Dienstprogramm migrateEAR für Tivoli Access Manager
Das Dienstprogramm migrateEAR migriert Änderungen an Konsolbenutzern und Gruppen in den Dateien admin-authz.xml und naming-authz.xml in den Objektbereich von Tivoli Access Manager.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Syntax
migrateEAR
-j vollständig_qualifizierter_Dateiname
-c Position_von_pdPerm.properties
-a Administrator-ID_für_Tivoli_Access_Manager
-p Administratorkennwort_für_Tivoli_Access_Manager
-w Administratorname_für_WebSphere_Application_Server
-d Domänensuffix_für_Benutzerregistry
[-r Name_des_Stammobjektbereichs]
[-t SSL-Zeitlimit]
[-z Position_für_Rollenzuordnung]
![[IBM i]](../images/iseries.gif)
Syntax
migrateEAR -Profilname default
-j vollständig_qualifizierter_Dateiname
-a Administrator-ID_für_Tivoli_Access_Manager
-p Administratorkennwort_für_Tivoli_Access_Manager
-w Administratorname_für_WebSphere_Application_Server
-d Domänensuffix_für_Benutzerregistry
-c Position_der_Datei_PdPerm.properties
[-z Position_für_Rollenzuordnung]
- Der Parameter -j hat standardmäßig den Wert Profilstammverzeichnis/config/cells/Zellenname/admin-authz.html.
- Der Parameter -c hat standardmäßig den Wert file:Profilstammverzeichnis/etc/pd/PdPerm.properties. Die Ausgabe des Dienstprogramms wird in der Datei pdwas_migrate.log aufgezeichnet. Die Datei pdwas_migrate.log wird im Verzeichnis Profilstammverzeichnis/logs erstellt.
- Der Parameter -Profilname ist optional und entspricht standardmäßig dem Namen des Standardprofils.
Parameter
![[Windows]](../images/windows.gif)
- -aAdministrator-ID_für_Tivoli_Access_Manager
- Gibt die ID des Benutzers mit Verwaltungsaufgaben an. Ein Benutzer mit Verwaltungsaufgaben
muss die Berechtigungen zum Erstellen von Benutzern, Objekten und
Zugriffssteuerungslisten (Access Control Lists, ACLs) besitzen. Beispiel: -a sec_master.
Dieser Parameter ist optional. Wird der Parameter nicht angegeben, wird die entsprechende Angabe während der Laufzeit angefordert.
- -c Position_der_Datei_PdPerm.properties
- Gibt die URI-Position (Uniform Resource Indicator) der Datei PdPerm.properties an, die vom Dienstprogramm
pdwascfg konfiguriert wird. Wenn WebSphere Application Server
im Standardverzeichnispfad installiert ist, lautet der URI wie folgt:
file:/opt/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
file:/usr/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
file:/"C:/Program Files/IBM/WebSphere/AppServer/java/jre/PdPerm.properties”
- -d Domänensuffix_für_Benutzerregistry
- Gibt das für die Benutzerregistry zu verwendende Domänensuffix an. Für
LDAP-Benutzerregistrys
(Lightweight Directory Access Protocol) ist dieser Wert z. B. ein Domänensuffix
wie das Folgende: "o=ibm,c=us"
Auf Windows-Plattformen muss das Domänensuffix in Anführungszeichen gesetzt werden.
Mit dem Befehl pdadmin user show können Sie den DN (Distinguished Name, d. h. den definierten Namen) für einen Benutzer anzeigen.
