Programa de utilidad com.tivoli.pd.jcfg.SvrSslCfg para el inicio de sesión único de Tivoli Access Manager

El programa de utilidad se utiliza para configurar y suprimir la información de configuración asociada a WebSphere Application Server y al servidor Tivoli Access Manager.

Finalidad

[IBM i]El script svrsslcfg crea una cuenta de usuario y entradas de servidor que representan WebSphere Application Server en el registro de usuarios de Tivoli Access Manager. Asimismo, se crean localmente un archivo de configuración y un archivo de almacén de claves Java™, que almacenan de forma protegida los certificados cliente en el perfil del servidor de aplicaciones. Este certificado cliente permite a los interlocutores el uso de servicios de autenticación de Tivoli Access Manager. También puede optar por eliminar las entradas del usuario y el servidor del registro de usuarios y limpiar la configuración local y los archivos de almacén de claves.

[IBM i]El script svrsslcfg hace de envoltorio de la clase SvrSslCfg y proporciona soporte para varios perfiles de WebSphere Application Server. Si se utilizan varios perfiles se pueden crear varios entornos de WebSphere Application Server.

Ejecute el script svrsslcfg en primer lugar en el gestor de despliegue y luego en los otros nodos de la célula.

[IBM i]

Pasos

Para ejecutar el script svrsslcfg, efectúe los pasos siguientes:
  1. Inicie la sesión con un perfil de usuario y autorización para todos los objetos (*ALLOBJ).
  2. En la línea de mandatos CL, escriba el mandato STRQSH (Iniciar Qshell).
  3. Vaya al directorio raíz_instalación/bin.
  4. Escriba el mandato svrsslcfg con las opciones que desea.
    Por ejemplo:
    svrsslcfg -profileName mi_perfil -action config -admin_id sec_master
      -admin_pwd pwd123 -appsvr_id ibm9 -appsvr_pwd ibm9pwd -mode remote
      -port 8888 -policysvr ourserv.rochester.ibm.com:7135:1
      -authzsvr ourserv.rochester.ibm.com:7136:1
      -key_file raíz_perfil/mi_perfil/etc/ibm9.kdb
      -cfg_action create
    El ejemplo anterior se ha dividido en varias líneas por razones ilustrativas únicamente.
[AIX Solaris HP-UX Linux Windows][z/OS]

Sintaxis

java com.tivoli.pd.jcfg.SvrSslCfg
-action {config | unconfig} -admin_id ID_usuario_admin 
-admin_pwd contraseña_administrador -appsvr_id nombre_servidor_aplicaciones 
-appsvr_pwd contraseña_servidor_aplicaciones
-mode{local|remote} 
-host
nombre_host_servidor_aplicaciones 
-policysvr nombre_servidor_políticas:puerto:rango [,...] 
-authzsvr nombre_servidor_autenticación:puerto:rango [,...] 
-cfg_file nombre_plenamente_cualificado_archivo_configuración 
-domain dominio_Tivoli_Acccess_Manager 
-key_file nombre_plenamente_cualificado_archivo_almacén_claves 
-cfg_action {create|replace}
[IBM i]

Sintaxis

La sintaxis de la configuración es:

svrsslcfg -action config
          [ -profileName nombre_perfil ]
            -admin_id id_usuario_admin
            -admin_pwd contraseña_administrador
            -appsvr_id nombre_servidor_aplicaciones
            -port número_puerto
            -mode { local | remote }
            -policysvr nombre_servidor_políticas
            -authzsvr nombre_servidor_autorizaciones
            -key_file nombre_plenamente_cualificado_archivo_almacén_claves
            -appsvr_pwd contraseña_servidor_aplicaciones
            -cfg_action { create | replace }
          [ -domain dominio_Tivoli_Access_Manager ]

La sintaxis de desconfiguración es:

svrsslcfg -action unconfig
          [ -profileName nombre_perfil ]
            -admin_id id_usuario_admin
            -admin_pwd contraseña_administrador
            -appsvr_id nombre_servidor_aplicaciones
            -policysvr nombre_servidor_políticas
          [ -domain dominio_Tivoli_Access_Manager ]

Puede escribir la sintaxis anterior en una sola línea.

Parámetros

-action {config | unconfig}
Especifica la acción de configuración que efectúa el script. Se aplican las opciones siguientes:
-action config
Cuando se configura un servidor, se crea en el registro de usuarios información acerca del usuario y del servidor, y se crean archivos de configuración local y de almacén de claves en el servidor de aplicaciones. Utilice la opción -action unconfig para invertir esta operación.

Si se especifica esta acción, se requieren las opciones siguientes: -admin_id, -admin_pwd, -appsvr_id, -port, -mode, -policysvr, -authzsvr y -key_file.

