Verwenden Sie diese Task, um den JACC-Provider
(Java™ Authorization Contract for Containers) für Tivoli Access Manager mit
der Administrationskonsole zu konfigurieren.
Vorbereitende Schritte
Bevor Sie Tivoli Access Manager als
JACC-Provider konfigurieren, müssen Sie sicherstellen, dass alle verwalteten Server, einschließlich der Node Agents, gestartet sind.
Bevor Sie die folgenden Schritte ausführen,
vergewissern
Sie sich, dass Sie einen Benutzer mit Verwaltungsaufgaben für die Sicherheit erstellt
haben. Weitere Informationen finden Sie unter Benutzer mit Sicherheitsverwaltungsaufgaben für Tivoli Access Manager erstellen.
Informationen zu diesem Vorgang
Die folgende Konfiguration wird einmal auf dem Deployment-Manager-Server durchgeführt.
Wenn Sie auf Anwenden oder OK klicken, werden die Konfigurationsdaten auf
Konsistenz überprüft, gespeichert und angewendet.
Diese
Konfigurationsdaten an die Knoten weitergegeben,
wenn eine Synchronisation durchgeführt wird. Starten Sie die Knoten
erneut, damit die Konfigurationsänderungen wirksam werden.
Führen Sie die folgenden Schritte aus, um
Tivoli Access Manager
über die Administrationskonsole als JACC-Provider zu konfigurieren:
Vorgehensweise
- Starten Sie die Administrationskonsole von WebSphere Application Server. Geben Sie dazu nach dem Starten
von WebSphere Application Server den URL
http://Ihr_Host.DomänePortnummer/ibm/console ein. Wenn die Sicherheit inaktiviert ist, melden Sie sich mit einer
beliebigen Benutzer-ID an. Falls die Sicherheit aktiviert ist, melden Sie
sich mit einer vordefinierten Administrator-ID und dem zugehörigen Kennwort an. Dies ist in der Regel
die Benutzer-ID für Server, die beim Konfigurieren
der Benutzerregistry angegeben wird.
- Klicken Sie auf Sicherheit > Globale Sicherheit > Externe Berechtigungsprovider.
- Wählen Sie unter "Allgemeine Eigenschaften" die Option Externe Berechtigung mit einem JACC-Provider aus.
- Klicken Sie unter "Zugehörige Elemente" auf Externer JACC-Provider.
- Klicken Sie unter "Weitere Eigenschaften" auf Tivoli Access Manager Properties. Die Konfigurationsanzeige des JACC-Providers von
Tivoli Access Manager wird angezeigt.
- Geben Sie die folgenden Informationen ein:
- Integrierten Tivoli Access Manager aktivieren
- Wählen Sie diese Option aus, um
Tivoli Access Manager zu aktivieren.
- Fehler beim Inaktivieren des integrierten Tivoli
Access Manager ignorieren
- Wählen Sie diese Option aus, wenn Sie den JACC-Provider dekonfigurieren möchten. Wählen Sie die Option während der Konfiguration nicht aus.
- Empfangsportgruppe des Clients
- WebSphere Application
Server muss an einem TCP/IP-Port Aktualisierungen der Berechtigungsdatenbank, die vom
Richtlinienserver durchgeführt werden, überwachen. Auf einem bestimmten Knoten oder einer
bestimmten Maschine können mehrere Prozesse aktiv sein. Sie können mehrere Berechtigungsserver angeben, indem Sie die Einträge durch Kommata voneinander trennen. Die Konfiguration mehrerer Berechtigungsserver ist nützlich,
wenn Sie eine gute Leistung gewährleisten und Failover nutzen möchten. Geben Sie die Empfangsports für die
TAM-Clients (Tivoli Access
Manager) durch Kommas getrennt ein. Wenn ein Portbereich angegeben werden muss, müssen Sie den unteren und den oberen
Grenzwert durch einen Doppelpunkt (:) (z. B. 7999, 9990:999).
