Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
IBM Tivoli Access Manager
Guia de Instalação Base
Versão 4.1
S517-7644-01
���
IBM Tivoli Access Manager
Guia de Instalação Base
Versão 4.1
S517-7644-01
���
Nota
Antes de utilizar estas informações e o produto suportado por elas, leia as informações no Apêndice E, “Avisos”, na página
213.
Segunda Edição (Agosto de 2003)
Esta edição substitui a GC32-0815-00.
© Copyright International Business Machines Corporation 2001, 2003. Todos os direitos reservados.
Índice
Prefácio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix
Quem Deve Ler este Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix
O Que Este Manual Contém . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix
Publicações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi
Informações sobre o Release . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi
Informações de Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi
Informações sobre o WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi
Informações sobre Segurança na Web . . . . . . . . . . . . . . . . . . . . . . . . . . xi
Referências para Desenvolvedores . . . . . . . . . . . . . . . . . . . . . . . . . . . xii
Suplementos Técnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii
Publicações Relacionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii
IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii
IBM DB2 Universal Database . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii
IBM Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii
IBM WebSphere Application Server . . . . . . . . . . . . . . . . . . . . . . . . . xiv
IBM Tivoli Access Manager para Business Integration . . . . . . . . . . . . . . . . . . . xiv
IBM Tivoli Access Manager para Sistemas Operacionais . . . . . . . . . . . . . . . . . . xiv
Acessando Publicações On-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
Accessibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
Entrando em Contato com o Suporte ao Software . . . . . . . . . . . . . . . . . . . . . . xv
Convenções Utilizadas neste Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
Convenções Tipográficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
Diferenças do Sistema Operacional . . . . . . . . . . . . . . . . . . . . . . . . . . xvi
Capítulo 1. Visão Geral da Instalação do Tivoli Access Manager . . . . . . . . . . . 1
Planejando a Implementação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Visão Geral de Domínio Seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Componentes de Instalação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Registro do Usuário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
IBM Directory Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Tivoli Access Manager Policy Server . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Authorization Server do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . 4
Java Runtime Environment do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . 5
Tempo de Execução do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . 5
Tivoli Access Manager Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . . 5
Tivoli Access Manager Application Development Kit . . . . . . . . . . . . . . . . . . . . . 6
Processo de Instalação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Processo de Instalação Fácil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Processo de Instalação Nativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Internacionalização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Visão Geral do Suporte ao Idioma . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Instalando os Pacotes de Suporte ao Idioma . . . . . . . . . . . . . . . . . . . . . . . 11
Instalando Pacotes de Idioma para o Software de Pré-requisito . . . . . . . . . . . . . . . . . 12
Desinstalando os Pacotes de Suporte ao Idioma . . . . . . . . . . . . . . . . . . . . . . 13
Variáveis de Ambiente de Locale . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Variável LANG e Sistemas UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Variável LANG e Sistemas Windows . . . . . . . . . . . . . . . . . . . . . . . . . 15
Utilizando Variantes de Locale . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Catálogos de Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Suporte à Codificação de Texto (Conjunto de Códigos) . . . . . . . . . . . . . . . . . . . . 17
Localização de Arquivos do Conjunto de Códigos . . . . . . . . . . . . . . . . . . . . 17
Capítulo 2. Configurando Registros para o Tivoli Access Manager . . . . . . . . . . 19
Visão Geral da Configuração do Servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . 19
© Copyright IBM Corp. 2001, 2003 iii
Configurando o IBM Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Configurando o iPlanet Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Configurando o Novell eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Incluindo um Sufixo GSO para Configuração no Tivoli Access Manager . . . . . . . . . . . . . . 30
Configurando os Servidores de Segurança z/OS e OS/390 . . . . . . . . . . . . . . . . . . . . 30
Criando um Banco de Dados DB2 para o TDBM de Backend . . . . . . . . . . . . . . . . . . 31
Criando um Arquivo de Configuração LDAP para um TDBM de Backend . . . . . . . . . . . . . 31
Iniciando o Servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Atualizando e Carregando Arquivos Esquema . . . . . . . . . . . . . . . . . . . . . . . 33
Aplicando ACLs a Novos Sufixos LDAP . . . . . . . . . . . . . . . . . . . . . . . . . 33
Ativando a Replicação do LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Incluindo uma Sub-rotina no Arquivo de Configuração do Servidor Réplica LDAP . . . . . . . . . 34
Incluindo um Objeto no Backend do Servidor LDAP Principal . . . . . . . . . . . . . . . . 34
Configurando o Tivoli Access Manager para LDAP . . . . . . . . . . . . . . . . . . . . . 34
Administração de Usuários da Autenticação Nativa . . . . . . . . . . . . . . . . . . . . . 35
Configurando o Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Considerações do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Criando um Domínio do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 36
Juntando um Domínio do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 37
Criando um Usuário Administrativo do Active Directory . . . . . . . . . . . . . . . . . . . 40
Replicação do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Configurando o Lotus Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Instalando um Cliente Lotus Notes no Servidor Domino . . . . . . . . . . . . . . . . . . . 41
Criando um Usuário Administrativo do Tivoli Access Manager para Domino . . . . . . . . . . . . 42
Capítulo 3. Instalando o Tivoli Access Manager no AIX . . . . . . . . . . . . . . . 43
Utilizando a Instalação Fácil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Utilizando a Instalação Nativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Instalando o IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . 45
Instalando o IBM Directory Client . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Instalando e Configurando Componentes do Tivoli Access Manager . . . . . . . . . . . . . . . 46
Instalando o JRE Específico da Plataforma . . . . . . . . . . . . . . . . . . . . . . . . 47
Instalando e Configurando o Java Runtime Environment do Tivoli Access Manager . . . . . . . . . . 47
Instalando e Configurando um Sistema Web Portal Manager . . . . . . . . . . . . . . . . . . 48
Instalando o IBM WebSphere Application Server, Advanced Single Server . . . . . . . . . . . . 49
Instalando o IBM WebSphere Application Server FixPack 3 . . . . . . . . . . . . . . . . . 50
Desinstalando o Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Desconfigurando os Componentes do Tivoli Access Manager . . . . . . . . . . . . . . . . . . 51
Removendo Pacotes do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 51
Capítulo 4. Instalando o Tivoli Access Manager no HP-UX . . . . . . . . . . . . . 53
Utilizando a Instalação Fácil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Utilizando a Instalação Nativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Instalando o IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . 55
Instalando o IBM Directory Client . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Instalando e Configurando Componentes do Tivoli Access Manager . . . . . . . . . . . . . . . 56
Instalando o JRE Específico da Plataforma . . . . . . . . . . . . . . . . . . . . . . . . 57
Instalando e Configurando o Java Runtime Environment do Tivoli Access Manager . . . . . . . . . . 57
Desinstalandoo Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Desconfigurando os Componentes do Tivoli Access Manager . . . . . . . . . . . . . . . . . . 58
Removendo Pacotes do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 58
Capítulo 5. Instalando o Tivoli Access Manager no Linux . . . . . . . . . . . . . . 61
Utilizando a Instalação Fácil (Somente no Red Hat Linux) . . . . . . . . . . . . . . . . . . . . 61
Utilizando a Instalação Nativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Instalando o IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . 63
Instalando o IBM Directory Client . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Instalando e Configurando Componentes do Tivoli Access Manager . . . . . . . . . . . . . . . 65
Instalando o JRE Específico da Plataforma . . . . . . . . . . . . . . . . . . . . . . . . 66
iv IBM Tivoli Access Manager: Guia de Instalação Base
Instalando e Configurando o Java Runtime Environment do Tivoli Access Manager (Somente para Red Hat
Linux) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Desinstalando o Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Desconfigurando os Componentes do Tivoli Access Manager . . . . . . . . . . . . . . . . . . 68
Removendo Pacotes do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 68
Capítulo 6. Instalando o Tivoli Access Manager no Solaris . . . . . . . . . . . . . 71
Utilizando a Instalação Fácil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Utilizando a Instalação Nativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Instalando o IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . 73
Instalando o IBM Directory Client . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Instalando e Configurando Componentes do Tivoli Access Manager . . . . . . . . . . . . . . . 74
Instalando o JRE Específico da Plataforma . . . . . . . . . . . . . . . . . . . . . . . . 75
Instalando e Configurando o Java Runtime Environment do Tivoli Access Manager . . . . . . . . . . 75
Instalando e Configurando um Sistema Web Portal Manager . . . . . . . . . . . . . . . . . . 76
Instalando o IBM WebSphere Application Server, Advanced Single Server . . . . . . . . . . . . 77
Instalando o IBM WebSphere Application Server FixPack 3 . . . . . . . . . . . . . . . . . 78
Desinstalando o Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Desconfigurando os Componentes do Tivoli Access Manager . . . . . . . . . . . . . . . . . . 79
Removendo Pacotes do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 80
Capítulo 7. Instalando o Tivoli Access Manager no Windows . . . . . . . . . . . . 81
Utilizando a Instalação Fácil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Utilizando a Instalação Nativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Instalando o IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . 83
Instalando o IBM Directory Client . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Instalando e Configurando Componentes do Tivoli Access Manager . . . . . . . . . . . . . . . 85
Instalando o JRE Específico da Plataforma . . . . . . . . . . . . . . . . . . . . . . . . 86
Instalando e Configurando o Java Runtime Environment do Tivoli Access Manager . . . . . . . . . . 87
Instalando e Configurando um Sistema Web Portal Manager . . . . . . . . . . . . . . . . . . 88
Instalando o IBM WebSphere Application Server, Advanced Single Server . . . . . . . . . . . . 89
Instalando o IBM WebSphere Application Server FixPack 3 . . . . . . . . . . . . . . . . . 91
Desinstalando o Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Desconfigurando os Componentes do Tivoli Access Manager . . . . . . . . . . . . . . . . . . 92
Removendo Pacotes do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 93
Capítulo 8. Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1 . . . . . . . . 95
Considerações sobre Upgrade para Registros LDAP . . . . . . . . . . . . . . . . . . . . . . 95
Fazendo Upgrade do Sistema do Servidor de Política . . . . . . . . . . . . . . . . . . . . . 96
Fazendo Upgrade do Servidor de Política Utilizando Dois Sistemas . . . . . . . . . . . . . . . . 97
Fazendo Upgrade de Outros Sistemas do Tivoli Access Manager . . . . . . . . . . . . . . . . . 99
Removendo o Servidor de Política Existente . . . . . . . . . . . . . . . . . . . . . . . . 101
Restaurando um Sistema para o Nível Anterior . . . . . . . . . . . . . . . . . . . . . . . 101
Capítulo 9. Casos de Instalação Fácil do UNIX . . . . . . . . . . . . . . . . . . 103
Configurando um Sistema do IBM Directory Server . . . . . . . . . . . . . . . . . . . . . 103
Configurando o Sistema do Servidor de Política do Tivoli Access Manager . . . . . . . . . . . . . . 108
Configurando um Sistema de Tempo de Execução do Tivoli Access Manager . . . . . . . . . . . . . 115
Configurando um Sistema Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . 120
Capítulo 10. Casos de Instalação Fácil do Windows . . . . . . . . . . . . . . . . 127
Configurando o Sistema do IBM Directory Server . . . . . . . . . . . . . . . . . . . . . . 127
Configurando o Sistema do Servidor de Política do Tivoli Access Manager . . . . . . . . . . . . . . 133
Configurando um Sistema de Tempo de Execução do Tivoli Access Manager . . . . . . . . . . . . . 141
Configurando um Sistema Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . 144
Capítulo 11. Utilizando Arquivos de Resposta de Instalação Fácil . . . . . . . . . . 153
Criando um Arquivo de Resposta . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Instalando Componentes Utilizando um Arquivo de Resposta . . . . . . . . . . . . . . . . . . 154
Índice v
Exemplos de Arquivos de Resposta (ezinstall) . . . . . . . . . . . . . . . . . . . . . . . 154
Exemplo para UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Exemplo para Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Exemplos de Arquivos de Resposta (install_pdrte) . . . . . . . . . . . . . . . . . . . . . . 156
Exemplo para UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Exemplo para Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Opções do Arquivo de Resposta . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Opções de Arquivo de Resposta do UNIX . . . . . . . . . . . . . . . . . . . . . . . . 157
Opções de Arquivo de Resposta do Windows . . . . . . . . . . . . . . . . . . . . . . 158
Apêndice A. Ativando a Secure Sockets Layer . . . . . . . . . . . . . . . . . . 161
Configurando o IBM Directory Server para Acesso SSL . . . . . . . . . . . . . . . . . . . . 161
Criando o Arquivo de Banco de Dados de Chaves e o Certificado . . . . . . . . . . . . . . . . 162
Obtendo um Certificado Pessoal de uma Autoridade de Certificação . . . . . . . . . . . . . . . 163
Criando e Extraindo um Certificado Auto-assinado . . . . . . . . . . . . . . . . . . . . . 164
Ativando o Acesso SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Configurando o iPlanet Directory Server para Acesso SSL . . . . . . . . . . . . . . . . . . . 167
Obtendo um Certificado de Servidor . . . . . . . . . . . . . . . . . . . . . . . . . 167
Instalando o Certificado do Servidor . . . . . . . . . . . . . . . . . . . . . . . . . 168
Ativando o Acesso SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Configurando os Servidores LDAP OS/390 e z/OS LDAP para Acesso SSL . . . . . . . . . . . . . 170
Configurando as Opções de Segurança . . . . . . . . . . . . . . . . . . . . . . . . . 170
Criando um Arquivo de Banco de Dados de Chaves . . . . . . . . . . . . . . . . . . . . 171
Configurando o Novell eDirectory Server para Acesso SSL . . . . . . . . . . . . . . . . . . . 172
Criando um Objeto de Autoridade de Certificação Organizacional . . . . . . . . . . . . . . . . 172
Criando um Certificado Auto-assinado . . . . . . . . . . . . . . . . . . . . . . . . . 173
Criando um Certificado de Servidor para o Servidor LDAP . . . . . . . . . . . . . . . . . . 174
Ativando SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Incluindo o Certificado Auto-assinado no Arquivo de Chaves IBM . . . . . . . . . . . . . . . 175
Configurando o IBM Directory Client para Acesso SSL . . . . . . . . . . . . . . . . . . . . 175
Criando um Arquivo de Banco de Dados de Chaves . . . . . . . . . . . . . . . . . . . . 175
Incluindo um Certificado de Assinante . . . . . . . . . . . . . . . . . . . . . . . . . 177
Testando o Acesso SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Configurando a Autenticação de Servidor e Cliente LDAP . . . . . . . . . . . . . . . . . . . 178
Criando um Arquivo de Banco de Dados de Chaves . . . . . . . . . . . . . . . . . . . . 178
Obtendo um Certificado Pessoal de uma Autoridade de Certificação . . . . . . . . . . . . . . . 179
Criando e Extraindo um Certificado Auto-assinado . . . . . . . . . . . . . . . . . . . . . 180
Incluindo um Certificado de Assinante . . . . . . . . . . . . . . . . . . . . . . . . . 181
Testando o Acesso SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Ativando SSL para Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Criando o Arquivo de Conjunto de Chaves SSL . . . . . . . . . . . . . . . . . . . . . . 183
Ativando o Acesso SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Apêndice B. Referência de Configuração do Tivoli Access Manager . . . . . . . . . 185
Opções de Configuração Nativa UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Tempo de Execução do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 185
Servidor de Política do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 185
Servidor de Autorização do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . 187
Opções de Configuração Nativa do Windows . . . . . . . . . . . . . . . . . . . . . . . 188
Tempo de Execução do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 188
Registro de LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Lotus Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Servidor de Política do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 191
Servidor de Autorização do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . 191
Portas Padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Apêndice C. Referência de Configuração do OS/390 e z/OS . . . . . . . . . . . . 193
Configuração LDAP de Amostra . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Script de Amostra da Área de Tabela e do Banco de Dados DB2 para SPUFI . . . . . . . . . . . . . 194
vi IBM Tivoli Access Manager: Guia de Instalação Base
Script de Amostra do Índice DB2 para SPUFI . . . . . . . . . . . . . . . . . . . . . . . . 200
Job Batch de Ligação CLI de Amostra . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Arquivo de Inicialização de CLI de Amostra . . . . . . . . . . . . . . . . . . . . . . . . 203
Apêndice D. Critérios Comuns . . . . . . . . . . . . . . . . . . . . . . . . . 205
Critério de Segurança para Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 205
Critério de Segurança Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Critério de Segurança do Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Critério de Rede do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . 206
Suposições sobre o Comportamento de Usuários . . . . . . . . . . . . . . . . . . . . . 207
Instalação e Configuração Compatíveis com a Avaliação CC . . . . . . . . . . . . . . . . . . . 208
Instalando o Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Protegendo o WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Configurando Mecanismos de Autenticação do WebSEAL . . . . . . . . . . . . . . . . . . 209
Selecionando os Conjuntos de Codificação Suportados . . . . . . . . . . . . . . . . . . . 209
Configurando a Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Outras Funções do WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Critério de Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Critério de Senha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Gerenciamento de Chave Criptográfica . . . . . . . . . . . . . . . . . . . . . . . . . 211
Arquivos de Configuração Compatíveis com CC . . . . . . . . . . . . . . . . . . . . . . . 211
Apêndice E. Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Licença do Kit de Ferramentas do XML Parser . . . . . . . . . . . . . . . . . . . . . . . 215
Licença do Módulo de Autenticação que Pode Ser Conectado . . . . . . . . . . . . . . . . . . 215
Servlet do Apache Axis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Conjunto de Análise de Opções da Linha de Comandos JArgs para Java . . . . . . . . . . . . . . 217
Implementação do Java DOM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
Marcas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Glossário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Índice Remissivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Índice vii
viii IBM Tivoli Access Manager: Guia de Instalação Base
Prefácio
O IBM® Tivoli® Access Manager (Tivoli Access Manager) é o software base
necessário para executar aplicativos no conjunto de produtos do IBM Tivoli Access
Manager. Ele permite a integração de aplicativos do IBM Tivoli Access Manager
que fornecem uma ampla faixa de soluções de autorização e gerenciamento.
Vendidos como uma solução integrada, esses produtos fornecem uma solução de
gerenciamento de controle de acesso que centraliza o critério de segurança de rede
e aplicativo para aplicativos de e-business.
Nota: IBM Tivoli Access Manager é o novo nome do software liberado
anteriormente, denominado Tivoli SecureWay® Policy Director. Além disso,
para os usuários familiarizados com o software e a documentação do Tivoli
SecureWay Policy Director, o servidor de gerenciamento é agora referido como
o servidor de política.
O IBM Tivoli Access Manager Base - Guia de Instalação explica como instalar,
configurar e fazer upgrade do software base do Tivoli Access Manager.
Quem Deve Ler este Manual
Este guia é para administradores do sistema responsáveis pela instalação e
implementação do IBM Tivoli Access Manager.
Os leitores devem estar familiarizados com o seguinte:
v Sistemas operacionais de PC e UNIX®
v Arquitetura e conceitos de banco de dados
v Gerenciamento de segurança
v Protocolos de Internet, incluindo HTTP, TCP/IP, FTP (File Transfer Protocol) e
Telnet
v LDAP (Lightweight Directory Access Protocol) e serviços de diretório
v Um registro suportado
v Autenticação e autorização
Se você estiver ativando a comunicação SSL (Secure Sockets Layer), também deverá
estar familiarizado com o protocolo SSL, troca de chaves (pública e privada),
assinaturas digitais, algoritmos criptográficos e autoridades de certificação.
O Que Este Manual Contém
Este guia contém as seguintes seções:
v Capítulo 1, “Visão Geral da Instalação do Tivoli Access Manager”, na página 1
Descreve os componentes do Tivoli Access Manager, explica processos de
instalação fáceis e nativos e indica as etapas necessárias para configurar um
domínio seguro do Tivoli Access Manager. Esse capítulo também mostra como
instalar pacotes de idiomas a fim de ativar o Tivoli Access Manager para
ambientes que não sejam em inglês.
v Capítulo 2, “Configurando Registros para o Tivoli Access Manager”, na página
19
© Copyright IBM Corp. 2001, 2003 ix
Descreve como definir e configurar registros suportados para uso com o Tivoli
Access Manager.
v Capítulo 3, “Instalando o Tivoli Access Manager no AIX”, na página 43
v Capítulo 4, “Instalando o Tivoli Access Manager no HP-UX”, na página 53
v Capítulo 5, “Instalando o Tivoli Access Manager no Linux”, na página 61
v Capítulo 6, “Instalando o Tivoli Access Manager no Solaris”, na página 71
v Capítulo 7, “Instalando o Tivoli Access Manager no Windows”, na página 81
Fornece instruções sobre como instalar e configurar os componentes do Tivoli
Access Manager, utilizando scripts de instalação fácil ou utilitários do sistema
operacional nativo. Também fornece instruções para o cancelamento da
configuração e a remoção dos componentes do Tivoli Access Manager.
v Capítulo 8, “Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1”, na
página 95
Explica como fazer upgrade de um domínio seguro do Tivoli Access Manager,
Versão 3.8 ou Versão 3.9 existente para o IBM Tivoli Tivoli Access Manager,
Versão 4.1.
v Capítulo 9, “Casos de Instalação Fácil do UNIX”, na página 103
Fornece instruções passo a passo com ilustrações de como instalar e configurar
os sistemas Tivoli Access Manager utilizando arquivos de instalação fácil em
sistemas UNIX.
v Capítulo 10, “Casos de Instalação Fácil do Windows”, na página 127
Fornece instruções passo a passo com ilustrações de como instalar e configurar
sistemas Tivoli Access Manager utilizando arquivos de instalação fácil em
sistemas Windows.
v Capítulo 11, “Utilizando Arquivos de Resposta de Instalação Fácil”, na página
153
Explica como utilizar um arquivo de resposta para efetuar uma operação
silenciosa e não-assistida dos componentes do Tivoli Access Manager aos quais
os scripts de instalação fácil oferecem suporte.
v Apêndice A, “Ativando a Secure Sockets Layer”, na página 161
Explica como ativar a criptografia de dados SSL para comunicação segura entre
o servidor LDAP e clientes IBM Directory. Inclui também instruções para a
ativação de SSL entre um servidor Lotus Domino e clientes IBM Directory.
v Apêndice B, “Referência de Configuração do Tivoli Access Manager”, na página
185
Fornece descrições das opções de configuração solicitadas durante a
configuração dos componentes do Tivoli Access Manager usando utilitários de
instalação nativos.
v Apêndice C, “Referência de Configuração do OS/390 e z/OS”, na página 193
Fornece informações de referência para a configuração de um Servidor de
Segurança OS/390 ou z/OS para uso com o Tivoli Access Manager.
v Apêndice D, “Critérios Comuns”, na página 205
v Apêndice E, “Avisos”, na página 213
v “Glossário” na página 221
x IBM Tivoli Access Manager: Guia de Instalação Base
Publicações
A biblioteca do Tivoli Access Manager está organizada nas seguintes categorias:
v “Informações sobre o Release”
v “Informações de Base”
v “Informações sobre o WebSEAL”
v “Informações sobre Segurança na Web”
v “Referências para Desenvolvedores” na página xii
v “Suplementos Técnicos” na página xii
Informações sobre o Release
v IBM Tivoli Access Manager Cartão Leia-me Primeiro
G517-7642-00 (am41_readme.pdf)
Fornece informações para instalar e começar a utilizar o Tivoli Access Manager.
v IBM Tivoli Access Manager - Notas sobre o Release
S517-7643-00 (am41_relnotes.pdf)
Fornece as últimas informações, como limitações de software, soluções e
atualizações de software.
Informações de Base
v IBM Tivoli Access Manager Guia de Instalação BaseS517-7644-01 (am41_install.pdf)
Explica como instalar, configurar e fazer upgrade do software do Tivoli Access
Manager e da interface do Web Portal Manager.
v IBM Tivoli Access Manager Base Administrator’s Guide
SC32-1132-01 (am41_admin.pdf)
Descreve os conceitos e procedimentos para utilizar os serviços do Tivoli Access
Manager. Fornece instruções para a execução de tarefas a partir da interface do
Web Portal Manager e utilizando o comando pdadmin.
Informações sobre o WebSEAL
v IBM Tivoli Access Manager WebSEAL - Guia de Instalação
S517-7645-01 (amweb41_install.pdf)
Fornece instruções para instalação, configuração e remoção para o servidor
WebSEAL e o WebSEAL Application Development Kit.
v IBM Tivoli Access Manager WebSEAL Administrator’s Guide
SC32-1134-01 (amweb41_admin.pdf)
Fornece informações sobre material de segundo plano, sobre procedimentos
administrativos e sobre referência técnica para utilizar o WebSEAL para
gerenciar os recursos de seu domínio Web seguro.
Informações sobre Segurança na Web
v IBM Tivoli Access Manager para WebSphere Application Server - Guia do Usuário
S517-7646-01 (amwas41_user.pdf)
Fornece instruções de instalação, remoção e administração para o Tivoli Access
Manager para IBM WebSphere® Application Server.
v IBM Tivoli Access Manager para WebLogic Server - Guia do Usuário
S517-7647-01 (amwls41_user.pdf)
Prefácio xi
Fornece instruções de instalação, remoção e administração para o Tivoli Access
Manager para BEA WebLogic Server.
v IBM Tivoli Access Manager Plug-in for Edge Server User’s Guide
SC32-1138-01 (amedge41_user.pdf)
Descreve como instalar, configurar e administrar o plug-in para o aplicativo IBM
WebSphere Edge Server.
v IBM Tivoli Access Manager Plug-in para Web Servers User’s GuideSC32-1139-01 (amws41_user.pdf)
Fornece instruções de instalação, procedimentos de administração e informações
de referência técnica para proteger o domínio da Web utilizando o plug-in para
servidores da Web.
Referências para Desenvolvedores
v IBM Tivoli Access Manager Authorization C API Developer’s ReferenceSC32-1140-01 (am41_authC_devref.pdf)
Fornece material de referência que descreve como utilizar a API C de
autorização do Tivoli Access Manager e a interface de plug-in do serviço do
Access Manager para incluir segurança do Tivoli Access Manager nos
aplicativos.
v IBM Tivoli Access Manager Authorization Java Classes Developer’s Reference
SC32-1141-01 (am41_authJ_devref.pdf)
Fornece informações de referência para o uso da implementação da linguagem
Java™ da API de autorização para permitir que um aplicativo utilize segurança
do Tivoli Access Manager.
v IBM Tivoli Access Manager Administration C API Developer’s ReferenceSC32-1142-01 (am41_adminC_devref.pdf)
Fornece informações de referência sobre o uso da API de administração para
permitir que um aplicativo execute tarefas administrativas do Tivoli Access
Manager. Esse documento descreve a implementação C da API de administração.
v IBM Tivoli Access Manager Administration Java Classes Developer’s Reference
SC32-1143-01 (am41_adminJ_devref.pdf)
Fornece informações de referência para o uso da implementação da linguagem
Java da API de administração para permitir que um aplicativo execute tarefas
administrativas do Tivoli Access Manager.
v IBM Tivoli Access Manager WebSEAL Developer’s Reference
SC32-1135-01 (amweb41_devref.pdf)
Fornece informações sobre administração e programação para o CDAS
(Cross-domain Authentication Service), o CDMF (Cross-domain Mapping
Framework) e para o Password Strength Module.
Suplementos Técnicos
v IBM Tivoli Access Manager Command ReferenceGC32-1107-01 (am41_cmdref.pdf)
Fornece informações sobre os utilitários da linha de comandos e scripts
fornecidos com o Tivoli Access Manager.
v IBM Tivoli Access Manager Error Message ReferenceSC32-1144-01 (am41_error_ref.pdf)
Fornece explicações e as ações recomendadas para as mensagens produzidas
pelo Tivoli Access Manager.
v IBM Tivoli Access Manager Problem Determination GuideGC32-1106-01 (am41_pdg.pdf)
xii IBM Tivoli Access Manager: Guia de Instalação Base
Fornece informações sobre determinação de problemas par o Tivoli Access
Manager.
v IBM Tivoli Access Manager Performance Tuning Guide
SC32-1145-01 (am41_perftune.pdf)
Fornece informações sobre ajuste de desempenho para um ambiente que consiste
no Tivoli Access Manager com o IBM Directory Server definido como registro do
usuário.
Publicações Relacionadas
Esta seção indica publicações relacionadas à biblioteca do Tivoli Access Manager.
O Tivoli Software Library fornece uma variedade de publicações Tivoli como
documentos técnicos, planilhas de dados, demonstrações, livros de registros e
cartas de anúncio. A Tivoli Software Library está disponível na Web em:
http://www.ibm.com/software/tivoli/library/
O Tivoli Software Glossary inclui definições para vários termos técnicos relacionados
ao software Tivoli. O Tivoli Software Glossary está disponível, somente em Inglês, a
partir do link Glossary, ao lado esquerdo da página da Web do Tivoli Software
Library Libraryhttp://www.ibm.com/software/tivoli/library/
IBM Global Security Toolkit
O Tivoli Access Manager oferece criptografia de dados com o uso do IBM GSKit
(Global Security Toolkit). O GSKit está incluído no CD IBM Tivoli Access Manager
Base para sua plataforma específica.
O pacote GSKit instala o utilitário de gerenciamento de chaves iKeyman, o
gsk5ikm, que permite a criação de bancos de dados de chaves, pares de chaves
pública-privada e solicitações de certificado. O documento a seguir está disponível
no site do Tivoli Information Center, na mesma seção que a documentação do
produto IBM Tivoli Access Manager:
v Secure Sockets Layer Introduction e iKeyman User’s Guide
(gskikm5c.pdf)
Fornece informações para administradores de segurança de rede ou de sistema
que planejam ativar comunicação SSL em seu ambiente do Tivoli Access
Manager.
IBM DB2 Universal Database
O IBM DB2® Universal Database™ é obrigatório quando os servidores LDAP IBM
Directory Server, z/OS™ e OS/390® forem instalados. O DB2 é fornecido nos CDs
do produto para as seguintes plataformas de sistema operacional:
v IBM AIX®
v Microsoft™ Windows™
v Sun Solaris Operating Environment
As informações sobre o DB2 estão disponíveis em:
http://www.ibm.com/software/data/db2/
IBM Directory Server
O IBM Directory Server, Versão 4.1, está incluído no CD IBM Tivoli Access
Manager Base para todas as plataformas, exceto o Linux para zSeries™. Você pode
obter o software IBM Directory Server software para Linux para S/390 em:
Prefácio xiii
http://www.ibm.com/software/network/directory/server/download/
Para utilizar o IBM Directory Server como registro do usuário, consulte as
informações fornecidas em:
http://www.ibm.com/software/network/directory/library/
IBM WebSphere Application Server
O IBM WebSphere Application Server, Advanced Single Server Edition 4.0.3, está
incluído nos CDs do Web Portal Manager e é instalado com a interface do Web
Portal Manager. Para obter informações sobre o IBM WebSphere Application
Server, consulte:
http://www.ibm.com/software/webservers/appserv/infocenter.html
IBM Tivoli Access Manager para Business Integration
O IBM Tivoli Access Manager para Business Integration, disponível como um
produto solicitado separadamente, fornece uma solução de segurança para
mensagens do IBM MQSeries®, Versão 5.2 e o IBM WebSphere® MQ para Versão
5.3. O IBM Tivoli Access Manager para Business Integration permite que os
aplicativos MQSeries do WebSphere enviem dados com privacidade e integridade,
utilizando chaves associadas a aplicativos de envio e recepção. Assim como o
WebSEAL e o IBM Tivoli Access Manager para Sistemas Operacionais, o IBM Tivoli
Access Manager para Business Integration, é um dos gerenciadores de recursos que
utilizam os serviços de autorização do IBM Tivoli Access Manager para e-business.
Os seguintes documentos associados ao IBM Tivoli Access Manager para Business
Integration Versão 4.1 estão disponíveis no site do Tivoli Information Center:
v IBM Tivoli Access Manager for Business Integration Administrator’s Guide
(SC23-4831-00)
v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-00)
v IBM Tivoli Access Manager for Business Integration Read Me First (GI11-0958-00)
IBM Tivoli Access Manager para Sistemas Operacionais
IBM Tivoli Access Manager para Sistemas Operacionais, disponível como um
produto solicitado separadamente, fornece uma camada de aplicação do critério de
autorização em sistemas UNIX, além da fornecida pelo sistema operacional nativo.
O IBM Tivoli Access Manager para Sistemas Operacionais, assim como o WebSEAL
e o IBM Tivoli Access Manager para Business Integration, é um dos gerenciadores
de recursos que utilizam serviços de autorização do IBM Tivoli Access Manager
para e-business.
Os seguintes documentos associados ao IBM Tivoli Access Manager para Sistemas
Operacionais Versão 4.1 estão disponíveis no site do Tivoli Information Center:
v IBM Tivoli Access Manager para Sistemas Operacionais - Guia de Instalação
(S517-7609-00)
v IBM Tivoli Access Manager for Operating Systems Administration Guide
(SC23-4827-00)
v IBM Tivoli Access Manager for Operating Systems Problem Determination Guide
(SC23-4828-00)
v IBM Tivoli Access Manager para Sistemas Operacionais: Notas sobre o Release
(G517-7610-00)
v IBM Tivoli Access Manager for Operating Systems Read Me First (GI11-0949-00)
xiv IBM Tivoli Access Manager: Guia de Instalação Base
Acessando Publicações On-line
As publicações para esse produto estão disponíveis on-line em formato PDF
(Portable Document Format) ou HTML (Hypertext Markup Language), ou ambos,
no Tivoli Software Library: http://www.ibm.com/software/tivoli/library
Para localizar publicações de produto na biblioteca, clique no link Product
manuals à esquerda da página Library. Em seguida, localize e clique no nome do
produto, na página do Tivoli Software Information Center.
As publicações de produto incluem notas sobre o release, guias de instalação, guias
de usuário, guias de administrador e referências de desenvolvedor.
Nota: Para assegurar a impressão adequada de publicações PDF, selecione a caixa
de opções Fit to page (Ajustar à Página) na janela Adobe Acrobat Print (que
está disponível quando você clica File →Print (Arquivo →Imprimir)).
Accessibilidade
Os recursos de acessibilidade ajudam usuários que possuem alguma limitação
física, como mobilidade restrita ou visão limitada, a utilizar os produtos de
software com êxito. Com este produto, é possível utilizar tecnologias de assistência
para ouvir e navegar a interface. Você também pode usar o teclado em lugar do
mouse para operar todos os recursos da interface gráfica com o usuário.
Entrando em Contato com o Suporte ao Software
Antes de entrar em contato com o suporte ao IBM Tivoli Software com um
problema, consulte o Web site de suporte ao IBM Tivoli Software em:
http://www.ibm.com/software/sysmgmt/products/support/
Se precisar de ajuda, entre em contato com o suporte a software, utilizando os
métodos descritos no IBM Software Support Guide, no seguinte Web site:
http://techsupport.services.ibm.com/guides/handbook.html
O guia fornece as seguintes informações:
v Requisitos de registro e elegibilidade para receber suporte
v Números de telefone e endereços de e-mail, dependendo do país no qual você se
encontra
v Uma lista de informações que você deve reunir antes de entrar em contato com
o suporte ao cliente
Convenções Utilizadas neste Manual
Este guia utiliza várias convenções para termos e ações especiais e para comandos
e caminhos que dependem do sistema operacional.
Convenções Tipográficas
As seguintes convenções tipográficas são utilizadas nesta referência:
Negrito
Comandos em letra minúscula ou mistura de letras maiúsculas e
minúsculas que são difíceis de distinguir no texto, palavras-chave,
parâmetros, opções, nomes de classes Java e objetos ao redor aparecem em
negrito.
Prefácio xv
Itálico Variáveis, títulos de publicações e palavras e frases especiais que são
enfatizadas aparecem em itálico.
Espaçamento fixo
Exemplos de códigos, linhas de comandos, saída de tela, nomes do arquivo
e diretório que são difíceis de distinguir no texto, mensagens do sistema,
texto que o usuário deve digitar e valores para argumentos ou opções de
comando ao redor aparecem em espaçamento fixo.
Diferenças do Sistema Operacional
Este manual utiliza a convenção UNIX para especificar variáveis de ambiente e
para notação do diretório. Ao utilizar a linha de comandos do Windows, substitua
$variable por %variable% para variáveis de ambiente e substitua cada barra (/) por
uma barra invertida (\) em caminhos de diretório. Quando você utiliza a shell
bash em um sistema Windows, pode utilizar as convenções UNIX.
xvi IBM Tivoli Access Manager: Guia de Instalação Base
Capítulo 1. Visão Geral da Instalação do Tivoli Access
Manager
Antes de começar a instalação do IBM Tivoli Access Manager, você deve se
familiarizar com seus componentes e opções de instalação. Este capítulo inclui as
seguintes seções:
v “Planejando a Implementação”
v “Visão Geral de Domínio Seguro” na página 2
v “Componentes de Instalação” na página 3
v “Processo de Instalação” na página 6
v “Internacionalização” na página 10
Atenção
Consulte o IBM Tivoli Access Manager - Notas sobre o Release para obter
informações sobre requisitos do sistema, plataformas suportadas e produtos
de pré-requisito.
Planejando a Implementação
Antes de implementar uma solução específica do Tivoli Access Manager, você deve
determinar as capacidades de gerenciamento e segurança específicas que são
necessárias à sua rede.
A primeira etapa no planejamento da implementação de um ambiente de
segurança do Tivoli Access Manager é definir os requisitos de segurança do seu
ambiente de computação. Definir os requisitos de segurança significa determinar os
critérios comerciais que devem ser aplicados a usuários, programas e dados. Isso
inclui a definição do seguinte:
v Objetos a serem protegidos
v Ações permitidas em cada objeto
v Usuários com permissão para executar as ações
Reforçar o critério de segurança requer compreensão do fluxo de acesso solicitado
através de sua topologia de rede. Isto inclui identificar funções apropriadas e
localizações de firewalls, roteadores e sub-redes. A implementação de um ambiente
de segurança do Tivoli Access Manager (chamado de domínio seguro) também exige
a identificação dos pontos favoráveis dentro da rede para instalar o software que
avalia pedidos de acesso de usuário e concede ou nega ou acesso solicitado.
A implementação de um critério de segurança requer o conhecimento da
quantidade de usuários, dados, e rendimento que sua rede deve acomodar.
Também é necessário avaliar as características de desempenho, escalabilidade e a
necessidade de recursos de tolerância a falhas. A integração de software, bancos de
dados e aplicativos legados com o software Tivoli Access Manager também deve
ser considerada.
© Copyright IBM Corp. 2001, 2003 1
Depois que você tiver um entendimento dos recursos a serem implementados, será
possível decidir quais componentes e aplicativos do Tivoli Access Manager podem
ser combinados para implementar melhor a política de segurança.
Para consultar uma documentação útil para o planejamento e casos de negócios,
consulte os seguintes sites:
www.ibm.com/redbooks
http://www-3.ibm.com/software/sysmgmt/products/
support/Field_Guides_Technical.html
Visão Geral de Domínio Seguro
O ambiente de computação no qual o Tivoli Access Manager aplica as políticas de
segurança para autenticação, autorização e controle de acesso é chamado de
domínio seguro. Vinculados ao domínio seguro há um serviço de autorização e um
registro, que consistem em um banco de dados de autorização e um mecanismo de
autorização. Esses componentes principais devem existir para que o Tivoli Access
Manager execute operações fundamentais, como permitir ou negar acesso de
usuários a objetos protegidos (recursos). Todos os outros serviços e componentes
do Tivoli Access Manager são construídos sobre essa base.
A Figura 1 representa os sistemas em um domínio seguro típico. Para fins
ilustrativos, essa figura mostra um único sistema para cada tipo de instalação —
registro do usuário, servidor de política, servidor de autorização e assim por
diante. Lembre-se que você pode implementar o Tivoli Access Manager em vários
sistemas, como mostrado, ou então instalar o software necessário para configurar e
utilizar um domínio seguro em um sistema independente. A configuração de um
sistema único é útil ao criar o protótipo de uma implementação ou para
desenvolver e testar um aplicativo. Depois de estabelecer o ambiente, você pode
configurar sistemas adicionais no domínio seguro existente, como um cliente de
tempo de execução ou um sistema de desenvolvimento de aplicativos.
Figura 1. Exemplo de Sistemas em um Domínio Seguro
Planejando Requisitos de Segurança
2 IBM Tivoli Access Manager: Guia de Instalação Base
A Tabela 1 relaciona os componentes obrigatórios e opcionais dos sistemas Tivoli
Access Manager ilustrados na Figura 1 na página 2. Para descrições desses
componentes, consulte “Componentes de Instalação”.
Tabela 1. Componentes do Sistema Tivoli Access Manager
Sistema Componentes Obrigatórios
Tivoli Access Managerservidor de critério
v IBM Global Security Toolkit
v IBM Directory Client *
v Tempo de execução do Tivoli Access Manager
v Servidor de critério do Tivoli Access Manager
Tivoli Access Managersistema de tempo de execução
v IBM Global Security Toolkit
v IBM Directory Client *
v Tempo de execução do Tivoli Access Manager
Tivoli Access Managersistema de desenvolvimento
v IBM Global Security Toolkit
v IBM Directory Client *
v Tempo de execução do Tivoli Access Manager
v Application Development Kit do Tivoli Access
Manager
v Tivoli Access Manager Java Runtime Environment
Tivoli Access Managerservidor de autorização
v IBM Global Security Toolkit
v IBM Directory Client *
v Tempo de execução do Tivoli Access Manager
v Servidor de autorização do Tivoli Access Manager
Tivoli Access ManagerJava Runtime Environment
v Tivoli Access Manager Java Runtime Environment
v JRE específico da plataforma
Tivoli Access Managersistema Web Portal Manager
v IBM Global Security Toolkit
v IBM Directory Client *
v Tempo de execução do Tivoli Access Manager
v IBM WebSphere Application Server, Advanced Single
Server 4.0 e FixPack 3
v Tivoli Access Manager Web Portal Manager
v Tivoli Access Manager Java Runtime Environment
* Se você pretende instalar o Active Directory como registro, o IBM Directory
Client não será obrigatório em sistemas Tivoli Access Manager no domínio seguro.
Componentes de Instalação
Esta seção apresenta os componentes base, que normalmente são comuns a todas
as instalações do Tivoli Access Manager.
Registro do Usuário
O Tivoli Access Manager exige um registro do usuário para oferecer suporte à
operação das suas funções de autorização. O registro fornece um banco de dados
das identidades do usuário conhecidas pelo Tivoli Access Manager. Ele fornece
também uma representação dos grupos nas funções do Tivoli Access Manager que
podem ser associadas aos usuários.
Planejando Requisitos de Segurança
Capítulo 1. Visão Geral da Instalação do Tivoli Access Manager 3
Para obter uma lista de registros suportados, consulte o IBM Tivoli Access Manager -
Notas sobre o Release.
IBM Directory Client
O IBM Directory Client oferece suporte a todos os registros do Tivoli Access
Manager, com exceção do Active Directory. É necessário instalar e configurar esse
cliente em cada sistema que executa o Tivoli Access Manager, com as seguintes
exceções:
v O IBM Directory Client não é obrigatório em sistemas que utilizam o Active
Directory como registro do Tivoli Access Manager.
v O IBM Directory Client não é obrigatório em um sistema Java Runtime
Environment do Tivoli Access Manager.
O IBM Directory Client é enviado com o IBM Directory no CD do IBM Tivoli
Access Manager Base para sua plataforma específica. Este pacote de instalação
inclui duas GUIs (interfaces gráficas com o usuário). A interface de Administração
do Servidor com base na web permite a execução de tarefas do servidor e do
banco de dados para o IBM Directory Server. A DMT (Directory Management Tool)
permite que você procure e edite informações no diretório, como definições de
esquema, árvore de diretórios e entradas de dados. A documentação detalhada
para cada interface está disponível nos sistemas de ajuda on-line.
Nota: Não há suporte à interface de Administração do Servidor com base na Web
no Linux para zSeries.
IBM Global Security Toolkit
O Tivoli Access Manager fornece a criptografia de dados através da utilização do
IBM GSKit (Global Security Toolkit). O pacote GSKit instala o utilitário de
gerenciamento de chaves iKeyman (gsk5ikm), que permite criar bancos de dados
de chaves, pares de chaves pública-privada e pedidos de certificados.
Para obter informações sobre o uso deste utilitário para ativar o SSL, consulte o
Secure Sockets Layer Introduction and iKeyman User’s Guide e o Apêndice A,
“Ativando a Secure Sockets Layer”, na página 161.
Tivoli Access Manager Policy Server
O servidor de política do Tivoli Access Manager, que nas versões anteriores era
denominado servidor de gerenciamento, mantém o banco de dados de autorização
principal para o domínio seguro. Este servidor é a chave para o processamento de
controle de acesso, autenticação e pedidos de autorização. Também atualiza as
réplicas de banco de dados de autorização e mantém informações de localização
sobre outros servidores Tivoli Access Manager no domínio seguro.
Pode haver apenas uma única instância, por vez, do servidor de políticas e seu
banco de dados master de autorização em qualquer domínio seguro. Por motivos
de disponibilidade, é possível configurar um servidor em espera para assumir as
funções do servidor de política no caso de uma falha no sistema.
Authorization Server do Tivoli Access Manager
O Authorization Server efetua offload das decisões de controle de acesso e de
autorização a partir do servidor de políticas. Mantém uma réplica do banco de
dados de critério de autorização e funciona como o avaliador da tomada de
decisões de autorização. Um Authorization Server separado também fornece acesso
Planejando Requisitos de Segurança
4 IBM Tivoli Access Manager: Guia de Instalação Base
ao serviço de autorização para aplicativos de terceiros que utilizam a API de
autorização do Tivoli Access Manager em modo de cache remoto. Esse componente
é opcional.
Java Runtime Environment do Tivoli Access Manager
O Java Runtime Environment do Tivoli Access Manager oferece um ambiente
confiável para desenvolvimento e implementação de aplicativos Java em um
domínio seguro do Tivoli Access Manager. Utilize-o para incluir serviços de
autorização e segurança do Tivoli Access Manager em aplicativos Java novos ou já
existentes. Lembre-se de que antes de instalar esse componente, é necessário
instalar um JRE específico da plataforma.
Ao contrário de outros componentes do Tivoli Access Manager, é necessário
utilizar o comando pdjrtecfg para configurar o Java Runtime Environment do
Tivoli Access Manager, a fim de que o JRE correto seja utilizado no sistema. Você
também pode configurar o Java Runtime Environment do Tivoli Access Manager
para diversos JREs diferentes no mesmo sistema, se desejar.
Observe que para instalar a interface do Web Portal Manager, este componente é
obrigatório. Ele também é obrigatório com o ADK do Tivoli Access Manager se
você for um desenvolvedor que utiliza as classes Java Runtime Environment do
Tivoli Access Manager. Para obter informações adicionais, consulte o IBM Tivoli
Access Manager Administration Java Classes Developer’s Reference e o IBM Tivoli Access
Manager Authorization Java Classes Developer’s Reference.
Tempo de Execução do Tivoli Access Manager
O tempo de execução do Tivoli Access Manager contém bibliotecas de tempo de
execução e arquivos de suporte que os aplicativos podem utilizar para acessar
servidores Tivoli Access Manager.
É necessário instalar o tempo de execução do Tivoli Access Manager ou o Java
Runtime Environment do Tivoli Access Manager em todos os sistemas do domínio
seguro.
Tivoli Access Manager Web Portal Manager
O Web Portal Manager é uma GUI (interface gráfica com o usuário) com base na
Web utilizada para administração do Tivoli Access Manager. Da mesma forma que
a interface da linha de comando pdadmin, essa GUI oferece gerenciamento de
usuários, grupos, funções, permissões, políticas e outras tarefas do Tivoli Access
Manager. Uma das principais vantagens é que essas tarefas podem ser executadas
remotamente, sem a necessidade de qualquer configuração de rede especial.
O Web Portal Manager também inclui um conjunto de serviços de gerenciamento
delegados, que permite à empresa delegar a administração de usuários, a
administração de grupos e funções, a administração de segurança e o fornecimento
de acesso a aplicativos aos participantes (subdomínios) do sistema da empresa.
Esses subdomínios podem delegar adicionalmente o gerenciamento e a
administração para subdomínios confiáveis sob seu controle, suportando a
hierarquia de delegação e gerenciamento de vários níveis com base nas funções.
Esse componente é enviado separadamente no CD do Web Portal Manager do IBM
Tivoli Access Manager e está disponível nas plataformas AIX, Solaris Operating
Environment (daqui em diante chamado de Solaris) e Windows. Esse componente
é opcional.
Planejando Requisitos de Segurança
Capítulo 1. Visão Geral da Instalação do Tivoli Access Manager 5
Tivoli Access Manager Application Development Kit
O ADK proporciona um ambiente de desenvolvimento que permite codificar
aplicativos de terceiros para consultar o Authorization Server para decisões de
autorização. O ADK contém suporte para utilizar as APIs C e classes Java para
funções de autorização e administração. Esse componente é opcional.
Processo de Instalação
Para instalar sistemas ou componentes do Tivoli Access Manager, execute estas
etapas básicas:
1. Planeje a implementação do Tivoli Access Manager. Certifique-se de
compreender os requisitos de segurança dos negócios para os quais o Tivoli
Access Manager está sendo implementado. Para obter mais informações,
consulte “Planejando a Implementação” na página 1.
2. Assegure-se de conhecer e atender a todos os requisitos de software listados no
IBM Tivoli Access Manager - Notas sobre o Release.
3. Decida qual combinação de sistemas Tivoli Access Manager você deseja instalar.
Para obter mais informações, consulte “Visão Geral de Domínio Seguro” na
página 2.
4. Escolha uma opção de instalação indicada na Tabela 2 e siga as instruções.
Tabela 2. Opções de Instalação
Opção Objetivo Instruções
Instalação fácil Utilize-a para acelerar a instalação e a
configuração de um ou mais sistemas
Tivoli Access Manager em um domínio
seguro.
Consulte a seção
“Processo de Instalação
Fácil”.
Instalação nativa Utilize-a para executar a instalação e
configuração dos componentes do Tivoli
Access Manager usando os utilitários do
sistema operacional nativo.
Consulte a seção
“Processo de Instalação
Nativa” na página 7.
Upgrade Utilize-a para fazer upgrade do Tivoli
SecureWay Policy Director, Versão 3.8, ou
do Tivoli Access Manager, Versão 3.9.
Consulte o Capítulo 8,
“Fazendo Upgrade para
o Tivoli Access Manager,
Versão 4.1”, na página
95.
Processo de Instalação Fácil
Para instalar e configurar sistemas Tivoli Access Manager em um domínio seguro
utilizando a instalação fácil, siga estas etapas básicas:
1. Releia a seção ″Utilizando a instalação fácil″ no capítulo de instalação para sua
plataforma específica. Assegure-se de que os programas de instalação fácil
estejam disponíveis para a plataforma na qual você deseja configurar o sistema
Tivoli Access Manager.
2. Para exibir o status e mensagens em um idioma que não seja o inglês (padrão),
é necessário instalar um pacote de suporte ao idioma antes de executar os
scripts de instalação fácil. Para obter instruções, consulte “Instalando os Pacotes
de Suporte ao Idioma” na página 11.
3. Para instalar e configurar um registro suportado para uso com o Tivoli Access
Manager, execute uma das seguintes ações:
v Se já houver um registro que você deseja utilizar para o Tivoli Access
Manager, assegure-se de ter feito upgrade do servidor para a versão à qual
Planejando Requisitos de Segurança
6 IBM Tivoli Access Manager: Guia de Instalação Base
esse release oferece suporte. Depois, siga as instruções no Capítulo 2,
“Configurando Registros para o Tivoli Access Manager”, na página 19 a fim
de configurar o registro para uso com o Tivoli Access Manager.
v Para instalar e configurar o IBM Tivoli Directory Server (enviado com o
Tivoli Access Manager), execute o programa ezinstall_ldap_server. Esse
programa de instalação fácil instala e configura o IBM Tivoli Directory Server
e seus pré-requisitos ao mesmo tempo que ativa o SSL.
v Para instalar um registro suportado que não seja o IBM Tivoli Directory
Server, consulte a documentação do produto. Depois, siga as instruções do
Capítulo 2, “Configurando Registros para o Tivoli Access Manager”, na
página 19, a fim de configurar o registro para uso com o Tivoli Access
Manager.4. Execute o script ezinstall_pdmgr para configurar o sistema servidor de política
do Tivoli Access Manager.
5. Depois de configurar o servidor de políticas, você pode configurar sistemas
adicionais no domínio seguro. Por exemplo, você pode fazer o seguinte:
v Execute o script ezinstall_pdauthADK para instalar um sistema de
desenvolvimento com o ADK (application development kit).
v Execute o script ezinstall_pdacld para configurar um sistema do Servidor de
Autorização.
v Execute o script ezinstall_pdwpm para configurar um sistema de tempo de
execução com a interface do Web Portal Manager.
v Execute o programa InstallShield install_pdrte para instalar um ou mais
sistemas do cliente de tempo de execução.6. Opcional: Se você está desenvolvendo e implementando aplicativos Java em um
domínio seguro do Tivoli Access Manager, pode instalar o Java Runtime
Environment do Tivoli Access Manager. Como a instalação fácil desse
componente não está disponível, siga as instruções da instalação nativa no
capítulo de instalação da sua plataforma específica.
7. Opcional: É recomendado que você ative SSL entre o servidor LDAP e os
clientes IBM Directory. Para obter instruções, consulte o Apêndice A, “Ativando
a Secure Sockets Layer”, na página 161.
Nota: Se você tiver ativado SSL durante a execução do script
ezinstall_ldap_server, pode ignorar esta etapa.
Processo de Instalação Nativa
O procedimento a seguir mostra como instalar e configurar todos os componentes
do Tivoli Access Manager na ordem apropriada. Dependendo dos requisitos de seu
sistema, selecione apenas os componentes que precisam ser instalados. Para obter
uma lista dos componentes necessários para um sistema Tivoli Access Manager
específico, consulte a Tabela 1 na página 3.
Para instalar e configurar componentes do Tivoli Access Manager utilizando a
instalação nativa, execute estas etapas básicas:
1. Para instalar e configurar um registro suportado para uso com o Tivoli Access
Manager, execute uma das seguintes ações:
Nota: Se estiver instalando o IBM Directory Server, consulte instruções de
instalação no IBM Directory Server Version 4.1 Installation and Configuration
Guide for Multiplatforms no endereço:
http://www.ibm.com/software/network/directory/library/
Planejando Requisitos de Segurança
Capítulo 1. Visão Geral da Instalação do Tivoli Access Manager 7
v Para instalar um registro suportado que não seja o IBM Directory Server,
consulte a documentação do produto.
v Se já houver um registro que você deseja utilizar para o Tivoli Access
Manager, assegure-se de ter feito upgrade do servidor para a versão à qual
esse release oferece suporte.
v Para instalar o IBM Directory Server em sistemas AIX, Solaris ou Windows,
execute estas etapas:
a. Instale o IBM Directory Server utilizando os CDs do IBM Tivoli Access
Manager Base para AIX, Solaris ou Windows. Para instalar o IBM
Directory Server, digite um dos seguintes comandos:
– Em sistemas AIX:
installp -c -a -g -X -d /dev/cd0 ldap.server
– Em sistemas Solaris:
pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault \
IBMldaps
– Em sistemas Windows:
/windows/Directory/ismp/setup.exe
b. Instale a correção LDAP do IBM Directory, localizada no diretório raiz
dos CDs do IBM Tivoli Access Manager Base para AIX, Solaris e
Windows. Para aplicar essa correção, digite um dos seguintes comandos:
– Em sistemas AIX e Solaris:
apply_ldap41_patch.sh
– Em sistemas Windows:
apply_ldap41_patch.bat
c. Instale a correção do IBM HTTP Server, localizada no diretório raiz dos
CDs do IBM Tivoli Access Manager Base para AIX, Solaris e Windows.
Para aplicar essa correção, digite um dos seguintes comandos:
– Em sistemas AIX e Solaris:
http_1319_efix2.sh
– Em sistemas Windows:
http_1319_efix2.bat
v Para instalar o IBM Directory Server em sistemas Linux para zSeries, execute
estas etapas:
a. Instale o IBM Directory Server para Linux no zSeries, disponível no
endereço:
http://www.ibm.com/software/network/directory/server/download/
b. Instale o Fixpack 1 para o IBM Directory 4.1. O Fixpack do SO Linux 390
(FP410T-01.tar.Z) está disponível no endereço:
http://www.ibm.com/software/network/directory/
server/support/efixes.html
c. Instale a correção Bulkload para 4.1(.1) Fixpack 1. O Fixpack do SO Linux
390 (P410T-001A.tar.Z) está disponível no endereço:
http://www.ibm.com/software/network/directory/
server/support/efixes.html2. Somente para registros Lotus Domino, é recomendado que você ative a
comunicação SSL entre o servidor Domino e os clientes IBM Directory neste
momento. Para obter instruções, consulte “Ativando SSL para Domino” na
página 183.
3. Proceda de uma das seguintes maneiras:
Planejando Requisitos de Segurança
8 IBM Tivoli Access Manager: Guia de Instalação Base
v Se você tiver instalado o IBM Directory Server no Linux para zSeries, vá para
a etapa 4. É necessário instalar o Tivoli Access Manager antes de configurar o
IBM Directory Server.
v Configure o registro para uso com o Tivoli Access Manager. Para obter
instruções, consulte o Capítulo 2, “Configurando Registros para o Tivoli
Access Manager”, na página 19.4. Configure os sistemas do Tivoli Access Manager em seu domínio seguro.
Dependendo do sistema que você está configurando, instale e configure um ou
mais dos seguintes componentes, nesta ordem.
v IBM GSKit (Global Security Toolkit) — Você deve instalar o GSKit antes de
instalar qualquer outro componente do Tivoli Access Manager. O GSKit é um
pré-requisito do ambiente de tempo de execução do Tivoli Access Manager,
obrigatório em todos os sistemas no domínio seguro.
v IBM Directory Client — Esse cliente é obrigatório em todos os sistemas que
executam o Tivoli Access Manager, exceto o Active Directory.
v Tempo de execução do Tivoli Access Manager
v Servidor de critério do Tivoli Access Manager
v Servidor de autorização do Tivoli Access Manager
v Application Development Kit do Tivoli Access Manager
v Tivoli Access Manager Java Runtime Environment
v Tivoli Access Manager Web Portal Manager
Para obter instruções, consulte o capítulo de instalação da sua plataforma
específica.
Notas
v Para obter uma lista dos componentes necessários para um tipo
específico de configuração do sistema, consulte a Tabela 1 na página 3.
v Você deve instalar e configurar apenas um servidor de políticas para
cada domínio seguro.
v Ao instalar o servidor de política, é necessário instalar primeiro o
ambiente de tempo de execução. No entanto, você não deve configurar
o Runtime Environment até que o servidor de políticas esteja instalado.
5. Se você tiver instalado o IBM Directory no Linux para zSeries, configure o
servidor para uso com o Tivoli Access Manager agora. Para obter instruções,
consulte o “Configurando o IBM Directory Server” na página 20.
6. É recomendado que você ative a comunicação SSL entre o registro e os clientes
IBM Directory. Para obter instruções, consulte o Apêndice A, “Ativando a
Secure Sockets Layer”, na página 161.
Nota: O Active Directory para o Tivoli Access Manager utiliza Kerberos para
criptografia e não SSL.
7. Para exibir o status e mensagens em um idioma que não seja o inglês (padrão),
instale o pacote de suporte ao idioma depois de instalar os componentes do
Tivoli Access Manager, mas antes de configurá-los. Para obter instruções,
consulte o “Instalando os Pacotes de Suporte ao Idioma” na página 11.
Planejando Requisitos de Segurança
Capítulo 1. Visão Geral da Instalação do Tivoli Access Manager 9
Internacionalização
Este capítulo descreve os recursos de internacionalização para um domínio seguro
do Tivoli Access Manager. Esta seção contém os seguintes tópicos:
v “Visão Geral do Suporte ao Idioma”
v “Instalando os Pacotes de Suporte ao Idioma” na página 11
v “Instalando Pacotes de Idioma para o Software de Pré-requisito” na página 12
v “Desinstalando os Pacotes de Suporte ao Idioma” na página 13
v “Variáveis de Ambiente de Locale” na página 15
v “Catálogos de Mensagens” na página 16
v “Suporte à Codificação de Texto (Conjunto de Códigos)” na página 17
Atenção
Assegure-se de ter revisto a seção de internacionalização no IBM Tivoli Access
Manager - Notas sobre o Release para obter informações sobre limitações ou
restrições específicas do idioma.
Visão Geral do Suporte ao Idioma
O software Tivoli Access Manager está traduzido para os seguintes idiomas:
v Português do Brasil
v Tcheco
v Chinês (Simplificado)
v Chinês (Tradicional)
v Francês
v Alemão
v Húngaro
v Italiano
v Japonês
v Coreano
v Polonês
v Espanhol
v Russo
As traduções para esses idiomas são fornecidas como pacotes de suporte ao idioma
no CD de Suporte ao Idioma do IBM Tivoli Access Manager para cada produto. Para
obter suporte a idiomas no Tivoli Access Manager, é necessário instalar o pacote de
suporte ao idioma desse produto.
Lembre-se de que se for utilizada a instalação fácil, é necessário instalar o pacote
de idiomas antes de instalar o Tivoli Access Manager, para que você possa ver as
mensagens de configuração no seu idioma. Na instalação nativa, instale o pacote
de idiomas depois de instalar os componentes do Tivoli Access Manager, mas antes
de configurá-los. Se você não instalar o pacote de suporte ao idioma, o produto
associado exibirá todo o texto em inglês. Observe que cada idioma é uma imagem
de instalação do produto instalável separadamente.
Se o suporte ao idioma para um produto for instalado e você efetuar upgrade do
produto, também deverá instalar o produto de suporte ao idioma correspondente,
Planejando Requisitos de Segurança
10 IBM Tivoli Access Manager: Guia de Instalação Base
se algum existir. Consulte a documentação de upgrade para o produto específico,
para determinar se o suporte ao idioma é requerido. Se você não instalar o suporte
ao idioma após o upgrade, o produto associado poderá exibir alguns campos e
mensagens em inglês.
Instalando os Pacotes de Suporte ao Idioma
Para instalar os pacotes de suporte ao idioma, execute estas etapas:
1. Efetue logon no sistema como raiz ou como usuário Administrativo.
2. Insira ou monte o CD de Suporte ao idioma do IBM Tivoli Access Manager e vá
para o diretório raiz no qual o CD está localizado.
3. Instale o JRE específico da plataforma para o seu sistema operacional. Para
obter instruções, consulte um dos seguintes:
v Em sistemas AIX, consulte a página 47.
v Em sistemas HP-UX, consulte a página 57.
v Em sistemas Red Hat Linux ou Linux para zSeries, consulte a página 66.
v Em sistemas Solaris, consulte a página 75.
v Em sistemas Windows, consulte a página 86.4. Dependendo do produto Tivoli Access Manager que você deseja instalar,
execute um ou mais dos scripts de configuração a seguir.
Atenção
v Os scripts são utilizados para sistemas UNIX; os arquivos batch
(extensão .bat) são utilizados para sistemas Windows.
v Se você emitir um script sem especificar o jre_path, deverá assegurar
que o executável Java faz parte da instrução PATH. Caso contrário,
emita o script, especificando o jre_path da seguinte forma:
package jre_path
Por exemplo, para instalar o pacote de idiomas para o Tivoli Access
Manager Base, digite o seguinte:
install_pdrte_lp /usr/bin
em que /usr/bin é o caminho do JRE.
Os pacotes de idiomas são os seguintes:
install_pdjrte_lp Especifica a instalação dos pacotes de idiomas
para o Java Runtime Environment do Tivoli
Access Manager.
install_pdrte_lp Especifica a instalação dos pacotes de idiomas
para o Tivoli Access Manager Base.
install_pdwas_lp Especifica a instalação dos pacotes de idiomas
para o WebSphere Application Server.
install_pdwbpi_lp Especifica a instalação dos pacotes de idiomas
para o Plug-in do Tivoli Access Manager para
Servidores Web.
install_pdweb_lp Especifica a instalação dos pacotes de idiomas
para o Tivoli Access Manager WebSEAL.
Planejando Requisitos de Segurança
Capítulo 1. Visão Geral da Instalação do Tivoli Access Manager 11
install_pdwls_lp Especifica a instalação dos pacotes de idiomas
para o WebLogic Server.
install_pdwpm_lp Especifica a instalação dos pacotes de idiomas
para o Web Portal Manager do Tivoli Access
Manager.
install_pdwsl_lp Especifica a instalação dos pacotes de idiomas
para o Plug-in do Tivoli Access Manager para
Edge Server.5. Clique em Next (Avançar) para iniciar a instalação. O diálogo do Contrato de
Licença de Software é exibido.
6. Para aceitar o contrato de licença, selecione I accept the terms in the license
agreement (Aceito os termos do contrato de licença) e, em seguida, clique em
Next (Avançar). Um diálogo que mostra uma lista de pacotes de idiomas é
exibido.
7. Selecione os pacotes de idiomas que deseja instalar e clique em Next (Avançar).
Um diálogo que mostra a localização e os recursos dos pacotes de idiomas
selecionados é exibido.
8. Para aceitar os pacotes de idiomas selecionados, clique em Next (Avançar). Os
pacotes de idiomas selecionados serão instalados.
9. Após a instalação com êxito do pacote de idiomas do Tivoli Access Manager,
clique em Finish (Concluir) para fechar o assistente e iniciar novamente o
sistema.
Instalando Pacotes de Idioma para o Software de Pré-requisito
Além de instalar os pacotes de idiomas para o software Tivoli Access Manager, é
necessário instalar pacotes de idiomas para os produtos IBM HTTP Server, IBM
Directory e IBM DB2, somente nos sistemas AIX e Solaris. Esses pacotes de
idiomas também são fornecidos no CD de Suporte ao Idioma do IBM Tivoli Access
Manager.
1. Para instalar os pacotes de idioma de pré-requisito, proceda de uma das
seguintes maneiras:
v Nos sistemas AIX, digite o seguinte comando:
installp -c -a -g -X -d /dev/cd0 package
em que package, localizado no diretório usr/sys/inst.images, é um ou mais
dos seguintes:
http_server.html.lang Especifica a documentação do IBM HTTP
Server.
http_server.msg.lang.admin Especifica mensagens do IBM HTTP Server.
http_server.msg.lang.ssl.core Especifica mensagens SSL do IBM HTTP
Server.
ldap.html.lang Especifica a documentação do IBM Directory.
ldap.msg.lang Especifica as mensagens do IBM Directory.
db2_07_01.msg.lang Especifica as mensagens do produto IBM
DB2.
em que lang é a abreviação do arquivo de idioma.
