Tivoli Access Manager 用 migrateEAR ユーティリティー
migrateEAR ユーティリティーは、admin-authz.xml および naming-authz.xml ファイルで コンソール・ユーザーおよびグループに対して行われた変更を Tivoli® Access Manager オブジェクト・スペースにマイグレーションします。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
構文
migrateEAR
-j fully_qualified_filename
-c pdPerm.properties_file_location
-a Tivoli_Access_Manager_administrator_ID
-p Tivoli_Access_Manager_administrator_password
-w WebSphere_Application_Server_administrator_user_name
-d user_registry_domain_suffix
[-r root_objectspace_name]
[-t ssl_timeout]
[-z role_mapping_location]
![[IBM i]](../images/iseries.gif)
構文
migrateEAR -profile_name default
-j fully_qualified_filename
-a Tivoli_Access_Manager_administrator_ID
-p Tivoli_Access_Manager_administrator_password
-w WebSphere_Application_Server_administrator_user_name
-d user_registry_domain_suffix
-c PdPerm.properties_file_location
[-z role_mapping_location]
- -j パラメーターは、デフォルトでは profile_root/config/cells/cell_name/admin-authz.html ファイルです。
- -c パラメーターは、デフォルトでは file:profile_root/etc/pd/PdPerm.properties ファイルです。ユーティリティーの出力は pdwas_migrate.log ファイルに記録されます。 pdwas_migrate.log ファイルは、profile_root/logs ディレクトリーに作成されます。
- -profile_name パラメーターはオプションで、デフォルトはデフォルト・プロファイル名です。
パラメーター
![[Windows]](../images/windows.gif)
- -aTivoli_Access_Manager_administrator_ID
- 管理ユーザーの ID。管理ユーザーは、ユーザー、オブジェクト、およびアクセス制御リスト (ACL) の作成に必要な特権を備えていなければなりません。
例えば、-a sec_master のように指定します。
このパラメーターはオプションです。このパラメーターが指定されていないと、実行時にパラメーターを求めるプロンプトが出されます。
- -c PdPerm.properties_file_location
- pdwascfg ユーティリティーで構成される PdPerm.properties ファイル
の Uniform Resource Indicator (URI) ロケーション。WebSphere Application Server をデフォルトのロケーションにインストールした場合、URI は以下のとおりです。
file:/opt/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
file:/usr/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
file:/"C:/Program Files/IBM/WebSphere/AppServer/java/jre/PdPerm.properties”
- -d user_registry_domain_suffix
- 使用するユーザー・レジストリーのドメイン・サフィックス。例えば
、Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーの場
合のドメイン・サフィックスは "o=ibm,c=us" のようになります。
Windows プラットフォームではドメイン・サフィックスを引用符で囲む必要があります。
pdadmin user show コマンドを使用すると、ユーザーの識別名 (DN) を表示することができます。
- -j fully_qualified_pathname
- Java™ 2 Platform、Enterprise Edition アプリケーション・アーカイブ・ファイル admin-authz.xml、
またはネーミング操作の許可で使用されるロール定義ファイル naming-authz.xml の完全修飾パスとファイル名。
オプションで、このパスを拡張エンタープライズ・アプリケーションのディレクトリーにすることもできます。
例えば、WebSphere Application Server を
デフォルトのロケーションにインストールした場合、
マイグレーションするデータ・ファイルのパスは次のようになります。
file:/opt/IBM/WebSphere/AppServer/profiles/profile_name/config/cells /cell_name/admin-authz.xml
file:/usr/IBM/WebSphere/AppServer/profiles/profile_name/config/cells /cell_name/admin-authz.xml
“C:/Program Files/IBM/WebSphere/AppServer/profiles/profile_name/config/cells /cell_name/admin-authz.xml”
- -p Tivoli_Access_Manager_administrator_password
- Tivoli Access Manager 管理ユーザーのパスワード。
管理ユーザーは、ユーザー、オブジェクト、およびアクセス制御リスト (ACL) の作成に必要な特権を備えていなければなりません。例えば、
管理ユーザー -a sec_master のパスワードは -p myPassword と指定できます。
このパラメーターが指定されていないと、 管理ユーザー名のパスワード指定を求めるプロンプトが出されます。
-r root_objectspace_name
ルート・オブジェクトのスペース名。この値は、WebSphere Application Server ポリシー・データ用に作成される 保護オブジェクト名前空間階層のルートの名前です。
ルート・オブジェクト・スペースのデフォルト値は WebAppServer です。