- Richtlinienserver
- Geben Sie den Namen und den Verbindungsport für den Richtlinienserver von
Tivoli Access Manager an. Verwenden Sie das Format Policy-Server:Port. Der Kommunikationsport des Richtlinienservers wird
bei der Konfiguration von Tivoli
Access Manager festgelegt. Der Standardport ist 7135.
- Berechtigungsserver
- Geben Sie den Namen des
Berechtigungsservers für Tivoli Access Manager ein.
Verwenden Sie das Format
Berechtigungsserver:Port:Priorität.
Der Kommunikationsport des
Berechtigungsservers wird bei der Konfiguration von Tivoli Access Manager festgelegt. Der
Standardport ist 7136. Der Prioritätswert
wird durch die Reihenfolge bestimmt, in der die Berechtigungsserver verwendet werden
(z. B. auth_server1:7136:1 und auth_server2:7137:2).
Sie müssen den Prioritätswert 1 verwenden, wenn Sie nur einen
Berechtigungsserver konfigurieren.
- Benutzername des Administrators
- Geben Sie den Benutzernamen des Tivoli Access Manager-Administrators ein, der bei der Konfiguration von
Tivoli Access Manager erstellt wurde (in der Regel sec_master).
- Benutzerkennwort des Administrators
- Geben Sie das Tivoli Access Manager-Administratorkennwort ein.
- DN-Suffix für Benutzerregistry
- Geben Sie das DN-Suffix für die Benutzerregistry ein, die Tivoli Access Manager und
WebSphere Application Server gemeinsam nutzen
(z. B. o=ibm, c=us).
- Sicherheitsdomäne
- In Tivoli Access Manager können
mehrere Sicherheitsdomänen mit jeweils eigenem Administrator erstellt werden. Benutzer,
Gruppen und andere Objekte werden in einer spezifischen Domäne erstellt und können nicht
auf Ressourcen in einer anderen Domäne zugreifen.
Geben Sie den Namen der Sicherheitsdomäne von
Tivoli Access Manager ein,
die zum Speichern von WebSphere Application Server-Benutzern
und -Gruppen verwendet wird.
Wenn eine Sicherheitsdomäne nicht bei der
Konfiguration von Tivoli Access Manager erstellt wurde, lassen Sie die
Standardeinstellung unverändert.
- Definierter Name (DN) des Administrators
- Geben Sie den vollständigen definierten Namen der Administrator-ID für die
WebSphere Application Server-Sicherheit ein (z. B. cn=wasdmin, o=organization, c=country).
Der ID-Name muss mit der Benutzer-ID für den Server in der Administrationskonsolenanzeige "LDAP-Benutzerregistry" übereinstimmen.
Zum Aufrufen der Anzeige
LDAP-Benutzerregistry klicken Sie auf
Sicherheit > Globale Sicherheit. Wählen Sie unter
Repository für Benutzeraccounts die Option Eigenständige LDAP-Registry als verfügbare Realmdefinition
aus. Klicken Sie anschließend auf Konfigurieren.
- Wenn alle Informationen eingegeben sind, klicken Sie auf OK, um die
Konfigurationseigenschaften zu speichern. Die Konfigurationsparameter werden auf Gültigkeit
überprüft, und es wird versucht, die Konfiguration auf dem Hostserver oder im
Zellenmanager auszuführen.
Ergebnisse
Wenn Sie auf
OK klicken, führt
WebSphere Application Server die folgenden Aktionen aus:
- Validiert die Konfigurationsparameter.
- Konfiguriert den Hostserver oder Zellenmanager.
Die Ausführungsdauer dieser Prozesse richtet sich nach dem Datenaufkommen im Netz und der
Geschwindigkeit Ihrer Maschine.
Nächste Schritte
Die Konfigurationsparameter werden auf alle untergeordneten
Server einschließlich der Node Agents kopiert. Um die Konfiguration des integrierten
Tivoli Access Manager-Clients abzuschließen, müssen Sie alle Server einschließlich des Host-Servers erneut starten
und die Sicherheit von WebSphere Application Server aktivieren.