- -j vollständig_qualifizierter_Pfadname
- Der vollständig qualifizierte Pfad- und Dateiname der J2EE-Anwendungsarchivdatei (Java™ 2 Platform, Enterprise Edition)
admin-authz.xml oder die Datei mit den Rollendefinitionen
naming-authz.xml, die für die Berechtigung von Naming-Operationen verwendet wird. Dieser Pfad kann wahlweise auch ein Verzeichnis einer erweiterten Unternehmensanwendung sein. Wenn WebSphere Application Server beispielsweise an der Standardposition installiert ist, sind die Pfade der zu migrierenden Datendateien wie folgt:
file:/opt/IBM/WebSphere/AppServer/profiles/Profilname/config/cells /Zellenname/admin-authz.xml
file:/usr/IBM/WebSphere/AppServer/profiles/Profilname/config/cells /Zellenname/admin-authz.xml
“C:/Program Files/IBM/WebSphere/AppServer/profiles/Profilname/config/cells /Zellenname/admin-authz.xml”
- -p Administratorkennwort_für_Tivoli_Access_Manager
- Gibt das Kennwort für den Benutzer mit Verwaltungsaufgaben von Tivoli Access Manager an. Dieser Benutzer muss berechtigt sein, Benutzer, Objekte und Zugriffssteuerungslisten
zu erstellen. Beispielsweise können Sie für den Benutzer mit Verwaltungsaufgaben
-a sec_master das Kennwort -p meinKennwort festlegen.
Wird dieser Parameter nicht angegeben, wird eine Aufforderung zur Eingabe des Kennworts für den Benutzer mit Verwaltungsaufgaben angezeigt.
-r Name_des_Stammobjektbereichs
Gibt den Bereichsnamen für das Stammobjekt an. Der Wert ist der Name für den Stamm der geschützten Objekt-Namespace-Hierarchie, die für die Richtliniendateien in WebSphere Application Server erstellt wird.
Der Standardwert für den Stammobjektbereich lautet WebAppServer.
Legen Sie den Namen des Stammobjektbereichs in Tivoli Access Manager fest, indem Sie die Datei amwas.amjacc.template.properties vor der ersten Konfiguration des JACC-Providers (Java Authorization Contract for Containers) von Tivoli Access Manager ändern. Verwenden Sie diese Option, wenn der Standardwert für den Objektbereich nicht in der Konfiguration des JACC-Providers von Tivoli Access Manager für Tivoli Access Manager verwendet wird.
Der Objektbereichsname für Tivoli Access Manager sollte nach der Konfiguration des JACC-Providers von Tivoli Access Manager nicht geändert werden.
-t SSL-Zeitlimit
Legt das Zeitlimit (in Minuten) für SSL (Secure Sockets Layer) fest. Dieser Parameter wird verwendet, um SSL-Verbindungen zwischen dem Berechtigungsserver von Tivoli Access Manager und dem Richtlinienserver zu trennen und wiederherzustellen, bevor das Standardverbindungszeitlimit abläuft.
Die Standardeinstellung sind 60 Minuten. Der Mindestwert sind 10 Minuten. Der Maximalwert darf den Wert für das Zeitlimit ssl-v3-timeout von Tivoli Access Manager nicht überschreiten. Der Standardwert für ssl-v3-timeout sind 120 Minuten.
Falls Sie mit der Verwendung dieses Wertes nicht vertraut sind, sollten Sie den Standardwert verwenden.
- -w Administratorname_für_WebSphere_Application_Server
- Gibt den Benutzernamen an, der für die Benutzerregistry der Sicherheitseinrichtung von WebSphere Application Server als Administrator konfiguriert ist. Dieser Wert stimmt mit dem
Benutzereintrag überein, den Sie mit den im Artikel Benutzer mit Sicherheitsverwaltungsaufgaben für Tivoli Access Manager erstellen beschriebenen
Schritten erstellt oder importiert haben. Die Zugriffsberechtigung für diesen Benutzer ist erforderlich, um den Bereich für geschützte Objekte in
Tivoli Access Manager zu erstellen oder zu aktualisieren.
Wenn der WAS-Benutzer mit Verwaltungsaufgaben (WAS = WebSphere Application Server) im Bereich für geschützte Objekte noch nicht existiert, wird er erstellt oder importiert. In diesem Fall wird ein wahlfreies Kennwort für den Benutzer generiert und der Benutzereintrag wird auf not valid (nicht gültig) gesetzt. Ändern Sie dieses Kennwort in einen bekannten Wert, und setzen Sie den Benutzereintrag auf valid (gültig).
