установка и

конфигурирование сервера политики (Policy Server) с использованием файла

ezinstall_pdmgr.bat. Этот пакетный файл установит и сконфигурирует на вашем



Этот сценарий устанавливает сервер политики на одном компьютере с реестром

(который вы установили в разделе “Настройка сервера IBM Directory” на стр. 131).

Это полезно при создании прототипа для внедрения или разработки и тестирования

приложения. Однако, при реальном внедрении эти серверы рекомендуется

устанавливать на отдельных компьютерах. Обратите внимание на то, что

единственное отличие установки на отдельном компьютере состоит в том, что в ходе

установки также устанавливаются продукты IBM Global Security Toolkit и IBM

Directory Client.

В Табл. 14 указаны опции конфигурации для сервера политики (Tivoli Access Manager

Policy Server), а также программные средства, необходимые для работы этого

компонента. Прежде чем приступать к установке, прочтите приведенный ниже

сценарий и впишите нужные значения в оставленное для них место.

Таблица 14. Рабочая таблица по установке Tivoli Access Manager Policy Server


Runtime



реестра

ldap ____________________________





Таблица 14. Рабочая таблица по установке Tivoli Access Manager Policy Server (продолжение)





____________________________

Включить связь SSL с сервером LDAP Рекомендуется: Y ____________________________


Файл ключей SSL LDAP ____________________________

DN файла ключей SSL LDAP



умолчанию.

____________________________



Каталог установки

C:\Program Files\Tivoli\Policy

Director

____________________________


Policy Server




Пароль мастера защиты ____________________________

Порт сервера SSL 7135 ____________________________

Срок действия сертификата SSL Policy

Server

365 ____________________________

Включить загрузку сертификатов Рекомендуется: Y ____________________________

Чтобы установить и сконфигурировать Tivoli Access Manager Policy Server, выполните

следующее:

1. Убедитесь, что вы зарегистрировались на компьютере Windows в качестве

администратора или как пользователь, ID которого включен в группу

администраторов.


v Если вы устанавливаете сервер политики на отдельном компьютере,

скопируйте вручную файл ключей SSL в каталог на данном компьютере.

Например, скопируйте файл по умолчанию, pd_ldapkey.kdb, из каталога

c:\keytabs на компьютере-сервере IBM Directory, в каталог c:\keytabs на

данном компьютере.

v Если вы устанавливаете сервер политики на том же компьютере, что и IBM

Directory Server, перейдите к шагу 3. 3. Запустите файл ezinstall_pdmgr.bat, который находится в корневом каталоге

компакт-диска IBM Tivoli Access Manager Base for Windows.











Если вы собираетесь установить сервер политики на одном компьютере с

сервером LDAP, файл ezinstall_pdmgr.bat определит, что IBM Global Security

Toolkit и IBM SecureWay Directory Client уже установлены.




dliburdi2. Можно ввести либо краткое, либо полное имя хоста (например,

dliburdi2.dev.company.com).






6. С целью обеспечения защиты рекомендуется включить поддержку связи SSL с

сервером LDAP. Для этого введите Y и нажмите Enter. В противном случае

введите N и перейдите к шагу 9 на стр. 141.

7. Введите полный путь файла, в который вы скопировали файл ключей клиента

SSL LDAP в шаге 2 на стр. 138, и нажмите Enter. Например, если вы

скопировали файл по умолчанию, pd_ldapkey.kdb, в каталог c:\keytabs,

введите: c:\keytabs\pd_ldapkey.kdb.



8. Введите пароль файла ключей клиента SSL LDAP и нажмите Enter. Пароль для

файла pd_ldapkey.kdb по умолчанию, поставляемого с простой установкой -


установили и сконфигурировали IBM Directory Server с использованием файла

ключей по умолчанию.

Примечание: Опция 7 задает в файле базы данных ключей GSKit клиента метку

для сертификата клиента, который нужно послать на сервер LDAP.

Если вы включаете поддержку SSL с использованием значений по

умолчанию, это значение вводить не нужно. Это значение

требуется, только если сервер сконфигурирован так, что для

установления связи SSL необходима аутентификация клиента, или

если вы хотите использовать какой-либо сертификат помимо

сертификата по умолчанию в файле ключей. Как правило, для

сервера LDAP нужны лишь сертификаты стороны сервера, которые

были заданы в ходе создания файла .kdb клиента.


связанный с ID администратора LDAP, который вы создали при установке

сервера LDAP, и нажмите Enter.

10. Создайте пароль для ID мастера защиты (sec_master), повторно введя его для

подтверждения. Используя этот ID администратора создайте свои ID



администраторов, группы и их полномочия.

11. Чтобы продолжить, введите Y и нажмите Enter. При конфигурировании сервера

политики Tivoli Access Manager создается файл сертификата сертификатора SSL,

pdcacert.b64, который обеспечивает поддержку защиты связи между сервером и

другими системами среды выполнения Tivoli Access Manager. Вы можете

упростить конфигурирование, разрешив компьютерам среды выполнения Tivoli

Access Manager загружать этот файл автоматически. В противном случае вы

должны будете перед конфигурированием каждого очередного компьютера

среды выполнения Tivoli Access Manager вручную копировать на него этот файл.

Чтобы включить автоматическую загрузку файла сертификатора SSL, введите Y

и нажмите Enter.

Примечание: Если вы не включите автоматическую загрузку, файл

сертификатора SSL будет помещен в каталог:

каталог_установки\keytab\pdcacert.b64

Например:

c:\Program Files\Tivoli\Policy Director\keytab\pdcacert.b64



12. Чтобы продолжить, введите Y и нажмите Enter. Начнется установка указанных

продуктов.

13. Нажмите Enter, чтобы система автоматически перезапустилась.

14. После перезапуска компьютера продолжайте следить за ходом установки

указанных продуктов. Среда выполнения конфигурируется только после

установки сервера политики, как показано на рисунке:



15. По завершении установки в качестве состояния для всех продуктов будет указано

Сконфигурирован, как показано на рисунке:

Помните, что если при установке обнаружится ошибка, вы можете просмотреть

файл ezinstall.log, который находится во временном каталоге, заданном

значением переменной среды TEMP.


настраивать в защищенном домене дополнительные системы Tivoli Access

Manager. Например, вы сможете выполнить следующее:

v Запустить программу InstallShield install_pdrte.exe, чтобы установить одну или

более систем-клиентов среды выполнения (без сервера политики). Инструкции

смотрите в разделе “Настройка системы среды выполнения Tivoli Access

Manager”

v Запустить файл ezinstall_pdwpm.bat, чтобы установить среду выполнения

Tivoli Access Manager с интерфейсом Web Portal Manager. Инструкции смотрите

в разделе “Настройка системы Web Portal Manager” на стр. 147

v Запустить файл ezinstall_pdacld.bat, чтобы установить сервер авторизации


v Запустить файл ezinstall_pdauthADK.bat, чтобы установить систему


Настройка системы среды выполнения Tivoli Access Manager


выполнения Tivoli Access Manager (Runtime) с использованием мастера установки

InstallShield Wizard (install_pdrte.exe). В отличие от других сценариев простой

установки в программе install_pdrte.exe используется мастер InstallShield Wizard,

который поможет вам установить систему среды выполнения. При этом

устанавливаются и конфигурируются все необходимые продукты и компоненты

Tivoli Access Manager за исключением JRE для данной платформы, которую следует

установить вручную.

В Табл. 15 на стр. 145 указаны опции конфигурации для среды выполнения (Tivoli

Access Manager Runtime), а также программные средства, необходимые для ее

работы. Прежде чем приступать к установке, прочтите приведенный ниже сценарий и

впишите нужные значения в оставленное для них место.

Примечание: Если продукт уже установлен, InstallShield не предложит вам указать

каталог установки. Кроме того, учтите, что простая установка

поддерживается только при использовании реестра на основе LDAP.



Таблица 15. Рабочая таблица по установке Tivoli Access Manager Runtime


Имя каталога C:\Program Files\IBM\GSK ____________________________

IBM Directory Client Значение по умолчанию Ваше значение

Имя каталога C:\Program Files\IBM\ldapc ____________________________


Имя каталога


Director

____________________________

Имя хоста Policy Server ____________________________

Порт SSL Policy Server 7135 ____________________________

Файл сертификата CA Policy Server

Если при установке сервера политики и

вы разрешите другим компьютерам

среды выполнения Tivoli Access Manager



____________________________

Выбор реестра пользователей LDAP ____________________________







____________________________

Включить связь SSL с сервером IBM

Directory

Рекомендуется: Y ____________________________

Если вы включите связь SSL с сервером LDAP, вас попросят указать следующие значения:

Полный путь файла ключей

Вы должны скопировать файл по

умолчанию, pd_ldapkey.kdb, из

каталога на сервере IBM Directory Server

в каталог на данном компьютере

____________________________

Пароль файла ключей gsk4ikm ____________________________

DN файла ключей SSL LDAP (если

требуется)

Если вы используете файл ключей по

умолчанию, pd_ldapkey.kdb, никакого

значения вводить не нужно

____________________________

Номер порта SSL 636 ____________________________

Чтобы установить и сконфигурировать Tivoli Access Manager Runtime, сделайте

следующее:


зарегистрировались на компьютере Windows в качестве администратора (или как

пользователь, ID которого включен в группу администраторов).



скопируйте файл по умолчанию, pd_ldapkey.kdb, из каталога c:\keytabs на

компьютере-сервере IBM Directory, в каталог c:\keytabs на данном компьютере.


смотрите в разделе “Установка JRE для данной платформы” на стр. 89


OK.



5. Щелкните по Далее, чтобы запустить InstallShield Wizard для установки среды

выполнения Tivoli Access Manager.


принимаете положения, и щелкните по Далее.

7. Чтобы установить GSKit в каталог по умолчанию, щелкните по Далее.

8. Чтобы установить IBM Directory Client в каталог по умолчанию, щелкните по

Далее.

9. Чтобы установить Tivoli Access Manager Runtime Environment в каталог по

умолчанию, щелкните по Далее.

10. Заполните указанные ниже поля и щелкните по Далее.

v Имя хоста Policy Server — Введите имя хоста Policy Server.

v Порт SSL Policy Server — Номер порта SSL для Policy Server уже назначен

(7135). Если вы используете другой номер порта, измените это значение.

v Файл сертификата CA Policy Server — Чтобы среда выполнения Tivoli Access

Manager смогла аутентифицировать другие серверы Tivoli Access Manager, с

которыми она соединяется, в ней должна быть копия файла pdcacert.b64,

который сервер политики сгенерировал в ходе конфигурирования. Выполните

одно из следующих действий:

– Если вы разрешили серверу политики загрузку файла pdcacert.b64,

никакого значения вводить не нужно.

– Если вы не разрешили серверу политики загрузить этот файл сертификата,

введите полный путь файла, в который вы скопировали файл pdcacert.b64

на этом компьютере.

Примечание: Выбор реестра пользователей - LDAP. Эту опцию изменить нельзя.

11. Заполните указанные ниже поля и щелкните по Далее.

v Имя хоста сервера LDAP — Введите имя хоста сервера LDAP.

v Порт сервера LDAP — Порт сервера LDAP уже будет указан (389). Если

потребуется, измените это значение.

v DN LDAP для базы данных GSO — Введите суффикс или существующее

значение DN, которое вы ввели при конфигурировании сервера LDAP.

Например, в предыдущем сценарии использовался суффикс o=tivoli,c=us.

v Включить Secure Sockets Layer (SSL) для IBM Directory Server — С целью

обеспечения защиты рекомендуется включить поддержку связи SSL с сервером

LDAP. Для этого выберите данный переключатель, чтобы программа

попросила вас задать опции, указанные в шаге 12. В противном случае

перейдите к шагу 13.12. Если вы включите связь SSL с сервером LDAP, заполните указанные ниже поля и

выберите Далее.

v Полный путь файла ключей — Введите полный путь файла, в котором

находится файл ключей клиента SSL LDAP. Например, если вы скопировали

файл pd_ldapkey.kdb в каталог c:\keytabs, введите:

c:\keytabs\pd_ldapkey.kdb.

v Пароль файла ключей — Введите пароль, связанный с файлом ключей. Пароль

по умолчанию для файла pd_ldapkey.kdb - gsk4ikm. Если впоследствии вы

соберетесь изменить этот пароль с помощью утилиты gsk5ikm, вам придется

вспомнить этот пароль по умолчанию.

v DN файла ключей SSL LDAP (если требуется) — Если используется файл

ключей по умолчанию, прилагаемый к простой установке (pd_ldapkey.kdb), то

метка сертификата SSL не требуется.



v Номер порта SSL — Номер порта SSL уже задан (636). Если нужно, измените

номер порта.13. Проверьте опции конфигурации, показанные на экране. Выберите Далее, чтобы

начать установку.

14. Начнется установка. Это может занять несколько минут. Дождитесь окончания

процесса установки среды выполнения.

15. Щелкните по Далее, чтобы систем автоматически перезапустилась.

16. После перезапуска системы выберите язык, который вы хотите использовать при

продолжении установки и щелкните по OK.

17. Продолжайте следить за ходом установки среды выполнения Tivoli Access

Manager и созданием программы деинсталляции. По окончании установки вам

сообщат, что установка среды выполнения завершилась успешно. Чтобы

закрыть эту программу, щелкните по Готово.


msg__amismp.log, который находится во временном каталоге, заданном значением

переменной среды TEMP.

Настройка системы Web Portal Manager


выполнения Tivoli Access Manager (Runtime) с интерфейсом Web Portal Manager с

использованием файла ezinstall_pdwpm.bat. Этот пакетный файл установит и

сконфигурирует на вашем компьютере все нужные программные компоненты,

включая необходимые продукты, компоненты Tivoli Access Manager и связанные с

ними исправления (патчи).

В Табл. 16 указаны опции конфигурации для Web Portal Manager, а также

программные средства, необходимые для работы этого компонента. Прежде чем



Таблица 16. Рабочая таблица по установке системы Web Portal Manager


Имя каталога C:\Program Files\IBM\GSK ____________________________






____________________________

Пароль администратора ___________________ ____________________________

Порт HTTP 80 ____________________________

Каталог установки C:\Program Files\IBM HTTP Server ____________________________

IBM Directory Client Значение по умолчанию Ваше значение

Каталог установки C:\Program Files\IBM\LDAP ____________________________



реестра

ldap ____________________________





Таблица 16. Рабочая таблица по установке системы Web Portal Manager (продолжение)





____________________________

Включить связь SSL с сервером LDAP Рекомендуется: Y ____________________________


Файл ключей SSL LDAP ____________________________

DN файла ключей SSL LDAP



умолчанию.

____________________________



Каталог установки


Director

____________________________

Имя хоста Access Manager Policy Server ____________________________

Порт сервера SSL для AM Policy Server 7135 ____________________________

Имя файла сертификата CA сервера

политики

Если вы разрешили серверу политики



____________________________

Чтобы установить и сконфигурировать систему Tivoli Access Manager с интерфейсом

Web Portal Manager, сделайте следующее:


зарегистрировались на компьютере Windows в качестве администратора (или как

пользователь, ID которого включен в группу администраторов).



скопируйте файл по умолчанию, pd_ldapkey.kdb, из каталога c:\keytabs на

компьютере-сервере IBM Directory, в каталог c:\keytabs на данном компьютере.

3. Убедитесь, что у вас установлен Web-браузер, обеспечивающий поддержку

интерфейса Web Portal Manager. Информацию о поддерживаемых браузерах

смотрите в документе IBM Tivoli Access Manager for e-business Release Notes.

4. Запустите файл ezinstall_pdwpm.bat, который находится в корневом каталоге

компакт-диска IBM Tivoli Access Manager Web Portal Manager for Windows.











Примечание: Если на этом компьютере уже установлен компонент Tivoli Access

Manager Runtime, в столбце Состояние будет указано, что

компоненты IBM Global Security Toolkit, IBM Directory client и Tivoli

Access Manager Runtime уже установлены. В этом случае перейдите

к шагу 15 на стр. 153.

5. Чтобы установить GSKit в каталог по умолчанию, введите Y и нажмите Enter.

6. Введите пароль, связанный с ID администратора, который вы использовали при

регистрации в данной системе (значение, указанное в опции 1), и нажмите Enter.

Учтите, что при простой установке обновляется версия IBM HTTP Server,

которая устанавливалась вместе с IBM WebSphere Application Server. При этом

также устанавливается необходимое исправление (патч) для IBM HTTP Server.

Примечание: Опция 3 задает номер порта, который использует IBM HTTP Server.

Если вы установили сервер LDAP, который не использует IBM

HTTP Server и устанавливаете Web Portal Manager на том же

компьютере, убедитесь, что для Web-серверов назначены разные

порты. Вы можете либо изменить значение опции 3 в ходе простой

установки, либо изменить в файле C:\Program Files\IBM HTTP

Server\conf\httpd.conf номер порта по умолчанию (80) на 8080,

как показано на иллюстрации:

# Port: Порт приема для автономного компьютера.

Port 8080



7. Чтобы продолжить, введите Y и нажмите Enter. Затем нажмите Enter, чтобы

установить IBM Directory Client в каталог по умолчанию.




dliburdi2. Можно ввести либо краткое, либо полное имя хоста (например,

dliburdi2.dev.company.com).






10. Чтобы включить SSL с сервером LDAP, введите Y и нажмите Enter.

11. Введите полный путь файла, в котором находится файл ключей клиента SSL

LDAP, и нажмите Enter. Например, если вы скопировали файл pd_ldapkey.kdb в

каталог c:\keytabs, введите c:\keytabs\pd_ldapkey.kdb и нажмите Enter.



12. Введите пароль файла ключей клиента SSL LDAP и нажмите Enter. Пароль по

умолчанию для файла pd_ldapkey.kdb, поставляемого с простой установкой -


установили и сконфигурировали IBM Directory Server с использованием файла

ezinstall_ldap_server.bat или если при собственной установке вы указали файл

ключей по умолчанию.

Примечание: Если вы решите изменить этот пароль с помощью утилиты

gsk5ikm, то вам придется вспомнить этот пароль по умолчанию.

13. Чтобы продолжить, введите Y и нажмите Enter. Затем введите имя хоста сервера

политики (Policy Server) и нажмите Enter.

14. Чтобы среда выполнения Tivoli Access Manager смогла аутентифицировать

другие серверы Tivoli Access Manager, с которыми она соединяется, в ней должна

быть копия файла сертификата CA, который сервер политики сгенерировал в

ходе конфигурирования.

Выполните одно из следующих действий:

v Если вы разрешили серверу политики загрузку файла pdcacert.b64, нажмите

Enter. Никакого значения вводить не нужно.

v Если вы не разрешили серверу политики автоматически загрузить этот файл

сертификата, введите полный путь файла, в который вы скопировали файл

pdcacert.b64 на этом компьютере, и нажмите Enter.




связанный с ID администратора, который вы использовали при регистрации в

данной системе (значение, указанное в опции 1), и нажмите Enter.

16. Чтобы продолжить, введите Y и нажмите Enter. Начнется установка. Продукты

устанавливаются в указанной последовательности. Когда начнется установка

IBM WebSphere Application Server, уведомления и сообщения будут появляться в



следующем порядке:

17. После этого производится конфигурирование установленных компонентов и

устанавливается Web Portal Manager. Среда выполнения Tivoli Access Manager

Java Runtime также устанавливается в ″немом″ режиме вместе с компонентом

Web Portal Manager.

Чтобы завершить установку системы-клиента среды выполнения с интерфейсом

Web Portal Manager, нажмите Enter, и система перезапустится автоматически.




WebSphere Application Server. Для этого щелкните по Пуск → Программы → IBM

WebSphere → Application Server 4.0 → Start Application Server (Запустить

Application Server).



порт 443.






C:\Program Files\Tivoli\Policy Director\keytab\pdwpm.kdb


httpd.conf.

C:\Program Files\Tivoli\Policy Director\keytab\pdwpm.sth

Задает файл, в котором хранится пароль базы данных ключей.20. Чтобы вызвать интерфейс Web Portal Manager, введите в Web-браузере

следующее:







Примечание: Если при установке обнаружится ошибка, вы можете просмотреть файл

ezinstall.log, который находится во временном каталоге, заданном

значением переменной среды TEMP.





Глава 11. Использование файлов ответов при простой

установке

Tivoli Access Manager позволяет создавать файлы ответов, чтобы упростить

установку и конфигурирование компонентов простой установки. Файл ответов

представляет собой текстовый файл, содержащий необходимую для установки и

конфигурирования компонентов информацию о продуктах и системе. Этот файл

используется при автоматической установке (установке без вывода сообщений).

Процедура установки не будет просить вас ввести значения, а считает информацию из

файла ответов. Файл ответов также можно использовать для последующих

установок, добавляя в него компоненты или задавая в нем параметры с помощью

текстового редактора.

В данном разделе содержатся следующие подразделы:

v “Создание файла ответов”

v “Установка компонентов с помощью файла ответов” на стр. 158

v “Примеры файлов ответов (ezinstall)” на стр. 158

v “Опции файлов ответов” на стр. 161

Примечание: Замечания по использованию файлов ответов совпадают с замечаниями

по простой установке.

Создание файла ответов

Файл ответов можно создать ″с нуля″ с помощью любого текстового редактора;

можно также генерировать файлы ответов автоматически на основе ответов, которые

вы даете в ходе выполнения сценариев ezinstall.

В системах UNIX файлу ответов присваивается имя на основе имени установленного

и сконфигурированного вами пакета. Например, если вы запустили сценарий

ezinstall_ldap_server, то сгенерированный файл ответов получит имя

ezinstall_ldap_server.rsp. Файлы ответов для каждого выполненного пакета хранятся

в каталоге /var/tmp.

В Windows, в ходе простой установки генерируется файл ответов под именем

ezinstall.rsp. Этот файл ответов размещается во временном каталоге, заданном

значением переменной среды %TEMP%.Например, если вы запустили файл

ezinstall_ldap_server.bat, то будет сгенерирован файл ответов %TEMP%\ezinstall.rsp.

Учтите, что программа InstallShield install_pdrte работает не совсем так, как сценарии

ezinstall и пакетные файлы. Чтобы создать файл ответов для компонента Tivoli

Access Manager Runtime, вы должны скопировать шаблон, находящийся на

компакт-диске Tivoli Access Manager Base, на свой жесткий диск и изменить

содержащиеся в нем значения. Ниже указаны имена файлов шаблонов и каталоги, в

которых они находятся:

v В UNIX:

/common/unixismp.rsp.template

v В Windows:

\common\winismp.rsp.template


Установка компонентов с помощью файла ответов

Чтобы установить компоненты Tivoli Access Manager с помощью файла ответов,

выполните следующее:

1. Отредактируйте файл ответов, чтобы проверить синтаксис и правильность

информации. Описание разделов файла ответов смотрите в разделе “Опции

файлов ответов” на стр. 161 Обратите внимание на то, что для всех процессов

ezinstall (кроме install_pdrte) можно сразу ввести в качестве значений настоящие

пароли либо можно вводить эти пароли уже во время выполнения программы

ezinstall с использованием файла ответов, когда программа попросит вас об этом.

Для сценария install_pdrte вы должны сразу указать все необходимые значения

(пароли), иначе процесс завершится неудачно.

2. Запустите сценарий простой установки и укажите файл ответов. Например:

v В системах UNIX введите:

ezinstall_ldap_server /tmp/ezinstall_ldap_server.rsp

, где /tmp/ezinstall_ldap_server.rsp - полное имя файла ответов.

v В Windows введите:

ezinstall_ldap_server c:\temp\ezinstall.rsp

где c:\temp\ezinstall.rsp - полное имя файла ответов.3. Чтобы запустить процесс install_pdrte с использованием файла ответов, введите:

install_pdrte -опции файл_ответов

где файл_ответов - полный путь файла ответов. Это относится как к системам

Windows, так и к системам UNIX.

Примечание: После установки сгенерированный файл ответов рекомендуется

защитить или стереть.

Примеры файлов ответов (ezinstall)

Файл ответов содержит разделы, состоящие из пар атрибут=значение Раздел

начинается со строки, содержащей имя раздела в квадратных скобках, например,

[LDAPS], и заканчивается либо перед строкой, в которой стоит имя другого раздела в

квадратных скобках, либо концом файла. В каждом разделе содержится ноль или

более пар атрибут=значение. Имя раздела в файле ответов повторяться не должно. В

файл ответов можно добавить комментарии, поставив перед текстом комментария

символ #.

Ниже приводятся примеры файлов ответов сгенерированных при выполнении

сценариев простой установки. Обратите внимание на то, что простая установка

делает паузы в ходе конфигурирования, давая вам возможность ввести все

недостающие значения.

Примечание: Пароль файла ключей по умолчанию для IBM Directory Client - gsk4ikm.

Пример для UNIX

[HTTPD]

http-admin-id = root

http-admin-pwd = secret

http-port = 80

[LDAPS]

ldap-adminid = cn=root

Использование файлов ответов при простой установке


ldap-password = secret

suffix = o=tivoli,c=us

host = ldapserv.tivoli.com

port = 389

ldap-ssl-client-keyfile = /cdrom/common/pd_ldapkey.kdb

ldap-ssl-client-keyfile-pwd = gsk4ikm

ldap-label = PDLDAP

[PDRTE]

ldap-or-domino = 1

host = ldapserv.tivoli.com

port = 389

ldap-server-ssl-port = 636

master-host = pdmgr.tivoli.com

pd-cacert =

enable-ssl = Y

ssl-client-keyfile = /var/ldap/keytab/pd_ldapkey.kdb

ssl-keyfile-pwd = gsk4ikm

ssl-port = 7135

[PDMGR]

ldap-adminid = cn=root

ldap-password = secret

ssl-life = 365

ssl-port = 7135

sec-master-pwd = secret

enable-cert-download = Y

prompt-languages = N

Пример для Windows

[PDRTE]

registry-type=ldap

ldap-server=ldapserv.tivoli.com

ldap-port=389

ldap-ssl-port=636

pdmgr-host=pdmgr.tivoli.com

cacert=

enable-ssl=Y

ssl-client-keyfile=c:\keytabs\pd_ldapkey.kdb

ssl-client-keyfile-dn=

suffix=o=tivoli,c=us

pdmgr_ssl_port=7135

pdc_dir=C:\Program Files\Tivoli\Policy Director

ssl-client-keyfile-pwd=gsk4ikm

[PDMGR]

ldap-admin-id=cn=root

ldap-admin-pwd=secret

ssl-port=7135

cert-life=365

enable-cert-download=Y

sec-master-pwd=secret

[DB2]

admin-pwd=db2admin

install_dir=C:\SQLDIR

[HTTPD]

admin-id=administrator

admin-pwd=secret

port=80

install_dir=C:\Program Files\IBM HTTP Server

[LDAPS]

admin-id=cn=root

admin-pwd=secret


Глава 11. Использование файлов ответов при простой установке 159

hostname=ldapserv.tivoli.com

server-port=389

suffix=o=tivoli,c=us

ssl-client-keyfile=c:\keytabs\pd_ldapkey.kdb

ssl-client-keyfile-pwd=gsk4ikm

label=PDLDAP

[PDACLD]

admin-id=cn=root

admin-pwd=secret

sec-master-pwd=secret

[LDAP]

install_dir=C:\Program Files\IBM\LDAP

Примеры файлов ответов (install_pdrte)

Файл ответов содержит пары –w атрибут=значение. Атрибуты состоят из имени

компонента bean, соответствующего панели мастера, за которым, после точки,

следует имя опции. Имена компонентов bean встроены в процедуру install_pdrte, и

изменить их нельзя. В файл ответов можно добавить комментарии, поставив перед

текстом комментария символ #. Ниже приводятся примеры шаблонов файлов

ответов, содержащихся на компакт-диске продукта в каталоге /common. Для вашего

удобства необходимые описания опций заключены в угловые скобки (< и >). Вы

обязательно должны заменить всю строку справа от знака равенства (=).