Por exemplo, para instalar a documentação do IBM HTTP Server em italiano,
digite o seguinte:
Planejando Requisitos de Segurança
12 IBM Tivoli Access Manager: Guia de Instalação Base
installp -c -a -g -X -d /dev/cd0 http_server.html.it_IT
v Nos sistemas Solaris, digite o seguinte comando:
pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault package
em que package, localizado no diretório /solaris, é um ou mais dos
seguintes:
IBMHAlang Especifica mensagens do IBM HTTP Server.
IBMHSlang Especifica a documentação do IBM HTTP Server.
IBMHSSlang Especifica mensagens SSL do IBM HTTP Server.
IBMldilang Especifica a documentação do IBM Directory.
IBMldmlang Especifica as mensagens do IBM Directory.
db2mslang1 Especifica as mensagens do produto IBM DB2.
e lang é a abreviação do arquivo de idioma.
Por exemplo, para instalar as mensagens do IBM Directory em japonês,
digite o seguinte:
pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldmJa
2. Pare os daemons (ou serviços) do IBM HTTP Server e do IBM HTTP
Administration, caso estejam em execução. Por exemplo, no diretório
http_directory/bin em um sistema UNIX, digite os seguintes comandos:
apachectl stop
adminctl stop
Nota: Para verificar se o processo httpd está em execução, digite o seguinte
comando:
ps -ef | grep -i http
Se o processo httpd existir, emita o comando kill da seguinte forma:
kill -i http_process_id_(pid)
3. No diretório http_directory/bin, emita o comando setuplang. Esse script shell
modifica os arquivos httpd.conf e admin.conf para o novo idioma. Escolha o
idioma desejado na tabela do menu.
4. Para iniciar novamente os servidores HTTP, emita os seguintes comandos:
http_directory/bin/apachectl start
http_directory/bin/adminctl start
5. Os servidores devem estar executando em seu idioma desejado. Acesse o
servidor por meio de um navegador da Web e verifique se as telas estão no
idioma apropriado.
Desinstalando os Pacotes de Suporte ao Idioma
Para desinstalar os pacotes de suporte ao idioma, execute estas etapas:
1. Vá para um dos seguintes diretórios:
v Em sistemas UNIX:
/opt/location
v Em sistemas Windows:
C:\Arquivos de Programas\location
em que localização é a seguinte:
Planejando Requisitos de Segurança
Capítulo 1. Visão Geral da Instalação do Tivoli Access Manager 13
PDBLP/Lp_uninst Especifica a localização dos pacotes de idiomas
do Tivoli Access Manager Base.
PDJrtLP/lp_uninst Especifica a localização dos pacotes de idiomas
do Java Runtime Environment do Tivoli Access
Manager.
PDWasLP/lp_uninst Especifica a localização dos pacotes de idiomas
do WebSphere Application Server.
PDWpiLP/lp_uninst Especifica a localização dos pacotes de idiomas
do Plug-in do Tivoli Access Manager para
Servidores Web.
PDWebLP/lp_uninst Especifica a localização dos pacotes de idiomas
do Tivoli Access Manager WebSEAL.
PDWlsLP/lp_uninst Especifica a localização dos pacotes de idiomas
do WebLogic Server.
PDWpmLP/Lp_uninst Especifica a localização dos pacotes de idiomas
do Web Portal Manager do Tivoli Access
Manager.
PDWslLP/Lp_uninst Especifica a localização dos pacotes de idiomas
do Plug-in do Tivoli Access Manager para Edge
Server.2. Para desinstalar os pacotes de suporte ao idioma, digite um dos seguintes
comandos:
v Em sistemas UNIX:
jre_path/java package
v Em sistemas Windows:
jre_path\java -jar package
em que jre_path é o caminho no qual o executável Java está localizado e
package é um dos seguintes:
Nota: Se o executável Java estiver no caminho, não será necessário especificar
jre_path.
pdrte_lp_uninstall.jar Especifica o pacote de idiomas do Tivoli Access
Manager Base.
pdjrte_lp_uninstall.jar Especifica o pacote de idiomas do Java Runtime
Environment do Tivoli Access Manager.
pdwas_lp_uninstall.jar Especifica o pacote de idiomas do WebSphere
Application Server.
pdwbpi_lp_uninstall.jar Especifica o pacote de idiomas do Plug-in para
Servidores Web.
pdweb_lp_uninstall.jar Especifica o pacote de idiomas do Tivoli Access
Manager WebSEAL.
pdwls_lp_uninstall.jar Especifica o pacote de idiomas do WebLogic
Server.
pdwsl_lp_uninstall.jar Especifica o pacote de idiomas do Plug-in do
Tivoli Access Manager para Edge Server.
Planejando Requisitos de Segurança
14 IBM Tivoli Access Manager: Guia de Instalação Base
Variáveis de Ambiente de Locale
Como ocorre na maioria dos sistemas operacionais atuais, um comportamento
localizado é obtido especificando-se o locale desejado. No software Tivoli Access
Manager, você define a variável de ambiente LANG para o nome de locale
desejado, conforme especificado pelo POSIX, X/Open ou outros padrões de
sistemas abertos.
Nota: Para um ambiente Windows, você pode alternativamente modificar a
definição de idioma em Regional Settings (Configurações Regionais) do
Control Panel (Painel de Controle).
Se você especificar a variável de ambiente LANG e modificar as configurações
regionais, a variável LANG substituirá essa configuração regional.
Conforme especificado por padrões de sistemas abertos, outras variáveis de
ambiente substituem LANG para algumas ou todas as categorias de locale. Essas
variáveis incluem as seguintes:
v LC_CTYPE
v LC_TIME
v LC_NUMERIC
v LC_MONETARY
v LC_COLLATE
v LC_MESSAGES
v LC_ALL
Se alguma das variáveis anteriores for definida, você deverá remover sua definição
da variável LANG para permitir um efeito completo.
Variável LANG e Sistemas UNIX
A maioria dos sistemas UNIX utiliza a variável LANG para especificar o locale
desejado. Diferentes sistemas operacionais UNIX, contudo, exigem diferentes
nomes de locale para especificar o mesmo idioma. Certifique-se de utilizar um
valor para LANG que seja suportado pelo sistema operacional UNIX que estiver
sendo utilizado.
Para obter os nomes dos locales do sistema UNIX, digite o seguinte comando:
locale -a
Variável LANG e Sistemas Windows
A maioria dos sistemas operacionais não utiliza a variável de ambiente LANG. No
entanto, o software Tivoli Access Manager pode utilizar LANG para determinar o
idioma desejado. Para fazer isso, defina LANG para o nome de locale canônico
com base nos códigos de idioma ou território ISO sem um sufixo de conjunto de
códigos. Por exemplo:
v fr é o locale para Francês padrão
v ja é o locale para Japonês
v pt_BR é o locale para Português do Brasil
v C é o locale para Inglês em locale C
Nos sistemas Windows, se LANG não for definido, o Tivoli Access Manager utiliza
a seleção atual no objeto Regional Settings (Configurações Regionais) do Control
Panel (Painel de Controle) do Windows.
Planejando Requisitos de Segurança
Capítulo 1. Visão Geral da Instalação do Tivoli Access Manager 15
Utilizando Variantes de Locale
Embora o software Tivoli Access Manager forneça atualmente somente uma versão
traduzida para cada idioma, você pode utilizar a variante de locale de sua
preferência e o Tivoli Access Manager encontrará a tradução para o idioma
correspondente. Por exemplo, o Tivoli Access Manager fornece uma tradução para
o francês, mas cada uma das seguintes definições de locale encontra a tradução
apropriada:
v fr é o nome do locale para Francês padrão
v fr_FR é o nome do locale para Francês da França
v fr_CA é o nome do locale para Francês do Canadá
v fr_CH é o nome do locale para Francês da Suíça
Catálogos de Mensagens
Os catálogos de mensagens geralmente são instalados em um subdiretório msg e
cada um desses catálogos é instalado em um subdiretório específico do idioma, da
seguinte forma:
v Em sistemas UNIX:
/opt/PolicyDirector/nls/msg/locale
v Em sistemas Windows:
install_dir/nls/msg/locale
O Tivoli Access Manager reconhece variações em nomes de locale UNIX e
geralmente pode mapear o valor especificado para o catálogo de mensagens
apropriado.
A tela variável NLSPATH é utilizada para encontrar o diretório do catálogo de
mensagens apropriado, conforme especificado por padrões de sistemas abertos. Por
exemplo, se os catálogos de mensagens estiverem em /opt/PolicyDirector/nls/msg a
variável NLSPATH será definida como o seguinte:
/opt/PolicyDirector/nls/msg/%L/%N.cat:/opt/PolicyDirector/nls/msg/%L/%N
Nota: No Windows, utilize ponto e vírgula (;) em vez de dois pontos (:) como
separador.
A diretriz %L é expandida para o diretório do catálogo de mensagens que
corresponde mais à seleção de idioma do usuário atual e %N.cat expande para o
catálogo de mensagens desejado.
Se um catálogo de mensagens não for encontrado para o idioma desejado, os
catálogos de mensagens C em inglês serão utilizados.
Por exemplo, suponha que você especifique o locale AIX para Alemão da Suíça,
conforme a seguir:
LANG=De_CH.IBM-850
A diretriz %L é expandida na seguinte ordem para localizar o locale especificado:
1. de_CH
2. de
3. C
Como o Tivoli Access Manager não fornece um pacote de idioma em alemão da
Suíça, de_CH não é encontrado. Se o pacote em alemão do Tivoli Access Manager
Planejando Requisitos de Segurança
16 IBM Tivoli Access Manager: Guia de Instalação Base
estiver instalado, será utilizado de. Caso contrário, o locale padrão C será
utilizado, ocasionando a exibição em Inglês.
Suporte à Codificação de Texto (Conjunto de Códigos)
Diferentes sistemas operacionais muitas vezes codificam texto de diferentes
maneiras. Por exemplo, os sistemas Windows utilizam SJIS (página de códigos
932) para texto em japonês, mas os sistemas UNIX geralmente utilizam eucJP.
Além disso, vários locales podem ser fornecidos para o mesmo idioma de modo
que diferentes conjuntos de códigos podem ser utilizados para o mesmo idioma na
mesma máquina. Isso pode causar problemas quando o texto é movido de sistema
a sistema ou entre diferentes ambientes de locales.
O Tivoli Access Manager trata desses problemas utilizando Unicode e UTF-8 (o
formato de múltiplos bytes do Unicode) como representação canônica interna do
texto.
Os catálogos de mensagens são codificados utilizando UTF-8, e o texto é
convertido para a codificação do locale antes de ser apresentada ao usuário. Desse
modo, os mesmos arquivos do catálogo de mensagens em Francês podem ser
utilizados para suportar uma série de conjuntos de códigos em Latim 1, como
ISO8859-1, Microsoft 1252, IBM PC 850 e IBM MVS™
1047.
O UTF-8 também é utilizado para conseguir interoperabilidade de texto. Por
exemplo, as cadeias CORBA (Common Object Request Broker Architecture) são
transmitidas como UTF-8. Isso permite o gerenciamento remoto dentro de uma
rede heterogênea na qual a codificação de texto local pode variar. Por exemplo, os
nomes de arquivos em Japonês podem ser manipulados em nós de extremidade de
PC em Japonês a partir de um desktop que esteja executando no locale EUC em
japonês do UNIX.
A interoperabilidade de texto no domínio seguro também é obtida armazenando
cadeias como UTF-8 dentro do banco de dados de objetos Tivoli. As cadeias são
convertidas para a codificação local para exibição e manipulação por aplicativos
que estejam executando em diferentes conjuntos de códigos do sistema
operacional.
Localização de Arquivos do Conjunto de Códigos
A interoperabilidade através de seu domínio protegido depende de arquivos de
conjuntos de códigos, os quais são utilizados para executar a conversão UTF-8 e
outros tipos de processamento de texto específicos de codificação. Esses arquivos
são instalados nos seguintes diretórios:
v Em sistemas UNIX:
/opt/PolicyDirector/nls/msg/locale
v Em sistemas Windows:
install_dir/nls/msg/locale
Planejando Requisitos de Segurança
Capítulo 1. Visão Geral da Instalação do Tivoli Access Manager 17
Planejando Requisitos de Segurança
18 IBM Tivoli Access Manager: Guia de Instalação Base
Capítulo 2. Configurando Registros para o Tivoli Access
Manager
Este capítulo descreve como configurar um registro suportado para uso com o
Tivoli Access Manager. Esta etapa do processo de instalação é obrigatória antes da
instalação dos sistemas Tivoli Access Manager no domínio seguro (conforme
especificado no “Processo de Instalação” na página 6). Para obter os requisitos do
sistema de um registro específico, consulte IBM Tivoli Access Manager - Notas sobre o
Release.
Este capítulo inclui as seguintes seções principais:
v “Visão Geral da Configuração do Servidor LDAP”
v “Configurando o IBM Directory Server” na página 20
v “Configurando o iPlanet Directory Server” na página 26
v “Configurando o Novell eDirectory” na página 29
v “Configurando os Servidores de Segurança z/OS e OS/390” na página 30
v “Configurando o Active Directory” na página 36
v “Configurando o Lotus Domino” na página 41
Visão Geral da Configuração do Servidor LDAP
Os dados são armazenados dentro do servidor LDAP, em uma estrutura de árvore
hierárquica denominada DIT (Árvore de Informações de Diretório). O topo da
árvore é denominado sufixo (também chamado de contexto de nomenclatura ou
raiz). Um servidor LDAP pode conter vários sufixos para organizar a árvore de
dados em ramificações lógicas ou unidades organizacionais.
As seções a seguir mostram como criar sufixos do Tivoli Access Manager para o
seu servidor LDAP específico. Durante o processo de configuração, o Tivoli Access
Manager tenta incluir automaticamente as ACLs (listas de controle de acesso)
apropriadas para cada sufixo que existe atualmente no servidor LDAP. Isso é
necessário para fornecer ao Tivoli Access Manager a permissão necessária para
gerenciar os usuários e grupos definidos dentro desses sufixos. Se você incluir
sufixos após a configuração inicial do Tivoli Access Manager, deverá incluir as
ACLs apropriadas manualmente. Para obter instruções, consulte o IBM Tivoli Access
Manager Base Administrator’s Guide.
O Tivoli Access Manager requer que você crie um sufixo denominado
secAuthority=Default, que mantém os metadados do Tivoli Access Manager. Você
deve incluir esse sufixo somente uma vez—quando o servidor LDAP é configurado
pela primeira vez. Esse sufixo permite que o Tivoli Access Manager localize e
gerencie facilmente os dados. Também protege o acesso aos dados, evitando
problemas de integridade ou danos.
Além disso, será solicitado que você forneça o DN (nome distinto) de GSO
(conexão global) durante a configuração do servidor de política. Para armazenar os
metadados de GSO, você pode criar um sufixo ou especificar o nome distinto de
uma localização de DIT do LDAP. Você pode armazenar os metadados de GSO em
qualquer lugar escolhido na DIT do LDAP, mas a localização já deve existir. Se
você optar por criar um sufixo, poderá considerar o armazenamento de metadados
de GSO e de definições de usuário em um único sufixo. Por exemplo, as seguintes
© Copyright IBM Corp. 2001, 2003 19
seções utilizam o=tivoli,c=us como um exemplo para armazenar metadados de
GSO e definições de usuário. Observe que você também pode criar sufixos
adicionais para manter definições de usuário e de grupo.
Depois de criar sufixos, você também deve criar entradas de diretório para cada
sufixo. Isso é necessário para instanciar o sufixo. Caso contrário, o Tivoli Access
Manager não poderá anexar as ACLs quando ele estiver sendo configurado. As
ACLs fornecem ao Tivoli Access Manager a permissão necessária para gerenciar
usuários e grupos definidos dentro desses sufixos.
Nota: Para obter instruções completas sobre a criação de sufixos, consulte a
documentação do produto fornecida com o seu servidor LDAP específico.
As instruções a seguir servem como uma orientação geral na criação de
sufixos. Recomenda-se que você crie sufixos que espelhem sua estrutura
organizacional.
As seções a seguir descrevem como configurar os seguintes registros LDAP
suportados:
v “Configurando o IBM Directory Server”
v “Configurando o iPlanet Directory Server” na página 26
v “Configurando o Novell eDirectory” na página 29
v “Configurando os Servidores de Segurança z/OS e OS/390” na página 30
Configurando o IBM Directory Server
Atenção
v Se você tiver utilizado o script de instalação fácil ezinstall_ldap_server
para instalar e configurar o IBM Directory Server, ignore as instruções deste
capítulo. A instalação fácil configura o IBM Directory Server
automaticamente.
v Antes de configurar o IBM Directory Server, assegure-se de ter lido e de
seguir as etapas na ordem descrita na seção “Processo de Instalação
Nativa” na página 7. São necessárias correções antes da configuração.
v Se você estiver instalando o IBM Directory no Linux para zSeries,
assegure-se de configurar o servidor depois de instalar o Tivoli Access
Manager, conforme indicado na seção “Processo de Instalação Nativa” na
página 7.
Para configurar o IBM Directory Server para o Tivoli Access Manager, execute estas
etapas:
1. Assegure-se de que o IBM Directory Server esteja instalado.
2. Proceda de uma das seguintes maneiras:
v Para todos os sistemas, exceto Linux no zSeries, vá para a etapa 3 na
página 21.
v Somente nos sistemas Linux no zSeries, execute estas etapas:
a. Aplique o esquema do Tivoli Access Manager. Esse arquivo,
denominado secschema.def, está localizado no diretório etc no qual o
Tivoli Access Manager está instalado. Para aplicar esse esquema, digite o
seguinte comando (em uma linha):
ldapmodify -h ldap_host -p port -D cn=root -w pswd -c -v -f secschema.def
20 IBM Tivoli Access Manager: Guia de Instalação Base
b. Instale o JRE para Linux no Series. Para obter instruções, consulte
“Instalando o JRE Específico da Plataforma” na página 66.
Nota: As ferramentas dmt e ldapcfg do IBM Directory Server exigem
JRE 1.3.1 ou posterior para serem executadas corretamente.
c. Para que as ferramentas dmt e ldapcfg utilizem o JRE versão 1.3.1 em
vez da versão do JRE instalada com o IBM Directory, atualize o seguinte:
– Edite o script /usr/ldap/bin/dmt e comente as seguintes linhas:
find_java()
{
# Primeiro, tente encontrar a versão Java que instalamos com LDAP.
# if [ "${ENV_JAVA}" == "" ] ; then COMENTE ESTA LINHA
# OVERRIDE=${LDAPIDIR}/java/bin/java COMENTE ESTA LINHA
# fi COMENTE ESTA LINHA
– Edite o script /usr/ldap/bin/ldapcfg e comente as seguintes linhas:
find_java()
{
# Primeiro, tente encontrar a versão Java que instalamos com LDAP.
# if [ "${OS}" != "HP-UX" ] ; then COMENTE ESTA LINHA
# if [ "${ENV_JAVA}" == "" ] ; then COMENTE ESTA LINHA
# OVERRIDE=${LDAPCIDIR}/java/bin/java COMENTE ESTA LINHA
# fi COMENTE ESTA LINHA
# fi COMENTE ESTA LINHA
3. Proceda de uma das seguintes maneiras:
v Em todos os sistemas, exceto Linux no zSeries, acesse a ferramenta de
administração da Web do IBM Directory Server no endereço a seguir e
prossiga com a etapa 4 na página 22:
http://nome do servidor:porta/ldap/index.html
em que nome do servidor é o nome do servidor LDAP e porta é o número da
porta indicada no arquivo httpd.conf.
v Somente nos sistemas Linux no zSeries, é necessário modificar
manualmente o arquivo slapd32.conf para incluir os sufixos necessários.
Para isso, modifique a seção dn: cn=Directory do arquivo slapd32.conf,
incluindo o seguinte sufixo obrigatório no Tivoli Access Manager e um
sufixo (ou um DN existente) para metadados GSO e definições do usuário
(por exemplo, o=tivoli,c=us). Em seguida, vá para a etapa 14 na página 24
a fim de continuar configurando o IBM Directory Server.
dn: cn=Directory, cn=RDBM Backends, cn=IBM, cn=Schemas, cn=Configuration
cn: Directory
ibm-slapdDbAlias: ldapdb2b
ibm-slapdDbConnections: 30
ibm-slapdDbInstance: ldapdb2
ibm-slapdDbName: ldapdb2
ibm-slapdDbUserId: ldapdb2
ibm-slapdDbUserPW: >1aV1aFVp/G44POPw/p4ZkJAldiDt+GsRizdgwYF0F7tJYkcEUuBg4K7
HnRFBgMev8jrleaPmiblTpnxb3br96RQ6ZjHeu75ZqCQ9/cIGqH/G6aDVCfbkmk3xyErW1eQdNt
7i8iY9HHqgICIGQek6Qm1K<
ibm-slapdPlugin: database /lib/libback-rdbm.so rdbm_backend_init
ibm-slapdReadOnly: FALSE
ibm-slapdSuffix: o=tivoli,c=us
ibm-slapdSuffix: secAuthority=Default
ibm-slapdSuffix: cn=localhost
objectclass: top
objectclass: ibm-slapdRdbmBackend
IBM Directory Server
Capítulo 2. Configurando Registros Suportados 21
4. Digite o nome e a senha do administrador LDAP e clique no botão Logon,
como mostrado:
A página da Web de Administração do IBM Directory Server será exibida.
5. Para garantir que o IBM Directory Server seja iniciado, selecione Current state
(Estado Atual) → Server status (Estado do Servidor) na área de janela de
navegação da esquerda. Uma janela semelhante à seguinte é exibida:
6. Se o servidor estiver parado, clique em Start/Stop (Iniciar/Parar) e, em
seguida, clique em Start (Iniciar) para iniciar o servidor. Uma mensagem é
exibida quando o servidor inicia ou pára com êxito.
7. Para criar um sufixo, selecione Settings → Suffixes (Definições → Sufixos) na
área de janela de navegação esquerda. A janela Suffixes (Sufixos) será
exibida.
8. Para criar o sufixo no qual o Tivoli Access Manager mantém seus metadados,
digite o seguinte sufixo requerido, conforme mostrado:
secAuthority=Default
Nota: O nome distinto do sufixo não faz distinção entre maiúsculas e
minúsculas.
IBM Directory Server
22 IBM Tivoli Access Manager: Guia de Instalação Base
9. Clique em Update (Atualizar). A janela Suffixes (Sufixos) será exibida. Seus
novos sufixos são exibidos na tabela Current server suffixes (Sufixos atuais
do servidor).
10. Se você optar por criar um sufixo para o metadados de GSO, digite o nome
distinto do novo sufixo no campo Suffix DN (DN do Sufixo). Por exemplo,
você poderia digitar o=tivoli,c=us como mostrado:
É solicitado que você forneça o sufixo de GSO quando configura os
componentes do Tivoli Access Manager. Para obter informações sobre a razão
de um sufixo de GSO ser obrigatório, consulte “Visão Geral da Configuração
do Servidor LDAP” na página 19.
11. Clique em Update (Atualizar). A janela Suffixes (Sufixos) será exibida
novamente. Nesse ponto, você pode criar sufixos adicionais para manter
definições de usuário e de grupo.
Nota: Para obter informações adicionais sobre como incluir sufixos, clique no
ícone Help (Ajuda) na área de janela superior direita.
12. Quando tiver terminado de incluir sufixos, clique em restart the server
(iniciar novamente o servidor) na mensagem na área de janela superior, como
mostrado:
A seguinte mensagem é exibida após alguns minutos:
IBM Directory Server
Capítulo 2. Configurando Registros Suportados 23
O servidor de diretórios está sendo executado.
Se a mensagem não for exibida, inicie novamente o IBM Directory Server. Por
exemplo, em sistemas Windows, selecione Iniciar → Configurações → Painel de
controle e clique em Services (Serviços). Selecione o serviço IBM Directory e
clique em Start (Iniciar) para iniciar novamente o servidor LDAP.
13. Proceda de uma das seguintes formas:
v Se você não tiver incluído sufixos diferentes de secAuthority=Default,
ignore as etapas 14 a 20 na página 26. Uma entrada de diretório para
secAuthority=Default será incluída automaticamente quando o servidor de
política for configurado.
v Se você tiver incluído sufixos diferentes de secAuthority=Default, continue
com a etapa 14 para criar entradas de diretório para cada sufixo.14. Para criar entradas de diretório, digite dmt em um prompt de comandos para
iniciar a DMT (directory management tool). A seguinte janela é exibida:
15. Clique no botão Add server (Incluir servidor), na área de janela inferior. Uma
janela semelhante à seguinte é exibida:
16. Proceda de uma das seguintes formas:
IBM Directory Server
24 IBM Tivoli Access Manager: Guia de Instalação Base
v Para utilizar SSL (Secure Sockets Layer) entre o DMT e o servidor LDAP,
opte por utilizar SSL e preencha os campos especificados. Clique em Help
(Ajuda) para obter descrições desses campos.
v Se você não desejar utilizar SSL entre o DMT e o servidor LDAP, selecione
um tipo de autenticação.
a. Se selecionar None (Nenhum) ou SASL External (SASL Externo), não
são necessárias informações adicionais.
b. Se selecionar Simple (simples) ou CRAM MD5, digite o DN e a senha
do usuário e clique em OK.17. Selecione Browse Tree (Procurar na Árvore), área de janela da esquerda.
Mensagens de aviso são exibidas indicando que os sufixos criados não contêm
dados. Clique em OK para descartar essas mensagens. Uma janela semelhante
à seguinte é exibida:
18. Selecione o nome do host na lista à direita e clique em Add (Incluir). Por
exemplo, o nome do host é ldap://dliburd2.tivoli.com:389 no exemplo
anterior.
19. Na janela Add an LDAP Entry (incluir na Entrada LDAP), preencha os
campos e clique em OK. Por exemplo, se você estiver incluindo uma entrada
de diretório para o sufixo de GSO, uma janela semelhante à seguinte é
exibida:
IBM Directory Server
Capítulo 2. Configurando Registros Suportados 25
20. Digite valores para os atributos e clique em Add (Incluir). Por exemplo, o
exemplo de sufixo GSO aparece como mostrado:
21. Quando tiver terminado de incluir entradas de diretório para os sufixos
criados, clique em Exit (Sair) para fechar a janela IBM Directory Management
Tool.
Configurando o iPlanet Directory Server
Antes de começar, assegure-se de que você tenha concluído a instalação e
configuração básicas do servidor, conforme descrito na documentação do produto
iPlanet Directory Server. Para obter mais informações, consulte a documentação do
iPlanet Directory Server no seguinte endereço da Web:
http://docs.iplanet.com/docs/manuals/directory.html
Para configurar o iPlanet Directory Server para o Tivoli Access Manager, siga estas
etapas:
1. Para assegurar que o daemon do servidor de diretórios (slapd-serverID) e o
daemon do servidor administrativo (admin-serv) estejam sendo executados,
proceda de uma das seguintes maneiras:
v Em sistemas UNIX, digite os seguintes comandos:
/usr/iplanet/servers/slapd-serverID/start-slapd
/usr/iplanet/servers/start-admin
v Nos sistemas Windows, selecione Iniciar → Definições → Painel de controle
e, em seguida, clique no ícone Services (Serviços). Selecione os serviços
iPlanet Administration Server 5.0 e iPlanet Directory Server 5 e, em seguida,
clique em Start (Iniciar). 2. Para iniciar o Console do iPlanet, digite um dos seguintes:
v Em sistemas UNIX, digite o seguinte:
% /usr/iplanet/servers/startconsole
v Em sistemas Windows, selecione Iniciar → Programas → Produtos do
Servidor iPlanet → iPlanet Console 5.0.
A janela iPlanet Console Login (Login do Console do iPlanet) é exibida, a
menos que seu diretório de configuração (diretório o=NetscapeRoot) esteja
armazenado em uma instância separada do iPlanet Directory Server. Nesse
caso, é exibida uma janela que solicita o User ID (ID de Usuário) de
IBM Directory Server
26 IBM Tivoli Access Manager: Guia de Instalação Base
administrador, o Password (Senha) e o endereço da Web do servidor
administrativo para esse servidor de diretórios.
3. Inicie sessão utilizando o User ID (ID de Usuário) e Password (Senha) do
administrador LDAP. Por exemplo, insira cn=Directory Manager e a senha
apropriada, conforme mostrado:
O console do iPlanet é exibido.
4. Na guia Topology (Topologia), clique no ícone Directory Server (Servidor de
Diretórios). O console do iPlanet Directory Server é exibido.
5. No console do iPlanet Directory Server, selecione a guia Configuration
(Configuração).
6. Clique com o botão direito do mouse em Data (Dados) no painel de
navegação esquerdo e, em seguida, selecione New Root Suffix (Novo Sufixo
de Raiz). Você também pode criar um novo sufixo, selecionando Data (Dados)
e, em seguida, selecionando Object (Objeto) → Suffix (Sufixo) na barra de
menus, conforme mostrado:
Uma janela popup é exibida e solicita o novo sufixo e um nome de banco de
dados.
7. Para criar o sufixo que mantém os dados do Tivoli Access Manager, digite
secAuthority=Default no campo New suffix (Novo sufixo). Em seguida,
digite um nome exclusivo para o novo banco de dados e, depois, clique em
OK, conforme mostrado:
iPlanet Directory Server
Capítulo 2. Configurando Registros Suportados 27
Nota: A caixa de opções Create associated database automatically (Criar
banco de dados associado automaticamente) está pré-selecionada. Isso
é necessário para que um banco de dados seja criado ao mesmo tempo
que o novo sufixo de raiz. O novo sufixo de raiz fica desativado até
que você crie um banco de dados.
8. Se você optou por criar um sufixo para manter dados de GSO, digite o nome
distinto do sufixo no campo New Suffix (Novo sufixo) e digite um nome de
banco de dados exclusivo. Por exemplo, você poderia digitar o=tivoli,c=us e,
em seguida, clicar em OK, conforme mostrado:
É solicitado que você forneça o sufixo GSO ao configurar o Tivoli Access
Manager. Para obter informações adicionais sobre GSO, consulte “Visão Geral
da Configuração do Servidor LDAP” na página 19.
9. Proceda de uma das seguintes formas:
v Se você não incluiu sufixos diferentes de secAuthority=Default, ignore as
etapas de 10 a 13. Uma entrada de diretório para secAuthority=Default é
incluída automaticamente quando o servidor de políticas é configurado.
v Se você incluiu sufixos diferentes de secAuthority=Default, continue com a
etapa 10 para criar entradas de diretório para cada sufixo.10. Clique na guia Directory (Diretório) e destaque o nome do servidor no topo
do painel esquerdo.
11. Selecione Objects (Objetos) → New Root Object (Novo Objeto Raiz). Uma
lista de novos sufixos para os quais ainda não existem entradas é exibida,
conforme mostrado:
12. Para cada novo sufixo (diferente de secAuthority=Default), selecione o novo
sufixo. O painel New Object (Novo Objeto) é exibido. Role para baixo para
encontrar o tipo de entrada que corresponde ao sufixo que está sendo criado.
Por exemplo, você poderia selecionar organization (organização) para um
sufixo denominado o=tivoli,c=us. Destaque o tipo de entrada e clique em
iPlanet Directory Server
28 IBM Tivoli Access Manager: Guia de Instalação Base
OK, conforme mostrado:
13. Na janela Property Editor (Editor de Propriedades), digite um valor para a
entrada. Para o exemplo o=tivoli,c=us, insira tivoli como o valor para
organization (organização) e, em seguida, clique em OK, conforme mostrado:
14. Depois de criar entradas para cada sufixo incluído, selecione Console → Exit
(Sair) para fechar o console.
Configurando o Novell eDirectory
Antes de começar, assegure-se de ter concluído a instalação e configuração básicas
do servidor para o Novell eDirectory e a ferramenta ConsoleOne, conforme
descrito na documentação do produto Novell, no seguinte endereço da Web:
http://www.novell.com/documentation/lg/ndsedir86/index.html
Além disso, assegure-se de ter revisto e de estar em conformidade com os
requisitos do sistema e os pré-requisitos do Tivoli Access Manager listados no IBM
Tivoli Access Manager - Notas sobre o Release.
Para configurar o Novell eDirectory para o Tivoli Access Manager, execute estas
etapas:
1. Efetue logon na estação de trabalho do Cliente Novell e inicie o ConsoleOne.
iPlanet Directory Server
Capítulo 2. Configurando Registros Suportados 29
2. Expanda a árvore NDS e depois a árvore criada durante a instalação. Há duas
entradas filhas na árvore: um objeto da organização e um objeto de contêiner
de Security (Segurança).
3. Selecione o ícone de organização; por exemplo, selecione AM. A área de janela
esquerda exibirá os objetos da organização.
4. Para atualizar o esquema para que o Tivoli Access Manager possa instalá-lo,
clique com o botão direito do mouse no objeto LDAP Group (Grupo LDAP) e
selecione Properties (Propriedades). O bloco de notas Propriedades será
exibido.
5. Na janela Propriedades do Grupo LDAP, selecione a guia Mapeamentos de
Classe.
6. Na janela Tabela de Mapeamentos de Classe do Grupo LDAP, exclua as
seguintes entradas e selecione Apply (Aplicar):
inetOrgPerson
groupOFNames
7. Na tela Propriedades do Grupo LDAP, selecione a guia Mapeamentos de
Atributos. A janela Mapeamentos de Atributos do Grupo LDAP será exibida.
8. Role pela tabela e selecione o Atributo NDS Member. Verifique se o valor do
atributo LDAP correspondente também é Member. Se o valor do atributo LDAP
não for Member, clique em Modify (Modificar).
9. Na janela Mapeamento de Atributos, digite o seguinte e selecione OK.
v Atributo NDS = Member
v Atributo LDAP Principal = Member
v Atributo LDAP Secundário = uniqueMember
10. Nas Propriedades da janela Grupo LDAP, clique em Aplicar e em Fechar.
Incluindo um Sufixo GSO para Configuração no Tivoli Access
Manager
Como parte do processo de configuração, é necessário incluir um sufixo GSO. Para
fazer isso, siga estas etapas:
1. Inicie o ConsoleOne.
2. Determine qual sufixo será utilizado. Este é o nome distinto do local na DIT
(árvore de informações do diretório) do servidor LDAP na qual você deseja que
os metadados de GSO (conexão global) estejam localizados. Você pode digitar
um sufixo ou especificar o DN de uma localização existente na DIT do LDAP
(mas ela deve designar um objeto de contêiner).
3. Clique com o botão direito do mouse no objeto da organização, selecione New
(Novo) → Object (Objeto) → Country (País) e clique em OK.
4. Digite o código de país. Por exemplo, digite US e clique em OK. O país será
exibido na árvore IBM no console.
5. Clique com o botão direito do mouse no país (US), selecione Novo → Objeto →
Organização e clique em OK.
6. Digite a organização. Por exemplo, digite Tivoli e clique em OK.
Configurando os Servidores de Segurança z/OS e OS/390
Esta seção descreve as etapas de configuração necessárias para preparar o servidor
LDAP no z/OS ou OS/390 para o Tivoli Access Manager. É dada ênfase
especificamente à configuração do Tivoli Access Manager em um registro SAF
(security authorization facility) nativo.
Novell eDirectory
30 IBM Tivoli Access Manager: Guia de Instalação Base
Essas diretrizes supõem uma nova instância do servidor LDAP dedicada ao
registro do Tivoli Access Manager. Para obter mais informações, consulte o manual
LDAP Server Administration and Use para seu release específico do OS/390 ou do
z/OS. Esse documento está disponível na biblioteca do z/OS, no endereço:
http://www-1.ibm.com/servers/eserver/zseries/zos/bkserv/
Para obter os requisitos do sistema e PTFs (correções temporárias do programa)
aplicáveis, consulte IBM Tivoli Access Manager - Notas sobre o Release.
Este capítulo inclui as seguintes seções. Arquivos de configuração de amostra
também são fornecidos.
v Criando um Banco de Dados DB2 para o TDBM de Backend
v Criando um Arquivo de Configuração LDAP para um TDBM de Backend
v Iniciando o Servidor
v Atualizando e Carregando Arquivos Esquema
v Ativando a Replicação do LDAP
v Configurando o Tivoli Access Manager para LDAP
Criando um Banco de Dados DB2 para o TDBM de Backend
Para criar um banco de dados DB2 para o TDBM de backend, siga as instruções no
arquivo README localizado no seguinte diretório de sua instalação do LDAP:
/usr/lpp/ldap/examples/sample_server
As etapas são as seguintes:
1. Ligue (efetue bind de) a CLI (Call Level Interface). A CLI fornece uma camada
de abstração para comandos SQL. Esta etapa estabelece o ambiente necessário
para o servidor LDAP utilizar a CLI. O servidor de amostra fornece um
arquivo de job para ligar a CLI. Um administrador deve mover o arquivo para
uma partição MVS™ para que seja possível executar o job. Consulte “Job Batch
de Ligação CLI de Amostra” na página 202 para obter uma cópia desse
arquivo.
2. Crie um arquivo de inicialização da CLI. O arquivo de inicialização fornece um
recurso para o servidor LDAP e a origem de dados para a CLI. Um exemplo
desse arquivo é encontrado com o servidor de amostra. Ele é referido no
arquivo de configuração do LDAP. Consulte “Arquivo de Inicialização de CLI
de Amostra” na página 203 para obter uma cópia desse arquivo.
3. Crie um novo banco de dados. Utilize os scripts SPUFI (Processador de SQL
Utilizando Entrada de Arquivo) para execução com o DB2 Interactive (DB2 I)
no OS/390, para executar comandos SQL. Para criar um novo banco de dados e
as áreas de tabela associadas, execute o arquivo SPUFI localizado em “Script de
Amostra da Área de Tabela e do Banco de Dados DB2 para SPUFI” na página
194. Para criar os índices para o novo banco de dados, execute o arquivo SPUFI
localizado em “Script de Amostra do Índice DB2 para SPUFI” na página 200.
Observe que para executar um script SPUFI, você deve chamar o DB2 I e
selecionar SPUFI no Menu Primary Option (Opção Principal).
Criando um Arquivo de Configuração LDAP para um TDBM de
Backend
Para criar um arquivo de configuração LDAP para um TDBM de backend, utilize o
arquivo de configuração de amostra em “Configuração LDAP de Amostra” na
página 193. A seguintes entradas são requeridas para um TDBM:
Servidores de Segurança z/OS e OS/390
Capítulo 2. Configurando Registros Suportados 31
database TDBM GLDBTDBM
Especifica o tipo de banco de dados e o nome da biblioteca. Esta entrada
marca o início da seção do TDBM para o arquivo de configuração.
databasename dbname
Especifica o nome do banco de dados DB2 utilizado para o backend. Ele é
especificado na opção CREATE DATABASE do SPUFI utilizado para criar
o banco de dados e as áreas de tabela. Consulte a etapa 3 na página 31.
dsnaoini dataset
Especifica o arquivo de inicialização do DB2. Consulte a etapa 2 na página
31 para obter detalhes sobre como criar esse arquivo. O valor dessa opção
possui o formato USERID.FILENAME.
dbuserid userid
Especifica o usuário do OS/390 que possui as tabelas DB2. O userid é igual
ao administrador que executou os scripts SPUFI (por etapa 2 na página 31).
servername string
Especifica o nome da localização do servidor DB2 que gerencia as tabelas
para o servidor LDAP. A cadeia é o valor especificado na sub-rotina DATA
SOURCE do arquivo de inicialização da CLI.
attrOverflowSize num_of_bytes
Especifica o tamanho em que as entradas de atributos são carregadas em
tabelas DB2 separadas. Escolha um valor de modo que os grandes dados
binários sejam armazenados na área de tabela separada.
suffix dn_suffix
Especifica a raiz de uma subárvore no namespace gerenciado por este
servidor dentro deste backend. Inclua o DN do sufixo da organização do
seu registro e o secAuthority=Default, que especifica o DN do registro de
segurança do Tivoli Access Manager.
As entradas adicionais a seguir são requeridas para o uso da autenticação nativa.
Para obter explicações detalhadas sobre essas entradas, consulte a publicação
OS/390 LDAP Server Administration and Usage.
UseNativeAuth [SELECTED | ALL | OFF]
A opção SELECTED especifica que as entradas do usuário com um valor
para o atributo ibm-nativeId são autenticadas contra o SAF. A escolha de
SELECTED fornece maior flexibilidade e minimiza responsabilidades
administrativas adicionais. A opção ALL especifica que a autenticação do
SAF é feita contra o nome do usuário encontrado no atributo UID de uma
entrada (se nenhum atributo ibm-nativeId estiver especificado).
NativeAuthSubTree dn_suffix
Especifica a raiz de uma subárvore ou árvores no namespace ao qual a
autenticação nativa se aplica.
nativeAuthUpdateAllowed YES
Permite que os usuários do Tivoli Access Manager atualizem suas senhas
do SAF através do utilitário pkmspasswd baseado na Web.
Iniciando o Servidor
Forneça a localização do arquivo de configuração criado em “Configurando o
Tivoli Access Manager para LDAP” na página 34. O servidor LDAP procura e
carrega diversas DLLs (dynamic link libraries) durante seu processo de
inicialização. As DLLs estão localizadas em um sistema de arquivos PDS. Quando
Servidores de Segurança z/OS e OS/390
32 IBM Tivoli Access Manager: Guia de Instalação Base
iniciar o slapd a partir da shell do z/OS, o PDS correto deverá ser referido na
variável de ambiente STEPLIB, conforme a seguir:
export STEPLIB=GLD.SGLDLNK
export PATH=$PATH:/usr/lpp/ldap/sbin
GLDSLAPD -f slapd.conf
Atualizando e Carregando Arquivos Esquema
Para atualizar e carregar arquivos esquema, primeiro copie os seguintes arquivos
esquema para o diretório de trabalho:
v schema.user.ldif
v schema.IBM.ldif
Os arquivos esquema contêm os objetos e atributos utilizados para organizar dados
para os serviços do Tivoli Access Manager, assim como a classe de objeto de
autenticação nativa SAF.
É necessário modificar cada arquivo esquema para que corresponda ao sufixo do
DN (nome distinto) da organização no arquivo de configuração LDAP. Há uma
linha única que descreve o DN do esquema a ser atualizado.
Por exemplo, edite cada arquivo esquema e altere:
dn: cn=schema, suffix
para o seguinte:
dn: cn=schema,o=tivoli,c=us
Para carregar essas entradas, utilize o comando ldapmodify da seguinte forma:
ldapmodify -h hostname -p port -D bind_DN -w bind_pwd -f schema_file
Nota: É necessário carregar schema.user.ldif seguido de schema.IBM.ldif. Não é
necessário recarregar o esquema para cada DN do sufixo configurado.
Aplicando ACLs a Novos Sufixos LDAP
Para cada sufixo que o Tivoli Access Manager acessa, é necessário aplicar um LDIF
ACL da forma indicada a seguir. Observe que há uma nova permissão restricted
para membros de cn=securitygroup.
O comando ldapmodify é o seguinte:
ldapmodify -h nome_do_host -p porta -D DN_admin -c -v -f nome_do_arquivo_ldif
<suffix>
aclpropagate=TRUE
aclentry=group:cn=ivacld-servers,cn=securitygroups,secauthority=default:normal:csr
aclentry=group:cn=remote-acl-users,cn=securitygroups,secauthority=default:normal:csr
aclentry=group:cn=securitygroup,secauthority=default:object:ad:normal:cwsr:sensitive:cwsr:critical: \
cwsr:restricted:cwsr
aclentry=access-id:<LDAP admin DN>:object:ad:normal:rwsc:sensitive:rwsc:critical:cwsr:restricted:cwsr
<suffix>
ownerpropagate=TRUE
entryOwner=group:cn=SecurityGroup,secAuthority=Default
entryOwner=access-id:LDAP admin DN>
Servidores de Segurança z/OS e OS/390
Capítulo 2. Configurando Registros Suportados 33
Ativando a Replicação do LDAP
Esta seção descreve como ativar a replicação do LDAP. Os servidores LDAP
utilizam o comportamento do modelo master-slave para tarefas de replicação. O
servidor master encaminha as atualizações do diretório para o slave. O slave, ou
servidor réplica, pode compartilhar o carregamento de pedidos de leitura e agir
como um servidor de backup.
Por padrão, um servidor LDAP é configurado para ser executado como um
servidor master. Fornecer ao master um objeto que detalha a localização de um ou
mais servidores réplica ativa a replicação.
Incluindo uma Sub-rotina no Arquivo de Configuração do
Servidor Réplica LDAP
Para incluir uma sub-rotina no arquivo de configuração do servidor réplica LDAP,
consulte o exemplo de sub-rotina em “Configuração LDAP de Amostra” na página
193. As entradas obrigatórias para um servidor réplica LDAP são as seguintes:
masterServer ldapURL
Especifica a URL do LDAP no formato ldap://server_name:port. Esta
opção refere-se ao FQDN e à porta do servidor master.
masterServerDN DN
Especifica o DN para o qual você fornece o replicaBindDN em “Incluindo
um Objeto no Backend do Servidor LDAP Principal”.
masterServerPW string
Especifica a senha para a qual você fornece o replicaCredentials em
“Incluindo um Objeto no Backend do Servidor LDAP Principal”.
Incluindo um Objeto no Backend do Servidor LDAP Principal
A seguir é fornecido um exemplo de arquivo ldif representando esse tipo de
objeto:
dn: cn=replicas
objectclass: replicaObject
cn: replicas
replicaHost: hostname
replicaPort: port
replicaBindDn: any_unique_DN_to_bind_with
replicaCredentials: password_to_bind_with
description:"Description Here"
Este objeto pode ser carregado com um comando ldapmodify, conforme a seguir:
ldapmodify -h hostname -p port -D bind_DN -w bind_pwd -f schema_file
Configurando o Tivoli Access Manager para LDAP
Para utilizar a autenticação nativa, você deve desativar auth-using-compare. Para
isso, edite a sub-rotina [ldap] dos arquivos ivmgrd.conf e webseald.conf e altere a
linha da seguinte forma:
auth-using-compare = no
Por padrão, as autenticações para LDAP são feitas com uma operação de
comparação, em vez de uma ligação.
O Tivoli Access Manager suporta a falha inversa do LDAP e o equilíbrio de carga
para operações de leitura. As operações de leitura do Tivoli Access Manager
incluem pedidos de autenticação e consultas de dados GSO. Se você tiver
Servidores de Segurança z/OS e OS/390
34 IBM Tivoli Access Manager: Guia de Instalação Base
configurado um servidor réplica (consulte “Ativando a Replicação do LDAP” na
página 34), poderá fornecer o nome do host réplica para o Tivoli Access Manager
no arquivo ldap.conf.
Administração de Usuários da Autenticação Nativa
A maioria das tarefas administrativas permanece inalterada com a inclusão da
autenticação nativa. Operações, como por exemplo, criar usuário, mostrar usuário,
incluir um usuário em uma entrada ou grupo ACL e todos os comandos de
modificar usuário (exceto senha) funcionam da mesma forma que o Tivoli Access
Manager configurado para qualquer outro registro LDAP. Os usuários podem
alterar suas próprias senhas do SAF com o utilitário pkmspasswd baseado na Web.
A autenticação nativa fornece o recurso incluído de mapeamento um-a-um de
usuários do Tivoli Access Manager para IDs de usuário do SAF. Vários usuários
podem ter o mesmo ibm-nativeId, e todos ligados à mesma senha. Por essa razão,
pode ser prudente evitar que usuários mapeados de muitos-para-um alterem a
senha do SAF (caso contrário, aumenta o risco de os usuários não bloquearem
inadvertidamente seus pares de suas contas).
pdadmin> group modify SAFusers add user1
pdadmin> acl create deny_pkms
pdadmin> acl modify deny_pkms set group SAFusers T
pdadmin> acl attach /Webseal/server_name/pkmspasswd deny_pkms
A ligação da autenticação nativa do OS/390 LDAP não fornece a autoridade para
executar uma redefinição de senha. Por exemplo, com a autenticação nativa
ativada, o seguinte comando de administração do Tivoli Access Manager não
funciona:
pdadmin> user modify user1 password ChangeMe1
Além disso, não há comando de administração auxiliar para definir a entrada
ibm-nativeId para um usuário. Para esse fim, as seguintes instruções auxiliam no
gerenciamento de usuários do Tivoli Access Manager com um nativeId associado.
O comando de criação de usuário não muda:
pdadmin> user create user1 cn=user1,o=tivoli,c=us user1 user1 ChangeMe1
pdadmin> user modify user1 account-valid yes
A senha (ChangeMe1, neste exemplo) é definida para a entrada userpassword do
usuário no LDAP, que não tem efeito com a autenticação nativa ativada. Na
produção, elabore uma senha longa e difícil de ser adivinhada—no caso da
autenticação nativa já estar inadvertidamente desativada.
Para definir a entrada ibm-nativeId para um usuário, crie um arquivo ldif
semelhante ao seguinte:
cn=user1,o=tivoli,c=us
objectclass=inetOrgPerson
objectclass=ibm-nativeAuthentication
ibm-nativeId=SAF_username
Você pode carregar o arquivo ldif utilizando o comando ldapmodify, conforme a
seguir:
ldapmodify -h hostname -p port -D bind_DN -w bind_pwd -f schema_file
O comando SAF para redefinir a senha de um usuário é o seguinte:
subsystem_prefix ALTUSER userid PASSWORD password
Servidores de Segurança z/OS e OS/390
Capítulo 2. Configurando Registros Suportados 35
Configurando o Active Directory
Para configurar o Active Directory para o Tivoli Access Manager, é necessário
executar as seguintes tarefas, nesta ordem:
1. Crie um domínio do Active Directory.
2. Junte um domínio do Active Directory
3. Crie um usuário administrativo do Active Directory
Depois de configurar um domínio do Active Directory para uso com o Tivoli
Access Manager, a próxima etapa é configurar os sistemas Tivoli Access Manager
no domínio seguro. Para obter instruções, consulte Capítulo 7, “Instalando o Tivoli
Access Manager no Windows”, na página 81. Lembre-se que o Active Directory
não exige a instalação do IBM Directory Client. Além disso, é necessário instalar os
componentes do Tivoli Access Manager na ordem especificada na etapa 4 na
página 9 do processo de instalação nativa.
Considerações do Active Directory
É importante rever as seguintes informações antes de configurar o Active Directory
para o Tivoli Access Manager:
v O Tivoli Access Manager pode ser configurado em um ambiente de domínio
único ou de vários domínios do Active Directory. Para obter informações sobre
ambientes de domínio único ou de vários domínios, consulte a documentação do
produto Active Directory no seguinte endereço da Web:
http://www.microsoft.com/windows2000/en/server/help/
v Em um ambiente de domínio único, o sistema sem controlador de domínio
precisa juntar-se ao mesmo domínio no qual o Tivoli Access Manager está
configurado. Em um ambiente de vários domínios, o sistema sem controlador de
domínio precisa juntar-se ao domínio do Active Directory.
v Você não pode utilizar os arquivos batch da instalação fácil para instalar o Tivoli
Access Manager.
v Oferece suporte apenas ao grupo global de segurança.
v Para importar um usuário do Active Directory como um usuário do Tivoli
Access Manager, utilize o nome de login do usuário do Active Directory como o
ID do usuário do Tivoli Access Manager.
v Se você tiver instalado e configurado o Tivoli Access Manager em um cliente do
Active Directory (por exemplo, o Tivoli Access Manager e o Active Directory
estão em sistemas diferentes), o sistema cliente precisará unir-se ao domínio e
você deverá conectar-se ao domínio como Administrador para executar a
configuração do Tivoli Access Manager no sistema cliente.
v O DNS na definição TCP/IP de rede no sistema cliente deve ser igual à
definição TCP/IP de rede do controlador de domínio. Você pode utilizar o
controlador de domínio raiz como o servidor DNS ou pode utilizar um DNS
separado.
v Se você tiver configurado o Tivoli Access Manager no domínio único e ele for
um domínio sem raiz, será necessário executar adschema_update.exe
manualmente no controlador de domínio raiz.
Criando um Domínio do Active Directory
Utilize o assistente para configuração do Active Directory para promover o sistema
do servidor Windows 2000 para um controlador de domínio. Criar um controlador
de domínio também cria um domínio do Active Directory.
Active Directory
36 IBM Tivoli Access Manager: Guia de Instalação Base
Antes de iniciar, você deve decidir se deseja criar um controlador de domínio para
um novo domínio ou criar um controlador de domínio adicional para um domínio
existente. Se você pretende criar um controlador de domínio para um novo
domínio, também deverá responder se este novo domínio será um dos seguintes:
v O primeiro domínio em um novo forest
v O primeiro domínio em uma nova árvore de domínios de um forest existente
v Um domínio filho em uma árvore de domínios existente
Nota: Se o novo nome de domínio não existir nas Zonas de Pesquisa Direta no
DNS, ele deverá ser criado como uma nova zona antes da configuração de
um novo controlador de domínio. Para obter informações adicionais sobre
controladores de domínio, árvores de domínio e forests, consulte a
documentação do servidor Windows 2000.
Para criar um domínio ou incluir um controlador de domínio adicional em um
domínio existente, siga estas etapas:
v “Juntando um Domínio do Active Directory”
v “Criando um Usuário Administrativo do Active Directory” na página 40
Juntando um Domínio do Active Directory
Depois de criar um domínio do Active Directory, execute estas etapas para juntar
um sistema Windows 2000 Advanced Server a um domínio do Active Directory.
Nota: Assegure-se de ter efetuado logon como administrador no sistema local e de
ter um nome do usuário e senha válidos. Assegure-se também de que os
sistemas cliente e servidor estejam no mesmo DNS antes de incluir um
sistema no domínio.
1. Clique com o botão direito do mouse em My Computer (Meu Computador) e,
em seguida, clique em Properties (Propriedades) no diálogo popup. O bloco de
notas Propriedades do Sistema é exibido.
Active Directory
Capítulo 2. Configurando Registros Suportados 37
2. Clique na guia Network Identification (Identificação da rede).
3. Clique em Properties (Propriedades). Em Member of (Membro de), selecione
Domain (Domínio) e digite o nome do domínio que você deseja juntar. Clique
em OK para continuar.
4. Na janela Domain Username And Password (Nome de Usuário e Senha do
Domínio) digite um nome de usuário e uma senha válidos e clique em OK
Active Directory
38 IBM Tivoli Access Manager: Guia de Instalação Base
para juntar o sistema ao domínio.
5. Se a operação de junção for bem sucedida, será exibida uma janela de welcome
(bem-vindo), como mostrado. Clique em OK para continuar.
6. Será exibido um diálogo, indicando que é necessário reinicializar o sistema.
Clique em OK para continuar.
7. O bloco de notas System Properties (Propriedades de sistema) será exibido,
indicando que a operação de junção foi concluída. Clique em OK para iniciar
novamente o sistema.
Active Directory
Capítulo 2. Configurando Registros Suportados 39
Nota: Quando o sistema tiver sido iniciado novamente, assegure-se de estar se
conectando ao domínio AD ao qual você acabou de ligar. Normalmente,
o domínio local é o padrão em uma janela de Login do Windows 2000.
Criando um Usuário Administrativo do Active Directory
Para criar um usuário administrativo do Active Directory para inicialização do
Tivoli Access Manager, siga estas etapas:
1. No sistema do servidor Active Directory, selecione Iniciar → Programas →
Ferramentas Administrativas→ Active Directory Usuários e Computadores.
2. Crie um novo usuário e o inclua nos grupos de Administradores, Admins do
Domínio, Administração Corporativa e Administradores de Esquemas. Esse é
um usuário apenas do Active Directory, não um usuário do Tivoli Access
Manager. Você pode selecionar qualquer nome como o nome de login do
usuário, exceto sec_master, que é reservado para o administrador do Tivoli
Access Manager.
Replicação do Active Directory
Quando um controlador de domínio grava uma alteração em sua cópia local do
Active Directory, é iniciado um temporizador que determina quando os parceiros
de replicação do controlador de domínio devem ser notificados da alteração. Por
padrão, esse intervalo é 300 segundos (5 minutos). Quando este intervalo decorre,
o controlador de domínio inicia uma notificação para cada parceiro da replicação
de site na intranet que possui alterações que precisam ser propagadas. Um outro
parâmetro configurável determina o número de segundos para fazer uma pausa
entre as notificações. Esse parâmetro impede respostas simultâneas pelos parceiros
de replicação. Por padrão, esse intervalo é 30 segundos. Ambos os intervalos
podem ser modificados editando o registro.
Para modificar o atraso entre a alteração para o Active Directory e a primeira
notificação do parceiro de réplica, utilize o Editor de Registro para modificar os
dados do valor para o valor DWORD Pausa de notificação do replicador após
modificação (segs) na seguinte chave de registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Atenção: Cuidado ao modificar dados utilizando o Editor de Registro. O uso
incorreto pode provocar problemas graves, que podem exigir a reinstalação do
sistema operacional.
Os dados do valor padrão para o valor DWORD Pausa de notificação do
replicador após modificação (segs) é 0x12c, que em formato hexadecimal é o
decimal 300 (5 minutos).
Para modificar o atraso de notificação entre os controladores de domínio, utilize o
Editor de Registro para modificar os dados do valor DWORD Pausa de notificação
do replicador entre DSAs (segs) na seguinte chave de registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Os dados do valor padrão para o valor DWORD Pausa de notificação do
replicador entre DSAs (segs) são 0x1e, que em formato hexadecimal é o decimal
30 (30 segundos).
Nota: Você deve parar o servidor de políticas antes de editar o registro e, em
seguida, iniciar novamente o sistema.
Active Directory
40 IBM Tivoli Access Manager: Guia de Instalação Base
Durante a configuração de vários domínios do Active Directory, um atraso de
propagação de dados ocorre com um valor padrão de 5 minutos. Um usuário ou
grupo recentemente criado nos domínios sem raiz pode não ficar visível quando os
comandos user list ou group list forem emitidos. De modo semelhante, um
usuário ou grupo, recentemente criado no controlador de domínio raiz principal,
pode não ficar imediatamente visível no domínio raiz secundário. Ajustando os
valores de Pausa de notificação do replicador após modificação e Pausa de
notificação do replicador entre DSAs no registro do sistema Windows 2000, você
pode alterar o comportamento de modo que se ajuste às necessidades do ambiente.
Configurando o Lotus Domino
Para configurar um servidor Domino™ como registro do Tivoli Access Manager, é
necessário instalar um cliente Lotus Notes® no servidor Domino. O servidor
Domino também deve ter a interface LDAP (Lightweight Directory Access
Protocol) ativada. Isso é necessário para que o Tivoli Access Manager possa
autenticar usuários utilizando sua senha de Internet. Para obter os requisitos do
sistema, consulte o IBM Tivoli Access Manager Base Administrator’s Guide.
Há suporte ao Tivoli Access Manager utilizando um registro do Domino somente
nas plataformas Windows. Isso porque o Tivoli Access Manager exige o cliente
Notes, disponível somente nas plataformas Windows suportadas. Como a
comunicação LDAP é obrigatória, cada sistema Tivoli Access Manager também
exige que o IBM Directory Client esteja instalado no sistema.
O IBM Directory Client é utilizado para executar autenticação remota no servidor
LDAP Domino, para verificar as informações sobre nome do usuário e senha. O
cliente Notes é utilizado para acesso direto ao domínio (utilizando uma conta
privilegiada predefinida) de todas as outras tarefas, como exibir e atualizar as
informações do usuário.
Instalando um Cliente Lotus Notes no Servidor Domino
Para instalar um cliente Notes no servidor Domino, siga estas etapas:
1. Execute o arquivo de configuração do cliente Notes no CD do Notes/Domino
para Windows.
2. Na janela Opções de Instalação do Notes, selecione Typical (Típica) para
instalar apenas o cliente Notes. Para obter informações detalhadas sobre a
instalação do cliente Notes, consulte o Lotus Notes Installation Guide.
3. Quando a instalação for concluída, lance o cliente Notes para executar a
configuração.
4. Selecione Connect to a Domino Server (Conectar-se a um Servidor Domino).
5. Selecione Network connection (via LAN) (Conexão da rede (pela LAN)).
6. Digite o nome completo do servidor Domino. Por exemplo, digite o seguinte:
domino1/Tivoli
7. Selecione o botão de opções Use my name as identification option (Utilizar
meu nome como opção de identificação) e digite o ID de usuário
administrativo do Tivoli Access Manager (por exemplo, AMDaemons). Se
você fornecer o arquivo de IDs, selecione a caixa de entrada User ID was
supplied to you in a file (O ID de Usuário foi fornecido em um arquivo) e
coloque o arquivo de IDs no diretório c:\lotus\notes\data.
Active Directory
Capítulo 2. Configurando Registros Suportados 41
8. Clique em OK para continuar. Se forem solicitadas informações de
configuração adicionais, você poderá simplesmente aceitar todos os valores
padrão. Clique em Finish (Concluir) para continuar as etapas de configuração
do cliente Notes.
9. Se apropriado, selecione o botão de opções Do not connect to an internet
proxy server radio (Não conectar a um servidor proxy de internet).
Uma janela de prompt de senha aparecerá quando o cliente Notes puder
acessar o servidor Domino remoto.
10. Digite a senha do usuário administrativo do Tivoli Access Manager. Se a
senha estiver correta, o cliente Notes continuará concluindo a configuração
restante.
Quando a configuração for concluída, o arquivo de IDs do Notes para o
usuário administrativo será instalado no diretório de instalação do Notes no
sistema local.
Criando um Usuário Administrativo do Tivoli Access Manager
para Domino
1. A partir da GUI da área de trabalho do Domino Administrator, selecione o
menu Pessoas no lado direito.
2. No menu de opções, selecione Register (Registrar).
3. Selecione o ID do Certificador do servidor Domino (a localização padrão é
C:\Lotus\Domino\data).
4. Digite a senha do Certificador (especificada durante a configuração do
servidor).
5. Selecione a caixa de opção Advanced (Avançado) e digite as informações e
senha do usuário administrativo do Tivoli Access Manager. Por exemplo:
v Nome: PD
v Sobrenome: Daemons
v Senha: password
6. Clique em ID Info (Informações de ID) para certificar-se de que o arquivo de
IDs do Notes esteja armazenado no diretório do Domino.
7. Clique no botão Add person (Incluir pessoa) para incluir o usuário
administrativo do Tivoli Access Manager na fila Registro. O documento da
pessoa aparece na fila.
8. Destaque o documento da pessoa na fila e clique em Register (Registrar) para
incluir o usuário no servidor Domino.
9. No menu Exibir, clique em Refresh (Atualizar) e verifique se o documento
pessoal do usuário do Tivoli Access Manager foi criado no servidor Domino.
Domino
42 IBM Tivoli Access Manager: Guia de Instalação Base
Capítulo 3. Instalando o Tivoli Access Manager no AIX
Este capítulo fornece informações sobre a instalação e configuração dos
componentes do Tivoli Access Manager em sistemas AIX. São fornecidas instruções
para os métodos de instalação fácil e nativa. Estão incluídas as seguintes seções
principais:
v “Utilizando a Instalação Fácil”
v “Utilizando a Instalação Nativa” na página 45
v “Desinstalando o Tivoli Access Manager” na página 51
Utilizando a Instalação Fácil
Antes de começar
v Instale todas as correções do sistema operacional e releia os requisitos do
sistema relacionados no IBM Tivoli Access Manager para e-business: Notas
sobre o Release.
v Assegure-se de ter configurado os sistemas Tivoli Access Manager na
ordem indicada na seção “Processo de Instalação” na página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação fácil. Para obter descrições de opções de configuração
na instalação fácil e instruções passo a passo com ilustrações, consulte o
Capítulo 9, “Casos de Instalação Fácil do UNIX”, na página 103.
Utilize scripts de instalação fácil para criar um domínio seguro ou para incluir
sistemas ou componentes em um já existente. A instalação fácil facilita a instalação
do Tivoli Access Manager, instalando automaticamente os pré-requisitos de
software ao mesmo tempo. Por exemplo, se você executa ezinstall_ldap_server
para instalar e configurar o IBM Directory Server como registro do Tivoli Access
Manager, esse script instala o IBM Directory Server e todos os produtos e correções
de pré-requisito. A instalação fácil também detecta quando os produtos necessários
estão instalados e não tenta reinstalá-los. Por exemplo, se você executar
ezinstall_pdmgr para configurar o servidor de política no mesmo sistema no qual
ezinstall_ldap_server foi executado, ele não reinstala o GSKit e o IBM Directory
Client.
Um script de instalação fácil começa solicitando informações sobre configuração.
Depois que você fornece essas informações, os componentes são instalados e
configurados sem outras intervenções. E se alguma vez for necessário instalar esses
componentes novamente, você poderá utilizar o arquivo de resposta associado que
é gerado durante a execução de um script de instalação fácil. O arquivo de
resposta armazena automaticamente as informações sobre configuração digitadas,
para que não seja necessário fornecê-las novamente. Para obter mais informações,
consulte a seção Capítulo 11, “Utilizando Arquivos de Resposta de Instalação
Fácil”, na página 153.
A Tabela 3 na página 44 relaciona scripts de instalação fácil para a plataforma AIX.
Todos os programas estão localizados no diretório raiz no CD do IBM Tivoli Access
Manager Base para AIX, com exceção do ezinstall_wpm, que está localizado no
diretório raiz no CD do Web Portal Manager do IBM Tivoli Access Manager para AIX.
© Copyright IBM Corp. 2001, 2003 43
Tabela 3. Scripts de Instalação Fácil para AIX
Nome do arquivo Descrição
ezinstall_ldap_server Configura um sistema do IBM Directory Server com os
seguintes pacotes de software:
v IBM DB2
v IBM Global Security Toolkit
v IBM HTTP Server
v IBM Directory Client
v IBM Directory Server
Nota: Se já existir uma versão do IBM Directory, remova-a
antes de executar este script.
ezinstall_pdacld Configura o sistema do servidor de autorização com os
seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
v Servidor de autorização do Tivoli Access Manager
ezinstall_pdauthadk Configura um sistema de desenvolvimento do Tivoli Access
Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
v Application Development Kit do Tivoli Access Manager
ezinstall_pdmgr Configura o sistema servidor de política do Tivoli Access
Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
v Servidor de política do Tivoli Access Manager
ezinstall_pdwpm Configura um sistema Web Portal Manager com os
seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
v IBM WebSphere Application Server, Advanced Single
Server 4.0 e FixPack 3
v Tivoli Access Manager Web Portal Manager
v Tivoli Access Manager Java Runtime Environment
install_pdrte Configura um sistema de tempo de execução do Tivoli
Access Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
AIX
44 IBM Tivoli Access Manager: Guia de Instalação Base
Utilizando a Instalação Nativa
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema relacionados em IBM Tivoli Access Manager Base Administrator’s
Guide.
v Assegure-se de seguir as instruções e de configurar os sistemas Tivoli
Access Manager na ordem indicada na seção “Processo de Instalação” na
página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação nativa. Para obter descrições de opções de
configuração nativa, consulte a seção “Opções de Configuração Nativa
UNIX” na página 185.
