Tivoli ® SecureWay ® Policy Director Base Guía de instalaciónpublib.boulder.ibm.com/tividd/td/SW_30/GC32-0815-00/es... · 2007-09-29 · UNIX es una marca registrada de The Open

Tivoli®

SecureWay®

Policy Director BaseGuía de instalaciónVersión 3.8

Tivoli®

SecureWay®

Policy Director BaseGuía de instalaciónVersión 3.8

Tivoli SecureWay Policy Director Base Guía de instalación

Aviso de copyright

© Copyright IBM Corporation 2001. Todos los derechos reservados. Sólo se puede utilizar conforme a un Acuerdode licencia de software de Tivoli Systems, un Acuerdo de licencia de software de IBM, un Anexo para productosTivoli para el Cliente de IBM o el Acuerdo de licencia. No se puede reproducir, transmitir, transcribir, almacenar enun sistema de recuperación o convertir a ningún lenguaje informático ninguna parte de esta publicación de ningunaforma o medio, ya sea electrónico, mecánico, magnético, óptico, químico, manual u otros, sin un permiso previo porescrito de IBM Corporation. IBM Corporation le otorga un permiso limitado para realizar una copia impresa u otrasreproducciones de documentación electrónica para su propio uso, siempre que esa reproducción incluya el aviso decopyright de IBM Corporation. No se otorga ningún otro derecho de copyright sin el permiso previo por escrito deIBM Corporation. El documento no está diseñado para producción y se suministra “tal cual” sin garantías de ningúntipo. Quedan excluidas todas las garantías de este documento, incluidas las garantías de comerciabilidad eidoneidad para una finalidad determinada.

Derechos restringidos para los usuarios del Gobierno de Estados Unidos: el uso, duplicación o divulgación quedanrestringidos por el GSA ADP Schedule Contract con IBM Corporation.

Marcas registradas

IBM, Tivoli, el logotipo de Tivoli, AIX, DB2, Domino, Lotus y SecureWay son marcas registradas de InternationalBusiness Machines Corporation o de Tivoli Systems Inc. en Estados Unidos o en otros países.

Java y todos los logotipos y marcas registradas basadas en Java son marcas comerciales o marcas comercialesregistradas de Sun Microsystems, Inc. en Estados Unidos y en otros países.

Lotus es una marca registrada de Lotus Development Corporation.

Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft Corporation enEstados Unidos, en otros países o en ambos.

UNIX es una marca registrada de The Open Group en Estados Unidos y en otros países.

Otros nombres de empresas, productos y servicios pueden ser marcas registradas o marcas de servicio de otros.

Avisos

Las referencias de esta publicación a productos, programas o servicios de Tivoli Systems o IBM no implican queestén disponibles en todos los países en los que opera Tivoli Systems o IBM. Cualquier referencia a estos productos,programas o servicios no implica que sólo se puedan utilizar productos, programas o servicios de Tivoli Systems oIBM. En su lugar podrá utilizarse cualquier producto, programa o servicio que sea funcionalmente equivalentesiempre que no vulnere ningún derecho de propiedad intelectual válido ni cualquier otro derecho protegidolegalmente de Tivoli Systems o IBM. La evaluación y verificación del funcionamiento con otros productos, exceptolos designados expresamente por Tivoli Systems o IBM, son responsabilidad del usuario. Tivoli Systems o IBMpueden tener patentes o solicitudes de patentes en trámite que cubran los temas tratados en este documento. Laadquisición de este documento no le otorga ninguna licencia sobre estas patentes. Se pueden enviar solicitudes delicencia, por escrito, a IBM Director of Licensing, IBM Corporation, North Castle Drive, Armonk, New York10504-1785, Estados Unidos.

© Copyright International Business Machines Corporation 2001. Reservados todos losderechos.

Contenido

Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ixA quién va destinada esta guía. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Contenido de esta guía. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x

Publicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Biblioteca de Tivoli SecureWay Policy Director. . . . . . . . . . . . . . . . . . xi

Biblioteca de IBM SecureWay Directory. . . . . . . . . . . . . . . . . . . . . . . xii

Tivoli SecureWay Policy Director Web Portal Manager. . . . . . . . . . . . xiii

Acceso a las publicaciones en línea. . . . . . . . . . . . . . . . . . . . . . . . . .xiii

Solicitud de publicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv

Comentarios sobre las publicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . xiv

Cómo ponerse en contacto con el servicio de soporte al cliente. . . . . . . . . . xv

Convenios utilizados en este manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv

Convenios tipográficos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv

Rutas y variables dependientes del sistema operativo. . . . . . . . . . . . . . xvi

Capítulo 1. Visión general de la instalación . . . . . . . . . . . . . . 1Definición de los requisitos de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Visión general del dominio seguro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Componentes de la instalación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

IBM Global Security Toolkit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Servidor LDAP al que se da soporte. . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Cliente LDAP al que se da soporte: IBM SecureWay Directory. . . . . . . 5

Runtime Environment. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Authorization Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Authorization Application Development Kit. . . . . . . . . . . . . . . . . . . . . . 6

Web Portal Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

iiiTivoli®

SecureWay®

Policy Director Base Guía de instalación

Proceso de instalación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Opciones de instalación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Requisitos del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Sistemas operativos a los que se da soporte. . . . . . . . . . . . . . . . . . . . . . 9

Parches de Tivoli SecureWay Policy Director. . . . . . . . . . . . . . . . . . . . 10

Servidores LDAP a los que se da soporte. . . . . . . . . . . . . . . . . . . . . . . 10

IBM SecureWay Directory, Versión 3.2.1. . . . . . . . . . . . . . . . . . . 11

Netscape o iPlanet Directory Server, Versión 5.0. . . . . . . . . . . . . 12

LiveContent DIRECTORY, Release 8A.3. . . . . . . . . . . . . . . . . . . 13

Requisitos de espacio de disco y de memoria. . . . . . . . . . . . . . . . . . . . 14

Opciones de configuración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Configuración de IBM Global Security Toolkit. . . . . . . . . . . . . . . . . . 15

Configuración de servidor IBM SecureWay Directory. . . . . . . . . . . . . 16

Configuración del cliente IBM SecureWay Directory. . . . . . . . . . . . . . 18

Configuración de Runtime Environment. . . . . . . . . . . . . . . . . . . . . . . . 18

Configuración de Management Server. . . . . . . . . . . . . . . . . . . . . . . . . 19

Configuración de Authorization Server. . . . . . . . . . . . . . . . . . . . . . . . . 21

Configuración de Authorization ADK. . . . . . . . . . . . . . . . . . . . . . . . . . 23

Puertos predeterminados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Contenido del CD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Tivoli SecureWay Policy Director Base para AIX y Linux. . . . . . . . . . 24

Tivoli SecureWay Policy Director Base para Solaris y HP-UX. . . . . . . 27

Tivoli SecureWay Policy Director Base para Windows. . . . . . . . . . . . . 30

Capítulo 2. Utilización de la instalación rápida . . . . . . . . . 33Consideraciones sobre la instalación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Archivos de la instalación rápida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Proceso de la instalación rápida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Capítulo 3. Utilización de la instalación nativa . . . . . . . . . 39

iv Versión 3.8

Consideraciones sobre la instalación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Proceso de instalación nativa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Instalación de IBM Global Security Toolkit. . . . . . . . . . . . . . . . . . . . . . . . . 43

Instalación de IBM Global Security Toolkit en AIX. . . . . . . . . . . . . . . 43

Instalación de IBM Global Security Toolkit en HP-UX. . . . . . . . . . . . 43

Instalación de IBM Global Security Toolkit en Linux. . . . . . . . . . . . . . 44

Instalación de IBM Global Security Toolkit en Solaris. . . . . . . . . . . . . 45

Instalación de IBM Global Security Toolkit en Windows. . . . . . . . . . . 45

Instalación del cliente IBM SecureWay Directory. . . . . . . . . . . . . . . . . . . . . 46

Instalación del cliente IBM SecureWay Directory en AIX. . . . . . . . . . . 46

Instalación del cliente IBM SecureWay Directory en HP-UX. . . . . . . . 47

Instalación del cliente IBM SecureWay Directory en Linux. . . . . . . . . 48

Instalación del cliente IBM SecureWay Directory en Solaris. . . . . . . . . 49

Instalación del cliente IBM SecureWay Directory en Windows. . . . . . . 50

Instalación y configuración de Tivoli SecureWay Policy Director. . . . . . . . . 53

Instalación de Tivoli SecureWay Policy Director en AIX. . . . . . . . . . . 53

Instalación de Tivoli SecureWay Policy Director en HP-UX. . . . . . . . . 54

Instalación de Tivoli SecureWay Policy Director en Linux. . . . . . . . . . 55

Instalación de Tivoli SecureWay Policy Director en Solaris. . . . . . . . . 55

Configuración de Tivoli SecureWay Policy Director en UNIX. . . . . . . 56

Instalación de Tivoli SecureWay Policy Director en Windows. . . . . . . 57

Configuración de Tivoli SecureWay Policy Director en Windows. . . . . 58

Capítulo 4. Utilización de la instalación silenciosa . . . . . 61Creación de un archivo de respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Instalación de componentes mediante un archivo de respuestas. . . . . . . . . . . 62

Sintaxis de los archivos de respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Capítulo 5. Actualización desde la Versión 3.7. x . . . . . . . 67

vTivoli®

SecureWay®


Visión general de la migración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Consideraciones sobre la migración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Actualización de Management Server a la Versión 3.8. . . . . . . . . . . . . . . . . 70

Actualización de otros sistemas a la Versión 3.8. . . . . . . . . . . . . . . . . . . . . . 75

Restauración de un sistema a la Versión 3.7x . . . . . . . . . . . . . . . . . . . . . . . . 80

Edición del archivo de configuración de la migración. . . . . . . . . . . . . . . . . . 82

Realización de una copia de seguridad de los datos de Tivoli SecureWayPolicy Director . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Restauración de los datos de Tivoli SecureWay Policy Director. . . . . . . . . . 87

Capítulo 6. Desinstalación de Tivoli SecureWay PolicyDirector, Versión 3.8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Consideraciones sobre la desinstalación. . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Desinstalación de Tivoli SecureWay Policy Director en AIX. . . . . . . . . . . . 92

Desinstalación de Tivoli SecureWay Policy Director en HP-UX. . . . . . . . . . 93

Desinstalación de Tivoli SecureWay Policy Director en Linux. . . . . . . . . . . 94

Desinstalación de Tivoli SecureWay Policy Director en Solaris. . . . . . . . . . . 94

Desconfiguración de Tivoli SecureWay Policy Director en UNIX. . . . . . . . . 95

Desinstalación de Tivoli SecureWay Policy Director en Windows. . . . . . . . . 96

Apéndice A. Configuración de servidores LDAP paraTivoli SecureWay Policy Director . . . . . . . . . . . . . . . . . . . . . . . . 99

Visión general de la configuración del servidor LDAP. . . . . . . . . . . . . . . . . 99

Configuración del servidor IBM SecureWay Directory. . . . . . . . . . . . . . . . 101

Configuración de iPlanet Directory Server. . . . . . . . . . . . . . . . . . . . . . . . . 109

Configuración de LiveContent DIRECTORY. . . . . . . . . . . . . . . . . . . . . . . 114

Carga del archivo de esquema de Tivoli SecureWay Policy Director 115

Adición de definiciones de tipos de objetos y atributos. . . . . . . . 116

vi Versión 3.8

Actualización de los sufijos de búsqueda de LiveContentDIRECTORY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Configuración del puerto DAP de LiveContent DIRECTORY. . . . . . . 120

Configuración del host de Tivoli SecureWay Policy Director. . . . . . . 121

Obtención de archivos de LiveContent DIRECTORY. . . . . . . . . 121

Configuración y verificación de enlaces. . . . . . . . . . . . . . . . . . . 123

Actualización de los esquemas de la DAC de LiveContentDIRECTORY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

Apéndice B. Habilitación de Secure Sockets Layer 127Configuración del servidor IBM SecureWay Directory para acceso SSL 128

Creación del archivo de base de datos de claves y el certificado. . . . . 129

Obtención de un certificado personal de una entidad emisora decertificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Creación y extracción de un certificado autofirmado. . . . . . . . . . . . . . 131

Habilitación del acceso SSL en el servidor LDAP. . . . . . . . . . . . . . . 133

Configuración de iPlanet Directory Server para acceso SSL. . . . . . . . . . . . 136

Obtención de un certificado del servidor. . . . . . . . . . . . . . . . . . . . . . 137

Instalación del certificado del servidor. . . . . . . . . . . . . . . . . . . . . . . . 139

Habilitación del acceso SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

Configuración del cliente IBM SecureWay Directory para acceso SSL. . . . 141

Creación de un archivo de base de datos de claves. . . . . . . . . . . . . . . 141

Adición de un certificado de firmante. . . . . . . . . . . . . . . . . . . . . . . . 143

Prueba del acceso SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

Configuración de la autenticación de servidor y cliente LDAP. . . . . . . . . . 145

Creación de un archivo de base de datos de claves. . . . . . . . . . . . . . . 146

Obtención de un certificado personal de una entidad emisora decertificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Creación y extracción de un certificado autofirmado. . . . . . . . . . . . . . 148

Adición de un certificado de firmante. . . . . . . . . . . . . . . . . . . . . . . . 151

Prueba del acceso SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

viiTivoli®

SecureWay®


Apéndice C. Utilidades de migración . . . . . . . . . . . . . . . . . . 155Sintaxis de migrate37 y migrate38. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Sintaxis de pdupgrade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

Utilidades de copia de seguridad y restauración. . . . . . . . . . . . . . . . . . . . . 164

Utilización del comando db2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

Uso de la utilidad DB2LDIF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

viii Versión 3.8

Prefacio

Tivoli® SecureWay® Policy Director es el software base que senecesita para ejecutar aplicaciones del conjunto de aplicacionesTivoli SecureWay Policy Director. Permite la integración de lasaplicaciones Tivoli SecureWay Policy Director que ofrecen unaamplia gama de soluciones de autorización y gestión. Estosproductos, que se venden como una solución integrada, proporcionanuna solución de gestión de control de accesos que centraliza lapolítica de seguridad de redes y de aplicaciones para aplicaciones dee-business.

En la publicaciónTivoli SecureWay Policy Director Base Guía deinstalaciónse explica cómo hay que instalar, configurar y actualizarel software de Tivoli SecureWay Policy Director.

A quién va destinada esta guíaEsta guía va dirigida a administradores de sistemas responsables dela instalación y despliegue de Tivoli SecureWay Policy Director.

Los usuarios deberán tener experiencia con lo siguiente:

¶ Sistemas operativos PC y UNIX®

¶ Conceptos y arquitectura de base de datos

¶ Gestión de seguridad

¶ Protocolos de Internet, incluidos HTTP, TCP/IP, protocolo detransferencia de archivos (FTP) y telnet

¶ Lightweight Directory Access Protocol (LDAP) y servicios dedirectorio

¶ Autenticación y autorización

Si habilita la comunicación SSL (Secure Sockets Layer), tambiéndeberá tener experiencia con el protocolo SSL, el intercambio declaves (públicas y privadas), las firmas digitales, los algoritmoscriptográficos y las autoridades de certificación.

ixTivoli®

SecureWay®


Contenido de esta guíaEsta guía contiene los apartados siguientes:

¶ Visión general de la instalación

Describe los componentes de la instalación en un dominioseguro, ofrece una visión general del proceso de instalación yexplica las opciones de instalación y configuración. Este capítulotambién contiene información acerca de los requisitos delsistema necesarios para instalar y configurar Tivoli SecureWayPolicy Director.

¶ Utilización de la instalación rápida

Indica los pasos a seguir la primera vez que realice la instalacióny configuración de Tivoli SecureWay Policy Director. Lainstalación rápida se realiza fácilmente mediante el uso descripts de shell para sistemas UNIX y archivos de proceso porlotes para sistemas Microsoft® Windows®. También puedeutilizar la instalación rápida para agregar un componente o paraconfigurar un nuevo sistema en un dominio seguro existente.

¶ Utilización de la instalación nativa

Proporciona instrucciones para instalar y configurar TivoliSecureWay Policy Director mediante utilidades de sistemasoperativos nativos. A diferencia de los scripts de la instalaciónrápida, debe instalar manualmente cada componente y todos losparches necesarios.

¶ Utilización de la instalación silenciosa

Proporciona instrucciones para utilizar los archivos de respuestascon el fin de instalar varios componentes a la vez.

¶ Actualización desde la Versión 3.7.x

Explica cómo actualizar un dominio seguro de Tivoli SecureWayPolicy Director, Versión 3.7.x, a Tivoli SecureWay PolicyDirector, Versión 3.8. Este capítulo también explica cómorestaurar un sistema a la Versión 3.7.x, si es necesario.

¶ Desinstalación de Tivoli SecureWay Policy Director, Versión 3.8

Proporciona instrucciones para desconfigurar y eliminar loscomponentes de Tivoli SecureWay Policy Director.

Prefacio

x Versión 3.8

¶ Configuración de servidores LDAP para Tivoli SecureWayPolicy Director

Describe cómo configurar servidores LDAP a los que se désoporte para utilizarlos con Tivoli SecureWay Policy Director.

¶ Habilitación de Secure Sockets Layer

Explica cómo habilitar el cifrado de datos SSL para tenercomunicaciones seguras entre el servidor LDAP y los clientesIBM SecureWay Directory.

¶ Utilidades de migración

Proporciona información de consulta al actualizar TivoliSecureWay Policy Director, Versión 3.7.x a la Versión 3.8.

PublicacionesEn este apartado se enumeran las publicaciones de la biblioteca deTivoli SecureWay Policy Director y otros documentos relacionados.También se describe cómo acceder a las publicaciones en línea deTivoli, cómo solicitar publicaciones de Tivoli y cómo realizarcomentarios sobre las publicaciones de Tivoli.

Biblioteca de Tivoli SecureWay Policy DirectorLos siguientes documentos están disponibles en el directorio/docdel CD de Tivoli SecureWay Policy Director Base de su plataformaespecífica y en el sitio web de soporte al cliente de Tivoli. Paraobtener fuentes de información adicionales acerca de TivoliSecureWay Policy Director y temas relacionados, entre los que seincluyen LDAP y la infraestructura de claves públicas, consulte elsiguiente sitio web:

http://www.ibm.com/redbooks

¶ Tivoli SecureWay Policy Director Notas del release,(pd38_relnotes.pdf )

Proporciona información de última hora, como limitaciones desoftware, soluciones y disponibilidad de parches.

¶ Tivoli SecureWay Policy Director Base Guía de administración,GC32-0680 (pd38_admin.pdf )

Prefacio

xiTivoli®

SecureWay®


Describe los conceptos y procedimientos para utilizar losservicios de Tivoli SecureWay Policy Director. Proporciona lasinstrucciones para realizar tareas desde la interfaz de línea decomandospdadmin.

La siguiente documentación suplementaria sólo está disponible en elsitio web de soporte al cliente de Tivoli. Para obtener informaciónsobre cómo acceder a este sitio web, consulte el apartado “Acceso alas publicaciones en línea” en la página xiii.

¶ Tivoli SecureWay Policy Director Base Administration APIDeveloper’s Reference

Proporciona material de consulta acerca de la utilización de laAPI de administración para permitir que una aplicación realicetareas de administración de Tivoli SecureWay Policy Director.Este documento describe las implementaciones Java™ y C de laAPI de administración.

¶ Tivoli SecureWay Policy Director Base Authorization ADKDeveloper’s Reference

Proporciona material de consulta acerca de la utilización de lasherramientas de desarrollo y la API de autorización para permitirque una aplicación utilice la seguridad de Tivoli SecureWayPolicy Director. Este documento describe las implementacionesJava y C de la API deautorización.

¶ Tivoli SecureWay Policy Director Base Capacity Planning Guide

Ayuda a los planificadores a determinar el número de servidoresWebSEAL, LDAP y de proceso de fondo que se necesitan paraconseguir una carga de trabajo determinada.

¶ Tivoli SecureWay Policy Director Base Performance TuningGuide

Proporciona información sobre el ajuste del rendimiento de unentorno formado por Tivoli SecureWay Policy Director ycomponentes WebSEAL.

Biblioteca de IBM SecureWay DirectoryIBM SecureWay Directory, Versión 3.2.1, se suministra en el CD deTivoli SecureWay Policy Director Base de su plataforma específica.

Prefacio

xii Versión 3.8

Si tiene la intención de instalar el servidor IBM SecureWayDirectory, tiene a su disposición el siguiente documento en eldirectorio /doc/Directory/ install_config_guide/plataforma :

¶ IBM SecureWay Directory Installation and Configuration Guide(aparent.htm)

Proporciona información sobre la instalación, configuración ymigración de los componentes de IBM SecureWay Directory enlos sistemas operativos AIX, Solaris y Windows.

Para obtener más información acerca de IBM SecureWay Directory,vaya al siguiente sitio web:

http://www.software.ibm.com/network/directory/library/

Tivoli SecureWay Policy Director Web Portal ManagerSi ha recibido un CD deTivoli SecureWay Policy Director WebPortal Managercon su solución de Tivoli SecureWay PolicyDirecto, podrá instalar la interfaz del gestor de portales web. Estainterfaz gráfica de usuario (GUI) basada en web le permite realizartareas de administración de Tivoli SecureWay Policy Director. Elgestor de portales web sustituye la consola de gestión suministradaanteriormente con Tivoli SecureWay Policy Director.

El siguiente documento se encuentra en el directorio/doc:

¶ Tivoli SecureWay Policy Director Web Portal Manager Guía deadministración, GC10-3704 (pdwpm38_admin.pdf )

Proporciona información acerca de la instalación del gestor deportales web y la administración de los servidores de TivoliSecureWay Policy Director mediante su utilización.

Acceso a las publicaciones en líneaPuede acceder a muchas publicaciones en línea de Tivoli en el sitioweb de Soporte al cliente de Tivoli:

http://www.tivoli.com/support/documents/

Prefacio

xiiiTivoli®

SecureWay®


Estas publicaciones están disponibles en formato PDF, HTML o enambos. También se dispone de publicaciones traducidas para algunosproductos.

Para acceder a la mayor parte de la documentación, necesita un ID yuna contraseña. En caso necesario, puede obtener estadocumentación del siguiente sitio web:

http://www.tivoli.com/support/getting/

Solicitud de publicacionesPuede solicitar publicaciones en línea de Tivoli en el sitio websiguiente:

http://www.ibm.com/shop/publications/order

También puede realizar sus pedidos por teléfono llamando a uno delos siguientes números:

¶ Desde Estados Unidos: 800-879-2755

¶ In Canada: 800-426-4968

¶ Desde otros países, consulte el siguiente sitio web para obteneruna lista de números de teléfono:

http://www.tivoli.com/inside/store/lit_order.html

Comentarios sobre las publicacionesNos interesa saber su opinión sobre los productos y documentaciónde Tivoli y le agradecemos sus sugerencias para mejorarlos. Si tienealgún comentario o sugerencia sobre nuestros productos ydocumentación, póngase en contacto con nosotros de una de lassiguientes formas:

¶ Envíe un mensaje de correo electrónico a [email protected].

¶ Rellene la encuesta de opinión del cliente en el siguiente sitioweb:

http://www.tivoli.com/support/survey/

Prefacio

xiv Versión 3.8

Cómo ponerse en contacto con el servicio desoporte al cliente

Si tiene algún problema con cualquier producto de Tivoli, puedeponerse en contacto con el servicio de soporte al cliente de Tivoli.Consulte la publicaciónTivoli Customer Support Handbook(unaguía de servicios de soporte) en el siguiente sitio web:

http://www.tivoli.com/support/handbook/

La publicación proporciona información sobre cómo ponerse encontacto con el servicio de soporte al cliente de Tivoli, según lagravedad de su problema y la siguiente información:

¶ Registro y elegibilidad

¶ Números de teléfono y direcciones de correo electrónico, segúnel país donde se encuentre

¶ Qué información debe reunir antes de ponerse en contacto con elservicio de soporte

Convenios utilizados en este manualEn esta guía se utilizan varios convenios para términos y accionesespeciales, además de rutas y comandos que dependen del sistemaoperativo.

Convenios tipográficosEn esta guía se utilizan los siguientes convenios tipográficos:

Negrita Los comandos en minúscula y que mezclancaracteres en mayúsculas y minúsculas, las opcionesde comandos y los distintivos que aparecen en eltexto tienenesteaspecto, ennegrita.

Los elementos de la interfaz gráfica de usuario (aexcepción de los títulos de las ventanas y diálogos)también tienenesteaspecto, ennegrita.

Cursiva Las variables, los valores que debe proporcionar, los

Prefacio

xvTivoli®

SecureWay®


términos nuevos y las palabras y frases que seresaltan tienenesteaspecto, encursiva.

MonoespaciadoLos comandos, las opciones de comandos y losdistintivos que aparecen en una línea diferente, losejemplos de código, la salida y el texto de losmensajes tieneneste aspecto, enmonoespaciado.

Los nombres de los archivos y directorios, lascadenas de texto que debe escribir y, cuandoaparecen en el texto, los nombres de las clases ymétodos Java y los indicadores HTML y XMLtambién tieneneste aspecto, enmonoespaciado.

Rutas y variables dependientes del sistema operativoEsta guía utiliza la convención UNIX para especificar las variablesde entorno y la notación de directorios.

Al utilizar la línea de comandos de Windows, sustituya$variable por%variable% para las variables de entorno y sustituya cada barrainclinada (/) por una barra inclinada invertida (\) en las rutas de losdirectorios.

Nota: Si está utilizando el shell bash en un sistema Windows, puedeutilizar los convenios UNIX.

Prefacio

xvi Versión 3.8

Visión general de la instalación

Antes de comenzar con la instalación de Tivoli SecureWay PolicyDirector Versión 3.8, debe familiarizarse con sus componentes y lasdecisiones de configuración que debe tomar durante la instalación.

Este capítulo contiene los apartados siguientes:

¶ Definición de los requisitos de seguridad

¶ Visión general del dominio seguro

¶ Componentes de la instalación

¶ Proceso de instalación

¶ Opciones de instalación

¶ Requisitos del sistema

¶ Opciones de configuración

¶ Contenido del CD

Definición de los requisitos de seguridadAntes de implementar una solución concreta de Tivoli SecureWayPolicy Director, debe determinar las posibilidades de gestión y deseguridad específicas que requiera su red.

El primer paso para planificar el despliegue de un entorno deseguridad de Tivoli SecureWay Policy Director es definir losrequisitos de seguridad de su entorno informático. Definir los

1

1Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación

requisitos de seguridad significa determinar las políticas de laempresa que deben aplicarse a usuarios, programas y datos. Estoconlleva definir lo siguiente:

¶ Los objetos que se han de proteger

¶ Las acciones que se permiten realizar en cada objeto

¶ Los usuarios que pueden realizar estas acciones

Para aplicar una política de seguridad es necesario comprender elflujo de peticiones de acceso que se lleva a cabo en toda la topologíade su red. Esto conlleva identificar las ubicaciones y los rolescorrectos para los cortafuegos, los enrutadores y las subredes. Eldespliegue de un entorno de seguridad de Tivoli SecureWay PolicyDirector (denominadodominio seguro) también implica identificarcuáles son los puntos óptimos de la red para instalar el software queevalúe las peticiones de acceso del usuario y conceda o deniegue elacceso que ha solicitado.

Para implementar una política de seguridad es necesario saber lacantidad de usuarios, datos y rendimiento que la red deberá manejar.También se deben evaluar las características de rendimiento, sipresenta posibilidades de escalado y si es necesaria la función desustitución automática de un sistema por otro en caso de anomalía.También se deben tener en cuenta temas como la integración de lasbases de datos, las aplicaciones y el software de herencia con elsoftware de Tivoli SecureWay Policy Director.

Después de comprender las características que desee desplegar,puede decidir qué componentes y aplicaciones de Tivoli SecureWayPolicy Director se pueden combinar para obtener la mejorimplementación de su política de seguridad.

Visión general del dominio seguroLa familia de productos Tivoli SecureWay Policy Director estábasada en un modelo en que se combinan un conjunto de servidoresy bibliotecas de ejecución con una o más aplicaciones, como TivoliSecureWay Policy Director para sistemas operativos. Los servidores

Definición de los requisitos de seguridad

2 Versión 3.8

y bibliotecas de ejecución proporcionan una infraestructura deseguridad que incluye bibliotecas de autenticación y deautorizaciones.

El dominio seguro de Tivoli SecureWay Policy Director es unentorno de sistemas seguro en el que Tivoli SecureWay PolicyDirector aplica sus políticas de seguridad para autenticación,autorización y control de accesos. En el gráfico siguiente serepresentan las estaciones de trabajo de un dominios seguro típico.Para obtener descripciones de estos componentes, consulte elapartado “Componentes de la instalación” en la página 4.

Con fines ilustrativos, en este gráfico se representa una sola estaciónde trabajo para cada tipo de servidor de configuración/gestión,servidor de autorizaciones, etc. De este modo se facilita laidentificación de los componentes obligatorios al configurar undominio seguro en la topología de red propia.

Tenga presente que también puede instalar todo el software necesariopara configurar y utilizar un dominio seguro en una estación detrabajo autónoma. Esto resulta útil cuando se crea un prototipo dedespliegue o se desarrolla y prueba una aplicación. También es

Visión general del dominio seguro

3Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación

posible que desee agregar sistemas a un dominio seguro como, porejemplo, un sistema de tiempo de ejecución o un sistema dedesarrollo con el ADK (Authorization Application Development Kit).

Los componentes mínimos obligatorios para un sistema que albergueun dominio seguro son los siguientes:

¶ Un servidor LDAP (Lightweight Directory Access Protocol) alque se da soporte

¶ Cliente IBM SecureWay Directory

¶ IBM Global Security Toolkit (GSKit)

¶ Runtime Environment

¶ Management Server

Componentes de la instalaciónEn este apartado se proporciona una visión general de loscomponentes de instalación de que consta un dominio seguro. Paralas versiones a las que se da soporte, información sobre el sistemaoperativo y requisitos de espacio de disco y memoria, consulte elapartado “Requisitos del sistema” en la página 8.

IBM Global Security ToolkitTivoli SecureWay Policy Director proporciona el cifrado de datosmediante IBM Global Security Toolkit (GSKit), una implementacióndel protocolo SSL (Secure Sockets Layer) Versión 3.0. Debe instalarGSKit, Versión 4.0.3.168 antes de instalar Tivoli SecureWay PolicyDirector Runtime Environment.

El paquete de GSKit también instala la utilidad de gestión de clavesiKeyman (gsk4ikm), que le permite crear bases de datos de claves,pares de claves pública-privada y solicitudes de certificado.

Servidor LDAP al que se da soporteTivoli SecureWay Policy Director, Versión 3.8, da soporte a losservidores LDAP siguientes:

¶ Servidor IBM SecureWay Directory, Versión 3.2.1

Visión general del dominio seguro

4 Versión 3.8

¶ iPlanet Directory Server, Versión 5.0

¶ LiveContent DIRECTORY, Release 8A.3

Para obtener información sobre los sistemas operativos a los que seda soporte y el software de requisito previo, consulte el apartado“Requisitos del sistema” en la página 8.

Cliente LDAP al que se da soporte: IBM SecureWayDirectory

Tivoli SecureWay Policy Director da soporte a un cliente LDAP: elcliente de IBM SecureWay Directory, Versión 3.2.1. Este cliente seproporciona con IBM SecureWay Directory en el CD de TivoliSecureWay Policy Director Base para la plataforma de que dispone.

El cliente de IBM SecureWay Directory da soporte completo acualquiera de los servidores LDAP de la lista que aparece en elapartado “Servidor LDAP al que se da soporte” en la página 4. Debeinstalar y configurar este cliente LDAP en cada sistema en el que seejecute Tivoli SecureWay Policy Director.