Примечание: Пароль файла ключей по умолчанию для IBM Directory Client - gsk4ikm.

Пример для UNIX

# Чтобы запустить процесс в "немом" режиме, укажите –silent либо здесь, либо в

# командной строке.

-silent

-W AMRTE_ServerOptions_Panel.hostName=<Имя хоста Policy Server>

-W AMRTE_ServerOptions_Panel.listeningPort=7135

-W AMRTE_ServerOptions_Panel.certFile=

-W AMRTE_LDAP_Options_Panel.ldapHostName=<Имя хоста сервера LDAP>

-W AMRTE_LDAP_Options_Panel.ldapPortNumber=389

-W AMRTE_LDAP_Options_Panel.enableSSL=N

-W AMRTE_LDAPSSLOptions_Panel.sslPort=636

-W AMRTE_LDAPSSLOptions_Panel.keyFile=

-W AMRTE_LDAPSSLOptions_Panel.keyFilePasswd=

-W AMRTE_LDAP_Options_Panel.ldapDNGSO=<DN базы данных GSO - пример: o=tivoli,c=us>

Пример для Windows

# Чтобы запустить процесс в "немом" режиме, укажите –silent либо здесь, либо в

# командной строке.

-silent

-W GSKIT_Panel.installDirectory=c:\Program Files\IBM\gskit

-W LDAPC_Panel.installDirectory=c:\Program Files\LDAP

-W AMRTE_Panel.installDirectory=c:\Program Files\Tivoli\Policy Director

-W AMRTE_ServerOptions_Panel.hostName=<Имя хоста Policy Server>

-W AMRTE_ServerOptions_Panel.listeningPort=7135

-W AMRTE_ServerOptions_Panel.certFile=

-W AMRTE_LDAP_Options_Panel.ldapHostName=<Имя хоста сервера LDAP>

-W AMRTE_LDAP_Options_Panel.ldapPortNumber=389

-W AMRTE_LDAP_Options_Panel.enableSSL=N

-W AMRTE_LDAPSSLOptions_Panel.sslPort=636

-W AMRTE_LDAPSSLOptions_Panel.keyFile=

-W AMRTE_LDAPSSLOptions_Panel.keyFilePasswd=

-W AMRTE_LDAP_Options_Panel.ldapDNGSO=<DN базы данных GSO - пример: o=tivoli,c=us>



Опции файлов ответов

В следующих таблицах приведены различные параметры ключевых слов разделов,

которые можно использовать в файле ответов. Для удобства чтения используются

имена разделов на платформах UNIX.

Опции файлов ответов для UNIX

Имя раздела Ключевое слово Описание

[HTTPD] http-admin-id Задает имя пользователя-администратора. Имя по умолчанию -

Administrator.

[HTTPD] http-admin-pwd Задает пароль администратора

[HTTPD] http-port Задает номер порта, используемого

HTTPD.

[LDAPS] ldap-adminid Задает ID или имя-идентификатор (DN)

администратора LDAP. Значение по

умолчанию - cn=root.

[LDAPS] ldap-password Задает пароль администратора LDAP

[LDAPS] host Задает имя хоста сервера LDAP. По

умолчанию используется имя хоста

конфигурируемой системы.

[LDAPS] server-port Задает номер порта не-SSL для сервера

LDAP. Номер порта по умолчанию - 389.

[LDAPS] суффикс Задает имя-идентификатор LDAP для

базы данных Global Signon (GSO).

Например, o=tivoli,c=us.

[LDAPS] ldap-ssl-client-keyfile Задает путь файла ключей SSL LDAP.

Путь по умолчанию -

/common/pd_ldapkey.kdb; этот файл

находится в этом каталоге на

поставляемом компакт-диске. Если

используется этот файл, нужно указать

парольgsk4ikm и метку сертификата

стороны сервера PDLDAP.

[LDAPS] ldap-ssl-client-keyfile-pwd Задает пароль, связанный с файлом

ключей. Если по умолчанию

используется

media/common/pd_ldapkey.kdb то

паролем служит gsk4ikm.

[LDAPS] ldap-label Задает метку, связанную с файлом

ключей SSL. Если по умолчанию

используется

media/common/pd_ldapkey.kdb, то

значением метки будет PDLDAP.

[PDMGR] ldap-adminid Задает ID администратора LDAP.

Значение по умолчанию - cn=root. Этот

ID создается в ходе конфигурирования


[PDMGR] ldap-password Задает пароль администратора LDAP

[PDMGR] port Задает номер порта не-SSL для сервера

LDAP. Номер порта по умолчанию - 389.



Имя раздела Ключевое слово Описание

[PDMGR] ssl-life Задает срок действия файла сертификата

(pdcacert.b64). Значение по умолчанию -

365 дней.

[PDMGR] enable-cert-download Указывает, нужно ли включать

поддержку автоматической загрузки

файла сертификата (pdcacert.b64) в

средах выполнения Tivoli Access Manager

на других компьютерах. Допустимые

значения - Y (включить) или N (не

включать).

[PDMGR] sec-master-pwd Задает пароль мастера защиты.

[PDACLD] ldap-adminid Задает ID администратора LDAP.

Значение по умолчанию - cn=root. Этот

ID создается в ходе конфигурирования


[PDACLD] ldap-password Задает пароль администратора LDAP

[PDACLD] sec-master-pwd Задает пароль мастера защиты. Этот

пароль создается в ходе

конфигурирования Policy Server.

Опции файлов ответов для Windows

Имя раздела

Ключевое слово

Win32 Описание

[DB2] admin-pwd Задает пароль администратора Если вы

регистрируетесь в системе Windows в качестве

администратора, используйте пароль по умолчанию,

db2admin.

[DB2] admin-uid Задает имя пользователя-администратора. Если вы

регистрируетесь в системе Windows в качестве

администратора, используйте пароль по умолчанию,

db2admin.

[DB2] install_dir Задает каталог установки (только для WIN32).

Укажите диск и каталог. Например: C:\SQLDIR

[HTTPD] admin-id Задает имя пользователя-администратора. Имя по

умолчанию - Administrator.

[HTTPD] admin-pwd Задает пароль администратора

[HTTPD] port Задает номер порта, используемого HTTPD.

[HTTPD] install_dir Задает каталог установки. Укажите диск и каталог.

Например: C:\Program Files\IBM HTTP Server

[LDAP] install_dir Задает каталог установки (только для WIN32).

Укажите диск и каталог. Например: C:\Program

Files\IBM\LDAP. В этом каталоге будет находиться

программное обеспечение клиента и сервера LDAP.

[LDAPS] admin-id Задает ID или имя-идентификатор (DN)

администратора LDAP. Значение по умолчанию -

cn=root.

[LDAPS] admin-pwd Задает пароль администратора LDAP

[LDAPS] hostname Задает имя хоста сервера LDAP. По умолчанию

используется имя хоста конфигурируемой системы.



Имя раздела

Ключевое слово

Win32 Описание

[LDAPS] server-port Задает номер порта не-SSL для сервера LDAP.

Номер порта по умолчанию - 389.

[LDAPS] suffix Задает имя-идентификатор LDAP для базы данных

Global Signon (GSO). Например, o=tivoli,c=us.

[LDAPS] ssl-client-keyfile Задает путь файла ключей SSL LDAP. Путь по

умолчанию - /common/pd_ldapkey.kdb; этот файл

находится на поставляемом компакт-диске. Если

используется этот файл, нужно указать

парольgsk4ikm и метку сертификата стороны

сервера PDLDAP.

[LDAPS] ssl-client-keyfile-pwd

Задает пароль, связанный с файлом ключей. Если по

умолчанию используется

media/common/pd_ldapkey.kdb то паролем служит

gsk4ikm.

[LDAPS] label Задает метку, связанную с файлом ключей SSL. Если

по умолчанию используется

media/common/pd_ldapkey.kdb, то значением метки

будет PDLDAP.

[GSKIT] install_dir Задает каталог установки (только для WIN32).

Укажите диск и путь. Например: C:\Program

Files\IBM\GSK

[PDMGR] ldap-admin-id Задает ID администратора LDAP. Значение по

умолчанию - cn=root. Этот ID создается в ходе

конфигурирования сервера LDAP.

[PDMGR] ldap-admin-pwd Задает пароль администратора LDAP

[PDMGR] ssl-port Задает номер порта не-SSL для сервера LDAP.


[PDMGR] cert-life Задает срок действия файла сертификата

(pdcacert.b64). Значение по умолчанию - 365 дней.

[PDMGR] enable-cert-download

Указывает, нужно ли включать поддержку

автоматической загрузки файла сертификата

(pdcacert.b64) в средах выполнения Tivoli Access

Manager на других компьютерах. Допустимые

значения - Y (включить) или N (не включать).

[PDMGR] sec-master-pwd Задает пароль мастера защиты.

[PDACLD] admin-id Задает ID администратора LDAP. Значение по

умолчанию - cn=root. Этот ID создается в ходе

конфигурирования сервера LDAP.

[PDACLD] admin-pwd Задает пароль администратора LDAP

[PDACLD] sec-master-pwd Задает пароль мастера защиты. Этот пароль

создается в ходе конфигурирования Policy Server.

[WEB] install_dir Задает каталог установки для продукта IBM

WebSphere Application Server, Advanced Single Server,

который необходим для работы Web Portal Manager.

Укажите диск и каталог. Например:

C:\WebSphere\AppServer




Приложение A. Как включить Secure Sockets Layer

Рекомендуется включать связь Secure Sockets Layer (SSL) между сервером LDAP или

сервером Domino и клиентами IBM Directory, которые поддерживают программу IBM


Примечание: Если установка IBM Directory Server производилась с помощью простой

установки, то шаги, описанные в данном приложении, можно

пропустить. Сценарий ezinstall_ldap_server, наряду с установкой и

конфигурированием этого сервера LDAP и необходимых для его

работы программных средств, обеспечивает пошаговые инструкции по

включению SSL.

Чтобы включить связь SSL, необходимо сначала сконфигурировать SSL на сервере, а

затем сконфигурировать SSL на клиенте IBM Directory Client. Во время

конфигурирования SSL вас попросят выбрать один из следующих типов

аутентификации:

Аутентификация сервера

Сервер отправляет свой сертификат на клиент, и клиент производит

аутентификацию сервера.

Аутентификация сервера и клиента

После того как сервер отправит свой сертификат на клиент и будет

аутентифицирован клиентом, сервер запросит сертификат клиента. В этом

случае сертификат необходим и системе клиента, и системе сервера.

Если вы решите использовать только аутентификацию сервера, вы должны будете

сконфигурировать сервер и клиенты IBM Directory для доступа SSL. Однако, если вы

решите применить аутентификацию сервера и клиента, вы должны будете

сконфигурировать SSL на сервере, сконфигурировать SSL на клиенте, а затем

выполнить шаги, описанные в разделе “Конфигурирование аутентификации сервера

LDAP и клиента” на стр. 182.

В данной главе содержатся следующие основные разделы:

v “Конфигурирование IBM Directory Server для поддержки доступа SSL”

v “Конфигурирование сервера iPlanet Directory Server для поддержки доступа SSL” на

стр. 171

v “Конфигурирование Novell eDirectory Server для поддержки доступа SSL” на стр.

176

v “Конфигурирование клиента IBM Directory для поддержки доступа SSL” на стр. 179

v “Конфигурирование серверов LDAP OS/390 и z/OS для поддержки доступа SSL” на

стр. 174

v “Конфигурирование аутентификации сервера LDAP и клиента” на стр. 182

v “Как включить поддержку SSL для Domino” на стр. 187

Конфигурирование IBM Directory Server для поддержки доступа

SSL

Включив SSL, вы сможете обеспечить защиту связи между серверами Tivoli Access

Manager и сервером LDAP. Этот шаг нужно выполнить только при первой настройке

связи SSL между сервером LDAP и клиентом IBM Directory.


Если при конфигурировании сервера LDAP вы уже включили для него связь SSL, вы

должны будете скопировать пару ключей клиента и сервера на каждый

дополнительный компьютер Tivoli Access Manager, на котором используется доступ

SSL.

Если серверу LDAP требуется поддержка доступа SSL, то управление ключами SSL

осуществляется с помощью GSKit. В GSKit имеется графическая утилита управления

ключами, gsk5ikm.

Примечание: Подробные инструкции, описывающие, как включить SSL с помощью

утилиты gsk5ikm, смотрите в руководстве IBM SecureWay Installation

and Configuration Guide.

Чтобы включить поддержку доступа SSL на сервере IBM Directory Server, выполните

шаги, описанные в следующих разделах:

v “Создание файла базы данных ключей и сертификата” на стр. 166

v “Получение личного сертификата от сертификатора” на стр. 167 или “Создание и

извлечение самоподписанного сертификата” на стр. 168

v “Как включить поддержку доступа SSL” на стр. 169

Создание файла базы данных ключей и сертификата

Чтобы можно было включить поддержку SSL на сервере LDAP, на сервере должен

иметься сертификат, который обеспечивает его идентификацию и может

использоваться в качестве личного сертификата. Этот личный сертификат сервер

будет отправлять на клиент, чтобы клиент смог произвести аутентификацию сервера.

Сертификаты и пара ключей открытый ключ/секретный ключ хранятся в файле базы

данных ключей. Как правило, пользователь получает подписанный сертификат у

такого сертификатора, как VeriSign.

Пользователь также может использовать самоподписанный сертификат. Если

пользователь использует самоподписанный сертификат, то сертификатором

становится компьютер, на котором генерируется сертификат.

Для создания файла базы данных ключей и сертификата используется утилита

gsk5ikm. Чтобы создать файл базы данных ключей и сертификат (самоподписанный

или подписанный), выполните следующее:

1. Убедитесь, что на сервере LDAP и на всех клиентах IBM Directory, которые будут

использовать связь SSL, установлены поддерживаемая версия GSKit и gsk5ikm.

Примечание: Только в системе с ядром SuSE SLES-7 2.4: Убедитесь, что утилиты

GSKit используют нужную библиотеку C++. Для этого введите:

export LD_PRELOAD=/usr/lib/libstdc++libc6.1-2.so.3

Эта переменная среды не нужна, если вы запускаете gsk5ikm в

системе с ядром версии 2.2.

2. Запустите утилиту gsk5ikm, которая находится в одном из следующих каталогов

по умолчанию:

Система Путь

AIX /usr/opt/lpp/ibm/gsk5/bin/gsk5ikm

HP-UX /opt/ibm/gsk5/bin/gsk5ikm

Linux /usr/local/ibm/gsk5/bin/gsk5ikm

Solaris /opt/IBM/GSK5/bin/gsk5ikm

SSL — IBM Directory Server



Windows C:\Program Files\IBM\GSK5\bin\GSK5ikm.exe

Примечание: Только в Linux for zSeries: Чтобы запустить утилиту gsk5ikm,

необходимо окно сеанса X-windows и нужно сделать так, чтобы

значение переменной среды PATH обеспечивало доступ к IBM Java,

Version 1.3.1, следующим образом:

export PATH=/opt/IBMJava2-s390-131/jre/bin:$PATH

Среду выполнения IBM Java Runtime Environment, Version 1.3.1,

можно загрузить с сайта IBM Java for Linux, который находится по

адресу:

http://www6.software.ibm.com/dl/lxdk/lxdk-p

3. Чтобы создать файл базы данных ключей, выберите Key Database File → New

(Файл базы данных ключей → Новый).

4. Убедитесь, что в качестве типа базы данных ключей выбрано CMS key database

file (Файл базы данных ключей CMS).

5. Укажите, где должен находиться файл базы данных ключей, введя

соответствующую информацию в поля File Name (Имя файла) и Location

(Местонахождение). Расширение файла базы данных ключей - .kdb.

6. Щелкните по ОК.

7. Введите пароль файла базы данных ключей и подтвердите его. Запомните этот

пароль, поскольку он необходим для внесения изменений в файл базы данных

ключей.

8. Примите срок действия файла базы данных ключей по умолчанию или измените

его в соответствии с принятыми в вашей организации требованиями.

9. Если вы хотите спрятать пароль и сохранить его в файле хранения пароля,

выберите опцию Stash the password to a file (Сохранить пароль в файле).

Файл хранения будет использоваться несколькими приложениями, чтобы этим

приложениям для обращения к файлу базы данных ключей не нужно было знать

пароль. Имя и местонахождение файла хранения - те же, что и у файла базы

данных ключей, а расширение файла - .sth.

10. Щелкните по ОК. На этом создание файла базы данных ключей завершено.

Существует набор сертификатов подписывающих организаций по умолчанию.

Эти сертификаты подписывающих организаций соответствуют признанным

сертификаторам.

Получение личного сертификата от сертификатора

Если вы собираетесь использовать не самоподписанный сертификат, а сертификат,

полученный от сертификатора, вы должны будете запросить сертификат у

сертификатора и получить его, когда он будет готов.

Если вы собираетесь использовать самоподписанный сертификат, пропустите этот

раздел и перейдите к разделу “Создание и извлечение самоподписанного

сертификата” на стр. 168.

Чтобы запросить и получить сертификат, выполните следующее:

1. С помощью gsk5ikm запросите сертификат у сертификатора, а затем получите

новый сертификат в свой файл базы данных ключей.


Приложение A. Как включить SSL 167

2. Щелкните по разделу Personal Certificate Requests (Запросы о личных

сертификатах) файла базы данных ключей.

3. Щелкните по New (Новая).

4. Чтобы создать запрос, который можно будет направить сертификатору,

заполните нужные поля и щелкните по ОК.

5. Чтобы установить сертификат в файл базы данных ключей, после того как

сертификатор возвратит сертификат, щелкните по разделу Personal Certificates

(Личные сертификаты), а затем щелкните по Receive (Получить).

6. Когда сертификат сервера LDAP будет сохранен в файле базы данных ключей,

сконфигурируйте сервер LDAP для поддержки SSL.

Перейдите к разделу “Как включить поддержку доступа SSL” на стр. 169.

Создание и извлечение самоподписанного сертификата

Если вы получили сертификат от известного сертификатора, как описано выше в

разделе “Получение личного сертификата от сертификатора” на стр. 167, пропустите

данный раздел и перейдите к разделу “Как включить поддержку доступа SSL” на стр.

169.

Чтобы создать новый самоподписанный сертификат и сохранить его в файле базы

данных ключей, выполните следующее:

1. Щелкните по Create → New Self-Signed Certificate (Создать → Новый

самоподписанный сертификат).

2. В поле Key Label (Метка ключа) введите имя, по которому GSKit сможет

распознать этот новый сертификат в базе данных ключей. Например, в качестве

метки можно использовать имя компьютера-сервера LDAP.

3. Примите значения по умолчанию в полях Version (Версия) (X509 V3) и Key Size

(Размер ключа).

4. В поле Common Name (Общее имя) либо примите имя системы по умолчанию,

либо введите другое имя-идентификатор для данного сертификата.

5. Введите название компании в поле Organization (Организация).

6. Заполните или оставьте пустыми необязательные поля.

7. Примите значения по умолчанию в полях Country (Страна) и Validity Period

(Срок действия) (365), либо измените их в соответствии с принятыми в вашей

организации требованиями.

8. Щелкните по ОК. GSKit сгенерирует новую пару ключей открытый

ключ/секретный ключ и создаст сертификат.

Если в файле базы данных ключей содержится несколько личных сертификатов,

GSKit спросит у вас, хотите ли вы, чтобы данный ключ являлся в базе данных

ключом по умолчанию. Вы можете принять в качестве ключа по умолчанию

один из сертификатов. Сертификат по умолчанию используется во время

выполнения, когда не указана метка сертификата.

На этом создание личного сертификата сервера LDAP завершено. Сертификат

появится в разделе Personal Certificates (Личные сертификаты) файла базы

данных ключей. В средней полосе окна утилиты управления сертификатами

можно выбирать типы сертификатов, хранящихся в файле базы данных ключей.

Сертификат также появится в разделе Signer Certificates (Сертификаты

подписавшего) файла базы данных ключей. Когда перейдете в раздел Signer

Certificates (Сертификаты подписавшего) базы данных ключей, убедитесь, что

там есть новый сертификат.



Далее вы должны извлечь сертификат сервера LDAP в файл данных ASCII,

закодированный с помощью Base64.

9. Извлеките сертификат сервера LDAP в файл данных ASCII, закодированный с

помощью Base64, с помощью утилиты gsk5ikm. Этот файл используется в

разделе “Добавление сертификата подписавшего” на стр. 181.

10. Выделите только что созданный вами самоподписанный сертификат.

11. Щелкните по Extract Certificate (Извлечь сертификат).

12. Чтобы задать тип данных, щелкните по Base64-encoded ASCII data (Данные

ASCII, закодированные с помощью Base64).

13. Введите имя файла сертификата для только что извлеченного сертификата. В

качестве расширения файлов сертификата обычно используется .arm.

14. Укажите каталог, в котором вы хотите сохранить извлеченный сертификат.


16. Скопируйте этот извлеченный сертификат на компьютер IBM Directory Client.

Теперь вы сможете сконфигурировать сервер LDAP для поддержки SSL. Перейдите к

разделу “Как включить поддержку доступа SSL”.

Как включить поддержку доступа SSL

Чтобы сконфигурировать сервер LDAP для поддержки SSL, убедитесь, что сервер

LDAP установлен и работает, после чего выполните описанные ниже шаги.

Только в системах Linux on zSeries: Вы должны вручную обновить файл slapd32.conf,

чтобы сконфигурировать сервер LDAP для поддержки связи SSL. Для этого измените

запись cn=SSL,cn=Configuration в файле slapd32.conf так, как показано в

приведенном ниже примере:

Никаких других действий выполнять не требуется.

Для всех систем, кроме Linux on zSeries: Выполните следующее:

1. Вызовите средство IBM Directory Server Web Administration, указав следующий

адрес:

http://имя_сервера/ldap

где имя_сервера - имя компьютера-сервера LDAP.

2. Если вы еще не зарегистрировались, зарегистрируйтесь в качестве

администратора LDAP (например, как cn=root).

3. Выберите Security → SSL → Settings (Защита → SSL → Параметры).

dn: cn=SSL, cn=Configuration

cn: SSL

ibm-slapdSecurePort: 636

#Допустимые значения ibm-slapdSecurity: none/SSL/SSLOnly

ibm-slapdSecurity: SSL

#Допустимые значения ibm-slapdSslAuth: serverAuth/serverClientAuth

ibm-slapdSslAuth: serverauth

ibm-slapdSslCertificate: ldapcert

#ibm-slapdSslCipherSpecs - нужно указать десятичное значение, равное числу бит в маске 0x3F00

ibm-slapdSslCipherSpecs: 12288

#ibm-slapdSslKeyDatabase нужно указать местонахождение базы данных ключей

# Если у вас есть файл хранения паролей, пароль указывать не нужно

ibm-slapdSslKeyDatabase: /usr/ldap/etc/key.kdb

objectclass: top

objectclass: ibm-slapdSSL



4. Щелкните либо по SSL On (Включить SSL), чтобы включить SSL, либо по SSL

Only (Только SSL), чтобы получить состояние SSL, которое вы хотите задать.

Например:

5. Выберите один из следующих способов аутентификации:

v Аутентификация сервера

При аутентификации сервера сервер отправляет свой сертификат на клиент, и

клиент производит аутентификацию сервера.

v Аутентификация сервера и клиента

При аутентификации сервера и клиента, после того как сервер отправит свой

сертификат на клиент и будет аутентифицирован клиентом, сервер запросит

сертификат клиента. В этом случае сертификат необходим также и системе

клиента.

Включая поддержку доступа SSL для клиента в разделе “Конфигурирование

аутентификации сервера LDAP и клиента” на стр. 182, вы должны задать

сертификат клиента. 6. Введите номер порта или примите номер порта по умолчанию (636).

7. Введите путь и имя файла базы данных ключей, которые вы задали в разделе

“Создание файла базы данных ключей и сертификата” на стр. 166.

Расширение файла базы данных ключей - .kdb.

8. В поле Key Label (Метка ключа) введите имя, которое вы указали для

идентификации сертификата LDAP, когда сохраняли его в базе данных ключей.

Например, в качестве метки можно использовать имя компьютера-сервера

LDAP.

9. Введите пароль файла базы данных ключей и подтвердите его. Если вы хотите,

чтобы сервер LDAP использовал файл хранения пароля, можете оставить поле

пароля пустым.

10. Щелкните по Применить.

11. Щелкните по ссылке restart the server (перезапустить сервер), чтобы

перезапустить сервер LDAP, после чего это изменение вступит в силу.

Чтобы убедиться, что связь SSL включена, введите в командную строку сервера

LDAP следующее:

ldapsearch -h имя_сервера -Z -K файл_ключей -P пароль_ключей -b ""

-s base objectclass=*



В этой команде используются следующие переменные:

Переменная Описание

имя_сервера Имя хоста DNS сервера LDAP.

файл_ключей Полный путь сгенерированной цепи ключей.

пароль_ключей Пароль сгенерированной цепи ключей.

Команда ldapsearch возвратит информацию о базе LDAP, включая суффиксы на

сервере LDAP.

На этом настройка связи SSL на сервере LDAP завершена.

Теперь настроим клиент IBM Directory для поддержки доступа SSL. Перейдите к

разделу “Конфигурирование клиента IBM Directory для поддержки доступа SSL” на

стр. 179.

Конфигурирование сервера iPlanet Directory Server для поддержки

доступа SSL

SSL позволяет шифровать данные, которыми обмениваются службы Tivoli Access

Manager и iPlanet Directory Server, чтобы обеспечить секретность и целостность

данных. Администраторам рекомендуется включать SSL, чтобы защитить такую

информацию, как пароли пользователей и личные данные. Однако Tivoli Access

Manager может работать и без SSL.

Эту процедуру нужно выполнить только при первой настройке связи SSL между

iPlanet Directory Server и клиентами IBM Directory. Чтобы включить связь SSL, нужно

сконфигурировать как сервер iPlanet Directory Server, так и клиенты IBM Directory.