Esta seção inclui informações sobre a instalação e configuração do Tivoli Access
Manager usando utilitários nativos do sistema operacional. Diferentemente dos
scripts automatizados utilizados na instalação fácil, você deve instalar
manualmente cada componente e software de pré-requisito na ordem apropriada.
Esta seção inclui os seguintes tópicos principais:
v “Instalando o IBM Global Security Toolkit”
v “Instalando o IBM Directory Client” na página 46
v “Instalando e Configurando Componentes do Tivoli Access Manager” na página
46
v “Instalando o JRE Específico da Plataforma” na página 47
v “Instalando e Configurando o Java Runtime Environment do Tivoli Access
Manager” na página 47
v “Instalando e Configurando um Sistema Web Portal Manager” na página 48
Instalando o IBM Global Security Toolkit
Para instalar o GSKit em um sistema AIX, siga estas etapas:
1. Efetue login no sistema como root (raiz).
2. Insira o CD do IBM Tivoli Access Manager Base para AIX.
3. No prompt de comandos, digite o seguinte:
installp -c -a -g -X -d /dev/cd0 gskkm.rte
4. Para que o utilitário iKeyman seja executado corretamente, você deve definir a
seguinte variável do AIX:
export JAVA_HOME=path
em que path é o caminho no qual o Java Runtime Environment do Tivoli Access
Manager está instalado.
Depois de instalar o GSKit, nenhuma configuração é necessária.
Observe que o utilitário de gerenciamento de chaves iKeyman (gsk5ikm) é
instalado com o pacote GSKit. Isso permite a criação de arquivos de chaves SSL,
pares de chaves pública-privada e solicitações de certificados. Para obter mais
informações, consulte o Apêndice A, “Ativando a Secure Sockets Layer”, na página
161 e o Secure Sockets Layer Introduction and iKeyman User’s Guide.
AIX
Capítulo 3. Instalando o Tivoli Access Manager no AIX 45
Instalando o IBM Directory Client
Para instalar o IBM Directory Client em um sistema AIX, execute estas etapas:
1. Efetue login no sistema como root (raiz).
2. Insira o CD do IBM Tivoli Access Manager Base para AIX.
3. No prompt de comandos, digite o seguinte:
installp -c -a -g -X -d /dev/cd0 ldap.client
ldap.max_crypto_client
Depois de instalar o IBM Directory Client, nenhuma configuração será necessária.
Instalando e Configurando Componentes do Tivoli Access
Manager
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema relacionados em IBM Tivoli Access Manager Base Administrator’s
Guide.
v Assegure-se de seguir as instruções e de configurar os sistemas Tivoli
Access Manager na ordem indicada na seção “Processo de Instalação” na
página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação nativa. Para obter descrições de opções de
configuração nativa, consulte a seção “Opções de Configuração Nativa
UNIX” na página 185.
Para instalar os componentes do Tivoli Access Manager, siga estas etapas:
1. Efetue login no sistema como root (raiz).
2. Para instalar componentes do Tivoli Access Manager, execute uma das
seguintes ações:
v Insira o CD do IBM Tivoli Access Manager Base para AIX.
v Somente para o componente Web Portal Manager, insira o CD do Web Portal
Manager do IBM Tivoli Access Manager para AIX.3. No prompt de comandos, digite o seguinte:
installp -c -a -g -X -d /dev/cd0 package
em que /dev/cd0 é o diretório e package é um ou mais dos seguintes
componentes:
PD.RTE Indica o tempo de execução do Tivoli Access Manager.
PD.Mgr Indica o servidor de política Tivoli Access Manager.
PD.AuthADK Indica o Application Development Kit do Tivoli Access
Manager.
PD.Acld Indica o Tivoli Access Manager Authorization Server.
PD.WPM Indica o Web Portal Manager do Tivoli Access Manager.
Assegure-se de seguir as instruções da seção “Instalando e
Configurando um Sistema Web Portal Manager” na página 48.
Este componente é apenas uma parte do procedimento de
instalação do Web Portal Manager.
PDJ.rte Indica o Java Runtime Environment do Tivoli Access Manager.
AIX
46 IBM Tivoli Access Manager: Guia de Instalação Base
Assegure-se de seguir as instruções da seção “Instalando e
Configurando o Java Runtime Environment do Tivoli Access
Manager”. Este componente é apenas uma parte do
procedimento de instalação do Java Runtime Environment.4. Para iniciar o utilitário de configuração, digite o seguinte comando:
pdconfig
O Tivoli Access Manager Setup Menu (Menu de Configuração do Tivoli
Access Manager) será exibido.
5. Digite o número do menu para Configure Package (Configurar Pacote). O
Tivoli Access Manager Configuration Menu (Menu de Configuração do
Tivoli Access Manager) será exibido. A lista de pacotes do Tivoli Access
Manager instalados é exibida.
6. Selecione o componente que você deseja configurar, um por vez.
Dependendo do componente selecionado, será solicitado que você forneça
opções de configuração. Para obter assistência para essas opções de
configuração, consulte “Opções de Configuração Nativa UNIX” na página 185.
7. Quando aparecer uma mensagem indicando que um pacote foi configurado
com êxito, pressione Enter para configurar outro componente ou selecione duas
vezes a opção x para fechar o utilitário de configuração.
Instalando o JRE Específico da Plataforma
Um JRE específico da plataforma é necessário para a instalação do componente
Java Runtime do Tivoli Access Manager e de pacotes de suporte ao idioma. Para
instalar o pacote JRE de pré-requisito para AIX, digite o seguinte comando:
installp -c -a -g -X -d /dev/cd0 Java131.rte
Para definir o caminho da variável de ambiente, digite o seguinte:
export PATH=jre_path:$PATH
Para verificar se há suporte ao nível de JRE no sistema, consulte o IBM Tivoli
Access Manager Base Administrator’s Guide.
Instalando e Configurando o Java Runtime Environment do
Tivoli Access Manager
Para instalar e configurar o Java Runtime Environment do Tivoli Access Manager,
execute estas etapas:
1. Efetue login no sistema como root (raiz).
2. Insira o CD do IBM Tivoli Access Manager Base para AIX.
3. Instale um JRE específico da plataforma, para o qual exista suporte. Para obter
instruções, consulte “Instalando o JRE Específico da Plataforma”.
4. Para instalar o Java Runtime Environment do Tivoli Access Manager, digite o
seguinte:
installp -c -a -g -X -d /dev/cd0 PDJ.rte
5. Para configurar o Java Runtime Environment do Tivoli Access Manager para
uso dentro do JRE atual, vá para o diretório install_dir/sbin e digite o
seguinte comando:
pdjrtecfg -action config
Nota: Para obter informações adicionais sobre o comando pdjrtecfg, consulte
IBM Tivoli Access Manager Command Reference.
AIX
Capítulo 3. Instalando o Tivoli Access Manager no AIX 47
Instalando e Configurando um Sistema Web Portal Manager
Execute estas etapas para instalar e configurar um sistema Web Portal Manager:
1. Instale o GSKit. Consulte a seção “Instalando o IBM Global Security Toolkit”
na página 45.
2. Instale o IBM Directory Client. Consulte a seção “Instalando o IBM Directory
Client” na página 46.
3. Instale o IBM WebSphere Application Server, Advanced Single Server 4.0.
Consulte a seção “Instalando o IBM WebSphere Application Server, Advanced
Single Server” na página 49.
4. Instale o IBM WebSphere Application Server FixPack 3. Consulte a seção
“Instalando o IBM WebSphere Application Server FixPack 3” na página 50.
5. Instale o componente de tempo de execução Java do Tivoli Access Manager.
Para isto, digite o seguinte:
installp -c -a -g -X -d /dev/cd0 PDJ.rte
Nota: A configuração do componente de tempo de execução Java do Tivoli
Access Manager não é obrigatória. Além disso, não é obrigatório
instalar um JRE específico da plataforma. O WebSphere instala um JRE
específico da plataforma e configura o Java Runtime Environment do
Tivoli Access Manager para uso dentro do JRE atual.
6. Instale o configure os componentes de tempo de execução e o Web Portal
Manager do Tivoli Access Manager. Consulte a seção “Instalando e
Configurando Componentes do Tivoli Access Manager” na página 46.
Nota: Os componentes de tempo de execução e Web Portal Manager do Tivoli
Access Manager devem ser instalados no mesmo sistema que o IBM
WebSphere Application Server. Além disso, se você instalar o IBM
WebSphere Application Server depois de instalar o tempo de execução
do Tivoli Access Manager, assegure-se de que a versão do GSKit à qual
o Tivoli Access Manager oferece suporte esteja instalada.
7. Antes de iniciar a interface do Web Portal Manager, assegure-se de que o
WebSphere Application Server esteja sendo executado. Para isso, execute o
script startServer.sh, localizado no diretório /usr/WebSphere/AppServer/bin.
Nota: O processo de configuração configura automaticamente o IBM
WebSphere Application Server para comunicação SSL na porta 443.
8. O suporte a SSL é ativado automaticamente entre o navegador e o IBM HTTP
Server, por meio de um arquivo de chaves SSL padrão e um arquivo stash.
Esses arquivos são fornecidos somente para avaliação. Você deve adquirir seu
próprio certificado e substituir os seguintes arquivos do sistema:
/var/PolicyDirector/keytab/pdwpm.kdb
Especifica o arquivo de banco de dados de chaves. O caminho do
arquivo é especificado no arquivo httpd.conf.
/var/PolicyDirector/keytab/pdwpm.sth
Especifica o arquivo no qual a senha do banco de dados de chaves
está armazenada. 9. Se você tiver instalado um servidor LDAP que não utiliza o IBM HTTP Server
e estiver instalando o Web Portal Manager no mesmo sistema, assegure-se de
que as portas do servidor da Web sejam diferentes. Para alterar a porta padrão
do IBM HTTP Server, edite o arquivo /usr/HTTPServer/conf/httpd.conf e
altere a porta padrão 80 para 8080 como mostrado:
AIX
48 IBM Tivoli Access Manager: Guia de Instalação Base
# Port: A porta de atendimento independente.
Port 8080
10. Para acessar a interface do Web Portal Manager, digite o seguinte endereço no
navegador da Web:
https://hostname/pdadmin
em que hostname é o nome do host que está executando o IBM HTTP Server.
Nota: Para comunicações seguras com o IBM HTTP Server, utilize https em
vez de http.
Será exibido um diálogo de conexão segura, juntamente com a tela de boas
vindas do Web Portal Manager.
Instalando o IBM WebSphere Application Server, Advanced
Single Server
Para instalar o IBM WebSphere Application Server, Advanced Single Server 4.0,
execute estas etapas:
1. Efetue login no sistema como root (raiz).
2. Insira o CD do Web Portal Manager do IBM Tivoli Access Manager para AIX.
3. Vá para o diretório usr/sys/inst.images/WebSphere na unidade em que o CD
está localizado.
4. Proceda de uma das seguintes maneiras:
v Para instalar o IBM WebSphere Application Server utilizando a GUI, digite o
seguinte:
./install.sh
v Para utilizar um arquivo de resposta, execute o script install.sh conforme a
seguir, e depois vá para “Instalando o IBM WebSphere Application Server
FixPack 3” na página 50.
./install.sh -silent -responseFile ./install.script \
-prereqfile ./prereq.properties
A janela WebSphere Application Server, Advanced Single Server Edition será
exibida. Clique em Next (Avançar) para continuar.
Nota: Visualize a tela durante o processo de instalação, para ficar atento às
instruções solicitadas e à ocorrência de erros.
5. Selecione Typical Installation (Instalação Típica) (a opção padrão) e clique em
Next (Avançar).
6. Os caminhos padrão são exibidos para o diretório de destino do WebSphere
Application Server e o IBM HTTP Server. Se o sistema já tiver uma versão
suportada do IBM HTTP Server instalada, essa opção não será exibida. Anote
esses caminhos e selecione Next (Avançar) para aceitar os padrões.
Nota: Os caminhos a seguir serão solicitados durante a instalação do
WebSphere Application Server FixPack 3. Os caminhos padrão são os
seguintes:
v WebSphere Application Server: /usr/WebSphere/AppServer.
v IBM HTTP Server: /usr/HTTPServer
É exibido um diálogo indicando as seleções de instalação. Selecione Instalar
para começar o processo de instalação.
AIX
Capítulo 3. Instalando o Tivoli Access Manager no AIX 49
7. O IBM WebSphere Application Server instala o IBM HTTP Server. É necessário
instalar a correção a seguir, localizada no diretório raiz no CD do Web Portal
Manager do IBM Tivoli Access Manager para AIX. Para isto, digite o seguinte:
http_1319_efix2.sh
8. Para instalar o FixPack, consulte “Instalando o IBM WebSphere Application
Server FixPack 3”.
Instalando o IBM WebSphere Application Server FixPack 3
Para instalar o IBM WebSphere Application Server FixPack 3, execute estas etapas:
1. Pare o WebSphere Application Server, o HTTP Server e o servidor LDAP (se
instalado no mesmo sistema).
2. Insira o CD do Web Portal Manager do IBM Tivoli Access Manager para AIX.
3. Vá para o diretório /usr/sys/inst.images/WebSphere_PTF3 na unidade na qual
o CD está localizado e execute o seguinte script:
install.sh
4. Digite o diretório inicial do IBM WebSphere Application Server e pressione
Enter. Por exemplo, digite o seguinte:
/usr/WebSphere/AppServer
5. Selecione Yes (Sim) para utilizar o Application Server.
6. Selecione Yes (Sim) para efetuar a atualização do JDK.
7. Se estiver utilizando o Diretório iPlanet como registro, selecione Yes (Sim)
para utilizar a configuração do servidor da web iPlanet para suporte pelo
WebSphere. Caso contrário, selecione No (Não).
8. Selecione Yes (Sim) para atualizar o IBM HTTP Server.
9. Se estiver utilizando o IBM HTTP Server, digite seu diretório inicial e
pressione Enter. Por exemplo, digite o seguinte:
/usr/HTTPServer
10. Selecione Yes (Sim) para utilizar o diretório de Logs do Application Server.
11. Selecione Yes (Sim) para colocar backups no diretório inicial do WebSphere
Application Server.
O upgrade é iniciado. Um prompt exibe a mensagem Efetuando upgrade do
IBM JDK. Esse upgrade instala o IBM Developer Kit para AIX® no diretório
WebSphere. Não haverá conflito se você já tiver o toolkit instalado em outra
parte do sistema.
Quando o upgrade estiver concluído, um aviso exibirá a mensagem
Instalação concluída sem erros. Consulte o log de atividades para obter
detalhes. Pressione qualquer tecla para continuar.
12. Pressione qualquer tecla para continuar.
O WebSphere Application Server, Advanced Single Server 4.0 e FixPack 3
estão agora instalados.
13. Inicie novamente o sistema para que alterações sejam efetivadas.
AIX
50 IBM Tivoli Access Manager: Guia de Instalação Base
Desinstalando o Tivoli Access Manager
Antes de começar
v Pare todos os serviços e aplicativos do Tivoli Access Manager antes de
desinstalar os componentes.
v Desconfigure os aplicativos do Tivoli Access Manager, como o WebSEAL,
antes de desconfigurar o servidor de política e os componentes de tempo
de execução do Tivoli Access Manager.
v Desconfigure e remova o sistema do servidor de políticas por último.
A remoção da instalação do Tivoli Access Manager é um processo em duas partes.
Você deve desconfigurar os componentes e, em seguida, removê-los, a menos que
seja instruído de outra maneira, tal como durante o processo de upgrade.
Esta seção inclui os seguintes tópicos principais:
v “Desconfigurando os Componentes do Tivoli Access Manager”
v “Removendo Pacotes do Tivoli Access Manager”
Desconfigurando os Componentes do Tivoli Access Manager
Antes de remover pacotes do Tivoli Access Manager, assegure-se de que o
componente esteja desconfigurado. Para fazer isso, siga estas etapas:
1. Efetue login no sistema como root (raiz).
2. Para iniciar o utilitário de configuração, digite o seguinte:
pdconfig
O Access Manager for e-business Setup Menu (Menu de Configuração do
Access Manager para e-business) será exibido.
3. Para desconfigurar um componente, digite o número do item de menu para o
componente do Tivoli Access Manager. Repita esse procedimento para cada
pacote que você deseja desconfigurar.
Notas
v Se um componente não estiver configurado, você pode simplesmente
removê-lo. Vá para “Removendo Pacotes do Tivoli Access Manager”.
v Se você estiver desconfigurando um servidor, serão solicitados o nome
distinto e a senha do usuário administrativo LDAP.
v Desconfigurar o servidor de políticas remove todas as informações de
configuração e autorização do domínio seguro. Isso inclui as informações
utilizadas pelos aplicativos do Tivoli Access Manager, tal como o WebSEAL.
Para continuar, digite y.4. Para desconfigurar o Java Runtime Environment do Tivoli Access Manager,
utilize o comando pdjrtecfg. Por exemplo, digite o seguinte para desconfigurar
o JRE especificado pela variável jre_path:
pdjrtecfg -action unconfig -java_home jre_path
Nota: Assegure-se de utilizar o comando pdjrtecfg para cada JRE configurado.
Para obter informações adicionais, consulte o IBM Tivoli Access Manager
Command Reference.
Removendo Pacotes do Tivoli Access Manager
Para remover componentes de um sistema AIX, siga estas etapas:
AIX
Capítulo 3. Instalando o Tivoli Access Manager no AIX 51
1. Certifique-se de que os componentes estejam desconfigurados. Sigas as
instruções em “Desconfigurando os Componentes do Tivoli Access Manager”
na página 51.
2. Para remover um ou mais pacotes e qualquer software dependente, digite o
seguinte:
installp -u -g package
em que package é um dos seguintes:
Nota: Utilize a opção –g apenas se desejar remover o software dependente do
pacote especificado.
PD.AuthADK Indica o Application Development Kit do Tivoli Access
Manager.
PD.Mgr Indica o servidor de política Tivoli Access Manager.
PD.Acld Indica o Tivoli Access Manager Authorization Server.
PD.RTE Indica o tempo de execução do Tivoli Access Manager.
PDJ.rte Indica o Java Runtime Environment do Tivoli Access Manager.
PD.WPM Indica o Web Portal Manager do Tivoli Access Manager.
ldap.client Indica o IBM Directory Client.
ldap.max_crypto_client
Indica o nível mais alto de criptografia para o IBM Directory
Client.
gskkm.rte Indica o GSKit.
AIX
52 IBM Tivoli Access Manager: Guia de Instalação Base
Capítulo 4. Instalando o Tivoli Access Manager no HP-UX
Este capítulo fornece informações sobre a instalação e configuração dos
componentes do Tivoli Access Manager em sistemas HP-UX. São fornecidas
instruções para os métodos de instalação fácil e nativa. Estão incluídas as seguintes
seções principais:
v “Utilizando a Instalação Fácil”
v “Utilizando a Instalação Nativa” na página 54
v “Desinstalandoo Tivoli Access Manager” na página 58
Utilizando a Instalação Fácil
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de ter configurado os sistemas Tivoli Access Manager na
ordem indicada na seção “Processo de Instalação” na página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação fácil. Para obter descrições de opções de configuração
na instalação fácil e instruções passo a passo com ilustrações, consulte o
Capítulo 9, “Casos de Instalação Fácil do UNIX”, na página 103.
Utilize scripts de instalação fácil para criar um domínio seguro ou para incluir
sistemas ou componentes em um já existente. A instalação fácil facilita a instalação
do Tivoli Access Manager, instalando automaticamente os pré-requisitos de
software ao mesmo tempo. Por exemplo, se você executar ezinstall_pdmgr para
configurar o sistema de servidor de política do Tivoli Access Manager, o processo
instala o componente do servidor de política e todos os pré-requisitos de software
e correções. A instalação fácil também detecta quando os produtos necessários
estão instalados e não tenta reinstalá-los. Por exemplo, se você executar
ezinstall_pdacld em um sistema já configurado utilizando install_pdrte, ele não
reinstala GSKit, o IBM Directory Client ou o tempo de execução do Tivoli Access
Manager.
Um script de instalação fácil começa solicitando informações sobre configuração.
Depois que você fornece essas informações, os componentes são instalados e
configurados sem outras intervenções. E se alguma vez for necessário instalar esses
componentes novamente, você poderá utilizar o arquivo de resposta associado que
é gerado durante a execução de um script de instalação fácil. O arquivo de
resposta armazena automaticamente as informações sobre configuração digitadas,
para que não seja necessário fornecê-las novamente. Para obter mais informações,
consulte a seção Capítulo 11, “Utilizando Arquivos de Resposta de Instalação
Fácil”, na página 153.
A Tabela 4 na página 54 lista scripts de instalação fácil para a plataforma HP-UX.
Esses scripts estão localizados no diretório raiz no CD do IBM Tivoli Access
Manager Base para HP-UX.
© Copyright IBM Corp. 2001, 2003 53
Tabela 4. Scripts de Instalação Fácil para HP-UX
Nome do Script Descrição
ezinstall_pdacld Configura o sistema do servidor de autorização com os
seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
v Servidor de autorização do Tivoli Access Manager
ezinstall_pdauthadk Configura o sistema de desenvolvimento do Tivoli Access
Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
v Application Development Kit do Tivoli Access Manager
ezinstall_pdmgr Configura o sistema servidor de política do Tivoli Access
Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
v Servidor de política do Tivoli Access Manager
install_pdrte Configura um sistema de tempo de execução do Tivoli
Access Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
Utilizando a Instalação Nativa
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de seguir as instruções e configurar os sistemas Tivoli Access
Manager na ordem indicada na seção “Processo de Instalação” na página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação nativa. Para obter descrições de opções de
configuração nativa, consulte a seção “Opções de Configuração Nativa
UNIX” na página 185.
Esta seção inclui informações sobre como instalar e configurar os componentes do
Tivoli Access Manager usando os utilitários do sistema operacional nativo.
Diferentemente dos scripts automatizados utilizados na instalação fácil, você deve
instalar manualmente cada componente e quaisquer correções necessárias na
ordem apropriada.
Esta seção inclui os seguintes tópicos principais:
v “Instalando o IBM Global Security Toolkit” na página 55
v “Instalando o IBM Directory Client” na página 55
HP-UX
54 IBM Tivoli Access Manager: Guia de Instalação Base
v “Instalando e Configurando Componentes do Tivoli Access Manager” na página
56
v “Instalando o JRE Específico da Plataforma” na página 57
v “Instalando e Configurando o Java Runtime Environment do Tivoli Access
Manager” na página 57
Instalando o IBM Global Security Toolkit
Para instalar o GSKit em um sistema HP-UX, siga estas etapas:
1. Efetue login no sistema como root (raiz).
2. Insira o CD do IBM Tivoli Access Manager Base para HP-UX.
3. Inicie o pfs_mountd e, em seguida, o pfsd no segundo plano, caso não estejam
em execução. Monte o CD com o comando pfs_mount. Por exemplo, digite o
seguinte:
/usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom
em que /dev/dsk/c0t0d0 é o dispositivo de CD e /cd-rom é o ponto de
montagem.
4. No prompt de comandos, digite o seguinte:
swinstall -s /cd-rom/hp gsk5bas
em que /cd-rom/hp é o diretório.
5. Verifique se SHLIB_PATH está definido como /usr/lib ou /opt/ibm/gsk5/lib. Se
não estiver definido, digite o seguinte:
export SHLIB_PATH=/usr/lib;$SHLIB_PATH
Quando essa variável não está definida, o serviço de autorização do Tivoli
Access Manager pode não conseguir acessar as bibliotecas do GSKit.
Depois de instalar o GSKit, nenhuma configuração é necessária.
Observe que o SHLIB_PATH é requerido apenas para executar o utilitário de
gerenciamento de chaves iKeyman (gsk5ikm), que é instalado com o pacote GSKit.
Isso permite a criação de arquivos de chaves SSL, pares de chaves pública-privada
e solicitações de certificados. Para obter informações adicionais sobre gsk5ikm,
consulte o Apêndice A, “Ativando a Secure Sockets Layer”, na página 161 e o
Secure Sockets Layer Introduction and iKeyman User’s Guide.
Instalando o IBM Directory Client
Para instalar o IBM Directory Client em um sistema HP-UX, execute estas etapas:
1. Assegure-se de ter removido todos os pacotes de clientes LDAP antes de
instalar esta versão.
2. Efetue login no sistema como root (raiz).
3. Insira o CD do IBM Tivoli Access Manager Base para HP-UX.
4. Inicie o pfs_mountd e, em seguida, o pfsd no segundo plano, caso não estejam
em execução. Monte o CD com o comando pfs_mount. Por exemplo, digite o
seguinte:
/usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom
em que /dev/dsk/c0t0d0 é o dispositivo de CD e /cd-rom é o ponto de
montagem.
5. No prompt de comandos, digite o seguinte:
HP-UX
Capítulo 4. Instalando o Tivoli Access Manager no HP-UX 55
swinstall -s /cd-rom/hp LDAPClient
em que /cd-rom/hp é o diretório e LDAPClient é o nome do pacote cliente do
IBM Directory.
6. No diretório raiz do CD do IBM Tivoli Access Manager Base para HP-UX, digite o
seguinte para instalar a correção do IBM Directory Client:
apply_ldap41_patch.sh
Depois de instalar o IBM Directory Client, nenhuma configuração será necessária.
Instalando e Configurando Componentes do Tivoli Access
Manager
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de seguir as instruções e configurar os sistemas Tivoli Access
Manager na ordem indicada na seção “Processo de Instalação” na página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação nativa. Para obter descrições de opções de
configuração nativa, consulte a seção “Opções de Configuração Nativa
UNIX” na página 185.
Para instalar o Tivoli Access Manager no HP-UX, siga estas etapas:
1. Efetue login no sistema como root (raiz).
2. Insira o CD do IBM Tivoli Access Manager Base para HP-UX.
3. Inicie o pfs_mountd e, em seguida, o pfsd no segundo plano, caso não estejam
em execução. Monte o CD com o comando pfs_mount. Por exemplo, digite o
seguinte:
/usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom
em que /dev/dsk/c0t0d0 é o dispositivo de CD e /cd-rom é o ponto de
montagem.
4. No prompt de comandos, digite o seguinte:
swinstall -s /cd-rom/hp package
em que /cd-rom/hp é o diretório e package é um ou mais dos seguintes:
PDRTE Indica o tempo de execução do Tivoli Access Manager.
PDMgr Indica o servidor de política Tivoli Access Manager.
PDAuthADK Indica o Application Development Kit do Tivoli Access
Manager.
PDAcld Indica o Tivoli Access Manager Authorization Server.
PDJrte Indica o Java Runtime Environment do Tivoli Access Manager.
Assegure-se de seguir as instruções da seção “Instalando e
Configurando o Java Runtime Environment do Tivoli Access
Manager” na página 57. Este componente é apenas uma parte
do procedimento de instalação do Java Runtime Environment.5. Para iniciar o utilitário de configuração, digite o seguinte comando:
pdconfig
HP-UX
56 IBM Tivoli Access Manager: Guia de Instalação Base
O Tivoli Access Manager Setup Menu (Menu de Configuração do Tivoli
Access Manager) será exibido.
6. Digite o número do menu para Configure Package (Configurar Pacote). O
Tivoli Access Manager Configuration Menu (Menu de Configuração do
Tivoli Access Manager) será exibido. A lista de pacotes do Tivoli Access
Manager instalados é exibida.
7. Selecione o componente que você deseja configurar, um por vez.
Dependendo do componente selecionado, será solicitado que você forneça
opções de configuração. Para obter assistência para essas opções de
configuração, consulte “Opções de Configuração Nativa UNIX” na página 185.
8. Quando aparecer uma mensagem indicando que um pacote foi configurado
com êxito, pressione Enter para configurar outro componente ou selecione duas
vezes a opção x para fechar o utilitário de configuração.
Instalando o JRE Específico da Plataforma
Um JRE específico da plataforma é necessário para a instalação do componente
Java Runtime do Tivoli Access Manager e de pacotes de suporte ao idioma. Para
instalar o pacote JRE pré-requisito para HP-UX, digite o seguinte comando:
swinstall -s /cd_drive/hp rte_13101os11.depot B9789AA
em que /cd_drive é o ponto de montagem do CD e /cd_drive/hp é o diretório.
Para definir o caminho da variável de ambiente, digite o seguinte:
PATH=java_path:$PATH
Para verificar se há suporte ao nível de JRE no sistema, consulte o IBM Tivoli
Access Manager - Notas sobre o Release.
Instalando e Configurando o Java Runtime Environment do
Tivoli Access Manager
Para instalar e configurar o Java Runtime Environment do Tivoli Access Manager,
execute estas etapas:
1. Efetue login no sistema como root (raiz).
2. Insira o CD do IBM Tivoli Access Manager Base para HP-UX.
3. Inicie o pfs_mountd e, em seguida, o pfsd no segundo plano, caso não estejam
em execução. Monte o CD com o comando pfs_mount.
4. Instale um JRE específico da plataforma, para o qual exista suporte. Para obter
instruções, consulte “Instalando o JRE Específico da Plataforma”.
5. Para instalar o Java Runtime Environment do Tivoli Access Manager, digite o
seguinte:
swinstall -s /cd-rom/hp PDJrte
6. Para configurar o Java Runtime Environment para uso dentro do JRE atual, vá
para o diretório install_dir/sbin e digite o seguinte comando:
pdjrtecfg -action config -java_home jre_path
Nota: Para obter informações adicionais sobre o comando pdjrtecfg, consulte
IBM Tivoli Access Manager Command Reference.
HP-UX
Capítulo 4. Instalando o Tivoli Access Manager no HP-UX 57
Desinstalandoo Tivoli Access Manager
Antes de começar
v Pare todos os serviços e aplicativos do Tivoli Access Manager antes de
desinstalar os componentes.
v Desconfigure os aplicativos do Tivoli Access Manager, como o WebSEAL,
antes de desconfigurar o servidor de política e os componentes de tempo
de execução do Tivoli Access Manager.
v Desconfigure e remova o sistema do servidor de políticas por último.
A remoção da instalação do Tivoli Access Manager é um processo em duas partes.
Você deve desconfigurar os componentes e, em seguida, removê-los, a menos que
seja instruído de outra maneira, tal como durante o processo de upgrade.
Esta seção inclui os seguintes tópicos:
v “Desconfigurando os Componentes do Tivoli Access Manager”
v “Removendo Pacotes do Tivoli Access Manager”
Desconfigurando os Componentes do Tivoli Access Manager
Antes de remover pacotes do Tivoli Access Manager de um sistema UNIX, você
deve desconfigurar os componentes. Para fazer isso, siga estas etapas:
1. Efetue login no sistema como root (raiz).
2. Para iniciar o utilitário de configuração, digite o seguinte comando:
pdconfig
O Tivoli Access Manager Setup Menu (Menu de Configuração do Tivoli
Access Manager) será exibido.
3. Pressione 2 para exibir o menu de Desconfiguração. Em seguida, digite o
número do item de menu do componente do Tivoli Access Manager que deseja
desconfigurar. Repita esse procedimento para cada pacote que você deseja
desconfigurar.
Notas:
v Se um componente não estiver configurado, você pode simplesmente
removê-lo. Vá para “Removendo Pacotes do Tivoli Access Manager”.
v Se você estiver desconfigurando um servidor, será exibido um aviso
solicitando o nome distinto e a senha do usuário administrativo LDAP.
v Desconfigurar o servidor de políticas remove todas as informações de
configuração e autorização do domínio seguro. Isso inclui as informações
utilizadas pelos aplicativos do Tivoli Access Manager, tal como o WebSEAL.
Para continuar, digite y.4. Para desconfigurar o Java Runtime Environment do Tivoli Access Manager,
utilize o comando pdjrtecfg. Por exemplo, digite o seguinte para desconfigurar
o JRE especificado pela variável jre_path:
pdjrtecfg -action unconfig -java_home jre_path
Nota: Para obter informações adicionais sobre o comando pdjrtecfg, consulte
IBM Tivoli Access Manager Command Reference.
Removendo Pacotes do Tivoli Access Manager
Para remover componentes de um sistema HP-UX, siga estas etapas:
HP-UX
58 IBM Tivoli Access Manager: Guia de Instalação Base
1. Certifique-se de que os componentes estejam desconfigurados. Sigas as
instruções em “Desconfigurando os Componentes do Tivoli Access Manager”
na página 58.
2. Para remover um ou mais pacotes, digite o seguinte:
swremove package
em que package é um ou mais dos seguintes:
PDAuthADK Indica o ADK.
PDMgr Indica o servidor de política Tivoli Access Manager.
PDAcld Indica o Tivoli Access Manager Authorization Server.
PDRTE Indica o tempo de execução do Tivoli Access Manager.
PDJrte Indica o Java Runtime Environment do Tivoli Access Manager.
LDAPClient Indica o IBM Directory Client.
gsk5bas Indica o GSKit.
É exibido um aviso indicando que o script de pré-remoção está sendo
executado. Cada arquivo é listado à medida que é removido.
HP-UX
Capítulo 4. Instalando o Tivoli Access Manager no HP-UX 59
HP-UX
60 IBM Tivoli Access Manager: Guia de Instalação Base
Capítulo 5. Instalando o Tivoli Access Manager no Linux
Este capítulo fornece informações sobre a instalação e configuração dos
componentes do Tivoli Access Manager em sistemas Red Hat Linux e Linux no
zSeries. São fornecidas instruções para os métodos de instalação fácil e nativa.
Estão incluídas as seguintes seções principais:
v “Utilizando a Instalação Fácil (Somente no Red Hat Linux)”
v “Utilizando a Instalação Nativa” na página 62
v “Desinstalando o Tivoli Access Manager” na página 67
A Tabela 5 relaciona os componentes Tivoli Access Manager suportados e os
métodos de instalação.
Tabela 5. Componentes do Tivoli Access Manager suportados
Componente Red Hat Linux Linux no zSeries
Fácil Nativa Fácil Nativa
Application Development Kit do
Tivoli Access Manager
U U U
Tivoli Access Manager
Authorization Server
U
Java Runtime Environment do
Tivoli Access Manager
U
Servidor de critério do Tivoli
Access Manager
U
Tempo de execução do Tivoli
Access Manager
U U U
Utilizando a Instalação Fácil (Somente no Red Hat Linux)
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de ter configurado os sistemas Tivoli Access Manager na
ordem indicada na seção “Processo de Instalação” na página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação fácil. Para obter descrições de opções de configuração
na instalação fácil e instruções passo a passo com ilustrações, consulte o
Capítulo 9, “Casos de Instalação Fácil do UNIX”, na página 103.
v Antes de executar os scripts de instalação fácil, certifique-se de que o ksh
esteja instalado ou crie um link de software para o bash, conforme
mostrado:
ln -s /bin/bash /bin/ksh
v Antes de instalar os componentes, remova o pacote nss_ldap-149.1 ou
outros pacotes LDAP em conflito, se instalados.
Utilize scripts de instalação fácil para criar um domínio seguro ou para incluir
sistemas ou componentes em um já existente. A instalação fácil facilita a instalação
© Copyright IBM Corp. 2001, 2003 61
do Tivoli Access Manager, instalando automaticamente os pré-requisitos de
software ao mesmo tempo. Por exemplo, você pode executar install_pdrte para
configurar um ambiente de tempo de execução e, em seguida, executar
ezinstall_pdauthadk em um sistema diferente para instalar um servidor de
autorização separado. Ou, você pode executar ambos os scripts para instalar e
configurar esses componentes no mesmo sistema. A instalação fácil também detecta
quando os produtos necessários estão instalados e não tenta reinstalá-los.
Um script de instalação fácil começa solicitando informações sobre configuração.
Depois que você fornece essas informações, os componentes são instalados e
configurados sem outras intervenções. E se alguma vez for necessário instalar esses
componentes novamente, você poderá utilizar o arquivo de resposta associado que
é gerado durante a execução de um script de instalação fácil. O arquivo de
resposta armazena automaticamente as informações sobre configuração digitadas,
para que não seja necessário fornecê-las novamente. Para obter mais informações,
consulte a seção Capítulo 11, “Utilizando Arquivos de Resposta de Instalação
Fácil”, na página 153.
A Tabela 6 relaciona scripts de instalação fácil para a plataforma Red Hat Linux.
Esses scripts estão localizados no diretório raiz no CD do IBM Tivoli Access
Manager Base para Linux.
Tabela 6. Scripts de Instalação Fácil para Red Hat Linux
Nome do Script Descrição
ezinstall_pdauthadk Configura um sistema de desenvolvimento do Tivoli Access
Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
v Application Development Kit do Tivoli Access Manager
install_pdrte Configura um sistema de tempo de execução do Tivoli
Access Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
Utilizando a Instalação Nativa
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de seguir as instruções e de configurar os sistemas Tivoli
Access Manager na ordem indicada na seção “Processo de Instalação” na
página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação nativa. Para obter descrições de opções de
configuração nativa, consulte a seção “Opções de Configuração Nativa
UNIX” na página 185.
Esta seção inclui informações sobre como instalar e configurar os componentes do
Tivoli Access Manager usando os utilitários do sistema operacional nativo nos
Linux
62 IBM Tivoli Access Manager: Guia de Instalação Base
sistemas Red Hat Linux e Linux no zSeries. Diferentemente dos scripts
automatizados utilizados na instalação fácil, você deve instalar manualmente cada
componente e quaisquer correções necessárias na ordem apropriada.
Esta seção inclui os seguintes tópicos principais:
v “Instalando o IBM Global Security Toolkit”
v “Instalando o IBM Directory Client” na página 64
v “Instalando e Configurando Componentes do Tivoli Access Manager” na página
65
v “Instalando o JRE Específico da Plataforma” na página 66
v “Instalando e Configurando o Java Runtime Environment do Tivoli Access
Manager (Somente para Red Hat Linux)” na página 67
Instalando o IBM Global Security Toolkit
Para instalar o GSKit em um sistema Linux, siga estas etapas:
1. Log in to the system as root (raiz).
2. Somente para sistemas SuSE SLES-7 de 31 bits: Assegure-se de que o pacote
compat-libstdc++ esteja instalado. Esse pacote, compat.rpm, oferece suporte a
C++ legacy exigido pelo GSKit e está localizado no CD 1 do desenvolvedor do
SuSE SLES-7, no diretório /suse/a1.
Nota: Sistemas SuSE SLES-7 de 64 bits são enviados com o pacote
compat-libstdc++.
3. Insira o CD do IBM Tivoli Access Manager Base para Linux ou do IBM Tivoli
Access Manager Base para Linux no zSeries.
4. Vá para um dos seguintes diretórios:
v Nos sistemas Red Hat Linux, vá para o diretório /mnt/cdrom/linux, em que
/mnt/cdrom é o ponto de mensagem do CD.
v Nos sistemas Linux no zSeries, obtenha acesso aos arquivos rpm do Tivoli
Access Manager Base para Linux no zSeries.
Nota: Por enquanto, o Linux no zSeries não oferece suporte à conexão de
uma unidade de CD. Para obter os arquivos necessários, proceda de
uma das seguintes formas:
– Faça download dos arquivos rpm do Tivoli Access Manager Base
para Linux no zSeries em outra estação de trabalho. Em seguida,
utilize o ftp a fim de transferir os arquivos para um diretório nesse
sistema.
– Monte o CD do Tivoli Access Manager Base para Linux no zSeries
em outra estação de trabalho. Em seguida, utilize NFS para
acessá-lo desse sistema.5. Para instalar o GSKit na localização padrão, proceda da seguinte forma:
v No Red Hat Linux, digite o seguinte:
rpm -i gsk5bas-5.0.5.46.i386.rpm
v No Linux no zSeries, digite o seguinte:
rpm -i gsk5bas-5.0.5.46.s390.rpm
Nota: Ao fazer upgrade do GSKit, utilize a opção –U. Por exemplo, digite o
seguinte:
rpm -U gsk5bas-5.0.5.46.s390.rpm
Linux
Capítulo 5. Instalando o Tivoli Access Manager no Linux 63
6. Nos sistemas Red Hat Linux ou SuSE SLES-7 de 31 bits, assegure-se de ter
definido a variável de ambiente LD_PRELOAD. Para isso, digite o seguinte
comando:
export LD_PRELOAD=/usr/lib/libstdc++-libc6.1-2.so.3
Isso é obrigatório antes de usar os utilitários da linha de comando GSKit e
LDAP.
Depois de instalar o GSKit, nenhuma configuração é necessária. Para obter
informações adicionais sobre o GSKit, consulte o Apêndice A, “Ativando a Secure
Sockets Layer”, na página 161 e o Secure Sockets Layer Introduction and iKeyman
User’s Guide.
Instalando o IBM Directory Client
Para instalar o IBM Directory Client em um sistema Linux, execute estas etapas:
Nota: Remova qualquer versão já existente do IBM Directory Client antes de
instalar esta versão.
1. Efetue login no sistema como root (raiz).
2. Remova o pacote nss_ldap-149-1 ou outros pacotes LDAP em conflito, se
instalados.
3. Insira o CD do IBM Tivoli Access Manager Base para Linux ou do IBM Tivoli
Access Manager Base para Linux no zSeries.
4. Vá para um dos seguintes diretórios:
a. Nos sistemas Red Hat Linux, vá para o diretório /mnt/cdrom/linux, em que
/mnt/cdrom é o ponto de mensagem do CD.
b. Nos sistemas Linux no zSeries, obtenha acesso aos arquivos rpm do Tivoli
Access Manager Base para Linux no zSeries.
Nota: Por enquanto, o Linux no zSeries não oferece suporte à conexão de
uma unidade de CD. Para obter os arquivos necessários, proceda de
uma das seguintes formas:
v Faça download dos arquivos rpm do Tivoli Access Manager Base
para Linux no zSeries em outra estação de trabalho. Em seguida,
utilize o ftp a fim de transferir os arquivos para um diretório nesse
sistema.
v Monte o CD do Tivoli Access Manager Base para Linux no zSeries
em outra estação de trabalho. Em seguida, utilize NFS para
acessá-lo desse sistema.5. Para instalar o IBM Directory Client na localização padrão, proceda de uma das
seguintes formas:
a. No Red Hat Linux, digite o seguinte:
rpm -i ldap-clientd-4.1-1.i386.rpm
rpm -i ldap-dmtjavad-4.1-1.i386.rpm
b. No Linux no zSeries, digite o seguinte:
rpm -i ldap-clientd-4.1-1.s390.rpm
6. Nos sistemas Red Hat Linux ou SuSE SLES-7 de 31 bits, assegure-se de ter
definido a variável de ambiente LD_PRELOAD. Para isso, digite o seguinte
comando:
export LD_PRELOAD=/usr/lib/libstdc++-libc6.1-2.so.3
Linux
64 IBM Tivoli Access Manager: Guia de Instalação Base
Isto é obrigatório antes de usar os utilitários da linha de comando GSKit e
LDAP, que utilizam SSL.
Depois de instalar o IBM Directory Client, nenhuma configuração será necessária.
Instalando e Configurando Componentes do Tivoli Access
Manager
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de seguir as instruções e de configurar os sistemas Tivoli
Access Manager na ordem indicada na seção “Processo de Instalação” na
página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação nativa. Para obter descrições de opções de
configuração nativa, consulte a seção “Opções de Configuração Nativa
UNIX” na página 185.
Para instalar os componentes do Tivoli Access Manager no Red Hat Linux ou no
Linux no zSeries, execute estas etapas:
1. Efetue login no sistema como root (raiz).
2. Insira o CD do IBM Tivoli Access Manager Base para Linux ou do IBM Tivoli
Access Manager Base para Linux no zSeries.
3. Vá para um dos seguintes diretórios:
a. Nos sistemas Red Hat Linux, vá para o diretório /mnt/cdrom/linux, em que
/mnt/cdrom é o ponto de mensagem do CD.
b. Nos sistemas Linux no zSeries, obtenha acesso aos arquivos rpm do Tivoli
Access Manager Base para Linux no zSeries.
Nota: Por enquanto, o Linux no zSeries não oferece suporte à conexão de
uma unidade de CD. Para obter os arquivos necessários, proceda de
uma das seguintes formas:
v Faça download dos arquivos rpm do Tivoli Access Manager Base
para Linux no zSeries em outra estação de trabalho. Em seguida,
utilize o ftp a fim de transferir os arquivos para um diretório nesse
sistema.
v Monte o CD do Tivoli Access Manager Base para Linux no zSeries
em outra estação de trabalho. Em seguida, utilize NFS para
acessá-lo desse sistema.4. Para instalar componentes na localização padrão, digite um dos seguintes
comandos:
v Para instalar os componentes do Tivoli Access Manager:
rpm -i package
v Para fazer upgrade dos componentes do Tivoli Access Manager:
rpm –U package
em que package é um dos seguintes:
v No Red Hat Linux:
PDRTE-PD-4.1.0-0.i386.rpm Indica o tempo de execução do Tivoli Access
Manager.
Linux
Capítulo 5. Instalando o Tivoli Access Manager no Linux 65
PDAuthADK-PD-4.1.0-0.i386.rpm
Indica o Application Development Kit do
Tivoli Access Manager.
PDJrte-PD-4.1.0-0.i386.rpm Indica o Java Runtime Environment do Tivoli
Access Manager.
Assegure-se de seguir as instruções da seção
“Instalando e Configurando o Java Runtime
Environment do Tivoli Access Manager
(Somente para Red Hat Linux)” na página 67.
Este componente é apenas uma parte do
procedimento de instalação do Java Runtime
Environment.v No Linux no zSeries:
PDRTE-PD-4.1.0-0.s390.rpm Indica o tempo de execução do Tivoli Access
Manager.
PDMgr-PD-4.1.0-0.s390.rpm Indica o servidor de política Tivoli Access
Manager.
PDAcld-PD-4.1.0-0.s390.rpm Indica o Tivoli Access Manager Authorization
Server.
PDAuthADK-PD-4.1.0-0.s390.rpm
Indica o Application Development Kit do
Tivoli Access Manager.
Nota: Durante o processo de upgrade nos sistemas Linux, você pode ignorar
mensagens semelhantes à seguinte:
O Access Manager Runtime ainda está configurado.
Desconfigure o pacote de tempo de execução antes de desinstalar.
A execução do script
PDRTE-PD-3.9.0-0 falhou, status de saída 1
5. Para iniciar o utilitário de configuração, digite o seguinte comando:
pdconfig
O Tivoli Access Manager Setup Menu (Menu de Configuração do Tivoli
Access Manager) será exibido.
6. Digite o número do menu para Configure Package (Configurar Pacote). O
Tivoli Access Manager Configuration Menu (Menu de Configuração do
Tivoli Access Manager) será exibido. A lista de pacotes do Tivoli Access
Manager instalados é exibida.
7. Selecione o componente que você deseja configurar, um por vez.
Dependendo do componente selecionado, será solicitado que você forneça
opções de configuração. Para obter assistência para essas opções de
configuração, consulte “Opções de Configuração Nativa UNIX” na página 185.
8. Quando aparecer uma mensagem indicando que um pacote foi configurado
com êxito, pressione Enter para configurar outro componente ou selecione duas
vezes a opção x para fechar o utilitário de configuração.
Instalando o JRE Específico da Plataforma
Um JRE específico da plataforma é necessário para a instalação do componente
Java Runtime do Tivoli Access Manager e de pacotes de suporte ao idioma. Para
instalar o pacote JRE pré-requisito no Linux, digite um dos seguintes comandos:
v No Red Hat Linux:
Linux
66 IBM Tivoli Access Manager: Guia de Instalação Base
1. Para instalar o JRE, digite o seguinte:
rpm -i IBMJava2-JRE-1.3-10.0.i386.rpm
2. Para definir o caminho da variável de ambiente, digite o seguinte:
export PATH=jre_path:$PATH
v No Linux para zSeries:
1. Obtenha o JRE do CD de Suporte ao Idioma do IBM Tivoli Access Manager.
Também é possível fazer download do IBM Java Runtime Environment,
Versão 1.3.1, a partir do site do IBM Java para Linux, no endereço:
https://www6.software.ibm.com/dl/lxdk/lxdk-p
2. Para instalar o JRE, digite o seguinte:
rmp -i IBMJava2-JRE-1.3.1-2.0.s390.rpm
3. Para assegurar-se de que o JRE possa ser acessado por meio da variável de
ambiente PATH, digite o seguinte:
export PATH=/opt/IBMJava2-s390-131/jre/bin:$PATH
Para verificar se há suporte ao nível de JRE no sistema, consulte o IBM Tivoli
Access Manager - Notas sobre o Release.
Instalando e Configurando o Java Runtime Environment do
Tivoli Access Manager (Somente para Red Hat Linux)
Para instalar o Java Runtime Environment do Tivoli Access Manager em um
sistema Red Hat Linux, execute estas etapas.
Nota: Não há suporte a esse componente no Linux no zSeries.
1. Efetue login no sistema como root (raiz).
2. Insira o CD do IBM Tivoli Access Manager Base para Linux.
3. Altere para o diretório /mnt/cdrom/linux, em que /mnt/cdrom é o ponto de
montagem do CD.
4. Instale um JRE específico da plataforma, para o qual exista suporte. Para obter
instruções, consulte “Instalando o JRE Específico da Plataforma” na página 66.
5. Para instalar o Java Runtime Environment do Tivoli Access Manager na
localização padrão, digite o seguinte:
rpm -i PDJrte-PD-4.1.0-0.i386.rpm
6. Para configurar o Java Runtime Environment do Tivoli Access Manager para
uso dentro do JRE atual, vá para o diretório opt/PolicyDirector/sbin e digite
o seguinte comando:
./pdjrtecfg -action config -java_home jre_path
Nota: Para obter informações adicionais sobre o comando pdjrtecfg, consulte
IBM Tivoli Access Manager Command Reference.
Desinstalando o Tivoli Access Manager
A remoção da instalação do Tivoli Access Manager é um processo em duas partes.
Você deve desconfigurar os componentes e depois remover os pacotes do Tivoli
Access Manager.
Esta seção inclui os seguintes tópicos:
v “Desconfigurando os Componentes do Tivoli Access Manager” na página 68
v “Removendo Pacotes do Tivoli Access Manager” na página 68
Linux
Capítulo 5. Instalando o Tivoli Access Manager no Linux 67
Desconfigurando os Componentes do Tivoli Access Manager
Antes de começar
v Pare todos os serviços e aplicativos do Tivoli Access Manager antes de
desinstalar os componentes.
v Desconfigure os aplicativos do Tivoli Access Manager, como o WebSEAL,
antes de desconfigurar o servidor de política e os componentes de tempo
de execução do Tivoli Access Manager.
v Desconfigure e remova o sistema do servidor de políticas por último.
Antes de remover pacotes do Tivoli Access Manager de um sistema Linux, você
deve desconfigurar os componentes. Para fazer isso, siga estas etapas:
1. Efetue login no sistema como root (raiz).
2. Para iniciar o utilitário de configuração, digite o seguinte comando:
pdconfig
O Tivoli Access Manager Setup Menu (Menu de Configuração do Tivoli
Access Manager) será exibido.
3. Pressione 2 para exibir o menu de Desconfiguração. Em seguida, digite o
número do item de menu do componente do Tivoli Access Manager que deseja
desconfigurar. Repita esse procedimento para cada pacote que você deseja
desconfigurar.
4. Para desconfigurar o Java Runtime Environment do Tivoli Access Manager,
utilize o comando pdjrtecfg. Por exemplo, digite o seguinte para desconfigurar
o JRE especificado pela variável jre_path:
/opt/PolicyDirector/sbin/pdjrtecfg -action unconfig -java_home jre_path
Nota: Para obter informações adicionais sobre o comando pdjrtecfg, consulte
IBM Tivoli Access Manager Command Reference.
Removendo Pacotes do Tivoli Access Manager
Para remover os componentes de um sistema Linux, siga estas etapas:
1. Certifique-se de que você tenha desconfigurado os componentes. Siga as
instruções em “Desconfigurando os Componentes do Tivoli Access Manager”.
2. Para remover um ou mais pacotes, digite o seguinte:
rpm -e package
em que package é um ou mais dos seguintes:
v No Red Hat Linux:
PDAuthADK-PD Indica o Application Development Kit do
Tivoli Access Manager.
PDRTE-PD Indica o tempo de execução do Tivoli Access
Manager.
ldap_clientd Indica o IBM Directory Client.
ldap_dmtjavad Indica a DMT (Directory Management Tool).
gsk5bas-5.0.5.46 Indica o GSKit.v Para Linux no zSeries:
Linux
68 IBM Tivoli Access Manager: Guia de Instalação Base
PDRTE-PD-4.1.1–0 Indica o tempo de execução do Tivoli Access
Manager.
PDAcld-PD-4.1.0–0 Indica o Tivoli Access Manager Authorization
Server.
PDMgr-PD-4.1.0–0 Indica o servidor de política Tivoli Access
Manager.
PDAuthADK-PD-4.1.0–0 Indica o Application Development Kit do
Tivoli Access Manager.
ldap_clientd-4.1.0–0 Indica o IBM Directory Client.
gsk5bas-5.0.5.46 Indica o GSKit.
Linux
Capítulo 5. Instalando o Tivoli Access Manager no Linux 69
Linux
70 IBM Tivoli Access Manager: Guia de Instalação Base
Capítulo 6. Instalando o Tivoli Access Manager no Solaris
Este capítulo fornece informações sobre a instalação e configuração dos
componentes do Tivoli Access Manager em sistemas Solaris. São fornecidas
instruções para os métodos de instalação fácil e nativa. Estão incluídas as seguintes
seções principais:
v “Utilizando a Instalação Fácil”
v “Utilizando a Instalação Nativa” na página 73
v “Desinstalando o Tivoli Access Manager” na página 79
Utilizando a Instalação Fácil
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de seguir as instruções e de configurar os sistemas Tivoli
Access Manager na ordem indicada na seção “Processo de Instalação” na
página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação fácil. Para obter descrições de opções de configuração
na instalação fácil e instruções passo a passo com ilustrações, consulte o
Capítulo 9, “Casos de Instalação Fácil do UNIX”, na página 103.
Utilize scripts de instalação fácil para criar um domínio seguro ou para incluir
sistemas ou componentes em um já existente. A instalação fácil facilita a instalação
do Tivoli Access Manager, instalando automaticamente os pré-requisitos de
software ao mesmo tempo. Por exemplo, se você executar ezinstall_ldap_server
para instalar e configurar o IBM Directory Server como registro do Tivoli Access
Manager, esse script instala o servidor LDAP e todos os softwares e correções
pré-requisito. A instalação fácil também detecta quando os produtos necessários
estão instalados e não tenta reinstalá-los. Por exemplo, se você executar
ezinstall_pdmgr para configurar o servidor de política no mesmo sistema no qual
ezinstall_ldap_server foi executado, ele não reinstala o GSKit e o IBM Directory
Client.
Um script de instalação fácil começa solicitando informações sobre configuração.
Depois que você fornece essas informações, os componentes são instalados e
configurados sem outras intervenções. E se alguma vez for necessário instalar esses
componentes novamente, você poderá utilizar o arquivo de resposta associado que
é gerado durante a execução de um script de instalação fácil. O arquivo de
resposta armazena automaticamente as informações sobre configuração digitadas,
para que não seja necessário fornecê-las novamente. Para obter mais informações,
consulte a seção Capítulo 11, “Utilizando Arquivos de Resposta de Instalação
Fácil”, na página 153.
A Tabela 7 na página 72 relaciona scripts de instalação fácil para a plataforma
Solaris. Todos os programas estão localizados no diretório raiz no CD do IBM
Tivoli Access Manager Base para Solaris, com exceção do ezinstall_pdwpm, que está
localizado no diretório raiz no CD do Web Portal Manager do IBM Tivoli Access
Manager para Solaris.
© Copyright IBM Corp. 2001, 2003 71
Tabela 7. Scripts de Instalação Fácil para Solaris
Nome do Script Descrição
ezinstall_ldap_server Configura um sistema do IBM Directory Server com os
seguintes pacotes de software:
v IBM DB2
v IBM Global Security Toolkit
v IBM HTTP Server
v IBM Directory Client
v IBM Directory Server
Nota: Se já existir uma versão do IBM Directory, remova-a
antes de executar este script.
ezinstall_pdacld Configura o sistema do servidor de autorização com os
seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
v Servidor de autorização do Tivoli Access Manager
ezinstall_pdauthadk Configura um sistema de desenvolvimento do Tivoli Access
Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
v Application Development Kit do Tivoli Access Manager
ezinstall_pdmgr Configura o sistema servidor de política do Tivoli Access
Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
v Servidor de política do Tivoli Access Manager
ezinstall_pdwpm Configura um sistema Web Portal Manager com os
seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
v IBM WebSphere Application Server Single Server e
FixPack 3
v Tivoli Access Manager Web Portal Manager
v Tivoli Access Manager Java Runtime Environment
install_pdrte Configura um sistema de tempo de execução do Tivoli
Access Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Tempo de execução do Tivoli Access Manager
Solaris
72 IBM Tivoli Access Manager: Guia de Instalação Base
Utilizando a Instalação Nativa
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de ter configurado os sistemas Tivoli Access Manager na
ordem indicada na seção “Processo de Instalação” na página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação nativa. Para obter descrições de opções de
configuração nativa, consulte a seção “Opções de Configuração Nativa
UNIX” na página 185.
Esta seção inclui informações sobre como instalar e configurar os componentes do
Tivoli Access Manager usando os utilitários do sistema operacional nativo.
Diferente dos scripts automatizados utilizados na instalação fácil, você deve
instalar manualmente cada componente e software pré-requisito na ordem
apropriada.
Esta seção inclui os seguintes tópicos:
v “Instalando o IBM Global Security Toolkit”
v “Instalando o IBM Directory Client”
v “Instalando e Configurando Componentes do Tivoli Access Manager” na página
74
v “Instalando o JRE Específico da Plataforma” na página 75
v “Instalando e Configurando o Java Runtime Environment do Tivoli Access
Manager” na página 75
v “Instalando e Configurando um Sistema Web Portal Manager” na página 76
Instalando o IBM Global Security Toolkit
Para instalar o GSKit em um sistema Solaris, siga estas etapas:
1. Efetue login no sistema como root (raiz).
2. Insira o CD do IBM Tivoli Access Manager Base para Solaris.
3. Altere para o diretório /cdrom/cdrom0/solaris.
4. Para instalar o arquivo GSKit requerido, digite o seguinte:
pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault gsk5bas
Depois de instalar o GSKit, nenhuma configuração é necessária.
Observe que o utilitário de gerenciamento de chaves iKeyman (gsk5ikm) é
instalado com o pacote GSKit. Isso permite a criação de arquivos de chaves SSL,
pares de chaves pública-privada e solicitações de certificados. Para obter
informações adicionais sobre gsk5ikm, consulte o Apêndice A, “Ativando a Secure
Sockets Layer”, na página 161 e o Secure Sockets Layer Introduction and iKeyman
User’s Guide.
Instalando o IBM Directory Client
Para instalar o IBM Directory Client em um sistema Solaris, execute estas etapas:
1. Efetue login no sistema como root (raiz).
2. Insira o CD do IBM Tivoli Access Manager Base para Solaris.
Solaris
Capítulo 6. Instalando o Tivoli Access Manager no Solaris 73
3. Altere para o diretório /cdrom/cdrom0/solaris.
4. Para instalar o IBM Directory Client, digite o seguinte:
pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldapc
5. Durante a instalação, será perguntado se você deseja utilizar /opt como o
diretório base. Se o espaço permitir, utilize /opt como o diretório de instalação
base. Para aceitar /opt como o diretório base, pressione Enter.
Depois de instalar o IBM Directory Client, nenhuma configuração será necessária.
Instalando e Configurando Componentes do Tivoli Access
Manager
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de ter configurado os sistemas Tivoli Access Manager na
ordem indicada na seção “Processo de Instalação” na página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação nativa. Para obter descrições de opções de
configuração nativa, consulte a seção “Opções de Configuração Nativa
UNIX” na página 185.
Para instalar os componentes do Tivoli Access Manager, siga estas etapas:
1. Efetue login no sistema como root (raiz).
2. Se você não estiver instalando o Tivoli Access Manager a partir de um sistema
de arquivos remoto, proceda de uma das seguintes formas:
v Insira o CD do IBM Tivoli Access Manager Base para Solaris.
v Somente para o componente Web Portal Manager, insira o CD do Web Portal
Manager do IBM Tivoli Access Manager para Solaris.3. Para instalar pacotes do Tivoli Access Manager, digite o seguinte comando:
pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault package
em que -d /cdrom/cdrom0/solaris especifica a localização do pacote e -a
/cdrom/cdrom0/solaris/pddefault especifica a localização do script de
administração da instalação.
Os pacotes instaláveis são mostrados a seguir. Você deve instalar um ou mais
destes pacotes na seguinte ordem:
PDRTE Indica o tempo de execução do Tivoli Access Manager.
PDMgr Indica o servidor de política Tivoli Access Manager.
PDAuthADK Indica o Application Development Kit do Tivoli Access
Manager.
PDAcld Indica o Tivoli Access Manager Authorization Server.
PDWPM Indica o Web Portal Manager do Tivoli Access Manager.
Assegure-se de seguir as instruções da seção “Instalando e
Configurando um Sistema Web Portal Manager” na página 76.
Este componente é apenas uma parte do procedimento de
instalação do Web Portal Manager.
Solaris
74 IBM Tivoli Access Manager: Guia de Instalação Base
PDJrte Indica o Java Runtime Environment do Tivoli Access Manager.
Assegure-se de seguir as instruções da seção “Instalando e
Configurando o Java Runtime Environment do Tivoli Access
Manager”. Este componente é apenas uma parte do
procedimento de instalação do Java Runtime Environment.
Quando o processo de instalação estiver concluído para cada pacote, a seguinte
mensagem será exibida:
A instalação do pacote foi bem sucedida.
4. Para iniciar o utilitário de configuração, digite o seguinte comando:
pdconfig
O Access Manager for e-business Setup Menu (Menu de Configuração do
Access Manager para e-business) será exibido.
5. Digite o número do menu para Configure Package. O Tivoli Access Manager
Configuration Menu (Menu de Configuração do Tivoli Access Manager) será
exibido. A lista de pacotes do Tivoli Access Manager instalados é exibida.
6. Selecione o componente que você deseja configurar, um por vez.
Dependendo do componente selecionado, será solicitado que você forneça
opções de configuração. Para obter assistência para essas opções de
configuração, consulte “Opções de Configuração Nativa UNIX” na página 185.
Nota: Não será solicitado um diretório de instalação. O diretório padrão é /opt.
7. Quando aparecer uma mensagem indicando que um pacote foi configurado
com êxito, pressione Enter para configurar outro componente ou selecione duas
vezes a opção x para fechar o utilitário de configuração.
Instalando o JRE Específico da Plataforma
Um JRE específico da plataforma é necessário para a instalação do componente
Java Runtime do Tivoli Access Manager e de pacotes de suporte ao idioma. Para
instalar o pacote JRE de pré-requisito para o Solaris, digite o seguinte comando:
pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault SUNWj3rt
em que /cdrom/cdrom0/solaris é o diretório no qual o pacote JRE está localizado.
Para definir o caminho da variável de ambiente, digite o seguinte:
PATH=jre_path:$PATH
export PATH
Para verificar se há suporte ao nível de JRE no seu sistema, consulte o IBM Tivoli
Access Manager para e-business: Notas sobre o Release.
Instalando e Configurando o Java Runtime Environment do
Tivoli Access Manager
Para instalar e configurar o Java Runtime Environment do Tivoli Access Manager,
execute estas etapas:
1. Efetue login no sistema como root (raiz).
2. Insira o CD do IBM Tivoli Access Manager Base para Solaris.
3. Instale um JRE específico da plataforma, para o qual exista suporte. Para obter
instruções, consulte o “Instalando o JRE Específico da Plataforma”.
4. Para instalar o Java Runtime Environment do Tivoli Access Manager, digite o
seguinte comando:
Solaris
Capítulo 6. Instalando o Tivoli Access Manager no Solaris 75
pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDJrte
em que -d /cdrom/cdrom0/solaris especifica a localização do pacote e -a
/cdrom/cdrom0/solaris/pddefault especifica a localização do script de
administração da instalação.
5. Para configurar o Java Runtime Environment para uso dentro do JRE atual, vá
para o diretório install_dir/sbin e digite o seguinte comando:
pdjrtecfg -action config -java_home jre_path
Nota: Para obter informações adicionais sobre o comando pdjrtecfg, consulte
IBM Tivoli Access Manager Command Reference.
Instalando e Configurando um Sistema Web Portal Manager
Execute estas etapas para instalar e configurar um sistema Web Portal Manager:
1. Instale o GSKit. Consulte a seção “Instalando o IBM Global Security Toolkit”
na página 73.
2. Instale o IBM Directory Client. Consulte a seção “Instalando o IBM Directory
Client” na página 73.
3. Instale o IBM WebSphere Application Server, Advanced Single Server 4.0.
Consulte a seção “Instalando o IBM WebSphere Application Server, Advanced
Single Server” na página 77.
4. Instale o IBM WebSphere Application Server, FixPack 3. Consulte a seção
“Instalando o IBM WebSphere Application Server FixPack 3” na página 78.
5. Instale o componente de tempo de execução Java do Tivoli Access Manager.
Para isto, digite o seguinte:
pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDJrte
em que -d /cdrom/cdrom0/solaris especifica a localização do pacote e -a
/cdrom/cdrom0/solaris/pddefault especifica a localização do script de
administração da instalação.
Nota: A configuração do componente de tempo de execução Java do Tivoli
Access Manager não é obrigatória. Além disso, não é obrigatório
instalar um JRE específico da plataforma. O WebSphere instala um JRE
específico da plataforma e configura o Java Runtime Environment do
Tivoli Access Manager para uso dentro do JRE atual.
6. Instale e configure o tempo de execução do Tivoli Access Manager e os
componentes do Web Portal Manager. Consulte a seção “Instalando e
Configurando Componentes do Tivoli Access Manager” na página 74.
Nota: Os componentes de tempo de execução e Web Portal Manager do Tivoli
Access Manager devem ser instalados no mesmo sistema que o IBM
WebSphere Application Server. Além disso, se você instalar o IBM
WebSphere Application Server depois de instalar o tempo de execução
do Tivoli Access Manager, assegure-se de que a versão do GSKit à qual
o Tivoli Access Manager oferece suporte esteja instalada.
7. Antes de iniciar a interface do Web Portal Manager, assegure-se de que o
WebSphere Application Server esteja sendo executado. Para isso, execute o
script startServer.sh, localizado no diretório /opt/WebSphere/AppServer/bin.
Nota: O processo de configuração configura automaticamente o IBM
WebSphere Application Server para comunicação SSL na porta 443.