En el paquete de instalación del cliente LDAP se incluyen dosinterfaces gráficas de usuario (GUI). La interfaz de administraciónde servidores basada en web le permite realizar tareas de servidor ybases de datos. La herramienta de gestión de directorios (DMT) lepermite examinar y editar información en el directorio como, porejemplo, definiciones de esquema, el árbol de directorios y lasentradas de datos. Hay disponible documentación detallada para cadainterfaz a través de los sistemas de ayuda en línea.

Runtime EnvironmentRuntime Environment contiene bibliotecas de ejecución y archivosde soporte que las aplicaciones pueden utilizar para acceder a losservidores de Tivoli SecureWay Policy Director. Debe instalarRuntime Environment en cada uno de los sistemas que formen partedel dominio seguro.

Management ServerManagement Server mantiene la base de datos de políticas deautorización maestra para el dominio seguro. Este servidor resulta

Componentes de la instalación

5Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación

clave para el proceso de las solicitudes de autorización, autenticacióny control de accesos. También actualiza réplicas de base de datos deautorización y mantiene la información de ubicación sobre otrosservidores de Tivoli SecureWay Policy Director en el dominioseguro.

Sólo puede haber una instancia de Management Server y su base dedatos de autorizaciones maestras en cualquier dominio segurosimultáneamente. No obstante, puede tener un segundo servidor enmodalidad de espera para proporcionar posibilidades de migracióntras error en frío. Management Server replica su base de datos delista de control de accesos (ACL) a todos los demás servidoresTivoli SecureWay Policy Director del dominio seguro.

Authorization ServerAuthorization Server descarga las decisiones de autorización ycontrol de accesos de Management Server. Mantiene una réplica dela base de datos de autorización y funciona como el evaluador de latoma de decisiones de autorización. Un Authorization Serverindependiente también proporciona acceso al servicio deautorizaciones para aplicaciones de terceros que utilicen la API deautorizaciones de Tivoli SecureWay Policy Director en modalidad deantememoria remota. Este componente es opcional.

Authorization Application Development KitEl ADK (Authorization Application Development Kit) proporcionaun entorno de desarrollo que le permite codificar aplicaciones deterceros para consultar decisiones de autorización a AuthorizationServer. La API de autorizaciones protege las aplicaciones frente a lacomplejidad de los servicios de autorización, entre los que seincluyen los métodos de almacenamiento, colocación enantememoria, réplica y autenticación. Este componente es opcional.

Web Portal ManagerLa GUI de Web Portal Manager le permite efectuar tareas deadministración de servidor que puede realizar desde la interfaz delínea de comandospdadmin. Entre las tareas se incluye la gestiónde información de usuarios, creación de grupos, el inicio y detenciónde servidores, etc. Esta interfaz de usuario basada en web se


6 Versión 3.8

proporciona independientemente del CD deTivoli SecureWay PolicyDirector Web Portal Manager. Este componente es opcional.

Proceso de instalaciónEn este apartado se enumeran los pasos necesarios que debenefectuarse para crear un dominio seguro. Los pasos generales quedeben realizarse son los siguientes:

1. Planifique el despliegue de Tivoli SecureWay Policy Director.Asegúrese de que comprende los requisitos de seguridad de laempresa para los que se va a desplegar SecureWay PolicyDirector. Decida qué combinación de componentes de TivoliSecureWay Policy Director desea instalar y compruebe que sesatisfagan los requisitos listados en la página 8. Para obtener másinformación, consulte el apartado “Definición de los requisitos deseguridad” en la página 1.

2. Elija un método de instalación para instalar Tivoli SecureWayPolicy Director, Versión 3.8, y siga las instrucciones deinstalación que se proporcionen. Para obtener más información,consulte el apartado “Opciones de instalación” en la página 7.

Opciones de instalaciónTivoli SecureWay Policy Director ofrece los métodos de instalaciónsiguientes. Seleccione el método que mejor se adapte a susrequisitos.

Tabla 1. Opciones de instalaciónOpción Objetivo Pasos

Instalación rápida Utilice esta opción si deseaagilizar la instalación yconfiguración de un nuevodominio seguro. Tambiénpuede utilizar esta opciónpara agregar un componenteo para configurar nuevossistemas en un dominioseguro existente.

Consulte el apartado“Utilización de lainstalación rápida” enla página 33.


7Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación

Tabla 1. Opciones de instalación (continuación)Opción Objetivo Pasos

Instalación nativa Utilice esta opción si deseair paso a paso en lainstalación y configuraciónde los componentes deTivoli SecureWay PolicyDirector utilizando losprocedimiento nativos delsistema operativo.

Consulte el apartado“Utilización de lainstalación nativa” enla página 39.

Instalaciónsilenciosa

Utilice esta opción si deseacrear un script del procesode instalación. Esta opciónresulta útil cuando seinstalan varios componentesa la vez.

Consulte el apartado“Utilización de lainstalación silenciosa”en la página 61.

Migración Utilice esta opción si migrade Tivoli SecureWay PolicyDirector, Versión 3.7.x.

Si actualiza desde la Versión3.6, primero debe actualizarla Versión 3.7.x. Consulte ladocumentación de la Versión3.7.x del producto paraobtener las instrucciones deinstalación.

Consulte el apartado“Actualización desdela Versión 3.7.x” en lapágina 67.

Requisitos del sistemaTivoli SecureWay Policy Director tiene requisitos de software yhardware específicos que deben cumplirse antes de que puedainstalarse y de que pueda considerarse totalmente operativo. Entreestos requisitos se incluyen los sistemas operativos, las plataformashardware, los parches, etc. Los requisitos listados en los apartadossiguientes constituyen el entorno recomendado para los componentesde Tivoli SecureWay Policy Director en el momento de lapublicación de esta documentación. Para obtener la información más

Opciones de instalación

8 Versión 3.8

actualizada, consulte la publicaciónTivoli SecureWay Policy DirectorNotas del release, Versión 3.8en el sitio web del soporte al clientede Tivoli.

Sistemas operativos a los que se da soporteLos siguientes sistemas operativos, excepto Linux (que sólo dasoporte a los componentes Runtime Environment y ADK deautorización) dan soporte a los componentes de Tivoli SecureWayPolicy Director Versión 3.8:

¶ Hewlett-Packard HP-UX 11.0

¶ IBM AIX 4.3.3 con lo siguiente:

v Parche debos.rte.libpthreads al nivel 4.3.3.51 o superior

Nota: puede bajar este parche de la dirección web siguiente:

http://www-1.ibm.com/support/rs6000.html

¶ Microsoft Windows NT 4.0 con lo siguiente:

v Service Pack 6a

v Sistema de archivos NTFS (recomendado)

¶ Microsoft Windows 2000 Advanced Server con lo siguiente:

v Service Pack 1

v Sistema de archivos NTFS (recomendado)

¶ Red Hat Linux 7.1 con lo siguiente:

v rpm-3.0.5-27mdk.i586.rpm o superior que3.0.5-27

Nota: puede encontrar este paquete en la dirección websiguiente:http://www.redhat.com

v Linux Mandrake 7.2 Powerpacklibstdc++-2.95.2-12mdk.i586.rpm

Nota: puede encontrar este paquete en la dirección websiguiente:

Requisitos del sistema

9Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación

http://www.linux-mandrake.com

¶ Sun Solaris 2.7 y 2.8

Parches de Tivoli SecureWay Policy DirectorEl CD de Tivoli SecureWay Policy Director Base contiene losdirectorios de parches siguientes.

Nota: para obtener la ruta completa de estos directorios en elsistema operativo de que disponga, consulte el apartado“Contenido del CD” en la página 23.

patches Contiene todos los parches necesarios para lainstalación de los componentes de Tivoli SecureWayPolicy Director. Si se necesitan los parches tras lainstalación, siga las instrucciones de instalación delarchivoLÉAME ubicado en el directorio. Si losparches no son necesarios, este directorio estarávacío.

ldap_efix4 o Efix4Contiene un parche que debe instalarse después deinstalar el cliente IBM SecureWay Directory, elservidor IBM SecureWay Directory o ambos. Esteparche es necesario sólo en las plataformas AIX,Solaris y Windows. En sistemas AIX y Solaris, esteparche se encuentra en el directorioldap_efix4. Ensistemas Windows, se encuentra en el directorioEfix4.

Si utiliza la instalación rápida para instalar loscomponentes de IBM SecureWay Directory, esteparche se instala automáticamente. Si utiliza lainstalación nativa, debe instalar manualmente elparche siguiendo las instrucciones de instalaciónproporcionadas en el archivoLÉAME.

Servidores LDAP a los que se da soporteTivoli SecureWay Policy Director, Versión 3.8, da soporte a losservidores LDAP siguientes. En los apartados siguientes se enumeranlos sistemas operativos a los que se da soporte, los requisitos previos


10 Versión 3.8

necesarios y las notas del release conocidos en el momento de lapublicación de esta documentación.

IBM SecureWay Directory, Versión 3.2.1El servidor IBM SecureWay Directory se suministra en el CD deTivoli SecureWay Policy Director Base para las plataformas AIX

®

,Solaris y Windows. Los sistemas operativos siguientes dan soporte aeste servidor LDAP:

¶ IBM AIX 4.3.3

¶ Microsoft Windows NT 4.0 con Service Pack 6a

¶ Microsoft Windows 2000 Advanced Server

¶ Sun Solaris 2.7 y Solaris 2.8

El software de requisito previo para el servidor IBM SecureWayDirectory es el siguiente:

Nota: el parcheefix4 de IBM SecureWay Directory, IBM DB2 y elservidor web IBM HTTP se suministran en el CD de TivoliSecureWay Policy Director Base para sistemas AIX, Solaris yWindows.

¶ Parcheefix4 de IBM SecureWay Directory

¶ IBM DB2®

Universal Database Edition, Versión 6.1, conFixPak3

¶ Uno de los servidores web a los que se da soporte siguientes:

v Apache Server 1.3.12

v Servidor IBM HTTP, Versión 1.3.12

v Servidor web de Lotus®

Domino™

Enterprise 5.0.2b

v Microsoft Internet Information Server 4.0

v Netscape Enterprise Server 3.6.3, 4.0

v Netscape FastTrack Server 3.01


11Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación

Atención:

¶ Si ya tiene un servidor IBM SecureWay Directory y deseautilizarlo para Tivoli SecureWay Policy Director, compruebe queactualiza el servidor al nivel de IBM SecureWay DirectoryVersión 3.2. Para obtener instrucciones sobre la migración,consulte la publicaciónIBM SecureWay Directory Installationand Configuration Guide.

¶ Si ya tiene una versión preexistente de LDAP procedente de unproveedor que no sea IBM, debe desinstalarla antes de instalarIBM SecureWay Directory. Si trata de instalar IBM SecureWayDirectory sin eliminar la versión del otro proveedor, losconflictos de nombre de archivo resultantes pueden provocar queninguna de las versiones funcione.

¶ En sistemas Windows, siNO utiliza la instalación rápida parainstalar el servidor IBM SecureWay Directory, compruebe queinstala IBM DB2 (que es un requisito previo) desde el directoriosiguiente:windows/Directory/ldap32_us/db2

Netscape o iPlanet Directory Server, Versión 5.0Los sistemas operativos siguientes dan soporte a iPlanet DirectoryServer Versión 5.0:

¶ Hewlett-Packard HP-UX 11.0

¶ IBM AIX 4.3.3

¶ Microsoft Windows NT 4.0 con Service Pack 6a

¶ Microsoft Windows 2000 Advanced Server

¶ Red Hat Linux 7.1


Para obtener instrucciones sobre la instalación, consulte ladocumentación del producto acompaña al servidor LDAP.


12 Versión 3.8

Atención:

¶ Este servidor LDAP requiere que se instale GSKit sólo si instalaRuntime Environment en la misma estación de trabajo. SSL nonecesita GSKit porque iPlanet Directory Server incorporacapacidad SSL.

¶ Si ya tiene instalado un servidor Netscape o iPlanet DirectoryServer y desea utilizarlo para Tivoli SecureWay Policy Director,compruebe que actualiza el servidor al nivel de iPlanet DirectoryServer Versión 5.0. Para obtener instrucciones sobre lamigración, consulte la publicacióniPlanet Directory Server,Versión 5.0 Installation Guideen la dirección web siguiente:

http://docs.iplanet.com/docs/manuals/directory.html#dirserver50

LiveContent DIRECTORY, Release 8A.3Los sistemas operativos siguientes dan soporte a LiveContentDIRECTORY Release 8A.3:


¶ Microsoft Windows NT 4.0 con Service Pack 4 o superior

Para obtener instrucciones sobre la instalación, consulte ladocumentación del producto acompaña al servidor LDAP.


13Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación

Atención:

¶ LiveContent DIRECTORY no da soporte a SSL.

¶ Si instala LiveContent DIRECTORY y el cliente IBMSecureWay Directory en el mismo sistema, se instalan doscopias de las utilidades LDAP en el sistema. Compruebe queTivoli SecureWay Policy Director utilice la versión cliente deIBM SecureWay Directory. Tivoli SecureWay Policy Director esincompatible con la versión de las utilidades LDAP que seproporcionan con LiveContent DIRECTORY.

Sin embargo, si utiliza Tivoli SecureWay Policy Director en unsistema Windows NT

®

y ha instalado LiveContent DIRECTORYpara obtener los archivos binarios necesarios para manipular elesquema, debe comprobar que se llame a las utilidades LDAPcorrectas en el sistema Windows. En sistemas UNIX o NT,utilice el comando siguiente para verificar de qué proveedor esel producto que se utiliza:ldapsearch –X

Si LiveContent DIRECTORY se encuentra en la rutapredeterminada, este comando hace que se visualice el nombre yla versión del proveedor. En el caso del servidor IBMSecureWay Directory, aparece el mensaje de ayuda del comando.

Requisitos de espacio de disco y de memoriaEn la Tabla 2 se indican los requisitos de espacio de disco y dememoria mínimos, y también los recomendados, para los diferentescomponentes que puede instalar en el dominio seguro.

Tabla 2. Requisitos de espacio de disco y de memoriaSistema Espacio de disco Memoria

Runtime Environment, incluidolo siguiente:

¶ Cliente IBM SecureWayDirectory

¶ GSKit

Mínimo: 65 MBcon 10 MBadicionales paralos registrosRecomendado: 70MB con 10 MBadicionales paralos registros

Mínimo: 64 MBRecomendado: 128MB


14 Versión 3.8

Tabla 2. Requisitos de espacio de disco y dememoria (continuación)Sistema Espacio de disco Memoria

Management Server Mínimo: 15 MBRecomendado: 25MB


Authorization Server Mínimo: 10 MBRecomendado: 20MB


Authorization ADK Mínimo: 10 MBRecomendado: 10MB

No aplicable

Nota: Se recomienda que supervise exhaustivamente el uso delespacio de los directorios/opt y /var en sistemas UNIX.Los componentes de Tivoli SecureWay Policy Director seinstalan en el subdirectorio/PolicyDirector de estosdirectorios en sistemas UNIX. Las bases de datos de TivoliSecureWay Policy Director también se almacenan en eldirectorio/var.

Opciones de configuraciónEn este apartado encontrará la información de configuración que senecesita durante los procesos de instalación rápida y nativa. Esrecomendable que identifique dichos valores antes de que se lossoliciten durante la instalación. Esto genera una instalación mássencilla porque ya sabe qué información se le pedirá y si alguna delas opciones reflejadas en las listas siguientes no está clara, puedetratar de resolver la cuestión antes de comenzar el proceso deinstalación.

Configuración de IBM Global Security ToolkitDespués de instalar GSKit, no es necesario efectuar ningunaconfiguración.


15Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación

Configuración de servidor IBM SecureWay DirectoryDurante la configuración del servidor IBM SecureWay Directory y elsoftware de requisito previo, se le solicita la información siguiente:

¶ ID (DN) del administrador de LDAP —Especifica el nombredistinguido del administrador de LDAP. El nombrepredeterminado escn=root.

¶ Contraseña del administrador de LDAP—Especifica lacontraseña asociada al ID del administrador de LDAP.

¶ GSO DN (Suffix)(DN de GSO (Sufijo))—Especifica el nombredistinguido de la posición en el árbol de información dedirectorios (DIT) del servidor LDAP donde está ubicada la basede datos GSO (Global Sign-On) de Tivoli. Por ejemplo:o=tivoli,c=us

Para obtener más información sobre qué entrada de GSO debeagregarse, consulte el apartado “Visión general de laconfiguración del servidor LDAP” en la página 99.

¶ Puerto de servidor LDAP—Especifica el número de puerto queel servidor LDAP escucha. El número de puerto predeterminadoes 636.

¶ Archivo de claves del cliente de SSL LDAP—Especifica elnombre de la ruta de acceso completa donde está ubicado elarchivo de base de datos de claves de GSKit del cliente enManagement Server. Puede crear su propio archivo de claves delcliente mediante la utilidad de gestión de clavesgsk4ikm(instalada con GSKit). Si utiliza la instalación rápida, esrecomendable que genere un nuevo archivo de claves antes dedesplegar Tivoli SecureWay Policy Director en la estación detrabajo. Para obtener información sobre cómo generar su propioarchivo de claves, consulte el apartado “Habilitación de SecureSockets Layer” en la página 127.

¶ Contraseña de archivo de claves SSL—Especifica lacontraseña del archivo de base de datos de claves de GSKit delcliente. El archivopd_ldapkey.kdb suministrado con lainstalación rápida tiene la contraseña predeterminadagsk4ikm.

Opciones de configuración

16 Versión 3.8

Si necesita cambiar esta contraseña mediante la utilidadgsk4ikm, debe recuperar la contraseña predeterminada paracambiarla.

¶ Etiqueta de certificado del cliente SSL(si esnecesario)—Especifica la etiqueta del archivo de base de datosde claves de GSKit de cliente del certificado del cliente quedebe enviarse al servidor si éste está configurado para requerir laautenticación del cliente durante el establecimiento de la sesiónSSL. Normalmente, el servidor LDAP requiere sólo certificadosdel lado del servidor que se hayan especificado durante lacreación del archivo.kdb del cliente y esta opción no esnecesaria. La instalación rápida proporciona un archivopd_ldapkey.kdb predeterminado, que tiene una etiquetaPDLDAP.Para obtener más información sobre la etiqueta del certificadodel cliente de SSL, consulte el apartado “Configuración de laautenticación de servidor y cliente LDAP” en la página 145.

Las opciones de configuración delservidor IBM HTTP son lassiguientes:

¶ ID de administración—Especifica el usuarioroot para sistemasUNIX. Para sistemas Windows, especifica el ID deladministrador con el que ha iniciado la sesión en su estación detrabajo.

¶ Contraseña de administración—Especifica la contraseña del IDdel administrador.

¶ Puerto HTTP—Especifica el número de puerto que utiliza elservidor IBM HTTP. Es importante tener en cuenta que tantoWebSEAL como el servidor IBM HTTP utilizan el puerto 80como puerto predeterminado. Es recomendable cambiar elnúmero de puerto del servidor IBM HTTP por 8080 para que elservidor web no interfiera con el puerto 80.

Las opciones de configuración deIBM DB2 son las siguientes:

¶ En sistemas Windows solamente, la contraseña predeterminada(db2admin) para el ID deladministrador ya se haproporcionado. Acepte esta contraseña. Si el ID de usuario no esadministrador , debe proporcionar la contraseña del usuario.


17Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación

Configuración del cliente IBM SecureWay DirectoryDespués de instalar el cliente IBM SecureWay Directory, no esnecesario efectuar ninguna configuración. No obstante, si no utilizala instalación rápida, compruebe que instala el parcheefix4 en lossistemas AIX, Solaris y Windows. Para obtener más información,consulte el apartado “Parches de Tivoli SecureWay Policy Director”en la página 10.

Configuración de Runtime EnvironmentDurante la configuración de Runtime Environment, se le solicita lainformación siguiente:

¶ Nombre de host del servidor LDAP—Especifica el nombre dehost completo del servidor LDAP. Por ejemplo:ldapserver.tivoli.com

¶ Puerto de servidor LDAP—Especifica el número de puerto queel servidor LDAP escucha. El número de puerto predeterminadoes 636.

¶ Nombre de host de Management Server—Especifica elnombre de host completo de Management Server. Por ejemplo:pdmgr.tivoli.com

¶ Puerto de servidor SSL—Especifica el número de puerto queManagement Server utiliza para escuchar solicitudes SSL. Elnúmero de puerto predeterminado es 7135.

¶ Nombre de archivo de certificado CA de PD—Si haespecificado que se permite la bajada automática del archivo deautorización de certificados SSL durante la configuración deManagement Server, deje esta opción en blanco. No es necesariocuando se configura Runtime Environment. En caso contrario,especifique el nombre de archivo y ruta completos del archivode autorización de certificados SSL. El archivopd_ldapkey.kdbse crea durante la configuración de Management Server. Estearchivo debe copiarse localmente.


18 Versión 3.8

Atención:

v Si no utiliza la instalación rápida para instalar el servidorLDAP, este archivo no funcionará.

v Independientemente del nombre que tenga el archivo declaves que desee utilizar, la instalación rápida copia elarchivo de claves en uno de los directorios indicados másarriba. Esto proporciona a la instalación rápida una maneranueva de referirse al archivo y de localizarlo en fechasposteriores. Tenga en cuenta que el archivo de claves nocambia.

v Es recomendable que genere un nuevo archivo de clavesantes de desplegar Tivoli SecureWay Policy Director. Debegenerar el archivo de claves de SSL mediante la utilidadgsk4ikm.

v El servidor IBM SecureWay Directory se configura medianteel archivopd_ldapkey.kdb con la contraseña degsk4ikm yuna etiqueta del lado del servidor dePDLDAP.

Configuración de Management ServerDurante la configuración de Management Server, se le solicita lainformación siguiente:




¶ Contraseña de sec_master—Especifica la contraseña asociadaal ID del administrador desec_master. Se le solicita queconfirme esta contraseña.

¶ Habilitar SSL entre PD y LDAP —Especifica si SSL debehabilitarse (sí) o no (no). Si se especificasí, se solicita lainformación siguiente.


19Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación

Nota: Para obtener información sobre cómo habilitar lacomunicación SSL entre servidores LDAP y clientes IBMSecureWay Directory que den soporte al software TivoliSecureWay Policy Director, consulte el apartado“Habilitación de Secure Sockets Layer” en la página 127y el “Capítulo 6. Habilitación de Secure Sockets Layer”,en la página 93.

v Archivo de claves del cliente de SSL LDAP—Especifica elnombre de la ruta de acceso completa donde está ubicado elarchivo de base de datos de claves de GSKit del cliente enManagement Server. Debe copiar este archivo desde suubicación en el servidor LDAP.

v Etiqueta de certificado del cliente SSL(si esnecesario)—Especifica la etiqueta del archivo de base dedatos de claves GSKit del cliente del certificado del clienteque debe enviarse al servidor si éste está configurado pararequerir la autenticación del cliente durante el establecimientode la sesión SSL. Normalmente, el servidor LDAP requieresólo certificados del lado del servidor que se hayanespecificado durante la creación del archivo.kdb del clientey esta opción no es necesaria. Para obtener más informaciónsobre la etiqueta del certificado del cliente de SSL, consulteel apartado “Configuración de la autenticación de servidor ycliente LDAP” en la página 145.

v Contraseña de archivo de claves SSL—Especifica lacontraseña del archivo de base de datos de claves de GSKitdel cliente. El archivopd_ldapkey.kdb suministrado con lainstalación rápida tiene la contraseña predeterminadagsk4ikmy una etiquetaPDLDAP. Estos valores predeterminados sepueden utilizar si instala y configura el servidor IBMSecureWay Directory mediante el scriptezinstall_ldap_server. Si necesita cambiar esta contraseñamediante la utilidadgsk4ikm, debe recuperar la contraseñapredeterminada para cambiarla.

v Puerto SSL de servidor LDAP—Especifica el número depuerto que el servidor LDAP utiliza para escuchar solicitudesSSL. El número de puerto predeterminado es 636.


20 Versión 3.8

¶ DN de LDAP para base de datos de GSO—Especifica elnombre distinguido de la posición en el árbol de información dedirectorios (DIT) del servidor LDAP donde está ubicada la basede datos GSO (Global Sign-On) de Tivoli. Por ejemplo:o=tivoli,c=us

Para obtener más información sobre qué entrada de GSO debeagregarse, consulte el apartado “Visión general de laconfiguración del servidor LDAP” en la página 99.

¶ Puerto servidor SSL de PD Management Server—Especificael número de puerto que Management Server utiliza paraescuchar solicitudes SSL. El número de puerto predeterminadoes 7135.

¶ Duración del certificado de SSL PDMGR— Especifica elnúmero de días que el archivo de certificados es válido. Elnúmero de días predeterminado es 365 días.

¶ Habilitar descarga de certificados—Especifiquesí parapermitir la bajada automática del archivo de autorización decertificados SSL durante la configuración de ManagementServer. Si especificano, debe especificar el nombre de archivo yruta completos del archivo de autorización de certificadospdcacert.b64) durante la configuración de Tivoli SecureWayPolicy Director.

Configuración de Authorization ServerDurante la configuración de Authorization Server, se le solicita lainformación siguiente:


¶ Puerto de servidor LDAP—Especifica el número de puerto queel servidor LDAP utiliza para escuchar solicitudes SSL. Elnúmero de puerto predeterminado es 636.



21Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación


¶ Habilitar SSL entre PD y LDAP —Especifica si SSL debehabilitarse (sí) o no (no). Si se especificasí, se solicita lainformación siguiente.

Nota: Para obtener información sobre cómo habilitar lacomunicación SSL entre servidores LDAP y clientes IBMSecureWay Directory que den soporte al software TivoliSecureWay Policy Director, consulte el apartado“Habilitación de Secure Sockets Layer” en la página 127y el “Capítulo 6. Habilitación de Secure Sockets Layer”,en la página 93.

v Archivo de claves del cliente de SSL LDAP—Especifica elnombre de la ruta de acceso completa donde está ubicado elarchivo de base de datos de claves de GSKit del cliente enManagement Server. Debe copiar este archivo desde suubicación en el servidor LDAP.

v Etiqueta de certificado del cliente SSL(si esnecesario)—Especifica la etiqueta del archivo de base dedatos de claves GSKit del cliente del certificado del clienteque debe enviarse al servidor si éste está configurado pararequerir la autenticación del cliente durante el establecimientode la sesión SSL. Normalmente, el servidor LDAP requieresólo certificados del lado del servidor que se hayanespecificado durante la creación del archivo.kdb del clientey esta opción no es necesaria. Para obtener más informaciónsobre la etiqueta del certificado del cliente de SSL, consulteel apartado “Configuración de la autenticación de servidor ycliente LDAP” en la página 145.

v Contraseña de archivo de claves SSL—Especifica lacontraseña del archivo de base de datos de claves de GSKitdel cliente. El archivopd_ldapkey.kdb suministrado con lainstalación rápida tiene la contraseña predeterminadagsk4ikmy una etiquetaPDLDAP. Estos valores predeterminados sepueden utilizar si instala y configura el servidor IBMSecureWay Directory mediante el script


22 Versión 3.8

ezinstall_ldap_server. Si necesita cambiar esta contraseñamediante la utilidadgsk4ikm, debe recuperar la contraseñapredeterminada para cambiarla.

v Puerto SSL de servidor LDAP—Especifica el número depuerto que el servidor LDAP utiliza para escuchar solicitudesSSL. El número de puerto predeterminado es 636.

¶ Contraseña de sec_master—Especifica la contraseña asociadaal ID del administrador desec_master. Se le solicita queconfirme esta contraseña.

Configuración de Authorization ADKDespués de instalar Authorization ADK, no es necesario efectuarninguna configuración.

Puertos predeterminadosLos números de los puertos predeterminados son:

¶ Puerto no SSL del servidor LDAP: 389

¶ Puerto SSL del servidor LDAP: 636

¶ Puerto SSL de Management Server: 7135

¶ Puerto de cliente SSL del servidor LDAP: 636

Contenido del CDEn las tablas siguientes se lista el contenido de cada uno de los CDde Tivoli SecureWay Policy Director Base:

¶ Tivoli SecureWay Policy Director Base para AIX y Linux,Versión 3.8

¶ Tivoli SecureWay Policy Director Base para Solaris y HP-UX,Versión 3.8

¶ Tivoli SecureWay Policy Director Base para Windows, Versión3.8


23Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación

Tivoli SecureWay Policy Director Base para AIX yLinux

El CD deTivoli SecureWay Policy Director Base para AIX y Linux,Versión 3.8contiene los directorios siguientes:

Directorio Descripción Contenido

/ Scripts de la instalaciónrápida

Nota: Linux sólo dasoporte aezinstall_pdrtey ezinstall_pdauthadk.

¶ Authorization ADK(ezinstall_pdauthadk)

¶ Management Server(ezinstall_pdmgr)

¶ Servidor IBM SecureWayDirectory(ezinstall_ldap_server)

¶ Authorization Server(ezinstall_pdacld)

¶ Runtime Environment(ezinstall_pdrte)

/common Archivos que utiliza lainstalación rápida

/doc Documentación de TivoliSecureWay PolicyDirector

¶ Tivoli SecureWay PolicyDirector Notas del release(pd38_relnotes.pdf)

¶ Tivoli SecureWay PolicyDirector Base Guía deadministración(pd38_admin.pdf)

¶ Tivoli SecureWay PolicyDirector Base Guía deinstalación (pd38_install.pdf)

/doc/Directory/install_config_guide/aix

Documentación de IBMSecureWay Directory paraAIX

IBM SecureWay DirectoryInstallation and ConfigurationGuide (aparent.htm)

Contenido del CD

24 Versión 3.8


/linux Paquetes instalables paraLinux

¶ GSKit (gsk4bas-4.0-3.168.i386.rpm)

¶ Cliente IBM SecureWayDirectory(ldap-clientd-3.2-2.i386.rpm)

¶ Runtime Environment(PDRTE-PD-3.8.0-0.i386.rpm)

¶ Authorization ADK(PDAuthADK-PD-3.8.0-0.i386.rpm)

/linux/patches Parches de requisitoprevio de TivoliSecureWay PolicyDirector para Linux

/nls Los archivos de soporte deidioma nacional queutiliza la instalación rápida

Contenido del CD

25Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación


/usr/sys/inst.images Paquetes instalables paraAIX, incluidos losmensajes y los paquetesde documentación para losidiomas a los que se dasoporte

¶ GSKit (gskit.rte)

¶ Servidor IBM SecureWayDirectory (ldap.server yldap.max_crypto_server)

¶ Cliente IBM SecureWayDirectory (ldap.client yldap.max_crypto_client)

¶ Runtime Environment(PD.RTE)

¶ Management Server (PD.Mgr)

¶ Authorization Server(PD.Acld)

¶ Authorization ADK(PD.AuthADK )

¶ Documentación de IBMSecureWay Directory(ldap.htm.idioma)

¶ Mensajes de IBM SecureWayDirectory (ldap.msg.idioma)

¶ Conjunto de archivos de IBMDB2 (db2*)

¶ Servidor IBM HTTPD (http* )

/usr/sys/inst.images/migrate

Archivos utilizados alactualizar desde la Versión3.7.x en AIX

¶ migrate.conf

¶ migrate37

¶ migrate38

¶ pdupgrade

/usr/sys/inst.images/patches

Parches de requisitoprevio de TivoliSecureWay PolicyDirector para AIX

Contenido del CD

26 Versión 3.8


/usr/sys/inst.images/patches/ldap_efix4

Parche de IBMSecureWay Directory yarchivo LÉAME para AIX

Tivoli SecureWay Policy Director Base para Solaris yHP-UX

El CD deTivoli SecureWay Policy Director Base para Solaris yHP-UX Versión 3.8contiene los directorios siguientes:


/ Scripts de la instalaciónrápida

Nota: HP-UX NO da soportea ezinstall_ldap_server.

