Programa de utilidad migrateEAR para Tivoli Access Manager

El programa de utilidad migrateEAR migra los cambios realizados en los usuarios y grupos de la consola de los archivos admin-authz.xml y naming-authz.xml al espacio de objetos de Tivoli Access Manager.

[AIX Solaris HP-UX Linux Windows][z/OS]

Sintaxis

migrateEAR
-j nombre_archivo_totalmente_calificado
-c ubicación_archivo_pdPerm.properties
-a ID_administrador_Tivoli_Access_Manager
-p contraseña_administrador_Tivoli_Access_Manager
-w nombre_usuario_administrador_WebSphere_Application_Server
-d sufijo_dominio_registro_usuarios
[-r nombre_espacio_objetos_raíz]
[-t tiempo_espera_ssl]
[-z ubicación_correlación_roles]
[IBM i]

Sintaxis

migrateEAR -nombre_perfil default
-j nombre_archivo_totalmente_calificado
-a ID_administrador_Tivoli_Access_Manager
-p contraseña_administrador_Tivoli_Access_Manager
-w nombre_usuario_administrador_WebSphere_Application_Server
-d sufijo_dominio_registro_usuarios
-c ubicación_archivo_PdPerm.properties
[-z ubicación_correlación_roles]
Atención:
  • El parámetro -j toma como valor predeterminado el archivo: raíz_perfil/config/cells/nombre_célula/admin-authz.html
  • El parámetro -c toma como valor predeterminado: archivo:raíz_perfil/etc/pd/PdPerm.properties. La salida del programa de utilidad se anota cronológicamente en el archivo pdwas_migrate.log. El archivo pdwas_migrate.log se crea en el directorio raíz_perfil/logs.
  • El parámetro -nombre_perfil es opcional y toma de forma predeterminada el nombre del perfil predeterminado.

Parámetros

[Windows]Atención: En los siguientes parámetros, utilice la vía de acceso absoluto en lugar de una variable.
-aID_administrador_Tivoli_Access_Manager
Identificador del usuario administrativo. El usuario administrativo debe tener los privilegios necesarios para crear usuarios, objetos y listas de control de accesos (ACL). Por ejemplo, -a sec_master.

Este parámetro es opcional. Si no especifica el parámetro, se le solicitará que lo proporcione durante el tiempo de ejecución.

-c ubicación_archivo_PdPerm.properties
Ubicación del URI (Uniform Resource Indicator) del archivo PdPerm.properties que configura el programa de utilidad pdwascfg. Cuando se instala WebSphere Application Server en la ubicación predeterminada, el URI es:
[Solaris][Linux][HP-UX]
file:/opt/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
[AIX]
file:/usr/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
[Windows]
file:/"C:/Program Files/IBM/WebSphere/AppServer/java/jre/PdPerm.properties”
[IBM i][z/OS]
file:raíz_perfil/etc/pd/PdPerm.properties
-d sufijo_dominio_registro_usuario
Sufijo de dominio que utiliza el registro de usuario. Por ejemplo, para los registros de usuario LDAP (Lightweight Directory Access Protocol), este valor es el sufijo del dominio, por ejemplo: "o=ibm,c=us"

[Windows]Las plataformas Windows necesitan que el sufijo de dominio vaya entre comillas.

Puede utilizar el mandato pdadmin user show para visualizar el nombre distinguido (DN) de un usuario.