Solaris
76 IBM Tivoli Access Manager: Guia de Instalação Base
8. O suporte a SSL é ativado automaticamente entre o navegador e o IBM HTTP
Server, por meio de um arquivo de chaves SSL padrão e um arquivo stash.
Esses arquivos são fornecidos somente para avaliação. Você deve adquirir seu
próprio certificado e substituir os seguintes arquivos do sistema:
/var/PolicyDirector/keytab/pdwpm.kdb
Especifica o arquivo de banco de dados de chaves. O caminho do
arquivo é especificado no arquivo httpd.conf.
/var/PolicyDirector/keytab/pdwpm.sth
Especifica o arquivo no qual a senha do banco de dados de chaves
está armazenada. 9. Se você tiver instalado um servidor LDAP que não utiliza o IBM HTTP Server
e estiver instalando o Web Portal Manager no mesmo sistema, assegure-se de
que as portas do servidor da Web sejam diferentes. Para alterar a porta padrão
do IBM HTTP Server, edite o arquivo /usr/HTTPServer/conf/httpd.conf e
altere a porta padrão 80 para 8080 como mostrado:
# Port: A porta de atendimento independente.
Port 8080
10. Para iniciar o Web Portal Manager, digite o seguinte endereço no navegador
da Web:
https://hostname/pdadmin
em que hostname é o nome do host em execução no IBM HTTP Server.
Nota: Para comunicações seguras com o IBM HTTP Server, agora é necessário
utilizar https em vez de http.
Será exibido um diálogo de conexão segura, juntamente com a tela de boas
vindas do Web Portal Manager.
Instalando o IBM WebSphere Application Server, Advanced
Single Server
Para instalar o IBM WebSphere Application Server, siga estas etapas:
1. Efetue login no sistema como root (raiz).
2. Insira o CD do Web Portal Manager do IBM Tivoli Access Manager para Solaris.
3. Vá para o diretório /solaris/WebSphere na unidade na qual o CD está
localizado.
4. Proceda de uma das seguintes maneiras:
v Para instalar o IBM WebSphere Application Server utilizando a GUI, digite o
seguinte:
./install.sh
v Para utilizar um arquivo de resposta, execute o script install.sh conforme a
seguir e, em seguida, vá para “Instalando o IBM WebSphere Application
Server FixPack 3” na página 78.
./install.sh -silent -responseFile ./install.script \
-prereqfile ./prereq.properties
A janela do WebSphere Application Server, Advanced Single Server Edition
v4.0 é exibida. Clique em Next (Avançar) para continuar.
Nota: Visualize a tela para ficar atento às instruções solicitadas e à ocorrência
de erros.
5. Selecione Typical Installation (Instalação Típica) (a opção padrão) e clique em
Next (Avançar).
Solaris
Capítulo 6. Instalando o Tivoli Access Manager no Solaris 77
6. Os caminhos padrão são exibidos para o diretório de destino do WebSphere
Application Server e o IBM HTTP Server. Se o sistema já tiver o IBM HTTP
Server instalado, essa opção não será exibida. Anote esses caminhos e selecione
Next (Avançar) para aceitar os padrões.
Nota: Os caminhos a seguir serão solicitados durante a instalação do FixPack
do WebSphere Application Server. Os caminhos padrão são os seguintes:
v WebSphere Application Server: /opt/WebSphere/AppServer
v IBM HTTP Server: /opt/IBMHTTPD
É exibido um diálogo indicando as seleções de instalação. Selecione Instalar
para começar o processo de instalação.
7. O IBM WebSphere Application Server instala o IBM HTTP Server. É necessário
instalar a correção a seguir, localizada no diretório raiz no CD do Web Portal
Manager do IBM Tivoli Access Manager para Solaris CD. Para isto, digite o
seguinte:
http_1319_efix2.sh
8. Para instalar o FixPack, consulte “Instalando o IBM WebSphere Application
Server FixPack 3”.
Instalando o IBM WebSphere Application Server FixPack 3
Para instalar o IBM WebSphere Application Server FixPack 3, execute estas etapas:
1. Pare o WebSphere Application Server, o HTTP Server e o servidor LDAP (se
instalado no mesmo sistema).
2. Insira o CD do Web Portal Manager do IBM Tivoli Access Manager para Solaris.
3. Vá para o diretório /usr/sys/inst.images/solaris/WebSphere_PTF3 e execute
o seguinte script:
install.sh
4. Digite o diretório inicial do IBM WebSphere Application Server e pressione
Enter. Por exemplo, digite o seguinte:
/opt/WebSphere/AppServer
5. Selecione Yes (Sim) para utilizar o Application Server.
6. Selecione Yes (Sim) para efetuar a atualização do JDK.
7. Se estiver utilizando o Diretório iPlanet como registro, selecione Yes (Sim)
para utilizar a configuração do servidor da web iPlanet para suporte pelo
WebSphere. Caso contrário, selecione No (Não).
8. Selecione Yes (Sim) para atualizar o IBM HTTP Server.
9. Se estiver utilizando o IBM HTTP Server, digite seu diretório inicial e
pressione Enter. Por exemplo, digite o seguinte:
/opt/IBMHTTP
10. Selecione Yes (Sim) para utilizar o diretório de Logs do Application Server.
11. Selecione Yes (Sim) para colocar backups no diretório inicial do WebSphere
Application Server.
O upgrade é iniciado. Um aviso exibe a mensagem Efetuando upgrade do IBM
JDK. Este upgrade instala o IBM Developer Kit para Solaris no diretório
WebSphere. Não haverá conflito se você já tiver o toolkit instalado em outra
parte do sistema.
Quando o upgrade estiver concluído, um aviso exibirá a mensagem
Instalação concluída sem erros. Consulte o log de atividades para obter
detalhes. Pressione qualquer tecla para continuar.
12. Pressione qualquer tecla para continuar.
Solaris
78 IBM Tivoli Access Manager: Guia de Instalação Base
O WebSphere Application Server Single Server 4.0 e o FixPack 3 estão
instalados.
13. Inicie novamente o sistema para que alterações sejam efetivadas.
Desinstalando o Tivoli Access Manager
Antes de começar
v Pare todos os serviços e aplicativos do Tivoli Access Manager antes de
desinstalar os componentes.
v Desconfigure os aplicativos do Tivoli Access Manager, como o WebSEAL,
antes de desconfigurar o servidor de política e os componentes de tempo
de execução do Tivoli Access Manager.
v Desconfigure e remova o sistema do servidor de políticas por último.
A remoção da instalação do Tivoli Access Manager é um processo em duas partes.
Você deve desconfigurar os componentes e, em seguida, removê-los, a menos que
seja instruído de outra maneira, tal como durante o processo de upgrade.
Esta seção inclui os seguintes tópicos:
v “Desconfigurando os Componentes do Tivoli Access Manager”
v “Removendo Pacotes do Tivoli Access Manager” na página 80
Desconfigurando os Componentes do Tivoli Access Manager
Antes de remover pacotes do Tivoli Access Manager de um sistema UNIX, você
deve desconfigurar os componentes. Para fazer isso, siga estas etapas:
1. Efetue login no sistema como root (raiz).
2. Altere para o seguinte diretório:
cd /opt/PolicyDirector/bin
3. Para iniciar o utilitário de configuração, digite o seguinte comando:
pdconfig
O Tivoli Access Manager Setup Menu (Menu de Configuração do Tivoli
Access Manager) será exibido.
4. Digite o número do item de menu referente ao componente do Tivoli Access
Manager que deseja desconfigurar. Você deve desconfigurar os componentes na
ordem inversa em que foram configurados. Por exemplo, desconfigure os
componentes na seguinte ordem:
PDRTE Indica o tempo de execução do Tivoli Access Manager.
PDWPM Indica o Web Portal Manager do Tivoli Access Manager.
PDAcld Indica o Tivoli Access Manager Authorization Server.
PDAuthADK Indica o Application Development Kit do Tivoli Access
Manager.
PDMgr Indica o servidor de política Tivoli Access Manager.5. Repita esse procedimento para cada pacote que você deseja desconfigurar.
Notas
v Se um componente não estiver configurado, você pode simplesmente
removê-lo. Vá para a seção “Removendo Pacotes do Tivoli Access Manager”
na página 80.
Solaris
Capítulo 6. Instalando o Tivoli Access Manager no Solaris 79
v Se você estiver desconfigurando um servidor, será exibido um aviso
solicitando o nome distinto e a senha do usuário administrativo LDAP.
v Desconfigurar o servidor de políticas remove todas as informações de
configuração e autorização do domínio seguro. Isso inclui as informações
utilizadas pelos aplicativos do Tivoli Access Manager, tal como o WebSEAL.
Para continuar, digite y.6. Para desconfigurar o Java Runtime Environment do Tivoli Access Manager,
utilize o comando pdjrtecfg. Por exemplo, digite o seguinte para desconfigurar
o JRE especificado pela variável jre_path:
pdjrtecfg -action unconfig -java_home jre_path
Nota: Para obter informações adicionais sobre o comando pdjrtecfg, consulte
IBM Tivoli Access Manager Command Reference.
Removendo Pacotes do Tivoli Access Manager
Para remover os componentes de um sistema Solaris, siga estas etapas:
1. Certifique-se de que os componentes estejam desconfigurados. Para
desconfigurar componentes, siga as instruções da seção “Desconfigurando os
Componentes do Tivoli Access Manager” na página 79.
2. Para remover um ou mais pacotes, digite o seguinte:
pkgrm package
em que package é um ou mais dos seguintes:
PDAuthADK Indica o ADK.
PDMgr Indica o servidor de políticas.
PDAcld Indica o servidor de autorização.
PDRTE Indica o tempo de execução do Tivoli Access Manager.
PDJrte Indica o Java Runtime Environment do Tivoli Access Manager.
PDWPM Indica o Web Portal Manager.
IBMldapc Indica o IBM Directory Client.
gsk5bas Indica o GSKit.3. Quando aparecer um aviso para você confirmar a remoção desses componentes,
digite y.
É exibido um aviso indicando que o script de pré-remoção está sendo executado.
Cada arquivo é listado à medida que é removido.
Solaris
80 IBM Tivoli Access Manager: Guia de Instalação Base
Capítulo 7. Instalando o Tivoli Access Manager no Windows
Este capítulo fornece informações sobre a instalação e configuração dos
componentes do Tivoli Access Manager em sistemas Windows. São fornecidas
instruções para os métodos de instalação fácil e nativa. Estão incluídas as seguintes
seções principais:
v “Utilizando a Instalação Fácil”
v “Utilizando a Instalação Nativa” na página 83
v “Desinstalando o Tivoli Access Manager” na página 92
Utilizando a Instalação Fácil
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de ter configurado os sistemas Tivoli Access Manager na
ordem indicada na seção “Processo de Instalação” na página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação fácil. Para obter descrições de opções de configuração
na instalação fácil e instruções passo a passo com ilustrações, consulte o
Capítulo 10, “Casos de Instalação Fácil do Windows”, na página 127.
Utilize os arquivos em batch de instalação fácil para criar um domínio seguro ou
incluir sistemas ou componentes em um já existente. A instalação fácil facilita a
instalação do Tivoli Access Manager, instalando automaticamente os pré-requisitos
de software ao mesmo tempo. Por exemplo, se você executar
ezinstall_ldap_server.bat para instalar e configurar o IBM Directory Server como
registro do Tivoli Access Manager, o processo instala o servidor LDAP e todos os
softwares e correções pré-requisito. Esse processo também detecta quando os
produtos necessários estão instalados e não tenta reinstalá-los. Por exemplo, se
você executar ezinstall_pdmgr.bat para configurar o servidor de política no mesmo
sistema no qual ezinstall_ldap_server.bat foi executado, ele não reinstala o GSKit e
o IBM Directory Client.
Um arquivo de instalação fácil começa solicitando informações sobre configuração.
Depois que você fornece essas informações, os componentes são instalados e
configurados sem outras intervenções. E se alguma vez for necessário instalar esses
componentes novamente, você poderá utilizar o arquivo de resposta associado que
é gerado durante a execução de um script de instalação fácil. O arquivo de
resposta armazena automaticamente as informações sobre configuração digitadas,
para que não seja necessário fornecê-las novamente. Para obter mais informações,
consulte a seção Capítulo 11, “Utilizando Arquivos de Resposta de Instalação
Fácil”, na página 153.
Lembre-se que é necessário iniciar novamente o sistema intermitentemente durante
todo o processo de instalação fácil nos sistemas Windows. Durante o processo de
instalação, você também pode receber uma notificação de que alguns serviços não
iniciaram. Nenhuma ação é necessária. Continue com o processo de instalação.
© Copyright IBM Corp. 2001, 2003 81
A Tabela 8 relaciona scripts de instalação fácil para a plataforma Windows. Todos
os arquivos de instalação fácil estão localizados no diretório raiz do CD do IBM
Tivoli Access Manager Base para Windows exceto o arquivo ezinstall_pdwpm.bat, que
está no diretório raiz no CD Web Portal Manager do IBM Tivoli Access Manager para
Windows.
Tabela 8. Programas de Instalação Fácil para Windows
Nome do Script Descrição
ezinstall_ldap_server.bat Configura um sistema do IBM Directory Server com os
seguintes pacotes de software:
v IBM DB2
v IBM Global Security Toolkit
v IBM HTTP Server
v IBM Directory Server, que inclui o IBM Directory Client
Nota: Se já existir uma versão do IBM Directory server,
remova-a antes de executar este programa.
ezinstall_pdacld.bat Configura o sistema do servidor de autorização com os
seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Access Manager Runtime
v Access Manager Authorization Server
ezinstall_pdauthadk.bat Configura um sistema de desenvolvimento do Tivoli Access
Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Access Manager Runtime
v Access Manager Application Developer Kit
ezinstall_pdmgr.bat Configura o sistema servidor de política do Tivoli Access
Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Access Manager Runtime
v Access Manager Policy Server
ezinstall_pdwpm.bat Configura um sistema Web Portal Manager com os
seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Access Manager Runtime
v IBM WebSphere Application Server Single Server e
FixPack 3
v Tivoli Access Manager Web Portal Manager
v Access Manager Java runtime
install_pdrte.exe Configura um sistema de tempo de execução do Tivoli
Access Manager com os seguintes pacotes de software:
v IBM Global Security Toolkit
v IBM Directory Client
v Access Manager Runtime
Windows
82 IBM Tivoli Access Manager: Guia de Instalação Base
Utilizando a Instalação Nativa
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de seguir as instruções e de configurar os sistemas Tivoli
Access Manager na ordem indicada na seção “Processo de Instalação” na
página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação nativa. Para obter descrições de opções de
configuração nativa, consulte a seção “Opções de Configuração Nativa do
Windows” na página 188.
Esta seção inclui informações sobre como instalar e configurar os componentes do
Tivoli Access Manager usando os utilitários do sistema operacional nativo.
Diferente dos scripts automatizados utilizados na instalação fácil, você deve
instalar manualmente cada componente e quaisquer correções necessárias.
Esta seção inclui os seguintes tópicos principais:
v “Instalando o IBM Global Security Toolkit”
v “Instalando o IBM Directory Client” na página 84
v “Instalando e Configurando Componentes do Tivoli Access Manager” na página
85
v “Instalando o JRE Específico da Plataforma” na página 86
v “Instalando e Configurando o Java Runtime Environment do Tivoli Access
Manager” na página 87
v “Instalando e Configurando um Sistema Web Portal Manager” na página 88
Instalando o IBM Global Security Toolkit
Para instalar o GSKit em um sistema Windows, siga estas etapas:
1. Efetue login no sistema como um usuário com privilégios administrativos.
2. Insira o CD do IBM Tivoli Access Manager Base para Windows.
3. Em um prompt de comandos, altere para o diretório windows\gskit na unidade
na qual o CD está localizado e digite o seguinte:
setup.exe PolicyDirector
O diálogo Welcome (Bem-vindo) é exibido.
4. Clique em Next (Avançar). O diálogo Choose Destination Location (Escolher
Localização de Destino) é exibido.
5. Aceite o diretório de destino padrão ou clique em Browse (Procurar) para
selecionar um caminho para outro diretório no sistema local. Se o diretório não
existir, é necessário confirmar que você deseja que ele seja criado, ou especificar
um diretório existente.
6. Clique em Next (Avançar) para instalar o GSKit. O diálogo Setup Complete
(Instalação Concluída) é exibido.
7. Clique em Finish (Concluir) para sair do programa de instalação.
8. Inicie novamente o sistema.
Depois de instalar o GSKit, nenhuma configuração é necessária.
Windows
Capítulo 7. Instalando o Tivoli Access Manager no Windows 83
Observe que o utilitário de gerenciamento de chaves iKeyman (gsk5ikm) é
instalado com o pacote GSKit. Isso permite a criação de arquivos de chaves SSL,
pares de chaves pública-privada e solicitações de certificados. Para obter
informações adicionais sobre gsk5ikm, consulte o Apêndice A, “Ativando a Secure
Sockets Layer”, na página 161 e o Secure Sockets Layer Introduction and iKeyman
User’s Guide.
Instalando o IBM Directory Client
Para instalar o IBM Directory Client em um sistema Windows, execute estas
etapas.
Nota: Se você tiver instalado o Active Directory como registro, o IBM Directory
Client não é obrigatório.
1. Efetue login no sistema como um usuário com privilégios administrativos.
2. Insira o CD do IBM Tivoli Access Manager Base para Windows.
3. Execute o arquivo setup.exe no seguinte diretório:
windows\Directory\ismp
O diálogo Choose Setup Language (Escolher Idioma de Configuração) é
exibido.
4. Selecione o idioma que você deseja utilizar para a instalação e clique em OK.
5. O diálogo Welcome (Bem-vindo) é exibido. Clique em Next (Avançar) para
continuar.
6. Leia o acordo de licença. Opte por aceitar os termos e clique em Next
(Avançar).
7. Assegure-se de ter fechado quaisquer programas do Windows em execução e
clique em Next (Avançar) para continuar. Um diálogo informa quais os
pacotes já instalados e se é necessária alguma ação. Atenda aos requisitos e
clique em Next (Avançar).
8. Clique em Next (Avançar) para instalar o IBM Directory no diretório padrão
especificado. Para especificar um diretório diferente, digite um caminho ou
clique em Browse (Procurar) para selecionar um.
9. Selecione o idioma do IBM Directory e clique em Next (Avançar).
Windows
84 IBM Tivoli Access Manager: Guia de Instalação Base
10. Selecione Typical (Típica) para instalar o IBM Directory.
11. Selecione a instalação do SDK Cliente e da DMT (Directory Management Tool)
e clique em Next (Avançar).
12. Revise suas definições atuais e, em seguida, clique em Next (Avançar) para
começar a copiar os arquivos.
13. Quando os arquivos estiverem instalados, o arquivo LEIA-ME será exibido.
Revise o LEIA-ME e clique em Next (Avançar) para continuar.
14. Selecione se deseja iniciar novamente o sistema agora ou depois e clique em
Next (Avançar).
Depois de instalar o IBM Directory Client, nenhuma configuração será necessária.
Instalando e Configurando Componentes do Tivoli Access
Manager
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de seguir as instruções e de configurar os sistemas Tivoli
Access Manager na ordem indicada na seção “Processo de Instalação” na
página 6.
v Familiarize-se com as decisões sobre configuração que devem ser feitas
durante a instalação nativa. Para obter descrições de opções de
configuração nativa, consulte a seção “Opções de Configuração Nativa do
Windows” na página 188.
Para instalar os componentes do Tivoli Access Manager, siga estas etapas:
1. Efetue login no domínio do Windows com privilégios de administrador do
Windows.
2. Para instalar componentes do Tivoli Access Manager, execute uma das
seguintes ações:
v Insira o CD do IBM Tivoli Access Manager Base para Windows.
Windows
Capítulo 7. Instalando o Tivoli Access Manager no Windows 85
v Somente no componente Web Portal Manager, insira o CD do Web Portal
Manager do IBM Tivoli Access Manager para Windows. 3. Execute o arquivo setup.exe no seguinte diretório:
windows\PolicyDirector\Disk Images\Disk1
O diálogo Choose Setup Language (Escolher Idioma de Configuração) é
exibido.
4. Selecione o idioma que você deseja utilizar para a instalação e clique em OK.
O diálogo Welcome (Bem-vindo) é exibido.
5. Clique em Next (Avançar). O diálogo License Agreement (Contrato de
Licença) é exibido.
6. Leia o contrato de licença e clique em Yes (Sim) se você concordar com os
termos. O diálogo Select Packages (Selecionar Pacotes) é exibido.
7. Selecione os pacotes que você deseja instalar no sistema e clique em Next
(Avançar). Se você tiver optado por instalar o tempo de execução ou o Java
Runtime Environment do Tivoli Access Manager, o diálogo Instalação do
Tivoli Access Manager Runtime será exibido. Escolha uma pasta de destino na
qual você deseja instalar os arquivos de configuração de runtime e clique em
Next (Avançar).
Quando a instalação estiver concluída, o diálogo Instalação do Tivoli Access
Manager Concluída será exibido.
Atenção
Para instalar os componentes Web Portal Manager ou Java Runtime
Environment do Tivoli Access Manager, assegure-se de seguir as
instruções da seção “Instalando e Configurando um Sistema Web Portal
Manager” na página 88 ou “Instalando e Configurando o Java Runtime
Environment do Tivoli Access Manager” na página 87.
8. Inicie novamente o sistema para que alterações sejam efetivadas.
9. Depois de iniciar novamente o sistema, selecione Iniciar → Programas → Access
Manager para e-business → Configuração. O diálogo Configuração do Access
Manager para e-business será exibido.
10. Selecione um componente para configurar e clique em Configure
(Configurar). Você deve configurar cada componente separadamente, na
ordem listada.
11. Dependendo do componente selecionado, será solicitado que você forneça
opções de configuração. Para obter assistência para essas opções de
configuração, consulte “Opções de Configuração Nativa do Windows” na
página 188. Após a configuração, o diálogo Configuração do Access Manager
para e-business será exibido novamente.
12. Revise suas seleções e clique em Finish (Concluir). O diálogo Configuração
do Access Manager para e-business será exibido. Selecione um outro
componente na lista para configurar ou clique em Close (Fechar) para sair da
ferramenta.
Instalando o JRE Específico da Plataforma
Um JRE específico da plataforma é necessário para a instalação do componente
Java Runtime do Tivoli Access Manager e de pacotes de suporte ao idioma.
Para instalar o pacote JRE suportado enviado com o Tivoli Access Manager, faça o
seguinte:
Windows
86 IBM Tivoli Access Manager: Guia de Instalação Base
1. Vá para o diretório \windows\JRE na unidade na qual o CD está localizado e
insira o seguinte:
install
2. Siga as instruções on-line. Quando for solicitado a instalar o Java Runtime
Environment como a JVM do Sistema, clique em Yes.
3. Para definir o caminho da variável de ambiente, digite o seguinte:
set PATH=dir_instalação;%PATH%
Por exemplo, se você tiver instalado o IBM Developer Kit para Windows, Java
2 Technology Edition, Versão 1.3.1, no diretório padrão da unidade C, insira o
seguinte:
set PATH=C:\Program Files\IBM\Java131\jre;%PATH%
Instalando e Configurando o Java Runtime Environment do
Tivoli Access Manager
Para instalar e configurar o Java Runtime Environment do Tivoli Access Manager,
execute estas etapas:
1. Efetue login no domínio do Windows com privilégios de administrador do
Windows.
2. Insira o CD do IBM Tivoli Access Manager Base para Windows.
3. Instale um JRE específico da plataforma, para o qual exista suporte. Para
obter instruções, consulte o “Instalando o JRE Específico da Plataforma” na
página 86.
4. Para instalar o Java Runtime Environment do Tivoli Access Manager, execute
o arquivo setup.exe no seguinte diretório:
windows\PolicyDirector\Disk Images\Disk1\PDJRTE\Disk Images\Disk1
O diálogo Choose Setup Language (Escolher Idioma de Configuração) é
exibido.
5. Selecione o idioma que você deseja utilizar para a instalação e clique em OK.
6. A tela Bem-vindo é exibida. Clique em Next (Avançar) para continuar.
7. Leia o contrato de licença e clique em Yes (Sim) se você concordar com os
termos. O diálogo Escolher Localização de Destino é exibido se você não tiver
instalado um Runtime Environment suportado.
8. Aceite o diretório de destino padrão ou clique em Browse (Procurar) para
selecionar um caminho para outro diretório no sistema local. Se o diretório
não existir, é necessário confirmar que você deseja que ele seja criado, ou
especificar um diretório existente.
9. Para começar a copiar os arquivos na pasta de destino, clique em Next
(Avançar). Se desejar rever ou alterar as definições, clique em Back (Voltar).
O diálogo Setup Status (Status da Instalação) é exibido.
10. Quando a instalação do Runtime tiver sido concluída, selecione Yes (Sim)
para iniciar novamente o computador.
11. Para configurar o Java Runtime Environment para uso dentro do JRE atual, vá
para o diretório install_dir\sbin e digite o seguinte comando:
pdjrtecfg -action config
Nota: Para obter informações adicionais sobre o comando pdjrtecfg, consulte
IBM Tivoli Access Manager Command Reference.
Windows
Capítulo 7. Instalando o Tivoli Access Manager no Windows 87
Instalando e Configurando um Sistema Web Portal Manager
Execute estas etapas para instalar e configurar um sistema Web Portal Manager:
1. Instale o GSKit. Consulte a seção “Instalando o IBM Global Security Toolkit”
na página 83.
2. Instale o IBM Directory Client. Consulte a seção “Instalando o IBM Directory
Client” na página 84.
3. Instale o IBM WebSphere Application Server, Advanced Single Server 4.0.
Consulte a seção “Instalando o IBM WebSphere Application Server, Advanced
Single Server” na página 89.
4. Instale o IBM WebSphere Application Server, FixPack 3. Consulte a seção
“Instalando o IBM WebSphere Application Server FixPack 3” na página 91.
5. Instale o componente de tempo de execução Java do Tivoli Access Manager.
Para isto, execute o arquivo setup.exe no seguinte diretório:
windows\PolicyDirector\Disk Images\Disk1
Siga as instruções on-line para instalar o pacote de tempo de execução Java do
Access Manager.
Nota: A configuração do componente de tempo de execução Java do Tivoli
Access Manager não é obrigatória. Além disso, não é obrigatório
instalar um JRE específico da plataforma. O WebSphere instala um JRE
específico da plataforma e configura o Java Runtime Environment do
Tivoli Access Manager para uso dentro do JRE atual.
6. Instale e configure os componentes de tempo de execução e Web Portal
Manager do Tivoli Access Manager. Consulte a seção “Instalando e
Configurando Componentes do Tivoli Access Manager” na página 85.
Nota: Os componentes de tempo de execução e Web Portal Manager do Tivoli
Access Manager devem ser instalados no mesmo sistema que o IBM
WebSphere Application Server. Além disso, se você instalar o IBM
WebSphere Application Server depois de instalar o tempo de execução
do Tivoli Access Manager, assegure-se de que a versão do GSKit à qual
o Tivoli Access Manager oferece suporte esteja instalada.
7. Antes de iniciar a interface do Web Portal Manager, assegure-se de que o
WebSphere Application Server esteja sendo executado. Para isto, clique em
Iniciar → Programas → IBM WebSphere → Application Server 4.0 → Iniciar
Application Server.
Nota: O processo de configuração configura automaticamente o IBM
WebSphere Application Server para comunicação SSL na porta 443.
8. O suporte a SSL é ativado automaticamente entre o navegador e o IBM HTTP
Server, por meio de um arquivo de chaves SSL padrão e um arquivo stash.
Esses arquivos são fornecidos somente para avaliação. Você deve adquirir seu
próprio certificado e substituir os seguintes arquivos do sistema:
C:\Arquivos de Programas\Tivoli\Policy Director\keytab\pdwpm.kdb
Especifica o arquivo de banco de dados de chaves. O caminho do
arquivo é especificado no arquivo httpd.conf.
C:\Arquivos de Programas\Tivoli\Policy Director\keytab\pdwpm.sth
Especifica o arquivo no qual a senha do banco de dados de chaves
está armazenada. 9. Se você tiver instalado um servidor LDAP que não utiliza o IBM HTTP Server
e estiver instalando o Web Portal Manager no mesmo sistema, assegure-se de
Windows
88 IBM Tivoli Access Manager: Guia de Instalação Base
que as portas do servidor da Web sejam diferentes. Para alterar a porta padrão
do IBM HTTP Server, edite o arquivo C:\Arquivos de Programas\IBM HTTP
Server\conf\httpd.conf e altere a porta padrão 80 para 8080 como mostrado:
# Port: A porta de atendimento independente.
Port 8080
10. Para iniciar o Web Portal Manager, digite o seguinte endereço no navegador
da Web:
https://hostname/pdadmin
em que hostname é o nome do host em execução no IBM HTTP Server.
Nota: Para comunicações seguras com o IBM HTTP Server, agora é necessário
utilizar https em vez de http.
Será exibido um diálogo de conexão segura, juntamente com a tela de boas
vindas do Web Portal Manager.
Instalando o IBM WebSphere Application Server, Advanced
Single Server
Para instalar o IBM WebSphere Application Server, siga estas etapas:
1. Efetue login no sistema como um usuário com privilégios administrativos.
2. Insira o CD do Web Portal Manager do IBM Tivoli Access Manager para Windows.
3. Vá para o diretório windows\WebSphere na unidade na qual o CD está
localizado e digite o seguinte:
setup.exe
O diálogo Choose Setup Language (Escolher Idioma de Configuração) é
exibido.
4. Selecione o idioma que você deseja utilizar para a instalação e clique em OK.
5. Assegure-se de que você tenha fechado quaisquer programas do Windows em
execução e clique em Next (Avançar) para continuar.
6. Selecione Typical Installation (Instalação Típica) (a opção padrão) e clique
em Next (Avançar).
7. Na janela Security Options (Opções de Segurança), digite um nome de usuário
e uma senha e selecione Next (Avançar). Este é um nome de usuário e senha
Windows
Capítulo 7. Instalando o Tivoli Access Manager no Windows 89
para o WebSphere, e deve ser um ID de usuário e senha no sistema local.
8. O programa InstallShield apresenta um caminho padrão para o diretório de
destino do WebSphere Application Server e o IBM HTTP Server. Se o sistema
já tiver o IBM HTTP Server instalado, essa opção não será exibida. Aceite
esses padrões selecionando Next (Avançar).
Nota: Anote esses caminhos. Eles serão solicitados durante a instalação do
WebSphere Application Server. Os caminhos padrão são os seguintes:
v WebSphere Application Server: C:\WebSphere\AppServer
v IBM HTTP Server: C:\IBM HTTP Server se estiver instalado como
parte da instalação do WebSphere; c:\Arquivos de Programas\IBM
HTTP Server se estiver instalado como parte do Web Portal Manager
Windows
90 IBM Tivoli Access Manager: Guia de Instalação Base
9. Selecione uma localização da Pasta de Programas do Windows; o padrão é
IBM WebSphere\Application Server V4.0 AES. Selecione Next (Avançar).
O processo de instalação é iniciado.
10. Quando a instalação for concluída, será solicitado que você inicie novamente o
Windows. Selecione No, do not restart Windows (Não, não inicie novamente
o Windows). O sistema será iniciado novamente após a instalação do FixPack
3.
11. O IBM WebSphere Application Server instala o IBM HTTP Server. É necessário
instalar a correção a seguir, localizada diretório raiz do CD do Web Portal
Manager do IBM Tivoli Access Manager para Windows. Para isto, digite o
seguinte:
http_1319_efix2.bat install_path
em que install_path especifica o caminho de instalação do IBM HTTP Server.
O caminho padrão é C:\Arquivos de Programas\IBM HTTP Server.
12. Para instalar o FixPack, consulte “Instalando o IBM WebSphere Application
Server FixPack 3”.
Instalando o IBM WebSphere Application Server FixPack 3
Para instalar o IBM WebSphere Application Server FixPack 3, execute estas etapas:
1. Pare o WebSphere Application Server, o HTTP Server e o servidor LDAP (se
instalado no mesmo sistema).
2. Insira o CD do Web Portal Manager do IBM Tivoli Access Manager para Windows.
3. Em prompt de comandos, vá para o diretório windows\WebSphere\ptf403 na
unidade na qual o CD está localizado.
4. Copie o conteúdo do diretório ptf403 para um diretório temporário no
sistema e execute o seguinte arquivo em batch:
install.bat
5. Digite o diretório inicial do IBM WebSphere Application Server e pressione
Enter. Por exemplo, digite o seguinte:
C:\WebSphere\AppServer
6. Selecione Yes (Sim) para utilizar o Application Server.
7. Selecione Yes (Sim) para efetuar a atualização do JDK.
8. Se estiver utilizando o Diretório iPlanet como registro, selecione Yes (Sim)
para utilizar a configuração do servidor da web iPlanet para suporte pelo
WebSphere. Caso contrário, selecione No (Não).
9. Selecione Yes (Sim) para atualizar o IBM HTTP Server.
Windows
Capítulo 7. Instalando o Tivoli Access Manager no Windows 91
10. Se estiver utilizando o IBM HTTP Server, digite seu diretório inicial e
pressione Enter. Por exemplo, digite o seguinte:
C:\Arquivos de Programas\IBM HTTP Server
11. Selecione Yes (Sim) para utilizar o diretório de Logs do Application Server.
12. Selecione Yes (Sim) para colocar backups no diretório inicial do WebSphere
Application Server. O upgrade será iniciado. Um prompt exibe a mensagem
Upgrade do IBM JDK. Esse upgrade instala o IBM Developer Kit para
Windows no diretório WebSphere. Não haverá conflito se você já tiver o toolkit
instalado em outra parte do sistema.
Quando o upgrade estiver concluído, um aviso exibirá a mensagem
Instalação concluída sem erros. Consulte o log de atividades para obter
detalhes. Pressione qualquer tecla para continuar.
13. Pressione qualquer tecla para continuar.
O WebSphere Application Server Single Server 4.0 e o FixPack 3 estão
instalados.
14. Inicie novamente o sistema para que alterações sejam efetivadas.
Desinstalando o Tivoli Access Manager
Antes de começar
v Pare todos os aplicativos do Tivoli Access Manager antes de desinstalar os
componentes.
v Desconfigure os aplicativos do Tivoli Access Manager, como o WebSEAL,
antes de desconfigurar o servidor de política e os componentes de tempo
de execução do Tivoli Access Manager.
v Desconfigure e remova o sistema do servidor de políticas por último.
A remoção da instalação do Tivoli Access Manager é um processo em duas partes.
Você deve desconfigurar os componentes e, em seguida, removê-los, a menos que
seja instruído de outra maneira, tal como durante o processo de upgrade.
Esta seção inclui os seguintes tópicos:
v “Desconfigurando os Componentes do Tivoli Access Manager”
v “Removendo Pacotes do Tivoli Access Manager” na página 93
Desconfigurando os Componentes do Tivoli Access Manager
Para desconfigurar os componentes do Tivoli Access Manager em um sistema
Windows, siga estas etapas.
Nota: Se você já tiver desconfigurado um componente do Tivoli Access Manager,
não serão solicitadas as informações de nome de administrador e senha
durante o processo de desconfiguração. O utilitário de configuração
armazena essas informações em cache.
1. Efetue login como um usuário do Windows com privilégios de administrador.
2. Assegure-se de que o servidor de registro e o servidor de política estejam sendo
executados (a não ser que você esteja desinstalando o servidor de política do
Tivoli Access Manager).
3. Selecione Iniciar → Programas → Access Manager para e-business →
Configuração ou digite o comando pdconfig a partir de um prompt de
comandos.
Windows
92 IBM Tivoli Access Manager: Guia de Instalação Base
4. No diálogo Configuração do Access Manager para e-business, clique em um
dos componentes do Tivoli Access Manager relacionados. Os componentes
devem ser desconfigurados na seguinte ordem:
v Access Manager Authorization Server
v Access Manager Policy Server
v Access Manager Runtime
v Web Portal Manager do Access Manager
Nota: Apenas para usuários de registro do Active Directory, assegure-se de que
o aplicativo Administration Console esteja fechado antes de
desconfigurar o servidor de política do Tivoli Access Manager.
5. Clique em Unconfigure (Desconfigurar).
6. Se você tiver optado por desconfigurar o servidor de autorização especifique a
senha Principal de Segurança.
7. Se você selecionou para desconfigurar o servidor de políticas, digite o nome do
administrador LDAP (por exemplo, cn=root) e a senha apropriada. É exibida
uma mensagem de aviso informando que a desconfiguração desse pacote
removerá as informações de configuração e autorização de todos os servidores
Tivoli Access Manager no domínio seguro. Clique em Yes (Sim) para remover;
clique em No (Não) para sair dessa tarefa.
8. Para desconfigurar outro componente, sigas as etapas de 4 à 7.
9. Para desconfigurar o Java Runtime Environment do Tivoli Access Manager,
utilize o comando pdjrtecfg. Por exemplo, digite o seguinte para desconfigurar
o JRE especificado pela variável jre_path:
pdjrtecfg -action unconfig -java_home jre_path
Nota: Para obter informações adicionais sobre o comando pdjrtecfg, consulte
IBM Tivoli Access Manager Command Reference.
Removendo Pacotes do Tivoli Access Manager
Para remover os componentes de um sistema Windows, siga estas etapas:
1. Inicie sessão como um usuário do Windows com privilégio de administrador.
2. Selecione Iniciar → Configurações → Painel de controle e, em seguida, clique no
ícone Add/Remove Programs (Adicionar ou Remover Programas).
3. Selecione um dos seguintes componentes e, em seguida, clique em
Add/Remove (Adicionar ou Remover):
v IBM Directory V4.1.1
v Access Manager Authorization Server
v Access Manager Application Development Kit
v Access Manager Java runtime environment
v Access Manager Policy Server
v Access Manager Runtime
v Web Portal Manager do Access Manager
v WebSphere Application Server
O diálogo Choose Setup Language (Escolher Idioma de Configuração) é
exibido.
4. Selecione o idioma que você deseja utilizar para o processo de remoção do
Tivoli Access Manager e clique em OK.
Windows
Capítulo 7. Instalando o Tivoli Access Manager no Windows 93
5. Na caixa de mensagem Confirm Component Removal (Confirmar Remoção
do Componente), clique em Yes (Sim).
O componente Tivoli Access Manager é removido.
6. Selecione um outro componente da lista ou clique em OK para sair do
programa.
7. Para remover o GSKit do sistema, digite o seguinte comando:
isuninst -f"c:\arquivos de programas\ibm\gsk\ibm\gsk5\gsk5bui.isu"
em que c:\arquivos de programas\ibm\gsk\ibm\gsk5 é o caminho completo no
qual o arquivo gsk5BUI.isu está localizado.
Nota: Você não pode desinstalar o GSKit utilizando o ícone Add/Remove
Programs (Adicionar ou Remover Programas) semelhante aos outros
componentes do Tivoli Access Manager.
Windows
94 IBM Tivoli Access Manager: Guia de Instalação Base
Capítulo 8. Fazendo Upgrade para o Tivoli Access Manager,
Versão 4.1
Este capítulo descreve como fazer upgrade dos sistemas Tivoli Access Manager,
Versão 3.8 e Versão 3.9 para o Tivoli Access Manager, Versão 4.1. Os procedimentos
a seguir constituíam as etapas recomendadas para componentes na época da
publicação. Para obter informações sobre requisitos do sistema e as últimas
informações específicas do processo de upgrade, consulte o IBM Tivoli Access
Manager - Notas sobre o Release no Web site de Suporte ao Cliente Tivoli.
Nota: Se você estiver tentando fazer upgrade do domínio seguro do Tivoli
SecureWay Policy Director, Versão 3.7.x ou anterior, primeiro deve fazer um
upgrade para o Tivoli Access Manager, Versão 3.8 ou 3.9 antes de instalar a
Versão 4.1.
Este capítulo inclui as seguintes seções:
v “Considerações sobre Upgrade para Registros LDAP”
v “Fazendo Upgrade do Sistema do Servidor de Política” na página 96
v “Fazendo Upgrade do Servidor de Política Utilizando Dois Sistemas” na página
97
v “Fazendo Upgrade de Outros Sistemas do Tivoli Access Manager” na página 99
v “Removendo o Servidor de Política Existente” na página 101
Para fazer upgrade de um servidor de política da Versão 3.8 ou 3.9, você pode
optar pelo upgrade no mesmo sistema de servidor de política ou utilizar dois
sistemas — o atual e um segundo, limpo, para a Versão 4.1. Essa abordagem de
dois sistemas torna possível manter o servidor de política atual em funcionamento
enquanto você configura e testa um segundo sistema do servidor de política da
Versão 4.1. Se encontrar um problema ao fazer upgrade utilizando dois sistemas,
basta tornar o servidor Versão 4.1 off-line.
Considerações sobre Upgrade para Registros LDAP
Antes de fazer upgrade para a Versão 4.1, revise as seguintes considerações:
v Como precaução padrão ao fazer upgrade entre versões, faça backup de todos os
servidores Tivoli Access Manager antes de começar. Além disso, é recomendado
que você utilize comandos do LDAP para backup e posterior restauração dos
dados do LDAP. Para obter instruções, consulte a documentação do produto
LDAP.
v Não é obrigatório fazer upgrade de todos os sistemas do domínio seguro para o
nível da Versão 4.1. Para obter uma lista dos sistemas das Versões 3.8 e 3.9
compatíveis com um servidor de critério da Versão 4.1, consulte o IBM Tivoli
Access Manager - Notas sobre o Release.
v O processo de upgrade não oferece suporte à alteração do tipo de registro. Por
exemplo, você não pode efetuar upgrade de um registro de LDAP para um
registro do Domino.
v Se estiver fazendo upgrade com um aplicativo do Tivoli Access Manager
instalado, consulte a documentação do aplicativo publicada no site de Suporte
Tivoli para obter os requisitos e recomendações adicionais durante o processo de
upgrade.
© Copyright IBM Corp. 2001, 2003 95
v Apenas em sistemas UNIX:
– Todos os comandos são executados como usuário root (raiz).
– O diretório temporário é /tmp.
– O caminho de instalação é /opt/PolicyDirector e /var/PolicyDirector.v Apenas em sistemas Windows:
– Os comandos são executados por um usuário incluído no grupo
Administrador.
– O diretório temporário é o valor especificado pela variável TMP. Se a variável
TMP não existir, será utilizado o valor especificado pela variável TEMP. Se
nenhuma dessas variáveis estiver definida, o diretório system será o diretório
temporário.
– O caminho de instalação varia e depende do diretório especificado durante a
instalação.
– Você pode fazer upgrade do registro a qualquer momento ou após o upgrade
do Tivoli Access Manager, exceto quando o IBM Directory Server estiver
instalado em um sistema com um componente do Tivoli Access Manager.
Nesse caso, será necessário fazer upgrade do registro ao mesmo tempo que o
upgrade do IBM Directory Client.
Fazendo Upgrade do Sistema do Servidor de Política
Execute estas etapas para fazer upgrade do sistema do servidor de política
existente para o Tivoli Access Manager, Versão 4.1.
1. Para interromper todos os serviços do Tivoli Access Manager, execute uma das
seguintes ações:
v Em sistemas Windows, selecione Iniciar → Configurações → Painel de
controle → Ferramentas Administrativas (apenas Windows 2000) e, em
seguida, dê um clique duplo no ícone Services (Serviços). Pare todos os
serviços do Tivoli Access Manager em execução no sistema local, inclusive
aplicativos, como o WebSEAL.
v Nos sistemas UNIX, utilize o comando pd_start. Por exemplo, digite o
seguinte:
pd_start stop
Para assegurar-se de que todos os serviços e aplicativos do Tivoli Access
Manager estejam parados, emita o comando ps. Se ainda houver algum
serviço ou aplicativo do Tivoli Access Manager em execução, emita o
comando kill.2. Instale todas as correções do sistema operacional necessárias para o Tivoli
Access Manager, Versão 4.1 e seus produtos de pré-requisito. Para obter
informações sobre produtos de pré-requisito e correções requeridas do sistema
operacional, consulte os requisitos de software no IBM Tivoli Access Manager -
Notas sobre o Release.
3. Instale a versão do IBM GSKit (Global Security Toolkit) para a qual existe
suporte e faça upgrade do IBM Directory Client. Para obter instruções, consulte
a seção ″Utilizando a instalação nativa″ no capítulo de sua plataforma
específica. Após a conclusão das etapas de instalação nativa, volte para este
procedimento.
Notas:
v Se durante o upgrade do GSKit for solicitado que você reinicialize,
assegure-se de reinicializar e então continuar com este procedimento.
Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1
96 IBM Tivoli Access Manager: Guia de Instalação Base
v Se o IBM Directory Client estiver no mesmo sistema que o IBM Directory
Server, será necessário fazer upgrade do servidor. Para obter informações
sobre upgrade do servidor, consulte a documentação do IBM Directory.4. Para fazer backup de informações importantes do Tivoli Access Manager no
servidor de política atual, utilize o comando pdbackup. Por exemplo, digite o
seguinte:
pdbackup -action backup -file archive_name -list /path/pdbackup.lst
em que archive_name é o nome do arquivo archive de dados do Tivoli Access
Manager e /path/ é um dos seguintes diretórios (no qual está o arquivo
pdbackup.lst):
v Em sistemas AIX:
unidade_de_cd/usr/sys/inst.images/migrate
v Em sistemas HP-UX:
unidade_de_cd/HP/migrate
v Em sistemas Red Hat Linux:
unidade_de_cd/linux/migrate
v Em sistemas Linux para zSeries:
unidade_de_cd/zSeries/migrate
v Em sistemas Solaris:
unidade_de_cd/solaris/migrate
v Em sistemas Windows:
unidade_de_cd\windows\migrate
Nota: Para obter informações adicionais sobre o comando pdbackup, consulte
IBM Tivoli Access Manager Command Reference.
5. Assegure-se de que o servidor LDAP esteja em execução e depois instale os
componentes do Tivoli Access Manager, Versão 4.1. Para obter instruções,
consulte o procedimento de instalação nativa no capítulo de sua plataforma
específica.
6. Assegure-se de que o servidor de política do Tivoli Access Manager esteja
sendo executado. Inicie todos os aplicativos do Tivoli Access Manager e execute
todas as tarefas específicas do produto.
Fazendo Upgrade do Servidor de Política Utilizando Dois Sistemas
Execute estas etapas para configurar um novo servidor de política da Versão 4.1
em um segundo sistema, permitindo que o sistema do servidor de política já
existente continue funcionando.
1. Para interromper todos os serviços do Tivoli Access Manager no servidor de
política existente, execute uma das seguintes ações:
v Em sistemas Windows, selecione Iniciar → Configurações → Painel de
controle → Ferramentas Administrativas (apenas Windows 2000) e, em
seguida, dê um clique duplo no ícone Services (Serviços). Pare todos os
serviços do Tivoli Access Manager em execução no sistema local, inclusive
aplicativos, como o WebSEAL.
v Nos sistemas UNIX, use o utilitário pd_start. Por exemplo, digite o
seguinte:
pd_start stop
Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1
Capítulo 8. Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1 97
Para assegurar-se de que todos os serviços e aplicativos do Tivoli Access
Manager estejam parados, emita o comando ps. Se ainda houver algum
serviço ou aplicativo ainda em execução, emita o comando kill. 2. Para fazer backup de informações importantes do Tivoli Access Manager no
servidor de política existente, utilize o comando pdbackup. Por exemplo,
digite um dos seguintes comandos:
v Na Versão 3.8:
pdbackup -action backup -file nome_do_archive -list mig38to41.lst -path path
v Na Versão 3.9:
pdbackup -action backup -file nome_do_archive -list mig39to41.lst -path path
em que nome_do_archive é o nome do arquivo archive de dados do Tivoli
Access Manager UNIX ou o nome do diretório de archive no Windows e path
é o caminho no qual o arquivo archive ou o diretório de archive será criado.
Quando o comando pdbackup tiver sido concluído, um arquivo archive de
dados ou um diretório de archive de dados do Tivoli Access Manager será
produzido no caminho especificado.
Nota: Para obter informações adicionais sobre o comando pdbackup, consulte
IBM Tivoli Access Manager Command Reference.
3. Para iniciar novamente o daemon do servidor de política (pdmgrd) ou seu
serviço no servidor de política existente, execute uma das seguintes ações:
v Em sistemas Windows, selecione Iniciar → Configurações → Painel de
controle → Ferramentas Administrativas (apenas Windows 2000) e, em
seguida, dê um clique duplo no ícone Services (Serviços). Inicie todos os
serviços do Tivoli Access Manager em execução no sistema local, inclusive
aplicativos, como o WebSEAL.
v Nos sistemas UNIX, use o utilitário pd_start. Por exemplo, digite o
seguinte:
pd_start start
4. Copie o archive produzido pelo comando pdbackup do servidor de política
existente para o novo servidor de política 4.1. Se estiver utilizando um sistema
Windows, copie o diretório de archive e todo o seu conteúdo para o novo
servidor de política 4.1. Além disso, se estiver utilizando SSL com o servidor
LDAP, copie o arquivo de chaves do cliente SSL para o novo sistema,
utilizando o mesmo caminho de destino e nome de arquivo utilizados como
origem do arquivo de chaves no primeiro sistema.
Nota: O novo servidor de política 4.1 deve ser um sistema limpo. Não utilize
um sistema existente.
5. No novo sistema, instale todas as correções do sistema operacional necessárias
para o Tivoli Access Manager, Versão 4.1 e seus produtos pré-requisito. Para
obter informações sobre produtos de pré-requisito e correções requeridas do
sistema operacional, consulte os requisitos de software no IBM Tivoli Access
Manager Command Reference.
6. Assegure-se de que o servidor LDAP esteja executando e instale o Tivoli
Access Manager, Versão 4.1 e seus pré-requisitos no novo servidor de política
4.1. Para obter instruções, consulte a seção ″Utilizando a instalação nativa″ no
capítulo de sua plataforma específica.
7. Para extrair dados de registro para o novo servidor de política 4.1, utilize o
comando pdbackup. Por exemplo, digite o seguinte:
pdbackup -action extract -path diretório_de_restauração -file nome_do_archive
Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1
98 IBM Tivoli Access Manager: Guia de Instalação Base
em que diretório_de_restauração é o diretório temporário no novo servidor
de política 4.1 para o qual você deseja extrair os dados do archive e
nome_do_archive é o arquivo archive de dados do Tivoli Access Manager ou o
nome do diretório de archive.
Nota: Para obter informações adicionais sobre o comando pdbackup, consulte
IBM Tivoli Access Manager Command Reference.
8. Configure o tempo de execução no novo servidor de política 4.1. Quando for
solicitado um servidor LDAP, especifique o nome do servidor LDAP utilizado
pelo servidor de política existente.
9. Configure o novo servidor de política 4.1. Quando solicitado, se você desejar
configurar a política para migração, selecione Yes (Sim) e digite o
diretório_de_restauração especificado pela opção –path na Etapa 7 na página 98.
Cuidado
Se ocorrer um problema na configuração, não desconfigure este sistema
para não destruir os dados críticos necessários ao servidor de política
existente. Execute as instruções da seção “Removendo o Servidor de
Política Existente” na página 101 com o novo servidor. Observe que o
novo sistema é um clone do existente. Isso significa que o
posicionamento de arquivos críticos, como arquivos de certificado, deve
ser idênticos ao do sistema existente. Por exemplo, se houver um arquivo
de certificado no diretório /certs do servidor de política existente, ele
deverá estar localizado no diretório /certs no novo sistema.
10. Seu sistema está pronto. Execute pdadmin e consulte o banco de dados ACL e
o registro para verificar o status.
11. Instale e configure outros componentes do Tivoli Access Manager no novo
sistema, como necessário.
12. Se você tiver feito atualizações ou alterações no banco de dados durante o
processo de migração, copie os arquivos do banco de dados do servidor de
política antigo para o novo servidor de política 4.1. As localizações padrão dos
arquivos a serem copiados são as seguintes:
v Em sistemas UNIX: /var/PolicyDirector/db/master_authzn.db
v Em sistemas Windows:dir_de_instalação\db\master_authzn.db13. Continue com a próxima seção, “Fazendo Upgrade de Outros Sistemas do
Tivoli Access Manager”, para fazer upgrade de outros sistemas para a Versão
4.1. Quando você tiver atualizado todos os sistemas do Tivoli Access Manager,
conclua o procedimento da seção “Removendo o Servidor de Política
Existente” na página 101 para remover o servidor de política existente.
Fazendo Upgrade de Outros Sistemas do Tivoli Access Manager
Execute estas etapas para migrar os sistemas do Tivoli Access Manager (que não
sejam o servidor de política) para o Tivoli Access Manager, Versão 4.1:
1. Pare os aplicativos e serviços do Tivoli Access Manager em execução no sistema
e execute as instruções específicas do produto. Para parar todos os aplicativos e
serviços, proceda de uma das seguintes formas:
v Em sistemas Windows, selecione Iniciar → Configurações → Painel de
controle → Ferramentas Administrativas (apenas Windows 2000) e, em
Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1
Capítulo 8. Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1 99
seguida, dê um clique duplo no ícone Services (Serviços). Pare todos os
serviços do Tivoli Access Manager em execução no sistema local, inclusive
aplicativos, como o WebSEAL.
v Nos sistemas UNIX, use o utilitário pd_start. Por exemplo, digite o seguinte:
pd_start stop
Nota: Para assegurar-se de que todos os serviços e aplicativos do Tivoli
Access Manager estejam parados, emita o comando ps. Se ainda
houver algum serviço ou aplicativo do Tivoli Access Manager em
execução, emita o comando kill.2. Instale todas as correções do sistema operacional necessárias para o Tivoli
Access Manager, Versão 4.1 e seus produtos de pré-requisito. Para obter
informações sobre produtos de pré-requisito e correções requeridas do sistema
operacional, consulte os requisitos de software no IBM Tivoli Access Manager
Command Reference.
3. Instale a versão do IBM GSKit (Global Security Toolkit) para a qual existe
suporte e faça upgrade do IBM Directory Client. Para obter instruções, consulte
a seção ″Utilizando a instalação nativa″ no capítulo de sua plataforma
específica. A remoção de versões anteriores do IBM Global Security Toolkit não
é necessária. Ao concluir as etapas da instalação nativa, retorne para este
procedimento para assegurar a conclusão do procedimento com êxito.
Notas:
v Se durante o upgrade do GSKit for solicitada uma reinicialização, execute-a e
depois continue com este procedimento.
v Se o IBM Directory Client estiver no mesmo sistema que o IBM Directory
Server, será necessário fazer upgrade do servidor. Para obter informações
sobre upgrade do servidor, consulte a documentação do IBM Directory.4. Para fazer backup de informações importantes do Tivoli Access Manager no
servidor de política atual, utilize o comando pdbackup. Por exemplo, digite o
seguinte:
pdbackup -action backup -file archive_name -list /path/pdbackup.lst
em que archive_name é o nome do arquivo archive de dados do Tivoli Access
Manager e /path/ é um dos seguintes diretórios (no qual está o arquivo
pdbackup.lst):
v Em sistemas AIX:
unidade_de_cd/usr/sys/inst.images/migrate
v Em sistemas HP-UX:
unidade_de_cd/HP/migrate
v Em sistemas Red Hat Linux:
unidade_de_cd/linux/migrate
v Em sistemas Linux para zSeries:
unidade_de_cd/zSeries/migrate
v Em sistemas Solaris:
unidade_de_cd/solaris/migrate
v Em sistemas Windows:
unidade_de_cd\windows\migrate
Nota: Para obter informações adicionais sobre o comando pdbackup, consulte
IBM Tivoli Access Manager Command Reference.
Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1
100 IBM Tivoli Access Manager: Guia de Instalação Base
5. Assegure-se de que o servidor LDAP e o servidor de política estejam
executando e instale os componentes do Tivoli Access Manager, Versão 4.1.
Para obter instruções, consulte o procedimento de instalação nativa no capítulo
de sua plataforma específica.
6. Inicie os aplicativos do Tivoli Access Manager e execute as tarefas específicas
do produto.
Removendo o Servidor de Política Existente
Se você tiver feito upgrade do servidor de política utilizando a abordagem de dois
sistemas, execute estas etapas para remover o servidor de política existente depois
que seus dados e o cliente/servidor tiverem sido migrados com êxito para o
sistema do servidor de política da Versão 4.1.
1. Copie o seguinte arquivo do servidor de política da Versão 4.1 para um
diretório temporário no servidor de política existente:
v Em sistemas UNIX: opt/PolicyDirector/sbin/pdmgr_ucf
v Em sistemas Windows: pd_install_path/sbin/pdmgr_ucf.exe
em que pd_install_path é o caminho de instalação do Tivoli Access Manager.
2. No servidor de política existente, execute o arquivo pdmgr_ucf (pfmgr_ucf.exe
no Windows).
3. Desinstale a versão anterior do Tivoli Access Manager. Consulte a
documentação do Tivoli Access Manager, Versão 3.8 ou Versão 3.9, para obter
os procedimentos de remoção da instalação.
Nota: Não desconfigure o servidor de política existente ou o novo durante o
processo de upgrade. Se for feita desconfiguração, o ambiente do Tivoli
Access Manager não funcionará.
Restaurando um Sistema para o Nível Anterior
Se ocorrer algum problema ao migrar para a Versão 4.1 utilizando a abordagem de
um sistema, poderá ser necessário restaurar o sistema para seu nível anterior. Para
isso, execute estas etapas.
Nota: Se você encontrar um problema durante o backup dos dados existentes,
entre em contato com o Suporte do Tivoli para obter assistência, antes de
continuar com o processo de atualização.
1. Assegure-se de que todos os aplicativos e serviços base do Tivoli Access
Manager estejam parados.
2. Para remover o Tivoli Access Manager, Versão 4.1, proceda de uma das
seguintes formas:
v Em sistemas AIX, utilize smitty para remover os pacotes do Tivoli Access
Manager do sistema.
v Em sistemas HP-UX, digite os seguintes comandos nesta ordem:
rm -f /opt/PolicyDirector/.configure/*
swremove -x enforce_dependencies=false package_name
rm -fR /opt/PolicyDirector
rm -fR /var/PolicyDirector
v No Linux, digite os seguintes comandos:
rm -f /opt/PolicyDirector/.configure/*
rpm -e package_name
rm -fR /opt/PolicyDirector
rm -fR /var/PolicyDirector
Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1
Capítulo 8. Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1 101
v Em sistemas Solaris, digite os seguintes comandos:
rm -f /opt/PolicyDirector/.configure/*
pkgrm package_name
rm -fR /opt/PolicyDirector
rm -fR /var/PolicyDirector
O comando pkgrm pergunta se você deseja continuar removendo o
componente mesmo que ainda esteja configurado. Digite Yes (Sim) para
continuar. Se houver dependências instaladas, como o WebSEAL, será
perguntado se você deseja desinstalar o componente base do Tivoli Access
Manager, embora haja aplicativos que dependem dele. Digite Yes (Sim) para
continuar.
v Em sistemas Windows, siga estas etapas:
a. Inicie sessão como um usuário do Windows com privilégio de
administrador.
b. Selecione Iniciar → Configurações → Painel de controle e, em seguida,
clique no ícone Add/Remove Programs (Adicionar ou Remover
Programas).
c. Utilize o botão Add/Remove (Adicionar ou remover) para remover os
pacotes do Tivoli Access Manager.3. Instale a versão anterior do Tivoli Access Manager. Para obter instruções,
consulte o Guia de Instalação Base específico da sua versão.
Nota: Apenas em sistemas AIX, você deve emitir o comando installp com a
opção –F . Ou, se estiver utilizando SMIT para instalar os pacotes da
Versão 3.8 ou 3.9, responda yes quando perguntado se deseja
sobrescrever a mesma versão ou versões mais novas, e no quando
perguntado se deseja instalar automaticamente o software de requisito.
4. Aplique os fixpacks do Tivoli Access Manager que estavam no sistema antes do
upgrade para a Versão 4.1.
5. Para restaurar os dados anteriores, vá para o diretório temporário e utilize o
comando pdbackup –action restore. Para obter exemplos e descrições das
opções pdbackup, consulte o IBM Tivoli Access Manager Command Reference.
Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1
102 IBM Tivoli Access Manager: Guia de Instalação Base
Capítulo 9. Casos de Instalação Fácil do UNIX
Este apêndice fornece os seguintes casos de uso de scripts de instalação fácil em
plataformas UNIX:
v “Configurando um Sistema do IBM Directory Server”
v “Configurando o Sistema do Servidor de Política do Tivoli Access Manager” na
página 108
v “Configurando um Sistema de Tempo de Execução do Tivoli Access Manager”
na página 115
v “Configurando um Sistema Web Portal Manager” na página 120
Antes de começar
v Instale todas as correções do sistema operacional e revise os requisitos do
sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.
v Assegure-se de ter configurado os sistemas Tivoli Access Manager na
ordem indicada na seção “Processo de Instalação” na página 6.
v Revise a seção ″Utilizando a instalação fácil″ no capítulo de instalação do
Tivoli Access Manager para sua plataforma específica, para ver a quais
scripts de instalação fácil há suporte.
Os componentes essenciais de um domínio seguro incluem um registro para o qual
existe suporte e o servidor de política do Tivoli Access Manager. Para estes casos,
as seguintes condições são válidas:
v O IBM Directory Server está instalado e configurado como registro do Tivoli
Access Manager.
v A comunicação SSL (Secure Sockets Layer) está ativada entre o IBM Directory
Server e seus clientes LDAP.
Configurando um Sistema do IBM Directory Server
O caso a seguir utiliza o script ezinstall_ldap_server para instalar e configurar o
IBM Directory Server como registro do Tivoli Access Manager. Esse script instala e
configura todos os softwares necessários no seu sistema, inclusive os produtos de
pré-requisito, componentes do Tivoli Access Manager e correções associadas.
Ao contrário dos arquivos de instalação fácil do Windows, você não tem a opção
de alterar os diretórios de instalação. Os diretórios padrão são os seguintes:
v Para sistemas AIX:
– IBM DB2 — /usr/ldap/db2
– IBM HTTP Server — /usr/HTTPServer
– LDAP — /usr/ldap
– GSKit — /usr/opt/ibm/gskkm
v Para sistemas Solaris:
– IBM DB2 — /opt/IBMdb2
– IBM HTTP Server — /opt/IBMHTTP
– Servidor LDAP — /opt/IBMldaps
© Copyright IBM Corp. 2001, 2003 103
– Cliente LDAP — /opt/IBMldapc
– GSKit — /opt/ibm/gsk5
A Tabela 9 indica opções de configuração para o IBM Directory Server e seu
software pré-requisito. Leia o caso a seguir e identifique esses valores nos espaços
fornecidos, pois serão solicitados durante a instalação.
Tabela 9. Planilha de Instalação do IBM Directory Server
Configuração do IBM HTTP Server Valor Padrão Seu Valor
ID de Administração
A instalação fácil detecta o ID de
administração utilizado para conectar-se
ao sistema.
____________________________
Senha de Administração ____________________________
Porta HTTP 80 ____________________________
Configuração do IBM Directory Server Valor Padrão Seu Valor
ID do administrador LDAP (DN) cn=root ____________________________
Senha do Administrador LDAP ____________________________
Nome do Host do Servidor LDAP
A instalação fácil detecta e preenche o
nome do host do sistema.
____________________________
DN LDAP para Banco de Dados GSO
Sugestão:
o=tivoli,c=us
____________________________
Porta do Servidor LDAP 389 ____________________________
Arquivo Chave LDAP SSL cd_drive/common/pd_ldapkey.kdb ____________________________
Senha do Arquivo de Chaves SSL LDAP gsk4ikm ____________________________
Etiqueta de Certificado do Cliente SSL PDLDAP ____________________________
Para instalar e configurar o IBM Directory Server e seu software pré-requisito,
execute estas etapas:
Nota: Se já existir uma versão do IBM Directory Server, remova-a. Assegure-se
também de ter saído de todos os programas em execução antes de iniciar os
scripts de instalação fácil.
1. Efetue login no sistema como root (raiz).
2. Um arquivo de chaves LDAP SSL padrão (pd_ldapkey.kdb) será copiado para
o sistema durante a instalação fácil. Se você estiver ativando SSL e pretende
utilizar um arquivo de chaves SSL diferente, assegure-se de copiar
manualmente o arquivo de chaves SSL que pretende utilizar para um diretório
neste sistema.
3. Execute o arquivo ezinstall_ldap_server, localizado no diretório raiz no CD
do Tivoli Access Manager Base para sua plataforma específica.
Se você executou anteriormente um arquivo de instalação fácil neste sistema,
será solicitado que utilize o arquivo de resposta armazenado. Para continuar
com este caso, pressione N. Para obter informações adicionais sobre arquivos
de resposta, consulte o Apêndice B, “Referência de Configuração do Tivoli
Access Manager”, na página 185.
Será exibida uma janela semelhante à seguinte. Ela mostra o status atual dos
produtos necessários para o IBM Directory Server. Para iniciar o processo de
instalação, pressione Enter e forneça as informações de configuração, quando
Casos de instalação fácil do UNIX
104 IBM Tivoli Access Manager: Guia de Instalação Base
solicitadas.
Nota: A instalação fácil não solicita que você altere os valores padrão.
Entretanto, você pode alterar esses valores no fim de cada conjunto de
opções de configuração. Quando solicitado, basta digitar o número
associado à opção, alterar seu valor e pressionar Enter.
4. Digite a senha associada ao ID root (raiz) utilizada para efetuar logon nesse
sistema e pressio ne Enter.
Casos de instalação fácil do UNIX
Capítulo 9. Casos de instalação fácil no UNIX 105
5. Para continuar, digite S e pressione Enter. Em seguida, crie uma senha para o
ID do Administrador LDAP, digitando-a novamente para confirmar.
6. Será solicitado que você digite o DN LDAP para o Banco de Dados GSO. Este
é o nome distinto do local na DIT (árvore de informações do diretório) do
servidor LDAP na qual você deseja que os metadados de GSO (conexão
global) estejam localizados. Você pode digitar um sufixo ou especificar o DN
de uma localização DIT do LDAP já existente. Por exemplo, digite
o=tivoli,c=us para criar um novo sufixo para metadados GSO.
Nota: O DN LDAP para o banco de dados GSO é obrigatório,
independentemente de você implementar uma solução de conexão
única com o Tivoli Access Manager. Para obter informações adicionais
sobre o DN LDAP para o banco de dados GSO, consulte a seção “Visão
Geral da Configuração do Servidor LDAP” na página 19.
7. Depois de digitar o DN LDAP para o banco de dados GSO, você tem a
oportunidade de modificar qualquer opção de configuração do IBM Directory
Server. Por exemplo, se você não deseja utilizar o Arquivo de chaves SSL
LDAP (opção 7), digite 7 e pressione Enter para alterar seu valor. Se você
Casos de instalação fácil do UNIX
106 IBM Tivoli Access Manager: Guia de Instalação Base
alterar o valor do arquivo de chaves SSL, assegure-se de alterar também os
valores das opções 8 e 9 conforme a primeira alteração.
