Dienstprogramm "com.tivoli.pd.jcfg.SvrSslCfg" für Single Sign-On mit Tivoli Access Manager
Das Dienstprogramm wird verwendet, um die Konfigurationsdaten für WebSphere Application Server und den Tivoli Access Manager-Server (TAM) zu konfigurieren und zu entfernen.
Zweck
Das Script "svrsslcfg" erstellt einen Benutzeraccount und Servereinträge, die Ihr
WebSphere Application Server-Profil in der TAM-Benutzerregistry darstellen. Außerdem werden eine Konfigurationsdatei und eine
Java-Keystore-Datei für die sichere Speicherung eines Clientzertifikats im Anwendungsserverprofil erstellt.
Dieses Clientzertifikat ermöglicht den Callern (Aufrufenden) die Verwendung der Authentifizierungsservices von
Tivoli Access Manager. Sie können die Benutzer- und Servereinträge auch aus der Benutzerregistry entfernen und die lokale Konfiguration
und die lokalen Keystore-Dateien bereinigen.
Das Script svrsslcfg schließt die Klasse SvrSslCfg ein und unterstützt mehrere Profile von
WebSphere Application Server. Wenn Sie mehrere Profile verwenden, können Sie mehrere Umgebungen mit
WebSphere Application Server erstellen, die vollständig voneinander isoliert sind.
Führen Sie das Script svrsslcfg zuerst im Deployment Manager und anschließend auf den anderen Knoten in der Zelle aus.
![[IBM i]](../images/iseries.gif)
Schritte
- Melden Sie sich mit einem Benutzerprofil an, das die Sonderberechtigung *ALLOBJ hat.
- Geben Sie in der CL-Befehlszeile den Befehl STRQSH (Start Qshell) ein.
- Wechseln Sie in das Verzeichnis Stammverzeichnis_des_Anwendungsservers/bin.
- Geben Sie den Befehl svrsslcfg mit den gewünschten Optionen ein. Beispiel:
svrsslcfg -profileName myprofile -action config -admin_id sec_master -admin_pwd pwd123 -appsvr_id ibm9 -appsvr_pwd ibm9pwd -mode remote -port 8888 -policysvr ourserv.rochester.ibm.com:7135:1 -authzsvr ourserv.rochester.ibm.com:7136:1 -key_file Profilstammverzeichnis/myprofile/etc/ibm9.kdb -cfg_action create
Dieses Beispiel wurde nur zur besseren Lesbarkeit auf mehrere Zeilen aufgeteilt.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Syntax
java com.tivoli.pd.jcfg.SvrSslCfg -action {config | unconfig} -admin_id Administrator-ID -admin_pwd Administratorkennwort -appsvr_id Anwendungsservername -appsvr_pwd Anwendungsserverkennwort -mode{local|remote} -host Hostname_des_Anwendungsservers -policysvr Richtlinienservername:Port:Stufe [,...] -authzsvr Berechtigungsservername:Port:Stufe [,...] -cfg_file vollständig_qualifizierter_Name_der_Konfigurationsdatei -domain TAM-Domäne -key_file vollständig_qualifizierter_Name_der_KeyStore-Datei -cfg_action {create|replace}
![[IBM i]](../images/iseries.gif)
Syntax
Die Konfigurationssyntax ist wie folgt:
svrsslcfg -action config [ -profileName Profilname ] -admin_id Administrator-ID -admin_pwd Administratorkennwort -appsvr_id Name_des_Anwendungsservers -port Portnummer -mode { local | remote } -policysvr Name_des_Richtlinienservers -authzsvr Name_des_Berechtigungsservers -key_file vollständig_qualifizierter_Name_der_Schlüsseldatei -appsvr_pwd Kennwort_des_Anwendungsservers -cfg_action { create | replace } [ -domain TAM-Domäne ]
Die Dekonfigurationssyntax ist wie folgt:
svrsslcfg -action unconfig [ -profileName Profilname ] -admin_id Administrator-ID -admin_pwd Administratorkennwort -appsvr_id Name_des_Anwendungsservers -policysvr Name_des_Richtlinienservers [ -domain TAM-Domäne ]
Sie können diese Syntax in einer fortlaufenden Zeile eingeben.
