Tivoli Access Manager シングル・サインオン用の com.tivoli.pd.jcfg.SvrSslCfg ユーティリティー
このユーティリティーは、WebSphere® Application Server および Tivoli® Access Manager サーバーに関連した構成情報を 構成および除去するために使用されます。
目的
svrsslcfg スクリプトは、WebSphere Application Server プロファイルを表すユーザー・アカウントとサーバー・エントリーを Tivoli Access Manager ユーザー・レジストリーに作成します。
また、構成ファイルと、クライアント証明書を安全に保存する Java™ 鍵ストア・ファイルがアプリケーション・サーバー・プロファイルに作成されます。
このクライアント証明書により、
呼び出し元に Tivoli Access Manager 認証サービスの使用が許可されます。また、ユーザー・レジストリーから
ユーザーおよびサーバーのエントリーを除去し、ローカル構成および鍵ストア・ファイルをクリーンアップするようにすることもできます。
svrsslcfg スクリプトは SvrSslCfg クラスをラップし、複数の WebSphere Application Server プロファイルのサポートを提供します。
複数のプロファイルを使用すると、相互に完全に分離した複数の WebSphere Application Server 環境を作成できます。
最初にデプロイメント・マネージャーで svrsslcfg スクリプトを実行し、次にセル内の別のノードで実行します。
![[IBM i]](../images/iseries.gif)
ステップ
- ユーザー・プロファイルおよびすべてのオブジェクト (*ALLOBJ) 権限を使用してログオンします。
- CL コマンド行で、Start Qshell (STRQSH) コマンドを入力します。
- app_server_root/bin ディレクトリーに移動します。
- 必要なオプションを使用して、svrsslcfg コマンドを入力します。
以下に例を示します。
svrsslcfg -profileName myprofile -action config -admin_id sec_master -admin_pwd pwd123 -appsvr_id ibm9 -appsvr_pwd ibm9pwd -mode remote -port 8888 -policysvr ourserv.rochester.ibm.com:7135:1 -authzsvr ourserv.rochester.ibm.com:7136:1 -key_file profile_root/myprofile/etc/ibm9.kdb -cfg_action create
上記の例は表示上の都合から、複数の行に分割されています。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
構文
java com.tivoli.pd.jcfg.SvrSslCfg -action {config | unconfig} -admin_id admin_user_ID -admin_pwd admin_password -appsvr_id application_server_name -appsvr_pwd application_server_password -mode{local|remote} -host host_name_of_application_server -policysvr policy_server_name:port:rank [,...] -authzsvr authorization_server_name:port:rank [,...] -cfg_file fully_qualified_name_of_configuration_file -domain Tivoli_Acccess_Manager_domain -key_file fully_qualified_name_of_keystore_file -cfg_action {create|replace}
![[IBM i]](../images/iseries.gif)
構文
コマンド構文は次のとおり です。
svrsslcfg -action config [ -profileName profile_name ] -admin_id admin_user_id -admin_pwd admin_password -appsvr_id application_server_name -port port_number -mode { local | remote } -policysvr policy_server_name -authzsvr authorization_server_name -key_file fully_qualified_name_of_key_file -appsvr_pwd application_server_password -cfg_action { create | replace } [ -domain Tivoli_Access_Manager_domain ]
構成解除の構文は、以下のとおりです。
svrsslcfg -action unconfig [ -profileName profile_name ] -admin_id admin_user_id -admin_pwd admin_password -appsvr_id application_server_name -policysvr policy_server_name [ -domain Tivoli_Access_Manager_domain ]
これらの構文は、1 つの連続した行として入力できます。
パラメーター
- -action {config | unconfig}
- スクリプトによって実行される構成アクションを指定します。
以下のオプションが適用されます。
- -action config
