Utilitaire com.tivoli.pd.jcfg.SvrSslCfg pour une connexion unique Tivoli Access Manager

L'utilitaire permet de configurer et de retirer les informations de configuration associées à WebSphere Application Server et au serveur Tivoli Access Manager.

Rôle

[IBM i]Le script svrsslcfg crée un compte utilisateur et des entrées serveur qui représentent votre profil WebSphere Application Server dans le registre d'utilisateurs de Tivoli Access Manager. En outre, un fichier de configuration et un fichier de clés Java™ qui renferment de façon sécurisée un certificat client sont créés dans le profil du serveur d'application. Ce certificat client permet aux appelants d'utiliser les services d'authentification de Tivoli Access Manager. Vous pouvez aussi choisir de retirer les entrées utilisateur et serveur du registre utilisateur et de nettoyer les fichiers de configuration et de clés locaux.

[IBM i]Le script svrsslcfg recherche en boucle la classe SvrSslCfg et prend en charge plusieurs profils de WebSphere Application Server. L'emploi de plusieurs profils vous permet de créer plusieurs environnements WebSphere Application Server complètement isolés les uns des autres.

Exécutez le premier script sur le gestionnaire de déploiement, puis sur les autres noeuds de la cellule.

[IBM i]

Etapes

Pour exécuter le script svrsslcfg, procédez comme suit :
  1. Connectez-vous avec un profil utilisateur et les droits d'accès tout objet (*ALLOBJ).
  2. Sur la ligne de commande CL, saisissez la commande Start Qshell (STRQSH).
  3. Remplacez les répertoires par le répertoire racine_serveur_app/bin.
  4. Saisissez la commande svrsslcfg avec l'option que vous souhaitez.
    par exemple :
    svrsslcfg -profileName myprofile -action config -admin_id sec_master
      -admin_pwd pwd123 -appsvr_id ibm9 -appsvr_pwd ibm9pwd -mode remote
      -port 8888 -policysvr ourserv.rochester.ibm.com:7135:1
      -authzsvr ourserv.rochester.ibm.com:7136:1
      -key_file racine_profil/myprofile/etc/ibm9.kdb
      -cfg_action create
    L'exemple précédent s'affiche sur plusieurs lignes à des fins d'illustration.
[AIX Solaris HP-UX Linux Windows][z/OS]

Syntaxe

java com.tivoli.pd.jcfg.SvrSslCfg
-action {config | unconfig} -admin_id ID_admin 
-admin_pwd mot_de_passe_admin -appsvr_id nom_serveur_applications 
-appsvr_pwd mot_de_passe_serveur_applications -mode{local|remote} 
-host nom_hôte_serveur_applications 
-policysvr nom_serveur_règles:port:rang [,...] 
-authzsvr nom_serveur_autorisation:port:rang [,...] 
-cfg_file nom_complet_fichier_configuration 
-domain domaine_Tivoli_Acccess_Manager 
-key_file nom_complet_fichier_clés 
-cfg_action {create|replace}
[IBM i]

Syntaxe

La syntaxe de la configuration est :

svrsslcfg -action config
          [ -profileName nom_profil ]
            -admin_id ID_admin
            -admin_pwd mot_de_passe_admin
            -appsvr_id nom_serveur_application
            -port numéro_port
            -mode { local | remote }
            -policysvr nom_serveur_règles
            -authzsvr nom_serveur_autorisation
            -key_file nom_complet_fichier_clés
            -appsvr_pwd mot_de_passe_serveur_applications
            -cfg_action { create | replace }
          [ -domain domaine_Tivoli_Access_Manager ]

La syntaxe de déconfiguration est :

svrsslcfg -action unconfig
          [ -profileName nom_profil ]
            -admin_id ID_admin
            -admin_pwd mot_de_passe_admin
            -appsvr_id nom_serveur_application
            -policysvr nom_serveur_règles
          [ -domain domaine_Tivoli_Access_Manager ]

Vous pouvez saisir la syntaxe précédente en une ligne continue.

Paramètres

-action {config | unconfig}
Spécifie l'action de configuration réalisée par le script. Les options suivantes s'appliquent :
-action config
La configuration d'un serveur crée les informations relatives aux utilisateurs et au serveur dans le registre d'utilisateurs et crée la configuration locale et les fichiers de magasin de clés sur le serveur d'applications. L'option -action unconfig permet d'inverser cette opération.

Si cette action est spécifiée, les options suivantes sont requises : -admin_id, -admin_pwd, -appsvr_id, -port, -mode, -policysvr, -authzsvr, and -key_file.

-action unconfig
Reconfigure un serveur d'applications pour réaliser les actions suivantes :
  • Retirez les informations utilisateur et serveur du registre utilisateur
  • Supprimez le fichier de clés local
  • Retirez les informations relatives à cette application du fichier de configuration sans supprimer le fichier

L'opération de reconfiguration échoue si l'appelant ne dispose pas des droits requis ou s'il est impossible de contacter le serveur de règles.

