Principalzuordnung für globale Anmeldung konfigurieren
Sie können eine neue Anwendungsanmeldung erstellen, für die die Anmeldeberechtigungen in der GSO-Datenbank von Tivoli Access Manager gespeichert werden.
Vorgehensweise
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "Authentifizierung" auf Java Authentication and Authorization Service > Anwendungsanmeldungen.
- Klicken Sie auf Neu, um eine neue JAAS-Anmeldekonfiguration zu erstellen.
- Geben Sie den Aliasnamen für die neue Anwendungsanmeldung ein. Klicken Sie auf Anwenden.
- Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule, um die JAAS-Anmeldemodule zu definieren.
- Klicken Sie auf Neu, und geben Sie Folgendes ein:
Klassenname des Moduls: com.tivoli.pdwas.gso.AMPrincipalMapper
Proxy für Anmeldemodul verwenden: Aktivieren
Authentifizierungsverfahren: Erforderlich - Klicken Sie auf Anwenden.
- Klicken Sie im Abschnitt "Weitere Eigenschaften" auf Angepasste Eigenschaften, um modulspezifische Werte zu definieren, die direkt an die zugrunde liegenden Anmeldemodule übergeben werden.
- Klicken Sie auf Neu.
Das Modul für Principalzuordnung von Tivoli Access Manager ruft mit der Konfigurationszeichenfolge authDataAlias den richtigen Benutzernamen und das Kennwort aus der Sicherheitskonfiguration ab.
Der an das Modul übergebene authDataAlias ist für die J2C-Verbindungsfactory konfiguriert. Da das Attribut authDataAlias eine wahlfreie Zeichenfolge ist, die beim Konfigurieren eingegeben wird, sind folgende Szenarien möglich:- Das Attribut authDataAlias enthält den GSO-Ressourcennamen (Global Sign-on) und den Benutzernamen. Diese Zeichenfolge hat das Format "Resource/User".
- Das Attribut authDataAlias enthält nur den GSO-Ressourcennamen. Der Benutzername wird anhand des Subject der aktuellen Sitzung bestimmt.
Das zu verwendende Szenario wird, wie im Folgenden gezeigt, mit einer JAAS-Konfiguration bestimmt:- Name: com.tivoli.pd.as.gso.AliasContainsUserName
- Wert: Der Wert ist "true", wenn der Alias den Benutzernamen enthält, und "false", wenn der Benutzername aus dem Sicherheitskontext abgerufen werden muss.
Wenn Sie authDataAlias-Attribute in der Administrationskonsole von WebSphere Application Server eingeben, wird dem Aliasnamen automatisch der Knotenname vorangestellt. Der JAAS-Konfigurationseintrag bestimmt, ob der Knotenname entfernt oder als Teil des Ressourcennamens übernommen wird:- Name: com.tivoli.pd.as.gso.AliasContainsNodeName
- Wert: Der Wert ist "true", wenn der Alias den Knotennamen enthält.
Anmerkung: Wenn die Konfigurationsdatei PdPerm.properties nicht an der Standardposition JAVA_HOME/PdPerm.properties gespeichert ist, müssen Sie auch die folgende Eigenschaft hinzufügen:- Name: com.tivoli.pd.as.gso.AMCfgURL
- Wert: file:///Pfad von PdPerm.properties
Geben Sie jeden neuen Parameter ein. Verwenden Sie das folgende Szenario als Anleitung und klicken Sie anschließend auf Anwenden.
Szenario 1- Alias für Authentifizierungsdaen - Back-End-EIS/EIS-Benutzer
- Ressource - Back-End-EIS
- Benutzer - EIS-Benutzer
- Parameter für Principalzuordnung
Tabelle 1. Parameter für Principalzuordnung. In dieser Tabelle sind die Parameter für die Principalzuordnung aufgelistet.
Name Wert delegate com.tivoli.pdwas.gso.AMPrincipalMapper com.tivoli.pd.as.gso.AliasContainsUserName true com.tivoli.pd.as.gso.AliasContainsNodeName false com.tivoli.pd.as.gso.AMLoggingURL file:///Pfad_zur_jlog-Eigenschaftendatei debug false Szenario 2- Alias für Authentifizierungsdaten - Back-End-EIS
- Ressource - Back-End-EIS
- Benutzer - derzeit authentifizierter Benutzer von WebSphere Application Server
- Parameter für Principalzuordnung
Tabelle 2. Parameter für Principalzuordnung. In dieser Tabelle sind die Parameter für die Principalzuordnung aufgelistet.
Name Wert delegate com.tivoli.pdwas.gso.AMPrincipalMapper com.tivoli.pd.as.gso.AliasContainsUserName false com.tivoli.pd.as.gso.AliasContainsNodeName false com.tivoli.pd.as.gso.AMLoggingURL file:///Pfad_zur_jlog-Eigenschaftendatei debug false Szenario 3- Alias für Authentifizierungsdaten - Knotenname/Back-End-EIS/EIS-Benutzer
- Ressource - Back-End-EIS
- Benutzer - EIS-Benutzer
- Parameter für Principalzuordnung
Tabelle 3. Parameter für Principalzuordnung. In dieser Tabelle sind die Parameter für die Principalzuordnung aufgelistet.
