Upload
others
View
52
Download
0
Embed Size (px)
Citation preview
IBM Tivoli Identity Manager
Руководство по конфигурированию
Версия 4.5.1
SC43-0425-00
���
IBM Tivoli Identity Manager
Руководство по конфигурированию
Версия 4.5.1
SC43-0425-00
���
Примечание:
Перед тем как воспользоваться этой информацией и продуктом, к которому она относится, прочтите информацию в разделе
“Замечания”, на стр. 173.
Первое издание (февраль 2004 г.)
Данное издание применимо к версии 4, выпуску 5, модификации 1 IBM Tivoli Identity Manager (номер продукта
5724–C34) и ко всем его последующим выпускам и модификациям, пока в новых изданиях не будет указано иное.
Данное издание заменяет собой публикацию SC32–1150–02
© Copyright International Business Machines Corporation 2004. Все права защищены.
Содержание
Предисловие . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii
Для кого предназначена эта книга . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii
Публикации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii
Библиотека Tivoli Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . vii
Публикации по необходимым продуктам . . . . . . . . . . . . . . . . . . . . . . . . viii
Публикации, связанные с данной . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix
Как получить доступ к публикациям по электронной сети . . . . . . . . . . . . . . . . . . . ix
Специальные возможности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x
Как обратиться в службу поддержки программ . . . . . . . . . . . . . . . . . . . . . . . . x
Соглашения, используемые в этой книге . . . . . . . . . . . . . . . . . . . . . . . . . . x
Типографские способы выделения текста . . . . . . . . . . . . . . . . . . . . . . . . . x
Различия, связанные с использованием разных операционных систем . . . . . . . . . . . . . . . . xi
Редакционные пометки, используемые в библиотеке документации для версии 4.5.1 . . . . . . . . . . . xi
Определения переменных каталога HOME . . . . . . . . . . . . . . . . . . . . . . . . xi
Часть 1. Базовая конфигурация системы . . . . . . . . . . . . . . . . . . . 1
Глава 1. Использование программы конфигурирования системы (runConfig) . . . . . 3
Пользовательский интерфейс средства конфигурирования системы . . . . . . . . . . . . . . . . . . 4
Файлы свойств . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Запуск программы конфигурирования системы (runConfig) . . . . . . . . . . . . . . . . . . . 5
Общие системные свойства . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Сервер приложений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Информация для планирования . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Свойства каталога . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Информация о соединении с каталогом Tivoli Identity Manager . . . . . . . . . . . . . . . . . . 8
Информация о пуле соединений LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Свойства базы данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Общая информация о базе данных . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Информация о пуле баз данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Свойства функции ведения журнала . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Уровень записи в журнал . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Трассировка исключений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Свойства почты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Информация о Web-сервере . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Информация о почте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Информация о почтовом сервере . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Свойства пользовательского интерфейса . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Логотип заказчика и ссылка на логотип заказчика . . . . . . . . . . . . . . . . . . . . . . 12
Размер страницы списка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Свойства защиты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Параметры шифрования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Параметры управления пользователями сервера приложений . . . . . . . . . . . . . . . . . . 13
Конфигурирование свойств при помощи графического пользовательского интерфейса Tivoli Identity Manager . . . . 14
Глава 2. Настройка графического пользовательского интерфейса Tivoli Identity
Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Как сконфигурировать пользовательский логотип . . . . . . . . . . . . . . . . . . . . . . . 15
Добавление логотипа в графический пользовательский интерфейс Tivoli Identity Manager . . . . . . . . . 15
Настройка вывода списков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Как задать максимальное число элементов на странице . . . . . . . . . . . . . . . . . . . . 16
Как задать максимальное число ссылок на странице . . . . . . . . . . . . . . . . . . . . . 16
Пользовательские атрибуты дисплея . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Настройка шрифтов и цветов . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
© Copyright IBM Corp. 2004 iii
|||
Глава 3. Конфигурирование управления учетными записями и паролями . . . . . . 19
Конфигурирование приостановки/восстановления сотрудников вместе с учетными записями . . . . . . . . . 19
Конфигурирование дополнительной подсказки о пароле при восстановлении сотрудников/учетных записей . . . . 19
Недопустимые пароли . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Добавление слов в словарь паролей . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Исключение учетных записей из согласования . . . . . . . . . . . . . . . . . . . . . . . . 21
Как выбрать учетные записи, которые нужно исключить из согласования . . . . . . . . . . . . . . 21
Настройка шаблонов электронной почты . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Часть 2. Расширенная конфигурация системы . . . . . . . . . . . . . . . . 23
Глава 4. Конфигурирование связи SSL . . . . . . . . . . . . . . . . . . . . . 25
Обзор SSL и цифровых сертификатов . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Что такое секретные ключи и цифровые сертификаты . . . . . . . . . . . . . . . . . . . . . 26
Форматы ключей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Типы реализации SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Сводная информация по конфигурированию и схема . . . . . . . . . . . . . . . . . . . . . . 28
Внедрение Tivoli Identity Manager на сервере WebSphere . . . . . . . . . . . . . . . . . . . . 28
Внедрение Tivoli Identity Manager на сервере WebLogic . . . . . . . . . . . . . . . . . . . . . 28
Конфигурирование связи SSL между браузером и Web-сервером (WebSphere) . . . . . . . . . . . . . . 29
1. Генерирование требования о выдаче подписанного сертификата (Certificate Signing Request - CSR) . . . . . 29
2. Установка подписанного сертификата . . . . . . . . . . . . . . . . . . . . . . . . . 30
3. Конфигурирование Web-сервера для SSL . . . . . . . . . . . . . . . . . . . . . . . . 31
Конфигурирование связи SSL между браузером и Web-сервером (WebLogic) . . . . . . . . . . . . . . 33
Конфигурирование связи SSL между сервером и агентом . . . . . . . . . . . . . . . . . . . . 35
Конфигурирование сертификатов сервера при односторонней аутентификации SSL . . . . . . . . . . . 36
Конфигурирование подписанного сертификата на агенте . . . . . . . . . . . . . . . . . . . . 37
Конфигурирование связи SSL, инициируемой агентом (агент-Web-сервер) . . . . . . . . . . . . . . . 38
Агент на основе ADK, сконфигурированный для уведомлений о событиях . . . . . . . . . . . . . . 38
Загрузка идентификаторов для программы, использующей интерфейс JNDI . . . . . . . . . . . . . 38
Агент на основе IBM Directory Integrator (IDI) . . . . . . . . . . . . . . . . . . . . . . . 38
Глава 5. Конфигурирование решений с однократной регистрацией . . . . . . . . 41
Обзор функций однократной регистрации . . . . . . . . . . . . . . . . . . . . . . . . . 41
Конфигурирование однократной регистрации при использовании WebSEAL . . . . . . . . . . . . . . 42
Требования, предупреждения и обходные способы . . . . . . . . . . . . . . . . . . . . . . 42
Процедура конфигурирования . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Конфигурирование однократной регистрации при использовании модулей Plug-in Tivoli Access Manager . . . . . 44
Создание ответвления WebSEAL при использовании Tivoli Identity Manager . . . . . . . . . . . . . . . 44
Создание ответвления TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Создание ответвления SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Как задать URL для ответвления . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Часть 3. Конфигурирование пользовательских отчетов . . . . . . . . . . . 53
Глава 6. Установка и использование компонента Incremental Data Synchronizer . . . 55
Базовая информация по инкрементной синхронизации данных . . . . . . . . . . . . . . . . . . . 56
Роль журнала изменений ACI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Как включить поддержку журнала изменений сервера каталога . . . . . . . . . . . . . . . . . . 57
Опции установки Incremental Data Synchronizer . . . . . . . . . . . . . . . . . . . . . . . . 57
Установка Incremental Data Synchronizer в системе WebSphere/UNIX . . . . . . . . . . . . . . . . . 57
Установка на отдельном компьютере . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Установка на одном компьютере . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Установка Incremental Data Synchronizer в системе WebSphere/Windows . . . . . . . . . . . . . . . . 60
Установка на отдельном компьютере . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Установка на одном компьютере . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Установка Incremental Data Synchronizer в системе WebLogic/UNIX . . . . . . . . . . . . . . . . . 63
Установка на отдельном компьютере . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Установка на одном компьютере . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
iv IBM Tivoli Identity Manager: Руководство по конфигурированию
||||
||
Установка Incremental Data Synchronizer в системе WebLogic/Windows . . . . . . . . . . . . . . . . . 65
Установка на отдельном компьютере . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Установка на одном компьютере . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Как запустить Incremental Data Synchronizer . . . . . . . . . . . . . . . . . . . . . . . . . 68
Графический режим . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Режим командной строки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Настройка Incremental Data Synchronizer . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Глава 7. Конфигурирование Crystal Reports . . . . . . . . . . . . . . . . . . . 73
Поток процессов при использовании отчетов Crystal Reports . . . . . . . . . . . . . . . . . . . . 74
Конфигурирование Tivoli Identity Manager для работы в сочетании с Crystal Reports . . . . . . . . . . . . 75
1. Конфигурирование RAS (поддерживается только на платформе Windows) . . . . . . . . . . . . . 75
2a. Конфигурирование Tivoli Identity Manager (WebSphere в Windows) . . . . . . . . . . . . . . . . 75
2b. Конфигурирование Tivoli Identity Manager (WebSphere в UNIX) . . . . . . . . . . . . . . . . . 77
2c. Конфигурирование сервера Tivoli Identity Manager (WebLogic в Windows) . . . . . . . . . . . . . 79
2d. Конфигурирование Tivoli Identity Manager (WebLogic в UNIX) . . . . . . . . . . . . . . . . . 80
3. Конфигурирование клиента (поддерживается только на платформе Windows) . . . . . . . . . . . . 81
Глава 8. Разработка условий фильтров Crystal . . . . . . . . . . . . . . . . . . 83
Учебник по разработке условий фильтров . . . . . . . . . . . . . . . . . . . . . . . . . 83
Примеры отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Как задать условия JOIN в дизайнере отчетов при разработке отчетов . . . . . . . . . . . . . . . 85
Глава 9. Разработка условий фильтров пользовательских отчетов . . . . . . . . . 89
Учебник по разработке условий фильтров . . . . . . . . . . . . . . . . . . . . . . . . . 89
Примеры отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Использование функций в отчетах . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Как задать условия JOIN в дизайнере отчетов при разработке отчетов . . . . . . . . . . . . . . . 91
Часть 4. Справочник по файлам свойств . . . . . . . . . . . . . . . . . . 95
Глава 10. Конфигурирование системных свойств . . . . . . . . . . . . . . . . . 97
Что такое файлы свойств . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Параметры конфигурации, связанные с WebLogic . . . . . . . . . . . . . . . . . . . . . . . 99
Параметры конфигурации, связанные с WebSphere . . . . . . . . . . . . . . . . . . . . . . 103
Информация о сервере приложений . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Информация об арендаторе по умолчанию . . . . . . . . . . . . . . . . . . . . . . . . . 109
Информация о сервере LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Информация о кэше . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Информация для службы сообщений . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Информация для планирования . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Параметры монитора транзакций паролей . . . . . . . . . . . . . . . . . . . . . . . . . 116
Информация XML и DTD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Информация о пуле соединений LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Информация о шифровании . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Программа конфигурирования системы . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Информация о конфигурации рабочих потоков . . . . . . . . . . . . . . . . . . . . . . . 121
Конфигурация почтовых служб . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Информация о согласовании . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Хэширование общего секретного пароля . . . . . . . . . . . . . . . . . . . . . . . . . 128
Свойства двусторонней аутентификации SSL . . . . . . . . . . . . . . . . . . . . . . . . 129
Конфигурация пользовательского интерфейса управления требованиями . . . . . . . . . . . . . . . 130
Конфигурация требований приложения-клиента . . . . . . . . . . . . . . . . . . . . . . . 131
Глава 11. Конфигурирование дополнительных свойств . . . . . . . . . . . . . 133
Что такое файлы свойств . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
adhocreporting.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
crystal.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
DataBaseFunctions.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Содержание v
||
||||||
enRoleAuthentication.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Конфигурирование пользовательского механизма аутентификации . . . . . . . . . . . . . . . . 142
enRoleDatabase.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
enRoleLDAPConnection.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
enRoleLogging.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
enRoleMail.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
enrolepolicies.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
enroleworkflow.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
fesiextensions.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
UI.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
CustomLabels.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Дополнительные файлы свойств . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Часть 5. Приложения . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Приложение. Замечания . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Товарные знаки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Глоссарий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Индекс . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
vi IBM Tivoli Identity Manager: Руководство по конфигурированию
||
Предисловие
Вас приветствует Руководство по конфигурированию IBM
® Tivoli
® Identity Manager.
Для кого предназначена эта книга
Это руководство предназначено для системных администраторов и администраторов
защиты, которые производят установку, администрирование или обслуживание
программ на компьютерах, относящихся к их участку работы. Предполагается, что
читатели знакомы с основными принципами управления системой и защитой. Кроме
того, читатель должен иметь представление о принципах управления следующими
программными средствами:
v Сервер каталога
v Сервер базы данных
v Встроенная поддержка службы сообщений WebSphere®
v WebSphere Application Server или WebLogic
v Серверы IBM HTTP Server
Публикации
Ознакомьтесь с описанием библиотеки Tivoli Identity Manager, перечнем необходимых
публикаций и родственными публикациями, чтобы узнать, какие из них могут
оказаться вам полезны. Определив, какие публикации вам нужны, прочтите
инструкции, которые позволят вам получить к ним доступ по электронной сети.
Библиотека Tivoli Identity Manager
Публикации, входящие в библиотеку технической документации по Tivoli Identity
Manager, подразделяются на следующие категории:
v Информация по выпуску
v Онлайновая справка для пользователей
v Установка сервера
v Администрирование и конфигурирование
v Технические дополнения
v Установка агента
Информация по выпуску:
v IBM Tivoli Identity Manager: Замечания по выпуску
Здесь приводятся требования к программным и аппаратным средствам,
необходимым для работы с Tivoli Identity Manager, а также информация о
дополнительных исправлениях и пэтчах и прочая информация о поддержке).
v Tivoli Identity Manager: Прочесть в первую очередь
Онлайновая справка для пользователей:
v Онлайновая справка для пользователей Tivoli Identity Manager
Содержит интегрированные разделы электронной справки по выполнению всех
административных задач в Tivoli Identity Manager.
Установка сервера:
© Copyright IBM Corp. 2004 vii
v IBM Tivoli Identity Manager Server Installation Guide on UNIX and Linux using
WebSphere
Здесь содержится информация по установке Tivoli Identity Manager.
v IBM Tivoli Identity Manager Server Installation Guide on Windows using WebSphere
Здесь содержится информация по установке Tivoli Identity Manager.
v IBM Tivoli Identity Manager Server Installation Guide on UNIX using WebLogic
Здесь содержится информация по установке Tivoli Identity Manager.
v IBM Tivoli Identity Manager Server Installation Guide on Windows 2000 using WebLogic
Здесь содержится информация по установке Tivoli Identity Manager.
Администрирование и конфигурирование:
v IBM Tivoli Identity Manager Policy and Organization Administration Guide
Здесь содержится информация по выполнению административных задач в Tivoli
Identity Manager.
v IBM Tivoli Identity Manager: Руководство для конечного пользователя
Здесь содержится информация для начинающих пользователей Tivoli Identity
Manager.
v Руководство по конфигурированию IBM Tivoli Identity Manager
Здесь приводится информация по конфигурированию Tivoli Identity Manager в среде
с одним сервером и в кластеризованной среде.
Технические дополнения:
v IBM Tivoli Identity Manager Problem Determination Guide
Здесь приводится дополнительная информация по устранению ошибок для
продукта Tivoli Identity Manager.
Установка агента:
v Библиотека технической документации по Tivoli Identity Manager также включает в
себя набор документации по установке агентов для реализации Tivoli Identity
Manager на различных платформах.
Публикации по необходимым продуктам
Чтобы эффективно пользоваться данной книгой, нужно иметь представление оп
продуктах, необходимых для работы Tivoli Identity Manager. Эти публикации можно
найти на следующих страницах:
v WebSphere Application Server
http://www.ibm.com/software/webservers/appserv/support.html
Примечание: Ниже приводится краткий список технических публикаций, в которых
описываются установка и конфигурирование WebSphere Application
Server, а также обеспечение дополнительной защиты. Хотя на момент
выпуска в печать данной публикации этот список был свежим, эта
информация уже могла устареть. Обращайтесь за рекомендованным
списком источников информации к местному представителю по
работе с заказчиками.
– IBM WebSphere Application Server V5.0 System Management and
Configuration (IBM WebSphere Application Server V5.0: Управление
системой и конфигурирование), техническая публикация IBM
– IBM WebSphere Application Server V5.0 Security (IBM WebSphere
Application Server V5.0: Защита), техническая публикация IBM
viii IBM Tivoli Identity Manager: Руководство по конфигурированию
v WebLogic
http://e-docs.bea.com/
v Серверы баз данных
– IBM DB2
http://www.ibm.com/software/data/db2/udb/support.html
http://www.ibm.com/software/data/db2
– Oracle
http://otn.oracle.com/tech/index.html
– Microsoft SQL Server 2000 (SP3)
http://msdn.microsoft.com/library/v Приложения серверов каталога
– IBM Directory Server
http://www.ibm.com/software/network/directory
– Sun ONE Directory Server
http://wwws.sun.com/software/products/directory_srvr/5.1/index.htmlv WebSphere (или IBM MQSeries)
http://www.ibm.com/software/ts/mqseries
v Web-прокси-сервер
– IBM HTTP Server
http://www.ibm.com/software/webservers/httpservers/library.html
– Microsoft IIS HTTP Server
http://www.microsoft.com/technet/prodtechnol/iis/default.asp
– Apache HTTP Server
http://httpd.apache.org/docs-project
Публикации, связанные с данной
Информация по вопросам, связанным с сервером Tivoli Identity Manager, имеется в
следующих публикациях:
v В библиотеке публикаций по программам Tivoli содержатся разнообразные
публикации Tivoli: оригинальные статьи, информационные документы,
демонстрационные материалы, технические публикации и письма с объявлениями.
Библиотеке публикаций по программам Tivoli находится в Web по адресу:
http://www.ibm.com/software/tivoli/library/
v Глоссарий для программ Tivoli (Tivoli Software Glossary) содержит определения
многих технических терминов, связанных с программами Tivoli. Доступ к
глоссарию для программ Tivoli (Tivoli Software Glossary) (только на английском
языке) можно получить, воспользовавшись ссылкой Глоссарий в левой части
Web-страницы библиотеки по программам Tivoli; адрес этой страницы:
http://www.ibm.com/software/tivoli/library/
Как получить доступ к публикациям по электронной сети
Публикации по данному продукту можно найти в электронной сети в формате PDF
(Portable Document Format) и/или HTML (Hypertext Markup Language) в библиотеке по
программам Tivoli по адресу:
http://www.ibm.com/software/tivoli/library
Предисловие ix
Чтобы найти в этой библиотеке публикации по тому или иному продукту, щелкните
по ссылке Product manuals (Руководства по продуктам) в левой части страницы
библиотеки. Затем найдите на странице информационного центра программных
средств Tivoli название нужного продукта и щелкните по нему.
В число публикаций по продукту входят замечания по выпуску, руководства по
установке, руководства пользователей, руководства администраторов и справочники
разработчиков.
Примечание: Чтобы обеспечить правильный вывод на печать публикаций в формате
PDF, выберите в окне Adobe Acrobat Print (это окно появится, когда вы
щелкнете по File → Print - Файл → Печать) переключатель Fit to page
(Уместить на странице).
Специальные возможности
Поддержка специальных возможностей для работы с документацией по продукту
учтена следующим образом:
v Документация представлена в формате HTML и преобразуемом формате PDF,
чтобы обеспечить максимум возможностей использования программ чтения
информации с экрана.
v Все рисунки в документации сопровождаются альтернативным описанием, чтобы
пользователи с нарушениями зрения смогли понять содержимое рисунков.
Как обратиться в службу поддержки программ
Прежде чем обращаться в службу поддержки программных средств IBM Tivoli (IBM
Tivoli Software Support) по поводу неполадок, попробуйте найти ответы на свои
вопросы на Web-сайте IBM Tivoli Software Support; для этого щелкните по ссылке
Tivoli Support на следующей Web-странице:
http://www.ibm.com/software/support/
Если вам потребуется дополнительная помощь, обратитесь в службу поддержки
программ одним из способов, описанных в документе IBM Software Support Guide
(Руководство по поддержке программ IBM), который находится на следующем
Web-сайте:
http://techsupport.services.ibm.com/guides/handbook.html
В этом руководстве содержится следующая информация:
v Порядок регистрации и условия предоставления поддержки
v Номера телефонов в зависимости от того, в какой стране вы находитесь
v Перечень информации, которую нужно собрать перед обращением в службу
поддержки заказчиков
Соглашения, используемые в этой книге
В данной публикации используется ряд условных обозначения для выделения
специальных терминов и действий, а также команд операционной системы и путей.
Типографские способы выделения текста
В этом справочнике используются следующие типографские способы выделения
текста:
x IBM Tivoli Identity Manager: Руководство по конфигурированию
Полужирный шрифт
Полужирным шрифтом выделены команды в нижнем или смешанном
регистре, которые трудно распознать среди окружающего их текста,
ключевые слова, параметры, опции, имена классов и объектов Java.
Курсив Переменные, названия публикаций и отдельные слова или фразы, которые
нужно выделить, напечатаны курсивом.
Моноширинный шрифт
Примеры кода, командные строки, экранный вывод, имена файлов и
каталогов, которые трудно распознать среди окружающего их текста,
системные сообщения, текст, который должен ввести пользователь, а также
значения аргументов или командных опций выделены моноширинным шрифтом.
Различия, связанные с использованием разных
операционных систем
В данной книге переменные среды и пути каталогов указаны в соответствии с
правилами именования UNIX. Если вы работаете в Windows, то, задавая в командной
строке переменные среды, заменяйте $имя_переменной на %имя_переменной%, а
указывая пути каталогов - заменяйте прямую косую черту (/) на обратную косую
черту (\). Если вы используете оболочку bash в системе Windows, можете применять
условные обозначения UNIX.
Редакционные пометки, используемые в библиотеке
документации для версии 4.5.1
В библиотеке технической документации по Tivoli Identity Manager версии 4.5.1
используются редакционные пометки, которые указывают технические изменения по
сравнению с документацией, относящейся к версии 4.5. Редакционные пометки
представляют собой вертикальные линии ( | ) на полях страниц и находятся слева от
изменений.
Определения переменных каталога HOME
В приведенной ниже таблице содержатся определения по умолчанию, которые
используются в данном документе для обозначения домашних каталогов, куда
устанавливаются различные продукты. В вашей реализации могут использоваться
другие каталоги установки и домашние каталоги продуктов. В этом случае вы
должны будете подставлять соответствующие значения для каждой из переменных,
представленных в данной таблице.
Переменная пути Определение по умолчанию
ITIM_HOME Windows:
c:\itim45\
UNIX:
/itim45/
WAS_HOME Windows:
C:\Program Files\WebSphere\AppServer\
UNIX:
/opt/WebSphere/AppServer/
Предисловие xi
Переменная пути Определение по умолчанию
WAS_NDM_HOME Windows:
C:\Program Files\WebSphere\DeploymentManager\
UNIX:
/opt/WebSphere/DeploymentManager/
BEA_HOME Windows:
c:\bea\
UNIX:
/usr/local/bea/
xii IBM Tivoli Identity Manager: Руководство по конфигурированию
Часть 1. Базовая конфигурация системы
Глава 1. Использование программы
конфигурирования системы (runConfig) . . . . 3
Пользовательский интерфейс средства
конфигурирования системы . . . . . . . . . 4
Файлы свойств . . . . . . . . . . . . . 5
Запуск программы конфигурирования системы
(runConfig) . . . . . . . . . . . . . . 5
Запуск программы конфигурирования системы
(UNIX) . . . . . . . . . . . . . . 5
Запуск программы конфигурирования системы
(Windows) . . . . . . . . . . . . . 6
Общие системные свойства . . . . . . . . . . 6
Сервер приложений . . . . . . . . . . . 6
Информация для планирования . . . . . . . 7
Частота . . . . . . . . . . . . . . 7
Срок хранения в корзине (в днях) . . . . . . 7
Свойства каталога . . . . . . . . . . . . 7
Информация о соединении с каталогом Tivoli
Identity Manager . . . . . . . . . . . . 8
Информация о пуле соединений LDAP . . . . . 8
Свойства базы данных . . . . . . . . . . . 8
Общая информация о базе данных . . . . . . 9
Информация о пуле баз данных . . . . . . . 9
Свойства функции ведения журнала . . . . . . 10
Уровень записи в журнал . . . . . . . . . 10
Трассировка исключений . . . . . . . . . 10
Свойства почты . . . . . . . . . . . . . 10
Информация о Web-сервере . . . . . . . . 11
Информация о почте . . . . . . . . . . 12
Информация о почтовом сервере . . . . . . 12
Свойства пользовательского интерфейса . . . . . 12
Логотип заказчика и ссылка на логотип заказчика 12
Размер страницы списка . . . . . . . . . 12
Свойства защиты . . . . . . . . . . . . 13
Параметры шифрования . . . . . . . . . 13
Параметры управления пользователями сервера
приложений . . . . . . . . . . . . . 13
Конфигурирование свойств при помощи
графического пользовательского интерфейса Tivoli
Identity Manager . . . . . . . . . . . . . 14
Глава 2. Настройка графического
пользовательского интерфейса Tivoli Identity
Manager . . . . . . . . . . . . . . . 15
Как сконфигурировать пользовательский логотип . . 15
Добавление логотипа в графический
пользовательский интерфейс Tivoli Identity Manager 15
Настройка вывода списков . . . . . . . . . 16
Как задать максимальное число элементов на
странице . . . . . . . . . . . . . . 16
Как задать максимальное число ссылок на
странице . . . . . . . . . . . . . . 16
Пользовательские атрибуты дисплея . . . . . . 16
Настройка шрифтов и цветов . . . . . . . 16
Глава 3. Конфигурирование управления
учетными записями и паролями . . . . . . 19
Конфигурирование приостановки/восстановления
сотрудников вместе с учетными записями . . . . 19
Конфигурирование дополнительной подсказки о
пароле при восстановлении сотрудников/учетных
записей . . . . . . . . . . . . . . . . 19
Недопустимые пароли . . . . . . . . . . . 20
Добавление слов в словарь паролей . . . . . 20
Исключение учетных записей из согласования . . . 21
Как выбрать учетные записи, которые нужно
исключить из согласования . . . . . . . . 21
Настройка шаблонов электронной почты . . . . . 21
© Copyright IBM Corp. 2004 1
||||
| | | | | | |
| |
2 IBM Tivoli Identity Manager: Руководство по конфигурированию
Глава 1. Использование программы конфигурирования
системы (runConfig)
Конфигурирование сервера Tivoli Identity Manager осуществляется путем управления
различными системными свойствами. Каждому системному свойству соответствует
значение, которое контролирует порядок работы сервера Tivoli Identity Manager.
Например, при помощи системного свойства можно указать, сможет ли пользователь
сразу войти в систему, если даст правильный ответ на контрольный вопрос, или же
ему будет отправлено по электронной почте сообщение с новым паролем.
Системные свойства конфигурируются следующими способами:
v При помощи утилиты конфигурирования системы, runConfig, которая описана в
данной главе
v Вручную, путем изменения значений свойств в соответствующих файлах свойств.
– Подробную информацию о системных свойствах (enrole.properties) смотрите
в разделе Глава 10, “Конфигурирование системных свойств”, на стр. 97.
– Подробную информацию о дополнительных свойствах смотрите в разделе
Глава 11, “Конфигурирование дополнительных свойств”, на стр. 133.
Темы раздела:
v “Пользовательский интерфейс средства конфигурирования системы” на стр. 4
v “Общие системные свойства” на стр. 6
v “Свойства каталога” на стр. 7
v “Свойства базы данных” на стр. 8
v “Свойства функции ведения журнала” на стр. 10
v “Свойства почты” на стр. 10
v “Свойства пользовательского интерфейса” на стр. 12
v “Свойства защиты” на стр. 13
v “Конфигурирование свойств при помощи графического пользовательского
интерфейса Tivoli Identity Manager” на стр. 14
© Copyright IBM Corp. 2004 3
Пользовательский интерфейс средства конфигурирования системы
В этом разделе содержится информация о программе конфигурирования системы
Tivoli Identity Manager. После установки сервера Tivoli Identity Manager системный
администратор может при помощи программы средства конфигурирования системы
изменить информацию о том или ином системном свойстве.
Системные свойства можно изменить в любой момент. Возможно, что после
изменения некоторых системных свойств, придется перезапустить Tivoli Identity
Manager. Например, изменения системных свойств, внесенные модулями запуска
системы, не будут распознаны, пока вы не перезапустите сервер. Изменения других
системных свойств программа может распознать в течение 30 секунд. Наиболее
ярким примером являются свойства функции ведения журнала. Свойства функции
ведения журнала можно изменить, не перезапуская сервер, и изменения вступят в силу
в течение 30 секунд.
Утилита runConfig - это графический инструмент, позволяющий изменить наиболее
часто используемые свойства сервера Tivoli Identity Manager. Изменения, внесенные
при помощи этого средства, автоматически записываются в соответствующие файлы
свойств. Программа runConfig размещается в каталоге bin.
При помощи программы runConfig можно проверить или изменить значения
следующих системных свойств:
v Информацию о сервере приложений
– Имя хоста сервера Tivoli Identity Manager (в случае WebSphere это значение
предназначено только для чтения; в случае WebLogic его можно изменить)
– Номер порта TCP/IP (в случае WebSphere это значение предназначено только
для чтения; в случае WebLogic его можно изменить)
– Номер порта SSL TCP/IP (в случае WebSphere это значение предназначено
только для чтения; в случае WebLogic его можно изменить)
– Информацию для планированияv Информацию о репозитории каталога
– Имя хоста сервера каталога
– DN и пароль принципала, которые сервер Tivoli Identity Manager использует для
подключения к системе сервера каталога
– Номер порта для сервера каталога
– Информацию о пуле соединений LDAPv Информацию о репозитории базы данных
– Тип базы данных
– IP-адрес и порт сервера базы данных
– Имя службы базы данных
– Учетную запись и пароль, которые сервер Tivoli Identity Manager использует для
подключения к базе данных
– Информацию о пуле соединений с базой данныхv Информацию для входа в систему
– Уровень трассировки и вывода сообщенийv Информацию о почтовых уведомлениях
– URL для входа в систему Tivoli Identity Manager
– Почтовый хост SMTP для отправки почтовых уведомлений
– Имя адресата для электронных уведомлений
4 IBM Tivoli Identity Manager: Руководство по конфигурированию
v Информацию о пользовательском интерфейсе
– Определение логотипа заказчика
– Ссылку на URL заказчика
– Размер страницы спискаv Информацию о защите
– Параметр шифрования
– Пароль системного пользователя
– Пароль пользователя EJB
Файлы свойств
Системные и дополнительные файлы свойств находятся на сервере Tivoli Identity
Manager в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM/data. В этих файлах содержатся все
системные и дополнительные свойства, используемые сервером.
v Подробную информацию о свойствах системы (enrole.properties) смотрите в
разделе Глава 10, “Конфигурирование системных свойств”, на стр. 97.
v Подробную информацию о дополнительных свойствах смотрите в разделе
Глава 11, “Конфигурирование дополнительных свойств”, на стр. 133.
Запуск программы конфигурирования системы (runConfig)
Средство конфигурирования системы входит и в версию Tivoli Identity Manager для
Windows®, и в версию Tivoli Identity Manager для UNIX®.
Примечание: Для работы с утилитой runConfig в системах UNIX (включая Linux)
нужно использовать систему X Window System.
v “Запуск программы конфигурирования системы (UNIX)” на стр. 5
v “Запуск программы конфигурирования системы (Windows)” на стр. 6
Запуск программы конфигурирования системы (UNIX)
Чтобы запустить средство конфигурирования системы в UNIX, выполните
следующее:
1. Войдите в систему на компьютере, на котором установлен сервер Tivoli Identity
Manager, зарегистрировавшись в качестве пользователя root.
2. Перейдите в домашний каталог Tivoli Identity Manager.
# cd ДОМАШНИЙ_КАТАЛОГ_ITIM
3. Перейдите в каталог /bin.
# cd bin
4. Убедитесь, что текущим каталогом является каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/bin.
# pwd
$ ДОМАШНИЙ_КАТАЛОГ_ITIM/bin
5. Введите runConfig и нажмите Enter.
Откроется пользовательский интерфейс конфигурирования системы.
Теперь вы можете приступать к изменению системных свойств.
6. Измените системные свойства, как вам требуется, и щелкните по ОК.
Более подробную информацию о конфигурируемых системных свойствах
смотрите в следующих разделах.
Примечание: Если вы щелкнете по ОК, изменения будут сохранены, и
пользовательский интерфейс закроется. Если вы щелкнете по
Применить, изменения будут сохранены, но пользовательский
интерфейс не закроется.
Глава 1. Использование программы конфигурирования системы (runConfig) 5
||
||
Запуск программы конфигурирования системы (Windows)
Чтобы запустить средство конфигурирования системы в Windows, выполните
следующее:
1. Зарегистрируйтесь в операционной системе, где установлен сервер Tivoli Identity
Manager, воспользовавшись учетной записью системного администратора.
2. Откройте Проводник Windows.
3. Откройте домашний каталог сервера Tivoli Identity Manager.
4. Откройте каталог bin.
5. Дважды щелкните по программе runConfig.
Откроется пользовательский интерфейс конфигурирования системы.
Теперь вы можете приступать к изменению системных свойств.
6. Измените системные свойства, как вам требуется, и щелкните по ОК.
Более подробную информацию о конфигурируемых системных свойствах
смотрите в следующих разделах.
Примечание: Если вы щелкнете по ОК, изменения будут сохранены, и
пользовательский интерфейс закроется. Если вы щелкнете по
Применить, изменения будут сохранены, но пользовательский
интерфейс не закроется.
IBM рекомендует после изменения любых свойств при помощи средства
конфигурирования системы перезапускать сервер Tivoli Identity Manager.
Общие системные свойства
На вкладке Общие пользовательского интерфейса конфигурирования системы
находятся поля с информацией о конфигурации сервера приложения и планировщика.
Смотрите также раздел Глава 10, “Конфигурирование системных свойств”, на стр. 97.
Сервер приложений
Примечание: В случае WebSphere, информация в этом разделе показана только для
справки. Изменить эту информацию нельзя. В случае WebLogic, эти
поля можно изменять.
В поле Информация о сервере приложений показана информация о
компьютере-сервере приложения, включая имя хоста, номер порта TCP и номер
порта SSL.
Рисунок 1. вкладка Общие
6 IBM Tivoli Identity Manager: Руководство по конфигурированию
||
Информация для планирования
Частота
В поле с информацией о планировщике находится информация о том, как часто поток
планировщика запрашивает из складов запланированных сообщений информацию о
событиях для обработки (Частота). Частота выражается в секундах. Изменить
частоту может только системный администратор.
Срок хранения в корзине (в днях)
При удалении объектов Tivoli Identity Manager (например, подразделений
организации, сотрудников или учетных записей) эти объекты не удаляются из
системы немедленно. Вместо этого они перемещаются в корзину. Очистка корзины -
это отдельная процедура (именуемая ″сбором мусора″), для выполнения которой
нужно вручную запустить сценарии очистки.
Предельный срок хранения в корзине задает срок в днях, в течение которого объект
должен оставаться в системной корзине, прежде чем его можно будет удалить при
помощи запускаемых вручную сценариев очистки. Предельный срок нахождения в
корзине защищает объекты, помещенные в корзину, от удаления сценариями очистки
до истечения заданного промежутка времени.
Когда задан предельный срок хранения в корзине, сценарии очистки могут удалять
только объекты, срок хранения которых превышает заданный предельный срок
хранения. Например, если предельный срок хранения составляет 62 дня (это значение
по умолчанию), удалить при помощи запускаемых вручную сценариев очистки можно
будет только объекты, возраст которых превышает 62 дня (которые находились в
корзине более 62 дней).
При помощи указанных ниже сценариев очистки можно удалять из корзины записи,
которые находятся там дольше заданного предела времени:
Windows:
ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win\ldapClean.cmd
UNIX:
ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix/ldapClean.sh
Рекомендуется запланировать периодическую процедуру очистки корзины. на
платформах Windows вы можете зарегистрировать указанный выше командный
сценарий в планировщике Windows. На платформе UNIX вы можете создать задание
cron UNIX.
Прилагается пример сценария cron UNIX:
ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix/schedule_garbarge.cron
Свойства каталога
На вкладке Каталог пользовательского интерфейса конфигурирования системы
содержится информация о соединении с сервером каталога Tivoli Identity Manager, а
также информация о пуле соединений LDAP. На вкладке Каталог также есть кнопка
Тест, позволяющая проверить соединение с сервером каталога.
Глава 1. Использование программы конфигурирования системы (runConfig) 7
Смотрите также ″enRoleLDAPConnection.properties″ в разделе Глава 11,
“Конфигурирование дополнительных свойств”, на стр. 133.
Информация о соединении с каталогом Tivoli Identity
Manager
В полях с информацией о соединении с каталогом сервера Tivoli Identity Manager
показаны DN принципала сервера каталога, пароль, имя хоста и номер порта.
Информация о пуле соединений LDAP
Информация о пуле соединений LDAP задает пул соединений LDAP, доступных
серверу Tivoli Identity Manager. В поле Максимальный размер пула показано
максимальное число соединений, которое может находиться в пуле соединений LDAP
в каждый данный момент времени. В поле Исходный размер пула соединений
показано исходное число соединений, создаваемых для пула соединений LDAP. В поле
Приращение показано число соединений, которое добавляется в пул соединений
LDAP каждый раз, когда запрашивается новое соединение, а все соединения уже
используются.
Примечание: Если после установления соединения и сохранения данных на сервере
каталога LDAP изменить имя хоста или номер порта, это может иметь
нежелательные последствия.
Свойства базы данных
На вкладке База данных пользовательского интерфейса конфигурирования системы
содержится общая информация о базе данных и информация о пуле баз данных. На
вкладке База данных также есть кнопка Тест, позволяющая проверить соединение с
базой данных. В зависимости от используемого типа соединения при
конфигурировании свойств базы данных появится одно из нескольких диалоговых
окон.
Примечание: В базе данных содержатся журнал аудита и информация о рабочем
потоке для системы. Изменение конфигурации после настройки системы
может привести к нежелательным последствиям.
В показанном ниже диалоговом окне показана вкладка База данных, если сервер
Tivoli Identity Manager не использует клиент Oracle для соединения с базой данных
Oracle. При таком типе соединения используется драйвер JDBC типа IV (Oracle Thin).
Аналогично, для Microsoft SQLServer используется драйвер JDBC типа 4.
Рисунок 2. Вкладка Каталог
8 IBM Tivoli Identity Manager: Руководство по конфигурированию
Смотрите также ″enRoleDatabase.properties″ в разделе Глава 11, “Конфигурирование
дополнительных свойств”, на стр. 133.
Общая информация о базе данных
В полях общей информации о базе данных находится такая информация, как тип
базы данных, имя или алиас базы данных и имя пользователя базы данных.
v В поле Тип базы данных показан тип базы данных, используемый для вашей
системы.
v Только для DB2: В поле Имя или Алиас базы данных показано, как сервер Tivoli
Identity Manager соединяется с базой данных.
Если база данных установлена локально, значение в этом поле соответствует
имени базы данных.
Если база данных установлена на удаленном компьютере, значение в этом поле
соответствует алиасу удаленной базы данных.
v Только Oracle: Метка поля: Database IP:Port:Name (IP-адрес базы
данных:Порт:Имя)
v Только Microsoft SQLServer: Метка поля: Database IP:Port:Service Name (IP-адрес
базы данных:Порт:Имя службы)
v Только для Oracle и Microsoft SQLServer: Используются драйверы JDBC типа 4.
Никакой клиентской программы не требуется.
v В поле Пользователь базы данных показана учетная запись, которую сервер Tivoli
Identity Manager использует для входа в базу данных. В качестве ID пользователя
должно быть указано значение ″enrole″, создаваемое программой
конфигурирования базы данных Tivoli Identity Manager (DBConfig).
У этой учетной записи должен быть действительный пароль.
v В поле Пароль пользователя находится пароль для учетной записи пользователя
базы данных.
Информация о пуле баз данных
Информация о пуле баз данных определяет число соединений JDBC. В поле Initial
Capacity (Исходная мощность) показано исходное число соединений JDBC. В поле
Maximum Capacity (Максимальная мощность) показано максимальное число
соединений JDBC с базой данных, которые сервер Tivoli Identity Manager может
открыть в каждый момент времени. В поле Login Delay Seconds (Время задержки, в
сек) показан интервал времени между соединениями (в секундах).
Рисунок 3. Вкладка База данных
Глава 1. Использование программы конфигурирования системы (runConfig) 9
||
Свойства функции ведения журнала
На вкладке Запись в журнал средства конфигурирования системы находятся
параметры ведения журнала и трассировки для сервера Tivoli Identity Manager.
Смотрите также ″enRoleLogging.properties″ в разделе Глава 11, “Конфигурирование
дополнительных свойств”, на стр. 133.
Уровень записи в журнал
Сервер Tivoli Identity Manager записывает события в файл журнала. В поле Уровень
записи в журнал показано, насколько подробно ведется запись в журнал при
трассировке системных ошибок. Системные администраторы могут указать,
насколько подробно должен вестись журнал, установив в поле Уровень записи в
журнал число, соответствующее одному из уровней в диапазоне от информационных
сообщений до невосстановимых ошибок. При записи только невосстановимых
ошибок в журнал записывается меньше информации, чем если задан уровень записи
информации. При запись информации в журнал записываются большие объемы
уведомлений. Чтобы обеспечить более высокую производительность Tivoli Identity
Manager, укажите уровень, задающий запись только невосстановимых ошибок.
Трассировка исключений
Сервер Tivoli Identity Manager производит трассировку системных ошибок. При
трассировке осуществляется сбор информации для службы поддержки IBM.
Системный администратор может включить или выключить трассировку, выбрав
радиокнопки Да или Нет в блоке Трассировка исключений.
Свойства почты
На вкладке Почта средства конфигурирования системы находятся параметры
почтовых уведомлений и шлюзов.
Рисунок 4. Вкладка Запись в журнал
10 IBM Tivoli Identity Manager: Руководство по конфигурированию
Смотрите также ″enRoleMail.properties″ в разделе Глава 11, “Конфигурирование
дополнительных свойств”, на стр. 133.
Информация о Web-сервере
Новые пользователи Tivoli Identity Manager впервые видят URL для входа в систему
Tivoli Identity Manager в виде гиперссылки, включенной в электронное сообщение.
Этот URL для входа в систему основан на значении URL, находящемся в поле URL
сервера Identity Manager (базовый URL) на вкладке Почта.
Обратите внимание не то, что в поле базового URL вы указываете только имя хоста
(IP-адрес) и порт. Это значение должно совпадать с опубликованным URL для входа
в вашу систему Tivoli Identity Manager.
В среде с одним сервером, где используется сервер WebSphere Application Server,
базовый URL должен представлять собой URL Web-сервера (например, сервера IBM
HTTP Server), который по умолчанию использует порт 80 для соединений HTTP и
порт 443 - для соединений HTTPS (это не номера портов сервера приложений,
который по умолчанию использует порт 9080 для HTTP и порт 9443 - для HTTPS).
В кластеризованной среде и в среде функционального кластера, где используется
WebSphere Application Server, базовый URL должен представлять собой URL
Web-сервера, который распределяет нагрузку по всем экземплярам серверов
приложений в кластере (а не базовый URL какого-то отдельного экземпляра сервера
приложений).