Подробную информацию о том, как включить поддержку доступа SSL на сервере

iPlanet Directory Server, смотрите в документации по iPlanet Directory Server.

Следуйте инструкциям в следующих разделах:

v “Получение сертификата сервера” на стр. 171

v “Установка сертификата сервера” на стр. 172

v “Как включить поддержку доступа SSL” на стр. 173

Получение сертификата сервера

Чтобы обеспечить поддержку SSL, серверу iPlanet Directory Server требуется

сертификат, который будет служить подтверждением его идентичности для

компьютеров-клиентов. Сервер отправляет сертификат на клиент, чтобы клиент смог

произвести аутентификацию сервера. Этот сертификат называется Server-Cert

(Сертификат сервера).

Задайте сертификат сервера с помощью консоли iPlanet Console 5.0 и мастера

настройки сертификатов (Certificate Setup Wizard) следующим образом:

1. Запустите iPlanet Console 5.0.

2. Введите ID администратора LDAP.

3. Введите пароль.

4. Введите Web-адрес страницы администрирования.

5. Выберите домен, который будет использовать Tivoli Access Manager.



6. Раскройте имя сервера.

7. Раскройте запись Server Group (Группа серверов).

8. Выберите запись Directory Server (Сервер каталогов).

На экране появится информация о сервере iPlanet Directory Server.

9. Щелкните по Open (Открыть). Вы получите доступ к iPlanet Directory Server.

10. Щелкните по вкладке Configuration (Конфигурация).

11. Щелкните по вкладке Encryption (Шифрование).

12. Убедитесь, что переключатель Enable SSL for this server (Включить SSL для

данного сервера) не выбран.

13. Щелкните по вкладке Tasks (Задачи), а затем щелкните по Manage Certificates

(Управление сертификатами).

Примечание: Секретный ключ сертификата хранится во внутреннем устройстве

защиты, именуемом маркером, которое защищено паролем. Когда

вы впервые щелкнете по кнопке Manage Certificates (Управление

сертификатами), вас попросят создать пароль для этого маркера.

14. Введите защитный пароль два раза, а затем щелкните по ОК. Появится окно

Manage Certificates (Управление сертификатами).

15. Убедитесь, что в выпадающем списке Security Device (Устройство защиты)

выбрана запись internal (software) (внутреннее (программное)) и что выбрана

вкладка Server Certs (Сертификаты сервера).

16. Щелкните по кнопке Request (Запросить) в нижней части окна. Появится панель

Certificate Request Wizard (Мастер запроса о выдаче сертификата).

17. Убедитесь, что выбрана кнопка Request certificate manually (Запросить

сертификат вручную), и щелкните по Next (Далее).

18. Введите информацию о реквестере и щелкните по Next (Далее). Вы обязательно

должны заполнить все поля. Когда программа спросит, хотите ли вы

продолжить, щелкните по Yes (Да).

19. Убедитесь, что в поле Active Encryption token (Активный криптографический

маркер) находится запись internal (software) (внутренний (программный)).

20. Введите пароль устройства защиты и щелкните по Next (Далее).

21. Чтобы сохранить запрос о выдаче сертификата в файле, щелкните по Save to File

(Сохранить в файле). Чтобы скопировать запрос в буфер обмена, щелкните по

Copy to Clipboard (Скопировать в буфер обмена). Затем щелкните по Done

(Готово), чтобы завершить запрос.

22. Отправьте свой запрос по электронной почте или присоедините сохраненный

файл и отправьте свой запрос администратору сертификатора.

Установка сертификата сервера

После того как вы получите сертификат от сертификатора, установите его


1. Откройте консоль iPlanet Directory Server.

2. Щелкните по вкладке Tasks (Задачи), а затем щелкните по Manage Certificates

(Управление сертификатами).

3. Убедитесь, что выбрана опция Server Certs (Сертификаты сервера), и щелкните

по Install (Установить).


v Чтобы установить сертификат из файла, выберите In this local file (В данном

локальном файле).

SSL — iPlanet Directory Server


v Чтобы вставить в окно текст, выберите In the following encoded text block (В

следующем кодированном блоке текста), скопируйте текст сертификата и

щелкните по Paste from Clipboard (Вставить из буфера обмена).5. Щелкните по Далее.

6. Убедитесь, что информация о сертификате указана правильно, и щелкните по Next

(Далее).

7. В поле This certificate will be named (Этому сертификату присваивается имя)

введите имя сертификата или примите имя по умолчанию, server-cert, после

чего щелкните по Next (Далее).

8. Введите пароль маркера защиты и щелкните по Done (Готово). Если процедура

завершится успешно, появится панель Manage Certificate (Управление

сертификатами), и на вкладке Server Certs (Сертификаты сервера) будет указано

имя сертификата сервера.

9. Перейдите к разделу “Как включить поддержку доступа SSL”.


Когда вы закроете Certificate Setup Wizard (Мастер настройки сертификатов), вы

вернетесь на вкладку Encryption (Шифрование) консоли iPlanet Console 5.0, как


1. Выберите Enable SSL (Включить SSL).

2. Включите переключатель RSA Cipher Family (Семейство криптографических

кодов RSA).

3. Если вы не собираетесь использовать аутентификацию на основе сертификата

клиента, выберите опцию Do not allow client authentication (Не производить

аутентификацию клиента).

4. Щелкните по Save (Сохранить).

5. Чтобы изменения вступили в силу, перезапустите iPlanet Directory Server.

Примечание: При каждом запуске сервера вы должны вводить пароль доверенной

базы данных.

Теперь на сервере iPlanet Directory Server включена поддержка связи SSL. Далее

вам нужно включить связь SSL на компьютерах-клиентах IBM Directory, которые

будут выступать в качестве клиентов LDAP сервера iPlanet Directory Server.



Смотрите раздел “Конфигурирование клиента IBM Directory для поддержки

доступа SSL” на стр. 179.

Конфигурирование серверов LDAP OS/390 и z/OS для поддержки

доступа SSL

Если Tivoli Access Manager и службы LDAP не находятся в одной и той же

защищенной сети, рекомендуется включить связь SSL между сервером LDAP и

клиентами, поддерживающими программы Tivoli Access Manager.Этот протокол

обеспечивает защищенные, шифрованные взаимодействия между всеми серверами и

клиентами. Tivoli Access Manager использует эти каналы обмена информацией как

часть процедуры принятия решения по аутентификации и авторизации.

Чтобы узнать, как сконфигурировать сервер LDAP в OS/390 или z/OS для поддержки

соединений SSL, смотрите конкретную информацию, касающуюся используемого

вами выпуска OS/390 или z/OS, в руководстве LDAP Server Administration and Use.

Этот документ находится по адресу:

http://www-1.ibm.com/servers/eserver/zseries/zos/bkserv/

Ниже описаны шаги верхнего уровня, которые нужно выполнить, чтобы включить

поддержку SSL для LDAP в z/OS выпусков с 1.2 по 1.4. В этих инструкциях

предполагается, что вы уже установили и сконфигурировали сервер каталогов LDAP

и установили z/OS Cryptographic Services System SSL.

1. Сконфигурируйте сервер LDAP для приема запросов LDAP на порту SSL для

аутентификации сервера и, по желанию, для аутентификации клиента.

2. Сгенерируйте секретный ключ сервера LDAP и сертификат сервера и отметьте его

как сертификат по умолчанию в базе данных ключей или укажите его метку в

опции sslCertificate в файле конфигурации.

3. Перезапустите сервер LDAP.

Как настроить параметры защиты

В файле slapd.conf можно задать следующие параметры соединения SSL:

listen ldap_URL

IP-адрес (или имя хоста), указанные в формате URL LDAP, и номер порта, на

котором сервер LDAP будет принимать поступающие запросы клиентов.

Этот параметр можно указывать в файле конфигурации несколько раз.

sslAuth {serverAuth | serverClientAuth}

Метод аутентификации SSL. Метод serverAuth позволяет клиенту LDAP

произвести проверку сервера LDAP при первоначальном соединении клиента

с сервером. Метод serverAuth является методом по умолчанию.

sslCertificate {certificateLabel | none}

Метка сертификата, используемого для аутентификации сервера. Она

хранится в файле базы данных ключей, который создается и управляется

средством gskkyman.

sslCipherSpecs int

Спецификация шифра SSL, которая будет приниматься от клиентов.

Таблица 17. Поддерживаемые шифры

Шифр Шестнадцатеричное

значение

Десятичное значение

SLAPD_SSL_RC4_MD5_US 0x0800 2048



Таблица 17. Поддерживаемые шифры (продолжение)

Шифр Шестнадцатеричное

значение

Десятичное значение

SLAPD_SSL_RC4_SHA_US 0x0400 1024

SLAPD_SSL_TRIPLE_DES_SHA_US 0x0100 256

SLAPD_SSL_DES_SHA_EXPORT 0x0200 512

SLAPD_SSL_RC2_MD5_EXPORT 0x1000 4096

SLAPD_SSL_RC4_MD5_EXPORT 0x2000 8192

Целое значение, используемое в сочетании с ключевым словом

sslCipherSpecs - это десятичное представление битовой маски ORed,

определяемое шестнадцатеричным значением в Табл. 17 на стр. 174.

Например, чтобы использовать все доступные шифры в США, значение

должно составлять 15104. (Вне США значение, указывающее все допустимые

спецификации шифров, составляет 12288.) В этом случае клиенты,

поддерживающие любой из этих шифров, смогут установить с сервером

связь SSL.

sslKeyRingFile filename

Имя и путь файла базы данных ключей SSL для сервера. Имя файла должно

совпадать с именем файла базы данных ключей, использующегося средством

gskkyman.

sslKeyRingFilePW string

Пароль, защищающий доступ к файлу базы данных ключей SSL. Этот

строчный пароль должен совпадать с паролем файла базы данных ключей,

созданного с помощью средства gskkyman.

Примечание: Использовать опцию конфигурации sslKeyRingFilePW

категорически не рекомендуется. В качестве альтернативы

используйте либо поддержку цепи ключей RACF, либо опцию

конфигурации sslKeyRingPWStashFile. Тогда пароль

исключается из файла конфигурации.

sslKeyRingPWStashFile filename

Имя файла, в котором хранится пароль файла базы данных ключей сервера.

Если указана эта опция, то пароль из этого файла хранения переопределит

опцию конфигурации sslKeyRingFilePW (если она задана). Файл хранения

для пароля базы данных ключей можно создать, воспользовавшись утилитой

gskkyman в опцией –s.

Создание файла базы данных ключей

В приведенных ниже примерах показано, как создать файл базы данных ключей с

помощью утилиты gskkyman.

1. Запустите утилиту gskkyman из командной строки оболочки (сеанса OMVS или

rlogin) следующим образом:

$ gskkyman

В утилите gskkyman имеется интерфейс на основе меню. Чтобы выполнить

какую-либо операцию, выберите соответствующую опцию, введя ее номер в

командной строке.

2. Чтобы создать файл базы данных ключей, выберите опцию 1.

3. Введите имя файла базы данных ключей (значение по умолчанию - key.kdb).

SSL — Серверы OS/390 и z/OS


4. Введите пароль для защиты базы данных ключей.

5. Введите пароль еще раз для подтверждения.

6. Введите срок действия пароля в днях или нажмите Enter, чтобы указать, что срок

действия не ограничен.

7. Введите длину записи базы данных или нажмите Enter, чтобы использовать

значение 2500.

Будет создана база данных ключей, и появится сообщение об успешном или

неудачном завершении этой операции.

8. В меню Key Management Menu (Управление ключами) выберите опцию 6, чтобы

создать самоподписанный сертификат, и следуйте подсказкам.

9. После создания сертификата вы должны будете извлечь этот сертификат, чтобы

можно было его отправить на сервер LDAP и добавить как сертификат

сертификатора-гаранта. Для этого сделайте следующее:

a. Выберите опцию 1, соответствующую управлению ключами и сертификатами.

b. В списке ключей и сертификатов (Key and Certificate List) введите номер метки.

c. В меню Key and Certificate Menu (Ключи и сертификаты) введите опцию 6,

чтобы экспортировать сертификат в файл.

d. В диалоговом окне Export File Format (Формат экспортируемого файла)

выберите формат для экспорта. Например, выберите опцию 1, чтобы

экспортировать сертификат как Binary ASN.1 DER (Двоичный ASN.1 DER).

Сертификат будет экспортирован. Теперь вы можете перенести

экспортированный файл на компьютер-клиент LDAP и добавить его в качестве

сертификата сертификатора-гаранта. Поскольку при экспорте бул указан

формат файла binary DER, именно этот тип файла следует указать утилите

gsk5ikm на компьютере-клиенте LDAP при выполнении операции Add

(Добавить).

Конфигурирование Novell eDirectory Server для поддержки доступа

SSL

Secure Socket Layer (SSL) позволяет шифровать данные, которыми обмениваются

службы Tivoli Access Manager и NDS eDirectory, чтобы обеспечить секретность и

целостность данных. Администраторам рекомендуется включать SSL, чтобы

защитить такую информацию, как пароли пользователей и личные данные. Однако

Tivoli Access Manager может работать и без SSL. Если в вашей среде Tivoli Access

Manager поддержка связи SSL не требуется, пропустите этот раздел.

Tivoli Access Manager при работе в сочетании с NDS eDirectory поддерживает только

аутентификацию стороны сервера. Чтобы сконфигурировать сервер NDS eDirectory

для поддержки связи SSL, убедитесь, что у вас установлено средство ConsoleOne, и

выполните действия, описанные в следующих разделах:

v “Создание объекта сертификатора организации” на стр. 177

v “Создание самоподписанного сертификата” на стр. 177

v “Создание сертификата сервера для сервера LDAP” на стр. 178

v “Как включить SSL” на стр. 178

v “Добавление самоподписанного сертификата в файл ключей IBM” на стр. 179

Примечание: Дополнительную информацию смотрите в документации по продуктам

Novell, которая находится по адресу:

http://www.novell.com/documentation/lg/ndsedir86/index.html

SSL — Серверы OS/390 и z/OS


Создание объекта сертификатора организации

Во время установки eDirectory по умолчанию создается объект NDSPKI:Certificate

Authority (NDSPKI:Сертификатор) (если такого объекта еще нет в сети). Очень

важно, чтобы имя субъекта (Subject Name а не Object Name) представляло собой

действительного сертификатора. Нужно, чтобы в имени субъекта имелось поле с

названием организации и поле страны, которые способен распознать Tivoli Access

Manager. Имя субъекта по умолчанию:

0=<имя организации>.OU=Organizational CD

Это имя субъекта не является действительным сертификатором. Чтобы его изменить,

вы должны заново создать объект Certificate Authority (Сертификатор) с

действительным именем субъекта. Для этого сделайте следующее:

1. Запустите ConsoleOne.

2. Выберите объект-контейнер Security (Защита). В правой панели окна появятся

объекты.

3. Выберите объект Organization CA (Сертификатор организации) и удалите его.

4. Снова щелкните правой кнопкой мыши по объекту-контейнеру Security (Защита)

и щелкните по New → Object (Новый → Объект).

5. В списке, который находится в диалоговом окне New Object (Новый объект)

дважды щелкните по записи NDSPKI: Certificate Authority (NDSPKI:

Сертификатор). Появится диалоговое окно Create an Organizational Certificate

Authority Object (Создать объект сертификатора организации). Следуйте

инструкциям на экране.

6. Выберите сервер назначения и введите имя объекта eDirectory. Например:

Host Server Field = C22Knt_NDS.AM

Object Name Field = C22KNT-CA

7. В поле Creation Method (Способ создания) выберите Custom (Пользовательский) и


8. Измените имя субъекта, введя свой суффикс. Например, введите:

.o=tivoli.c=us

9. В окне ConsoleOne в качестве Organizational Certificate Authority (Сертификатор

организации) появится значение C22KNT-CA.

Создание самоподписанного сертификата

Чтобы создать самоподписанный сертификат, выполните следующее:

1. Выберите свойства Organizational Certificate Authority (Сертификатор организации)

(C22KNT-CA). Появится окно Properties (Свойства).

2. Выберите вкладку Certificate (Сертификат), а затем в выпадающем меню выберите

Self Signed Certificate (Самоподписанный сертификат).

3. Проверьте сертификат.

4. Экспортируйте сертификат. Появится окно Export a Certificate (Экспорт

сертификата).

5. Примите значения по умолчанию и запишите, где будет сохранен

самоподписанный сертификат. Например:

c:\c22knt\CA-SelfSignedCert.der

6. Перенесите (с помощью FTP) файл в каталог на хосте Tivoli Access Manager.

Например:

c:\Program Files\Tivoli\Policy Directory\keytab

Учтите, что это - двоичный файл.

SSL — Novell eDirectory Server


Создание сертификата сервера для сервера LDAP

Чтобы создать сертификат сервера для сервера Novell eDirectory, выполните

следующее:

1. Чтобы создать сертификат сервера для сервера LDAP, щелкните правой кнопкой

мыши по записи Organization (Организация) и щелкните по New → Object (Новый

→ Объект). Появится окно New Object (Новый объект).

2. Выберите NDSPKI: Key Material (NDSPKI: Материал ключа) и щелкните по ОК.

Появится окно Create Server Certificate (Key Material) (Создать сертификат сервера

(Материал ключа)).

3. Введите имя сертификата (например, AM), выберите Custom (Пользовательский)

в качестве метода создания, и щелкните по Next (Далее).

4. Примите значения по умолчанию для опции Specify the Certificate Authority

(Укажите сертификатора), которая указывает, кто подпишет сертификат, и


5. Укажите размер ключа (значение по умолчанию - 1024 бит), примите значения по

умолчанию для всех остальных опций и щелкните по Next (Далее).

6. В окне Specify the Certificate Parameters (Укажите параметры сертификата)

щелкните по кнопке Edit (Изменить) рядом с полем Subject Name (Имя субъекта).

Появится окно Edit Subject (Изменить субъект).

7. Введите имя субъекта. Убедитесь, что в нем есть поле Organization (Организация)

и Country (Страна), и щелкните по ОК. Появится окно Create Server Certificate (Key

Material) (Создать сертификат сервера (Материал ключа)) с обновленным полем

Subject Name (Имя субъекта). Чтобы продолжить, щелкните по Next (Далее).

8. Чтобы принять значения по умолчанию в следующих окнах, щелкните по Next

(Далее) два раза, а затем щелкните по Finish (Готово), чтобы создать материал

ключа.

На короткое время появится окно Creating Certificate (Создается сертификат).

Когда оно пропадет с экрана, правая панель ConsoleOne обновится, и в ней

появится запись Key Material (Материал ключа) под именем AM. Это - сертификат

сервера.

Как включить SSL

Чтобы включить поддержку связи SSL для сервера LDAP Novell, выполните

следующее:

1. В правой панели ConsoleOne найдите запись вида LDAP Server – имя_хоста и

щелкните по ней правой кнопкой мыши.

2. В выпадающем меню выберите Properties (Свойства). В записной книжке

Properties (Свойства) выберите вкладку SSL Configuration (Конфигурация SSL).

3. Щелкните по значку Tree Search (Поиск в дереве) рядом с полем SSL Certificate

(Сертификат SSL). Появится окно Select SSL Certificate (Выберите сертификат

SSL). В панели SSL Certificate List (Список сертификатов SSL) появятся

сертификаты, известные организации.

4. Выберите сертификат AM и щелкните по ОК. Снова появится окно Properties of

LDAP Server (Свойства сервера LDAP) – имя_хоста с обновленным полем SSL

Certificate (Сертификат SSL).

Примечание: Не выбирайте опцию Enable and Require Mutual Authentication

(Разрешить и требовать взаимную аутентификацию).



Добавление самоподписанного сертификата в файл

ключей IBM

Чтобы добавить самоподписанный сертификат в файл ключей IBM на сервере Tivoli

Access Manager, выполните следующее:

1. Запустите утилиту gsk5ikm. Появится окно IBM Key Manager.

2. Выберите Key Database File → New (Файл базы данных ключей → Новый).

Появится окно New (Новый).

3. Обновите значения в полях, как указано ниже, после чего щелкните по ОК:

Key database type: CMS key database file

File name: key.kdb

Location: /var/PolicyDirector/keytabs

Появится окно с подсказкой о вводе пароля.

4. Создайте пароль, дважды введя его при конфигурировании, после чего щелкните

по ОК. Появится окно IBM Key Manager, в котором будет открыто диалоговое

окно Signer Certificates (Сертификаты подписавшего).

5. Щелкните по кнопке Add (Добавить). Появится окно Add CA’s Certificate from a

File (Добавить сертификат сертификатора из файла). Обновите значения в полях,

как указано ниже, после чего щелкните по ОК:

Data type: Binary der data

Certificate file name: <hostname>CA-SelfSignedCert.der

Location: /var/PolicyDirector/keytabs

Диалоговое окно Signer Certificates (Сертификаты подписавшего) обновится, и в

нем появится сертификат под именем AM.

Конфигурирование клиента IBM Directory для поддержки доступа

SSL

Прежде чем настраивать клиент LDAP для поддержки доступа SSL, нужно сначала

настроить поддержку доступа SSL на сервере LDAP. Если вы еще не

сконфигурировали сервер LDAP для доступа SSL, перейдите к разделу

“Конфигурирование IBM Directory Server для поддержки доступа SSL” на стр. 165.

Файл базы данных ключей на компьютере-клиенте создается аналогично созданию

файла базы данных ключей на сервере. Учтите, что для аутентификации сервера

LDAP клиентом нужно, чтобы клиент распознавал сертификатора (подписавшего),

который создал сертификат сервера LDAP. Если сервер LDAP использует

самоподписанный сертификат, клиент должен обеспечивать поддержку

распознавания компьютера, сгенерировавшего сертификат сервера LDAP, как

ключа-гаранта (сертификатора).

Чтобы сконфигурировать клиент LDAP для получения доступа SSL к серверу LDAP,

выполните инструкции в следующих разделах:

v “Создание файла базы данных ключей” на стр. 179

v “Добавление сертификата подписавшего” на стр. 181

v “Проверка доступа SSL” на стр. 181


Для создания файла базы данных ключей и сертификата используется утилита

gsk5ikm. Чтобы создать файл базы данных ключей и сертификат (самоподписанный

или подписанный), выполните следующее:



1. Убедитесь, что на сервере LDAP и на всех клиентах LDAP, которые будут

использовать связь SSL, установлены GSKit и утилита gsk5ikm.









Примечание: Только в Linux for zSeries: Чтобы запустить утилиту gsk5ikm,

необходимо окно сеанса X-windows и нужно сделать так, чтобы

значение переменной среды PATH обеспечивало доступ к IBM Java,

Version 1.3.1, следующим образом:

export PATH=/opt/java/IBMJava2-s390-131/jre/bin:$PATH

Среду выполнения IBM Java Runtime Environment, Version 1.3.1,

можно загрузить с Web-сайта IBM Java for Linux, который

находится по адресу:

http://www6.software.ibm.com/dl/lxdk/lxdk-p

Кроме того, чтобы утилита gsk5ikm в 31–разрядных системах

SuSE SLES-7 использовала нужную библиотеку C++, нужно задать

переменную среды LD_PRELOAD:

LD_PRELOAD=/usr/lib/libstdc++libc6.1–2.so.3

3. Чтобы создать файл базы данных ключей, выберите Key Database File → New

(Файл базы данных ключей → Новый).







7. Введите пароль файла базы данных ключей и подтвердите его.

Запомните этот пароль, поскольку он необходим для внесения изменений в файл

базы данных ключей.









10. Щелкните по ОК. На этом создание файла базы данных ключей завершено.

Существует набор сертификатов подписывающих организаций по умолчанию.

Эти сертификаты подписывающих организаций соответствуют признанным

сертификаторам.

SSL — iPlanet Directory Client


Чтобы клиент смог аутентифицировать сервер LDAP, клиент должен

распознавать сертификатора (подписавшего), который создал сертификат

сервера LDAP. Если сервер LDAP использует самоподписанный сертификат,

клиент должен обеспечивать поддержку распознавания компьютера,

сгенерировавшего сертификат сервера LDAP, как ключа-гаранта

(сертификатора).

11. После создания файла базы данных ключей измените владельца этого файла

базы данных ключей на ivmgr. Для изменения владельца файла воспользуйтесь

соответствующей командой операционной системы. Например, в системе UNIX

введите:

# chown ivmgr файл_ключей

Добавление сертификата подписавшего

Чтобы добавить сертификат подписавшего после создания файла базы данных

ключей, выполните следующее:

1. Если вы используете для сервера LDAP самоподписанный сертификат, вы

должны обязательно скопировать сертификат, который вы извлекли из файла

базы данных ключей в разделе “Создание и извлечение самоподписанного

сертификата” на стр. 168, на компьютер-клиент.Если этот файл еще не

скопирован, сделайте это сейчас. В противном случае убедитесь, что у вас

имеется сертификат сертификатора, выдавшего сертификат сервера LDAP.

2. Щелкните по разделу Signer Certificates (Сертификаты подписавшего) файла

базы данных ключей CMS клиента.

3. Щелкните по Add (Добавить).



5. Укажите имя файла сертификата и его местонахождение. В качестве расширения

файлов сертификата обычно используется .arm.


7. Введите метку сертификата подписавшего, который вы добавляете. Например, в

качестве метки можно использовать имя компьютера-сервера LDAP. Если

сертификат сервера LDAP создан сертификатором, в качестве метки можно

использовать имя сертификатора.

8. Щелкните по ОК. Сертификат появится в базе данных ключей клиента в качестве

сертификата подписавшего.

9. Выделите только что добавленный сертификат подписавшего и щелкните по

View/Edit (Просмотр/Правка).

10. Убедитесь, что выбрана опция Set the certificate as a trust root (Использовать

сертификат в качестве ключа-гаранта), чтобы этот сертификат был помечен как

ключ-гарант.

Если сертификат сервера LDAP сгенерирован обычным сертификатором,

убедитесь, что этот сертификатор показан в списке в качестве сертификата

подписавшего и помечен как ключ-гарант. Если это не так, добавьте сертификат

сертификатора в качестве сертификата подписавшего и укажите, что он является

ключом-гарантом.

Теперь клиент сможет установить сеанс SSL с сервером LDAP.

Проверка доступа SSL

Чтобы убедиться, что поддержка доступа SSL включена, введите на клиенте LDAP

следующую команду:



ldapsearch -h имя_сервера -Z -K файл_ключей_клиента -P пароль_ключей

-b "" -s base objectclass=*




файл_ключей_клиента Полный путь сгенерированной цепи ключей клиента.


Эта команда возвратит информацию о базе LDAP, включая суффиксы на сервере

LDAP.

При конфигурировании сервера LDAP в разделе “Конфигурирование IBM Directory

Server для поддержки доступа SSL” на стр. 165 вы должны были выбрать метод

аутентификации: либо Server Authentication (Аутентификация сервера), либо Server

and Client Authentication (Аутентификация сервера и клиента).

v Если вы выбрали опцию Server Authentication (Аутентификация сервера), то

настройка SSL завершена.

v Если вы выбрали Server and Client Authentication (Аутентификация сервера и

клиента), перейдите к разделу “Конфигурирование аутентификации сервера LDAP

и клиента”.