Cette opération peut réussir lorsqu'il n'existe aucun fichier de configuration. Si le fichier de configuration n'existe pas, un fichier provisoire contenant les informations de configuration pour la durée de l'opération est créé. Ce fichier est ensuite totalement détruit.

Si cette action est spécifiée, les options suivantes sont requises : -admin_id, -admin_pwd, -appsvr_id, and -policysvr.

-admin_id ID_admin
Indique le nom de l'administrateur Tivoli Access Manager. Lorsque cette option n'est pas spécifiée, le nom d'administrateur par défaut est sec_master.

Un ID administrateur correct est une chaîne alphanumérique différenciant les majuscules des minuscules. Les chaînes doivent être composées de caractères du jeu de codes local. Un ID administrateur ne doit pas contenir d'espace.

Les caractères admis sont donc les lettres de a à Z, les chiffres de 0 à 9, le point (.), le trait de soulignement (_), le signe plus (+), le tiret (-), l'arrobas (@), le signe perluète (&) et l'astérisque (*). Les longueurs minimale et maximale de l'ID administrateur, si elles sont fixées, sont imposées par le registre sous-jacent.

-admin_password mot_de_passe_admin

Indique le mot de passe de l'administrateur de Tivoli Access Manager associé au paramètre -admin_id. Les restrictions liées aux mots de passe dépendent des règles fixées pour votre configuration Tivoli Access Manager.

-appsvr_id nom_serveur_applications
Nom du serveur d'applications. Ce nom est associé au nom d'hôte en vue de constituer des noms uniques pour les objets Tivoli Access Manager créés pour votre application. Les noms suivants sont réservés aux applications Tivoli Access Manager : ivacld, secmgrd, ivnet et ivweb.
-appsvr_pwd mot_de_passe_serveur_applications
Indique le mot de passe du serveur d'applications. Cette option est obligatoire. Le système crée un mot de passe et le fichier de configuration est mis à jour avec ce mot de passe.

Lorsque cette option n'est pas spécifiée, le mot de passe du serveur est obtenu par entrée standard.

-authzsvr nom_serveur_autorisations
Indique le nom du serveur d'autorisation de Tivoli Access Manager avec lequel le serveur d'applications communique. Le serveur est spécifié par le nom de système qualifié complet, le numéro de port SSL et le rang. Le numéro du port SSL par défaut est 7136. Par exemple : myauth.mycompany.com:7136:1. Vous pouvez spécifier plusieurs serveurs si les entrées sont séparées par une virgule (,).
-cfg_action {create | replace}
Spécifie l'action à accomplir lors de la création des fichiers de configuration et de clés. Les valeurs autorisées sont create ou replace. Utilisez l'option create pour créer initialement les fichiers de configuration et de clés. Utilisez l'option replace si ces fichiers existent déjà. Si vous utilisez l'option create alors que les fichiers de configuration et de clés existent déjà, une exception est créée.
Les options disponibles sont les suivantes :
Créer
Crée les fichiers de configuration et de magasin de clés pendant la configuration du serveur. La configuration échoue si l'un de ces fichiers est introuvable.
replace
Demande à ce que les fichiers de configuration et de magasin de clés soient remplacés pendant la configuration du serveur. La configuration supprimer les fichiers existants et les remplace par de nouveaux.
[AIX Solaris HP-UX Linux Windows][z/OS]-cfg_file nom_complet_fichier_configuration
[AIX Solaris HP-UX Linux Windows][z/OS]Nom et chemin d'accès du fichier de configuration.

Pour être valide, un nom de fichier doit être un nom absolu (nom de fichier complet).

-domain domaine_Tivoli_Access_Manager
Indique le nom de domaine Tivoli Access Manager sur lequel l'administrateur est authentifié. Ce domaine doit exister et être associé à un mot et passe et un ID administrateur valides. Le serveur d'applications est spécifié dans ce domaine.

Si vous ne désignez pas de domaine, le domaine local indiqué lors de la configuration de l'environnement d'exécution Tivoli Access Manager est utilisé. La valeur du domaine local est extraite du fichier de configuration.

Un nom de domaine correct est une chaîne alphanumérique différenciant les majuscules des minuscules. Les chaînes doivent être composées de caractères du jeu de codes local. Un nom de domaine ne doit pas contenir d'espace.

Les caractères admis pour les noms de domaine sont donc les lettres de a à Z, les chiffres de 0 à 9, le point ( . ), le trait de soulignement (_), le signe plus (+), le tiret (-), l'arrobas (@), le signe perluète (&) et l'astérisque (*). Les longueurs minimale et maximale des noms de domaine, si elles sont fixées, sont imposées par le registre sous-jacent.