В среде с одним сервером, где используется сервер приложений WebLogic и НЕ
используется коммерческий Web-сервер, базовый URL должен представлять собой
URL сервера приложений, на котором есть встроенный компонент Web-сервера.
Например, 7001 для HTTP и 7002 - для HTTPS.
В среде с одним сервером, где используется сервер приложений WebLogic и
коммерческий Web-сервер, базовый URL должен представлять собой URL
Web-сервера, который по умолчанию использует порт 80 для соединений HTTP и
порт 443 - для соединений HTTPS (это не номера портов сервера приложений).
В кластере, где используется сервер приложений WebLogic, базовый URL должен
представлять собой URL прокси-сервера – либо коммерческого Web-сервера с
установленным и сконфигурированным модулем plug-in BEA WebLogic, либо другого
сервера приложений WebLogic, сконфигурированного и работающего в качестве
прокси-сервера. В качестве базового URL НЕ следует использовать URL какого-то
отдельного экземпляра сервера приложений в кластере.
Рисунок 5. Вкладка Почта
Глава 1. Использование программы конфигурирования системы (runConfig) 11
Информация о почте
В поле ″Почта от″ указан адрес электронной почты системного администратора
Tivoli Identity Manager для вашего сайта.
Все электронные сообщения будут доставляться с использованием параметра Почта
от. Это поле является обязательным. В этом поле должен быть указан правильно
сформатированный адрес электронной почты.
Информация о почтовом сервере
Поддерживаются почтовые серверы SMTP. Хост SMTP представляет собой почтовый
шлюз.
Свойства пользовательского интерфейса
На вкладке UI средства конфигурирования системы системный администратор
может настроить графический пользовательский интерфейс сервера Tivoli Identity
Manager.
Смотрите также ″UI.properties″ в разделе Глава 11, “Конфигурирование
дополнительных свойств”, на стр. 133.
Логотип заказчика и ссылка на логотип заказчика
В поле Логотип заказчика находится имя файла изображения-логотипа. Ссылка на
логотип заказчика - это дополнительная ссылка на URL, которая активируется, если
щелкнуть по логотипу. Системный администратор может задать эти две переменные,
чтобы везде в системе Tivoli Identity Manager заменить логотип IBM на логотип своей
компании.
Более подробную информацию об изменении логотипа и ссылки смотрите в разделе
“Как сконфигурировать пользовательский логотип” на стр. 15.
Размер страницы списка
В поле Размер страницы списка показано, сколько элементов может включать в себя
любой список, появляющийся в любом месте пользовательского интерфейса. Если
общее число элементом превысит значение, заданное в поле Размер страницы списка,
список будет разбит на несколько страниц.
Более подробную информацию об изменении размера страницы списка смотрите в
разделе “Настройка вывода списков” на стр. 16.
Рисунок 6. Вкладка UI
12 IBM Tivoli Identity Manager: Руководство по конфигурированию
Свойства защиты
На вкладке Защита средства конфигурирования системы находятся параметры
шифрования и параметры управления пользователями сервера приложений для
сервера Tivoli Identity Manager.
Смотрите также ″enRoleAuthentication.properties″ в разделе Глава 11,
“Конфигурирование дополнительных свойств”, на стр. 133.
Параметры шифрования
Шифрование (переключатель)
если этот переключатель включен, пароли, используемые для соединения с базой
данных и LDAP, и пароль пользователя EJB, используемый для аутентификации EJB,
будут шифроваться. Флагам шифрования присваивается значение true. В файле
enRole.properties этим флагам соответствуют следующие свойства:
enrole.password.database.encrypted
enrole.password.ldap.encryped
enrole.password.appServer.encrypted
Если этот переключатель не включен, пароли не шифруются, и в качестве флагов
шифрования устанавливается значение false.
Параметры управления пользователями сервера
приложений
Здесь можно задать и подтвердить пароль для следующих пользователей:
v Системный пользователь
ID и пароль пользователя WebSphere Application Server.
v Пользователь EJB
Имя пользователя и пароль, которые следует задать до запуска установки.
Примечание: Это поле может содержать уже подставленное значение - System User
(Системный пользователь). Измените значение в этом поле на имя
пользователя EJB. Более подробную информацию смотрите в
приложении Замечания относительно защиты в соответствующей
версии публикации IBM Tivoli Identity Manager Server Installation Guide
(Руководство по установке сервера IBM Tivoli Identity Manager).
Рисунок 7. Вкладка Защита
Глава 1. Использование программы конфигурирования системы (runConfig) 13
Конфигурирование свойств при помощи графического
пользовательского интерфейса Tivoli Identity Manager
Некоторые системные свойства также можно изменить в разделе Конфигурация в
навигационной строке главного меню графического пользовательского интерфейса
Tivoli Identity Manager.
На вкладке Конфигурация можно изменить следующие свойства:
v Режим вопросов при забытом пароле
v Разрешить/запретить изменение паролей
v Срок действия пароля (время в сутках)
Это свойство применимо только к учетным записям сервера Tivoli Identity Manager.
Пользователь должен изменить пароль до истечения этого срока. Срок действия
пароля отсчитывается с момента назначения пароля для учетной записи Tivoli
Identity Manager. Можно сделать так, чтобы срок действия пароля никогда не
кончался - для этого нужно задать значение, равное нулю.
v Срок получения пароля (время в часах)
После создания новой учетной записи пользователь получит электронное
сообщение со ссылкой (URL), позволяющей получить пароль. Пользователь
должен получить пароль до истечения заданного срока получения пароля.
v Максимальное число неудачных попыток регистрации
Задает максимально допустимое число неудачных попыток входа в систему. Если
это число будет превышено, учетная запись приостанавливается. Значение по
умолчанию - ″0″ (число попыток входа в систему не ограничено).
14 IBM Tivoli Identity Manager: Руководство по конфигурированию
Глава 2. Настройка графического пользовательского
интерфейса Tivoli Identity Manager
В этой главе содержится информация по настройке графического пользовательского
интерфейса Tivoli Identity Manager.
Смотрите также ″UI.properties″ в разделе Глава 11, “Конфигурирование
дополнительных свойств”, на стр. 133.
Темы раздела:
v “Как сконфигурировать пользовательский логотип” на стр. 15
v “Настройка вывода списков” на стр. 16
v “Пользовательские атрибуты дисплея” на стр. 16
Как сконфигурировать пользовательский логотип
Можно сделать так, чтобы в правом верхнем углу каждой страницы графического
пользовательского интерфейса Tivoli Identity Manager появлялся логотип компании
заказчика. Этот логотип можно также связать с URL. По умолчанию, в этом месте
находится логотип IBM (IBM_banner.gif), связанный с Web-сайтом IBM, и, если
щелкнуть по логотипу, можно перейти на этот сайт. Системные администраторы
могут добавить логотип своей компании, выполнив следующие действия:
Добавление логотипа в графический пользовательский
интерфейс Tivoli Identity Manager
1. Скопируйте файл GIF, содержащий логотип компании, в следующий каталог:
WebSphere:
ДОМАШНИЙ_КАТАЛОГ_WAS/installedApps/enrole.ear/enrole.war/images
WebLogic:
ДОМАШНИЙ_КАТАЛОГ_BEA/user_projects/itim/applications/enrole/images
2. Запустите средство конфигурирования системы.
Дополнительную информацию смотрите в разделе Глава 1, “Использование
программы конфигурирования системы (runConfig)”, на стр. 3.
3. Щелкните по вкладке UI (Пользовательский интерфейс).
4. Введите имя файла GIF в поле Логотип заказчика.
5. По желанию: Введите URL в поле Ссылка на логотип заказчика, чтобы связать
логотип с соответствующим Web-сайтом.
6. Щелкните по ОК.
Внесенные изменения будут сохранены в файле UI.properties, и средство
конфигурирования системы закроется.
© Copyright IBM Corp. 2004 15
|
|
|
||
|
|
|
|
|
|
Настройка вывода списков
На многих страницах в графическом пользовательском интерфейсе Tivoli Identity
Manager содержатся списки элементов на том или ином уровне. Можно
сконфигурировать этих страниц параметры, определяющие число элементов на
странице и число ссылок на страницы с продолжением списка. По умолчанию, на
странице появляется не более десяти элементов, и максимальное число ссылок на
страницы также равно десяти.
Эти два параметра конфигурируются в двух разных местах. Число элементов на
странице в списке следует задавать с помощью средства конфигурирования системы.
Число ссылок на страницы с продолжением списка указывается в файле
UI.properties, находящемся в папке ДОМАШНИЙ_КАТАЛОГ_ITIM/data.
Как задать максимальное число элементов на странице
1. Запустите средство конфигурирования системы.
Более подробную информацию смотрите в разделе Глава 1, “Использование
программы конфигурирования системы (runConfig)”, на стр. 3.
2. Щелкните по вкладке UI (Пользовательский интерфейс).
3. В поле Размер страницы списка введите число элементов, которые могут
появиться на странице.
4. Щелкните по ОК.
Изменения будут сохранены, и пользовательский интерфейс конфигурирования
системы закроется.
Как задать максимальное число ссылок на странице
1. Войдите в систему на компьютере, на котором установлен сервер Tivoli Identity
Manager.
2. Перейдите в папку data.
3. Откройте файл UI.properties в текстовом редакторе.
4. Измените значение свойства enrole.ui.pageLinkMax на нужное значение.
Ниже приводится пример того, как можно задать это свойство в файле:
enrole.ui.pageLinkMax=10
5. Сохраните и закройте файл UI.properties.
Измененные параметры немедленно появятся в пользовательском интерфейсе
системы.
Пользовательские атрибуты дисплея
Графический пользовательский интерфейс Tivoli Identity Manager можно настроить
так, задав для него нужные вам шрифты и цвета, а также ограничив число элементов,
которые могут появиться на странице.
После внесения изменений всегда перезапускайте систему.
Настройка шрифтов и цветов
Системные шрифты и цвета, используемые в графическом пользовательском
интерфейсе, можно настроить путем изменения значений в файле Styles.css,
который находится в следующей папке:
WebSphere:
16 IBM Tivoli Identity Manager: Руководство по конфигурированию
ДОМАШНИЙ_КАТАЛОГ_WAS/installedApps/<имя_сервера>/enrole.ear/app_web.war/en
WebLogic:
ДОМАШНИЙ_КАТАЛОГ_BEA/user_projects/itim/applications/enrole/en
Глава 2. Настройка графического пользовательского интерфейса Tivoli Identity Manager 17
|
|
18 IBM Tivoli Identity Manager: Руководство по конфигурированию
Глава 3. Конфигурирование управления учетными записями
и паролями
Темы раздела:
v “Конфигурирование приостановки/восстановления сотрудников вместе с учетными
записями” на стр. 19
v “Конфигурирование дополнительной подсказки о пароле при восстановлении
сотрудников/учетных записей” на стр. 19
v “Недопустимые пароли” на стр. 20
v “Исключение учетных записей из согласования” на стр. 21
v “Настройка шаблонов электронной почты” на стр. 21
Конфигурирование приостановки/восстановления сотрудников
вместе с учетными записями
Указанное ниже свойство можно вручную добавить в файл enRole.properties,
чтобы изменить режим работы функции приостановки и восстановления
сотрудников, управляемых API приложений:
com.ibm.itim.personManagement.suspendRestorePersonWithAccounts
Допустимые значения:
v true
API приостановки и восстановления сотрудников также приостанавливают и
восстанавливают учетные записи сотрудников.
v false
API приостановки и восстановления сотрудников не приостанавливают и не
восстанавливают учетные записи сотрудников.
Значение этого свойства по умолчанию задает следующий режим:
v При приостановке доступа сотрудника также приостанавливаются все учетные
записи этого сотрудника
v При восстановлении доступа сотрудника его учетные записи не
восстанавливаются.
Конфигурирование дополнительной подсказки о пароле при
восстановлении сотрудников/учетных записей
Указанное ниже свойство можно вручную добавить в файл enRole.properties,
чтобы изменить режим работы функции подсказки о пароле при восстановлении
учетных записей (и восстановлении сотрудников, если включен переключатель
″Восстанавливать учетные записи″):
account.restore.password.suppress
Это свойство влияет и на восстановление учетных записей, и на восстановление
сотрудников (если включен переключатель ″Восстанавливать учетные записи″).
Допустимые значения:
v true
© Copyright IBM Corp. 2004 19
|
|
|
|||
|
|
|
||
|
||
|
||
||
|
|
||||
|
||
|
|
Подсказка о пароле для восстанавливаемой учетной записи или сотрудника (если
включен переключатель ″Восстанавливать учетные записи″) отключается. Вместо
этого будет появляться окно с подтверждением.
Однако, этот режим не будет использоваться, если для восстановления хотя бы
одной из выбранных учетных записей требуется пароль. В этом случае Tivoli
Identity Manager все равно запросит пароль, даже если для данного свойства задано
значение ″true″ (подавление вывода подсказки).
То, требуется ли пароль для восстановления учетной записи, определено в профиле
службы агента, в файле resource.def.
v false
Подсказка о пароле для восстанавливаемой учетной записи или сотрудника (если
включен переключатель ″Восстанавливать учетные записи″) остается включенной.
Недопустимые пароли
Сервер Tivoli Identity Manager можно сконфигурировать так, чтобы пользователям
было запрещено использовать те или иные слова в качестве паролей для учетных
записей. Эти слова записываются в словаре паролей на сервере каталога LDAP. В
этом словаре паролей находится список слов, которые нельзя использовать в качестве
пароля.
Этот словарь можно изменить с помощью браузера LDAP, создав записи
erDictionaryItem в разделе erDictionaryName=<password> или импортировав файл
LDIF, содержащий нужные записи, на сервер каталога.
Ниже приводится пример файла LDIF, в котором указаны слова, которые нужно
запретить для использования в качестве паролей:
dn: erword=apple, erdictionaryname=password, ou=ITIM, dc=com
objectClass: top
objectClass: erdictionaryitem
erWord: apple
dn: erword=orange, erdictionaryname=password, ou=ITIM, dc=com
objectClass: top
objectClass: erdictionaryitem
erWord: orange
Единственное значение, которое подлежит изменению - это значение erword. Значение
erword задает слово, которое нельзя использовать в качестве пароля.
Примечание: После последней строки в файле LDIF должен стоять символ перевода
каретки, иначе запись не будет распознана.
Создав словарь паролей с нужными значения, следует изменить правила политики
паролей так, чтобы они действовали с учетом словаря паролей. Более подробную
информацию об изменении правил политики паролей смотрите в публикации IBM
Tivoli Identity Manager Policy and Organization Administration Guide.
Добавление слов в словарь паролей
Чтобы добавить слова в словарь паролей, сделайте следующее:
1. Создайте файл LDIF, указав в нем слова, которые нужно добавить в словарь
паролей.
2. Импортируйте этот файл LDIF на сервер каталога LDAP.
20 IBM Tivoli Identity Manager: Руководство по конфигурированию
|||
||||
||
|
||
Исключение учетных записей из согласования
В ходе согласования с управляемого ресурса возвращаются все учетные записи, если в
запросе не указано иное. Учетная запись присваивается автоматически, если
какой-либо пользователь в системе будет распознан в качестве ее владельца или если
для учетной записи существует алиас.
Однако сервер Tivoli Identity Manager можно сконфигурировать так, чтобы не
допустить автоматического присвоения тех или иных учетных записей. Эта функция
позволяет избежать автоматического присвоения системных учетных записей
(например, root, lp, sys и etc) на ресурсах UNIX. В этом случае пользователи не
смогут случайно или умышленно присвоить и изменить учетные записи, необходимые
для работы системы.
Хотя эти записи не будут присваиваться автоматически, администратор все равно
сможет присвоить их тем или иным пользователям вручную.
Учетные записи, которые следует исключить из согласования, можно задать в файле
LDIF. Ниже приводится пример записей в файле LDIF:
dn: ou=excludeAccounts, ou=ITIM, ou=ITIM, dc=com
ou: excludeAccounts
objectClass: top
objectClass: organizationalunit
dn: cn=SolarisProfile, ou=excludeAccounts, ou=ITIM, ou=ITIM, dc=com
erObjectProfileName: SolarisProfile
objectClass: top
objectClass: eridentityexclusion
cn: SolarisProfile
erAccountID: root
erAccountID: admin
cn и erObjectProfileName - это имя профиля службы. Исключенные учетные записи
можно задать с помощью атрибута erAccountID. Например, можно исключить
учетные записи root и admin из процедуры автоматического присвоения в ходе
согласования для службы Solaris.
Как выбрать учетные записи, которые нужно исключить из
согласования
Чтобы выбрать учетные записи, которые нужно исключить из согласования, сделайте
следующее:
1. Создайте файл LDIF, содержащий имена учетных записей, которые следует
исключить из согласования, а также имена служб, для доступа к которым
используются эти учетные записи.
2. Импортируйте этот файл LDIF на сервер каталога LDAP.
Смотрите также ″Информация о согласовании″ в разделе Глава 11,
“Конфигурирование дополнительных свойств”, на стр. 133.
Настройка шаблонов электронной почты
На сервере Tivoli Identity Manager в качестве общего шаблона для всех стандартных
электронных сообщений, связанных с процессами рабочего потока в системе,
используется статический файл формата HTML (HyperText Markup Language). Этот
файл позволяет управлять тем, какая информация будет представлена в электронном
сообщении, и тем, как она будет отображаться на экране.
Глава 3. Конфигурирование управления учетными записями и паролями 21
|
|||||
Имя этого HTML-файла - notifytemplate.html, и он находится в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data/workflow_systemprocess.
В этом HTML-файле можно изменять все атрибуты за исключением трех переменных,
перед которыми стоит знак доллара (’$’). Эти переменные указаны ниже:
v $TITLE
v $BODY
v $BASE_URL
Общие атрибуты, которые можно изменить - это цвет фона и такие атрибуты таблиц,
как размер и цвет ячейки.
22 IBM Tivoli Identity Manager: Руководство по конфигурированию
||
||
|
|
|
||
Часть 2. Расширенная конфигурация системы
Глава 4. Конфигурирование связи SSL . . . . 25
Обзор SSL и цифровых сертификатов . . . . . . 25
Что такое секретные ключи и цифровые
сертификаты . . . . . . . . . . . . . 26
Форматы ключей . . . . . . . . . . . 27
Типы реализации SSL . . . . . . . . . . 27
Сводная информация по конфигурированию и схема 28
Внедрение Tivoli Identity Manager на сервере
WebSphere . . . . . . . . . . . . . . 28
Внедрение Tivoli Identity Manager на сервере
WebLogic . . . . . . . . . . . . . . 28
Конфигурирование связи SSL между браузером и
Web-сервером (WebSphere) . . . . . . . . . 29
1. Генерирование требования о выдаче
подписанного сертификата (Certificate Signing
Request - CSR) . . . . . . . . . . . . 29
2. Установка подписанного сертификата . . . . 30
3. Конфигурирование Web-сервера для SSL . . . 31
Конфигурирование связи SSL между браузером и
Web-сервером (WebLogic) . . . . . . . . . . 33
Конфигурирование связи SSL между сервером и
агентом . . . . . . . . . . . . . . . . 35
Конфигурирование сертификатов сервера при
односторонней аутентификации SSL . . . . . 36
Использование корневого сертификата
стороннего сертификатора . . . . . . . 36
Использование сертификатов, сгенерированных
и подписанных с помощью утилит OpenSSL . . 36
Конфигурирование подписанного сертификата на
агенте . . . . . . . . . . . . . . . 37
Конфигурирование связи SSL, инициируемой агентом
(агент-Web-сервер) . . . . . . . . . . . . 38
Агент на основе ADK, сконфигурированный для
уведомлений о событиях . . . . . . . . . 38
Загрузка идентификаторов для программы,
использующей интерфейс JNDI . . . . . . . 38
Агент на основе IBM Directory Integrator (IDI) . . 38
Глава 5. Конфигурирование решений с
однократной регистрацией . . . . . . . . 41
Обзор функций однократной регистрации . . . . 41
Конфигурирование однократной регистрации при
использовании WebSEAL . . . . . . . . . . 42
Требования, предупреждения и обходные способы 42
Предупреждение: SSO при использовании
нескольких учетных записей сотрудников . . . 42
Требование: Задать язык среды: . . . . . . 42
Обходной путь: Конфигурирование разницы
часовых поясов . . . . . . . . . . . 43
Процедура конфигурирования . . . . . . . 43
Конфигурирование однократной регистрации при
использовании модулей Plug-in Tivoli Access Manager . 44
Создание ответвления WebSEAL при использовании
Tivoli Identity Manager . . . . . . . . . . . 44
Создание ответвления TCP . . . . . . . . 45
Создание ответвления SSL . . . . . . . . 48
Как задать URL для ответвления . . . . . . 51
© Copyright IBM Corp. 2004 23
24 IBM Tivoli Identity Manager: Руководство по конфигурированию
Глава 4. Конфигурирование связи SSL
В этой главе рассказывается, какие задачи по администрированию и
конфигурированию необходимо выполнить, чтобы настроить среду внедрения Tivoli
Identity Manager для использования цифровых сертификатов для
SSL-аутентификации.
Обзор и сводная информация о конфигурировании:
v “Обзор SSL и цифровых сертификатов” на стр. 25
v “Сводная информация по конфигурированию и схема” на стр. 28
Информация о конфигурировании Tivoli Identity Manager при использовании
WebSphere:
v “Конфигурирование связи SSL между браузером и Web-сервером (WebSphere)” на
стр. 29
v “Конфигурирование связи SSL между сервером и агентом” на стр. 35
Информация о конфигурировании Tivoli Identity Manager при использовании
WebLogic:
v “Конфигурирование связи SSL между браузером и Web-сервером (WebLogic)” на
стр. 33
v “Конфигурирование связи SSL между сервером и агентом” на стр. 35
Дополнительная информация:
v “Конфигурирование связи SSL, инициируемой агентом (агент-Web-сервер)” на стр.
38
Обзор SSL и цифровых сертификатов
В среде внедрения Tivoli Identity Manager следует учитывать вопросы защиты обмена
информацией между всеми сконфигурированными компонентами. В среде внедрения
Tivoli Identity Manager для защиты связи используется стандартный механизм Secure
Sockets Layer (SSL), в котором аутентификация производится на основе цифровых
сертификатов.
SSL обеспечивает защиту соединения, позволяя двум приложениям связаться друг с
другом по сети и аутентифицировать друг друга. Кроме того, SSL позволяет
шифровать данные, которыми обмениваются эти приложения. Посредством
аутентификации сервер (в случае односторонней аутентификации) и, если
понадобится, клиент (в случае двусторонней аутентификации) проверяют
идентичность приложения на другом конце сетевого соединения. При использовании
шифрования данные передаются по сети в таком виде, чтобы они были понятны
только получателю, для которого они предназначаются.
В основе использования SSL лежат следующие понятия:
v SSL обеспечивает механизм, посредством которого одно приложение
аутентифицирует себя для другого приложения.
v Односторонняя аутентификация SSL позволяет одному приложению
удостовериться в идентичности другого приложения.
© Copyright IBM Corp. 2004 25
v Двусторонняя аутентификация SSL (взаимная аутентификация) позволяет двум
приложениям удостовериться в идентичности друг друга.
v У приложения, которое принимает на себя роль ″сервера″, имеется сертификат
стороны сервера, который позволяет ему доказать свою идентичность
приложению-клиенту.
v При взаимной аутентификации у приложения, которое принимает на себя роль
″клиента″, имеется сертификат стороны клиента, который позволяет ему доказать
свою идентичность приложению-серверу.
v Приложение, которому представили сертификат, должно располагать корневым
сертификатом (или цепью сертификатов) сертификатора (CA), который подписал
представленный сертификат. Корневой сертификат CA (или цепь сертификатов)
позволяет проверить представленный сертификат.
v В клиентских соединениях, если браузеру клиента представят сертификат,
выданный кем-либо помимо известного сертификатора, браузер клиента оповестит
об этом пользователя.
Что такое секретные ключи и цифровые сертификаты
Секретные ключи, цифровые сертификаты и доверенные сертификаторы дают
возможность удостоверить и проверить идентичность сетевого приложения.
В SSL при аутентификации используется технология шифрования с открытым
ключом. При шифровании с открытым ключом для приложения генерируются
открытый ключ и секретный ключ. Эти ключи связаны друг с другом таким образом,
что данные, зашифрованные с использованием открытого ключа, можно
расшифровать только с помощью соответствующего секретного ключа. И
аналогично, данные, зашифрованные с использованием секретного ключа, можно
расшифровать только с помощью соответствующего открытого ключа. Секретный
ключ надежно защищен, чтобы сообщения, зашифрованные при помощи открытого
ключа, мог расшифровать только владелец.
Открытый ключ встроен в цифровой сертификат наряду с дополнительной
информацией, описывающей владельца открытого ключа (к такой информации
относится имя, почтовый адрес и адрес электронной почты). Секретный ключ и
цифровой сертификат обеспечивают подтверждение идентичности приложения.
Доверенный сертификатор (CA) проверяет данные, встроенные в цифровой
сертификат, и снабжает их цифровой подписью с использованием цифрового
сертификата сертификатора. К известным сертификаторам относятся Verisign и
Entrust.net. Доверенный сертификатор становится гарантом идентичности
приложения.
Приложение, участвующее в установлении соединения SSL, проходит
аутентификацию, когда другая сторона проверяет и принимает ее цифровой
сертификат. Цифровой сертификат, используемый при аутентификации, проверяется
при помощи связанного с ним корневого сертификата сертификатора, который
хранится в принимающем приложении.
Web-браузеры, серверы и другие приложения, поддерживающие SSL, обычно считают
подлинным все цифровые сертификаты, подписанные доверенными сертификаторами
и являющиеся действительными во всех остальных отношениях. Например,
цифровой сертификат может быть отвергнут, если истек срок его действия или истек
срок действия цифрового сертификата сертификатора, который его подписал.
Сертификат сервера может не пройти проверку, если имя хоста в цифровом
сертификате сервера не совпадет с именем хоста, которое указал клиент.
26 IBM Tivoli Identity Manager: Руководство по конфигурированию
Форматы ключей
Сервер WebLogic может работать с цифровыми сертификатами в форматах .pem,
.arm и .der.
Файл формата .pem (privacy-enhanced mail) начинается и заканчивается следующими
строками:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Файл формата .pem поддерживает несколько цифровых сертификатов (например, в
него можно включить цепь сертификатов). Однако порядок расположения цифровых
сертификатов в этом файле имеет важное значение. Например, сертификат A,
сертификат B (это должен быть эмитент сертификата A), сертификат C (это должен
быть эмитент сертификата B),... и так до корневого сертификатора.
Файл формата .arm представляет собой двоичный файл зашифрованный в кодировке
ASCII. В файле .arm содержится зашифрованное ASCII-представление сертификата,
закодированное при помощи base-64, включая его секретный ключ, но без открытого
ключа. Файл формата .arm генерируется и используется утилитой GSKit iKeyman
(только в WebSphere).
Файл формата .der содержит двоичные данные. Файл формата .der можно
использовать только для хранения одного сертификата, в то время как в файле
формата .pem может находиться несколько сертификатов.
Типы реализации SSL
Компоненты в конфигурации Tivoli Identity Manager используют несколько
реализаций SSL:
v IBM Global Security Toolkit (GSKit)
Используется сервером IBM HTTP Server.
v RSA SSL-J
Используется продуктом Tivoli Identity Manager.
v RSA SSL-C
Используется агентом.
v Open SSL
Используется агентом.
Защищенная связь SSL используется в конфигурации Tivoli Identity Manager в трех
местах:
v Между Web-браузером клиента и Web-сервером, который используется сервером
приложения Tivoli Identity Manager
v Между сервером Tivoli Identity Manager и агентами Tivoli Identity Manager
v При инициируемой агентом связи SSL между Web-сервером и агентом
Глава 4. Конфигурирование связи SSL 27
||
|
|
|
|
|
|
|
|
Сводная информация по конфигурированию и схема
Приведенная в этом разделе информация представляет собой схему
конфигурирования среды внедрения Tivoli Identity Manager для использования SSL.
Внедрение Tivoli Identity Manager на сервере WebSphere
Приведенная ниже сводная информация по конфигурированию относится к
внедрению Tivoli Identity Manager на сервере WebSphere Application Server.
v Сконфигурируйте связь SSL между браузером клиента и Web-сервером (IBM HTTP
Server).
Поддерживается только односторонняя аутентификация.
Смотрите раздел “Конфигурирование связи SSL между браузером и Web-сервером
(WebSphere)” на стр. 29.
v Сконфигурируйте связь SSL между сервером Tivoli Identity Manager и агентами.
Поддерживается только односторонняя аутентификация.
Смотрите раздел “Конфигурирование связи SSL между сервером и агентом” на
стр. 35.
Внедрение Tivoli Identity Manager на сервере WebLogic
Приведенная ниже сводная информация по конфигурированию относится к
внедрению Tivoli Identity Manager на сервере приложений WebLogic.
v Сконфигурируйте связь SSL между браузером клиента и встроенным
Web-сервером WebLogic.
Поддерживается только односторонняя аутентификация.
Смотрите раздел “Конфигурирование связи SSL между браузером и Web-сервером
(WebLogic)” на стр. 33.
v Сконфигурируйте связь SSL между сервером Tivoli Identity Manager и агентами.
Поддерживается только односторонняя аутентификация.
Смотрите раздел “Конфигурирование связи SSL между сервером и агентом” на
стр. 35.
28 IBM Tivoli Identity Manager: Руководство по конфигурированию
|
|
|
|
Конфигурирование связи SSL между браузером и Web-сервером
(WebSphere)
Приведенная ниже информация относится к внедрению Tivoli Identity Manager на
сервере WebSphere Application Server.
Сводная информация по внедрению:
v Клиент - это пользователь с Web-браузером.
v Web-сервер - это сервер IBM HTTP Server, установленный на удаленном
компьютере либо, в качестве альтернативы, на одном компьютере с WebSphere.
v Сервер IBM HTTP Server в качестве реализации SSL использует GSKit.
Примечание: На приведенной ниже диаграмме ″Сервер ITIM″ - это сервер IBM Tivoli
Identity Manager.
Сводная информация о процедурах:
1. Сгенерируйте требование о выдаче подписанного сертификата (Certificate Signing
Request - CSR); оно отправляется сертификатору (Certificate Authority - CA),
который затем возвращает подписанный сертификат, используемый
Web-сервером, чтобы идентифицировать себя для браузера клиента.
2. Установите сертификат на Web-сервере.
3. Сконфигурируйте Web-сервер для использования связи SSL.
4. Убедитесь, что в браузере имеется корневой сертификат сертификатора,
подписавшего сертификат Web-сервера. Корневой сертификат сертификатора
используется браузером для проверки сертификата, поступившего от Web-сервера.
Корневые сертификаты сертификаторов промышленного стандарта (например,
VeriSign), как правило, входят в состав дистрибутива браузера.
1. Генерирование требования о выдаче подписанного
сертификата (Certificate Signing Request - CSR)
Чтобы получить сертификат от сертификатора (Certificate Authority - CA), вы сначала
должны будете передать требование о выдаче сертификата (Certificate Signing Request
- CSR).
Рисунок 8. Внедрение Tivoli Identity Manager на сервере WebSphere
Глава 4. Конфигурирование связи SSL 29
|
В WebSphere Application Server есть Java-приложение, которое позволяет генерировать
требования о выдаче сертификатов. Это средство называется iKeyman. iKeyman - это
сервлет, который собирает информацию в вашей системе и генерирует файл
секретного ключа, а также файл требования о выдаче сертификата. Этот сервлет
позволяет передать файл CSR сертификатору - например, в VeriSign - чтобы тот его
подписал.
Подробную информацию об использовании утилит WebSphere Application Server
смотрите в библиотеке документов по WebSphere Application Server, которая
находится на следующем Web-сайте:
http://www.ibm.com/software/webservers/appserv/library.html
Ниже описано, как сгенерировать CSR:
1. Запустите утилиту управления ключами WebSphere Application Server, iKeyman.
Найдите и выполните файл gsk5ikm в каталоге ../gsk5.
2. Создайте файл ключей или откройте существующий файл ключей.
3. Выберите меню Signer Certificates (Сертификаты подписавшего) или Personal
Certificates (Личные сертификаты) и щелкните по Personal Certificate Requests
(Требования о выдаче личных сертификатов).
4. Щелкните по New (Создать).
5. Заполните следующие поля:
v Метка ключа
v Общее имя
v Организация
v Имя файла6. Щелкните по ОК.
Появится диалоговое окно с сообщением о том, что требование о выдаче
сертификата сгенерировано и сохранено в ранее указанном файле.
7. Щелкните по ОК.
Диалоговое окно закроется.
8. Закройте утилиту iKeyman.
9. Передайте требование о выдаче сертификата соответствующему сертификатору.
2. Установка подписанного сертификата
Дальнейшие инструкции в этом разделе основываются на предположении, что вы
получили от сертификатора подписанный сертификат. Кроме того, предполагается,
что вы сохранили файл с этим сертификатов во временном каталоге.
Ниже рассказывается, как установить сертификат при помощи утилит WebSphere
Application Server.
Подробную информацию об использовании утилит WebSphere Application Server
смотрите в библиотеке документов по WebSphere Application Server по адресу:
http://www.ibm.com/software/webservers/appserv/library.html
1. Запустите утилиту управления ключами WebSphere Application Server, iKeyman.
2. Откройте файл базы данных, используемый для создания требования о выдаче
сертификата.
3. Щелкните по меню Personal Certificate Requests (Требования о выдаче личных
сертификатов) и щелкните по Personal Certificates (Личные сертификаты).
30 IBM Tivoli Identity Manager: Руководство по конфигурированию
4. Щелкните по Receive (Получить).
5. Щелкните по Тип данных и выберите тип данных цифрового сертификата.
v В случае сертификата в формате ASCII выберите тип данных ″Base64–encoded
ASCII Data″ (Данные ASCII, закодированные при помощи Base64).
v В случае сертификата в двоичном формате выберите тип данных ″Binary DER
Data″ (Двоичные данные в формате DER).6. Укажите временный каталог и имя файла сертификата.
7. Щелкните по ОК.
8. Введите метку нового цифрового сертификата и щелкните по ОК.
iKeyman сохранит сертификат в файле базы данных ключей, и сертификат
появится в списке личных сертификатов (Personal Certificates).
9. Закройте утилиту iKeyman.
Примечание: Если Web-сервер использует не сертификат, подписанный известным
сертификатором (например, сертификатором VeriSign), а
самоподписанный сертификат, браузер клиента попросит пользователя
указать, нужно ли доверять тому, кто подписал сертификат сервера.
3. Конфигурирование Web-сервера для SSL
После того, как вы установите сертификат, вы должны будете сконфигурировать
связь SSL на сервере IBM HTTP Server.
1. Запустите утилиту управления ключами WebSphere Application Server, iKeyman.
2. Создайте файл ключей, в котором будут храниться файлы ключей и сертификат
SSL. Например:
ДОМАШНИЙ_КАТАЛОГ_ITIM/myKeys
3. Щелкните по меню Key Database File (Файл базы данных ключей) и выберите
New (Новый).
4. Задайте параметры, как указано ниже, и щелкните по ОК.
v Key Database Type (Тип базы данных ключей): CMS Key Database File
v File Name (Имя файла): WebServerKeys.kdb
v Location (Каталог): Путь каталога ДОМАШНИЙ_КАТАЛОГ_ITIM/myKeys
5. Введите и подтвердите пароль файла ключей SSL.
6. Выберите переключатель Stash the password to a file? (Сохранить пароль в
файле?).
7. Щелкните по ОК.
При этом будет создан файл WebServerKeys.sth, содержащий пароль в
зашифрованном виде.
Примечание: Необходимо задать в операционной системе разрешения на доступ
к этому файлу так, чтобы запретить любой несанкционированный
доступ к этому файлу.
8. Откройте меню Signer Certificates (Сертификаты подписавшего) и, когда
появится список сертификатов подписавших по умолчанию (Signer Certificates),
выберите Personal Certificates (Личные сертификаты).
Если сертификат сервера получен от сертификатора (например, от VeriSign), вы
можете щелкнуть по кнопке Import (Импорт), чтобы импортировать этот
сертификат в файл ключей SSL. Вас попросят указать тип и местонахождение
файла, содержащего сертификат сервера.
Глава 4. Конфигурирование связи SSL 31
Если у вас нет действительного сертификата сервера, выданного
сертификатором, но вы хотите проверить, как работает система, щелкните по
опции New Self-Signed (Новый самоподписанный).
Вас попросят ввести метку ключа (например, ITIM) и название организации
(например, IBM). В остальных полях оставьте значения по умолчанию.
9. Откройте меню Key Database File (Файл базы данных ключей) и выберите Close
(Закрыть).
10. Добавьте в конец файла httpd.conf указанные ниже строки (заменив
ДОМАШНИЙ_КАТАЛОГ_ITIM на правильный путь каталога myKeys):
LoadModule ibm_ssl_module libexec/mod_ibm_ssl_128.so
Listen 443
SSLEnable
Keyfile “ДОМАШНИЙ_КАТАЛОГ_ITIM/myKeys/WebServerKeys.kdb”
Тогда Web-сервер будет в качестве порта приема использовать порт 443 (порт
SSL по умолчанию).
11. Добавьте порты 443 и 9443 для виртуального хоста (VirtualHost) на консоли
администрирования сервера WebSphere в системе PRIMARY и обновите модуль
plugin Web-сервера.
12. Запустите IBM HTTP Server:
Solaris: /opt/IBMHttpServer/bin/apachectl start
Linux: /opt/IBMHttpServer/bin/apachectl start
HP-UX: /opt/IBMHttpServer/bin/apachectl start
AIX: /usr/IBMHttpServer/bin/apachectl start
Windows: Панель управления - Администрирование - Службы.
13. Проверьте соединение из браузера, введя соответствующий URL. Например:
https://localhost
Примечание: Если вы используете самоподписанный сертификат, а не
сертификат, выданный сертификатором (например,
сертификатором VeriSign), то браузер попросит вас указать, нужно
ли доверять неизвестному подписавшему, который подписал
сертификат Web-сервера.
32 IBM Tivoli Identity Manager: Руководство по конфигурированию
|
|
|
|
|
|
|
|
|||||
Конфигурирование связи SSL между браузером и Web-сервером
(WebLogic)
Приведенная ниже информация относится к внедрению Tivoli Identity Manager на
сервере приложений WebLogic.
Сводная информация по внедрению:
v Клиент - это пользователь с Web-браузером.
v Web-сервер встроен в WebLogic.
v Сервер WebLogic в качестве реализации SSL использует RSA SSL-J.
Примечание: На приведенной ниже диаграмме ″Сервер ITIM″ - это сервер IBM Tivoli
Identity Manager.
Сводная информация о процедурах:
1. Сгенерируйте требование о выдаче подписанного сертификата (Certificate Signing
Request - CSR); оно отправляется сертификатору (Certificate Authority - CA),
который затем возвращает подписанный сертификат, используемый
Web-сервером, чтобы идентифицировать себя для браузера клиента.
2. Установите сертификат на Web-сервере.
3. Сконфигурируйте Web-сервер для использования связи SSL.
4. Убедитесь, что в браузере имеется корневой сертификат сертификатора,
подписавшего сертификат Web-сервера. Корневой сертификат сертификатора
используется браузером для проверки сертификата, поступившего от Web-сервера.
Корневые сертификаты сертификаторов промышленного стандарта (например,
VeriSign), как правило, входят в состав дистрибутива браузера.
Условия:
v Сертификаты (включая корневой сертификат сертификатора) и файлы ключей
должны быть представлены в формате ASCII, закодированном при помощи Base64
(.pem) или в двоичном формате (.der).
Рисунок 9. Внедрение Tivoli Identity Manager на сервере WebLogic
Глава 4. Конфигурирование связи SSL 33
|
v При помощи генератора требований о выдаче сертификатов получите секретные
ключи, цифровые сертификаты и сертификаты доверенных сертификаторов. Этот
сервлет входит в состав дистрибутива WebLogic.
v Секретные ключи и сертификаты доверенных сертификаторов сохраняются в виде
файлов в каталоге домена.
Подробные инструкции:
Подробную информацию по настройке связи SSL между браузером и Web-сервером
на сервере WebLogic смотрите на Web-сайте BEA WebLogic по адресу:
http://e-docs.bea.com/wls/docs70/secmanage/ssl.html
34 IBM Tivoli Identity Manager: Руководство по конфигурированию
Конфигурирование связи SSL между сервером и агентом
Приведенная ниже информация относится к внедрению Tivoli Identity Manager как на
сервере WebSphere Application Server, так и на сервере приложений WebLogic.
В этом сценарии сервер Tivoli Identity Manager инициирует связь с агентом
(сервер-агент) по SSL для выполнения транзакции, исходно инициированной
браузером.
Если несколько дополнительных сценариев, в которых агент инициирует SSL-связь с
сервером Tivoli Identity Manager (агент-сервер). Более подробную информацию об
этих сценариях смотрите в разделе “Конфигурирование связи SSL, инициируемой
агентом (агент-Web-сервер)” на стр. 38.
Сводная информация по внедрению:
v По умолчанию, сервер и агент Tivoli Identity Manager используют одностороннюю
аутентификацию SSL.
v Агент в качестве реализации SSL использует RSA SSL-C или Open SSL
v Сервер Tivoli Identity Manager в качестве реализации SSL использует RSA SSL-J
Примечание: На приведенных ниже диаграммах ″Сервер ITIM″ - это сервер IBM
Tivoli Identity Manager.
Сводная информация о процедурах (односторонняя аутентификация по умолчанию):
1. Сгенерируйте требование о выдаче подписанного сертификата (Certificate Signing
Request - CSR); оно отправляется сертификатору (Certificate Authority - CA),
который затем возвращает подписанный сертификат, используемый агентом,
чтобы идентифицировать себя для сервера Tivoli Identity Manager.
2. Установите подписанный сертификат на агенте.
Рисунок 10. Конфигурирование односторонней аутентификации SSL между сервером и
агентом
Глава 4. Конфигурирование связи SSL 35
|
|
3. Убедитесь, что на сервере Tivoli Identity Manager имеется корневой сертификат
сертификатора, подписавшего сертификат агента. Корневой сертификат
сертификатора используется сервером для проверки сертификата, поступившего
от агента.
Агенты Tivoli Identity Manager запрашивают, устанавливают, удаляют и
регистрируют сертификаты при помощи утилиты CertTool.
Конфигурирование сертификатов сервера при
односторонней аутентификации SSL
Условия для односторонней аутентификации SSL:
v Сервер Tivoli Identity Manager предварительно сконфигурирован для поддержки
односторонней аутентификации SSL.
v Аутентификация агента производится на основе подписанного сертификата; сервер
Tivoli Identity Manager проверяет этот сертификат с использованием связанного с
ним корневого сертификата сертификатора.
v Сертификаты (включая корневой сертификат сертификатора) и файлы ключей
должны быть представлены в двоичном формате (.der).
Сводная информация об опциях конфигурации:
v “Использование корневого сертификата стороннего сертификатора” на стр. 36
v “Использование сертификатов, сгенерированных и подписанных с помощью
утилит OpenSSL” на стр. 36
Использование корневого сертификата стороннего
сертификатора
1. При помощи утилиты CertTool на агенте сгенерируйте требование о выдаче
подписанного сертификата (Certificate Signing Request - CSR), которое будет
отправлено сертификатору.
Информацию по конфигурированию сертификатов для агента смотрите в разделе
“Конфигурирование подписанного сертификата на агенте” на стр. 37.
2. При помощи утилиты CertTool установите подписанный сертификат на агенте.
