Utilitaire migrateEAR pour Tivoli Access Manager

L'utilitaire migrateEAR migre les modifications apportées aux utilisateurs et aux groupes de la console dans les fichiers admin-authz.xml et naming-authz.xml vers l'espace d'objets Tivoli Access Manager.

[AIX Solaris HP-UX Linux Windows][z/OS]

Syntaxe

migrateEAR
-j fully_qualified_filename
-c pdPerm.properties_file_location
-a Tivoli_Access_Manager_administrator_ID
-p Tivoli_Access_Manager_administrator_password
-w WebSphere_Application_Server_administrator_user_name
-d user_registry_domain_suffix
[-r root_objectspace_name]
[-t ssl_timeout]
[-z role_mapping_location]
[IBM i]

Syntaxe

migrateEAR -profile_name default
-j fully_qualified_filename
-a Tivoli_Access_Manager_administrator_ID
-p Tivoli_Access_Manager_administrator_password
-w WebSphere_Application_Server_administrator_user_name
-d user_registry_domain_suffix
-c PdPerm.properties_file_location
[-z role_mapping_location]
Avertissement :
  • Le paramètre -j renvoie par défaut au fichier : racine_profil/config/cells/nom_cellule/admin-authz.html
  • Le paramètre -c utilise par défaut : file:profile_root/etc/pd/PdPerm.properties. La sortie de l'utilitaire est consignée dans le fichier pdwas_migrate.log. Le fichier pdwas_migrate.log est créé dans le répertoire racine_profil/logs.
  • Le paramètre -nom_profil est facultatif et correspond par défaut au nom de profil par défaut.

Paramètres

[Windows]Avertissement : Dans les paramètres suivants, utilisez le chemin absolu au lieu d'une variable.
-aID_administrateur_Tivoli_Access_Manager
Identifiant de l'administrateur. L'administrateur doit disposer des droits requis pour créer des utilisateurs, des objets et des listes de contrôle d'accès (ACL). Par exemple, -a sec_master.

Ce paramètre est facultatif. Lorsque le paramètre n'est pas indiqué, l'utilisateur est invité à l'entrer lors de l'exécution.

-c emplacement_fichier_PdPerm.properties
Emplacement de l'identificateur (URI) du fichier PdPerm.properties configuré par l'utilitaire pdwascfg. LorsqueWebSphere Application Server est installé à l'emplacement par défaut, l'URI est :
[Solaris][Linux][HP-UX]
file:/opt/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
[AIX]
file:/usr/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
[Windows]
file:/"C:/Program Files/IBM/WebSphere/AppServer/java/jre/PdPerm.properties”
[IBM i][z/OS]
file:profile_root/etc/pd/PdPerm.properties
-d suffixe_domaine_registre_utilisateurs
Suffixe de domaine à utiliser pour le registre d'utilisateurs. Par exemple, pour les registres d'utilisateurs LDAP (Lightweight Directory Access Protocol), cette valeur correspond au suffixe du domaine, tel que "o=ibm,c=us"

[Windows]Sous Windows, le suffixe de domaine doit être placé entre guillemets.

Vous pouvez faire appel à la commande pdadmin user show pour afficher le nom distinctif (DN) d'un utilisateur.