Конфигурирование аутентификации сервера LDAP и клиента

При конфигурировании сервера LDAP для поддержки доступа SSL в соответствии с

инструкциями в разделе “Как включить поддержку доступа SSL” на стр. 169 вас

попросили выбрать либо опцию Server Authentication (Аутентификация сервера),

либо опцию Server and Client Authentication (Аутентификация сервера и клиента).

Если вы выбрали опцию Server Authentication (Аутентификация сервера), то

конфигурирование SSL завершено.

Если вы выбрали Server and Client Authentication (Аутентификация сервера и

клиента), то вам теперь нужно задать сертификат для компьютера-клиента. При

таком режиме аутентификации сервер запрашивает сертификат клиента и использует

его для подтверждения идентичности клиента.

Чтобы установить сертификат в системе клиента, выполните шаги, описанные в

следующих разделах:

v “Создание файла базы данных ключей” на стр. 182

v “Получение личного сертификата от сертификатора” на стр. 183

v “Создание и извлечение самоподписанного сертификата” на стр. 184

v “Добавление сертификата подписавшего” на стр. 185

v “Проверка доступа SSL” на стр. 186


Если вы еще не создали файл базы данных ключей клиента, создайте файл базы

данных ключей и сертификат с помощью утилиты gsk5ikm. Если вы уже создали

файл базы данных ключей, перейдите к разделу “Получение личного сертификата от

сертификатора” на стр. 183.



Чтобы создать файл базы данных ключей и сертификат (самоподписанный или

подписанный), выполните следующее:

1. Убедитесь, что на сервере LDAP и на всех клиентах, которые будут использовать

связь SSL, установлены GSKit и gsk5ikm.








Windows C:\Program Files\IBM\GSK5\bin\ GSK5ikm.exe

3. Выберите Key Database File → New (Файл базы данных ключей → Новый).







7. Введите пароль файла базы данных ключей и подтвердите его. Запомните этот

пароль, поскольку он необходим для внесения изменений в файл базы данных

ключей.










На этом создание файла базы данных ключей завершено. Существует набор

сертификатов подписывающих организаций по умолчанию. Эти сертификаты

подписывающих организаций соответствуют признанным сертификаторам.

11. После создания файла базы данных ключей измените владельца этого файла

базы данных ключей на ivmgr. Для изменения владельца файла воспользуйтесь

соответствующей командой операционной системы. Например, в системе UNIX

введите:

# chown ivmgr файл_ключей

Получение личного сертификата от сертификатора

Если вы собираетесь использовать не самоподписанный сертификат, а сертификат,

полученный от сертификатора (такого, как VeriSign), вы должны будете запросить

сертификат у сертификатора и получить его, когда он будет готов.

Если вы собираетесь использовать самоподписанный сертификат, пропустите этот

раздел и перейдите к разделу “Создание и извлечение самоподписанного

сертификата” на стр. 184.

SSL — Аутентификация сервера и клиента


Чтобы запросить и получить сертификат, выполните следующее:

1. С помощью gsk5ikm запросите сертификат у сертификатора, а затем получите

новый сертификат в свой файл базы данных ключей.

2. Щелкните по разделу Personal Certificate Requests (Запросы о личных

сертификатах) файла базы данных ключей.

3. Щелкните по New (Новая).

4. Чтобы создать запрос, который можно будет направить сертификатору,

заполните нужные поля и щелкните по ОК.

5. Чтобы установить сертификат в файл базы данных ключей, после того как

сертификатор возвратит сертификат, щелкните по разделу Personal Certificates

(Личные сертификаты), а затем щелкните по Receive (Получить).

6. После сохранения сертификата клиента LDAP в файле базы данных ключей вы

сможете добавить на сервер LDAP сертификат сертификатора, который создал

сертификат клиента.

7. Перейдите к разделу “Добавление сертификата подписавшего” на стр. 185.

Создание и извлечение самоподписанного сертификата

Если вы получили сертификат от известного сертификатора, как описано выше в

разделе “Получение личного сертификата от сертификатора” на стр. 183, пропустите

данный раздел и перейдите к разделу “Добавление сертификата подписавшего” на

стр. 185.

Чтобы создать новый самоподписанный сертификат и сохранить его в файле базы

данных ключей, выполните следующее:









2. Щелкните по Create → New Self-Signed Certificate (Создать → Новый

самоподписанный сертификат).

3. В поле Key Label (Метка ключа) введите имя, по которому GSKit сможет

распознать этот новый сертификат в базе данных ключей.

Например, в качестве метки можно использовать имя компьютера-клиента

LDAP.

4. Примите значения по умолчанию в полях Version (Версия) (X509 V3) и Key Size

(Размер ключа).

5. В поле Common Name (Общее имя) либо примите имя системы по умолчанию,

либо введите другое имя-идентификатор для данного сертификата.

6. Введите название компании в поле Organization (Организация).

7. Заполните или оставьте пустыми необязательные поля.

8. Примите значения по умолчанию в полях Country (Страна) и Validity Period

(Срок действия) (365), либо измените их в соответствии с принятыми в вашей

организации требованиями.



9. Щелкните по ОК. GSKit сгенерирует новую пару ключей открытый

ключ/секретный ключ и создаст сертификат.

Если в файле базы данных ключей содержится несколько личных сертификатов,

GSKit спросит у вас, хотите ли вы, чтобы данный ключ являлся в базе данных

ключом по умолчанию. Вы можете принять в качестве ключа по умолчанию

один из сертификатов. Сертификат по умолчанию используется во время

выполнения, когда не указана метка сертификата.

На этом создание личного сертификата клиента LDAP завершено. Сертификат

появится в разделе Personal Certificates (Личные сертификаты) файла базы

данных ключей. В средней полосе окна утилиты управления сертификатами

можно выбирать типы сертификатов, хранящихся в файле базы данных ключей.

Сертификат также появится в разделе Signer Certificates (Сертификаты

подписавшего) файла базы данных ключей. Когда перейдете в раздел Signer

Certificates (Сертификаты подписавшего) базы данных ключей, убедитесь, что

там есть новый сертификат.

Далее вы должны извлечь сертификат сервера LDAP в файл данных ASCII,

закодированный с помощью Base64.

10. Извлеките сертификат сервера LDAP в файл данных ASCII, закодированный с

помощью Base64, с помощью утилиты gsk5ikm.

11. Выделите только что созданный вами самоподписанный сертификат.

12. Щелкните по Extract Certificate (Извлечь сертификат).



14. Введите имя файла сертификата для только что извлеченного сертификата. В

качестве расширения файлов сертификата обычно используется .arm.

15. Укажите каталог, в котором вы хотите сохранить извлеченный сертификат, и

щелкните по ОК.

16. Скопируйте этот извлеченный сертификат на компьютер-сервер LDAP.

После создания сертификата клиента и его и добавления в файл базы данных ключей

клиента сертификатор, который создал сертификат клиента, должен распознаваться

сервером LDAP как сертификат подписавшего (ключ-гарант).

Добавление сертификата подписавшего

Этот шаг должен выполняться на сервере LDAP.

Чтобы добавить сертификат подписавшего после создания файла базы данных

ключей, выполните следующее:


v Если вы используете для клиента самоподписанный сертификат, вы должны

обязательно скопировать сертификат, который вы извлекли из файла базы

данных ключей в разделе “Создание и извлечение самоподписанного

сертификата” на стр. 184, на компьютер-сервер.Если этот файл еще не

скопирован, сделайте это сейчас и пропустите следующие шаги.

v Если сертификат клиента создан сертификатором, добавьте сертификат

сертификатора в качестве доверенной подписавшей стороны (ключа-гаранта),

как описано ниже. 2. Щелкните по разделу Signer Certificates (Сертификаты подписавшего) файла

базы данных ключей CMS клиента.

3. Щелкните по Add (Добавить).





5. Укажите имя файла сертификата и его местонахождение. В качестве расширения

файлов сертификата обычно используется .arm.


7. Введите метку сертификата подписавшего, который вы добавляете. Например, в

качестве метки можно использовать имя компьютера-клиента LDAP или имя

сертификатора, сгенерировавшего сертификат клиента.

8. Щелкните по ОК. Самоподписанный сертификат появится в базе данных ключей

клиента в качестве сертификата подписавшего.

9. Выделите только что добавленный сертификат подписавшего и щелкните по

View/Edit (Просмотр/Правка).

10. Убедитесь, что выбрана опция Set the certificate as a trust root (Использовать

сертификат в качестве ключа-гаранта), чтобы этот сертификат был помечен как

ключ-гарант.

Если сертификат клиента LDAP сгенерирован обычным сертификатором,

убедитесь, что этот сертификатор показан в списке в качестве сертификата

подписавшего и помечен как ключ-гарант. Если это не так, добавьте сертификат

сертификатора в качестве сертификата подписавшего и укажите, что он является

ключом-гарантом.

Теперь сервер сможет установить сеанс SSL с клиентом LDAP.

11. Перейдите к разделу “Проверка доступа SSL”.

Проверка доступа SSL

После того как сервер LDAP распознает сертификатора, выдавшего личный

сертификат клиента, протестируйте связь SSL, введя на клиенте LDAP следующую

команду:

ldapsearch -h имя_сервера -Z -K файл_ключей_клиента -P пароль_ключей -N \

метка_клиента -b "" -s base objectclass=*




файл_ключей_клиента Полный путь сгенерированной цепи ключей клиента.


метка_клиента Метка, связанная с ключом (если она есть). Это поле

- необязательное; оно требуется, только если сервер

LDAP сконфигурирован для аутентификации и

сервера, и клиента.

Команда ldapsearch возвратит информацию о базе LDAP, включая суффиксы на

сервере LDAP. Обратите внимание на то, что параметр –N задает метку, указанную

при добавлении личного сертификата клиента в файл базы данных ключей клиента.

Примечание: Не указывайте метку сертификата подписавшего для сервера LDAP.

Опция –N указывает инструментарию GSKit, какой сертификат клиента

следует посылать на сервер по запросу. Если никакая метка не указана,

то, когда сервер запросит сертификат клиента, на сервер будет

отправлен личный сертификат по умолчанию.

На этом настройка связи SSL завершена.



Как включить поддержку SSL для Domino

Рекомендуется включать связь Secure Sockets Layer (SSL) между сервером Lotus

Domino и клиентами IBM Directory, которые поддерживают программу Tivoli Access

Manager.

В этой главе содержатся следующие разделы:

1. “Создание файла цепи ключей SSL”

2. “Как включить поддержку доступа SSL”

3. “Создание пользователя-администратора Tivoli Access Manager для Domino” на

стр. 42

Создание файла цепи ключей SSL

Чтобы обеспечить поддержку связи SSL на сервере Domino, нужно создать файл цепи

ключей сервера Domino, содержащий цифровой сертификат стороны сервера. Для

этого сделайте следующее:

1. Запустите клиент Notes на сервере Domino и выберите File → Database → Open

(Файл → База данных → Открыть). Откройте базу данных Server Certificate

Admin (Управление сертификатами сервера) на сервере Domino.

Примечание: На компьютере клиента Notes нужно установить клиент Domino

Designer.

2. В зависимости от среды, выполните одно из следующих действий:

v Создайте цепь ключей SSL и добавьте в нее сертификаты

Выполните опции Create Key Ring (Создать Цепь Ключей), Create Certificate

Request (Создать запрос о выдаче сертификата), Install Root Certificate

(Установить сертификат ключа-гаранта) и Install Certificate into Key Ring

(Установить сертификат в цепь ключей).

v Создайте цепь ключей с самоподписанным сертификатом для проверки

Дважды щелкните по опции Create Key Ring with Self-Certified Certificate

(Создать цепь ключей с самоподписанным сертификатом). Заполните поле имени

файла цепи ключей и остальные обязательные поля. Щелкните по кнопке Create

Key Ring with Self-Certified Certificate (Создать цепь ключей с самоподписанным

сертификатом), чтобы закончить процедуру.

Скопируйте файл цепи ключей и файл хранения в следующий каталог сервера

Domino:

\Lotus\Domino\Data


Domino поддерживает только аутентификацию стороны клиента. Чтобы включить

SSL, сделайте следующее:

1. Запустите клиент Domino Administrator и выберите вкладку Конфигурация.

2. Выберите опцию All Server Documents (Все документы сервера) в категории

Server (Сервер) в левой части окна графического пользовательского интерфейса.

Откройте документ сервера, в котором вы хотите сконфигурировать LDAP.

3. Щелкните по Edit Server (Изменить Сервер), чтобы подготовить обновление

конфигурации сервера.

4. Выберите вкладку Ports (Порты) в документе сервера.



5. Выберите вкладку Internet Ports (Порты Интернета) и введите имя файла цепи

ключей сервера Domino, созданного в разделе “Создание файла цепи ключей SSL”

на стр. 187. В блоке Accept SSL Site Certificates (Принять сертификаты SSL-сайта)

выберите Yes (Да).

6. Выберите вкладку Directory (Каталог), чтобы обновить конфигурацию LDAP, а

затем выберите Enabled (Включить) в блоке SSL Port Status (Состояние Порта

SSL). Обязательно укажите следующие параметры:

v Выберите No (Нет) для опции Client Certificate (Сертификат клиента).

v Выберите Yes (Да) для опции Name & Password (Имя и пароль).

v Выберите Yes (Да) или No (Нет) для опции Anonymous (Анонимный).7. Щелкните по OK, чтобы обновить документ сервера. На этом настройка SSL

LDAP закончена.

Если сертификат сервера Domino выдан не доверенным сертификатором сервера

Domino по умолчанию, нужно зарегистрировать этого сертификатора в файле цепи

ключей сервера Domino. Для этого сделайте следующее:

1. Выделите документ сервера и откройте выпадающее меню Registration

(Регистрация), которое находится справа.

2. В этом выпадающем меню выберите Internet Certifier (Интернет-сертификатор).

3. Найдите файл цепи ключей сервера Domino и щелкните по Open (Открыть), чтобы

закончить процедуру регистрации Интернет-cертификаторов.

4. Чтобы проверить эту регистрацию, выберите меню People & Groups (Люди и

группы) и щелкните по вкладке Certificates (Сертификаты), чтобы убедиться в

том, что новый сертификатор сервера Domino появился в списке Internet Certifiers

(Интернет-сертификаторы).

5. Сохраните документ сервера.

6. Из консоли сервера Domino перезагрузите сервер LDAP, введя следующие

команды:

tell ldap quit

load ldap



Приложение B. Справочник по конфигурированию Tivoli

Access Manager

В этом приложении содержатся следующие разделы:

v “Параметры конфигурации собственной программы установки в UNIX”

v “Параметры конфигурации собственной программы установки в Windows” на стр.

192

Параметры конфигурации собственной программы установки в

UNIX

В этом разделе приводится информация о конфигурации, которая понадобится вам

при установке с помощью собственной программы установки. Рекомендуется

выяснить эти значения до того, как вас попросят их ввести в ходе установки. Если вы

собираетесь включить Secure Sockets Layer (SSL), то вам будет предоставлена

возможность задать соответствующие параметры конфигурации.

Обратите внимание на то, что информация о конфигурации Policy Server

используется и для конфигурирования других компонентов Tivoli Access Manager.


В ходе конфигурирования среды выполнения Tivoli Access Manager в системах AIX,

HP-UX, Linux и Solaris у вас запросят следующую информацию:

v Выбор реестра — Выберите тип реестра, который вы сконфигурировали для Tivoli

Access Manager. Учтите, что единственное поддерживаемое значение - Реестр

LDAP.v Имя хоста сервера LDAP — Задает полное имя хоста сервера LDAP. Например:

ldapserver.tivoli.com

v Порт сервера LDAP — Задает номер порта приема для сервера LDAP. Номер порта

по умолчанию - 389.

Если сервер политики (Tivoli Access Manager Policy Server) установлен не на одном

компьютере со средой выполнения Tivoli Access Manager, то у вас запросят

следующую информацию:

v Имя хоста Policy Server — Задает полное имя хоста Policy Server. Например:

pdmgr.tivoli.com

v Порт приема SSL для Policy Server — Задает номер порта, на котором Policy Server

принимает запросы SSL. Номер порта по умолчанию - 7135.


В ходе конфигурирования сервера политики (Policy Server) в системах AIX, HP-UX,

Linux on zSeries и Solaris у вас запросят следующую информацию:

v ID администратора LDAP (DN) — Задает имя-идентификатор администратора

LDAP. Имя по умолчанию - cn=root.

v Пароль администратора LDAP — Задает пароль администратора LDAP.

v Включить связь SSL между Access Manager Policy Server и сервером LDAP —

Определяет, нужно ли включать связь SSL (yes (да) или no (нет)). Если вы введете

yes, то у вас запросят следующую информацию:


– Местонахождение файла ключей клиента SSL LDAP — Задает полный путь

файла базы данных ключей LDAP клиента на сервере Policy Server. Чтобы

обеспечить поддержку SSL между Policy Server и сервером LDAP, на

компакт-диске Tivoli Access Manager Base поставляется следующий пример

файла ключей (только для оценки):

/common/pd_ldapkey.kdb

Этот файл не предназначен для использования в производственной среде.

Чтобы узнать, как получить свой собственный сертификат, смотрите

информацию о создании файла базы данных ключей и о сертификатах в разделе

Приложение A, “Как включить Secure Sockets Layer”, на стр. 165.

– Метка сертификата клиента SSL (если это необходимо) — Задает в файле базы

данных ключей LDAP клиента метку сертификата клиента, который нужно

послать серверу. Эта метка требуется, если сервер сконфигурирован так, что для

установления SSL необходима аутентификация клиента, или если вы хотите

использовать какой-либо сертификат помимо сертификата по умолчанию в

файле ключей. Если вы используете сценарий ezinstall_ldap_server и файл

ключей, установленный по умолчанию (pd_ldapkey.kdb), то метку нужно

оставить пустой. Как правило, для сервера LDAP нужны лишь сертификаты

стороны сервера, которые были заданы в ходе создания файла .kbd клиента.

Кроме того, если метка файла ключей клиента SSL не требуется, оставьте при

конфигурировании сервера политики это поле пустым.

– Пароль файла ключа SSL LDAP — Задает пароль файла базы данных ключей

LDAP клиента. Пароль по умолчанию для файла pd_ldapkey.kdb, прилагаемого

к простой установке - gsk4ikm. Эти значения по умолчанию можно

использовать в случае, если вы устанавливаете и конфигурируете IBM Directory

Server с помощью сценария ezinstall_ldap_server. Если вы решите изменить

этот пароль с помощью утилиты gsk5ikm, то вам придется вспомнить этот

пароль по умолчанию.

– Порт SSL сервера LDAP — Задает номер порта приема запросов SSL для

сервера LDAP. Номер порта по умолчанию - 636.v DN LDAP для базы данных GSO — Задает имя-идентификатор, указывающее, в

каком месте дереве каталогов сервера LDAP находится база данных единой

регистрации (Global Signon - GSO). Например:

o=tivoli,c=us

Дополнительные сведения о суффиксе GSO приведены в разделе “Обзор

конфигурирования сервера LDAP” на стр. 19

v Пароль администратора Access Manager — Задает пароль, связанный с ID главного

администратора (sec_master). Вас попросят повторно ввести этот пароль для


v Порт сервера SSL для Access Manager Policy Server — Задает номер порта

запросов SSL, для Policy Server. Номер порта по умолчанию - 7135.

v Срок действия сертификата SSL Policy Server — Задает срок действия файла

сертификата SSL (в днях). Значение по умолчанию - 365 дней.

v Включить загрузку сертификатов — Укажите yes, чтобы включить автоматическую

загрузку файла сертификатора для связи SSL. Независимо от того, что вы укажете:

yes (да) или no (нет), файл сертификатора SSL будет помещен в каталог


Если вы укажете no, вы должны будете скопировать файл pdcacert.b64 на каждый

компьютер с Tivoli Access Manager Runtime Environment в вашем защищенном

домене.



Server)

В ходе конфигурирования сервера авторизации (Authorization Server) в системах AIX,

HP-UX, Linux on zSeries и Solaris у вас запросят следующую информацию:



v Пароль администратора LDAP — Задает пароль администратора LDAP.

v Включить связь SSL между Access Manager Policy Server и сервером LDAP —

Определяет, нужно ли включать связь SSL (yes (да) или no (нет)). Если вы введете

yes, то у вас запросят следующую информацию:

– Местонахождение файла ключей клиента SSL LDAP — Задает полный путь

файла базы данных ключей LDAP клиента на сервере Policy Server. Чтобы

обеспечить поддержку SSL между Policy Server и сервером LDAP, на

компакт-диске Tivoli Access Manager Base поставляется следующий пример

файла ключей (только для оценки):

/common/pd_ldapkey.kdb

Этот файл не предназначен для использования в производственной среде.

Чтобы узнать, как получить свой собственный сертификат, смотрите

информацию о создании файла базы данных ключей и о сертификатах в разделе

Приложение A, “Как включить Secure Sockets Layer”, на стр. 165.



послать серверу. Эта метка требуется, если сервер сконфигурирован так, что для

установления SSL необходима аутентификация клиента, или если вы хотите



ключей по умолчанию (pd_ldapkey.kdb), то в качестве метки при

конфигурирования сервера LDAP следует использовать PDLDAP. Как правило,

для сервера LDAP нужны лишь сертификаты стороны сервера, которые были

заданы в ходе создания файла .kbd клиента.

Примечание: Если метка файла ключей клиента SSL не требуется, оставьте при

конфигурировании Authorization Server это поле пустым.

– Пароль файла ключа SSL LDAP — Задает пароль файла базы данных ключей

LDAP клиента. Пароль по умолчанию для файла pd_ldapkey.kdb, прилагаемого

к простой установке - gsk4ikm. Эти значения по умолчанию можно

использовать в случае, если вы устанавливаете и конфигурируете IBM Directory

Server с помощью сценария ezinstall_ldap_server. Если вы решите изменить

этот пароль с помощью утилиты gsk5ikm, то вам придется вспомнить этот

пароль по умолчанию.


сервера LDAP. Номер порта по умолчанию - 636.v Пароль администратора Access Manager — Задает пароль, связанный с ID главного

администратора (sec_master).

Приложение B. Справочник по конфигурированию Tivoli Access Manager 191

Параметры конфигурации собственной программы установки в

Windows

В этом разделе приводится информация о конфигурации, которая понадобится вам

при установке с помощью собственной программы установки. Рекомендуется

выяснить эти значения до того, как вас попросят их ввести в ходе установки. Если вы

собираетесь включить Secure Sockets Layer (SSL), то вам будет предоставлена

возможность задать соответствующие параметры конфигурации.

Обратите внимание на то, что информация о конфигурации Policy Server

используется и для конфигурирования других компонентов Tivoli Access Manager.

Параметры конфигурации компонентов GSKit, IBM Directory Client, ADK и Web Portal

Manager программа запрашивать не будет.


В ходе конфигурирования среды выполнения Tivoli Access Manager у вас запросят


v Выбор реестра — Выберите тип реестра, который вы сконфигурировали для Tivoli

Access Manager. Возможны следующие варианты:

– Реестр LDAP (смотрите раздел “Реестр LDAP”)

– Active Directory (смотрите раздел “Active Directory” на стр. 193)

– Domino (смотрите раздел “Lotus Domino” на стр. 194)

Реестр LDAP

В ходе конфигурирования среды выполнения Tivoli Access Manager в Windows у вас

запросят следующую информацию:

v Имя хоста сервера LDAP — Задает полное имя хоста сервера LDAP. Например:

ldapserver.tivoli.com

v Порт сервера LDAP — Задает номер порта приема для сервера LDAP. Номер порта

по умолчанию - 389.

v DN LDAP для базы данных GSO — Задает имя-идентификатор, указывающее, в

каком месте дереве каталогов сервера LDAP находится база данных единой

регистрации (Global Signon - GSO). Например:

o=tivoli,c=us

Дополнительные сведения о суффиксе GSO приведены в разделе “Обзор

конфигурирования сервера LDAP” на стр. 19

v Включить SSL между Tivoli Access Manager и LDAP — Указывает, следует ли

включить связь SSL (да или нет). Если вы введете yes, то у вас запросят


– Файл ключей клиента SSL LDAP — Задает полный путь файла базы данных

ключей LDAP клиента на компьютере-клиенте.

Если вы хотите включить связь SSL между сервером LDAP и клиентами IBM

Directory, поддерживающими программные средства Tivoli Access Manager, вы

должны будете вручную скопировать файл C:\keytabs\pd_ldapkey.kdb с

сервера LDAP в каталог на компьютере-клиенте.



послать на сервер. Эта метка требуется, если сервер сконфигурирован так, что

для установления SSL необходима аутентификация клиента, или если вы хотите




ключей по умолчанию (pd_ldapkey.kdb), то в качестве метки при

конфигурирования сервера LDAP следует использовать PDLDAP. Как правило,

для сервера LDAP нужны лишь сертификаты стороны сервера, которые были

заданы в ходе создания файла .kbd клиента.

Примечание: Если метка файла ключей клиента SSL не требуется, то при

конфигурировании среды выполнения это поле можно оставить

пустым.

– Пароль файла ключей SSL — Задает пароль файла базы данных ключей LDAP

клиента. Пароль по умолчанию для файла pd_ldapkey.kdb, прилагаемого к

простой установке - gsk4ikm. Эти значения по умолчанию можно использовать

в случае, если вы устанавливаете и конфигурируете IBM Directory Server с

помощью сценария ezinstall_ldap_server. Если вы решите изменить этот

пароль с помощью утилиты gsk5ikm, то вам придется вспомнить этот пароль по

умолчанию.


сервера LDAP. Номер порта по умолчанию - 636.v Каталог установки — Указывает каталог, в который устанавливается Tivoli Access

Manager.

Если сервер политики (Tivoli Access Manager Policy Server) установлен не на одном

компьютере со средой выполнения (Tivoli Access Manager Runtime), то у вас запросят


v Имя хоста Policy Server — Задает полное имя хоста Policy Server. Например:

pdmgr.tivoli.com

v Порт сервера SSL — Задает номер порта приема запросов SSL для Policy Server.


v Имя файла сертификата CA Tivoli Access Manager — Если вы в процессе

конфигурирования Tivoli Access Manager Policy Server задали автоматическую

загрузку файла сертификата CA, оставьте этот параметр пустым. При

конфигурировании среды выполнения Tivoli Access Manager этот параметр

подставится автоматически.

Если вы не включили автоматическую загрузку файла сертификата CA, то вы

должны получить сертификат SSL с компьютера-сервера политики. Для этого с

помощью программы передачи файлов (например, ftp) скопируйте файл в

выбранный вами каталог. На компьютере-сервер политики файл сертификата

находится в следующем файле:


Этот файл нужно скопировать после установки компонента среды выполнения, но

до его конфигурирования.