Ein geschütztes Objekt und eine Zugriffssteuerungsliste (ACL) werden erstellt. Der Benutzer mit Verwaltungsaufgaben wird der Gruppe pdwas-admin mit den folgenden ACL-Attributen hinzugefügt:- T
- Traversierungsberechtigung
- i
- Aufrufberechtigung
- WebAppServer
- Sie können den Namen der Aktionsgruppe überschreiben. Der Standardname ist WebAppServer. Der Name der Aktionsgruppe und der zugehörige Stammobjektbereich können überschrieben werden, wenn das Migrationsdienstprogramm mit der Option -r ausgeführt wird.
- -z Position_für_Rollenzuordnung
- Die Position, an der die Rollenzuordnung bei der Migration von Verwaltungsanwendungen gespeichert werden soll. Standardmäßig wird
die Rollenzuordnung in die aktuelle Verzeichnisstruktur gestellt, z. B.:
/WebAppServer/deployedResouces
Bei Angabe der Option -z wird eine weitere Verzeichnisebene zum Speichern der Rollenzuordnung hinzugefügt. Wenn Sie z. B. -z Roles im Dienstprogramm migrateEAR angeben, wird die Rollenzuordnung in der Verzeichnisstruktur wie folgt gespeichert:/WebAppServer/deployedResouces/Roles
Fehler vermeiden: Wenn die Option -z angegeben wurde, müssen sie den Wert der Eigenschaft com.tivoli.pd.as.rbpf.RoleContainerName in den Dateien amwas.Knotenname.amjacc.properties, und amwas.Knotenname.authztable.properties manuell in den Wert der Option -z ändern. Nachdem Sie den Wert der Eigenschaft com.tivoli.pd.as.rbpf.RoleContainerName aktualisiert haben, ist kein erneuter Start von WebSphere Application Server erforderlich.gotcha
Kommentare
Dieses Dienstprogramm migriert die Informationen zur Sicherheitsrichtlinie aus den Implementierungsdeskriptoren bzw. EAR-Dateien nach Tivoli Access Manager für WebSphere Application Server. Das Script ruft die Java-Klasse "com.tivoli.pdwas.migrate.Migrate" auf.
Bevor Sie das Script
aufrufen, müssen Sie den Befehl setupCmdLine.bat oder setupCmdLine.sh ausführen. Diese Dateien sind im Verzeichnis %WAS_HOME%/bin enthalten.
Bevor Sie das Script
aufrufen, müssen Sie das Script setupCmdLine in der Qshell-Befehlszeile ausführen.
Sie finden diese Datei im Verzeichnis Profilstammverzeichnis/bin, wobei
Profilstammverzeichnis für den Installationspfad steht. In einer Standardinstallation steht
Profilstammverzeichnis für Stammverzeichnis_des_AnwendungsserversND.
Das Script muss die korrekten Umgebungsvariablen mit den Positionen der vorausgesetzten
Software finden können.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
- -Dpdwas.lang.home
- Das Verzeichnis mit den Bibliotheken zur Unterstützung der Landessprache, die mit dem JACC-Provider für Tivoli Access Manager bereitgestellt werden. Diese Bibliotheken sind in einem Unterverzeichnis des Installationsverzeichnisses des JACC-Providers für Tivoli Access Manager enthalten. Beispiel: -Dpdwas.lang.home=%PDWAS_HOME%\java\nls
- -cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate
- Die Variable CLASSPATH muss für Ihre Java-Installation richtig festgelegt sein.
![[Windows]](../images/windows.gif)
- Zum Erstellen des vollständigen Pfadnamens der Enterprise-Archive-Datei.
- Zum Erstellen des vollständigen URI-Pfadnamens für das Verzeichnis mit der Datei PdPerm.properties file.
Zum Aktivieren des Zugriffs eines neuen Benutzers auf die Verwaltungsgruppe in WebSphere Application Server wird empfohlen, den Benutzer zur Gruppe "pdwas-admin" hinzuzufügen, nachdem JACC aktiviert wurde. Sie können die primäre ID des Benutzers mit Verwaltungsaufgaben (adminID) in der Gruppe angeben. Dies ist erforderlich, wenn serverID und adminID nicht identisch sind.
pdadmin> group modify pdwas-admin add adminID
Rückkehrcodes
- 0
- Der Befehl wurde erfolgreich ausgeführt.
- 1
- Die Ausführung des Befehls ist fehlgeschlagen.