Utilitaire migrateEAR pour Tivoli Access Manager
L'utilitaire migrateEAR migre les modifications apportées aux utilisateurs et aux groupes de la console dans les fichiers admin-authz.xml et naming-authz.xml vers l'espace d'objets Tivoli Access Manager.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Syntaxe
migrateEAR
-j fully_qualified_filename
-c pdPerm.properties_file_location
-a Tivoli_Access_Manager_administrator_ID
-p Tivoli_Access_Manager_administrator_password
-w WebSphere_Application_Server_administrator_user_name
-d user_registry_domain_suffix
[-r root_objectspace_name]
[-t ssl_timeout]
[-z role_mapping_location]
![[IBM i]](../images/iseries.gif)
Syntaxe
migrateEAR -profile_name default
-j fully_qualified_filename
-a Tivoli_Access_Manager_administrator_ID
-p Tivoli_Access_Manager_administrator_password
-w WebSphere_Application_Server_administrator_user_name
-d user_registry_domain_suffix
-c PdPerm.properties_file_location
[-z role_mapping_location]
- Le paramètre -j renvoie par défaut au fichier : racine_profil/config/cells/nom_cellule/admin-authz.html
- Le paramètre -c utilise par défaut : file:profile_root/etc/pd/PdPerm.properties. La sortie de l'utilitaire est consignée dans le fichier pdwas_migrate.log. Le fichier pdwas_migrate.log est créé dans le répertoire racine_profil/logs.
- Le paramètre -nom_profil est facultatif et correspond par défaut au nom de profil par défaut.
Paramètres
![[Windows]](../images/windows.gif)
- -aID_administrateur_Tivoli_Access_Manager
- Identifiant de l'administrateur. L'administrateur doit disposer des droits requis pour créer des utilisateurs, des objets et des listes de contrôle d'accès (ACL). Par
exemple, -a sec_master.
Ce paramètre est facultatif. Lorsque le paramètre n'est pas indiqué, l'utilisateur est invité à l'entrer lors de l'exécution.
- -c emplacement_fichier_PdPerm.properties
- Emplacement de l'identificateur (URI) du fichier PdPerm.properties configuré par l'utilitaire pdwascfg. LorsqueWebSphere Application Server est installé
à l'emplacement par défaut, l'URI est :
file:/opt/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
file:/usr/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
file:/"C:/Program Files/IBM/WebSphere/AppServer/java/jre/PdPerm.properties”
- -d suffixe_domaine_registre_utilisateurs
- Suffixe de domaine à utiliser pour le registre d'utilisateurs. Par exemple,
pour les registres d'utilisateurs LDAP (Lightweight Directory Access Protocol), cette valeur
correspond au suffixe du domaine, tel que "o=ibm,c=us"
Sous Windows, le suffixe de domaine doit être placé entre guillemets.
Vous pouvez faire appel à la commande pdadmin user show pour afficher le nom distinctif (DN) d'un utilisateur.
- -j nom_de_chemin_qualifié_complet
- Chemin d'accès complet et nom du fichier d'archive de l'application
Java™ 2 Platform, Enterprise Edition
,admin-authz.xml ou du fichier de définition de rôle naming-authz.xml utilisé
pour autoriser une opération designation. Ce chemin peut éventuellement être un répertoire ou une application enterprise
développée. Par exemple, lorsque WebSphere Application
Server est installé dans l'emplacement par défaut, le chemin d'accès des fichiers de données à migrer
correspond à :
file:/opt/IBM/WebSphere/AppServer/profiles/profile_name/config/cells /cell_name/admin-authz.xml
file:/usr/IBM/WebSphere/AppServer/profiles/profile_name/config/cells /cell_name/admin-authz.xml
“C:/Program Files/IBM/WebSphere/AppServer/profiles/profile_name/config/cells /cell_name/admin-authz.xml”
- -p mot_de_passe_administrateur_Tivoli_Access_Manager
- Mot de passe de l'administrateur Tivoli Access Manager. L'administrateur doit disposer des droits requis pour créer des utilisateurs, des objets et des listes de contrôle d'accès (ACL). Par exemple, vous pouvez spécifier le mot de
passe de l'administrateur -a sec_master sous la forme -p monMotPasse.
Lorsque ce paramètre n'est pas spécifié, l'utilisateur est invité à fournir le mot de passe associé au nom d'administrateur.
-r nom_racine_espace_objet
Nom d'espace de l'objet racine. Il s'agit du nom de la racine de la hiérarchie d'espace de nom des objets protégés créés pour les règles de WebSphere Application Server.
La valeur par défaut de la racine de l'espace d'objets est WebAppServer.
Définissez le nom de l'espace d'objets racine Tivoli Access Manager en modifiant le fichier amwas.amjacc.template.properties avant de configurer pour la première fois le fournisseur JAAC (Java Authorization Contract for Containers) (JACC) pour Tivoli Access Manager. Utilisez cette option si la valeur de l'espace d'objets par défaut n'est pas utilisée dans la configuration du fournisseur JACC Tivoli Access Manager pour Tivoli Access Manager.
Ne modifiez pas le nom de l'espace d'objets de Tivoli Access Manager une fois que que le fournisseur JACC de Tivoli Access Manager est configuré.