Информацию по конфигурированию сертификатов для агента смотрите в разделе
“Конфигурирование подписанного сертификата на агенте” на стр. 37.
3. Вручную скопируйте соответствующий корневой сертификат сертификатора в
каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/cert на сервере Tivoli Identity Manager.
Использование сертификатов, сгенерированных и
подписанных с помощью утилит OpenSSL
Вы сможете быстро приступить к работе, настроив SSL-связь между сервером и
агентом при помощи утилит OpenSSL (они предоставляются бесплатно), которые
позволяют генерировать сертификаты и подписывать требования о подписании
сертификатов (Certificate Signing Request - CSR). Эти утилиты можно найти на сайте
www.openssl.org; кроме того, они могут по умолчанию устанавливаться вместе с
большинством дистрибутивов Linux. Описанные ниже шаги были выполнены с
использованием утилит OpenSSL версии 0.9.6b.
1. Сгенерируйте CSR при помощи средства CertTool. Выберите в меню опцию A,
″Сгенерировать личный ключ и требование о выдаче сертификата″.
2. Введите нужные значения для создания требования о выдаче сертификата.
3. Сохраните его в файле agentreq.pem. Этот файл находится в каталоге
ДОМАШНИЙ_КАТАЛОГ_АГЕНТА/bin.
Секретный ключ записывается в реестр, а CSR содержится в файле .pem.
36 IBM Tivoli Identity Manager: Руководство по конфигурированию
4. Скопируйте файл agentreq.pem на компьютер, на котором будут генерироваться
сертификаты.
5. Чтобы создать секретный ключ и подписанный сертификат сертификатора (CA),
на компьютере, на котором генерируется сертификат, введите в командной
строке следующее:
$ openssl
OpenSSL> req -x509 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem
# введите значения для сертификата CA, включая страну, область и т.п.
OpenSSL> quit
6. Чтобы задать среду для подписи, введите:
$ mkdir demoCA
$ cp cacert.pem demoCA/cacert.pem
$ mkdir demoCA/private
$ mv cakey.pem demoCA/private/cakey.pem
$ mkdir demoCA/newcerts
$ touch demoCA/index.txt
$ cat > demoCA/serial
01
7. Чтобы подписать требование о выдаче сертификата, введите:
$ openssl
OpenSSL> ca -in ntagentreq.pem -out agentcert.pem
OpenSSL> quit
$ mv demoCA/newcerts/01.pem agentcert.pem
8. Чтобы преобразовать сертификат сертификатора в двоичный формат, введите:
$ openssl
OpenSSL> x509 -inform PEM -outform DER -in demoCA/cacert.pem -out cacert.der
OpenSSL> quit
$
9. Скопируйте требование о выдаче подписанного сертификата обратно на
компьютер агента.
10. В утилите CertTool введите опцию B, ″Install certificate from file″ (Установить
сертификат из файла).
11. Укажите местонахождение подписанного требования.
12. Убедитесь, что сертификат установлен; для этого просмотрите список
установленных сертификатов (опция D в утилите CertTool).
13. Скопируйте файл сертификата сертификатора в двоичном формате (cacert.der)
в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/cert на компьютере-сервере Tivoli Identity
Manager.
Конфигурирование подписанного сертификата на агенте
Информацию о том, как с помощью утилиты CertTool управлять подписанным
сертификатом, используемым агентом для односторонней аутентификации, смотрите
в главе ″Certificate Installation″ (Установка сертификатов) соответствующей
публикации Tivoli Identity Manager Agent Installation Guide (Руководство по установке
агента Tivoli Identity Manager).
Глава 4. Конфигурирование связи SSL 37
Конфигурирование связи SSL, инициируемой агентом
(агент-Web-сервер)
Обычно, SSL-связь инициируется агентом (связь сервер-агент) для выполнения
транзакции, исходно инициированной браузером.
Если три сценария, в которых агент инициирует SSL-связь с Web-сервером
(агент-Web-сервер):
v “Агент на основе ADK, сконфигурированный для уведомлений о событиях” на стр.
38
v “Загрузка идентификаторов для программы, использующей интерфейс JNDI” на
стр. 38
v “Агент на основе IBM Directory Integrator (IDI)” на стр. 38
Во всех случаях вы должны экспортировать корневой сертификат сертификатора,
используемый Web-сервером, при помощи утилиты iKeyman на сервере IBM HTTP
Server. После этого сертификат сертификатора следует поместить в соответствующий
склад ключей, используемый внешним агентом.
Агент на основе ADK, сконфигурированный для
уведомлений о событиях
При уведомлениях о событиях агент на основе ADK инициирует связь с
Web-сервером, чтобы сообщить о новых , измененных или удаленных учетных
записях.
С помощью утилиты CertTool установите на агенте корневой сертификат
сертификатора, подписавшего сертификат Web-сервера. Сертификат сертификатора
должен быть представлен в двоичном формате (имеющаяся на сервере IBM HTTP
Server утилита iKeyman использует суффикс имен файлов .der).
Агент на основе ADK использует реестр в качестве склада ключей. Управление
ключами осуществляется с помощью утилиты CertTool.
Загрузка идентификаторов для программы, использующей
интерфейс JNDI
При загрузке идентификаторов, чтобы добавить, изменить или удалить записи с
личной информацией, связь с Web-сервером инициирует не агент, а внешняя
Java-программа. Эта Java-программа обменивается информацией с Web-сервером
при помощи Java Naming Directory Interface (JNDI).
Программа загрузки идентификаторов, используя утилиты управления файлами,
имеющиеся в операционной системе, помещает корневой сертификат сертификатора
в папку, заданную в программе JNDI. Сертификат сертификатора должен быть
представлен в двоичном формате (имеющаяся на сервере IBM HTTP Server утилита
iKeyman использует суффикс имен файлов .der).
Агент на основе IBM Directory Integrator (IDI)
IDI (IBM Directory Integrator) инициирует связь для агента загрузки идентификаторов
или управления учетными записями, чтобы отправить данные на сервер Tivoli Identity
Manager. То же самое также может сделать пользовательская Java-программа,
использующая провайдера JNDI DSMLv2.
38 IBM Tivoli Identity Manager: Руководство по конфигурированию
|||
В случае агента на основе IDI корневой сертификат сертификатора нужно поместить в
склад ключей Java. Используйте для этого средство iKeyman, прилагаемое к серверу
IBM HTTP Server. Сертификат сертификатора может быть представлен в двоичном
формате или в формате ASCII, закодированном при помощи base 64. Имеющаяся на
сервере IBM HTTP Server утилита iKeyman использует суффикс имен файлов .der в
случае двоичного формата, и суффикс имен файлов .arm для формата ASCII,
закодированного при помощи base 64.
Склад ключей Java можно создать при помощи средства iKeyman, прилагаемого к
WebSphere Application Server, или при помощи средства Sun Java keytool и утилиты
управления сертификатами.
Подробную информацию по утилите keytool смотрите в документации, прилагаемой
к Sun JDK или находящейся в Интернете по адресу:
http://java.sun.com/j2se/1.3/docs/tooldocs/win32/keytool.html
Агент на основе IDI в качестве склада ключей использует склад ключей Java (Java Key
Store - JKS).
Глава 4. Конфигурирование связи SSL 39
40 IBM Tivoli Identity Manager: Руководство по конфигурированию
Глава 5. Конфигурирование решений с однократной
регистрацией
В этой главе обсуждается использование функций однократной регистрации при
работе с Tivoli Identity Manager.
Темы раздела:
v “Обзор функций однократной регистрации” на стр. 41
v “Конфигурирование однократной регистрации при использовании WebSEAL” на
стр. 42
v “Конфигурирование однократной регистрации при использовании модулей Plug-in
Tivoli Access Manager” на стр. 44
v “Создание ответвления WebSEAL при использовании Tivoli Identity Manager” на
стр. 44
Обзор функций однократной регистрации
Web-серверы защиты, прилагаемые к IBM Tivoli Access Manager (Tivoli Access
Manager) позволяют обеспечить поддержку функции однократной регистрации для
Tivoli Identity Manager. За счет этого программа Tivoli Access Manage производит
аутентификацию и первичную авторизацию пользователей, прежде чем разрешить им
доступ к приложению Tivoli Identity Manager. После этого приложение Tivoli Identity
Manager применяет узконаправленное управление доступом, осуществляемое при
помощи элементов управления доступом (Access Control Item - ACI).
Когда сервер Tivoli Identity Manager сконфигурирован для однократной регистрации,
он распознает пользователей при помощи переменной заголовка HTTP, ″iv-user″.
Каждый Web-сервер защиты, прилагаемый к Tivoli Access Manager, может
безопасным образом задать этот заголовок HTTP перед передачей трафика серверу
Tivoli Identity Manager.
Примечания:
1. Если сервер Tivoli Identity Manager сконфигурирован для однократной
регистрации, у пользователей не должно быть прямого доступа по сети к серверу
Tivoli Identity Manager. Существует риск нарушения защиты, если пользователь
сможет создать требование с поддельным значением ″iv-user″ и отправить это
требование прямо на сервер Tivoli Identity Manager. Для достижения оптимального
уровня защиты настоятельно рекомендуется сделать так, чтобы доступ по сети к
серверу Tivoli Identity Manager можно было получить только через Web-сервер
Access Manager.
2. Как сервер Tivoli Identity Manager, так и сервер Tivoli Access Manager Web Security
устанавливают сеанс с браузером. Для сеанса сервера Tivoli Identity Manager
должен быть задан тайм-аут, продолжительность которого должна быть меньше,
чем тайм-аут для сервера Tivoli Access Manager Web Security. В особенности это
относится к средам совместного пользования рабочими станциями.
3. Приложение Tivoli Identity Manager является ″постоянным″. То есть, для
выполнения некоторых операций требуется выполнить несколько требований, и
результаты требования зависят от того, какие данные вводились в предыдущих
требованиях. Если для распределения пользователей по нескольким установкам
приложения Tivoli Identity Manager используется механизм распределения
© Copyright IBM Corp. 2004 41
нагрузки, нужно убедиться, что все требования от одного и того же пользователя
отправляются на один и тот же экземпляр сервера Tivoli Identity Manager.
4. Если сервер Tivoli Identity Manager сконфигурирован для однократной
регистрации, все операции регистрации JAAS будут успешными при условии, что
указанный ID пользователя существует. Поэтому приложения, которые
используют API Tivoli Identity Manager, также должны запускаться из защищенной
области.
Сделайте следующее:
1. Внесите изменения в файл свойств Tivoli Identity Manager, включив в нем
однократную регистрацию.
2. Сконфигурируйте сервер Tivoli Access Manager Web Security, так чтобы
идентификатор пользователя включался в трафик, передаваемый программе
Tivoli Identity Manager.
3. Примените авторизацию Tivoli Access Manager к пространству защищенных
объектов Tivoli Access Manager, чтобы доступ к Tivoli Identity Manager смогли
получать только авторизованные пользователи.
Конфигурирование однократной регистрации при использовании
WebSEAL
Использование аутентификации WebSEAL вместо аутентификации Tivoli Identity
Manager дает пользователям возможность получить доступ к Tivoli Identity Manager,
один раз введя ID пользователя и пароль на странице входа в систему WebSEAL. При
использовании однократной регистрации панель входа в систему Tivoli Identity
Manager не появится на экране.
Требования, предупреждения и обходные способы
Предупреждение: SSO при использовании нескольких
учетных записей сотрудников
Функция однократной регистрации между Tivoli Access Manager и Tivoli Identity
Manager обеспечивает отображение идентификаторов одного пользователя Tivoli
Access Manager в идентификаторы одного пользователя Tivoli Identity Manager. На
основе ID пользователя Tivoli Access Manager производится поиск сотрудника Tivoli
Identity Manager, которому принадлежит учетная записи в среде Tivoli Identity
Manager. Однако у сотрудника Tivoli Identity Manager может быть несколько учетных
записей. В этом случае нельзя предугадать заранее, в какую из этих учетных записей
отобразится идентификатор. Будьте осторожны, когда включаете однократную
регистрацию для пользователей Tivoli Access Manager, которые одновременно
являются сотрудниками в системе Tivoli Identity Manager.
Требование: Задать язык среды:
В среде однократной регистрации WebSEAL ссылка ″Выберите другой язык″,
находящаяся в панели входа в систему Tivoli Identity Manager, будет недоступна,
поскольку после регистрации в WebSEAL панель входа в систему Tivoli Identity
Manager не появляется.
Чтобы обойти эту проблему, задайте нужную языковую среду в браузере перед
входом в систему. Обходной путь. Ниже приводится пример для Microsoft Internet
Explorer:
1. Убедитесь, что выбрана кодировка Unicode (UTF-8):
Вид > Кодировка > Юникод (UTF-8)
2. Задайте нужный язык:
42 IBM Tivoli Identity Manager: Руководство по конфигурированию
Свойства обозревателя > Общие > Языки
3. Убедитесь, что язык поддерживает кодировку Юникод:
Свойства обозревателя > Общие > Шрифты
Обходной путь: Конфигурирование разницы часовых поясов
Если вы войдете в систему сервера Tivoli Identity Manager через ответвление WebSEAL
(однократная регистрация), в поле Дата вступления в силу в графическом
пользовательском интерфейсе будет показано время по Гринвичу для сервера (GMT -
Greenwich Mean Time), а не локальное время браузера. При однократной регистрации
страница входа в систему Tivoli Identity Manager будет пропущена (так разработана
программа). Когда вы пропускаете страницу входа в систему, серверу Tivoli Identity
Manager не передаются правильные время и часовой пояс.
Администратор может обойти эту проблему следующим образом:
1. Определите разницу с временем по Гринвичу для браузера клиента. Например,
для Москвы (Россия) разница во времени составляет 3 часа. Для Калифорнии
(США) разница во времени составляет -8 часов (-7 для Тихоокеанского побережья
США).
2. Включите эту разницу во времени в URL, который вы предоставляете
пользователям (публикуете), используя следующий формат:
http://адрес_системы_WebSEAL/имя_ответвления/enrole/logon?timezoneOffset=
вычисленная_разница_во_времени
Эта ссылка URL передает разницу во времени в виде HTTP-параметра при
передаче информации.
Например, если сервер находится в Калифорнии (США), а пользователи
(браузеры клиентов) находятся в Москве (Россия), опубликуйте для пользователей
в России следующий URL:
http://адрес_системы_WebSEAL/имя_ответвления/enrole/logon?timezoneOffset=3
Либо вы можете опубликовать URL Web-страницы на Web-сервере, который
использует WebSEAL, или Web-страницы, входящей в состав корпоративного
портала. Web-страница представит эту ссылку функции однократной регистрации
WebSEAL. Страница должна содержать функцию JavaScript, которая будет вычислять
разницу во времени между браузером клиента и временем по Гринвичу. Если
щелкнуть по этой ссылке, на сервер Tivoli Identity Manager будет передано
HTTP-требование с автоматически вычисленной разницей во времени, передаваемой в
виде HTTP-параметра). Этот способ аналогичен описанному выше обходному
способу указания URL с тем исключением, что разница во времени вычисляется
автоматически.
Процедура конфигурирования
1. Сконфигурируйте WebSEAL до конфигурирования Tivoli Identity Manager:
v Передайте все атрибуты домена в заголовках cookie
v Распознавание только строк в кодировке UTF-82. Включите функцию однократной регистрации WebSEAL, задав значение TRUE
для свойства enrole.ui.ssoEnabled в файле ui.properties. Тогда Tivoli Identity
Manager не будет выводить на экран страницу входа в систему.
enrole.ui.ssoEnabled = true
3. По умолчанию, Java-объект, обеспечивающий механизм однократной
регистрации WebSEAL, задан в файле enRoleAuthentication.properties
(никаких действий не требуется):
enrole.authentication.provider.webseal =
factory = com.ibm.enrole.authentication.webseal.WebsealProviderFactory
Глава 5. Конфигурирование решений с однократной регистрацией 43
4. В файле enRoleAuthentication.properties нужно указать подходящий алгоритм
для отображения ID пользователя Tivoli Access Manager в ID пользователя Tivoli
Identity Manager:
v Если ID пользователя Tivoli Access Manager совпадает с ID пользователя Tivoli
Identity Manager:
enrole.authentication.idsEqual = true
v Если ID пользователя Tivoli Access Manager НЕ совпадает с ID пользователя
Tivoli Identity Manager:
enrole.authentication.idsEqual = false
Внутренний алгоритм отображения идентификаторов нужен для того, чтобы
обеспечить успешное завершение процедуры однократной регистрации.5. Изменив значение тайм-аута сеанса Tivoli Identity Manager в дескрипторе
внедрения, можно нарушить защиту в среде совместного пользования рабочими
станциями. Задайте тайм-аут сеанса Tivoli Identity Manager, чтобы избежать
нарушения защиты:
v Tivoli Identity Manager завершит работу по тайм-ауту из-за бездействия.
v Tivoli Identity Manager завершит работу по тайм-ауту одновременно с тем, как
произойдет тайм-аут WebSEAL из-за бездействия, или до этого.6. Сконфигурируйте ответвление TCP или SSL для использования в сочетании с
Tivoli Identity Manager. Дополнительную информацию смотрите в разделе
“Создание ответвления WebSEAL при использовании Tivoli Identity Manager”.
Конфигурирование однократной регистрации при использовании
модулей Plug-in Tivoli Access Manager
Использование встраиваемых модулей (plug-in) аутентификации Tivoli Access
Manager дает пользователям возможность получить доступ к Tivoli Identity Manager,
один раз введя ID пользователя и пароль. Модуль plug-in может представлять собой
либо модуль plug-in Tivoli Access Manager для Web-серверов, либо модуль plug-in для
серверов Edge Server.
Сделайте следующее:
1. Сконфигурируйте модуль plug-in Tivoli Access Manager так, чтобы он вставлял
аутентифицированный идентификатор пользователя в заголовок HTTP ″iv-user″.
Более подробную информацию смотрите в описании модели с одной
конфигурацией в документации Tivoli Access Manager по модулям plug-in для
Web-сервера или сервера Edge Server.
2. Сконфигурируйте файл Tivoli Identity Manager ui.properties и (по желанию) файл
enRoleAuthentication.properties.
v Задайте значение TRUE для свойства enrole.ui.ssoEnabled в файле
ui.properties; Tivoli Identity Manager не будет выводить на экран страницу для
входа в систему.
v Задайте значение FALSE для свойства enrole.authentication.idsEqual в файле
enRoleAuthentication.properties, если ID пользователя Tivoli Access Manager
не всегда совпадает с ID пользователя Tivoli Identity Manager.
Создание ответвления WebSEAL при использовании Tivoli Identity
Manager
В этом разделе рассказывается, как создать ответвление WebSEAL, использующее
соединение TCP или соединение SSL.
44 IBM Tivoli Identity Manager: Руководство по конфигурированию
Перед конфигурированием ответвления следует сконфигурировать для WebSEAL
следующие опции:
v Передача всех атрибутов домена в заголовках cookie
v Распознавание только строк в кодировке UTF-8
Создание ответвления TCP
Чтобы создать для Tivoli Identity Manager ответвление TCP, выполните следующее:
Примечание: Приведенные ниже инструкции исходят из предположения, что
компонент WebSEAL уже установлен и сконфигурирован. Более
подробную информацию смотрите в документации по установке
WebSEAL.
1. В командной строке введите: pdadmin, чтобы запустить интерфейс командной
строки pdadmin.
2. Введите в командной строке pdadmin команду login и укажите для входа в
систему имя пользователя и пароль мастера защиты (sec_master).
pdadmin> login
3. Введите имя пользователя мастера защиты (sec_master).
Введите ID пользователя: sec_master
4. Введите пароль мастера защиты (security master).
Введите пароль: password
pdadmin>
5. Определите имя сервера WebSEAL Server, заданное в системе Tivoli Access
Manager. Имя должно быть представлено в следующем формате:
webseald-краткое_имя_хоста. Чтобы вызвать список всех серверов, заданных в
Tivoli Access Manager, введите следующее:
pdadmin> server list
6. Создайте ответвление WebSEAL.
Синтаксис команды для создания ответвления WebSEAL:
server task сервер_WebSEAL create -t тип -h имя_хоста
-p номер_опции -s -j -c опции_идентификаторов_клиента /имя_ответвления
где сервер_WebSEAL - имя сервера WebSEAL. В данном примере используется
имя сервера webseald-drbtest.
-t Тип Тип ответвления. Укажите значение tcp.
-h имя_хоста
Полное имя хоста.
-p номер_порта
Номер порта. Значение по умолчанию для ответвления TCP - 80.
-s Постоянное ответвление. Этот флаг необходим при репликации серверов
Tivoli Identity Manager.
-j Компоненты cookies ответвления. Компоненты cookies используются
для обработки адресов URL, связанных с сервером.
-c опции_идентификаторов_клиента
Выберите значение, чтобы указать, что сервер WebSEAL должен
вставить переменную заголовка HTTP ″iv-user″. Например, ″iv_user″.
Полный перечень опций смотрите в документации по
администрированию Tivoli Access Manager.
/имя_ответвления
Уникальное имя точки ответвления.
Глава 5. Конфигурирование решений с однократной регистрацией 45
Например, создайте ответвление TCP, введя следующую команду (в виде одной
строки):
pdadmin> server task webseald-drbtest create -t tcp
–h drbtest.tivoli.com –p 8080 –s –j –c iv_user /websphere
7. Создайте список управления доступом (Access Control List - ACL), чтобы задать
требования к аутентификации доступа, связанные с создаваемым ответвлением
WebSEAL. Синтаксис команды для создания ACL:
pdadmin> acl create имя_acl
Например:
pdadmin> acl create itim-acl
8. Добавьте группы в этот список ACL, используя следующий синтаксис:
pdadmin> acl modify имя_acl set group имя_группы разрешения
Например:
pdadmin> acl modify itim-acl set group ITIM-Group Trx
pdadmin> acl modify itim-acl set unauthenticated T
pdadmin> acl modify itim-acl remove any-other
где в качестве разрешений могут использоваться следующие обозначения:
Таблица 1. Разрешения
Разрешение Описание
T просмотр подкаталогов
r чтение
x выполнение
9. Свяжите ACL с ответвлением, используя следующий синтаксис:
pdadmin> acl attach полное_имя_ответвления имя_acl
Например:
pdadmin> acl attach /WebSEAL/drbtest/websphere/enrole itim-acl
10. Создайте список управления доступом (ACL), разрешающий
неаутентифицированный доступ. Этот ACL связывается с любым объектом,
доступ к которому пользователь может получить, не регистрируясь для входа в
систему.
Например:
pdadmin> acl create unprotected-acl
11. Добавьте в ACL группы, которым требуется неаутентифицированный доступ.
Используйте следующий синтаксис:
pdadmin> acl attach полное_имя_ответвления имя_acl
Например:
pdadmin> acl attach /WebSEAL/drbtest/itim/enrole/self_reg unprotected-acl
12. Обновите файл свойств Tivoli Identity Manager, ui.properties, чтобы
сконфигурировать один из механизмов выхода из системы, содержащихся в
каталоге APP_WEB.war. Эти прилагаемые файлы выхода из системы описаны в
приведенной ниже таблице.
Файлы ssoLogout.jsp и websealLogout.jsp - это просто примеры файлов,
которые содержат образец кода, позволяющего воспользоваться кнопкой выхода
из системы в графическом пользовательском интерфейсе Tivoli Identity Manager,
когда включена функция однократной регистрации WebSEAL. Вы можете
отредактировать эти файлы (включая язык) так, чтобы выполнялись все
функции, необходимые в вашей среде.
46 IBM Tivoli Identity Manager: Руководство по конфигурированию
logoff.html
(по умолчанию)
Режим отключения от системы Tivoli Identity Manager, используемый по
умолчанию:
Связь SSO отключена:
v После отключения от системы появляется страница входа в систему
Tivoli Identity Manager
Связь SSO включена:
v После выхода из системы вы вернетесь в графический
пользовательский интерфейс Tivoli Identity Manager, поскольку
информация для аутентификации из Tivoli Access Manager (в
HTTP-заголовке iv-user) все еще доступна.
ssoLogout.jsp Используйте этот пример файла, если хотите, чтобы в среде
однократной регистрации выполнялась описанная ниже комбинация
действий.
v Прекратить текущий сеанс Tivoli Identity Manager и вывести на экран
ссылку для возврата в графический пользовательский интерфейс
Tivoli Identity Manager.
v Не отключаться от системы Tivoli Access Manager (информация
HTTP-заголовка iv-user остается доступной). Это, например,
позволяет продолжить работать со страницей портала или вернуться
в систему Tivoli Identity Manager в обход подсказки о входе в
систему.
Этот файл можно отредактировать, чтобы настроить функции
отключения от системы.
websealLogout.jsp Используйте этот пример файла, если хотите, чтобы в среде
однократной регистрации выполнялась описанная ниже комбинация
действий.
v Прекратите сеанс регистрации на сервере Tivoli Identity Manager.
v Прервите сеанс регистрации Tivoli Access Manager (при этом будет
вызвана функция pkmslogout).
Функция pkmslogout действует только для клиентов, использующих
механизм аутентификации, который не предоставляет данные для
аутентификации вместе с каждым требованием. Так, функция
pkmslogout не действует для клиентов, которые используют базовую
аутентификацию, аутентификацию на основе сертификатов или
аутентификацию на основе IP-адреса. В подобных случаях вы
должны будете закрыть браузер, чтобы отключиться от системы.
Функция pkmslogout представит пользователю эту информацию в
виде сообщения, которое появится на странице выхода из системы.
Этот файл можно отредактировать, чтобы настроить функции
отключения от системы.
Например:
enrole.ui.logoffURL=ssoLogout.jsp
13. Остановите и перезапустите WebSphere Application Server, чтобы изменения,
внесенные в файл ui.properties, вступили в силу.
Глава 5. Конфигурирование решений с однократной регистрацией 47
Создание ответвления SSL
Примечание: Приведенные ниже инструкции исходят из предположения, что
компонент WebSEAL уже установлен и сконфигурирован. Более
подробную информацию смотрите в документации по установке
WebSEAL.
Чтобы создать для Tivoli Identity Manager ответвление SSL, выполните следующее:
1. Запустите утилиту iKeyman для WebSphere Application Server.
2. В задаче Key Database File (Файл базы данных ключей) выберите Open
(Открыть).
3. Откройте файл DummyServerKeyFile.jks, находящийся в каталоге
корневой_каталог_WebSphere\etc. Появится подсказка о вводе пароля. Если вы
используете пример файла, то паролем служит значение ″WebAS″.
4. Выберите сертификат websphere dummy server и щелкните по Extract Certificate
(Извлечь сертификат).
5. В диалоговом окне Extract Certificate to a File (Извлечь сертификат в файл)
введите следующую информацию:
v Data type (Тип данных): Выберите Base64-encoded ASCII (ASCII с кодировкой
Base64).
v Certificate file name (Имя файла сертификата): Введите имя файла сертификата.
v Location (Местонахождение): Введите путь каталога, в котором следует
сохранить сертификат. В данном примере введите WebSphereServerCert.arm в
качестве имени файла сертификата и сохраните этот сертификат в каталоге
коневой_каталог_WebSphere\etc. 6. Щелкните по ОК. После сохранения сертификата его нужно перенести на сервер
WebSEAL.
Если вы задали свои файлы ключей для WebSphere и получили сертификат от
сертификатора, то, выполняя описанные ниже шаги, используйте корневой
сертификат сертификатора, который подписал ваш сертификат WebSphere.
7. Закройте графический пользовательский интерфейс утилиты WebSphere IBM Key
Management.
8. На сервере WebSEAL запустите выполняемый файл iKeyman в GSKit.
9. В задаче Key Database File (Файл базы данных ключей) выберите Open
(Открыть).
10. В данном примере используется база данных WebSEAL по умолчанию. Найдите
файл корневой_каталог_WebSEAL\www-экземпляр_WebSEAL\certs\pdsrv.kdb и
щелкните по Open (Открыть).
11. Когда появится диалоговое окно для ввода пароля, введите пароль. (Пароль для
доступа к базе данных WebSEAL по умолчанию - pdsrv.)
12. Когда откроется база данных, выберите Signer Certificates (Сертификаты
подписавшего).
13. Нажмите кнопку Добавить. Появится диалоговое окно Add CA’s Certificate from a
File (Добавить сертификат CA из файла).
14. В диалоговом окне Add CA’s Certificate from a File (Добавить сертификат CA из
файла) выполните следующее:
v Data type (Тип данных): Выберите Base64-encoded ASCII (ASCII с кодировкой
Base64).
48 IBM Tivoli Identity Manager: Руководство по конфигурированию
|||
v Certificate file name (Имя файла сертификата): Щелкните по Browse (Обзор),
чтобы найти нужный файл сертификата. В данном примере используется файл
WebSphereServerCert.arm, находящийся в каталоге
корневой_каталог_WebSphere\etc.15. Щелкните по ОК. Появится подсказка о том, что нужно ввести метку для
сохранения сертификата. В данном примере используется сервер WAS 5.
16. Щелкните по ОК. Появится панель IBM Key Management со списком
сертификатов подписавшего, где также содержатся заданные вами метки.
17. Закройте графический пользовательский интерфейс утилиты GSKit IBM Key
Management.
18. В командной строке введите: pdadmin, чтобы запустить интерфейс командной
строки pdamin.
19. Введите в командной строке pdadmin команду login и укажите для входа в
систему имя пользователя и пароль мастера защиты (sec_master).
pdadmin> login
Введите ID пользователя: sec_master
Введите пароль: password
pdadmin>
20. Определите имя сервера WebSEAL Server, заданное в системе Tivoli Access
Manager. Имя должно быть представлено в следующем формате:
webseald-краткое_имя_хоста. Чтобы вызвать список всех серверов, заданных в
Tivoli Access Manager, введите следующее:
pdadmin> server list
21. Создайте ответвление WebSEAL.
Синтаксис команды для создания ответвления WebSEAL:
server task сервер_WebSEAL create -t тип -h имя_хоста
-p номер_опции -s -j -c опции_идентификаторов_клиента /имя_ответвления
где сервер_WebSEAL - имя сервера WebSEAL. В данном примере используется
имя сервера webseald-drbtest.
-t Тип Тип ответвления. Укажите значение ssl.
-h имя_хоста
Полное имя хоста.
-p номер_порта
Номер порта. Значение по умолчанию для ответвления SSL - 9443.
-s Постоянное ответвление. Этот флаг необходим для повышения
производительности при репликации серверов Tivoli Identity Manager.
-j Компоненты cookies ответвления. Компоненты cookies используются
для обработки адресов URL, связанных с сервером.
-c опции_идентификаторов_клиента
Выберите значение, чтобы указать, что сервер WebSEAL должен
вставить переменную заголовка HTTP ″iv-user″. Например, ″iv_user″.
Полный перечень опций смотрите в документации по
администрированию Tivoli Access Manager.
/имя_ответвления
Уникальное имя точки ответвления.Например, создайте ответвление SSL, введя следующую команду (в виде одной
строки):
pdadmin> server task webseald-drbtest create -t ssl
–h drbtest.tivoli.com –p 9443 –s –j –c iv_user /websphere
Глава 5. Конфигурирование решений с однократной регистрацией 49
22. Создайте список управления доступом (Access Control List - ACL), чтобы задать
требования к аутентификации доступа, связанные с создаваемым ответвлением
WebSEAL. Синтаксис команды для создания ACL:
pdadmin> acl create имя_acl
Например:
pdadmin> acl create itim-acl
23. Добавьте группы в этот список ACL, используя следующий синтаксис:
pdadmin> acl modify имя_acl set group имя_группы разрешения
где в качестве разрешений могут использоваться следующие обозначения:
Таблица 2. Разрешения
Разрешение Описание
T просмотр подкаталогов
r читать
x выполнить
24. Свяжите ACL с ответвлением, используя следующий синтаксис:
pdadmin> acl attach полное_имя_ответвления имя_acl
Например:
pdadmin> acl attach /WebSEAL/drbtest/enrole itim-acl
25. Создайте список управления доступом для тех, кому требуется
неаутентифицированный доступ. Этот ACL связывается с любым объектом,
доступ к которому пользователь может получить, не регистрируясь для входа в
систему.
Например:
pdadmin> acl create unprotected-acl
26. Добавьте в ACL группы, которым требуется неаутентифицированный доступ.
Используйте следующий синтаксис:
pdadmin> acl attach полное_имя_ответвления имя_acl
Например:
pdadmin> acl attach /WebSEAL/drbtest/itim/enrole/self_reg unprotected-acl
27. Обновите файл свойств Tivoli Identity Manager, ui.properties, чтобы
сконфигурировать один из механизмов выхода из системы, содержащихся в
каталоге APP_WEB.war. Эти прилагаемые файлы выхода из системы описаны в
приведенной ниже таблице.
Файлы ssoLogout.jsp и websealLogout.jsp - это просто примеры файлов,
которые содержат образец кода, позволяющего воспользоваться кнопкой выхода
из системы в графическом пользовательском интерфейсе Tivoli Identity Manager,
когда включена функция однократной регистрации WebSEAL. Вы можете
отредактировать эти файлы (включая язык) так, чтобы выполнялись все
функции, необходимые в вашей среде.
50 IBM Tivoli Identity Manager: Руководство по конфигурированию
logoff.html
(по умолчанию)
Режим отключения от системы Tivoli Identity Manager, используемый по
умолчанию:
Связь SSO отключена:
v После отключения от системы появляется страница входа в систему
Tivoli Identity Manager
Связь SSO включена:
v После выхода из системы вы вернетесь в графический
пользовательский интерфейс Tivoli Identity Manager, поскольку
информация для аутентификации из Tivoli Access Manager (в
HTTP-заголовке iv-user) все еще доступна.
ssoLogout.jsp Используйте этот пример файла, если хотите, чтобы в среде
однократной регистрации выполнялась описанная ниже комбинация
действий.
v Прекратить текущий сеанс Tivoli Identity Manager и вывести на экран
ссылку для возврата в графический пользовательский интерфейс
Tivoli Identity Manager.
v Не отключаться от системы Tivoli Access Manager (информация
HTTP-заголовка iv-user остается доступной). Это, например,
позволяет продолжить работать со страницей портала или вернуться
в систему Tivoli Identity Manager в обход подсказки о входе в
систему.
Этот файл можно отредактировать, чтобы настроить функции
отключения от системы.
websealLogout.jsp Используйте этот пример файла, если хотите, чтобы в среде
однократной регистрации выполнялась описанная ниже комбинация
действий.
v Прекратите сеанс регистрации на сервере Tivoli Identity Manager.
v Прервите сеанс регистрации Tivoli Access Manager (при этом будет
вызвана функция pkmslogout).
Функция pkmslogout действует только для клиентов, использующих
механизм аутентификации, который не предоставляет данные для
аутентификации вместе с каждым требованием. Так, функция
pkmslogout не действует для клиентов, которые используют базовую
аутентификацию, аутентификацию на основе сертификатов или
аутентификацию на основе IP-адреса. В подобных случаях вы
должны будете закрыть браузер, чтобы отключиться от системы.
Функция pkmslogout представит пользователю эту информацию в
виде сообщения, которое появится на странице выхода из системы.
Этот файл можно отредактировать, чтобы настроить функции
отключения от системы.
Например:
enrole.ui.logoffURL=ssoLogout.jsp
28. Остановите и перезапустите WebSphere Application Server, чтобы изменения,
внесенные в файл ui.properties, вступили в силу.
Как задать URL для ответвления
Ответвление WebSEAL модифицирует URL, необходимый для доступа к продукту
Tivoli Identity Manager. Возможен любой из следующих вариантов синтаксиса нового
URL:
Глава 5. Конфигурирование решений с однократной регистрацией 51
http://имя_хоста/имя_ответвления/enrole/logon
https://имя_хоста/имя_ответвления/enrole/logon
Например, введите адрес, аналогичный одному из следующих вариантов:
http://drbtest.tivoli.com/websphere/enrole/logon
https://drbtest.tivoli.com/websphere/enrole/logon
52 IBM Tivoli Identity Manager: Руководство по конфигурированию
Часть 3. Конфигурирование пользовательских отчетов
Глава 6. Установка и использование
компонента Incremental Data Synchronizer . . 55
Базовая информация по инкрементной
синхронизации данных . . . . . . . . . . . 56
Роль журнала изменений ACI . . . . . . . 57
Как включить поддержку журнала изменений сервера
каталога . . . . . . . . . . . . . . . 57
Опции установки Incremental Data Synchronizer . . . 57
Установка Incremental Data Synchronizer в системе
WebSphere/UNIX . . . . . . . . . . . . . 57
Установка на отдельном компьютере . . . . . 58
Установка на одном компьютере . . . . . . 59
Установка Incremental Data Synchronizer в системе
WebSphere/Windows . . . . . . . . . . . . 60
Установка на отдельном компьютере . . . . . 60
Установка на одном компьютере . . . . . . 62
Установка Incremental Data Synchronizer в системе
WebLogic/UNIX . . . . . . . . . . . . . 63
Установка на отдельном компьютере . . . . . 63
Установка на одном компьютере . . . . . . 64
Установка Incremental Data Synchronizer в системе
WebLogic/Windows . . . . . . . . . . . . 65
Установка на отдельном компьютере . . . . . 65
Установка на одном компьютере . . . . . . 66
Как запустить Incremental Data Synchronizer . . . . 68
Графический режим . . . . . . . . . . . 68
Режим командной строки . . . . . . . . . 70
Настройка Incremental Data Synchronizer . . . . . 71
Глава 7. Конфигурирование Crystal Reports . . 73
Поток процессов при использовании отчетов Crystal
Reports . . . . . . . . . . . . . . . . 74
Конфигурирование Tivoli Identity Manager для работы
в сочетании с Crystal Reports . . . . . . . . . 75
1. Конфигурирование RAS (поддерживается
только на платформе Windows) . . . . . . . 75
2a. Конфигурирование Tivoli Identity Manager
(WebSphere в Windows) . . . . . . . . . . 75
2b. Конфигурирование Tivoli Identity Manager
(WebSphere в UNIX) . . . . . . . . . . . 77
2c. Конфигурирование сервера Tivoli Identity
Manager (WebLogic в Windows) . . . . . . . 79
2d. Конфигурирование Tivoli Identity Manager
(WebLogic в UNIX) . . . . . . . . . . . 80
3. Конфигурирование клиента (поддерживается
только на платформе Windows) . . . . . . . 81
Глава 8. Разработка условий фильтров Crystal 83
Учебник по разработке условий фильтров . . . . 83
Примеры отчетов . . . . . . . . . . . . 85
Как задать условия JOIN в дизайнере отчетов при
разработке отчетов . . . . . . . . . . . 85
Отчет об атрибутах учетных записей . . . . 85
Отчет о ролях сотрудников в организации . . 86
Отчет об учетных записях сотрудников . . . 86
Глава 9. Разработка условий фильтров
пользовательских отчетов . . . . . . . . 89
Учебник по разработке условий фильтров . . . . 89
Примеры отчетов . . . . . . . . . . . . 91
Использование функций в отчетах . . . . . . 91
Как задать условия JOIN в дизайнере отчетов при
разработке отчетов . . . . . . . . . . . 91
Отчет об атрибутах учетных записей . . . . 91
Отчет о ролях сотрудников в организации . . 92
Отчет об учетных записях сотрудников . . . 93
© Copyright IBM Corp. 2004 53
54 IBM Tivoli Identity Manager: Руководство по конфигурированию
Глава 6. Установка и использование компонента
Incremental Data Synchronizer
Incremental Data Synchronizer - это облегченный компонент, который обслуживает
процесс создания настроенных отчетов Tivoli Identity Manager, обеспечивая более
оптимальный механизм синхронизации недавно изменившейся информации.
Incremental Data Synchronizer в режиме реального времени производит синхронизацию
данных и информации управления доступом (ACI) между сервером каталога Tivoli
Identity Manager и базой данных Tivoli Identity Manager. Кроме того, утилиту
Incremental Data Synchronizer можно сконфигурировать для применения изменений
объекта схемы или отображения атрибута, используемых в настроенных шаблонах
отчетов.
Incremental Data Synchronizer - это отдельный дополнительный компонент, который
можно сконфигурировать после установки Tivoli Identity Manager. Инкрементная
синхронизация данных не является строго необходимой для пользовательских
отчетов, если вам не требуется синхронизация данных и элементов ACI в режиме,
близком к реальному времени.
Более полную информацию по созданию пользовательских отчетов смотрите в главе
″Отчеты″ руководства IBM Tivoli Identity Manager Policy and Organization
Administration Guide (IBM Tivoli Identity Manager: Руководство по управлению
политикой и организациями).
Темы раздела:
v “Базовая информация по инкрементной синхронизации данных” на стр. 56
v “Как включить поддержку журнала изменений сервера каталога” на стр. 57
v “Опции установки Incremental Data Synchronizer” на стр. 57
v “Установка Incremental Data Synchronizer в системе WebSphere/UNIX” на стр. 57
v “Установка Incremental Data Synchronizer в системе WebSphere/Windows” на стр. 60
v “Установка Incremental Data Synchronizer в системе WebLogic/UNIX” на стр. 63
v “Установка Incremental Data Synchronizer в системе WebLogic/Windows” на стр. 65
v “Как запустить Incremental Data Synchronizer” на стр. 68
v “Настройка Incremental Data Synchronizer” на стр. 71
© Copyright IBM Corp. 2004 55
Базовая информация по инкрементной синхронизации данных
Tivoli Identity Manager позволяет создавать новые пользовательские шаблоны отчетов
при помощи встроенного дизайнера отчетов, а также импортировать шаблоны
отчетов, созданные при помощи инструментария независимых поставщиков
(например, Crystal Reports). Все пользовательские отчеты хранятся в таблицах
отчетов в базе данных Tivoli Identity Manager. Доступ к системе составления отчетов
(включая возможность конструировать и запускать отчеты) защищен имеющимися в
Tivoli Identity Manager функциями ACI.
Создание пользовательского отчета включает в себя следующие шаги:
1. Отображение атрибутов для отчета в Дизайнере схем
2. Подготовка данных
3. Создание шаблонов отчетов при помощи встроенного дизайнера отчетов, а также
импорт шаблонов отчетов, созданных при помощи инструментария независимых
поставщиков (например, Crystal Reports)
4. Предоставление пользователям прав доступа к отчету
Утилита Incremental Data Synchronizer синхронизирует содержимое записей о
подготовленных объектах и соответствующую им информацию ACI. Кроме того, эта
утилита может применять изменения схем, внесенные при помощи дизайнера схем.
Incremental Data Synchronizer выполняет следующие операции:
1. Синхронизация журналов изменений
a. Чтение журналов изменений с сервера каталога
b. Анализ действующих операций и значений атрибутов для каждой
изменившейся записи
c. Обновление информации ACI, если это нужно
d. Синхронизация всех доступных атрибутов записей в базе данных, связанных с
проанализированными журналами изменений2. Применение схем:
a. Выявление изменений, внесенных при помощи дизайнера схем
b. Отображение или отмена отображения объектов, если это нужно
c. Отображение или отмена отображения атрибутов объектов, если это нужно
d. Добавление или удаление информации ACI в случае отмены отображения
атрибутов или отображения новых атрибутов
Incremental Data Synchronizer - это отдельный процесс, который можно запланировать
или вызвать непосредственно. Функции синхронизации журналов изменений и
применения схем можно включать и отключать независимо друг от друга.
Назначение Incremental Data Synchronizer - обеспечить непротиворечивость изменений
на сервере каталога Tivoli Identity Manager и в подготовленных таблицах отчетов в
базе данных Tivoli Identity Manager.
Если чаще запускать Incremental Data Synchronizer, изменения в информации об
учетных записях пользователей реже будут приводить ко временным неточностям в
информации и неверной интерпретации разрешений для процессов обработки
пользовательских отчетов. При уменьшении вероятности таких несогласований
повышается точность процесса обработки пользовательских отчетов.