- サーバーを構成すると、ユーザー・レジストリーにユーザーおよびサーバー情報が作成され、
アプリケーション・サーバー上にローカル構成ファイルおよび鍵ストア・ファイルが作成されます。この逆の操作を行うには、-action unconfig オプションを使用してください。
このアクションが指定された場合は、-admin_id、-admin_pwd、-appsvr_id、-port、-mode、-policysvr、-authzsvr、および -key_file の各オプションが必要です。
- -action unconfig
- アプリケーション・サーバーを再構成して、以下のアクションを完了します。
- ユーザー・レジストリーからユーザーおよびサーバー情報を除去します。
- ローカルの鍵ストア・ファイルを削除します。
- 構成ファイルを削除せずに、このファイルからこのアプリケーションの情報を除去します。
呼び出し元が許可されていない場合、あるいはポリシー・サーバーに接続できない場合に限り、 再構成操作を行うことはできません。
このアクションは、構成ファイルが存在しない場合に成功します。 構成ファイルが存在しない場合は、 新しく作成されて一時ファイルとして使用され、操作中はそこに構成情報が保持されますが、その後、そのファイルは完全に削除されます。
このアクションが指定された場合は、-admin_id、-admin_pwd、-appsvr_id、および -policysvr の各オプションが必要です。
- -admin_id admin_user_ID
- Tivoli Access Manager 管理者名を指定します。このオプションを指定しない場合
、sec_master がデフォルトとなります。
有効な管理 ID は英数字のストリングで、 大文字と小文字を区別します。ストリング値は、 ローカル・コード・セットに含まれる文字と予想されます。管理 ID では、 スペースは使用できません。
例えば、米国英語の場合、 有効な文字はアルファベットの a-Z、数字の 0-9、ピリオド (.)、 下線 (_)、正符号 (+)、ハイフン (-)、 アットマーク (@)、アンパーサンド (&)、およびアスタリスク (*) です。 管理 ID の長さに制限がある場合、その最小および最大値は、基礎となるレジストリーによって決まります。
- -admin_password admin_password
Tivoli Access Manager 管理者ユーザーのパスワードを指定します。 これは、-admin_id パラメーターと関連しています。 パスワードの制約事項は、Tivoli Access Manager 構成のパスワード・ポリシーに依存します。
- -appsvr_id application_server_name
- アプリケーション・サーバーの名前を指定します。この名前は、ホスト名と結合されて、 アプリケーション用に作成される Tivoli Access Manager オブジェクトの固有の名前が作成されます。 Tivoli Access Manager アプリケーション用に予約されている名前として、ivacld、secmgrd、ivnet、 および ivweb があります。
- -appsvr_pwd application_server_password
- アプリケーション・サーバーのパスワードを指定します。このオプションは必須です。
パスワードはシステムによって作成され、構成ファイルは、システムが作成したパスワードを用いて更新されます。
このオプションを指定しない場合、標準入力からサーバー・パスワードが読み取られます。
- -authzsvr authorization_server_name
- アプリケーション・サーバーが通信する Tivoli Access Manager 許可サーバーの名前を指定します。 このサーバーは、完全修飾ホスト名、SSL ポート番号、およびランクで指定されます。 デフォルトの SSL ポート番号は 7136 です。 例えば、myauth.mycompany.com:7136:1 のようになります。 エントリーをコンマ (,) で区切ることによって、複数のサーバーを指定できます。
- -cfg_action {create | replace}
- 構成ファイルおよび鍵ファイルを作成する際のアクションを指定します。
有効な値は create または replace です。
最初に構成ファイルおよび鍵ストア・ファイルを作成する場合は、create オプションを使用します。
これらのファイルが既に存在する場合は、replace オプションを使用します。
create オプションを使用した場合に構成ファイルまたは鍵ストア・ファイルが既に存在するときは、例外が作成されます。
オプションは以下のとおりです。
- 作成
- サーバー構成時に構成ファイルおよび鍵ストア・ファイルを作成するように指定します。 これらのファイルのいずれかが既に存在する場合は、構成は行われません。
- replace
- サーバー構成時に構成ファイルおよび鍵ストア・ファイルを置き換えるように指定します。 既存ファイルが削除され、新規ファイルで置き換えられます。
-cfg_file fully_qualified_name_of_configuration_file
構成ファイルのパスおよび名前を指定します。
ファイル名は、有効な絶対ファイル名 (完全修飾ファイル名) でなければなりません。
- -domain Tivoli_Access_Manager_domain
- 管理者が認証される Tivoli Access Manager ドメイン・ネームを指定します。
このドメインが実在しており、管理者 ID とパスワードがこのドメインに対して有効である必要があります。
アプリケーション・サーバーはこのドメインで指定されます。
このオプションが指定されない場合は、Tivoli Access Manager のランタイム構成時に指定したローカル・ドメインが使用されます。ローカル・ドメインの値は、 構成ファイルから取得されます。