8. Se você não tiver alterado o valor padrão da opção 7 (Arquivo de chaves SSL
LDAP), será solicitado que pressione Enter para copiar o arquivo
cd_drive/common/pd_ldapkey.kdb para o diretório
var/ldap/keytab/pd_ldapkey.kdb no sistema. Para continuar, digite Y e
pressione Enter.
Notas:
v A Opção 8 (Senha do Arquivo de Chaves SSL LDAP) é a senha associada ao
arquivo pd_ldapkey.kdb padrão. Essa senha padrão é gsk4ikm. Se você
decidir alterar essa senha com o utilitário gsk5ikm, será necessário chamar
novamente a senha.
v Se você tiver alterado o arquivo pd_ldapkey.kdb padrão na opção 7, não
será solicitado que copie esse arquivo de chaves.
9. O processo de instalação inicia para o IBM Directory Server e seus produtos
pré-requisito.
10. Continue monitorando a instalação e configuração do IBM Directory Server e
de seus produtos pré-requisito. Esse processo pode demorar alguns minutos.
Casos de instalação fácil do UNIX
Capítulo 9. Casos de instalação fácil no UNIX 107
Aguarde até a conclusão do processo. Quando a instalação tiver sido
concluída, o status de todos os produtos será Configured (Configurado)
conforme mostrado:
Nota: Se ocorrer algum erro durante a instalação, você pode exibir o arquivo
/var/ezinstall_ldap_server.log.
Configurando o Sistema do Servidor de Política do Tivoli Access
Manager
Depois de concluir com êxito a instalação do registro LDAP, a próxima etapa é
configurar o servidor de política. O caso a seguir utiliza o arquivo ezinstall_pdmgr
para instalar e configurar o servidor de política. Esse script instala e configura
todos os softwares necessários no seu sistema, inclusive os produtos de
pré-requisito, componentes do Tivoli Access Manager e correções associadas.
Este caso instala o servidor de política no mesmo sistema que o registro instalado
na seção “Configurando um Sistema do IBM Directory Server” na página 103. Isso
é útil ao criar um protótipo de uma implementação ou desenvolver e testar um
aplicativo. Em uma implementação real, no entanto, é recomendado que esses
servidores sejam instalados em sistemas separados. Observe que a única diferença
de uma instalação em sistemas separados é que o processo também instala o IBM
Global Security Toolkit e o IBM Directory Client.
A Tabela 10 relaciona opções de configuração do servidor de política do Tivoli
Access Manager e seu software pré-requisito. Leia o caso a seguir e identifique
esses valores nos espaços fornecidos, pois serão solicitados durante a instalação.
Tabela 10. Planilha de Instalação do Servidor de Política do Tivoli Access Manager
Configuração de Tempo de Execução do
IBM Tivoli Access Manager
Valor Padrão Seu Valor
Configure Utilizando Este Registro
ldapHá suporte somente a LDAP no
momento.
____________________________
Nome do Host do Servidor LDAP ____________________________
Porta do Servidor LDAP 389 ____________________________
Casos de instalação fácil do UNIX
108 IBM Tivoli Access Manager: Guia de Instalação Base
Tabela 10. Planilha de Instalação do Servidor de Política do Tivoli Access Manager (continuação)
Configuração do Servidor de Política
do IBM Tivoli Access
Valor Padrão Seu Valor
Nome do Host do Servidor LDAP ____________________________
ID do administrador LDAP (DN) cn=root ____________________________
Senha do Administrador LDAP ____________________________
Ativar SSL entre o Servidor de Política e
o LDAP?
Recomendado: Y ____________________________
Se você ativar SSL com o servidor LDAP, os próximos quatro valores serão solicitados:
Arquivo Chave do Cliente SSL do LDAP ____________________________
Rótulo de Certificado do Cliente LDAP
Valor não obrigatório se for utilizado o
arquivo de chaves SSL padrão.
____________________________
Senha do Arquivo de Chaves SSL gsk4ikm ____________________________
Porta SSL do Servidor LDAP 636 ____________________________
DN do LDAP para Banco de Dados
GSO
Assegure-se de ter especificado o mesmo
DN utilizado para configurar o servidor
LDAP.
____________________________
Porta do Servidor SSL para Servidor de
Política do AM
7135 ____________________________
Tempo de Vida do Certificado SSL do
Servidor de Política
365 ____________________________
Ativar Download de Certificados Recomendado: Y ____________________________
Para instalar e configurar o servidor de política do Tivoli Access Manager, execute
estas etapas:
1. Assegure-se de ter efetuado logon no sistema como administrador raiz.
2. Proceda de uma das seguintes maneiras:
v Se estiver instalando o servidor de política em um sistema separado, copie
manualmente o arquivo de chaves SSL utilizado para configurar o servidor
LDAP para um diretório neste sistema. Por exemplo, copie o arquivo
pd_ldapkey.kdb padrão do diretório var/ldap/keytab no sistema do IBM
Directory Server para o diretório /var/ldap/keytab neste sistema.
v Se estiver instalando o servidor de política no mesmo sistema em que
instalou o IBM Directory Server, vá para a etapa 3. 3. Execute o arquivo ezinstall_pdmgr, localizado no diretório raiz no CD do
Tivoli Access Manager Base para sua plataforma específica.
Se você executou anteriormente um arquivo de instalação fácil neste sistema,
será solicitado que utilize o arquivo de resposta armazenado. Para continuar
com este caso, pressione N. Para obter informações adicionais sobre arquivos
de resposta, consulte o Apêndice B, “Referência de Configuração do Tivoli
Access Manager”, na página 185.
Será exibida uma janela semelhante à seguinte. Para iniciar o processo de
instalação, pressione Enter e forneça as informações de configuração, quando
Casos de instalação fácil do UNIX
Capítulo 9. Casos de instalação fácil no UNIX 109
solicitadas.
Se você pretende instalar o servidor de política no mesmo sistema que o
servidor LDAP, o script ezinstall_pdmgr detecta que o IBM Global Security
Toolkit e o IBM Directory Client já estão instalados.
4. Digite o nome do host do servidor LDAP e pressione Enter. Esse é o nome do
sistema host no qual o IBM Directory Server foi instalado. Por exemplo,
pdsun3 foi o nome de host utilizado para o IBM Directory Server no caso
anterior. Você pode digitar o nome abreviado ou completo, como
pdsun3.dev.company.com.
5. Para continuar, digite S e pressione Enter. Por motivos de segurança, é
recomendado ativar a comunicação SSL com o servidor LDAP. Para isto, digite
Y e pressione Enter. Caso contrário, digite N e vá para a etapa 8 na página
112
Casos de instalação fácil do UNIX
110 IBM Tivoli Access Manager: Guia de Instalação Base
112.
6. Digite o caminho completo para o qual copiou o arquivo de chaves do cliente
SSL LDAP na etapa 2 na página 109 e pressione Enter. Por exemplo, se você
tiver copiado o arquivo pd_ldapkey.kdb padrão para o diretório
/var/ldap/keytab, digite /var/ldap/keytab/pd_ldapkey.kdb.
7. Digite a senha do arquivo de chaves do cliente SSL LDAP e pressione Enter.
O arquivo pd_ldapkey.kdb padrão incluído na instalação fácil tem a senha
padrão gsk4ikm. Utilize essa senha padrão somente se tiver instalado e
configurado o IBM Directory Server utilizando o script ezinstall_ldap_server
ou se tiver especificado esse arquivo de chaves padrão durante a instalação
nativa. Se você decidir alterar essa senha usando o utilitário gsk5ikm, será
necessário chamar novamente a senha padrão.
Nota: A Opção 7 especifica o rótulo no arquivo de banco de dados de chaves
do GSKit do cliente para o certificado do cliente a ser enviado para o
servidor LDAP. Ao ativar SSL utilizando os valores padrão, esse valor
não é necessário. O valor é obrigatório somente se o servidor estiver
Casos de instalação fácil do UNIX
Capítulo 9. Casos de instalação fácil no UNIX 111
configurado para exigir autenticação do cliente durante o
estabelecimento de SSL ou se você desejar utilizar o certificado não
padrão no arquivo de chaves. Normalmente, o servidor LDAP exige
somente certificados no lado do servidor, especificados durante a
criação do arquivo .kdb do cliente.
8. Digite a senha do ID do Administrador LDAP criada na instalação do servidor
LDAP e pressione Enter .
9. Crie uma senha para o ID principal de segurança (sec_master), digitando-a
novamente para confirmar. Utilize esse ID administrativo para definir seus
Casos de instalação fácil do UNIX
112 IBM Tivoli Access Manager: Guia de Instalação Base
próprios IDs administrativos, grupos e respectivos recursos.
10. Digite o DN LDAP para o valor do banco de dados GSO digitado durante a
configuração do servidor LDAP e pressione Enter. Por exemplo, o=tivoli,c=us
era o sufixo utilizado no caso anterior.
11. A configuração do servidor de política Tivoli Access Manager cria um arquivo
de autoridade de certificação SSL padrão, denominado pdcacert.b64, que
permite a comunicação entre o servidor e outros sistemas de tempo de
execução do Tivoli Access Manager. Para simplificar a configuração, permita
que sistemas de tempo de execução do Tivoli Access Manager façam
download desse arquivo automaticamente. Caso contrário, será necessário
copiar esse arquivo manualmente para cada sistema de tempo de execução do
Tivoli Access Manager subseqüente antes de configurar o sistema.
Para ativar o download automático do arquivo de autoridade de certificação
SSL, digite Y e pressione Enter.
Casos de instalação fácil do UNIX
Capítulo 9. Casos de instalação fácil no UNIX 113
Nota: Se você não ativar o download automático, o arquivo de autoridade de
certificação SSL será colocado no seguinte diretório:
/var/PolicyDirector/keytab/pdcacert.b64
12. Para continuar, digite S e pressione Enter. Monitore o andamento da
instalação. Quando a instalação tiver sido concluída, o status de todos os
produtos será Configured (Configurado) como mostrado:
13. Depois de configurar o servidor de política, você pode configurar sistemas
Tivoli Access Manager adicionais no domínio seguro. Por exemplo, você pode
fazer o seguinte:
v Execute o programa InstallShield install_pdrte para instalar um ou mais
sistemas do cliente de tempo de execução (sem o servidor de política). Para
obter instruções, consulte o “Configurando um Sistema de Tempo de
Execução do Tivoli Access Manager” na página 115.
Casos de instalação fácil do UNIX
114 IBM Tivoli Access Manager: Guia de Instalação Base
v Execute o script ezinstall_pdwpm para instalar um cliente de tempo de
execução Tivoli Access Manager com a interface do Web Portal Manager.
Para obter instruções, consulte o “Configurando um Sistema Web Portal
Manager” na página 120.
v Execute o script ezinstall_pdacld para configurar um sistema do Servidor
de Autorização.
v Execute o script ezinstall_pdauthADK para instalar um sistema de
desenvolvimento com o ADK (application development kit).
Nota: Se ocorrer algum erro durante a instalação, você pode exibir o arquivo
/var/ezinstall_pdmgr.log.
Configurando um Sistema de Tempo de Execução do Tivoli Access
Manager
O caso a seguir utiliza o assistente InstallShield install_pdrte para instalar e
configurar um sistema de tempo de execução do Tivoli Access Manager. Ao
contrário dos outros scripts de instalação fácil, o programa install_pdrte utiliza um
assistente InstallShield para guiá-lo pela instalação de um sistema de tempo de
execução. Todos os produtos pré-requisitos e componentes do Tivoli Access
Manager são instalados e configurados, exceto um JRE pré-requisito, que deve ser
instalado manualmente.
A Tabela 11 relaciona opções de configuração para o tempo de execução do Tivoli
Access Manager e seu software pré-requisito. Leia o caso a seguir e identifique
esses valores nos espaços fornecidos, pois serão solicitados durante a instalação.
Nota: Se o produto já estiver instalado, o InstallShield não solicita o diretório de
instalação. Lembre-se também que há suporte à instalação fácil somente com
o uso de um registro com base em LDAP.
Tabela 11. Planilha de Instalação do Sistema de Tempo de Execução do Tivoli Access Manager
Tempo de Execução do IBM Tivoli
Access Manager
Valor Padrão Seu Valor
Nome do host do servidor de política ____________________________
Porta SSL do servidor de política 7135 ____________________________
Arquivo de certificado CA do servidor
de política
Não é necessário nenhum valor se você
tiver optado por permitir que outros
sistemas de tempo de execução do Tivoli
Access Manager façam download do
arquivo de certificado padrão durante a
instalação do servidor de política.
____________________________
Nome do host do servidor LDAP ____________________________
Porta do servidor LDAP 389 ____________________________
SSL com o servidor LDAP é ativado por padrão. Será solicitado que você forneça os seguintes valores:
Arquivo de chaves com caminho
completo
É necessário copiar o arquivo
pd_ldapkey.kdb padrão do IBM
Directory Server para um diretório neste
sistema.
____________________________
Senha do arquivo de chaves gsk4ikm ____________________________
DN do Arquivo de Chaves SSL LDAP
(se necessário)
Não é necessário nenhum valor se você
utilizar o arquivo de chaves padrão
pd_ldapkey.kdb
____________________________
Casos de instalação fácil do UNIX
Capítulo 9. Casos de instalação fácil no UNIX 115
Tabela 11. Planilha de Instalação do Sistema de Tempo de Execução do Tivoli Access Manager (continuação)
Número da porta SSL 636 ____________________________
Nota: Não serão solicitadas opções de configuração para GSKit e o IBM Directory
Client. Além disso, SSL é ativado automaticamente com o IBM Directory
Server.
Para instalar e configurar um sistema de tempo de execução do Tivoli Access
Manager, execute estas etapas:
1. Assegure-se de que o servidor LDAP e o servidor de política estejam ativados
e em execução e que você tenha efetuado logon como administrador raiz.
2. Copie manualmente o arquivo de chaves SSL utilizado para configurar o
servidor LDAP para um diretório neste sistema. Por exemplo, copie o arquivo
pd_ldapkey.kdb padrão do diretório /var/ldap/keytab no sistema do IBM
Directory Server para o diretório var/ldap/keytab neste sistema.
3. Instale um JRE específico da plataforma, para o qual exista suporte. Para obter
instruções, consulte um dos seguintes:
v Em sistemas AIX, consulte a página 47.
v Em sistemas HP-UX, consulte a página 57.
v Em sistemas Red Hat Linux, consulte a página 66.
v Em sistemas Solaris, consulte a página 75. 4. Selecione o idioma que você deseja utilizar para a instalação e clique em OK.
5. Para iniciar o Assistente InstallShield para o tempo de execução do Tivoli
Access Manager, clique em Next (Avançar).
Casos de instalação fácil do UNIX
116 IBM Tivoli Access Manager: Guia de Instalação Base
6. Leia o acordo de licença. Opte por aceitar os termos e clique em Next
(Avançar).
7. Preencha os campos a seguir e pressione Next (Avançar).
v Policy server host name (Nome do host do servidor de política) — Digite
o nome do host do sistema do servidor de política.
v Policy server SSL port (Porta SSL do servidor de política) — A porta SSL
do servidor de política já é fornecida (7135). Se você tiver alterado esse
número de porta, modifique esse valor.
v Policy server CA Certificate File (Arquivo de Certificado CA do servidor
de política) — Para que o tempo de execução do Tivoli Access Manager
autentique os outros servidores do Tivoli Access Manager aos quais ele é
conectado, ele deve ter uma cópia do arquivo pdcacert.b64 gerado pelo
servidor de política durante a configuração. Proceda de uma das seguintes
maneiras:
– Se você tiver ativado o servidor de política para permitir o download do
arquivo pdcacert.b64 não será necessário nenhum valor.
– Se você não tiver ativado o servidor de política para fazer download
desse arquivo de certificado, digite o caminho completo no qual copiou o
arquivo pdcacert.b64 neste sistema.
Casos de instalação fácil do UNIX
Capítulo 9. Casos de instalação fácil no UNIX 117
8. Digite o nome do host do sistema do servidor LDAP. A porta do servidor
LDAP já é fornecida (389). Se necessário, modifique essa porta e pressione
Next (Avançar) para continuar.
Casos de instalação fácil do UNIX
118 IBM Tivoli Access Manager: Guia de Instalação Base
9. Revise as opções de configuração. Selecione Next (Avançar) para iniciar a
instalação.
10. O processo de instalação é iniciado. Esse processo pode demorar alguns
minutos.
11. Continue monitorando a instalação do tempo de execução do Tivoli Access
Manager e a criação do programa de remoção da instalação. Quando a
instalação tiver sido concluída, você será avisado que a instalação do tempo
de execução foi concluída com êxito. Para sair desse programa, clique em
Casos de instalação fácil do UNIX
Capítulo 9. Casos de instalação fácil no UNIX 119
Concluir como mostrado:
Se ocorrer algum erro durante a instalação, você pode exibir o arquivo
/tmp/msg__amismp.log .
Configurando um Sistema Web Portal Manager
O caso a seguir utiliza o script ezinstall_pdwpm para instalar e configurar um
sistema de tempo de execução do Tivoli Access Manager com a interface do Web
Portal Manager. Esse script instala e configura todos os softwares necessários no
seu sistema, inclusive os produtos de pré-requisito, componentes do Tivoli Access
Manager e correções associadas.
A Tabela 12 relaciona opções de configuração para o Web Portal Manager e seu
software pré-requisito. Leia o caso a seguir e identifique esses valores nos espaços
fornecidos, pois serão solicitados durante a instalação.
Tabela 12. Planilha de Instalação do Sistema Web Portal Manager
Configuração do IBM HTTP Server Valor Padrão Seu Valor
ID de Administração
A instalação fácil detecta o ID de
administração utilizado para conectar-se
ao sistema.
____________________________
Senha de Administração ____________________________
Porta HTTP 80 ____________________________
Tempo de Execução do IBM Tivoli
Access Manager
Valor Padrão Seu Valor
Configure Utilizando Este Tipo de
Registro
ldap ____________________________
Nome do Host do Servidor LDAP ____________________________
Porta do Servidor LDAP 389 ____________________________
Casos de instalação fácil do UNIX
120 IBM Tivoli Access Manager: Guia de Instalação Base
Tabela 12. Planilha de Instalação do Sistema Web Portal Manager (continuação)
Nome do Host do Servidor de Política
Access Manager
____________________________
Porta de Servidor SSL 7135 ____________________________
Nome do Arquivo de Certificado CA do
Servidor de Política
Se você tiver ativado o servidor de política
para permitir o download do arquivo de
certificado, não será necessário nenhum
valor.
____________________________
IBM Web Portal Manager Tivoli Access
Manager
Valor Padrão Seu Valor
Nome de Login do PDADMIN sec_master ____________________________
Senha Master de Segurança ____________________________
Para instalar o configurar um sistema Tivoli Access Manager com a interface do
Web Portal Manager, execute estas etapas:
1. Assegure-se de que o servidor LDAP e o servidor de política estejam ativados
e em execução e que você tenha efetuado logon como administrador raiz.
2. Assegure-se de ter um navegador da Web instalado que ofereça suporte à
interface do Web Portal Manager. Para obter os navegadores suportados,
consulte o IBM Tivoli Access Manager - Notas sobre o Release.
3. Execute o script ezinstall_pdwpm, localizado no diretório raiz no CD do IBM
Tivoli Access Manager Web Portal Manager para sua plataforma UNIX específica.
Se você executou anteriormente um arquivo de instalação fácil neste sistema,
será solicitado que utilize o arquivo de resposta armazenado. Para continuar
com este caso, pressione N. Para obter informações adicionais sobre arquivos
de resposta, consulte o Apêndice B, “Referência de Configuração do Tivoli
Access Manager”, na página 185.
Será exibida uma janela semelhante à seguinte. Para iniciar o processo de
instalação, pressione Enter e forneça as informações de configuração, quando
solicitadas.
Casos de instalação fácil do UNIX
Capítulo 9. Casos de instalação fácil no UNIX 121
Nota: Se você já instalou anteriormente o componente de tempo de execução
do Tivoli Access Manager neste sistema, a coluna Status indica que o
IBM Global Security Toolkit, o IBM Directory Client e o componente de
tempo de execução do Tivoli Access Manager já estão instalados.
4. Digite a senha associada ao ID root (raiz) utilizada para efetuar logon nesse
sistema e pressione Enter. Lembre-se que a instalação fácil faz upgrade da
versão do IBM HTTP Server instalada com o IBM WebSphere Application
Server. Ela também instala um patch necessário para o IBM HTTP Server.
Nota: A Opção 3 especifica a porta utilizada pelo IBM HTTP Server. Se você
tiver instalado um servidor LDAP que não utiliza o IBM HTTP Server e
estiver instalando o Web Portal Manager no mesmo sistema,
assegure-se de que as portas sejam diferentes. Você pode alterar o valor
da opção 3 durante a instalação fácil ou pode editar o arquivo
/usr/HTTPServer/conf/httpd.conf e alterar a porta padrão 80 para 8080
como mostrado:
# Port: A porta de atendimento independente.
Port 8080
5. Para continuar, digite S e pressione Enter. Em seguida, digite o nome do host
do servidor LDAP e pressione Enter. Esse é o nome do sistema host no qual o
IBM Directory Server foi instalado. Por exemplo, pdsun3 foi o nome do host
do IBM Directory Server utilizado no caso anterior. Você pode digitar o nome
Casos de instalação fácil do UNIX
122 IBM Tivoli Access Manager: Guia de Instalação Base
abreviado ou completo do host, como pdsun3.dev.company.com.
6. Digite o nome do host do servidor de política e pressione Enter.
7. Para que o tempo de execução do Tivoli Access Manager autentique os outros
servidores do Tivoli Access Manager aos quais ele é conectado, é necessário
ter uma cópia do arquivo de certificado CA gerado pelo servidor de política
durante a configuração.
Proceda de uma das seguintes formas:
v Se você tiver ativado o servidor de política para permitir o download do
arquivo pdcacert.b64, pressione Enter. Não é necessário nenhum valor.
v Se você não tiver ativado o servidor de política para fazer download
automaticamente desse arquivo de certificado, digite o caminho completo
para o qual copiou o arquivo pdcacert.b64 neste sistema e pressione Enter.
Casos de instalação fácil do UNIX
Capítulo 9. Casos de instalação fácil no UNIX 123
8. Para continuar, digite S e pressione Enter. Em seguida, digite a senha do ID
principal de segurança (sec_master), criada durante a instalação do servidor
de política. Para continuar, digite S e pressione Enter.
Casos de instalação fácil do UNIX
124 IBM Tivoli Access Manager: Guia de Instalação Base
9. O processo de instalação é iniciado. Os produtos são instalados na seqüência
indicada.
Os componentes são configurados e o Web Portal Manager é instalado. O Java
Runtime Environment do Tivoli Access Manager também tem instalação
silenciosa com o componente Web Portal Manager.
10. Continue monitorando a instalação dos produtos indicados. Esse processo
pode demorar alguns minutos. Aguarde até a conclusão do processo. Quando
a instalação tiver sido concluída, o status de todos os produtos será
Configured (Configurado) como mostrado:
11. Antes de iniciar a interface do Web Portal Manager, assegure-se de que o
WebSphere Application Server esteja sendo executado. Para isto, execute o
script startServer.sh em um dos seguintes diretórios:
v Em sistemas AIX:
/usr/WebSphere/AppServer/bin
v Em sistemas Solaris:
Casos de instalação fácil do UNIX
Capítulo 9. Casos de instalação fácil no UNIX 125
/opt/WebSphere/AppServer/bin
Nota: O processo de configuração configura automaticamente o IBM
WebSphere Application Server para comunicação SSL na porta 443.
12. O suporte a SSL é ativado automaticamente entre o navegador e o IBM HTTP
Server, por meio de um arquivo de chaves SSL padrão e um arquivo stash.
Esses arquivos são fornecidos somente para avaliação. Você deve adquirir seu
próprio certificado e substituir os seguintes arquivos do sistema:
/var/PolicyDirector/keytab/pdwpm.kdb
Especifica o arquivo de banco de dados de chaves. O caminho do
arquivo é especificado no arquivo httpd.conf.
/var/PolicyDirector/keytab/pdwpm.sth
Especifica o arquivo no qual a senha do banco de dados de chaves
está armazenada.13. Para acessar a interface do Web Portal Manager, digite o endereço a seguir no
navegador da Web.
https://hostname/pdadmin
em que hostname é o nome do host que está executando o IBM HTTP Server.
Nota: Para comunicações seguras com o IBM HTTP Server, utilize https em
vez de http.
Será exibido um diálogo de conexão segura, juntamente com a tela de boas
vindas do Web Portal Manager.
Nota: Se ocorrer algum erro durante a instalação, você pode exibir o arquivo
/var/ezinstall_pdwpm.log.
Casos de instalação fácil do UNIX
126 IBM Tivoli Access Manager: Guia de Instalação Base
Capítulo 10. Casos de Instalação Fácil do Windows
Este apêndice fornece os seguintes casos de uso de arquivos de instalação fácil em
uma plataforma Windows:
v “Configurando o Sistema do IBM Directory Server”
v “Configurando o Sistema do Servidor de Política do Tivoli Access Manager” na
página 133
v “Configurando um Sistema de Tempo de Execução do Tivoli Access Manager”
na página 141
v “Configurando um Sistema Web Portal Manager” na página 144
Antes de começar
v Instale todas as correções do sistema operacional e releia os requisitos do
sistema relacionados no IBM Tivoli Access Manager para e-business: Notas
sobre o Release.
v Assegure de configurar os sistemas Tivoli Access Manager na ordem
indicada na seção “Processo de Instalação” na página 6.
Os componentes essenciais de um domínio seguro incluem um registro para o qual
existe suporte e o servidor de política do Tivoli Access Manager. Para estes casos,
as seguintes condições são válidas:
v O IBM Directory Server está instalado e configurado como registro do Tivoli
Access Manager.
v A comunicação SSL (Secure Sockets Layer) está ativada entre o IBM Directory
Server e seus clientes LDAP.
Configurando o Sistema do IBM Directory Server
O caso a seguir utiliza o arquivo ezinstall_ldap_server.bat para instalar e
configurar o IBM Directory Server como registro do Tivoli Access Manager. Esse
arquivo em batch instala e configura todos os softwares necessários no seu sistema,
inclusive os produtos de pré-requisito, componentes do Tivoli Access Manager e
correções associadas.
A Tabela 13 indica opções de configuração para o IBM Directory Server e seu
software pré-requisito. Leia o caso a seguir e identifique esses valores nos espaços
fornecidos, pois serão solicitados durante a instalação.
Tabela 13. Planilha de Instalação do IBM Directory Server
Configuração do IBM DB2 Valor Padrão Seu Valor
ID de Administração db2admin ____________________________
Senha de Administração ____________________________
Diretório de Instalação C:\Arquivos de Programas\SQLLIB ____________________________
Configuração do IBM HTTP Server Valor Padrão Seu Valor
ID de Administração
A instalação fácil detecta o ID de
administração utilizado para conectar-se
ao sistema.
____________________________
© Copyright IBM Corp. 2001, 2003 127
Tabela 13. Planilha de Instalação do IBM Directory Server (continuação)
Senha de Administração ____________________________
Porta HTTP 80 ____________________________
Diretório de Instalação
C:\Arquivos de Programas\IBM HTTP
Server
____________________________
IBM Global Security Toolkit Valor Padrão Seu Valor
Diretório de Instalação C:\Arquivos de Programas\IBM\GSK ____________________________
Configuração do IBM Directory Server Valor Padrão Seu Valor
ID do administrador LDAP (DN) cn=root ____________________________
Senha do Administrador LDAP ____________________________
Nome do Host do Servidor LDAP
A instalação fácil detecta e preenche o
nome do host do sistema.
____________________________
DN LDAP para Banco de Dados GSO
Sugestão:
o=tivoli,c=us
____________________________
Porta do Servidor LDAP 389 ____________________________
Arquivo de Chaves SSL LDAP cd_drive:\common\pd_ldapkey.kdb ____________________________
Senha do Arquivo de Chaves SSL LDAP gsk4ikm ____________________________
Rótulo de Certificado do Cliente SSL PDLDAP ____________________________
Diretório de Instalação C:\Arquivos de Programas\IBM\LDAP ____________________________
Para instalar e configurar o IBM Directory Server e seu software pré-requisito,
execute estas etapas:
Notas
v Se já existir uma versão do IBM Directory Server, remova-a.
v Em sistemas Windows, será solicitado intermitentemente que você reinicie o
sistema. Saia de todos os programas em execução antes de executar a instalação
fácil. 1. Efetue logon no sistema Windows como usuário Administrador ou com um
ID que seja membro do grupo de Administradores.
2. Um arquivo de chaves LDAP SSL padrão (pd_ldapkey.kdb) será copiado para
o sistema durante a instalação fácil. Se você estiver ativando SSL e pretende
utilizar um arquivo de chaves SSL diferente, assegure de copiar manualmente
o arquivo de chaves SSL que pretende utilizar para um diretório neste
sistema.
3. Execute o arquivo ezinstall_ldap_server.bat, localizado no diretório raiz do
CD do IBM Tivoli Access Manager Base para Windows.
Se você executou anteriormente um arquivo de instalação fácil neste sistema,
será solicitado que utilize o arquivo de resposta armazenado. Para continuar
com este caso, pressione N. Para obter informações adicionais sobre arquivos
de resposta, consulte o Apêndice B, “Referência de Configuração do Tivoli
Access Manager”, na página 185.
Será exibida uma janela semelhante à seguinte. Ela mostra o status atual dos
produtos necessários para o IBM Directory Server. Para iniciar o processo de
instalação, pressione Enter e forneça as informações de configuração, quando
Casos de instalação fácil do Windows
128 IBM Tivoli Access Manager: Guia de Instalação Base
solicitadas.
4. Crie uma senha para o ID de administração do DB2, digitando-a novamente
para confirmar.
Nota: Será solicitado que você redigite todas as novas senhas, para confirmar.
Nota: A instalação fácil não solicita que você altere os valores padrão.
Entretanto, você pode alterar esses valores no fim de cada conjunto de
opções de configuração (como mostrado na etapa 6 na página 130).
Basta digitar o número associado à opção, alterar seu valor e pressionar
Enter.
5. Para continuar, digite S e pressione Enter. Em seguida, digite a senha
associada ao ID de administração utilizado para efetuar logon neste sistema
Casos de instalação fácil do Windows
Capítulo 10. Casos de instalação fácil no Windows 129
(valor especificado na Opção 1) e pressione Enter.
6. Para continuar, digite S e pressione Enter. Para instalar o GSKit no diretório
padrão, digite Y and pressione Enter.
7. Crie uma senha para o ID do Administrador LDAP, digitando-a novamente
para confirmar.
8. Será solicitado que você digite um DN LDAP para o banco de dados GSO.
Este é o nome distinto da localização na DIT (árvore de informações do
Casos de instalação fácil do Windows
130 IBM Tivoli Access Manager: Guia de Instalação Base
diretório) do servidor LDAP na qual você deseja que os metadados de GSO
(conexão global) estejam localizados. Digite um sufixo ou especifique O DN
de uma localização na DIT do LDAP já existente. Por exemplo, digite
o=tivoli,c=us para criar um novo sufixo para metadados GSO.
Nota: O DN LDAP para o banco de dados GSO é obrigatório,
independentemente de você implementar uma solução de conexão
única com o Tivoli Access Manager. Para obter informações adicionais
sobre o DN LDAP para o banco de dados GSO, consulte a seção “Visão
Geral da Configuração do Servidor LDAP” na página 19.
9. Depois de digitar o DN LDAP para o banco de dados GSO, você tem a
oportunidade de modificar qualquer opção de configuração do IBM Directory
Server. Por exemplo, se você não deseja utilizar o Arquivo de chaves SSL
LDAP (opção 6), digite 6 e pressione Enter para alterar seu valor. Se você
alterar o valor do arquivo de chaves SSL, assegure de alterar também os
valores das opções 7 e 8 conforme a primeira alteração.
10. Se você não tiver alterado o valor padrão da opção 6 (Arquivo de chaves SSL
LDAP), será solicitado que pressione Enter para copiar o arquivo
cd_drive:\common\pd_ldapkey.kdb para o diretório c:\keytabs no sistema.
Notas
v A Opção 7 (Senha do Arquivo de Chaves SSL LDAP) é a senha associada ao
arquivo pd_ldapkey.kdb padrão. Essa senha padrão é gsk4ikm. Quando
você opta por alterar essa senha com o utilitário gsk5ikm, deve chamar a
senha novamente.
v Se você tiver alterado o arquivo pd_ldapkey.kdb padrão na opção 6, não
será solicitado que copie esse arquivo de chaves. O arquivo de chaves deve
ser copiado manualmente para o sistema do servidor LDAP.
Casos de instalação fácil do Windows
Capítulo 10. Casos de instalação fácil no Windows 131
11. Para continuar, digite S e pressione Enter. O processo de instalação inicia para
o IBM Directory Server e seu produto pré-requisito. Quando o DB2 estiver
instalado, pressione Enter para reiniciar o sistema automaticamente.
12. Após a reinicialização do sistema, o IBM Directory Server será instalado com
as correções necessárias do LDAP, como mostrado. Quando o IBM Directory
Server estiver instalado, pressione Enter para iniciar novamente o sistema.
Casos de instalação fácil do Windows
132 IBM Tivoli Access Manager: Guia de Instalação Base
13. Após a reinicialização do sistema, continue monitorando a instalação do IBM
Directory Server e de seus produtos pré-requisitos. Esse processo pode
demorar alguns minutos. Aguarde até a conclusão do processo. Quando a
instalação tiver sido concluída, o status de todos os produtos será Configured
(Configurado) como mostrado:
Se ocorrer algum erro durante a instalação, consulte o arquivo ezinstall.log,
localizado no diretório temporário, que é o valor especificado pela variável
%TEMP%.
Configurando o Sistema do Servidor de Política do Tivoli Access
Manager
Depois de concluir com êxito a instalação do registro LDAP, a próxima etapa é
configurar o servidor de política. O caso a seguir utiliza o arquivo
ezinstall_pdmgr.bat para instalar e configurar o servidor de política. Esse arquivo
em batch instala e configura todos os softwares necessários no seu sistema,
inclusive os produtos de pré-requisito, componentes do Tivoli Access Manager e
correções associadas.
Este caso instala o servidor de política no mesmo sistema que o registro instalado
na seção “Configurando o Sistema do IBM Directory Server” na página 127. Isso é
útil ao criar um protótipo de uma implementação ou desenvolver e testar um
aplicativo. Em uma implementação real, no entanto, é recomendado que esses
servidores sejam instalados em sistemas separados. Observe que a única diferença
de uma instalação em sistemas separados é que o processo também instala o IBM
Global Security Toolkit e o IBM Directory Client.
A Tabela 14 relaciona opções de configuração do servidor de política do Tivoli
Access Manager e seu software pré-requisito. Leia o caso a seguir e identifique
esses valores nos espaços fornecidos, pois serão solicitados durante a instalação.
Tabela 14. Planilha de Instalação do Servidor de Política do Tivoli Access Manager
Configuração de Tempo de Execução do
IBM Tivoli Access Manager
Valor Padrão Seu Valor
Configure Utilizando Este Registro ldap ____________________________
Nome do Host do Servidor LDAP ____________________________
Porta do Servidor LDAP 389 ____________________________
Casos de instalação fácil do Windows
Capítulo 10. Casos de instalação fácil no Windows 133
Tabela 14. Planilha de Instalação do Servidor de Política do Tivoli Access Manager (continuação)
DN LDAP para Banco de Dados GSO
Assegure-se de ter especificado o mesmo
DN utilizado para configurar o servidor
LDAP.
____________________________
Ativar SSL com o servidor LDAP Recomendado: Y ____________________________
Se você ativar SSL com o servidor LDAP, os próximos quatro valores serão solicitados:
Arquivo de Chaves SSL LDAP ____________________________
DN do Arquivo de Chaves SSL LDAP
Valor não obrigatório se for utilizado o
arquivo de chaves SSL padrão.
____________________________
Senha do Arquivo de Chaves SSL LDAP gsk4ikm ____________________________
Porta SSL do Servidor LDAP 636 ____________________________
Diretório de Instalação
C:\Arquivos de
Programas\Tivoli\Policy Director
____________________________
Configuração do Servidor de Política
do IBM Tivoli Access Manager
Valor Padrão Seu Valor
ID de Administração LDAP (DN) cn=root ____________________________
Senha de Administração LDAP ____________________________
Senha Principal de Segurança ____________________________
Porta de Servidor SSL 7135 ____________________________
Tempo de Vida do Certificado SSL do
Servidor de Política
365 ____________________________
Ativar Download de Certificados Recomendado: Y ____________________________
Para instalar e configurar o servidor de política do Tivoli Access Manager, execute
estas etapas:
1. Assegure-se de ter efetuado logon no sistema Windows como usuário
Administrador ou com um ID que seja membro do grupo de Administradores.
2. Proceda de uma das seguintes maneiras:
v Se estiver instalando o servidor de política em um sistema separado, copie
manualmente o arquivo de chaves SSL para um diretório nesse sistema. Por
exemplo, copie o arquivo pd_ldapkey.kdb padrão do diretório c:\keytabs
no sistema do IBM Directory Server para o diretório c:\keytabs neste
sistema.
v Se estiver instalando o servidor de política no mesmo sistema em que
instalou o IBM Directory Server, vá para a etapa 3. 3. Execute o arquivo ezinstall_pdmgr.bat, localizado no diretório raiz do CD do
IBM Tivoli Access Manager Base para Windows.
Se você executou anteriormente um arquivo de instalação fácil neste sistema,
será solicitado que utilize o arquivo de resposta armazenado. Para continuar
com este caso, pressione N. Para obter informações adicionais sobre arquivos
de resposta, consulte o Apêndice B, “Referência de Configuração do Tivoli
Access Manager”, na página 185.
Será exibida uma janela semelhante à seguinte. Para iniciar o processo de
instalação, pressione Enter e forneça as informações de configuração, quando
Casos de instalação fácil do Windows
134 IBM Tivoli Access Manager: Guia de Instalação Base
solicitadas.
Se você pretende instalar o servidor de política no mesmo sistema que o
servidor LDAP, o arquivo ezinstall_pdmgr.bat detecta que o IBM Global
Security Toolkit e o IBM Directory Client já estão instalados.
4. Digite o nome do host do servidor LDAP e pressione Enter. Esse é o nome do
sistema host no qual o IBM Directory Server foi instalado. Por exemplo,
dliburdi2 foi o nome de host utilizado para o IBM Directory Server no caso
anterior. Você pode digitar o nome abreviado ou completo, como
dliburdi2.dev.company.com.
5. Digite o DN LDAP para o valor do banco de dados GSO digitado durante a
configuração do servidor LDAP e pressione Enter. Por exemplo, o=tivoli,c=us
Casos de instalação fácil do Windows
Capítulo 10. Casos de instalação fácil no Windows 135
era o sufixo utilizado no caso anterior.
6. Por motivos de segurança, é recomendado ativar a comunicação SSL com o
servidor LDAP. Para isto, digite Y e pressione Enter. Caso contrário, digite N
e vá para a etapa 9 na página 137.
7. Digite o caminho completo para o qual copiou o arquivo de chaves do cliente
SSL LDAP na etapa 2 na página 134 e pressione Enter. Por exemplo, se você
tiver copiado o arquivo pd_ldapkey.kdb padrão para o diretório c:\keytabs,
Casos de instalação fácil do Windows
136 IBM Tivoli Access Manager: Guia de Instalação Base
digite c:\keytabs\pd_ldapkey.kdb.
8. Digite a senha do arquivo de chaves do cliente SSL LDAP e pressione Enter.
O arquivo pd_ldapkey.kdb padrão, enviado com a instalação fácil, tem a senha
padrão gsk4ikm. Essa senha pode ser utilizada somente se você tiver
instalado e configurado o IBM Directory Server utilizando esse arquivo de
chaves padrão.
Nota: A Opção 7 especifica o rótulo no arquivo de banco de dados de chaves
do GSKit do cliente para o certificado do cliente a ser enviado para o
servidor LDAP. Ao ativar SSL utilizando os valores padrão, esse valor
não é necessário. O valor é obrigatório somente se o servidor estiver
configurado para exigir autenticação do cliente durante o
estabelecimento de SSL ou se você desejar utilizar o certificado não
padrão no arquivo de chaves. Normalmente, o servidor LDAP exige
somente certificados no lado do servidor, especificados durante a
criação do arquivo .kdb do cliente.
9. Para continuar, digite S e pressione Enter. Em seguida, digite a senha do ID
do Administrador LDAP criada na instalação do servidor LDAP e pressione
Casos de instalação fácil do Windows
Capítulo 10. Casos de instalação fácil no Windows 137
Enter .
10. Crie uma senha para o ID principal de segurança (sec_master), digitando-a
novamente para confirmar. Utilize esse ID administrativo para definir seus
próprios IDs administrativos, grupos e respectivos recursos.
11. Para continuar, digite S e pressione Enter. A configuração do servidor de
política Tivoli Access Manager cria um arquivo de autoridade de certificação
SSL padrão, denominado pdcacert.b64, que permite a comunicação entre o
servidor e outros sistemas de tempo de execução do Tivoli Access Manager.
Para simplificar a configuração, permita que sistemas de tempo de execução
do Tivoli Access Manager façam download desse arquivo automaticamente.
Caso contrário, será necessário copiar esse arquivo manualmente para cada
sistema de tempo de execução do Tivoli Access Manager subseqüente antes de
configurar o sistema.
Para ativar o download automático do arquivo de autoridade de certificação
SSL, digite Y e pressione Enter.
Nota: Se você não ativar o download automático, o arquivo de autoridade de
certificação SSL será colocado no seguinte diretório:
install_dir\keytab\pdcacert.b64
Por exemplo:
c:\Arquivos de
Programas\Tivoli\Policy Director\keytab\pdcacert.b64
Casos de instalação fácil do Windows
138 IBM Tivoli Access Manager: Guia de Instalação Base
12. Para continuar, digite S e pressione Enter. O processo de instalação é iniciado
para os produtos indicados.
13. Pressione Enter para reiniciar automaticamente.
14. Após a reinicialização do sistema, continue monitorando o andamento dos
produtos indicados. O ambiente de tempo de execução será configurado
Casos de instalação fácil do Windows
Capítulo 10. Casos de instalação fácil no Windows 139
somente depois que o servidor de política estiver instalado, como mostrado:
15. Quando o instalação tiver sido concluída, o status para todos os produtos será
Configurado como mostrado:
Observe que se ocorrer algum erro durante a instalação, você pode exibir o
arquivo ezinstall.log, localizado no diretório temporário, que é o valor
especificado pela variável TEMP.
16. Depois de configurar o servidor de política, você pode configurar sistemas
Tivoli Access Manager adicionais no domínio seguro. Por exemplo, você pode
fazer o seguinte:
v Execute o programa InstallShield install_pdrte.exe para instalar um ou mais
sistemas do cliente de tempo de execução (sem o servidor de política). Para
obter instruções, consulte o “Configurando um Sistema de Tempo de
Execução do Tivoli Access Manager” na página 141.
v Execute o arquivo ezinstall_pdwpm.bat para instalar um cliente de tempo
de execução Tivoli Access Manager com a interface do Web Portal Manager.
Para obter instruções, consulte o “Configurando um Sistema Web Portal
Manager” na página 144.
v Execute o arquivo ezinstall_pdacld.bat para configurar um sistema do
servidor de autorização.
v Execute o arquivo ezinstall_pdauthADK.bat para instalar um sistema de
desenvolvimento com o ADK (application development kit).
Casos de instalação fácil do Windows
140 IBM Tivoli Access Manager: Guia de Instalação Base
Configurando um Sistema de Tempo de Execução do Tivoli Access
Manager
O caso a seguir utiliza o assistente InstallShield install_pdrte.exe para instalar e
configurar um sistema de tempo de execução do Tivoli Access Manager. Ao
contrário dos outros scripts de instalação fácil, o programa install_pdrte.exe utiliza
um assistente InstallShield para guiá-lo pela instalação de um sistema de tempo de
execução. Todos os produtos pré-requisitos e componentes do Tivoli Access
Manager são instalados e configurados, exceto um JRE específico da plataforma,
que deve ser instalado manualmente.
A Tabela 15 relaciona opções de configuração para o tempo de execução do Tivoli
Access Manager e seu software pré-requisito. Leia o caso a seguir e identifique
esses valores nos espaços fornecidos, pois serão solicitados durante a instalação.
Nota: Se o produto já estiver instalado, o InstallShield não solicita o diretório de
instalação. Lembre-se também que há suporte à instalação fácil somente com
o uso de um registro com base em LDAP.
Tabela 15. Planilha de Instalação do Sistema de Tempo de Execução do Tivoli Access Manager
IBM Global Security Toolkit Valor Padrão Seu Valor
Nome do diretório C:\Arquivos de Programas\IBM\GSK ____________________________
IBM Directory Client Valor Padrão Seu Valor
Nome do diretório C:\Arquivos de Programas\IBM\ldapc ____________________________
Tempo de Execução do IBM Tivoli
Access Manager
Valor Padrão Seu Valor
Nome do diretório
C:\Arquivos de
Programas\Tivoli\Policy Director
____________________________
Nome do host do servidor de política ____________________________
Porta SSL do servidor de política 7135 ____________________________
Arquivo de certificado CA do servidor
de política
Não é necessário nenhum valor se você
tiver optado por permitir que outros
sistemas de tempo de execução do Tivoli
Access Manager façam download do
arquivo de certificado durante a instalação
do servidor de política.
____________________________
Seleção de registro do usuário LDAP ____________________________
Nome do host do servidor LDAP ____________________________
Porta do servidor LDAP 389 ____________________________
DN LDAP para banco de dados GSO
Assegure-se de ter especificado o mesmo
DN utilizado para configurar o servidor
LDAP.
____________________________
Ativar SSL com o IBM Directory Server Recomendado: Y ____________________________
Se você ativar SSL com o servidor LDAP, será solicitado que forneça os seguintes valores:
Arquivo de chaves com caminho
completo
É necessário copiar o arquivo
pd_ldapkey.kdb padrão do IBM
Directory Server para um diretório neste
sistema
____________________________
Senha do arquivo de chaves gsk4ikm ____________________________
Casos de instalação fácil do Windows
Capítulo 10. Casos de instalação fácil no Windows 141
Tabela 15. Planilha de Instalação do Sistema de Tempo de Execução do Tivoli Access Manager (continuação)
DN do Arquivo de Chaves SSL LDAP
(se necessário)
Não é necessário nenhum valor se você
utilizar o arquivo de chaves padrão
pd_ldapkey.kdb
____________________________
Número da porta SSL 636 ____________________________
Para instalar e configurar um sistema de tempo de execução do Tivoli Access
Manager, execute estas etapas:
1. Assegure-se de que o servidor LDAP e o servidor de política estejam ativados
e em execução e que você tenha efetuado logon no sistema Windows como
usuário Administrador (ou com um ID que seja membro do grupo de
Administradores).
2. Copie manualmente o arquivo de chaves SSL utilizado para configurar o
servidor LDAP para um diretório neste sistema. Por exemplo, copie o arquivo
pd_ldapkey.kdb padrão do diretório c:\keytabs no sistema do IBM Directory
Server para o diretório c:\keytabs neste sistema.
3. Instale um JRE específico da plataforma, para o qual exista suporte. Para obter
instruções, consulte o “Instalando o JRE Específico da Plataforma” na página
86.
4. Selecione o idioma que você deseja utilizar para a instalação e clique em OK.
5. Para iniciar o Assistente InstallShield para o tempo de execução do Tivoli
Access Manager, clique em Next (Avançar).
6. Leia o acordo de licença. Opte por aceitar os termos e clique em Next
(Avançar).
7. Para instalar o GSKit no diretório padrão, clique em Next (Avançar).
8. Para instalar o IBM Directory Client no diretório padrão, clique em Next
(Avançar).
9. Para instalar o ambiente de tempo de execução do Tivoli Access Manager no
diretório padrão, clique em Next (Avançar).
10. Preencha os campos a seguir e pressione Next (Avançar).
v Policy server host name (Nome do host do servidor de política) — Digite
o nome do host do sistema do servidor de política.
v Policy server SSL port (Porta SSL do servidor de política) — A porta SSL
do servidor de política já é fornecida (7135). Se você tiver alterado esse
número de porta, modifique esse valor.
v Policy server CA Certificate File (Arquivo de Certificado CA do servidor
de política) — Para que o tempo de execução do Tivoli Access Manager
autentique os outros servidores do Tivoli Access Manager aos quais ele é
conectado, ele deve ter uma cópia do arquivo pdcacert.b64 gerado pelo
servidor de política durante a configuração. Proceda de uma das seguintes
maneiras:
– Se você tiver ativado o servidor de política para permitir o download do
arquivo pdcacert.b64 não será necessário nenhum valor.
– Se você não tiver ativado o servidor de política para fazer download
desse arquivo de certificado, digite o caminho completo no qual copiou o
arquivo pdcacert.b64 neste sistema.
Nota: A seleção de registro do usuário é LDAP. Essa opção não pode ser
alterada.
11. Preencha os campos a seguir e pressione Next (Avançar).
Casos de instalação fácil do Windows
142 IBM Tivoli Access Manager: Guia de Instalação Base
v LDAP server host name (Nome do host do servidor LDAP) — Digite o
nome do host do sistema do servidor LDAP.
v LDAP server port (Porta do servidor LDAP) — A porta do servidor LDAP
já é fornecida (389). Modifique o número dessa porta se necessário.
v LDAP DN for GSO database (DN LDAP para banco de dados GSO) —
Digite o sufixo ou o valor DN existente que foi digitado durante a
configuração do servidor LDAP. Por exemplo, o=tivoli,c=us foi o sufixo
utilizado no caso anterior.
v Enable SSL (Secure Sockets Layer) with the IBM Directory server (Ative
SSL (Secure Sockets Layer) com o IBM Directory Server) — Por segurança,
é recomendado ativar SSL com o servidor LDAP. Para isto, selecione esta
caixa de opções para que as opções de SSL relacionadas na etapa 12 sejam
solicitadas. Caso contrário, vá para a etapa 13.12. Se você tiver optado por ativar SSL com o servidor LDAP, preencha os
campos a seguir e selecione Next (Avançar).
v Key file with full path (Arquivo de chaves com caminho completo) —
Digite o caminho completo no qual o arquivo de chaves do cliente SSL
LDAP está localizado. Por exemplo, se você tiver copiado o arquivo
pd_ldapkey.kdb para o diretório c:\keytabs, digite
c:\keytabs\pd_ldapkey.kdb.
v Key file password (Senha do arquivo de chaves) — Digite a senha
associada ao arquivo de chaves. A senha padrão do arquivo pd_ldapkey.kdb
é gsk4ikm. Futuramente, quando você alterar essa senha com o utilitário
gsk5ikm, será necessário chamar novamente essa senha padrão.
v LDAP SSL key file DN (if required) (DN do arquivo de chaves SSL
LDAP (se necessário)) — O rótulo do certificado SSL não é necessário se o
arquivo de chaves padrão da instalação fácil (pd_ldapkey.kdb) for utilizado.
v SSL port number (Número da porta SSL) — O número da porta SSL já é
fornecido (636). Modifique o número da porta se necessário.13. Releia as opções de configuração exibidas. Selecione Next (Avançar) para
iniciar a instalação.
14. O processo de instalação é iniciado. Esse processo pode demorar alguns
minutos. Aguarde a conclusão do processo de instalação de tempo de
execução.
15. Clique em Next (Avançar) para iniciar o sistema novamente, automaticamente.
16. Quando o sistema for iniciado novamente, selecione o idioma que deseja
utilizar para continuar a instalação e clique em OK.
17. Continue monitorando a instalação do tempo de execução do Tivoli Access
Manager e a criação do programa de remoção da instalação. Quando a
instalação tiver sido concluída, você será avisado que a instalação do tempo
de execução foi concluída com êxito. Para sair desse programa, clique em
Finish (Concluir).
Se ocorrer algum erro durante a instalação, você pode exibir o arquivo
msg__amismp.log, localizado no diretório temporário, que é o valor especificado
pela variável TEMP.
Casos de instalação fácil do Windows
Capítulo 10. Casos de instalação fácil no Windows 143
Configurando um Sistema Web Portal Manager
O caso a seguir utiliza o arquivo ezinstall_pdwpm.bat para instalar e configurar
um sistema de tempo de execução do Tivoli Access Manager com a interface do
Web Portal Manager. Esse arquivo em batch instala e configura todos os softwares
necessários no seu sistema, inclusive os produtos de pré-requisito, componentes do
Tivoli Access Manager e correções associadas.
A Tabela 16 relaciona opções de configuração para o Web Portal Manager e seu
software pré-requisito. Leia o caso a seguir e identifique esses valores nos espaços
fornecidos, pois serão solicitados durante a instalação.
Tabela 16. Planilha de Instalação do Sistema Web Portal Manager
IBM Global Security Toolkit Valor Padrão Seu Valor
Nome do diretório C:\Arquivos de Programas\IBM\GSK ____________________________
Configuração do IBM HTTP Server Valor Padrão Seu Valor
ID de Administração
A instalação fácil detecta o ID de
administração utilizado para conectar-se
ao sistema.
____________________________
Senha de Administração ___________________ ____________________________
Porta HTTP 80 ____________________________
Diretório de Instalação
C:\Arquivos de Programas\IBM HTTP
Server
____________________________
IBM Directory Client Valor Padrão Seu Valor
Diretório de Instalação C:\Arquivos de Programas\IBM\LDAP ____________________________
Tempo de Execução do IBM Tivoli Access Manager Valor Padrão Seu Valor
Configure Utilizando Este Tipo de
Registro
ldap ____________________________
Nome do Host do Servidor LDAP ____________________________
Porta do Servidor LDAP 389 ____________________________
DN LDAP para Banco de Dados GSO
Assegure-se de ter especificado o mesmo
DN utilizado para configurar o servidor
LDAP.
____________________________
Ativar SSL com o servidor LDAP Recomendado: Y ____________________________
Se você ativar SSL com o servidor LDAP, os próximos quatro valores serão solicitados:
Arquivo de Chaves SSL LDAP ____________________________
DN do Arquivo de Chaves SSL LDAP
Valor não obrigatório se for utilizado o
arquivo de chaves SSL padrão.
____________________________
Senha do Arquivo de Chaves SSL LDAP gsk4ikm ____________________________
Porta SSL do Servidor LDAP 636 ____________________________
Diretório de Instalação
C:\Arquivos de
Programas\Tivoli\Policy Director
____________________________
Nome do Host do Servidor de Política
do Access Manager
____________________________
Porta do Servidor SSL para Servidor de
Política do AM
7135 ____________________________
Nome do Arquivo de Certificado CA do
Servidor de Política
Se você tiver ativado o servidor de política
para permitir o download do arquivo de
certificado, não será necessário nenhum
valor.
____________________________
Casos de instalação fácil do Windows
144 IBM Tivoli Access Manager: Guia de Instalação Base
Para instalar o configurar um sistema Tivoli Access Manager com a interface do
Web Portal Manager, execute estas etapas:
1. Assegure-se de que o servidor LDAP e o servidor de política estejam ativados
e em execução e que você tenha efetuado logon no sistema Windows como
usuário Administrador (ou com um ID que seja membro do grupo de
Administradores).
2. Copie manualmente o arquivo de chaves SSL utilizado para configurar o
servidor LDAP para um diretório neste sistema. Por exemplo, copie o arquivo
pd_ldapkey.kdb padrão do diretório c:\keytabs no sistema do IBM Directory
Server para o diretório c:\keytabs neste sistema.
3. Assegure-se de ter um navegador da Web instalado que ofereça suporte à
interface do Web Portal Manager. Para saber para quais navegadores existe
suporte, consulte o IBM Tivoli Access Manager para e-business: Notas sobre o
Release.
4. Execute ezinstall_pdwpm.bat, localizado no diretório raiz do CD do IBM
Tivoli Access Manager Web Portal Manager para Windows.
Se você executou anteriormente um arquivo de instalação fácil neste sistema,
será solicitado que utilize o arquivo de resposta armazenado. Para continuar
com este caso, pressione N. Para obter informações adicionais sobre arquivos
de resposta, consulte o Apêndice B, “Referência de Configuração do Tivoli
Access Manager”, na página 185.
Será exibida uma janela semelhante à seguinte. Para iniciar o processo de
instalação, pressione Enter e forneça as informações de configuração, quando
solicitadas.
Nota: Se você instalou anteriormente o componente de tempo de execução do
Tivoli Access Manager neste sistema, a coluna Status indica que o IBM
Global Security Toolkit, o IBM Directory Client e os componentes de
tempo de execução do Tivoli Access Manager já estão instalados. Nesse
caso, vá para a etapa 15 na página 150.
Casos de instalação fácil do Windows
Capítulo 10. Casos de instalação fácil no Windows 145
5. Para instalar o GSKit no diretório padrão, digite Y e pressione Enter.
6. Digite a senha associada ao ID de administração utilizado para efetuar logon
neste sistema (valor especificado na opção 1) e pressione Enter. Lembre-se que
a instalação fácil faz upgrade da versão do IBM HTTP Server instalada com o
IBM WebSphere Application Server. Ela também instala um patch necessário
para o IBM HTTP Server.
Nota: A Opção 3 especifica a porta utilizada pelo IBM HTTP Server. Se você
tiver instalado um servidor LDAP que não utiliza o IBM HTTP Server e
estiver instalando o Web Portal Manager no mesmo sistema,
assegure-se de que as portas do servidor da Web sejam diferentes. Você
pode alterar o valor da opção 3 durante a instalação fácil ou pode
editar o arquivo C:\Arquivos de Programas\IBM HTTP
Server\conf\httpd.conf e alterar a porta padrão 80 para 8080 como
mostrado
# Port: A porta de atendimento independente.
Port 8080
Casos de instalação fácil do Windows
146 IBM Tivoli Access Manager: Guia de Instalação Base
7. Para continuar, digite S e pressione Enter. Em seguida, pressione Enter para
instalar o IBM Directory Client no diretório padrão.
8. Digite o nome do host do servidor LDAP e pressione Enter. Esse é o nome do
sistema host no qual o IBM Directory Server foi instalado. Por exemplo,
dliburdi2 foi o nome do host do IBM Directory Server utilizado no caso
anterior. Você pode digitar o nome abreviado ou completo do host, como
dliburdi2.dev.company.com.
9. Digite o DN LDAP para o valor do banco de dados GSO digitado durante a
configuração do servidor LDAP e pressione Enter. Por exemplo, o=tivoli,c=us
Casos de instalação fácil do Windows
Capítulo 10. Casos de instalação fácil no Windows 147
era o sufixo utilizado no caso anterior.
10. Para ativar SSL com o servidor LDAP, digite Y e pressione Enter.
11. Digite o caminho completo no qual o arquivo de chaves do cliente SSL LDAP
está localizado e pressione Enter. Por exemplo, se você tiver copiado o arquivo
pd_ldapkey.kdb para o diretório c:\keytabs, digite
Casos de instalação fácil do Windows
148 IBM Tivoli Access Manager: Guia de Instalação Base
c:\keytabs\pd_ldapkey.kdb e pressione Enter.
12. Digite a senha do arquivo de chaves do cliente SSL LDAP e pressione Enter.
O arquivo pd_ldapkey.kdb incluído na instalação fácil tem a senha padrão
gsk4ikm. Utilize essa senha padrão somente se tiver instalado e configurado o
IBM Directory Server utilizando o arquivo ezinstall_ldap_server.bat ou se
tiver especificado esse arquivo de chaves padrão durante a instalação nativa.
Nota: Se você decidir alterar essa senha usando o utilitário gsk5ikm, será
necessário chamar novamente a senha padrão.
Casos de instalação fácil do Windows
Capítulo 10. Casos de instalação fácil no Windows 149
13. Para continuar, digite S e pressione Enter. Em seguida, digite o nome do host
do servidor de política e pressione Enter.
14. Para que o tempo de execução do Tivoli Access Manager autentique os outros
servidores do Tivoli Access Manager aos quais ele é conectado, é necessário
ter uma cópia do arquivo de certificado CA gerado pelo servidor de política
durante a configuração.
Proceda de uma das seguintes formas:
v Se você tiver ativado o servidor de política para permitir o download do
arquivo pdcacert.b64, pressione Enter. Não é necessário nenhum valor.
v Se você não tiver ativado o servidor de política para fazer download
automaticamente desse arquivo de certificado, digite o caminho completo
para o qual copiou o arquivo pdcacert.b64 neste sistema e pressione Enter.
15. Para continuar, digite S e pressione Enter. Em seguida, digite a senha
associada ao ID de administração utilizado para efetuar logon nesse sistema
Casos de instalação fácil do Windows
150 IBM Tivoli Access Manager: Guia de Instalação Base
(valor especificado na opção 1) e pressione Enter.
16. Para continuar, digite Y e pressione Enter. O processo de instalação é iniciado.
Os produtos são instalados na seqüência indicada. Quando a instalação do
IBM WebSphere Application Server começar, serão mostrados avisos e
mensagens da seguinte forma:
17. Em seguida, os componentes instalados são configurados e o Web Portal
Manager é instalado. O Java Runtime Environment do Tivoli Access Manager
também tem instalação silenciosa com o componente Web Portal Manager.
Para concluir a instalação de um sistema cliente de tempo de execução com o
Web Portal Manager, pressione Enter para reiniciar o sistema
Casos de instalação fácil do Windows
Capítulo 10. Casos de instalação fácil no Windows 151
automaticamente.
18. Antes de iniciar a interface do Web Portal Manager, assegure-se de que o
WebSphere Application Server esteja sendo executado. Para isto, clique em
Iniciar → Programas → IBM WebSphere → Application Server 4.0 → Iniciar
Application Server.
Nota: O processo de configuração configura automaticamente o IBM
WebSphere Application Server para comunicação SSL na porta 443.
19. O suporte a SSL é ativado automaticamente entre o navegador e o IBM HTTP
Server, por meio de um arquivo de chaves SSL padrão e um arquivo stash.
Esses arquivos são fornecidos somente para avaliação. Você deve adquirir seu
próprio certificado e substituir os seguintes arquivos do sistema:
C:\Arquivos de Programas\Tivoli\Policy Director\keytab\pdwpm.kdb
Especifica o arquivo de banco de dados de chaves. O caminho do
arquivo é especificado no arquivo httpd.conf.
C:\Arquivos de Programas\Tivoli\Policy Director\keytab\pdwpm.sth
Especifica o arquivo no qual a senha do banco de dados de chaves
está armazenada.20. Para acessar a interface do Web Portal Manager, digite o endereço a seguir no
navegador da Web.
https://hostname/pdadmin
em que hostname é o nome do host que está executando o IBM HTTP Server.
Nota: Para comunicações seguras com o IBM HTTP Server, utilize https em
vez de http.
Será exibido um diálogo de conexão segura, juntamente com a tela de boas
vindas do Web Portal Manager.
Nota: Se ocorrer algum erro durante a instalação, você pode exibir o arquivo
ezinstall.log, localizado no diretório temporário, que é o valor
especificado pela variável TEMP.
Casos de instalação fácil do Windows
152 IBM Tivoli Access Manager: Guia de Instalação Base
Capítulo 11. Utilizando Arquivos de Resposta de Instalação
Fácil
O Tivoli Access Manager permite a criação de arquivos de resposta para dinamizar
a instalação e a configuração dos componentes de instalação fácil. Um arquivo de
resposta é um arquivo de texto que contém informações do produto e do sistema
necessárias para instalar e configurar componentes. É útil para executar instalações
(silenciosas) não-assistidas. O processo de instalação lê as informações do arquivo
de resposta em vez de solicitar a você para preencher os espaços em branco. Você
também pode reutilizar o arquivo de resposta para instalações futuras, utilizando
um editor de texto para incluir componentes ou personalizar opções.
Esta seção contém os seguintes tópicos:
v “Criando um Arquivo de Resposta”
v “Instalando Componentes Utilizando um Arquivo de Resposta” na página 154
v “Exemplos de Arquivos de Resposta (ezinstall)” na página 154
v “Opções do Arquivo de Resposta” na página 157
Nota: As considerações para os arquivos de resposta são iguais às da instalação
fácil.
Criando um Arquivo de Resposta
Você pode criar um arquivo de resposta a partir do início, utilizando qualquer
editor de texto, ou pode utilizar os scripts ezinstall para gerar arquivos de
resposta automaticamente, com base nas respostas fornecidas durante a instalação.
Em sistemas UNIX, o arquivo de resposta é nomeado com base no pacote instalado
e configurado. Por exemplo, se você executar o script ezinstall_ldap_server, o
nome do arquivo de resposta gerado será ezinstall_ldap_server.rsp. Os arquivos
de resposta para cada pacote executado são armazenados no diretório /var/tmp.
Nos sistemas Windows, a instalação fácil gera um arquivo de resposta denominado
ezinstall.rsp. Este arquivo de resposta reside no diretório temporário que é o valor
especificado pela variável %TEMP%. Por exemplo, se você executar o arquivo
ezinstall_ldap_server.bat, o nome do arquivo de resposta gerado será
%TEMP%\ezinstall.rsp.
Observe que o programa InstallShield install_pdrte trabalha de uma forma um
pouco diferente dos scripts ezinstall e arquivos em batch. Para criar um arquivo de
resposta de tempo de execução do Tivoli Access Manager, copie um gabarito
fornecido no CD do Tivoli Access Manager Base para a unidade de disco rígido e
edite seus valores. Os gabaritos estão localizados nos seguintes diretórios e têm os
seguintes nomes:
v Em sistemas UNIX:
/common/unixismp.rsp.template
v Em sistemas Windows:
\common\winismp.rsp.template
© Copyright IBM Corp. 2001, 2003 153
Instalando Componentes Utilizando um Arquivo de Resposta
Para utilizar um arquivo de resposta para instalar componentes do Tivoli Access
Manager, siga estas etapas básicas:
1. Edite o arquivo de resposta para verificar sua sintaxe e assegurar-se de que as
informações estejam corretas. Para obter descrições das sub-rotinas no arquivo
de resposta, consulte “Opções do Arquivo de Resposta” na página 157. Observe
que para todos os processos ezinstall (exceto install_pdrte), você pode fornecer
senhas reais para os valores ou aguardar até que as senhas sejam solicitadas, na
execução de ezinstall com o arquivo de resposta. Se estiver utilizando
install_pdrte, forneça todos os valores obrigatórios ou o processo falhará.