56 IBM Tivoli Identity Manager: Руководство по конфигурированию
Роль журнала изменений ACI
В утилите Incremental Data Synchronizer используется имеющийся на сервере каталога
механизм, известный как changelog - журнал изменений. Журнал изменений
(changelog) - это история изменений, сохраняющихся в пользовательском каталоге.
Как IBM Directory Server, так и Sun ONE Directory Server можно сконфигурировать
для записи изменений данных на узле каталога с именем:
cn=changelog
Incremental Data Synchronizer читает этот узел каталога и собирает записи об
изменениях данных и ACI, которые нужно синхронизировать с подготовленными
таблицами базы данных.
Как включить поддержку журнала изменений сервера каталога
Чтобы обеспечить поддержку журнала изменений для того или иного сервера
каталога, используемого системой Tivoli Identity Manager, смотрите
соответствующую документацию, предоставленную поставщиком этого сервера
каталога.
Примечание: В случае IBM Directory Server необходимо увеличить размер
динамической памяти (″кучи″) приложения (Application Heap Size) для
базы данных данных DB2 (в которой IBM Directory Server сохраняет
записи журнала изменений) - например, до 4096. Чтобы узнать, как
изменить объем динамической памяти (″размер кучи″) для приложения,
смотрите руководства по DB2.
Опции установки Incremental Data Synchronizer
Выберите один из указанных ниже разделов, соответствующий тому, какие сервер
приложений и платформу вы используете:
v “Установка Incremental Data Synchronizer в системе WebSphere/UNIX” на стр. 57
v “Установка Incremental Data Synchronizer в системе WebSphere/Windows” на стр. 60
v “Установка Incremental Data Synchronizer в системе WebLogic/UNIX” на стр. 63
v “Установка Incremental Data Synchronizer в системе WebLogic/Windows” на стр. 65
Установка Incremental Data Synchronizer в системе WebSphere/UNIX
Утилиту Incremental Data Synchronizer можно установить на одном компьютере с
сервером WebSphere Application Server или на отдельном компьютере. Рекомендуется
устанавливать Incremental Data Synchronizer на отдельном компьютере. В данном
разделе приводятся инструкции для обоих типов установки.
При описании этих процедур используются следующие условные обозначения
(перепечатано из Предисловия):
Обозначение пути Интерпретация
ДОМАШНИЙ_КАТАЛОГ_ITIM КАТАЛОГ_УСТАНОВКИ/ITIM/
КАТАЛОГ_УСТАНОВКИ - это местонахождение установки Tivoli
Identity Manager.
ДОМАШНИЙ_КАТАЛОГ_WAS КАТАЛОГ_УСТАНОВКИ/WebSphere/AppServer/
КАТАЛОГ_УСТАНОВКИ - это местонахождение установки WebSphere.
Глава 6. Установка и использование компонента Incremental Data Synchronizer 57
Обозначение пути Интерпретация
ДОМАШНИЙ_КАТАЛОГ_WAS_NDM КАТАЛОГ_УСТАНОВКИ/WebSphere/DirectoryManager/
КАТАЛОГ_УСТАНОВКИ - это местонахождение установки WebSphere.
ДОМАШНИЙ_КАТАЛОГ_BEA КАТАЛОГ_УСТАНОВКИ/bea/
КАТАЛОГ_УСТАНОВКИ - это местонахождение установки WebLogic.
Установка на отдельном компьютере
Ниже приводятся инструкции, позволяющие настроить Incremental Data Synchronizer
на отдельном компьютере (то есть, не на одном компьютере с WebSphere Application
Server).
Примечание: <компьютер_синхронизации> - это компьютер, на котором
устанавливается утилита Incremental Data Synchronizer.
<компьютер_itim> - это компьютер, на котором установлен продукт
Tivoli Identity Manager.
1. Скопируйте каталог ДОМАШНИЙ_КАТАЛОГ_ITIM с компьютера <компьютер_itim> на
компьютер <компьютер_синхронизации>.
2. Скопируйте каталог java из каталога ДОМАШНИЙ_КАТАЛОГ_WAS на компьютере
<компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM на компьютере
<компьютер_синхронизации>.
3. Создайте каталог с именем websphere_lib в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на
компьютере <компьютер_синхронизации>.
4. Скопируйте все файлы и папки из каталога ДОМАШНИЙ_КАТАЛОГ_WAS/lib на
компьютере <компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/websphere_lib
на компьютере <компьютер_синхронизации>.
5. Скопируйте файлы app_ejb.jar, api_ejb.jar и wf_ejb.jar из каталога
ДОМАШНИЙ_КАТАЛОГ_WAS/installedApps/<имя_компьютера>/enRole.ear на
компьютере <компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/lib на
компьютере <компьютер_синхронизации>.
<имя_компьютера> - это, обычно, имя компьютера, не котором установлен
сервер Tivoli Identity Manager. Это значение указывается во время установки
Tivoli Identity Manager. Это имя должно находиться в пути каталогов в каталоге
установки WebSphere, в котором содержится файл enRole.ear. Например:
/usr/WebSphere/AppServer/installedApps/<имя_компьютера>/enRole.ear
6. Скопируйте файл implfactory.properties из каталога
ДОМАШНИЙ_КАТАЛОГ_WAS/properties на компьютере <компьютер_itim> в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации>.
7. Скопируйте файл jaas_login_was.conf из каталога
ДОМАШНИЙ_КАТАЛОГ_ITIM/extensions/examples/apps/bin на компьютере
<компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере
<компьютер_синхронизации>.
8. Создайте каталог с именем logs в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на
компьютере <компьютер_синхронизации>.
9. Включите обработку журнала изменений в файле adhocreporting.properties на
компьютере <компьютер_itim> следующим образом:
a. В файле adhocreporting.properties, находящемся в каталоге data установки
сервера Tivoli Identity Manager, укажите changelogEnabled=true.
b. В файле adhocreporting.properties, находящемся в каталоге data
установки сервера Tivoli Identity Manager, задайте значение свойства
58 IBM Tivoli Identity Manager: Руководство по конфигурированию
||||
|||||
changelogBaseDN=<DN_источника_changelog>. Значение
<DN_источника_changelog> - это DN источника, в котором хранятся записи
журнала изменений (changelog) на сервере каталога. Например:
changelogBaseDN=cn=changelog
10. Включите применение схем в файле adhocreporting.properties на компьютере
<компьютер_itim> следующим образом:
v В файле adhocreporting.properties, находящемся в каталоге data установки
сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true.11. Модифицируйте файл enRole.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации>
следующим образом:
enrole.appServer.url=iiop://<имя_компьютера_сервера_itim>:2809
12. Модифицируйте файл enRoleDatabase.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации,
включив в него информацию о базе данных Tivoli Identity Manager.
13. Модифицируйте файл enRoleLDAPConnection.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации,
включив в него информацию о сервере каталога Tivoli Identity Manager.
14. Модифицируйте файл enRoleLogging.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации>
следующим образом:
log4j.appender.Logger.File=<путь_itim>.log
Путь файла itim.log - ДОМАШНИЙ_КАТАЛОГ_ITIM/logs/itim.log. Каталог logs
был создан при выполнении предыдущего шага. Например:
log4j.appender.Logger.File = ДОМАШНИЙ_КАТАЛОГ_ITIM/logs/itim.log
15. Если Tivoli Identity Manager использует в качестве базы данных DB2, скопируйте
файл db2java.zip из каталога SQLLIB/java12 на компьютере <компьютер_itim> в
каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/lib на компьютере
<компьютер_синхронизации_itimri_aci>.
16. В указанных ниже двух файлах измените значение переменной ITIM_HOME так,
чтобы она указывала на каталог ДОМАШНИЙ_КАТАЛОГ_ITIM:
startIncrementalSynchronizerCMD_WAS.sh
startIncrementalSynchronizerUI_WAS.sh
Например:
ITIM_HOME = ДОМАШНИЙ_КАТАЛОГ_ITIM
Эти файлы находятся в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix.
Установка на одном компьютере
Ниже приводятся инструкции, позволяющие настроить Incremental Data Synchronizer
на одном компьютере с WebSphere Application Server.
1. Скопируйте каталог java из каталога ДОМАШНИЙ_КАТАЛОГ_WAS в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM.
Примечание: ДОМАШНИЙ_КАТАЛОГ_WAS - это
КАТАЛОГ_УСТАНОВКИ/WebSphere/AppServer/
2. Создайте каталог websphere_lib в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM.
3. Скопируйте все файлы и папки из каталога ДОМАШНИЙ_КАТАЛОГ_WAS/lib в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM/websphere_lib.
4. Скопируйте файлы app_ejb.jar, api_ejb.jar и wf_ejb.jar из каталога
ДОМАШНИЙ_КАТАЛОГ_WAS/installedApps/<имя_компьютера>/enRole.ear в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM/lib.
Глава 6. Установка и использование компонента Incremental Data Synchronizer 59
|||
<имя_компьютера> - это, обычно, имя компьютера, не котором установлен сервер
Tivoli Identity Manager. Это значение указывается во время установки Tivoli Identity
Manager. Это имя должно находиться в пути каталогов в каталоге установки
WebSphere, в котором содержится файл enRole.ear. Например:
/usr/WebSphere/AppServer/installedApps/<имя_компьютера>/enRole.ear
5. Скопируйте файл implfactory.properties из каталога
ДОМАШНИЙ_КАТАЛОГ_WAS/properties в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/data.
6. Скопируйте файл jaas_login_was.conf из каталога
ДОМАШНИЙ_КАТАЛОГ_ITIM/extensions/examples/apps/bin в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM/data.
7. Включите обработку журнала изменений в файле adhocreporting.properties
следующим образом:
a. В файле adhocreporting.properties, находящемся в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data, укажите changelogEnabled=true.
b. В файле adhocreporting.properties, находящемся в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data, задайте значение свойства
changelogBaseDN=<DN_источника_changelog>. Значение
<DN_источника_changelog> - это DN источника, в котором хранятся записи
журнала изменений (changelog) на сервере каталога. Например:
changelogBaseDN=cn=changelog
8. Включите применение схем в файле adhocreporting.properties следующим
образом:
v В файле adhocreporting.properties, находящемся в каталоге data установки
сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true.9. Если Tivoli Identity Manager использует в качестве базы данных DB2, скопируйте
файл db2java.zip из каталога SQLLIB/java12 в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM/lib.
Установка Incremental Data Synchronizer в системе
WebSphere/Windows
Утилиту Incremental Data Synchronizer можно установить на одном компьютере с
сервером WebSphere Application Server или на отдельном компьютере. Рекомендуется
устанавливать Incremental Data Synchronizer на отдельном компьютере. В данном
разделе приводятся инструкции для обоих типов установки.
Установка на отдельном компьютере
Ниже приводятся инструкции, позволяющие настроить Incremental Data Synchronizer
на отдельном компьютере (то есть, не на одном компьютере с WebSphere Application
Server).
Примечание: <компьютер_синхронизации> - это компьютер, на котором
устанавливается утилита Incremental Data Synchronizer.
<компьютер_itim> - это компьютер, на котором установлен продукт
Tivoli Identity Manager.
1. Скопируйте каталог ДОМАШНИЙ_КАТАЛОГ_ITIM с компьютера <компьютер_itim> на
компьютер <компьютер_синхронизации>.
2. Скопируйте каталог java из каталога ДОМАШНИЙ_КАТАЛОГ_WAS на компьютере
<компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM на компьютере
<компьютер_синхронизации>.
3. Создайте каталог с именем websphere_lib в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на
компьютере <компьютер_синхронизации>.
60 IBM Tivoli Identity Manager: Руководство по конфигурированию
|||||
4. Скопируйте все файлы и папки из каталога ДОМАШНИЙ_КАТАЛОГ_WAS\lib на
компьютере <компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\websphere_lib
на компьютере <компьютер_синхронизации>.
5. Скопируйте файлы app_ejb.jar, api_ejb.jar и wf_ejb.jar из каталога
ДОМАШНИЙ_КАТАЛОГ_WAS\installedApps\<имя_компьютера>\enRole.ear на
компьютере <компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\lib на
компьютере <компьютер_синхронизации>.
<имя_компьютера> - это, обычно, имя компьютера, не котором установлен
сервер Tivoli Identity Manager. Это значение указывается во время установки
Tivoli Identity Manager. Это имя должно находиться в пути каталогов в каталоге
установки WebSphere, в котором содержится файл enRole.ear. Например:
C:\Program
Files\WebSphere\AppServer\installedApps\<имя_компьютера>\enRole.ear
6. Скопируйте файл implfactory.properties из каталога
ДОМАШНИЙ_КАТАЛОГ_WAS\properties на компьютере <компьютер_itim> в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации>.
7. Скопируйте файл jaas_login_was.conf из каталога
ДОМАШНИЙ_КАТАЛОГ_ITIM\extensions\examples\apps\bin на компьютере
<компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере
<компьютер_синхронизации>.
8. Создайте каталог с именем logs в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на
компьютере <компьютер_синхронизации>.
9. Включите обработку журнала изменений в файле adhocreporting.properties на
компьютере <компьютер_itim> следующим образом:
a. В файле adhocreporting.properties, находящемся в каталоге data установки
сервера Tivoli Identity Manager, укажите changelogEnabled=true.
b. В файле adhocreporting.properties, находящемся в каталоге data
установки сервера Tivoli Identity Manager, задайте значение свойства
changelogBaseDN=<DN_источника_changelog>. Значение
<DN_источника_changelog> - это DN источника, в котором хранятся записи
журнала изменений (changelog) на сервере каталога. Например:
changelogBaseDN=cn=changelog
10. Включите применение схем в файле adhocreporting.properties на компьютере
<компьютер_itim> следующим образом:
v В файле adhocreporting.properties, находящемся в каталоге data установки
сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true.11. Модифицируйте файл enRole.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации>
следующим образом:
enrole.appServer.url=iiop://<имя_компьютера_сервера_itim>:2809
12. Модифицируйте файл enRoleDatabase.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации,
включив в него информацию о базе данных Tivoli Identity Manager.
13. Модифицируйте файл enRoleLDAPConnection.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации>,
включив в него информацию о сервере каталога Tivoli Identity Manager.
14. Модифицируйте файл enRoleLogging.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации>
следующим образом:
log4j.appender.Logger.File=<путь_itim>.log
Путь файла itim.log - ДОМАШНИЙ_КАТАЛОГ_ITIM\logs\itim.log. Каталог logs
был создан при выполнении предыдущего шага. Например:
Глава 6. Установка и использование компонента Incremental Data Synchronizer 61
||||
||||||
log4j.appender.Logger.File=C:\\ДОМАШНИЙ_КАТАЛОГ_ITIM\logs\itim.log
15. Если Tivoli Identity Manager использует в качестве базы данных DB2, скопируйте
файл db2java.zip из каталога SQLLIB\java12 на компьютере <компьютер_itim> в
каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\lib на компьютере
<компьютер_синхронизации_itimri_aci>.
16. В указанных ниже двух файлах измените значение переменной ITIM_HOME так,
чтобы она указывала на каталог ДОМАШНИЙ_КАТАЛОГ_ITIM:
startIncrementalSynchronizerCMD_WAS.bat
startIncrementalSynchronizerUI_WAS.bat
Например:
set ITIM_HOME = C:\ДОМАШНИЙ_КАТАЛОГ_ITIM
Эти файлы находятся в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win.
Установка на одном компьютере
Ниже приводятся инструкции, позволяющие настроить Incremental Data Synchronizer
на одном компьютере с WebSphere Application Server.
1. Скопируйте каталог java из каталога ДОМАШНИЙ_КАТАЛОГ_WAS в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM.
2. Создайте каталог websphere_lib в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM.
3. Скопируйте все файлы и папки из каталога ДОМАШНИЙ_КАТАЛОГ_WAS\lib в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM\websphere_lib.
4. Скопируйте файлы app_ejb.jar, api_ejb.jar и wf_ejb.jar из каталога
ДОМАШНИЙ_КАТАЛОГ_WAS\installedApps\<имя_компьютера>\enRole.ear в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM\lib.
<имя_компьютера> - это, обычно, имя компьютера, не котором установлен сервер
Tivoli Identity Manager. Это значение указывается во время установки Tivoli Identity
Manager. Это имя должно находиться в пути каталогов в каталоге установки
WebSphere, в котором содержится файл enRole.ear. Например: C:\Program
Files\WebSphere\AppServer\installedApps\<имя_компьютера>\enRole.ear
5. Скопируйте файл implfactory.properties из каталога
ДОМАШНИЙ_КАТАЛОГ_WAS\properties в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\data.
6. Скопируйте файл jaas_login_was.conf из каталога
ДОМАШНИЙ_КАТАЛОГ_ITIM\extensions\examples\apps\bin в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM\data.
7. Включите обработку журнала изменений в файле adhocreporting.properties
следующим образом:
a. В файле adhocreporting.properties, находящемся в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data, укажите changelogEnabled=true.
b. В файле adhocreporting.properties, находящемся в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data, задайте значение свойства
changelogBaseDN=<DN_источника_changelog>. Значение
<DN_источника_changelog> - это DN источника, в котором хранятся записи
журнала изменений (changelog) на сервере каталога. Например:
changelogBaseDN=cn=changelog
8. Включите применение схем в файле adhocreporting.properties следующим
образом:
v В файле adhocreporting.properties, находящемся в каталоге data установки
сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true.9. Если Tivoli Identity Manager использует в качестве базы данных DB2, скопируйте
файл db2java.zip из каталога SQLLIB\java12 в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM\lib.
62 IBM Tivoli Identity Manager: Руководство по конфигурированию
|||
|||||
Установка Incremental Data Synchronizer в системе WebLogic/UNIX
Утилиту Incremental Data Synchronizer можно установить на одном компьютере с
сервером WebLogic или на отдельном компьютере. Рекомендуется устанавливать
Incremental Data Synchronizer на отдельном компьютере. В данном разделе
приводятся инструкции для обоих типов установки.
Установка на отдельном компьютере
Ниже приводятся инструкции, позволяющие настроить Incremental Data Synchronizer
на отдельном компьютере (то есть, не на одном компьютере с WebLogic).
Примечание: <компьютер_синхронизации> - это компьютер, на котором
устанавливается утилита Incremental Data Synchronizer.
<компьютер_itim> - это компьютер, на котором установлен продукт
Tivoli Identity Manager.
1. Скопируйте каталог ДОМАШНИЙ_КАТАЛОГ_ITIM с компьютера <компьютер_itim> на
компьютер <компьютер_синхронизации>.
2. Создайте каталог с именем java в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на
компьютере <компьютер_синхронизации>.
3. Скопируйте содержимое каталога jdk131_06 из каталога ДОМАШНИЙ_КАТАЛОГ_BEA
на компьютере <компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/java на
компьютере <компьютер_синхронизации>.
4. Скопируйте файл weblogic.jar из каталога
ДОМАШНИЙ_КАТАЛОГ_BEA/weblogic700/server/lib на компьютере
<компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/lib на компьютере
<компьютер_синхронизации>.
5. Скопируйте файл jaas_login.conf из каталога
ДОМАШНИЙ_КАТАЛОГ_BEA/user_projects/itim на компьютере <компьютер_itim> в
каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере
<компьютер_синхронизации>.
6. Создайте каталог с именем logs в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на
компьютере <компьютер_синхронизации>.
7. Включите обработку журнала изменений в файле adhocreporting.properties на
компьютере <компьютер_itim> следующим образом:
a. В файле adhocreporting.properties, находящемся в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_itim>, укажите
changelogEnabled=true.
b. В файле adhocreporting.properties, находящемся в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_itim>, задайте
значение свойства changelogBaseDN=<DN_источника_changelog>. Значение
<DN_источника_changelog> - это DN источника, в котором хранятся записи
журнала изменений (changelog) на сервере каталога. Например:
changelogBaseDN=cn=changelog
8. Включите применение схем в файле adhocreporting.properties на компьютере
<компьютер_itim> следующим образом:
v В файле adhocreporting.properties, находящемся в каталоге data установки
сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true. 9. Модифицируйте файл enRole.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации>
следующим образом:
enrole.appServer.url=t3://<имя_компьютера_сервера_tim>:<порт_сервера_tim>
Глава 6. Установка и использование компонента Incremental Data Synchronizer 63
<имя_компьютера_сервера_tim - это имя компьютера <компьютер_itim>.
<порт_сервера_tim - это порт, на котором работает Tivoli Identity Manager.
Примечание: Номер порта очень важен. Если его не указать, приложение
попытается соединиться с портом 7001, который является портом
по умолчанию для WebLogic.
10. Модифицируйте файл enRoleDatabase.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации,
включив в него информацию о базе данных Tivoli Identity Manager.
11. Модифицируйте файл enRoleLDAPConnection.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации>,
включив в него информацию о сервере каталога Tivoli Identity Manager.
12. Модифицируйте файл enRoleLogging.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации>
следующим образом:
log4j.appender.Logger.File=<путь_itim>.log
Путь файла itim.log - ДОМАШНИЙ_КАТАЛОГ_ITIM/logs/itim.log. Каталог logs
был создан при выполнении предыдущего шага. Например:
log4j.appender.Logger.File = ДОМАШНИЙ_КАТАЛОГ_ITIM/logs/itim.log
13. В указанных ниже двух файлах измените значение переменной ITIM_HOME так,
чтобы она указывала на каталог ДОМАШНИЙ_КАТАЛОГ_ITIM:
startIncrementalSynchronizerCMD_WLS.sh
startIncrementalSynchronizerUI_WLS.sh
Например:
ITIM_HOME = ДОМАШНИЙ_КАТАЛОГ_ITIM
Эти файлы находятся в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix.
Установка на одном компьютере
Ниже приводятся инструкции, позволяющие настроить Incremental Data Synchronizer
на одном компьютере с WebLogic.
1. Создайте каталог java в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM/java.
2. Скопируйте содержимое каталога jdk131_06 в каталог ДОМАШНИЙ_КАТАЛОГ_BEA в
каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/java.
3. Скопируйте файл weblogic.jar из каталога
ДОМАШНИЙ_КАТАЛОГ_BEA/weblogic700/server/lib в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM/lib.
4. Скопируйте файл jaas_login.conf из каталога
ДОМАШНИЙ_КАТАЛОГ_BEA/user_projects/itim в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM/data.
5. Включите обработку журнала изменений в файле adhocreporting.properties
следующим образом:
a. В файле adhocreporting.properties, находящемся в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data, укажите changelogEnabled=true.
b. В файле adhocreporting.properties, находящемся в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data, задайте значение свойства
changelogBaseDN=<DN_источника_changelog>. Значение
<DN_источника_changelog> - это DN источника, в котором хранятся записи
журнала изменений (changelog) на сервере каталога. Например:
changelogBaseDN=cn=changelog
6. Включите применение схем в файле adhocreporting.properties следующим
образом:
64 IBM Tivoli Identity Manager: Руководство по конфигурированию
v В файле adhocreporting.properties, находящемся в каталоге data установки
сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true.7. Модифицируйте файл enRole.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/data следующим образом:
enrole.appServer.url=t3://<имя_компьютера_сервера_tim>:<порт_сервера_tim>
<имя_компьютера_сервера_tim - это имя компьютера <компьютер_itim>. Обычно,
это ″localhost″. <порт_сервера_tim - это порт, на котором работает Tivoli Identity
Manager.
Примечание: Номер порта очень важен. Если его не указать, приложение
попытается соединиться с портом 7001, который является портом по
умолчанию для WebLogic.
Установка Incremental Data Synchronizer в системе
WebLogic/Windows
Утилиту Incremental Data Synchronizer можно установить на одном компьютере с
сервером WebLogic или на отдельном компьютере. Рекомендуется устанавливать
Incremental Data Synchronizer на отдельном компьютере. В данном разделе
приводятся инструкции для обоих типов установки.
Установка на отдельном компьютере
Ниже приводятся инструкции, позволяющие настроить Incremental Data Synchronizer
на отдельном компьютере (то есть, не на одном компьютере с WebLogic).
Примечание: <компьютер_синхронизации> - это компьютер, на котором
устанавливается утилита Incremental Data Synchronizer.
<компьютер_itim> - это компьютер, на котором установлен продукт
Tivoli Identity Manager.
1. Скопируйте каталог ДОМАШНИЙ_КАТАЛОГ_ITIM с компьютера <компьютер_itim> на
компьютер <компьютер_синхронизации>.
2. Создайте каталог с именем java в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на
компьютере <компьютер_синхронизации>.
3. Скопируйте содержимое каталога jdk131_06 из каталога ДОМАШНИЙ_КАТАЛОГ_BEA
на компьютере <компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\java на
компьютере <компьютер_синхронизации>.
4. Скопируйте файл weblogic.jar из каталога
ДОМАШНИЙ_КАТАЛОГ_BEA\weblogic700\server\lib на компьютере
<компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\lib на компьютере
<компьютер_синхронизации>.
5. Скопируйте файл jaas_login.conf из каталога
ДОМАШНИЙ_КАТАЛОГ_BEA\user_projects\itim на компьютере <компьютер_itim> в
каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере
<компьютер_синхронизации>.
6. Создайте каталог с именем logs в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на
компьютере <компьютер_синхронизации>.
7. Включите обработку журнала изменений в файле adhocreporting.properties на
компьютере <компьютер_itim> следующим образом:
a. В файле adhocreporting.properties, находящемся в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_itim>, укажите
changelogEnabled=true.
Глава 6. Установка и использование компонента Incremental Data Synchronizer 65
b. В файле adhocreporting.properties, находящемся в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_itim>, задайте
значение свойства changelogBaseDN=<DN_источника_changelog>. Значение
<DN_источника_changelog> - это DN источника, в котором хранятся записи
журнала изменений (changelog) на сервере каталога. Например:
changelogBaseDN=cn=changelog
8. Включите применение схем в файле adhocreporting.properties на компьютере
<компьютер_itim> следующим образом:
v В файле adhocreporting.properties, находящемся в каталоге data установки
сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true. 9. Модифицируйте файл enRole.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации>
следующим образом:
enrole.appServer.url=t3://<имя_компьютера_сервера_tim>:<порт_сервера_tim>
<имя_компьютера_сервера_tim - это имя компьютера <компьютер_itim>.
<порт_сервера_tim - это порт, на котором работает Tivoli Identity Manager.
Примечание: Номер порта очень важен. Если его не указать, приложение
попытается соединиться с портом 7001, который является портом
по умолчанию для WebLogic.
10. Модифицируйте файл enRoleDatabase.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации,
включив в него информацию о базе данных Tivoli Identity Manager.
11. Модифицируйте файл enRoleLDAPConnection.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации>,
включив в него информацию о сервере каталога Tivoli Identity Manager.
12. Модифицируйте файл enRoleLogging.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации>
следующим образом:
log4j.appender.Logger.File=<путь_itim>.log
Путь файла itim.log - ДОМАШНИЙ_КАТАЛОГ_ITIM\logs\itim.log. Каталог logs
был создан при выполнении предыдущего шага. Например:
log4j.appender.Logger.File=C:\\ДОМАШНИЙ_КАТАЛОГ_ITIM\logs\itim.log
13. В указанных ниже двух файлах измените значение переменной ITIM_HOME так,
чтобы она указывала на каталог ДОМАШНИЙ_КАТАЛОГ_ITIM:
startIncrementalSynchronizerCMD_WLS.bat
startIncrementalSynchronizerUI_WLS.bat
Например:
set ITIM_HOME = C:\ДОМАШНИЙ_КАТАЛОГ_ITIM
Эти файлы находятся в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win.
Установка на одном компьютере
Ниже приводятся инструкции, позволяющие настроить Incremental Data Synchronizer
на одном компьютере с WebLogic.
1. Создайте каталог java в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM.
2. Скопируйте содержимое каталога jdk131_06 в каталог ДОМАШНИЙ_КАТАЛОГ_BEA в
каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\java.
3. Скопируйте файл weblogic.jar из каталога
ДОМАШНИЙ_КАТАЛОГ_BEA\weblogic700\server\lib в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM\lib.
66 IBM Tivoli Identity Manager: Руководство по конфигурированию
4. Скопируйте файл jaas_login.conf из каталога
ДОМАШНИЙ_КАТАЛОГ_BEA\user_projects\itim в каталог
ДОМАШНИЙ_КАТАЛОГ_ITIM\data.
5. Включите обработку журнала изменений в файле adhocreporting.properties
следующим образом:
a. В файле adhocreporting.properties, находящемся в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data, укажите changelogEnabled=true.
b. В файле adhocreporting.properties, находящемся в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data, задайте значение свойства
changelogBaseDN=<DN_источника_changelog>. Значение
<DN_источника_changelog> - это DN источника, в котором хранятся записи
журнала изменений (changelog) на сервере каталога. Например:
changelogBaseDN=cn=changelog
6. Включите применение схем в файле adhocreporting.properties следующим
образом:
v В файле adhocreporting.properties, находящемся в каталоге data установки
сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true.7. Модифицируйте файл enRole.properties в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\data следующим образом:
enrole.appServer.url=t3://<имя_компьютера_сервера_tim>:<порт_сервера_tim>
<имя_компьютера_сервера_tim - это имя компьютера <компьютер_itim>. Обычно,
это ″localhost″. <порт_сервера_tim - это порт, на котором работает Tivoli Identity
Manager.
Примечание: Номер порта очень важен. Если его не указать, приложение
попытается соединиться с портом 7001, который является портом по
умолчанию для WebLogic.
Глава 6. Установка и использование компонента Incremental Data Synchronizer 67
Как запустить Incremental Data Synchronizer
Утилиту Incremental Data Synchronizer можно запустить либо в режиме графического
пользовательского интерфейса, либо в режиме командной строки.
Примечание: Перед запуском Incremental Data Synchronizer нужно запустить сервер
Tivoli Identity Manager и произвести синхронизацию данных.
Графический режим
UNIX (WebSphere):
Чтобы вызвать Incremental Data Synchronizer в режиме графического
пользовательского интерфейса, выполните указанную ниже команду в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix:
# startIncrementalSynchronizerUI_WAS.sh
Примечание: При помощи XClient вызовите Incremental Data Synchronizer.
UNIX (WebLogic):
Чтобы вызвать Incremental Data Synchronizer в режиме графического
пользовательского интерфейса, выполните указанную ниже команду в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix:
# startIncrementalSynchronizerUI_WLS.sh
Примечание: При помощи XClient вызовите Incremental Data Synchronizer.
Windows (WebSphere):
Чтобы вызвать Incremental Data Synchronizer в режиме графического
пользовательского интерфейса, выполните указанную ниже команду в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win:
C:> startIncrementalSynchronizerUI_WAS.bat
Windows (WebLogic):
Чтобы вызвать Incremental Data Synchronizer в режиме графического
пользовательского интерфейса, выполните указанную ниже команду в каталоге
ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win:
C:> startIncrementalSynchronizerUI_WLS.bat
На приведенном ниже рисунке показано окно Incremental Data Synchronizer при
запуске в графическом режиме:
68 IBM Tivoli Identity Manager: Руководство по конфигурированию
Вход в систему:
Чтобы запустить синхронизацию ACI, пользователь должен сначала ввести
идентификационные данные менеджера Tivoli Identity Manager. Щелкните по кнопке
Login (Вход в систему), чтобы ввести эти идентификационные данные. Появится
диалоговое окно, показанное на следующем рисунке:
Опции:
Теперь вы должны ввести DN источника на сервере каталога LDAP, где хранятся
записи журнала изменений, а также интервал времени между процедурами
синхронизации.
Примечание: Это время, которое должно пройти с момента окончания одной
процедуры синхронизации до начала следующей процедуры
синхронизации.
Чтобы задать эти параметры, щелкните по кнопке Options (Опции). Появится
диалоговое окно, показанное на следующем рисунке:
Рисунок 11. Incremental Data Synchronizer в графическом режиме
Рисунок 12. Ввод идентификационных данных
Глава 6. Установка и использование компонента Incremental Data Synchronizer 69
Операции Incremental Data Synchronizer:
Запустите синхронизацию, щелкнув по кнопке Start (Запуск). Ход выполнения
синхронизации и другие сведения будут показаны в текстовой области графического
интерфейса.
Процесс синхронизации можно остановить, щелкнув по кнопке Stop (Остановить).
Чтобы очистить текстовую область окна Incremental Data Synchronizer, щелкните по
кнопке Clear (Очистить).
Чтобы закрыть Incremental Data Synchronizer, щелкните по кнопке Exit (Выход).
Режим командной строки
UNIX (WebSphere):
Чтобы вызвать Incremental Data Synchronizer в режиме командной строки, выполните
указанную ниже команду в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix:
# startIncrementalSynchronizerCMD_WAS.sh itim-manager passwd dn_источника_chglog
интервал_времени
UNIX (WebLogic):
Чтобы вызвать Incremental Data Synchronizer в режиме командной строки, выполните
указанную ниже команду в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix:
# startIncrementalSynchronizerCMD_WLS.sh itim-manager passwd dn_источника_chglog
интервал_времени
Windows (WebSphere):
Чтобы вызвать Incremental Data Synchronizer в режиме командной строки, выполните
указанную ниже команду в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win (команду
нужно ввести в виде одной строки):
C:> startIncrementalSynchronizerCMD_WAS.bat itim-manager passwd dn_источника_chglog
интервал_времени
Windows (WebLogic):
Чтобы вызвать Incremental Data Synchronizer в режиме командной строки, выполните
указанную ниже команду в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win (команду
нужно ввести в виде одной строки):
C:> startIncrementalSynchronizerCMD_WLS.bat itim-manager passwd dn_источника_chglog
интервал_времени
Рисунок 13. Опции
70 IBM Tivoli Identity Manager: Руководство по конфигурированию
Где:
Аргумент Описание
itim-manager Регистрационный ID менеджера Tivoli Identity Manager
passwd Пароль менеджера Tivoli Identity Manager
dn_источника_chglog DN источника записей журнала изменений на сервере
каталога Tivoli Identity Manager
интервал_времени Интервал времени между процедурами синхронизации, в
секундах
Пример (UNIX/WebSphere):
# startIncrementalSynchronizerCMD_WAS.sh "itim manager" password cn=changelog 1800
Пример (Windows/WebSphere) (вводится в виде одной строки):
C:> startIncrementalSynchronizerCMD_WAS.bat "itim manager" password
cn=changelog 1800
Примечание: Это интервал времени между окончанием одной процедуры
синхронизации и началом следующей процедуры синхронизации.
Настройка Incremental Data Synchronizer
Утилиту Incremental Data Synchronizer можно настроить, изменив значения свойств в
файле конфигурации adhocreporting.properties. Чтобы обеспечить эффективность
процедуры синхронизации, можно изменять значения трех свойств в комбинации
друг с другом:
v changeLogFetchSize
v maximumChangeLogsToSynchronize
v changeLogsToAnalyzeBeforeSynchronization
Подробную информацию об этих свойствах и других свойствах конфигурации
смотрите в справке по файлу adhocreporting.properties в разделе Глава 11,
“Конфигурирование дополнительных свойств”, на стр. 133.
Глава 6. Установка и использование компонента Incremental Data Synchronizer 71
72 IBM Tivoli Identity Manager: Руководство по конфигурированию
Глава 7. Конфигурирование Crystal Reports
Crystal Reports
® версии 9 это продукт Crystal Decisions, Inc для интеграции и создания
шаблонов отчетов. Средство Crystal Reports Dеsigner позволяет создавать сложные
шаблоны отчетов. Эти шаблоны можно затем интегрировать в среду Tivoli Identity
Manager и сделать доступными для пользователей, которые создают отчеты.
Функция Crystal Reports - это дополнительный (а не обязательный) компонент,
который позволяет создавать пользовательские отчеты.
Вы можете встроить пользовательский шаблон Crystal Report в среду Tivoli Identity
Manager, импортировав файл шаблона отчета с компьютера-клиента Crystal Reports
при помощи графического пользовательского интерфейса Tivoli Identity Manager.
Пользовательский шаблон отчета появится в списке вместе со стандартными
отчетами в панели Отчеты графического пользовательского интерфейса Tivoli Identity
Manager. Теперь можно использовать этот шаблон для генерирования
пользовательского отчета. В Tivoli Identity Manager предусмотрен полный набор
функций контроля (посредством ACI) за данными в отчетах, построенных на основе
шаблонов Crystal Report.
Темы раздела:
v “Поток процессов при использовании отчетов Crystal Reports” на стр. 74
v “Конфигурирование Tivoli Identity Manager для работы в сочетании с Crystal
Reports” на стр. 75
© Copyright IBM Corp. 2004 73
Поток процессов при использовании отчетов Crystal Reports
Tivoli Identity Manager в сочетании с функцией Crystal Reports представляют собой
систему ″клиент/сервер″, в состав которой входят следующие компоненты:
v Клиент Crystal Reports (на котором установлено средство Crystal Reports Designer)
При помощи средства Crystal Reports Designer пользователи могут
сконструировать шаблон отчета.
v Графический пользовательский интерфейс Tivoli Identity Manager
Администраторы могут сделать новые шаблоны отчетов доступными
пользователям Tivoli Identity Manager (при помощи функции импорта).
v Сервер Tivoli Identity Manager
Отправляет требование о создании отчета на сервер Crystal Reports Report
Application Server (RAS)
v Сервер Crystal Reports RAS (Report Application Server)
Обрабатывает отчет, извлекая данные из базы данных Tivoli Identity Manager и
заполняя этими данными шаблон.
v SDK обеспечивает интерфейс между сервером Tivoli Identity Manager и RAS
Описанный ниже поток процессов содержит последовательность событий при
генерировании отчета на основе шаблона Crystal Reports:
1. На компьютере-клиенте Crystal Reports сконструируйте шаблон отчета при
помощи Crystal Reports Designer.
Для средства Crystal Reports Designer доступны только те объекты и столбцы, для
которых заданы отображения с использованием Дизайнера схем Tivoli Identity
Manager. Сконструированный шаблон отчета можно при помощи средства Crystal
Reports Designer сохранить в файловой системе клиента в виде файла шаблона
отчета (.rpt).
2. При помощи графического пользовательского интерфейса Tivoli Identity Manager
сделайте новый шаблон отчета доступным в среде Tivoli Identity Manager,
импортировав в нее этот шаблон (кнопка Импорт в задаче Создать отчет).
3. Когда пользователь выберет этот шаблон и запустит генерирование отчета,
сервер Tivoli Identity Manager отправит требование о создании отчета на сервер
RAS для обработки.
4. Используя имя источника данных (DSN), созданное на компьютере RAS, сервер
RAS установит связь с базой данных Tivoli Identity Manager, прочтет
соответствующие данные и сгенерирует отчет.
74 IBM Tivoli Identity Manager: Руководство по конфигурированию
Конфигурирование Tivoli Identity Manager для работы в сочетании с
Crystal Reports
Чтобы импортировать в среду Tivoli Identity Manager шаблоны отчетов,
разработанные при помощи средства Crystal Reports Designer, необходимо, чтобы в
сети работал сервер Report Application Server (RAS); сервер Tivoli Identity Manager
должен быть сконфигурирован для работы с SDK RAS.
Конфигурирование поддержки Crystal Reports в среде Tivoli Identity Manager
подразделяется на три части:
1. Конфигурирование Crystal Enterprise Report Application Server (RAS)
v Поддерживается только на платформе Windows2. Конфигурирование сервера приложений Tivoli Identity Manager
Примечание: Выберите один из указанных ниже разделов, соответствующий
тому, какие сервер приложений и платформу вы используете:
a. WebSphere в Windows
b. WebSphere в UNIX
c. WebLogic в Windows
d. WebLogic в UNIX3. Конфигурирование клиента Crystal Reports (для компьютера, на котором работает
средство Crystal Reports Designer)
v Поддерживается только на платформе Windows
1. Конфигурирование RAS (поддерживается только на
платформе Windows)
Чтобы сконфигурировать сервер Report Application Server (RAS), выполните действия,
описанные ниже:
1. Установите сервер приложений Crystal Reports Report Application Server (RAS),
руководствуясь инструкциями, прилагаемыми к программе.
RAS может находиться на том же компьютере Windows, что и сервер приложения
Tivoli Identity Manager, либо на отдельном компьютере Windows.
2. Создайте системное имя источника данных (Data Source Name - DSN),
указывающее на базу данных Tivoli Identity Manager, которая используется
сервером Tivoli Identity Manager.
2a. Конфигурирование Tivoli Identity Manager (WebSphere в
Windows)
Чтобы сконфигурировать Tivoli Identity Manager для работы в сочетании с сервером
приложений WebSphere Application Server на компьютере Windows, выполните
следующие шаги:
1. Скопируйте все файлы .jar (за исключением файлов OB405.jar/ebus405.jar и
xerces.jar) из каталога установки RAS в следующий каталог на сервере
WebLogic:
ДОМАШНИЙ_КАТАЛОГ_WAS\installedApps\<имя_компьютера>\enrole.ear\app_web
\WEB-INF\lib\
Примечание: Создайте папку lib, если она не существует.
Эти файлы .jar, как правило, находятся в каталоге:
C:\Program Files\Common Files\Crystal Decisions\2.0\jars
Глава 7. Конфигурирование Crystal Reports 75
||
|
Примечание: НЕ перезаписывайте файл xerces.jar, который уже существует в
каталоге назначения. НЕ копируйте в каталог назначения ни файл
OB405.jar, ни файл ebus405.jar. В папке установки Crystal должен
быть ЛИБО файл OB405.jar, ЛИБО файл ebus405.jar, в
зависимости от того, какую версию Crystal Report Application Server
вы используете.
2. Модифицируйте файл ДОМАШНИЙ_КАТАЛОГ_ITIM\data\crystal.properties,
изменив в нем следующие свойства:
v crystalras: В качестве значения этого свойства укажите имя сервера, на котором
установлен RAS
v dsn: В качестве значения этого свойства укажите созданное перед этим значение
DSN
v database: В качестве значения этого свойства укажите имя тип базы данных,
которую использует Tivoli Identity Manager
При конфигурировании базы данных DB2, если база данных находится не на
одном компьютере с RAS, укажите алиас базы данных, который укажет
фактическую базу данных, используемую продуктом Tivoli Identity Manager.3. Перезапустите сервер Tivoli Identity Manager.
Создайте файл .war при помощи WebSphere Application Assembly Tool:
Ниже приводятся инструкции, которые позволят вам внедрить каталог
crystalreportviewers в виде файла .war в WebSphere 5.0.
1. Запустите WebSphere Application Assembly Tool:
Пуск > Программы > IBM WebSphere > Application Server 5.0 >
Application Assembly Tool
2. Выберите Web Module (Web-модуль).
3. Раскройте узел Files (Файлы).
4. Щелкните правой кнопкой мыши по Resource Files (Ресурсные файлы) и
выберите Add Files (Добавить файлы).
5. Выберите каталог crystalreportviewers в каталоге установки Crystal. Как
правило, путь этого каталога:
C:\Program Files\Common Files\Crystal Decisions\2.0\crystalreportviewers
6. Щелкните по Add (Добавить).
Убедитесь, что список файлов, содержащихся в каталоге crystalreportviewers,
появился в нижней панели графического пользовательского интерфейса.
7. Щелкните по ОК.
8. Щелкните правой кнопкой мыши по Jar Files (Файлы Jar) и выберите Add Files
(Добавить файлы).
9. Выберите каталог jars в каталоге установки Crystal. Как правило, путь этого
каталога:
C:\Program Files\Common Files\Crystal Decisions\2.0\jars
10. Выберите все файлы с расширением .jar.
11. Щелкните по Add (Добавить).
Убедитесь, что список файлов, содержащихся в каталоге jars, появился в нижней
панели графического пользовательского интерфейса.