-action unconfig
Vuelve a configurar un servidor de aplicaciones para que realice las acciones siguientes:
  • Suprimir la información de usuarios y servidor del registro de usuarios
  • Suprimir el archivo del almacén de claves local
  • Suprimir la información para esta aplicación del archivo de configuración sin suprimir el archivo

La operación de reconfiguración falla sólo si el emisor no está autorizado o si no se puede contactar con el servidor de políticas.

Esta acción puede realizar correctamente cuando no existe un archivo de configuración. Si el archivo de configuración no existe, se crea y se utiliza como un archivo temporal para mantener la información de configuración durante la operación, y posteriormente se suprime completamente.

Si se especifica esta acción, se requieren las opciones siguientes: -admin_id, -admin_pwd, -appsvr_id y -policysvr.

-admin_id ID_usuario_admin
Especifica el nombre del administrador de Tivoli Access Manager. Si no se especifica esta opción, sec_master es el valor predeterminado.

Un ID administrativo válido es una serie alfanumérica sensible a las mayúsculas y minúsculas. Los valores de serie se espera que sean caracteres que formen parte del juego de códigos local. No puede utilizar espacios en el ID administrativo.

Por ejemplo, para el inglés americano los caracteres válidos son las letras a-Z, los números 0-9, punto (.), subrayado (_), signo más (+), guión (), arroba (@), ampersand (&) y asterisco (*). La longitud mínima y máxima del ID administrativo, si hay límites, viene impuesta por el registro subyacente.

-admin_password contraseña_admin

Especifica la contraseña del usuario administrador de Tivoli Access Manager que se asocia con el parámetro -admin_id. Las restricciones de contraseña dependen de la política de contraseñas de su configuración de Tivoli Access Manager.

-appsvr_id nombre_servidor_aplicaciones
Especifica el nombre del servidor de aplicaciones. El nombre se combina con el nombre del host para crear nombres exclusivos para los objetos de Tivoli Access Manager que se crean para la aplicación. Los siguientes nombres se reservan para las aplicaciones de Tivoli Access Manager: ivacld, secmgrd, ivnet y ivweb.
-appsvr_pwd contraseña_servidor_aplicaciones
Especifica la contraseña del servidor de aplicaciones. Esta opción es obligatoria. El sistema crea una contraseña y el archivo de configuración se actualiza con la contraseña creada por el sistema.

Si no se especifica esta opción, la contraseña del servidor se leerá de la entrada estándar.

-authzsvr nombre_servidor_autorización
Especifica el nombre del servidor de autorización de Tivoli Access Manager con el que el servidor de aplicaciones se comunica. El servidor se especifica mediante el nombre de host plenamente cualificado, el número de puerto SSL y el rango. El número de puerto predeterminado SSL es 7136. Por ejemplo: myauth.mycompany.com:7136:1. Puede especificar varios servidores si las entradas están separadas por una coma (,).
-cfg_action {create | replace}
Especifica la acción que se ha de llevar a cabo cuando se crean los archivos de configuración y de claves. Los valores válidos son create o replace. Utilice la opción create para crear inicialmente los archivos de configuración y del almacén de claves. Utilice la opciónreplace si ya existen estos archivos. Si utiliza la opción create y ya existen los archivos de configuración o del almacén de claves, se genera una excepción.
Las opciones son las siguientes:
crear
Especifica crear la configuración y los archivos del almacén de claves durante la configuración del servidor. La configuración falla si existe alguno de estos archivos.
replace
Especifica reemplazar la configuración y los archivos del almacén de claves durante la configuración del servidor. La configuración suprime los archivos existentes y los sustituye por otros nuevos.
[AIX Solaris HP-UX Linux Windows][z/OS]-cfg_filenombre_plenamente_cualificado_archivo_configuración
[AIX Solaris HP-UX Linux Windows][z/OS]Especifica el nombre y la vía de acceso del archivo de configuración.

El nombre de archivo debe ser un nombre de archivo absoluto (totalmente calificado) para que sea válido.

-domain dominio_Tivoli_Access_Manager
Especifica el nombre de dominio de Tivoli Access Manager en el que se autentica el administrador. Este dominio debe existir y el ID de administrador y la contraseña deben ser válidos para este dominio. El servidor de aplicaciones se especifica en este dominio.

Si no se especifica, se utilizará el dominio local especificado durante la configuración del tiempo de ejecución de Tivoli Access Manager. El valor del dominio local se recuperará del archivo de configuración.

Un nombre de dominio válido es una serie alfanumérica sensible a las mayúsculas y minúsculas. Los valores de serie se espera que sean caracteres que formen parte del juego de códigos local. No puede utilizar espacios en el nombre del dominio.

Por ejemplo, para el inglés americano los caracteres válidos para los nombres de dominio son las letras a-Z, los números 0-9, punto (.), subrayado (_), signo más (+), guión (), arroba (@), ampersand (&) y asterisco (*). La longitud mínima y máxima del nombre de dominio, si hay límites, viene impuesta por el registro subyacente.