Active Directory

Если в качестве реестра вы решили использовать Active Directory, то вас попросят

указать следующую информацию:

v Несколько доменов — Выберите Да, если хотите использовать несколько доменов,

или Нет, если собираетесь сконфигурировать один домен.

– Если вы выберете Да, чтобы использовать несколько доменов, у вас запросят

следующую информацию о конфигурации:

- Включить шифрованное соединение — Указывает, хотите ли вы включить

поддержку протокола Kerberos в качестве механизма шифрования для


защищенного соединения с сервером AD. Этот шаг во время

конфигурирования выполнять необязательно. Выберите Да, чтобы включить

поддержку Kerberos.– Если для опции Несколько доменов вы выбрали Нет, вас попросят указать

следующее:

- Имя хоста — Задает имя сервера контроллера домена Active Directory.

Например:

adserver.tivoli.com

- Имя домена — Задает имя домена. Например:

dc=adpd,dc=com

- Включить шифрованное соединение — Указывает, хотите ли вы включить

поддержку протокола Kerberos в качестве механизма шифрования для

защищенного соединения с сервером AD. Этот шаг во время

конфигурирования выполнять необязательно. Выберите Да, чтобы включить

поддержку Kerberos.v Прочая информация для Active Directory — Введите ID администратора и пароль,

которые вы задали в разделе “Создание администратора Active Directory” на стр.

40, и щелкните по Далее.


– Если для опции Несколько доменов вы указали Нет, появится окно Информация

о данных Active Directory. Введите имя-идентификатор, указывающее, где вы

хотите хранить данные Tivoli Access Manager. Например,

dc=wsm,dc=com

– Если в качестве реестра вы используете Active Directory, файл activedir.conf

создается в следующем каталоге:

%КАТАЛОГ_УСТАНОВКИ_PD%\etc

где КАТАЛОГ_УСТАНОВКИ_PD - каталог, в котором установлен Tivoli

Access Manager.Каталог по умолчанию - C:\Program Files\Tivoli\Policy

Director.

Lotus Domino

Если в качестве реестра вы решили использовать Domino, то вас попросят указать


v Полное имя сервера Domino — Полное имя сервера Domino. Например:

Domino/tivoli

v Имя хоста TCP/IP сервера Domino — Имя хоста TCP/IP сервера Domino.

Например:

domino.tivoli.com

v Порт сервера LDAP Domino — Задает номер порта сервера LDAP, на котором

сервер Domino будет принимать сообщения. Если вы собираетесь включить SSL,

номер порта - 636. Для соединений не-SSL номер порта по умолчанию - 389.

v Включить связь SSL с сервером Domino — Выберите Да, чтобы включить

аутентификацию клиента SSL при соединении с сервером Domino, или Нет. Этот

шаг во время установки выполнять необязательно. Если при установке Domino вы

установили сертификат клиента, выберите Да. Дополнительную информацию о

том, как включить поддержку связи SSL, смотрите в разделе Приложение A, “Как

включить Secure Sockets Layer”, на стр. 165.

Если вы выберете Да, у вас запросят следующую информацию о конфигурации:

– Номер порта — Задает номер порта SSL. Номер порта по умолчанию - 636.


– Имя и полный путь файла ключей — Задает файл ключей клиента, созданный

вами при включении поддержки SSL. Когда вас попросят указать файл ключей

сервера Domino, введите имя файла базы данных ключей клиента LDAP.

Например:

d:\cert\dominoc.kdb

– Метка сертификата — Задает метку сертификата клиента SSL. В этом поле вы

должны ввести один любой символ. Поскольку вам не нужно настраивать

аутентификацию с использованием сертификата стороны клиента, программа

проигнорирует введенный вами символ.

– Пароль файла ключей — Задает пароль, связанный с файлом ключей.v Пароль клиента Notes — Задает пароль клиента Notes для получения доступа к базе

данных Domino.

v Имя базы данных с метаданными Tivoli Access Manager — Задает имя базы

данных, связанное с данными Tivoli Access Manager. Например:

PDdata.nsf


В ходе конфигурирования Policy Server в системе Windows у вас запросят следующую

информацию:



v Пароль администратора LDAP — Задает пароль, связанный с ID администратора

LDAP.

v Пароль мастера защиты — Задает пароль, связанный с ID главного

администратора, sec_master.

v Порт сервера SSL для Policy Server — Задает номер порта запросов SSL, для Policy

Server. Номер порта по умолчанию - 7135.

v Срок действия сертификата SSL Policy Server — Задает срок действия файла

сертификата SSL (в днях). Значение по умолчанию - 365 дней.

v Включить загрузку сертификатов — Укажите yes, чтобы включить автоматическую

загрузку файла сертификатора SSL. Независимо от того, что вы укажете: yes (да)

или no (нет), файл сертификатора SSL будет помещен в каталог

каталог_установки/keytab/pdcacert.b64

Если вы укажете no, вы должны будете скопировать файл pdcacert.b64 на каждый

компьютер-клиент с Tivoli Access Manager Runtime Environment.


Server)

В ходе конфигурирования сервера авторизации (Authorization Server) в системе

Windows у вас запросят следующую информацию:



v Пароль администратора LDAP — Задает пароль, связанный с ID администратора

LDAP.

v Пароль мастера защиты — Задает пароль, связанный с ID главного

администратора, sec_master.


Порты по умолчанию

Номера портов по умолчанию:

v Порт не-SSL сервера LDAP: 389

v Порт SSL сервера LDAP: 636

v Порт SSL Policy Server: 7135

v Порт SSL WebSphere Application Server: 443


Приложение C. Справочник по конфигурированию LDAP в

OS/390 и z/OS

В это приложение включены следующие примеры:

v “Пример конфигурирования LDAP”

v “Пример базы данных DB2 и сценария табличного пространства для SPUFI” на

стр. 198

v “Пример сценария индекса DB2 для SPUFI” на стр. 204

v “Пример пакетного задания привязки CLI” на стр. 206

v “Пример файла инициализации CLI” на стр. 207

Используйте эти примеры в ходе конфигурирования так, как это описано в разделе

“Конфигурирование серверов защиты z/OS и OS/390” на стр. 31

Пример конфигурирования LDAP

########################################################################

## Значения параметров, содержащиеся в этом файле конфигурации, могут

## представлять собой общие значения, приведенные в примере файлов установки

## DB2. Убедитесь, что вы используете значения, которые действительно нужно

## использовать для установки продукта.

########################################################################

########################################################################

##Глобальные определения

########################################################################

adminDN "cn=root"

adminPW password1

########################################################################

## Директивы port и securePort устарели; теперь используется listen

########################################################################

listen ldap://:389

listen ldaps://:636

########################################################################

## Определения базы данных tdbm

########################################################################

database tdbm GLDBTDBM

servername LOC1

dbuserid LDAPSRV

databaseName LDAPR10

dsnaoini SUADMIN.DSNAOINI.DB2INI

suffix "o=ibm,c=us"

suffix "secAuthority=Default"

AttrOverflowSize 80

########################################################################

## Собственная (SAF) аутентификация TDBM

########################################################################

useNativeAuth SELECTED

nativeAuthSubtree "o=ibm,c=us"

nativeUpdateAllowed YES

########################################################################

##Определения SSL

########################################################################

sslAuth serverAuth

sslKeyRingFile "/usr/lpp/ldap/etc/ldapserver.kdb"

sslKeyRingPWStashFile "usr/lpp/ldap/etc/ldapserver.sth"

sslCertificate ldapcert

sslCipherSpecs 15104

########################################################################


##Определения реплик

########################################################################

masterServer "ldap://jeff.endicott.ibm.com:3389"

masterServerDN cn=master

masterServerPW password1

Пример базы данных DB2 и сценария табличного пространства для

SPUFI

--*********************************************************************/

--* Этот файл содержит пример кода. IBM ПРЕДОСТАВЛЯЕТ ЭТОТ КОД ’КАК */

--* ЕСТЬ’, БЕЗО ВСЯКИХ ГАРАНТИЙ, КАК ЯВНЫХ, ТАК И ПОДРАЗУМЕВАЕМЫХ, */

--* ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ */

--* КОММЕРЧЕСКОГО ИСПОЛЬЗОВАНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ КАКИХ-ЛИБО ЦЕЛЕЙ. */

--*********************************************************************/

-- Используйте приведенные ниже операторы для создания базы данных DB2

-- сервера LDAP и табличных областей в SPUFI. Имена созданных вами базы

-- данных и табличных пространств, которые вы создадите, будут

-- использоваться для обновления раздела базы данных в файле конфигурации

-- сервера LDAP. Вы также должны принять решения относительно таких

-- параметров DB2, как размер пула буферов табличных пространств и

-- размер столбцов; все это непосредственно связано с данными, которые

-- будут храниться в базе данных. Дополнительную информацию смотрите в

-- приведенных ниже инструкциях.

--

-- *************************

-- Имя базы данных

-- *************************

-- Вместо LDAPR10 подставьте имя базы данных LDAP, которую вы хотите создать.

-- Убедитесь в том, что это имя совпадает с именем базы данных, указанным в

-- файле конфигурации сервера.

--

-- **************************

-- Информация о владельце базы данных

-- **************************

-- Вместо LDAPSRV подставьте ID владельца базы данных MVS. Этот ID будет

-- спецификатором высокого уровня для таблиц.

--

-- **********************

-- Информация о табличном пространстве

-- **********************

--

-- *********************************************************************

-- ПРИМЕЧАНИЕ: Полный список допустимых имен пулов буферов смотрите в

-- руководствах по DB2.

-- *********************************************************************

--

-- Вместо ENTRYTS подставьте имя табличного пространства записи LDAP,

-- которое вы хотите создать.

--

-- Вместо BP0 подставьте имя пула буферов для табличного пространства

-- записи LDAP.

-- Размер пула буферов можно определить по формуле:

--

-- результат = 62 байта + <размер усеченного столбца DN (см. ниже)>

-- + <максимальный полный размер DN (смотрите ниже)> +

-- <размер данных записи (в этот размер входят DN создающего

- запись и DN модификаторов)>

--

-- Существует также концепция "перетекающей" таблицы, согласно которой

-- в случае, если данные записи не умещаются в строке, они разбиваются

-- в соответствии с длиной строки. При необходимости данные записи можно

-- разбить на несколько строк. Таким образом, в вышеприведенной формуле

-- <размер данных записи> необязательно должен быть максимальным

Справочник по конфигурированию LDAP в OS/390 и z/OS


-- размером данных; возможно, лучше выбрать некий средний размер.

-- Смотрите ниже описание табличного пространства длинных записей.

--

-- Предлагаемый размер по умолчанию - 4 Кб.

--

-- Вместо LENTRYTS подставьте имя табличного пространства длинной записи

-- LDAP, которое вы хотите создать.

--


-- длинных записей LDAP. Табличное пространство длинных записей

-- будет содержать "перетекающие" строки для данных записей, которые

-- не умещаются в табличном пространстве таблицы записей.

-- Чтобы свести количество перетекающих строк к минимуму, выберите

-- большой размер пула буферов.

--


--

-- Вместо LATTRTS подставьте имя табличного пространства длинных записей


--


-- длинных атрибутов LDAP. Табличное пространство длинных атрибутов

-- будет содержать "перетекающие" строки для данных атрибутов, которые

-- не умещаются в табличном пространстве таблицы записей.

-- Чтобы свести количество перетекающих строк к минимуму, выберите

-- большой размер пула буферов.

--


--

-- Вместо MISCTS подставьте имя табличного пространства смешанных элементов


--

-- Вместо DESCTS подставьте имя табличного пространства потомков LDAP,


--

-- Вместо SEARCHTS подставьте имя табличного пространства поиска LDAP,


--


-- поиска LDAP.

-- Размер пула буферов можно определить по простой формуле:

--

-- результат = 16 байт + <размер усеченного столбца поиска (см. ниже)> +

-- <максимальный размер значения атрибута, который нужно найти>

--

-- Результат представляет собой максимальную длину (в байтах) строки,

-- содержащей значение атрибута, в таблице поиска. Выберите размер пула

-- буферов, соответствующий этому размеру.

--


--

-- Вместо REPTS введите имя табличного пространства реплики LDAP, которую вы

-- хотите создать.

--

-- *********************************

-- Информация для выбора размера столбца

-- *********************************

-- Все атрибуты записи, по которым можно вести поиск, будут храниться

-- в двух формах.

-- Первая форма - это усеченный вариант, который будет использоваться

-- как часть индекса DB2. Вторая форма - это значение всего атрибута,

-- который, возможно, будет усечен в связи с выбранным вами размером пула

-- буферов. Причина сохранения в двух формах состоит в том, что LDAP/DB2

-- может использовать индексы для повышения эффективности поиска. Мы не

-- индексируем полное значение атрибута, используемого для поиска, из-за

-- затрат (в терминах DASD), связанных с необходимостью размещать

-- индексы в большом столбце, в котором хранится большой объем данных.


Приложение C. Справочник по конфигурированию LDAP в OS/390 и z/OS 199

--

-- При выборе размера для усечения столбца поиска должны учитываться

-- возможные системные ограничения (смотрите выше) и типичный размер

-- значений атрибутов, хранящихся в LDAP. Так, если длина ваших данных

-- в основном составляет 20 байт, разумным шагом с вашей стороны будет

-- выбрать в качестве размера для этого усечения значение 20.

--

-- Вместо значения 32 подставьте значение размера усеченного столбца

-- поиска, которое, с вашей точки зрения, лучше всего соответствует

-- размеру данных атрибутов.

--

-- Предлагаемый размер по умолчанию - 32.

--

-- Еще один способ повысить эффективность поиска связан с атрибутом DN.

-- Значение атрибута DN хранится отдельно от данных записи, чтобы можно

-- было быстро найти путь. Оно также хранится в двух вариантах. Причины

-- этого аналогичны тем, о которых говорилось выше при описании столбца

-- атрибута.

-- Поскольку данные DN хранятся в собственном столбце, вы должны

-- задать здесь размер максимального значения атрибута DN. Кроме

-- того, нужно выбрать размер усеченного столбца DN, который лучше

-- всего соответствует вашим данным.

--

-- Вместо 32 подставьте значение усеченного размера DN, которое, с

-- вашей точки зрения, лучше всего соответствует размеру данных DN.

--


--

-- Вместо 512 подставьте значение максимального размера DN. Этот размер

-- включает в себя нулевое окончание, так что реальная максимальная

-- длина DN будет на единицу меньше этого значения.

--


--

--

-- *************************

-- Информация о группе хранения

-- *************************

-- Вместо SYSDEFLT подставьте имя группы хранения, которая будет содержать

-- табличные пространства DB2 LDAP. SYSDEFLT используется для обозначения

-- группы хранения по умолчанию.

-- ПРИМЕЧАНИЕ: Значения для PRIQTY и SECQTY, представленные ниже, возможно,

-- придется изменить в зависимости от предполагаемого размера сохраняемой

-- информации каталога.

--

-- ***************************************************************************

-- Приведенные ниже операторы позволяют удалить базу данных DB2 сервера LDAP

-- и табличные пространства в SPUFI. Перед тем, как выполнять эти операторы,

-- удалите символы ’--’ из каждой строки.

-- Вместо ENTRYTS подставьте имя табличного пространства записей LDAP, которое вы

-- хотите удалить.

-- Вместо LENTRYTS подставьте имя табличного пространства длинных записей LDAP,

-- которое вы хотите удалить.

-- Вместо LATTRTS подставьте имя табличного пространства длинных атрибутов LDAP,


-- Вместо MISCTS подставьте имя табличного пространства смешанных элементов LDAP,


-- Вместо SEARCHTS подставьте имя табличного пространства поиска LDAP, которое вы


-- Вместо REPTS подставьте имя табличного пространства реплик LDAP, которое вы


-- Вместо DESCTS подставьте имя табличного пространства потомков LDAP, которое вы


-- Вместо LDAPR10 подставьте имя базы данных LDAP, которую вы хотите удалить.

-- ***************************************************************************



--DROP TABLESPACE LDAPR10.ENTRYTS;

--DROP TABLESPACE LDAPR10.LENTRYTS;

--DROP TABLESPACE LDAPR10.LATTRTS;

--DROP TABLESPACE LDAPR10.MISCTS;

--DROP TABLESPACE LDAPR10.SEARCHTS;

--DROP TABLESPACE LDAPR10.REPTS;

--DROP TABLESPACE LDAPR10.DESCTS;

--DROP DATABASE LDAPR10;

--COMMIT;

-- ************************

-- Создать базу данных LDAP

-- ************************

CREATE DATABASE LDAPR10 STOGROUP SYSDEFLT;

-- ********************************

-- Создать табличное пространство записей LDAP

-- ********************************

CREATE TABLESPACE ENTRYTS IN LDAPR10

USING STOGROUP SYSDEFLT

BUFFERPOOL BP0;

-- *************************************

-- Создать табличное пространство LDAP для длинных записей

-- *************************************

CREATE TABLESPACE LENTRYTS IN LDAPR10


BUFFERPOOL BP0;

-- ************************************

-- Создать табличное пространство LDAP для длинных атрибутов

-- ************************************

CREATE TABLESPACE LATTRTS IN LDAPR10


BUFFERPOOL BP0;

-- *****************************

-- Создать табличное пространство LDAP размером 4 Кб

-- *****************************

CREATE TABLESPACE MISCTS IN LDAPR10

SEGSIZE 4


BUFFERPOOL BP0;

-- *********************************

-- Создать табличное пространство LDAP для поиска

-- *********************************

CREATE TABLESPACE SEARCHTS IN LDAPR10


BUFFERPOOL BP0;

-- *********************************

-- Создать табличное пространство реплик LDAP

-- *********************************

CREATE TABLESPACE REPTS IN LDAPR10


BUFFERPOOL BP0;

-- *****************************

-- Создать табличное пространство потомков LDAP

-- *****************************

CREATE TABLESPACE DESCTS IN LDAPR10


BUFFERPOOL BP0;

-- *********************

-- Создать таблицы DB2



-- *********************

-- **************************

-- Создать таблицу DIR_ENTRY

-- **************************

CREATE TABLE LDAPSRV.DIR_ENTRY (

EID DECIMAL(15 , 0) NOT NULL,

PEID DECIMAL(15 , 0),

ENTRY_SIZE INTEGER,

LEVEL INTEGER,

ACLSRC DECIMAL(15 , 0),

ACLPROP CHAR(1),

OWNSRC DECIMAL(15 , 0),

OWNPROP CHAR(1),

CREATE_TIMESTAMP TIMESTAMP,

MODIFY_TIMESTAMP TIMESTAMP,

DN_TRUNC CHAR(32) FOR BIT DATA,

DN VARCHAR(512) FOR BIT DATA,

ENTRYDATA LONG VARCHAR FOR BIT DATA,

PRIMARY KEY( EID ) )

IN LDAPR10.ENTRYTS;

-- ******************************

-- Создать таблицу DIR_LONGENTRY

-- ******************************

CREATE TABLE LDAPSRV.DIR_LONGENTRY (


SEQ INTEGER NOT NULL,

ENTRYDATA LONG VARCHAR FOR BIT DATA,

PRIMARY KEY( EID, SEQ ) )

IN LDAPR10.LENTRYTS;

-- *****************************

-- Создать таблицу DIR_LONGATTR

-- *****************************

CREATE TABLE LDAPSRV.DIR_LONGATTR (


ATTR_ID INTEGER NOT NULL,

VALUENUM INTEGER NOT NULL,


ATTRDATA LONG VARCHAR FOR BIT DATA,

PRIMARY KEY( EID, ATTR_ID, VALUENUM, SEQ ) )

IN LDAPR10.LATTRTS;

-- *****************************

-- Создать таблицу DIR_MISC

-- *****************************

CREATE TABLE LDAPSRV.DIR_MISC (

NEXT_EID DECIMAL(15 , 0),

NEXT_ATTR_ID INTEGER,

DB_VERSION CHAR(10),

DB_CREATE_VERSION CHAR(10) )

IN LDAPR10.MISCTS;

-- **************************

-- Создать таблицу DIR_CACHE

-- **************************

CREATE TABLE LDAPSRV.DIR_CACHE (

CACHE_NAME CHAR(25) NOT NULL,

MODIFY_TIMESTAMP TIMESTAMP NOT NULL,

PRIMARY KEY( CACHE_NAME, MODIFY_TIMESTAMP ) )

IN LDAPR10.MISCTS;

-- ***************************

-- Создать таблицу DIR_ATTRID

-- ***************************

CREATE TABLE LDAPSRV.DIR_ATTRID (



ATTR_ID INTEGER,

ATTR_NOID VARCHAR(200) NOT NULL,

PRIMARY KEY( ATTR_NOID ) )

IN LDAPR10.MISCTS;

-- *************************

-- Создать таблицу DIR_DESC

-- *************************

CREATE TABLE LDAPSRV.DIR_DESC (

DEID DECIMAL(15 , 0) NOT NULL,

AEID DECIMAL(15 , 0) NOT NULL,

PRIMARY KEY( DEID, AEID ) )

IN LDAPR10.DESCTS;

-- ***************************

-- Создать таблицу DIR_SEARCH

-- ***************************

CREATE TABLE LDAPSRV.DIR_SEARCH (


ATTR_ID INTEGER NOT NULL,

VALUE CHAR(32) FOR BIT DATA,

LVALUE LONG VARCHAR FOR BIT DATA )

IN LDAPR10.SEARCHTS;

-- *****************************

-- Создать таблицу DIR_REGISTER

-- *****************************

CREATE TABLE LDAPSRV.DIR_REGISTER (

ID INTEGER NOT NULL,

SRV VARCHAR(125) NOT NULL,

PRIMARY KEY( ID, SRV ) )

IN LDAPR10.MISCTS;

-- *****************************

-- Создать таблицу DIR_PROGRESS

-- *****************************

CREATE TABLE LDAPSRV.DIR_PROGRESS (


PRG VARCHAR(125) NOT NULL,

SRV VARCHAR(125) NOT NULL,

PRIMARY KEY( ID, PRG, SRV ) )

IN LDAPR10.MISCTS;

-- ***************************

-- Создать таблицу DIR_CHANGE

-- ***************************

CREATE TABLE LDAPSRV.DIR_CHANGE (


TYPE INTEGER NOT NULL,

LONGENTRY_SIZE INTEGER,

DIN VARCHAR(512) NOT NULL,

LDIF LONG VARCHAR NOT NULL,

PRIMARY KEY( ID ) )

IN LDAPR10.REPTS;

-- *******************************

-- Создать таблицу DIR_LONGCHANGE

-- *******************************

CREATE TABLE LDAPSRV.DIR_LONGCHANGE (



LDIF LONG VARCHAR,

PRIMARY KEY( ID, SEQ ) )

IN LDAPR10.REPTS;



-- ***********************************

-- Принять все приведенные выше операторы SQL

-- ***********************************

COMMIT;

Пример сценария индекса DB2 для SPUFI

--*********************************************************************/

--* Этот файл содержит пример кода. IBM ПРЕДОСТАВЛЯЕТ ЭТОТ КОД ’КАК */

--* ЕСТЬ’, БЕЗО ВСЯКИХ ГАРАНТИЙ, КАК ЯВНЫХ, ТАК И ПОДРАЗУМЕВАЕМЫХ, */

--* ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ */

--* КОММЕРЧЕСКОГО ИСПОЛЬЗОВАНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ КАКИХ-ЛИБО ЦЕЛЕЙ. */

--*********************************************************************/

--

-- При создании индексов DB2 для сервера LDAP в SPUFI используйте

-- указанные ниже операторы. Дополнительную информацию смотрите

-- в приведенных ниже инструкциях.

--

-- **************************

-- Информация о владельце базы данных

-- **************************

-- Вместо LDAPSRV подставьте ID владельца базы данных MVS. Этот ID

-- будет спецификатором высокого уровня для таблиц. Это значение должно

-- совпадать со значением, выбранным в сценарии SPUFI базы данных

-- сервера LDAP и табличного пространства.

--

-- *************************

-- Информация о группе хранения

-- *************************

-- Вместо SYSDEFLT подставьте имя группы хранения, которая будет

-- содержать индексы DB2 LDAP. SYSDEFLT используется для обозначения

-- группы хранения по умолчанию.

-- ПРИМЕЧАНИЕ: Значения для PRIQTY и SECQTY, представленные ниже,

-- возможно, придется изменить с учетом предполагаемого размера

-- сохраняемой информации каталога.

--

-- *************************

-- Прочая информация

-- *************************

-- Все индексы были определены как DEFER YES; это означает, что в

-- какой-то момент их нужно восстановить. Мы предлагаем проводить

-- восстановление больших баз данных после того, как база данных

-- была заполнена. Впрочем, использование этой опции совершенно

-- необязательно.

--

-- Чтобы отказаться от использования опции DEFER YES, просто

-- удалите глобально DEFER YES.