12. Щелкните по ОК.
13. Щелкните по Apply (Применить).
14. Щелкните по узлу, находящемуся в корне дерева в левой панели.
76 IBM Tivoli Identity Manager: Руководство по конфигурированию
15. Измените значение переменной classpath, включив в нее следующее пути (в виде
одной строки):
WEB-INF/lib/rascore.jar;
WEB-INF/lib/rasapp.jar;
WEB-INF/lib/webreporting.jar;
WEB-INF/lib/WebReportingWizard.jar;
WEB-INF/lib/Serialization.jar;
WEB-INF/lib/MetafileRenderer.jar;
WEB-INF/lib/ReportTemplate.jar;
WEB-INF/lib/CorbaIDL.jar;
WEB-INF/lib/OBBiDir.jar;
WEB-INF/lib/OBEvent.jar;
WEB-INF/lib/OBIMR.jar;
WEB-INF/lib/OBNaming.jar;
WEB-INF/lib/OBProperty.jar;
WEB-INF/lib/OBTime.jar;
WEB-INF/lib/OBUtil.jar;
WEB-INF/lib/reportsourcefactory.jar
16. Щелкните по Apply (Применить).
17. Сохраните файл в виде файла .war.
Внедрите файл .war при помощи консоли администрирования WebSphere:
1. Запустите сервер WebSphere.
2. Перейдите на консоль администрирования WebSphere:
http://имя_компьютера:9090/admin/
3. На консоли администрирования выберите:
Applications (Приложения) > Install New Application (Установить
новое приложение)
4. Выберите локальный путь, если файл внедряется с какого-либо компьютера
помимо компьютера-сервера. В противном случае выберите полное имя сервера.
5. Выберите файл .war, созданный в предыдущем разделе.
6. Задайте корневой каталог контекста следующим образом:
/crystalreportviewers
7. Примите все параметры по умолчанию и задайте следующее имя приложения:
crystalreportviewers
8. Щелкните по Finish (Готово).
9. Щелкните по Save to Master Configuration (Сохранить в главной конфигурации).
10. Щелкните по Save (Сохранить).
11. Раскройте узел Environment (Среда) в дереве, которое находится в левой панели.
12. Выберите Update Web Server Plugin (Обновить Plugin Web-сервера).
13. Щелкните по ОК в правой панели.
14. Перезапустите WebSphere Application Server.
2b. Конфигурирование Tivoli Identity Manager (WebSphere в
UNIX)
Чтобы сконфигурировать Tivoli Identity Manager для работы в сочетании с сервером
приложений WebSphere Application Server на компьютере UNIX, выполните
следующие шаги:
1. Скопируйте все файлы .jar (за исключением файлов OB405.jar/ebus405.jar и
xerces.jar) из каталога установки RAS в следующий каталог на сервере
WebLogic:
ДОМАШНИЙ_КАТАЛОГ_WAS/installedApps/<имя_компьютера>/enrole.ear/app_web/
WEB-INF/lib/
Глава 7. Конфигурирование Crystal Reports 77
||
Примечание: Создайте папку lib, если она не существует.
Эти файлы .jar, как правило, находятся в каталоге:
C:\Program Files\Common Files\Crystal Decisions\2.0\jars
Примечание: НЕ перезаписывайте файл xerces.jar, который уже существует в
каталоге назначения. НЕ копируйте в каталог назначения ни файл
OB405.jar, ни файл ebus405.jar. В папке установки Crystal должен
быть ЛИБО файл OB405.jar, ЛИБО файл ebus405.jar, в
зависимости от того, какую версию Crystal Report Application Server
вы используете.
2. Модифицируйте файл ДОМАШНИЙ_КАТАЛОГ_ITIM/data/crystal.properties,
изменив в нем следующие свойства:
v crystalras: В качестве значения этого свойства укажите имя сервера, на котором
установлен RAS
v dsn: В качестве значения этого свойства укажите созданное перед этим значение
DSN
v database: В качестве значения этого свойства укажите имя тип базы данных,
которую использует Tivoli Identity Manager
При конфигурировании базы данных DB2, если база данных находится не на
одном компьютере с RAS, укажите алиас базы данных, который укажет
фактическую базу данных, используемую продуктом Tivoli Identity Manager.3. Перезапустите сервер Tivoli Identity Manager.
Создайте файл .war при помощи WebSphere Application Assembly Tool:
Ниже приводятся инструкции, которые позволят вам внедрить каталог
crystalreportviewers в виде файла .war в WebSphere 5.0.
1. Запустите WebSphere Application Assembly Tool. Выполняемый файл этого
средства находится в следующем каталоге:
ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/assembly.sh
2. Выберите Web Module (Web-модуль).
3. Раскройте узел Files (Файлы).
4. Щелкните правой кнопкой мыши по Resource Files (Ресурсные файлы) и
выберите Add Files (Добавить файлы).
5. Выберите каталог crystalreportviewers в каталоге установки Crystal. Как
правило, путь этого каталога:
C:\Program Files\Common Files\Crystal Decisions\2.0\crystalreportviewers
6. Щелкните по Add (Добавить).
Убедитесь, что список файлов, содержащихся в каталоге crystalreportviewers,
появился в нижней панели графического пользовательского интерфейса.
7. Щелкните по ОК.
8. Щелкните правой кнопкой мыши по Jar Files (Файлы Jar) и выберите Add Files
(Добавить файлы).
9. Выберите каталог jars в каталоге установки Crystal. Как правило, путь этого
каталога:
C:\Program Files\Common Files\Crystal Decisions\2.0\jars
10. Выберите все файлы с расширением .jar.
11. Щелкните по Add (Добавить).
Убедитесь, что список файлов, содержащихся в каталоге jars, появился в нижней
панели графического пользовательского интерфейса.
78 IBM Tivoli Identity Manager: Руководство по конфигурированию
|
12. Щелкните по ОК.
13. Щелкните по Apply (Применить).
14. Щелкните по узлу, находящемуся в корне дерева в левой панели.
15. Измените значение переменной classpath, включив в нее следующее пути (в виде
одной строки):
WEB-INF/lib/rascore.jar;
WEB-INF/lib/rasapp.jar;
WEB-INF/lib/webreporting.jar;
WEB-INF/lib/WebReportingWizard.jar;
WEB-INF/lib/Serialization.jar;
WEB-INF/lib/MetafileRenderer.jar;
WEB-INF/lib/ReportTemplate.jar;
WEB-INF/lib/CorbaIDL.jar;
WEB-INF/lib/OBBiDir.jar;
WEB-INF/lib/OBEvent.jar;
WEB-INF/lib/OBIMR.jar;
WEB-INF/lib/OBNaming.jar;
WEB-INF/lib/OBProperty.jar;
WEB-INF/lib/OBTime.jar;
WEB-INF/lib/OBUtil.jar;
WEB-INF/lib/reportsourcefactory.jar
16. Щелкните по Apply (Применить).
17. Сохраните файл в виде файла .war.
Внедрите файл .war при помощи консоли администрирования WebSphere:
1. Запустите сервер WebSphere.
2. Перейдите на консоль администрирования WebSphere:
http://имя_компьютера:9090/admin/
3. На консоли администрирования выберите:
Applications (Приложения) > Install New Application
(Установить новое приложение)
4. Выберите локальный путь, если файл внедряется с какого-либо компьютера
помимо компьютера-сервера. В противном случае выберите полное имя сервера.
5. Выберите файл .war, созданный в предыдущем разделе.
6. Задайте корневой каталог контекста следующим образом:
/crystalreportviewers
7. Примите все параметры по умолчанию и задайте следующее имя приложения:
crystalreportviewers
8. Щелкните по Finish (Готово).
9. Щелкните по Save to Master Configuration (Сохранить в главной конфигурации).
10. Щелкните по Save (Сохранить).
11. Раскройте узел Environment (Среда) в дереве, которое находится в левой панели.
12. Выберите Update Web Server Plugin (Обновить Plugin Web-сервера).
13. Щелкните по ОК в правой панели.
14. Перезапустите WebSphere Application Server.
2c. Конфигурирование сервера Tivoli Identity Manager
(WebLogic в Windows)
Чтобы сконфигурировать Tivoli Identity Manager для работы в сочетании с сервером
приложений WebLogic на компьютере Windows, выполните следующие шаги:
Глава 7. Конфигурирование Crystal Reports 79
1. Скопируйте все файлы .jar (за исключением файлов OB405.jar/ebus405.jar и
xerces.jar) из каталога установки RAS в следующий каталог на сервере
WebLogic:
ДОМАШНИЙ_КАТАЛОГ_ITIM\lib
Эти файлы .jar, как правило, находятся в каталоге:
C:\Program Files\Common Files\Crystal Decisions\2.0\jars
Примечание: НЕ перезаписывайте файл xerces.jar, который уже существует в
каталоге назначения. НЕ копируйте в каталог назначения ни файл
OB405.jar, ни файл ebus405.jar. В папке установки Crystal должен
быть ЛИБО файл OB405.jar, ЛИБО файл ebus405.jar, в
зависимости от того, какую версию Crystal Report Application Server
вы используете.
2. Модифицируйте файл ДОМАШНИЙ_КАТАЛОГ_ITIM\data\crystal.properties,
изменив в нем следующие свойства:
v crystalras: В качестве значения этого свойства укажите имя сервера, на котором
установлен RAS
v dsn: В качестве значения этого свойства укажите созданное перед этим значение
DSN
v database: В качестве значения этого свойства укажите имя тип базы данных,
которую использует Tivoli Identity Manager3. Перезапустите сервер Tivoli Identity Manager.
Конфигурирование WebLogic:
Ниже приводятся инструкции, которые позволят вам внедрить каталог
crystalreportviewers в WebLogic 7.0.
1. Создайте подкаталог DefaultWebapp_мой_сервер в каталоге
ДОМАШНИЙ_КАТАЛОГ_BEA\user_projects\itim\applications.
2. Скопируйте в этот подкаталог каталог crystalreportviewers из каталога
установки Crystal. Как правило, путь каталога установки Crystal:
C:\Program Files\Common Files\Crystal Decisions\2.0
3. Запустите сервер WebLogic.
4. Перейдите в консоль WebLogic при помощи браузера:
http://имя_компьютера/console
5. Зарегистрируйтесь в системе, указав имя пользователя ″system″ и назначенный
пароль. Пароль по умолчанию - ″enrole″.
6. Раскройте дерево в левой части страницы:
itim > Deployments > Web Application > DefaultWebapp_мой_сервер
7. Щелкните по вкладке Targets (Пункты назначения).
8. Если в списке Available (Доступные) есть запись мой_сервер, щелкните по кнопке
со стрелкой, чтобы добавить ее в список Chosen (Выбранные).
9. Щелкните по Apply (Применить).
2d. Конфигурирование Tivoli Identity Manager (WebLogic в
UNIX)
Чтобы сконфигурировать Tivoli Identity Manager для работы в сочетании с сервером
приложений WebLogic на компьютере UNIX, выполните следующие шаги:
80 IBM Tivoli Identity Manager: Руководство по конфигурированию
1. Скопируйте все файлы .jar (за исключением файлов OB405.jar/ebus405.jar и
xerces.jar) из каталога установки RAS в следующий каталог на сервере
WebLogic:
ДОМАШНИЙ_КАТАЛОГ_ITIM/lib
Эти файлы .jar, как правило, находятся в каталоге:
C:\Program Files\Common Files\Crystal Decisions\2.0\jars
Примечание: НЕ перезаписывайте файл xerces.jar, который уже существует в
каталоге назначения. НЕ копируйте в каталог назначения ни файл
OB405.jar, ни файл ebus405.jar. В папке установки Crystal должен
быть ЛИБО файл OB405.jar, ЛИБО файл ebus405.jar, в
зависимости от того, какую версию Crystal Report Application Server
вы используете.
2. Модифицируйте файл ДОМАШНИЙ_КАТАЛОГ_ITIM/data/crystal.properties,
изменив в нем следующие свойства:
v crystalras: В качестве значения этого свойства укажите имя сервера, на котором
установлен RAS
v dsn: В качестве значения этого свойства укажите созданное перед этим значение
DSN
v database: В качестве значения этого свойства укажите имя тип базы данных,
которую использует Tivoli Identity Manager3. Перезапустите сервер Tivoli Identity Manager.
Конфигурирование WebLogic:
Ниже приводятся инструкции, которые позволят вам внедрить каталог
crystalreportviewers в WebLogic 7.0.
1. Создайте подкаталог DefaultWebapp_мой_сервер в каталоге
ДОМАШНИЙ_КАТАЛОГ_BEA/user_projects/itim/applications.
2. Скопируйте в этот подкаталог каталог crystalreportviewers из каталога
установки Crystal. Как правило, путь каталога установки Crystal:
C:\Program Files\Common Files\Crystal Decisions\2.0
3. Запустите сервер WebLogic.
4. Перейдите в консоль WebLogic при помощи браузера:
http://имя_компьютера/console
5. Зарегистрируйтесь в системе, указав имя пользователя ″system″ и назначенный
пароль. Пароль по умолчанию - ″enrole″.
6. Раскройте дерево в левой части страницы:
itim > Deployments > Web Application > DefaultWebapp_мой_сервер
7. Щелкните по вкладке Targets (Пункты назначения).
8. Если в списке Available (Доступные) есть запись мой_сервер, щелкните по кнопке
со стрелкой, чтобы добавить ее в список Chosen (Выбранные).
9. Щелкните по Apply (Применить).
3. Конфигурирование клиента (поддерживается только на
платформе Windows)
Ниже рассматривается, как следует сконфигурировать компьютер-клиент, на
котором будет работать средство Crystal Reports 9 Designer.
Глава 7. Конфигурирование Crystal Reports 81
v Создайте на компьютере-клиенте (на котором работает Crystal Reports 9 Designer)
системное имя источника данных (Data Source Name - DSN), указывающее на базу
данных Tivoli Identity Manager, которая используется сервером Tivoli Identity
Manager.
Эта информация о соединении требуется для того, чтобы средство разработки
могло получать нужные объекты и данные из столбцов базы данных Tivoli Identity
Manager.
v Укажите имя пользователя ″enrole″ с соответствующим паролем. У этого
пользователя должен быть доступ к таблицам базы данных на сервере Tivoli
Identity Manager. Пароль можно узнать у администратора Tivoli Identity Manager.
Примечание: При разработке отчетов Crystal Reports не используйте таблицы, имена
которых начинаются со слова ″user_″.
Примечание: Столбцы SUPERVISOR и CONTAINERDN в подготовленных таблицах
содержат метаданные, которые нельзя использовать в отчетах,
созданных при помощи Crystal Report.
82 IBM Tivoli Identity Manager: Руководство по конфигурированию
Глава 8. Разработка условий фильтров Crystal
Темы раздела:
v “Учебник по разработке условий фильтров” на стр. 83
v “Примеры отчетов” на стр. 85
Учебник по разработке условий фильтров
Условия этих фильтров очень сходны с операторами языка SQL, используемыми при
обращении к базам данных. Условия фильтров, созданные при помощи Crystal Report
Designer, преобразуются в SQL и выполняются при генерировании отчетов.
Дизайнер Crystal Report сначала должен при помощи средства ″Database Expert″
выбрать таблицы, которые будет использоваться в отчете. Пользователь увидит все
таблицы, созданные в ходе синхронизации. При выборе таблиц нужно обратить
внимание на следующее:
v Ниже перечислены имена таблиц, генерируемых для атрибутов с несколькими
значениями:
<ИМЯ_ОБЪЕКТА>_<ИМЯ_АТРИБУТА>
Однако, используемый здесь фрагмент <ИМЯ_АТРИБУТА> - это не имя,
появляющееся на экране в Tivoli Identity Manager, а внутреннее представление этого
атрибута. (Например, cn для Полного имени).
v Для генерирования имен таблиц во время синхронизации данных используется
следующая схема:
<ИМЯ_ОБЪЕКТА>_<ИМЯ_АТРИБУТА>
Однако, база данных Oracle не поддерживает идентификаторы, длина которых
превышает 30 символов. Следовательно, длина имен таблиц, созданных во время
синхронизации данных, не может превышать 30 символов.
В тех случаях, когда длина имени превышает 30 символов, имя таблицы
генерируется в соответствии с приведенной ниже схемой:
Первые 22 символа имени ( <ИМЯ_ОБЪЕКТА>_<ИМЯ_АТРИБУТА> ) +
<уникальный_ID>
Эта схема гарантирует, что имена таблиц никогда не будут содержать более 30
символов. В некоторых случаях, дизайнеру отчетов приходится искать атрибут с
несколькими значениями (для которого создана таблица), путем поиска данных в
столбцах таблиц, поскольку имена таблиц могут оказаться шифрованными.
v Пользователю не следует выбирать в Database Expert никакие таблицы с именами
вида USER_<ОБЪЕКТ>. В этих таблицах содержится информация ACI, не
предназначенная для составления отчетов.
Ниже приводится список агентов, их атрибутов и взаимосвязей друг с другом в
контексте Tivoli Identity Manager. Этот список может оказаться полезным для
создания правильных условий фильтра при создании отчетов. В столбце Фильтры
приведенной ниже таблицы показано точное условие JOIN, которое можно
использовать в отчете для получения адекватных и значимых результатов.
© Copyright IBM Corp. 2004 83
Номер Объекты Фильтры
1 Сотрудник,
Учетная запись
Person.DN = Account.owner
2 Person_erroles,
DefaultRole
Person_erroles.erroles= DefaultRole.DN
3 Сотрудник,
Подразделение
организации
Person.ParentDN = OrganizationalUnit.DN
ИЛИ
OrganizationalUnit.ersupervisor = Person.DN
4 Учетная запись, Служба Account.erservice = Service.DN
5 Политика
предоставления
доступа,
Роль в организации
ProvisioningPolicy.erparent = OrganizationUnit.DN
6 Участок, Сотрудник Location.ersupervisor = Person.DN
7 Организация бизнес-партнера,
Сотрудник
BPOrganization.ersponsor = Person.DN
8 BPPerson, DefaultRole BPPerson.erroles = DefaultRole.DN
9 Организация,
Участок
Organization.DN = Location.erparent
10 Организация,
Подразделение организации
Organization .DN = OrganizationUnit.erparent
11 Организация,
Организация бизнес-партнера
Organization.DN = BPOrganization.erparent
12 Подразделение организации,
Участок
OrganizationalUnit.erparent = Location.DN
ИЛИ
Location.erparent = OrganizationalUnit.DN
13 Подразделение организации,
Организация бизнес-партнера
OrganizationalUnit.erparent = BPOrganization.DN
ИЛИ
BPOrganization.erparent = OrganizationalUnit.DN
14 Участок,
Организация бизнес-партнера
Location.erparent = BPOrganization.DN
ИЛИ
BPOrganization.erparent = Location.DN
15 Служба, Сотрудник Service.owner = Person.DN
16 Учетная запись SQL2000,
Служба
SQL2000Account.erservice = Service.DN
17 Учебная запись ITIM,
Служба ITIM
ITIMAccount.erservice = ITIMService.DN
18 Предоставляемое право,
Служба
Service.DN = Entitlement.ServiceTargetName
19 Политика предоставления
доступа,
Предоставляемое право
ProvisioningPolicy.DN = Entitlement.DN
20 ACI, Принципалы ACI ACI.DN = ACI_Principals.DN
AND ACI.Name = ACI_Principals.Name
AND ACI.Target = ACI_Principals.Target
21 ACI,
ACI_Permission_ClassRight
ACI.DN = ACI_Permission_ClassRight.DN
AND ACI.Name = ACI_Permission_ClassRight.Name
AND ACI.Target = ACI_Permission_ClassRight.Target
22 ACI,
ACI_Permission_AttributeRight
ACI.DN = ACI_Permission_AttributeRight.DN
AND ACI.Name = ACI_Permission_AttributeRight.Name
AND ACI.Target = ACI_Permission_AttributeRight.Target
84 IBM Tivoli Identity Manager: Руководство по конфигурированию
|
23 ACI, ACI_RoleDNS ACI.DN = ACI_RoleDNS.DN
AND ACI.Name = ACI_RoleDNS.Name
AND ACI.Target = ACI_RoleDNS.Target
Для справки:
Имя, выводимое на экран в ITIM Внутреннее имя
Роль в организации DefaultRole
Организация бизнес-партнера BPOrganization
Сотрудник бизнес-партнера BPPerson
Примеры отчетов
Ниже описаны некоторые механизмы разработки условий фильтра. Приводится
несколько примеров, иллюстрирующих процесс разработки фильтров. Эти примеры
также отражают некоторые взаимосвязи между разными столбцами
синхронизируемых таблиц.
Как задать условия JOIN в дизайнере отчетов при
разработке отчетов
При разработке отчетов пользователь должен задать в дизайнере отчетов
соответствующие фильтры, чтобы при выполнении отчета получить нужные данные.
Вот несколько примеров:
Отчет об атрибутах учетных записей
(Все пользователи с учетными записями типа ITIMService)
Создайте следующую схему отчета:
v Столбцы отчета: Account.eruid, ITIM.Service.erservicename
v Фильтры: Нет
Следовательно, если существуют двое пользователей:
v User1 с учетными записями ITIMService1 и ITIMService2
v User2 с учетной записью ITIMService3
В результате мы получим:
User1 ITIMService1
User1 ITIMService2
User1 ITIMService3
User2 ITIMService1
User2 ITIMService2
User2 ITIMService3
Это просто результат декартового представления двух таблиц.
Чтобы получить нужный набор результатов, нужно указать правильные условия
объединения (JOIN), задающие взаимосвязь между двумя этими таблицами.
Глава 8. Разработка условий фильтров Crystal 85
Условием объединения (JOIN) в данном случае будет:
v Фильтры: Account.Service = ITIMService.DN
В результате применения такого фильтра мы получим:
User1 ITIMService1
User1 ITIMService2
User2 ITIMService3
Отчет о ролях сотрудников в организации
(Сотрудники, связанные с той или иной ролью в организации).
Создайте следующую схему отчета:
v Столбцы отчета: Person.cn, DefaultRole.Name
v Фильтр: DefaultRole.Name = ’_USERINPUT_’
Следовательно, если существуют двое пользователей:
v Person1 с ролью Role1
v Person2 с ролью Role2
Если при генерировании отчета в качестве роли указывается ″Role1″, то в результате
мы получим:
Person1 Role1
Person2 Role1
Чтобы программа сгенерировала нужные результаты для этого отчета, нужны
следующие условия фильтра:
Person.erroles = DefaultRole.DN
AND DefaultRole.Name = ’_USERINPUT_’
Если при генерировании отчета в качестве роли указывается ″Role1″, то в результате
мы получим:
Person1 Role1
Указанное условие фильтра действует потому, что атрибут ″Роль в организации″ для
объекта ″Сотрудник″ содержит значение DN роли, к которой относится пользователь.
Также обратите внимание на то, что атрибут Роль в организации является атрибутом
с несколькими значениями, то есть, у сотрудника может быть несколько ролей в
организации.
Отчет об учетных записях сотрудников
(Учетные записи, связанные с сотрудниками в системе)
Создайте следующую схему отчета:
v Столбец отчета: Person.cn, Account.eraccountstatus
v Фильтры: Нет
Этот отчет в качестве результата возвратит декартово произведение записей в
таблицах Сотрудник и Учетная запись.
86 IBM Tivoli Identity Manager: Руководство по конфигурированию
Условие объединения (JOIN), которое задаст взаимосвязь между таблицами
Сотрудник и Учетная запись:
Account.owner = Person.DN
Глава 8. Разработка условий фильтров Crystal 87
|
88 IBM Tivoli Identity Manager: Руководство по конфигурированию
Глава 9. Разработка условий фильтров пользовательских
отчетов
Темы раздела:
v “Учебник по разработке условий фильтров” на стр. 89
v “Примеры отчетов” на стр. 91
Учебник по разработке условий фильтров
Условия этих фильтров очень сходны с операторами языка SQL, используемыми при
обращении к базам данных. Условия фильтров, созданные при помощи дизайнера
отчетов, преобразуются в SQL и выполняются при генерировании отчетов.
Ниже приводится список агентов, их атрибутов и взаимосвязей друг с другом в
контексте ITIM. Этот список может оказаться полезным для создания правильных
условий фильтра при создании отчетов. В столбце Фильтры приведенной ниже
таблицы показано точное условие JOIN, которое можно использовать в отчете для
получения адекватных и значимых результатов.
Этот учебник завершается несколькими примерами отчетов, которые иллюстрируют,
как и когда следует использовать эти условия JOIN при разработке отчетов.
Номер Объекты Фильтры
1 Сотрудник, Учетная
запись
Person.DN = Account.owner
2 Сотрудник,
Роль в организации
Person.Organization Roles = Organization Role.DN
3 Сотрудник,
Подразделение
организации
Person.ParentDN = Organizational Unit.DN
OR
Organizational Unit. Supervisor = Person.DN
4 Учетная запись,
Служба
Account.Service = Service.DN
5 Политика
предоставления
доступа,
Роль в организации
Organization Role.DN = getDN(Provisioning Policy.Policy Membership) **
6 Политика
предоставления
доступа,
Подразделение
организации
Provisioning Policy.Parent DN = Organizational Unit.DN
7 Политика
предоставления
доступа,
Служба
Service.DN = getDN(Provisioning Policy.Policy Target ) **
8 Участок, Сотрудник Location.Supervisor = Person.DN
9 Бизнес-партнер
Организация,
Сотрудник
Business Partner Organization.Sponsor = Person.DN
© Copyright IBM Corp. 2004 89
|
10 Бизнес-партнер
Сотрудник,
Роль в организации
Business Partner Person.Organization Roles = Organization Role.DN
11 Организация,
Участок
Organization.DN = Location.Parent DN
12 Организация,
Подразделение
организации
Организация,
Бизнес-партнер
Организация
Organization .DN = Organizational Unit.ParentDN
Organization.DN = Business Partner
Organization.ParentDN
13 Подразделение
организации,
Участок
Organizational Unit.Parent DN = Location.DN
OR
Location.Parent DN = Organizational Unit.DN
14 Подразделение
организации,
Организация
бизнес-партнера
Organizational Unit.Parent DN = Business Partner Organization DN
OR
Business Partner Organization.Parent DN = Organizational Unit.DN
15 Участок,
Организация
бизнес-партнера
Location..Parent DN = Business Partner Organization.DN
OR
Business Partner Organization.Parent DN = Location.DN
16 Служба, Сотрудник Service.Account Owner = Person.DN
17 Учетная запись
SQL2000,
Служба
SQL2000Account.Service = Service.DN
18 Учетная запись ITIM,
Служба ITIM
ITIMAccount.Service = ITIMService.DN
19 Предоставляемое
право, Служба
Service.DN = Entitlement.Service Target Name
20 Политика
предоставления
доступа,
Предоставляемое
право
ProvisioningPolicy.DN = Entitlement.DN
21 ACI,
Принципалы ACI
ACI.DN = ACI Principals.DN
AND ACI.Name = ACI Principals.Name
AND ACI.Target = ACI Principals.Target
22 ACI,
Разрешение ACI
ClassRight
ACI.DN = ACI Permission ClassRight.DN
AND ACI.Name = ACI Permission ClassRight.Name
AND ACI.Target = ACI Permission ClassRight.Target
23 ACI,
Разрешение ACI
AttributeRight
ACI.DN = ACI Permission AttributeRight.DN
AND ACI.Name = ACI Permission AttributeRight.Name
AND ACI.Target = ACI Permission
AttributeRight.Target
24 ACI, DN ролей ACI ACI.DN = ACI Role DNs.DN
AND ACI.Name = ACI Role DNs.Name
AND ACI.Target = ACI Role DNs.Target
25 ACI,
Подразделение
организации
ACI.DN = Organizational Unit.DN
90 IBM Tivoli Identity Manager: Руководство по конфигурированию
Примечание:
Функция getDN - это функция дизайнера отчетов, позволяющая извлечь DN из
столбцов, данные в которых представлены в формате:
<число>;<dn>
Например, в столбце ProvisioningPolicy.Policymembership содержатся записи
вида:
<число>;<dn>
Чтобы извлечь DN из этой строки, нужно воспользоваться функцией getDN. Пример
подобного фильтра:
Organization Role.DN = getDN(ProvisioningPolicy.Policymembership)
Примеры отчетов
Ниже описаны некоторые механизмы разработки условий фильтра. Приводится
несколько примеров, иллюстрирующих процесс разработки фильтров. Эти примеры
также отражают некоторые взаимосвязи между разными столбцами
синхронизируемых таблиц.
Использование функций в отчетах
Функции можно использовать в сочетании с различными столбцами в схеме отчета.
По умолчанию, в реализацию включены следующие функции:
Upper Эта функция принимает один аргумент и преобразует аргумент в верхний
регистр.
Lower Эта функция принимает один аргумент и преобразует аргумент в нижний
регистр.
GetDN В первую очередь эта функция предназначена для извлечение DN из
столбцов, содержащих строку следующего формата:
<число>;<dn>
Например:
В столбце ProvisioningPolicy.Policymembership содержатся записи вида:
<число>;<dn>
Чтобы извлечь DN из этой строки, нужно воспользоваться функцией getDN. Пример
подобного фильтра:
Organization Role.DN = getDN(ProvisioningPolicy.Policymembership)
Как задать условия JOIN в дизайнере отчетов при
разработке отчетов
При разработке отчетов пользователь должен задать в дизайнере отчетов
соответствующие фильтры, чтобы при выполнении отчета получить нужные данные.
Вот несколько примеров:
Отчет об атрибутах учетных записей
(Все пользователи с учетными записями типа ITIMService)
Создайте следующую схему отчета:
Глава 9. Разработка условий фильтров пользовательских отчетов 91
v Столбцы отчета: Account.Userid, ITIM.ServiceName
v Фильтры: Нет
Следовательно, если существуют двое пользователей:
v User1 с учетными записями ITIMService1 и ITIMService2
v User2 с учетной записью ITIMService3
В результате мы получим:
User1 ITIMService1
User1 ITIMService2
User1 ITIMService3
User2 ITIMService1
User2 ITIMService2
User2 ITIMService3
Это просто результат декартового представления двух таблиц.
Чтобы получить нужный набор результатов, нужно указать правильные условия
объединения (JOIN), задающие взаимосвязь между двумя этими таблицами.
Условием объединения (JOIN) в данном случае будет:
v Фильтры: Account.Service = ITIM.DN
В результате применения такого фильтра мы получим:
User1 ITIMService1
User1 ITIMService2
User2 ITIMService3
Отчет о ролях сотрудников в организации
(Сотрудники, связанные с той или иной ролью в организации).
Создайте следующую схему отчета:
v Столбцы отчета: Person.FullName, OrganizationRole.Name
v Фильтр: OrganizationRole.Name = ’_USERINPUT_’
Следовательно, если существуют двое пользователей:
v Person1 с ролью Role1
v Person2 с ролью Role2
Если при генерировании отчета в качестве роли указывается ″Role1″, то в результате
мы получим:
Person1 Role1
Person2 Role1
Чтобы программа сгенерировала нужные результаты для этого отчета, нужны
следующие условия фильтра:
92 IBM Tivoli Identity Manager: Руководство по конфигурированию
Person.OrganizationRoles = OrganizationRole.DN
AND OrganizationRole.Name = ’_USERINPUT_’
Если при генерировании отчета в качестве роли указывается ″Role1″, то в результате
мы получим:
Person1 Role1
Указанное условие фильтра действует потому, что атрибут ″Роль в организации″ для
объекта ″Сотрудник″ содержит значение DN роли, к которой относится пользователь.
Также обратите внимание на то, что атрибут Роль в организации является атрибутом
с несколькими значениями, то есть, у сотрудника может быть несколько ролей в
организации.
Отчет об учетных записях сотрудников
(Учетные записи, связанные с сотрудниками в системе)
Создайте следующую схему отчета:
v Столбец отчета: Person.FullName, Account.AccountStatus
v Фильтры: Нет
Этот отчет в качестве результата возвратит декартово произведение записей в
таблицах Сотрудник и Учетная запись.
Условие объединения (JOIN), которое задаст взаимосвязь между таблицами
Сотрудник и Учетная запись:
Account.owner = Person.DN
Глава 9. Разработка условий фильтров пользовательских отчетов 93
|
94 IBM Tivoli Identity Manager: Руководство по конфигурированию
Часть 4. Справочник по файлам свойств
Глава 10. Конфигурирование системных
свойств . . . . . . . . . . . . . . . 97
Что такое файлы свойств . . . . . . . . . . 98
Параметры конфигурации, связанные с WebLogic . . 99
Параметры конфигурации, связанные с WebSphere 103
Информация о сервере приложений . . . . . . 107
Информация об арендаторе по умолчанию . . . . 109
Информация о сервере LDAP . . . . . . . . 110
Информация о кэше . . . . . . . . . . . 111
Информация для службы сообщений . . . . . . 112
Информация для планирования . . . . . . . 115
Параметры монитора транзакций паролей . . . . 116
Информация XML и DTD . . . . . . . . . 117
Информация о пуле соединений LDAP . . . . . 118
Информация о шифровании . . . . . . . . . 119
Программа конфигурирования системы . . . . . 120
Информация о конфигурации рабочих потоков . . 121
Конфигурация почтовых служб . . . . . . . 125
Информация о согласовании . . . . . . . . 126
Хэширование общего секретного пароля . . . . 128
Свойства двусторонней аутентификации SSL . . . 129
Конфигурация пользовательского интерфейса
управления требованиями . . . . . . . . . 130
Конфигурация требований приложения-клиента . . 131
Глава 11. Конфигурирование дополнительных
свойств . . . . . . . . . . . . . . . 133
Что такое файлы свойств . . . . . . . . . 134
adhocreporting.properties . . . . . . . . . . 135
crystal.properties . . . . . . . . . . . . . 138
DataBaseFunctions.conf . . . . . . . . . . 139
enRoleAuthentication.properties . . . . . . . . 140
Конфигурирование пользовательского механизма
аутентификации . . . . . . . . . . . 142
enRoleDatabase.properties . . . . . . . . . . 143
enRoleLDAPConnection.properties . . . . . . . 147
enRoleLogging.properties . . . . . . . . . . 150
enRoleMail.properties . . . . . . . . . . . 154
enrolepolicies.properties . . . . . . . . . . 156
enroleworkflow.properties . . . . . . . . . . 158
fesiextensions.properties . . . . . . . . . . 160
UI.properties . . . . . . . . . . . . . . 163
CustomLabels.properties . . . . . . . . . . 166
Дополнительные файлы свойств . . . . . . . 166
© Copyright IBM Corp. 2004 95
||
||||||
||
96 IBM Tivoli Identity Manager: Руководство по конфигурированию
Глава 10. Конфигурирование системных свойств
В этой главе приводится подробная информация о ключах и значениях свойств,
содержащихся в системном файле конфигурации Tivoli Identity Manager,
enRole.properties.
Темы раздела:
v “Что такое файлы свойств” на стр. 98
Ссылки на файл enRole.properties по разделам:
v “Параметры конфигурации, связанные с WebLogic” на стр. 99
v “Параметры конфигурации, связанные с WebSphere” на стр. 103
v “Информация о сервере приложений” на стр. 107
v “Информация об арендаторе по умолчанию” на стр. 109
v “Информация о сервере LDAP” на стр. 110
v “Информация о кэше” на стр. 111
v “Информация для службы сообщений” на стр. 112
v “Информация для планирования” на стр. 115
v “Параметры монитора транзакций паролей” на стр. 116
v “Информация XML и DTD” на стр. 117
v “Информация о пуле соединений LDAP” на стр. 118
v “Информация о шифровании” на стр. 119
v “Программа конфигурирования системы” на стр. 120
v “Информация о конфигурации рабочих потоков” на стр. 121
v “Конфигурация почтовых служб” на стр. 125
v “Информация о согласовании” на стр. 126
v “Хэширование общего секретного пароля” на стр. 128
v “Свойства двусторонней аутентификации SSL” на стр. 129
v “Конфигурация пользовательского интерфейса управления требованиями” на стр.
130
v “Конфигурация требований приложения-клиента” на стр. 131
© Copyright IBM Corp. 2004 97
|
Что такое файлы свойств
Файлы свойств Java задают атрибуты, обеспечивающие возможности настройки и
контроля программных компонентов Java. Стандартные файлы системных свойств и
пользовательские файлы свойств позволяют сконфигурировать пользовательские
предпочтения и параметры настройки. В файлах свойств Java заданы значения
именованных ресурсов, которые определяют такие опции программ, как информация
для доступ к базам данных, параметры среды и специальные возможности и функции.
Файлы свойств задают именованные ресурсы в виде пар ключей и значений свойств:
имя_ключа_свойства = значение
имя_ключа_свойства - это идентификатор ресурса.значение - это имя реального
Java-объекта, содержащего этот ресурс.
В Tivoli Identity Manager используется ряд файлов свойств, которые управляют
функционированием программы и дают пользователям возможность настраивать
специальные функции.
98 IBM Tivoli Identity Manager: Руководство по конфигурированию
Параметры конфигурации, связанные с WebLogic
Описанные ниже свойства позволяют сконфигурировать значения, связанные с
интеграцией Tivoli Identity Manager с сервером приложений WebLogic:
Имя фабрики контекста платформы
enrole.platform.contextFactory
Не изменяйте ключ и значение этого свойства.
Задает для платформенной фабрики контекста класс Java, который определяет точку
интеграции для Tivoli Identity Manager и сервера приложений WebLogic.
По умолчанию (вводится в виде одной строки):
enrole.platform.contextFactory = com.ibm.itim.apps.impl.weblogic.
WebLogicPlatformContextFactory
Сервер приложений
enrole.appServer.contextFactory
Не изменяйте ключ и значение этого свойства.
Задает класс Java, который определяет, какую фабрику JNDI нужно использовать в
сочетании с сервером приложений WebLogic.
По умолчанию:
enrole.appServer.contextFactory = weblogic.jndi.WLInitialContextFactory
enrole.appServer.url.redirect
Не изменяйте ключ и значение этого свойства.
Задает URL, необходимый для прямой отправки требований на сервер Tivoli Identity
Manager.
Пример (по умолчанию):
enrole.appServer.url.redirect = /enrole
enrole.appServer.url
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает местонахождение службы именования сервера приложений. Это значение
определяется во время установки Tivoli Identity Manager.
Пример:
enrole.appServer.url = t3://localhost
enrole.appServer.pwdKey
НЕ ИСПОЛЬЗУЕТСЯ.
enrole.appServer.systemUser
Глава 10. Конфигурирование системных свойств 99
Ключ и значение этого свойства может изменять только квалифицированный
администратор. Изменяйте его только при помощи утилиты runConfig.
Задает имя администратора WebLogic. В среде WebLogic это значение является
обязательным, и это свойство всегда должно быть включено. Это значение
используется для запуска, остановки и конфигурирования сервера Tivoli Identity
Manager. Это значение также используется подпрограммами установки и
конфигурирования Tivoli Identity Manager для прохождения аутентификации на сервере
WebLogic.
Пример:
enrole.appServer.systemUser = system
enrole.appServer.systemUser.credentials
Ключ и значение этого свойства может изменять только квалифицированный
администратор. Изменяйте его только при помощи утилиты runConfig.
Задает пароль для пользователя systemUser.
Пример:
enrole.appServer.systemUser.credentials = enrole
enrole.appServer.ejbuser.principal
Ключ и значение этого свойства может изменять только квалифицированный
администратор. Изменяйте его только при помощи утилиты runConfig.
Задает имя, которое Tivoli Identity Manager использует для аутентификации при вызове
компонентов Java bean.
Пример:
enrole.appServer.ejbuser.principal = rasweb
enrole.appServer.ejbuser.credentials
Ключ и значение этого свойства может изменять только квалифицированный
администратор. Изменяйте его только при помощи утилиты runConfig.
Задает пароль для пользователя ejbuser.
Шифрование этого значения определяется значением свойства
enrole.password.appServer.encrypted в файле enrole.properties.
Пример:
enrole.appServer.ejbuser.credentials = password
enrole.appServer.usertransaction.jndiname
Не изменяйте ключ и значение этого свойства.
Задает имя JNDI объекта пользовательской транзакции JTA (Java Transaction API).
По умолчанию:
enrole.appServer.usertransaction.jndiname = javax.transaction.
UserTransaction
enrole.appServer.name.java.option
Не изменяйте ключ и значение этого свойства.
Оно задает опции JVM при запуске сервера WebLogic.
Пример (по умолчанию):
enrole.appServer.name.java.option = weblogic.Name
100 IBM Tivoli Identity Manager: Руководство по конфигурированию
||||||
Разделитель путей сервлета сервера приложения
enrole.servlet.path.separator
Не изменяйте ключ и значение этого свойства.
Задает символ-разделитель, который следует использовать в именах путей к нужным
ресурсам.
По умолчанию (WebLogic):
enrole.servlet.path.separator = /
Служба сообщений
enrole.messaging.JMSServerUrl
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает местонахождение службы именования, содержащей службу сообщений Java
(Java Messaging Service - JMS).
В случае WebSphere, это значение совпадает со значением enrole.appServer.url.
Пример:
enrole.messaging.JMSServerUrl = t3://localhost
enrole.messaging.sessionPoolFactory
НЕ ИСПОЛЬЗУЕТСЯ.
enrole.messaging.weblogic.sessionPoolFactory
НЕ ИСПОЛЬЗУЕТСЯ.
Помощник регистрации
enrole.appServer.loginHelper.class
НЕ ИСПОЛЬЗУЕТСЯ.
Регистрационное имя системы уведомлений о событиях
SystemLoginContextFactory
Не изменяйте ключ и значение этого свойства.
Задает класс фабрики Java для регистрации системы уведомлений о событиях, который
подходит для WebLogic.
По умолчанию (вводится в виде одной строки):
SystemLoginContextFactory =
com.ibm.itim.remoteservices.provider.itim.
weblogic.WLSystemLoginContextFactory
Атрибуты очередей сообщений
Глава 10. Конфигурирование системных свойств 101
v MAX_THREADS
Задает максимальное число потоков приема для данной очереди. Если этот атрибут
не задан, значение, используемое по умолчанию, определяется значением
enrole.messaging.defaultMaxThreads. Если этот атрибут задан, его значение не
должно превышать значение enrole.messaging.defaultMaxThreads.
v MIN_THREADS
Задает минимальное число потоков приема для данной очереди. Если этот атрибут
не задан, используется значение по умолчанию, равное 10. Если этот атрибут задан,
его значение не должно быть ниже значения enrole.messaging.minThreads.
v OVERCAPACITY_WAIT_TIME
Время ожидания перед приемом нового сообщения, когда система перегружена
(обработка сообщений откладывается). Значение по умолчанию - 60 секунд. Этот
атрибут применим только при использовании workflowPendingQueue.
v PRIORITY
Приоритет потоков. Информацию о том, как выбрать подходящие значения (1 – 5),
смотрите в документации по JVM. Значение по умолчанию - 1. Рекомендуется задать
для всех очередей одно и то же значение.
v RECEIVE_TIMEOUT
Время (в сек.), в течение которого нужно ждать от сервера JMS ответа о том, что он
может принять сообщение. Значение по умолчанию - 60 секунд.
v WAIT_TIME
Время ожидания (в сек.) перед обработкой нового сообщения из очереди. Если
значение равно 0, обработка нового сообщения производится без ожидания.
