Programa de utilidad migrateEAR para Tivoli Access Manager
El programa de utilidad migrateEAR migra los cambios realizados en los usuarios y grupos de la consola de los archivos admin-authz.xml y naming-authz.xml al espacio de objetos de Tivoli Access Manager.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Sintaxis
migrateEAR
-j nombre_archivo_totalmente_calificado
-c ubicación_archivo_pdPerm.properties
-a ID_administrador_Tivoli_Access_Manager
-p contraseña_administrador_Tivoli_Access_Manager
-w nombre_usuario_administrador_WebSphere_Application_Server
-d sufijo_dominio_registro_usuarios
[-r nombre_espacio_objetos_raíz]
[-t tiempo_espera_ssl]
[-z ubicación_correlación_roles]
![[IBM i]](../images/iseries.gif)
Sintaxis
migrateEAR -nombre_perfil default
-j nombre_archivo_totalmente_calificado
-a ID_administrador_Tivoli_Access_Manager
-p contraseña_administrador_Tivoli_Access_Manager
-w nombre_usuario_administrador_WebSphere_Application_Server
-d sufijo_dominio_registro_usuarios
-c ubicación_archivo_PdPerm.properties
[-z ubicación_correlación_roles]
- El parámetro -j toma como valor predeterminado el archivo: raíz_perfil/config/cells/nombre_célula/admin-authz.html
- El parámetro -c toma como valor predeterminado: archivo:raíz_perfil/etc/pd/PdPerm.properties. La salida del programa de utilidad se anota cronológicamente en el archivo pdwas_migrate.log. El archivo pdwas_migrate.log se crea en el directorio raíz_perfil/logs.
- El parámetro -nombre_perfil es opcional y toma de forma predeterminada el nombre del perfil predeterminado.
Parámetros
![[Windows]](../images/windows.gif)
- -aID_administrador_Tivoli_Access_Manager
- Identificador del usuario administrativo. El usuario administrativo debe tener los privilegios necesarios para crear usuarios, objetos y listas de control de accesos (ACL). Por ejemplo, -a sec_master.
Este parámetro es opcional. Si no especifica el parámetro, se le solicitará que lo proporcione durante el tiempo de ejecución.
- -c ubicación_archivo_PdPerm.properties
- Ubicación del URI (Uniform Resource Indicator) del archivo
PdPerm.properties que configura el programa de utilidad pdwascfg. Cuando se instala WebSphere Application Server en la ubicación predeterminada, el URI es:
file:/opt/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
file:/usr/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
file:/"C:/Program Files/IBM/WebSphere/AppServer/java/jre/PdPerm.properties”
- -d sufijo_dominio_registro_usuario
- Sufijo de dominio que utiliza el registro de usuario. Por ejemplo, para los registros de usuario LDAP (Lightweight Directory
Access Protocol), este valor es el sufijo del dominio, por ejemplo:
"o=ibm,c=us"
Las plataformas Windows necesitan que el sufijo de dominio vaya entre comillas.
Puede utilizar el mandato pdadmin user show para visualizar el nombre distinguido (DN) de un usuario.
- -j nombre_vía_acceso_totalmente_calificado
- El nombre de archivo y la vía de acceso totalmente calificada del archivador de aplicaciones Java™ 2 Platform, Enterprise
Edition, admin-authz.xml o el archivo de definiciones de roles naming-authz.xml que se utiliza para una autorización de operación de asignación de nombres. De manera opcional, esta vía de acceso también
puede ser el directorio de una aplicación de empresa ampliada. Por ejemplo, cuando se instala WebSphere Application
Server en la ubicación predeterminada, la vía de acceso a los archivos de datos que se van a migrar incluye:
file:/opt/IBM/WebSphere/AppServer/profiles/nombre_perfil/config/cells /nombre_célula/admin-authz.xml
file:/usr/IBM/WebSphere/AppServer/profiles/nombre_perfil/config/cells /nombre_célula/admin-authz.xml
“C:/Program Files/IBM/WebSphere/AppServer/profiles/nombre_perfil/config/cells /nombre_célula/admin-authz.xml”
- -p contraseña_administrador_Tivoli_Access_Manager
- Contraseña del usuario administrativo de Tivoli Access Manager. El usuario administrativo debe tener los privilegios que son necesarios para crear usuarios, objetos y listas de control de accesos (ACL). Por ejemplo, puede especificar del usuario administrativo -a
sec_master como -p myPassword.
Si no se especifica este parámetro, el usuario debe proporcionar la contraseña del nombre de usuario administrativo.
-r nombre_espacio_objetos_raíz
Nombre del espacio del objeto raíz. El valor es el nombre de la raíz de la jerarquía de espacios de nombres de objetos protegidos que se crea para los datos de política de WebSphere Application Server.
El valor predeterminado del espacio del objeto raíz es WebAppServer.
Establezca el nombre del espacio de objetos raíz de Tivoli Access Manager modificando el archivo amwas.amjacc.template.properties antes de configurar el proveedor de JACC (Java Authorization Contract for Containers) de Tivoli Access Manager por primera vez. Esta opción debe utilizarse si el valor del espacio de objetos por omisión no se utiliza en la configuración del proveedor de JACC de Tivoli Access Manager JACC para Tivoli Access Manager.