¶ Authorization ADK(ezinstall_pdauthadk)

¶ Management Server(ezinstall_pdmgr)

¶ Servidor IBM SecureWayDirectory(ezinstall_ldap_server)

¶ Authorization Server(ezinstall_pdacld)

¶ Runtime Environment(ezinstall_pdrte)


/doc Documentación de TivoliSecureWay Policy Director



¶ Tivoli SecureWay PolicyDirector Base Guía deinstalación(pd38_install.pdf)

Contenido del CD

27Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación


/doc/Directory/install_config_guide/solaris

Documentación de IBMSecureWay Directory paraSolaris


/hp Paquetes instalables paraHP-UX

¶ GSKit (gsk4bas)

¶ Cliente IBM SecureWayDirectory (LDAP )

¶ Runtime Environment(PDRTE)

¶ Management Server(PDMgr )

¶ Authorization Server(PDAcld)

¶ Authorization ADK(PDAuthADK )

/hp/migrate Archivos utilizados alactualizar desde la Versión3.7.x en HP-UX

¶ migrate.conf

¶ migrate37

¶ migrate38

¶ pdupgrade

/hp/patches Parches de requisito previo deTivoli SecureWay PolicyDirector para HP-UX

/nls Los archivos de soporte deidioma nacional que utiliza lainstalación rápida

Contenido del CD

28 Versión 3.8


/solaris Paquetes instalables paraSolaris

¶ GSKit (gsk4bas)

¶ Servidor IBM SecureWayDirectory (IBMldaps )

¶ Cliente IBM SecureWayDirectory (IBMldapc )

¶ Runtime Environment(PDRTE)

¶ Management Server(PDMgr )

¶ Authorization Server(PDAcld)

¶ Authorization ADK(PDAuthADK )

¶ Documentación de IBMSecureWay Directory(IBMldi idioma)

¶ Mensajes de IBMSecureWay Directory(IBMldm idioma)

¶ Conjunto de archivos deIBM DB2 (db2*)

¶ Servidor IBM HTTPD(IBMH* )

/solaris/migrate Archivos utilizados alactualizar desde la Versión3.7.x en Solaris

¶ migrate.conf

¶ migrate37

¶ migrate38

¶ pdupgrade

/solaris/patches Parches de requisito previo deTivoli SecureWay PolicyDirector para Solaris

Contenido del CD

29Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación


/solaris/patches/ldap_efix4

Parche de IBM SecureWayDirectory y archivo LÉAMEpara Solaris

Tivoli SecureWay Policy Director Base para WindowsEl CD deTivoli SecureWay Policy Director Base para WindowsVersión 3.8contiene los directorios siguientes:


/ Archivos de proceso porlotes de la instalaciónrápida

¶ Servidor IBM SecureWayDirectory(ezinstall_ldap_server.bat)

¶ Authorization Server(ezinstall_pdacld.bat)

¶ Authorization ADK(ezinstall_pdauthadk.bat)

¶ Management Server(ezinstall_pdmgr.bat)

¶ Runtime Environment(ezinstall_pdrte.bat)


/doc Documentación de TivoliSecureWay Policy Director



¶ Tivoli SecureWay PolicyDirector Base Guía deinstalación (pd38_install.pdf)

Contenido del CD

30 Versión 3.8


/doc/Directory/install_config_guide/windows

Documentación de IBMSecureWay Directory


/nls Los archivos de soporte deidioma nacional que utilizala instalación rápida

/windows/migrate Archivos utilizados alactualizar desde la Versión3.7.x

¶ migrate.conf

¶ pdupgrade.exe

¶ migrate37.exe

¶ migrate38.exe

/windows/PolicyDirector/DiskImages/Disk 1

Archivos utilizados durantela instalación de TivoliSecureWay Policy Director

Si es necesario, puedeinstalar cada paquete deTivoli SecureWay PolicyDirector por separadoutilizando los archivossetup.exede lossubdirectorios de loscomponentes.

Contiene el archivoSetup.exepara instalar los siguientescomponentes de Tivoli SecureWayPolicy Director:



¶ Authorization Server

¶ Authorization ADK

/windows/Directory/ldap32_us

Archivos utilizados durantela instalación de IBMSecureWay Directory

Si es necesario, puedeinstalar cada paquete deIBM SecureWay Directorypor separado utilizando losarchivossetup.exede lossubdirectorios de loscomponentes.

Contiene el archivosetup.exeparainstalartodoslos componentes deIBM SecureWay Directory ysoftware de requisito previo

/windows/Directory/Efix4

Parche de IBM SecureWayDirectory y archivoLÉAME

Contenido del CD

31Tivoli®

SecureWay®


1.V

isióngeneralde

lainstalación


/windows/gskit IBM Global SecurityToolkit

Contiene el archivosetup.exeparainstalar GSKit, Versión 4.0.3.168

Contenido del CD

32 Versión 3.8

Utilización de la instalaciónrápida

En este capítulo se describe cómo instalar Tivoli SecureWay PolicyDirector Versión 3.8, utilizando el método de instalación rápida. Serecomienda utilizar este método si se crea un dominio seguro o seagregan estaciones de trabajo o componentes a uno existente.

La instalación se lleva a cabo a través de la utilización de scripts deshell para sistemas UNIX y archivos de proceso por lotes parasistemas Windows. Estos scripts y archivos de proceso por lotesfacilitan la instalación de Tivoli SecureWay Policy Director alinstalar automáticamente el software de requisito previo al mismotiempo. También le permiten saber qué componentes están instaladosactualmente y se le solicita información de configuración. Despuésde que el usuario proporcione las opciones de configuraciónnecesarias, el script instala y configura los componentes sin que debaintervenir más. Si alguna vez necesita instalar dichos componentesotra vez, puede ejecutar el archivo de respuestas asociado, quealmacena automáticamente la información de configuración que hayaespecificado. Para obtener más información sobre los archivos derespuestas, consulte el apartado “Utilización de la instalaciónsilenciosa” en la página 61.

Este capítulo contiene los apartados siguientes:

¶ Consideraciones sobre la instalación

¶ Archivos de la instalación rápida

2

33Tivoli®

SecureWay®


2.U

tilizaciónde

lainstalación

rápida

¶ Proceso de la instalación rápida

Consideraciones sobre la instalaciónAntes de empezar a utilizar el proceso de la instalación rápida, tengaen cuenta las siguientes consideraciones sobre la instalación:

¶ Debe instalar y configurar al menos un Management Server paracada dominio seguro. La información de configuración paraManagement Server se utiliza para configurar cada componentede Tivoli SecureWay Policy Director excepto para elAuthorization Application Development Kit (ADK). Para obtenerlas descripciones de las opciones de configuración que se lesolicitan durante la instalación, consulte el apartado “Opcionesde configuración” en la página 15.

¶ Después de configurar Management Server, puede instalar yconfigurar Authorization Server, Authorization ADK o ambos encualquier estación de trabajo del dominio seguro, incluidas lasestaciones de trabajo que Management Server alberga.

¶ Solamente en sistemas Linux, efectúe los pasos siguientes:

v Antes de ejecutar los scripts de la instalación rápida,compruebe que el shellksh esté instalado, o cree un vínculoal shell bash tal como se indica a continuación:ln -s /bin/bash /bin/ksh

v Antes de instalar los componentes, desinstale el paquetenss_ldap-149.1, si está instalado. En caso contrario, seproduce un fallo en la instalación.

¶ Si tiene la intención de instalar Management Server utilizando elscript ezinstall_pdmgr, no hace falta ejecutar el scriptezinstall_pdrte. Runtime Environment se instala con elcomponente Management Server. Utiliceezinstall_pdrte sólo sidesea configurar un sistema de tiempo de ejecución sinManagement Server.

¶ Los sistemas Linux y HP-UX no dan soporte al servidor IBMSecureWay Directory. Por tanto,ezinstall_ldap_serverestádisponible solamente en sistemas AIX, Solaris y Windows.

Utilización de la instalación rápida

34 Versión 3.8

¶ Solamente en sistemas Windows, tenga en cuenta lo siguiente:

v Si tiene la intención de instalar un servidor web distinto delservidor IBM HTTP, no utilice el scriptezinstall_ldap_server. Siga las instrucciones de lapublicaciónIBM SecureWay Directory Installation andConfiguration Guide.

v El script ezinstall_ldap_serverse ejecuta solamente ensistemas de archivos de Windows NT (NTFS). Si tieneinstalado un sistema de archivos FAT, siga las instruccionesde la publicaciónIBM SecureWay Directory Installation andConfiguration Guide.

¶ El script ezinstall_ldap_serveragrega los sufijos requeridos ylas entradas de directorio necesarias al árbol de información dedirectorios (DIT) del servidor IBM SecureWay Directory. Noobstante, en función de los requisitos organizativos, puededecidir si desea crear sufijos adicionales para las definiciones deusuario y de grupo. Para obtener más información, consulte elapartado “Configuración de servidores LDAP para TivoliSecureWay Policy Director” en la página 99.

¶ En sistemas UNIX solamente, si desea ver el estado y losmensajes en su idioma, debe instalar primero el paquete de dichoidioma.

¶ Runtime Environment no puede configurarse hasta queManagement Server esté instalado. Si Runtime Environment yaestá configurado, debe desconfigurarlo, instalar ManagementServer y, a continuación, configurar ambos paquetes.

¶ Si tiene la intención de instalar Web Portal Manager, tambiénpuede utilizar la instalación rápida. El scriptezinstall_pdwpmestá disponible en el CD deTivoli SecureWay Policy DirectorWeb Portal Manager.

Archivos de la instalación rápidaLos siguientes archivos de la instalación rápida están ubicados en eldirectorio raíz del CD de Tivoli SecureWay Policy Director de laplataforma de que disponga.

Utilización de la instalación rápida

35Tivoli®

SecureWay®


2.U

tilizaciónde

lainstalación

rápida

ezinstall_ldap_server (servidor IBM SecureWay Directory)Configura una estación de trabajo de un dominioseguro con los paquetes de software siguientes:

¶ IBM DB2 Universal Database Edition, Versión6.1, con Fixpak 3

¶ IBM Global Security Toolkit (GSKit), Versión4.0.3.168

¶ Servidor IBM HTTP, Versión 1.3.12

¶ Cliente IBM SecureWay Directory Versión 3.2.1

¶ Servidor IBM SecureWay Directory Versión3.2.1 con el parcheefix4

ezinstall_pdrte (Runtime Environment)Configura una estación de trabajo de un dominioseguro con los paquetes de software siguientes:


¶ Cliente IBM SecureWay Directory Versión 3.2.1con el parcheefix4


ezinstall_pdmgr (Management Server)Configura una estación de trabajo de un dominioseguro con los paquetes de software siguientes:





ezinstall_pdacld (Authorization Server)Configura una estación de trabajo de un dominioseguro con los paquetes de software siguientes:

Archivos de la instalación rápida

36 Versión 3.8





ezinstall_authadk (Authorization ADK)Configura una estación de trabajo de un dominioseguro con los paquetes de software siguientes:





Proceso de la instalación rápidaPara instalar y configurar un dominio seguro nuevo, efectúe estospasos básicos:

1. Decidasi desea habilitar SSL entre el servidor LDAP y losclientes IBM SecureWay Directory. El script del servidor IBMSecureWay Directory (ezinstall_ldap_server) le guía a través delproceso de habilitación de SSL mientras que, al mismo tiempo,instala y configura este servidor LDAP y sus requisitos previos.

Nota: Si tiene la intención de utilizar iPlanet Directory Server,también puede habilitar SSL después de instalar esteservidor LDAP siguiendo las instrucciones del apartado“Habilitación de Secure Sockets Layer” en la página 127.

2. Instale un servidor LDAP al que se dé soporte y lleve a cabo laconfiguración básica realizando una de las acciones siguientes:

Archivos de la instalación rápida

37Tivoli®

SecureWay®


2.U

tilizaciónde

lainstalación

rápida

¶ Instale y configure el servidor IBM SecureWay Directory ylos requisitos previos necesarios utilizando el archivoezinstall_ldap_server.

¶ Instale y configure iPlanet Directory Server o LiveContentDIRECTORY consultando la documentación del productoque acompaña al servidor LDAP.

¶ Si ya existe un servidor LDAP al que se da soporte en eldominio seguro, consulte el apartado “Servidores LDAP a losque se da soporte” en la página 10 para obtener másinformación.

Atención:

¶ Para obtener las descripciones de los valores deconfiguración que se le solicitan durante la instalación,consulte el apartado “Opciones de configuración” en lapágina 15.

¶ Para obtener información sobre los requisitos del sistema,consulte el apartado “Servidores LDAP a los que se dasoporte” en la página 10.

3. Después de instalar un servidor LDAP al que se dé soporte,configure una estación de trabajo de Management Server en eldominio seguro ejecutando el archivoezinstall_pdmgr.

4. Opcionalmente, la instalación rápida le permite configurarestaciones de trabajo adicionales en el dominio seguro. Porejemplo, puede hacer lo siguiente:

¶ Ejecute el scriptezinstall_pdrte para instalar una o másestaciones de trabajo de cliente de tiempo de ejecución (sinManagement Server).

¶ Ejecute el scriptezinstall_authADK para instalar unaestación de trabajo con el Authorization ApplicationDevelopment Kit (ADK).

¶ Ejecute el scriptezinstall_pdacldpara configurar unaestación de trabajo de Authorization Server.

Proceso de la instalación rápida

38 Versión 3.8

Utilización de la instalaciónnativa

En este capítulo se facilita información sobre cómo instalar yconfigurar los componentes de IBM SecureWay Directory y TivoliSecureWay Policy Director utilizando los procedimientos nativos delsistema operativo. Al contrario de lo que ocurre con los scriptsautomatizados utilizados en la instalación rápida, debe instalarmanualmente cada componente y todos los parches necesarios en elorden indicado en el apartado “Proceso de instalación nativa” en lapágina 41.

Este capítulo contiene los apartados principales siguientes:

¶ Consideraciones sobre la instalación

¶ Proceso de instalación nativa

¶ Instalación de IBM Global Security Toolkit

¶ Instalación del cliente IBM SecureWay Directory

¶ Instalación y configuración de Tivoli SecureWay Policy Director

Consideraciones sobre la instalaciónAntes de comenzar a utilizar el proceso de instalación nativo,compruebe que se cumplan las condiciones siguientes:

¶ Debe instalar IBM Global Security Toolkit (GSKit) antes deinstalar los componentes de Tivoli SecureWay Policy Director.

3

39Tivoli®

SecureWay®


3.U

tilizaciónde

lainstalación

nativa

GSKit es un requisito previo de Runtime Environment, que serequiere en todas las estaciones de trabajo del dominio seguro.

¶ El cliente IBM SecureWay Directory es necesario en cadasistema en el que se ejecute Tivoli SecureWay Policy Director.

¶ Debe instalar el parcheefix4 de IBM SecureWay Directory encada estación de trabajo donde haya instalado el cliente oservidor IBM SecureWay Directory (excepto en las plataformasHP-UX y Linux, que no requieren este parche. Para obtener másinformación, consulte el apartado “Parches de Tivoli SecureWayPolicy Director” en la página 10.

¶ Debe instalar y configurar al menos un Management Server paracada dominio seguro. La información de configuración paraManagement Server se utiliza para configurar cada componentede Tivoli SecureWay Policy Director excepto para elAuthorization Application Development Kit (ADK).

¶ Si instala el sistema Management Server, debe instalar RuntimeEnvironment antes de instalar el componente ManagementServer. No obstante, no debe configurar Runtime Environmenthasta que haya instalado Management Server.

¶ Después de configurar Management Server, puede instalar yconfigurar Authorization Server, Authorization ADK o ambos encualquier estación de trabajo del dominio seguro, incluidas lasestaciones de trabajo que Management Server alberga.

¶ Actualmente, los únicos componentes de Tivoli SecureWayPolicy Director que puede instalar en el sistema operativo Linuxson Runtime Environment y Authorization ADK.

¶ Si instala Authorization Server en un sistema host distinto deManagement Server yla bajada de certificados no estáhabilitada para este Management Server, debe obtener el archivode certificado SSL del sistema Management Server. Para ello,utilice un programa de transferencia de archivos, comoftp , paracolocar la copia del archivo en la ubicación deseada. EnManagement Server, el archivo de certificados se encuentra en eldirectorio siguiente:/var/PolicyDirector/keytab/pdacert.b64

Consideraciones sobre la instalación

40 Versión 3.8

Proceso de instalación nativaEn el procedimiento siguiente se muestra cómo instalartodosloscomponentes de Tivoli SecureWay Policy Director en el ordenadecuado. En función de los requisitos de su estación de trabajo,seleccione sólo los componentes que necesite instalar. Por ejemplo,si configura un entorno de desarrollo en un sistema Solaris, entre loscomponentes necesarios se incluyen GSKit, Runtime Environment, elcliente IBM SecureWay Directory, el parcheefix4 de IBMSecureWay Directory y Authorization ADK.

Para instalar los componentes utilizando los procedimientos nativosdel sistema operativo, siga estos pasos básicos:

1. Instale IBM Global Security Toolkit (GSKit) antes de ningúnotro componente de Tivoli SecureWay Policy Director. Paraobtener instrucciones, consulte el apartado “Instalación de IBMGlobal Security Toolkit” en la página 43.

2. Instale un servidor LDAP al que se dé soporte y lleve a cabo laconfiguración básica. Si ya existe un servidor LDAP al que se dasoporte en el dominio seguro, consulte el apartado “ServidoresLDAP a los que se da soporte” en la página 10 para obtener másinformación.

Para obtener instrucciones sobre la instalación, efectúe una de lasacciones siguientes:

¶ Para instalar y configurar iPlanet Directory Server oLiveContent DIRECTORY, consulte la documentación delproducto que acompaña al servidor LDAP.

¶ Para instalar y configurar el servidor IBM SecureWayDirectory, consulte la publicaciónIBM SecureWayInstallation and Configuration Guide.

Atención:

v Los sistemas HP-UX y Linux no dan soporte al servidorIBM SecureWay Directory.

Proceso de instalación nativa

41Tivoli®

SecureWay®


3.U

tilizaciónde

lainstalación

nativa

v Si tiene la intención de instalar el servidor IBMSecureWay Directory en un sistema Windows, debeinstalar el cliente y el servidor IBM SecureWay Directoryal mismo tiempo.

v Para evitar que se vea afectado el rendimiento, no habilitela función Registro cronológico de cambios, tal como seindica en las instrucciones de configuración del servidorIBM SecureWay Directory.

3. Instale el cliente IBM SecureWay Directory. Para obtenerinstrucciones, consulte el apartado “Instalación del cliente IBMSecureWay Directory” en la página 46.

4. Si ha instalado el cliente o el servidor IBM SecureWay Directoryen un sistema AIX, Solaris o Windows, compruebe que tambiéninstala el parcheefix4 de IBM SecureWay Directory. Paraobtener más información, consulte el apartado “Parches de TivoliSecureWay Policy Director” en la página 10.

5. Configure el servidor LDAP para utilizarlo con Tivoli SecureWayPolicy Director. Para obtener instrucciones, consulte el apartado“Configuración de servidores LDAP para Tivoli SecureWayPolicy Director” en la página 99.

6. Opcionalmente, puede habilitar la comunicación SSL entre elservidor LDAP y los clientes IBM SecureWay Directory. Paraobtener más información, consulte el apartado “Habilitación deSecure Sockets Layer” en la página 127.

7. En función del tipo de sistema Tivoli SecureWay Policy Directorque configure, instale uno más de los componentes siguientes eneste orden:






42 Versión 3.8

Nota: Para obtener instrucciones sobre la instalación, consulte elapartado “Instalación y configuración de TivoliSecureWay Policy Director” en la página 53.

Instalación de IBM Global Security ToolkitEn los apartados siguientes se muestra cómo instalar GSKit en lossistemas operativos a los que se da soporte.

Nota: Tivoli SecureWay Policy Director da soporte a GSKit Versión4.0.3.168 o posterior. GSKit Versión 5 no es compatible conla Versión 4, pero dichas versiones pueden coexistir en elmismo sistema.

Instalación de IBM Global Security Toolkit en AIXPara instalar GSKit en un sistema AIX, siga estos pasos:

1. Inicie una sesión en la estación de trabajo comoroot.

2. Inserte el CD deTivoli SecureWay Policy Director Base paraAIX y Linux Versión 3.8o correlacione el CD de una unidad deun sistema remoto.

3. En la línea de comandos, escriba lo siguiente:installp –c –a –g –X –d /dev/cd0 gskit.rte

Después de instalar GSKit, no es necesario efectuar ningunaconfiguración.

Nota: La utilidad de gestión de claves de iKeyman (gsk4ikm) seinstala con el paquete de GSKit. Para que iKeyman funcionecorrectamente, debe establecer la variable AIX siguiente:export JAVA_HOME=ruta

donderuta es la ruta en la que se ha instalado Java RuntimeEnvironment.

Instalación de IBM Global Security Toolkit en HP-UXPara instalar GSKit en un sistema HP-UX, siga estos pasos:



43Tivoli®

SecureWay®


3.U

tilizaciónde

lainstalación

nativa

2. Inserte el CD deTivoli SecureWay Policy Director Base paraSolaris y HP-UX Versión 3.8o correlacione el CD de una unidadde un sistema remoto.

3. Inicie pfs_mountd y, a continuación,pfsd en segundo plano, sino se están ejecutando. Monte el CD con el comandopfs_mount. Por ejemplo, escriba lo siguiente:# /usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom

donde/dev/dsk/c0t0d0 es el dispositivo de CD y/cd-rom esel punto de montaje.

4. En la línea de comandos, escriba lo siguiente:swinstall –s /cd-rom/hp gsk4bas

donde/cd-rom/hp es el directorio.

5. Verifique que se haya establecido la ruta siguiente en el archivo.profile:SHLIB_PATH=/usr/lib

Pare establecer esta ruta, escriba el siguiente comando:export SHLIB_PATH=/usr/lib;$SHLIB_PATH


Instalación de IBM Global Security Toolkit en LinuxPara instalar GSKit en un sistema Linux, siga estos pasos:



3. Vaya al directorio/mnt/cdrom/linux donde/mnt/cdrom es elpunto de montaje del CD.

4. Para instalar GSKit en la ubicación predeterminada, escriba losiguiente:rpm –i gsk4bas-4.0-3.168.i386.rpm

Instalación de IBM Global Security Toolkit

44 Versión 3.8


Instalación de IBM Global Security Toolkit en SolarisPara instalar GSKit en un sistema Solaris, siga estos pasos:



3. Para instalar el archivo GSKit necesario, escriba lo siguiente:pkgadd –d /cdrom/cdrom0/solaris gsk4bas

4. Cuando la instalación haya finalizado, tecleeq para volver alindicador de comandos.


Instalación de IBM Global Security Toolkit enWindows

Para instalar GSKit en un sistema Windows, siga estos pasos:

1. Inicie una sesión en la estación de trabajo como un usuario quetenga privilegios de administrador.

2. Inserte el CD deTivoli SecureWay Policy Director Base paraWindowso correlacione el CD de una unidad de un sistemaremoto.

3. Para ejecutar el programasetup.exe, efectúe una de lasacciones siguientes:

¶ En sistemas Windows NT, vaya al directoriowindows/gskity escriba lo siguiente:setup.exe PolicyDirector

¶ En sistemas Windows 2000, vaya al directoriowindows/gskit y ejecute el programasetup.exe.

Se visualizará el cuadro de diálogo de bienvenida.


45Tivoli®

SecureWay®


3.U

tilizaciónde

lainstalación

nativa

4. Haga clic enSiguiente. Aparecerá el cuadro de diálogoSeleccionar ubicación de destino.

5. Acepte el directorio de destino predeterminado o haga clic enExaminar para seleccionar una ruta a otro directorio en elsistema local. Si el directorio no existe, debe confirmar que deseacrear el directorio o especificar un directorio que exista.

Haga clic enSiguientepara instalar GSKit (denominado tambiénGSK4). Se visualizará el cuadro de diálogo Ha finalizado laconfiguración.

6. Haga clic enFinalizar para salir del programa de instalación.


Instalación del cliente IBM SecureWay DirectoryEn los apartados siguientes se muestra cómo instalar y configurar elcliente IBM SecureWay Directory en los sistemas operativos a losque se da soporte.

Nota: No se requiere configuración alguna. Sin embargo, compruebeque ha instalado el parcheefix4 de IBM SecureWay Directoryen los sistemas operativos a los que se da soporte excepto enHP-UX y Linux, que no requieren este parche. Para obtenermás información, consulte el apartado “Parches de TivoliSecureWay Policy Director” en la página 10.

Instalación del cliente IBM SecureWay Directory enAIX

Para instalar el cliente IBM SecureWay Directory en un sistemaAIX, siga estos pasos:

1. Compruebe que haya instalado GSKit, Versión 4.0.3.168. Paraobtener instrucciones, consulte el apartado “Instalación de IBMGlobal Security Toolkit en AIX” en la página 43.



46 Versión 3.8


4. En la línea de comandos, escriba lo siguiente:installp –c –a –g –X –d /dev/cd0 ldap.clientldap.max_crypto_client ldap.html.idiomaldap.msg.idioma

dondeidioma es el código del país de la versión del idioma quese instala y/dev/cd0 el directorio. Por ejemplo, el comandopara instalar el cliente IBM SecureWay Directory con losmensajes y la documentación en inglés es el siguiente:installp –c –a –g –X –d /dev/cd0 ldap.clientldap.max_crypto_client ldap.html.en_US ldap.msg.en_US

Nota: Los paquetesldap.htm.idioma especifican los paquetes dedocumentación de IBM SecureWay Directory y lospaquetesldap.msg.lidioma especifican los paquetes demensajes.

5. Instale el parcheefix4 de IBM SecureWay Directory. Paraobtener más información, consulte el apartado “Parches de TivoliSecureWay Policy Director” en la página 10.

Después de instalar el cliente IBM SecureWay Directory, no esnecesario efectuar ninguna configuración.

Instalación del cliente IBM SecureWay Directory enHP-UX

Para instalar el cliente IBM SecureWay Directory en un sistemaHP-UX, siga estos pasos:

1. Compruebe que haya instalado GSKit, Versión 4.0.3.168. Paraobtener instrucciones, consulte el apartado “Instalación de IBMGlobal Security Toolkit en HP-UX” en la página 43.



Instalación del cliente IBM SecureWay Directory

47Tivoli®

SecureWay®


3.U

tilizaciónde

lainstalación

nativa



5. En la línea de comandos, escriba lo siguiente:swinstall –s /cd-rom/hp LDAP

donde /cd-rom/hp es el directorio yLDAP es el nombre delpaquete del cliente IBM SecureWay Directory


Instalación del cliente IBM SecureWay Directory enLinux

Para instalar el cliente IBM SecureWay Directory en un sistemaLinux, siga estos pasos:

Nota: Antes de instalar el cliente IBM SecureWay Directory en unsistema Linux, elimine el paquetenss_ldap-149.1 , en casode que esté instalado: En caso contrario, se produce un falloen la instalación.

1. Compruebe que haya instalado GSKit, Versión 4.0.3.168. Paraobtener instrucciones, consulte el apartado “Instalación de IBMGlobal Security Toolkit en Linux” en la página 44.



4. Para instalar el cliente IBM Security Directory en la ubicaciónpredeterminada, escriba lo siguiente:rpm –i ldap-clientd-3.2-2.i386.rpm


48 Versión 3.8


Instalación del cliente IBM SecureWay Directory enSolaris

Para instalar el cliente IBM SecureWay Directory en un sistemaSolaris, siga estos pasos:

1. Compruebe que haya instalado GSKit, Versión 4.0.3.168. Paraobtener instrucciones, consulte el apartado “Instalación de IBMGlobal Security Toolkit en Solaris” en la página 45.



4. Para instalar el cliente IBM Security Directory, escriba losiguiente:.pkgadd –d /cdrom/cdrom0/solaris IBMldapc

Nota: Si desea obtener soporte para el idioma, instale además elpaquete de mensajesIBMldm idioma y el paqueteIBMldi idioma para contar con documentación de IBMSecureWay Directory.

5. Durante la instalación, se le pregunta si desea utilizar/optcomo directorio. Si lo permite el espacio, utilice/opt como eldirectorio de instalación base. Para aceptar/opt como eldirectorio base, pulseIntro .

6. Cuando la instalación haya finalizado, tecleeq para volver alindicador de comandos.

7. Instale el parcheefix4 de IBM SecureWay Directory. Paraobtener más información, consulte el apartado “Parches de TivoliSecureWay Policy Director” en la página 10.



49Tivoli®

SecureWay®


3.U

tilizaciónde

lainstalación

nativa

Instalación del cliente IBM SecureWay Directory enWindows

Para instalar el cliente IBM SecureWay Directory en un sistemaWindows, siga estos pasos:

1. Inicie una sesión en la estación de trabajo como un usuario quetenga privilegios de administrador.

2. Compruebe que haya instalado GSKit, Versión 4.0.3.168. Paraobtener instrucciones, consulte el apartado “Instalación de IBMGlobal Security Toolkit en Windows” en la página 45.

3. Inserte el CD deTivoli SecureWay Policy Director Base paraWindows, Versión 3.8o correlacione el CD de una unidad de unsistema remoto.

4. Ejecute el archivosetup.exe que se halla en el siguientedirectorio:windows\Directory\ldap32_us

Aparecerá el cuadro de diálogo Seleccionar el idioma deinstalación.

5. Seleccione el idioma que desee utilizar para la instalación yhaga clic enAceptar. Aparecerá el cuadro de diálogo Acuerdode Licencia de Software.

6. Lea el acuerdo de licencia y haga clic enAceptar si está deacuerdo con los términos. Se visualizará el cuadro de diálogo debienvenida.

7. Compruebe que ha cerrado todos los programas de Windowsque se estuvieran ejecutando y haga clic enSiguienteparacontinuar. Se visualizará un cuadro de diálogo similar a éste.Este cuadro de diálogo le informa de los paquetes que ya estáninstalados, como as GSKit, Versión 4.0.3.168, que es unaversión más reciente del paquete GSKit que se instala con elIBM SecureWay Directory.


50 Versión 3.8

8. Haga clic enSiguientepara conservar las versiones de losproductos que están instaladas. Se visualizará el cuadro dediálogo Instalar componentes.

9. Haga clic enTípica para instalar el cliente IBM SecureWayDirectory. El software development kit (SDK) del cliente y laHerramienta de gestión de directorios (DMT) se instalanautomáticamente con el paquete del cliente IBM SecureWayDirectory.


51Tivoli®

SecureWay®


3.U

tilizaciónde

lainstalación

nativa

10. Del cuadro de diálogo Instalación típica, seleccione el clienteIBM SecureWay Directory tal como se muestra:

Puede obtener una vista previa del espacio de disco necesario ymodificar el directorio de destino. Para continuar, haga clic enSiguiente. Se visualizará el cuadro de diálogo Selección delgrupo de programas.

11. Seleccione un grupo de programas y haga clic enSiguiente.

12. Revise los valores actuales y, a continuación, haga clic enSiguientepara empezar la copia de archivos.

13. Después de instalar estos archivos, se le preguntará si desea leerel archivo LÉAME. Haga clic enSí o enNo. Después de cerrarla ventana del archivo LÉAME, o bien si ha seleccionadoNo,se visualizará el cuadro de diálogo Ha finalizado laconfiguración.

14. Seleccione si desea reiniciar su sistema en estos momentos omás adelante y haga clic enFinalizar .

15. Instale el parcheefix4 de IBM SecureWay Directory. Paraobtener más información, consulte el apartado “Parches deTivoli SecureWay Policy Director” en la página 10.



52 Versión 3.8

Instalación y configuración de Tivoli SecureWayPolicy Director

En los apartados siguientes se muestra cómo instalar y configurar loscomponentes de Tivoli SecureWay Policy Director en los sistemasoperativos a los que se da soporte. Para obtener descripciones deestos componentes, consulte el apartado “Componentes de lainstalación” en la página 4.

Observe que los siguientes procedimientos listantodosloscomponentes de Tivoli SecureWay Policy Director. En función de losrequisitos de la estación de trabajo, seleccione únicamente loscomponentes que deba instalar. Por ejemplo, si configura unaestación de trabajo para Management Server, tan sólo necesita loscomponentes de Management Server y de Runtime Environment paracompletar la configuración de la estación de trabajo. Debería tenerinstalados ya GSKit, el servidor LDAP, el cliente IBM SecureWayDirectory y todos los parches necesarios.