Parameter
- -action {config | unconfig}
- Gibt die Konfigurationsaktion an, die vom Script ausgeführt wird. Die folgenden Optionen können verwendet werden:
- -action config
- Beim Konfigurieren eines Servers werden Benutzer- und Serverinformationen in der Benutzerregistry erstellt und auf dem Anwendungsserver
werden Konfigurations- und KeyStore-Dateien erstellt.
Mit der Option -action unconfig können Sie diese Operation zurücknehmen.
Wenn Sie diese Aktion angeben, sind die folgenden Optionen erforderlich: -admin_id, -admin_pwd, -appsvr_id, -port, -mode, -policysvr, -authzsvr und -key_file.
- -action unconfig
- Rekonfiguriert einen Anwendungsserver, um die folgenden Aktionen auszuführen:
- Benutzer- und Serverdaten aus der Benutzerregistry entfernen
- Lokale Keystore-Datei löschen
- Informationen für diese Anwendung aus der Konfigurationsdatei entfernen, ohne die Datei zu löschen
Die Rekonfiguration scheitert nur, wenn der Caller (Aufrufende) nicht berechtigt ist oder keine Verbindung zum Richtlinienserver hergestellt werden kann.
Diese Aktion kann erfolgreich sein, wenn keine Konfigurationsdatei vorhanden ist. Fehlt die Konfigurationsdatei, wird sie erstellt und während der Operation als temporäre Datei für Konfigurationsdaten verwendet. Anschließend wird die Datei vollständig gelöscht.
Wenn Sie diese Aktion angeben, sind die folgenden Optionen erforderlich: -admin_id, -admin_pwd, -appsvr_id und -policysvr.
- -admin_id Administrator-ID
- Gibt den Namen des Tivoli Access Manager-Administrators an. Wird diese Option nicht angegeben, lautet die Standardeinstellung
sec_master.
Eine gültige Administrator-ID ist eine alphanumerische Zeichenfolge mit Berücksichtigung der Groß-/Kleinschreibung. Erwartet werden Zeichenfolgewerte, die Zeichen des lokalen codierten Zeichensatzes sind. In der Administrator-ID darf kein Leerzeichen verwendet werden.
Die gültigen Zeichen für Englisch (US) sind beispielsweise die Buchstaben a-Z, die Zahlen 0-9, ein Punkt (.), ein Unterstreichungszeichen (_), ein Pluszeichen (+), ein Bindestrich (-), ein kommerzielles A (@), ein Et-Zeichen (&) und ein Stern (*). Falls es eine minimale und maximale Länge der Administrator-ID gibt, wird diese von der zugrundeliegenden Registry vorgegeben.
- -admin_password Administratorkennwort
Gibt das Kennwort das Tivoli Access Manager-Administrators an, der mit dem Parameter -admin_id definiert wird. Die Kennworteinschränkungen richten sich nach der Kennwortrichtlinie für Ihre Konfiguration von Tivoli Access Manager.
- -appsvr_id Anwendungsserver
- Gibt den Namen des Anwendungsservers an. Der Name wird mit dem Hostnamen kombiniert, um für Tivoli Access Manager-Objekte, die für Ihre Anwendung erstellt werden, eindeutige Namen zu erzeugen. Die folgenden Namen sind für Tivoli Access Manager-Anwendungen reserviert: ivacld, secmgrd, ivnet und ivweb.
- -appsvr_pwd Kennwort_für_Anwendungsserver
- Gibt das Kennwort des Anwendungsservers an. Diese Option ist erforderlich.
Das System erstellt ein Kennwort. Die Konfigurationsdatei wird mit dem vom System erstellen Kennwort
aktualisiert.
Fehlt diese Option, wird das Serverkennwort aus der Standardeingabe gelesen.