2. Execute o script de instalação fácil e especifique o arquivo de resposta. Por
exemplo:
v Em sistemas UNIX, digite o seguinte:
ezinstall_ldap_server /tmp/ezinstall_ldap_server.rsp
em que /tmp/ezinstall_ldap_server.rsp é o nome completo do arquivo de
resposta.
v Em sistemas Windows, digite o seguinte:
ezinstall_ldap_server c:\temp\ezinstall.rsp
em que c:\temp\ezinstall.rsp é o nome completo do arquivo de resposta.3. Para executar o processo install_pdrte com um arquivo de resposta, digite o
seguinte:
install_pdrte -options response_file
em que response_file é o nome completo do arquivo de resposta. Esse uso
aplica-se a sistemas Windows ou UNIX.
Nota: Após a instalação, é recomendável aplicar segurança ou apagar o arquivo de
resposta gerado.
Exemplos de Arquivos de Resposta (ezinstall)
Um arquivo de resposta contém sub-rotinas de pares atributo=valor. Uma
sub-rotina inicia com uma linha que contém o nome da sub-rotina entre colchetes,
por exemplo, [LDAPS], e termina quando uma outra linha começa com outro nome
de sub-rotina entre colchetes ou quando o fim do arquivo é alcançado. Cada
sub-rotina contém zero ou mais pares atributo=valor. Um nome da sub-rotina não
pode ser repetido mais de uma vez em um arquivo de resposta. Os comentários
podem ser incluídos em um arquivo de resposta, utilizando o caractere # antes do
comentário.
Os exemplos a seguir ilustram arquivos de resposta gerados de scripts de
instalação fácil. Observe que a instalação fácil faz uma pausa durante a
configuração para permitir que você especifique quaisquer valores que estejam
faltando.
Nota: A senha padrão do arquivo de chaves do IBM Directory Client é gsk4ikm.
Exemplo para UNIX
[HTTPD]
http-admin-id = root
http-admin-pwd = secret
Utilizando Arquivos de Resposta de Instalação Fácil
154 IBM Tivoli Access Manager: Guia de Instalação Base
http-port = 80
[LDAPS]
ldap-adminid = cn=root
ldap-password = secret
suffix = o=tivoli,c=us
host = ldapserv.tivoli.com
port = 389
ldap-ssl-client-keyfile = /cdrom/common/pd_ldapkey.kdb
ldap-ssl-client-keyfile-pwd = gsk4ikm
ldap-label = PDLDAP
[PDRTE]
ldap-or-domino = 1
host = ldapserv.tivoli.com
port = 389
ldap-server-ssl-port = 636
master-host = pdmgr.tivoli.com
pd-cacert =
enable-ssl = Y
ssl-client-keyfile = /var/ldap/keytab/pd_ldapkey.kdb
ssl-keyfile-pwd = gsk4ikm
ssl-port = 7135
[PDMGR]
ldap-adminid = cn=root
ldap-password = secret
ssl-life = 365
ssl-port = 7135
sec-master-pwd = secret
enable-cert-download = Y
prompt-languages = N
Exemplo para Windows
[PDRTE]
registry-type=ldap
ldap-server=ldapserv.tivoli.com
ldap-port=389
ldap-ssl-port=636
pdmgr-host=pdmgr.tivoli.com
cacert=
enable-ssl=Y
ssl-client-keyfile=c:\keytabs\pd_ldapkey.kdb
ssl-client-keyfile-dn=
suffix=o=tivoli,c=us
pdmgr_ssl_port=7135
pdc_dir=C:\Program Files\Tivoli\Policy Director
ssl-client-keyfile-pwd=gsk4ikm
[PDMGR]
ldap-admin-id=cn=root
ldap-admin-pwd=secret
ssl-port=7135
cert-life=365
enable-cert-download=Y
sec-master-pwd=secret
[DB2]
admin-pwd=db2admin
install_dir=C:\SQLDIR
[HTTPD]
admin-id=administrator
admin-pwd=secret
port=80
install_dir=C:\Program Files\IBM HTTP Server
Utilizando Arquivos de Resposta de Instalação Fácil
Capítulo 11. Utilizando Arquivos de Resposta de Instalação Fácil 155
[LDAPS]
admin-id=cn=root
admin-pwd=secret
hostname=ldapserv.tivoli.com
server-port=389
suffix=o=tivoli,c=us
ssl-client-keyfile=c:\keytabs\pd_ldapkey.kdb
ssl-client-keyfile-pwd=gsk4ikm
label=PDLDAP
[PDACLD]
admin-id=cn=root
admin-pwd=secret
sec-master-pwd=secret
[LDAP]
install_dir=C:\Program Files\IBM\LDAP
Exemplos de Arquivos de Resposta (install_pdrte)
Um arquivo de resposta contém pares –w atributo=valor. Os atributos consistem
em um nome de bean do painel do assistente seguido de um ponto, seguido de
um nome de opção. Os nomes de bean são transformados no processo
install_pdrte e não podem ser modificados. Os comentários podem ser incluídos
em um arquivo de resposta, utilizando o caractere # antes do comentário.Os
exemplos a seguir ilustram gabaritos de arquivo de resposta contidos no CD, no
diretório /common. Para facilitar a leitura, as descrições das opções obrigatórias
foram colocadas entre caracteres de menor que (<) e maior que (>). Assegure-se de
substituir toda a cadeia à direita do sinal de igual.
Nota: A senha do arquivo de chaves padrão para o IBM Directory Client é
gsk4ikm.
Exemplo para UNIX
# Para executar o processo no modo silencioso, especifique
–silent aqui ou na linha cmd.
-silent
-W AMRTE_ServerOptions_Panel.hostName=<Policy Server Hostname>
-W AMRTE_ServerOptions_Panel.listeningPort=7135
-W AMRTE_ServerOptions_Panel.certFile=
-W AMRTE_LDAP_Options_Panel.ldapHostName=<LDAP Server Hostname>
-W AMRTE_LDAP_Options_Panel.ldapPortNumber=389
-W AMRTE_LDAP_Options_Panel.enableSSL=N
-W AMRTE_LDAPSSLOptions_Panel.sslPort=636
-W AMRTE_LDAPSSLOptions_Panel.keyFile=
-W AMRTE_LDAPSSLOptions_Panel.keyFilePasswd=
-W AMRTE_LDAP_Options_Panel.ldapDNGSO=<dn for gso database - example: o=tivoli,c=us>
Exemplo para Windows
# Para executar o processo no modo silencioso, especifique
–silent aqui ou na linha cmd.
-silent
-W GSKIT_Panel.installDirectory=c:\Program Files\IBM\gskit
-W LDAPC_Panel.installDirectory=c:\Program Files\LDAP
-W AMRTE_Panel.installDirectory=c:\Program Files\Tivoli\Policy Director
-W AMRTE_ServerOptions_Panel.hostName=<Policy Server Hostname>
-W AMRTE_ServerOptions_Panel.listeningPort=7135
-W AMRTE_ServerOptions_Panel.certFile=
-W AMRTE_LDAP_Options_Panel.ldapHostName=<LDAP Server Hostname>
-W AMRTE_LDAP_Options_Panel.ldapPortNumber=389
Utilizando Arquivos de Resposta de Instalação Fácil
156 IBM Tivoli Access Manager: Guia de Instalação Base
-W AMRTE_LDAP_Options_Panel.enableSSL=N
-W AMRTE_LDAPSSLOptions_Panel.sslPort=636
-W AMRTE_LDAPSSLOptions_Panel.keyFile=
-W AMRTE_LDAPSSLOptions_Panel.keyFilePasswd=
-W AMRTE_LDAP_Options_Panel.ldapDNGSO=<dn for gso database - example: o=tivoli,c=us>
Opções do Arquivo de Resposta
As tabelas a seguir mostram as diversos opções de palavras-chave de sub-rotina
disponíveis para uso em um arquivo de resposta. Os nomes de sub-rotina são
utilizados para legibilidade em plataformas UNIX.
Opções de Arquivo de Resposta do UNIX
Nome da
Sub-rotina Palavra-chave Descrição
[HTTPD] http-admin-id Especifica o nome do usuário do
administrador. O padrão é
Administrator (Administrador).
[HTTPD] http-admin-pwd Especifica a senha do administrador.
[HTTPD] http-port Especifica a porta utilizada pelo
HTTPD.
[LDAPS] ldap-adminid Especifica o DN (Nome Distinto) ou ID
do administrador LDAP. O padrão é
cn=root.
[LDAPS] ldap-password Especifica a senha do administrador
LDAP.
[LDAPS] host Especifica o nome do host do servidor
LDAP. O padrão é o nome do host do
sistema que está sendo configurado.
[LDAPS] server-port Especifica o número da porta não-SSL
do servidor LDAP. O número da porta
padrão é 389.
[LDAPS] suffix Especifica o nome distinto do LDAP
para o banco de dados de GSO
(conexão global). Por exemplo,
o=tivoli,c=us.
[LDAPS] ldap-ssl-client-keyfile Especifica o caminho para o arquivo de
chaves SSL do LDAP. O padrão é
/common/pd_ldapkey.kdb, que é
fornecido no CD. Se esse arquivo for
utilizado, a senha gsk4ikm e o rótulo
do lado do servidor PDLDAP serão
necessários.
[LDAPS] ldap-ssl-client-keyfile-pwd Especifica a senha associada ao arquivo
de chaves. Se você estiver utilizando o
padrão media/common/pd_ldapkey.kdb, a
senha será gsk4ikm.
[LDAPS] ldap-label Especifica o rótulo associado ao arquivo
de chaves SSL. Se você estiver
utilizando o padrão
media/common/pd_ldapkey.kdb, o rótulo
será PDLDAP.
Utilizando Arquivos de Resposta de Instalação Fácil
Capítulo 11. Utilizando Arquivos de Resposta de Instalação Fácil 157
Nome da
Sub-rotina Palavra-chave Descrição
[PDMGR] ldap-adminid Especifica o ID do administrador LDAP.
O padrão é cn=root. Este ID é criado
durante a configuração do servidor
LDAP.
[PDMGR] ldap-password Especifica a senha do administrador
LDAP.
[PDMGR] porta Especifica a porta não-SSL do servidor
LDAP. O número da porta padrão é
389.
[PDMGR] ssl-life Especifica a duração do arquivo de
certificado (pdcacert.b64). O padrão é
365 dias.
[PDMGR] enable-cert-download Especifica para ativar os ambientes do
Tivoli Access Manager Runtime em
outros sistemas para fazer download
automaticamente do arquivo de
certificado (pdcacert.b64).Os valores
válidos são Y (ativar) ou N (desativar).
[PDMGR] sec-master-pwd Especifica a senha master de segurança.
[PDACLD] ldap-adminid Especifica o ID do administrador LDAP.
O padrão é cn=root. Este ID é criado
durante a configuração do servidor
LDAP.
[PDACLD] ldap-password Especifica a senha do administrador
LDAP.
[PDACLD] sec-master-pwd Especifica a senha master de segurança.
Essa senha é criada durante a
configuração do servidor de políticas.
Opções de Arquivo de Resposta do Windows
Nome da
Sub-rotina
Palavra-chave
Win32 Descrição
[DB2] admin-pwd Especifica a senha do administrador.Se você efetuar
login em um sistema Windows como
Administrador, utilize a senha padrão de
db2admin.
[DB2] admin-uid Especifica o nome do usuário do administrador. Se
você efetuar login em um sistema Windows como
Administrador, utilize a senha padrão de
db2admin.
[DB2] install_dir Especifica o diretório de instalação (apenas
WIN32). Especifique a unidade e o diretório. Por
exemplo: C:\SQLDIR
[HTTPD] admin-id Especifica o nome do usuário do administrador. O
padrão é Administrator (Administrador).
[HTTPD] admin-pwd Especifica a senha do administrador.
[HTTPD] port Especifica a porta utilizada pelo HTTPD.
Utilizando Arquivos de Resposta de Instalação Fácil
158 IBM Tivoli Access Manager: Guia de Instalação Base
Nome da
Sub-rotina
Palavra-chave
Win32 Descrição
[HTTPD] install_dir Especifica o diretório de instalação. Especifique a
unidade e o diretório. Por exemplo: C:\Arquivos de
Programas\IBM HTTP Server
[LDAP] install_dir Especifica o diretório de instalação (apenas
WIN32). Especifique a unidade e o diretório. Por
exemplo: C:\Arquivos de Programas\IBM\LDAP. Os
softwares cliente e servidor do LDAP residem neste
diretório.
[LDAPS] admin-id Especifica o DN (Nome Distinto) ou ID do
administrador LDAP. O padrão é cn=root.
[LDAPS] admin-pwd Especifica a senha do administrador LDAP.
[LDAPS] hostname Especifica o nome do host do servidor LDAP. O
padrão é o nome do host do sistema que está
sendo configurado.
[LDAPS] server-port Especifica o número da porta não-SSL do servidor
LDAP. O número da porta padrão é 389.
[LDAPS] suffix Especifica o nome distinto do LDAP para o banco
de dados de GSO (conexão global). Por exemplo,
o=tivoli,c=us.
[LDAPS] ssl-client-keyfile Especifica o caminho para o arquivo de chaves SSL
do LDAP. O padrão é /common/pd_ldapkey.kdb, que
é fornecido no CD. Se esse arquivo for utilizado, a
senha gsk4ikm e o rótulo do lado do servidor
PDLDAP serão necessários.
[LDAPS] ssl-client-keyfile-pwd
Especifica a senha associada ao arquivo de chaves.
Se você estiver utilizando o padrão
media/common/pd_ldapkey.kdb, a senha será
gsk4ikm.
[LDAPS] label Especifica o rótulo associado ao arquivo de chaves
SSL. Se você estiver utilizando o padrão
media/common/pd_ldapkey.kdb, o rótulo será
PDLDAP.
[GSKIT] install_dir Especifica o diretório de instalação (apenas
WIN32). Especifique a unidade e o caminho. Por
exemplo: C:\Arquivos de Programas\IBM\GSK
[PDMGR] ldap-admin-id Especifica o ID do administrador LDAP. O padrão
é cn=root. Este ID é criado durante a configuração
do servidor LDAP.
[PDMGR] ldap-admin-pwd Especifica a senha do administrador LDAP.
[PDMGR] ssl-port Especifica a porta não-SSL do servidor LDAP. O
número da porta padrão é 389.
[PDMGR] cert-life Especifica a duração do arquivo de certificado
(pdcacert.b64). O padrão é 365 dias.
[PDMGR] enable-cert-download
Especifica para ativar os ambientes do Tivoli
Access Manager Runtime em outros sistemas para
fazer download automaticamente do arquivo de
certificado (pdcacert.b64).Os valores válidos são Y
(ativar) ou N (desativar).
[PDMGR] sec-master-pwd Especifica a senha master de segurança.
Utilizando Arquivos de Resposta de Instalação Fácil
Capítulo 11. Utilizando Arquivos de Resposta de Instalação Fácil 159
Nome da
Sub-rotina
Palavra-chave
Win32 Descrição
[PDACLD] admin-id Especifica o ID do administrador LDAP. O padrão
é cn=root. Este ID é criado durante a configuração
do servidor LDAP.
[PDACLD] admin-pwd Especifica a senha do administrador LDAP.
[PDACLD] sec-master-pwd Especifica a senha master de segurança. Essa senha
é criada durante a configuração do servidor de
políticas.
[WEB] install_dir Especifica o diretório de instalação do IBM
WebSphere Application Server, Advanced Single
Server, que é um pré-requisito para o Web Portal
Manager. Especifique a unidade e o diretório. Por
exemplo: C:\WebSphere\AppServer
Utilizando Arquivos de Resposta de Instalação Fácil
160 IBM Tivoli Access Manager: Guia de Instalação Base
Apêndice A. Ativando a Secure Sockets Layer
É recomendável que você ative a comunicação SSL (Secure Sockets Layer) entre o
servidor LDAP ou Domino e os IBM Directory Clients que oferecem suporte ao
software IBM Tivoli Access Manager.
Nota: Se você tiver utilizado a instalação fácil para o IBM Directory Server, pode
ignorar as instruções deste apêndice. O script ezinstall_ldap_server irá
orientá-lo no processo de ativação SSL durante a instalação e configuração
desse servidor LDAP e seus pré-requisitos.
Para ativar a comunicação SSL, primeiramente é necessário configurar SSL no
servidor e depois no IBM Directory Client. Durante a configuração de SSL, é
solicitado que você escolha um dos seguintes tipos de autenticação:
Autenticação de servidor
O servidor envia seu certificado para o cliente e o cliente autentica o
servidor.
Autenticação de servidor e cliente
Depois que o servidor tiver enviado seu certificado para o cliente e tiver
sido autenticado pelo cliente, o servidor solicita o certificado do cliente.
Nesse caso, um certificado precisa ser estabelecido para o sistema cliente
bem como para o servidor.
Se você optar por implementar somente autenticação do servidor, configure o
servidor e os IBM Directory Clients para acesso SSL. No entanto, se você optar por
implementar a autenticação de servidor e cliente, deverá configurar o SSL no
servidor e no cliente e, em seguida, seguir as instruções em “Configurando a
Autenticação de Servidor e Cliente LDAP” na página 178.
Este capítulo contém as seguintes seções principais:
v “Configurando o IBM Directory Server para Acesso SSL”
v “Configurando o iPlanet Directory Server para Acesso SSL” na página 167
v “Configurando o Novell eDirectory Server para Acesso SSL” na página 172
v “Configurando o IBM Directory Client para Acesso SSL” na página 175
v “Configurando os Servidores LDAP OS/390 e z/OS LDAP para Acesso SSL” na
página 170
v “Configurando a Autenticação de Servidor e Cliente LDAP” na página 178
v “Ativando SSL para Domino” na página 183
Configurando o IBM Directory Server para Acesso SSL
Você pode ativar o uso de SSL para proteger a comunicação entre os servidores
Tivoli Access Manager e o servidor LDAP. Essa etapa precisa ser executada
somente na primeira vez que a comunicação SSL for definida entre o servidor
LDAP e o IBM Directory Client.
Se anteriormente você tiver ativado o acesso SSL ao servidor LDAP durante a
configuração do servidor LDAP, deverá copiar um par de conjuntos de chaves do
cliente e do servidor para cada sistema Tivoli Access Manager adicional que utiliza
acesso SSL.
© Copyright IBM Corp. 2001, 2003 161
Se o acesso SSL for requerido pelo servidor LDAP, utilize o GSKit para executar o
gerenciamento de chaves SSL. O GSKit fornece um utilitário gráfico de
gerenciamento de chaves denominado gsk5ikm.
Nota: Para obter instruções completas sobre como usar o utilitário gsk5ikm para
ativar o SSL, consulte o IBM SecureWay Installation and Configuration Guide.
Para ativar o acesso SSL no IBM Directory Server, execute as instruções das
seguintes seções:
v “Criando o Arquivo de Banco de Dados de Chaves e o Certificado” na página
162
v “Obtendo um Certificado Pessoal de uma Autoridade de Certificação” na página
163 ou “Criando e Extraindo um Certificado Auto-assinado” na página 164
v “Ativando o Acesso SSL” na página 165
Criando o Arquivo de Banco de Dados de Chaves e o
Certificado
Para ativar o suporte SSL no servidor LDAP, o servidor deve ter um certificado
que o identifique e que ele possa utilizar como um certificado pessoal. Este
certificado pessoal é o certificado que o servidor envia para o cliente para permitir
ao cliente autenticar o servidor. Os certificados e os pares de chaves privadas e
públicas são armazenados em um arquivo de banco de dados de chave. Um
usuário geralmente adquire um certificado assinado de uma autoridade de
certificação, tal como a VeriSign.
Alternativamente, um usuário pode utilizar um certificado auto-assinado. Se o
usuário estiver utilizando um certificado auto-assinado, o sistema no qual o
certificado é gerado torna-se a autoridade de certificação.
Use o utilitário gsk5ikm para criar o arquivo de banco de dados de chaves e o
certificado. Para criar o arquivo de banco de dados de chaves e o certificado
(auto-assinado ou assinado), siga estas etapas:
1. Assegure-se de que a versão do GSKit e do gsk5ikm para a qual existe
suporte esteja instalada no servidor LDAP e nos IBM Directory Clients que
vão utilizar SSL.
Nota: Somente em um sistema de kernel SuSE SLES-7 2.4, assegure-se de que a
biblioteca C++ correta seja usada pelos utilitários GSKit. Para isso,
digite o seguinte comando:
export LD_PRELOAD=/usr/lib/libstdc++libc6.1-2.so.3
Essa variável de ambiente não é obrigatória se você executar gsk5ikm
em um sistema kernel 2.2.
2. Inicie o utilitário gsk5ikm, que está localizado em um dos seguintes diretórios
padrão:
Sistema Caminho
AIX /usr/opt/lpp/ibm/gsk5/bin/gsk5ikm
HP-UX /opt/ibm/gsk5/bin/gsk5ikm
Linux /usr/local/ibm/gsk5/bin/gsk5ikm
Solaris /opt/IBM/GSK5/bin/gsk5ikm
Windows C:\Arquivos de Programas\IBM\GSK5\bin\GSK5ikm.exe
SSL — IBM Directory Server
162 IBM Tivoli Access Manager: Guia de Instalação Base
Nota: Somente no Linux para zSeries, para executar o utilitário gsk5ikm é
necessária uma sessão X-windows e o IBM Java, Versão 1.3.1, deve estar
acessível por meio da variável de ambiente PATH da seguinte forma:
export PATH=/opt/IBMJava2-s390-131/jre/bin:$PATH
É possível fazer download do IBM Java Runtime Environment, Versão
1.3.1 a partir do site do IBM Java para Linux, no endereço:
http://www6.software.ibm.com/dl/lxdk/lxdk-p
3. Para criar um novo arquivo de banco de dados de chaves, selecione Arquivo
de Banco de Dados de Chaves → Novo.
4. Assegure-se de que o CMS key database file (arquivo de banco de dados de
chaves CMS) seja o arquivo de banco de dados de chaves selecionado.
5. Digite as informações nos campos File Name (Nome do Arquivo) e Location
(Localização) em que você deseja que o arquivo de banco de dados de chaves
esteja localizado. A extensão de um arquivo de banco de dados de chaves é
.kdb.
6. Clique em OK.
7. Digite a senha do arquivo-chave de banco de dados e confirme-a. Lembre-se
desta senha porque ela será solicitada quando o arquivo de banco de dados
de chave for editado.
8. Aceite a hora de expiração ou altere-a para atender as necessidades de sua
empresa.
9. Se você desejar que a senha seja mascarada e armazenada em um arquivo
stash, selecione Stash the password to a file (Ocultar a senha em um
arquivo).
Um arquivo stash pode ser utilizado por alguns aplicativos para que o
aplicativo não tenha que saber a senha para utilizar o arquivo-chave de banco
de dados. O arquivo stash tem a mesma localização e o nome que o arquivo
de banco de dados de chaves e possui a extensão .sth.
10. Clique em OK. Isto conclui a criação do arquivo de banco de dados de chave.
Há um conjunto de certificados de assinantes padrão. Esses certificados de
assinantes são as autoridades de certificação padrão que são reconhecidas.
Obtendo um Certificado Pessoal de uma Autoridade de
Certificação
Se você pretende utilizar um certificado de uma autoridade de certificação em vez
de um certificado auto-assinado, será necessário solicitar o certificado da
autoridade de certificação e, em seguida, recebê-lo depois que for preenchido.
Se você planejar utilizar um certificado auto-assinado, desconsidere esta seção e vá
para a seção “Criando e Extraindo um Certificado Auto-assinado” na página 164.
Para solicitar e receber um certificado, siga estas etapas:
1. Utilize o gsk5ikm para solicitar um certificado de uma autoridade de
certificação e, em seguida, receber o novo certificado em seu arquivo de banco
de dados de chaves.
2. Clique na seção Personal Certificate Requests (Solicitações de Certificados
Pessoais) do arquivo de banco de dados de chave.
3. Clique em New (Novo).
SSL — IBM Directory Server
Apêndice A. Ativando SSL 163
4. Para produzir um pedido que possa ser enviado para a autoridade de
certificação, complete as informações e, em seguida, clique em OK.
5. Para instalar o certificado no arquivo de banco de dados de chave, depois de
retornado pela autoridade de certificação, clique na seção Personal Certificates
(Certificados Pessoais) e, em seguida, clique em Receive (Receber).
6. Depois que o certificado do servidor LDAP estiver no arquivo de banco de
dados de chaves, configure o servidor LDAP para ativar o SSL.
Continue com a seção “Ativando o Acesso SSL” na página 165.
Criando e Extraindo um Certificado Auto-assinado
Se você tiver obtido um certificado de uma autoridade de certificação conhecida,
conforme descrito na seção “Obtendo um Certificado Pessoal de uma Autoridade
de Certificação” na página 163, ignore esta seção é vá para “Ativando o Acesso
SSL” na página 165.
Para criar um novo certificado auto-assinado e armazená-lo no arquivo de banco
de dados de chaves, siga estas etapas:
1. Selecione Criar → Novo Certificado Auto-assinado.
2. Digite um nome no campo Key Label (Rótulo da Chave) que o GSKit pode
utilizar para identificar esse novo certificado no banco de dados de chaves.
Por exemplo, o rótulo pode ser o nome do sistema do servidor LDAP.
3. Aceite os padrões para o campo Version (Versão) (X509 V3) e para o campo
Key Size (Tamanho da Chave).
4. Aceite o nome do sistema padrão ou digite um nome distinto diferente no
campo Common Name (Nome Comum) para esse certificado.
5. Digite um nome de empresa no campo Organization (Empresa).
6. Preencha quaisquer campos opcionais ou deixe-os em branco.
7. Aceite os padrões para o campo Country (País) e 365 para o campo Validity
Period (Período de Validade) ou altere-os de acordo com as necessidades de
sua organização.
8. Clique em OK. O GSKit gera um novo par de chaves públicas e privadas e
cria o certificado.
Se você tiver mais de um certificado pessoal no arquivo de banco de dados de
chave, o GSKit vai pesquisar se você deseja que esta chave seja a chave
padrão no banco de dados. Você pode aceitar um deles como o padrão. O
certificado padrão é utilizado no runtime quando um rótulo não é fornecido
para selecionar qual certificado utilizar.
Isto conclui a criação do certificado pessoal do servidor LDAP. Ele é exibido
na seção Certificados Pessoais do arquivo de banco de dados de chaves.
Utilize a barra central do utilitário de gerenciamento de chaves para selecionar
entre os tipos de certificados mantidos no arquivo de banco de dados de
chaves.
O certificado também é exibido na seção Certificados de Assinante do arquivo
de banco de dados de chaves. Quando você estiver na seção Certificados de
Assinante do banco de dados de chaves, verifique se ela contém o novo
certificado.
Depois, você deve extrair o certificado do seu servidor LDAP para um
arquivo de dados ASCII codificado em Base64.
9. Utilize gsk5ikm para extrair o certificado do servidor LDAP em um arquivo
de dados ASCII codificado em Base64. Esse arquivo é utilizado em “Incluindo
um Certificado de Assinante” na página 177.
SSL — IBM Directory Server
164 IBM Tivoli Access Manager: Guia de Instalação Base
10. Destaque o certificado auto-assinado que você acabou de criar.
11. Clique em Extract Certificate (Certificado de Extração).
12. Clique em Base64-encoded ASCII data (Dados ASCII codificados em Base64)
como o tipo de dados.
13. Digite um nome de arquivo de certificado para o certificado recém-extraído. A
extensão do arquivo de certificado é geralmente .arm.
14. Digite a localização em que deseja armazenar o certificado extraído.
15. Clique em OK.
16. Copie esse certificado extraído para o sistema IBM Directory Client.
Agora você pode configurar o servidor LDAP para ativar o acesso SSL. Continue
com a seção “Ativando o Acesso SSL”.
Ativando o Acesso SSL
Para configurar o servidor LDAP a fim de ativar SSL, assegure-se de que ele esteja
instalado e em execução, e proceda às etapas seguintes.
Somente nos sistemas Linux no zSeries, é necessário atualizar manualmente o arquivo
slapd32.conf para configurar o servidor LDAP para ativar SSL. Para isso, atualize
a entrada cn=SSL,cn=Configuration no arquivo slapd32.conf semelhante ao
exemplo mostrado:
Não são necessárias outras ações.
Para todos os sistemas, exceto Linux no zSeries, proceda da seguinte forma:
1. Acesse a ferramenta de administração da Web do IBM Directory Server no
seguinte endereço:
http://servername/ldap
em que servername é o nome do sistema do servidor LDAP.
2. Inicie sessão como administrador LDAP (por exemplo, cn=root) caso você
ainda não tenha iniciado sessão.
3. Selecione Security → SSL → Settings (Segurança → SSL → Definições).
dn: cn=SSL, cn=Configuration
cn: SSL
ibm-slapdSecurePort: 636
#ibm-slapdSecurity deve ser um dos none/SSL/SSLOnly
ibm-slapdSecurity: SSL
#ibm-slapdSslAuth deve ser um dos serverAuth/serverClientAuth
ibm-slapdSslAuth: serverauth
ibm-slapdSslCertificate: ldapcert
#ibm-slapdSslCipherSpecs deve ser um valor decimal de bits na máscara 0x3F00
ibm-slapdSslCipherSpecs: 12288
#ibm-slapdSslKeyDatabase deve ser a localização do banco de dados de chaves
# Se houver um arquivo stash de senha, será necessário especificar a senha
ibm-slapdSslKeyDatabase: /usr/ldap/etc/key.kdb
objectclass: top
objectclass: ibm-slapdSSL
SSL — IBM Directory Server
Apêndice A. Ativando SSL 165
4. Clique em SSL On (SSL Ativado), que ativa o SSL, ou clique em SSL Only
(Apenas) para o status de SSL que você deseja definir. Por exemplo:
5. Escolha um dos seguintes métodos de autenticação:
v Server Authentication (Autenticação de Servidor)
Para autenticação de servidor, o servidor envia seu certificado para o cliente
e o cliente autentica o servidor.
v Server and Client Authentication (Autenticação de Servidor e Cliente)
Para autenticação de servidor e cliente, depois que o servidor tiver enviado
seu certificado para o cliente e tiver sido autenticado pelo cliente, o servidor
solicitará o certificado do cliente. Nesse caso, um certificado precisa ser
estabelecido também para o cliente.
Você deve estabelecer o certificado para o cliente ao ativar o acesso SSL
para o cliente em “Configurando a Autenticação de Servidor e Cliente
LDAP” na página 178. 6. Digite um número de porta ou aceite o número de porta padrão de 636.
7. Digite o caminho e nome de arquivo do banco de dados de chaves que você
especificou em “Criando o Arquivo de Banco de Dados de Chaves e o
Certificado” na página 162.
A extensão do arquivo de banco de dados de chaves é .kdb.
8. Digite o nome no campo Key Label (Rótulo da Chave) que você utilizou para
identificá-lo quando armazenou o certificado do servidor LDAP no banco de
dados de chaves. Por exemplo, o rótulo poderia ser o nome do sistema do
servidor LDAP.
9. Digite a senha do arquivo de banco de dados de chave e confirme-a. Você
pode deixar o campo de senha em branco se desejar que o servidor LDAP
utilize o arquivo stash.
10. Clique em Apply (Aplicar).
11. Clique no link restart the server (reiniciar o servidor) para reiniciar o servidor
LDAP e permitir que esta alteração tenha efeito.
Para testar se o SSL foi ativado, digite o seguinte comando de uma linha de
comando do servidor LDAP:
ldapsearch -h servername -Z -K keyfile -P key_pw -b ""
-s base objectclass=*
SSL — IBM Directory Server
166 IBM Tivoli Access Manager: Guia de Instalação Base
As variáveis do comando são as seguintes:
Variável Descrição
servername O nome de host DNS do servidor LDAP.
keyfile O nome completo do caminho do conjunto de
chaves gerado.
key_pw A senha do conjunto de chaves gerado.
O comando ldapsearch retorna as informações base do LDAP, que incluem os
sufixos no servidor LDAP.
Agora, a configuração de SSL do servidor LDAP está concluída.
Em seguida, configure o IBM Directory Client para acesso SSL. Continue com a
seção “Configurando o IBM Directory Client para Acesso SSL” na página 175.
Configurando o iPlanet Directory Server para Acesso SSL
O SSL permite que os dados transmitidos entre os serviços Tivoli Access Manager
e o iPlanet Directory Server sejam criptografados para oferecer privacidade e
integridade dos dados. Recomendamos que os administradores ativem SSL para
proteger informações como senhas de usuários e dados particulares. No entanto, o
SSL não é obrigatório para a operação do Tivoli Access Manager.
Esse procedimento deve ser feito somente na primeira vez que a comunicação SSL
for configurada entre o iPlanet Directory Server e os IBM Directory Clients. Para
ativar a comunicação SSL, o iPlanet Directory Server e os IBM Directory Clients
devem estar configurados.
Para obter informações completas sobre como ativar o acesso SSL no iPlanet
Directory Server, consulte a documentação do iPlanet Directory Server.
Conclua as instruções nas seguintes seções:
v “Obtendo um Certificado de Servidor” na página 167
v “Instalando o Certificado do Servidor” na página 168
v “Ativando o Acesso SSL” na página 169
Obtendo um Certificado de Servidor
Para ativar o suporte SSL, o iPlanet Directory Server requer um certificado que
prove sua identidade para os sistemas clientes. O servidor envia o certificado para
o cliente para permitir que o cliente autentique com o servidor. Este certificado é
denominado Server-Cert.
Utilize o iPlanet Console 5.0 e o Assistente para Configuração de Certificado para
estabelecer o Server-Cert:
1. Inicie o iPlanet Console 5.0.
2. Digite o ID do usuário do administrador LDAP.
3. Digite a senha.
4. Digite o endereço de administração da Web.
5. Selecione o domínio a ser utilizado pelo Tivoli Access Manager.
6. Expanda o nome do servidor.
SSL — IBM Directory Server
Apêndice A. Ativando SSL 167
7. Expanda Server Group (Grupo de servidores).
8. Selecione a entrada denominada Directory Server.
Informações de configuração sobre o iPlanet Directory Server são exibidas.
9. Clique em Open (Abrir). O iPlanet Directory Server é acessado.
10. Clique na guia Configuration (Configuração).
11. Clique na guia Encryption (Criptografia).
12. Verifique se a caixa de entrada Enable SSL for this server (Ativar SSL para
este servidor) não está selecionada.
13. Clique na guia Tasks (Tarefas) e, em seguida, clique em Manage Certificates
(Gerenciar Certificados).
Nota: A chave privada para o certificado é armazenada em um dispositivo de
segurança interno denominado token, que é protegido por senha. Na
primeira vez que você clica no botão Manage Certificates (Gerenciar
Certificados), é solicitada a criação de uma senha para esse token.
14. Digite a senha de Segurança duas vezes e, em seguida, clique em OK. A
janela Manage Certificates (Gerenciar Certificados) é exibida.
15. No menu de opções Segurança, assegure-se de que internal (interno)
(software) esteja selecionado e que a guia Server Certs (Certs de Servidor)
esteja selecionada.
16. Clique no botão Request (Solicitar) na parte inferior da janela. O painel
Assistente para Pedido de Certificado é exibido.
17. Certifique-se de que o botão Request certificate manually (Solicitar
certificado manualmente) esteja selecionado e clique em Next (Avançar).
18. Digite as informações do solicitante e, em seguida, clique em Next (Avançar).
Certifique-se de preencher todos os campos. Quando perguntado de deseja
continuar, clique em Yes (Sim).
19. Assegure-se de que o campo Active Encryption token (Token de Criptografia
Ativa) especifique internal (interno) (software).
20. Digite a senha do dispositivo de segurança e, em seguida, clique em Next
(Avançar).
21. Para salvar o pedido de certificado em um arquivo, clique em Save to File
(Salvar em Arquivo). Para copiar o pedido para a área de transferência, clique
em Copy to Clipboard (Copiar para a Área de Transferência). Em seguida,
clique em Done (Concluído) para concluir o pedido.
22. Envie seu pedido por e-mail ou anexe o arquivo salvo e envie o pedido para o
administrador da autoridade de certificação.
Instalando o Certificado do Servidor
Depois de ter recebido o certificado da autoridade de certificação, instale-o
executando as seguintes etapas:
1. Abra o Console do iPlanet Directory Server.
2. Clique na guia Tasks (Tarefas) e, em seguida, clique em Manage Certificates
(Gerenciar Certificados).
3. Assegure-se de que Server Certs (Certificados de Servidor) esteja selecionado
e, em seguida, clique em Install (Instalar).
4. Proceda de uma das seguintes formas:
v Para instalar o certificado a partir de um arquivo, selecione In this local file
(Neste arquivo local).
SSL — iPlanet Directory Server
168 IBM Tivoli Access Manager: Guia de Instalação Base
v Para colar o texto na janela, selecione In the following encoded text block
(No seguinte bloco de texto codificado), copie o texto do certificado e, em
seguida, clique em Paste from Clipboard (Colar da Área de Transferência).5. Clique em Next (Avançar).
6. Verifique se as informações do certificado estão corretas e clique em Next
(Avançar).
7. No campo This certificate will be named (Este certificado será denominado),
digite um nome de certificado ou aceite o nome padrão, server-cert, e clique
em Next (Avançar).
8. Digite a senha do token e, em seguida, clique em Done (Concluído). Se o
processo for bem-sucedido, o painel Gerenciar Certificado será exibido e o
nome do certificado de servidor será listado na guia Server Certs (Certs de
Servidor).
9. Continue com a seção “Ativando o Acesso SSL”.
Ativando o Acesso SSL
Depois de sair do Assistente para Configuração de Certificado, você será retornado
à guia Encryption (Criptografia) no iPlanet Console 5.0, conforme mostrado:
1. Selecione Enable SSL (Ativar SSL).
2. Selecione RSA Cipher Family.
3. Se você não planeja solicitar autenticação de cliente com base em certificado,
selecione Do not allow client authentication (Não permitir autenticação de
cliente).
4. Clique em Save (Salvar).
5. Reinicie o o iPlanet Directory Server para que as alterações sejam efetivadas.
Nota: É necessário digitar a senha do banco de dados confiável toda vez que o
servidor é iniciado.
O SSL está agora ativado no iPlanet Directory Server. Em seguida, é necessário
ativar SSL nos sistemas IBM Directory Client que funcionarão como clientes
LDAP para o iPlanet Directory Server.
Consultar “Configurando o IBM Directory Client para Acesso SSL” na página
175.
SSL — iPlanet Directory Server
Apêndice A. Ativando SSL 169
Configurando os Servidores LDAP OS/390 e z/OS LDAP para Acesso
SSL
Quando os serviços Tivoli Access Manager e LDAP não estão na mesma rede
protegida, é recomendável ativar a comunicação SSL entre o servidor LDAP e os
clientes que suportam o software Tivoli Access Manager.Esse protocolo fornece
comunicações criptografadas seguras entre cada servidor e cliente. O Tivoli Access
Manager utiliza esses canais de comunicação como parte do processo de tomada
de decisões de autenticação e autorização.
Para configurar um servidor LDAP no OS/390 ou no z/OS para comunicações
SSL, consulte o manual LDAP Server Administration and Use para seu release do
OS/390 ou do z/OS. Esse documento está localizado em:
http://www-1.ibm.com/servers/eserver/zseries/zos/bkserv/
As etapas de nível superior a seguir são necessárias para ativar o suporte SSL para
LDAP no z/OS releases 1.2 a 1.4. Estas etapas supõem que você já instalou e
configurou o servidor de diretório LDAP e o Cryptographic Services System SSL
do Z/OS.
1. Configure o servidor LDAP para atender pedidos LDAP na porta SSL para
autenticação do servidor e, opcionalmente, autenticação do cliente.
2. Gere a chave privada do servidor LDAP e o certificado do servidor e marque-o
como padrão no banco de dados de chaves, ou utilize seu rótulo na opção do
arquivo de configuração sslCertificate.
3. Reinicie o servidor LDAP.
Configurando as Opções de Segurança
As opções a seguir para SSL podem ser definidas no arquivo slapd.conf:
listen ldap_URL
Especifica, no formato de URL do LDAP, o endereço IP (ou o nome do
host) e o número da porta na qual o servidor LDAP atenderá pedidos
recebidos de clientes. Esse parâmetros pode ser especificado mais de uma
vez no arquivo de configuração.
sslAuth {serverAuth | serverClientAuth}
Especifica o método de autenticação SSL. O método serverAuth permite
que o cliente LDAP valide o servidor LDAP no contato inicial entre o
cliente e o servidor. O método serverAuth é o padrão.
sslCertificate {certificateLabel | none}
Especifica o rótulo do certificado utilizado para autenticação do servidor.
Ele é armazenado no arquivo de banco de dados de chaves, criado e
gerenciado pela ferramenta gskkyman.
sslCipherSpecs int
Estipula as especificações de codificação SSL que serão aceitas pelos
clientes.
Tabela 17. Codificações Suportadas
Codificação Valor hexadecimal Valor decimal
SLAPD_SSL_RC4_MD5_US 0x0800 2048
SLAPD_SSL_RC4_SHA_US 0x0400 1024
SLAPD_SSL_TRIPLE_DES_SHA_US 0x0100 256
SSL — Servidores OS/390 e z/OS
170 IBM Tivoli Access Manager: Guia de Instalação Base
Tabela 17. Codificações Suportadas (continuação)
Codificação Valor hexadecimal Valor decimal
SLAPD_SSL_DES_SHA_EXPORT 0x0200 512
SLAPD_SSL_RC2_MD5_EXPORT 0x1000 4096
SLAPD_SSL_RC4_MD5_EXPORT 0x2000 8192
O valor inteiro utilizado com a palavra-chave sslCipherSpecs é a
representação decimal da máscara de bits ORed definida pelos valores
hexadecimais contidos na Tabela 17 na página 170. Por exemplo, para
utilizar todas as codificações disponíveis nos EUA, o valor deve ser 15104.
Fora dos EUA, o valor que indica todas as especificações de codificação
válidas é 12288. Nesse caso, os clientes que oferecem suporte a qualquer
dessas codificações poderia estabelecer uma conexão SSL com o servidor.
Nome do arquivo sslKeyRingFile
Especifica o caminho e o nome do arquivo do banco de dados de chaves
SSL para o servidor. O nome do arquivo deve corresponder ao nome do
banco de dados de chaves utilizando a ferramenta gskkyman.
sslKeyRingFilePW string
Especifica o acesso de proteção por senha ao arquivo de banco de dados de
chaves SSL. A cadeia de senha deve corresponder à senha do arquivo de
banco de dados de chaves criado utilizando a ferramenta gskkyman.
Nota: O uso da opção de configuração sslKeyRingFilePW não é
recomendado. Como alternativa, utilize o suporte ao conjunto de
chaves RACF ou a opção de configuração sslKeyRingPWStashFile.
Isso elimina a senha do arquivo de configuração.
sslKeyRingPWStashFile filename
Especifica um nome de arquivo no qual a senha do arquivo de banco de
dados de chaves do servidor é stash. Se essa opção estiver presente, a
senha desse arquivo stash substitui a opção de configuração
sslKeyRingFilePW, se estiver presente. Use o utilitário gskkyman com a
opção –s para criar um arquivo stash de senha do banco de dados de
chaves.
Criando um Arquivo de Banco de Dados de Chaves
O exemplo a seguir mostra como usar o utilitário gskkyman para criar um arquivo
de banco de dados de chaves.
1. Inicie o utilitário gskkyman a partir de um prompt do shell (OMVS ou sessão
rlogin) da seguinte forma:
$ gskkyman
O utilitário gskkyman oferece uma interface com base no menu. Para executar
uma função, escolha a opção que deseja executar, digitando seu número no
prompt de comandos.
2. Para criar um novo arquivo de banco de dados de chaves, selecione a opção 1.
3. Digite o nome do arquivo de banco de dados de chaves (key.kdb é o padrão).
4. Digite uma senha para proteger o banco de dados de chaves.
5. Redigite a senha, para verificação.
6. Digite o intervalo de expiração da senha em dias, ou pressione Enter para
indicar que não há data de expiração.
SSL — Servidores OS/390 e z/OS
Apêndice A. Ativando SSL 171
7. Digite o comprimento do registro do banco de dados ou pressione Enter para
utilizar 2500.
O banco de dados de chaves é criado e é exibida uma mensagem indicando o
êxito ou falha dessa operação.
8. No Menu de Gerenciamento de Chaves, selecione a opção 6 para criar um
certificado auto-assinado e siga os prompts.
9. Após a criação do certificado, extraia-o, para que possa ser enviado para o
sistema do cliente LDAP e incluído como certificado CA confiável. Para fazer
isso, siga estas etapas:
a. Selecione a opção 1 para gerenciar chaves e certificados.
b. Na Lista de Chaves e Certificados, digite o número do rótulo.
c. No Menu de Chaves e Certificados, digite a opção 6 para exportar o
certificado para um arquivo.
d. No diálogo Exportar Formato do Arquivo, selecione o formato de
exportação. Por exemplo, selecione a opção 1 para exportar para Binary
ASN.1 DER.
O certificado será exportado. Agora o arquivo exportado pode ser
transferido para o sistema cliente LDAP e incluído como certificado CA
confiável. Como o formato de arquivo DER binário foi especificado na
exportação, esse mesmo tipo de arquivo deve ser especificado para o
utilitário gsk5ikm no sistema cliente LDAP durante a operação de inclusão.
Configurando o Novell eDirectory Server para Acesso SSL
O SSL (Secure Socket Layer) permite que os dados, que são transmitidos entre os
serviços do Tivoli Access Manager e o eDirectory NDS, sejam criptografados para
proteger a privacidade e integridade dos dados. É recomendável que os
administradores ativem SSL para proteger as informações, como senhas do usuário
e dados particulares. Entretanto, o SSL não é obrigatório para o funcionamento do
Tivoli Access Manager. Se o SSL não for necessário no ambiente do Tivoli Access
Manager, ignore esta seção.
O Tivoli Access Manager oferece suporte a autenticação no lado do servidor
somente com eDirectory NDS. Para configurar o servidor NDS eDirectory para
SSL, assegure-se de que a ferramenta ConsoleOne esteja instalada e conclua as
seguintes seções:
v “Criando um Objeto de Autoridade de Certificação Organizacional”
v “Criando um Certificado Auto-assinado” na página 173
v “Criando um Certificado de Servidor para o Servidor LDAP” na página 174
v “Ativando SSL” na página 174
v “Incluindo o Certificado Auto-assinado no Arquivo de Chaves IBM” na página
175
Nota: Para obter mais informações, consulte a documentação do produto Novell
no endereço:
http://www.novell.com/documentation/lg/ndsedir86/index.html
Criando um Objeto de Autoridade de Certificação
Organizacional
Durante a instalação do eDirectory, um objeto NDSPKI:Autoridade de Certificação
é criado por padrão (se ainda não existir um na rede). É importante que o nome
SSL — Servidores OS/390 e z/OS
172 IBM Tivoli Access Manager: Guia de Instalação Base
do assunto (não o nome do objeto) seja um signatário válido. O nome do assunto
deve ter um campo de organização e um campo de país para que seja reconhecido
como válido pelo Tivoli Access Manager. O nome de assunto padrão é o seguinte:
0=<nome da entrada organizacional>.OU=CD Organizacional
Este não é um signatário válido. Para alterá-lo, é necessário recriar o objeto de
Autoridade de Certificação com um nome de assunto válido. Para fazer isso, siga
estas etapas:
1. Inicie o ConsoleOne.
2. Selecione o objeto de contêiner Security (Segurança). Os objetos são exibidos na
área de janela da direita.
3. Selecione o objeto CA da Organização e exclua-o.
4. Clique com o botão direito do mouse no objeto de contêiner Security
(Segurança) novamente e clique em Novo → Objeto.
5. No quadro de listagem do diálogo Novo Objeto, dê um clique duplo em
NDSPKI: Certificate Authority (NDSPKI: Autoridade de Certificação). O
diálogo Criar Objeto de Autoridade de Certificação Organizacional será exibido.
Execute as instruções on-line.
6. Selecione o servidor de destino e digite um nome de objeto do eDirectory. Por
exemplo:
Campo do Servidor Host = C22Knt_NDS.AM
Campo de Nome de Objeto = C22KNT-CA
7. Em Método de Criação, selecione Custom (Personalizado) e clique em Next
(Avançar).
8. Edite o nome do Assinto e digite o sufixo. Por exemplo, digite:
.o=tivoli.c=us
9. A Autoridade de Certificação Organizacional será exibida no ConsoleOne como
C22KNT-CA.
Criando um Certificado Auto-assinado
Para criar um certificado auto-assinado, proceda da seguinte forma:
1. Vá para as propriedades da Organizational Certificate Authority (Autoridade
de Certificação Organizacional) (C22KNT-CA). A janela Properties
(Propriedades) será exibida.
2. Selecione a guia Certificate (Certificado) e, em seguida, Self Signed Certificate
(Certificado Auto-assinado) no menu drop down.
3. Valide o certificado.
4. Exporte o certificado. A janela Export a Certificate (Exportar um Certificado)
será exibida.
5. Aceite os valores padrão e anote a localização na qual o certificado
auto-assinado será salvo. Por exemplo:
c:\c22knt\CA-SelfSignedCert.der
6. Transfira por FTP o arquivo para o diretório host do Tivoli Access Manager. Por
exemplo:
c:\Arquivos de Programas\Tivoli\Policy Directory\keytab
Observe que este é um arquivo binário.
SSL — Novell eDirectory Server
Apêndice A. Ativando SSL 173
Criando um Certificado de Servidor para o Servidor LDAP
Para criar um certificado de servidor para o Novell eDirectory Server, execute estas
etapas:
1. Para criar um certificado de servidor para o servidor LDAP, clique com o botão
direito do mouse na entrada Organização e clique em Novo → Objeto. Será
exibida uma janela New Object (Novo Objeto).
2. Selecione NDSPKI: Key Material (NDSPKI: Material Chave) e clique em OK.
A janela Create Server Certificate (Key Material) (Criar Certificado de Servidor
(Material Chave)) será exibida.
3. Digite o nome do certificado (por exemplo, AM), selecione Custom
(Personalizado) como método de criação e clique em Next (Avançar).
4. Utilize os valores padrão para a opção Specify the Certificate Authority
(Especificar a Autoridade de Certificação), que assinará o certificado e clique
em Next (Avançar).
5. Especifique o tamanho da chave (o padrão é 1024 bits), utilize os valores
padrão para todas as outras opções e clique em Next (Avançar).
6. Na janela Specify the Certificate Parameters (Especificar Parâmetros do
Certificado), clique no botão Edit (Editar) ao lado do campo de nome Subject
(Assunto). A janela Edit Subject (Editar Assunto) será exibida.
7. Digite o nome do assunto. Assegure-se de que ele tenha os campos
Organization and a Country (Organização e Países) e clique em OK. A janela
Create Server Certificate (Key Material) (Criar Certificado de Servidor (Material
Chave)) será exibida, com o campo Subject Name (Nome do Assunto)
atualizado. Clique em Next (Avançar) para continuar.
8. Para aceitar os valores padrão nas janelas a seguir, clique em Next (Avançar)
duas vezes e, em seguida, clique em Finish (Concluir) para criar um material
chave.
A janela Creating Certificate (Criando Certificado) será exibida
temporariamente. Quando for limpa, a área de janela esquerda do ConsoleOne
será atualizada com uma entrada de Material Chave denominada AM. Esse é o
certificado do servidor.
Ativando SSL
Para ativar SSL para o servidor LDAP Novell, proceda da seguinte forma:
1. Na área de janela da direita do ConsoleOne, localize uma entrada denominada
Servidor LDAP – nome_do_host e clique com o botão direito do mouse nela.
2. No menu drop down, selecione Properties (Propriedades). No bloco de notas
Properties (Propriedades), selecione a guia SSL Configuration (Configuração
SSL).
3. Clique no ícone Tree Search (Pesquisa na árvore), ao lado do campo SSL
Certificate (Certificado SSL). A janela Select SSL Certificate (Selecionar
Certificado SSL) será exibida. A área de janela SSL Certificate List (Lista de
Certificados SSL) exibirá os certificados conhecidos na organização.
4. Selecione o certificado AM e clique em OK. A janela Properties of LDAP Server
(Propriedades do Servidor LDAP) – nome_do_host será exibida novamente, com
um campo de SSL Certificate (Certificado SSL) atualizado.
Nota: Não selecione Enable and Require Mutual Authentication (Ativar e Exigir
Autenticação Mútua).
SSL — Novell eDirectory Server
174 IBM Tivoli Access Manager: Guia de Instalação Base
Incluindo o Certificado Auto-assinado no Arquivo de Chaves
IBM
Para incluir o certificado auto-assinado no arquivo de chaves IBM no servidor
Tivoli Access Manager, execute estas etapas:
1. Inicie o utilitário gsk5ikm. Será exibida uma janela do IBM Key Manager
(Gerenciador de Chaves IBM).
2. Selecione Arquivo de Banco de Dados de Chaves → Novo. Será exibida uma
nova janela.
3. Atualize os campos para os valores a seguir e clique em OK.
Tipo de banco de dados de chaves: arquivo
de banco de dados de chaves CMS Nome do arquivo: key.kdb
Localização: /var/PolicyDirector/keytabs
Será exibida uma janela de Password Prompt (Prompt de Senha).
4. Crie uma senha, digitando-a duas vezes para configuração e clique em OK.
Será exibida uma janela do IBM Key Manager (Gerenciador de Chaves IBM),
com o diálogo de Signer Certificates (Certificados de Assinante) exibida.
5. Clique no botão Add (Incluir). A janela Add CA’s Certificate from a File
(Incluir Certificado CA de um Arquivo) será exibida. Atualize os campos a
seguir e clique em OK.
Tipo de dados: Dados der binários
Nome do arquivo de certificado: <hostname>CA-SelfSignedCert.der
Localização: /var/PolicyDirector/keytabs
O diálogo Signer Certificates (Certificados de Assinante) será atualizado com
um certificado denominado AM.
Configurando o IBM Directory Client para Acesso SSL
Você deve primeiro configurar o servidor LDAP para acesso SSL antes de
configurar o cliente LDAP para acesso SSL. Se você ainda não configurou o
servidor LDAP para acesso SSL, vá para a seção “Configurando o IBM Directory
Server para Acesso SSL” na página 161.
Semelhante à criação de um arquivo de banco de dados de chaves para o servidor,
você deve criar um arquivo de banco de dados de chaves no sistema cliente. Para
que o cliente possa autenticar o servidor LDAP, o cliente deve reconhecer a
autoridade de certificação (assinante) que criou o certificado do servidor LDAP. Se
o servidor LDAP estiver utilizando um certificado auto-assinado, o cliente deverá
ser ativado para reconhecer o sistema que gerou o certificado do servidor LDAP
como uma raiz confiável (autoridade de certificação).
Para configurar o cliente LDAP para acesso SSL para o servidor LDAP, conclua as
instruções nas seguintes seções:
v “Criando um Arquivo de Banco de Dados de Chaves” na página 175
v “Incluindo um Certificado de Assinante” na página 177
v “Testando o Acesso SSL” na página 177
Criando um Arquivo de Banco de Dados de Chaves
Use o utilitário gsk5ikm para criar o arquivo de banco de dados de chaves e o
certificado. Para criar o arquivo de banco de dados de chaves e o certificado
(auto-assinado ou assinado), siga estas etapas:
SSL — Novell eDirectory Server
Apêndice A. Ativando SSL 175
1. Certifique-se de que o GSKit e o utilitário gsk5ikm estejam instalados no
servidor LDAP e nos clientes LDAP que utilizarão o SSL.
2. Inicie o utilitário gsk5ikm, que está localizado em um dos seguintes diretórios
padrão:
Sistema Caminho
AIX /usr/opt/lpp/ibm/gsk5/bin/gsk5ikm
HP-UX /opt/ibm/gsk5/bin/gsk5ikm
Linux /usr/local/ibm/gsk5/bin/gsk5ikm
Solaris /opt/IBM/GSK5/bin/gsk5ikm
Windows C:\Arquivos de Programas\IBM\GSK5\bin\GSK5ikm.exe
Nota: Somente no Linux para zSeries, para executar o utilitário gsk5ikm, é
necessária uma sessão X-windows e o IBM Java, Versão 1.3.1, deve estar
acessível por meio da variável de ambiente PATH da seguinte forma:
export PATH=/opt/java/IBMJava2-s390-131/jre/bin:$PATH
É possível fazer download do IBM Java Runtime Environment, Versão
1.3.1, a partir do site do IBM Java para Linux, no endereço:
http://www6.software.ibm.com/dl/lxdk/lxdk-p
Além disso, para carantir que a biblioteca C++ correta seja usada pelo
utilitário gsk5ikm nos sistemas SuSE SLES-7 de 31 bits, a variável de
ambiente LD_PRELOAD deve ser definida:
LD_PRELOAD=/usr/lib/libstdc++libc6.1–2.so.3
3. Para criar um novo arquivo de banco de dados de chaves, selecione Arquivo
de Banco de Dados de Chaves → Novo.
4. Assegure-se de que o arquivo de banco de dados de chaves CMS seja o
arquivo de banco de dados de chaves selecionado.
5. Digite as informações nos campos Nome do Arquivo e Localização em que
você deseja que o arquivo de banco de dados de chaves esteja localizado. A
extensão de um arquivo de banco de dados de chaves é .kdb.
6. Clique em OK.
7. Digite a senha do arquivo-chave de banco de dados e confirme-a.
Lembre-se desta senha porque ela será solicitada quando o arquivo de banco
de dados de chave for editado.
8. Aceite a hora de expiração ou altere-a para atender as necessidades de sua
empresa.
9. Se você desejar que a senha seja mascarada e armazenada em um arquivo
stash, selecione Ocultar a senha em um arquivo.
Um arquivo stash pode ser utilizado por alguns aplicativos para que o
aplicativo não tenha que saber a senha para utilizar o arquivo-chave de banco
de dados. O arquivo stash tem a mesma localização e o nome que o arquivo
de banco de dados de chaves e possui a extensão .sth.
10. Clique em OK. Isto conclui a criação do arquivo de banco de dados de chave.
Há um conjunto de certificados de assinantes padrão. Esses certificados de
assinantes são as autoridades de certificação padrão que são reconhecidas.
Para que o cliente possa autenticar o servidor LDAP, ele deve reconhecer a
autoridade de certificação (assinante) que criou o certificado do servidor
SSL — iPlanet Directory Client
176 IBM Tivoli Access Manager: Guia de Instalação Base
LDAP. Se o servidor LDAP estiver utilizando um certificado auto-assinado, o
cliente deverá ser ativado para reconhecer o sistema que gerou o certificado
do servidor LDAP como uma raiz confiável (autoridade de certificação).
11. Depois de criar o arquivo de banco de dados de chaves, altere a propriedade
desse arquivo para ivmgr. Utilize o comando apropriado do sistema
operacional para alterar a propriedade do arquivo. Por exemplo, em sistemas
UNIX, digite o seguinte:
# chown ivmgr keyfile
Incluindo um Certificado de Assinante
Para incluir um certificado de assinante após a criação do arquivo de banco de
dados de chaves, siga estas etapas:
1. Se você estiver utilizando um certificado auto-assinado para o servidor LDAP,
certifique-se de que o certificado que foi extraído do arquivo de banco de
dados de chaves em “Criando e Extraindo um Certificado Auto-assinado” na
página 164 tenha sido copiado para o sistema cliente. Se ele não tiver sido
copiado, copie-o agora. Caso contrário, assegure-se de ter o certificado da
autoridade de certificação que criou o certificado do servidor LDAP.
2. Clique na seção Signer Certificates (Certificados de Assinante) do arquivo de
banco de dados de chave CMS.
3. Clique em Add (Incluir).
4. Clique em Base64-encoded ASCII data (Dados ASCII codificados em Base64)
para definir o tipo de dados.
5. Indique o nome do arquivo do certificado e sua localização. A extensão do
arquivo de certificado é geralmente .arm.
6. Clique em OK.
7. Digite um rótulo para o certificado de assinante que você está incluindo. Por
exemplo, você pode utilizar o nome do sistema do servidor LDAP para o
rótulo. Se o certificado do servidor LDAP tiver sido criado por uma
autoridade de certificação, você poderá utilizar o nome da autoridade de
certificação como o rótulo.
8. Clique em OK. O certificado é exibido no banco de dados de chaves do
cliente como um certificado de assinante.
9. Destaque o certificado de assinante recentemente incluído e clique em
View/Edit (Exibir/Editar).
10. Assegure-se de que Set the certificate as a trust root (Definir o certificado
como uma raiz confiável) esteja selecionado para que o certificado seja
marcado como uma raiz confiável.
Se o certificado do servidor LDAP tiver sido gerado por uma autoridade de
certificação regular, assegure-se de que a autoridade de certificação esteja
listada como um certificado de assinante e marcada como uma raiz confiável.
Se não estiver, inclua o certificado da autoridade de certificação como um
certificado de assinante e indique que é uma raiz confiável.
Agora, o cliente estará apto a estabelecer uma conexão SSL com o servidor LDAP.
Testando o Acesso SSL
Para testar se o acesso SSL foi ativado, digite o seguinte comando no cliente LDAP:
ldapsearch -h servername -Z -K client_keyfile -P key_pw
-b "" -s base objectclass=*
SSL — iPlanet Directory Client
Apêndice A. Ativando SSL 177
As variáveis do comando são as seguintes:
Variável Descrição
servername O nome de host DNS do servidor LDAP.
client_keyfile O nome completo do caminho do conjunto de
chaves de cliente gerado.
key_pw A senha do conjunto de chaves gerado.
Este comando retorna as informações de base de LDAP, incluindo os sufixos no
servidor LDAP.
Durante a configuração do servidor LDAP em “Configurando o IBM Directory
Server para Acesso SSL” na página 161, você escolheu um método de autorização
Server Authentication (Autenticação de Servidor) ou Server and Client
Authentication (Autenticação de Servidor e Cliente).
v Se você escolheu Server Authentication (Autenticação de Servidor), a
configuração do SSL está concluída.
v Se você escolheu Server and Client Authentication (Autenticação de Servidor e
Cliente), vá para a seção “Configurando a Autenticação de Servidor e Cliente
LDAP”.
Configurando a Autenticação de Servidor e Cliente LDAP
Durante a configuração do servidor LDAP para ativar o acesso SSL, conforme
descrito na seção “Ativando o Acesso SSL” na página 165, foi solicitado a você
escolher Server Authentication (Autenticação de Servidor) ou Server and Client
Authentication (Autenticação de Servidor e Cliente).
Se você escolheu Server Authentication (Autenticação de Servidor), a
configuração do SSL está concluída.
Se você escolheu Server and Client Authentication (Autenticação de Servidor e
Cliente), agora deverá estabelecer um certificado para o sistema cliente. Nesse
modo de autenticação, o servidor solicita o certificado do cliente e o utiliza para
autenticar a identidade do cliente.
Para estabelecer um certificado para o sistema do cliente, conclua as instruções nas
seções a seguir:
v “Criando um Arquivo de Banco de Dados de Chaves” na página 178
v “Obtendo um Certificado Pessoal de uma Autoridade de Certificação” na página
179
v “Criando e Extraindo um Certificado Auto-assinado” na página 180
v “Incluindo um Certificado de Assinante” na página 181
v “Testando o Acesso SSL” na página 182
Criando um Arquivo de Banco de Dados de Chaves
Se você ainda não tiver criado um arquivo de banco de dados de chaves do cliente,
use o utilitário gsk5ikm para criar o arquivo de banco de dados de chaves e o
certificado. Se você já tiver criado um arquivo de banco de dados de chaves, vá
para “Obtendo um Certificado Pessoal de uma Autoridade de Certificação” na
página 179.
SSL — iPlanet Directory Client
178 IBM Tivoli Access Manager: Guia de Instalação Base
Para criar o arquivo de banco de dados de chaves e o certificado (auto-assinado ou
assinado), siga estas etapas:
1. Certifique-se de que o GSKit e o gsk5ikm estejam instalados no servidor e
quaisquer clientes LDAP que utilizarão o SSL.
2. Inicie o utilitário gsk5ikm, que está localizado em um dos seguintes diretórios
padrão:
Sistema Caminho
AIX /usr/opt/lpp/ibm/gsk5/bin/gsk5ikm
HP-UX /opt/ibm/gsk5/bin/gsk5ikm
Linux /usr/local/ibm/gsk5/bin/gsk5ikm
Solaris /opt/IBM/GSK5/bin/gsk5ikm
Windows C:\Arquivos de Programas\IBM\GSK5\bin\ GSK5ikm.exe
3. Selecione Arquivo de Banco de Dados de Chaves → Novo.
4. Assegure-se de que o CMS key database file (arquivo de banco de dados de
chaves CMS) seja o arquivo de banco de dados de chaves selecionado.
5. Digite as informações nos campos File Name (Nome do Arquivo) e
Localização em que você deseja que o arquivo de banco de dados de chaves
esteja localizado. A extensão de um arquivo de banco de dados de chaves é
.kdb.
6. Clique em OK.
7. Digite a senha do arquivo-chave de banco de dados e confirme-a. Lembre-se
desta senha porque ela será solicitada quando o arquivo de banco de dados
de chave for editado.
8. Aceite a hora de expiração ou altere-a para atender as necessidades de sua
empresa.
9. Se você desejar que a senha seja mascarada e armazenada em um arquivo
stash, selecione Stash the password to a file (Ocultar a senha em um
arquivo).
Um arquivo stash pode ser utilizado por alguns aplicativos para que o
aplicativo não tenha que saber a senha para utilizar o arquivo-chave de banco
de dados. O arquivo stash possui a mesma localização e nome que o arquivo
de banco de dados de chaves e possui a extensão de .sth.
10. Clique em OK.
Isto conclui a criação do arquivo de banco de dados de chave. Há um
conjunto de certificados de assinantes padrão. Esses certificados de assinantes
são as autoridades de certificação padrão que são reconhecidas.
11. Depois de criar o arquivo de banco de dados de chaves, altere a propriedade
desse arquivo para ivmgr. Utilize o comando apropriado do sistema
operacional para alterar a propriedade do arquivo. Por exemplo, em sistemas
UNIX, digite o seguinte:
# chown ivmgr keyfile
Obtendo um Certificado Pessoal de uma Autoridade de
Certificação
Se você pretende utilizar um certificado de uma autoridade de certificação (como a
VeriSign), em vez de um certificado auto-assinado, deverá solicitar o certificado da
autoridade de certificação e recebê-lo depois que estiver concluído.
SSL — Autenticação de Servidor e Cliente
Apêndice A. Ativando SSL 179
Se você planejar utilizar um certificado auto-assinado, desconsidere esta seção e vá
para a seção “Criando e Extraindo um Certificado Auto-assinado”.
Para solicitar e receber um certificado, siga estas etapas:
1. Utilize o gsk5ikm para solicitar um certificado de uma autoridade de
certificação e, em seguida, receber o novo certificado em seu arquivo de banco
de dados de chaves.