Instalación de Tivoli SecureWay Policy Director en AIXPara instalar Tivoli SecureWay Policy Director en AIX, siga estospasos:



3. En la línea de comandos, escriba lo siguiente:installp –c –a –g –X –d /dev/cd0 paquete

donde/dev/cd0 es el directorio ypaquetees uno o más de lossiguientes paquetes:

PD.RTE Indica Runtime Environment.

PD.Mgr Indica Management Server.

PD.AuthADK Indica Authorization ADK.

PD.Acld Indica Authorization Server.

Instalación y configuración de Tivoli SecureWay Policy Director

53Tivoli®

SecureWay®


3.U

tilizaciónde

lainstalación

nativa

4. Para configurar los paquetes que ha instalado, consulte elapartado “Configuración de Tivoli SecureWay Policy Director enUNIX” en la página 56.

Instalación de Tivoli SecureWay Policy Director enHP-UX

Para instalar Tivoli SecureWay Policy Director en HP-UX, siga estospasos:





4. En la línea de comandos, escriba lo siguiente:swinstall –s /cd-rom/hp paquete

donde/cd-rom/hp es el directorio ypaquetees uno o más delos siguientes paquetes:

PDRTE Indica Runtime Environment.

PDMgr Indica Management Server.

PDAuthADK Indica Authorization ADK.

PDAcld Indica Authorization Server.

5. Para configurar los componentes que ha instalado, consulte elapartado “Configuración de Tivoli SecureWay Policy Director enUNIX” en la página 56.


54 Versión 3.8

Instalación de Tivoli SecureWay Policy Director enLinux

Para instalar los componentes de Tivoli SecureWay Policy Directoren Linux, siga estos pasos:



3. Para instalar los componentes en la ubicación predeterminada,escriba lo siguiente:rpm –i paquete

dondepaquetees uno de los siguiente paquetes:

PDRTE-PD-3.8.0-0.i386.rpmIndica Runtime Environment.

PDAuthADK-PD-3.8.0-0.i386.rpmIndica Authorization ADK.


Instalación de Tivoli SecureWay Policy Director enSolaris

Para instalar Tivoli SecureWay Policy Director en Solaris, siga estospasos:


2. Si no instala Tivoli SecureWay Policy Director desde un sistemade archivos remoto, inserte el CD deTivoli SecureWay PolicyDirector Base para Solaris y HP-UX Versión 3.8.

3. Para iniciar la utilidad de instalación, escriba el siguientecomando:pkgadd –d /cdrom/cdrom0/solaris –a /cdrom/cdrom0/solaris /pddefault paquete


55Tivoli®

SecureWay®


3.U

tilizaciónde

lainstalación

nativa

donde–d /cdrom/cdrom0/solaris especifica la ubicación delpaquete y–a /cdrom/cdrom0/solaris/ pddefault especificala ubicación del script de gestión de la instalación, ya seencuentre en el CD o en un sistema de archivos remoto.

Los paquetes de instalación son los siguientes. Debe instalar unoo más de los siguientes paquetes en este orden:




PDAcld Indica Authorization Server.

Cuando haya finalizado el proceso de instalación de cada uno delos paquetes, se mostrará el siguiente mensaje:Instalación de paquete satisfactoria.


Configuración de Tivoli SecureWay Policy Director enUNIX

Antes de configurar un componente de Tivoli SecureWay PolicyDirector, debe instalarlo. Para obtener instrucciones sobre lainstalación, consulte las instrucciones del apartado “Instalación yconfiguración de Tivoli SecureWay Policy Director” en la página 53para la plataforma correspondiente.

Debe configurar cada paquete de Tivoli SecureWay Policy Directorque haya instalado, a excepción del paquete Authorization ADK, enel que no es necesario efectuar ninguna configuración. Asimismo,debe configurar Runtime Environment antes de configurar ningúnotro paquete.

Para configurar los componentes de Tivoli SecureWay PolicyDirector en un sistema UNIX, siga estos pasos:


56 Versión 3.8

1. Para iniciar la utilidad de configuración, escriba el siguientecomando:/opt/PolicyDirector/bin/pdconfig

Se mostrará elMenú de instalación de Policy Director.

2. Escriba el número de menú correspondiente aConfigurarpaquetes. Se mostrará elMenú de configuración de PolicyDirector . Aparece la lista de paquetes instalados de TivoliSecureWay Policy Director.

3. Seleccione los componentes que desea configurar de uno en uno.

En función del componente que haya seleccionado, se lesolicitarán las opciones de configuración. Si necesita ayudaacerca de las opciones de configuración, consulte la página 15.

4. Cuando aparezca un mensaje que indique que el paquete se haconfigurado correctamente, pulseIntro para configurar otrocomponente o seleccione dos veces la opciónx para cerrar lautilidad de configuración.

Instalación de Tivoli SecureWay Policy Director enWindows

Para instalar Tivoli SecureWay Policy Director en Windows, sigaestos pasos:

1. Inicie una sesión en el dominio de Windows como un usuariocon privilegios de administrador de Windows.

2. Inserte el CD deTivoli SecureWay Policy Director Base paraWindows, Versión 3.8o correlacione el CD de una unidad de unsistema remoto.

3. Ejecute el archivosetup.exe que se halla en el siguientedirectorio:windows\PolicyDirector\Disk Images\Disk1

Aparece el cuadro de diálogo Seleccionar el idioma deinstalación.


57Tivoli®

SecureWay®


3.U

tilizaciónde

lainstalación

nativa

4. Seleccione el idioma que desee utilizar para la instalación y hagaclic en Aceptar. Se visualizará el cuadro de diálogo debienvenida.

5. Haga clic enSiguiente. Aparece el cuadro de diálogo Acuerdo deLicencia.

6. Lea el acuerdo de licencia y haga clic enSí si está de acuerdocon los términos. Se visualizará el cuadro de diálogo Seleccionarpaquetes.

7. Seleccione los paquetes que desea instalar en la estación detrabajo y haga clic enSiguiente. Si ha seleccionado instalarRuntime Environment, se visualizará el cuadro de diálogoInstalación de Policy Director Runtime. Seleccione una carpetade destino en la que desee que se instalen los archivos deinstalación de Policy Director Runtime y haga clic enSiguiente.

8. Cuando haya finalizado la instalación, se visualizará el cuadro dediálogo La instalación de Policy Director ha finalizado.Seleccione si desea reiniciar su sistema en estos momentos o másadelante y haga clic enAceptar.

Nota: Debe reiniciar el sistema para que los cambios surtanefecto.

9. Para configurar los componentes que ha instalado, consulte elapartado “Configuración de Tivoli SecureWay Policy Director enWindows” en la página 58.

Configuración de Tivoli SecureWay Policy Director enWindows

Antes de configurar un componente de Tivoli SecureWay PolicyDirector, debe instalarlo. Para obtener instrucciones sobre lainstalación, consulte el apartado “Instalación de Tivoli SecureWayPolicy Director en Windows” en la página 57.

Debe configurar cada paquete de Tivoli SecureWay Policy Directorque haya instalado, a excepción del paquete Authorization ADK, en


58 Versión 3.8

el que no es necesario efectuar ninguna configuración. Asimismo,debe configurar Runtime Environment antes de configurar ningúnotro paquete.

Para configurar los componentes de Tivoli SecureWay PolicyDirector en un sistema Windows, siga estos pasos:

1. Después de reiniciar el sistema, seleccioneInicio → Programas →Policy Director → Configuración. Se mostrará el cuadro dediálogo Configuración de Policy Director.

2. Seleccione un componente para iniciar la configuración y hagaclic en Configurar . Debe configurar cada componente porseparado.

3. En función del componente que haya seleccionado, se lesolicitarán las opciones de configuración. Si necesita ayudaacerca de las opciones de configuración, consulte la página 15.Después de completar la configuración, se visualizará la ventanaConfiguración de Policy Director.

4. Revise las selecciones y haga clic enFinalizar . Aparece laventana Configuración de Policy Director. Seleccione otrocomponente de la lista para configurarlo o haga clic enCerrarpara salir de la herramienta.


59Tivoli®

SecureWay®


3.U

tilizaciónde

lainstalación

nativa


60 Versión 3.8

Utilización de la instalaciónsilenciosa

Tivoli SecureWay Policy Director le permite crear archivos derespuestas para mejorar la instalación y la configuración de TivoliSecureWay Policy Director. Unarchivo de respuestases un archivode texto que contiene la información del sistema y del productonecesaria para instalar y configurar los componentes. Resulta útilpara llevar a cabo instalaciones (silenciosas) no asistidas. El procesode instalación lee la información del archivo de respuestas en lugarde solicitarle que rellene los espacios en blanco. Asimismo, puedevolver a utilizar un archivo de respuestas en instalaciones futuras.Puede agregar componentes o personalizar las opciones deconfiguración y de instalación mediante un editor de texto.

Este capítulo contiene los siguientes apartados:

¶ Creación de un archivo de respuestas

¶ Instalación de componentes mediante un archivo de respuestas

¶ Sintaxis de los archivos de respuestas

Nota: Las consideraciones de la instalación silenciosa son lasmismas que las de la instalación rápida. Para obtener másinformación, consulte el apartado “Consideraciones sobre lainstalación” en la página 34.

4

61Tivoli®

SecureWay®


4.U

tilizaciónde

lainstalación

silenciosa

Creación de un archivo de respuestasPuede crear in archivo de respuestas de cualquiera de las siguientesmaneras:

¶ Si se instala Tivoli SecureWay Policy Director mediante lainstalación rápida, el archivo de respuestas se generaautomáticamente en función de las respuestas que haproporcionado durante la instalación.

¶ A partir de cero mediante un editor de texto.

En sistemas UNIX, el archivo de respuestas se denomina en funcióndel paquete que ha instalado y configurado. Por ejemplo , si ejecutael scriptezinstall_pdrte, el archivo de respuestas que se genera sedenominaezinstall_pdrte.rsp. En sistemas UNIX, los archivos derespuestas de los paquetes que ejecuta se almacenan en el directorio/var/tmp directory.

En sistemas Windows, el archivo de respuestas se denomina siempreezinstall.rsp , independientemente del archivo de proceso porlotes que ejecute. En sistemas Windows, el archivo de respuestasreside en el directorio\temp .

La instalación silenciosa permite configurar e instalar los siguientescomponentes:

¶ El servidor IBM SecureWay Directory

¶ Tivoli SecureWay Policy Director Runtime Environment

¶ Tivoli SecureWay Policy Director Management Server

¶ Tivoli SecureWay Policy Director Authorization Server

¶ Tivoli SecureWay Policy Director Authorization ADK

Instalación de componentes mediante un archivo derespuestas

Si desea utilizar un archivo de respuestas para instalar loscomponentes de Tivoli SecureWay Policy Director, siga estos pasosbásicos:

Creación de un archivo de respuestas

62 Versión 3.8

1. Edite el archivo de respuestas para verificar la sintaxis ycompruebe que la información es precisa. En esos momentos,puede proporcionar las contraseñas reales para los valores, o bienesperar a que se le soliciten las contraseñas al ejecutar el archivode respuestas.

2. Ejecute el archivo de respuestas para instalar los componentesespecificados. Para ejecutar el archivo de respuestas, ejecute elscript de instalación rápida especificando el archivo derespuestas:

¶ En sistemas UNIX, escriba lo siguiente:ezinstall_pdrte nombre_archivo_respuestas

dondenombre_archivo_respuestases el nombre completo delarchivo de respuestas. Por ejemplo:ezinstall_pdrte /var/tmp/ezinstall_pdrte.rsp

¶ En sistemas Windows, escriba lo siguiente:ezinstall_pdrte.bat c:\temp\ezinstall.rsp

Sintaxis de los archivos de respuestasA continuación, le presentamos un ejemplo de archivo de respuestasgenerado a partir de la utilización de la instalación rápida. Observeque, en el ejemplo, se han dejado en blanco las contraseñas. Lainstalación rápida realiza una pausa para que pueda especificar losvalores que faltan.

Un archivo de respuestas contiene stanzas de parejas deatributo=valor. Una stanza empieza con una línea que contiene elnombre de la stanza entre paréntesis, por ejemplo[LDAPS], yfinaliza cuando otra línea empieza con otro nombre de stanza entreparéntesis o bien cuando se llega al final del archivo. Cada stanzacontiene cero o más paresatributo=valor. El nombre de unastanza no se puede repetir más de una vez en un archivo derespuestas. Se pueden agregar comentarios al archivo de respuestasutilizando el carácter # antes del comentario.

Instalación de componentes mediante un archivo de respuestas

63Tivoli®

SecureWay®


4.U

tilizaciónde

lainstalación

silenciosa

Para obtener descripciones de estos atributos, consulte el apartado“Opciones de configuración” en la página 15. Observe que lacontraseña de archivo de claves predeterminado para el cliente IBMSecureWay Directory esgsk4ikm.[PDRTE]registry-type=ldapldap-server=ldapserv.tivoli.comldap-port=389ldap-ssl-port=636pdmgr-host=pdmgr.tivoli.comcacert=enable-ssl=Yssl-client-keyfile=c:\keytabs\pd_ldapkey.kdbssl-client-keyfile-dn=suffix=o=tivoli,c=uspdmgr_ssl_port=7135pdc_dir=C:\Archivos de programa\Tivoli\Policy Directorssl-client-keyfile-pwd=

[PDMGR]ldap-admin-id=cn=rootldap-admin-pwd=ssl-port=7135cert-life=365enable-cert-download=Ysec-master-pwd=

[DB2]admin-pwd=install_dir=C:\SQLDIR

[HTTPD]admin-id=administratoradmin-pwd=port=80install_dir=C:\Archivos de programa\IBM HTTP Server

[LDAPS]admin-id=cn=rootadmin-pwd=hostname=ldapserv.tivoli.comserver-port=389suffix=dc=cualquierassl-client-keyfile=c:\keytabs\pd_ldapkey.kdbssl-client-keyfile-pwd=label=PDLDAP

[PDACLD]admin-id=cn=root

Sintaxis de los archivos de respuestas

64 Versión 3.8

admin-pwd=sec-master-pwd=

[LDAP]install_dir=C:\Archivos de programa\IBM\LDAP

A continuación, le presentamos un ejemplo de un archivo derespuestas de UNIX. Fíjese en que los nombres de las stanzas queaparecen en el ejemplo se han escogido para facilitar su lectura. Eneste ejemplo, las contraseñas se han completado con valores.[HTTPD]http-admin-id = roothttp-admin-pwd = secrethttp-port = 80

[LDAPS]ldap-adminid = cn=rootldap-password = secretsuffix = o=tivoli,c=ushost = ldapserv.tivoli.comport = 389ldap-ssl-client-keyfile = /cdrom/common/pd_ldapkey.kdbldap-ssl-client-keyfile-pwd = gsk4ikmldap-label = PDLDAP

[PDRTE]ldap-or-domino = 1host = ldapserv.tivoli.comport = 389ldap-server-ssl-port = 636master-host = pdmgr.tivoli.compd-cacert =enable-ssl = Yssl-client-keyfile = /var/ldap/keytab/pd_ldapkey.kdbssl-keyfile-pwd = gsk4ikmssl-port = 7135

[PDMGR]ldap-adminid = cn=rootldap-password = secretssl-life = 365ssl-port = 7135sec-master-pwd = secretenable-cert-download = Yprompt-languages = N


65Tivoli®

SecureWay®


4.U

tilizaciónde

lainstalación

silenciosa


66 Versión 3.8

Actualización desde la Versión3.7.x

En este capítulo se describe cómo actualizar un sistema ya instaladocon Tivoli SecureWay Policy Director, Versión 3.7.x a la Versión 3.8.Si intenta actualizar su dominio seguro desde una versión delproducto anterior a la 3.7, debe actualizarla a la Versión 3.7.x antesde actualizarla a la Versión 3.8.

Este capítulo contiene los siguientes apartados:

¶ Visión general de la migración

¶ Consideraciones sobre la migración

¶ Actualización de Management Server a la Versión 3.8

¶ Actualización de otros sistemas a la Versión 3.8

¶ Restauración de un sistema a la Versión 3.7x

¶ Edición del archivo de configuración de la migración

¶ Realización de una copia de seguridad de los datos de TivoliSecureWay Policy Director

¶ Restauración de los datos de Tivoli SecureWay Policy Director

Nota: Para obtener información de referencia, consulte el apartado“Utilidades de migración” en la página 155.

5

67Tivoli®

SecureWay®


5.A

ctualizacióndesde

laV

ersión3.7. x

Visión general de la migraciónUtilice las utilidadesmigrate37 y migrate38 para efectuar una copiade seguridad de los grupos y para restaurarlos en un registro LDAP.

La utilidad migrate37 extrae la información de Tivoli SecureWayPolicy Director (las ACL, el espacio de objetos, etcétera) de lainstalación de la Versión 3.7.x existente y almacena los datos enarchivos de salida con formato XML (un archivo para cada tipo dedato). A su vez, la utilidadmigrate38 extrae los datos de estosarchivos de salida y restaura los datos en la instalación de la Versión3.8. Fíjese en que si migra entradas del registro DCE, debe editarestos archivos de salida para incluir las contraseñas de los usuariosde DCE.

Asimismo, el proceso de actualización permite la creación de unregistro de errores. Debe evaluar los errores, solucionar lascondiciones que provocaron los errores y volver a intentar larestauración únicamente con los elementos que provocaron loserrores. Siguiendo este proceso, el archivo de errores se convierte enel archivo de entrada de cada ciclo repetitivo de validación deerrores hasta que la restauración resulte satisfactoria y se ejecute sinerrores. Si desea obtener información de referencia sobre estasutilidades, consulte el apartado “Sintaxis de migrate37 y migrate38”en la página 156.

Consideraciones sobre la migraciónAntes de actualizar sistemas en un dominio seguro, revise lassiguientes consideraciones:

¶ Como precaución estándar al efectuar actualizaciones entreversiones, efectúe una copia de seguridad de todos los servidoresTivoli SecureWay Policy Director antes de empezar.

¶ Verifique que Tivoli SecureWay Policy Director, Versión 3.7.x,Lightweight Directory Access Protocol (LDAP) y DistributedComputing Environment (DCE) están instalados correctamente yfuncionan.

Visión general de la migración

68 Versión 3.8

¶ En sistemas UNIX, todos los comandos se ejecutan como elusuarioroot. En plataformas Windows, los comandos los ejecutaun usuario incluido en el grupo de administradores.

¶ No es necesario que actualice el servidor LDAP durante elproceso de actualización. Sin embargo, debe actualizar el clienteLDAP a IBM SecureWay Directory, Versión 3.2.1.

¶ En plataformas UNIX, la ruta de instalación es/opt/PolicyDirector y /var/PolicyDirector. En Windows,la ruta de instalación varía y depende del directorio especificadodurante la instalación de Tivoli SecureWay Policy Director,Versión 3.7.x.

¶ En sistemas UNIX, el directorio temporal es/tmp . En sistemasWindows, el directorio temporal es el valor especificado por lavariable%TMP% . Si la variable%TMP% no existe, se utilizael valor especificado por la variable%TEMP% . Si no se haestablecido ninguno de estos dos valores, el directoriosystem esel directorio temporal.

¶ Si actualiza un sistema con una aplicación Tivoli SecureWayPolicy Director existente, como Tivoli SecureWay PolicyDirector para Sistemas Operativos, consulte la documentación dela aplicación que encontrará en el sitio web de soporte de Tivolipara conocer los requisitos adicionales y para obtenerrecomendaciones durante el proceso de actualización.

¶ Es recomendable que utilice las utilidades LDAP para efectuaruna copia de seguridad y restaurar más adelante los datos LDAP.Por ejemplo, si utiliza un servidor IBM SecureWay Directorypara su servidor LDAP, consulte el apartado “Utilidades demigración” en la página 155 para obtener información sobre losmecanismos de restauración y de copia de seguridad.

¶ Si efectúa la actualización desde un registro DCE a un registroLDAP, las contraseñas de los usuarios no se migrarán a LDAP.Debe asignar a todos los usuarios nuevas contraseñas LDAPdespués de la migración.

¶ No reinicie los sistemas Solaris durante el proceso de migración.

Consideraciones sobre la migración

69Tivoli®

SecureWay®


5.A

ctualizacióndesde

laV

ersión3.7. x

¶ Para evitar tener que repetir varias veces la migración, asegúresede que la cuenta de usuario del administrador de TivoliSecureWay Policy Director (por ejemplo,sec_master) tienepermiso respecto sobre todas las ACL antes de ejecutar lautilidad migrate37.

¶ Los datos ACL y POP se deben restaurar en último lugar. Encaso contrario, es posible que elimine el permiso desec_masterpara crear objetos en determinadas ubicaciones. Además, lasACL no se restaurarán correctamente si los usuarios y los gruposa los que hacen referencia no existen en el entorno de destino dela restauración.

¶ Para ejecutar Tivoli SecureWay Policy Director, ya no sonnecesarios Tivoli SecureWay Policy Director NetSEAT, TivoliSecureWay Policy Director NetSEALTrap y DCE. Después derealizar una migración correctamente, si no hay ninguna otraaplicación que utilice estos paquetes, los puede desinstalar.Además, en sistemas AIX, ya no es necesario el paquetePD.smit .

Actualización de Management Server a la Versión 3.8Siga estos pasos para realizar una migración de Management Servera Tivoli SecureWay Policy Director, Versión 3.8, con un registroLDAP.

1. Si únicamente migra desde un registro DCE, instale y configureun servidor LDAP al que se dé soporte para que se utilice comoel registro de usuarios de Tivoli SecureWay Policy Director,Versión 3.8.

Para obtener información sobre los servidores LDAP a los quese da soporte, consulte el apartado “Servidores LDAP a los quese da soporte” en la página 10. Para instalar el servidor IBMSecureWay Directory, consulte el apartado “Utilización de lainstalación rápida” en la página 33.

2. Del CD de Tivoli SecureWay Policy Director Base de suplataforma en concreto, copie los siguientes archivos deldirectorio plataforma/migrate al directorio temporal delsistema Management Server:

Consideraciones sobre la migración

70 Versión 3.8

¶ migrate.conf

¶ migrate37

¶ migrate38

Nota: Si realiza la instalación en un sistema UNIX, tambiéndeberá copiar el archivopdupgrade al directorio/tmp.

3. Edite el archivomigrate.conf del sistema para configurarTivoli SecureWay Policy Director de acuerdo con su entorno enconcreto. Este archivo es necesario para ejecutar las utilidadesmigrate37, migrate38, y pdupdgrade. Para obtenerinstrucciones, consulte el apartado “Edición del archivo deconfiguración de la migración” en la página 82.

4. Detenga las aplicaciones de Tivoli SecureWay Policy Directorque se estén ejecutando en el sistema y lleve a cabo cualquierinstrucción específica para todas las aplicaciones de PolicyDirector instaladas en el sistema. Sin embargo, no debe detenerlo siguiente:

¶ Los servicios base de Tivoli SecureWay Policy Director,como Management Server o Authorization Server. Lautilidad de migración necesita estos componentes.

¶ Si WebSEAL está instalado, esta aplicación debe estar enejecución mientras utiliza la utilidadmigrate37 paraefectuar una copia de seguridad de los datos de conexión.

5. Utilice el comandodce_loginpara iniciar la sesión como elusuario administrativo de DCEcell_admin).

6. Efectúe una copia de seguridad de la información crítica deTivoli SecureWay Policy Director mediante la utilidadmigrate37. Para obtener instrucciones, consulte el apartado“Realización de una copia de seguridad de los datos de TivoliSecureWay Policy Director” en la página 85.

Nota: Si un único usuario no puede acceder a la información,es posible que deba ejecutar la utilidadmigrate37múltiples veces con usuarios diferentes.

Actualización de Management Server a la Versión 3.8

71Tivoli®

SecureWay®


5.A

ctualizacióndesde

laV

ersión3.7. x

7. Únicamente en sistemas HP-UX y Solaris, escriba el siguientecomando para efectuar una copia de seguridad de lainformación de configuración en el directorio/tmp/PolicyDirector:/tmp/pdupgrade –export

En otros sistemas operativos, el programa de instalación emiteeste comando automáticamente. Para obtener más informaciónsobre la utilidadpdupgrade, consulte el apartado “Sintaxis depdupgrade” en la página 163.

8. Para detener todos los daemons y servicios de Tivoli SecureWayPolicy Director, realice una de las siguientes acciones:

¶ En sistemas Windows, seleccioneInicio → Configuración →Panel de controly haga doble clic en el iconoServicios.Detenga todos los servicios de Tivoli SecureWay PolicyDirector que se ejecuten en la máquina local, incluidas lasaplicaciones, como Tivoli SecureWay Policy DirectorWebSEAL.

¶ En sistemas UNIX, utilice el scriptiv instalado con TivoliSecureWay Policy Director, Versión 3.7.x.

Para los sistemas AIX, escriba lo siguiente:/etc/iv/iv stop

Para los sistemas HP-UX, escriba lo siguiente:/sbin/init.d/iv stop

Para los sistemas Solaris, escriba lo siguiente:/etc/init.d/iv stop

Nota: Para comprobar que se han detenido todas lasaplicaciones y los servicios de Tivoli SecureWay PolicyDirector, ejecute el comandops. Si se continúaejecutando algún servicio o aplicación de TivoliSecureWay Policy Director, ejecute el comandokill .

9. Actualice IBM Global Security Toolkit, Versión 4.0.3.168 y elcliente IBM SecureWay Directory, Versión 3.2.1 con el parcheefix4 de IBM SecureWay Directory.


72 Versión 3.8

Notas:

¶ Para obtener instrucciones sobre la supresión, consulte ladocumentación que acompaña a Tivoli SecureWay PolicyDirector, Versión 3.7.x. Para obtener instrucciones sobre lainstalación, consulte el apartado “Utilización de lainstalación nativa” en la página 39.

¶ En sistemas AIX y Windows, no es necesario desinstalarGSKit ni el cliente IBM SecureWay Directory si tieneintención de instalar la Versión 4.0.3.168 en el mismodirectorio.

¶ Si realiza la actualización en un sistema que tiene elservidor LDAP instalado, es posible que también tenga queactualizar el servidor LDAP.

10. Únicamente en sistemas HP-UX y Solaris, si migra desde unregistro LDAP, suprima Tivoli SecureWay Policy Director,Versión 3.7.x. No debe desconfigurar los componentes enprimer lugar.

Nota: Para obtener instrucciones acerca de la desconfiguracióny la supresión de los componentes de la Versión 3.7.x,consulte la documentación del producto que se adjuntacon Tivoli SecureWay Policy Director, Versión 3.7.x.


73Tivoli®

SecureWay®


5.A

ctualizacióndesde

laV

ersión3.7. x

Atención:

¶ Únicamente en HP-UX, debe ejecutar los siguientescomandos antes de suprimir ningún componente.rm –f /opt/PolicyDirector/.configure/*swremove –x enforce_dependencies=false nombre_paquete

Este paso sólo es necesario durante el proceso deactualización.

¶ Únicamente en sistemas Solaris, el comandopkgrm lepregunta si desea continuar con la supresión delcomponente aunque siga estando configurado. PulseSí paracontinuar. Si hay dependencias instaladas, como TivoliSecureWay Policy Director WebSEAL, se le preguntaademás si desea desinstalar el componente aunque existanaplicaciones que dependan de éste. PulseSí para continuar.

11. Efectúe uno de los siguientes pasos:

¶ Únicamente en sistemas HP-UX y Solaris, escriba elsiguiente comando para comprobar que Tivoli SecureWayPolicy Director, Versión 3.7.x está desinstalado.rm –fR /opt/PolicyDirector

¶ Únicamente en sistemas AIX con un registro DCE, escribalo siguiente:rm –f /opt/PolicyDirector/.configure/*

¶ Únicamente en sistemas Windows con un registro DCE,escriba lo siguiente:erase dir_instalación/.configure/*

12. Instale Tivoli SecureWay Policy Director, Versión 3.8. Paraobtener instrucciones, consulte el apartado “Utilización de lainstalación nativa” en la página 39.

Notas:

¶ No puede utilizar los scripts de la instalación rápida paraactualizar a la Versión 3.8.


74 Versión 3.8

¶ Únicamente en sistemas Windows, reinicie el sistemadespués de instalar Tivoli SecureWay Policy Director,Versión 3.8.

13. Si utilizaba un registro DCE, debe configurar Tivoli SecureWayPolicy Director, Versión 3.8.

14. Restaure la información de la que previamente ha efectuado unacopia de seguridad. Para obtener instrucciones, consulte elapartado “Restauración de los datos de Tivoli SecureWay PolicyDirector” en la página 87.

15. Inicie una aplicación cualquiera de Tivoli SecureWay PolicyDirector y realice una tarea específica a cualquiera de éstas.

Nota: Las contraseñas de los usuarios de DCE no se migran alregistro de usuarios LDAP. Compruebe que ha restablecidolas contraseñas de los usuarios.

Actualización de otros sistemas a la Versión 3.8Siga estos pasos para realizar una migración de sistemas de TivoliSecureWay Policy Director (que no sean Management Server) a laVersión 3.8 mediante un registro LDAP:

1. Si únicamente migra desde un registro DCE, instale y configureun servidor LDAP al que se dé soporte para que se utilice comoel registro de usuarios de Tivoli SecureWay Policy Director,Versión 3.8.

Para obtener información sobre los servidores LDAP a los quese da soporte, consulte el apartado “Servidores LDAP a los quese da soporte” en la página 10. Para instalar el servidor IBMSecureWay Directory, consulte el apartado “Utilización de lainstalación rápida” en la página 33.

2. Del CD de Tivoli SecureWay Policy Director Base de suplataforma en concreto, copie el siguiente archivo del directorioplataforma/migrate al directorio temporal del sistemaManagement Server:

¶ migrate.conf


75Tivoli®

SecureWay®


5.A

ctualizacióndesde

laV

ersión3.7. x

Nota: Si realiza la instalación en un sistema UNIX, tambiéndeberá copiar el archivopdupgrade al directorio/tmp.

3. Edite el archivomigrate.conf de su sistema para configurarTivoli SecureWay Policy Director de acuerdo con su entorno enconcreto. Para obtener instrucciones, consulte el apartado“Edición del archivo de configuración de la migración” en lapágina 82.

4. Detenga las aplicaciones de Tivoli SecureWay Policy Directorque se estén ejecutando en el sistema y lleve a cabo cualquierinstrucción específica para todas las aplicaciones de PolicyDirector instaladas en el sistema. Sin embargo, no debe detenerlo siguiente:

¶ Los servicios base de Tivoli SecureWay Policy Director,como Management Server o Authorization Server. Lautilidad de migración necesita estos componentes.

¶ Si WebSEAL está instalado, esta aplicación debe estar enejecución mientras utiliza la utilidadmigrate37 paraefectuar una copia de seguridad de los datos de conexión.

5. Utilice el comandodce_loginpara iniciar la sesión como elusuario administrativo de DCEcell_admin).

6. Únicamente en sistemas HP-UX y Solaris, si migra desde unregistro LDAP, suprima Tivoli SecureWay Policy Director,Versión 3.7.x. No debe desconfigurar los componentes enprimer lugar.

Nota: Para obtener instrucciones acerca de la desconfiguracióny la supresión de los componentes de la Versión 3.7.x,consulte la documentación del producto que se adjuntacon Tivoli SecureWay Policy Director, Versión 3.7.x.

Actualización de otros sistemas a la Versión 3.8

76 Versión 3.8

Atención:

¶ Únicamente en HP-UX, debe ejecutar los siguientescomandos antes de suprimir ningún componente.rm –f /opt/PolicyDirector/.configure/*swremove –x enforce_dependencies=false nombre_paquete



7. Para detener todos los daemons y servicios de Tivoli SecureWayPolicy Director, realice una de las siguientes acciones:

¶ En sistemas Windows, seleccioneInicio → Configuración →Panel de controly haga doble clic en el iconoServicios.Detenga todos los servicios de Tivoli SecureWay PolicyDirector que se ejecuten en la máquina local, incluidas lasaplicaciones, como Tivoli SecureWay Policy DirectorWebSEAL.