Name Wert delegate com.tivoli.pdwas.gso.AMPrincipalMapper com.tivoli.pd.as.gso.AliasContainsUserName true com.tivoli.pd.as.gso.AliasContainsNodeName true com.tivoli.pd.as.gso.AMLoggingURL file:///Pfad_zur_jlog-Eigenschaftendatei debug false Szenario 4- Alias für Authentifizierungsdaten - Knotenname/Back-End-EIS/EIS-Benutzer
- Ressource - Knotenname/Back-End-EIS (Der Knotenname wurde nicht entfernt.)
- Benutzer - EIS-Benutzer
- Parameter für Principalzuordnung
Tabelle 4. Parameter für Principalzuordnung. In dieser Tabelle sind die Parameter für die Principalzuordnung aufgelistet.
Name Wert delegate com.tivoli.pdwas.gso.AMPrincipalMapper com.tivoli.pd.as.gso.AliasContainsUserName true com.tivoli.pd.as.gso.AliasContainsNodeName false com.tivoli.pd.as.gso.AMLoggingURL file:///Pfad_zur_jlog-Eigenschaftendatei debug false Szenario 5- Alias für Authentifizierungsdaen - Back-End-EIS/EIS-Benutzer
- Ressource - Back-End-EIS
- Benutzer - EIS-Benutzer
- Parameter für Principalzuordnung
Tabelle 5. Parameter für Principalzuordnung. In dieser Tabelle sind die Parameter für die Principalzuordnung aufgelistet.
Name Wert delegate com.tivoli.pdwas.gso.AMPrincipalMapper com.tivoli.pd.as.gso.AliasContainsUserName false com.tivoli.pd.as.gso.AliasContainsNodeName true com.tivoli.pd.as.gso.AMLoggingURL file:///Pfad_zur_jlog-Eigenschaftendatei debug false Szenario 6- Alias für Authentifizierungsdaten - Knotenname/Back-End-EIS/EIS-Benutzer
- Ressource - Knotenname/Back-End-EIS/EIS-Benutzer (Die Ressource stimmt mit dem Alias für Authentifizierungsdaten überein.)
- Benutzer - derzeit authentifizierter Benutzer von WebSphere Application Server
- Parameter für Principalzuordnung
Tabelle 6. Parameter für Principalzuordnung. In dieser Tabelle sind die Parameter für die Principalzuordnung aufgelistet.
Name Wert delegate com.tivoli.pdwas.gso.AMPrincipalMapper com.tivoli.pd.as.gso.AliasContainsUserName false com.tivoli.pd.as.gso.AliasContainsNodeName false com.tivoli.pd.as.gso.AMLoggingURL file:///Pfad_zur_jlog-Eigenschaftendatei debug false - Erstellen Sie die J2C-Authentifizierungsaliasnamen (Java 2 Connector).
Die diesen Aliaseinträgen
zugeordneten Werte für Benutzername und Kennwort sind nicht relevant, da Tivoli
Access Manager diese Werte bereitstellt. Benutzername und Kennwort für die Aliasnamen
für J2C-Authentifizierung müssen jedoch angegeben sein, damit sie
in der Administrationskonsole für die J2C-Verbindungsfactory ausgewählt werden können.
Wenn Sie die J2C-Authentifizierungsaliasnamen über die Administrationskonsole von WebSphere Application Server erstellen möchten, klicken Sie auf Sicherheit Globale Sicherheit. Klicken Sie unter "Authentifizierung" aif Java Authentication and Authorization Service J2C-Authentifizierungsdaten und klicken Sie anschließend für jeden neuen Eintrag auf Neu. Die folgenden Szenarien enthalten Beispiele für Eingaben.
Die Verbindungsfactorys für jeden Ressourcenadapter, der die GSO-Datenbank verwendet, muss für die Verwendung des Principalzuordnungsmoduls von Tivoli Access Manager konfiguriert werden:- Klicken Sie in der Administrationskonsole von WebSphere Application Server auf Anwendungen Unternehmensanwendungen AnwendungsnameRessourcenreferenzen. Beachten Sie, dass für die ausgewählte Anwendung bereits J2C-Verbindungsfactorys konfiguriert sein müssen. Informationen zum Konfigurieren einer neuen J2C-Verbindungsfactory finden Sie im Artikel "Verbindungsfactorys für Java EE-Connector über die Administrationskonsole konfigurieren".
- Klicken Sie unter "Weitere Eigenschaften" auf Ressourcenadapter.
Der Ressourcenadapter kann eigenständig sein und muss nicht mit der Anwendung gepackt werden. Der Ressourcenadapter wird für eigenständige Szenarien über Ressourcen Ressourcenadapter konfiguriert.
- Klicken Sie unter "Weitere Eigenschaften" auf J2C-Verbindungsfactorys.
- Klicken Sie auf Neu, und geben Sie die Eigenschaften der Verbindungsfactory ein.
- Klicken Sie abschließend auf Anwenden Speichern.
Achtung:Die Konfiguration angepasster Zuordnungen für die Verbindungsfactory ist ab WebSphere Application Server Version 6 veraltet. Wenn Sie die Zuordnung von GSO-Berechtigungsnachweisen konfigurieren möchten, verwenden Sie die Anzeige "Ressourcen Ressourcenreferenzen zuordnen" in der Administrationskonsole. Weitere Informationen finden Sie im Artikel "J2EE-Connector-Sicherheit".


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_gso_mapping
Dateiname:tsec_config_gso_mapping.html