2. Clique na seção Personal Certificate Requests (Solicitações de Certificados
Pessoais) do arquivo de banco de dados de chave.
3. Clique em New (Novo).
4. Para produzir um pedido que possa ser enviado para a autoridade de
certificação, complete as informações e, em seguida, clique em OK.
5. Para instalar o certificado no arquivo de banco de dados de chave, depois de
retornado pela autoridade de certificação, clique na seção Personal Certificates
(Certificados Pessoais) e, em seguida, clique em Receive (Receber).
6. Depois que o certificado do cliente LDAP estiver no arquivo de banco de dados
de chaves, você poderá incluir o certificado da autoridade de certificação que
criou o certificado do cliente no servidor LDAP.
7. Continue com a seção “Incluindo um Certificado de Assinante” na página 181.
Criando e Extraindo um Certificado Auto-assinado
Se você obteve um certificado de uma autoridade de certificação, conforme descrito
em “Obtendo um Certificado Pessoal de uma Autoridade de Certificação” na
página 179, salte esta seção e vá para “Incluindo um Certificado de Assinante” na
página 181.
Para criar um novo certificado auto-assinado e armazená-lo no arquivo de banco
de dados de chaves, siga estas etapas:
1. Inicie o utilitário gsk5ikm, que está localizado em um dos seguintes diretórios
padrão:
Sistema Caminho
AIX /usr/opt/lpp/ibm/gsk5/bin/gsk5ikm
HP-UX /opt/ibm/gsk5/bin/gsk5ikm
Linux /usr/local/ibm/gsk5/bin/gsk5ikm
Solaris /opt/IBM/GSK5/bin/gsk5ikm
Windows C:\Arquivos de Programas\IBM\GSK5\bin\GSK5ikm.exe
2. Selecione Criar → Novo Certificado Auto-assinado.
3. Digite um nome no campo Key Label (Rótulo da Chave) que o GSKit pode
utilizar para identificar esse novo certificado no banco de dados de chaves.
Por exemplo, o rótulo pode ser o nome do sistema do cliente LDAP.
4. Aceite os padrões para o campo Version (Versão) (X509 V3) e para o campo
Key Size (Tamanho da Chave).
5. Aceite o nome do sistema padrão ou digite um nome distinto diferente no
campo Common Name (Nome Comum) para esse certificado.
6. Digite um nome de empresa no campo Organization (Empresa).
7. Preencha quaisquer campos opcionais ou deixe-os em branco.
SSL — Autenticação de Servidor e Cliente
180 IBM Tivoli Access Manager: Guia de Instalação Base
8. Aceite os padrões para o campo Country (País) e 365 para o campo Validity
Period (Período de Validade) ou altere-os de acordo com as necessidades de
sua organização.
9. Clique em OK. O GSKit gera um novo par de chaves públicas e privadas e
cria o certificado.
Se você tiver mais de um certificado pessoal no arquivo de banco de dados de
chave, o GSKit vai pesquisar se você deseja que esta chave seja a chave
padrão no banco de dados. Você pode aceitar um deles como o padrão. O
certificado padrão é utilizado no runtime quando um rótulo não é fornecido
para selecionar qual certificado utilizar.
Isso conclui a criação do certificado pessoal do cliente LDAP. Ele é exibido na
seção Certificados Pessoais do arquivo de banco de dados de chaves. Utilize a
barra central do utilitário de gerenciamento de chaves para selecionar entre os
tipos de certificados mantidos no arquivo de banco de dados de chaves.
O certificado também é exibido na seção Certificados de Assinante do arquivo
de banco de dados de chaves. Quando você estiver na seção Certificados de
Assinante do banco de dados de chaves, verifique se ela contém o novo
certificado.
Depois, você deve extrair o certificado do seu servidor LDAP para um
arquivo de dados ASCII codificado em Base64.
10. Utilize gsk5ikm para extrair o certificado do servidor LDAP em um arquivo
de dados ASCII codificado em Base64.
11. Destaque o certificado auto-assinado que você acabou de criar.
12. Clique em Extract Certificate (Certificado de Extração).
13. Clique em Base64-encoded ASCII data (Dados ASCII codificados em Base64)
como o tipo de dados.
14. Digite um nome de arquivo de certificado para o certificado recém-extraído. A
extensão do arquivo de certificado é geralmente .arm.
15. Digite a localização na qual você deseja armazenar o certificado extraído e, em
seguida, clique em OK.
16. Copie este certificado extraído para o sistema do servidor LDAP.
No servidor LDAP, após a criação e inclusão do certificado pessoal do cliente no
banco de dados de chaves do cliente, a autoridade de certificação que criou esse
certificado de cliente deve ser reconhecida como um certificado de assinante (raiz
confiável).
Incluindo um Certificado de Assinante
Você deve executar esta etapa no servidor LDAP.
Para incluir um certificado de assinante após a criação do arquivo de banco de
dados de chaves, siga estas etapas:
1. Proceda de uma das seguintes formas:
v Se você estiver utilizando um certificado auto-assinado para o cliente,
certifique-se de que o certificado que foi extraído do arquivo de banco de
dados de chaves em “Criando e Extraindo um Certificado Auto-assinado”
na página 180 foi copiado para o sistema do servidor.Se isso não tiver sido
feito, copie-o agora e salte as etapas seguintes.
v Se o certificado de cliente tiver sido criado por uma autoridade de
certificação, inclua o certificado da autoridade de certificação como um
assinante confiável, executando as seguintes etapas.
SSL — Autenticação de Servidor e Cliente
Apêndice A. Ativando SSL 181
2. Clique na seção Signer Certificates (Certificados de Assinante) do arquivo de
banco de dados de chave CMS.
3. Clique em Add (Incluir).
4. Clique em Base64-encoded ASCII data (Dados ASCII codificados em Base64)
para definir o tipo de dados.
5. Indique o nome do arquivo do certificado e sua localização. A extensão do
arquivo de certificado é geralmente .arm.
6. Clique em OK.
7. Digite um rótulo para o certificado de assinante que você está incluindo. Por
exemplo, você pode utilizar o nome do sistema do cliente LDAP para o rótulo
ou o nome da autoridade de certificação que gerou o certificado do cliente.
8. Clique em OK. O certificado auto-assinado é exibido no banco de dados de
chaves do cliente como um certificado de assinante.
9. Destaque o certificado de assinante recentemente incluído e clique em
View/Edit (Exibir/Editar).
10. Assegure-se de que Set the certificate as a trust root (Definir o certificado
como uma raiz confiável) esteja selecionado para que o certificado seja
marcado como uma raiz confiável.
Se o certificado do cliente LDAP tiver sido gerado por uma autoridade de
certificação regular, assegure-se de que a autoridade de certificação esteja
listada como um certificado de assinante e marcada como uma raiz confiável.
Se não estiver, inclua o certificado da autoridade de certificação como um
certificado de assinante e indique que é uma raiz confiável.
Agora, o servidor está apto a estabelecer uma sessão SSL com o cliente LDAP.
11. Continue com a seção “Testando o Acesso SSL”.
Testando o Acesso SSL
Depois que o servidor LDAP reconhecer a autoridade de certificação que criou o
certificado pessoal do cliente, teste o acesso SSL utilizando o seguinte comando no
cliente LDAP:
ldapsearch -h servername -Z -K client_keyfile -P key_pw -N \
client_label -b "" -s base objectclass=*
As variáveis do comando são as seguintes:
Variável Descrição
servername O nome de host DNS do servidor LDAP.
client_keyfile O nome completo do caminho do conjunto de
chaves de cliente gerado.
key_pw A senha do conjunto de chaves gerado.
client_label O rótulo associado à chave, se houver. Este campo
é opcional e é necessário apenas se o servidor
LDAP estiver configurado para executar
autenticação de servidor e cliente.
O comando ldapsearch retorna as informações base do LDAP, que incluem os
sufixos no servidor LDAP. Observe que o parâmetro –N indica o rótulo que foi
especificado quando o certificado pessoal do cliente foi incluído no arquivo de
banco de dados de chaves do cliente.
Nota: Não especifique o rótulo do certificado de assinante do servidor LDAP. A opção –N
indica para o GSKit qual certificado de cliente é enviado para o servidor
SSL — Autenticação de Servidor e Cliente
182 IBM Tivoli Access Manager: Guia de Instalação Base
quando solicitado. Se nenhum rótulo for especificado, o certificado pessoal
será enviado quando o servidor solicitar o certificado do cliente.
A configuração do SSL foi concluída.
Ativando SSL para Domino
É recomendado que você ative a comunicação SSL (Secure Sockets Layer) entre o
servidor Lotus Domino e os IBM Directory Clients que oferecem suporte ao
software Tivoli Access Manager.
Este capítulo inclui as seguintes seções:
1. “Criando o Arquivo de Conjunto de Chaves SSL”
2. “Ativando o Acesso SSL”
3. “Criando um Usuário Administrativo do Tivoli Access Manager para Domino”
na página 42
Criando o Arquivo de Conjunto de Chaves SSL
Para suportar o SSL em um servidor Domino, você deve criar um arquivo de
conjunto de chaves do servidor Domino que contenha o certificado digital do lado
do servidor. Para fazer isso, siga estas etapas:
1. Inicie o cliente Notes no servidor Domino e, em seguida, selecione Arquivo →
Banco de Dados → Abrir. Abra o banco de dados Server Certificate Admin
(Admin de Certificados do Servidor) no servidor Domino.
Nota: Você deve instalar o cliente Domino Designer no sistema do cliente
Notes.
2. Dependendo do ambiente, proceda de uma das seguintes formas:
v Crie o conjunto de chaves SSL e preencha-o com certificados
Complete as opções Create Key Ring (Criar Conjunto de Chaves), Create
Certificate Request (Criar Pedido de Certificado), Install Root Certificate
(Instalar Certificado Raiz) e Install Certificate into Key Ring (Instalar
Certificado no Conjunto de Chaves).
v Crie um conjunto de chaves com certificado auto-atestado para finalidade de
teste
Dê um clique duplo na opção Create Key Ring with Self-Certified Certificate
(Criar Conjunto de Chaves com Certificado Auto-Atestado). Preencha o nome
do arquivo de conjunto de chaves e todos os outros campos obrigatórios.
Clique no botão Create Key Ring with Self-Certified Certificate (Criar
Conjunto de Chaves com Certificado Auto-Atestado) para concluir o processo.
Copie o arquivo de conjunto de chaves e o arquivo stash para o seguinte caminho
do servidor Domino:
\Lotus\Domino\Data
Ativando o Acesso SSL
O Domino suporta apenas autenticação do lado do cliente. Para ativar o SSL, siga
estas etapas:
1. Inicie o cliente Domino Administrator e selecione a guia Configuration
(Configuração).
SSL — Autenticação de Servidor e Cliente
Apêndice A. Ativando SSL 183
2. Selecione a opção All Server Documents (Todos os Documentos do Servidor)
sob a categoria Servidor no lado esquerdo da GUI. Abra o documento do
servidor no qual você deseja configurar o LDAP.
3. Clique em Edit Server (Editar Servidor) para preparar a atualização da
configuração do servidor.
4. Selecione a guia Ports (Portas) no documento do servidor.
5. Selecione a guia Internet Ports (Portas de Internet) e digite o nome do arquivo
de conjunto de chaves do servidor criado em “Criando o Arquivo de Conjunto
de Chaves SSL” na página 183. Selecione Yes (Sim) em Aceitar Certificados do
Site de SSL.
6. Selecione a guia Directory (Diretório) para atualizar a configuração LDAP e,
em seguida, selecione Enabled (Ativado) em Status da Porta SSL. Certifique-se
de indicar as seguintes definições:
v Defina o certificado do cliente como No (Não).
v Defina o nome & senha como Yes (Sim).
v Defina anonymous como Yes (Sim) ou No (Não).7. Clique em OK para atualizar o documento do servidor. A configuração de SSL
do LDAP está concluída.
Se o certificado do servidor Domino não for atestado pelo certificador confiável
padrão do servidor Domino, será necessário registrar o certificador no arquivo de
conjunto de chaves do servidor Domino. Para fazer isso, siga estas etapas:
1. Destaque o documento do servidor e abra o menu de opções Registro no lado
direito.
2. No menu de opções, selecione Internet Certifier (Certificador de Internet).
3. Localize o arquivo de conjunto de chaves do servidor Domino e clique em
Open (Abrir) para concluir o processo de registro do Certificador de Internet.
4. Para verificar o registro acima, selecione o menu Pessoas & Grupos e clique na
guia Certificates (Certificados) para verificar se o certificador do novo servidor
Domino foi inserido na lista de Certificadores de Internet.
5. Salve o documento do servidor.
6. No console do servidor Domino, inicie novamente o servidor LDAP digitando
os seguintes comandos:
tell ldap quit
load ldap
Ativando SSL para Domino
184 IBM Tivoli Access Manager: Guia de Instalação Base
Apêndice B. Referência de Configuração do Tivoli Access
Manager
Este apêndice inclui as seguintes seções:
v “Opções de Configuração Nativa UNIX”
v “Opções de Configuração Nativa do Windows” na página 188
Opções de Configuração Nativa UNIX
Esta seção lista as informações de configuração que são requeridas durante o
processo de instalação nativa. Recomenda-se que você identifique esses valores
antes de serem solicitados durante a instalação. Se você estiver planejando ativar
SLL (Secure Sockets Layer), as opções de configuração também são fornecidas.
Observe que as informações sobre configuração do servidor de políticas são
utilizadas para configurar outros componentes do Tivoli Access Manager.
Tempo de Execução do Tivoli Access Manager
Durante a configuração do tempo de execução do Tivoli Access Manager em um
sistema AIX, HP-UX, Linux ou Solaris, as seguintes informações serão solicitadas:
v Seleção de Registro — Clique para selecionar o tipo de registro configurado
para o Tivoli Access Manager. Observe que Registro LDAP é a única opção para
a qual existe suporte.v Nome do host do servidor LDAP—Especifica o nome completo do host do
servidor LDAP. Por exemplo:
ldapserver.tivoli.com
v Número da porta do servidor LDAP—Especifica o número da porta na qual o
servidor LDAP atende. O número da porta padrão é 389.
Se o Tivoli Access Manager Policy Server não estiver instalado no mesmo sistema
que o Tivoli Access Manager Runtime, também serão solicitadas as seguintes
informações:
v Nome do host da máquina do Policy Server—Especifica o nome completo do
host do servidor de políticas. Por exemplo:
pdmgr.tivoli.com
v Porta de atendimento SSL utilizada pelo Policy Server—Especifica o número
da porta na qual o servidor de políticas atende a pedidos SSL. O número da
porta padrão é 7135.
Servidor de Política do Tivoli Access Manager
Durante a configuração do servidor de política em um sistema AIX, HP-UX, Linux
no zSeries e Solaris, as seguintes informações serão solicitadas.
v DN do usuário administrativo LDAP—Especifica o nome distinto do
administrador LDAP. O nome padrão é cn=root.
v Senha do usuário administrativo LDAP—Especifica a senha associada ao ID do
administrador LDAP.
v Ativar comunicação SSL entre o Servidor de Política do Access Manager e o
servidor LDAP — Especifica se SSL deve ser ativado Yes (Sim) ou No (Não). Se
for especificado Yes (Sim), as informações a seguir serão solicitadas.
© Copyright IBM Corp. 2001, 2003 185
– Localização do arquivo de chaves do cliente SSL do LDAP — Especifica o
nome completo do caminho no qual o arquivo de banco de dados de chaves
LDAP do cliente está localizado no servidor de política. Para ativar o suporte
a SSL entre o servidor de política e o servidor LDAP, o CD do Tivoli Access
Manager Base oferece as seguintes amostras de arquivo de chave, somente
para avaliação:
/common/pd_ldapkey.kdb
Esse arquivo não destina-se ao uso em um ambiente de produção. Para
adquirir seu próprio certificado, consulte as informações sobre como criar um
arquivo de banco de dados de chaves e um certificado no Apêndice A,
“Ativando a Secure Sockets Layer”, na página 161.
– Rótulo de certificado do cliente SSL (se necessário) — Especifica o rótulo no
arquivo de banco de dados de chaves LDAP do certificado do cliente a ser
enviado ao servidor. Esse rótulo é obrigatório se o servidor estiver
configurado para exigir autenticação do cliente durante o estabelecimento de
SSL ou se você desejar utilizar um certificado não padrão no arquivo de
chaves. Se você utilizar o script ezinstall_ldap_server e o arquivo de chaves
padrão (pd_ldapkey.kdb), o rótulo deverá ser deixado em branco. Geralmente,
o servidor LDAP requer apenas certificados do lado do servidor que foram
especificados durante a criação do arquivo .kbd do cliente. Além disso, se o
rótulo do arquivo de chaves do cliente SSL não for requerido, deixe esse
campo em branco quando configurar o servidor de políticas.
– Senha do arquivo de chaves do cliente SSL LDAP — Especifica a senha do
arquivo de banco de dados de chaves LDAP do cliente. O arquivo
pd_ldapkey.kdb, fornecido com a instalação fácil, possui a senha padrão
gsk4ikm. Esses padrões podem ser utilizados se você instalar e configurar o
IBM Directory Server utilizando o script ezinstall_ldap_server. Se você
decidir alterar esta senha utilizando o utilitário gsk5ikm, você deve chamar
novamente esta senha padrão.
– Número da Porta SSL do Servidor LDAP—Especifica o número da porta em
que o servidor LDAP atende pedidos SSL. O número da porta padrão é 636.v DN do LDAP para banco de dados GSO — Especifica o nome distinto da
localização na DIT (directory information tree) do diretório do servidor LDAP
em que o banco de dados GSO (conexão global) está localizado. Por exemplo:
o=tivoli,c=us
Para obter informações adicionais sobre o sufixo GSO, consulte “Visão Geral da
Configuração do Servidor LDAP” na página 19.
v Senha do Administrador do Access Manager—Especifica a senha associada ao
ID de administrador principal sec_master. Será solicitado que você digite
novamente essa senha para confirmação.
v Porta do servidor SSL para o Access Manager Policy Server—Especifica o
número da porta na qual o servidor de políticas atende a pedidos SSL. O
número da porta padrão é 7135.
v Duração do certificado SSL do Policy Server— Especifica o número de dias
durante os quais o arquivo de certificado SSL é válido. O número de dias
padrão é 365.
v Ativar o download de Certificados de CA raiz—Especifique yes para ativar o
download automático do arquivo de autoridade de certificação SSL.
Independentemente se você especifica Yes (Sim) ou No (Não), o arquivo de
autoridade de certificação SSL é colocado no seguinte diretório:
/var/PolicyDirector/keytab/pdcacert.b64
186 IBM Tivoli Access Manager: Guia de Instalação Base
Se essa opção for definida como No (Não), você deverá copiar o arquivo
pdcacert.b64 em cada sistema do Tivoli Access Manager Runtime em seu
domínio seguro.
Servidor de Autorização do Tivoli Access Manager
Durante a configuração do servidor de autorização em um sistema AIX, HP-UX,
Linux no zSeries ou Solaris, as seguintes informações serão solicitadas:
v DN do usuário administrativo LDAP—Especifica o nome distinto do
administrador LDAP. O nome padrão é cn=root.
v Senha do usuário administrativo LDAP—Especifica a senha associada ao ID do
administrador LDAP.
v Ativar comunicação SSL entre o Servidor de Política do Access Manager e o
servidor LDAP — Especifica se SSL deve ser ativado Yes (Sim) ou No (Não). Se
for especificado Yes (Sim), as informações a seguir serão solicitadas.
– Localização do arquivo de chaves do cliente SSL do LDAP — Especifica o
nome completo do caminho no qual o arquivo de banco de dados de chaves
LDAP do cliente está localizado no servidor de política. Para ativar o suporte
a SSL entre o servidor de política e o servidor LDAP, o CD do Tivoli Access
Manager Base oferece as seguintes amostras de arquivo de chave, somente
para avaliação:
/common/pd_ldapkey.kdb
Esse arquivo não destina-se ao uso em um ambiente de produção. Para
adquirir seu próprio certificado, consulte as informações sobre como criar um
arquivo de banco de dados de chaves e um certificado no Apêndice A,
“Ativando a Secure Sockets Layer”, na página 161.
– Rótulo de certificado do cliente SSL (se necessário) — Especifica o rótulo no
arquivo de banco de dados de chaves LDAP do certificado do cliente a ser
enviado ao servidor. Esse rótulo é obrigatório se o servidor estiver
configurado para exigir autenticação do cliente durante o estabelecimento de
SSL ou se você desejar utilizar um certificado não padrão no arquivo de
chaves. Se você utilizar o script ezinstall_ldap_server e o arquivo de chaves
padrão (pd_ldapkey.kdb ), então o rótulo para configuração do servidor
LDAP deverá ser PDLDAP. Geralmente, o servidor LDAP requer apenas
certificados do lado do servidor que foram especificados durante a criação do
arquivo .kbd do cliente.
Nota: Se o rótulo do arquivo de chaves do cliente SSL não for requerido,
deixe esse campo em branco quando configurar o Authorization Server.
– Senha do arquivo de chaves do cliente SSL LDAP — Especifica a senha do
arquivo de banco de dados de chaves LDAP do cliente. O arquivo
pd_ldapkey.kdb, fornecido com a instalação fácil, possui a senha padrão
gsk4ikm. Esses padrões podem ser utilizados se você instalar e configurar o
IBM Directory Server utilizando o script ezinstall_ldap_server. Se você
decidir alterar esta senha utilizando o utilitário gsk5ikm, você deve chamar
novamente esta senha padrão.
– Número da Porta SSL do Servidor LDAP—Especifica o número da porta em
que o servidor LDAP atende pedidos SSL. O número da porta padrão é 636.v Senha do Administrador do Access Manager—Especifica a senha associada ao
ID de administrador principal sec_master.
Apêndice B. Referência de Configuração do Tivoli Access Manager 187
Opções de Configuração Nativa do Windows
Esta seção lista as informações de configuração que são requeridas durante o
processo de instalação nativa. Recomenda-se que você identifique esses valores
antes de serem solicitados durante a instalação. Se você estiver planejando ativar
SLL (Secure Sockets Layer), as opções de configuração também são fornecidas.
Observe que as informações sobre configuração do servidor de políticas são
utilizadas para configurar outros componentes do Tivoli Access Manager.Não serão
solicitadas opções de configuração para os componentes GSKit, IBM Directory
Client, ADK e Web Portal Manager.
Tempo de Execução do Tivoli Access Manager
Durante a configuração do componente Tivoli Access Manager Runtime, serão
solicitadas as seguintes informações:
v Seleção de Registro — Clique para selecionar o tipo de registro configurado
para o Tivoli Access Manager. As opções são as seguintes:
– Registro de LDAP (consulte “Registro de LDAP”)
– Active Directory (consulte “Active Directory” na página 189)
– Domino (consulte “Lotus Domino” na página 190)
Registro de LDAP
Durante a configuração do tempo de execução do Tivoli Access Manager em um
sistema Windows, as seguintes informações serão solicitadas:
v Nome do Host do Servidor LDAP—Especifica o nome completo do host do
servidor LDAP. Por exemplo:
ldapserver.tivoli.com
v Porta do Servidor LDAP—Especifica o número da porta em que o servidor
LDAP atende. O número da porta padrão é 389.
v DN do LDAP para banco de dados GSO — Especifica o nome distinto da
localização na DIT (directory information tree) do diretório do servidor LDAP
em que o banco de dados GSO (conexão global) está localizado. Por exemplo:
o=tivoli,c=us
Para obter informações adicionais sobre o sufixo GSO, consulte “Visão Geral da
Configuração do Servidor LDAP” na página 19.
v Ativar SSL entre o Tivoli Access Manager e o LDAP — Especifica se o SSL
deve ser ativado (Yes (Sim) ou No (Não)). Se Yes (Sim) for especificado, as
informações a seguir serão solicitadas.
– Arquivo de Chaves do Cliente SSL do LDAP — Especifica o nome completo
do caminho no qual o arquivo de banco de dados de chaves do LDAP do
cliente está localizado no sistema do cliente.
Se você pretende ativar a comunicação SSL entre o servidor LDAP e os
clientes IBM Directory que oferecem suporte ao software Tivoli Access
Manager, deve copiar manualmente o arquivo C:\keytabs\pd_ldapkey.kdb da
sua localização no servidor LDAP para um diretório nos sistemas cliente.
– Rótulo do Certificado do Cliente SSL (se necessário) — Especifica o rótulo
no arquivo de banco de dados de chaves do LDAP do certificado do cliente a
ser enviado ao servidor. Esse rótulo é obrigatório se o servidor estiver
configurado para exigir autenticação do cliente durante o estabelecimento de
SSL ou se você desejar utilizar um certificado não padrão no arquivo de
chaves. Se você utilizar o script ezinstall_ldap_server e o arquivo de chaves
padrão (pd_ldapkey.kdb ), então o rótulo para configuração do servidor
188 IBM Tivoli Access Manager: Guia de Instalação Base
LDAP deverá ser PDLDAP. Geralmente, o servidor LDAP requer apenas
certificados do lado do servidor que foram especificados durante a criação do
arquivo .kbd do cliente.
Nota: Se o rótulo do arquivo de chaves do cliente SSL não for requerido, ele
poderá ser deixado em branco durante a configuração do Runtime.
– Senha do Arquivo de Chaves SSL — Especifica a senha do arquivo de banco
de dados de chaves do LDAP do cliente. O arquivo pd_ldapkey.kdb, fornecido
com a instalação fácil, possui a senha padrão gsk4ikm. Esses padrões podem
ser utilizados se você instalar e configurar o IBM Directory Server utilizando
o script ezinstall_ldap_server. Se você decidir alterar esta senha utilizando
o utilitário gsk5ikm, você deve chamar novamente esta senha padrão.
– Porta SSL do Servidor LDAP—Especifica o número da porta que o servidor
LDAP utiliza para escuta de pedidos SSL. O número da porta padrão é 636.v Diretório de Instalação — Especifica o diretório no qual o Tivoli Access
Manager deverá ser instalado.
Se o servidor de política do Tivoli Access Manager não estiver instalado no mesmo
sistema que o tempo de execução do Tivoli Access Manager, as seguintes
informações também serão solicitadas:
v Nome do Host do Policy Server—Especifica o nome completo do host do Policy
Server. Por exemplo:
pdmgr.tivoli.com
v Porta do Servidor SSL— Especifica o número da porta na qual o servidor de
políticas atende a pedidos SSL. O número da porta padrão é 7135.
v Nome do Arquivo de Certificado de CA do Tivoli Access Manager — Se você
tiver especificado para ativar o download automático do arquivo de certificado
de CA durante a configuração do servidor de política do Tivoli Access Manager,
deixe esta opção em branco. Ela será recuperada automaticamente na
configuração do tempo de execução do Tivoli Access Manager.
Se você não ativou o download automático do arquivo de certificado de CA,
será necessário obter o arquivo de certificado SSL do sistema do servidor de
políticas. Para fazer isso, utilize um programa de transferência de arquivos,
como ftp, para colocar uma cópia do arquivo em uma localização de sua
escolha. No servidor de política, o arquivo de certificado está localizado em:
/var/PolicyDirector/keytab/pdcacert.b64
Você deve copiar esse arquivo depois de instalar o componente Runtime, mas
antes de configurá-lo.
Active Directory
Se você tiver selecionado do Active Directory como registro, as seguintes
informações serão solicitadas:
v Vários domínios—Selecione Yes (Sim) para utilizar vários domínios ou No (Não)
para configurar um único domínio.
– Se você selecionou Yes (Sim) para utilizar vários domínios, serão solicitadas
as seguintes informações de configuração:
- Ativar conexão criptografada — Especifica se você deseja ativar o
protocolo Kerberos como mecanismo de criptografia para conexão segura
com o servidor de AD. Essa é uma etapa adicional durante o processo de
configuração. Selecione Yes (Sim) para ativar Kerberos.– Se você selecionou No (Não) para utilizar vários domínios, serão solicitadas
as seguintes informações:
Apêndice B. Referência de Configuração do Tivoli Access Manager 189
- Nome do host—Especifica o nome do servidor do controlador de domínio
do Active Directory. Por exemplo:
adserver.tivoli.com
- Nome de domínio—Especifica o nome de domínio. Por exemplo:
dc=adpd,dc=com
- Ativar conexão criptografada — Especifica se você deseja ativar o
protocolo Kerberos como mecanismo de criptografia para conexão segura
com o servidor de AD. Essa é uma etapa adicional durante o processo de
configuração. Selecione Yes (Sim) para ativar Kerberos.v Outras Informações do Active Directory—Digite o ID administrativo e a senha
criados em “Criando um Usuário Administrativo do Active Directory” na página
40 e, em seguida, clique em Next (Avançar).
Notas
– Se você especificou No (Não) para utilizar vários domínios, o painel
Informações de Dados do Active Directory é exibido. Digite o nome distinto
no qual você deseja armazenar os dados do Tivoli Access Manager.Por
exemplo,
dc=wsm,dc=com
– Se você estiver utilizando o Active Directory como registro, será criado um
arquivo activedir.conf no seguinte diretório:
%PD_INSTALL_DIR%\etc
em que PD_INSTALL_DIR é o diretório no qual o Tivoli Access Manager
está instalado.C:\Arquivos de Programas\Tivoli\Policy Director é o
diretório padrão.
Lotus Domino
Se você tiver selecionado Domino como seu registro, as seguintes informações
serão solicitadas:
v Nome completo do servidor domino—Especifica o nome completo do servidor
Domino. Por exemplo:
Domino/tivoli
v Nome do host TCP/IP do servidor Domino—Especifica o nome do host TCP/IP
do servidor Domino. Por exemplo:
domino.tivoli.com
v Porta do servidor LDAP do Domino—Especifica a porta do servidor LDAP na
qual o servidor Domino atende. Se você pretende ativar o SSL, o número da
porta é 636. Para comunicação não-SSL, o número da porta padrão é 389.
v Ativar a comunicação SSL para o servidor Domino—Selecione Yes (Sim) ou No
(Não) para ativar a autenticação do cliente SSL para o servidor Domino. Esta é
uma etapa opcional durante o processo de instalação. Se você instalou um
certificado de cliente durante a instalação do Domino, selecione Yes (Sim). Para
obter informações adicionais sobre como ativar a comunicação SSL, consulte
Apêndice A, “Ativando a Secure Sockets Layer”, na página 161.
Se você especificar Yes (Sim), serão solicitadas as seguintes informações:
– Número da porta—Especifica o número da porta SSL. O número da porta
padrão é 636.
– Arquivo de chaves com caminho completo—Especifica o arquivo de chaves
do cliente que você criou ao ativar o SSL. Quando for solicitado o arquivo de
chaves do servidor Domino, forneça o nome do arquivo de banco de dados
de chaves do cliente LDAP. Por exemplo:
d:\cert\dominoc.kdb
190 IBM Tivoli Access Manager: Guia de Instalação Base
– Rótulo do certificado—Especifica o rótulo do certificado de cliente SSL. Esse
campo exige que você digite qualquer caractere. Como não é necessário
configurar autenticação de certificado no lado do cliente, o caractere
especificado será ignorado.
– Senha do arquivo de chaves—Especifica a senha associada ao arquivo de
chaves.v Senha do cliente Notes—Especifica a senha do cliente Notes para acessar o
banco de dados Domino.
v Nome do Banco de Dados de Metadados do Tivoli Access Manager—
Especifica o nome do banco de dados associado aos dados do Tivoli Access
Manager. Por exemplo:
PDdata.nsf
Servidor de Política do Tivoli Access Manager
Durante a configuração do servidor de políticas em um sistema Windows, serão
solicitadas as seguintes informações:
v ID (DN) do Administrador LDAP—Especifica o nome distinto do administrador
LDAP. O nome padrão é cn=root.
v Senha do Administrador LDAP—Especifica a senha associada ao ID do
administrador LDAP.
v Senha Mestre de Segurança—Especifica a senha associada ao ID de
administrador principal sec_master.
v Porta do Servidor SSL para o Policy Server—Especifica o número da porta na
qual o servidor de políticas atende a pedidos SSL. O número da porta padrão é
7135.
v Duração do Certificado SSL do Policy Server— Especifica o número de dias
durante os quais o arquivo de certificado SSL é válido. O número de dias
padrão é 365.
v Ativar o Download de Certificados—Especifique Yes (Sim) para ativar o
download automático do arquivo de autoridade de certificação SSL.
Independentemente se você especifica Yes (Sim) ou No (Não), o arquivo de
autoridade de certificação SSL é colocado no seguinte diretório:
install_dir/keytab/pdcacert.b64
Se esta opção for definida para No (Não), você deverá copiar o arquivo
pdcacert.b64 para cada sistema do cliente Tivoli Access Manager Runtime.
Servidor de Autorização do Tivoli Access Manager
Durante a configuração do Authorization Server em um sistema Windows, serão
solicitadas as seguintes informações:
v ID (DN) do Administrador LDAP—Especifica o nome distinto do administrador
LDAP. O nome padrão é cn=root.
v Senha do Administrador LDAP—Especifica a senha associada ao ID do
administrador LDAP.
v Senha Mestre de Segurança—Especifica a senha associada ao ID de
administrador principal sec_master.
Apêndice B. Referência de Configuração do Tivoli Access Manager 191
Portas Padrão
Os números de porta padrão são os seguintes:
v Porta não-SSL do servidor LDAP: 389
v Porta SSL do servidor LDAP: 636
v Porta SSL do servidor de políticas: 7135
v Porta SSL do WebSphere Application Server: 443
192 IBM Tivoli Access Manager: Guia de Instalação Base
Apêndice C. Referência de Configuração do OS/390 e z/OS
Este apêndice inclui amostras para o seguinte:
v “Configuração LDAP de Amostra”
v “Script de Amostra da Área de Tabela e do Banco de Dados DB2 para SPUFI” na
página 194
v “Script de Amostra do Índice DB2 para SPUFI” na página 200
v “Job Batch de Ligação CLI de Amostra” na página 202
v “Arquivo de Inicialização de CLI de Amostra” na página 203
Utilize estas amostras durante o processo de configuração, conforme descrito em
“Configurando os Servidores de Segurança z/OS e OS/390” na página 30.
Configuração LDAP de Amostra
########################################################################
## Os valores fornecidos neste arquivo de configuração podem refletir os
## valores genéricos fornecidos nos arquivos de configuração do DB2 de
## exemplo. Certifique-se de utilizar os valores apropriados para uma
## instalação de produção.
########################################################################
########################################################################
##Definições globais
########################################################################
adminDN "cn=root"
adminPW password1
########################################################################
## diretrizes port & securePort desaprovadas, utilizando listen
########################################################################
listen ldap://:389
listen ldaps://:636
########################################################################
## Definições do banco de dados tdbm
########################################################################
database tdbm GLDBTDBM
servername LOC1
dbuserid LDAPSRV
databaseName LDAPR10
dsnaoini SUADMIN.DSNAOINI.DB2INI
suffix "o=ibm,c=us"
suffix "secAuthority=Default"
AttrOverflowSize 80
########################################################################
## Autenticação Nativa (SAF) para o TDBM
########################################################################
useNativeAuth SELECTED
nativeAuthSubtree "o=ibm,c=us"
nativeUpdateAllowed YES
########################################################################
##Definições SSL
########################################################################
sslAuth serverAuth
sslKeyRingFile "/usr/lpp/ldap/etc/ldapserver.kdb"
sslKeyRingPWStashFile "usr/lpp/ldap/etc/ldapserver.sth"
sslCertificate ldapcert
sslCipherSpecs 15104
########################################################################
##Definições de réplica
© Copyright IBM Corp. 2001, 2003 193
########################################################################
masterServer "ldap://jeff.endicott.ibm.com:3389"
masterServerDN cn=master
masterServerPW password1
Script de Amostra da Área de Tabela e do Banco de Dados DB2 para
SPUFI
--*********************************************************************/
--* Este arquivo contém código de amostra. A IBM FORNECE ESTE CÓDIGO */
--* ’COMO SE ENCONTRA’, SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU */
--* IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS*/
--* DE MERCADO OU DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. */
--*********************************************************************/
-- Utilize as instruções a seguir para criar o servidor LDAP do banco de
-- dados DB2 e as áreas de tabela no SPUFI. Os nomes de banco de dados e
-- de área de tabela que você cria serão utilizados para atualizar a
-- seção de banco de dados do arquivo de configuração do Servidor LDAP.
-- Você também precisa tomar decisões do DB2,-- em termos de seleção do
-- tamanho do conjunto de buffers para áreas de tabela e seleção de
-- tamanho de coluna, todas relacionadas diretamente aos dados que serão
-- armazenados no banco de dados. Consulte as instruções a seguir para
-- obter mais informações.
--
-- *************************
-- Informações sobre o Nome do Banco de Dados
-- *************************
-- Altere LDAPR10 para o nome do banco de dados LDAP
que você deseja criar.
-- Certifique-se de que esse nome esteja atualizado para corresponder ao que
-- está definido para o databasename no arquivo de configuração do servidor.
--
-- **************************
-- Informações sobre o Proprietário do Banco de Dados
-- **************************
-- Altere o LDAPSRV para o ID do proprietário do banco de dados MVS. Esse ID será o
-- qualificador de alto nível para as tabelas
--
-- **********************
-- Informações sobre Área de Tabela
-- **********************
--
-- *********************************************************************
-- NOTA: Consulte os manuais do DB2 para obter uma lista completa de nomes de
-- conjuntos de buffers válidos.
-- *********************************************************************
--
-- Altere o ENTRYTS para o nome da área de tabela de entrada LDAP
que você deseja criar.
--
-- Altere o BP0 para o nome do conjunto de buffers da área de tabela de
entrada LDAP.
-- O tamanho do conjunto de buffers pode ser determinado com a fórmula:
--
-- result = 62 bytes + <tamanho de trunc da coluna dn (abaixo)> +
-- <tamanho total máximo de um DN (abaixo)> +
-- <tamanho dos dados da entrada (que inclui DN do criador e
DN de modificadores)>
--
-- Também há um conceito de tabela "transbordada", em que os dados de
-- entrada que não se ajustam ao tamanho da linha são divididos de modo que se
-- ajustem em uma linha. Os dados da entrada podem ser distribuídos em várias
linhas,
-- se necessário. Portanto, na fórmula acima, o <tamanho dos dados da entrada>
Referência e Configuração LDAP do OS/390 e z/OS
194 IBM Tivoli Access Manager: Guia de Instalação Base
-- não precisa ser o tamanho máximo dos dados, talvez o tamanho mediano dos
-- dados seria uma opção melhor. Consulte abaixo a descrição da área de tabela
-- de entrada longa.
--
-- O tamanho padrão sugerido é 4K.
--
-- Altere o LENTRYTS para o nome da área de tabela de entrada longa LDAP que você
-- desejacriar.
--
-- Altere o BP0 para o nome do conjunto de buffers da área de tabela de entrada
-- longa LDAP. A área de tabela de entrada longa conterá as linhas
"transbordadas"
-- de dados da entrada que não se ajustam à área de tabela de entrada.
-- Para minimizar o número de linhas transbordadas, escolha um tamanho de
-- conjunto de buffers grande.
--
-- O tamanho padrão sugerido é 4K.
--
-- Altere o LATTRTS para o nome da área de tabela de atributo longo LDAP que
você deseja criar.
--
-- Altere o BP0 para o nome do conjunto de buffers da área de tabela de atributo
-- longo LDAP. A área de tabela de atributo longo conterá as linhas
"transbordadas"
-- de dados do atributo que não se ajustam à área de tabela da entrada.
-- Para minimizar o número de linhas transbordadas, escolha um tamanho de
-- conjunto de buffers grande.
--
-- O tamanho padrão sugerido é 4K.
--
-- Altere o MISCTS para o nome da área de tabela variada LDAP que você deseja
criar.
--
-- Altere o DESCTS para o nome da área de tabela de descendentes LDAP que você
criar.
--
-- Altere o SEARCHTS para o nome da área de tabela de pesquisa LDAP
que você deseja criar.
--
-- Altere o BP0 para o nome do conjunto de buffers da área de tabela de
-- pesquisa LDAP. O tamanho do conjunto de buffers pode ser determinado com
-- uma fórmula simples:
--
-- result = 16 bytes + <tamanho de trunc da coluna de pesquisa (abaixo)> +
-- <tamanho máximo do valor do atributo que você gostaria de pesquisar>
--
-- O valor do resultado é o número máximo de bytes que uma linha ocupará na
-- tabela de pesquisa que contém um valor de atributo. Escolha um tamanho de
-- conjunto de buffers que acomodará esse tamanho.
--
-- O tamanho padrão sugerido é 4K.
--
-- Altere o REPTS para o nome da área de tabela de réplica LDAP
que você deseja criar.
--
-- *********************************
-- Informações sobre a Seleção do Tamanho da Coluna
-- *********************************
-- Todos os atributos pesquisáveis de uma determinada entrada
serão armazenados de duas
-- formas. A primeira será uma versão truncada, que será utilizada como parte de
-- um índice do DB2. A segunda versão será o valor inteiro do atributo,
-- potencialmente truncado pelo tamanho do conjunto de buffers escolhido. A razão
-- pela qual as duas versões são armazenadas é para que o LDAP/DB2 possa utilizar
-- índices para aumentar
-- o desempenho da pesquisa. A razão pela qual nós não indexamos o valor inteiro
-- do atributo pesquisável é por causa do custo (em termos de DASD) associado a
Referência e Configuração LDAP do OS/390 e z/OS
Apêndice C. Referência de Configuração LDAP do OS/390 e z/OS 195
-- ter índices em uma coluna grande com grande quantidade de dados.
--
-- A opção do tamanho de trunc da coluna de pesquisa deve considerar os limites do
-- sistema de conta que você pode ter (conforme descrito acima) e deve considerar
-- o tamanho típico dos valores de atributo que são armazenados no
-- LDAP. Por exemplo, se a maioria dos dados tiver apenas 20 bytes,
-- a escolha de 20 para este tamanho de trunc é adequada.
--
-- Altere 32 para o tamanho de trunc da coluna de pesquisa que ajuste melhor
-- os dados do atributo.
--
-- O tamanho padrão sugerido é 32.
--
-- Um outro aperfeiçoamento de desempenho da pesquisa está relacionado ao
-- atributo DN.
-- O valor do atributo DN é armazenado separadamente dos dados da entrada para
-- permitir uma consulta de caminho rápida. Ele também é armazenado em duas versões.
-- As razões são semelhantes àquelas mencionadas acima para a coluna do atributo.
-- Como os dados de DN são armazenados em sua própria coluna, é necessário definir
-- o tamanho máximo do valor do atributo DN aqui. Você também precisa escolher um
-- tamanho de trunc da coluna dn que ajuste melhor os dados.
--
-- Altere 32 para o tamanho de trunc dn que ajuste melhor os dados dn.
--
-- O tamanho padrão sugerido é 32.
--
-- Altere 512 para o tamanho máximo de um DN. Este valor inclui o terminador
-- nulo, portanto, o comprimento real máximo de um DN será inferior a
-- esse valor.
--
-- O tamanho padrão sugerido é 512.
--
--
-- *************************
-- Informações sobre o Grupo de Armazenamento
-- *************************
-- Altere o SYSDEFLT para o grupo de armazenamento que deverá conter os
-- áreas de tabela DB2 do LDAP. Utilize SYSDEFLT para escolher o grupo de
-- armazenamento padrão.
-- NOTA: Os valores fornecidos abaixo para PRIQTY e SECQTY provavelmente
-- precisarão ser modificados dependendo do tamanho projetado das informações
-- de Diretório a serem armazenadas.
--
-- ***************************************************************************
-- Utilize as instruções a seguir se precisar excluir o banco de dados DB2 e as
-- áreas de tabela do Servidor LDAP no SPUFI. Você precisa remover o ’--’
-- de cada linha antes de executar estas instruções.
-- Altere o ENTRYTS para o nome da área de tabela de entrada LDAP que você
-- deseja excluir.
-- Altere o LENTRYTS para o nome da área de tabela de entrada longa LDAP que você
-- deseja-- excluir.
-- Altere o LATTRTS para o nome da área de tabela de atrib longo LDAP que você
-- excluir.
-- Altere o MISCTS para o nome da área de tabela variada LDAP que você deseja
-- excluir.
-- Altere o SEARCHTS para o nome da área de tabela de pesquisa LDAP que você
-- deseja excluir.
-- Altere o REPTS para o nome da área de tabela de réplica LDAP que você deseja
-- excluir.
-- Altere o DESCTS para o nome da área de tabela de descendentes LDAP que você
-- excluir.
-- Altere o LDAPR10 para o nome do banco de dados LDAP que você deseja
excluir.
-- ***************************************************************************
--DROP TABLESPACE LDAPR10.ENTRYTS;
Referência e Configuração LDAP do OS/390 e z/OS
196 IBM Tivoli Access Manager: Guia de Instalação Base
--DROP TABLESPACE LDAPR10.LENTRYTS;
--DROP TABLESPACE LDAPR10.LATTRTS;
--DROP TABLESPACE LDAPR10.MISCTS;
--DROP TABLESPACE LDAPR10.SEARCHTS;
--DROP TABLESPACE LDAPR10.REPTS;
--DROP TABLESPACE LDAPR10.DESCTS;
--DROP DATABASE LDAPR10;
--COMMIT;
-- ************************
-- Criar o banco de dados LDAP
-- ************************
CREATE DATABASE LDAPR10 STOGROUP SYSDEFLT;
-- ********************************
-- Criar a área de tabela de entrada LDAP
-- ********************************
CREATE TABLESPACE ENTRYTS IN LDAPR10
USING STOGROUP SYSDEFLT
BUFFERPOOL BP0;
-- *************************************
-- Criar a área de tabela de entrada longa LDAP
-- *************************************
CREATE TABLESPACE LENTRYTS IN LDAPR10
USING STOGROUP SYSDEFLT
BUFFERPOOL BP0;
-- ************************************
-- Criar a área de tabela de atrib longo LDAP
-- ************************************
CREATE TABLESPACE LATTRTS IN LDAPR10
USING STOGROUP SYSDEFLT
BUFFERPOOL BP0;
-- *****************************
-- Criar a área de tabela LDAP de 4K
-- *****************************
CREATE TABLESPACE MISCTS IN LDAPR10
SEGSIZE 4
USING STOGROUP SYSDEFLT
BUFFERPOOL BP0;
-- *********************************
-- Criar a área de tabela de pesquisa LDAP
-- *********************************
CREATE TABLESPACE SEARCHTS IN LDAPR10
USING STOGROUP SYSDEFLT
BUFFERPOOL BP0;
-- *********************************
-- Criar a área de tabela de réplica LDAP
-- *********************************
CREATE TABLESPACE REPTS IN LDAPR10
USING STOGROUP SYSDEFLT
BUFFERPOOL BP0;
-- *****************************
-- Criar a área de tabela de descendentes LDAP
-- *****************************
CREATE TABLESPACE DESCTS IN LDAPR10
USING STOGROUP SYSDEFLT
BUFFERPOOL BP0;
-- *********************
-- Criar as tabelas do DB2
-- *********************
Referência e Configuração LDAP do OS/390 e z/OS
Apêndice C. Referência de Configuração LDAP do OS/390 e z/OS 197
-- **************************
-- Criar a tabela DIR_ENTRY
-- **************************
CREATE TABLE LDAPSRV.DIR_ENTRY (
EID DECIMAL(15 , 0) NOT NULL,
PEID DECIMAL(15 , 0),
ENTRY_SIZE INTEGER,
LEVEL INTEGER,
ACLSRC DECIMAL(15 , 0),
ACLPROP CHAR(1),
OWNSRC DECIMAL(15 , 0),
OWNPROP CHAR(1),
CREATE_TIMESTAMP TIMESTAMP,
MODIFY_TIMESTAMP TIMESTAMP,
DN_TRUNC CHAR(32) FOR BIT DATA,
DN VARCHAR(512) FOR BIT DATA,
ENTRYDATA LONG VARCHAR FOR BIT DATA,
PRIMARY KEY( EID ) )
IN LDAPR10.ENTRYTS;
-- ******************************
-- Criar a tabela DIR_LONGENTRY
-- ******************************
CREATE TABLE LDAPSRV.DIR_LONGENTRY (
EID DECIMAL(15 , 0) NOT NULL,
SEQ INTEGER NOT NULL,
ENTRYDATA LONG VARCHAR FOR BIT DATA,
PRIMARY KEY( EID, SEQ ) )
IN LDAPR10.LENTRYTS;
-- *****************************
-- Criar a tabela DIR_LONGATTR
-- *****************************
CREATE TABLE LDAPSRV.DIR_LONGATTR (
EID DECIMAL(15 , 0) NOT NULL,
ATTR_ID INTEGER NOT NULL,
VALUENUM INTEGER NOT NULL,
SEQ INTEGER NOT NULL,
ATTRDATA LONG VARCHAR FOR BIT DATA,
PRIMARY KEY( EID, ATTR_ID, VALUENUM, SEQ ) )
IN LDAPR10.LATTRTS;
-- *****************************
-- Criar a tabela DIR_MISC
-- *****************************
CREATE TABLE LDAPSRV.DIR_MISC (
NEXT_EID DECIMAL(15 , 0),
NEXT_ATTR_ID INTEGER,
DB_VERSION CHAR(10),
DB_CREATE_VERSION CHAR(10) )
IN LDAPR10.MISCTS;
-- **************************
-- Criar a tabela DIR_CACHE
-- **************************
CREATE TABLE LDAPSRV.DIR_CACHE (
CACHE_NAME CHAR(25) NOT NULL,
MODIFY_TIMESTAMP TIMESTAMP NOT NULL,
PRIMARY KEY( CACHE_NAME, MODIFY_TIMESTAMP ) )
IN LDAPR10.MISCTS;
-- ***************************
-- Criar a tabela DIR_ATTRID
-- ***************************
CREATE TABLE LDAPSRV.DIR_ATTRID (
ATTR_ID INTEGER,
Referência e Configuração LDAP do OS/390 e z/OS
198 IBM Tivoli Access Manager: Guia de Instalação Base
ATTR_NOID VARCHAR(200) NOT NULL,
PRIMARY KEY( ATTR_NOID ) )
IN LDAPR10.MISCTS;
-- *************************
-- Criar a tabela DIR_DESC
-- *************************
CREATE TABLE LDAPSRV.DIR_DESC (
DEID DECIMAL(15 , 0) NOT NULL,
AEID DECIMAL(15 , 0) NOT NULL,
PRIMARY KEY( DEID, AEID ) )
IN LDAPR10.DESCTS;
-- ***************************
-- Criar a tabela DIR_SEARCH
-- ***************************
CREATE TABLE LDAPSRV.DIR_SEARCH (
EID DECIMAL(15 , 0) NOT NULL,
ATTR_ID INTEGER NOT NULL,
VALUE CHAR(32) FOR BIT DATA,
LVALUE LONG VARCHAR FOR BIT DATA )
IN LDAPR10.SEARCHTS;
-- *****************************
-- Criar a tabela DIR_REGISTER
-- *****************************
CREATE TABLE LDAPSRV.DIR_REGISTER (
ID INTEGER NOT NULL,
SRV VARCHAR(125) NOT NULL,
PRIMARY KEY( ID, SRV ) )
IN LDAPR10.MISCTS;
-- *****************************
-- Criar a tabela DIR_PROGRESS
-- *****************************
CREATE TABLE LDAPSRV.DIR_PROGRESS (
ID INTEGER NOT NULL,
PRG VARCHAR(125) NOT NULL,
SRV VARCHAR(125) NOT NULL,
PRIMARY KEY( ID, PRG, SRV ) )
IN LDAPR10.MISCTS;
-- ***************************
-- Criar a tabela DIR_CHANGE
-- ***************************
CREATE TABLE LDAPSRV.DIR_CHANGE (
ID INTEGER NOT NULL,
TYPE INTEGER NOT NULL,
LONGENTRY_SIZE INTEGER,
DIN VARCHAR(512) NOT NULL,
LDIF LONG VARCHAR NOT NULL,
PRIMARY KEY( ID ) )
IN LDAPR10.REPTS;
-- *******************************
-- Criar a tabela DIR_LONGCHANGE
-- *******************************
CREATE TABLE LDAPSRV.DIR_LONGCHANGE (
ID INTEGER NOT NULL,
SEQ INTEGER NOT NULL,
LDIF LONG VARCHAR,
PRIMARY KEY( ID, SEQ ) )
IN LDAPR10.REPTS;
Referência e Configuração LDAP do OS/390 e z/OS
Apêndice C. Referência de Configuração LDAP do OS/390 e z/OS 199
-- ***********************************
-- Consolidar todas as instruções SQL acima
-- ***********************************
COMMIT;
Script de Amostra do Índice DB2 para SPUFI
--*********************************************************************/
--* Este arquivo contém código de amostra. A IBM FORNECE ESTE CÓDIGO */
--* ’COMO SE ENCONTRA’, SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU */
--* IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS*/
--* DE MERCADO OU DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. */
--*********************************************************************/
--
-- Utilize as instruções a seguir para criar seus índices DB2 do Servidor
-- LDAP no SPUFI. Consulte as instruções abaixo para obter mais informações.
--
-- **************************
-- Informações sobre o Proprietário do Banco de Dados
-- **************************
-- Altere o LDAPSRV para o ID do proprietário do banco de dados MVS. Esse ID será o
-- qualificador de alto nível para as tabelas. Esse valor deve corresponder ao
-- valor escolhido no script de área de tabela e banco de dados DB2 do Servidor LDAP
-- no SPUFI.
--
-- *************************
-- Informações sobre o Grupo de Armazenamento
-- *************************
-- Altere o SYSDEFLT para o grupo de armazenamento que deverá conter os
-- índices DB2 do LDAP. Utilize SYSDEFLT para escolher o grupo de
armazenamento padrão.
-- NOTA: Os valores fornecidos abaixo para PRIQTY e SECQTY provavelmente
precisarão
-- ser modificados dependendo do tamanho projetado das informações de Diretório
-- a serem armazenadas.
--
-- *************************
-- Informações Diversas
-- *************************
-- Todos os índices foram definidos como DEFER YES, o que significa que precisam
-- ser recuperados em algum ponto. É recomendável fazer a recuperação depois que
-- o banco de dados tiver sido ocupado por bancos de dados com grandes quantidades
-- de dados. O uso desta opção é estritamente opcional.
--
-- Para NÃO utilizar a opção DEFER YES, simplesmente remova o DEFER YES
globalmente.
--
-- ****************************
-- Criar os índices DIR_ENTRY
-- ****************************
CREATE UNIQUE INDEX LDAPSRV.DIR_ENTRYX0 ON LDAPSRV.DIR_ENTRY( EID )
USING STOGROUP SYSDEFLT
DEFER YES;
CREATE INDEX LDAPSRV.DIR_ENTRYX1 ON LDAPSRV.DIR_ENTRY( PEID, EID )
USING STOGROUP SYSDEFLT
DEFER YES;
CREATE INDEX LDAPSRV.DIR_ENTRYX2 ON LDAPSRV.DIR_ENTRY( EID, DN_TRUNC )
USING STOGROUP SYSDEFLT
DEFER YES;
CREATE INDEX LDAPSRV.DIR_ENTRYX3 ON LDAPSRV.DIR_ENTRY( DN_TRUNC, EID )
USING STOGROUP SYSDEFLT
DEFER YES;
-- ********************************
Referência e Configuração LDAP do OS/390 e z/OS
200 IBM Tivoli Access Manager: Guia de Instalação Base
-- Criar os índices DIR_LONGENTRY
-- ********************************
CREATE UNIQUE INDEX LDAPSRV.DIR_LONGENTRYX1
ON LDAPSRV.DIR_LONGENTRY( EID, SEQ )
USING STOGROUP SYSDEFLT
DEFER YES;
-- *******************************
-- Criar os índices DIR_LONGATTR
-- *******************************
CREATE UNIQUE INDEX LDAPSRV.DIR_LONGATTRX1
ON LDAPSRV.DIR_LONGATTR( EID, ATTR_ID, VALUENUM, SEQ )
USING STOGROUP SYSDEFLT
DEFER YES;
-- ****************************
-- Criar os índices DIR_CACHE
-- ****************************
CREATE UNIQUE INDEX LDAPSRV.DIR_CACHEX1
ON LDAPSRV.DIR_CACHE( CACHE_NAME, MODIFY_TIMESTAMP )
USING STOGROUP SYSDEFLT
DEFER YES;
-- *****************************
-- Criar os índices DIR_ATTRID
-- *****************************
CREATE UNIQUE INDEX LDAPSRV.DIR_ATTRIDX1
ON LDAPSRV.DIR_ATTRID( ATTR_NOID )
USING STOGROUP SYSDEFLT
DEFER YES;
-- ***************************
-- Criar os índices DIR_DESC
-- ***************************
CREATE UNIQUE INDEX LDAPSRV.DIR_DESCX1
ON LDAPSRV.DIR_DESC( DEID, AEID )
USING STOGROUP SYSDEFLT
DEFER YES;
-- *****************************
-- Criar os índices DIR_SEARCH
-- *****************************
CREATE INDEX LDAPSRV.DIR_SEARCHX1
ON LDAPSRV.DIR_SEARCH( ATTR_ID, VALUE, EID )
USING STOGROUP SYSDEFLT
DEFER YES;
CREATE INDEX LDAPSRV.DIR_SEARCHX2
ON LDAPSRV.DIR_SEARCH( EID, ATTR_ID )
USING STOGROUP SYSDEFLT CLUSTER
DEFER YES;
-- *******************************
-- Criar os índices DIR_REGISTER
-- *******************************
CREATE UNIQUE INDEX LDAPSRV.DIR_REGISTERX1
ON LDAPSRV.DIR_REGISTER( ID, SRV )
USING STOGROUP SYSDEFLT
DEFER YES;
-- *******************************
-- Criar os índices DIR_PROGRESS
-- *******************************
CREATE UNIQUE INDEX LDAPSRV.DIR_PROGRESSX1
ON LDAPSRV.DIR_PROGRESS( ID, PRG, SRV )
USING STOGROUP SYSDEFLT
DEFER YES;
Referência e Configuração LDAP do OS/390 e z/OS
Apêndice C. Referência de Configuração LDAP do OS/390 e z/OS 201
-- *****************************
-- Criar os índices DIR_CHANGE
-- *****************************
CREATE UNIQUE INDEX LDAPSRV.DIR_CHANGEX1 ON LDAPSRV.DIR_CHANGE( ID )
USING STOGROUP SYSDEFLT
DEFER YES;
-- *********************************
-- Criar os índices DIR_LONGCHANGE
-- *********************************
CREATE UNIQUE INDEX LDAPSRV.DIR_LONGCHANGEX1
ON LDAPSRV.DIR_LONGCHANGE( ID, SEQ )
USING STOGROUP SYSDEFLT
DEFER YES;
-- ***********************************
-- Consolidar todas as instruções SQL acima
-- ***********************************
COMMIT;
Job Batch de Ligação CLI de Amostra
//DSNTIJCL JOB (DB2),
// ’PGMRNAME’,
// CLASS=A,MSGCLASS=H,MSGLEVEL=(1,1),
// REGION=4M
//*
//*********************************************************************/
//* Este arquivo contém código de amostra. A IBM FORNECE ESTE CÓDIGO */
//* ’COMO SE ENCONTRA’, SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU */
//* IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS*/
//* DE MERCADO OU DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. */
//*********************************************************************/
//*********************************************************************/
//* NOME DO JOB = DSNTIJCL */
//* NOME DESCRITIVO = FLUXO DO JOB DE INSTALAÇÃO */
//* MATERIAIS LICENCIADOS - PROPRIEDADE DA IBM */
//* 5655-DB2 */
//* (C) COPYRIGHT 1982, 1997 IBM CORP. TODOS OS DIREITOS RESERVADOS.*/
//* STATUS = VERSÃO 5 */
//* FUNÇÃO = LIGAÇÃO DE CLI DE AMOSTRA */
//* PSEUDOCÓDIGO = BINDCLI PLANO E PACOTES PADRÃO DE CLI DE LIGAÇÃO */
//* DA ETAPA */
//* DEPENDÊNCIAS = A CLI DEVE ESTAR INSTALADA */
//* O MEMBRO DSNCLIQR SÓ PODE SER LIGADO COM ÊXITO AOS SERVIDORES */
//* DRDA QUE SUPORTAM O SQL DO CONJUNTO DE RESULTADOS DA CONSULTA */
//* (ISTO É, DESCREVER PROCEDIMENTO). */
//* ATUAL, OU SEJA, DB2 PARA OS/390 V5. */
//* */
//* NOTAS = */
//* ANTES DE EXECUTAR ESTE JOB: */
//* - ALTERE TODAS AS OCORRÊNCIAS DE DSN5 PARA O PREFIXO DE SEU */
//* CONJUNTO DE DADOS SDSNLOAD E SDSNDBRM DO DB2 V5.1 */
//* - ALTERE A INSTRUÇÃO SYSTEM(DSN5) */
//* PARA CORRESPONDER AO SSID DO DB2 V5.1 */
//* */
//* A CLI PODE SER LIGADA A SERVIDORES REMOTOS INCLUINDO O NOME DA */
//* */
//* PARA SERVIDORES REMOTOS DIFERENTES DO DB2 PARA OS/390, INCLUA */
//* TAMBÉM AS INSTRUÇÕES BIND PACKAGE MEMBER, LISTADAS ABAIXO, */
//* COM BASE NO TIPO DE SERVIDOR: */
//* BIND PACKAGE (<NOME COMUM DA LOCALIZAÇÃO DO SERVIDOR V1>.
DSNAOCLI) - */
//* MEMBER(DSNCLIV1) */
//* BIND PACKAGE (<NOME COMUM DA LOCALIZAÇÃO DO SERVIDOR V2>.
Referência e Configuração LDAP do OS/390 e z/OS
202 IBM Tivoli Access Manager: Guia de Instalação Base
DSNAOCLI) - */
//* MEMBER(DSNCLIV2) */
//* BIND PACKAGE (<NOME DA LOCALIZAÇÃO DO AS400>.DSNAOCLI) - */
//* MEMBER(DSNCLIAS) */
//* BIND PACKAGE (<NOME DA LOCALIZAÇÃO DO SQLDS>.DSNAOCLI) - */
//* MEMBER(DSNCLIVM) */
//* INCLUA TAMBÉM QUAISQUER NOMES DE PACOTES INCLUÍDOS NA PALAVRA-CHAVE
PKLIST DA */
//* INSTRUÇÃO BIND PLAN APÓS AS INSTRUÇÕES BIND PACKAGE. */
//* */
//*********************************************************************/
//JOBLIB DD DISP=SHR,
// DSN=DB2710.SDSNLOAD
//BINDCLI EXEC PGM=IKJEFT01,DYNAMNBR=20
//DBRMLIB DD DISP=SHR,
// DSN=DB2710.SDSNDBRM
//SYSTSPRT DD SYSOUT=*
//SYSPRINT DD SYSOUT=*
//SYSUDUMP DD SYSOUT=*
//SYSTSIN DD *
DSN SYSTEM(DSN5)
BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLICS) ISOLATION(CS)
BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLINC) ISOLATION(NC)
BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIRR) ISOLATION(RR)
BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIRS) ISOLATION(RS)
BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIUR) ISOLATION(UR)
BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIC1)
BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIC2)
BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIF4)
BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIMS)
BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIQR)
BIND PLAN(DSNACLI) -
PKLIST(DSNAOCLI.DSNCLICS -
DSNAOCLI.DSNCLINC -
DSNAOCLI.DSNCLIRR -
DSNAOCLI.DSNCLIRS -
DSNAOCLI.DSNCLIUR -
DSNAOCLI.DSNCLIC1 -
DSNAOCLI.DSNCLIC2 -
DSNAOCLI.DSNCLIF4 -
DSNAOCLI.DSNCLIMS -
DSNAOCLI.DSNCLIQR )
END
/*
Arquivo de Inicialização de CLI de Amostra
; Esta é uma linha de comentário...
;/*********************************************************************/
;/* Este arquivo contém código de amostra. A IBM FORNECE ESTE CÓDIGO */
;/* ’COMO SE ENCONTRA’, SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU */
;/* IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS*/
;/* DE MERCADO OU DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. */
;/*********************************************************************/
; Sub-rotina COMMON de exemplo
;
; A opção MVSDEFAULTSSID indica qual subsistema DB2
; deve ser utilizado para interagir com
; tabelas DB2. Este valor depende da instalação.
; Para este exemplo, será utilizado o DSN5.
[COMMON]
MVSDEFAULTSSID=DSN5
; Sub-rotina SUBSYSTEM de exemplo para o subsistema DSN5
Referência e Configuração LDAP do OS/390 e z/OS
Apêndice C. Referência de Configuração LDAP do OS/390 e z/OS 203
;
; NOTA: a opção PLANNAME abaixo deve corresponder ao
; nome do plano que foi especificado ao executar o
; job batch DSNTIJCL para criar o plano. Para este
; exemplo, será utilizado o DSNACLI.
[DSN5]
;MVSATTACHTYPE=CAF
MVSATTACHTYPE=RRSAF
PLANNAME=DSNACLI
; Sub-rotina DATA SOURCE de exemplo
;
; O nome de DATA SOURCE depende da instalação.
; Para este exemplo, será utilizado o LOC1.
[LOC1]
AUTOCOMMIT=0
CONNECTTYPE=1
Referência e Configuração LDAP do OS/390 e z/OS
204 IBM Tivoli Access Manager: Guia de Instalação Base
Apêndice D. Critérios Comuns
Um sistema avaliado por CC (Critérios Comuns) é um sistema que foi avaliado de
acordo com os Critérios Comuns, um padrão ISO reconhecido internacionalmente
(ISO 15408) para a avaliação segura de produtos TI. O IBM Tivoli Access Manager,
Versão 4.1 com fix pack 5 instalado, contém a tecnologia para atender aos
requisitos do nível de segurança CC EAL3+. A configuração do sistema que atende
a esses requisitos é referida neste guia como um sistema avaliado por CC.
Nota: Para obter as últimas atualizações neste apêndice, incluindo status de
certificação e plataformas utilizadas na avaliação CC, consulte o arquivo
leia-me do IBM Tivoli Access Manager, Versão 4.1, fix pack 5.
A avaliação foi executada na configuração específica descrita nesta seção. A
alteração nessa configuração leva a um sistema não avaliado. Isso, no entanto, não
significa que a segurança do sistema será reduzida. Significa apenas que essa
configuração personalizada não é coberta pela avaliação.