- -authzsvr Name_des_Berechtigungsservers
- Gibt den Namen des Tivoli Access Manager-Berechtigungsservers an, mit dem der Anwendungsserver kommuniziert. Der Server wird mit dem vollständig qualifizierten Hostnamen, der SSL-Portnummer und der Stufe angegeben. Der SSL-Standardport ist 7136. Beispiel: myauth.mycompany.com:7136:1. Sie können mehrere Server angeben, wenn die Einträge durch ein Komma (,) voneinander getrennt werden.
- -cfg_action {create | replace}
- Gibt die Aktion, die beim Erstellen der Konfiguration und der Schlüsseldateien ausgeführt werden soll.
Die gültigen Werte sind create und replace. Verwenden Sie die Option create für die Ersterstellung von Konfiguration und Keystore-Dateien.
Verwenden Sie die Option replace, wenn diese Dateien bereits vorhanden sind.
Wenn Sie die Option create verwenden und die Konfiguration oder Keystore-Dateien bereits vorhanden sind, wird eine Ausnahme erstellt.
Optionen:
- create
- Gibt an, dass die Konfigurationsdatei und die KeyStore-Datei während der Serverkonfiguration erstellt werden sollen. Ist eine der beiden Dateien bereits vorhanden, scheitert die Konfiguration.
- replace
- Gibt an, dass die Konfigurationsdatei und die KeyStore-Datei während der Serverkonfiguration ersetzt werden sollen. Die Konfiguration löscht vorhandene Dateien und ersetzt sie durch neue.
-cfg_file vollständig_qualifizierter_Name_der_Konfigurationsdatei
Gibt den Pfad und den Namen der Konfigurationsdatei an.
Es sind nur absolute Dateinamen (vollständig qualifizierte Dateinamen) gültig.
- -domain TAM-Domäne
- Gibt den Namen der Tivoli Access Manager-Domäne an, in der der Administrator authentifiziert wird.
hDiese Domäne muss vorhanden sein.
Die Administrator-ID und das Administratorkennwort müssen für diese Domäne gültig sein. Der Anwendungsserver
wird in dieser Domäne angegeben.
Ist diese Option nicht angegeben, wird die lokale Domäne verwendet, die beim Konfigurieren der Tivoli Access Manager-Laufzeit angegeben wurde. Der Wert für die lokale Domäne wird aus der Konfigurationsdatei abgerufen.
Ein gültiger Domänenname ist eine alphanumerische Zeichenfolge mit Berücksichtigung der Groß-/Kleinschreibung. Erwartet werden Zeichenfolgewerte, die Zeichen des lokalen codierten Zeichensatzes sind. Im Domänennamen darf kein Leerzeichen verwendet werden.
Die gültigen Zeichen für englische Domänennamen (US-Englisch) sind beispielsweise die Buchstaben a-Z, die Zahlen 0-9, ein Punkt (.), ein Unterstreichungszeichen (_), ein Pluszeichen (+), ein Bindestrich (-), ein kommerzielles A (@), ein Et-Zeichen (&) und ein Stern (*). Falls es eine minimale und maximale Länge des Domänennamens gibt, wird diese von der zugrundeliegenden Registry vorgegeben.
-host Hostname_des_Anwendungsservers
Gibt den TCP-Hostnamen an, den der Tivoli Access Manager-Richtlinienserver für den Kontakt mit diesem Server verwendet. Dieser Name wird mit dem Schlüssel azn-app-host in der Konfigurationsdatei gespeichert.
Der Standardname ist der vom Betriebssystem zurückgegebene lokale Hostname. Gültige Werte für den Hostnamen sind alle gültigen IP-Hostnamen.
Beispiele:host = libra
host = libra.dallas.ibm.com- -key_file vollständig_qualifizierter_Name_der_KeyStore-Datei
- Gibt das Verzeichnis an, dass die Schlüsseldateien für den Server enthalten soll.