Значение по умолчанию - 0 секунд.
v TRANSACTED
True – поддерживать пользовательские транзакции
False – не поддерживать пользовательские транзакции
Примеры:
enrole.messaging.adhocSyncQueue.attributes = TRANSACTED=true
RECEIVE_TIMEOUT=1 MAX_THREADS=5 MIN_THREADS=1
enrole.messaging.workflowQueue.attributes = TRANSACTED=true
RECEIVE_TIMEOUT=1 MAX_THREADS=10 MIN_THREADS=5
enrole.messaging.workflowPendingQueue.attributes = TRANSACTED=true
RECEIVE_TIMEOUT=1 WAIT_TIME=0 OVERCAPACITY_WAIT_TIME=10 MAX_THREADS=5
MIN_THREADS=2
enrole.messaging.workflowAbortQueue.attributes = TRANSACTED=true
RECEIVE_TIMEOUT=1 WAIT_TIME=0 MAX_THREADS=5 MIN_THREADS=1
enrole.messaging.remoteServicesQueue.attributes = TRANSACTED=false
RECEIVE_TIMEOUT=1 WAIT_TIME=0 MAX_THREADS=7 MIN_THREADS=2
enrole.messaging.mailServicesQueue.attributes = TRANSACTED=false
RECEIVE_TIMEOUT=1 WAIT_TIME=0 MAX_THREADS=3 MIN_THREADS=1
102 IBM Tivoli Identity Manager: Руководство по конфигурированию
|||||||||||||
Параметры конфигурации, связанные с WebSphere
Описанные ниже свойства позволяют сконфигурировать значения, связанные с
интеграцией Tivoli Identity Manager с сервером приложений WebSphere Application
Server:
Имя фабрики контекста платформы
enrole.platform.contextFactory
Не изменяйте ключ и значение этого свойства.
Задает для платформенной фабрики контекста класс Java, который определяет точку
интеграции для Tivoli Identity Manager и WebSphere Application Server.
По умолчанию (вводится в виде одной строки):
enrole.platform.contextFactory = com.ibm.itim.apps.impl.websphere.
WebSpherePlatformContextFactory
Сервер приложений
enrole.appServer.contextFactory
Не изменяйте ключ и значение этого свойства.
Задает класс Java, который определяет, какую фабрику JNDI нужно использовать в
сочетании с сервером WebSphere Application Server.
По умолчанию:
enrole.appServer.contextFactory = com.ibm.websphere.naming.
WsnInitialContextFactory
enrole.appServer.url
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает местонахождение службы именования сервера приложений. Это значение
определяется во время установки Tivoli Identity Manager.
Пример:
enrole.appServer.url = iiop://localhost:2809
enrole.appServer.usertransaction.jndiname
Не изменяйте ключ и значение этого свойства.
Задает имя JNDI объекта пользовательской транзакции JTA (Java Transaction API).
По умолчанию:
enrole.appServer.usertransaction.jndiname = jta/usertransaction
enrole.appServer.systemUser
Глава 10. Конфигурирование системных свойств 103
Ключ и значение этого свойства может изменять только квалифицированный
администратор. Изменяйте его только при помощи утилиты runConfig.
Задает имя администратора WebSphere, когда включена защита. В среде WebSphere это
значение является обязательным, только когда включена глобальная защита. Если
защита не включена, это значение не устанавливается.
Это значение используется для запуска, остановки и конфигурирования сервера Tivoli
Identity Manager. Это значение также используется подпрограммами установки и
конфигурирования Tivoli Identity Manager для прохождения аутентификации на сервере
WebSphere.
Пример:
enrole.appServer.systemUser = system
enrole.appServer.systemUser.credentials
Ключ и значение этого свойства может изменять только квалифицированный
администратор. Изменяйте его только при помощи утилиты runConfig.
Задает пароль для пользователя systemUser.
Пример:
enrole.appServer.systemUser.credentials = enrole
enrole.appServer.ejbuser.principal
Ключ и значение этого свойства может изменять только квалифицированный
администратор. Изменяйте его только при помощи утилиты runConfig.
Задает имя, которое Tivoli Identity Manager использует для аутентификации при вызове
компонентов Java bean.
Пример:
enrole.appServer.ejbuser.principal = rasweb
enrole.appServer.ejbuser.credentials
Ключ и значение этого свойства может изменять только квалифицированный
администратор. Изменяйте его только при помощи утилиты runConfig.
Задает пароль для пользователя ejbuser.
Шифрование этого значения определяется значением свойства
enrole.password.appServer.encrypted в файле enrole.properties.
Пример:
enrole.appServer.ejbuser.credentials = password
Разделитель путей сервлета сервера приложения
enrole.servlet.path.separator
Не изменяйте ключ и значение этого свойства.
Задает символ-разделитель, который следует использовать в именах путей к нужным
ресурсам.
По умолчанию (WebSphere):
enrole.servlet.path.separator = .
Служба сообщений
enrole.messaging.JMSServerUrl
104 IBM Tivoli Identity Manager: Руководство по конфигурированию
|||
||||
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает местонахождение службы именования, содержащей службу сообщений Java
(Java Messaging Service - JMS).
В случае WebSphere, это значение совпадает со значением enrole.appServer.url.
Пример:
enrole.messaging.JMSServerUrl = iiop://localhost:2809
Помощник регистрации
enrole.appServer.loginHelper.class
Не изменяйте ключ и значение этого свойства.
Задает класс Java для записи каждого потока в журнал J2EE Security.
По умолчанию:
enrole.appServer.loginHelper.class = com.ibm.itim.util.was.WAS40LoginHelper
URL слоя рабочего потока
enrole.wfcluster.url
Не изменяйте ключ и значение этого свойства.
Это свойство применимо только к WebSphere.
Задает уровень рабочего потока, на котором можно производить поиск компонентов
beans. Это значение следует указывать только на компьютерах уровня приложений в
функциональном кластере. Во всех прочих случаях следует оставлять значение по
умолчанию.
Пример (по умолчанию):
enrole.wfcluster.url = iiop://localhost:2809/cell/clusters/WFCluster
Регистрационное имя системы уведомлений о событиях
SystemLoginContextFactory
Не изменяйте ключ и значение этого свойства.
Задает класс фабрики Java для регистрации системы уведомлений о событиях, который
подходит для WebSphere.
По умолчанию (вводится в виде одной строки):
SystemLoginContextFactory =
com.ibm.itim.remoteservices.provider.itim.
websphere.WSSystemLogonContextFactory
Атрибуты очередей сообщений
Глава 10. Конфигурирование системных свойств 105
v MAX_THREADS
Задает максимальное число потоков приема для данной очереди. Если этот атрибут
не задан, значение, используемое по умолчанию, определяется значением
enrole.messaging.defaultMaxThreads. Если этот атрибут задан, его значение не
должно превышать значение enrole.messaging.defaultMaxThreads.
v MIN_THREADS
Задает минимальное число потоков приема для данной очереди. Если этот атрибут
не задан, используется значение по умолчанию, равное 10. Если этот атрибут задан,
его значение не должно быть ниже значения enrole.messaging.minThreads.
v OVERCAPACITY_WAIT_TIME
Время ожидания перед приемом нового сообщения, когда система перегружена
(обработка сообщений откладывается). Значение по умолчанию - 60 секунд. Этот
атрибут применим только при использовании workflowPendingQueue.
v PRIORITY
Приоритет потоков. Информацию о том, как выбрать подходящие значения (1 – 5),
смотрите в документации по JVM. Значение по умолчанию - 1. Рекомендуется задать
для всех очередей одно и то же значение.
v RECEIVE_TIMEOUT
Время (в сек.), в течение которого нужно ждать от сервера JMS ответа о том, что он
может принять сообщение. Значение по умолчанию - 60 секунд.
v WAIT_TIME
Время ожидания (в сек.) перед обработкой нового сообщения из очереди. Если
значение равно 0, обработка нового сообщения производится без ожидания.
Значение по умолчанию - 0 секунд.
v TRANSACTED
True – поддерживать пользовательские транзакции
False – не поддерживать пользовательские транзакции
Примеры:
enrole.messaging.adhocSyncQueue.attributes = TRANSACTED=true
RECEIVE_TIMEOUT=60 MAX_THREADS=5 MIN_THREADS=1
enrole.messaging.workflowQueue.attributes = TRANSACTED=true
RECEIVE_TIMEOUT=60 MAX_THREADS=10 MIN_THREADS=5
enrole.messaging.workflowPendingQueue.attributes = TRANSACTED=true
RECEIVE_TIMEOUT=60 WAIT_TIME=0 OVERCAPACITY_WAIT_TIME=10 MAX_THREADS=5
MIN_THREADS=2
enrole.messaging.workflowAbortQueue.attributes = TRANSACTED=true
RECEIVE_TIMEOUT=60 WAIT_TIME=0 MAX_THREADS=5 MIN_THREADS=1
enrole.messaging.remoteServicesQueue.attributes = TRANSACTED=false
RECEIVE_TIMEOUT=60 WAIT_TIME=0 MAX_THREADS=7 MIN_THREADS=2
enrole.messaging.mailServicesQueue.attributes = TRANSACTED=false
RECEIVE_TIMEOUT=60 WAIT_TIME=0 MAX_THREADS=3 MIN_THREADS=1
106 IBM Tivoli Identity Manager: Руководство по конфигурированию
|||||||||||||
Информация о сервере приложений
Описанные ниже свойства позволяют сконфигурировать значения, связанные с
сервером приложений (например, WebSphere или WebLogic), который используется в
сочетании с Tivoli Identity Manager.
Выбранная пользователем локаль
locale
Задает параметр локали (языка) для среды Tivoli Identity Manager.
Пример (русский язык):
locale = ru
Имя фабрики контекста
enrole.appServer.name
Задает уникальное имя сервера приложений.
В кластеризованной среде важно, чтобы это имя было уникальным для каждого члена
в кластере.
Пример (по умолчанию):
enrole.appServer.name = myserver
enrole.appServer.config.latency
НЕ ИСПОЛЬЗУЕТСЯ
enrole.password.database.encrypted
Для изменения этого свойства используйте утилиту runConfig.
Указывает, шифруется ли пароль для соединения с базой данных (заданный свойством
database.db.password в файле enroleDatbase.properties). Допустимые значения:
v true – шифруется
v false – не шифруется
Пример (по умолчанию):
enrole.password.database.encrypted = false
enrole.password.ldap.encrypted
Для изменения этого свойства используйте утилиту runConfig.
Указывает, шифруется ли пароль LDAP (заданный свойством
java.naming.security.credentials в файле enRoleLDAPConnection.properties).
Допустимые значения:
v true – шифруется
v false – не шифруется
Пример (по умолчанию):
enrole.password.ldap.encrypted = false
enrole.password.appServer.encrypted
Глава 10. Конфигурирование системных свойств 107
|
|
|
|
|
Для изменения этого свойства используйте утилиту runConfig.
Указывает, шифруется ли пароль для доступа к серверу приложений (заданный
свойством enrole.appServer.ejbuser.credentials в файле enrole.properties).
Допустимые значения:
v true – шифруется
v false – не шифруется
Пример (по умолчанию):
enrole.password.appServer.encrypted = false
108 IBM Tivoli Identity Manager: Руководство по конфигурированию
Информация об арендаторе по умолчанию
Описанные ниже свойства позволяют сконфигурировать полное имя организации,
используемое сервером каталога.
enrole.defaulttenant.id
Не изменяйте ключ и значение этого свойства.
Задает краткий формат имени организации, которое используется сервером каталога.
Это значение указывается во время установки Tivoli Identity Manager.
Пример (по умолчанию):
enrole.defaulttenant.id = Tivoli
В LDAP это значение выражается следующим образом:
ou = Tivoli
enrole.organization.name
Не изменяйте ключ и значение этого свойства.
Задает полный формат имени организации, которое используется сервером каталога.
Это значение указывается во время установки Tivoli Identity Manager.
Пример (по умолчанию):
enrole.organization.name = Tivoli
Глава 10. Конфигурирование системных свойств 109
Информация о сервере LDAP
Описанные ниже свойства позволяют сконфигурировать значение, используемые
сервером каталога Tivoli Identity Manager.
enrole.ldapserver.root
Задает стартовый узел домена верхнего уровня для структуры данных сервера каталога
(dc = domain control, управление доменом).
Это значение указывается во время установки Tivoli Identity Manager.
Для изменения этого значения используйте утилиту runConfig.
Пример (по умолчанию):
enrole.ldapserver.root = dc=com
enrole.ldapserver.home
Не изменяйте ключ и значение этого свойства.
Задает местонахождение информации о конфигурации системы на сервере каталога
Tivoli Identity Manager.
По умолчанию:
enrole.ldapserver.home = ou=itim
enrole.ldapserver.agelimit
Задает срок в днях, в течение которого объект должен оставаться в системной корзине,
прежде чем его можно будет удалить при помощи запускаемых вручную сценариев
очистки. Предельный срок нахождения в корзине защищает объекты, помещенные в
корзину, от удаления сценариями очистки до истечения заданного промежутка
времени.
Сценарии очистки могут удалять только объекты, срок хранения которых превышает
заданный предельный срок хранения. Например, если предельный срок хранения
составляет 62 дня (это значение по умолчанию), удалить при помощи запускаемых
вручную сценариев очистки можно будет только объекты, возраст которых превышает
62 дня (которые находились в корзине более 62 дней).
Ключ и значение этого свойства может изменять только квалифицированный
администратор. Для изменения этого значения используйте утилиту runConfig.
Пример (по умолчанию):
enrole.ldapserver.agelimit = 62
enrole.ldapserver.ditlayout
Не изменяйте ключ и значение этого свойства.
Задает класс Java, который определяет структуру данных, хранящихся на сервере
каталога.
По умолчанию – плоская структура:
enrole.ldapserver.ditlayout = com.ibm.itim.dataservices.dit.itim.
FlatHashedLayout
enrole.ldap.provider
НЕ ИСПОЛЬЗУЕТСЯ
110 IBM Tivoli Identity Manager: Руководство по конфигурированию
Информация о кэше
Описанные ниже свойства позволяют сконфигурировать значения параметров,
влияющих на производительность системного кэша.
enrole.profile.timeout
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает тайм-аут для информации, содержащейся в кэше в разделе профилей.
Информация, срок пребывания которой в кэше превысит этот тайм-аут, удаляется из
кэша.
Это значение выражается в минутах.
Пример (по умолчанию):
enrole.profile.timeout = 10
enrole.schema.timeout
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает тайм-аут для информации, содержащейся в кэше в разделе схем. Информация,
срок пребывания которой в кэше превысит этот тайм-аут, удаляется из кэша.
Это значение выражается в минутах.
Пример (по умолчанию):
enrole.schema.timeout = 10
Глава 10. Конфигурирование системных свойств 111
Информация для службы сообщений
Описанные ниже свойства позволяют сконфигурировать внутренние взаимодействия
между компонентами Java Message Service (JMS), используемыми продуктом Tivoli
Identity Manager. Очень важно задать значения этих свойств, так чтобы обеспечить
надлежащую настройку производительности и масштабируемости продукта Tivoli
Identity Manager. Значения свойств, описанных в данном разделе, должен изменять
только квалифицированный администратор.
Конфигурация фабрики соединений
enrole.messaging.queueConnectionFactory
Не изменяйте ключ и значение этого свойства.
Это свойства задает имя фабрики соединений для соединений с очередями Java Naming
and Directory Interface (JNDI).
Значение этого свойства является встроенным, и его нельзя ни изменять, ни удалять.
Это значение является критически важным для успешного конфигурирования
соединения с соответствующей очередью сервера приложений.
Пример (по умолчанию):
enrole.messaging.queueConnectionFactory = enrole.jms.QueueConnectionFactory
Глобальные параметры конфигурации потоков приема
enrole.messaging.defaultMaxThreads
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает максимально допустимое число потоков приема, сохраняемых по умолчанию в
пуле соединений для каждой очереди JMS.
Это значение по умолчанию используется, если для очереди на задан атрибут
MAX_THREADS (смотрите раздел Конфигурирование очередей сообщений).
Пример (по умолчанию):
enrole.messaging.defaultMaxThreads = 10
enrole.messaging.minThreads
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает минимально допустимое число потоков приема для каждой очереди JMS.
Фактическое число потоков приема не должно быть ниже этого порогового значения.
Это глобальное значение можно переопределить для отдельных очередей при помощи
атрибута MIN_THREADS (в настоящее время для него в коде записано значение 10).
Пример (по умолчанию):
enrole.messaging.minThreads = 1
enrole.messaging.maxThreads
112 IBM Tivoli Identity Manager: Руководство по конфигурированию
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает максимально допустимое число потоков приема для каждой очереди JMS.
Фактическое число потоков приема не должно быть выше этого порогового значения.
Это глобальное значение задает предельно допустимое значение для атрибута очередей
MAX_THREADS.
Пример (по умолчанию):
enrole.messaging.maxThreads = 500
Конфигурация тайм-аута сообщений
enrole.messaging.ttl
Ключ и значение этого свойства влияют на настройку производительности JMS, и
изменять их может только квалифицированный администратор.
Задает срок существования сообщения в очереди (в минутах).
Пример (по умолчанию):
enrole.messaging.ttl = 1440
enrole.messaging.timeout
Ключ и значение этого свойства влияют на настройку производительности JMS, и
изменять их может только квалифицированный администратор.
Это свойство задает тайм-аут пользовательской транзакции для обработки сообщений
(в секундах). Рекомендуемое значение по умолчанию - 360 секунд.
Это значение является критически важным для производительности системы, и его
следует изменять только после тщательного анализа работы отдельной установки.
При низком значении этого свойства в загруженной системе будут возникать
тайм-ауты обработки сообщений. Слишком высокое значение может привести к том,
что один долгий процесс заблокирует всю систему.
Пример (рекомендуемое исходное значение):
enrole.messaging.timeout = 360
Управление обработкой сообщений
enrole.messaging.threshold
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает процентный уровень одновременной обработки сообщений (нагрузки по
обработке сообщений).
При значении меньше 100% используется алгоритм ″первое сообщение обрабатывается
первым″. Пр значении больше 100% все сообщения принимаются для обработки, но
это может привести к чрезмерной нагрузке на систему.
Пример (процент по умолчанию):
enrole.messaging.threshold = 60
Инициализация системы сообщений
enrole.messaging.QueueLookupRetryCount
Глава 10. Конфигурирование системных свойств 113
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает для Tivoli Identity Manager число попыток установления соединения с
серверными очередями приложений.
Пример (по умолчанию):
enrole.messaging.QueueLookupRetryCount = 5
enrole.messaging.QueueLookupInterval
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает интервал (в секундах) между попытками соединения с очередью.
Пример (по умолчанию):
enrole.messaging.QueueLookupInterval = 60
Конфигурация очередей сообщений
enrole.messaging.managers= \
enrole.messaging.adhocSyncQueue \
enrole.messaging.workflowQueue \
enrole.messaging.workflowPendingQueue \
enrole.messaging.remoteServicesQueue \
enrole.messaging.mailServicesQueue
enrole.messaging.workflowAbortQueue
Не изменяйте ключи и значения этих свойств.
Задает имена ключей поддерживаемых очередей Tivoli Identity Manager.
enrole.messaging.adhocSyncQueue=adhocSyncQueue
enrole.messaging.workflowQueue=workflowQueue
enrole.messaging.workflowPendingQueue=workflowPendingQueue
enrole.messaging.remoteServicesQueue=remoteServicesQueue
enrole.messaging.mailServicesQueue=mailServicesQueue
enrole.messaging.workflowAbortQueue=workflowAbortQueue
Не изменяйте ключи и значения этих свойств.
Задает фактическое имя очереди, на которое ссылается сервер приложений.
114 IBM Tivoli Identity Manager: Руководство по конфигурированию
|||||||
||||||
Информация для планирования
Описанные ниже свойства позволяют сконфигурировать внутренний планировщик,
отвечающий за выполнение запланированных событий на основе календарного
расписания. События и соответствующие им запланированные задания хранятся в
таблице базы данных.
enrole.scheduling.heartbeat
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает, как часто монитором событий должен проверять наличие запланированных
событий в таблице базы данных.
Это значение выражается в секундах.
Пример (по умолчанию):
enrole.scheduling.heartbeat = 60
enrole.scheduling.timeout
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает значение тайм-аута для процессора событий.
Это значение выражается в минутах.
Пример (по умолчанию):
enrole.scheduling.timeout = 10
enrole.scheduling.fetchsize
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает число сообщений, которое можно получить за один раз при работе в пакетном
режиме.
Пример (по умолчанию):
enrole.scheduling.fetchsize = 50
Глава 10. Конфигурирование системных свойств 115
Параметры монитора транзакций паролей
Описанное ниже свойство представляет собой параметр конфигурации для монитора
транзакций паролей.
При изменении или автоматическом генерировании пароля для пользователя этому
пользователю отправляется уведомление по электронной почте. В этом электронном
сообщении содержится реальный пароль или ссылка, при помощи которой
пользователь сможет получить новый пароль. Такая операция называется
транзакцией пароля. Пользователь должен ответить на электронное сообщение и
получить новый пароль до истечения заданного времени. Если пользователь не
ответит в течение заданного времени, срок действия транзакция пароля истечет.
Монитор транзакций паролей отвечает за проверку ответов на транзакции паролей и
контролирует срок действия тех транзакций, в которых пользователь не
прореагировал на электронное уведомление.
enrole.passwordtransactionmonitor.heartbeat
Указывает, как часто монитор транзакций паролей должен проверять наличие
истекших транзакций паролей.
Это значение выражается в часах.
Пример (по умолчанию):
enrole.passwordtransactionmonitor.heartbeat = 1
116 IBM Tivoli Identity Manager: Руководство по конфигурированию
Информация XML и DTD
Этот раздел больше не используется.
enrole.dtd.uri
НЕ ИСПОЛЬЗУЕТСЯ
Глава 10. Конфигурирование системных свойств 117
Информация о пуле соединений LDAP
Описанные ниже свойства позволяют сконфигурировать значения, которые влияют
на требования об установления соединений с кэшем, адресованные серверу каталога
Tivoli Identity Manager.
enrole.connectionpool.maxpoolsize
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает максимальное число физических соединений LDAP, которое можно создать.
Пример (по умолчанию):
enrole.connectionpool.maxpoolsize = 100
enrole.connectionpool.initialpoolsize
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает исходное число физических соединений LDAP, необходимое для создания пула
соединений LDAP. Это значение должно быть меньше или равно значению maxpoolsize.
Пример (по умолчанию):
enrole.connectionpool.initialpoolsize = 50
enrole.connectionpool.incrementcount
Ключ и значение этого свойства влияют на настройку производительности Tivoli
Identity Manager, и изменять их может только квалифицированный администратор.
Задает число соединений, создаваемых при каждом расширении (приращении) пула
соединений LDAP для удовлетворения возросшего спроса.
Пример (по умолчанию):
enrole.connectionpool.incrementcount = 3
118 IBM Tivoli Identity Manager: Руководство по конфигурированию
Информация о шифровании
Описанные ниже свойства позволяют сконфигурировать значения параметров,
влияющих на шифрование паролей.
enrole.encryption.algorithm
Не изменяйте ключ и значение этого свойства.
Задает набор криптографических алгоритмов для шифрования.
По умолчанию:
enrole.encryption.algorithm = PBE/SHA1/RC2/CBC/PKCS12PBE-5-128
enrole.encryption.password
Не изменяйте ключ и значение этого свойства.
Задает пароль, используемый в качестве входного параметра для PBE (Password-Based
Encryption), способа шифрования и расшифровывания данных с применением
секретного ключа на основе введенного пользователем пароля.
Это значение указывается во время установки Tivoli Identity Manager.
По умолчанию:
enrole.encryption.password = sunshine
enrole.encryption.passwordDigest
Не изменяйте ключ и значение этого свойства.
Задает тип разложения, используемый для пароля Tivoli Identity Manager. Возможные
значения: ″SHA″ и ″MD5″
v SHA – Алгоритм Secure Hash Algorithm в соответствии со стандартом Secure Hash
Standard, NIST FIPS 180-1
v MD5 – Алгоритм разложения сообщений MD5, определенный в документе RFC 1321.
По умолчанию:
enrole.encryption.passwordDigest = MD5
Глава 10. Конфигурирование системных свойств 119
|||
Программа конфигурирования системы
Описанные ниже свойства позволяют сконфигурировать параметры порта приема
для системы Tivoli Identity Manager.
enrole.system.listenPort
Не изменяйте ключ и значение этого свойства.
Задает номер порта приема TCP (для незащищенного обмена информацией).
Это значение указывается во время установки Tivoli Identity Manager.
Пример (по умолчанию):
enrole.system.listenPort = 80
enrole.system.SSLlistenPort
Не изменяйте ключ и значение этого свойства.
Задает номер порта приема SSL (для защищенного обмена информацией).
Это значение указывается во время установки Tivoli Identity Manager.
Пример (по умолчанию):
enrole.system.SSLlistenPort = 443
120 IBM Tivoli Identity Manager: Руководство по конфигурированию
Информация о конфигурации рабочих потоков
Описанные ниже свойства позволяют сконфигурировать ядро механизма рабочих
потоков Tivoli Identity Manager.
Конфигурация рабочего потока
enrole.workflow.processcache
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Позволяет включить или отключить кэширование для внутренних процессов.
В средах с одним сервером можно задать значение ″true″; в кластеризованных средах
это значение всегда равно ″false″.
Кэширование при внедрении в кластеризованных средах не поддерживается. При
установке в кластеризованной конфигурации этому свойства автоматически
присваивается значение ″false″ (выключено).
Пример (по умолчанию для среды с одним сервером):
enrole.workflow.processcache = true
enrole.workflow.notifyoption
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает опции уведомлений о завершении процессов.
Значение, равное 1, означает, что реквестер получит уведомление по завершении
рабочего потока. Значение, равное 0, означает, что реквестер не получит уведомления.
Пример (по умолчанию):
enrole.workflow.notifyoption = 1
enrole.workflow.notifypassword
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает тип электронного уведомления для транзакции пароля (осуществляемой при
изменении или автоматическом генерировании пароля пользователя).
v true – - Пользователю можно отправить уведомление об изменении пароля по
электронной почте. Фактически используемый механизм уведомлений, а также то,
будет ли включен в электронное сообщение сам пароль, определяется значением
свойства enrole.workflow.notification.newpassword в файле конфигурации
enrole.properties.
v false – - Пользователю отправляется уведомление об изменении пароля по
электронной почте. В электронном сообщении будет указан URL, по которому
пользователь сможет получить пароль. На странице с этим URL пользователя
попросят ввести общий секретный пароль.
Пример (по умолчанию):
enrole.workflow.notifypassword = true
enrole.workflow.maxasyncactivitycreate
НЕ ИСПОЛЬЗУЕТСЯ
enrole.workflow.maxretry
Глава 10. Конфигурирование системных свойств 121
||
|||||
||||
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает число попыток повторного вызова приложения рабочего потока, которое
первоначально завершилось неудачно. Смотрите также: enrole.workflow.retrydelay.
Пример (по умолчанию):
enrole.workflow.maxretry = 2
enrole.workflow.retrydelay
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает интервал между последовательными повторными попытками запуска
приложения рабочего потока, которое первоначально запустить не удалось. Смотрите
также: enrole.workflow.maxretry.
Это значение выражается в миллисекундах.
Пример (по умолчанию):
enrole.workflow.retrydelay = 60000
enrole.workflow.skipapprovalforrequester
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
В случае действия рабочего потока, для которого требуется утверждение, это свойство
указывает, нужно ли пропустить процедуру утверждения другими утверждающими,
если реквестер также является утверждающим. Кроме того, программа разработана
так, чтобы пропускать утверждение реквестера.
Значение ″true″ указывает, что нужно пропустить процедуру утверждения другими
утверждающими, если реквестер сам является одним из утверждающих.
Значение ″false″ указывает, что нужно применить проверку утверждения для всех
остальных лиц, ответственных за утверждение данного действия, кроме реквестера
(если реквестер также является утверждающим).
Пример (по умолчанию):
enrole.workflow.skipapprovalforrequester = false
enrole.workflow.skipfornoncompliantaccount
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Указывает, нужно ли задействовать рабочий поток полномочий, связанный с учетной
записью, когда в результате действия по применению политики инициируется
изменение системной учетной записи.
Значение ″true″ указывает, что это действие следует пропустить.
Значение ″false″ указывает, что это действие не следует пропускать.
Пример (по умолчанию):
enrole.workflow.skipfornoncompliantaccount = true
122 IBM Tivoli Identity Manager: Руководство по конфигурированию
Конфигурация уведомлений рабочего потока
Этот раздел позволяет добавить файлы пользовательских классов Java, обеспечивающие
настройку реализации типов уведомлений рабочего потока.
Информацию о том, как настроить уведомления, смотрите в следующем документе:
<каталог_установки>\extensions\doc\mail\mail.html
enrole.workflow.notification.activitytimeout
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает класс Java по умолчанию, который генерирует уведомление о тайм-ауте
действия рабочего потока.
Пример (встроенное значение по умолчанию) (вводится в виде одной строки):
enrole.workflow.notification.activitytimeout = com.ibm.itim.workflow.
notification.ActivityTimeoutNotification
enrole.workflow.notification.processtimeout
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает класс Java по умолчанию, который генерирует уведомление о тайм-ауте
процесса рабочего потока.
Пример (встроенное значение по умолчанию) (вводится в виде одной строки):
enrole.workflow.notification.processtimeout = com.ibm.itim.workflow.
notification.ProcessTimeoutNotification
enrole.workflow.notification.processcomplete
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает класс Java по умолчанию, который генерирует уведомление о завершении
процесса рабочего потока.
Пример (встроенное значение по умолчанию) (вводится в виде одной строки):
enrole.workflow.notification.processcomplete = com.ibm.itim.workflow.
notification.ProcessCompleteNotification
enrole.workflow.notification.pendingwork
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает класс Java по умолчанию, который генерирует уведомление об отложенном
задании рабочего потока.
Пример (встроенное значение по умолчанию) (вводится в виде одной строки):
enrole.workflow.notification.pendingwork = com.ibm.itim.workflow.
notification.PendingWorkNotification
enrole.workflow.notification.newaccount
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает класс Java по умолчанию, который генерирует уведомление о новой учетной
записи в рабочем потоке.
Пример (встроенное значение по умолчанию) (вводится в виде одной строки):
enrole.workflow.notification.newaccount = com.ibm.itim.workflow.
notification.NewAccountNotification
Глава 10. Конфигурирование системных свойств 123
enrole.workflow.notification.newpassword
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает класс Java по умолчанию, который генерирует электронное уведомление для
пользователя, когда изменяется пароль этого пользователя. Это свойство
активируется, когда:
enrole.workflow.notifypassword = true
В рабочем потоке предусмотрены следующие три сценария изменения пароля:
v Пользователь изменяет пароль для учетной записи
v Администратор применяет изменение пароля для учетной записи
v Пользователь успешно идентифицирован функцией Вопрос/Ответ при забытом
пароле, и функция Вопрос/Ответ конфигурируется для отправки пароля по
электронной почте.
Допустимые классы:
v NewPasswordNotification
Пользователю отправляется электронное уведомление, содержащее пароль (в виде
ASCII-текста) (по умолчанию).
v EmptyNotificationFactory
Указывает, что нужно подавить отправку уведомлений по электронной почте.
v PasswordChangeNotificationFactory
Пользователю отправляется электронное уведомление, в котором нет пароля. Текст
сообщения гласит: ″Процесс завершен″.
Пример (встроенное значение по умолчанию) (вводится в виде одной строки):
enrole.workflow.notification.newpassword = com.ibm.itim.workflow.
notification.NewPasswordNotification
enrole.workflow.notification.deprovision
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает класс Java по умолчанию, который генерирует уведомление об отмене
предоставления доступа в рабочем потоке.
Пример (встроенное значение по умолчанию) (вводится в виде одной строки):
enrole.workflow.notification.deprovision = com.ibm.itim.workflow.
notification.DeprovisionNotification
enrole.workflow.notification.workorder
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Задает класс Java по умолчанию, который генерирует уведомление о рабочем
распоряжении рабочего потока.
Пример (встроенное значение по умолчанию) (вводится в виде одной строки):
enrole.workflow.notification.workorder = com.ibm.itim.workflow.
notification.WorkOrderNotification
124 IBM Tivoli Identity Manager: Руководство по конфигурированию
|||
|
|
|
|
|||
|
|
||
|
|
|
||
Конфигурация почтовых служб
Описанное ниже свойство представляет собой параметр конфигурации внутренних
почтовых уведомлений.
enrole.mail.notify
Задает режим отправки внутренних сообщений рабочего потока по электронной почте:
синхронный или асинхронный.
Допустимые значения: ″SYNC″ и ″ASYNC″. ″SYNC″ означает ″синхронный″, а
″ASYNC″ - ″асинхронный″.
Пример (по умолчанию):
enrole.mail.notify = ASYNC
Глава 10. Конфигурирование системных свойств 125
Информация о согласовании
Описанные ниже свойства используются для конфигурирования значений, влияющих
на процесс согласования, при котором данные, полученные с агентов,
синхронизируются с базой данных Tivoli Identity Manager.
Конфигурация согласования
enrole.reconciliation.accountcachesize
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Оно задает максимальный размер кэша существующих учетных записей (число
учетных записей), используемого в процессе согласования.
Пример (по умолчанию):
enrole.reconciliation.accountcachesize = 2000
enrole.reconciliation.threadcount
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Оно задает число потоков, используемых для обработки согласовываемых записей.
Это число потоков будет создаваться для каждого процесса согласования.
Пример (по умолчанию):
enrole.reconciliation.threadcount = 8
События незапрошенных уведомлений
account.EventProcessorFactory
Не изменяйте ключ и значение этого свойства.
Задает встроенный класс Java для фабрики процессора событий учетных записей.
По умолчанию (вводится в виде одной строки):
account.EventProcessorFactory = com.ibm.itim.remoteservices.ejb.
reconciliation.AccountEventProcessorFactory
person.EventProcessorFactory
Не изменяйте ключ и значение этого свойства.
Задает встроенный класс Java для фабрики процессора событий сотрудников.
По умолчанию (вводится в виде одной строки):
person.EventProcessorFactory = com.ibm.itim.remoteservices.ejb.
reconciliation.PersonEventProcessorFactory
Обработка согласования
account.ReconEntryHandlerFactory
Не изменяйте ключ и значение этого свойства.
Задает встроенный класс Java для фабрики обработчика данных об учетных записей.
По умолчанию (вводится в виде одной строки):
account.ReconEntryHandlerFactory = com.ibm.itim.remoteservices.ejb.
mediation.AccountEntryHandlerFactory
person.ReconEntryHandlerFactory
126 IBM Tivoli Identity Manager: Руководство по конфигурированию
Не изменяйте ключ и значение этого свойства.
Задает встроенный класс Java для фабрики обработчика записей о сотрудниках.
По умолчанию (вводится в виде одной строки):
person.ReconEntryHandlerFactory = com.ibm.itim.remoteservices.ejb.
mediation.PersonEntryHandlerFactory
Глава 10. Конфигурирование системных свойств 127
Хэширование общего секретного пароля
Описанное ниже свойство позволяет сконфигурировать уровень защиты общего
секретного пароля.
В контексте управления личной информацией общий секретный пароль представляет
собой код, воспользовавшись которым, владелец учетной записи сможет получить
пароль для новой учетной записи. Общий секретный пароль является обязательным,
если система сервера Tivoli Identity Manager генерирует исходные пароли для новых
учетных записей.
enrole.sharedsecret.hashed
Ключ и значение этого свойства может изменять только квалифицированный
администратор.
Указывает, производится ли хэширование общего секретного пароля, или нет
(защищенный или незащищенный режим).
Допустимые значения:
v true – Общий секретный пароль сохраняется в хэшированном виде
v false – Общий секретный пароль сохраняется в нехэшированном виде
Пример (по умолчанию):
enrole.sharedsecret.hashed = false
128 IBM Tivoli Identity Manager: Руководство по конфигурированию
Свойства двусторонней аутентификации SSL
Эти свойства больше не действуют и не используются.
com.ibm.daml.jndi.DAMLContext.CLIENT_CERT
НЕ ИСПОЛЬЗУЕТСЯ
com.ibm.daml.jndi.DAMLContext.CLIENT_CERT_KEY
НЕ ИСПОЛЬЗУЕТСЯ
com.ibm.daml.jndi.DAMLContext.CLIENT_CERT_KEY_PASSPHASE
НЕ ИСПОЛЬЗУЕТСЯ
Глава 10. Конфигурирование системных свойств 129
Конфигурация пользовательского интерфейса управления
требованиями
Описанное ниже свойство задает объем информации о результатах, выводимой на
экран при неудачном выполнении требования.
webclient.request.maxResultDetailLines
Это свойство используется функцией управления требованиями в графическом
пользовательском интерфейсе Tivoli Identity Manager для вывода информации об
ошибках, записываемых в журнал аудита, когда не удается выполнить требование. Это
значение указывает, сколько строк будет занимать раздел ″Сведения о результатах″ в
журнале аудита со сведениями о требованиях.
Домой > Выполненные требования > Сведения о требованиях > Журнал аудита >
Сведения о требованиях > Сведения о результатах
Пример (по умолчанию):
webclient.request.maxResultDetailLines = 20
130 IBM Tivoli Identity Manager: Руководство по конфигурированию
Конфигурация требований приложения-клиента
Описанное ниже свойство позволяет сконфигурировать срок действия (или
тайм-аута) маркера аутентификации, используемого API приложений Tivoli Identity
Manager для того, чтобы разрешить приложениям независимых производителей
взаимодействовать с сервером Tivoli Identity Manager.
authTokenTimeout
Это свойство задает в интерфейсе прикладного программирования (API) приложения
Tivoli Identity Manager срок действия (или тайм-аут) (в часах) маркера аутентификации,
используемого при взаимодействии между приложениями независимых
производителей и сервером Tivoli Identity Manager.
Значение, равное -1, означает, что у маркера аутентификации нет тайм-аута.
Пример (по умолчанию):
authTokenTimeout = 48
Глава 10. Конфигурирование системных свойств 131
|
||||
||
|||||
|
|
|||
132 IBM Tivoli Identity Manager: Руководство по конфигурированию
Глава 11. Конфигурирование дополнительных свойств
В этой главе приводится подробная информация о ключах и значениях свойств,
содержащихся в дополнительных файлах конфигурации Tivoli Identity Manager.
Темы раздела:
v “Что такое файлы свойств” на стр. 134
Ссылки на файлы свойств:
v “adhocreporting.properties” на стр. 135
v “crystal.properties” на стр. 138
v “DataBaseFunctions.conf” на стр. 139
v “enRoleAuthentication.properties” на стр. 140
v “enRoleDatabase.properties” на стр. 143
v “enRoleLDAPConnection.properties” на стр. 147
v “enRoleLogging.properties” на стр. 150
v “enRoleMail.properties” на стр. 154
v “enrolepolicies.properties” на стр. 156
v “enroleworkflow.properties” на стр. 158
v “fesiextensions.properties” на стр. 160
v “UI.properties” на стр. 163
v “CustomLabels.properties” на стр. 166
v “Дополнительные файлы свойств” на стр. 166
© Copyright IBM Corp. 2004 133
Что такое файлы свойств
Файлы свойств Java задают атрибуты, обеспечивающие возможности настройки и
контроля программных компонентов Java. Стандартные файлы системных свойств и
пользовательские файлы свойств позволяют сконфигурировать пользовательские
предпочтения и параметры настройки. В файлах свойств Java заданы значения
именованных ресурсов, которые определяют такие опции программ, как информация
для доступ к базам данных, параметры среды и специальные возможности и функции.
Файлы свойств задают именованные ресурсы в виде пар ключей и значений свойств:
имя_ключа_свойства = значение
имя_ключа_свойства - это идентификатор ресурса.значение - это имя реального
Java-объекта, содержащего этот ресурс.
В Tivoli Identity Manager используется ряд файлов свойств, которые управляют
функционированием программы и дают пользователям возможность настраивать
специальные функции.
134 IBM Tivoli Identity Manager: Руководство по конфигурированию
adhocreporting.properties
Файл adhocreporting.properties обеспечивает поддержку пользовательского
модуля создания отчетов. Этот файл содержит следующее:
v Свойства конфигурации для пользовательских отчетов
v Атрибуты выводимых на экран меток для глобализации графического
пользовательского интерфейса Tivoli Identity Manager
Смотрите информацию о конфигурировании пользовательских отчетов в главе
″Отчеты″ публикации IBM Tivoli Identity Manager Policy and Organization Administration
Guide.
Свойства конфигурации для создания пользовательских отчетов описаны в
следующей таблице:
Генерирование отчетов
reportPageSize
Это свойство задает число строк, появляющихся на каждой странице отчета в формате
PDF. Максимальное число строк на странице не должное превышать 45.
Пример (по умолчанию, максимальное значение):
reportPageSize = 45
reportColWidth
Это свойство задает ширину (в сантиметрах - см) столбца отчета для отчета в формате
PDF. Изменив это значение, вы сможете отрегулировать размер всех столбцов.
Примечание: 2,54 см = 1 дюйм
Пример (по умолчанию):
reportColWidth = 20
Синхронизация данных не основе журнала изменений (Changelog)
changelogEnabled
Это свойство является обязательным, если вы конфигурируете Incremental Data
Synchronizer. Допустимые значения:
v true – Incremental Data Synchronizer конфигурируется
v false – Incremental Data Synchronizer не конфигурируется
Пример (по умолчанию):
changelogEnabled = false
changelogBaseDN
Это свойство задает DN в каталоге, в котором конфигурируется журнал изменений
(changelog).
Пример (по умолчанию):
changelogBaseDN = cn=changelog
changeLogFetchSize
Глава 11. Конфигурирование дополнительных свойств 135
|
||
|
||
|||
||
||
|
|||
|
|
|
|||
|
|
|
|
|
|
|||
|
|
|
|
|
|||
|
|
|
Это свойство задает число записей журнала изменений, которое можно одновременно
считывать с сервера каталога.
Значение, равное 0, или отрицательное значение указывает, что ограничения по
считыванию нет. Ограничение по считыванию полезно, если в течение какого-то
времени не следует допускать большой нагрузки на сервер каталога. Так, при
одновременном считывании 100000 записей журнала изменений возможна задержка
ответа сервера на несколько минут.
Пример (по умолчанию):
changeLogFetchSize = 200
maximumChangeLogsToSynchronize
Это свойство задает максимальное число записей журнала изменений, которое можно
синхронизировать при одном вызове утилиты Incremental Data Synchronizer.
Задавая значение этого свойства, учитывайте объем доступной системной памяти и
использование процессора другими процессами на хосте. Если задать значение, равное
нулю, или отрицательное значение, Incremental Data Synchronizer произведет
синхронизацию всех записей журнала изменений.
Пример (по умолчанию):
maximumChangeLogsToSynchronize = 10000
changeLogsToAnalyzeBeforeSynchronization
Это свойство указывает, сколько считанных записей журнала изменений нужно
проанализировать до синхронизации проанализированных записей с базой данных.
В качестве примера рассмотрим следующие значения:
changeLogFetchSize = 500
changeLogsToAnalyzeBeforeSynchronization = 20000
maximumChangeLogsToSynchronize = 100000
Один пакет - это 500 записей журнала изменений. После того, как будет
проанализировано 20000 записей журнала изменений (40 пакетов), будет произведена
синхронизация данных. Эта процедура будет повторяться до тех пор, пока не будет
проанализировано 100000 записей (5 синхронизаций).
Если задать значение, равное 0, или отрицательное значение, будет произведена
синхронизация всех считанных записей журнала изменений.
Пример (по умолчанию):
changeLogsToAnalyzeBeforeSynchronization = 5000
Применение ACI к генерируемым данным отчета
availableForNonAdministrators
Это свойство указывает, нужно ли синхронизировать информацию, связанную с ACI,
во время синхронизации данных.
Если вы хотите, чтобы пользователи ITIM, не являющиеся администраторами, смогли
выполнять отчеты, задайте для этого свойства значение ″true″.
