Programa de utilidad com.tivoli.pd.jcfg.SvrSslCfg para el inicio de sesión único de Tivoli Access Manager
El programa de utilidad se utiliza para configurar y suprimir la información de configuración asociada a WebSphere Application Server y al servidor Tivoli Access Manager.
Finalidad
El script svrsslcfg crea una cuenta de usuario y entradas de
servidor que representan WebSphere Application
Server en el registro de usuarios de Tivoli Access Manager.
Asimismo, se crean localmente un archivo de configuración y un archivo de almacén de claves Java™, que almacenan de forma protegida los certificados cliente en el perfil del servidor de aplicaciones.
Este certificado cliente permite a los interlocutores el uso de servicios de autenticación de Tivoli Access Manager. También puede optar por eliminar las entradas del usuario y el servidor
del registro de usuarios y limpiar la configuración local y los archivos
de almacén de claves.
El script svrsslcfg hace de envoltorio de la clase SvrSslCfg y proporciona soporte para varios perfiles
de WebSphere Application Server. Si se utilizan varios perfiles se pueden crear varios entornos de WebSphere Application Server.
Ejecute el script svrsslcfg en primer lugar en el gestor de despliegue y luego en los otros nodos de la célula.
![[IBM i]](../images/iseries.gif)
Pasos
- Inicie la sesión con un perfil de usuario y autorización para todos los objetos (*ALLOBJ).
- En la línea de mandatos CL, escriba el mandato STRQSH (Iniciar Qshell).
- Vaya al directorio raíz_instalación/bin.
- Escriba el mandato svrsslcfg con las opciones que desea. Por ejemplo:
svrsslcfg -profileName mi_perfil -action config -admin_id sec_master -admin_pwd pwd123 -appsvr_id ibm9 -appsvr_pwd ibm9pwd -mode remote -port 8888 -policysvr ourserv.rochester.ibm.com:7135:1 -authzsvr ourserv.rochester.ibm.com:7136:1 -key_file raíz_perfil/mi_perfil/etc/ibm9.kdb -cfg_action create
El ejemplo anterior se ha dividido en varias líneas por razones ilustrativas únicamente.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Sintaxis
java com.tivoli.pd.jcfg.SvrSslCfg -action {config | unconfig} -admin_id ID_usuario_admin -admin_pwd contraseña_administrador -appsvr_id nombre_servidor_aplicaciones -appsvr_pwd contraseña_servidor_aplicaciones -mode{local|remote} -host nombre_host_servidor_aplicaciones -policysvr nombre_servidor_políticas:puerto:rango [,...] -authzsvr nombre_servidor_autenticación:puerto:rango [,...] -cfg_file nombre_plenamente_cualificado_archivo_configuración -domain dominio_Tivoli_Acccess_Manager -key_file nombre_plenamente_cualificado_archivo_almacén_claves -cfg_action {create|replace}
![[IBM i]](../images/iseries.gif)
Sintaxis
La sintaxis de la configuración es:
svrsslcfg -action config [ -profileName nombre_perfil ] -admin_id id_usuario_admin -admin_pwd contraseña_administrador -appsvr_id nombre_servidor_aplicaciones -port número_puerto -mode { local | remote } -policysvr nombre_servidor_políticas -authzsvr nombre_servidor_autorizaciones -key_file nombre_plenamente_cualificado_archivo_almacén_claves -appsvr_pwd contraseña_servidor_aplicaciones -cfg_action { create | replace } [ -domain dominio_Tivoli_Access_Manager ]
La sintaxis de desconfiguración es:
svrsslcfg -action unconfig [ -profileName nombre_perfil ] -admin_id id_usuario_admin -admin_pwd contraseña_administrador -appsvr_id nombre_servidor_aplicaciones -policysvr nombre_servidor_políticas [ -domain dominio_Tivoli_Access_Manager ]
Puede escribir la sintaxis anterior en una sola línea.
Parámetros
- -action {config | unconfig}
- Especifica la acción de configuración que efectúa el script. Se aplican las opciones siguientes:
- -action config
- Cuando se configura un servidor, se crea en el registro de usuarios información
acerca del usuario y del servidor, y se crean archivos de configuración local y de
almacén de claves en el servidor de aplicaciones.
Utilice la opción -action
unconfig para invertir esta operación.
Si se especifica esta acción, se requieren las opciones siguientes: -admin_id, -admin_pwd, -appsvr_id, -port, -mode, -policysvr, -authzsvr y -key_file.