Tivoli Access Manager の ルート・オブジェクト・スペース名の設定は、Tivoli Access Manager の Java Authorization Contract for Containers (JACC) プロバイダーを 初めて構成する前に、amwas.amjacc.template.properties ファイルを変更することによって行います。 デフォルトのオブジェクト・スペース値が、Tivoli Access Manager 用の Tivoli Access Manager JACC プロバイダーの構成に使用されていない場合、 このオプションを使用してください。
Tivoli Access Manager JACC プロバイダーを構成した後には、Tivoli Access Manager オブジェクト・スペース名を変更しないでください。
-t ssl_timeout
Secure Sockets Layer (SSL) タイムアウトの分数。 このパラメーターは、デフォルト接続がタイムアウトになる前に、Tivoli Access Manager 許可サーバーとポリシー・サーバー間の SSL コンテキストを切断したり再接続したりする場合に使用されます。
デフォルトは 60 分です。最小値は 10 分です。最大でも、Tivoli Access Manager ssl-v3-timeout の値を超えることはできません。 ssl-v3-timeout のデフォルト値は 120 分です。
この値の管理に慣れていない場合は、デフォルト値を使用する方が安全です。
- -w WebSphere_Application_Server_administrator_user_name
- WebSphere Application Server のセキュリティー・ユーザー・レジストリー・フィールドで構成される、
管理者としてのユーザー名。この値は、Tivoli Access Manager 用のセキュリティー管理ユーザーの作成で作成するか、またはインポートしたアカウントに一致します。
Tivoli Access Manager 保護オブジェクト・スペースの作成または更新には、
このユーザーのアクセス許可が必要です。
WebSphere Application Server 管理ユーザーが保護オブジェクト・スペースにまだ存在していない場合は、 管理ユーザーを作成またはインポートします。 この場合は、そのユーザー用にランダム・パスワードが生成され、 アカウントは not valid に設定されます。このパスワードを既知の値に変更し、アカウントを valid に設定します。
保護オブジェクトとアクセス制御リスト (ACL) が作成されます。管理ユーザーは、次のような ACL 属性を伴ってグループ pdwas-admin に追加されます。- T
- 全探索許可
- i
- 呼び出し許可
- WebAppServer
- アクション・グループ名を上書きできます。デフォルト名は WebAppServer です。 このアクション・グループ名、 およびそれに対応するルート・オブジェクト・ スペースは、-r オプションを指定して マイグレーション・ユーティリティーを実行すると、 上書きできます。
- -z role_mapping_location
- 管理アプリケーションのマイグレーション時のロール・マッピングの格納先。デフォルトでは、以下のような現行ディレクトリー構造にロール・マッピングが配置されます。
/WebAppServer/deployedResouces
-z オプションを指定すると、ロール・マッピングが格納される別のディレクトリー・レベルが追加されます。 例えば、migrateEAR ユーティリティーで -z Roles を指定すると、ロール・マッピングは、以下のディレクトリー構造に格納されます。/WebAppServer/deployedResouces/Roles
トラブルの回避 (Avoid trouble): -z オプションを指定した場合、amwas.node_name.amjacc.properties および amwas.node_name.authztable.properties ファイルで com.tivoli.pd.as.rbpf.RoleContainerName プロパティーの値を手動で更新して、この値を -z オプションに指定した値に一致させる必要があります。 com.tivoli.pd.as.rbpf.RoleContainerName プロパティーの値を更新した後に、WebSphere Application Server を再始動する必要はありません。gotcha
コメント
このユーティリティーは、 セキュリティー・ポリシー情報をデプロイメント記述子またはエンタープライズ・アーカイブ・ファイルから Tivoli Access Manager for WebSphere Application Server にマイグレーションします。このスクリプトにより、Java クラス com.tivoli.pdwas.migrate.Migrate が呼び出されます。
スクリプトを呼び出す前に、setupCmdLine.bat コマンド
または setupCmdLine.sh コマンドを実行する必要があります。
これらのファイルは %WAS_HOME%/bin ディレクトリーにあります。
スクリプトを呼び出す前に、Qshell コマンド行から
setupCmdLine スクリプトを実行する必要があります。
このファイルは、profile_root/bin ディレクトリーにあります。
ここで、profile_root はインストール・パスです。デフォルトのインストールでは、profile_root は app_server_rootND です。
スクリプトは、前提ソフトウェアのロケーションに対する正しい環境変数が検出されるかどうかによって違ってきます。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
- -Dpdwas.lang.home
- ネイティブ言語サポート・ライブラリーを含むディレクトリーです。このライブラリーは、Tivoli Access Manager の JACC プロバイダーに同梱されます。このライブラリーは、Tivoli Access Manager の JACC プロバイダーのインストール・ディレクトリーの下のサブディレクトリーにあります。 例: -Dpdwas.lang.home=%PDWAS_HOME%¥java¥nls
- -cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate
- Java インストール・システムでは、CLASSPATH 変数を正しく設定する必要があります。
![[Windows]](../images/windows.gif)
- エンタープライズ・アーカイブ・ファイルの絶対パス名を作成するため。
- PdPerm.properties ファイルのロケーションの完全な URI パス名を作成するため。
WebSphere Application Server の管理グループへの新しいユーザー・アクセスを使用可能にするには、JACC を使用可能にした後で pdwas-admin グループにそのユーザーを追加することをお勧めします。 グループの管理基本 ID (adminID) を入力できます。 これは、serverID が adminID と異なる場合に必要となります。
pdadmin> group modify pdwas-admin add adminID
戻りコード
- 0
- コマンドは正常に完了しました。
- 1
- コマンドは失敗しました。