--

-- ****************************

-- Создать индексы DIR_ENTRY

-- ****************************

CREATE UNIQUE INDEX LDAPSRV.DIR_ENTRYX0 ON LDAPSRV.DIR_ENTRY( EID )


DEFER YES;

CREATE INDEX LDAPSRV.DIR_ENTRYX1 ON LDAPSRV.DIR_ENTRY( PEID, EID )


DEFER YES;

CREATE INDEX LDAPSRV.DIR_ENTRYX2 ON LDAPSRV.DIR_ENTRY( EID, DN_TRUNC )


DEFER YES;

CREATE INDEX LDAPSRV.DIR_ENTRYX3 ON LDAPSRV.DIR_ENTRY( DN_TRUNC, EID )


DEFER YES;



-- ********************************

-- Создать индексы DIR_LONGENTRY

-- ********************************

CREATE UNIQUE INDEX LDAPSRV.DIR_LONGENTRYX1

ON LDAPSRV.DIR_LONGENTRY( EID, SEQ )


DEFER YES;

-- *******************************

-- Создать индексы DIR_LONGATTR

-- *******************************

CREATE UNIQUE INDEX LDAPSRV.DIR_LONGATTRX1

ON LDAPSRV.DIR_LONGATTR( EID, ATTR_ID, VALUENUM, SEQ )


DEFER YES;

-- ****************************

-- Создать индексы DIR_CACHE

-- ****************************

CREATE UNIQUE INDEX LDAPSRV.DIR_CACHEX1

ON LDAPSRV.DIR_CACHE( CACHE_NAME, MODIFY_TIMESTAMP )


DEFER YES;

-- *****************************

-- Создать таблицу DIR_ATTRID

-- *****************************

CREATE UNIQUE INDEX LDAPSRV.DIR_ATTRIDX1

ON LDAPSRV.DIR_ATTRID( ATTR_NOID )


DEFER YES;

-- ***************************

-- Создать индексы DIR_DESC

-- ***************************

CREATE UNIQUE INDEX LDAPSRV.DIR_DESCX1

ON LDAPSRV.DIR_DESC( DEID, AEID )


DEFER YES;

-- *****************************

-- Создать индексы DIR_SEARCH

-- *****************************

CREATE INDEX LDAPSRV.DIR_SEARCHX1

ON LDAPSRV.DIR_SEARCH( ATTR_ID, VALUE, EID )


DEFER YES;

CREATE INDEX LDAPSRV.DIR_SEARCHX2

ON LDAPSRV.DIR_SEARCH( EID, ATTR_ID )

USING STOGROUP SYSDEFLT CLUSTER

DEFER YES;

-- *******************************

-- Создать индексы DIR_REGISTER

-- *******************************

CREATE UNIQUE INDEX LDAPSRV.DIR_REGISTERX1

ON LDAPSRV.DIR_REGISTER( ID, SRV )


DEFER YES;

-- *******************************

-- Создать индексы DIR_PROGRESS

-- *******************************

CREATE UNIQUE INDEX LDAPSRV.DIR_PROGRESSX1

ON LDAPSRV.DIR_PROGRESS( ID, PRG, SRV )




DEFER YES;

-- *****************************

-- Создать индексы DIR_CHANGE

-- *****************************

CREATE UNIQUE INDEX LDAPSRV.DIR_CHANGEX1 ON LDAPSRV.DIR_CHANGE( ID )


DEFER YES;

-- *********************************

-- Создать индексы DIR_LONGCHANGE

-- *********************************

CREATE UNIQUE INDEX LDAPSRV.DIR_LONGCHANGEX1

ON LDAPSRV.DIR_LONGCHANGE( ID, SEQ )


DEFER YES;

-- ***********************************

-- Принять все приведенные выше операторы SQL

-- ***********************************

COMMIT;

Пример пакетного задания привязки CLI

//DSNTIJCL JOB (DB2),

// ’PGMRNAME’,

// CLASS=A,MSGCLASS=H,MSGLEVEL=(1,1),

// REGION=4M

//*

//*********************************************************************/

//* Этот файл содержит пример кода. IBM ПРЕДОСТАВЛЯЕТ ЭТОТ КОД ’КАК */

//* ЕСТЬ’, БЕЗО ВСЯКИХ ГАРАНТИЙ, КАК ЯВНЫХ, ТАК И ПОДРАЗУМЕВАЕМЫХ, */

//* ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ */

//* КОММЕРЧЕСКОГО ИСПОЛЬЗОВАНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ КАКИХ-ЛИБО ЦЕЛЕЙ. */

//*********************************************************************/

//*********************************************************************/

//* ИМЯ ЗАДАНИЯ = DSNTIJCL */

//* ОПИСАТЕЛЬНОЕ ИМЯ = ПОТОК ЗАДАНИЯ УСТАНОВКИ */

//* ЛИЦЕНЗИОННЫЕ МАТЕРИАЛЫ - СОБСТВЕННОСТЬ IBM */

//* 5655-DB2 */

//* (C) COPYRIGHT 1982, 1997 IBM CORP. ВСЕ ПРАВА ЗАЩИЩЕНЫ. */

//* СОСТОЯНИЕ = ВЕРСИЯ 5 */

//* ФУНКЦИЯ = ПРИМЕР ПРИВЯЗКИ CLI */

//* ПСЕВДОКОД = ПАКЕТЫ И ПЛАН ПО УМОЛЧАНИЮ ПРИВЯЗКИ CLI ЭТАПА */

//* BINDCLI */

//* ТРЕБОВАНИЯ = ДОЛЖЕН БЫТЬ УСТАНОВЛЕН CLI */

//* ЭЛЕМЕНТ DSNCLIQR МОЖНО УСПЕШНО СВЯЗАТЬ ТОЛЬКО С СЕРВЕРАМИ DRDA, */

//* ПОДДЕРЖИВАЮЩИМИ SQL НАБОРА РЕЗУЛЬТАТОВ ЗАПРОСА (ПРОЦЕДУРУ */

//* ОПИСАНИЯ). */

//* В НАСТОЯЩИЙ МОМЕНТ - ЭТО DB2 ДЛЯ OS/390 V5. */

//* */

//* ПРИМЕЧАНИЯ = */

//* ПЕРЕД ВЫПОЛНЕНИЕМ ЭТОГО ЗАДАНИЯ: */

//* - ЗАМЕНИТЕ ВСЕ ВХОЖДЕНИЯ DSN5 НА ПРЕФИКС НАБОРОВ ДАННЫХ SDSNLOAD */

//* И SDSNDBRM DB2 V5.1 */

//* - ЗАМЕНИТЕ ОПЕРАТОР SYSTEM(DSN5) НА ОПЕРАТОР, СООТВЕТСТВУЮЩИЙ */

//* SSID DB2 V5.1 */

//* */

//* CLI МОЖНО СВЯЗАТЬ С УДАЛЕННЫМИ СЕРВЕРАМИ, УКАЗАВ ИХ */

//* МЕСТОНАХОЖДЕНИЕ. */

//* */

//* ДЛЯ УДАЛЕННЫХ СЕРВЕРОВ, ОТЛИЧНЫХ ОТ DB2 ДЛЯ OS/390, ТАКЖЕ */

//* ДОБАВЬТЕ, В ЗАВИСИМОСТИ ОТ ТИПА СЕРВЕРА, СООТВЕТСТВУЮЩИЕ */

//* ОПЕРАТОРЫ ЭЛЕМЕНТОВ BIND PACKAGE, ИЗ ЧИСЛА ПРИВЕДЕННЫХ НИЖЕ: */

//* BIND PACKAGE (<РАСПОЛОЖЕНИЕ COMMON SERVER V1>.DSNAOCLI) - */

//* MEMBER(DSNCLIV1) */



//* BIND PACKAGE (<РАСПОЛОЖЕНИЕ COMMON SERVER V2>.DSNAOCLI) - */

//* MEMBER(DSNCLIV2) */

//* BIND PACKAGE (<РАСПОЛОЖЕНИЕ AS400>.DSNAOCLI) - */

//* MEMBER(DSNCLIAS) */

//* BIND PACKAGE (<РАСПОЛОЖЕНИЕ SQLDS>.DSNAOCLI) - */

//* MEMBER(DSNCLIVM) */

//* ТАКЖЕ НУЖНО ВКЛЮЧИТЬ ИМЕНА ВСЕХ ДОБАВЛЕННЫХ ПАКЕТОВ В КЛЮЧЕВОЕ */

//* СЛОВО PKLIST ОПЕРАТОРА BIND PLAN, СТОЯЩЕЕ ПОСЛЕ ОПЕРАТОРОВ */

//* BIND PACKAGE. */

//* */

//*********************************************************************/

//JOBLIB DD DISP=SHR,

// DSN=DB2710.SDSNLOAD

//BINDCLI EXEC PGM=IKJEFT01,DYNAMNBR=20

//DBRMLIB DD DISP=SHR,

// DSN=DB2710.SDSNDBRM

//SYSTSPRT DD SYSOUT=*

//SYSPRINT DD SYSOUT=*

//SYSUDUMP DD SYSOUT=*

//SYSTSIN DD *

DSN SYSTEM(DSN5)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLICS) ISOLATION(CS)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLINC) ISOLATION(NC)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIRR) ISOLATION(RR)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIRS) ISOLATION(RS)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIUR) ISOLATION(UR)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIC1)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIC2)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIF4)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIMS)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIQR)

BIND PLAN(DSNACLI) -

PKLIST(DSNAOCLI.DSNCLICS -

DSNAOCLI.DSNCLINC -

DSNAOCLI.DSNCLIRR -

DSNAOCLI.DSNCLIRS -

DSNAOCLI.DSNCLIUR -

DSNAOCLI.DSNCLIC1 -

DSNAOCLI.DSNCLIC2 -

DSNAOCLI.DSNCLIF4 -

DSNAOCLI.DSNCLIMS -

DSNAOCLI.DSNCLIQR )

END

/*

Пример файла инициализации CLI

; Это строка комментария...

;/*********************************************************************/

;/* Этот файл содержит пример кода. IBM ПРЕДОСТАВЛЯЕТ ЭТОТ КОД ’КАК */

;/* ЕСТЬ’, БЕЗО ВСЯКИХ ГАРАНТИЙ, КАК ЯВНЫХ, ТАК И ПОДРАЗУМЕВАЕМЫХ, */

;/* ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ */

;/* КОММЕРЧЕСКОГО ИСПОЛЬЗОВАНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ КАКИХ-ЛИБО ЦЕЛЕЙ. */

;/*********************************************************************/

; Пример раздела COMMON

;

; Параметр MVSDEFAULTSSID указывает, какую подсистему DB2 нужно

; использовать для взаимодействия с таблицами DB2. Это значение

; зависит от установки. В данном примере значение параметра - DSN5.

[COMMON]

MVSDEFAULTSSID=DSN5

; Пример раздела SUBSYSTEM для подсистемы DSN5

;



; ПРИМЕЧАНИЕ: нижеприведенный параметр PLANNAME должен совпадать с

; именем плана, заданным во время выполнения пакетного задания DSNTIJCL

; при создании плана. В данном примере значение параметра - DSNACLI.

[DSN5]

;MVSATTACHTYPE=CAF

MVSATTACHTYPE=RRSAF

PLANNAME=DSNACLI

; Пример раздела источника данных

;

; Имя раздела источника данных зависит от установки.

; В этом примере источником данных (и именем соответствующего

; раздела) служит LOC1.

[LOC1]

AUTOCOMMIT=0

CONNECTTYPE=1



Приложение D. Common Criteria

Система, прошедшая оценку Common Criteria (CC) - это система, которая оценивалась

на соответствие Common Criteria (Общие критерии), признанного международного

стандарта ISO (ISO 15408), который обеспечивает гарантий защиты продуктов

информационных технологий (Information Technologies - IT). IBM Tivoli Access

Manager версии 4.1 с установленным пакетом исправлений Fix Pack 5 содержит

технологию, отвечающую требованиям уровня гарантий CC EAL3+. Системная

конфигурация, удовлетворяющая этим требованиям, в данном руководстве

именуется системой, прошедшей оценку CC.

Примечание: Самые свежие обновления для данного приложения, включая состояние

сертификации и характеристику платформ, используемых при оценке на

соответствие требованиям CC, смотрите в файле Readme для IBM Tivoli

Access Manager версии 4.1 с Fix Pack 5.

Оценка производилась на базе определенной конфигурации, описанной в данном

разделе. Любое изменение этой конфигурации приведет к тому, что система станет

системой, не прошедшей оценку. Это, однако, не означает снижения защиты системы.

Это только говорит о том, что на конфигурацию с изменениями данная оценка не

распространяется.

В этом приложении рассматриваются ограничения системы, которая должна

удовлетворять требованиям оценки CC. В случае IBM Tivoli Access Manager версии

4.1 система, проходящая оценку CC, должна включать в себя следующие системы

Tivoli Access Manager:

Сервер политики (pdmgrd)

со следующими установленными компонентами:




v IBM Global Security Kit (GSKit)

Сервер WebSEAL (webseald)

со следующими установленными компонентами:


v Tivoli Access Manager WebSEAL Server


v IBM Global Security Kit (GSKit)

В следующих разделах описано, как следует сконфигурировать эти компоненты и

рабочую среду, чтобы обеспечить CC-совместимую систему.

Политика защиты для Tivoli Access Manager

Конфигурация CC для Tivoli Access Manager основывается на правилах политики

защиты, которые следует соблюдать, чтобы добиться работы в защищенном режиме

и обеспечить такой режим работы.


Базовая политика защиты

Системы следует устанавливать и они должны работать на контролируемых

аппаратных средствах, доступ к которым могут получать только авторизованные

администраторы. Платформы, на которых функционируют серверные компоненты

Tivoli Access Manager, должны быть соответствующим образом защищены и

доступны только авторизованным администраторам.

Ниже приводится список (не допускающий исключений) правил политики защиты,

которые необходимо соблюдать, чтобы обеспечить работу Tivoli Access Manager в

соответствии с требованиями CC.

v ID пользователей в системе присваивается только пользователям, авторизованным

для работы с информацией в этих системах.

v Администраторы и пользователи должны использовать высоконадежные пароли

(составленные, по мере возможности, случайным образом и никак не связанные ни

с пользователем, ни с организацией).

v Пользователи и администраторы не должны раскрывать свои пароли другим

лицам.

v Администратор должен быть надежным и внимательным сотрудником; он должен

придерживаться указаний, приведенных в прилагаемой к системе документации.

v Пароли, генерируемые администраторами для пользователей системы, должны

передаваться пользователям защищенным способом.

v Администратор, устанавливающий соединение с сервером политики для

выполнения административных задач с удаленного терминала или с удаленной

рабочей станции, должен проследить за тем, чтобы этот удаленный терминал или

эта удаленная рабочая станция находились в защищенной среде и управлялись в

защищенном режиме. Управление осуществляется путем настройки защищенного

соединения для связи с операционной системой на сервере политики. На этом

сервере администратор вызывает интерфейс командной строки pdadmin и

проходит аутентификацию.

Системная политика защиты

Помимо базовой политики защиты, описанной в разделе “Базовая политика

защиты”, системы и сети, где работает Tivoli Access Manager, должны удовлетворять

следующим дополнительным условиям политики:

v Компьютеры, на которых внедряется Tivoli Access Manager, должны быть

выделенными компьютерами Tivoli Access Manager. (Приложения Tivoli Access

Manager должны быть единственными приложениями, работающими в

установленной на этих компьютерах операционной системе).

Примечание: Все службы операционной системы следует выключить, особенно

сетевые службы, не являющиеся необходимыми для запуска,

управления и администрирования Tivoli Access Manager.

v Конфигурирование операционной системы должно производиться

квалифицированным и надежным персоналом.

v Операционная система должна обеспечивать точное время для приложений Tivoli

Access Manager.

v Файлы конфигурации Tivoli Access Manager и файлы журналов/аудита должны

быть защищены с использованием имеющихся в операционной системе

механизмов управления доступом.

v Доступ к LDAP должен осуществляться с использованием SSL версии 3 или TLS

версии 1.

Common Criteria


v Сервер LDAP, помимо управления доступом к предоставляемым записям, должен

производить идентификацию и аутентификацию пользователей.

Дополнительные проблемы и механизмы, относящиеся к управлению и

администрированию в операционной системе, выходят за рамки данного

приложения.

Сетевая политика Tivoli Access Manager

В приведенном ниже списке описан коммуникационный профиль каждого

компонента. Эти коммуникационные профили следует применять в сетевой среде,

чтобы обеспечить работу Tivoli Access Manager в защищенном режиме.

В общем случае, сети следует сконфигурировать так, чтобы компонент WebSEAL

стал точкой приложения правил политики доступа к ресурсам. Это означает, чтоб для

пользователя нет никакого другого способа получить доступ к ресурсам,

защищенным Tivoli Access Manager. Механизмы управления и администрирования

операционной системы должны работать в соответствии с этим правилом.

v Сервер политики (pdmgrd)

– Взаимодействие с Tivoli Access Manager

– LDAP и реестрv Сервер WebSEAL (webseald)

– Для внешних пользователей: только HTTPS

– HTTPS с внутренними ресурсами

– Взаимодействие с Tivoli Access Manager для авторизации, репликации,

управления и аудита баз данных

– LDAP и реестр

Приведенная ниже диаграмма дает общую характеристику сетевой политики:

Примечание: При такой политике не предполагается никакой специальной настройки

сети. Согласно практическому опыту, необходимо четко разделить

внутренний и внешний сетевые интерфейсы, предоставляя доступ

HTTPS только внешним пользователям. Все прочие сетевые службы

должны быть недоступны для внешних сетей.

Common Criteria

Приложение D. Common Criteria 211

Допущения, касающиеся особенностей работы

пользователей

В каждой защищенной системе есть области, в которых защита основывается на

допущениях (и, таким образом, на доверии). Защита Tivoli Access Manager

основывается на приведенных ниже допущениях, касающихся особенностей работы

внешних пользователей:

v Генерирование криптографических ключей на стороне клиента выполняется в

защищенном режиме, что обеспечивает высоконадежные криптографические

ключи.

v Секретные ключи пользователя, используемые для аутентификации и обмена

ключами с Tivoli Access Manager, хранятся в защищенной форме и ограждены от

несанкционированного доступа и использования.

v Пользователи не руководствуются злым умыслом и не пытаются намеренно

атаковать функции системы защиты (то есть, они не пытаются обойти правила

политики защиты). Кроме того, они тщательно защищают свою

аутентификационную информацию в своей операционной среде.

Если какое-либо из этих допущений окажется несправедливым, администратор

должен иметь в виду, что от имени пользователя, в отношении которого возникли

сомнения доступ может осуществлять любой злоумышленник, поскольку он сможет

успешно представиться в качестве такого пользователя.

Установка и конфигурирование, совместимые с оценкой CC

Оценка CC распространяется только на опции конфигурации защиты, указанные в

данном приложении. Требования к установке и конфигурации приводятся ниже:

v Вы должны использовать ″чистый″ компьютер, на котором не установлено

никаких предыдущих версий Tivoli Access Manager. Не разрешается обновлять

предыдущий выпуск до уровня текущего пакета исправлений, а затем использовать

такую обновленную систему как основу для подвергаемой оценке конфигурации.

v Системы pdmgrd и webseald следует устанавливать на отдельных компьютерах.

v Оценка компонентов Tivoli Access Manager производилась с использованием одной

и той же операционной системы. Смешанные конфигурации оценке не подлежат;

например, как pdmgrd, так и webseald были установлены на компьютерах AIX.

v Web Portal Manager (WPM) не поддерживается в оцениваемой конфигурации.

Поддерживаются только интерфейс командной строки pdadmin и C API.

v Для доступа к серверу каталогов поддерживается только LDAP. Ни Active

Directory, ни другие протоколы не поддерживаются.

v Реплики LDAP не поддерживаются.

v Аппаратные устройства шифрования не поддерживаются.

v Оценка производилась только для поддержки английского языка.

v Для конфигурации, проходящей оценку CC, поддерживаются только программы

простой установки.

v Все системы WebSEAL были сконфигурированы так, что они работали независимо

друг от друга и соединялись только с центральным сервером политики. Поэтому в

подвергаемых оценке конфигурациях ни распределение нагрузки, ни

конфигурирование отказоустойчивых систем WebSEAL не поддерживается.

Как установить Tivoli Access Manager

CC-совместимая установка базовых компонентов Tivoli Access Manager описана в

данном руководстве; установка компонентов WebSEAL описана в публикации

Руководство по установке IBM Tivoli Access Manager WebSEAL.

Common Criteria


Чтобы обеспечить CC-совместимое состояние, после исходной установки

компонентов Tivoli Access Manager необходимо выполнить дополнительные шаги по

конфигурированию.

Внимание

Описанные шаги представляют собой действия, дополняющие

конфигурирование по умолчанию при установке компонентов Tivoli Access

Manager. Если в конфигурацию по умолчанию будут внесены любые другие

изменения, система больше не будет соответствовать оцениваемой конфигурации.

Защита WebSEAL

Оцениваемая конфигурации поддерживает только HTTPS-доступ к WebSEAL. Это

обеспечивается за счет следующих директив по конфигурированию в файле

webseald.conf:

[server]

http = no

https = yes

Рекомендуется (хотя это и не обязательно), чтобы компонент WebSEAL использовал

стандартный порт HTTPS следующим образом:

[server]

https-port = 443

Оцениваемая конфигурация не включает в себя SSL версии 2; поддерживаются

только SSL версии 3 и TLS версии 1:

[ssl]

disable-ssl-v2 = yes

disable-ssl-v3 = no

disable-tls-v1 = no

Примечание: Соединения WebSEAL с внутренними серверами должны

устанавливаться на основе SSL (SSL версии 3 или TLS версии 1). При

смешении соединений SSL и не SSL WebSEAL не перезаписывает URL

соответственно ответвлению.

Конфигурирование механизмов аутентификации WebSEAL

Оцениваемая конфигурация ограничивает механизмы аутентификации пользователей

следующим набором:

v Аутентификация на основе сертификатов

v Аутентификация на основе ID пользователей и паролей

Поэтому в файле webseald.conf необходимо задать следующие параметры

конфигурации:

[ba]

ba-auth = https

[forms]

forms-auth = https

[certificate]

accept-client-certs = optional

[authentication-mechanisms]

cert-ssl = ssl_client_side_certificate_authentication_library

Common Criteria


Выбор поддерживаемых наборов шифров

В оцениваемой конфигурации следует использовать следующие наборы шифров SSL

версии 3 / TLS версии 1:

v SSL_RSA_WITH_RC4_128_SHA

v SSL_RSA_WITH_RC4_128_SHA

v SL_RSA_WITH_3DES_EDE_CBC_SHA

В файле webseald.conf необходимо задать следующие параметры:

[ssl-qop-mgmt-default]

default = RC4-128

default = DES-168

Конфигурирование аудита

Механизм журнала событий допускает различные пункты назначения для записей

журнала и аудита.

В случае webseald или pdmgrdв файл конфигурации следует включить следующие

значения:

logcfg = audit.azn: file=файл_аудита,\

log_id=audit,\

flush_interval=1,\

rollover=size=-10000000,\

buffer_size=0,\

queue_size=1,\

hi_water=1

logcfg = audit.authn:file log_id=audit

logcfg = audit.mgmt:file log_id=audit

logcfg = audit.http:file log_id=audit

где файл_аудита - полный путь файла журнала аудита.

В этом примере все события аудита по всем категориям аудита направляются в один

файл журнала аудита. Новый файл журнала создается после того, как размер этого

файла возрастет до 10000000 байт или после того, как возраст этого файла достигнет

24 часов (максимум). К старому файлу присоединяется временная метка.

Администратор должен следить за тем, чтобы в файловой системе всегда было

достаточно места для записи информации аудита. В данном примере запись аудита

ведется для всех подклассов, поддерживающих аудит.

Другие функции WebSEAL

Чтобы быть уверенным, что все нежелательные функции отключены, нужно изменить

следующие параметры:

[ltpa]

ltpa-cache-enabled = no

Политики регистрации

Чтобы обеспечить соответствие требованиям CC, измените политику регистрации по

умолчанию для ID пользователей и администраторов с помощью команды pdadmin


policy set max-login-failures 3

Common Criteria


Тогда политика регистрации будет применяться после трех совершенных подряд

неудачных попыток регистрации, а не после десяти попыток (назначаемых по

умолчанию). Учтите, что изменять штрафной промежуток времени, равный 180

секундам, не нужно.

Примечание: Можно одновременно сконфигурировать более одного экземпляра

сервера WebSEAL. Каждый экземпляр представляет собой

дополнительную точку входа, через которую злоумышленник сможет

похищать пароли. Если сконфигурировано очень много экземпляров,

следует принять специальные меры к тому, чтобы обеспечить

оптимальные уровни защиты паролей. В подобных случаях следует

отрегулировать другие параметры защиты WebSEAL. Например, при

увеличении штрафного промежутка времени для идущих подряд

неудачных попыток регистрации значительно увеличивает время,

необходимое злоумышленнику для осуществления грубого взлома

пароля.

При оценке CC система включала в себя два экземпляра WebSEAL.

Чтобы обеспечить поддержку конфигурации CC без изменения значений

параметров защиты, указанных в данном приложении, рекомендуется

добавлять не более четырех экземпляров WebSEAL.

Дополнительную информацию о параметрах защиты WebSEAL

смотрите в руководстве IBM Tivoli Access Manager WebSEAL

Administration Guide.

Политика паролей

Чтобы обеспечить соответствие требованиям CC, измените политику паролей по

умолчанию с помощью команды pdadmin следующим образом:

policy set password-spaces no

Управление криптографическими ключами

Оценка Tivoli Access Manager также распространяется на процедуру генерирования

криптографических ключей. Это означает, что производилась проверка состояния

защиты ключей, генерируемых утилитами Tivoli Access Manager (mgrsslcfg, bassslcfg

и svrsslcfg). Учтите, что у сертификатов, генерируемых пользователями (например,

сертификат сервера WebSEAL), длина ключей должна составлять не менее 1024 бит.

Дополнительную информацию по управлению сертификатами WebSEAL смотрите в

руководстве IBM Tivoli Access Manager WebSEAL Administration Guide.

CC-совместимые файлы конфигурации

Ниже перечислены файлы конфигурации, использованные при оценке Tivoli Access

Manager на соответствие CC. Описание этих файлов, включая информацию о

разделах и параметров, смотрите в публикации IBM Tivoli Access Manager Base

Administrator’s Guide. Описание файла webseald.conf смотрите в публикации IBM

Tivoli Access Manager WebSEAL Administrator’s Guide.

v ivmgrd.conf

v ldap.conf

v pd.conf

v webseald.conf

Common Criteria


Common Criteria


Приложение E. Замечания

Эта информация относится к продуктам и услугам, предоставляемым в США. IBM

может не предоставлять в других странах продукты, услуги и аппаратные средства,

описанные в данном документе. За информацией о продуктах и услугах,

предоставляемых в вашей стране, обращайтесь к местному представителю IBM.

Ссылки на продукты, программы или услуги IBM не означают и не предполагают,

что можно использовать только указанные продукты, программы или услуги.

Разрешается использовать любые функционально эквивалентные продукты,

программы или услуги, если при этом не нарушаются права IBM на

интеллектуальную собственность. Однако при этом ответственность за оценку и

проверку работы всех продуктов, программ или услуг не-IBM возлагается на

пользователя.

IBM может располагать патентами или рассматриваемыми заявками на патенты,

относящимися к предмету данной публикации. Получение данного документа не

означает предоставления каких-либо лицензий на эти патенты. Запросы по поводу

лицензий можно направлять в письменной форме по адресу:

IBM Director of Licensing

IBM Corporation

North Castle Drive

Armonk, NY 10504-1785 U.S.A.

По поводу лицензий, касающихся работы с набором двухбайтных символов (DBCS),

обратитесь в отдел IBM Intellectual Property Department в вашей стране или пошлите

запрос в письменном виде по адресу:

IBM World Trade Asia Corporation

Licensing

2-31 Roppongi 3-chome, Minato-ku

Tokyo 106, Japan

Приведенные в следующем абзаце положения не касаются Великобритании и иных

стран, в которых они входят в противоречие с местными законами: КОРПОРАЦИЯ

INTERNATIONAL BUSINESS MACHINES ПРЕДОСТАВЛЯЕТ ДАННУЮ

ПУБЛИКАЦИЮ ″КАК ЕСТЬ″, БЕЗ КАКИХ-ЛИБО ЯВНЫХ ИЛИ

ПРЕДПОЛАГАЕМЫХ ГАРАНТИЙ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ

ТАКОВЫМИ, ПРЕДПОЛАГАЕМЫЕ ГАРАНТИИ ОТНОСИТЕЛЬНО

СОБЛЮДЕНИЯ ЧЬИХ-ЛИБО АВТОРСКИХ ПРАВ, КОММЕРЧЕСКОГО

ИСПОЛЬЗОВАНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ТЕХ ИЛИ ИНЫХ ЦЕЛЕЙ. В

некоторых странах для ряда сделок не допускается отказ от явных или

предполагаемых гарантий; в таком случае данное положение к вам не относится.