-j nom_de_chemin_qualifié_complet
Chemin d'accès complet et nom du fichier d'archive de l'application Java™ 2 Platform, Enterprise Edition ,admin-authz.xml ou du fichier de définition de rôle naming-authz.xml utilisé pour autoriser une opération designation. Ce chemin peut éventuellement être un répertoire ou une application enterprise développée. Par exemple, lorsque WebSphere Application Server est installé dans l'emplacement par défaut, le chemin d'accès des fichiers de données à migrer correspond à :
[Solaris][Linux][HP-UX]
file:/opt/IBM/WebSphere/AppServer/profiles/profile_name/config/cells
/cell_name/admin-authz.xml
[AIX]
file:/usr/IBM/WebSphere/AppServer/profiles/profile_name/config/cells
/cell_name/admin-authz.xml
[Windows]
“C:/Program Files/IBM/WebSphere/AppServer/profiles/profile_name/config/cells
/cell_name/admin-authz.xml”
[IBM i][z/OS]
profile_root/config/cells/cell_name
-p mot_de_passe_administrateur_Tivoli_Access_Manager
Mot de passe de l'administrateur Tivoli Access Manager. L'administrateur doit disposer des droits requis pour créer des utilisateurs, des objets et des listes de contrôle d'accès (ACL). Par exemple, vous pouvez spécifier le mot de passe de l'administrateur -a sec_master sous la forme -p monMotPasse.

Lorsque ce paramètre n'est pas spécifié, l'utilisateur est invité à fournir le mot de passe associé au nom d'administrateur.

[AIX Solaris HP-UX Linux Windows][z/OS]-r nom_racine_espace_objet
[AIX Solaris HP-UX Linux Windows][z/OS]Nom d'espace de l'objet racine. Il s'agit du nom de la racine de la hiérarchie d'espace de nom des objets protégés créés pour les règles de WebSphere Application Server.

La valeur par défaut de la racine de l'espace d'objets est WebAppServer.

Définissez le nom de l'espace d'objets racine Tivoli Access Manager en modifiant le fichier amwas.amjacc.template.properties avant de configurer pour la première fois le fournisseur JAAC (Java Authorization Contract for Containers) (JACC) pour Tivoli Access Manager. Utilisez cette option si la valeur de l'espace d'objets par défaut n'est pas utilisée dans la configuration du fournisseur JACC Tivoli Access Manager pour Tivoli Access Manager.

Ne modifiez pas le nom de l'espace d'objets de Tivoli Access Manager une fois que que le fournisseur JACC de Tivoli Access Manager est configuré.

[AIX Solaris HP-UX Linux Windows][z/OS]-t expiration_ssl
[AIX Solaris HP-UX Linux Windows][z/OS]Nombre de minutes avant expiration SSL (Secure Sockets Layer). Ce paramètre permet de déconnecter et de reconnecter le contexte SSL entre le serveur d'autorisations Tivoli Access Manager et le serveur de règles avant expiration du délai de connexion par défaut.

La valeur par défaut est 60 minutes. La valeur minimale est 10 minutes. La valeur maximale ne doit pas dépasser la valeur ssl-v3-timeout de Tivoli Access Manager . La valeur par défaut de ssl-v3-timeout est 120 minutes.

Si vous n'êtes pas familiarisé avec l'administration de cette valeur, il est préférable d'utiliser la valeur par défaut.

-w nom_administrateur_WebSphere_Application_Server
Nom d'utilisateur configuré en tant qu'administrateur dans la zone du registre d'utilisateurs de sécurité WebSphere Application Server. Cette valeur doit correspondre au compte créé ou importé dans Création de l'utilisateur administratif de sécurité pour Tivoli Access Manager. Des droits d'accès doivent être accordés à cet utilisateur de sorte qu'il puisse créer ou mettre à jour l'espace d'objets protégé Tivoli Access Manager.

Si l'administrateur WebSphere Application Server n'existe pas déjà dans l'espace d'objets protégé, il est créé ou importé. Dans ce cas, un mot de passe aléatoire est généré pour l'utilisateur et le compte défini comme non valide. Modifiez ce mot de passe en utilisant une valeur connue et définissez le compte comme valide.