Essa apêndice explica as restrições de um sistema que precisa atender aos
requisitos de uma avaliação CC. O sistema IBM Tivoli Access Manager, Versão 4.1,
avaliado por CC inclui os seguintes sistemas Tivoli Access Manager:
Servidor de critério (pdmgrd)
com os seguintes componentes instalados:
v Tempo de execução do Tivoli Access Manager
v Servidor de critério do Tivoli Access Manager
v IBM Directory Client
v GSKit (IBM Global Security Kit)
Servidor WebSEAL (webseald)
com os seguintes componentes instalados:
v Tempo de execução do Tivoli Access Manager
v Servidor Tivoli Access Manager WebSEAL
v IBM Directory Client
v GSKit (IBM Global Security Kit)
As seguintes seções descrevem a forma como esses componentes e o ambiente
operacional devem ser configurados para obter um sistema compatível com CC.
Critério de Segurança para Tivoli Access Manager
A configuração CC do Tivoli Access Manager é baseada em um critério de
segurança que deve ser respeitado para obter e manter uma operação segura.
Critério de Segurança Base
Os sistemas devem ser instalados e operados em instalações controladas por acesso
às quais apenas administradores autorizados têm acesso. As plataformas em que os
componentes do servidor Tivoli Access Manager são executados devem ser
protegidas de acordo, permitindo acesso apenas a administradores autorizados.
© Copyright IBM Corp. 2001, 2003 205
A seguir há uma lista não exclusiva de instruções de critérios de segurança, que
deve ser preenchida para operar o Tivoli Access Manager de uma forma
compatível com CC.
v Apenas usuários autorizados a trabalhar com as informações nos sistemas
recebem IDs de usuário no sistema.
v Os administradores e usuários devem utilizar senhas de alta qualidade (o mais
aleatórias possível e não afiliadas ao usuário ou à organização).
v Os usuários e administradores não devem divulgar suas senhas para outras
pessoas.
v Os administradores devem ser confiáveis e trabalhar de acordo com a orientação
fornecida pela documentação do sistema.
v As senhas geradas pelos administradores aos usuários do sistema devem ser
transmitidas de uma forma segura aos usuários.
v Um administrador que utiliza um terminal ou estação de trabalho remota para
conectar-se ao servidor de critério para administração precisa garantir que o
terminal ou a estação de trabalho remota esteja em um ambiente seguro e
gerenciado com segurança. O gerenciamento é executado configurando-se uma
conexão segura para comunicar-se com o sistema operacional no servidor de
critério. Nele, o administrador chama a interface da linha de comandos pdadmin
e se autentica.
Critério de Segurança do Sistema
Além do critério de segurança base descrito em “Critério de Segurança Base” na
página 205, os sistemas e redes utilizados para operar o Tivoli Access Manager
precisam preencher instruções de critério da seguinte forma:
v As máquinas nas quais o Tivoli Access Manager é implementado devem ser
máquinas do Tivoli Access Manager dedicadas. (Os aplicativos do Tivoli Access
Manager devem ser os únicos aplicativos em execução nos sistemas operacionais
subjacentes).
Nota: Todos os serviços do sistema operacional devem ser desativados,
especialmente serviços em rede que são não essenciais para execução,
gerenciamento e administração do Tivoli Access Manager.
v O sistema operacional deve ser configurado por pessoal treinado e confiável.
v O sistema operacional deve fornecer uma hora exata para os aplicativos do
Tivoli Access Manager.
v Os arquivos de configuração e os arquivos de log/auditoria do Tivoli Access
Manager devem ser protegidos através de mecanismos de controle de acesso do
sistema operacional.
v O acesso ao LDAP deve ser configurado através do SSL, Versão 3, ou TLS,
Versão 1.
v O servidor LDAP deve executar identificação e autenticação do usuário além de
executar controle de acesso nas entradas que fornece.
As questões adicionais sobre gerenciamento e administração e os mecanismos dos
sistemas operacionais subjacentes estão fora do escopo deste apêndice.
Critério de Rede do Tivoli Access Manager
A seguinte lista descreve o perfil de comunicação de cada componente. Esse perfil
de comunicação deve ser reforçado pelo ambiente de rede para operar o Tivoli
Access Manager de uma forma segura.
Critérios Comuns
206 IBM Tivoli Access Manager: Guia de Instalação Base
Geralmente, as redes precisam ser configuradas de uma forma que o WebSEAL seja
o ponto de reforço para o critério de acesso de recursos. Isso significa que não há
outra forma para um usuário acessar os recursos protegidos pelo Tivoli Access
Manager. Os mecanismos de gerenciamento e administração do sistema
operacional devem estar de acordo com essa regra.
v Servidor de critério (pdmgrd)
– Comunicação do Tivoli Access Manager
– LDAP para o registrov Servidor WebSEAL (webseald)
– Para usuários externos, apenas HTTPS
– HTTPS para recursos backend
– Comunicação do Tivoli Access Manager para autorização, replicação de banco
de dados, gerenciamento e auditoria
– LDAP para o registro
O seguinte diagrama fornece uma visão geral do critério de rede:
Nota: Esse critério não implica qualquer configuração de rede específica. De
acordo com as melhores práticas, as interfaces de rede internas e externas
devem ser claramente separadas, produzindo acesso HTTPS apenas para
usuários externos. Qualquer outro serviço de rede não deve ser acessível a
partir de redes externas.
Suposições sobre o Comportamento de Usuários
Cada sistema seguro tem áreas nas quais sua segurança se baseia em uma
suposição (e, portanto, confia). A segurança do Tivoli Access Manager baseia-se nas
seguintes suposições com relação ao comportamento de usuários externos:
v A geração de chave criptográfica no lado do cliente é executada de forma
segura, produzindo dessa forma chaves criptográficas sólidas.
v As chaves privadas do usuário utilizadas para autenticação e troca de chaves
com o Tivoli Access Manager são armazenadas de forma segura e protegidas
contra uso e acesso não autorizados.
Critérios Comuns
Apêndice D. Critérios Comuns 207
v Usuários que não são hostis e tentam atacar deliberadamente as funções de
segurança (ou seja, eles tentam enganar o critério do sistema). Eles também
protegem com cuidado suas informações de segurança dentro de seus ambientes
operacionais.
Se qualquer uma dessas suposições não for verdadeira, o administrador deve estar
ciente de que o acesso em nome do usuário em questão é possível, porque qualquer
intruso pode fazer-se passar pelo usuário com êxito.
Instalação e Configuração Compatíveis com a Avaliação CC
A avaliação CC abrange opções de configuração de segurança listadas apenas neste
apêndice. Os requisitos de instalação e configuração são os seguintes:
v Assegure-se de que esteja utilizando sistemas ″limpos″ que não tenham versões
anteriores do Tivoli Access Manager instaladas. Você não tem permissão para
fazer o upgrade de um release anterior ao fix pack atual e, em seguida, utilizar
esse sistema no qual foi feito o upgrade como uma base para uma configuração
avaliada.
v Os sistemas pdmgrd e webseald devem ser instalados em máquinas separadas.
v Os componentes do Tivoli Access Manager foram avaliados utilizando o mesmo
sistema operacional. As configurações mistas não foram avaliadas, por exemplo,
pdmgrd e webseald foram instalados em máquinas AIX.
v O WPM (Web Portal Manager) não é suportado na configuração avaliada.
Apenas a interface da linha de comandos pdadmin e a API do C são suportadas.
v Apenas o LDAP é suportado para acesso ao servidor de diretório. O Active
Directory ou outros protocolos não são suportados.
v As réplicas do LDAP não são suportadas.
v Os dispositivos de criptografia de hardware não são suportados.
v Apenas o suporte ao idioma inglês foi avaliado.
v Apenas programas de instalação fácil são suportados para a configuração
avaliada por CC.
v Todos os sistemas WebSEAL são configurados para operar independentemente
uns dos outros e são conectados apenas ao servidor de critério central. Portanto,
as configurações de equilíbrio de carga e failover dos sistemas WebSEAL não são
suportadas na configuração avaliada.
Instalando o Tivoli Access Manager
A instalação compatível com CC dos componentes do Tivoli Access Manager base
está descrita neste guia; a instalação de componentes do WebSEAL está descrita no
IBM Tivoli Access Manager WebSEAL - Guia de Instalação.
Após a instalação dos componentes do Tivoli Access Manager, serão necessárias
etapas adicionais de configuração para se obter um estado compatível com CC.
Atenção
As etapas descritas são especificadas como um delta para a configuração
padrão da instalação de componentes do Tivoli Access Manager. Se forem
feitas quaisquer outras alterações na configuração padrão, o sistema não manterá
mais a configuração avaliada.
Critérios Comuns
208 IBM Tivoli Access Manager: Guia de Instalação Base
Protegendo o WebSEAL
As informações avaliadas suportam apenas acesso HTTPS ao WebSEAL. As
seguintes diretivas de configuração no webseald.conf asseguram isto:
[server]
http = no
https = yes
É recomendado, mas não requerido, que o WebSEAL utilize a porta HTTPS padrão,
como segue:
[server]
https-port = 443
A configuração avaliada não inclui o SSL, Versão 2; apenas o SSL, Versão 3, e o
TLS, Versão 1, são suportados:
[ssl]
disable-ssl-v2 = yes
disable-ssl-v3 = no
disable-tls-v1 = no
Nota: As conexões do WebSEAL aos servidores backend devem ser baseadas no
SSL (SSL, Versão 3 ou TLS, Versão 1). O WebSEAL não regrava os URLs de
acordo com os campos de junção quando SSL e não-SSL estão misturados.
Configurando Mecanismos de Autenticação do WebSEAL
A configuração avaliada restringe o uso de um mecanismo de autenticação do
usuário para o seguinte subconjunto:
v Autenticação baseada em certificado
v ID do usuário e senha baseados na autenticação
Portanto, os seguintes parâmetros de configuração precisam ser definidos no
webseald.conf:
[ba]
ba-auth = https
[forms]
forms-auth = https
[certificate]
accept-client-certs = optional
[authentication-mechanisms]
cert-ssl = ssl_client_side_certificate_authentication_library
Selecionando os Conjuntos de Codificação Suportados
Os seguintes conjuntos de codificação do SSL, Versão 3 / TLS, Versão 1, devem ser
utilizados na configuração avaliada:
v SSL_RSA_WITH_RC4_128_SHA
v SSL_RSA_WITH_RC4_128_SHA
v SL_RSA_WITH_3DES_EDE_CBC_SHA
Os seguintes parâmetros devem ser definidos no webseald.conf:
[ssl-qop-mgmt-default]
default = RC4-128
default = DES-168
Critérios Comuns
Apêndice D. Critérios Comuns 209
Configurando a Auditoria
O mecanismo do log de eventos permite vários destinos para as entradas de log e
auditoria.
No webseald ou pdmgrd, as seguintes entradas devem ser colocadas no arquivo
de configuração:
logcfg = audit.azn: file=audit_file,\
log_id=audit,\
flush_interval=1,\
rollover=size=-10000000,\
buffer_size=0,\
queue_size=1,\
hi_water=1
logcfg = audit.authn:file log_id=audit
logcfg = audit.mgmt:file log_id=audit
logcfg = audit.http:file log_id=audit
em que audit_file é o caminho completo do arquivo de log de auditoria.
Esse exemplo envia todos os eventos de auditoria de todas as categorias de
auditoria para um único arquivo de log de auditoria. O arquivo aumentará até
10.000.000 bytes ou ficará com 24 horas a mais (no máximo) antes de um novo
arquivo de log ser criado. A data e hora são anexados ao arquivo antigo.
O administrador precisa assegurar que sempre haja espaço suficiente no sistema de
arquivos no qual a trilha de auditoria foi gravada. Este exemplo cria uma trilha de
auditoria para todas as superclasses que suportam auditoria.
Outras Funções do WebSEAL
Para assegurar que nenhuma funcionalidade indesejada seja desativada, os
seguintes parâmetros devem ser alterados:
[ltpa]
ltpa-cache-enabled = no
Critério de Login
Para estar em conformidade com os requisitos de CC, utilize o comando pdadmin
para alterar o critério de login padrão para IDs do usuário e administrativos, como
segue:
policy set max-login-failures 3
Isso assegura que o critério de login seja aplicado após três tentativas falhas
consecutivas e não após dez tentativas (o padrão). Observe que você não precisa
alterar a penalidade padrão de 180 segundos.
Nota: Mais de uma instância do servidor WebSEAL pode ser configurada por vez.
Cada instância apresenta um ponto de entrada adicional através do qual um
intruso pode adivinhar senhas. Quando há um grande número de instâncias
configuradas, deve se ter cuidado para manter níveis ótimos para segurança
de senha. Nesses casos, outras definições de segurança do WebSEAL devem
ser ajustadas. Por exemplo, o aumento da penalidade padrão para tentativas
falhas consecutivas aumenta muito o tempo necessário para um intruso
conduzir um forte ataque à senha.
A avaliação CC incluiu duas instâncias do WebSEAL. Para manter uma
configuração CC quando as definições de segurança do WebSEAL não são
Critérios Comuns
210 IBM Tivoli Access Manager: Guia de Instalação Base
modificadas a partir dos valores especificados neste apêndice, é
recomendado não adicionar mais do que quatro instâncias do WebSEAL.
Para obter informações adicionais sobre as definições de segurança do
WebSEAL, consulte o IBM Tivoli Access Manager WebSEAL Administration
Guide.
Critério de Senha
Para estar em conformidade com os requisitos de CC, utilize o comando pdadmin
para alterar o critério de senha padrão, como segue:
policy set password-spaces no
Gerenciamento de Chave Criptográfica
A avaliação do Tivoli Access Manager também abrange o processo de geração de
chave criptográfica. Isso significa que os status de segurança das chaves, que são
geradas pelos utilitários do Tivoli Access Manager (mgrsslcfg, bassslcfg e
svrsslcfg), foram verificados. Observe que os certificados gerados pelo usuário (por
exemplo, para o certificado do servidor WebSEAL) devem ter pelo menos um
comprimento de chave de 1024 bits. Para obter informações adicionais sobre o
gerenciamento de certificados do WebSEAL, consulte o IBM Tivoli Access Manager
WebSEAL Administration Guide.
Arquivos de Configuração Compatíveis com CC
Os seguintes arquivos de configuração foram utilizados na avaliação CC do Tivoli
Access Manager. Para obter descrições desses arquivos, incluindo informações de
sub-rotina e parâmetros, consulte o IBM Tivoli Access Manager Base Administrator’s
Guide. Para o arquivo webseald.conf, consulte o IBM Tivoli Access Manager
WebSEAL Administrator’s Guide.
v ivmgrd.conf
v ldap.conf
v pd.conf
v webseald.conf
Critérios Comuns
Apêndice D. Critérios Comuns 211
Critérios Comuns
212 IBM Tivoli Access Manager: Guia de Instalação Base
Apêndice E. Avisos
Estas informações foram desenvolvidas para produtos e serviços oferecidos nos
Estados Unidos. É possível que a IBM não ofereça os produtos, serviços ou
recursos discutidos nesse documento em outros países. Consulte um representante
IBM local para obter informações sobre produtos e serviços disponíveis atualmente
em sua área. Qualquer referência a produtos, programas ou serviços IBM não
significa que apenas produtos, programas ou serviços IBM possam ser utilizados.
Qualquer produto, programa ou serviço funcionalmente equivalente, que não
infrinja nenhum direito de propriedade intelectual da IBM, poderá ser utilizado em
substituição a este produto, programa ou serviço. Entretanto, é de responsabilidade
do usuário, a avaliação e verificação da operação de qualquer produto, programa
ou serviço que não seja da IBM.
A IBM pode ter patentes ou solicitações de patentes pendentes relativas a assuntos
tratados nesta publicação. O fornecimento desta publicação não lhe garante direito
algum sobre tais patentes. Consultas sobre licenças devem ser enviadas, por
escrito, para:
Gerência de Relações Comerciais e Industriais da IBM Brasil.
Av. Pasteur 138/146 - Botafogo
Rio de Janeiro - RJ
CEP: 22290-240
Para pedidos de licença relacionados a informações de DBCS (byte duplo), entre
em contato com o Departamento de Propriedade Intelectual da IBM em seu país
ou envie pedidos de licença, por escrito, para:
IBM World Trade Asia CorporationLicensing2-31 Roppongi 3-chome,
Minato-kuTokyo 106, Japan
O parágrafo a seguir não se aplica a nenhum país em que tais disposições não
estejam de acordo com a legislação local: A INTERNATIONAL BUSINESS
MACHINES CORPORATION FORNECE ESTA PUBLICAÇÃO ″NO ESTADO EM
QUE SE ENCONTRA″, SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA
OU IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS
IMPLÍCITAS DE NÃO-VIOLAÇÃO, MERCADO OU ADEQUAÇÃO A UM
DETERMINADO PROPÓSITO. Alguns países não permitem a exclusão de
garantias expressas ou implícitas em certas transações; portanto, esta disposição
pode não se aplicar ao Cliente.
Estas informações podem conter imprecisões técnicas ou erros tipográficos. São
realizadas alterações periódicas nas informações aqui contidas; estas alterações
serão incorporadas em novas edições da publicação. A IBM pode executar
melhorias e/ou alterações no(s) produto(s) e/ou programa(s) descritos nesta
publicação, a qualquer momento, sem aviso prévio.
Referências nestas informações a Web sites não IBM são fornecidas apenas por
conveniência e não representam de forma alguma um endosso a estes Web sites. O
material nestes Web sites não faz parte do material para este produto IBM e a
utilização destes Web sites é de sua inteira responsabilidade.
A IBM pode utilizar ou distribuir as informações fornecidas da forma que julgar
apropriada sem incorrer em qualquer obrigação para com o Cliente.
© Copyright IBM Corp. 2001, 2003 213
Licenciados deste programa que desejam obter informações sobre este assunto com
objetivo de permitir: (i) a troca de informações entre programas criados
independentemente e outros programas (incluindo este) e (ii) a utilização mútua
das informações trocadas, devem entrar em contato com:
Gerência de Relações Comerciais e Industriais da IBM Brasil
Av. Pasteur, 138/146 - Botafogo
Rio de Janeiro, RJ
CEP: 22290-240
Tais informações podem estar disponíveis, sujeitas a termos e condições
apropriadas, incluindo em alguns casos, pagamento de uma taxa.
O programa licenciado descrito neste documento e todo o material licenciado
disponível são fornecidos pela IBM sob os termos do Contrato com o Cliente IBM,
do Contrato de Licença do Programa Internacional IBM ou de qualquer outro
contrato equivalente.
As informações sobre produtos não-IBM foram obtidas junto aos fornecedores dos
respectivos produtos, de seus anúncios publicados ou de outras fontes disponíveis
publicamente. A IBM não testou estes produtos e não pode confirmar a precisão de
do desempenho, da compatibilidade ou de qualquer outra reivindicação
relacionada a produtos não-IBM. Dúvidas sobre a capacidade de produtos não-IBM
devem ser encaminhadas diretamente a seus fornecedores.
Todas as declarações relacionadas aos objetivos e intenções futuras da IBM estão
sujeitas a alterações ou cancelamento sem aviso prévio e representam apenas metas
e objetivos.
Estas informações contém exemplos de dados e relatórios utilizados em operações
de negócios diárias. Estas informações contêm exemplos de dados e relatórios
utilizados nas operações diárias de negócios. Todos estes nomes são fictícios e
qualquer semelhança com os nomes e endereços utilizados por um empresa real é
inteira coincidência.
LICENÇA DE COPYRIGHT:
Estas informações contêm exemplos de programas aplicativos na linguagem fonte,
ilustrando as técnicas de programação em diversas plataformas operacionais. Você
pode copiar, modificar e distribuir estes exemplos de programas sem a necessidade
de pagar a IBM, com objetivos de desenvolvimento, utilização, marketing ou
distribuição de programas aplicativos em conformidade com a interface de
programação do aplicativo para a plataforma operacional para a qual os programas
de exemplo são criados. Estes exemplos não foram testados completamente em
todas as condições. Portanto, a IBM não pode garantir ou implicar a confiabilidade,
manutenção ou função destes programas. Você pode copiar, modificar e distribuir
estes exemplos de programas de qualquer maneira sem pagamento à IBM, com
objetivos de desenvolvimento, utilização, marketing ou distribuição de programas
aplicativos em conformidade com interfaces de programação de aplicativos da
IBM.
Cada cópia ou parte deste exemplo de programas ou qualquer trabalho derivado
deve incluir um aviso de copyright com os dizeres:
© (nome da empresa) (ano). Partes deste código são derivadas do Exemplo de
Programas da IBM Corp. Programas de Exemplos. © Copyright IBM Corp. _digite
o ano ou os anos_. Todos os direitos reservados.
214 IBM Tivoli Access Manager: Guia de Instalação Base
Se estas informações estiverem sendo exibidas em cópia eletrônica, as fotografias e
ilustrações coloridas podem não aparecer.
Alguns códigos distribuídos com este produto são de terceiros, os quais podem
possuir termos de licença alternativos. Estes termos estão reproduzidos abaixo.
Licença do Kit de Ferramentas do XML Parser
Copyright © 1998, 1999, 2000 Thai Open Source Software Center Ltd
A permissão está contida por meio deste documento, sem necessidade de
pagamento, a qualquer pessoa que obtenha uma cópia deste software e arquivos
de documentação associados (o ″Software″), para utilizar o Software sem restrição,
incluindo não limitação aos direitos de utilizar, copiar, modificar, mesclar, publicar,
distribuir, sublicenciar e/ou vender cópias do Software e permitir a pessoas as
quais o Software for fornecido a fazer isso, sujeitos às seguintes condições:
O aviso de copyright acima e o aviso de permissão devem estar incluídos em todas
as cópias ou partes substanciais do Software.
O SOFTWARE É FORNECIDO ″NO ESTADO EM QUE SE ENCONTRA″, SEM
GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO,
MAS NÃO SE LIMITANDO ÀS GARANTIAS DE NÃO-VIOLAÇÃO, MERCADO
OU ADEQUAÇÃO A UM DETERMINADO PROPÓSITO.
EM NENHUM CASO DEVERÃO OS AUTORES OU OS DETENTORES DE
COPYRIGHT SEREM RESPONSABILIZADOS POR QUALQUER
REIVINDICAÇÃO, DANOS OU QUALQUER OUTRO TIPO DE
RESPONSABILIDADE, SEJA ELA CAUSADA POR AÇÃO DE CONTRATO,
NEGLIGÊNCIA OU QUALQUER OUTRA FORMA, EM DECORRÊNCIA DA
CONEXÃO COM O SOFTWARE OU DA UTILIZAÇÃO OU OUTRAS
TRANSAÇÕES NO SOFTWARE.
Licença do Módulo de Autenticação que Pode Ser Conectado
Copyright © 1995 da Red Hat Software, Marc Ewing Copyright (c) 1996-8, Andrew
G. Morgan <[email protected]>
Todos os direitos reservados
Redistribuição e utilização em código e formas binárias, com ou sem modificação,
são permitidos desde que as seguintes condições sejam respeitadas:
1. Redistribuições do código devem reter o aviso de copyright acima e o aviso de
permissão na sua íntegra, incluindo a renúncia de garantias.
2. Redistribuições na forma binária devem reproduzir o aviso de copyright acima,
a lista de condições e a renúncia acompanhante na documentação e/ou em
outros materiais fornecidos com a distribuição.
3. O nome do autor não pode ser utilizado para endossar ou promover produtos
derivados deste software sem prévia permissão específica por escrito.
O SOFTWARE É FORNECIDO ″NO ESTADO EM QUE SE ENCONTRA″, SEM
GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO,
MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE MERCADO OU
ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. EM NENHUM CASO
DEVERÁ O AUTOR SER RESPONSABILIZADO POR NENHUM DANO DIRETO,
Apêndice E. Avisos 215
INDIRETO, ACIDENTAL, ESPECIAL, EXEMPLAR OU CONSEQÜENCIAL
(INCLUINDO, MAS NÃO SE LIMITANDO A, COMPRA DE BENS OU SERVIÇOS
SUBSTITUTOS; PERDA DE UTILIZAÇÃO, DADOS OU LUCROS; OU
INTERRUPÇÃO DE NEGÓCIOS) NÃO OBSTANTE CAUSADOS NA TEORIA DE
RESPONSABILIDADE, SEJA EM CONTRATO, RESPONSABILIDADE RESTRITA
OU DELITO (INCLUINDO NEGLIGÊNCIA OU QUALQUER OUTRO TIPO)
DECORRENTE DA UTILIZAÇÃO DESTE SOFTWARE, MESMO SE ADVERTIDO
SOBRE A POSSIBILIDADE DE TAL DANO.
Servlet do Apache Axis
Copyright ©2002 The Apache Software Foundation. Todos os direitos reservados.
Redistribuição e utilização em código e formas binárias, com ou sem modificação,
são permitidos desde que as seguintes condições sejam respeitadas:
1. Redistribuições do código-fonte devem manter o aviso de copyright acima, essa
lista de condições e a renúncia acompanhante.
2. Redistribuições na forma binária devem reproduzir o aviso de copyright acima,
a lista de condições e a renúncia acompanhante na documentação e/ou em
outros materiais fornecidos com a distribuição.
3. A documentação do usuário final incluída com a redistribuição, se houver, deve
incluir a seguinte confirmação: ″Este produto inclui software desenvolvido pela
Apache Software Foundation (http://www.apache.org/).″ Alternativamente,
essa confirmação poderá aparecer no próprio software, se e sempre que tais
confirmações de terceiros normalmente aparecerem.
4. Os nomes ″Apache Forrest″ e ″Apache Software Foundation″ não devem ser
utilizados para endossar ou promover produtos derivados deste software sem
permissão prévia por escrito. Para obter a permissão por escrito, entre em
contato com [email protected].
5. Os produtos derivados deste software poderão não ser chamados de ″Apache″,
nem ″Apache″ aparecerá em seu nome, sem a permissão prévia por escrito da
Apache Software Foundation.
O SOFTWARE É FORNECIDO `NO ESTADO EM QUE SE ENCONTRA″, E
QUAISQUER GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO, MAS
NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE MERCADO OU
ADEQUAÇÃO A UM DETERMINADO PROPÓSITO SÃO RENUNCIADAS. EM
NENHUM CASO DEVERÁ A APACHE SOFTWARE FOUNDATION OU SEUS
COLABORADORES SEREM RESPONSABILIZADOS POR NENHUM DANO
DIRETO, INDIRETO, ACIDENTAL, ESPECIAL, EXEMPLAR OU
CONSEQÜENCIAL (INCLUINDO, MAS NÃO SE LIMITANDO A, COMPRA DE
BENS OU SERVIÇOS SUBSTITUTOS; PERDA DE UTILIZAÇÃO, DADOS OU
LUCROS; OU INTERRUPÇÃO DE NEGÓCIOS) NÃO OBSTANTE CAUSADOS
NA TEORIA DE RESPONSABILIDADE, SEJA EM CONTRATO,
RESPONSABILIDADE RESTRITA OU DELITO (INCLUINDO NEGLIGÊNCIA OU
QUALQUER OUTRO TIPO) DECORRENTE DA UTILIZAÇÃO DESTE
SOFTWARE, MESMO SE ADVERTIDO SOBRE A POSSIBILIDADE DE TAL
DANO.
Este software consiste em contribuições voluntárias feitas por vários indivíduos em
nome da Apache Software Foundation. Para obter informações adicionais sobre a
Apache Software Foundation, consulte http://www.apache.org/.
216 IBM Tivoli Access Manager: Guia de Instalação Base
Conjunto de Análise de Opções da Linha de Comandos JArgs para
Java
Copyright ©2001, Stephen Purcell Todos os direitos reservados.
Redistribuição e utilização em código e formas binárias, com ou sem modificação,
são permitidos desde que as seguintes condições sejam respeitadas:
1. Redistribuições do código-fonte devem manter o aviso de copyright acima, essa
lista de condições e a renúncia acompanhante.
2. Redistribuições na forma binária devem reproduzir o aviso de copyright acima,
a lista de condições e a renúncia acompanhante na documentação e/ou em
outros materiais fornecidos com a distribuição.
3. O nome do portador de copyright ou os nomes de seus colaboradores não
podem ser utilizados para endossar ou promover produtos derivados deste
software sem prévia permissão específica por escrito.
O SOFTWARE É FORNECIDO PELOS PORTADORES DE COPYRIGHT E
COLABORADORES ″NO ESTADO EM QUE SE ENCONTRA″, E QUAISQUER
GARANTIAS, SEJAM EXPRESSAS OU IMPLÍCITAS, INCLUINDO, MAS NÃO SE
LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE MERCADO OU ADEQUAÇÃO A
UM DETERMINADO PROPÓSITO SÃO RENUNCIADAS. EM NENHUM CASO
OS REGENTES OU COLABORADORES DEVERÃO SER RESPONSABILIZADOS
POR NENHUM DANO DIRETO, INDIRETO, ACIDENTAL, ESPECIAL,
EXEMPLAR OU CONSEQÜENCIAL (INCLUINDO, MAS NÃO SE LIMITANDO
A, COMPRA DE BENS OU SERVIÇOS SUBSTITUTOS; PERDA DE UTILIZAÇÃO,
DADOS OU LUCROS; OU INTERRUPÇÃO DE NEGÓCIOS) NÃO OBSTANTE
CAUSADOS NA TEORIA DE RESPONSABILIDADE, SEJA EM CONTRATO,
RESPONSABILIDADE RESTRITA OU DELITO (INCLUINDO NEGLIGÊNCIA OU
QUALQUER OUTRO TIPO) DECORRENTE DA UTILIZAÇÃO DESTE
SOFTWARE, MESMO SE ADVERTIDO SOBRE A POSSIBILIDADE DE TAL
DANO.
Implementação do Java DOM
Copyright © 2000-2002 Brett McLaughlin & Jason Hunter. Todos os direitos
reservados. Redistribuição e utilização em código e formas binárias, com ou sem
modificação, são permitidos desde que as seguintes condições sejam respeitadas:
1. Redistribuições do código-fonte devem manter o aviso de copyright acima,
essa lista de condições e a renúncia acompanhante.
2. Redistribuições na forma binária devem reproduzir o aviso de copyright acima,
essa lista de condições e a renúncia que segue essas condições na
documentação e/ou em outros materiais fornecidos com a distribuição.
3. O nome ″JDOM″ não pode ser utilizado para endossar ou promover produtos
derivados deste software sem prévia permissão por escrito. Para obter a
permissão por escrito, entre em contato com [email protected].
4. Os produtos derivados deste software poderão não ser chamados de ″JDOM″,
nem ″JDOM″ aparecerá em seu nome, sem a permissão prévia por escrito da
JDOM Project Management ([email protected]).
5. Além disso, solicitamos (mas não exigimos) que você inclua na documentação
do usuário final fornecida com a redistribuição e/ou no próprio software uma
confirmação equivalente à seguinte: ″Este produto inclui software desenvolvido
pela JDOM Project (http://www.jdom.org/).″
Apêndice E. Avisos 217
6. Além disso, solicitamos (mas não exigimos) que você inclua na documentação
do usuário final fornecida com a redistribuição e/ou no próprio software uma
confirmação equivalente à seguinte: ″Este produto inclui software desenvolvido
pela JDOM Project (http://www.jdom.org/)″. Alternativamente, a confirmação
pode ser gráfica utilizando os logotipos disponíveis em
http://www.jdom.org/images/logos.
O SOFTWARE É FORNECIDO `NO ESTADO EM QUE SE ENCONTRA″, E
QUAISQUER GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO, MAS
NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE MERCADO OU
ADEQUAÇÃO A UM DETERMINADO PROPÓSITO SÃO RENUNCIADAS. EM
NENHUM CASO OS AUTORES DA JDOM OU COLABORADORES DE PROJETO
DEVERÃO SER RESPONSABILIZADOS POR NENHUM DANO DIRETO,
INDIRETO, ACIDENTAL, ESPECIAL, EXEMPLAR OU CONSEQÜENCIAL
(INCLUINDO, MAS NÃO SE LIMITANDO A, COMPRA DE BENS OU SERVIÇOS
SUBSTITUTOS; PERDA DE UTILIZAÇÃO, DADOS OU LUCROS; OU
INTERRUPÇÃO DE NEGÓCIOS) NÃO OBSTANTE CAUSADOS NA TEORIA DE
RESPONSABILIDADE, SEJA EM CONTRATO, RESPONSABILIDADE RESTRITA
OU DELITO (INCLUINDO NEGLIGÊNCIA OU QUALQUER OUTRO TIPO)
DECORRENTE DA UTILIZAÇÃO DESTE SOFTWARE, MESMO SE ADVERTIDO
SOBRE A POSSIBILIDADE DE TAL DANO.
Este software consiste em contribuições voluntárias feitas por vários indivíduos em
nome da JDOM Project e foi originalmente criado por Brett McLaughlin
([email protected]) e Jason Hunter ([email protected]). Para obter informações
adicionais sobre a JDOM Project, consulte http://www.jdom.org/.
Marcas
Os termos a seguir são marcas ou marcas registradas da International Business
Machines Corporation nos Estados Unidos e/ou em outros países:
AIX
DB2
IBM
Logotipo IBM
MVS
OS/390
SecureWay
Tivoli
logotipo Tivoli
Universal Database
WebSphere
zSeries
z/OS
Lotus, Lotus Notes e Notes são marcas da Lotus Development Corporation e/ou
da IBM Corporation.
Domino é uma marca da International Business Machines Corporation e Lotus
Development Corporation nos Estados Unidos e/ou em outros países.
Java e todas a marcas e logotipos baseados em Java são marcas ou marcas
registradas da Sun Microsystems, Inc. nos Estados Unidos e/ou em outros países.
218 IBM Tivoli Access Manager: Guia de Instalação Base
Microsoft, Windows, Windows NT e o logotipo do Windows são marcas da
Microsoft Corporation nos Estados Unidos e/ou em outros países. Java e todas as
marcas e logotipos baseados em Java são marcas ou marcas registradas da Sun
Microsystems, Inc. nos Estados Unidos e em outros países.
UNIX é uma marca registrada do The Open Group nos Estados Unidos e em
outros países.
Nomes de empresas, produtos ou serviços podem ser marcas ou marcas de
serviços de terceiros.
Apêndice E. Avisos 219
220 IBM Tivoli Access Manager: Guia de Instalação Base
Glossário
A
ação. O atributo de permissão de uma ACL (lista de
controle de acesso).
arquivo de banco de dados de chaves. Consulte
conjunto de chaves.
arquivo de chaves. Consulte conjunto de chaves.
arquivo de resposta. Um arquivo que contém um
conjunto de respostas predefinidas às perguntas feitas
por um programa e que é utilizado em vez de digitar
esses valores um por vez.
arquivo de roteamento. Um arquivo ASCII que
contém comandos que controlam a configuração das
mensagens.
assinatura digital. No e-commerce, dados que são
anexados a uma unidade de dados ou que são uma
transformação criptográfica dela e que permitem que o
destinatário da unidade de dados verifique a origem e
a integridade da unidade e reconheça uma possível
falsificação.
ativação de função. O processo de aplicar as
permissões de acesso a uma função.
atribuição de função. O processo de atribuir uma
função a um usuário, como o usuário possuir as
permissões de acesso apropriadas para o objeto
definido para essa função.
autenticação. (1) Em segurança de computadores, a
verificação da identidade de um usuário ou sua
elegibilidade para acessar um objeto. (2) Em segurança
de computadores a verificação de que uma mensagem
não foi alterada ou corrompida. (3) Em segurança de
computadores, um processo utilizado para verificar o
usuário de um sistema de informações ou de recursos
protegidos. Consulte também autenticação com
multifatores, autenticação com base na rede e autenticação
aumentada.
autenticação aumentada. Um critério POP (protected
object policy) que confia em uma hierarquia
pré-configurada de níveis de autenticação e aplica um
nível específico de autenticação, de acordo com o
critério definido em um recurso. A POP de autenticação
aumentada não força o usuário a autenticar utilizando
vários níveis de autenticação para acessar qualquer
recurso indicado, mas exige que o usuário autentique
em um nível no mínimo igual ao exigido pelo critério
que protege um recurso.
autenticação básica. Um método de autenticação que
exige que o usuário digite um nome de usuário e senha
válidos antes de obter acesso a um recurso on-line
seguro.
autenticação com base na rede. Um POP (protected
object policy) que controla o acesso aos objetos com
base no endereço IP (internet protocol) do usuário.
Consulte também critério do objeto protegido.
autenticação com multifatores. Um POP (protected
object policy) que força o usuário a efetuar autenticação
utilizando dois ou mais níveis de autenticação. Por
exemplo, o controle de acesso em um recurso protegido
pode exigir que os usuários sejam autenticados com
nome do usuário/senha e com nome do
usuário/código de token. Consulte também critério do
objeto protegido.
autorização. (1) Em segurança de computadores, o
direito concedido ao usuário para se comunicar com ou
fazer uso de um sistema de computadores. (2) O
processo de conceder a um usuário acesso completo ou
restrito a um objeto, recurso ou função.
B
BA. Consulte autenticação básica.
blade. Componente que oferece serviços e
componentes específicos do aplicativo.
C
CA. Consulte autoridade de certificação.
CA (autoridade de certificação). No e-commerce, uma
organização que emite certificados. A autoridade de
certificação autentica a identidade do proprietário do
certificado e os serviços que o proprietário está
autorizado a utilizar, emite novos certificados, renova
os certificados existentes e revoga os certificados
pertencentes aos usuários que não estão mais
autorizados a utilizá-los.
campos de junção. Uma conexão HTTP ou HTTPS
entre um servidor WebSEAL front-end e um servidor
de aplicativos da Web backend. Os campos de junção
combinam de forma lógica o espaço da Web do
servidor backend com o espaço da web do servidor
WebSEAL, resultando em uma exibição unificada do
espaço de objetos da Web inteiro. Os campos de junção
permitem que o WebSEAL ofereça serviços de proteção
em nome do servidor backend. O WebSEAL executa
verificações de autenticação e autorização em todos os
pedidos de recursos antes de transmitir esses pedidos
© Copyright IBM Corp. 2001, 2003 221
por um campo de junção para o servidor backend. Os
campos de junção também permitem diversas soluções
de conexão única entre um cliente e o aplicativo
backend que faz parte da junção.
CDAS. Consulte Cross Domain Authentication Service.
CDAS (cross domain authentication service). Um
serviço do WebSEAL que fornece um mecanismo de
biblioteca compartilhada que permite substituir os
mecanismos de autenticação padrão do WebSEAL por
um processo personalizado que retorna uma identidade
do Tivoli Access Manager para o WebSEAL. Consulte
também WebSeal.
CDMF. Consulte Cross Domain Mapping Framework.
CDMF (cross domain mapping framework). Uma
interface de programação que permite que um
desenvolvedor personalize o mapeamento de
identidades do usuário e o tratamento de atributos do
usuário quando as funções SSO do WebSEAL
e-Community SSO são utilizadas.
certificado. Em segurança de computadores, um
documento digital que liga uma chave pública à
identidade do proprietário do certificado, permitindo
assim que o proprietário do certificado seja autenticado.
Um certificado é emitido por uma autoridade de
certificação.
certificado de atributo de privilégio de serviço. (1)
No Tivoli Access Manager, o serviço PAC (Privilege
Attribute Certificate) é utilizado para codificar ou
decodificar a credencial de um Tivoli Access Manager
para um formato transmissível em um ambiente
somente de texto ou a partir dele. O formato é uma
combinação de codificação ASN1 e MIME. O serviço é
interno à API de autorização do Tivoli Access Manager.
(2) Um plug-in do cliente de tempo de execução da API
de autorização que converte um PAC de um formato
predeterminado em uma credencial do Access Manager
e vice-versa. Esses serviços também pode ser utilizados
para compactar ou ordenar uma credencial do Access
Manager para transmissão para outros membros do
domínio seguro. Os clientes podem desenvolver esses
serviços utilizando o Authorization ADK.
CGI. Consulte common gateway interface.
CGI (common gateway interface). Um programa de
computador que é executado em um servidor da Web e
utiliza a interface CGI (Common Gateway Interface)
para executar tarefas que normalmente não são
executadas por um servidor da Web (por exemplo,
acesso ao banco de dados e processamento de
formulários). Um script CGI é um programa CGI
gravado em uma linguagem de script como Perl.
chave. Em segurança de computadores, uma
seqüência de símbolos utilizados com um algoritmo
criptográfico para criptografar e descriptografar dados.
Consulte chave privada e chave pública.
chave privada. Em segurança de computadores, uma
chave conhecida somente pelo seu proprietário.
Compare com chave pública.
chave pública. Em segurança de computadores, uma
chave que é disponibilizada para todos. Compare com
chave privada.
cifrado. Dados criptografados que são ilegíveis até
que sejam convertidos em dados comuns
(descriptografados) com uma chave.
conexão. (1) Em comunicação de dados, uma
associação estabelecida entre unidades funcionais para
transportar informações. (2) Em TCP/IP, o caminho
entre dois aplicativos de protocolo que fornece serviço
de entrega de fluxo de dados confiável. Na Internet,
uma conexão se estende de um aplicativo TCP em um
sistema para um aplicativo TCP em outro sistema. (3)
Em comunicações de sistemas, uma linha através da
qual os dados podem ser passados entre dois sistemas
ou entre um sistema e um dispositivo.
configuração. (1) A maneira pela qual o hardware e o
software de um sistema de processamento de
informações são organizados e interconectados. (2) Os
dispositivos e programas que formam um sistema, um
subsistema ou uma rede.
conjunto de chaves. Em segurança de computadores,
um arquivo que contém chaves públicas, chaves
privadas, raízes confiáveis e certificados.
Conjunto de protocolos de Internet. Um conjunto de
protocolos desenvolvidos para serem utilizados na
Internet e publicados como RFCs (Requests for
Comments) através da IETF (Internet Engineering Task
Force).
controle de acesso. Em segurança de computadores, o
processo de assegurar que os recursos de um sistema
de computador possam ser acessados somente pelos
usuários autorizados, de maneiras autorizadas.
cookie. Informações que um servidor armazena em
uma máquina cliente e que acessa durante as próximas
sessões. Os cookies permitem que os servidores
lembrem-se de informações específicas sobre os clientes.
credenciais. Informações detalhadas, obtidas durante a
autenticação, que descrevem o usuário, quaisquer
associações de grupo e outros atributos de identidade
relacionados à segurança. As credenciais podem ser
utilizadas para executar uma grande variedade de
serviços, como autorização, auditoria e delegação.
criptografia. Em segurança de computadores, o
processo de transformar dados em uma forma
ininteligível, para que os dados originais não possam
ser obtidos ou possam ser obtidos somente utilizando
um processo de descriptografia.
222 IBM Tivoli Access Manager: Guia de Instalação Base
criptografia RSA. Um sistema de criptografia de
chave pública utilizado para criptografia e autenticação.
Ele foi inventado em 1977 por Ron Rivest, Adi Shamir
e Leonard Adleman. A segurança do sistema depende
da dificuldade de fatorar o produto de dois números
primos grandes.
critério. Conjunto de regras aplicadas a recursos
gerenciados.
D
dados da política. Incluem dados de política de
durabilidade da senha e dados de início de sessão.
daemon. Um programa que é executado
independentemente para realizar um serviço padrão.
Alguns daemons são ativados automaticamente para
realizar suas tarefas; outros operam periodicamente.
DN. Consulte nome distinto.
DN (nome distinto). O nome que identifica com
exclusividade uma entrada em um diretório. Um nome
distinto é formado de pares atributo:valor, separados por
vírgulas.
domínio. (1) A parte de uma rede de computadores na
qual os recursos de processamento de dados estão sob
controle comum. (2) Consulte nome de domínio.
domínio seguro. O grupo de usuários, sistemas e
recursos que compartilham serviços comuns e
geralmente funcionam com uma finalidade em comum.
E
EAS. Consulte External Authorization Service.
escalabilidade. A capacidade de um sistema da rede
em responder aos crescentes números de usuários que
acessam os recursos.
espaço de objeto protegido. A representação de objeto
virtual dos recursos reais do sistema que é utilizada
para aplicar ACLs e POPs e utilizada pelo serviço de
autorização.
esquema. O conjunto de instruções, expressas em uma
linguagem de definição de dados, que descrevem
completamente a estrutura de um banco de dados.
esquema de diretório. Os tipos de atributos e classes
de objetos válidos que podem aparecer em um
diretório. Os tipos de atributos e classes de objetos
definem a sintaxe dos valores de atributos, quais
atributos devem estar presentes e quais podem estar
presentes para o diretório.
F
FTP (protocolo de transferência de arquivos). No
conjunto de protocolos de Internet, um protocolo da
camada de aplicativos que utiliza serviços TCP
(Transmission Control Protocol) e Telnet para transferir
arquivos com muitos dados entre máquinas ou hosts.
G
gerenciamento de segurança. A disciplina de
gerenciamento que trata da capacidade de uma
organização em controlar o acesso a aplicativos e dados
que são críticos para seu sucesso.
grupos de controle de acesso. Grupos a serem
utilizados para controle de acesso. Cada grupo contém
um atributo multivalor consistindo em nomes distintos
de membros. Os grupos de controle de acesso possuem
uma classe de objeto AccessGroup.
GSO. Consulte conexão global.
GSO (conexão global). Uma solução de conexão única
que permite que o usuário forneça nomes de usuário e
senhas alternativos para o servidor de aplicativos da
Web backend. A conexão global permite que os
usuários tenham acesso aos recursos de computação
que tenham autorização para utilizar — por meio de
um login único. Projetado para empresas grandes que
consistem em vários sistemas e aplicativos dentro de
ambientes de computação heterogêneos e distribuídos,
o GSO elimina a necessidade de os usuários
gerenciarem vários nomes de usuário e senhas.
Consulte também conexão única.
H
host. Um computador que é conectado a uma rede
(como uma rede Internet ou SNA) e fornece um ponto
de acesso para aquela rede. Também, dependendo do
ambiente, o host pode fornecer controle centralizado da
rede. O host pode ser um cliente, um servidor ou um
cliente e um servidor ao mesmo tempo.
host virtual. A capacidade de um servidor da Web
que permite que ele apareça como mais de um host na
Internet.
HTTP. Consulte Hypertext Transfer Protocol.
HTTP (protocolo de transferência de hipertexto). No
conjunto de protocolos da Internet, o protocolo que é
utilizado para transferir e exibir documentos de
hipertexto.
I
instalação silenciosa. Uma instalação que não envia
mensagens para o console, mas, em vez disso,
Glossário 223
armazena as mensagens e os erros nos arquivos de log.
Além disso, uma instalação silenciosa pode utilizar
arquivos de resposta para entrada de dados. Consulte
também arquivo de resposta.
IP. Consulte Internet Protocol.
IPC. Consulte Comunicação de Interprocessos.
IPC (comunicação de interprocessos). Um método
para permitir que um programa trate vários pedidos de
usuários ao mesmo tempo, por meio da criação e
gerenciamento de processos de programas individuais
em execução simultânea em um sistema operacional.
IP (Internet protocol). No conjunto de protocolos da
Internet, um protocolo sem conexão que direciona
dados através de uma rede ou de redes interconectadas
e age como um intermediário entre as camadas de
protocolos mais altas e a rede física.
L
LDAP. Consulte Lightweight Directory Access Protocol.
LDAP (lightweight directory access protocol). Um
protocolo aberto que (a) utiliza o TCP/IP para fornecer
acesso aos diretórios que suportam um modelo X.500 e
(b) não fica sujeito aos requisitos de recursos do X.500
DAP (Directory Access Protocol) mais complexo. Os
aplicativos que utilizam o LDAP (conhecidos como
aplicativos habilitados para diretório) podem utilizar o
diretório como um armazenamento de dados comum e
para recuperar informações sobre pessoas ou serviços,
como endereços de e-mail, chaves públicas ou
parâmetros de configuração específicos do serviço. O
LDAP foi especificado originalmente no RFC 1777. O
LDAP versão 3 está especificado no RFC 2251 e a IETF
continua a trabalhar em funções padrão adicionais.
Alguns dos esquemas padrão definidos pelo IETF para
LDAP são encontrados no RFC 2256.
ligar. Relacionar um identificador a outro objeto em
um programa; por exemplo, relacionar um identificador
a um valor, endereço ou outro identificador ou associar
os parâmetros formais e parâmetros reais.
lista de atributos. No Tivoli Access Manager, uma
lista vinculada que contém informações estendidas,
utilizadas para tomar decisões sobre autorizações. As
listas de atributos consistem em um conjunto de pares
palavra-chave = valor.
lista de controle de acesso. Consulte lista de controle de
acesso.
lista de controle de acesso. Em segurança de
computadores, uma lista associada a um objeto que
identifica todas as pessoas que podem acessar o objeto
e seus direitos de acesso. Por exemplo, uma lista de
controle de acesso é associada a um arquivo que
identifica os usuários que podem acessar o arquivo e os
direitos do usuário a esse arquivo.
LTPA. Consulte lightweight third party authentication.
LTPA (lightweight third party authentication). Uma
estrutura de autenticação que permite conexão única
entre uma série de servidores da Web que estão dentro
de um domínio de Internet.
M
metadados. Dados que descrevem as características
dos dados armazenados.
migração. A instalação de uma nova versão ou release
de um programa para substituir uma versão ou release
anterior.
MPA (agente proxy de multiplexação). Um gateway
que acomoda acesso a vários clientes. Algumas vezes,
esses gateways são conhecidos como WAP (Wireless
Access Protocol) quando o cliente acessa um domínio
seguro utilizando o WAP. Os gateways estabelecem um
único canal autenticado para o servidor de origem e
criam um ″túnel″ para todos os pedidos de clientes e
respostas por meio desse canal.
N
nome de domínio. No conjunto de protocolos da
Internet, um nome de um sistema host. Um nome de
domínio consiste em uma seqüência de subnomes
separados por um caractere delimitador. Por exemplo,
se o nome completo do domínio de um sistema host for
ralvm7.vnet.ibm.com, cada um dos seguintes é um
nome de domínio:
v ralvm7.vnet.ibm.com
v vnet.ibm.com
v ibm.com
O
objeto de contêiner. Uma designação estrutural que
organiza o espaço do objeto em regiões funcionais
distintas.
objeto de recurso. A representação de um recurso real
da rede, como um serviço, arquivo e programa.
P
PAC. Consulte privilege attribute certificate.
par de chaves. Em segurança de computadores, uma
chave pública e uma chave privada. Quando o par de
chaves é utilizado para criptografia, o emissor utiliza a
chave pública para criptografar a mensagem e o
destinatário utiliza a chave privada para
224 IBM Tivoli Access Manager: Guia de Instalação Base
descriptografar a mensagem. Quando o par de chaves é
utilizado para assinatura, o signatário utiliza a chave
privada para criptografar uma representação da
mensagem e o destinatário utiliza a chave pública para
descriptografar a representação da mensagem para
verificação de assinatura.
permissão. A capacidade de acessar um objeto
protegido, como um arquivo ou diretório. O número e
o significado das permissões de um objeto são
definidos pela lista de controle de acesso.
permissão de acesso. O privilégio de acesso aplicado
ao objeto inteiro ou permissões aplicadas a classes de
acesso do atributo.
plug-in do serviço de autorização. Uma DLL
(dynamically loadable library ou biblioteca
compartilhada) que pode ser carregada pelo cliente de
tempo de execução da API de autorização do Access
Manager na inicialização, a fim de executar operações
que estendem uma interface de serviço dentro da API
de autorização. As interfaces de serviço disponíveis
atualmente incluem Administração, Autorização
Externa, Modificação de credenciais, Qualificações e
interfaces de manipulação PAC. Os clientes podem
desenvolver esses serviços utilizando o Authorization
ADK.
polling. Um protocolo CAM (channel access method)
no qual é feito o pedido de um dado. Em uma situação
de principal/secundário, o dispositivo principal
consulta cada dispositivo secundário para saber se ele
possui dados para transmissão. Se o dispositivo
secundário responder sim, o principal tem permissão
para transmitir seus dados. Se o secundário responder
não, o principal vai adiante e efetua poll no próximo
dispositivo secundário. O processo é repetido
continuamente. Para o Tivoli Access Manager, o
servidor WebSEAL pode ser configurado para efetuar
poll regularmente no banco de dados de autorização
principal (política) para obter informações atualizadas.
POP. Consulte critério do objeto protegido
POP (protected object policy). Um tipo de política de
segurança que impõe condições adicionais para acessar
um recurso protegido após uma verificação
bem-sucedida da política ACL. Exemplos de POPs
incluem o acesso em uma determinada hora do dia e a
qualidade do nível de proteção.
portal. Um Web site integrado que produz
dinamicamente uma lista personalizada de recursos da
Web, como links, conteúdo ou serviços, disponíveis
para um usuário específico, com base nas permissões
de acesso desse usuário.
privilege attribute certificate. Descreve um contêiner
de dados, definido externamente para o domínio
seguro do Tivoli Access Manager, que contém os
atributos de autenticação e autorização do principal,
além de seus recursos.
Q
qualidade de proteção. O nível de segurança dos
dados, determinado por uma combinação de condições
de autenticação, integridade e privacidade.
qualificação. Uma estrutura de dados que contém
informações externas de critério de segurança. As
qualificações contêm dados de critério ou recursos que
são formatados de forma que possa ser entendida por
um aplicativo específico.
qualificação para negócios. Os atributos
complementares da credencial de um usuário de
descrevem as condições detalhadas que podem ser
utilizadas nos pedidos de autorização dos recursos.
R
raiz confiável. No SSL (Secure Sockets Layer), a chave
pública e o nome distinto associado de uma CA
(autoridade de certificação).
registro. (1) O datastore que mantém as informações
da conta para usuários e grupos que têm permissão
para participar do domínio seguro. (2) Um banco de
dados que contém informações de configuração do
sistema referentes a usuário, hardware e programas e
aplicativos instalados.
registro automático. O processo pelo qual um usuário
pode digitar os dados necessários e tornar-se um
usuário registrado do Tivoli Access Manager, sem a
participação de um administrador.
registro do usuário. Consulte registro.
réplica. Um servidor que contém uma cópia do
diretório ou diretórios de outro servidor. As réplicas
fazem backup de servidores a fim de melhorar o
desempenho ou os tempos de resposta e garantir a
integridade dos dados.
S
serviço. Trabalho executado por um servidor. Um
serviço pode ser um pedido simples de dados a serem
enviados ou armazenados (como em servidores de
arquivos, servidores HTTP, servidores de e-mail e
servidores finger) ou pode ser um trabalho mais
complexo, como os dos servidores de impressão ou de
processos.
serviço de administração. Um plug-in de tempo de
execução da API de autorização que pode ser utilizado
para executar pedidos de administração em um
aplicativo gerenciador de recursos do Access Manager.
O serviço admin responderá a pedidos remotos a partir
do comando pdadmin para executar tarefas como
relacionar os objetos em um determinado nó na árvore
Glossário 225
de objetos protegida. Os clientes podem desenvolver
esses serviços utilizando o Authorization ADK.
serviço de autorização externa. Um plug-in de tempo
de execução da API de autorização que pode ser
utilizado para tomar decisões de autorização específicas
do aplicativo ou do ambiente, como parte da cadeia de
decisões de autorização do Access Manager. Os clientes
podem desenvolver esses serviços utilizando o
Authorization ADK.
serviço de modificação de credenciais. Um plug-in de
tempo de execução da API de autorização que pode ser
utilizado para modificar a credencial de um Access
Manager. Os serviços de modificação de credenciais
desenvolvidos externamente pelos clientes são
limitados à execução de operações para incluir e
remover da lista de atributos de credenciais e somente
para os atributos considerados modificáveis.
serviço de qualificação. Um plug-in de tempo de
execução da API de autorização que pode ser utilizado
para retornar qualificações de uma fonte externa para
uma condição principal ou um conjunto de condições.
Normalmente, as qualificações são dados específicos do
aplicativo, que serão consumidos pelo aplicativo
gerenciador de recursos de alguma forma ou que serão
incluídos nas credenciais do principal para uso
posterior no processo de autorização. Os clientes
podem desenvolver esses serviços utilizando o
Authorization ADK.
servidor de critérios. O servidor Tivoli Access
Manager que mantém as informações sobre localização
de outros servidores no domínio seguro.
Servidor de Gerenciamento. Obsoleto. Consulte
servidor de critério.
símbolo. (1) Em uma rede local, o símbolo de
autoridade passado sucessivamente de uma estação de
dados para outra, para indicar a estação
temporariamente no controle do meio de transmissão.
Cada estação de dados tem uma oportunidade de obter
e utilizar o símbolo para controlar o meio. Um símbolo
é um padrão específico de bit ou mensagem que
significa permissão para transmitir. (2) Em LANs (redes
locais), uma seqüência de bits passados de um
dispositivo para outro pelo meio de transmissão.
Quando o símbolo tem dados anexados a ele, ele
torna-se um quadro.
SSL. Consulte Secure Sockets Layer.
SSL (secure sockets layer). Um protocolo de
segurança que fornece privacidade de comunicação. O
SSL permite que os aplicativos cliente /servidor se
comuniquem de uma maneira que impeça a escuta
clandestina, a violação e a falsificação de mensagens. O
SSL foi desenvolvido pela Netscape Communications
Corp. e pela RSA Data Security, Inc.
SSO. Consulte Conexão Simples.
SSO (conexão única). A capacidade de um usuário
efetuar logon uma vez e acessar vários aplicativos, sem
precisar efetuar logon em cada aplicativo
separadamente. Consulte também conexão global.
sufixos. Um nome distinto que identifica a primeira
entrada em uma hierarquia de diretórios contida
localmente. Devido ao esquema de nomenclatura
relativo utilizado no protocolo LDAP (Lightweight
Directory Access Protocol), esse sufixo é aplicado a
entradas alternadas dentro dessa hierarquia de
diretórios. Um servidor de diretórios pode ter vários
sufixos, cada um identificando uma hierarquia de
diretórios contida localmente.
T
tempo de execução. O período de tempo durante o
qual um programa de computador é executado. O
Runtime Environment é um ambiente de execução.
Tivoli Access Manager para Business Integration.
Um blade do Tivoli Access Manager que fornece
serviços de segurança abrangentes para o IBM
MQSeries. Ele estende o ambiente do MQSeries para
que ofereça suporte a segurança ponta a ponta nas
filas.
Tivoli Access Manager para Operating Systems. Um
blade do Tivoli Access Manager que fornece um
mecanismo de segurança para o produto Tivoli Identity
Director. O mecanismo de segurança intercepta
chamadas do sistema operacional que exigem
verificações de autorização, como para acesso ao
arquivo.
U
URI. Consulte uniform resource identifier.
URI (identificador do recurso uniforme). O método
utilizado para identificar as localizações de conteúdo na
Internet. O URL (uniform resource locator) é uma
forma específica de URI que identifica um endereço de
página da Web. Normalmente, o URI descreve: (a) o
mecanismo utilizado para acessar o recurso (por
exemplo, HTTP, HTTPS, FTP); (b) o computador
específico no qual o recurso está armazenado (por
exemplo, www.webserver.org); (c) o nome específico do
recurso no computador (por exemplo,
.../products/images/serv.jpg).
URL. Consulte uniform resource locator.
URL (uniform resource locator). Uma seqüência de
caracteres que representa recursos de informações em
um computador ou em uma rede como a Internet. Essa
seqüência de caracteres inclui (a) o nome abreviado do
protocolo utilizado para acessar o recurso de
informações e (b) as informações utilizadas pelo
protocolo para localizar o recurso de informações. Por
226 IBM Tivoli Access Manager: Guia de Instalação Base
exemplo, no contexto da Internet, são nomes
abreviados de alguns protocolos utilizados para acessar
diversos recursos de informações: http, ftp, gopher,
telnet e news. Este é o URL da home page da IBM:
http://www.ibm.com.
usuário. Qualquer pessoa, organização, processo,
dispositivo, programa, protocolo ou sistema que utiliza
um serviço fornecido por outros.
W
Web Portal Manager (WPM). Um aplicativo gráfico
com base na Web utilizado para gerenciar o critério de
segurança do Tivoli Access Manager Base e WebSEAL
em um domínio seguro. Uma alternativa para a
interface da linha de comando pdadmin, essa GUI
permite o acesso de administradores remotos e que os
administradores criem domínios de usuário delegados e
atribua administradores delegados a esses domínios.
WebSEAL. Um blade do Tivoli Access Manager. O
WebSEAL é um servidor da Web de alto desempenho e
de múltiplo thread que aplica um critério de segurança
a um espaço de objetos protegidos. O WebSEAL pode
fornecer soluções de conexão única e incorporar
recursos do servidor de aplicativos da Web de backend
em seu critério de segurança.
WPM. Consulte a seção Web Portal Manager.
Glossário 227
228 IBM Tivoli Access Manager: Guia de Instalação Base
Índice Remissivo
Caracteres Especiais.kdb 163
AACLs (listas de controle de acesso)
anexando durante a configuração do servidor LDAP 20
AIXdesinstalando componentes do 51
instalandocomponentes do Tivoli Access Manager 46
GSKit 45
IBM Directory Client 45
arquivo de banco de dados de chaves 162, 175, 178
arquivo de chaves 167
arquivo gsk5ikm 162, 176, 179, 180
arquivo httpd.conf 21
arquivosarquivo de banco de dados de chaves (.kdb) 163
banco de dados de chaves 175, 178
banco de dados de chaves (.kdb) 162
esquema 19
gsk5ikm.exe 162, 176, 179, 180
httpd.conf 21
resposta 153
arquivos de respostadescrição 153
sintaxe 154
arquivos esquema 19
autenticaçãoservidor 161, 166
servidor e cliente 161, 166, 178
autenticação de servidor 161, 166
autenticação de servidor e cliente 161, 166, 178
autoridade, certificado 163, 179
autorização ADKdesinstalando 58, 79, 92
Ccatálogo de mensagens
diretórios de idioma 16
internacionalização 16
CDspara Web Portal Manager 5
certificadoauto-assinado 164, 180
autoridade 163, 179
pessoal 162, 163, 179
servidor 167, 168
certificado auto-assinado 164, 180
certificado de assinantecertificado
assinante 177, 181
certificado de servidor 167, 168
certificado pessoal 162, 163, 179
codificação de textoConsulte conjuntos de códigos 17
codificação UTF-8 17
comandosdmt 24
componentesConsulte a seção Web Portal Manager 5
Consulte IBM Global Security Toolkit 4
Configuração regional, para Windows 15
configurandoIBM Directory Server 20
IBM WebSphere Application Server 50
conjunto de chaves 167
conjuntos de códigosdiretórios de arquivo 17
suporte ao idioma 17
consideraçõesinstalação silenciosa 153
contexto de nomenclatura 19
criando um certificado auto-assinado 164, 180
Ddefinições de idioma, modificando 15
desconfigurandoUNIX 58, 79
desinstalando componentesdo AIX 51
do HP-UX 58
do Solaris 80
do Windows 92
Tivoli Access Manager 58, 79, 92
DIT (Directory Information Tree) 19
DMT (Directory Management Tool) 24
Eentradas, diretório 20
entradas de diretório 20
extraindo um certificado auto-assinado 164, 180
Ffazendo upgrade
IBM JDK 1.2.2 78
GGSO
Consulte conexão global 19
GSO (conexão global)descrição 19
nome distinto/sufixo 19, 23
GUIs (interfaces gráficas com o usuário)Administração da Web 165
Administração do Servidor 22
HHP-UX
desinstalando o 58
© Copyright IBM Corp. 2001, 2003 229
HP-UX (continuação)instalando
componentes do Tivoli Access Manager 56
GSKit 55
IBM Directory Client 55
IIBM Developer Toolkit 78
IBM Directorycliente
ativando SSL 175
desinstalando 58, 79, 92
servidorativando SSL 161
configurando 20
IBM Global Security Toolkitdescrição 4
desinstalando 58, 79, 92
IBM JDK 1.2.2 78
instalaçãoarquivos de resposta 154
instalação fácilopções de configuração 185, 188
instalação nativaconfiguração 185, 188
instalação silenciosaarquivos de resposta 153
considerações 153
instalandoIBM WebSphere Application Server 50
interface de Administração da Web 165
interface de Administração do Servidor 22
internacionalizaçãocatálogos de mensagens 16
conjuntos de códigos 17
idiomas suportados 10
variantes de locale 16
variáveis de locale 15
iPlanet Directory Serverativando SSL 167, 169
documentação do produto 26
Llog
atividade 50, 78, 92
log de atividades 50, 78, 92
Mmanagement server
desinstalando 58, 79, 92
metadados 19
migraçãoservidor de critério 183
servidor de política 41, 42
Nnome distinto/sufixo, GSO 19
nomes de localeUNIX 15
Windows 15
Oopções
configuração 185, 188
opções de configuração 185, 188
Pportas
padrão 192
WebSEAL 21
publicações relacionadas xiii
Rraiz 19
registroConsulte o registro DCE 41, 42, 183
Consulte o registro LDAP 41, 42, 183
registro de DCE, migrando de 41, 42, 183
registro de LDAP, migrando de 41, 42, 183
removendoConsulte desinstalando 58, 79, 92
runtime environmentdesinstalando 58, 79, 92
SsecAuthority=Default 19, 22, 28
Secure Sockets LayerIBM Global Security Toolkit 4
servidor de autorizaçãodesinstalando 58, 79, 92
servidor de critériomigração 183
servidor de políticamigração 41, 42
servidores LDAPativando SSL 165
configurando 19
sintaxearquivo de resposta 154
Solarisdesinstalando o 80
instalandocomponentes do Tivoli Access Manager 74
GSKit 73
IBM Directory Client 73
SSLConsulte Secure Sockets Layer 4
SSL (Secure Sockets Layer)ativando 161
ativando no IBM Directory Client 175
ativando no iPlanet Directory Server 169
ativando o acesso no servidor LDAP 165
ativando para iPlanet Directory Server 167
testando 177, 182
sub-rotinas 154
sufixo 19
sufixos 22
suporte ao idiomacatálogos de mensagens 16
conjuntos de códigos 17
nomes de localeUNIX 15
Windows 15
230 IBM Tivoli Access Manager: Guia de Instalação Base
suporte ao idioma (continuação)variantes de locale, implementando 16
variáveis de locale 15
visão geral 10
Ttempo de execução
configuração 185, 187, 188, 191
UUnicode 17
UNIXsuporte ao idioma 15
UNIX, desconfigurando componentes 58, 79
utilitário de gerenciamento de chaves iKeymanativando SSL 162
criando um arquivo de banco de dados de chaves 175
descrição 4
Vvariantes, locales de idioma 16
variantes de locale 16
variáveisLANG
UNIX 15
Windows 15
NLSPATHuso das 16
variáveis de locale 15
variável LANGobjetivo 15
UNIX 15
Windows 15
variável NLSPATHuso das 16
visão geralconfiguração do servidor LDAP 19
IBM Global Security Toolkit 4
WWeb Portal Manager 5
Windowsdesinstalando componentes do 92
instalandoGSKit 83
IBM Directory Client 84
Tivoli Access Manager 85
suporte ao idioma 15
Índice Remissivo 231
232 IBM Tivoli Access Manager: Guia de Instalação Base
���
Impresso em Brazil
S517-7644-01