[AIX Solaris HP-UX Linux Windows][z/OS]-host nom_hôte_serveur_applications
[AIX Solaris HP-UX Linux Windows][z/OS]Nom d'hôte TCP qu'utilise le serveur de règles Tivoli Access Manager pour contacter ce serveur. Ce nom est sauvegardé dans le fichier de configuration utilisant la clé azn-app-host.

Par défaut, il s'agit du nom d'hôte local renvoyé par le système d'exploitation. Tout nom d'hôte IP correct est admis comme valeur de nom d'hôte.

Exemples :

host = libra
host = libra.dallas.ibm.com

-key_file nom_complet_fichier_magasin_clés
Répertoire contenant les fichiers de clés du serveur. Le nom correct du répertoire est déterminé par le système d'exploitation. Utilisez un nom de fichier qualifié complet contenant le certificat du serveur d'applications et le fichier de clés.

Vérifiez que l'utilisateur du serveur (par exemple, ivmgr) ou tous les utilisateurs disposent du droit d'accès au fichier .kdb et au dossier contenant le fichier .kdb.

Cette option est obligatoire.

-mode mode_serveur
[AIX Solaris HP-UX Linux Windows][z/OS]Mode dans lequel opère l'application. Les valeurs possibles sont local ou remote.
[IBM i]Spécifie le mode dans lequel le serveur d'applications traite les requêtes. Seul le mode remote est pris en charge.
-policysvr nom_serveur_règles
[AIX Solaris HP-UX Linux Windows][z/OS]Nom du serveur de règles.
[IBM i]Indique le nom des serveurs qui exécutent le serveur de règles Tivoli Access Manager (ivmgrd) avec lequel le serveur d'applications communique. Un serveur est spécifié par un nom d'hôte qualifié complet, le numéro du port SSL et le rang. Le numéro du port SSL par défaut est 7135. Par exemple : mypolicy.mycompany.com:7135:1. Vous pouvez spécifier plusieurs serveurs si les entrées sont séparées par une virgule (,).
[IBM i]-port numéro_port
[IBM i]Spécifie le port de communications TCP/IP sur lequel le serveur d'applications écoute les communications des serveurs de règles.
[IBM i]-profileName nom_profil
[IBM i]Indique le nom de votre profil WebSphere Application Server. En l'absence de cette option, le profil par défaut server1 est utilisé.
[AIX Solaris HP-UX Linux Windows][z/OS]

Commentaires

Après avoir correctement configuré un serveur d'applications Tivoli Access Manager Java, SvrSslCfg crée un compte utilisateur et des entrées serveur représentant le serveur d'applications Java dans le registre d'utilisateurs de Tivoli Access Manager. De plus, SvrSslCfg crée un fichier de configuration et un fichier de magasin de clés Java permettant de stocker un certificat client de manière sécurisée, localement sur le serveur d'applications. Ce certificat client permet aux appelants d'utiliser les services Tivoli Access Manager. A l'inverse, la reconfiguration supprime les entrées concernant les utilisateurs et les serveurs du registre d'utilisateurs, et nettoie le fichier de configuration local et les fichiers de magasin de clés.

L'utilitaire SvrSslCfg permet de modifier le contenu d'un fichier de configuration existant. Le fichier de configuration et le fichier de magasin de clés doivent déjà exister à l'appel de SvrSslCfg avec toutes les options autres que -action config ou -action unconfig.

Les options suivantes sont analysées et traitées dans le fichier de configuration, mais elles sont ignorées dans cette version de Tivoli Access Manager :

Le nom d'hôte est utilisé pour générer un nom unique (identité) pour l'application. La commande de listage d'utilisateur pdadmin affiche l'identité de l'application au format suivant :

nom_serveur/nom_hôte

La commande de listage de serveur pdadmin affiche le nom du serveur dans un format légèrement différent :

nom_serveur-nom_hôte

[AIX Solaris HP-UX Linux Windows][z/OS]

CLASSPATH=${WAS_HOME}/tivoli/tam/PD.jar:${WAS_CLASSPATH}
java \
-cp ${CLASSPATH} \
-Dpd.cfg.home= ${WAS_HOME}/java/jre \
-Dfile.encoding=ISO8859-1 \
-Xnoargsconversion \
com.tivoli.pd.jcfg.SvrSslCfg \
-action config \
-admin_id sec_master \
-admin_pwd $TAM_PASSWORD \
-appsvr_id $APPSVR_ID \
-policysvr ${TAM_HOST}:7135:1 \
-port 7135 \
-authzsvr ${TAM_HOST}:7136:1 \
-mode remote \
-cfg_file ${CFG_FILE} \
-key_file ${KEY_FILE} \
-cfg_action create


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_tampsvrsslcfg
Nom du fichier : rsec_tampsvrsslcfg.html