¶ En sistemas UNIX, utilice el scriptiv instalado con TivoliSecureWay Policy Director, Versión 3.7.x.

Para los sistemas AIX, escriba lo siguiente:/etc/iv/iv stop

Para los sistemas HP-UX, escriba lo siguiente:/sbin/init.d/iv stop

Para los sistemas Solaris, escriba lo siguiente:/etc/init.d/iv stop

Nota: Para comprobar que se han detenido todas lasaplicaciones y los servicios de Tivoli SecureWay Policy


77Tivoli®

SecureWay®


5.A

ctualizacióndesde

laV

ersión3.7. x

Director, ejecute el comandops. Si se continúaejecutando algún servicio o aplicación de TivoliSecureWay Policy Director, ejecute el comandokill .

8. Actualice IBM Global Security Toolkit, Versión 4.0.3.168 y elcliente IBM SecureWay Directory, Versión 3.2.1.

Notas:

¶ Para obtener instrucciones sobre la supresión, consulte ladocumentación que acompaña a Tivoli SecureWay PolicyDirector, Versión 3.7.x. Para obtener instrucciones sobre lainstalación, consulte el apartado “Utilización de lainstalación nativa” en la página 39.

¶ En sistemas AIX y Windows, no es necesario desinstalarGSKit si tiene intención de instalar la Versión 4.0.3.168 enel mismo directorio.

¶ Si realiza la actualización en un sistema que tiene elservidor LDAP instalado, es posible que también tenga queactualizar el servidor LDAP.

9. Únicamente en sistemas HP-UX y Solaris, debe desinstalarTivoli SecureWay Policy Director, Versión 3.7.x. Para ello, sigauno de los siguientes pasos:

¶ Únicamente en sistemas HP-UX, ejecute los comandossiguientes:rm –f/opt/PolicyDirector/.configure/*swremove –x enforce_dependencies=false nombre_paquete



10. Efectúe uno de los siguientes pasos:


78 Versión 3.8

¶ Únicamente en sistemas HP-UX y Solaris, escriba elsiguiente comando para comprobar que Tivoli SecureWayPolicy Director, Versión 3.7.x está desinstalado.rm –fR /opt/PolicyDirector

¶ Únicamente en sistemas AIX con un registro DCE, escribalo siguiente:rm –f /opt/PolicyDirector/.configure/*

¶ Únicamente en sistemas Windows con un registro DCE,escriba lo siguiente:erase dir_instalación/.configure/*

11. Instale Tivoli SecureWay Policy Director, Versión 3.8. Paraobtener instrucciones, consulte el apartado “Utilización de lainstalación nativa” en la página 39.

Notas:

¶ No puede utilizar los scripts de la instalación rápida paraactualizar a la Versión 3.8.

¶ Únicamente en sistemas Windows, reinicie el sistemadespués de instalar Tivoli SecureWay Policy Director,Versión 3.8.

12. Si utilizaba un registro DCE, debe configurar Tivoli SecureWayPolicy Director, Versión 3.8.

13. Restaure la información de la que previamente ha efectuado unacopia de seguridad. Para obtener instrucciones, consulte elapartado “Restauración de los datos de Tivoli SecureWay PolicyDirector” en la página 87.

14. Inicie una aplicación cualquiera de Tivoli SecureWay PolicyDirector y realice una tarea específica a cualquiera de éstas.

Nota: Las contraseñas de los usuarios de DCE no se migran alregistro de usuarios LDAP. Por eso, compruebe que harestablecido las contraseñas de los usuarios.


79Tivoli®

SecureWay®


5.A

ctualizacióndesde

laV

ersión3.7. x

Restauración de un sistema a la Versión 3.7 xSi se produce algún problema al migrar a la Versión 3.8, es posibleque deba restaurar el sistema a la Versión 3.7.x.

Para restaurar un sistema con la Versión 3.8 a la versión de TivoliSecureWay Policy Director que estaba instalada previamente, sigaestos pasos:

Nota: Si se produce un problema durante la copia de seguridad delos datos existentes, póngase en contacto con el soporte deTivoli para obtener ayuda antes de continuar con el procesode actualización. Para obtener más información, consulte elapartado “Cómo ponerse en contacto con el servicio desoporte al cliente” en la página xv.

1. Compruebe que todas las aplicaciones de Tivoli SecureWayPolicy Director, como WebSEAL, están detenidas.

2. Compruebe que todos los servicios base de Tivoli SecureWayPolicy Director están detenidos.

3. Si el directorioPolicyDirector y la utilidad pdupgrade noestán en el directorio temporal, realice una de las siguientesacciones para copiar los datos guardados y el archivopdupgradeen el directorio temporal:

¶ En sistemas UNIX, copie/var/PolicyDirector/save37 en/tmp/PolicyDirector . A continuación, copie/opt/PolicyDirector/sbin/pdupgrade en /tmp.

¶ En sistemas Windows, copieruta_instalación\save37 en%TMP% \PolicyDirector. A continuación, copieruta_instalación\bin\pdupgrade en %TMP% .

4. Para suprimir Tivoli SecureWay Policy Director, Versión 3.8, delsistema, realice una de las siguientes acciones:

¶ En sistemas AIX, escriba los comandos siguientes:rm -fR /opt/PolicyDirectorrm -fR /var/PolicyDirector

¶ En sistemas Solaris, escriba los comandos siguientes:pkgrm nombre_paquete –fR /opt/PolicyDirector

Restauración de un sistema a la Versión 3.7.x

80 Versión 3.8

pkgrm nombre_paquete –fR /var/PolicyDirector

El comandopkgrm le pregunta si desea continuar con lasupresión del componente aunque siga estando configurado.PulseSí para continuar. Si hay dependencias instaladas,como Tivoli SecureWay Policy Director WebSEAL, se lepregunta además si desea desinstalar el componente aunqueexistan aplicaciones que dependan de ella. PulseSí paracontinuar.

¶ En sistemas HP-UX, escriba los comandos siguientes en esteorden:rm -f /opt/PolicyDirector/.configure/*swremove -x enforce_dependencies=false nombre_paqueterm -fR /opt/PolicyDirectorrm -fR /var/PolicyDirector

¶ En sistemas Windows, siga estos pasos:

a. Inicie la sesión como un usuario de Windows conprivilegios de administrador.

b. En sistemas Windows, seleccioneInicio → Configuración→ Panel de controly haga clic en el iconoAgregar oquitar programas.

c. Utilice el botónAgregar o quitar para suprimir lospaquetes base de Tivoli SecureWay Policy Director.

5. Instale Tivoli SecureWay Policy Director, Versión 3.7.x. Paraobtener instrucciones, consulte la guía de instalación de TivoliSecureWay Policy Director Base, Versión 3.7.x.

Nota: En sistemas AIX, debe emitir el comandoinstallp con laopción–F. O bien, si utiliza SMIT para instalar lospaquetes de la Versión 3.7.x, respondaSí a la pregunta desi desea sobrescribir la misma versión o versiones másrecientes yno a la pregunta de si desea que se instaleautomáticamente el software obligatorio.

6. Aplique los parches de Tivoli SecureWay Policy Director queestuvieran en el sistema antes de la actualización a la Versión3.8.


81Tivoli®

SecureWay®


5.A

ctualizacióndesde

laV

ersión3.7. x

7. Para restaurar los datos anteriores, vaya al directorio temporal yescriba el siguiente comando:pdupgrade -restore

Edición del archivo de configuración de la migraciónTivoli SecureWay Policy Director proporciona una plantilla dearchivos de configuración, ubicada en el directorioplataforma/migrate del CD de Tivoli SecureWay Policy DirectorCD para su plataforma determinada. Este archivo, denominadomigrate.conf, sirve como guía del formato y del contenido de loselementos de configuración necesarios.

Debe copiar este archivo en el sistema y editarlo según sea oportunoen su dominio seguro. A continuación, le presentamos un ejemplo deun archivo típico de configuración de la migración:## archivo de configuración de la herramienta de migración#[ldap]domain = o=tivoli,c=usadmin-dn = cn=useradmin-pwd = userpdadmin-login = sec_masterpdadmin-pwd = TivoliSystemsdce-admin-name = cell_admindce-admin-pwd = celluser-reg-host = foo.bar.comuser-reg-hostport = 389user-reg-hostsslport = 7139ssl-enabled = yesssl-keyfile = /opt/ibm/gsk4/bin/ldap.kdbssl-keyfile-dn = cn=tivolissl-keyfile-pwd = password

### HISTORIA# $Log: $## $EndLog$

donde:

domain Proporciona el dominio base en el que residen todos


82 Versión 3.8

los grupos y usuarios migrados. Tivoli SecureWayPolicy Director utiliza el valor de este dominio en laconstrucción de nombres distintivos para las entradasde grupos y usuarios. Esta entrada es obligatoria.

Para DCE, este sufijo es el sufijo bajo el cual seañadieron los usuarios de DCE de Tivoli SecureWayPolicy Director, Versión 3.7.x, al migrar desde unregistro DCE y restaurar un registro LDAP.

Para los usuarios que han migrado a LDAP, lautilidad migrate37 gestiona múltiples sufijos paradatos. Al migrar desde un registro LDAP y alrestaurar un registro LDAP, no es necesario queespecifique los múltiples sufijos.

admin-dn Proporciona el nombre distinguido del administradorde la base de datos LDAP. Este nombre es el mismonombre que se especificó durante la instalación delservidor LDAP. Normalmente, el nombre distinguidodel administrador escn=root para las instalacionesde Tivoli SecureWay Policy Director. Esta entrada esobligatoria.

admin-pwd Especifica la contraseña del administrador de la basede datos LDAP. Este archivo de texto sin formatoque contiene la contraseña se debe proteger yúnicamente los usuarios y los grupos adecuadosdeben tener acceso a él. Esta entrada es obligatoria.

pdadmin-loginEspecifica la cuenta de usuario administrador deTivoli SecureWay Policy Director por ejemplo,sec_master. Esta entrada es obligatoria.

Atención: Debe comprobar que la cuenta deusuario tenga permisos de control en las ACL. De locontrario, la utilidad de migración no tendrá permisopara realizar correctamente la copia de seguridad detoda la información de Tivoli SecureWay PolicyDirector.

Edición del archivo de configuración de la migración

83Tivoli®

SecureWay®


5.A

ctualizacióndesde

laV

ersión3.7. x

pdadmin-pwd Especifica la contraseña de la cuenta de usuarioadministrador de Tivoli SecureWay Policy Director.Esta entrada es obligatoria.

dce-admin-nameEspecifica el administrador DCE para la instalaciónque se migra. El usuario administrador de DCE esun tipo especial de usuario que Tivoli SecureWayPolicy Director utiliza únicamente en determinadosroles administrativos. No migre este tipo de usuariodel registro DCE al registro LDAP.

Dado que la utilidadmigrate38 no puede determinarqué usuario es el usuario administrado sin ayuda,debe modificar el nombre predeterminado,cell_admin, para que coincida con el usuarioadministrador real de la instalación que se migra.Esta entrada es obligatoria.

dce-admin-pwdEspecifica la contraseña del administrador DCE. Estaentrada es obligatoria.

user-reg-host Especifica el servidor LDAP que utiliza TivoliSecureWay Policy Director, Versión 3.8. Esta entradaes obligatoria.

user-reg-hostportEspecifica el puerto del servidor LDAP. Esta entradaes obligatoria.

user-reg-hostsslportEspecifica el puerto SSL del servidor LDAP. Estaentrada es obligatoria.

ssl-enabled Especifica si las comunicaciones de Secure SocketsLayer (SSL) están habilitadasyes) o inhabilitadasno) en el sistema. Si el SSL está inhabilitado,además puede especificar las siguientes opciones:

ssl-keyfileEspecifica el archivo de claves del clienteLDAP. Esta entrada es obligatoria.


84 Versión 3.8

ssl-keyfile-dnEspecifica el nombre distinguido del archivode claves.

ssl-keyfile-pwdEspecifica la contraseña del archivo declaves. Esta entrada es obligatoria.

Realización de una copia de seguridad de los datosde Tivoli SecureWay Policy Director

Antes de empezar a efectuar una copia de seguridad de los datos deTivoli Policy Director, compruebe que se satisfacen las siguientescondiciones:

¶ Asegúrese de que la cuenta de usuario del administrador deTivoli SecureWay Policy Director (por ejemplo,sec_master)tenga permiso respecto a todas las ACL antes de ejecutar lautilidad migrate37. En caso contrario, esta utilidad no tienepermiso para efectuar una copia de seguridad satisfactoria detoda la información de Tivoli SecureWay Policy Director.

¶ Ejecute la utilidadmigrate37 del directorio temporal del sistemade Management Server.

¶ En sistemas Windows, compruebe que ha especificado, además,la opción–r al efectuar la copia de seguridad de la informaciónde Tivoli SecureWay Policy Director. Por ejemplo, debe incluirlo siguiente:–r "C:\Archivos de programa\Tivoli\Policy Director\ivmgrd

\lib\ivmgrd.conf"

dondeC:\Archivos de programa\Tivoli\PolicyDirector\ivmgrd\lib es la ruta especificada durante lainstalación de Tivoli SecureWay Policy Director, Versión 3.7.x.Para obtener información de referencia, consulte el apartado“Sintaxis de migrate37 y migrate38” en la página 156.

¶ Si actualiza únicamente desde un registro LDAP, debeespecificar, además, la opción–d ldap.


85Tivoli®

SecureWay®


5.A

ctualizacióndesde

laV

ersión3.7. x

Para efectuar una copia de seguridad de los datos de un sistema quetenga instalado Tivoli SecureWay Policy Director, Versión 3.7.x, sigaestos pasos:

1. Para efectuar una copia de seguridad de los datos de la lista decontrol de accesos, incluidas las acciones de permisos y losgrupos de acciones, así como la información sobre la política deobjetos protegidos (POP), escriba el siguiente comando:migrate37 –t backup –s acls –f acls.xml

dondeacls.xml es el nombre del archivo en el que se almacenala información de la lista de control de accesos.

2. Para efectuar una copia de seguridad de la información de gruposy de usuarios de un registro DCE, escriba el siguiente comando:migrate37 –t backup –s user –f usuario.xml

dondeusuario.xml es el nombre del archivo en el que sealmacena la información sobre los grupos.

Notas:

¶ Si tiene intención de utilizar un servidor LDAP existente dela instalación de la Versión 3.8, no debe efectuar una copiade seguridad de los usuarios y de los grupos. Asimismo, semantienen los datos sobre la contraseña de usuario.

¶ Si tiene intención de instalar un nuevo servidor LDAP, debeutilizar las utilidades LDAP (no la utilidadmigrate37) paraefectuar una copia de seguridad de la información sobre losgrupos y los usuarios.

3. Para efectuar una copia de seguridad de los espacios de objetos ylos objetos que éstos contienen, escriba el siguiente comando:migrate37 –t backup –s obj –f objeto.xml

dondeobjeto.xml es el nombre del archivo en el que sealmacenan todos los objetos predeterminados (creados por losusuarios):

4. Para efectuar una copia de seguridad de los datos de servidor detodos los servidores configurados, escriba el siguiente comando:

Realización de una copia de seguridad de los datos de Tivoli SecureWayPolicy Director

86 Versión 3.8

migrate37 –t backup –s server –f servidor.xml

dondeservidor.xml es el nombre del archivo en el que sealmacenan los datos de servidor.

5. Para las instalaciones de productos WebSEAL únicamente,escriba lo siguiente para efectuar una copia de seguridad de losdatos de conexión:migrate37 –t backup –s webseal –f dir_temp/jct_backup.xml

dondedir_tempes el directorio temporal del sistema yjct_backup.xml es el archivo en el que se almacena lainformación de conexión.

Nota: El proceso de actualización (restauración) de WebSEALrestaura automáticamente la información de conexión deWebSEAL. El proceso WebSEAL busca específicamenteel archivojct_backup en el directorio temporal delsistema. Para obtener más información, consultela guíade instalación de Tivoli SecureWay Policy DirectorWebSEAL, Versión 3.8.

Restauración de los datos de Tivoli SecureWayPolicy Director

Antes de empezar con la restauración de los datos de Tivoli PolicyDirector, compruebe que se satisfagan las siguientes condiciones:

¶ Antes de restaurar la información almacenada, compruebe quehaya instalado Tivoli SecureWay Policy Director, Versión 3.8.

¶ Compruebe que ha restaurado los datos de los registros deusuarios y de grupos antes de restaurar cualquier otro tipo dedato.

¶ Compruebe que los datos ACL y POP son los últimos enrestaurarse. En caso contrario, es posible que elimine el permisode sec_masterpara crear objetos en determinadas ubicaciones.Además, las ACL no se restaurarán correctamente si los usuariosy grupos a los que hacen referencia no existen en el entorno dedestino de restauración.

Realización de una copia de seguridad de los datos de Tivoli SecureWayPolicy Director

87Tivoli®

SecureWay®


5.A

ctualizacióndesde

laV

ersión3.7. x

¶ Ejecute la utilidadmigrate38 del directorio temporal del sistemade Management Server.

¶ No se añade la información a los archivos de errores(especificados con la opción–e). En consecuencia, cada archivode errores debe ser único.

¶ En sistemas Windows, compruebe que ha incluido, además, laopción–r con las opciones especificadas en el siguienteprocedimiento. La opción–r especifica el nombre completo dela ruta del archivoivmgrd.conf para la instalación de la Versión3.8 actual. Por ejemplo:–r "C:\Archivos de programa\Tivoli\Policy Director\etc\ivmgrd.conf"

Para obtener información de referencia sobre esta opción y sobreotras opciones, consulte el apartado “Sintaxis de migrate37 ymigrate38” en la página 156.

¶ No se escriben los datos en el archivo de errores al restaurar lainformación de los usuarios y de los objetos. Debe especificar laopción–a para registrar los errores en el archivo de registro. Elarchivo de registro predeterminado esmigration.log .

Para restaurar los datos de Tivoli SecureWay Policy Director, sigaestos pasos:

1. Para restaurar la información de grupos y de usuarios, escriba elsiguiente comando:migrate38 –t restore –s user –f usuario.xml –e obj_error.xml

dondeusuario.xml es el nombre del archivo en el que sealmacena la información de grupos ymigration.log es elnombre del archivo de registro predeterminado que registra lasoperaciones fallidas.

Nota: En este punto, debe especificar la opción–e si bien no seregistran errores en este archivo.

2. Para restaurar los espacios de objetos y los objetos que éstoscontienen, escriba el siguiente comando:migrate38 –t restore –s obj –f objeto.xml –e obj_error.xml

Restauración de los datos de Tivoli SecureWay Policy Director

88 Versión 3.8

dondeobjeto.xml es el nombre del archivo en el que sealmacena la información de objetos no predeterminados (creadospor los usuarios) ymigration.log es el nombre del archivo deregistro predeterminado que registra las operaciones fallidas.

Nota: En este punto, debe especificar la opción–e si bien no seregistran errores en este archivo.

3. Para restaurar la información sobre los servidores y configurarcada servidor de acuerdo con los parámetros almacenados en elarchivo XML durante la realización de la copia de seguridad,escriba lo siguiente:migrate38 –t restore –s server –f servidor.xml –e error_servidor.xml

dondeservidor.xml es el nombre del archivo en el que sealmacena la información sobre el servidor yerror_servidor.xmles el nombre del archivo de errores que registra las operacionesfallidas.

4. Para restaurar acciones, grupos de acciones, listas de control deaccesos e información POP, escriba lo siguiente:migrate38 –t restore –s acls –f acl.xml –e error_acls.xml

dondeacl.xml es el nombre del archivo en el que se almacenala información POP y ACL yerror_acls.xml es el nombre delarchivo de errores que registra las operaciones fallidas.

5. Evalúe los errores de los archivos de errores, solucione lascondiciones que provocaron los errores y, a continuación,mediante el comandomigrate38 –svuelva a intentar larestauración únicamente con los elementos que provocaron loserrores. Siga esta rutina hasta que la restauración se completesatisfactoriamente y se ejecute sin errores.


89Tivoli®

SecureWay®


5.A

ctualizacióndesde

laV

ersión3.7. x


90 Versión 3.8

Desinstalación de TivoliSecureWay Policy Director,Versión 3.8

La desinstalación de Tivoli SecureWay Policy Director, Versión 3.8es un proceso que consta de dos partes. Debe desconfigurar loscomponentes y, a continuación, eliminarlos, a no ser que se le hayaindicado que haga lo contrario, como, por ejemplo, al actualizar a laVersión 3.8 desde un registro LDAP.

Este capítulo contiene los apartados principales siguientes:

¶ Consideraciones sobre la desinstalación

¶ Desinstalación de Tivoli SecureWay Policy Director en AIX

¶ Desinstalación de Tivoli SecureWay Policy Director en HP-UX

¶ Desinstalación de Tivoli SecureWay Policy Director en Linux

¶ Desinstalación de Tivoli SecureWay Policy Director en Solaris

¶ Desinstalación de Tivoli SecureWay Policy Director en Windows

Consideraciones sobre la desinstalaciónAntes de comenzar el proceso de desinstalación, compruebe que secumplan las siguientes condiciones:

¶ Detenga todos los servicios y aplicaciones de Tivoli SecureWayPolicy Director antes de desinstalar los componentes.

6

91Tivoli®

SecureWay®


6.D

esinstalaciónde

TivoliS

ecureWay

Policy

Director

¶ Desconfigure y elimine Management Server en último lugar.

¶ Desconfigure cualquier otra aplicación de Tivoli SecureWayPolicy Director como, por ejemplo, Tivoli SecureWay PolicyDirector WebSEAL, antes de desconfigurar Management Servery Runtime Environment.

¶ No es necesario desconfigurar Authorization ADK antes deeliminarlo.

Desinstalación de Tivoli SecureWay Policy Directoren AIX

Para desconfigurar y eliminar componentes en un sistema AIX, sigaestos pasos:

1. Para desconfigurar los componentes, siga las instrucciones que seindican en el apartado “Desconfiguración de Tivoli SecureWayPolicy Director en UNIX” en la página 95.

2. Para eliminar uno o más paquetes, escriba lo siguiente:installp –u –g paquete

dondeidioma es el código del país de la versión del idioma quese desinstala y paquete es uno de los siguientes paquetes:

PD.AuthADK Indica Authorization ADK.

PD.Mgr Indica Management Server.

PD.Acld Indica Authorization ADK.

PD.RTE Indica Runtime Environment.

ldap.msg.idiomaIndica los mensajes de IBM SecureWayDirectory para su idioma.

ldap.htm.idiomaIndica los mensajes de IBM SecureWayDirectory para su idioma.

ldap.client y ldap.max_crypto_clientIndica el cliente IBM SecureWay Directory.

Desinstalación de Tivoli SecureWay Policy Director

92 Versión 3.8

gskit.rte Indica GSKit.

Por ejemplo, el comando para desinstalar el cliente IBMSecureWay Directory con los mensajes y la documentación eninglés es el siguiente:installp –u –g ldap.html.en_US ldap.msg.en_US ldap.clientldap.max_crypto_client

Desinstalación de Tivoli SecureWay Policy Directoren HP-UX

Para desconfigurar y eliminar componentes en un sistema HP-UX,siga estos pasos:


2. Para eliminar uno o más paquetes, escriba lo siguiente:swremove paquete

dondepaquetees uno o más de los siguientes paquetes:



PDAcld Indica Authorization ADK.


LDAP Indica el cliente IBM SecureWay Directory.

gsk4bas Indica GSKit.

¶ Aparecerá un mensaje que indica que se está ejecutando elscript previo a la eliminación.

¶ A medida que se eliminan los archivos, su nombre apareceráen pantalla.

¶ Aparecerá un mensaje que indica que se está ejecutando elscript posterior a la eliminación.

3. Reinicialice el sistema cuando la desinstalación haya finalizado.


93Tivoli®

SecureWay®


6.D

esinstalaciónde

TivoliS

ecureWay

Policy

Director

Desinstalación de Tivoli SecureWay Policy Directoren Linux

Para desconfigurar y eliminar componentes en un sistema Linux,siga estos pasos:


2. Para eliminar uno o más paquetes, escriba lo siguiente:rpm -e paquete


PDAuthADK-PD Indica Authorization ADK.

PDRTE-PD Indica Runtime Environment.

ldap_clientd Indica el cliente IBM SecureWayDirectory.


La eliminación del paquete se realiza en modalidad silenciosa. Elindicador de línea de comandos de Linux aparece cuando laeliminación ha finalizado correctamente.

Aparecerá un mensaje que indica que la eliminación del paquete desoftware ha finalizado correctamente.

Desinstalación de Tivoli SecureWay Policy Directoren Solaris

Para desconfigurar y eliminar componentes en un sistema Solaris,siga estos pasos:


2. Para eliminar uno o más paquetes, escriba lo siguiente:pkgrm paquete


94 Versión 3.8




PDAcld Indica Authorization ADK.


ldap.msg.idiomaIndica los mensajes de IBM SecureWayDirectory para su idioma.

ldap.htm.idiomaIndica los mensajes de IBM SecureWayDirectory para su idioma.

IBMldapc Indica el cliente IBM SecureWay Directory.


3. Cuando se le pida que confirme la eliminación de estoscomponentes, escribay.

¶ Aparecerá un mensaje que indica que se está ejecutando elscript previo a la eliminación.

¶ A medida que se elimina un archivo, su nombre aparece enpantalla.

¶ Aparecerá un mensaje que indica que se está ejecutando elscript posterior a la eliminación.

Aparecerá un mensaje que indica que la eliminación del paquete desoftware ha finalizado correctamente.

Desconfiguración de Tivoli SecureWay PolicyDirector en UNIX

Antes de eliminar los paquetes de Tivoli SecureWay Policy Directoren un sistema UNIX, debe desconfigurar los componentes. Parahacerlo, siga estos pasos:

1. Inicie la sesión como usuarioroot.

2. Vaya al siguiente directorio:


95Tivoli®

SecureWay®


6.D

esinstalaciónde

TivoliS

ecureWay

Policy

Director

cd /opt/PolicyDirector/bin

3. Inicie la utilidad de configuración de Tivoli SecureWay PolicyDirector:pdconfig

Se mostrará elMenú de instalación de Policy Director.

4. Escriba el número del elemento de menú del componente deTivoli SecureWay Policy Director que desee desconfigurar.

5. Repita este procedimiento con cada paquete que deseedesconfigurar.

Si está desconfigurando un servidor, se visualizará un indicadorque solicita el nombre distinguido y la contraseña del usuarioadministrador de LDAP.

Nota: Cuando se desconfigura Management Server, se eliminatoda la información de autorización y configuración deldominio seguro. Esto incluye la información utilizada porlas aplicaciones de Tivoli SecureWay Policy Directorcomo, por ejemplo, Tivoli SecureWay Policy DirectorWebSEAL. Para continuar, escribay.

Desinstalación de Tivoli SecureWay Policy Directoren Windows

La eliminación de Tivoli SecureWay Policy Director es un procesoque consta de dos partes. En la primera parte se desconfiguran todoslos elementos que hay que eliminar. En la segunda parte se eliminanlos archivos de cada componente.

Para desconfigurar los componentes de Tivoli SecureWay PolicyDirector en un sistema Windows, siga estos pasos:

Nota: Si ya ha desconfigurado otro componente de TivoliSecureWay Policy Director, no se le solicitará la informaciónsobre el nombre y la contraseña del administrador durante elproceso de desconfiguración. La utilidad de configuración deTivoli SecureWay Policy Director almacena esta información.


96 Versión 3.8

1. Inicie la sesión como un usuario de Windows con privilegios deadministrador.

2. Inicie los servicios de IBM SecureWay Directory y PolicyDirector Management Server. Para hacerlo, seleccioneInicio →Configuración → Panel de controly haga clic enServicios. Acontinuación, seleccione el servicioIBM SecureWay DirectoryV3.2 y haga clic enIniciar . Después de iniciar el servidor, repitaeste paso para el servicio de Policy Director Management Server.

3. SeleccioneInicio → Programas → Policy Director →Configuración.

4. En el cuadro de diálogo Configuración de Policy Director, hagaclic en uno de los componentes de Tivoli SecureWay PolicyDirector que aparecen. Los componentes se deben desconfiguraren el siguiente orden:

¶ Policy Director Authorization Server (PDAcld)

¶ Policy Director Management Server (PDMgr)

¶ Policy Director Runtime Environment (PDRTE)

5. Haga clic enDesconfigurar.

6. Si ha seleccionado desconfigurar Authorization Server,especifique la contraseña del administrador de Tivoli SecureWayPolicy Director (sec_master).

7. Si ha seleccionado desconfigurar Management Server, escriba elnombre del administrador de LDAP (por ejemplo,cn=root ) y lacontraseña correspondiente. Se visualizará un mensaje de avisoque le informará de que al desconfigurar este paquete, seeliminará la información sobre autorización y configuración detodos los servidores Tivoli SecureWay Policy Director deldominio seguro. Haga clic enSí para realizar la eliminación;haga clic enNo para salir de esta tarea.

8. Para desconfigurar otro componente, repita los pasos 4 a 7.

Para eliminar los componentes de un sistema Windows, siga estospasos:


97Tivoli®

SecureWay®


6.D

esinstalaciónde

TivoliS

ecureWay

Policy

Director

1. Inicie la sesión como un usuario de Windows con privilegios deadministrador.

2. SeleccioneInicio → Configuración → Panel de controly hagaclic en el iconoAgregar o quitar programas.

3. Seleccione uno de los siguientes componentes y, a continuación,haga clic enAgregar o quitar :

¶ Policy Director Authorization Server

¶ Policy Director Authorization Toolkit

¶ Policy Director Management Server

¶ Policy Director Runtime

Aparece el cuadro de diálogoSeleccionar el idioma deinstalación.

4. Seleccione el idioma que desee utilizar para el proceso deeliminación y haga clic enAceptar.

5. En el cuadro de mensajeConfirmar la eliminación decomponentes, haga clic enSí.

Se eliminará el componente de Tivoli SecureWay Policy Director.

6. Seleccione otro componente de la lista.

7. Haga clic enAceptar para salir del programa.


98 Versión 3.8

Configuración de servidoresLDAP para Tivoli SecureWayPolicy Director

En los apartados siguientes se describe cómo agregar datos de TivoliSecureWay Policy Director a su servidor LDAP concreto. Si utilizóla instalación rápida para instalar el servidor IBM SecureWayDirectory, sáltese las instrucciones de este apéndice. El servidorLDAP ya está configurado para Tivoli SecureWay Policy Director.

Tenga en cuenta que ya no es necesario actualizar el esquema delservidor LDAP para el servidor IBM SecureWay Directory o iPlanetDirectory Server mediante los archivos de definición del esquema deTivoli SecureWay Policy Director. El esquema se agrega o actualizaautomáticamente cuando se configura Management Server.

Visión general de la configuración del servidor LDAPEn el servidor LDAP los datos se almacenan en una estructura deárbol jerárquica que se conoce como árbol de información dedirectorios (DIT). La parte superior del árbol se denominasufijo(también se conoce como contexto de denominación o raíz). Unservidor LDAP puede contener varios sufijos para organizar el árbolde datos en ramas lógicas o unidades organizativas.

En los apartados siguientes se describe cómo crear sufijos de TivoliSecureWay Policy Director para su servidor LDAP concreto. Durante

A

99Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

el proceso de configuración, Tivoli SecureWay Policy Directorintenta automáticamente agregar las listas de control de accesos(ACL) adecuadas a cada sufijo que exista actualmente en el servidorLDAP. Esto es necesario para otorgar a Tivoli SecureWay PolicyDirector el permiso necesario para gestionar a los usuarios y gruposdefinidos dentro de dichos sufijos. Si agrega los sufijosdespuésdeefectuar la configuración inicial de Tivoli SecureWay PolicyDirector, deberá agregar las ACL adecuadas manualmente. Paraobtener más información, consulte la publicaciónTivoli SecureWayPolicy Director Base Administration Guide.