-t expiration_ssl
Nombre de minutes avant expiration SSL (Secure Sockets Layer). Ce paramètre permet de déconnecter et de reconnecter le contexte SSL entre le serveur d'autorisations Tivoli Access Manager et le serveur de règles avant expiration du délai de connexion par défaut.
La valeur par défaut est 60 minutes. La valeur minimale est 10 minutes. La valeur maximale ne doit pas dépasser la valeur ssl-v3-timeout de Tivoli Access Manager . La valeur par défaut de ssl-v3-timeout est 120 minutes.
Si vous n'êtes pas familiarisé avec l'administration de cette valeur, il est préférable d'utiliser la valeur par défaut.
- -w nom_administrateur_WebSphere_Application_Server
- Nom d'utilisateur configuré en tant qu'administrateur dans la zone du registre d'utilisateurs de sécurité
WebSphere
Application Server. Cette valeur doit correspondre au compte créé ou importé dans Création de l'utilisateur administratif de sécurité pour Tivoli Access Manager. Des droits d'accès
doivent être accordés à cet utilisateur de sorte qu'il puisse créer ou mettre à jour
l'espace d'objets protégé Tivoli Access Manager.
Si l'administrateur WebSphere Application Server n'existe pas déjà dans l'espace d'objets protégé, il est créé ou importé. Dans ce cas, un mot de passe aléatoire est généré pour l'utilisateur et le compte défini comme non valide. Modifiez ce mot de passe en utilisant une valeur connue et définissez le compte comme valide.
Un objet protégé et une liste de contrôle d'accès (ACL) sont créés. L'administrateur est ajouté au groupe pdwas-admin avec les attributs ACL suivants :- T
- Droit de traverse
- i
- Droit d'appel
- WebAppServer
- Vous pouvez replacer le nom du groupe d'actions. Le nom par défaut est WebAppServer. Ce nom de groupe d'actions, ainsi que la racine de l'espace d'objets correspondant, peut être remplacé lors de l'exécution de l'utilitaire de migration avec l'option -r.
- -z emplacement_mappage_rôle
- Emplacement de stockage du mappage de rôle lors de la migration des applications
d'administration. Par défaut, le mappage de rôle est stocké dans la structure de répertoire
en cours, tel :
/WebAppServer/deployedResouces
La spécification de l'option -z ajoute un autre niveau de répertoire dans lequel stocker le mappage de rôle. Par exemple, si vous indiquez -z Roles dans l'utilitaire migrateEAR, le mappage de rôle est stocké dans une structure de répertoire de type suivant :/WebAppServer/deployedResouces/Roles
Eviter les incidents: Si l'option -z option est spécifié, vous devez manuellement mettre à jour la valeur de la propriété com.tivoli.pd.as.rbpf.RoleContainerName property dans les fichiers amwas.node_name.amjacc.properties, et amwas.node_name.authztable.properties, de sorte que cette valeur corresponde à la valeur spécifiée pour l'option -z. Vous n'avez pas à redémarrer WebSphere Application Server après la mise à jour de la valeur de la propriété com.tivoli.pd.as.rbpf.RoleContainerNamegotcha
Commentaires
Cet utilitaire migre les informations de la règle de sécurité à partir des descripteurs de déploiement ou des fichiers archive entreprise vers Tivoli Access Manager pour WebSphere Application Server. Ce script appelle la classe Java com.tivoli.pdwas.migrate.Migrate.
Avant d'appeler le script, vous devez exécuter la commande setupCmdLine.bat ou la commande setupCmdLine.sh.
Ces fichiers sont disponibles dans le répertoire %WAS_HOME%/bin.
Avant d'appeler le script, vous devez exécuter le script setupCmdLine
à partir de la ligne
de commande Qshell. Le fichier correspondant se trouve dans le répertoire
racine_profil/bin, racine_profil correspondant au chemin de
votre installation. Dans une installation par défaut, racine_profil correspond à racine_serveur_appND.
Le script nécessite de trouver les
variables d'environnement correctes pour l'emplacement du logiciel requis.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
- -Dpdwas.lang.home
- Répertoire contenant les bibliothèques de prise en charge de langue native fournies avec le fournisseur JACC de Tivoli Access Manager. Ces bibliothèques se trouvent dans un sous-répertoire du répertoire d'installation du fournisseur JACC de Tivoli Access Manager. Par exemple : -Dpdwas.lang.home=%PDWAS_HOME%\java\nls
- -cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate
- La variable CLASSPATH doit être définie correctement pour votre installation Java.
![[Windows]](../images/windows.gif)
- Créer le nom du chemin d'accès complet du fichier archive enterprise.
- Créer le nom complet de l'URI du chemin d'accès à l'emplacement du fichier PdPerm.properties.
Pour permettre l'accès d'un nouvel utilisateur au groupe administratif dans WebSphere Application Server, il est recommandé d'ajouter cet utilisateur au groupe pdwas-admin une fois que JACC est activé. Vous pouvez saisir l'ID administratif primaire (adminID) dans le groupe. Cela est obligatoire lorsque le serverID n'est pas le même que l'adminID.
pdadmin> group modify pdwas-admin add adminID
Codes retour
- 0
- La commande s'est correctement exécutée.
- 1
- La commande a échoué.