- -action unconfig
- Vuelve a configurar un servidor de aplicaciones para que realice las acciones siguientes:
- Suprimir la información de usuarios y servidor del registro de usuarios
- Suprimir el archivo del almacén de claves local
- Suprimir la información para esta aplicación del archivo de configuración sin suprimir el archivo
La operación de reconfiguración falla sólo si el emisor no está autorizado o si no se puede contactar con el servidor de políticas.
Esta acción puede realizar correctamente cuando no existe un archivo de configuración. Si el archivo de configuración no existe, se crea y se utiliza como un archivo temporal para mantener la información de configuración durante la operación, y posteriormente se suprime completamente.
Si se especifica esta acción, se requieren las opciones siguientes: -admin_id, -admin_pwd, -appsvr_id y -policysvr.
- -admin_id ID_usuario_admin
- Especifica el nombre del administrador de Tivoli Access Manager. Si no se especifica esta opción, sec_master es el valor predeterminado.
Un ID administrativo válido es una serie alfanumérica sensible a las mayúsculas y minúsculas. Los valores de serie se espera que sean caracteres que formen parte del juego de códigos local. No puede utilizar espacios en el ID administrativo.
Por ejemplo, para el inglés americano los caracteres válidos son las letras a-Z, los números 0-9, punto (.), subrayado (_), signo más (+), guión (–), arroba (@), ampersand (&) y asterisco (*). La longitud mínima y máxima del ID administrativo, si hay límites, viene impuesta por el registro subyacente.
- -admin_password contraseña_admin
Especifica la contraseña del usuario administrador de Tivoli Access Manager que se asocia con el parámetro -admin_id. Las restricciones de contraseña dependen de la política de contraseñas de su configuración de Tivoli Access Manager.
- -appsvr_id nombre_servidor_aplicaciones
- Especifica el nombre del servidor de aplicaciones. El nombre se combina con el nombre del host para crear nombres exclusivos para los objetos de Tivoli Access Manager que se crean para la aplicación. Los siguientes nombres se reservan para las aplicaciones de Tivoli Access Manager: ivacld, secmgrd, ivnet y ivweb.
- -appsvr_pwd contraseña_servidor_aplicaciones
- Especifica la contraseña del servidor de aplicaciones. Esta opción es
obligatoria.
El sistema crea una contraseña y el archivo de configuración se
actualiza con la contraseña creada por el sistema.
Si no se especifica esta opción, la contraseña del servidor se leerá de la entrada estándar.
- -authzsvr nombre_servidor_autorización
- Especifica el nombre del servidor de autorización de Tivoli Access Manager con el que el servidor de aplicaciones se comunica. El servidor se especifica mediante el nombre de host plenamente cualificado, el número de puerto SSL y el rango. El número de puerto predeterminado SSL es 7136. Por ejemplo: myauth.mycompany.com:7136:1. Puede especificar varios servidores si las entradas están separadas por una coma (,).
- -cfg_action {create | replace}
- Especifica la acción que se ha de llevar a cabo cuando se crean los archivos de configuración y de claves.
Los valores válidos son create o replace. Utilice la opción create para crear inicialmente los archivos de configuración y del almacén de claves. Utilice la opciónreplace si ya existen estos archivos. Si utiliza la opción create y ya existen los archivos de configuración o del almacén de claves, se genera una excepción.Las opciones son las siguientes:
- crear
- Especifica crear la configuración y los archivos del almacén de claves durante la configuración del servidor. La configuración falla si existe alguno de estos archivos.
- replace
- Especifica reemplazar la configuración y los archivos del almacén de claves durante la configuración del servidor. La configuración suprime los archivos existentes y los sustituye por otros nuevos.
-cfg_filenombre_plenamente_cualificado_archivo_configuración
Especifica el nombre y la vía de acceso del archivo de configuración.
El nombre de archivo debe ser un nombre de archivo absoluto (totalmente calificado) para que sea válido.
- -domain dominio_Tivoli_Access_Manager
- Especifica el nombre de dominio de Tivoli Access Manager en el que se autentica el administrador. Este dominio debe existir y el ID de administrador y la contraseña deben ser
válidos para este dominio. El servidor de aplicaciones se especifica en este dominio.
Si no se especifica, se utilizará el dominio local especificado durante la configuración del tiempo de ejecución de Tivoli Access Manager. El valor del dominio local se recuperará del archivo de configuración.
Un nombre de dominio válido es una serie alfanumérica sensible a las mayúsculas y minúsculas. Los valores de serie se espera que sean caracteres que formen parte del juego de códigos local. No puede utilizar espacios en el nombre del dominio.