Un objet protégé et une liste de contrôle d'accès (ACL) sont créés. L'administrateur est ajouté au groupe pdwas-admin avec les attributs ACL suivants :
T
Droit de traverse
i
Droit d'appel
WebAppServer
Vous pouvez replacer le nom du groupe d'actions. Le nom par défaut est WebAppServer. Ce nom de groupe d'actions, ainsi que la racine de l'espace d'objets correspondant, peut être remplacé lors de l'exécution de l'utilitaire de migration avec l'option -r.
-z emplacement_mappage_rôle
Emplacement de stockage du mappage de rôle lors de la migration des applications d'administration. Par défaut, le mappage de rôle est stocké dans la structure de répertoire en cours, tel :
 /WebAppServer/deployedResouces
La spécification de l'option -z ajoute un autre niveau de répertoire dans lequel stocker le mappage de rôle. Par exemple, si vous indiquez -z Roles dans l'utilitaire migrateEAR, le mappage de rôle est stocké dans une structure de répertoire de type suivant :
/WebAppServer/deployedResouces/Roles
Eviter les incidents Eviter les incidents: Si l'option -z option est spécifié, vous devez manuellement mettre à jour la valeur de la propriété com.tivoli.pd.as.rbpf.RoleContainerName property dans les fichiers amwas.node_name.amjacc.properties, et amwas.node_name.authztable.properties, de sorte que cette valeur corresponde à la valeur spécifiée pour l'option -z. Vous n'avez pas à redémarrer WebSphere Application Server après la mise à jour de la valeur de la propriété com.tivoli.pd.as.rbpf.RoleContainerNamegotcha

Commentaires

Cet utilitaire migre les informations de la règle de sécurité à partir des descripteurs de déploiement ou des fichiers archive entreprise vers Tivoli Access Manager pour WebSphere Application Server. Ce script appelle la classe Java com.tivoli.pdwas.migrate.Migrate.

[AIX Solaris HP-UX Linux Windows][z/OS]Avant d'appeler le script, vous devez exécuter la commande setupCmdLine.bat ou la commande setupCmdLine.sh. Ces fichiers sont disponibles dans le répertoire %WAS_HOME%/bin.

[IBM i]Avant d'appeler le script, vous devez exécuter le script setupCmdLine à partir de la ligne de commande Qshell. Le fichier correspondant se trouve dans le répertoire racine_profil/bin, racine_profil correspondant au chemin de votre installation. Dans une installation par défaut, racine_profil correspond à racine_serveur_appND.

[IBM i][AIX Solaris HP-UX Linux Windows][z/OS]Le script nécessite de trouver les variables d'environnement correctes pour l'emplacement du logiciel requis.

[AIX Solaris HP-UX Linux Windows][z/OS]Le script appelle du code Java avec les options suivantes :
-Dpdwas.lang.home
Répertoire contenant les bibliothèques de prise en charge de langue native fournies avec le fournisseur JACC de Tivoli Access Manager. Ces bibliothèques se trouvent dans un sous-répertoire du répertoire d'installation du fournisseur JACC de Tivoli Access Manager. Par exemple : -Dpdwas.lang.home=%PDWAS_HOME%\java\nls
-cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate
La variable CLASSPATH doit être définie correctement pour votre installation Java.
[Windows]Les options -j et -c peuvent référencer la variable %WAS_HOME% pour déterminer où WebSphere Application Server est installé. Ces informations sont utilisées pour :
  • Créer le nom du chemin d'accès complet du fichier archive enterprise.
  • Créer le nom complet de l'URI du chemin d'accès à l'emplacement du fichier PdPerm.properties.

Pour permettre l'accès d'un nouvel utilisateur au groupe administratif dans WebSphere Application Server, il est recommandé d'ajouter cet utilisateur au groupe pdwas-admin une fois que JACC est activé. Vous pouvez saisir l'ID administratif primaire (adminID) dans le groupe. Cela est obligatoire lorsque le serverID n'est pas le même que l'adminID.

Cette commande est illustrée dans l'exemple suivant :
pdadmin> group modify pdwas-admin add adminID

Codes retour

L'utilitaire peut renvoyer les codes d'état de sortie suivant :
0
La commande s'est correctement exécutée.
1
La commande a échoué.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_TAM_JACC_migrateear
Nom du fichier : rsec_TAM_JACC_migrateear.html