Tivoli SecureWay Policy Director requiere que se cree un sufijodenominadosecAuthority=Default, que mantiene los metadatos deTivoli SecureWay Policy Director. Debe agregar este sufijo sólo unavez (la primera vez que configura el servidor LDAP). Este sufijopermite a Tivoli SecureWay Policy Director localizar y gestionarfácilmente los datos. También asegura el acceso a los datos, con loque se evita que se produzcan problemas de integridad o que sedañen.

Adicionalmente, se le solicita que especifique un nombre distinguido(DN) de Global Sign-On (GSO) durante la configuración deManagement Server. Para almacenar metadatos de GSO, puede crearun sufijo o bien especificar el nombre distinguido de una ubicacióndel DIT de LDAP existente. Puede almacenar los metadatos de GSOdonde desee dentro del DIT de LDAP, pero la ubicación ya debeexistir. Si decide crear un sufijo, debe considerar la posibilidad dealmacenar los metadatos de GSO y las definiciones de usuario en unsolo sufijo. Por ejemplo, en los apartados siguientes se utilizao=tivoli,c=us como ejemplo de cómo almacenar metadatos deGSO y definiciones de usuario. Tenga en cuenta que también puedecrear sufijos adicionales para mantener definiciones de usuario ygrupo.

Después de crear los sufijos, también debe crear entradas dedirectorio para cada sufijo. Esto es necesario para crear instanciasdel sufijo. En caso contrario, Tivoli SecureWay Policy Director nopuede conectarse a las ACL cuando se está configurando. Las ACL

Visión general de la configuración del servidor LDAP

100 Versión 3.8

otorgan a Tivoli SecureWay Policy Director el permiso necesariopara gestionar a los usuarios y grupos definidos dentro de dichossufijos.

Nota: para obtener instrucciones sobre cómo crear sufijos, consultela documentación incluida con su servidor LDAPdeterminado. Las instrucciones siguientes sirven como guíageneral para crear sufijos. Es recomendable que cree sufijosque reflejen la estructura organizativa.

Configuración del servidor IBM SecureWay DirectoryPara configurar el servidor IBM SecureWay Directory para TivoliSecureWay Policy Director, efectúe los pasos siguientes:

1. Asegúrese de que el servidor IBM SecureWay Directory estéinstalado. Para obtener instrucciones, consulte el apartado“Instalación del cliente IBM SecureWay Directory” en la página46.

2. Con un navegador web, acceda a la herramienta deadministración web del servidor IBM SecureWay Directory enla dirección siguiente:

http://nombreservidor:puerto/ldap/index.html dondenombreservidores el nombre del servidor LDAP ypuertoes elnúmero de puerto que aparece en el archivohttpd.conf.

Es importante tener en cuenta que tanto Tivoli SecureWayPolicy Director WebSEAL como el servidor IBM HTTP utilizanel puerto 80 como puerto predeterminado. Es recomendablecambiar el número de puerto del servidor IBM HTTP por 8080para que el servidor web no interfiera con el puerto 80.

Para cambiar el número de puerto predeterminado en el sistema,edite el archivohttpd.conf del sistema y cambie el número depuerto tal como se indica a continuación:# Port: The port the standalone listens to.Port 8080

3. Escriba el nombre y la contraseña del administrador LDAP y, acontinuación, haga clic enInicio sesión tal como se indica a

Visión general de la configuración del servidor LDAP

101Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

continuación:

Se mostrará la página web Administración del servidor IBMSecureWay Directory.

4. Para asegurarse de que se inicie el servidor IBM SecureWayDirectory, haga clic en la flecha situada a la izquierda deEstado actualdel panel de navegación y, a continuación, hagaclic en Estado del servidor. Aparece una ventana similar a lasiguiente:

Configuración del servidor IBM SecureWay Directory

102 Versión 3.8

5. Si el servidor está detenido, haga clic enIniciar/Detener y, acontinuación, enIniciar para iniciar el servidor. Aparece unmensaje cuando el servidor se inicia o detiene correctamente.

6. Para crear un sufijo, seleccioneValores → Sufijos del panel denavegación izquierdo. Aparece el marcoSufijos.

7. Para crear el sufijo donde Tivoli SecureWay Policy Directormantiene sus metadatos, escriba el siguiente sufijo obligatoriotal como se indica a continuación:secAuthority=Default

Nota: El nombre distinguido del sufijo no es sensible amayúsculas y minúsculas.

8. Haga clic enActualizar . Aparece el marcoSufijos. Los nuevossufijos aparecen en la tablaSufijos actuales del servidor.

9. Si elige crear un sufijo para los metadatos de GSO, escriba elnuevo nombre distinguido del sufijo en el campoDN de sufijo.Por ejemplo, puede escribiro=tivoli,c=us, tal como se indicaa continuación:

Se le solicita que indique el sufijo de GSO al configurar loscomponentes de Tivoli SecureWay Policy Director. Para obtenerinformación sobre por qué se requiere un sufijo de GSO,


103Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

consulte el apartado “Visión general de la configuración delservidor LDAP” en la página 99.

10. Haga clic enActualizar . Aparece de nuevo el marcoSufijos.En este punto, puede crear sufijos adicionales para mantenerdefiniciones de usuario y grupo.

Nota: Para obtener más información sobre cómo agregarsufijos, haga clic en el icono? de la ayuda ubicado en laparte superior derecha de la ventana.

11. Cuando haya terminado de agregar sufijos, haga clic enrearrancar el servidor en el mensaje de la parte superior delmarco, tal como se muestra a continuación:

El mensaje siguiente aparece pasados unos minutos:El servidor del directorio está ejecutándose.

Si el mensaje no puede verse, seleccioneInicio →Configuración → Panel de controly Servicios. Seleccione elservicio IBM SecureWay Directory y haga clic enIniciar parareiniciar el servidor LDAP.

12. Efectúe uno de los pasos siguientes:

¶ Si no agregó ningún sufijo distinto desecAuthority=Default, sáltese los pasos 13 a 19. Se


104 Versión 3.8

agrega automáticamente una entrada de directorio parasecAuthority=Default cuando se configura ManagementServer.

¶ Si agregó sufijos distintos desecAuthority=Default, vayaal paso 13 para crear entradas de directorio para cada sufijo.

13. Para crear entradas de directorio, escribadmt desde una línea decomandos para iniciar la Herramienta de gestión de directorios(DMT). Aparece la ventana siguiente:


105Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

14. Haga clic en el botónAgregar servidor situado en la parteinferior del marco. Aparece una ventana similar a la siguiente:


¶ Si desea utilizar SSL entre la DMT y el servidor LDAP,efectúe los pasos siguientes:

a. SeleccioneSencilla en el campoTipo de autenticación.

b. En el campoNombre de servidor, escriba el nombre desu servidor LDAP, por ejemplo,dliburd2.tivoli.com.Puede utilizar la dirección IP o bien el nombre deldominio.

c. En el campoDN de usuario, escriba el ID deadministrador LDAP utilizado para conectar con elservidor, por ejemplo:cn=root

d. En el campoContraseña de usuario, escriba lacontraseña del administrador LDAP.

e. Seleccione la casilla de verificaciónUtilizar SSL .

f. En el campoPuerto, escriba el número de puerto SSL.


106 Versión 3.8

g. Rellene los camposNombre de archivo de clase clavey Contraseña de archivo de clase clave. El nombre delcertificado es opcional en función de cómo se configureel servidor LDAP y el archivokdb.

h. Haga clic enAceptar.

¶ Si no desea utilizar SSL entre la DMT y el servidor LDAP,efectúe los pasos siguientes:

a. SeleccioneSencilla en el campoTipo de autenticación.

b. En el campoNombre de servidor, escriba el nombre desu servidor LDAP, por ejemplo,dliburd2.tivoli.com.Puede utilizar la dirección IP o bien el nombre deldominio.

c. En el campoDN de usuario, escriba el ID deadministrador LDAP utilizado para conectar con elservidor, por ejemplo:cn=root

d. En el campoContraseña de usuario, escriba lacontraseña del administrador LDAP.

e. Haga clic enAceptar.

16. SeleccioneExaminar árbol del marco izquierdo. Aparecenmensajes de aviso que indican que los sufijos que creó nocontienen datos. Haga clic enAceptar para cerrar estos


107Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

mensajes. Aparece una ventana similar a la siguiente:

17. Seleccione un nombre de host de la lista de la derecha y hagaclic en Agregar. Por ejemplo, el nombre de host esldap://dliburd2.tivoli.com:389 en el ejemplo anterior.

18. En la ventana Agregar una entrada LDAP, rellene los campos yhaga clic enAceptar. Por ejemplo, si agrega una entrada dedirectorio para el sufijo GSO, aparece una ventana similar a lasiguiente:

19. Especifique los valores para los atributos y, a continuación,haga clic enAgregar. El ejemplo de sufijo GSO tiene el


108 Versión 3.8

aspecto siguiente:

20. Cuando termine de agregar entradas de directorio para lossufijos que haya creado, haga clic enSalir para cerrar laventana Herramienta de gestión de IBM SecureWay Directory.

Configuración de iPlanet Directory ServerAntes de empezar, compruebe que haya finalizado la instalación yconfiguración básicas del servidor tal como se describe en ladocumentación del producto iPlanet Directory Server. Para obtenermás información, consulte la documentación de iPlanet DirectoryServer en la dirección web siguiente:

http://docs.iplanet.com/docs/manuals/directory.html

Para configurar iPlanet Directory Server para Tivoli SecureWayPolicy Director, efectúe los pasos siguientes:

1. Para asegurarse de que el daemon del servidor de directorios(slapd-ID_servidor) y el daemon del servidor de administración(serv_admin) se estén ejecutando, efectúe uno de los pasossiguientes:

¶ En sistemas UNIX, escriba los comandos siguientes:# /usr/iplanet/servers/slapd-ID_servidor/start-slapd


109Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

# /usr/iplanet/servers/start-admin

¶ En sistemas Windows, seleccioneInicio → Configuración →Panel de controly haga clic en el iconoServicios.Seleccione los servicios iPlanet Administration Server 5.0 eiPlanet Directory Server 5 y haga clic enIniciar .

2. Para iniciar iPlanet Console, efectúe uno de los pasossiguientes:

¶ En sistemas UNIX, escriba el comando siguiente:% /usr/iplanet/servers/startconsole

¶ En sistemas Windows, seleccioneInicio→ Programas →iPlanet Server Products→ iPlanet Console 5.0.

Aparece la ventana de inicio de sesión de la consola a menosque el directorio de configuración (el directorioo=NetscapeRoot) esté almacenado en una instancia separadadel servidor del directorio. En este caso, aparece una ventanaque le solicita el ID de usuario de administrador, la contraseñay la dirección web del servidor administrativo para dichoservidor del directorio.

3. Inicie la sesión utilizando el ID de usuario y la contraseña parael administrador de LDAP. Por ejemplo, escribacn=DirectoryManager y la contraseña adecuada tal como se indica acontinuación:

Aparece iPlanet Console.

4. En la fichaTopology (Topología), haga clic en el iconoDirectory Server (Servidor del directorio). Aparece DirectoryServer Console.

5. En Directory Server Console, seleccione la fichaConfiguration(Configuración).

Configuración de iPlanet Directory Server

110 Versión 3.8

6. Haga clic con el botón secundario del ratón enData (Datos) enel panel de navegación izquierdo y, a continuación, seleccioneNew Root Suffix (Nuevo sufijo de raíz). También puede crearun nuevo sufijo seleccionandoData (Datos) y, después,Object(Objeto)→ Suffix (Sufijo) de la barra de menús tal como semuestra a continuación.

Aparece una ventana emergente que le solicita el nuevo sufijo yun nombre de base de datos.

7. Para crear el sufijo que mantiene los datos de Tivoli SecureWayPolicy Director, escribasecAuthority=Default en el campoNew suffix (Nuevo sufijo). A continuación, escriba un nombreexclusivo para la nueva base de datos y después haga clic enAceptar tal como se muestra a continuación:


111Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

Nota: La casilla de verificaciónCreate associated databaseautomatically (Crear base de datos asociadaautomáticamente) está preseleccionada. Esto es necesariopara que se cree una base de datos al mismo tiempo queel nuevo sufijo de raíz. El nuevo sufijo de raíz estáinhabilitado hasta que se cree una base de datos.

8. Si elige crear un sufijo para mantener los datos de GSO, escribael nombre distinguido del sufijo en el campoNew suffix(Nuevo sufijo) y escriba un nombre de base de datos exclusivo.Por ejemplo, puede escribiro=tivoli,c=us y, después, hacerclic en Aceptar tal como se muestra a continuación:

Se le solicita que indique el sufijo de GSO al configurar TivoliSecureWay Policy Director. Para obtener más información GSO,consulte el apartado “Visión general de la configuración delservidor LDAP” en la página 99.


¶ Si no agregó ningún sufijo distinto desecAuthority=Default, sáltese los pasos 10 a 13. Seagrega automáticamente una entrada de directorio parasecAuthority=Default cuando se configura ManagementServer.

¶ Si agregó sufijos distintos desecAuthority=Default, sigalos pasos 10 a 13 para crear entradas de directorio paracada sufijo.

10. Haga clic en la fichaDirectory (Directorio) y resalte el nombredel servidor en la parte superior del panel izquierdo.

11. SeleccioneObject (Objeto)→ New Root Object (Nuevo objetode raíz). Aparece una lista de nuevos sufijos para los que no


112 Versión 3.8

existe aún ninguna entrada, tal como se muestra a continuación:

12. Para cada nuevo sufijo (distinto desecAuthority=Default),seleccione el nuevo sufijo. Aparece el panelNew Object(Nuevo objeto). Desplácese hacia abajo para encontrar el tipode entrada que corresponda al sufijo que está creando. Porejemplo, puede seleccionarorganization (organización) para unsufijo llamadoo=tivoli,c=us. Resalte el tipo de entrada yhaga clic enAceptar, tal como se muestra a continuación:


113Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

13. En la ventanaProperty Editor (Editor de propiedades), escribaun valor para la entrada. Para el ejemploo=tivoli,c=us,escribativoli como el valor paraorganization (organización) yhaga clic enAceptar, tal como se muestra a continuación:

14. Después de haber creado las entradas para cada sufijo que hayaagregado, seleccioneConsole(Consola)→ Exit (Salir) paracerrar la consola.

Configuración de LiveContent DIRECTORYAntes de empezar, compruebe que haya finalizado la instalación yconfiguración básicas del servidor tal como se describe en ladocumentación del producto LiveContent DIRECTORY.

Este apartado contiene los temas siguientes:

¶ Carga del archivo de esquema de Tivoli SecureWay PolicyDirector

v Adición de definiciones de tipos de objetos y atributos

v Actualización de los sufijos de búsqueda de LiveContentDIRECTORY

¶ Configuración del puerto DAP de LiveContent DIRECTORY


114 Versión 3.8

¶ Configuración del host de Tivoli SecureWay Policy Director

v Obtención de archivos de LiveContent DIRECTORY

v Configuración y verificación de enlaces

¶ Actualización de los esquemas de la DAC de LiveContentDIRECTORY

Nota: Las instrucciones siguientes presuponen que está familiarizadocon las tareas de configuración y administración deLiveContent DIRECTORY.

Para configurar LiveContent DIRECTORY para Tivoli SecureWayPolicy Director, efectúe los pasos siguientes:

1. Utilice la herramienta iCon Directory Management para crear undirectorio (DSA) si todavía no existe uno. Para obtenerinstrucciones, consulte el manual de ForLiveContentDIRECTORY.

2. Tivoli SecureWay Policy Director presupone que el número delpuerto LDAP es mayor que el del puerto DAP. Si no es así,utilice la variable de entorno I500_DAP-PORT para establecer elpuerto DAP.

3. Utilice el servidor iCon para comprobar si existe una entrada deorganización en el DIT. Si no hay una entrada de organización,utilice la utilidad DAC (Directory Administration Center) paracrearla.

La utilidad DAC se puede instalar en cualquier sistema WindowsNT de la red. Para obtener instrucciones sobre cómo usar lautilidad DAC, consulte el manual de LiveContent DIRECTORY.

Carga del archivo de esquema de Tivoli SecureWayPolicy Director

Para cargar el archivo de esquema de Tivoli SecureWay PolicyDirector, siga las instrucciones de los apartados siguientes:

¶ Adición de definiciones de tipos de objetos y atributos

¶ Actualización de los sufijos de búsqueda de LiveContentDIRECTORY

Configuración de LiveContent DIRECTORY

115Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

Adición de definiciones de tipos de objetos y atributosUtilice la herramienta iCon para cargar los archivos de esquema deTivoli SecureWay Policy Director y los archivos de configuración.Los archivos se encuentran en el directorio siguiente:/opt/PolicyDirector/i500/lib

Para agregar definiciones de tipo de objeto y atributo, siga los pasossiguientes:

1. Utilice un editor de texto para visualizar el contenido delarchivo de Tivoli SecureWay Policy Directorpd_i500_attributes.cfg.

2. Mediante la herramienta iCon, haga clic enSchema(Esquema)y corte y pegue el contenido del archivopid_i500_attributes.cfg en el campoNew attributes inLDAP v3 format (Nuevos atributos en formato LDAP v3), talcomo se muestra a continuación:


116 Versión 3.8

3. Haga clic enSchema import (Importar esquema). Se importaráel archivo de esquema, tal como se muestra a continuación:

4. SeleccioneSchema→ Utilities (Esquema→ Utilidades).

5. Haga clic enReload Schema(Recargar esquema).

6. Utilice un editor de texto para visualizar el contenido delarchivopd_i500_objectclasses.cfg.

7. Corte y pegue el contenido depid_i500_objectclasses.cfgen la ventana de iCon:

Schema→ schema import:New objectclasses in LDAP v3format (Esquema→ importar esquema: Nuevas clases de objetosen formato LDAP v3)

8. Haga clic enSchema import (Importar esquema).

9. Visualice el contenido del archivopd_i500_objectclasses_ext_1.cfg.

10. Haga clic enSchema(Esquema) y corte y pegue el contenidode pid_i500_objectclasses_ext_1.cfg en la ventanaNewobjectclasses in LDAP v3 format(Nuevas clases de objetos enformato LDAP v3).


117Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

11. Haga clic enSchema import (Importar esquema). Seimportarán las nuevas clases de objetos, tal como se muestra acontinuación:

12. Visualice el contenido del archivopd_i500_objectclasses_ext_2.cfg.

13. Haga clic enSchema(Esquema) y corte y pegue el contenidode pid_i500_objectclasses_ext_2.cfg en el campoNewobjectclasses in LDAP v3 format(Nuevas clases de objetos enformato LDAP v3).

14. Haga clic enSchema import (Importar esquema).



17. Haga clic enCheck schema(Comprobar esquema) y verifiqueque el esquema sea coherente, tal como se muestra a


118 Versión 3.8

continuación:

Ahora se cargará el esquema.

Actualización de los sufijos de búsqueda de LiveContentDIRECTORY

Deberá actualizar los sufijos de dominio para Tivoli SecureWayPolicy Director en el archivo de configuración de LiveContentDIRECTORY del sistema LiveContent DIRECTORY.

Para actualizar actualizar los sufijos de búsqueda de LiveContentDIRECTORY, siga estos pasos:

1. En la parte inferior del archivo siguiente, localice la sección quecontenga la etiquetaNamingContext:dir-instalación/icon/nombredsa/i500ldap/serverconfig.cfg

dondedir-instalación indica el directorio de instalación deLiveContent DIRECTORY y el directorionombredsahacereferencia al DSA que se utiliza actualmente.

2. Compruebe que este apartado ya contenga la entradac=country.Por ejemplo:c=us


119Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

3. Para crear el sufijo donde Tivoli SecureWay Policy Directormantiene sus metadatos, escriba el siguiente sufijo obligatorio talcomo se indica a continuación:secAuthority=Default

Nota: El nombre distinguido del sufijo no es sensible amayúsculas y minúsculas.

Por ejemplo, el apartadoNamingContext del archivoserverconfig.cfg de DSA actual puede tener un aspectoparecido al siguiente:[NamingContext]

c=us

secAuthority=Default

4. Utilice la herramienta iCon para detener y volver a iniciar elactual LiveContent DIRECTORY actual para que los cambiosentren en vigor.

Configuración del puerto DAP de LiveContentDIRECTORY

Para determinar el puerto DAP de LiveContent DIRECTORYmediante la herramienta iCon, haga clic enMain (Principal)→dsa_name(nombredsa)→ Comms (Comunicaciones). Aparece unalista de protocolos.

¶ En sistemas UNIX, el puerto DAP es el número del puerto quese lista respecto al protocolo DAP/DSP.

¶ En Windows NT, el puerto DAP es el número del selector detransporte (TSEL) que se lista respecto al protocolo DAP/DSP.

Si el número de puerto DAP es inferior al número de puerto deLDAP mostrado en esta página, no tiene que hacer nada más. Éstees el valor predeterminado por Tivoli SecureWay Policy Director. Encaso contrario, si instala Tivoli SecureWay Policy Director en unsistema UNIX, establezca los parámetros de entorno siguientes:I500_DAP_PORT=puerto_DAP

En un sistema Windows NT, seleccioneInicio → Configuración →Panel de controly, a continuación, el iconoSistema. En el diálogo


120 Versión 3.8

Propiedades del sistema, haga clic en la fichaEntorno. En el campoVariable, escribai500_DAP_PORT; en el campoValor , escribapuerto_DAP y, a continuación, haga clic enAceptar.

Configuración del host de Tivoli SecureWay PolicyDirector

Para configurar el host de Tivoli SecureWay Policy Director, siga lasinstrucciones de los apartados siguientes:

¶ Obtención de archivos de LiveContent DIRECTORY

¶ Configuración y verificación de enlaces

Obtención de archivos de LiveContent DIRECTORYTivoli SecureWay Policy Director no requiere que se instale elcliente de InJoin Directory, pero necesita varios archivos de ladistribución de software de LiveContent DIRECTORY.

Si Tivoli SecureWay Policy Director se está ejecutando en el mismosistema que LiveContent DIRECTORY, los archivos deberán estarpresentes.

Si Tivoli SecureWay Policy Director no está ejecutándose en elmismo sistema que LiveContent DIRECTORY, debe copiar losarchivos del sistema de LiveContent DIRECTORY en el sistema deTivoli SecureWay Policy Director.

Tivoli SecureWay Policy Director da soporte a LiveContentDIRECTORY en plataformas Solaris y Windows NT. Si TivoliSecureWay Policy Director se está ejecutando en Windows NT, nopuede copiar los archivos binarios de Solaris en el sistema Windows.En su lugar, deberá obtener los archivos binarios de un sistemaWindows NT que tenga LiveContent DIRECTORY.

Si no tiene otro sistema Windows NT en el que instalar LiveContentDIRECTORY, deberá instalarlo en el sistema Windows NT en el queestá instalado Tivoli SecureWay Policy Director, solamente a fin deobtener los archivos necesarios.


121Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

Se deben copiar los archivos siguientes desde una instalación deLiveContent DIRECTORY en el sistema en que está TivoliSecureWay Policy Director:

¶ $ODSRELEASE/bin/odsdua

¶ $ODSRELEASE/scripts/dslib

¶ $ODSRELEASE/scripts/dulib

¶ $ODSRELEASE/scripts/oids

¶ $ODSRELEASE/perl (si todavía no se encuentra en la ruta deacceso)

1. Cree un directorio en el que colocar los archivos indicados másarriba:

2. Establezca la variable de entorno ODSRELEASE igual aldirectorio que ha creado en el paso anterior. Por ejemplo:export ODSRELEASE=directorio_instalación

3. Cree los subdirectorios necesarios:

¶ bin

¶ scripts

¶ perl/bin

4. Compruebe que$ODSRELEASE/bin y $ODSRELEASE/perl/binestén en la ruta del sistema.

Esto permitirá ejecutar la utilidadesodsduay perl.

Nota: Si el sistema tiene otras versiones de Perl, compruebe que$ODSRELEASE/perl/bin esté en la ruta del sistema antesque cualquier otro directorio que contenga un binario dePerl.

5. Copie el archivo$ODSRELEASE/nombredsa/oidslocal delsistema LiveContent DIRECTORY en el directorio$ODSRELEASE\scripts en el sistema Tivoli SecureWay PolicyDirector.


122 Versión 3.8

Configuración y verificación de enlaces1. Vaya al directorio/opt/PolicyDirector/i500/bin.

2. Escriba el comando siguiente:perl secschema –D dn_gestor–w contraseña –h i500_host –p puerto_LDAP –P puerto_DAP

Este script establece los enlaces de nombres para los objetos delesquema de seguridad.

3. Para establecer los enlaces de nombres para los objetos delesquema de GSO, escriba el siguiente comando:perl gsoschema –D dn_gestor –wcontraseña –h i500_host –ppuerto_LDAP –P puerto_DAP

4. Inicie la herramienta iCon para volver a cargar el esquema yverificar que los scripts Perl hayan actualizado correctamente elesquema. Inicie iCon.



7. Verifique que existan los enlacessecAuthority, secUser yeGSOuser en el esquema tal como se muestra a continuación:


123Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector

Actualización de los esquemas de la DAC deLiveContent DIRECTORY

LiveContent DIRECTORY mantiene varias copias del archivo deesquema que contiene definiciones de tipos de objetos y definicionesde tipos de atributos. Los programas siguientes mantienen cada unouna copia del esquema:

¶ LiveContent DIRECTORY

¶ El servidor LDAP

¶ La utilidad DAC (Directory Administration Center)

Para usar la utilidad DAC con el esquema de Tivoli SecureWayPolicy Director, es necesario actualizar los archivos de definición delesquema propios de DAC. Los archivos necesarios se suministran enel directorioi500/lib de Tivoli SecureWay Policy Director.

Para sincronizar los archivos, debe agregar datos de varios archivosde Tivoli SecureWay Policy Director a los archivos de LiveContentDIRECTORY correctos. Puede abrir cada archivo de TivoliSecureWay Policy Director, copiar su contenido y pegarlo en elarchivo de LiveContent DIRECTORY especificado.

Los archivos de Tivoli SecureWay Policy Director se encuentran enel directorioi500/lib, que está situado justo debajo del directoriode instalación de Tivoli SecureWay Policy Director. Por ejemplo, enSolaris el directorio es:/opt/PolicyDirector/i500/lib

Los archivos de LiveContent DIRECTORY están situados en eldirectorioi500DAC, que está situado debajo del directorio deinstalación del cliente DAC de LiveContent DIRECTORY.

Copie el contenido de cada archivolib de Tivoli SecureWay PolicyDirector en el archivo DAC de LiveContent DIRECTORY correcto,como se especifica en la lista siguiente:

1. Agregue el contenido dei500/lib/attfile al final del archivosiguiente:


124 Versión 3.8

directorio_instalación_DAC/i500DAC/attfile

2. Agregue el contenido dei500/lib/Etypes al final del archivosiguiente:directorio_instalación_DAC/i500DAC/Etypes

3. Use la utilidad DAC para conectarse al servidor i500.

4. Compruebe que la entradasecAuthority esté en el árbol y quesu hora y fecha de creación sean correctas.


125Tivoli®

SecureWay®


A.

Configuración

deLD

AP

paraP

olicyD

irector


126 Versión 3.8

Habilitación de Secure SocketsLayer

Es recomendable habilitar las comunicacions SSL (Secure SocketsLayer) entre el servidor LDAP (Lightweight Directory AccessProtocol) y los clientes IBM SecureWay Directory que den soporteal software Tivoli SecureWay Policy Director. Esta opción estádisponible si ha instalado el servidor IBM SecureWay Directory obien iPlanet Directory Server. LiveContent DIRECTORY no dasoporte a SSL.

En primer lugar, debe configurar SSL en el servidor LDAP y, acontinuación, debe configurar SSL en el cliente LDAP. Durante laconfiguración de SSL, se le solicitará que seleccione uno de los tiposde autenticación:

Autenticación de servidorEl servidor envía su certificado al cliente para que éste loautentique.

Autenticación de servidor y clienteDespués de que el servidor haya enviado su certificado alcliente y éste lo haya autenticado, el servidor solicita elcertificado del cliente. En este caso, se debe establecer uncertificado para la estación de trabajo del cliente y tambiénpara el servidor.

Si elige implementar sólo la autenticación de servidor, deberáconfigurar el servidor LDAP y los clientes IBM SecureWay

B

127Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

Directory para que puedan acceder a SSL. No obstante, si eligeimplementar la autenticación de servidor y cliente, deberá configurarSSL en el servidor y en el cliente, y seguir las instrucciones delapartado “Configuración de la autenticación de servidor y clienteLDAP” en la página 145.

Este apéndice contiene los apartados principales siguientes:

¶ Configuración del servidor IBM SecureWay Directory paraacceso SSL

¶ Configuración de iPlanet Directory Server para acceso SSL

¶ Configuración del cliente IBM SecureWay Directory para accesoSSL

¶ Configuración de la autenticación de servidor y cliente LDAP

Configuración del servidor IBM SecureWay Directorypara acceso SSL

Puede habilitar el uso de SSL para proteger las comunicaciones entrelos servidores de Tivoli SecureWay Policy Director y el servidorLDAP. Este paso solamente debe realizarse la primera vez que seestablecen las comunicaciones SSL entre el servidor LDAP y elcliente IBM SecureWay Directory.

Si durante la configuración del servidor LDAP ha habilitado elacceso SSL para el servidor LDAP, necesitará copiar un par deconjuntos de claves de cliente y servidor en cada sistema de TivoliSecureWay Policy Director adicional que utilice el acceso SSL.

Si el servidor LDAP necesita acceso SSL, utilice GSKit para llevar acabo la gestión de claves SSL. GSKit proporciona una utilidad degestión de claves gráfica que se llamagsk4ikm.

Nota: Para obtener instrucciones completas sobre cómo habilitarSSL y usar la utilidadgsk4ikm, consulte la publicaciónIBMSecureWay Installation and Configuration Guide.

Habilitación de Secure Sockets Layer

128 Versión 3.8

Para habilitar el acceso SSL en el servidor IBM SecureWayDirectory, siga las instrucciones de los apartados siguientes:

¶ “Creación del archivo de base de datos de claves y elcertificado” en la página 129.

¶ “Obtención de un certificado personal de una entidad emisora decertificados” en la página 131 o “Creación y extracción de uncertificado autofirmado” en la página 131.

¶ “Habilitación del acceso SSL en el servidor LDAP” en lapágina 133.

Creación del archivo de base de datos de claves y elcertificado

Para habilitar el soporte para SSL en el servidor LDAP, éste debetener un certificado que lo identifique y que pueda utilizarse comoun certificado personal. Este certificado personal es el certificadoque el servidor envía al cliente para autenticarse ante él. Loscertificados y la pareja de claves pública y privada se almacenan enun archivo de base de datos de claves. Normalmente, un usuarioadquiere un certificado firmado de una entidad emisora decertificados como, por ejemplo, VeriSign.

Como alternativa, un usuario puede utilizar un certificadoautofirmado. Si el usuario utiliza un certificado autofirmado, lamáquina en la que se genera el certificado se convierte en la entidademisora de certificados.

Para crear el archivo de base de datos de claves y el certificado, usela utilidad gsk4ikm. Para crear el archivo de base de datos de clavesy el certificado (firmado o autofirmado), efectúe los pasos siguientes:

1. Compruebe que GSKit, Versión 4.0.3.168 y quegsk4ikm esténinstalados en el servidor LDAP y en todos los clientes LDAPque vayan a utilizar SSL.

2. Inicie la utilidadgsk4ikm, que encontrará en uno de losdirectorios siguientes:

Configuración del servidor IBM SecureWay Directory para acceso SSL

129Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

Sistema Ruta de acceso

Windows C:\Archivos deprograma\IBM\GSK4\bin\GSK4ikm.exe

Solaris /opt/IBM/GSK4/bin/gsk4ikm

AIX /usr/lpp/ibm/gsk4/bin/gsk4ikm

Linux /usr/local/ibm/gsk4/bin/gsk4ikm

HP-UX /opt/ibm/gsk4/bin/gsk4ikm

3. Para crear un nuevo archivo de base de datos de claves,seleccioneArchivo de bases de datos clave→ Nuevo.

4. Compruebe queArchivo de base de datos clave de CMSseael tipo de base de datos de claves que se ha seleccionado.

5. En los camposNombre de archivo y Ubicación escriba lainformación sobre dónde desea ubicar el archivo de base dedatos de claves. La extensión de un archivo de base de datos declaves es.kdb.