Por ejemplo, para el inglés americano los caracteres válidos para los nombres de dominio son las letras a-Z, los números 0-9, punto (.), subrayado (_), signo más (+), guión (–), arroba (@), ampersand (&) y asterisco (*). La longitud mínima y máxima del nombre de dominio, si hay límites, viene impuesta por el registro subyacente.
-hostnombre_host_servidor_aplicaciones
Especifica el nombre del host TCP que utiliza el servidor de políticas de Tivoli Access Manager para ponerse en contacto con este servidor. Este nombre se guarda en el archivo de configuración utilizando la clave azn-app-host.
El valor predeterminado es el nombre del host local devuelto por el sistema operativo. Un valor válido de nombre_host es cualquier nombre de host de IP válido.
Ejemplos:host = libra
host = libra.dallas.ibm.com- -key_filenombre_plenamente_cualificado_archivo_almacén_claves
- Especifica el directorio que va a contener los archivos de claves del servidor.
El sistema operativo determina la validez del nombre del directorio. Utilice un nombre de archivo totalmente calificado que contenga el archivo de claves y de certificados del servidor de aplicaciones.
Asegúrese de que el usuario del servidor (por ejemplo, ivmgr) o todos los usuarios tengan permiso para acceder al archivo .kdb y a la carpeta que contiene el archivo .kdb.
Esta opción es obligatoria.
- -mode modalidad_servidor
Especifica la modalidad en la que funciona la aplicación. Este valor debe ser local o remote.
Especifica la modalidad en la que el servidor de aplicaciones procesa las solicitudes. Sólo se da soporte a la modalidad remote.
- -policysvr nombre_servidor_políticas
Especifica el nombre del servidor de políticas.
Especifica los nombres de los servidores que ejecutan el servidor de políticas de Tivoli Access Manager (ivmgrd) con los que el servidor de aplicaciones se comunica. El servidor se especifica mediante el nombre de host totalmente calificado, el número de puerto SSL y el rango. El número de puerto predeterminado SSL es 7135. Por ejemplo: mypolicy.mycompany.com:7135:1. Puede especificar varios servidores si las entradas están separadas por una coma (,).
-port número_puerto
Especifica el puerto de comunicaciones TCP/P en el que el servidor de aplicaciones escucha las comunicaciones de los servidores de políticas.
-profileName nombre_perfil
Especifica el nombre del perfil de WebSphere Application Server. Si no se especifica esta opción, se utiliza el perfil predeterminado server1.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Comentarios
Después de configurar correctamente un servidor de aplicaciones Tivoli Access Manager Java, SvrSslCfg crea una cuenta de usuario y entradas de servidor que representan al servidor de aplicaciones Java en el registro de usuarios de Tivoli Access Manager. Además, SvrSslCfg crea localmente un archivo de configuración y un archivo de almacén de claves Java, que almacena de forma protegida los certificados cliente, en el servidor de aplicaciones. Este certificado cliente permite a los emisores el uso autenticado de servicios de Tivoli Access Manager. Por el contrario, la reconfiguración, elimina las entradas del usuario y el servidor del registro de usuarios y limpia la configuración local y los archivos de almacén de claves.
El contenido de un archivo de configuración existente se puede modificar utilizando el programa de utilidad SvrSslCfg. El archivo de configuración y el archivo del almacén de claves deben existir cuando se llama a SvrSslCfg con todas las opciones excepto con -action config o -action unconfig.
Las siguientes opciones se analizan y se procesan en el archivo de configuración, pero se ignoran en esta versión de Tivoli Access Manager:
nombre_servidor/nombre_host
Tenga en cuenta que el mandato list del servidor pdadmin muestra el nombre del servidor con un formato diferente:nombre_servidor-nombre_host
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
CLASSPATH=${WAS_HOME}/tivoli/tam/PD.jar:${WAS_CLASSPATH}
java \
-cp ${CLASSPATH} \
-Dpd.cfg.home= ${WAS_HOME}/java/jre \
-Dfile.encoding=ISO8859-1 \
-Xnoargsconversion \
com.tivoli.pd.jcfg.SvrSslCfg \
-action config \
-admin_id sec_master \
-admin_pwd $TAM_PASSWORD \
-appsvr_id $APPSVR_ID \
-policysvr ${TAM_HOST}:7135:1 \
-port 7135 \
-authzsvr ${TAM_HOST}:7136:1 \
-mode remote \
-cfg_file ${CFG_FILE} \
-key_file ${KEY_FILE} \
-cfg_action create