Если задать значение ″false″, будут отключены все функции, связанные с выполнением
отчетов пользователями, не являющимися администраторами, например,
синхронизацию данных ACI и назначение ACI для пользовательских отчетов.
Пример (по умолчанию):
availableForNonAdministrators = true
136 IBM Tivoli Identity Manager: Руководство по конфигурированию
|||
|||||
|
|
|
|||
||||
|
|
|
|||
|
|||
||||
||
|
|
|
|
|
|||
||
|||
|
|
|
Применение инкрементных схемпри использовании Incremental Data Synchronizer
enableDeltaSchemaEnforcer
Это свойство позволяет включить или выключить синхронизацию всех изменений схем
при создании пользовательских отчетов.
Изменения схем - это вновь созданные отображения и существующие отображения,
которые были удалены при помощи дизайнера схем.
Если задать значение ″true″, Incremental Data Synchronizer будет обрабатывать
атрибуты, которые были отображены (изменены) в дизайнере схем с момента
проведения последней полной синхронизации данных.
Если задать значение ″false″, Incremental Data Synchronizer не будет синхронизировать
атрибуты, которые были отображены (изменены) в дизайнере схем с момента
проведения последней полной синхронизации данных.
Пример (по умолчанию):
enableDeltaSchemaEnforcer = false
Параметры конфигурации для полной синхронизации данных
createIndex
Это свойство указывает, нужно ли создавать индексы базы данных для часто
используемых столбцов базы данных. Включив эту опцию, можно добиться
существенного повышения производительности генерирования отчетов. Чтобы
включить создание индексов, задайте для этого свойства значение ″true″.
Допустимые значения этого свойства:
v true – Создавать индексы для столбцов метаданных, используемых в
пользовательских отчетах. Учтите, что если вы включите эту опцию, синхронизация
данных может занять больше времени.
v false – Не создавать индексы при синхронизации данных. Если отключить создание
индексов, то генерирование отчетов может занимать больше времени.
Пример (по умолчанию):
createIndex = true
sqlBatchSize
Это свойство задает размер пакетных обновлений, обрабатываемых при
синхронизации данных. Если задать для этого свойства более высокое значение, можно
добиться существенного повышения производительности.
Однако на это значение влияют определенные параметры базы данных, определяющие
размер файла журнала транзакций (свойство базы данных), и если задать слишком
большое значение, синхронизация данных может завершиться неудачно. Всегда
используйте рекомендованное значение по умолчанию, равное 50, чтобы не допустить
ошибок синхронизации данных.
Пример (по умолчанию):
sqlBatchSize = 50
Если указать значение, равное 0, или отрицательное значение, все обновления SQL
будут обрабатываться как единый пакет.
Глава 11. Конфигурирование дополнительных свойств 137
|
|
|||
||
|||
|||
|
|
|
|
|
|||||
|
|||
||
|
|
|
||||
|||||
|
|
||||
crystal.properties
В файле crystal.properties хранятся глобальные свойства модуля plug-in Crystal
Reports для пользовательского модуля отчетов. Информацию о конфигурировании
Crystal Reports смотрите в главе ″Конфигурирование Crystal Reports″ в публикации
Руководство по конфигурированию IBM Tivoli Identity Manager (это данный документ).
crystalras
Задает имя сервера или IP-адрес компьютера, на котором установлен сервер Crystal
Report Application Server
Пример:
crystalras = 999.999.999.999
dsn
Для функции Crystal необходимо создать DSN на компьютере-сервере RAS. Это
свойство задает имя DSN.
Пример:
dsn = <строка>
база данных
Задает имя базы данных, на которую указывает DSN.
Пример:
database = <строка>
138 IBM Tivoli Identity Manager: Руководство по конфигурированию
|
||||
||
|||
|
|
|
|||
|
|
|
||
|
|||
DataBaseFunctions.conf
Функция пользовательских отчетов в Tivoli Identity Manager дает возможность
использовать функции базы данных при создании пользовательских шаблонов
отчетов. Функции базы данных можно сделать доступными для использования
дизайнером отчетов - компонентом графического пользовательского интерфейса
Tivoli Identity Manager; для этого нужно задать эти функции в файле
DataBaseFunctions.conf.
Для заранее заданных функций базы данных в файле DataBaseFunctions.conf
используется следующий формат:
<имя_функции> - <набор_аргументов>
Пользователи баз данных могут также создавать и задавать функции для
специализированного использования. В Microsoft SQL и IBM DB2 такие настроенные
функции называются пользовательскими функциями. Для генерирования отчетов
также можно использовать функции, создаваемые в DB2 в виде хранимых процедур.
Эти функции должны создаваться при помощи утилиты баз данных,
предоставленных соответствующим поставщиком базы данных.
Для заданных пользователем функций базы данных в файле DataBaseFunctions.conf
используется следующий формат:
user:<имя_функции - <набор_аргументов>
В дизайнере отчетов Tivoli Identity Manager поддерживаются только функции с одним
аргументом. Если требуются более сложные функции, пользователям придется
воспользоваться средством Crystal Reports Designer.
Upper
Задает преобразование аргумента в верхний регистр.
Пример:
Upper - 1
Lower
Задает преобразование аргумента в нижний регистр.
Lower - 1
user:GetDN
Пользовательская функция. Получить имя-идентификатор (DN).
user:GetDN - 1
Глава 11. Конфигурирование дополнительных свойств 139
|
||||||
||
|
||||||
||
|
|||
||
||
|
|
|
||
|
|
||
|||
enRoleAuthentication.properties
В файле enRoleAuthentication задан способ, используемый системой Tivoli Identity
Manager для аутентификации пользователей, и указан Java-объект, обеспечивающий
заданный механизм аутентификации. Кроме того, этот файл задает объекты,
поддерживающие однократную регистрацию Tivoli Access Manager WebSEAL и
управление доступом Tivoli Identity Manager к удаленным управляемым службам.
Свойства аутентификации заданы в виде пар ключей и значений свойств:
имя_ключа_свойства = значение
имя_ключа_свойства - это идентификатор механизма аутентификации или
ресурса.значение - это имя Java-объекта, предоставляющего службу аутентификации;
оно также выражается парой ″ключ-значение″.
factory = значение
Имя ключа factory обозначает специальную категорию поддержки аутентификации в
программе Tivoli Identity Manager.значение - это фактическое имя Java-объекта.
Например (вводится в виде одной строки):
enrole.authentication.provider.service =
factory = com.ibm.enrole.authentication.service.
ServiceAuthenticationProviderFactory
Способ аутентификации
enrole.authentication.requiredCredentials = {simple|certificate}
Позволяет задать метода обязательной аутентификации пользователей при входе в
систему Tivoli Identity Manager: либо simple (просто имя пользователя и пароль), либо
certificate (с использованием цифрового сертификата).
Системное значение по умолчанию - simple.
Например:
enrole.authentication.requiredCredentials = simple
В качестве альтернативы, можно задать пользовательский механизм аутентификации.
Смотрите раздел “Конфигурирование пользовательского механизма аутентификации”
на стр. 142.
Провайдеры аутентификации (фабрики)
enrole.authentication.provider.simple
Задает Java-объект, обрабатывающий аутентификацию на основе имени пользователя
и пароля.
Например (вводится в виде одной строки):
enrole.authentication.provider.simple =
factory = com.ibm.enrole.authentication.simple.
SimpleAuthenticationProviderFactory
enrole.authentication.provider.certificate
140 IBM Tivoli Identity Manager: Руководство по конфигурированию
Задает Java-объект, обрабатывающий аутентификацию с использованием цифровых
сертификатов.
Например (вводится в виде одной строки):
enrole.authentication.provider.certificate =
factory = com.ibm.enrole.authentication.certificate.
CertificateAuthenticationProviderFactory
Провайдер службы аутентификации
enrole.authentication.provider.service
Задает Java-объект, который в прозрачном режиме обрабатывает доступ Tivoli Identity
Manager к удаленным управляемым службам и к управлению изменениями учетных
записей, сконфигурированных для доступа к этим удаленным службам.
В число таких изменений входят добавление, удаление, приостановка, восстановление и
изменение учетных записей для удаленных служб. Зарегистрировавшись в системе
Tivoli Identity Manager, вы сможете изменить информацию о регистрационном имени и
пароле для учетной записи, используемой для доступа к удаленной управляемой
службе.
Механизм ServiceAuthenticationProviderFactory работает с агентом для данной
удаленной службы и обрабатывает изменившуюся информацию.
Например (вводится в виде одной строки):
enrole.authentication.provider.service =
factory = com.ibm.enrole.authentication.service.
ServiceAuthenticationProviderFactory
Однократная регистрация WebSEAL
enrole.authentication.provider.webseal
Задает Java-объект, обеспечивающих возможность однократной регистрации в среде
WebSEAL.
Например (вводится в виде одной строки):
enrole.authentication.provider.webseal =
factory = com.ibm.enrole.authentication.webseal.WebsealProviderFactory
Смотрите раздел “Конфигурирование однократной регистрации при использовании
WebSEAL” на стр. 42.
enrole.authentication.idsEqual
Задает подходящий алгоритм для отображения ID пользователя Tivoli Access Manager
в ID пользователя Tivoli Identity Manager.
Если ID пользователя Tivoli Access Manager совпадает с ID пользователя Tivoli Identity
Manager (такой параметр используется по умолчанию):
enrole.authentication.idsEqual = true
Если ID пользователя Tivoli Access Manager НЕ совпадает с ID пользователя Tivoli
Identity Manager:
enrole.authentication.idsEqual = false
Внутренний алгоритм отображения идентификаторов нужен для того, чтобы
обеспечить успешное завершение процедуры однократной регистрации.
Смотрите раздел “Конфигурирование однократной регистрации при использовании
WebSEAL” на стр. 42.
Глава 11. Конфигурирование дополнительных свойств 141
Конфигурирование пользовательского механизма
аутентификации
В качестве альтернативы встроенным в Tivoli Identity Manager методам
аутентификации (на основе имени пользователя и пароля и на основе сертификатов)
можно при помощи ключа свойства enrole.authentication.requiredCredentials
задать пользовательский Java-объект, который будет вызывать пользовательский
механизм аутентификации.
Например, вам может потребоваться однократная регистрация в Tivoli Identity
Manager из зарегистрированного сеанса с сервером портала.
Создайте пользовательский Java-объект для аутентификации (для этого обратитесь
за помощью в службу поддержки заказчиков Tivoli) и введите имя этого объекта в
качестве значения ключа свойства enrole.authentication.requiredCredentials.
Файл enRoleAuthentication.properties позволяет использовать в Tivoli Identity
Manager только один тип метода аутентификации. Сконфигурировать несколько
параллельных механизмов аутентификации нельзя.
142 IBM Tivoli Identity Manager: Руководство по конфигурированию
enRoleDatabase.properties
В файле enRoleDatabase.properties заданы атрибуты, обеспечивающие поддержку
реляционной базы данных, которую использует механизм рабочих потоков Tivoli
Identity Manager. Tivoli Identity Manager поддерживает три типа баз данных:
v DB2
v Oracle
v MS SQL Server
Значения ключей свойств, содержащиеся в этом файле, синхронизируются со
значениями в файле конфигурации соответствующего сервера приложений.
Большинство значений в этом файле вводятся при исходной установке Tivoli Identity
Manager и конфигурировании базы данных. Вы можете потом изменить некоторые
значения. Однако в этом случае необходимо с помощью утилиты runConfig
синхронизировать значения в этом файле свойств со значениями в файле
конфигурации сервера приложений.
Для доступа к реляционной базе данных Tivoli Identity Manager использует
технологию Java Database Connectivity (JDBC). Технология JDBC - это API, который
позволяет получить доступ практически ко всем табличным источникам данных при
помощи языка программирования Java.
Информация о базе данных
database.db.type
Не изменяйте ключ этого свойства. Это значение вводится во время исходной
установки Tivoli Identity Manager.
Задает тип базы данных, используемый механизмом рабочих потоков Tivoli Identity
Manager. Возможные значения:
v DB2
v Oracle
v MS SQL Server
Пример (DB2):
database.db.type = DB2
database.db.server
Это значение указывается при установке Tivoli Identity Manager и конфигурировании
базы данных.
Задает имя или локальный алиас удаленной базы данных.
Чтобы изменить это значение для новой базы данных, настройте базу данных с
помощью утилиты конфигурирования базы данных. Утилита конфигурирования базы
данных передаст в этот файл свойств имя новой базы данных.
Чтобы изменить это значение для другой существующей базы данных, передайте новое
имя базы данных в этот файл свойств с помощью утилиты runConfig.
Пример:
database.db.server = itimdb
Глава 11. Конфигурирование дополнительных свойств 143
database.db.owner
Не изменяйте ключ этого свойства. Это значение встроено в систему.
Задает для Tivoli Identity Manager имя владельца схемы базы данных.
Пример (встроенный):
database.db.owner = enrole
database.db.user
Не изменяйте ключ этого свойства. Это значение встроено в систему.
Задает для Tivoli Identity Manager пользователя базы данных по умолчанию.
Пример (встроенный):
database.db.user = enrole
database.db.password
Не изменяйте ключ этого свойства. Это значение указывается при конфигурировании
базы данных.
Задает пароль пользователя базы данных.
Шифрование этого значения определяется значением свойства
enrole.password.database.encypted в файле enrole.properties.
Значение пароля будет появляться на экране в виде простого текста, если вы не
активируете параметр шифрования с помощью утилиты runConfig.
Пример (нешифрованный текст):
database.db.password = secret
Свойства пула соединений
database.jdbc.connectionPool.initialCapacity
Не изменяйте значение этого ключа свойства путем редактирования файла вручную.
Для изменения этого значения используйте утилиту runConfig.
Задает исходное число физических соединений с базой данных, которое нужно создать
для пула соединений. Это значение должно быть меньше или равно значению
maxCapacity.
Пример (по умолчанию):
database.jdbc.connectionPool.initialCapacity = 5
database.jdbc.connectionPool.maxCapacity
Не изменяйте значение этого ключа свойства путем редактирования файла вручную.
Для изменения этого значения используйте утилиту runConfig.
Задает максимальное число физических соединений с базой данных, которое можно
создать. Это предельное значение обеспечивает соблюдение требований к настройке
производительности системы.
Пример (по умолчанию):
database.jdbc.connectionPool.maxCapacity = 50
144 IBM Tivoli Identity Manager: Руководство по конфигурированию
database.jdbc.connectionPool.capacityIncrement
Вы можете изменить значение этого ключа свойства, отредактировав этот файл
вручную. Кроме того, вы должны будете с помощью утилиты runConfig
синхронизировать изменения с файлом конфигурации сервера приложений.
Задает число соединений, создаваемых при каждом расширении (приращении) пула
соединений для удовлетворения возросшего спроса.
Пример (по умолчанию):
database.jdbc.connectionPool.capacityIncrement = 1
database.jdbc.connectionPool.loginDelaySecs
Вы можете изменить значение этого ключа свойства, отредактировав этот файл
вручную. Кроме того, вы должны будете с помощью утилиты runConfig
синхронизировать изменения с файлом конфигурации сервера приложений.
Задает задержку (в секундах) перед созданием каждого соединения с базой данных.
Пример (по умолчанию):
database.jdbc.connectionPool.loginDelaySecs = 1
database.jdbc.connectionPool.ShrinkingEnabled
Вы можете изменить значение этого ключа свойства, отредактировав этот файл
вручную. Кроме того, вы должны будете с помощью утилиты runConfig
синхронизировать изменения с файлом конфигурации сервера приложений.
Указывает, можно ли уменьшить пул соединений до его исходной емкости (заданной
значением initialCapacity), если выяснится, что дополнительные соединения, созданные
в периоды повышенной интенсивности трафика, больше не используются. Допустимые
значения - ″true″ или ″false″.
Пример (по умолчанию):
database.jdbc.connectionPool.ShrinkingEnabled = true
database.jdbc.connectionPool.ShrinkPeriodMinutes
Вы можете изменить значение этого ключа свойства, отредактировав этот файл
вручную. Кроме того, вы должны будете с помощью утилиты runConfig
синхронизировать изменения с файлом конфигурации сервера приложений.
Задает время ожидания (в минутах), по истечении которого можно сократить пул
соединений, расширенный путем инкрементного приращения для удовлетворения
возросших потребностей. Чтобы программа сокращала пул соединений, свойству
ShrinkingEnabled следует присвоить значение ″true″.
Пример (по умолчанию):
database.jdbc.connectionPool.ShrinkPeriodMinutes = 15
database.jdbc.connectionPool.Targets
Не изменяйте значение ключа этого свойства. Это значение вводится во время
исходной установки Tivoli Identity Manager.
Задает пункт назначения в текущем домене, где следует развернуть данный пул
соединений. Как правило, в качестве этого значения выступает имя сервера
приложений или имя кластера.
Пример:
database.jdbc.connectionPool.Targets = myserver
Глава 11. Конфигурирование дополнительных свойств 145
database.jdbc.connectionPool.testTableName
Не изменяйте значение ключа этого свойства.
Задает имя таблицы, используемой при проверке наличия физического соединения с
базой данных. Для каждого типа базы данных требуется свое значение:
v DB2 – ″nextvalue″
v Oracle – ″dual″
v MS SQL Server – ″nextvalue″
Пример (Oracle):
database.jdbc.connectionPool.testTableName = dual
database.jdbc.connectionPool.refreshMinutes
Не изменяйте значение ключа этого свойства.
Задает интервал (в минутах) между проверками соединения с базой данных.
Пример (по умолчанию):
database.jdbc.connectionPool.refreshMinutes = 5
Драйвер JDBC
database.jdbc.driverURL
Не удаляйте и не изменяйте ключ и значение этого свойства.
Задает URL драйвера JDBC.
Пример (DB2):
database.jdbc.driverUrl = jdbc:db2:itimdb
database.jdbc.driver
Не удаляйте и не изменяйте ключ и значение этого свойства.
Задает имя драйвера JDBC.
Пример (DB2):
database.jdbc.driver = COM.ibm.db2.jdbc.app.DB2Driver
146 IBM Tivoli Identity Manager: Руководство по конфигурированию
|
enRoleLDAPConnection.properties
В файле enRoleLDAPConnections.properties содержатся стандартные параметры
конфигурации, обеспечивающие успешное взаимодействие Tivoli Identity Manager с
сервером каталога LDAP.
java.naming.factory.initial = com.sun.jndi.ldap.LdapCtxFactory
Не изменяйте ключ и значение этого свойства.
Задает встроенный файл классов Java, обеспечивающий интерфейс взаимодействия
между Tivoli Identity Manager и сервером каталога LDAP. Используется протокол JNDI
(Java Naming and Directory Interface).
Контекст LDAP: Context.INITIAL_CONTEXT_FACTORY
java.naming.provider.url
Задает местонахождение (URL) сервера каталога LDAP. Возможные варианты
местонахождения сервера LDAP:
v На локальном компьютере Tivoli Identity Manager
Укажите ″localhost″.
v На удаленном компьютере.
Укажите краткое или полное имя хоста или IP-адрес.
Значение этого ключа первоначально конфигурируется во время установки Tivoli
Identity Manager. Вы также можете задать это значение с помощью утилиты ldapconfig
или утилиты runConfig.
Пример:
java.naming.provider.url = ldap://localhost:389
Контекст LDAP: Context.PROVIDER_URL
java.naming.security.principal
Задает имя-идентификатор (Distinguished Name - DN) учетной записи администратора
LDAP на сервере каталога LDAP.
Значение этого ключа первоначально конфигурируется во время установки Tivoli
Identity Manager. Вы также можете задать это значение с помощью утилиты ldapconfig
или утилиты runConfig.
Пример:
java.naming.security.principal = cn = root
Контекст LDAP: Context.SECURITY_PRINCIPAL
Глава 11. Конфигурирование дополнительных свойств 147
java.naming.security.credentials
Задает пароль для учетной записи администратора LDAP на сервере каталога LDAP.
Значение этого ключа первоначально конфигурируется во время установки Tivoli
Identity Manager. Вы также можете задать это значение с помощью утилиты ldapconfig
или утилиты runConfig.
Шифрование этого значения определяется значением свойства
enrole.password.ldap.encypted в файле enrole.properties.
Тип шифрования первоначально конфигурируется во время установки Tivoli Identity
Manager при помощи переключателя Параметр шифрования.
Пример:
java.naming.security.credentials = ibmldap
Контекст LDAP: Context.SECURITY_CREDENTIALS
java.naming.security.protocol
В данном выпуске Tivoli Identity Manager ключ и значение этого свойства не
поддерживаются.
Не изменяйте ключ и значение этого свойства.
Задает протокол, обеспечивающий взаимодействие Tivoli Identity Manager с сервером
каталога LDAP.
Контекст LDAP: Context.SECURITY_PROTOCOL
java.naming.security.authentication
Не изменяйте ключ и значение этого свойства.
Задает тип аутентификации, используемый сервером каталога LDAP. Допустимые
значения:
v none (анонимно: пользователь становится членом неаутентифицированной группы)
v simple (требуется имя пользователя и пароль)
v strong (более строгий механизм аутентификации)
Пример:
java.naming.security.authentication = simple
Контекст LDAP: Context.SECURITY_AUTHENTICATION
148 IBM Tivoli Identity Manager: Руководство по конфигурированию
java.naming.referral
Не изменяйте ключ и значение этого свойства.
В сценарии, когда несколько серверов каталога LDAP связаны друг с другом в среде
Tivoli Identity Manager, это свойство указывает, нужно ли использовать эти связи, когда
для выполнения требования о получении информации LDAP нужна ссылка.
Допустимые значения:
v follow (разрешить использование ссылок)
v ignore (не использовать ссылки)
v throw (не использовать ссылки и возвратить сообщение об ошибке)
Пример:
java.naming.referral = follow
Контекст LDAP: Context.REFERRAL
java.naming.batchsize
Не изменяйте ключ и значение этого свойства.
Свойство JNDI, которое задает число элементов данных, возвращаемых одновременно
при выполнении требования (запроса), адресованного серверу каталога LDAP. Чем
больше это число, тем меньше число операций считывания LDAP, что позволяет
повысить производительность.
Значение, равное ″0″, блокирует управление со стороны клиента (Tivoli Identity
Manager) до тех пор, пока не будут возвращены все затребованные элементы.
Пример:
java.naming.batchsize = 100
Контекст LDAP: Context.BATCHSIZE
java.naming.ldap.attributes.binary
Не изменяйте ключ и значение этого свойства.
Задает атрибуты Tivoli Identity Manager, обрабатываемые как данные двоичного типа.
Если указано несколько значений атрибутов, их следует разделять одним пробелом.
Пример:
java.naming.ldap.attributes.binary = erPassword erHistoricalPassword
Контекст LDAP: attribute.binary
Глава 11. Конфигурирование дополнительных свойств 149
enRoleLogging.properties
В файле enRoleLogging.properties заданы атрибуты, управляющие работой
функции ведения журнала log4j и API трассировки, поставляемых вместе с Tivoli
Identity Manager.
Log4j - это популярный пакет функции ведения журналов для Java, распространяемый
по лицензии на программные средства Apache с открытым исходным кодом и
сертифицированные в рамках инициативы Open Source. Log4j позволяет записывать
сообщения в журнал в соответствии с типом и приоритетом сообщений, а также
управлять порядком форматирования и вывода этих сообщений во время
выполнения.
В пакет log4j включена отлично подготовленная документация. Ознакомьтесь с этой
информацией, чтобы получить полное представление о функциях log4j.
Включить/выключить traceExceptions
enrole.logprovider.traceexceptions
Это атрибут Tivoli Identity Manager (а не атрибут log4j). Он задает, нужно ли вносить в
журналы сообщений дополнительную подробную информацию об ошибках (стек
вызова). Допустимые значения:
v true - записывать в журнал подробную информацию
v false - не записывать в журнал подробную информацию
Значение по умолчанию - ″true″.
Пример:
enrole.logprovider.traceexceptions = true
Настройка иерархии категорий
Корневая категория:
log4j.rootCategory
150 IBM Tivoli Identity Manager: Руководство по конфигурированию
Категории Log4j - это именованные объекты, которые позволяют связывать
компоненты системы с приоритетом записи в журнал. Корневая категория
соответствует всем системным компонентам (все компоненты являются дочерними
компонентами родительского корневого компонента).
Ключ свойства log4j.rootCategory задает системный приоритет по умолчанию для
записи в журнал и дополнительные идентификаторы (пункты назначения для вывода
информации), которые указывают типы пунктов назначения для выходной
информации.
Иерархия приоритетов:
1. FATAL
2. ERROR
3. WARN
4. INFO
5. DEBUG
Например, приоритет INFO, указывает, что в журнал нужно записывать все сообщения
уровней INFO (информация), WARN (предупреждение), ERROR (ошибка) и FATAL
(невосстановимая ошибка).
Пример (задать в качестве приоритета записи в журнал значение WARN с
дополнительным объектом под именем ″Logger″):
log4j.rootCategory = WARN, Logger
Глава 11. Конфигурирование дополнительных свойств 151
Категории компонентов:
log4j.category.com.ibm.itim.apps
log4j.category.com.ibm.itim.authentication
log4j.category.com.ibm.itim.authorization
log4j.category.com.ibm.itim.common
log4j.category.com.ibm.itim.fesiextensions
log4j.category.com.ibm.itim.logging
log4j.category.com.ibm.itim.mail
log4j.category.com.ibm.itim.messaging
log4j.category.com.ibm.itim.migration
log4j.category.com.ibm.itim.dataservices.model
log4j.category.com.ibm.itim.passworddelivery
log4j.category.com.ibm.itim.policy
log4j.category.com.ibm.itim.remoteservices
log4j.category.com.ibm.itim.report
log4j.category.com.ibm.itim.security
log4j.category.com.ibm.itim.scheduling
log4j.category.com.ibm.itim.systemConfig
log4j.category.com.ibm.itim.util
log4j.category.com.ibm.itim.webclient
log4j.category.com.ibm.itim.workflow
Эти категории соответствуют стандартным компонентам Tivoli Identity Manager. Вы
можете переопределить приоритет записи в журнал для корневой категории,
сконфигурировав каждый компонент по отдельности. Чтобы включить
конфигурирование записи в журнал для того или иного компонента, раскомментируйте
соответствующую строку.
Пример:
log4j.category.com.ibm.itim.policy = INFO
В приведенном выше примере заданное значение приоритета записи в журнал, INFO,
включает дополнительную запись в журнал сообщений компонента itim.policy (для
корневой категории в примере задан только уровень WARN).
Пункт назначения для вывода файла журнала (тип вывода)
log4j.appender.идентификатор_вывода
Идентификатор вывода задает тип пункта назначения для вывода информации файла
журнала. Существуют следующие типы:
v Один файл
v Файл с переходом записи
v Консоль (вывод на экран)
v Функции ведения журналов событий NT
Пример (в качестве объекта типа вывода ″Logger″ задан указанный ниже класс Java,
который обрабатывает файл с переходом записи):
log4j.appender.Logger = org.apache.log4j.RollingFileAppender
Пример свойств для RollingFileAppender:
log4j.appender.Logger.File = c:/temp/itim.log
log4j.appender.Logger.MaxFileSize = 2MB
log4j.appender.Logger.MaxBackupIndex = 10
Более подробную информацию смотрите в главе ″Message Logging″ (Запись сообщений
в журнал) публикации IBM Tivoli Identity Manager Problem Determination Guide.
152 IBM Tivoli Identity Manager: Руководство по конфигурированию
||
Спецификация структуры файла журнала и шаблона преобразования
log4j.appender.идентификатор_вывода.layout
Спецификация структуры обеспечивает надлежащее форматирование требования.
Указывается класс Java, который производит операции со структурой, а также шаблон
преобразования.
Пример (здесь указан Java-класс шаблона схемы, используемый объектом вывода
″Logger″):
log4j.appender.Logger.layout = org.apache.log4j.PatternLayout
Пример шаблона преобразования для PatternLayout:
log4j.appender.Logger.layout.ConversionPattern = [%d:%t]<%p:%c>%m\n
Интерпретация вышеприведенного шаблона преобразования:
[дата:id_потока]<уровень_приоритета:категория>сообщение
перевод строки
Глава 11. Конфигурирование дополнительных свойств 153
enRoleMail.properties
В файле enRoleMail.properties содержатся атрибуты, которые задают
транспортный почтовый протокол, используемый API JavaMail, а также другие
свойства, связанные с приложением Tivoli Identity Manager.
Вы должны задать значения ключей свойств, связанных с данным приложением.
Для ключей свойств, связанных с JavaMail (включая почтового провайдера и
протокол по умолчанию) существуют значения по умолчанию. Если вы измените
значения по умолчанию для ключей свойств JavaMail, вы должны будете сами
обеспечить тестирование и проверку своего пользовательского протокола и
реализации.
Дополнительную информацию по использованию и сведения о провайдере смотрите
по следующему адресу URL:
http://java.sun.com/products/javamail/
Атрибуты почты для приложения Tivoli Identity Manager
mail.from
Обязательно.
Это значение указывается во время установки Tivoli Identity Manager. Вы также может
его задать с помощью утилиты runConfig.
Задает обратный адрес электронной почты текущего пользователя.
Пример (вводится пользователем):
mail.from = [email protected]
mail.baseurl
Обязательно.
Задает базовый URL, используемый для составления URL регистрации в сообщениях
электронной почты, отправляемых новым пользователям Tivoli Identity Manager.
Это значение указывается во время установки Tivoli Identity Manager. Вы также может
его задать с помощью утилиты runConfig.
Смотрите также раздел “Информация о Web-сервере” на стр. 11.
Пример (вводится пользователем):
mail.baseurl = http://111.222.333.444:80
mail.title
Обязательно.
Задать значение для этого ключа свойства можно только путем непосредственного
редактирования этого файла свойств.
Задает текстовую строку для использования в строке заголовка электронных
сообщений. Строка по умолчанию ″Уведомление ITIM″.
Пример (вводится пользователем):
mail.title = ITIM notification
154 IBM Tivoli Identity Manager: Руководство по конфигурированию
Атрибуты почты для встроенной почтовой службы Java
mail.host
Обязательно.
Это значение указывается во время установки Tivoli Identity Manager. Вы также может
задать это значение с помощью утилиты runConfig.
Задает IP-адрес компьютера, на котором находится почтовый сервер.
Пример (вводится пользователем):
mail.host = 111.222.333.444
mail.protocol.host
Задает IP-адрес почтового сервера по умолчанию, связанного с данным протоколом.
Этот ключ свойства переопределяет ключ свойства mail.host.
По умолчанию, это свойство не является обязательным, и его значение отсутствует.
mail.transport.protocol
Задает транспортный протокол по умолчанию (транспортный протокол Sun SMTP).
Пример (по умолчанию):
mail.transport.protocol = SMTP
mail.protocol.class
Задает реализацию Java-класса почтового протокола Sun SMTP.
Пример (по умолчанию):
mail.SMTP.class = com.sun.mail.smtp.SMTPTransport
mail.store.protocol
Задает протокол доступа к сообщениям по умолчанию.
По умолчанию, это свойство не является обязательным, и его значение отсутствует.
mail.user
Задает имя пользователя, используемое при аутентификации во время установления
соединения с почтовым сервером.
По умолчанию, это свойство не является обязательным, и его значение отсутствует. В
среде Tivoli Identity Manager почтовый сервер находится внутри границ брандмауэра,
что устраняет необходимость в этом уровне аутентификации.
mail.protocol.user
Задает имя пользователя, связанное с протоколом, которое используется при
аутентификации во время установления соединения с почтовым сервером. Этот ключ
свойства переопределяет ключ свойства mail.user.
По умолчанию, это свойство не является обязательным, и его значение отсутствует.
Глава 11. Конфигурирование дополнительных свойств 155
enrolepolicies.properties
В файле enrolepolicies.properties содержатся стандартные и пользовательские
параметры, которые обеспечивают поддержку функций, связанных с политикой
предоставления доступа в Tivoli Identity Manager. В число функций, поддерживаемых
этим файлом свойств, входят функции, которые позволяют:
v Задать Java-классы для обработки конфликтов правил политики предоставления
доступа с использованием директив объединения
v Задать тайм-ауты (по умолчанию и заданных пользователем) кэширования
директив объединения
v Объявить атрибуты учетных записей, которые нужно игнорировать при проверке
их совместимости с правилами политики
Директива объединения - это набор правил, которые определяют порядок обработки
атрибутов, когда правила политики предоставления доступа вступают в конфликт
друг с другом. Директивы объединения обеспечивают разрешение таких конфликтов
на основе использования логических конструкций. Например, это комбинирование
всех атрибутов политики (слияние), использование только общих атрибутов
(пересечение) и устранение конфликтов с использованием логических операторов
″AND″/″OR″ (И/ИЛИ).
Существует всего 12 типов директив объединения, которые можно использовать в
Tivoli Identity Manager. Директивы объединения правил политики предоставления
доступа действуют, если для одного и того же пользователя (или группы
пользователей) задано более одного правила политики предоставления доступа,
применимого к одной и той же службе назначения, к одному и тому же экземпляру
службы или к одному и тому же типу службы.
Кроме того, можно задавать пользовательские директивы объединения; для этого
нужно создать пользовательский класс Java и добавить в этот файл пользовательский
ключ и значение свойства.
Классы директив объединения
provisioning.policy.join.PrecedenceSequence = com.ibm.enrole.policy.join.
PrecedenceSequence
provisioning.policy.join.Boolean = com.ibm.enrole.policy.join.Boolean
provisioning.policy.join.Bitwise = com.ibm.enrole.policy.join.Bitwise
provisioning.policy.join.Numeric = com.ibm.enrole.policy.join.Numeric
provisioning.policy.join.Textual = com.ibm.enrole.policy.join.Textual
provisioning.policy.join.Multivalued = com.ibm.enrole.policy.join.Multivalued
Не изменяйте ключи и значения этих свойств.
Каждый ключ свойства задает класс Java, который можно использовать для обработки
алгоритма директивы объединения, необходимой для разрешения конфликта правил
политики предоставления доступа.
Символы-разделители при добавлении
provisioning.policy.join.Textual.AppendSeparator
Задает символ, который используется классом Java текстовой директивы объединения,
чтобы отделять друг от друга значения атрибута с несколькими значениями.
Пример:
provisioning.policy.join.Textual.AppendSeparator = <<<>>>
156 IBM Tivoli Identity Manager: Руководство по конфигурированию
Тайм-ауты кэширования директив объединения
provisioning.policy.join.defaultCacheTimeout
Задает тайм-аут между операциями обновления кэша, в котором хранятся значения по
умолчанию для директив объединения. Значение тайм-аута записывается в секундах.
(По умолчанию - 86400 сек = 24 часа).
Пример:
provisioning.policy.join.defaultCacheTimeout = 86400
provisioning.policy.join.overridingCacheTimeout
Задает тайм-аут между операциями обновления кэша, в котором хранятся
пользовательские значения для директив объединения. Значение тайм-аута
записывается в секундах.
(По умолчанию - 300 сек = 5 мин).
Пример:
provisioning.policy.join.overridingCacheTimeout = 300
Атрибуты учетных записей, игнорируемые при проверке совместимости правил политики
Исключенные общие атрибуты:
nonvalidateable.attribute.eraccountcompliance
nonvalidateable.attribute.eracl
nonvalidateable.attribute.eraccountstatus
nonvalidateable.attribute.erauthorizationowner
nonvalidateable.attribute.erglobalid
nonvalidateable.attribute.erhistoricalpassword
nonvalidateable.attribute.erisdeleted
nonvalidateable.attribute.erlastmodifiedtime
nonvalidateable.attribute.erlogontimes
nonvalidateable.attribute.ernumlogons
nonvalidateable.attribute.erparent
nonvalidateable.attribute.erpassword
nonvalidateable.attribute.erservice
nonvalidateable.attribute.eruid
nonvalidateable.attribute.objectclass
nonvalidateable.attribute.owner
Исключенные атрибуты Windows NT:
nonvalidateable.attribute.erntpasswordexpired
nonvalidateable.attribute.erntuserbadpwdcount
nonvalidateable.attribute.erntlockedout
Позволяет объявить атрибуты учетных записей, которые нужно игнорировать при
проверке их совместимости с правилами политики. Этот список исключений позволяет
уменьшить лишнюю нагрузку при проверке совместимости и понизить вероятность
системного сбоя в случае, если атрибуты не поддаются логическому разрешению при
проверке.
Глава 11. Конфигурирование дополнительных свойств 157
enroleworkflow.properties
В файле enroleworkflow.properties заданы отображения XML-файлов для
заданных системой рабочих потоков. В Tivoli Identity Manager рабочий поток - это
процесс, который определяет последовательность операций, включающих в себя
бизнес-службы и взаимодействия с сотрудниками. Схема рабочего потока задает
порядок обработки частной бизнес-логики. XML-файлы, указанные в файле
enroleworkflow.properties, обеспечивают реализацию схем рабочих потоков.
Системный рабочий поток идентифицируется уникальным ID типа и связанным с ним
XML-файлом. XML-файлы рабочих потоков находятся в каталоге:
ITIM_HOME\data\workflow_systemprocess
Обычно вам не нужно ни удалять, ни изменять ID типов системных рабочих потоков
по умолчанию и значения XML-файлов, содержащиеся в этом файле.
Если для вашей реализации Tivoli Identity Manager требуются новые или
переконфигурированные системные рабочие потоки для поддержки пользовательской
бизнес-логики, вы можете внести в данный файл соответствующие изменения:
v Новая бизнес-логика – в файл можно добавить новые ID типов и файлы
определений процессов в формате XML
v Модифицированная бизнес-логика – существующие файлы определений процессов
в формате XML можно заменить пользовательскими файлами
Чтобы произвести такие изменения, нужно располагать соответствующими
техническими и программными ресурсами.
Рабочий поток применения политики
enrole.workflow.PS = enforcepolicyforservice.xml
Рабочий поток управления выбором служб
enrole.workflow.SA = addserviceselectionpolicy.xml
enrole.workflow.SC = changeserviceselectionpolicy.xml
enrole.workflow.SD = removeserviceselectionpolicy.xml
Рабочий поток управления политикой предоставления доступа
#Добавить правило политики
enrole.workflow.PA = addpolicy.xml
#Изменить правило политики
enrole.workflow.PC = changepolicy.xml
#Удалить правило политики
enrole.workflow.PD = removepolicy.xml
Рабочий поток согласования
enrole.workflow.RC = reconciliation.xml
Рабочий поток изменения состояния нескольких пользователей
enrole.workflow.MS = multiusersuspend.xml
enrole.workflow.MR = multiuserrestore.xml
enrole.workflow.MD = multiuserdelete.xml
Рабочий поток изменения состояния нескольких учетных записей
158 IBM Tivoli Identity Manager: Руководство по конфигурированию
enrole.workflow.LD = multiaccountdelete.xml
enrole.workflow.LS = multiaccountsuspend.xml
enrole.workflow.LR = multiaccountrestore.xml
enrole.workflow.LP = multiaccountpassword.xml
Рабочий поток динамических ролей
#Добавить динамическую роль
enrole.workflow.DA = adddynamicrole.xml
#Изменить динамическую роль
enrole.workflow.DC = changedynamicrole.xml
#Удалить динамическую роль
enrole.workflow.DD = removedynamicrole.xml
Глава 11. Конфигурирование дополнительных свойств 159
fesiextensions.properties
В файле fesiextensions.properties заданы встроенные и пользовательские
расширения FESI, необходимые для работы Tivoli Identity Manager. FESI - это
сокращение названия Free EcmaScript Interpreter, интерпретатора JavaScript,
написанного на языке Java. Интерпретатор FESI читает этот файл свойств во время
инициализации Tivoli Identity Manager, чтобы задавать расширения для необходимых
классов Java.
Расширения FESI соответствуют областям или ″привязкам″ в программе Tivoli
Identity Manager, в которых разрешается использование кода JavaScript для ввода
встроенной или пользовательской бизнес-логики. Расширения FESI заданы в виде пар
ключей и значений свойств:
имя_ключа_свойства = значение
значение - это полное имя файла класса Java.имя_ключа_свойства содержит
стандартный префикс (fesi.extension), контекст и (для пользовательских классов)
идентификатор (ID), обозначающий полное имя файла класса Java. Как правило, в
качестве идентификатора (ID) используется сокращенное неполное имя класса.
fesi.extension.контекст.ID_класса = полное_имя_класса
В число системных расширений FESI, используемых в Tivoli Identity Manager, входят
глобальный контекст и три частных варианта контекста.
Глобальный идентификатор контекста:
Enrole
Частные идентификаторы контекста:
IdentityPolicy
HostSelection
Workflow
Хотя вы и не должны изменять встроенные системные расширения FESI, вы можете
добавлять пользовательские расширения FESI, которые могут понадобиться для
каких-либо пользовательских программ. При добавлении пользовательских
расширений FESI в этот файл свойств вы должны использовать один из заранее
заданных глобальных или частных вариантов контекста.
В качестве значения укажите полное имя пользовательского файла класса Java и
введите уникальный идентификатор ключа свойства (ID) для пользовательского
класса.Примеры:
fesi.extension.IdentityPolicy.ID_пользовательского_класса =
полное_имя_пользовательского_класса
fesi.extension.HostSelection.ID_пользовательского_класса =
полное_имя_пользовательского_класса
Встроенные расширения FESI
fesi.extension.Enrole = com.ibm.itim.fesiextensions.Enrole
fesi.extension.IdentityPolicy = com.ibm.itim.fesiextensions.IdentityPolicy
fesi.extension.HostSelection = com.ibm.itim.fesiextensions.ModelSelection
fesi.extension.Workflow = com.ibm.itim.workflow.fesiextensions.WorkflowExtension
fesi.extension.Workflow.OrgModelExtension = com.ibm.itim.fesiextensions.
OrganizationModelExtension
160 IBM Tivoli Identity Manager: Руководство по конфигурированию
Значение ключа каждого системного свойства - это полное имя файла встроенного
класса Java.
Не удаляйте и не изменяйте информацию в этом разделе.
Глава 11. Конфигурирование дополнительных свойств 161
Пользовательские расширения FESI
Пример:
fesi.extension.enRole.ID_пользовательского_класса =
полное_имя_пользовательского_класса
Вы можете модифицировать файлы fesiextensions.properties, включив в них
дополнительные расширения FESI для необходимых пользовательских объектов и
методов.
Значение ключа каждого пользовательского свойства - это полное имя
пользовательского файла класса Java.
Каждое имя ключа свойства должно быть уникальным.
162 IBM Tivoli Identity Manager: Руководство по конфигурированию
UI.properties
В файле UI.properties заданы атрибуты, определяющие порядок работы и
отображения на экране графического пользовательского интерфейса Tivoli Identity
Manager. Кроме того, там есть два раздела, в которых содержатся атрибуты, не
относящиеся к графическому пользовательском интерфейсу Tivoli Identity Manager.
Параметры конфигурации графического пользовательского интерфейса Tivoli Identity Manager
enrole.ui.errorPage.verbosity
Указывает, нужно ли выводить вместе с сообщением об ошибке подробную
информацию (или трассировку стека). Допустимые значения:
v 0 – - подробная информация не выводится
v 1 – - выводится подробная информация
Значение по умолчанию - ″0″.
Пример:
enrole.ui.errorPage.verbosity = 0
enrole.ui.customerLogo.image
Задает имя файла рисунка, который появляется справа от строки заголовка
графического пользовательского интерфейса Tivoli Identity Manager. Обычно, это
логотип компании. Чтобы рисунок передавался по сети в Web-браузер, этот файл
должен быть представлен в формате .gif или .jpeg. Реальный файл с рисунком
должен находиться в следующих каталогах:
WebSphere:
...WebSphere/AppServer/installedApps/имя_домена/enRole.ear/app_web.war/
images
WebLogic:
...bea/user_projects/имя_домена/applications/enrole/images
Пример:
enrole.ui.customerLogo.image = ibm_banner.gif
enrole.ui.customerLogo.url
Задает ссылку на URL, которая активируется, когда вы щелкнете по
пользовательскому изображению (логотипу компании) в правой части строки
заголовка графического пользовательского интерфейса Tivoli Identity Manager.