6. Haga clic enAceptar.

7. Escriba la contraseña del archivo de base de datos de claves yconfírmela. Recuerde esta contraseña porque la necesitarácuando se edite el archivo de base de datos de claves.

8. Acepte la fecha de caducidad predeterminada o modifíquelasegún las necesidades de su organización.

9. Si desea enmascarar la contraseña y almacenarla en un archivostash, seleccione¿Ocultar la contraseña para un archivo?

Algunas aplicaciones pueden utilizar los archivos stash de talmodo que no es necesario que la aplicación conozca lacontraseña para utilizar el archivo de base de datos de claves.El archivo stash tiene el mismo nombre y ubicación que elarchivo de base de datos de claves y su extensión es.sth.

10. Haga clic enAceptar. Esto finaliza la creación del archivo debase de datos de claves. Hay un conjunto de certificados defirmante predeterminados. Estos certificados de firmante son lasentidades emisoras de certificados que se reconocen.


130 Versión 3.8

Obtención de un certificado personal de una entidademisora de certificados

Si piensa utilizar un certificado de una entidad emisora decertificados en lugar de un certificado autofirmado, debe solicitar elcertificado a la entidad emisora de certificados y, una vez se hayacompletado, lo recibirá.

Si piensa utilizar un certificado autofirmado, puede saltarse esteapartado y pasar al apartado “Creación y extracción de un certificadoautofirmado”.

Para solicitar y recibir un certificado, efectúe los pasos siguientes:

1. Utilice gsk4ikm para solicitar el certificado a una entidademisora de certificados y luego recibirlo en el archivo de base dedatos de claves.

2. Haga clic en el apartadoPeticiones de certificados personalesdel archivo de base de datos de claves.

3. Haga clic enNuevo.

4. Para generar una petición que pueda enviarse a la entidademisora de certificados, especifique toda la información necesariay haga clic enAceptar.

5. Para instalar el certificado en el archivo de base de datos declaves después de que la entidad emisora de certificados lodevuelva, haga clic en el apartadoCertificados personalesy, acontinuación, enRecibir.

6. Cuando tenga el certificado del servidor LDAP en el archivo debase de datos de claves, configure el servidor LDAP de modoque pueda habilitar SSL.

Vaya al apartado “Habilitación del acceso SSL en el servidor LDAP”en la página 133.

Creación y extracción de un certificado autofirmadoSi ha obtenido un certificado de una entidad emisora de certificadosconocida, como se ha descrito en el apartado anterior “Obtención deun certificado personal de una entidad emisora de certificados”,


131Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

puede saltarse este apartado y pasar al apartado “Habilitación delacceso SSL en el servidor LDAP” en la página 133.

Para crear un nuevo certificado autofirmado y almacenarlo en elarchivo de base de datos de claves, efectúe los pasos siguientes:

1. SeleccioneCrear → Nuevo certificado autofirmado.

2. Escriba un nombre en el campoEtiqueta clave que GSKitpueda utilizar para identificar el nuevo certificado en la base dedatos de claves. Por ejemplo, la etiqueta puede ser el nombre dela máquina en la que está instalado el servidor LDAP.

3. Acepte los valores predeterminados para el campoVersión(X509 V3) y para el campoTamaño clave.

4. Acepte el nombre de máquina predeterminado o escriba unnombre distinguido diferente en el campoNombre común paraeste certificado.

5. Escriba un nombre de empresa en el campoOrganización.

6. Puede rellenar los campos opcionales o dejarlos en blanco.

7. Acepte los valores predeterminados para el campoPaísy 365para el campoPeríodo de validezo modifíquelos según losrequisitos de su organización.

8. Haga clic enAceptar. GSKit generará una nueva pareja declaves pública y privada y creará el certificado.

Si tiene más de un certificado personal en el archivo de base dedatos de claves, GSKit le consulta si desea que esta clave sea laclave predeterminada en la base de datos. Puede elegir uno deellos como valor predeterminado. El certificado predeterminadose utiliza durante la ejecución cuando no se proporciona unaetiqueta para seleccionar el certificado que se quiere utilizar.

Con esto se habrá completado la creación del certificadopersonal del servidor LDAP. El certificado deberá aparecer en elapartado Certificados personales del archivo de base de datos declaves. Utilice la barra central de la utilidad de Gestión declaves para seleccionar entre los diferentes tipos de certificadosque se guardan en el archivo de base de datos de claves.


132 Versión 3.8

El certificado también aparece en el apartado Certificados defirmante del archivo de base de datos de claves. Cuando esté enel apartado Certificados de firmante de la base de datos declaves, compruebe que el nuevo certificado esté incluido.

A continuación, deberá extraer el certificado de su servidorLDAP como un archivo de datos ASCII con codificaciónBase64.

9. Utilice gsk4ikm para extraer el certificado de su servidor LDAPcomo un archivo de datos ASCII con codificación Base64. Estearchivo se utiliza en el apartado “Adición de un certificado defirmante” en la página 143.

10. Seleccione el certificado autofirmado que acaba de crear.

11. Haga clic enExtraer certificado .

12. Haga clic enDatos ASCII codificados en Base64como el tipode datos.

13. Escriba un nombre de archivo de certificado para el certificadoque acaba de extraer. La extensión de un archivo de certificadonormalmente es.arm.

14. Escriba la ubicación en la que desea almacenar el certificadoextraído.


16. Copie este certificado que ha extraído en la máquina clienteLDAP.

Ahora puede configurar el servidor LDAP de modo que puedahabilitarse SSL. Vaya al apartado “Habilitación del acceso SSL en elservidor LDAP”.

Habilitación del acceso SSL en el servidor LDAPPara configurar el servidor LDAP de modo que pueda habilitarseSSL, efectúe los pasos siguientes:

1. Compruebe que el servidor LDAP esté instalado y en ejecución.

2. Utilice la herramienta de administración LDAP basada en webcon la dirección web siguiente:


133Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

http://nombreservidor/ldap

dondenombreservidores el nombre de la máquina del servidorLDAP.

3. Inicie la sesión como administrador de LDAP (por ejemplo,cn=root) si todavía no la ha iniciado.

4. SeleccioneSeguridad → SSL → Valores.

5. Haga clic enSSL Activada, con lo que se habilita SSL o hagaclic en SSL solamentepara establecer el estado de SSLdeseado. Por ejemplo:

6. Elija uno de los métodos de autenticación siguientes:

¶ Autenticación de servidor

En el caso de la autenticación de servidor, el servidor envíasu certificado al cliente para que éste lo autentique.


134 Versión 3.8

¶ Autenticación de servidor y cliente

En el caso de la autenticación de servidor y cliente, despuésde que el servidor haya enviado su certificado al cliente yéste lo haya autenticado, el servidor solicita el certificadodel cliente. En este caso, se debe establecer también uncertificado para la máquina cliente.

Debe establecer el certificado para el cliente cuando habiliteel acceso SSL para el cliente en el apartado “Configuraciónde la autenticación de servidor y cliente LDAP” en lapágina 145.

7. Escriba un número de puerto o acepte el número de puertopredeterminado 636.

8. Escriba la ruta de acceso y el nombre del archivo de base dedatos de claves que ha especificado en el apartado “Creacióndel archivo de base de datos de claves y el certificado” en lapágina 129.

La extensión de un archivo de base de datos de claves es.kdb.

9. En el campoEtiqueta clave escriba el nombre que utilizó paraidentificarlo cuando almacenó el certificado del servidor LDAPen la base de datos de claves. Por ejemplo, la etiqueta puede serel nombre de la máquina del servidor LDAP.

10. Escriba la contraseña del archivo de base de datos de claves yconfírmela. Puede dejar en blanco el campo de contraseña sidesea que el servidor LDAP utilice el archivo stash.

11. Haga clic enAplicar .

12. Haga clic en el vínculorearrancar el servidor para reiniciar elservidor LDAP y que este cambio surta efecto.

Para comprobar si se ha habilitado SSL, escriba el comandosiguiente desde una línea de comandos del servidor LDAP:ldapsearch -h nombreservidor -Z -Karchivoclaves -P contraseña_claves -b ""-s base objectclass=*


135Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

Las variables del comando son las siguientes:

Variable Descripción

nombreservidor El nombre de host DNS del servidorLDAP.

archivoclaves El nombre completo de la ruta de accesodel conjunto de claves generado.

contraseña_claves La contraseña del conjunto de clavesgenerado.

Este comando devuelve información básica de LDAP que incluye lossufijos del servidor LDAP.

Ahora habrá completado la configuración de SSL para el servidorLDAP.

A continuación, debe configurar el cliente LDAP para el acceso SSL.Vaya al apartado “Configuración del cliente IBM SecureWayDirectory para acceso SSL” en la página 141.

Configuración de iPlanet Directory Server paraacceso SSL

SSL permite cifrar los datos que se transmiten entre los servicios deTivoli SecureWay Policy Director e iPlanet Directory Server parauna mayor confidencialidad e integridad de los datos. Se recomiendaa los administradores que habiliten SSL para proteger informacióncomo, por ejemplo, las contraseñas de usuario y los datos privados.Sin embargo, no es necesario SSL para que funcione SecureWayPolicy Director.

Este procedimiento solamente es necesario llevarlo a cabo la primeravez que se configuran las comunicaciones SSL entre iPlanetDirectory Server y los clientes de IBM SecureWay Directory (losclientes LDAP). Para habilitar la comunicación SSL, deben estarconfigurados iPlanet Directory Server y el cliente LDAP.


136 Versión 3.8

Para obtener información detallada sobre cómo habilitar el accesoSSL en iPlanet Directory Server, consulte la documentación deiPlanet Directory Server.

Siga las instrucciones de los apartados siguientes:

¶ “Obtención de un certificado del servidor” en la página 137.

¶ “Instalación del certificado del servidor” en la página 139.

¶ “Habilitación del acceso SSL” en la página 140.

Obtención de un certificado del servidorPara habilitar el soporte para SSL, iPlanet Directory Server requiereun certificado que demuestre su identidad ante los sistemas cliente.El servidor envía el certificado al cliente para permitir que ésteacredite su identidad ante el servidor. Este certificado se llamaServer-Cert.

Utilice iPlanet Console 5.0 y Certificate Setup Wizard (Asistentepara la configuración de certificados) para establecer el Server-Cert.

1. Inicie iPlanet Console 5.0.

2. Escriba el ID de usuario del administrador de LDAP.

3. Escriba la contraseña.

4. Escriba la dirección web administrativa.

5. Seleccione el dominio que utilizará Tivoli SecureWay PolicyDirector.

6. Expanda el nombre del servidor.

7. ExpandaServer Group (Grupo de servidores).

8. Seleccione la entradaDirectory Server (Servidor de directorio).

Se mostrará información de configuración sobre iPlanetDirectory Server.

9. Haga clic enAbrir . Accederá a iPlanet Directory Server.

10. Haga clic en la fichaConfiguration (Configuración).

11. Haga clic en la fichaEncryption (Cifrado).

Configuración de iPlanet Directory Server para acceso SSL

137Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

12. Compruebe que la casilla de verificaciónEnable SSL for thisserver (Habilitar SSL para este servidor) no esté seleccionada.

13. Haga clic en la fichaTasks (Tareas) y, a continuación, enManage Certificates (Gestionar certificados).

Nota: La clave privada del certificado se almacena en undispositivo de seguridad interno denominadoseñal,protegido mediante contraseña. La primera vez que haceclic en el botónManage Certificates (Gestionarcertificados), se le pedirá que cree la contraseña de estaseñal.

14. Especifique la contraseña de seguridad dos veces y haga clic enAceptar. Aparece la ventanaManage Certificates (Gestionarcertificados).

15. En el menú desplegable Security Device (Dispositivo deseguridad), compruebe que se haya seleccionadointernal(software) (interno (software)) y que la fichaServer Certs(Certificados de servidor) esté seleccionada.

16. Haga clic en el botónRequest(Solicitud) situado en la parteinferior de la ventana. Aparece el panel Certificate RequestWizard (Asistente para solicitud de certificados).

17. Asegúrese de que el botónRequest certificater manually(Solicitar certificador manualmente) esté seleccionado y hagaclic en Siguiente.

18. Escriba la información del solicitante y, a continuación, hagaclic en Next (siguiente). Asegúrese de que rellenatodosloscampos. Cuando se le solicite si desea continuar, haga clic enSí.

19. Asegúrese de que en el campoActive Encryption token(Activar señal de cifrado) se indiqueinternal (software)(interno (software)).

20. Escriba la contraseña del dispositivo de seguridad y, acontinuación, haga clic enSiguiente.

21. Para guardar la solicitud de certificado en un archivo, haga clicen Save to File(Guardar en archivo). Para copiar la solicitud


138 Versión 3.8

en el Portapapeles, haga clic enCopy to Clipboard (Copiar enel portapapeles). A continuación, haga clic enDone (Hecho)para finalizar la solicitud.

22. Envíe la solicitud por correo electrónico o bien adjunte elarchivo guardado y envíe la solicitud al administrador de laentidad emisora de certificados.

Instalación del certificado del servidorCuando haya recibido el certificado de la entidad emisora decertificados, instálelo efectuando los pasos siguientes:

1. Abra la consola del iPlanet Directory Server.

2. Haga clic en la fichaTasks (Tareas) y, a continuación, enManage Certificates (Gestionar certificados).

3. Asegúrese de que la opciónServer Certs (Certificados deservidor) esté seleccionada y haga clic enInstall (Instalar).


¶ Para instalar el certificado desde un archivo, seleccioneInthis local file (En este archivo local).

¶ Para pegar el texto en la ventana, seleccioneIn thefollowing encoded text block(En el siguiente bloque detexto codificado), copie el texto del certificado y, acontinuación, haga clic enPaste from Clipboard (Pegar delPortapapeles).

5. Haga clic enSiguiente.

6. Verifique que la información de certificado sea la correcta y hagaclic en Siguiente.

7. En el campoThis certificate will be named (Este certificado sellamará), escriba un nombre de certificado o acepte el nombrepredeterminado,server-cert y, a continuación, haga clic enSiguiente.

8. Escriba la contraseña de señal y haga clic enHecho. Si elproceso es correcto, se abre el panel Manage Certificates


139Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

(Gestionar certificados) y el nombre del certificado del servidoraparece debajo de la fichaServer Certs (Certificados deservidor).

9. Vaya al apartado “Habilitación del acceso SSL”.

Habilitación del acceso SSLCuando haya salido del asistente para la configuración decertificados regresará a la fichaEncryption (Cifrado) de iPlanetConsole 5.0 tal como se muestra a continuación:

1. SeleccioneEnable SSL (Habilitar SSL).

2. SeleccioneRSA Cipher Family (Familia de cifrado RSA).

3. Si no piensa solicitar la autenticación del cliente basada encertificados, seleccioneDo not allow client authentication (Nopermitir autenticación del cliente).

4. Haga clic enSave(Guardar).

5. Reinicie el servidor de iPlanet Directory para que los cambiosentren en vigor.

Nota: tendrá que escribir la contraseña de base de datos fiablecada vez que se reinicie el servidor.


140 Versión 3.8

Ahora SSL se ha habilitado en el servidor de iPlanet Directory. Acontinuación, deberá habilitar SSL en los sistemas cliente deIBM SecureWay Directory que funcionarán como clientes LDAPen el servidor de iPlanet Directory.

Consulte el apartado “Configuración del cliente IBM SecureWayDirectory para acceso SSL” en la página 141.

Configuración del cliente IBM SecureWay Directorypara acceso SSL

En primer lugar, debe configurar el servidor LDAP para el accesoSSL antes de configurar el cliente LDAP para el acceso SSL. Sitodavía no ha configurado el servidor LDAP para el acceso SSL,vaya al apartado “Configuración del servidor IBM SecureWayDirectory para acceso SSL” en la página 128.

Si el cliente LDAP requiere el acceso SSL, utilice IBM GlobalSecurity Toolkit (GSKit) para la gestión de claves SSL.

GSKit proporciona una utilidad de gestión de claves gráfica que sellama gsk4ikm.

Nota: siga las instrucciones de uso de la utilidadgsk4ikm queencontrará en la documentación de LDAP.

Para configurar el cliente LDAP para el acceso SSL al servidorLDAP, siga las instrucciones de los apartados siguientes:

¶ “Creación de un archivo de base de datos de claves” en lapágina 141.

¶ “Adición de un certificado de firmante” en la página 143.

¶ “Prueba del acceso SSL” en la página 144.

Creación de un archivo de base de datos de clavesPara crear el archivo de base de datos de claves y el certificado, usela utilidad gsk4ikm. Para crear el archivo de base de datos de clavesy el certificado (firmado o autofirmado), efectúe los pasos siguientes:


141Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

1. Compruebe que GSKit, Versión 4.0.3.168 y que la utilidadgsk4ikm estén instalados en el servidor LDAP y en todos losclientes LDAP que vayan a utilizar SSL.








3. Para crear un archivo de base de datos de claves nuevo,seleccioneArchivo de bases de datos clave→ Nuevo.




7. Escriba la contraseña del archivo de base de datos de claves yconfírmela.

Recuerde esta contraseña porque la necesitará cuando se edite elarchivo de base de datos de claves.



Algunas aplicaciones pueden utilizar los archivos stash de talmodo que no es necesario que la aplicación conozca lacontraseña para utilizar el archivo de base de datos de claves.

Configuración del cliente IBM SecureWay Directory para acceso SSL

142 Versión 3.8

El archivo stash tiene el mismo nombre y ubicación que elarchivo de base de datos de claves y su extensión es.sth.

10. Haga clic enAceptar. Esto finaliza la creación del archivo debase de datos de claves. Hay un conjunto de certificados defirmante predeterminados. Estos certificados de firmante son lasentidades emisoras de certificados que se reconocen.

Para que el cliente pueda autenticar al servidor LDAP, el clientedebe reconocer a la entidad emisora de certificados (firmante)que ha creado el certificado del servidor. Si el servidor LDAPva a utilizar un certificado autofirmado, el cliente debehabilitarse de modo que reconozca la máquina que ha generadoel certificado del servidor LDAP como una fuente de confianza(entidad emisora de certificados).

11. Después de crear el archivo de base de datos de claves, cambiela propiedad del archivo de base de datos de claves porivmgr .Utilice el comando de sistema operativo apropiado para cambiarla propiedad del archivo. Por ejemplo, en sistemas UNIX,escriba lo siguiente:# chown ivmgr archivoclaves

Adición de un certificado de firmantePara agregar un certificado de firmante después de haber creado elarchivo de base de datos de claves, efectúe los pasos siguientes:

1. Si utiliza un certificado autofirmado para el servidor LDAP,asegúrese de que el certificado que se ha extraído del archivode base de datos de claves en el apartado “Creación yextracción de un certificado autofirmado” en la página 131 sehaya copiado en la máquina del cliente. Si no se ha copiado,cópielo ahora. En caso contrario, compruebe que tenga elcertificado de la entidad emisora de certificados que hayacreado el certificado de su servidor LDAP.

2. Haga clic en el apartadoCertificados de firmante del archivode base de datos de claves de CMS del cliente.

3. Haga clic enAgregar.

4. Haga clic enDatos ASCII codificados en Base64paraestablecer el tipo de datos.


143Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

5. Indique el nombre de archivo del certificado y su ubicación. Laextensión de un archivo de certificado normalmente es.arm.


7. Escriba una etiqueta para el certificado de firmante que va aagregar. Por ejemplo, como etiqueta puede utilizar el nombre dela máquina de servidor LDAP. Si fue una entidad emisora decertificados quien creó el certificado del servidor, puede utilizarel nombre de la misma como etiqueta.

8. Haga clic enAceptar. El certificado aparece en la base dedatos de claves del cliente como certificado de firmante.

9. Seleccione el certificado de firmante que acaba de agregar yhaga clic enVer/Editar .

10. Compruebe que el certificado esté establecido como una fuentede confianza verificando que se haya seleccionadoEstablecerel certificado como root fiable.

Si el certificado del servidor LDAP lo ha generado una entidademisora de certificados habitual, compruebe que ésta figure enla lista de certificados de firmante y sea una fuente deconfianza. Si no es así, agregue el certificado de la entidademisora de certificados como certificado de firmante e indiqueque se trata de una fuente de confianza.

Ahora el cliente puede establecer una sesión SSL con el servidorLDAP.

Prueba del acceso SSLPara comprobar que se ha habilitado SSL, escriba el comandosiguiente en el cliente LDAP:ldapsearch -h nombreservidor -Z -Karchivoclaves_cliente -P contraseña_claves -b "" -s base objectclass=*



nombreservidor El nombre de host DNS del servidor LDAP.


144 Versión 3.8


archivoclaves_cliente El nombre de ruta de acceso completa delconjunto de claves del cliente generado.

contraseña_claves La contraseña del conjunto de claves generado.

Este comando devuelve información básica de LDAP que incluye lossufijos del servidor LDAP.

Durante la configuración del servidor LDAP descrita en el apartado“Configuración del servidor IBM SecureWay Directory para accesoSSL” en la página 128, ha seleccionado el método de autenticaciónAutenticación de servidor o Autenticación de servidor y cliente.

¶ Si ha seleccionadoAutenticación de servidor, habrácompletado ahora la configuración de SSL.

¶ Si ha seleccionadoAutenticación de servidor y cliente, vaya alapartado “Configuración de la autenticación de servidor y clienteLDAP”.

Configuración de la autenticación de servidor ycliente LDAP

Durante la configuración del servidor LDAP para habilitar el accesoSSL, como se ha descrito en el apartado “Habilitación del accesoSSL en el servidor LDAP” en la página 133, se le pidió queseleccionara laAutenticación de servidor o la Autenticación deservidor y cliente.

Si ha seleccionadoAutenticación de servidor, la configuración deSSL habrá finalizado.

Si ha seleccionadoAutenticación de servidor y cliente, ahoradeberá establecer un certificado para la máquina del cliente. En estamodalidad de autenticación, el servidor solicita al cliente elcertificado y lo utiliza para autenticar la identidad del cliente.


145Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

Para establecer un certificado para la máquina cliente, siga lasinstrucciones de los apartados siguientes:

¶ “Creación de un archivo de base de datos de claves” en lapágina 146

¶ “Obtención de un certificado personal de una entidad emisora decertificados” en la página 148

¶ “Creación y extracción de un certificado autofirmado” en lapágina 148

¶ “Adición de un certificado de firmante” en la página 151

¶ “Prueba del acceso SSL” en la página 152

Creación de un archivo de base de datos de clavesSi aún no ha creado un archivo de base de datos de claves, use lautilidad gsk4ikm para crear el archivo de base de datos de claves yel certificado. Si ya ha creado un archivo de base de datos de claves,vaya al apartado “Obtención de un certificado personal de unaentidad emisora de certificados” en la página 148.

Para crear el archivo de base de datos de claves y el certificado(firmado o autofirmado), efectúe los pasos siguientes:

1. Compruebe que IBM Global Security Toolkit (GSKit) SSLRuntime Toolkit, Versión 4.0.3.168, y quegsk4ikm esténinstalados en el servidor LDAP y en todos los clientes LDAPque vayan a utilizar SSL.








Configuración de la autenticación de servidor y cliente LDAP

146 Versión 3.8

3. SeleccioneArchivo de bases de datos clave→ Nuevo.




7. Escriba la contraseña del archivo de base de datos de claves yconfírmela. Recuerde esta contraseña porque la necesitarácuando se edite el archivo de base de datos de claves.



Algunas aplicaciones pueden utilizar los archivos stash de talmodo que no es necesario que la aplicación conozca lacontraseña para utilizar el archivo de base de datos de claves.El archivo stash tiene el mismo nombre y ubicación que elarchivo de base de datos de claves y su extensión es.sth.


Esto finaliza la creación del archivo de base de datos de claves.Hay un conjunto de certificados de firmante predeterminados.Estos certificados de firmante son las entidades emisoras decertificados que se reconocen.

11. Después de crear el archivo de base de datos de claves, cambiela propiedad del archivo de base de datos de claves por ivmgr.Utilice el comando de sistema operativo apropiado para cambiarla propiedad del archivo. Por ejemplo, en sistemas UNIX,escriba lo siguiente:# chown ivmgr archivoclaves


147Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

Obtención de un certificado personal de una entidademisora de certificados

Si piensa utilizar un certificado de una entidad emisora decertificados (como, por ejemplo, VeriSign), en lugar de uncertificado autofirmado, debe solicitar el certificado a la entidademisora de certificados y una vez se haya completado lo recibirá.

Si piensa utilizar un certificado autofirmado, puede saltarse esteapartado y pasar al apartado “Creación y extracción de un certificadoautofirmado”.

Para solicitar y recibir un certificado, efectúe los pasos siguientes:

1. Utilice gsk4ikm para solicitar el certificado a una entidademisora de certificados y luego recibirlo en el archivo de base dedatos de claves.

2. Haga clic en el apartadoPeticiones de certificados personalesdel archivo de base de datos de claves.

3. Haga clic enNuevo.

4. Para generar una petición que pueda enviarse a la entidademisora de certificados, especifique toda la información necesariay haga clic enAceptar.

5. Para instalar el certificado en el archivo de base de datos declaves después de que la entidad emisora de certificados lodevuelva, haga clic en el apartadoCertificados personalesy, acontinuación, enRecibir.

6. Cuando tenga el certificado del cliente LDAP en el archivo debase de datos clave, podrá agregar el certificado de la entidademisora de certificados que creó el certificado del cliente en elservidor LDAP.

7. Vaya al apartado “Adición de un certificado de firmante” en lapágina 151.

Creación y extracción de un certificado autofirmadoSi ha obtenido un certificado de una entidad emisora de certificadosconocida, como se ha descrito en el apartado “Obtención de un


148 Versión 3.8

certificado personal de una entidad emisora de certificados” en lapágina 148 , puede saltarse este apartado y pasar al apartado“Adición de un certificado de firmante” en la página 151.

Para crear un nuevo certificado autofirmado y almacenarlo en elarchivo de base de datos de claves, efectúe los pasos siguientes:








2. SeleccioneCrear → Nuevo certificado autofirmado.

3. Escriba un nombre en el campoEtiqueta clave que GSKitpueda utilizar para identificar el nuevo certificado en la base dedatos de claves.

Por ejemplo, la etiqueta puede ser el nombre de la máquina enla que está instalado el cliente LDAP.

4. Acepte los valores predeterminados para el campoVersión(X509 V3) y para el campoTamaño clave.

5. Acepte el nombre de máquina predeterminado o escriba unnombre distinguido diferente en el campoNombre común paraeste certificado.

6. Escriba un nombre de empresa en el campoOrganización.

7. Puede rellenar los campos opcionales o dejarlos en blanco.

8. Acepte los valores predeterminados para el campoPaísy 365para el campoPeríodo de validezo modifíquelos según losrequisitos de su organización.


149Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

9. Haga clic enAceptar. GSKit generará una nueva pareja declaves pública y privada y creará el certificado.

Si tiene más de un certificado personal en el archivo de base dedatos de claves, GSKit le consulta si desea que esta clave sea laclave predeterminada en la base de datos. Puede elegir uno deellos como valor predeterminado. El certificado predeterminadose utiliza durante la ejecución cuando no se proporciona unaetiqueta para seleccionar el certificado que se quiere utilizar.

Con esto se habrá completado la creación del certificadopersonal del cliente LDAP. El certificado deberá aparecer en elapartado Certificados personales del archivo de base de datos declaves. Utilice la barra central de la utilidad de Gestión declaves para seleccionar entre los diferentes tipos de certificadosque se guardan en el archivo de base de datos de claves.

El certificado también aparece en el apartado Certificados defirmante del archivo de base de datos de claves. Cuando esté enel apartado Certificados de firmante de la base de datos declaves, compruebe que el nuevo certificado esté incluido.

A continuación, deberá extraer el certificado de su servidorLDAP como un archivo de datos ASCII con codificaciónBase64.

10. Utilice gsk4ikm para extraer el certificado de su servidor LDAPcomo un archivo de datos ASCII con codificación Base64.

11. Seleccione el certificado autofirmado que acaba de crear.

12. Haga clic enExtraer certificado .

13. Haga clic enDatos ASCII codificados en Base64como el tipode datos.

14. Escriba un nombre de archivo de certificado para el certificadoque acaba de extraer. La extensión de un archivo de certificadonormalmente es.arm.

15. Escriba la ubicación en la que desea almacenar el certificadoextraído y haga clic enAceptar.

16. Copie este certificado que ha extraído en la máquina servidorLDAP.


150 Versión 3.8

En el servidor LDAP, una vez se ha creado el certificado personaldel cliente y se ha agregado al archivo de base de datos clave delcliente, es necesario que la entidad emisora de certificados que hacreado el certificado del cliente esté reconocida como certificado defirmante (fuente de confianza).

Adición de un certificado de firmanteDebe efectuar este paso en el servidor LDAP.

Para agregar un certificado de firmante después de haber creado elarchivo de base de datos de claves, efectúe los pasos siguientes:


¶ Si utiliza un certificado autofirmado para el cliente,asegúrese de que el certificado que se ha extraído delarchivo de base de datos de claves en el apartado “Creacióny extracción de un certificado autofirmado” en lapágina 148 se haya copiado en la máquina servidor. Si nose ha copiado, cópielo ahora y sáltese los pasos siguientes.

¶ Si una entidad emisora de certificados fue quien creó elcertificado del cliente, agregue el certificado de la entidademisora de certificados como firmante de confianzaefectuando los pasos siguientes.

2. Haga clic en el apartadoCertificados de firmante del archivode base de datos de claves de CMS del cliente.

3. Haga clic enAgregar.

4. Haga clic enDatos ASCII codificados en Base64paraestablecer el tipo de datos.

5. Indique el nombre de archivo del certificado y su ubicación. Laextensión de un archivo de certificado normalmente es.arm.


7. Escriba una etiqueta para el certificado de firmante que va aagregar. Por ejemplo, como etiqueta o nombre de la entidademisora de certificados que haya generado el certificado delcliente, puede utilizar el nombre de la máquina de clienteLDAP.


151Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

8. Haga clic enAceptar. El certificado autofirmado aparece en labase de datos de claves del cliente como certificado defirmante.

9. Seleccione el certificado de firmante que acaba de agregar yhaga clic enVer/Editar .

10. Compruebe que el certificado esté establecido como una fuentede confianza verificando que se haya seleccionadoEstablecerel certificado como root fiable.

Si el certificado del cliente LDAP lo ha generado una entidademisora de certificados habitual, compruebe que ésta figure enla lista de certificados de firmante y sea una fuente deconfianza. Si no es así, agregue el certificado de la entidademisora de certificados como certificado de firmante e indiqueque se trata de una fuente de confianza.

Ahora el servidor puede establecer una sesión SSL con elcliente LDAP.

11. Vaya al apartado “Prueba del acceso SSL”.

Prueba del acceso SSLDespués de que el servidor LDAP reconozca la entidad emisora decertificados que ha creado el certificado personal del cliente,compruebe el acceso SSL utilizando el comando en el cliente LDAP:ldapsearch -h nombreservidor -Z -K archivoclaves_cliente-P contraseña_claves -N \etiqueta_cliente -b "" -s base objectclass=*



nombreservidor El nombre de host DNS del servidor LDAP.

archivoclaves_cliente El nombre de ruta de acceso completa delconjunto de claves del cliente generado.

contraseña_claves La contraseña del conjunto de claves generado.

etiqueta_cliente La etiqueta asociada con la clave, si la hay. Estecampo es opcional y solamente es necesario si elservidor LDAP está configurado para realizar laautenticación de servidor y de cliente.


152 Versión 3.8

Este comando devuelve información básica de LDAP, que incluyelos sufijos del servidor LDAP. Observe que el parámetro–N indicala etiqueta que se especificó al agregar el certificado personal delcliente al archivo de base de datos clave del cliente.