El nombre del espacio de objetos de Tivoli Access Manager no debe modificarse nunca después de configurar el proveedor de JACC de Tivoli Access Manager.
-t tiempo_espera_ssl
Número de minutos del tiempo de espera SSL (Secure Sockets Layer). Este parámetro se utiliza para desconectar y volver a conectar el contexto SSL entre el servidor de autorizaciones de Tivoli Access Manager y el servidor de políticas antes de que se sobrepase el tiempo de espera por omisión de la conexión.
El valor predeterminado es 60 minutos. El valor mínimo es 10 minutos. El máximo no puede sobrepasar el valor ssl-v3-timeout de Tivoli Access Manager. El valor predeterminado de ssl-v3-timeout es 120 minutos.
Si no está familiarizado con la administración de este valor, puede utilizar de forma segura el valor predeterminado.
- -w nombre_usuario_administrador_WebSphere_Application_Server
- Nombre de usuario que se configura como administrador en el campo del registro de usuario de seguridad de WebSphere Application Server. Este valor coincide con la cuenta que ha creado o importado en Creación del usuario administrativo de seguridad para Tivoli Access Manager. Se
necesita permiso de acceso para este usuario para crear o actualizar el espacio
de objetos protegidos de Tivoli Access
Manager.
Si el usuario administrativo de WebSphere Application Server no existe en el espacio de objetos protegido, se crea o se importa. En este caso, se genera una contraseña aleatoria para el usuario y la cuenta se establece como no válida. Cambie esta contraseña por un valor conocido y establezca la cuenta como válida.
Se crean un objeto protegido y una lista de control de acceso (ACL). El usuario administrativo se añade al grupo pdwas-admin con los siguientes atributos de ACL:- T
- Pasar permiso
- i
- Invocar permiso
- WebAppServer
- Puede sobrescribir el nombre del grupo de acción. El nombre por omisión es WebAppServer. Este nombre de grupo de acción y el espacio de objetos raíz coincidente se pueden sobrescribir cuando se ejecuta el programa de utilidad de migración con la opción -r.
- -z ubicación_correlación_roles
- La ubicación en que debe almacenarse la correlación de roles al migrar las
aplicaciones de administración. La ubicación predeterminada consiste en colocar la correlación de roles en la estructura de
directorios actual como, por ejemplo:
/WebAppServer/deployedResouces
Al especificar la opción -z se añade otro nivel de directorio en el que se puede almacenar la correlación de roles. Por ejemplo, si especifica -z Roles en el programa de utilidad migrateEAR, la correlación de roles se almacena en la estructura de directorios de la manera siguiente:/WebAppServer/deployedResouces/Roles
Avoid trouble: Si la opción -z se ha especificado, debe actualizar manualmente el valor de la propiedad com.tivoli.pd.as.rbpf.RoleContainerName en los archivos amwas.nombre_nodo.amjacc.properties y amwas.nombre_nodo.authztable.properties de tal forma que este valor coincida con el valor especificado para la opción -z. No tiene que reiniciar WebSphere Application Server después de actualizar el valor de la propiedad com.tivoli.pd.as.rbpf.RoleContainerName gotcha
Comentarios
Este programa de utilidad migra la información de políticas de seguridad desde los descriptores de despliegue o archivos EAR a Tivoli Access Manager para WebSphere Application Server. El script llama a la clase Java com.tivoli.pdwas.migrate.Migrate.
Antes de invocar el
script, debe ejecutar los mandatos setupCmdLine.bat o
setupCmdLine.sh. Estos archivos están ubicados en el directorio
%WAS_HOME%/bin.
Antes de invocar el script, debe ejecutar
el script setupCmdLine desde la línea de mandatos Qshell.
Puede buscar este archivo
en el directorio raíz_perfil/bin, donde raíz_perfil es la vía
de acceso de la instalación. En una instalación por omisión, raíz_perfil es raíz_servidor_aplicacionesND.
El script depende de si encuentra las variables de entorno correctas
para la ubicación del software de prerrequisito.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
- -Dpdwas.lang.home
- Directorio que contiene las bibliotecas de soporte de idioma original que se proporcionan con el proveedor de JACC de Tivoli Access Manager. Estas bibliotecas se encuentran en un subdirectorio dentro del directorio de instalación del proveedor de JACC de Tivoli Access Manager. Por ejemplo: -Dpdwas.lang.home=%PDWAS_HOME%\java\nls
- -cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate
- La variable CLASSPATH se debe establecer correctamente para la instalación Java.
![[Windows]](../images/windows.gif)
- Crear el nombre completo de vía de acceso del archivo EAR.
- Crear el nombre completo de vía de acceso de URI en la ubicación del archivo PdPerm.properties.
Para permitir el acceso de un usuario nuevo al grupo administrativo en WebSphere Application Server, se le recomienda que añada el usuario al grupo pdwas-admin después de que se haya habilitado JACC. Puede especificar el ID principal administrativo (adminID) en el grupo. Esto es necesario cuando serverID no es el mismo que adminID.
pdadmin> group modify pdwas-admin add adminID
Códigos de retorno
- 0
- El mandato ha finalizado correctamente.
- 1
- El mandato ha fallado.