В данной информации могут встретиться технические неточности или типографские

опечатки. В публикацию время от времени вносятся изменения, которые будут

отражены в следующих изданиях. IBM может в любой момент без какого-либо

предварительного уведомления внести изменения в продукты и/или программы,

которые описаны в данной публикации.

Ссылки на Web-сайты не-IBM приводятся только для вашего удобства и ни в коей

мере не должны рассматриваться как рекомендации пользоваться этими

Web-сайтами. Материалы на этих Web-сайтах не входят в число материалов по

данному продукту IBM, и весь риск пользования этими Web-сайтами несете вы сами.


IBM оставляет за собой право на использование и распространение любой

предоставленной вами информации любыми способами, какие сочтет приемлемыми,

не принимая на себя никаких обязательств перед вами.

Если лицам, получившим лицензию на эту программу, потребуется более подробная

информация о ней для: (i) обмена данными между независимо созданными

программами и прочими программами (включая и эту) и (ii) совместного

использования этих данных, то им следует обратиться в IBM по адресу:

IBM Corporation

2Z4A/101

11400 Burnet Road

Austin, TX 78758 U.S.A.

Такая информация может быть предоставлена на определенных условиях (в

некоторых случаях к таким условиям может относиться оплата).

Описанную здесь лицензионную программу и все прилагаемые к ней лицензионные

материалы IBM представляет на основе положений Соглашения между IBM и

Покупателем, Международного Соглашения о Лицензиях на Программы IBM или

любого эквивалентного соглашения между IBM и покупателем.

Информация о продуктах других фирм получена от поставщиков этих продуктов, из

их публичных заявлений и из других общедоступных источников. IBM не тестировала

эти продукты и не может подтвердить заявлений о характеристиках, совместимости и

прочих аспектах, касающихся продуктов других фирм. Вопросы о возможностях

прочих продуктов следует адресовать поставщикам этих продуктов.

Все утверждения о будущих направлениях разработок или намерениях фирмы IBM

могут быть пересмотрены или отменены без дополнительного объявления, и

отражают исключительно предполагаемые цели фирмы.

Приведенная здесь информация содержит примеры данных и отчетов, используемых

в ежедневных бизнес-операциях. Чтобы примеры были как можно нагляднее, в них

содержатся имена, названия компаний, фирменных товарных знаков и продуктов. Все

эти названия являются вымышленными и любое сходство с именами и адресами

реальных предприятий является чисто случайным.

ЛИЦЕНЗИЯ НА ПРАВО КОПИРОВАНИЯ:

Эта информация содержит примеры прикладных программ на языках

программирования, иллюстрирующих приемы программирования для различных

операционных платформ. Разрешается копировать, изменять и распространять эти

примеры программ в любой форме без оплаты фирме IBM для целей разработки,

использования, сбыта или распространения прикладных программ, соответствующих

интерфейсам прикладного программирования операционной платформы, для

которой написаны эти примеры программ. Эти примеры не были тщательно

протестированы при всех возможных условиях. Поэтому IBM не может

гарантировать надежность, возможность обслуживания и работоспособность этих

программ и не подразумевает таких гарантий. Разрешается копировать, изменять и

распространять эти примеры программ в любой форме без оплаты фирме IBM для

целей разработки, использования, сбыта или распространения прикладных программ,

соответствующих интерфейсам прикладного программирования IBM.

Каждая копия или любая часть этих примеров программ или любых производных

разработок должна содержать следующее замечание об авторских правах:


© (название вашей компании) (год). Части этого кода получены из Примеров

Программ IBM Corp. © Copyright IBM Corp. _укажите год или годы_. Все права

защищены.

При просмотре этого материала на компьютере, фотографии и цветные иллюстрации

могут не появиться на экране.

Часть кода, распространяемого вместе с продуктом, получена от третьих сторон и

подпадает под отдельные лицензионные положения. Эти положения воспроизводятся

ниже.

Лицензия на XML Parser Toolkit

Copyright © 1998, 1999, 2000 Thai Open Source Software Center Ltd

Настоящим всем бесплатно предоставляется разрешение на получение этого

программного средства и файлов сопроводительной документации (″Программного

Средства″) для работы с этим Программным Средством без каких-либо

ограничений, включая, но не ограничиваясь таковыми, право на использование,

копирование, модификацию, объединение, опубликование, распространение,

сублицензирование и/или продажу копий Программного Средства и предоставление

лицам, которые получают Программное Средство, разрешений на те же действия при

соблюдении следующих условий:

Во все копии или в существенные части Программного Средства должно быть

включено вышеприведенное замечание об авторских правах и данное замечание с

разрешением.

ПРОГРАММНОЕ СРЕДСТВО ПРЕДОСТАВЛЯЕТСЯ ″КАК ЕСТЬ″, БЕЗО

ВСЯКИХ ГАРАНТИЙ, КАК ЯВНЫХ, ТАК И ПОДРАЗУМЕВАЕМЫХ,

ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ, ГАРАНТИИ

ОТНОСИТЕЛЬНО ВОЗМОЖНОСТИ КОММЕРЧЕСКОГО ИСПОЛЬЗОВАНИЯ

ИЛИ ПРИГОДНОСТИ ДЛЯ КАКИХ-ЛИБО ЦЕЛЕЙ И НЕНАРУШЕНИЯ

ЧЬИХ-ЛИБО АВТОРСКИХ ПРАВ.

НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ НА АВТОРОВ ИЛИ НА ВЛАДЕЛЬЦЕВ

АВТОРСКИХ ПРАВ НЕ БУДЕТ ВОЗЛАГАТЬСЯ ОТВЕТСТВЕННОСТЬ ЗА

КАКИЕ-ЛИБО ПРЕТЕНЗИИ ИЛИ УБЫТКИ ЛИБО ИНЫЕ ВИДЫ

ОТВЕТСТВЕННОСТИ В СИЛУ КОНТРАКТА, СУДЕБНОГО РЕШЕНИЯ ИЛИ

ВМЕНЕННЫЕ ИНЫМ ОБРАЗОМ, СВЯЗАННЫЕ С ПРОГРАММНЫМ

СРЕДСТВОМ ИЛИ ИСПОЛЬЗОВАНИЕМ ПРОГРАММНОГО СРЕДСТВА ИЛИ

ИНЫМИ ОПЕРАЦИЯМИ С НИМ.

Лицензия на Встраиваемые Модули Аутентификации

Copyright © 1995 by Red Hat Software, Marc Ewing Copyright (c) 1996-8, Andrew G.

Morgan <[email protected]>

Все права защищены

Вторичное распространение и использование в виде исходного и двоичного кода с

модификацией или без таковой разрешается при условии, что будут соблюдены

следующие условия:

Приложение E. Замечания 219

1. При вторичном распространении исходного кода должно быть сохранено

вышеприведенное замечание об авторских правах и полное замечание о

разрешениях в своей полной формулировке, включая отказ от предоставления

гарантий.

2. В документации и/или прочих материалах, прилагаемых к вторичным

дистрибутивам в двоичном виде, должны быть воспроизведены вышеприведенное

замечание об авторских правах, данный список условий и приведенный ниже отказ

от предоставления гарантий.

3. Имя автора не должно использоваться для поддержки или содействия

распространению продуктов, полученных на основе этого программного средства,

без специального предварительного разрешения в письменной форме.

ДАННОЕ ПРОГРАММНОЕ СРЕДСТВО ПРЕДОСТАВЛЯЕТСЯ ″КАК ЕСТЬ″

ПРИ ОТКАЗЕ ОТ ЛЮБЫХ ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ,

ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ, ПОДРАЗУМЕВАЕМЫЕ

ГАРАНТИИ ОТНОСИТЕЛЬНО ВОЗМОЖНОСТИ КОММЕРЧЕСКОГО

ИСПОЛЬЗОВАНИЯ И ПРИГОДНОСТИ ДЛЯ КАКИХ-ЛИБО ЦЕЛЕЙ. НИ ПРИ

КАКИХ ОБСТОЯТЕЛЬСТВАХ АВТОР НЕ БУДЕТ НЕСТИ НИКАКОЙ

ОТВЕТСТВЕННОСТИ НИ ЗА КАКИЕ ПРЯМЫЕ, КОСВЕННЫЕ, СЛУЧАЙНЫЕ

И ФАКТИЧЕСКИЕ УБЫТКИ ИЛИ ШТРАФНЫЕ САНКЦИИ (ВКЛЮЧАЯ, НО

НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ, ПРИОБРЕТЕНИЕ ТОВАРОВ-ЗАМЕНИТЕЛЕЙ ИЛИ УСЛУГ; ПОТЕРЮ ПРИГОДНОСТИ К РАБОТЕ,

ДАННЫХ ИЛИ ПРИБЫЛИ; ИЛИ ПЕРЕРЫВЫ В ПРОИЗВОДСТВЕННОЙ

ДЕЯТЕЛЬНОСТИ), КОТОРЫЕ БЫЛИ ТЕМ ИЛИ ИНЫМ СПОСОБОМ

ВЫЗВАНЫ ИСПОЛЬЗОВАНИЕМ ЭТОГО ПРОГРАММНОГО СРЕДСТВА,

ДАЖЕ В СЛУЧАЕ ПРЕДВАРИТЕЛЬНОГО УВЕДОМЛЕНИЯ О ВОЗМОЖНОСТИ

ТАКОВЫХ, НЕЗАВИСИМО ОТ ТОГО, КАКИМ ОБРАЗОМ ОНИ БЫЛИ

ПРИЧИНЕНЫ И КАКОВ ПРЕДПОЛАГАЕМЫЙ ПОРЯДОК НАСТУПЛЕНИЯ

ОТВЕТСТВЕННОСТИ - НЕПОСРЕДСТВЕННО НА ОСНОВАНИИ КОНТРАКТА

ЛИБО ПО ДЕЛИКТУ (ВКЛЮЧАЯ СЛУЧАИ ХАЛАТНОСТИ И ПРОЧИЕ.

Apache Axis Servlet

Copyright ©2002 The Apache Software Foundation. Все права защищены.




1. Во вторичных дистрибутивах исходного кода должны быть сохранены

вышеприведенное замечание об авторских правах, данный список условий и

приведенный ниже отказ от предоставления гарантий.





3. Прилагаемая ко вторичному дистрибутиву документация для конечного

пользователя (если таковая имеется) должна содержать следующую ссылку:

″Данный продукт включает в себя программное обеспечение, разработанное

Apache Software Foundation (http://www.apache.org/).″ В качестве альтернативы

такая ссылка может появляться в самом программном обеспечении, если в нем

обычно появляются подобные ссылки на третьи стороны, и во всех местах, где

таковые обычно появляются.

4. Не разрешается без предварительного письменного разрешения использовать

названия ″Apache Forrest″ и ″Apache Software Foundation″ для поддержки или


продвижения на рынок продуктов, полученных на основе данной программы. За

письменным разрешением, пожалуйста, обращайтесь по адресу:

[email protected].

5. При отсутствии предварительного письменного разрешения от Apache Software

Foundation запрещается присваивать продуктам, полученным на основе данного

программного обеспечения, имена ″Apache″, а также в их именах не должно

присутствовать слово ″Apache″.

ДАННОЕ ПРОГРАММНОЕ СРЕДСТВО ПРЕДОСТАВЛЯЕТСЯ ``КАК ЕСТЬ’’





КАКИХ ОБСТОЯТЕЛЬСТВАХ НИ APACHE SOFTWARE FOUNDATION, НИ ЕЕ

РАЗРАБОТЧИКИ НЕ НЕСУТ ОТВЕТСТВЕННОСТИ НИ ЗА КАКИЕ ПРЯМЫЕ,

КОСВЕННЫЕ, СЛУЧАЙНЫЕ, СПЕЦИАЛЬНЫЕ ИЛИ ТИПОВЫЕ УБЫТКИ

(ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ, ПРИОБРЕТЕНИЕ

ТОВАРОВ-ЗАМЕНИТЕЛЕЙ ИЛИ УСЛУГ, ПОТЕРЮ ДАННЫХ ИЛИ ПРИБЫЛИ,

ИЛИ ПЕРЕРЫВЫ В ДЕЛОВОЙ ЖИЗНИ), КОТОРЫЕ БЫЛИ ТЕМ ИЛИ ИНЫМ

СПОСОБОМ ВЫЗВАНЫ ИСПОЛЬЗОВАНИЕМ ЭТОЙ ПРОГРАММЫ, ДАЖЕ В

СЛУЧАЕ ПРЕДВАРИТЕЛЬНОГО УВЕДОМЛЕНИЯ О ВОЗМОЖНОСТИ




ЛИБО ПО ДЕЛИКТУ (ВКЛЮЧАЯ СЛУЧАИ ХАЛАТНОСТИ И ПРОЧИЕ).

В создание этой программы добровольно вносили вклад многие лица, действующие

от имени Apache Software Foundation. Дополнительную информацию по Apache

Software Foundation смотрите, пожалуйста, по адресу: http://www.apache.org/.

JArgs Command Line Option Parsing Suite for Java

Copyright ©2001, Stephen Purcell Все права защищены.











3. Ни имя владельца авторских прав, ни имена участников не должны

использоваться для поддержки или содействия распространению продуктов,

полученных на основе этого программного средства, без специального

предварительного разрешения в письменной форме.

ДАННОЕ ПРОГРАММНОЕ СРЕДСТВО ПРЕДОСТАВЛЯЕТСЯ ВЛАДЕЛЬЦАМИ

АВТОРСКИХ ПРАВ И УЧАСТНИКАМИ ″КАК ЕСТЬ″ ПРИ ОТКАЗЕ ОТ

ЛЮБЫХ ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ, ВКЛЮЧАЯ, НО

НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ

ОТНОСИТЕЛЬНО ВОЗМОЖНОСТИ КОММЕРЧЕСКОГО ИСПОЛЬЗОВАНИЯ И

ПРИГОДНОСТИ ДЛЯ КАКИХ-ЛИБО ЦЕЛЕЙ. НИ ПРИ КАКИХ


ОБСТОЯТЕЛЬСТВАХ НИ ПРАВЛЕНИЕ, НИ РАЗРАБОТЧИКИ НЕ НЕСУТ

ОТВЕТСТВЕННОСТИ НИ ЗА КАКИЕ ПРЯМЫЕ, КОСВЕННЫЕ, СЛУЧАЙНЫЕ

И ФАКТИЧЕСКИЕ УБЫТКИ ИЛИ ШТРАФНЫЕ САНКЦИИ (ВКЛЮЧАЯ, НО

НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ, ПРИОБРЕТЕНИЕ ТОВАРОВ-ЗАМЕНИТЕЛЕЙ ИЛИ УСЛУГ; ПОТЕРЮ ДАННЫХ ИЛИ ПРИБЫЛИ; ИЛИ

ПЕРЕРЫВЫ В ДЕЛОВОЙ ЖИЗНИ), КОТОРЫЕ БЫЛИ ТЕМ ИЛИ ИНЫМ

СПОСОБОМ ВЫЗВАНЫ ИСПОЛЬЗОВАНИЕМ ЭТОЙ ПРОГРАММЫ, ДАЖЕ В

СЛУЧАЕ ПРЕДВАРИТЕЛЬНОГО УВЕДОМЛЕНИЯ О ВОЗМОЖНОСТИ




ЛИБО ПО ДЕЛИКТУ (ВКЛЮЧАЯ СЛУЧАИ ХАЛАТНОСТИ И ПРОЧИЕ).

Реализация Java DOM

Copyright © 2000-2002 Brett McLaughlin & Jason Hunter. Все права защищены.







2. Во вторичных дистрибутивах в двоичном виде должны быть воспроизведены

вышеприведенное замечание об авторских правах, данный список условий и отказ

от предоставления гарантий, приводимый после этих условий в документации

и/или прочих материалах, прилагаемых к дистрибутиву.

3. Не разрешается без предварительного письменного разрешения использовать

название ″JDOM″ для поддержки или продвижения на рынок продуктов,

полученных на основе данной программы. За письменным разрешением,

пожалуйста, обращайтесь по адресу: [email protected].

4. При отсутствии предварительного письменного разрешения от JDOM Project

Management ([email protected]) запрещается присваивать продуктам, полученным на

основе данного программного обеспечения, имя ″JDOM″, и в их именах не должно

присутствовать слово ″JDOM″.

5. В дополнение мы просим (но не требуем), чтобы в документацию для конечного

пользователя, прилагаемую ко вторичному дистрибутиву и/или в саму программу

вы включали ссылку, эквивалентную следующему заявлению: ″Данный продукт

включает в себя программные средства, разработанные JDOM Project

(http://www.jdom.org/).″

6. В дополнение мы просим (но не требуем), чтобы в документацию для конечного

пользователя, прилагаемую ко вторичному дистрибутиву и/или в саму программу

вы включали ссылку, эквивалентную следующему заявлению: ″Данный продукт

включает в себя программные средства, разработанные JDOM Project

(http://www.jdom.org/).″ В качестве альтернативы, можно дать эту ссылку в

графической форме с использованием логотипов, представленных на странице

http://www.jdom.org/images/logos.

ДАННОЕ ПРОГРАММНОЕ СРЕДСТВО ПРЕДОСТАВЛЯЕТСЯ ``КАК ЕСТЬ’’





КАКИХ ОБСТОЯТЕЛЬСТВАХ НИ АВТОРЫ JDOM, НИ УЧАСТНИКИ

ПРОЕКТА НЕ БУДУТ НЕСТИ НИКАКОЙ ОТВЕТСТВЕННОСТИ НИ ЗА КАКИЕ


ПРЯМЫЕ, КОСВЕННЫЕ, СЛУЧАЙНЫЕ И ФАКТИЧЕСКИЕ УБЫТКИ ИЛИ

ШТРАФНЫЕ САНКЦИИ (ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ,

ПРИОБРЕТЕНИЕ ТОВАРОВ-ЗАМЕНИТЕЛЕЙ ИЛИ УСЛУГ; ПОТЕРЮ

ПРИГОДНОСТИ К РАБОТЕ, ДАННЫХ ИЛИ ПРИБЫЛИ; ИЛИ ПЕРЕРЫВЫ В

ПРОИЗВОДСТВЕННОЙ ДЕЯТЕЛЬНОСТИ), КОТОРЫЕ БЫЛИ ТЕМ ИЛИ

ИНЫМ СПОСОБОМ ВЫЗВАНЫ ИСПОЛЬЗОВАНИЕМ ЭТОГО

ПРОГРАММНОГО СРЕДСТВА, ДАЖЕ В СЛУЧАЕ ПРЕДВАРИТЕЛЬНОГО

УВЕДОМЛЕНИЯ О ВОЗМОЖНОСТИ ТАКОВЫХ, НЕЗАВИСИМО ОТ ТОГО,

КАКИМ ОБРАЗОМ ОНИ БЫЛИ ПРИЧИНЕНЫ И КАКОВ

ПРЕДПОЛАГАЕМЫЙ ПОРЯДОК НАСТУПЛЕНИЯ ОТВЕТСТВЕННОСТИ -

НЕПОСРЕДСТВЕННО НА ОСНОВАНИИ КОНТРАКТА ЛИБО ПО ДЕЛИКТУ

(ВКЛЮЧАЯ СЛУЧАИ ХАЛАТНОСТИ И ПРОЧИЕ.

В создание этой программы добровольно вносили вклад многие лица, действующие

от имени JDOM Project, а ее исходными создателями являются Brett McLaughlin

([email protected]) и Jason Hunter ([email protected]). Более подробную информацию о

JDOM Project смотрите по адресу: http://www.jdom.org/.

Товарные знаки

Перечисленные ниже термины являются товарными знаками или

зарегистрированными товарными знаками International Business Machines Corporation

в США и/или других странах:

AIX

DB2

IBM

Логотип IBM

MVS

OS/390

SecureWay

Tivoli

Логотип Tivoli

Universal Database

WebSphere

zSeries

z/OS

Lotus, Lotus Notes и Notes - товарные знаки Lotus Development Corporation и/или IBM

Corporation.

Domino - товарный знак International Business Machines Corporation и Lotus

Development Corporation в США и/или других странах.

Java и все основанные на Java товарные знаки и логотипы - товарные знаки или

зарегистрированные товарные знаки Sun Microsystems, Inc. в США и других странах.

Microsoft, Windows, Windows NT и логотип Windows - товарные знаки Корпорации

Microsoft в США и/или других странах. Java и все основанные на Java товарные знаки

и логотипы - товарные знаки или зарегистрированные товарные знаки Sun

Microsystems, Inc. в США и других странах.

UNIX - зарегистрированный товарный знак The Open Group в США и других странах.

Прочие названия фирм, продуктов или услуг могут являться товарными знаками или

марками сервиса других фирм.



Глоссарий

A

ACL. Смотрите список управления доступом.

B

BA. Смотрите базовая аутентификация.

C

CA. Смотрите сертификатор.

CDAS. Смотрите Cross Domain Authentication Service.

CDMF. Смотрите Cross Domain Mapping Framework.

CGI. Смотрите Common Gateway Interface.

Common Gateway Interface (CGI). Компьютерная

программа, выполняемая на Web-сервере и

использующая Common Gateway Interface (CGI) (Общий

интерфейс шлюза) для проведения операций, которые

обычно не производятся Web-сервером (например,

доступ к базам данных и обработка форм). Сценарий

CGI - это программа CGI, написанная на языке сценариев

(например, на Perl).

cookie. Информация, которую сервер сохраняет на

компьютере-клиенте и запрашивает в ходе последующих

сеансов. Файлы cookie позволяют серверам запоминать

информацию, связанную с данным клиентом.

Credentials Modification Service. Credentials Modification

Service (Служба модификации полномочий) - это модуль

plug-in среды выполнения API авторизации, с помощью

которого можно модифицировать полномочия Access

Manager. Службы модификации полномочий, созданные

заказчиками на внешнем уровне, ограничиваются

операциями добавления в списки атрибутов полномочий

и удаления из этих списков и применяются только к

атрибутам, которые считаются подлежащими

модификации.

Cross Domain Authentication Service (CDAS). Служба

WebSEAL, предоставляющая механизм совместно

используемой библиотеки, что позволяет вместо

механизмов аутентификации WebSEAL, используемых по

умолчанию, применить настроенную процедуру,

возвращающую идентификатор Tivoli Access Manager в

WebSEAL. Смотрите также WebSeal.

Cross Domain Mapping Framework (CDMF). Интерфейс

программирования, позволяющий разработчику

настроить отображение идентификаторов пользователей

и обработку атрибутов пользователей при

использовании функции SSO e-Community WebSEAL.

D

DN. Смотрите имя-идентификатор.

E

EAS. Смотрите External Authorization Authentication

Service.

Entitlement Service (Служба предоставления

полномочий). Модуль plug-in среды выполнения API

авторизации, который позволяет возвращать из

внешнего источника полномочия принципала или набор

условий. Как правило, полномочия - это данные

приложения, которые неким способом используются

приложением диспетчера ресурсов или добавляются к

полномочиям принципала для дальнейшего

использования в процессе авторизации. Заказчики могут

создавать эти службы с помощью средства Authorization

ADK.

External Authorization Service. Модуль plug-in среды

выполнения API авторизации, который можно

использовать для принятия решений по предоставлению

доступа к приложению или среде; эти решения являются

частью цепи решений по авторизации Access Manager.

Заказчики могут создавать такие службы с помощью

средства Authorization ADK.

F

File Transfer Protocol (FTP). В наборе протоколов

Интернета: протокол уровня приложений, который

использует службы Transmission Control Protocol (TCP) и

Telnet для передачи файлов с данными с одного

компьютера или хоста на другой.

G

GSO. Смотрите глобальная регистрация.

H

HTTP. Смотрите Hypertext Transfer Protocol.

Hypertext Transfer Protocol (HTTP). В комплекте

протоколов Интернета - протокол, используемый для

передачи и представления гипертекстовых документов.

I

Internet Protocol (IP). В наборе протоколов Интернета:

Протокол без установления соединения,


обеспечивающий маршрутизацию данных в сети или в

соединенных друг с другом сетях. Он функционирует как

посредник между протоколами высших уровней и

физической сетью.

Interprocess Communication (IPC). Метод, дающий

программе возможность обрабатывать одновременно

несколько запросов пользователей, создавая и управляя

индивидуальными процессами программ, одновременно

выполняемыми в операционной системе.

IP. Смотрите Internet Protocol.

IPC. Смотрите Interprocess Communication.

L

LDAP. Смотрите Lightweight Directory Access Protocol.

Lightweight Directory Access Protocol (LDAP).

Открытый протокол, который (a) использует протокол

TCP/IP для предоставления доступа к каталогам,

поддерживающим модель X.500 и (b) не предъявляет к

ресурсам такие требования, как более сложный протокол

X.500 Directory Access Protocol (DAP) (Протокол Доступа

к Каталогам). Приложения, использующие LDAP

(известные, как приложения, которым разрешено

использовать каталоги), могут использовать каталог в

качестве общего хранилища данных и для извлечения

информации о людях или службах (например, адресов

электронной почты, открытых ключей или особых

параметров конфигурации служб). LDAP изначально

описывался в RFC 1777. Описание LDAP версии 3

содержится в RFC 2251, и группа IETF продолжает

разработку дополнительных стандартных функций.

Некоторые стандартные схемы LDAP, определенные

группой IETF, приведены в RFC 2256.

Lightweight Third Party Authentication (LTPA). Каркас

системы аутентификации, который позволяет один раз

зарегистрироваться для работы с несколькими

Web-серверами, относящимися к одному домену

Интернета.

LTPA. Смотрите Lightweight Third Party Authentication.

M

Multiplexing Proxy Agent (MPA). Шлюз, который

позволяет предоставлять доступ нескольким клиентам

одновременно. Иногда эти шлюзы называют шлюзами

Wireless Access Protocol (WAP) (если клиент получает

доступ к защищенному домену через WAP). Шлюзы

устанавливают один аутентифицированный канал связи с

сервером-источником и используют его как ″туннель″

для передачи всех запросов и ответов клиента.

P

PAC. Смотрите сертификат атрибутов полномочий.

POP. Смотрите политика защищенных объектов.

S

Secure Sockets Layer (SSL). Протокол защиты,

обеспечивающий конфиденциальность соединения. SSL

позволяет приложениям типа клиент-сервер

взаимодействовать друг с другом таким образом, чтоб

предотвратить прослушивание, несанкционированное

вмешательство и подделку сообщений. SSL был

разработан Netscape Communications Corp. и RSA Data

Security, Inc.

SSL. Смотрите Secure Sockets Layer.

SSO. Смотрите однократная регистрация.

T

Tivoli Access Manager for Business Integration.

Модульный сервер Tivoli Access Manager,

предоставляющий комплексные службы защиты для IBM

MQSeries. Он расширяет среду MQSeries, обеспечивая

поддержку защиты при взаимодействии конечных точек

для разных очередей.