Nota: no especifique la etiqueta del certificado de firmante delservidor LDAP.La opción–N indica a GSKit qué certificadode cliente se envía al servidor cuando éste lo solicita. Si no seespecifica ninguna etiqueta, se enviará el certificado personalpredeterminado cuando el servidor solicite el certificado delcliente.

Ahora habrá completado la configuración de SSL.


153Tivoli®

SecureWay®


B.

Habilitación

deS

ecureS

ocketsLayer

154 Versión 3.8

Utilidades de migración

En este apéndice se proporciona información de consulta (sintaxis,opciones y ejemplos) sobre las utilidades de migración siguientes:

migrate37 Efectúa una copia de seguridad de datos importantesdel sistema para su utilización en el proceso deactualización.

migrate38 Restaura datos importantes del sistema para suutilización en el proceso de actualización.

pdupgrade Configura automáticamente Tivoli SecureWay PolicyDirector, Versión 3.8. También se utiliza pararestaurar el entorno de Tivoli SecureWay PolicyDirector, Versión 3.7.x, si es necesario.

En este apéndice también se explica cómo utilizar el comandodb2 yla utilidad DB2LDIF para efectuar una copia de seguridad yrestaurar datos LDAP (Lightweight Directory Access Protocol) en unservidor IBM SecureWay Directory. Estas utilidades resultan muyprácticas cuando se desea usar un método secundario de copia deseguridad y restauración de la información durante el proceso deactualización.

C

155Tivoli®

SecureWay®


C.

Utilidades

dem

igración

Sintaxis de migrate37 y migrate38

En el directorioplataforma/migrate del CD de Tivoli SecureWayPolicy Director Base, encontrará dos utilidades de migración para laplataforma de que dispone:migrate37 y migrate38. Con la utilidadmigrate37 puede efectuar copias de seguridad de la información deTivoli SecureWay Policy Director y conmigrate38 puederestaurarla. Debe copiar dichos archivos en el directorio temporal delsistema antes de iniciar el proceso de actualización. Para obtenerinstrucciones sobre cómo usar estas utilidades, consulte el apartado“Actualización de Management Server a la Versión 3.8” en la página70.

Notas:

¶ Asegúrese de que la cuenta de usuario del administrador deTivoli SecureWay Policy Director (por ejemplo,sec_master)tenga permiso respecto a todas las ACL antes de ejecutar lautilidad migrate37. En caso contrario, esta utilidad no tienepermiso para efectuar una copia de seguridad satisfactoria detoda la información de Tivoli SecureWay Policy Director.

Sintaxismigrate37 [–a{ nombre_archivo.log}] [ –d { dce | ldap}] –f{ nombre_archivo.xml} [ –l ruta nombre_archivo.conf] –r{ nombre_ruta} –s subopción–t backup [–v]

migrate38 [–a{ nombre_archivo.log}] –e nombre_archivo.xml –f{ nombre_archivo.xml} [ –l ruta nombre_archivo.conf] –r{ nombre_ruta} –s subopción–t restore [–v]

Opciones–a {nombre_archivo.log}

Especifica el nombre del archivo de registro queregistra todas las operaciones satisfactorias yanómalas. El archivo de registro predeterminado sellama migration.log.

–d {dce | ldap}Especifica la base de datos en la que se almacena


156 Versión 3.8

actualmente la información del usuario. Entre lasopciones se incluyen los datos de registro de usuariode Lightweight Directory Access Protocol (ldap) ode Distributed Computing Environment (dce). Elvalor predeterminado esdce.

Nota: No hace falta especificar esta opción cuandose restaura la información mediante la utilidadmigrate38.

–e nombre_archivo.xmlEspecifica el nombre de un archivo de erroresdefinido por el usuario. Tivoli SecureWay PolicyDirector requiere esta opción sólo cuando serestauran la ACL y la información de servidormediante la utilidadmigrate38. Este archivo conformato XML captura un registro de las operacionesque no se han podido restaurar, como también todaslas operaciones dependientes.

Debe editar este archivo de errores, arreglar lascondiciones que provocaron los errores y usar elarchivo como entrada de la utilidadmigrate38. Porejemplo, supongamos que trata de restaurarinformación de la ACL y alguna de las operacionesfalla (tal como se especifica en el archivo deerrores). Debe corregir los errores en el archivo deerrores y usarlo como entrada de la opción–s aclscuando ejecute la utilidadmigrate38. El archivo deerrores se convierte en el archivo de entrada de cadaciclo repetitivo de validación de errores hasta que larestauración resulte satisfactoria y se ejecute sinerrores.

Notas:

¶ Al restaurar información de usuario y de objetos,la información de errores se registra en elarchivo de registro, no en el archivo de errores.El archivo de registro predeterminado es


157Tivoli®

SecureWay®


C.

Utilidades

dem

igración

migration.log. No obstante, debe especificar laopción–e para que el proceso de restauraciónfuncione correctamente.

¶ El nombre del archivo de errores debe serexclusivo para cada operación de restauraciónque realice. Si utiliza el mismo nombre dearchivo de errores, la información de erroranterior se elimina, no se agrega al archivo.

–f nombre_archivo.xmlEspecifica el nombre de un archivo de salida conformato XML. Esta opción es obligatoria.

–l ruta nombre_archivo.confEspecifica la ruta y el nombre de archivo del archivode configuración de migración. Utilice esta opciónsólo si cambia el nombre del archivo deconfiguración predeterminado,migrate.conf o locoloca en un directorio distinto del directoriotemporal del sistema.

–r {nombre_ruta}Sólo para Windows, especifica el nombre completode la ruta del archivo de configuraciónivmgrd.conf. Esta opción es obligatoria. El nombrede la ruta debe especificarse entre comillas.

Tenga en cuenta que el nombre de la ruta del archivoivmgrd.conf ha cambiado en la Versión 3.8. Portanto, al efectuar una copia de seguridad de datos enun sistema con la Versión 3.7.x, especifique la rutadonde resida el archivo en la instalación de laVersión 3.7.x existente. Por ejemplo, la rutapredeterminada del archivo para la Versión 3.7.x esla siguiente:–r "C:\Archivos deprograma\Tivoli\Policy Director\ivmgrd\lib\ivmgrd.conf"


158 Versión 3.8

dondeC:\Archivos de programa\Tivoli\PolicyDirector\ivmgrd\lib es la ruta especificadadurante la instalación de Tivoli SecureWay PolicyDirector, Versión 3.7.x.

Al restaurar datos en un sistema con la Versión 3.8,especifique la ruta predeterminada de la Versión 3.8tal como se indica a continuación:–r "C:\Archivos deprograma\Tivoli\Policy Director\etc\ivmgrd.conf"

–s {subopción}Especifica el tipo de migración. Esta opción esobligatoria. Elija una de las siguientes subopciones:

acls Indica que debe efectuar una copia deseguridad o restaurar una política de objetosprotegidos (POP), acciones, grupos de accióny listas de control de accesos (ACL) queestán configurados.

Los datos de cada ACL incluyen el nombre,la descripción, la lista de entradas y lospuntos adjuntos del espacio de objetos. Losdatos también se almacenan para cadaentrada de ACL, incluidos el conjunto depermisos y el usuario o grupo al que seaplica la entrada.

Nota: Los datos de ACL y POP debenalmacenarse en último lugar. En casocontrario, podría eliminar el permisoquesec_mastertiene para crearobjetos en ciertas ubicaciones.Además, las ACL no se restauraráncorrectamente si los usuarios y gruposa los que hacen referencia no existenen el entorno de destino derestauración.

obj Indica que debe efectuar una copia de


159Tivoli®

SecureWay®


C.

Utilidades

dem

igración

seguridad o restaurar los espacios de objetosy los objetos que contienen.

Nota: Al especificar esta subopción, loserrores se registran en el archivomigration.log solamente. La salidade los errores no se almacena en elarchivo XML de errores que haespecificado con la opción–e.

server Indica que debe efectuar una copia deseguridad o restaurar la información sobrelos servidores de Tivoli SecureWay PolicyDirector que estén configurados actualmenteen el dominio seguro. Por ejemplo, estaopción almacena información sobreManagement Server, Authorization Server,Tivoli SecureWay Policy Director WebSEAL,etc. En la información almacenada se incluyeel nombre del servidor, el nombre del hosten el que se ejecuta, el puerto en que el hostescucha y la modalidad en que funciona elservidor (local o remota).

user Indica que debe efectuar una copia deseguridad o restaurar los datos de usuario yde grupo de un registro DCE solamente.

Notas:

¶ No tiene que efectuar una copia deseguridad de los usuarios si migra desdeTivoli SecureWay Policy Director,Versión 3.7.x con el registro LDAP ytiene la intención de utilizar el mismoservidor.

¶ Al especificar esta subopción, los erroresse registran en el archivomigration.log solamente. La salida de


160 Versión 3.8

los errores no se almacena en el archivoXML de errores que ha especificado conla opción–e.

–t {backup | restore}Especifica el tipo de operación que desea realizar.Especifique la opciónbackup para la utilidadmigrate37; especifique la opciónrestore para lautilidad migrate38. Esta opción es obligatoria.

–v Imprime la versión del build de la utilidad demigración y la fecha en la que se creó.

Ejemplos1. En el ejemplo siguiente se efectúa una copia de seguridad de

toda la información de ACL y POP en un sistema Windows. Lainformación se almacena en el archivoaclspop.xml. Lainformación de error se almacena en el archivomigration.log .migrate37 –t backup –s acls –f aclspop.xml –rC:\Archivos de programa\Tivoli\Policy Director\ivmgrd\lib\ivmgrd.conf –d dce

2. En el ejemplo siguiente se restaura información de ACL y POPen el archivoaclspop.xml en un sistema Windows:migrate38 –t restore –s acls –f aclspop.xml–r C:\Archivos de programa\Tivoli\Policy Director\etc\ivmgrd.conf –e acls_error.xml

Después de restaurar la información, edite el archivo de erroresacls_error.xml para evaluar y arreglar todos los elementos queno se pudieron restaurar. Por ejemplo, supongamos que elarchivo de errores contenía la información siguiente:<IVMIG REGISTRY="LDAP" DATE="Jul 30 2001"><POPLIST><POPDATA><POPNAME>testpop</POPNAME><POPDESCRIPTION></POPDESCRIPTION><AUDITLEVEL>0</AUDITLEVEL><POPQOP>0</POPQOP><DAYS>127</DAYS><TODSTART>0</TODSTART><TODEND>0</TODEND><TODREFERENCE>0</TODREFERENCE>


161Tivoli®

SecureWay®


C.

Utilidades

dem

igración

<ANYOTHERNW>0</ANYOTHERNW><IPAUTHLIST></IPAUTHLIST><POPATTACHED>/foo</POPATTACHED></POPDATA></POPLIST></IVMIG>

En el ejemplo anterior, la utilidadmigrate38 no ha podidorestaurartestpop porque ya existía otra POP con el mismonombre. Puede sustituir la entrada<POPNAME> por un nombrenuevo como, por ejemplo,nueva_pop, tal como se muestra en elejemplo siguiente:<IVMIG REGISTRY="LDAP" DATE="Jul 30 2001"><POPLIST><POPDATA><POPNAME>nueva_pop</POPNAME><POPDESCRIPTION></POPDESCRIPTION><AUDITLEVEL>0</AUDITLEVEL><POPQOP>0</POPQOP><DAYS>127</DAYS><TODSTART>0</TODSTART><TODEND>0</TODEND><TODREFERENCE>0</TODREFERENCE><ANYOTHERNW>0</ANYOTHERNW><IPAUTHLIST></IPAUTHLIST><POPATTACHED>/blah</POPATTACHED></POPDATA></POPLIST></IVMIG>

A su vez, use el archivo de errores como entrada de la utilidadmigrate38 y elija un nombre distinto para el archivo de erroresnuevo, por ejemplopass2_error.xml, tal como se muestra acontinuación:migrate38 –t restore –s acls –f aclspop_error.xml–r C:\Archivos de programa\Tivoli\Policy Director\etc\ivmgrd.conf –e pass2_error.xml


162 Versión 3.8

Sintaxis de pdupgrade

Exporta, importa y restaura la información de Tivoli SecureWayPolicy Director. En sistemas Windows, el programa InstallShieldllama automáticamente a esta utilidad. En sistemas UNIX, sólo tieneque utilizar las opciones–export y –restore, si es necesario.

Sintaxispdupgrade { –export | –import | –restore}

Opciones–export En sistemas UNIX solamente, copia los archivos de

la instalación de Tivoli SecureWay Policy Director,Versión 3.7.x, que son necesarios para realizar laactualización a la Versión 3.8. La información delusuario, incluidos los archivos de configuración, lasclaves de registro y los registros de auditoría secopia en el directorio/tmp/PolicyDirector.

–import Copia y convierte los datos de usuario almacenadosanteriormente en el directorio temporal (mediante laopción–export) en uno de los directorios dearchivado siguientes:

¶ En sistemas UNIX:/var/PolicyDirector/save37

¶ En sistemas Windows:ruta_instalación\save37donderuta_instalaciónespecifica el directorio donde está instaladoTivoli SecureWay Policy Director, Versión 3.8.

–restore Especifica que se debe restaurar el entorno de TivoliSecureWay Policy Director, Versión 3.7.x en el casode que la instalación de la Versión 3.8 no resultesatisfactoria. Antes de utilizar esta opción, debereinstalar Tivoli SecureWay Policy Director, Versión3.7.x. En sistemas Windows, la información deregistro también se restaura. En sistemas UNIX, serestauran los vínculos simbólicos adecuados. Para


163Tivoli®

SecureWay®


C.

Utilidades

dem

igración

obtener más información, consulte el apartado“Restauración de un sistema a la Versión 3.7x” en lapágina 80.

Utilidades de copia de seguridad y restauraciónNormalmente, no necesitará migrar el registro LDAP o lainformación GSO (Global Sign-On) porque estos datos residen en elservidor LDAP. No obstante, si necesita reinstalar LDAP, efectúe unacopia de seguridad y restaure los datos del registro con las utilidadesdescritas en los apartados siguientes.

Nota: LDAP proporciona la utilidadDB2LDIF como parte de lainstalación del servidor IBM SecureWay Directory.

Utilización del comando db2Puede utilizar el comandodb2 backup para efectuar una copia deseguridad y restaurar datos LDAP en un servidor IBM SecureWayDirectory. Para efectuar una copia de seguridad de los datos, siga lospasos siguientes:

1. Detenga el servidor IBM SecureWay Directory y escriba losiguiente:db2 backup databasenombre_base_datos to directorio_o_dispositivo

dondenombre_base_datoses el nombre de la base de datos. ParaLDAP, ldapdb2 es el nombre predeterminado de la base dedatos.

2. Efectúe una copia de seguridad de los archivos de configuraciónLDAP. Estos archivos están en el subdirectorio/etc de la rutade instalación. Por ejemplo:

¶ En sistemas AIX:/usr/ldap/etc

¶ En sistemas Solaris:/opt/IBMldaps/etc

¶ En sistemas Windows:C:\Archivos de programa\IBM\LDAP\etc


164 Versión 3.8

Para restaurar datos mediante el comandodb2 restore, siga estospasos:

1. Detenga el servidor IBM SecureWay Directory y escriba losiguiente:db2 restore databasenombre_base_datos from directorio_o_dispositivo

dondenombre_base_datoses el nombre de la base de datos. ParaLDAP, ldapdb2 es el nombre predeterminado de la base dedatos.

2. Compare las diferentes versiones de los archivos deconfiguración LDAP y restáurelos según convenga. Estosarchivos se incluyen en el directorio/etc de la ruta deinstalación. Por ejemplo:



¶ En sistemas Windows:C:\Archivos de programa\IBM\LDAP\etc

3. Reinicie el servidor LDAP.

Uso de la utilidad DB2LDIFPuede usar la utilidadDB2LDIF para efectuar una copia deseguridad y restaurar datos LDAP en un servidor IBM SecureWayDirectory. Para efectuar una copia de seguridad de los datos LDAP,siga los pasos siguientes:

1. En el sistema del servidor IBM SecureWay Directory, vaya a unode los directorios siguientes:

¶ En sistemas AIX:/usr/ldap/sbin

¶ En sistemas Solaris:/opt/IBMldaps/sbin

¶ En sistemas Windows:C:\Archivos deprograma\IBM\LDAP\bin

2. Escriba lo siguiente:db2ldif –o ldapv32_backup

Utilización del comando db2

165Tivoli®

SecureWay®


C.

Utilidades

dem

igración

dondeldapv32_backupes el nombre del archivo de salida dondese guarda la información LDAP. Este archivo se utilizará másadelante en el proceso de restauración.

3. Efectúe una copia de seguridad de los archivos de configuraciónLDAP. Estos archivos están en el subdirectorio/etc de la rutade instalación. Por ejemplo:



¶ En sistemas Windows:C:\Archivos deprograma\IBM\LDAP\etc

Para restaurar los datos LDAP mediante la utilidadDB2LDIF , sigaestos pasos:

1. En el sistema del servidor IBM SecureWay Directory, vaya a unode los directorios siguientes:

¶ En sistemas AIX:/usr/ldap/sbin

¶ En sistemas Solaris:/opt/IBMldaps/sbin

¶ En sistemas Windows:C:\Archivos deprograma\IBM\LDAP\bin

2. Escriba lo siguiente:ldif2db –i ldapv32_backup

dondeldapv32_backupes el nombre del archivo de entrada.

3. Compare las diferentes versiones de los archivos deconfiguración LDAP y restáurelos según convenga. Estosarchivos están en el directorio/etc de la ruta de instalación. Porejemplo:



¶ En sistemas Windows:C:\Archivos deprograma\IBM\LDAP\etc

4. Reinicie el servidor IBM SecureWay Directory.

Uso de la utilidad DB2LDIF

166 Versión 3.8

Glosario

A

accionesAtributos de los permisos de la ACL.

ACLVéaselista de control de accesos.

archivo de base de datos de clavesVéaseconjunto de claves.

archivo de clavesVéaseconjunto de claves.

archivo de respuestasArchivo que contiene un conjunto de respuestas predefinidas a las preguntasformuladas por un programa y que se utiliza en lugar del diálogo de usuario.

autenticación(1) En seguridad de sistemas, verificación de la identidad de un usuario o laelegibilidad de un usuario de acceder a un objeto. (2) En seguridad de sistemas,verificación de que un mensaje no se ha alterado ni dañado. (3) En seguridad desistemas, proceso utilizado para verificar el usuario de un sistema de información ode recursos protegidos.

autorización(1) En seguridad de sistemas, derecho otorgado a un usuario para comunicarse opara utilizar un sistema. (2) Derecho de acceso. (3) Proceso de otorgar a un usuarioacceso completo o bien restringido a un objeto, recurso o función.

C

certificadoEn comercio electrónico, documento digital que enlaza una clave pública con laidentidad del propietario del certificado, lo cual permite autenticar al propietario delcertificado. Un certificado lo emite una entidad emisora de certificados.

cifradoProceso de transformar datos con un formato ininteligible de modo que los datosoriginales no se puedan obtener o bien sólo se puedan obtener mediante un procesode descifrado.

167Tivoli®

SecureWay®


Glosario

cifradoDatos cifrados que son ilegibles hasta que se han convertido en datos planos(descifrados) con una clave.

claveSecuencia de símbolos que se utiliza con un algoritmo criptográfico para el cifradoy descifrado de datos. Véaseclave privaday clave pública.

clave privadaClave que sólo es conocida por su propietario. Compárese conclave pública.

Clave públicaClave disponible para todo el mundo. Compárese conclave privada.

conexión(1) En comunicación de datos, asociación establecida entre unidades funcionalespara la transmisión de información. (2) En TCP/IP, ruta entre dos aplicaciones deprotocolo que proporciona servicio fiable de entrega de corriente de datos. EnInternet, una conexión se extiende de una aplicación TCP de un sistema a unaaplicación TCP de otro sistema. (3) En comunicaciones entre sistemas, línea a travésde la cual se pueden transmitir datos entre dos sistemas o entre un sistema y undispositivo.

configuración(1) Modo mediante el cual el hardware y el software de un sistema de proceso seorganizan y se interconectan. (2) Dispositivos y programas que forman un sistema,un subsistema o una red

conjunto de clavesArchivo que contiene claves públicas, claves privadas, fuentes de confianza ycertificados.

conjunto de protocolos de InternetUn conjunto de protocolos desarrollados para utilizarlos en Internet y publicadoscomo Solicitudes de comentarios (RFC) a través del Grupo de trabajo técnico paraInternet (IETF).

control de accesosEn seguridad de sistemas, el proceso de garantizar que a los recursos de un sistemainformático sólo puedan acceder los usuarios autorizados por medios autorizados.

D

daemonPrograma que se ejecuta de forma no asistida para efectuar un servicio estándar.Algunos daemons se desencadenan automáticamente para que realicen su tarea;otros se ejecutan periódicamente.

Glosario

168 Versión 3.8

datos de conexión (junction)Datos de conexión de WebSEAL

datos de políticaComprenden tanto los datos de la política de implantación de contraseñas como losdatos de inicio de sesión.

DCEVéaseentorno de sistemas distribuido.

definiciones de clases de objetoCada entrada contiene un atributoobjectClass que identifica el tipo deinformación que contiene la entrada. En realidad, la clase de objeto determina losotros atributos que pueden estar presentes en una entrada. El esquema de directoriodefine los tipos de atributo y clases de objeto válidos que pueden aparecer en eldirectorio. Las definiciones de tipos de atributo definen la longitud máxima y lasintaxis de sus valores. Las definiciones de clases de objeto especifican los atributosquedebenestar presentes en un objeto de dicha clase, así como los atributos quepueden estar presentes.

dominio(1) Parte de una red de sistemas en la que los recursos de proceso de datos seencuentran bajo control común. (2) En una base de datos, todos los valores posiblesde un atributo o de un elemento de datos. (3) VéaseDominio administrativoynombre de dominio.

E

enlazarRelacionar un identificador con otro objeto en un programa; por ejemplo, relacionarun identificador con un valor, una dirección u otro identificador, o asociarparámetros formales y reales.

entidad emisora de certificadosEn comercio electrónico, organización que emite certificados. La entidad emisora decertificados autentica la identidad del propietario del certificado y los servicios queel propietario está autorizado a utilizar, emite certificados nuevos, renuevacertificados existentes y revoca los certificados pertenecientes a usuarios que ya noestán autorizados a utilizarlos.

entorno informático distribuidoEspecificación de Open Software Foundation (o un producto derivado de estaespecificación) que ayuda al trabajo en red. El entorno informático distribuidoproporciona funciones tales como la autenticación, el servicio de directorios y lallamada de procedimiento remoto.

Glosario

169Tivoli®

SecureWay®


Glosario

esquemaConjunto de sentencias, expresadas en un lenguaje de definición de datos, quedescriben completamente la estructura de una base de datos.

esquema de directorioLas entradas de un directorio están formadas por un conjunto de atributos y losvalores asociados a éstos. Los atributos pueden tener uno o varios valores. Paraidentificar un valor determinado en una entrada, el nombre del tipo de atributo seespecifica juntamente con el valor, cono encn=Carlos Solanos. Esto se denominaun par de atributo:valor. Cada entrada contiene un atributoobjectClass queidentifica el tipo de información que contiene la entrada. En realidad, la clase deobjeto determina los otros atributos que pueden estar presentes en una entrada. Elesquema de directorio define los tipos de atributo y clases de objeto válidos quepueden aparecer en el directorio. Las definiciones de tipos de atributo definen lalongitud máxima y la sintaxis de sus valores. Las definiciones de clases de objetoespecifican los atributos quedebenestar presentes en un objeto de dicha clase, asícomo los atributos que pueden estar presentes.

F

firma digitalDatos que se adjuntan o que son una transformación criptográfica de una unidad dedatos y que permiten al destinatario de la unidad de datos verificar el origen y laintegridad de la unidad y reconocer falsificaciones potenciales.

G

gestión de seguridadLa disciplina de gestión de Tivoli dirigida a que una organización pueda controlar elacceso a las aplicaciones y los datos que son cruciales para su éxito.

grupos de control de accesosGrupos para utilizarlos para el control de accesos. Cada grupo contiene un atributocon varios valores que son los nombres distinguidos de los miembros. Los gruposde control de accesos tienen una clase de objetoAccessGroup.

H

hostSistema que está conectado a una red (como por ejemplo Internet o una red SNA) yque proporciona un punto de acceso a dicha red. Además, según el entorno, el hostpuede proporcionar el control centralizado de la red. El host puede ser un cliente, unservidor o bien un cliente y un servidor de forma simultánea.

Glosario

170 Versión 3.8

I

instalación silenciosaInstalación que no envía mensajes a la consola sino que, en su lugar, almacena losmensajes y errores en archivos de registro. Asimismo, puede indicar que lainstalación utilice archivos de respuestas en lugar de diálogos de usuario.

L

LDAPVéaseLightweight Directory Access Protocol.

ldif2dbEste programa se utiliza para cargar entradas especificadas en texto con formato deintercambio de directorios LDAP (LDIF) en un directorio almacenado en una basede datos relacional. La base de datos ya debe existir. Se puede utilizar ldif2db paraagregar entradas a una base de datos de directorios vacía o a una base de datos queya contenga entradas.

Lightweight Directory Access Protocol (LDAP)Protocolo abierto que (a) utiliza TCP/IP para proporcionar acceso a los directoriosque dan soporte a un modelo X.500 y (b) no tiene los requisitos de recursos delprotocolo de acceso a directorios (DAP) de X.500, más complejo. Las aplicacionesque utilizan LDAP (conocidas como aplicaciones habilitadas para directorios)pueden utilizar el directorio como almacén de datos común y para recuperarinformación acerca de personas o servicios, tales como direcciones de correoelectrónico, claves públicas o parámetros de configuración específicos para unservicio. LDAP se especificó originalmente en RFC 1777. LDAP versión 3 estáespecificado en RFC 2251 y IETF sigue trabajando en funciones estándaradicionales. Algunos de los esquemas estándar definidos po r IETF para LDAP seencuentran en RFC 2256.

lista de control de accesos(1) En seguridad de sistemas, el conjunto de todos los derechos de acceso a unobjeto. (2) En seguridad de sistemas, una lista asociada con un objeto que identificaa todos los individuos que pueden acceder al objeto y sus derechos de acceso; porejemplo, una lista asociada con un archivo que identifica a los usuarios que puedenacceder al archivo y que identifica sus derechos de acceso a dicho archivo.

M

metadatosDatos que describen las características de los datos almacenados; datos descriptivos.

Glosario

171Tivoli®

SecureWay®


Glosario

migraciónInstalación de una nueva versión o release de un programa para sustituir una versióno release anterior.

N

nombre de dominioEn el conjunto de protocolos de Internet, nombre de un host. Un nombre dedominio consta de una secuencia de subnombres separados por un carácterdelimitador. Por ejemplo, si el nombre de dominio completo (FQDN) de un host esralvm7.vnet.ibm.com, cada uno de los siguientes elementos es un nombre dedominio:

¶ ralvm7.vnet.ibm.com

¶ vnet.ibm.com

¶ ibm.com

nombre distinguidoCada una de las entradas de un directorio tiene un nombre distinguido. El nombredistinguido es el nombre que sólo identifica a una entrada del directorio. Un nombredistinguido está formado por pares de atributo:valor, separados mediante comas.

P

pares de clavesUna clave pública y una clave privada. Cuando el par de claves se utiliza para elcifrado, el remitente utiliza la clave pública para cifrar el mensaje y el destinatarioutiliza la clave privada para descifrar el mensaje. Cuando el par de claves se utilizapara firmar, el firmante utiliza la clave privada para cifrar la representación delmensaje para la verificación de la firma. Véasefirma digital.

permisos de accesoPermisos que son aplicables a todo el objeto o permisos que son aplicables a clasesde acceso de atributos.

políticaConjunto de reglas que se aplican a los recursos gestionados.

política de objetos protegidosReglas que definen las restricciones de acceso en función de los atributos de losobjetos.

POPVéasepolítica de objetos protegidos.

Glosario

172 Versión 3.8

Protocolo de Internet (IP)En el conjunto de protocolos de Internet, protocolo sin conexión que direcciona losdatos a través de una red o de redes interconectadas y que actúa como intermediarioentre las capas de protocolos superiores y la red física.

Protocolo de transferencia de archivos (FTP)En el conjunto de protocolos de Internet, protocolo de nivel de aplicación queutiliza servicios TCP y Telnet para transferir archivos de bloques de datos entremáquinas o hosts.

Protocolo de transferencia de hipertexto (HTTP)En el conjunto de protocolos de Internet, protocolo que se utiliza para transferir ymostrar documentos de hipertexto.

R

registroEn un sistema operativo Microsoft Windows, base de datos que contieneinformación de configuración del sistema relacionada con el usuario, el hardware ylos programas y aplicaciones que están instalados. Los sistemas operativos Windowsconsultan el registro durante su funcionamiento.

réplicaUna réplica es un servidor que ejecuta una copia del directorio. Este servidorreplicado puede conservar una copia de todo el directorio o únicamente de un árbolde dicho directorio. Cualquier actualización del servidor replicado se indica alservidor maestro. Si el servidor maestro falla, siempre tendrá una copia de losárboles del directorio en el servidor replicado. Además, la utilización del servidorreplicado permite mejorar el tiempo de respuesta.

RSASistema de criptografía de clave pública que se utiliza para el cifrado y laautenticación. Fue inventado en 1977 por Ron Rivest, Adi Shamir y LeonardAdleman. La seguridad del sistema depende de la dificultad de dividir el productoen dos números primos grandes.

S

Secure Sockets Layer (SSL)Protocolo de seguridad que proporciona privacidad en las comunicaciones. SSLpermite a las aplicaciones cliente/servidor comunicarse utilizando un métododiseñado para evitar la escucha, la manipulación y la falsificación de mensajes. SSLfue desarrollado por Netscape Communications Corp. y RSA Data Security, Inc.

Glosario

173Tivoli®

SecureWay®


Glosario

selector de transporteEl equivalente en interconexión de sistemas abiertos (OSI) de los números de puertoen TCP/IP. También denominado número TSEL.

señal(1) En una red local, símbolo de autoridad que se pasa sucesivamente de unaestación de datos a otra para indicar la estación que tiene el control temporal delmedio de transmisión. Cada estación de datos tiene una oportunidad de adquirir yutilizar la señal para controlar el medio. Una señal es un patrón de bits o demensaje determinado que significa el permiso para transmitir. (2) En las LAN,secuencia de bits que se pasa de un dispositivo a otro a lo largo del medio detransmisión. Cuando la señal tiene datos adjuntos, se convierte en una trama.

servicioTrabajo que realiza un servidor. Éste puede consistir en el servicio de solicitudessimples para enviar o almacenar datos (como en los servidores de archivos, losservidores HTTP, los servidores de correo electrónico y los servidores finger), obien en un trabajo más complejo como el de los servidores de impresión o losservidores de proceso.

sufijosUn sufijo es un nombre distinguido que identifica la entrada superior de unajerarquía de directorios local. Debido al esquema de denominación relativo que seutiliza en Lightweight Directory Access Protocol (LDAP), este nombre distinguidoes además el sufijo de cada una de las otras entradas dentro de la jerarquía de dichodirectorio. Un servidor de directorios puede tener varios sufijos, cada uno de loscuales identifica a una jerarquía de directorios local.

T

tiempo de ejecuciónPeríodo de tiempo durante el cual se ejecuta un programa informático. Un entornode ejecución es un entorno en el que se ejecuta un programa.

TSELVéaseselector de transporte.

U

usuarioCualquier persona, organización, proceso, dispositivo, programa, protocolo o sistemaque utiliza un servicio proporcionado por otros.

Glosario

174 Versión 3.8

Printed in Denmark by IBM Danmark A/S

GC10-3703-00

Documents

Tivoli ® SecureWay ® Policy Director Base Guía de instalaciónpublib.boulder.ibm.com/tividd/td/SW_30/GC32-0815-00/es... · 2007-09-29 · UNIX es una marca registrada de The Open