Пример:
enrole.ui.customerLogo.url = www.ibm.com
enrole.ui.pageSize
Задает число пунктов списка, которое первоначально появится на экране. Если в списке
окажется больше пунктов, в нижней части просмотра списка будет показана ссылка,
позволяющая активировать продолжение списка (например, Стр. 2, Стр. 3, Стр. 4).
Пример:
enrole.ui.pageSize = 10
Глава 11. Конфигурирование дополнительных свойств 163
enrole.ui.pageLinkMax
Задает число ссылок на страницы, появляющихся при выводе длинных списков
(смотрите описание свойства enrole.ui.pageSize). Если для списка потребуется
больше ссылок, чем задано этим ключом свойства, добавляется ссылка ″Далее″.
Пример:
enrole.ui.pageLinkMax = 10
enrole.ui.maxSearchResults
Задает число элементов, возвращаемых при поиске. Значение этого ключа свойства
позволяет контролировать возможное снижение производительности системы при
большом числе обнаруженных элементов.
Пример:
enrole.ui.maxSearchResults = 1000
Свойства апплетов WfDesigner и FormDesigner
enrole.build.version
enrole.java.plugin
enrole.java.plugin.classid
enrole.java.plugin.jpi-version
enrole.java.pluginspage
enrole.ui.logoffURL
enrole.ui.timeoutURL
Не изменяйте и не удаляйте никакую информацию в этом разделе.
Эти пары ключей и значений свойств обеспечивают необходимую поддержку
Java-апплетов для Web-браузера, в котором выполняется графический
пользовательский интерфейс Tivoli Identity Manager.
Свойства меню отчетов
enrole.ui.reconReport.maxFileSize
Отчет о согласовании может генерироваться в следующих форматах:
v PDF
v HTML
v CVS (файл, разделенный запятыми)
Ключ и значение этого свойства задают предельный размер отчета (в байтах),
позволяя сделать доступной опцию вывода отчета в формате PDF. Если размер отчета
превышает 0,5 Мб, опция вывода в формате PDF станет недоступной.
Пример:
enrole.ui.reconReport.maxFileSize = 500000
enrole.ui.accountReport.maxPeopleInReport
Задает максимальное число сотрудников, которое разрешается включить в отчет об
учетных записях.
Пример:
enrole.ui.accountReport.maxPeopleInReport = 500
164 IBM Tivoli Identity Manager: Руководство по конфигурированию
enrole.ui.report.maxRecordsInReport
Задает максимальное число записей, которое должно появляться в отчетах об
операциях, пользователях, службах и отказах.
Пример:
enrole.ui.report.maxRecordsInReport=5000
Включить/выключить поддержку однократной регистрации WebSEAL
enrole.ui.ssoEnabled
Ключ и значение свойства, описанного в этом разделе, не относятся к графическому
пользовательскому интерфейсу Tivoli Identity Manager.
Позволяет включить или выключить функцию однократной регистрации WebSEAL.
Допустимые значения:
v true (включить)
v false (отключить)
Значение по умолчанию - ″false″.
Пример:
enrole.ui.ssoEnabled = false
Для поддержки функции однократной регистрации WebSEAL требуется
дополнительное конфигурирование. Смотрите раздел “Конфигурирование
однократной регистрации при использовании WebSEAL” на стр. 42.
Отображение класса поиска для ObjectProfileCategory
Ключ и значение свойства, описанного в этом разделе, не относятся к графическому
пользовательскому интерфейсу Tivoli Identity Manager, и их нельзя ни изменять, ни
удалять.
Глава 11. Конфигурирование дополнительных свойств 165
CustomLabels.properties
Пары ключа и значения свойства в файле CustomLabels.properties используются
графическим пользовательским интерфейсом Tivoli Identity Manager для вывода
текста меток в формах.
Для каждого языка, поддерживаемого продуктом Tivoli Identity Manager, существует
отдельный файл CustomLabels.properties.
Из этого файла берутся локализованные версии элементов графического
пользовательского интерфейса при установке Tivoli Identity Manager в
интернационализированных средах (средах с несколькими языками).
Расширение имени указывает язык. Например:
CustomLabels_RU.properties — русский язык
CustomLabels_EN.properties — английский язык
Дополнительные файлы свойств
В приведенной ниже таблице указаны остальные файлы свойств, которые
используются продуктом Tivoli Identity Manager. Эти файлы не подлежат
конфигурированию ни в каких случаях, и вносить в них изменения нельзя.
ConfigErrorMessages.properties
Этот файл используется утилитой runConfig и содержит сообщения об ошибках
конфигурации на русском языке.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
ConfigLabels.properties
Этот файл используется утилитой runConfig и содержит метки, появляющиеся в графическом
пользовательском интерфейсе Tivoli Identity Manager на русском языке.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
ConfigMessages.properties
Этот файл используется утилитой runConfig и содержит инструкции по конфигурированию и
обычные сообщения на русском языке.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
Dsml2RootDSE.properties
Этот файл используется для выполнения корневого поиска DSE (LDAP) и позволяет
возвратить набор атрибутов сервера Tivoli Identity Manager.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
Dsml2Schema.properties
166 IBM Tivoli Identity Manager: Руководство по конфигурированию
|
|||
||
||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
Этот файл используется для поиска схем (LDAP) и позволяет возвратить классы объектов и
атрибуты, указанные в этом файле.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
enRole2ldif.properties
Этот файл теперь считается устаревшим; он использовался для перехода от enRole 3.x к 4.4.
enRoleEntityHiddenAttributes
Этот файл используется в качестве фильтра для отбора доступных для отображения
атрибутов LDAP для каждого типа объектов (например, Организация, Организация
бизнес-партнера, Сотрудник, Сотрудник бизнес-партнера).
В графическом пользовательском интерфейсе Tivoli Identity Manager действительные типы
объектов ITIM перечислены в меню Конфигурация на вкладке Объекты. Гибкое отображение
дает пользователю возможность отобразить пользовательский объект LDAP в тип объектов
ITIM. Так, если вы сохраняете информацию о сотруднике не в объекте inetOrgPerson, а в
каком-либо другом объекте, обозначающем сотрудника, вы должны отобразить все
необходимые атрибуты ITIM в атрибуты пользовательского объекта-сотрудника.
enRoleFonts.properties
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
enRoleHelp.properties
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
enRoleHiddenAttributes.properties
В этом файле содержатся атрибуты для всех классов объектов (например, для классов
Сотрудник, Служба, Учетная запись, Подразделение организации), которые нельзя увидеть в
графическом пользовательском интерфейсе Tivoli Identity Manager на вкладке Конфигурация >
Настройка пользовательского интерфейса. В этом списке скрытых атрибутов в основном
находятся атрибуты, используемые системой.
enRoleHiddenSearchAttributes.properties
Этот файл используется функциями, относящимися к поиску. Атрибуты, содержащиеся в
этом списке, не появляются в списке классов объектов при выполнении поиска.
Не удаляйте никакие существующие записи из этого файла, в противном случае поиск на
основе этих атрибутов завершится неудачно.
enRoleLastaccessdate.properties
Этот файл предназначен для внутреннего использования в Tivoli Identity Manager для
генерирования отчетов о бездействии.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
enRoleStartup.properties
Глава 11. Конфигурирование дополнительных свойств 167
||
|
|
|
|
|
|
|||
||||||
|
|
|
|
|
|
|
|
|||||
|
|
||
||
|
|
||
|
|
|
Вносить изменения в этот файл можно только при конфигурировании функционального
кластера Tivoli Identity Manager в WebSphere. Если вы вносите изменения в установку
функционального кластера Tivoli Identity Manager, следуйте инструкциям, содержащимся в
файле свойств.
enRoleUnchangedAttributes.properties
Этот файл используется утилитой обновления сервера каталога.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
enRoleValidateAttributes.properties
Этот файл предназначен для внутреннего использования на сервере Tivoli Identity Manager для
отображения атрибутов схем объектов.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
ErrorMessages.properties
Этот файл содержит все сообщения об ошибках.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
ibmschemaSyntax.properties
Этот файл используется программой конфигурирования LDAP во время установки Tivoli
Identity Manager.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
iplanetSchemaSyntax.properties
Этот файл используется программой конфигурирования LDAP во время установки Tivoli
Identity Manager.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
itiminstaller.properties
Этот файл используется программой установки Tivoli Identity Manager и утилитой обновления
сервера каталога.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
Labels.properties
Этот файл содержит метки на русском языке для отображения пользовательского
интерфейса.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
Messages.properties
В этом файле содержатся все обычные сообщения, которые используются в Tivoli Identity
Manager для взаимодействия с пользователями.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
168 IBM Tivoli Identity Manager: Руководство по конфигурированию
||||
|
|
|
|
|
|
||
|
|
|
|
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
||
|
passwordrules.properties
Этот файл позволяет задать пользовательский класс для генерирования паролей. В Tivoli
Identity Manager 4.5.1 есть функция генерирования паролей по умолчанию и пример
генератора паролей на основе словаря.
В примере файла passwordrules.properties в первой строке содержится имя класса. Во
второй строке задан ввод, который требуется для класса, заданного в строке 1.
platformcontext.properties
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
Properties.properties
Этот файл представляет собой файл свойств верхнего уровня; в нем указан путь реального
файла свойств.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
tenant.properties
Этот файл используется для создания нового арендатора.
Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.
Глава 11. Конфигурирование дополнительных свойств 169
|
|
|||
||
|
|
|
|
|
||
|
|
|
|
|||
170 IBM Tivoli Identity Manager: Руководство по конфигурированию
Часть 5. Приложения
© Copyright IBM Corp. 2004 171
172 IBM Tivoli Identity Manager: Руководство по конфигурированию
Приложение. Замечания
Эта информация относится к продуктам и услугам, предоставляемым в США. IBM
может не предоставлять в других странах продукты, услуги и аппаратные средства,
описанные в данном документе. За информацией о продуктах и услугах,
предоставляемых в вашей стране, обращайтесь к местному представителю IBM.
Подобные ссылки не означают и не подразумевают, что можно использовать только
указанные продукты, программы или услуги IBM. Разрешается использовать любые
функционально эквивалентные продукты, программы или услуги, если при этом не
нарушаются права IBM на интеллектуальную собственность. Однако
ответственность за оценку и проверку работы любых продуктов, программ и услуг
других фирм лежит на пользователе.
IBM может располагать патентами или рассматриваемыми заявками на патенты,
относящимися к предмету данной публикации. Получение данного документа не
означает предоставления каких-либо лицензий на эти патенты. С запросами по
поводу лицензий обращайтесь в письменной форме по адресу:
IBM Director of Licensing
IBM Corporation
North Castle Drive
Armonk, NY 10504-1785
U.S.A.
По поводу лицензий, связанных с использованием наборов двухбайтных символов
(DBCS), обращайтесь в отдел интеллектуальной собственности IBM в вашей стране
или направьте запрос в письменной форме по адресу:
IBM World Trade Asia Corporation
Licensing
2-31 Roppongi 3-chome, Minato-ku
Tokyo 106-0032, Japan
Следующий абзац неприменим в Великобритании или в любой другой стране, где
подобные оговорки противоречат местному законодательству: INTERNATIONAL
BUSINESS MACHINES CORPORATION ПРЕДОСТАВЛЯЕТ ДАННУЮ
ПУБЛИКАЦИЮ “AS IS”, БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ, ЯВНЫХ ИЛИ
ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ (НО НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ)
ПРЕДПОЛАГАЕМЫЕ ГАРАНТИИ СОБЛЮДЕНИЯ АВТОРСКИХ ПРАВ,
РЫНОЧНОЙ ПРИГОДНОСТИ ИЛИ СООТВЕТСТВИЯ ОПРЕДЕЛЕННОЙ
ЦЕЛИ. В некоторых странах для ряда сделок не допускается отказ от явных или
предполагаемых гарантий; в таком случае данное положение к вам не относится.
В приведенной здесь информации могут встретиться технические неточности или
типографские опечатки. В публикацию время от времени вносятся изменения,
которые будут отражены в следующих изданиях. IBM может в любой момент без
какого-либо предварительного уведомления внести изменения в продукты и/или
программы, которые описаны в данной публикации.
Ссылки на Web-сайты не-IBM приводятся только для вашего удобства и ни в коей
мере не должны рассматриваться как рекомендации пользоваться этими
Web-сайтами. Материалы на этих Web-сайтах не входят в число материалов по
данному продукту IBM, и весь риск пользования этими Web-сайтами несете вы сами.
© Copyright IBM Corp. 2004 173
IBM оставляет за собой право на использование и распространение любой
предоставленной вами информации любыми способами, какие сочтет приемлемыми,
не принимая на себя никаких обязательств перед вами.
Если обладателю лицензии на данную программу понадобятся сведения о
возможности: (i) обмена данными между независимо разработанными программами
и другими программами (включая данную) и (ii) совместного использования таких
данных, он может обратиться по адресу:
IBM Corporation
2ZA4/101
11400 Burnet Road
Austin, TX 78758
U.S.A.
Такая информация может быть предоставлена при соблюдении определенных
положений и условий и, возможно, за определенную плату.
Описанную здесь лицензионную программу и все прилагаемые к ней лицензионные
материалы IBM представляет на основе положений Соглашения между IBM и
Покупателем, Международного Соглашения о Лицензиях на Программы IBM или
любого эквивалентного соглашения между IBM и покупателем.
Проводимые здесь данные о производительность получены в контролируемой среде.
Результаты, полученные в других средах, могут значительно отличаться от них.
Некоторые измерения производились на системах разработчиков, и нет никаких
гарантий, что результаты будут такими же на обычно используемых системах. Более
того, некоторые показатели могли быть получены путем экстраполяции. Реальные
результаты могут быть другими. Пользователи должны проверить данные в своей
собственной среде.
Информация, касающаяся продуктов других компаний (не IBM) была получена от
поставщиков этих продуктов, из опубликованных ими заявлений или из прочих
общедоступных источников. IBM не производила тестирование этих продуктов и
никак не может подтвердить информацию о их точности работы и совместимости, а
также прочие заявления относительно продуктов других компаний (не IBM). Вопросы
о возможностях продуктов других фирм следует направлять поставщикам этих
продуктов.
Товарные знаки
Перечисленные ниже термины являются товарными знаками или
зарегистрированными товарными знаками International Business Machines Corporation
в США и/или других странах:
AIX
DB2
IBM
Логотип IBM
SecureWay
Tivoli
Логотип Tivoli
Universal Database
WebSphere
Lotus - зарегистрированный товарный знак Lotus Development Corporation и/или IBM
Corporation.
174 IBM Tivoli Identity Manager: Руководство по конфигурированию
Domino - товарный знак International Business Machines Corporation и Lotus
Development Corporation в США и/или других странах.
Microsoft, Windows, Windows NT и логотип Windows - товарные знаки Microsoft
Corporation в Соединенных Штатах и в других странах.
UNIX - зарегистрированный товарный знак The Open Group в США и других странах.
Java и все основанные на Java товарные знаки и логотипы -
товарные знаки или зарегистрированные товарные знаки Sun
Microsystems, Inc. в США и других странах.
Прочие названия фирм, продуктов или услуг могут являться товарными знаками или
марками сервиса других фирм.
Приложение. Замечания 175
176 IBM Tivoli Identity Manager: Руководство по конфигурированию
Глоссарий
D
Directory Services Markup Language (DSML).
Реализация XML, обеспечивающая общий формат для
описания и совместного использования информации
службы каталога различными системами каталогов.
S
secure socket layer (SSL). Протокол для передачи
конфиденциальных документов через Интернет. В
протоколе SSL используется секретный ключ, при
помощи которого данные, передаваемые через
соединение SSL, шифруются.
А
авторизация (authorization). В компьютерной защите:
предоставляемые пользователю права на взаимодействие
с вычислительной системой или на пользование такой
системой. Процесс предоставления пользователю
полного или ограниченного доступа к объектам,
ресурсам или функциям.
В большинстве систем компьютерной защиты
используется двухстадийный процесс. Первая стадия -
аутентификация, которая позволят удостоверить, что
данный пользователь является тем, за кого себя выдает.
Вторая стадия - авторизация, в ходе которой
пользователю предоставляются права доступа к
различным ресурсам; авторизация основана на
идентификаторе пользователя.
агент Tivoli Identity Manager (Tivoli Identity Manager
Agent). Логический интерфейс между целевой
управляемой системой и сервером Tivoli Identity Manager.
Этот интерфейс действует как доверенный виртуальный
администратор и представляет собой критически важный
компонент, который транслирует требования
пользователей и обеспечивает защищенный доступ к
различным системам назначения.
административный домен (admin domain).
Бизнес-подразделение, которое позволяет логически
распределять обязанности внутри организации и
управлять правами доступа.
администратор домена (domain administrator).
Администратор, который может задавать в системе
предоставления доступа объекты, правила политики,
службы, определения рабочих потоков, роли и
пользователей, а также управлять ими в
административном домене, к которому они относятся
(но только если административный домен является
собственном доменом этого администратора).
адресат (requestee). Сотрудник, для которого
передается требование.
активная учетная запись (active account). Существующая
учетная запись, которая используется владельцем для
получения доступа к ресурсам.
алиас (alias). Идентификатор пользователя, обычно
называемый ID пользователя. У сотрудника может быть
несколько алиасов (например, GSmith и GWSmith).
аутентификация (authentication). Процесс
идентификации отдельного пользователя, обычно
основанный на использовании имени пользователя и
пароля. В системах защиты аутентификацию следует
отличать от авторизации; авторизация - это
предоставление пользователям доступа к системным
объектам на основе идентификаторов пользователей.
Аутентификация всего лишь удостоверяет личность
пользователя, но не позволяет ничего сказать о правах
доступа этого пользователя.
Б
бизнес-подразделение (business unit). Дочерний объект
организации.
В
ветвь (branch). Каждый уровень в дереве организаций
называется ветвью. Каждый тип ветви в дереве
обозначается особым значком. Содержание ветви и
входящих в нее блоков можно посмотреть, щелкнув по
значку плюс (+) рядом с ветвью.
владелец (owner). Сотрудник в системе Tivoli Identity
Manager, которому принадлежит учетная запись или
служба.
владелец авторизации (authorization owner). Группа
пользователей, которые могут создавать определения
элементов управления доступом (ACI) в контексте
подразделения организации, к которому они относятся.
вопрос-ответ (challenge response). Метод
аутентификации, при котором пользователь должен
ввести секретную информацию в ответ на подсказку,
чтобы подтвердить свою личность при входе в сеть.
восстановить (restore). Снова активировать
приостановленную учетную запись.
выполненные требования (completed requests).
Требования, которые были переданы в систему и
выполнены системой.
© Copyright IBM Corp. 2004 177
Г
группа ITIM (ITIM group). Группа пользователей на
сервере Tivoli Identity Manager.
Доступ к системе и администрирование системы можно
структурировать при помощи групп ITIM. Однако,
прежде чем включить сотрудника в группу ITIM, ему
нужно предоставить учетную запись ITIM. После этого
сотрудник станет пользователем ITIM, и его можно
будет добавить в группу ITIM.
Д
дерево организаций (organization tree). Иерархическая
структура организации, которая обеспечивает логическое
пространство для создания и хранения информации об
организациях, а также осуществления доступа к этой
информации.
директива объединения (join directive). Набор правил,
задающих порядок обработки атрибутов в случае
возникновения конфликта между двумя или несколькими
правилами политики предоставления доступа.
доступ (access). Полномочия на использование
информации или данных, хранящихся в вычислительных
системах.
Ж
журнал аудита (audit trail). Запись транзакций для
вычислительной системы за определенный период
времени.
З
загрузка идентификаторов DSML (DSML identity feed).
Один из трех типов служб по умолчанию в Tivoli Identity
Manager.
Служба загрузки идентификаторов DSML импортирует
данные пользователей из базы данных отдела кадров или
файла и загружает информацию в каталог Tivoli Identity
Manager. Эта служба может получать информацию
одним из двух способов: посредством согласования или
посредством незапрошенного уведомления.
загрузка информации о кадрах (HR feed).
Автоматический процесс импорта системой Tivoli Identity
Manager данных о пользователях из базы данных отдела
кадров или файла. Смотрите также: загрузка
идентификаторов DSML.
запрещающее действие (disallowed action). Набор
параметров для согласования, который указывает, какие
действия должен предпринимать сервер Tivoli Identity
Manager при обнаружении учетных записей
пользователей, которым не разрешено иметь учетные
записи для пользования выбранной службой. Этот
параметр допустим, только если выбран переключатель
Проверять политику.
запрос (query). Способ ограничения размера
возвращаемых пакетов при согласовании.
И
имя пользователя (user name). ID, используемый
пользователем для получения доступа к системе. Кроме
того, этот ID идентифицирует пользователя в системе и
дает системе возможность определить права доступа
пользователя на основе принадлежности пользователя к
различным ролям в организации и группам ITIM.
информация управления доступом (access control
information - ACI). Данные, которые определяют права
доступа для группы или принципала. Смотрите также:
управление доступом.
источник ACI (ACI origin). Ветвь в дереве организаций,
в которой создана информация ACI.
К
класс пользователей (user class). Класс LDAP
(например, inetorgperson или BPPerson).
ключевое слово (keyword). Индексная запись,
определяющая правила поиска.
Л
личная информация (personal information). Данные,
описывающие пользователя. Эта информация может
включать в себя фамилию, имя, домашний адрес, номер
телефона, адрес E-mail, номер офиса, имя супервизора и
пр.
Н
неактивная учетная запись (inactive account). Учетная
запись, которая существует в системе, но не используется
владельцем учетной записи.
несвязанный - несвязанные учетные записи (orphan -
orphan accounts). Учетная запись на удаленном ресурсе,
для которой в системе Tivoli Identity Manager невозможно
установить владельца.
О
область действия (scope). Область, на которую
распространяются правила политики.
Обычно область задается как Только в том же или В
поддереве. Если в качестве области задано Только в том
же, правило политики применяется только к объектам,
расположенным в той же ветви, где задано правило
178 IBM Tivoli Identity Manager: Руководство по конфигурированию
политики. Если в качестве области действия указано ″В
поддереве″, правило политики применяется к ветви, где
задано это правило, и ко всем ветвям низших порядков,
отходящих от ветви, где задано это правило.
общий секретный пароль (shared secret). Зашифрованное
значение, которое дает пользователю возможность
получить начальный пароль для доступа к системе Tivoli
Identity Manager. Это значение задается при
первоначальной загрузке в систему личной информации
пользователя.
объект (entity). 1) Сотрудник или объект, для которых
сохраняется информация.
2) Один из перечисленных ниже классов, на которые
ссылается система Tivoli Identity Manager:
v Сотрудник
v Сотрудник бизнес-партнера
v Организация
v Организация бизнес-партнера
объект назначения ACI (ACI target). Набор объектов,
которыми управляет ACI.
ограничение (constraint). Ограничение параметра или
правил политики.
организация (organization). В применении к управлению
идентификационной информацией: Относительно
независимая совокупность пользователей и ресурсов.
Хотя совместное использование ресурсов организациями
в принципе возможно, уровень интеграции разных
организаций относительно невысок. Обычно
организация представляет собой компанию.
организация бизнес-партнера (business partner
organization). Класс сотрудников, которые на являются
непосредственными сотрудниками компании или
организации, но которым может понадобиться доступ к
ресурсам компании.
отложенные требования (pending requests). Требования,
которые переданы в систему, но выполнение которых
еще не завершено.
отмена предоставления доступа (de-provision).
Позволяет удалить службу или компонент. Например,
отмена предоставления учетной записи означает
удаление учетной записи с ресурса.
отчет о пользователе (user report). Отчет, в котором
перечислены все операции Tivoli Identity Manager с
указанием даты, реквестера, который запросил
операцию, и адресата, для которого запрашивалась
операция.
отчет о согласовании (reconciliation report). Отчет, в
котором перечислены несвязанные учетные записи,
обнаруженные после выполнения последнего
согласования.
отчет об операциях (operation report). Отчет, в котором
перечислены требования о выполнении операций в Tivoli
Identity Manager с указанием типа операции, даты,
реквестера, который затребовал операцию, и адресата,
для которого затребована операция.
отчет об отказах (rejected report). Отчет, в котором
перечислены отказы в выполнении требований с
указанием даты, реквестера, который затребовал
операцию, и адресата, для которого затребована
операция.
отчет об учетных записях (account report). Отчет, в
котором перечислены имена сотрудников и
соответствующие им учетные записи; в нем указано,
удовлетворяет ли учетная запись текущим правилам
политики.
П
пароль (password). В компьютерной и сетевой защите:
специальная строка символов, которая вводится
пользователем и аутентифицируется системой, после
чего пользователю разрешается доступ к системе и к
хранящейся в ней информации.
подпроцесс (subprocess). Схема рабочего потока,
которая запускается как часть другой схемы рабочего
потока.
подразделение организации (organizational unit).
Совокупность пользователей и ресурсов внутри системы;
эта совокупность создается для того, чтобы разделить
организацию на группы, которыми будет легче
управлять. Пользователя приписывают только к одному
подразделению организации. Ресурс также приписывают
только к одному подразделению организации за
исключением случаев, когда ресурс задан как глобальный
ресурс организации.
политика (policy). В Tivoli: набор правил, который
применяется к управляемым ресурсам. Например,
политику можно применять к паролям или к ресурсам, к
которым пользователь пытается получить доступ.
политика выбора служб (service selection policy). Фильтр
JavaScript, который определяет, какая служба
используется в правиле политики предоставления
доступа.
политика идентификации (identity policy). Правила, в
соответствии с которыми система Tivoli Identity Manager
определяет порядок создания ID пользователей.
политика паролей (password policy). Правила, задающие
набор параметров, которому должны соответствовать
все пароли (например, длина пароля и символы, которые
можно или нельзя использовать в пароле).
политика предоставления доступа (provisioning policy).
Правила, которые определяют возможность доступа к
различным типам управляемых служб, например, к Tivoli
Глоссарий 179
Identity Manager или операционным системам. Доступ
предоставляется всем сотрудникам или каждому
сотруднику в отдельности в зависимости от его роли в
организации. Также можно предоставлять доступ тем
сотрудникам, которым не назначены никакие роли в
организации.
пользователь (user). Любое лицо, взаимодействующее с
системой.
пользовательский интерфейс (user interface - UI). Способ
представления информации на экране, посредством
которого пользователь взаимодействует с системой.
право подписи (signature authority). Право на
утверждение и отклонение требований, передаваемых
механизму рабочих потоков. Пользователь или группа
пользователей получают право подписи, если они
обозначены в схеме рабочих потоков как участники или
как участники эскалации.
предельное время ответа (escalation limit). Время (в днях,
часах, минутах или секундах), в течение которого
участник должен ответить на требование; если до
истечения этого срока участник не даст ответ, требование
будет эскалировано.
предоставление доступа (provision). Позволяет
настроить доступ пользователя к системе и управлять его
правами доступа в организации.
предоставляемое право (entitlement). В управлении
защитой: структура данных, служба или список
атрибутов, содержащие информацию о политике.
применение атрибутов (attribute enforcement). Процесс,
посредством которого системные администраторы
задают необходимые атрибуты для учетной записи, а
также допустимые значения для этих атрибутов.
применение политики (policy enforcement). Способ, в
соответствии с которым Tivoli Identity Manager
разрешает или запрещает использование учетных
записей, нарушающих правила политики предоставления
доступа.
приостановить (suspend). Действие по деактивации
учетной записи, в результате которого владелец учетной
записи утрачивает возможность регистрироваться для
доступа к ресурсу.
Р
рабочий поток (workflow). Последовательность
действий, выполняемых в соответствии с
бизнес-процессами предприятия.
реквестер (requestor). Сотрудник, который передает
требование.
ресурс (resource). Аппаратный компонент, программа
или объект данных, управляемые программой Tivoli.
Смотрите также: управляемый ресурс.
роль в организации (organizational role). В применении к
управлению идентификационной информацией: Атрибут,
который определяет членство в правилах политики,
обеспечивающих доступ к различным управляемым
ресурсам.
С
сервер Tivoli Identity Manager (Tivoli Identity Manager
Server). Пакет программных средств и служб,
предназначенный для внедрения решений о
предоставлении доступа на основе правил политики.
сертификатор (Certificate Authority - CA). Организация,
выпускающая сертификаты. Сертификатор
аутентифицирует личность владельца сертификата и
службы, которые владелец сертификата имеет право
использовать, выпускает новые сертификаты, обновляет
существующие сертификаты и аннулирует сертификаты,
принадлежащие пользователям, которые утратили право
на использование соответствующих сертификатов.
системный администратор (system administrator).
Сотрудник, имеющий доступ ко всем областям системы.
В системе Tivoli Identity Manager есть заранее
сконфигурированная группа ITIM. Членам этой группы
ITIM предоставлен максимально широкий доступ к
системе. Пользователи, которые являются членами
группы администраторов ITIM, имеют доступ ко всем
функциям и данным в системе.
служба (service). Программа, которая выполняет
основную функцию на сервере или в связанной
программе.
согласование (reconciliation). В применении к
управлению идентификационной информацией: Процесс
синхронизации учетных записей и сопутствующих
данных в централизованном репозитории данных с
учетными записями и сопутствующими данными на
управляемом ресурсе.
сотрудник бизнес-партнера (business partner person).
Сотрудник, работающий в организации бизнес-партнера.
список действий (to do list). Список действий, которые
должен выполнить пользователь.
срок действия пароля (password expiration period).
Время, в течение которого пользователь может
использовать пароль; по истечении этого времени
пользователь обязан изменить пароль.
статическая роль в организации (static organizational
role). Роль в организации, которую можно назначить
только вручную.
супервизор (supervisor). Лицо в системе Tivoli Identity
Manager, которое назначено владельцем
бизнес-подразделения.
180 IBM Tivoli Identity Manager: Руководство по конфигурированию
Т
тип элемента управления (control type). Экземпляр
класса типа Java, соответствующий типу пол я в
пользовательском интерфейсе.
требование (request). Действие в системе Tivoli Identity
Manager, позволяющее запросить утверждение или
информацию.
требование о предоставлении информации (request for
information - RFI). В управлении идентификационной
информацией: элемент действий, который позволяет
запросить у того или иного участника дополнительную
информацию и который является обязательным шагом в
рабочем потоке.
У
удостоверение (credential). ID и пароль пользователя,
которые позволяют получить доступ к учетной записи.
уполномоченный (delegate). Пользователь, назначенный
ответственным за утверждение требований или
предоставление информации, необходимой, чтобы
выполнять требования для другого пользователя.
управление предоставлением доступа к ресурсам (resource
provisioning management - RPM). Принцип управления,
который объединяет три ключевых элемента -
бизнес-логику, управление рабочим потоком и агентов
распределения - которые совместно обеспечивают
централизованное управление предоставлением
пользователям доступа к информации и бизнес-ресурсам.
участник (participant). В применении к управлению
идентификационной информацией: Сотрудник, которому
предоставлено разрешение ответить на требование,
переданное через механизм рабочего потока. Участника
можно задать, указав отдельного сотрудника, набор
ролей или пользовательский сценарий JavaScript.
участник эскалации (escalation participant). В
применении к управлению идентификационной
информацией: Сотрудник, которому предоставлено
разрешение отвечать на требования, на которые
исходный участник не ответил за заданное время
эскалации. Чтобы задать участника эскалации, можно
указать отдельного сотрудника, роли или
пользовательский сценарий JavaScript.
участок (location). Один из типов дополнительных
объектов, которые можно добавить в организацию. Как
правило, участки нужны для того, чтобы обеспечить
логическое разделение географически разобщенных
объектов при управлении организацией.
учетная запись (account). Набор параметров, которые
задают информацию для входа в систему, а также
информацию об управлении доступом для пользователя.
Ц
централизованный репозиторий данных (central data
repository). База данных, которая используется для
записи и хранения данных о полномочиях всех
зарегистрированных пользователей и их правах доступа,
включая записи о транзакциях и обслуживании.
цифровой сертификат (digital certificate).
Присоединяемый к электронному сообщению
компонент, используемый для защиты.
Э
электронные формы (electronic forms). Электронные
формы служат шаблоном, который используется, когда
нужно задать запрашиваемые права доступа.
Глоссарий 181
182 IBM Tivoli Identity Manager: Руководство по конфигурированию
Индекс
Aadhocreporting.properties, файл 135
CCA (Certificate Authority - сертификатор) 29
CertTool 36, 37, 38
changelog 57
Crystal Reports 73
RAS (Report Application Server) 75
конфигурирование 75
поток процессов 74
crystal.properties, файл 138
CSR (Certificate Signing Request - требование о выдаче
подписанного сертификата) 29
CustomLabels.properties, файл 166
DDataBaseFunctions.conf, файл 139
EenRole.properties, файл 97
арендатор по умолчанию, информация 109
информация XML и DTD 117
информация для службы сообщений 112
информация о кэше 111
информация о пуле соединений LDAP 118
информация о сервере LDAP 110
информация о сервере приложений 107
информация о шифровании 119
конфигурация почтовых служб 125
конфигурация рабочих потоков, информация 121
параметры конфигурации, связанные с WebLogic 99
параметры конфигурации, связанные с WebSphere 103
параметры монитора транзакций паролей 116
планирование, информация 115
пользовательский интерфейс управления требованиями,
конфигурация 130
программа конфигурирования системы 120
Свойства двусторонней аутентификации SSL 129
согласование, информация 126
требования приложения-клиента, конфигурация 131
хэширование общего секретного пароля 128
enRoleAuthentication.properties, файл 140
конфигурирование пользовательского механизма
аутентификации 142
enRoleDatabase.properties, файл 143
enRoleLDAPConnection.properties, файл 147
enRoleLogging.properties, файл 150
enRoleMail.properties, файл 154
enrolepolicies.properties, файл 156
enroleworkflow.properties, файл 158
Ffesiextensions.properties, файл 160
GGSKit (IBM Global Security Toolkit) 27
IIBM Directory Integrator (IDI) 38
IBM Global Security Toolkit (GSKit) 27
IDI (IBM Directory Integrator) 38
iKeyman 38
iKeyman, утилита 29
Incremental Data Synchronizerбазовая информация 56
журнал изменений сервера каталога 57
запуск (графический режим) 68
запуск (режим командной строки) 70
использование 55
настройка (adhocreporting.properties) 71
роль журнала изменений ACI 57
установка 55
установка в WebSphere/Windows 60
установка в системе WebLogic/UNIX 63
установка в системе WebLogic/Windows 65
установка в системе WebSphere/UNIX 57
LLog4j 150
OOpen SSL 27
RRAS (Report Application Server) 75
Report Application Server (RAS) 75
RSA SSL-C 27
RSA SSL-J 27
runConfig, утилитавкладка UI 12
логотип заказчика 12
Размер страницы списка 12
Вкладка База данных 8
Информация о пуле баз данных 9
Общая информация о базе данных 9
вкладка Запись в журнал 10
Трассировка исключений 10
Уровень записи в журнал 10
вкладка Защита 13
Вкладка Защитапараметры шифрования 13
управление пользователями сервера приложений 13
Вкладка Каталог 7
Информация о соединении с сервером каталога 8
пул соединений LDAP 8
вкладка Общие 6
информация для планирования 7
информация о сервере приложений 6
Вкладка Почта 10
© Copyright IBM Corp. 2004 183
runConfig, утилита (продолжение)информация о Web-сервере 11
Информация о почте 12
информация о хосте 12
запуск 5
изменение системных свойств 4
описание 4
SSSL
iKeyman, утилита 29
конфигурирование сертификатов 25
конфигурирование сертификатов агента 37
обзор 25
сводная информация по конфигурированию 28
связь SSL между браузером и Web-сервером (WebLogic) 33
связь SSL между браузером и Web-сервером (WebSphere) 29
связь SSL между сервером и агентом 35
CertTool 36, 37
односторонняя аутентификация SSL 36
связь SSL, инициируемая агентом 38
агент на основе ADK 38
агент на основе IDI 38
загрузка JNDI 38
секретные ключи и цифровые сертификаты 26
сертификатор (Certificate Authority - CA) 29
типы реализации SSL 27
требование о выдаче подписанного сертификата (Certificate
Signing Request - CSR) 29
форматы ключей 27
SSO (Single Sign-On - однократная регистрация)как задать URL 51
конфигурирование при использовании WebSEAL 42
конфигурирование серверов plug-in 44
обзор 41
процедура конфигурирования 43
создание ответвления WebSEAL 44
TCP, ответвление 45
ответвление SSL 48
требования, предупреждения и обходные способы 42
UUI.properties, файл 163
WWebSEAL, конфигурирование SSO 42
WebSEAL, ответвление 44
Аарендатор по умолчанию, информация 109
аудитория, для кого предназначена данная книга vii
Ввывод списков, конфигурирование пользовательского 16
Гграфический пользовательский интерфейс
настройка вывода списков 16
графический пользовательский интерфейс (продолжение)пользовательские атрибуты дисплея 16
пользовательский логотип 15
графический пользовательский интерфейс Tivoli Identity Managerконфигурирование свойств 14
Ддисплей, конфигурирование пользовательских атрибутов 16
документация, библиотека Tivoli Identity Manager vii
как получить доступ к публикациям по электронной сети ix
прочая документация ix
дополнительные свойства 133
adhocreporting.properties, файл 135
crystal.properties, файл 138
CustomLabels.properties, файл 166
DataBaseFunctions.conf, файл 139
enRoleAuthentication.properties, файл 140
enRoleDatabase.properties, файл 143
enRoleLDAPConnection.properties, файл 147
enRoleLogging.properties, файл 150
enRoleMail.properties, файл 154
enrolepolicies.properties, файл 156
enroleworkflow.properties, файл 158
fesiextensions.properties, файл 160
UI.properties, файл 163
Ззаявление о специальных возможностях пользования
документацией x
Иинформация XML и DTD 117
информация для службы сообщений 112
информация о кэше 111
информация о пуле соединений LDAP 118
информация о сервере LDAP 110
информация о сервере приложений 107
информация о шифровании 119
Ккак обратиться в службу поддержки программ x
как получить доступ к публикациям по электронной сети ix
конфигурация почтовых служб 125
конфигурация рабочих потоков, информация 121
конфигурирование пользовательского механизма
аутентификации 142
Ллоготип, конфигурирование пользовательского 15
Ммеханизм аутентификации, конфигурирование
пользовательского 142
Ннедопустимые пароли, как задать 20
184 IBM Tivoli Identity Manager: Руководство по конфигурированию
Ооднократная регистрация (Single Sign-On - SSO)
как задать URL 51
конфигурирование при использовании WebSEAL 42
конфигурирование серверов plug-in 44
обзор 41
процедура конфигурирования 43
создание ответвления WebSEAL 44
TCP, ответвление 45
ответвление SSL 48
требования, предупреждения и обходные способы 42
ответвление WebSEAL 44
отчеты Crystalпримеры отчетов 85
разработка условий фильтров отчетов 83
учебник по фильтрам отчетов 83
Ппараметры конфигурации, связанные с WebLogic 99
параметры конфигурации, связанные с WebSphere 103
параметры монитора транзакций паролей 116
пароликак задать недопустимый тип 20
словарь паролей 20
планирование, информация 115
поддержка программ, как обратиться x
пользовательские атрибуты дисплея, конфигурирование 16
пользовательские отчетыпримеры отчетов 91
разработка условий фильтров отчетов 89
учебник по фильтрам отчетов 89
пользовательский вывод списков, конфигурирование 16
пользовательский интерфейс управления требованиями,
конфигурация 130
пользовательский логотип, конфигурирование 15
пользовательский механизм аутентификации,
конфигурирование 142
программа конфигурирования системы 120
программы, как обратиться в службу поддержки x
публикации, библиотека Tivoli Identity Manager vii
как получить доступ к публикациям по электронной сети ix
прочая документация ix
пул соединений LDAP 8
ССвойства двусторонней аутентификации SSL 129
свойства, конфигурирование при помощи графического
пользовательского интерфейса 14
сертификатор (Certificate Authority - CA) 29
сертификаты (SSL)iKeyman, утилита 29
конфигурирование 25
конфигурирование сертификатов агента 37
обзор 25
сводная информация по конфигурированию 28
связь SSL между браузером и Web-сервером (WebLogic) 33
связь SSL между браузером и Web-сервером (WebSphere) 29
связь SSL между сервером и агентом 35
CertTool 36, 37
односторонняя аутентификация SSL 36
связь SSL, инициируемая агентом 38
агент на основе ADK 38
агент на основе IDI 38
загрузка JNDI 38
сертификаты (SSL) (продолжение)секретные ключи и цифровые сертификаты 26
сертификатор (Certificate Authority - CA) 29
типы реализации SSL 27
требование о выдаче подписанного сертификата (Certificate
Signing Request - CSR) 29
форматы ключей 27
системные свойстваenRole.properties, файл 97
арендатор по умолчанию, информация 109
информация XML и DTD 117
информация для службы сообщений 112
информация о кэше 111
информация о пуле соединений LDAP 118
информация о сервере LDAP 110
информация о сервере приложений 107
информация о шифровании 119
конфигурация почтовых служб 125
конфигурация рабочих потоков, информация 121
параметры конфигурации, связанные с WebLogic 99
параметры конфигурации, связанные с WebSphere 103
параметры монитора транзакций паролей 116
планирование, информация 115
пользовательский интерфейс управления требованиями,
конфигурация 130
программа конфигурирования системы 120
Свойства двусторонней аутентификации SSL 129
согласование, информация 126
требования приложения-клиента, конфигурация 131
хэширование общего секретного пароля 128
что такое файлы свойств 98, 134
словарь паролей 20
согласованиеисключение учетных записей 21
согласование, информация 126
средство конфигурирования системывкладка UI 12
логотип заказчика 12
Размер страницы списка 12
вкладка База данных 8
Информация о пуле баз данных 9
Общая информация о базе данных 9
вкладка Запись в журнал 10
Трассировка исключений 10
Уровень записи в журнал 10
вкладка Защита 13
параметры шифрования 13
управление пользователями сервера приложений 13
вкладка Каталог 7
Вкладка КаталогИнформация о соединении с сервером каталога 8
пул соединений LDAP 8
вкладка Общие 6
информация для планирования 7
информация о сервере приложений 6
Вкладка Почта 10
информация о Web-сервере 11
Информация о почте 12
информация о хосте 12
запуск 5
изменение системных свойств 4
описание 4
срок хранения в корзине (в днях) 7
Индекс 185
Ттребование о выдаче подписанного сертификата (Certificate
Signing Request - CSR) 29
требования приложения-клиента, конфигурация 131
Уусловия фильтров отчетов
отчеты Crystal 83
примеры отчетов 85
учебник по фильтрам отчетов 83
пользовательские отчеты 89
примеры отчетов 91
учебник по фильтрам отчетов 89
условные обозначения, используемые в данном документе x
Ффайлы свойств 5
adhocreporting.properties 135
crystal.properties 138
CustomLabels.properties 166
DataBaseFunctions.conf 139
enRole.properties, файл 97
enRoleAuthentication.properties 140
enRoleDatabase.properties 143
enRoleLDAPConnection.properties 147
enRoleLogging.properties 150
enRoleMail.properties 154
enrolepolicies.properties 156
enroleworkflow.properties 158
fesiextensions.properties 160
UI.properties 163
дополнительные свойства 133
Ххэширование общего секретного пароля 128
Ччастота 7
Шшаблон электронной почты 21
186 IBM Tivoli Identity Manager: Руководство по конфигурированию
���
Номер программы: 5724–C34
Напечатано в Дании
SC43-0425-00