Tivoli Access Manager for Operating Systems.

Модульный сервер Tivoli Access Manager,

предоставляющий механизм защиты для продукта Tivoli

Identity Director. Механизм защиты перехватывает

вызовы операционной системы, требующие авторизации

(например, при получении доступа к файлам).

U

URI. Смотрите универсальный идентификатор ресурсов.

URL. Смотрите универсальный локатор ресурсов.

W

Web Portal Manager (WPM). Графическое

Web-приложение, используемое для управления

политикой защиты Tivoli Access Manager Base и

WebSEAL в защищенном домене. Этот графический

пользовательский интерфейс является альтернативой

интерфейсу командной строки pdadmin; он обеспечивает

удаленный доступ для администраторов и позволяет

администраторам создавать домены делегированных

пользователей и назначать для этих доменов

делегированных администраторов.

WebSEAL. Модульный сервер Tivoli Access Manager.

WebSEAL - это высокоэффективный, многопотоковый

Web-сервер, позволяющий применить политику защиты к

пространству защищенных объектов. WebSEAL способен


обеспечивать решения с единой регистрацией, а также

применение своей политики защиты к ресурсам

приложений на Web-серверах внутреннего интерфейса.

WPM. Смотрите раздел Web Portal Manager.

А

авторизация. (1) В компьютерной защите:

предоставление пользователю права на установление

соединения с вычислительной системой или на ее

использование. (2) Процедура предоставления

пользователю полного или ограниченного доступа к

объекту, ресурсу или функции.

активация роли. Процедура применения прав доступа к

роли.

аутентификация. (1) В компьютерной защите: проверка

идентичности пользователя или права пользователя на

доступ к объекту. (2) В компьютерной защите: проверка

того, не изменилось ли и не было ли повреждено

сообщение. (3) В компьютерной защите: процедура,

используемая для подтверждения идентичности

пользователя информационной системы или

защищенных ресурсов. Смотрите также многофакторная

аутентификация, сетевая аутентификация и повышение

уровня аутентификации.

Б

базовая аутентификация. Способ аутентификации, при

котором пользователь, прежде чем получить доступ к

защищенным сетевым ресурсам, должен ввести

действительные имя пользователя и пароль.

бизнес-права. Дополнительные атрибуты полномочий

пользователя, описывающие детализированные условия,

которые могут использоваться в запросах о

предоставлении разрешений на доступ к ресурсам.

В

виртуальный хостинг. Функция Web-сервера,

позволяющая ему представляться в Интернете в качестве

нескольких хостов.

время выполнения. Промежуток времени, в течение

которого исполняется компьютерная программа. Среда

времени выполнения - это среда исполнения.

Г

глобальная регистрация. Гибкое решение по

однократной глобальной регистрации (Global Signon -

GSO), благодаря которому пользователь может

сообщать внутреннему серверу Web-приложений

альтернативные имена и пароли. При глобальной

регистрации пользователь, зарегистрировавшись один

раз, получает возможность обращаться к

вычислительным ресурсам, доступ к которым ему

разрешен. GSO предназначена для больших предприятий,

в которых имеется несколько систем и приложений,

работающих в гетерогенных распределенных

вычислительных средах; использование GSO

освобождает пользователей от необходимости работать

с несколькими именами и паролями. Смотрите также

однократная глобальная регистрация.

группы управления доступом. Группы, используемые для

управления доступом. У каждой группы имеется

многозначный атрибут, состоящий из

имен-идентификаторов членов группы. Класс объектов

групп управления доступом - AccessGroup.

Д

данные политики. Включают в себя как данные,

связанные с политикой применения паролей, так и

данные, связанные с регистрацией.

действие. Атрибут прав доступа в списке ACL.

демон. Программа, которая выполняет стандартную

службу в автоматическом режиме. Одни демоны

запускаются для выполнения задачи автоматически;

другие функционируют периодически.

домен. (1) Часть компьютерной сети, в которой ресурсы

обработки данных находятся под общим контролем. (2)

Смотрите имя домена.

З

защищенный домен. Группа пользователей, систем и

ресурсов, совместно использующих общие службы и,

обычно, выполняющих общие задачи.

И

имя домена. В наборе протоколов Интернета: имя хоста.

Имя домена состоит из последовательности субимен,

разделенных символом-ограничителем. Например, если

полное имя домена хоста - ralvm7.vnet.ibm.com, то

каждое из приведенных ниже имен является именем

домена:

v ralvm7.vnet.ibm.com

v vnet.ibm.com

v ibm.com

имя-идентификатор. Имя-идентификатор (Distinguished

Name - DN) - это имя, которое является уникальным

идентификатором записи в каталоге.

Имена-идентификаторы состоят из пар атрибут:значение,

разделенных запятыми.

Глоссарий 227

К

качество защиты. Уровень защиты данных,

определяемый комбинацией условий аутентификации,

целостности и конфиденциальности.

ключ. В компьютерной защите: последовательность

символов, которая используется в криптографическом

алгоритме для шифрования или дешифрования данных.

Смотрите секретный ключ и открытый ключ.

ключ-гарант. В Secure Sockets Layer (SSL) - открытый

ключ и связанное с ним имя-идентификатор

сертификатора.

конфигурация. (1) Способ организации и соединения

друг с другом аппаратных и программных средств в

системе обработки информации. (2) Устройства и

программы, составляющие систему, подсистему или

сеть.

криптография RSA. Система криптографии открытого

ключа, используемая для шифрования и аутентификации.

Была изобретена в 1977 г. (авторы: Ron Rivest, Adi Shamir

и Leonard Adleman). Степень защиты системы зависит от

того, насколько сложно произвести факторизацию

произведения двух больших простых чисел.

М

маркер. (1) В локальной сети - символ полномочий,

передаваемый от одной станции данных к другой, для

того чтобы показать, что станция временно управляется

средой передачи. Каждая станция данных может

запросить и использовать маркер для управления средой.

Маркер - это особое сообщение или битовый шаблон,

удостоверяющие разрешение на передачу. (2) В

локальных сетях (LAN) - последовательность битов,

передаваемых по среде передачи от одного устройства к

другому. Если к маркеру присоединяются данные, то он

становится фреймом.

масштабируемость. Способность сетевой системы

реагировать на увеличение количества пользователей,

получающих доступ к ресурсам.

метаданные. Данные, описывающие характеристики

хранящихся данных.

многофакторная аутентификация. Правило политики

защищенных объектов (POP), согласно которому

аутентификация пользователя производится с

использованием двух или более уровней аутентификации.

Например, для управления доступом к защищенному

ресурсу может потребоваться аутентификация

пользователя как на основе имени/пароля, так и на

основе контрольной фразы типа ″имя/маркер″. Смотрите

также политика защищенных объектов.

модуль plug-in службы авторизации. Библиотека

динамической загрузки (DLL или совместно

используемая библиотека), которую клиент среды

выполнения API авторизации Access Manager может

загружать во время инициализации, чтобы выполнить

операции, расширяющие интерфейс службы в рамках API

авторизации. Доступные в настоящее время интерфейсы

службы включают в себя интерфейсы

администрирования, внешней авторизации,

модификации полномочий, предоставления прав и

управления PAC. Заказчики могут создавать такие

службы с помощью средства Authorization ADK.

модульный сервер. Компонент, обеспечивающий службы

и компоненты, свойственные данному приложению.

Н

набор протоколов Интернета. Набор протоколов,

разработанный для использования в Интернете и

опубликованный в виде документов Requests for

Comments (RFCs) рабочей группой IETF (Internet

Engineering Task Force).

назначение роли. Процедура назначения пользователю

роли, в результате чего пользователь получает

соответствующие разрешения на доступ к объекту,

указанному для этой роли.

О

объект-контейнер. Структурная единица, позволяющая

разбить пространство объектов на отдельные

функциональные области.

объект ресурса. Способ представления реального

ресурса сети, например, службы, файла или программы.

однократная регистрация. Однократная регистрация

(Single Signon - SSO) - это функция, которая дает

пользователю возможность, зарегистрировавшись один

раз, получить доступ к нескольким приложениям, не

регистрируясь для работы с каждым приложением в

отдельности. Смотрите также глобальная регистрация.

опрос. Протокол метода доступа к каналу (Channel

Access Method - CAM), когда производится запрос

данных. В сценарии ведущий/ведомый ведущий по

очереди опрашивает каждое ведомое устройство на

предмет наличия данных для передачи. Если ведомый

отвечает ″да″, устройству разрешается передать данные.

Если ведомый отвечает ″нет″, ведущий запрашивает

следующее ведомое устройство. Эта процедура

непрерывно повторяется. В случае Tivoli Access Manager

сервер WebSEAL можно сконфигурировать так, чтобы он

регулярно запрашивал главную базу данных

авторизации (политики) для обновления информации.

ответвление. Соединение HTTP или HTTPS,

устанавливаемое между сервером внешнего интерфейса

(сервером WebSEAL) и Web-сервером приложения во

внутреннем интерфейсе. За счет использования

ответвлений Web-пространство сервера внутреннего

интерфейса логически объединяется с


Web-пространством сервера WebSEAL, в результате чего

появляется возможность унифицированного просмотра

всего пространства Web-объектов. Ответвление

позволяет серверу WebSEAL предоставлять службы

защиты от имени сервера внутреннего интерфейса.

Прежде чем передавать серверу внутреннего интерфейса

запросы о предоставлении доступа к ресурсам через

ответвление, сервер WebSEAL производит

аутентификацию и авторизацию для всех этих запросов.

Ответвления также дают возможность использовать

однократную регистрацию при обращении клиента к

ответвленному приложению внутреннего интерфейса.

открытый ключ. В компьютерной защите: ключ,

известный всем. Сравните: секретный ключ.

П

пара ключей. В компьютерной защите: открытый ключ

и секретный ключ. Если пара ключей применяется для

шифрования, то отправитель для шифрования

сообщения использует общий ключ, а получатель для

расшифровки сообщения - частный ключ. Если пара

ключей применяется для подписи, то подписывающий

для шифрования представления сообщения использует

секретный ключ, а получатель для проверки подписи при

расшифровке представления сообщения - открытый

ключ.

перенастройка. Установка новой версии или выпуска

программы для замены более ранней версии или

выпуска.

повышение уровня аутентификации. Правило политики

защищенных объектов, основанное на заранее

сконфигурированной иерархии уровней аутентификации

и обеспечивающее определенный уровень

аутентификации в соответствии с политикой, заданной

для ресурса. Правило политики доступа к защищенным

объектам с повышением уровня аутентификации не

требует, чтобы пользователь проходил несколько

уровней аутентификации для получения доступа к

данному ресурсу; нужно, чтобы пользователь прошел

аутентификацию на уровне не ниже того, который

требуется в соответствии с политикой защиты этого

ресурса.

политика. Набор правил, которые применяются к

управляемым ресурсам.

политика защищенных объектов. Политика защищенных

объектов (protected object policy - POP) - это вид политики

защиты, определяющий дополнительные условия

доступа к защищенным ресурсам, применяемые после

успешной проверки на соответствие политике ACL.

Примеры POP - доступ в зависимости от времени суток и

уровень качества защиты.

полномочия. Подробная информация, запрашиваемая в

ходе аутентификации, которая описывает пользователя,

его принадлежность к группам и прочие

идентификационные атрибуты, связанные с защитой.

Полномочия могут использоваться для реализации ряда

служб, таких, как авторизация, аудит и делегирование.

пользователь. Любой человек, организация, процесс,

устройство, программа, протокол или система, которые

используют службу, предоставляемую кем-то другим.

пользовательский реестр. Смотрите реестр.

портал. Объединенный Web-сайт, который динамически

генерирует настроенный список Web- ресурсов

(например, ссылок, контента или служб), доступных для

данного пользователя; в основе списка лежат права

доступа, предоставленные этому пользователю.

право. Структура данных, содержащая информацию

политики защиты, ориентированную на внешние

приложения. Права содержат данные политики или

разрешения, сформатированные так, чтобы они были

понятны для данного приложения.

право доступа. Возможность доступа к защищенному

объекту (например, к файлу или каталогу). Количество и

значение прав доступа для объекта определяется списком

ACL.

привязка. Связывание идентификатора с другим

объектом в программе; например, связывание

идентификатора со значением, адресом или другим

идентификатором или связывание формальных

параметров с действительными параметрами.

пространство защищенных объектов. Представление

действительных ресурсов системы в виде виртуального

объекта. Это представление используется для

применения списков управления доступом (ACL) и

правил политики защищенных объектов (POP), а также

службой авторизации.

Р

разрешение на доступ. Права на доступ, применимые к

объекту в целом, или права на доступ, применимые к

классам атрибутов доступа.

реестр. (1) Хранилище данных, описывающих

информацию об учетных записях пользователей и групп,

которым разрешено работать в защищенном домене. (2)

База данных, содержащая информацию о конфигурации

системы. В этой базе данных содержится информация о

пользователе, аппаратных средствах и об установленных

программах и приложениях.

реплика. Сервер, на котором находится копия каталога

или каталогов другого сервера. Реплики служат

резервными серверами, позволяя повысить

производительность, сократить время ответа и

обеспечить целостность данных.


С

саморегистрация. Процедура, с помощью которой

пользователь может ввести необходимые данные и стать

зарегистрированным пользователем Tivoli Access

Manager без вмешательства администратора.

секретный ключ. В компьютерной защите: ключ,

известный только владельцу ключа. Сравните: открытый

ключ.

сервер политики. Сервер Tivoli Access Manager, который

обрабатывает сведения о расположении других серверов

в защищенном домене.

сервер управления. Устаревшее понятие. Смотрите

сервер политики.

сертификат. В компьютерной защите: цифровой

документ, связывающий открытый ключ с

идентификатором владельца сертификата; таким

образом удостоверяется личность владельца

сертификата. Сертификат выпускается сертификатором

(сертифицирующим учреждением).

сертификат атрибута полномочий. Описывает контейнер

данных, заданный извне для защищенного домена Tivoli

Access Manager, который содержит атрибуты

аутентификации и авторизации принципала, а также

соответствующие разрешения.

сертификатор (CA). В электронной коммерции:

организация, выдающая сертификаты. Сертификатор

проверяет личность владельца сертификата и то, какими

службами разрешено пользоваться владельцу

сертификата, выдает новые сертификаты, обновляет

существующие сертификаты и аннулирует сертификаты

тех, кто больше не имеет права ими пользоваться.

сетевая аутентификация. Политика защищенных

объектов, обеспечивающая управление доступом к

объектам на основании IP-адресов пользователей.

Смотрите также политика защищенных объектов.

служба. Операции, производимые сервером. Под

службой может подразумеваться просто обработка

запросов об отправке или сохранении данных (как в

случае серверов файлов, HTTP-серверов, почтовых

серверов и finger-серверов) или более сложные действия,

как в случае серверов печати или серверов процессов.

служба администрирования. Модуль plug-in среды

выполнения API авторизации, который позволяет

выполнять административные запросы в приложении

диспетчера ресурсов Access Manager. Служба

администрирования будет отвечать на удаленные

запросы, поступающие с командой pdadmin, при

выполнении таких задач, как вывод списка объектов для

данного узла в дереве защищенных объектов. Заказчики

могут создавать такие службы с помощью средства

Authorization ADK.

служба сертификатов атрибутов полномочий. (1) В Tivoli

Access Manager служба сертификатов атрибутов

полномочий используется для кодирования полномочий

Tivoli Access Manager в формат, пригодный для передачи

в текстовой среде, и их декодирования из этого формата.

Формат представляет собой комбинацию кодировок

ASN1 или MIME. Эта служба встроена в API

авторизации Tivoli Access Manager. (2) Модуль plug-in

клиента среды выполнения API авторизации,

преобразующий PAC заранее заданного формата в

полномочие Access Manager и обратно. Этими службами

можно также воспользоваться для упаковки полномочия

Access Manager, с тем, чтобы передать его другим членам

защищенного домена. Заказчики могут создавать такие

службы с помощью средства Authorization ADK.

соединение. (1) При обмене данными: связь,

устанавливаемая между функциональными единицами

для передачи информации. (2) В TCP/IP: путь между

двумя приложениями протокола, обеспечивающий

надежную передачу потока данных. В Интернете:

соединение между приложением TCP в одной системе и

приложением TCP в другой системе. (3) При обмене

информацией между системами: линия связи, по которой

две системы или система и устройство могут передавать

друг другу данные.

список атрибутов. В Tivoli Access Manager: связанный

список, содержащий расширенную информацию,

используемую для принятия решений по авторизации.

Список атрибутов состоит из набора пар ключевое_слово

= значение.

список управления доступом. В компьютерной защите:

Список управления доступом (Access Control List - ACL) -

это список, связанный с объектом и идентифицирующий

всех субъектов, которые имеют доступ к объекту, и их

права доступа. Например, с файлом может быть связан

список ACL, в котором указаны пользователи, имеющие

доступ к этому файлу, и определены их права доступа к

файлу.

суффиксы. Имя-идентификатор, определяющее запись

на верхнем уровне иерархии локального каталога. В

соответствии со схемой относительных именований,

которая используется в Lightweight Directory Access

Protocol (LDAP), этот суффикс применяется ко всем

остальным записям в пределах иерархии этого каталога.

На сервере каталогов может быть несколько суффиксов,

каждый из которых идентифицирует иерархию

локального каталога.

схема. Набор утверждений на языке определения

данных, полностью описывающих структуру базы

данных.

схема каталога. Типы атрибутов и классы объектов,

которые могут находиться в каталоге. Типы атрибутов и

классы объектов определяют синтаксис значений

атрибутов, а также обязательные и необязательные

атрибуты для каталога.


У

универсальный идентификатор ресурсов. Универсальный

идентификатор ресурсов (Uniform Resource Identifier -

URI) - это метод, используемый для идентификации

местонахождения контента в Интернете. URL (uniform

resource locator, универсальный локатор ресурсов) - это

частный случай URI, идентифицирующий адрес страницы

Web. URI обычно описывает (а) механизм, используемый

для получения доступа к ресурсу (например, HTTP,

HTTPS, FTP) и (б) конкретный компьютер, на котором

хранится ресурс (например, www.webserver.org) и

конкретное имя ресурса на компьютере (например,

.../products/images/serv.jpg).

универсальный локатор ресурсов. Универсальный

локатор ресурсов (Uniform Resource Locator - URL) - это

последовательность символов, представляющая

информационные ресурсы на компьютере или в сети типа

Интернета. В эту последовательность символов входят

(а) сокращенное имя протокола, используемого для

доступа к информационному ресурсу, и (б) информация,

используемая протоколом для определения

местонахождения ресурса. Примеры сокращенных имен

некоторых протоколов, используемых в Интернете для

доступа к различным информационным ресурсам: http,

ftp, gopher, telnet и news. URL домашней страницы IBM -

http://www.ibm.com.

управление доступом. В компьютерной защите:

процедура, позволяющая гарантировать, что доступ к

ресурсам компьютерной системы смогут получать

только авторизованные пользователи разрешенными

способами.

управление защитой. Отрасль управления, задача

которой - дать организации возможность управлять

доступом к приложениям и данным, от которых зависит

успех деятельности организации.

установка в ″немом″ режиме. Установка, в ходе которой

сообщения не передаются на консоль. Вместо этого

сообщения и ошибки записываются в файлы журналов.

Кроме того, при ″немой″ установке ввод данных может

осуществляться с использованием файлов ответов.

Смотрите также файлы ответа.

Ф

файл базы данных ключей. Смотрите цепь ключей.

файл ключей. Смотрите цепь ключей.

файл маршрутизации. Файл ASCII, содержащий

команды, управляющие конфигурацией сообщений.

файл ответов. Файл, содержащий набор заранее

определенных ответов на вопросы, задаваемые

программой; при использовании такого файла не нужно

вводить эти ответы по одному.

Х

хост. Компьютер, подсоединенный к сети (например, к

Интернету или к сети SNA) и представляющий собой

точку доступа в этой сети. Кроме того, в зависимости от

среды, хост может обеспечивать централизованное

управление сетью. Хост может быть клиентом, сервером

или клиентом и сервером одновременно.

Ц

цепь ключей. В компьютерной защите: файл,

содержащий открытые ключи, секретные ключи, ключи

гарантов и сертификаты.

цифровая подпись. В электронной коммерции: данные,

которые присоединяются к блоку данных (или

представляют собой криптографическое преобразование

блока данных); это позволяет получателю блока данных

проверить источник и целостность блока и распознать

потенциальную подделку.

Ш

шифр. Закодированные данные, которые невозможно

прочитать, не преобразуя их в простые (декодированные)

данные с помощью ключа.

шифрование. В компьютерной защите: процедура

преобразования данных в нечитаемый вид, чтобы

получить исходные данные было либо невозможно, либо

возможно только после расшифровки.



Индекс

Спец. символы.kdb 167

AAIX

деинсталляция компонентов 54

установкаGSKit 47

IBM Directory Client 48

компоненты Tivoli Access Manager 48

Authorization ADKдеинсталляция 60, 81, 94

DDirectory Information Tree (DIT) 19

Directory Management Tool (DMT) 24

Ggsk5ikm file 183

gsk5ikm, файл 166, 180, 184

GSOсмотрите глобальная регистрация. 19

HHP-UX

деинсталляция 60




httpd.conf, файл 21

IIBM Developer Toolkit 81

IBM Directoryклиент

включить SSL 179

деинсталляция 60, 81, 94

сервервключить SSL 165

конфигурование 20

IBM Global Security Toolkitдеинсталляция 60, 81, 94

описание 4

IBM JDK 1.2.2 81

iPlanet Directory Serverвключить SSL 171, 173

документация по продукту 26

LLANG, переменная

UNIX 16

LANG, переменная (продолжение)Windows 16

назначение 15

LDAP, серверывключить SSL 169

конфигурование 19

NNLSPATH, переменная

использование 17

PPolicy Server

перенастройка 186, 187

SsecAuthority=Default 19, 22, 28

Secure Sockets LayerIBM Global Security Toolkit 4

Secure Sockets Layer (SSL)включить 165

включить доступ на сервере LDAP 169

включить на клиенте IBM Directory 179

включить на сервере iPlanet Directory Server 171, 173

тестирование 181, 186

Server Administration, интерфейс 22

Solarisдеинсталляция 82




SSLсмотрите: Secure Sockets Layer 4

UUnicode 18

UNIXподдержка национальных языков 16

UNIX, деконфигурирование компонентов 60, 81

UTF-8, кодировка 18

WWeb Portal Manager 5

Windowsдеинсталляция компонентов 94

поддержка национальных языков 16



Tivoli Access Manager 87


Ааутентификация

сервер 165, 170

сервер и клиент 165, 170, 182

Ббез вывода сообщений, установка

замечания 157

файлы ответов 157

Вварианты локалей национальных языков 16

Гглобальная регистрация (GSO)

имя-идентификатор/суффикс 19, 23

описание 19

графические пользовательские интерфейсы (Graphical User

Interface - GUI)Server Administration 22

Web-администрирование 169

Ддеинсталляция

смотрите: деинсталляция 60, 81, 94

деинсталляция компонентовTivoli Access Manager 60, 81, 94

в AIX 54

в HP-UX 60

в Solaris 82

в Windows 94

деконфигурированиеUNIX 60, 81

Жжурнал

операции 52, 81, 94

журнал операций 52, 81, 94

Ззамечания

без вывода сообщений, установка 157

записи каталога 20

Иизвлечение самоподписанного сертификата 168, 184

имена локалейUNIX 16

Windows 16

имя-идентификатор/суффикс, GSO 19

интернационализациякаталоги сообщений 17

локали, варианты 16

наборы кодовых символов 18

переменные локалей 15

поддерживаемые языки 10

интерфейс Web-администрирования 169

Ккаталог сообщений (message catalog)

интернационализация 17

каталоги национальных языков 17

каталог, записи 20

кодировка текстасмотрите: наборы кодовых символов 18

командыdmt 24

компакт-дискиWeb Portal Manager 5

компонентысмотрите Web Portal Manager 5

смотрите: IBM Global Security Toolkit 4

контекст именований 19

конфигурация, параметры 189, 192

конфигурованиеIBM Directory Server 20

IBM WebSphere Application Server 52

корень 19

Лличный сертификат 166, 167, 183

локали, варианты 16

Мметаданные 19

Ннаборы кодовых символов

поддержка национальных языков 18

файлы, каталоги 18

Ообзор

IBM Global Security Toolkit 4

LDAP, конфигурирование сервера 19

обновлениеIBM JDK 1.2.2 81

Ппараметры

конфигурирование 189, 192

параметры языка, изменить 16

переменныеLANG

UNIX 16

Windows 16

NLSPATHиспользование 17


перенастройкаPolicy Server 186, 187

сервер политики (Policy Server) 41, 42

поддержка национальных языковварианты локалей, применение 16


поддержка национальных языков (продолжение)имена локалей

UNIX 16

Windows 16

каталоги сообщений 17

наборы кодовых символов 18

обзор 10


портыWebSEAL 21

по умолчанию 196

простая установкапараметры конфигурации 189, 192

прочие публикации xiii

Рразделы 158

реестрсмотрите: реестр DCE 41, 42, 186, 187

смотрите: реестр LDAP 41, 42, 186, 187

реестр DCE, перенастройка 41, 42, 186, 187

реестр LDAP, перенастройка 41, 42, 186, 187

Ссамоподписанный сертификат 168, 184

сервер авторизациидеинсталляция 60, 81, 94

сервер и клиент, аутентификация 165, 170, 182

сервер политики (Policy Server)перенастройка 41, 42

сервер управлениядеинсталляция 60, 81, 94

сервер, аутентификация 165, 170

сервер, сертификат 171, 172

сертификатличный 166, 167, 183

полномочия (authority) 167, 183

самоподписанный 168, 184

сервер 171, 172

сертификат подписавшегосертификат

подписавший 181, 185

сертификатор 167, 183

синтаксисфайл ответов 158

собственная установкаконфигурирование 189, 192

создание самоподписанного сертификата 168, 184

списки управления доступом (Access control lists - ACL)присоединение в ходе конфигурирования сервера LDAP 20

среда выполнениядеинсталляция 60, 81, 94

конфигурирование 189, 191, 192, 195

суффикс 19

суффиксы 22

схемы, файлы 19

Уустановка

IBM WebSphere Application Server 52

файлы ответов 158

утилита управления ключами iKeymanвключить SSL 166

утилита управления ключами iKeyman (продолжение)описание 4

создать файл базы данных ключей 179

Ффайл базы данных ключей 166, 179, 182

файл ключей 171

файлыgsk5ikm.exe 166, 180, 183, 184

httpd.conf 21

база данных ключей 179, 182

база данных ключей (.kdb) 166

ответ 157

схема (schema) 19

файл базы данных ключей (.kdb) 167

файлы ответовописание 157

синтаксис 158

Ццепь ключей 171

ЯЯзык и стандарты, Windows 16

Индекс 235


��

Напечатано в Дании

SC43-0265-01