有効なドメイン・ネームは英数字のストリングで、 大文字と小文字を区別します。ストリング値は、 ローカル・コード・セットに含まれる文字と予想されます。ドメイン・ネームでは、 スペースは使用できません。
例えば、米国英語の場合、 ドメイン・ネームとして有効な文字はアルファベットの a-Z、数字の 0-9、ピリオド ( . )、 下線 (_)、正符号 (+)、ハイフン (-)、 アットマーク (@)、アンパーサンド (&)、およびアスタリスク (*) です。 ドメイン・ネームの長さに制限がある場合、その最小および最大値は、 基礎となるレジストリーによって決まります。
-host host_name_of_application_server
Tivoli Access Manager ポリシー・サーバーがこのサーバーと連絡を取る ために使用する TCP ホスト名を指定します。 この名前は、azn-app-host 鍵を使用して構成ファイルに保存されます。
デフォルトは、 オペレーティング・システムが戻すローカル・ホスト名です。host_name の有効値には、 有効な IP ホスト名がすべて含まれます。
例:host = libra
host = libra.dallas.ibm.com- -key_file fully_qualified_name_of_keystore_file
- サーバーの鍵ファイルを含むディレクトリーを指定します。
有効なディレクトリー名は、オペレーティング・システムによって決まります。アプリケーション・サーバー証明書と鍵ファイルを含む完全修飾ファイル名を使用します。
サーバー・ユーザー (例えば ivmgr) またはすべてのユーザーに、.kdb ファイルと、.kdb ファイルが入っているフォルダーにアクセスする権限が与えられていることを確認してください。
このオプションは必須です。
- -mode server_mode
アプリケーションの操作モードを指定します。この値は、local または remote のいずれかでなければなりません。
アプリケーション・サーバーが要求を処理するモードを指定します。 remote モードのみがサポートされています。
- -policysvr policy_server_name
ポリシー・サーバーの名前を指定します。
アプリケーション・サーバーが通信する Tivoli Access Manager ポリシー・サーバー (ivmgrd) を実行するサーバーの名前を指定します。 サーバーは、完全修飾ホスト名、SSL ポート番号、およびランクで指定されます。 デフォルトの SSL ポート番号は 7135 です。 例えば、mypolicy.mycompany.com:7135:1 のようになります。 エントリーをコンマ (,) で区切ることによって、複数のサーバーを指定できます。
-port port_number
アプリケーション・サーバーがポリシー・サーバーからの通信を listen する TCP/IP 通信ポートを指定します。
-profileName profile_name
WebSphere Application Server プロファイルの名前を指定します。 このオプションを指定しない場合、デフォルトの server1 プロファイルが使用されます。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
コメント
Tivoli Access Manager Java アプリケーション・サーバーの構成が正常に終了すると、SvrSslCfg によって、Tivoli Access Manager ユーザー・レジストリー内に Java アプリケーション・サーバーを表すユーザー・アカウントとサーバー・エントリーが作成されます。 また、SvrSslCfg は、 構成ファイルと、クライアント証明書を安全に保存する Java 鍵ストア・ファイルをアプリケーション・サーバー上にローカルに作成します。 このクライアント証明書により、 呼び出し元に Tivoli Access Manager サービスの認証使用が許可されます。逆に、再構成すると、 ユーザー・レジストリーからユーザーおよびサーバーのエントリーが除去され、ローカル構成および鍵ストア・ファイルのクリーンアップが行われます。
既存構成ファイルの内容は、SvrSslCfg ユーティリティーを使用して変更できます。 -action config や -action unconfig 以外のオプションを指定して SvrSslCfg を呼び出す際には、構成ファイルと鍵ストア・ファイルが既に存在していなければなりません。
以下のオプションは、構文解析および処理されて構成ファイルに保管されますが、 それ以外のオプションは Tivoli Access Manager のこのバージョンでは無視されます。
server_name/host_name
pdadmin サーバー・リスト・コマンドでは、これとは少し異なるフォーマットでサーバー名が表示されることに注意してください。server_name-host_name
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
CLASSPATH=${WAS_HOME}/tivoli/tam/PD.jar:${WAS_CLASSPATH}
java ¥
-cp ${CLASSPATH} ¥
-Dpd.cfg.home= ${WAS_HOME}/java/jre ¥
-Dfile.encoding=ISO8859-1 ¥
-Xnoargsconversion ¥
com.tivoli.pd.jcfg.SvrSslCfg ¥
-action config ¥
-admin_id sec_master ¥
-admin_pwd $TAM_PASSWORD ¥
-appsvr_id $APPSVR_ID ¥
-policysvr ${TAM_HOST}:7135:1 ¥
-port 7135 ¥
-authzsvr ${TAM_HOST}:7136:1 ¥
-mode remote ¥
-cfg_file ${CFG_FILE} ¥
-key_file ${KEY_FILE} ¥
-cfg_action create