Ein gültiger Verzeichnisname ist vom Betriebssystem abhängig. Verwenden Sie einen vollständig qualifizierten
Dateinamen, der das Anwendungsserverzertifikat und die Schlüsseldatei enthält.
Stellen Sie sicher, dass der Serverbenutzer (z. B. ivmgr) oder alle Benutzer auf die Datei .kdb und den Ordner, der die Datei .kdb enthält, zugreifen können.
Diese Option ist erforderlich.
- -mode Servermodus
Gibt den Modus an, in dem die Anwendung arbeitet. Dieser Parameter muss auf local oder remote gesetzt sein.
Gibt den Modus an, in dem der Anwendungsserver Anforderungen verarbeitet. Es wird nur der Modus remote unterstützt.
- -policysvr Name_des_Richtlinienservers
Gibt den Namen des Richtlinienservers an.
Gibt die Namen der Server an, auf denen der Tivoli Access Manager-Richtlinienserver (ivmgrd) ausgeführt wird, mit dem der Anwendungsserver kommuniziert. Ein Server wird mit dem vollständig qualifizierten Hostnamen, der SSL-Portnummer und der Stufe angegeben. Der SSL-Standardport ist 7135. Beispiel: mypolicy.mycompany.com:7135:1. Sie können mehrere Server angeben, wenn die Einträge durch ein Komma (,) voneinander getrennt werden.
-port Portnummer
Gibt den TCP/IP-Kommunikationsport an, an dem der Anwendungsserver für die Kommunikation mit den Richtlinienservern empfangsbereit ist.
-profileName Profilname
Gibt den Namen Ihres Profils von WebSphere Application Server an. Wenn Sie diese Option nicht angeben, wird das Standardprofil server1 verwendet.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Kommentare
Nach der erfolgreichen Konfiguration eines TAM-Java-Anwendungsservers erstellt SvrSslCfg einen Benutzeraccount und Servereinträge, die den Java-Anwendungsserver in der TAM-Benutzerregistry repräsentieren. Außerdem erstellt SvrSslCfg eine Konfigurationsdatei und eine Java-KeyStore-Datei, in der ein Clientzertifikat lokal auf dem Anwendungsserver sicher gespeichert ist. Dieses Clientzertifikat erlaubt den Callern (Aufrufenden), TAM-Services ohne Authentifizierung zu nutzen. Bei der Rekonfiguration werden die Benutzer- und Servereinträge aus der Benutzerregistry entfernt und die lokale Konfigurationsdatei und KeyStore-Datei werden bereinigt.
Der Inhalt einer vorhandenen Konfigurationsdatei kann mit dem Dienstprogramm SvrSslCfg modifiziert werden. Wenn Sie SvrSslCfg aufrufen, außer mit den Optionen -action config und -action unconfig, müssen die Konfigurationsdatei und die KeyStore-Datei bereits vorhanden sein.
In dieser Version von Tivoli Access Manager (TAM) werden die folgenden Optionen werden syntaktisch analysiert und in die Konfigurationsdatei aufgenommen, ansonsten jedoch ignoriert:
Servername/Hostname
Beachten Sie, dass der Befehl pdadmin für Serverlisten den Servername in etwas anderem Format anzeigt:Servername-Hostname
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
CLASSPATH=${WAS_HOME}/tivoli/tam/PD.jar:${WAS_CLASSPATH}
java \
-cp ${CLASSPATH} \
-Dpd.cfg.home= ${WAS_HOME}/java/jre \
-Dfile.encoding=ISO8859-1 \
-Xnoargsconversion \
com.tivoli.pd.jcfg.SvrSslCfg \
-action config \
-admin_id sec_master \
-admin_pwd $TAM_PASSWORD \
-appsvr_id $APPSVR_ID \
-policysvr ${TAM_HOST}:7135:1 \
-port 7135 \
-authzsvr ${TAM_HOST}:7136:1 \
-mode remote \
-cfg_file ${CFG_FILE} \
-key_file ${KEY_FILE} \
-cfg_action create