-j nombre_vía_acceso_totalmente_calificado
El nombre de archivo y la vía de acceso totalmente calificada del archivador de aplicaciones Java™ 2 Platform, Enterprise Edition, admin-authz.xml o el archivo de definiciones de roles naming-authz.xml que se utiliza para una autorización de operación de asignación de nombres. De manera opcional, esta vía de acceso también puede ser el directorio de una aplicación de empresa ampliada. Por ejemplo, cuando se instala WebSphere Application Server en la ubicación predeterminada, la vía de acceso a los archivos de datos que se van a migrar incluye:
[Solaris][Linux][HP-UX]
file:/opt/IBM/WebSphere/AppServer/profiles/nombre_perfil/config/cells
/nombre_célula/admin-authz.xml
[AIX]
file:/usr/IBM/WebSphere/AppServer/profiles/nombre_perfil/config/cells
/nombre_célula/admin-authz.xml
[Windows]
“C:/Program Files/IBM/WebSphere/AppServer/profiles/nombre_perfil/config/cells
/nombre_célula/admin-authz.xml”
[IBM i][z/OS]
raíz_perfil/config/cells/cell_name
-p contraseña_administrador_Tivoli_Access_Manager
Contraseña del usuario administrativo de Tivoli Access Manager. El usuario administrativo debe tener los privilegios que son necesarios para crear usuarios, objetos y listas de control de accesos (ACL). Por ejemplo, puede especificar del usuario administrativo -a sec_master como -p myPassword.

Si no se especifica este parámetro, el usuario debe proporcionar la contraseña del nombre de usuario administrativo.

[AIX Solaris HP-UX Linux Windows][z/OS]-r nombre_espacio_objetos_raíz
[AIX Solaris HP-UX Linux Windows][z/OS]Nombre del espacio del objeto raíz. El valor es el nombre de la raíz de la jerarquía de espacios de nombres de objetos protegidos que se crea para los datos de política de WebSphere Application Server.

El valor predeterminado del espacio del objeto raíz es WebAppServer.

Establezca el nombre del espacio de objetos raíz de Tivoli Access Manager modificando el archivo amwas.amjacc.template.properties antes de configurar el proveedor de JACC (Java Authorization Contract for Containers) de Tivoli Access Manager por primera vez. Esta opción debe utilizarse si el valor del espacio de objetos por omisión no se utiliza en la configuración del proveedor de JACC de Tivoli Access Manager JACC para Tivoli Access Manager.

El nombre del espacio de objetos de Tivoli Access Manager no debe modificarse nunca después de configurar el proveedor de JACC de Tivoli Access Manager.

[AIX Solaris HP-UX Linux Windows][z/OS]-t tiempo_espera_ssl
[AIX Solaris HP-UX Linux Windows][z/OS]Número de minutos del tiempo de espera SSL (Secure Sockets Layer). Este parámetro se utiliza para desconectar y volver a conectar el contexto SSL entre el servidor de autorizaciones de Tivoli Access Manager y el servidor de políticas antes de que se sobrepase el tiempo de espera por omisión de la conexión.

El valor predeterminado es 60 minutos. El valor mínimo es 10 minutos. El máximo no puede sobrepasar el valor ssl-v3-timeout de Tivoli Access Manager. El valor predeterminado de ssl-v3-timeout es 120 minutos.

Si no está familiarizado con la administración de este valor, puede utilizar de forma segura el valor predeterminado.

-w nombre_usuario_administrador_WebSphere_Application_Server
Nombre de usuario que se configura como administrador en el campo del registro de usuario de seguridad de WebSphere Application Server. Este valor coincide con la cuenta que ha creado o importado en Creación del usuario administrativo de seguridad para Tivoli Access Manager. Se necesita permiso de acceso para este usuario para crear o actualizar el espacio de objetos protegidos de Tivoli Access Manager.

Si el usuario administrativo de WebSphere Application Server no existe en el espacio de objetos protegido, se crea o se importa. En este caso, se genera una contraseña aleatoria para el usuario y la cuenta se establece como no válida. Cambie esta contraseña por un valor conocido y establezca la cuenta como válida.