[AIX Solaris HP-UX Linux Windows][z/OS]-hostnombre_host_servidor_aplicaciones
[AIX Solaris HP-UX Linux Windows][z/OS]Especifica el nombre del host TCP que utiliza el servidor de políticas de Tivoli Access Manager para ponerse en contacto con este servidor. Este nombre se guarda en el archivo de configuración utilizando la clave azn-app-host.

El valor predeterminado es el nombre del host local devuelto por el sistema operativo. Un valor válido de nombre_host es cualquier nombre de host de IP válido.

Ejemplos:

host = libra
host = libra.dallas.ibm.com

-key_filenombre_plenamente_cualificado_archivo_almacén_claves
Especifica el directorio que va a contener los archivos de claves del servidor. El sistema operativo determina la validez del nombre del directorio. Utilice un nombre de archivo totalmente calificado que contenga el archivo de claves y de certificados del servidor de aplicaciones.

Asegúrese de que el usuario del servidor (por ejemplo, ivmgr) o todos los usuarios tengan permiso para acceder al archivo .kdb y a la carpeta que contiene el archivo .kdb.

Esta opción es obligatoria.

-mode modalidad_servidor
[AIX Solaris HP-UX Linux Windows][z/OS]Especifica la modalidad en la que funciona la aplicación. Este valor debe ser local o remote.
[IBM i]Especifica la modalidad en la que el servidor de aplicaciones procesa las solicitudes. Sólo se da soporte a la modalidad remote.
-policysvr nombre_servidor_políticas
[AIX Solaris HP-UX Linux Windows][z/OS]Especifica el nombre del servidor de políticas.
[IBM i]Especifica los nombres de los servidores que ejecutan el servidor de políticas de Tivoli Access Manager (ivmgrd) con los que el servidor de aplicaciones se comunica. El servidor se especifica mediante el nombre de host totalmente calificado, el número de puerto SSL y el rango. El número de puerto predeterminado SSL es 7135. Por ejemplo: mypolicy.mycompany.com:7135:1. Puede especificar varios servidores si las entradas están separadas por una coma (,).
[IBM i]-port número_puerto
[IBM i]Especifica el puerto de comunicaciones TCP/P en el que el servidor de aplicaciones escucha las comunicaciones de los servidores de políticas.
[IBM i]-profileName nombre_perfil
[IBM i]Especifica el nombre del perfil de WebSphere Application Server. Si no se especifica esta opción, se utiliza el perfil predeterminado server1.
[AIX Solaris HP-UX Linux Windows][z/OS]

Comentarios

Después de configurar correctamente un servidor de aplicaciones Tivoli Access Manager Java, SvrSslCfg crea una cuenta de usuario y entradas de servidor que representan al servidor de aplicaciones Java en el registro de usuarios de Tivoli Access Manager. Además, SvrSslCfg crea localmente un archivo de configuración y un archivo de almacén de claves Java, que almacena de forma protegida los certificados cliente, en el servidor de aplicaciones. Este certificado cliente permite a los emisores el uso autenticado de servicios de Tivoli Access Manager. Por el contrario, la reconfiguración, elimina las entradas del usuario y el servidor del registro de usuarios y limpia la configuración local y los archivos de almacén de claves.

El contenido de un archivo de configuración existente se puede modificar utilizando el programa de utilidad SvrSslCfg. El archivo de configuración y el archivo del almacén de claves deben existir cuando se llama a SvrSslCfg con todas las opciones excepto con -action config o -action unconfig.

Las siguientes opciones se analizan y se procesan en el archivo de configuración, pero se ignoran en esta versión de Tivoli Access Manager:

El nombre de host se utiliza para crear un nombre exclusivo (identidad) para la aplicación. El mandato list del usuario pdadmin muestra el nombre de identidad de la aplicación con el siguiente formato:

nombre_servidor/nombre_host

Tenga en cuenta que el mandato list del servidor pdadmin muestra el nombre del servidor con un formato diferente:

nombre_servidor-nombre_host

[AIX Solaris HP-UX Linux Windows][z/OS]

CLASSPATH=${WAS_HOME}/tivoli/tam/PD.jar:${WAS_CLASSPATH}
java \
-cp ${CLASSPATH} \
-Dpd.cfg.home= ${WAS_HOME}/java/jre \
-Dfile.encoding=ISO8859-1 \
-Xnoargsconversion \
com.tivoli.pd.jcfg.SvrSslCfg \
-action config \
-admin_id sec_master \
-admin_pwd $TAM_PASSWORD \
-appsvr_id $APPSVR_ID \
-policysvr ${TAM_HOST}:7135:1 \
-port 7135 \
-authzsvr ${TAM_HOST}:7136:1 \
-mode remote \
-cfg_file ${CFG_FILE} \
-key_file ${KEY_FILE} \
-cfg_action create


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_tampsvrsslcfg
File name: rsec_tampsvrsslcfg.html