Se crean un objeto protegido y una lista de control de acceso (ACL). El usuario administrativo se añade al grupo pdwas-admin con los siguientes atributos de ACL:
T
Pasar permiso
i
Invocar permiso
WebAppServer
Puede sobrescribir el nombre del grupo de acción. El nombre por omisión es WebAppServer. Este nombre de grupo de acción y el espacio de objetos raíz coincidente se pueden sobrescribir cuando se ejecuta el programa de utilidad de migración con la opción -r.
-z ubicación_correlación_roles
La ubicación en que debe almacenarse la correlación de roles al migrar las aplicaciones de administración. La ubicación predeterminada consiste en colocar la correlación de roles en la estructura de directorios actual como, por ejemplo:
 /WebAppServer/deployedResouces
Al especificar la opción -z se añade otro nivel de directorio en el que se puede almacenar la correlación de roles. Por ejemplo, si especifica -z Roles en el programa de utilidad migrateEAR, la correlación de roles se almacena en la estructura de directorios de la manera siguiente:
/WebAppServer/deployedResouces/Roles
Avoid trouble Avoid trouble: Si la opción -z se ha especificado, debe actualizar manualmente el valor de la propiedad com.tivoli.pd.as.rbpf.RoleContainerName en los archivos amwas.nombre_nodo.amjacc.properties y amwas.nombre_nodo.authztable.properties de tal forma que este valor coincida con el valor especificado para la opción -z. No tiene que reiniciar WebSphere Application Server después de actualizar el valor de la propiedad com.tivoli.pd.as.rbpf.RoleContainerName gotcha

Comentarios

Este programa de utilidad migra la información de políticas de seguridad desde los descriptores de despliegue o archivos EAR a Tivoli Access Manager para WebSphere Application Server. El script llama a la clase Java com.tivoli.pdwas.migrate.Migrate.

[AIX Solaris HP-UX Linux Windows][z/OS]Antes de invocar el script, debe ejecutar los mandatos setupCmdLine.bat o setupCmdLine.sh. Estos archivos están ubicados en el directorio %WAS_HOME%/bin.

[IBM i]Antes de invocar el script, debe ejecutar el script setupCmdLine desde la línea de mandatos Qshell. Puede buscar este archivo en el directorio raíz_perfil/bin, donde raíz_perfil es la vía de acceso de la instalación. En una instalación por omisión, raíz_perfil es raíz_servidor_aplicacionesND.

[IBM i][AIX Solaris HP-UX Linux Windows][z/OS]El script depende de si encuentra las variables de entorno correctas para la ubicación del software de prerrequisito.

[AIX Solaris HP-UX Linux Windows][z/OS]El script llama al código Java con las siguientes opciones:
-Dpdwas.lang.home
Directorio que contiene las bibliotecas de soporte de idioma original que se proporcionan con el proveedor de JACC de Tivoli Access Manager. Estas bibliotecas se encuentran en un subdirectorio dentro del directorio de instalación del proveedor de JACC de Tivoli Access Manager. Por ejemplo: -Dpdwas.lang.home=%PDWAS_HOME%\java\nls
-cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate
La variable CLASSPATH se debe establecer correctamente para la instalación Java.
[Windows]La opción -j y la opción -c pueden hacer referencia a la variable %WAS_HOME% para determinar dónde se instala WebSphere Application Server. Esta información se utiliza para:
  • Crear el nombre completo de vía de acceso del archivo EAR.
  • Crear el nombre completo de vía de acceso de URI en la ubicación del archivo PdPerm.properties.

Para permitir el acceso de un usuario nuevo al grupo administrativo en WebSphere Application Server, se le recomienda que añada el usuario al grupo pdwas-admin después de que se haya habilitado JACC. Puede especificar el ID principal administrativo (adminID) en el grupo. Esto es necesario cuando serverID no es el mismo que adminID.

El siguiente es un ejemplo de este mandato:
pdadmin> group modify pdwas-admin add adminID

Códigos de retorno

El programa de utilidad puede devolver los siguientes códigos de estado de salida:
0
El mandato ha finalizado correctamente.
1
El mandato ha fallado.

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_TAM_JACC_migrateear
File name: rsec_TAM_JACC_migrateear.html