Tivoli Access Manager 싱글 사인온을 위한 com.tivoli.pd.jcfg.SvrSslCfg 유틸리티

이 유틸리티는 WebSphere® Application Server 및 Tivoli® Access Manager 서버와 연관된 구성 정보를 구성하고 제거하는 데 사용됩니다.

목적

[IBM i]svrsslcfg 스크립트는 Tivoli Access Manager 사용자 레지스트리에서 WebSphere Application Server 프로파일을 나타내는 서버 항목 및 사용자 계정을 작성합니다. 또한 구성 파일 및 클라이언트 인증서를 안전하게 저장하는 Java™ 키 저장소 파일이 애플리케이션 서버 프로파일에서 작성됩니다. 이 클라이언트 인증서는 호출자가 Tivoli Access Manager 인증 서비스를 사용하도록 허용합니다. 사용자 레지스트리에서 사용자 및 서버 항목을 제거하고 로컬 구성 및 키 저장소 파일을 정리하도록 선택할 수도 있습니다.

[IBM i]svrsslcfg 스크립트는 SvrSslCfg 클래스를 랩핑하고 다중 WebSphere Application Server 프로파일에 대한 지원을 제공합니다. 다중 프로파일을 사용하면 서로 완전하게 격리된 다중 WebSphere Application Server 환경을 작성할 수 있습니다.

svrsslcfg 스크립트를 먼저 배치 관리자에서 실행한 다음 셀에 있는 다른 노드에서 실행하십시오.

[IBM i]

단계

svrsslcfg 스크립트를 실행하려면 다음 단계를 수행하십시오.
  1. 사용자 프로파일 및 모든 오브젝트(*ALLOBJ) 권한을 사용하여 로그온하십시오.
  2. CL 명령행에서 Start Qshell (STRQSH) 명령을 입력하십시오.
  3. 디렉토리를 app_server_root/bin 디렉토리로 변경하십시오.
  4. 원하는 옵션과 함께 svrsslcfg 명령을 입력하십시오.
    예를 들어, 다음과 같습니다.
    svrsslcfg -profileName myprofile -action config -admin_id sec_master
      -admin_pwd pwd123 -appsvr_id ibm9 -appsvr_pwd ibm9pwd -mode remote
      -port 8888 -policysvr ourserv.rochester.ibm.com:7135:1
      -authzsvr ourserv.rochester.ibm.com:7136:1
      -key_file profile_root/myprofile/etc/ibm9.kdb
      -cfg_action create
    위 예제는 예시용으로 여러 행에 표시되었습니다.
[AIX Solaris HP-UX Linux Windows][z/OS]

구문

java com.tivoli.pd.jcfg.SvrSslCfg
-action {config | unconfig} -admin_id admin_user_ID 
-admin_pwd admin_password -appsvr_id application_server_name 
-appsvr_pwd application_server_password -mode{local|remote} 
-host host_name_of_application_server 
-policysvr policy_server_name:port:rank [,...] 
-authzsvr authorization_server_name:port:rank [,...] 
-cfg_file fully_qualified_name_of_configuration_file 
-domain Tivoli_Acccess_Manager_domain 
-key_file fully_qualified_name_of_keystore_file 
-cfg_action {create|replace}
[IBM i]

구문

구성 구문은 다음과 같습니다.

svrsslcfg -action config
          [ -profileName profile_name ]
            -admin_id admin_user_id
            -admin_pwd admin_password
            -appsvr_id application_server_name
            -port port_number
            -mode { local | remote }
            -policysvr policy_server_name
            -authzsvr authorization_server_name
            -key_file fully_qualified_name_of_key_file
            -appsvr_pwd application_server_password
            -cfg_action { create | replace }
          [ -domain Tivoli_Access_Manager_domain ]

구성 해제 구문은 다음과 같습니다.

svrsslcfg -action unconfig
          [ -profileName profile_name ]
            -admin_id admin_user_id
            -admin_pwd admin_password
            -appsvr_id application_server_name
            -policysvr policy_server_name
          [ -domain Tivoli_Access_Manager_domain ]

위의 구문을 한 개의 연속 행에 입력할 수 있습니다.

매개변수

-action {config | unconfig}
스크립트에 의해 수행되는 구성 조치를 지정합니다. 다음 옵션이 적용됩니다.
-action config
서버를 구성하면 사용자 레지스트리에서 사용자 및 서버 정보가 작성되고 애플리케이션 서버에서 로컬 구성 및 키 저장소 파일이 작성됩니다. 이 조작을 되돌리려면 -action unconfig 옵션을 사용하십시오.

이 조치가 지정되는 경우 다음 옵션은 필수입니다. -admin_id, -admin_pwd, -appsvr_id, -port, -mode, -policysvr, -authzsvr-key_file.

-action unconfig
다음 조치를 완료하도록 애플리케이션 서버를 재구성합니다.
  • 사용자 레지스트리에서 사용자 및 서버 정보 제거
  • 로컬 키 저장소 파일 삭제
  • 파일을 삭제하지 않고 구성 파일에서 이 애플리케이션에 대한 정보 제거

재구성 조작은 호출자에게 권한이 없거나 정책 서버에 접속할 수 없는 경우에만 실패합니다.

이 조치는 구성 파일이 존재하지 않는 경우 성공할 수 있습니다. 구성 파일이 존재하지 않으면 임시 파일로 작성 및 사용되어 조작 중에 구성 정보를 보관하고 그 후에 완전히 삭제됩니다.

이 조치가 지정되는 경우 다음 옵션은 필수입니다. -admin_id, -admin_pwd, -appsvr_id-policysvr.

-admin_id admin_user_ID
Tivoli Access Manager 관리자 이름을 지정합니다. 이 옵션을 지정하지 않으면 sec_master가 기본값입니다.

올바른 관리 ID는 대소문자 구분 영숫자 문자열입니다. 문자열 값은 로컬 코드 세트의 일부인 문자로 예상됩니다. 관리 ID에 공백을 사용할 수 없습니다.

예를 들어, 미국 영어의 경우 유효한 문자는 문자 a-Z, 숫자 0-9, 마침표(.), 밑줄(_), 더하기 부호(+), 하이픈(-), at 기호(@), 앰퍼샌드(&) 및 별표(*)입니다. 한계가 있을 경우 관리 ID의 최소 및 최대 길이는 기본 레지스트리에 의해 정해집니다.

-admin_password admin_password

-admin_id 매개변수와 연관된 Tivoli Access Manager 관리자의 비밀번호를 지정합니다. 비밀번호 제한사항은 Tivoli Access Manager 구성의 비밀번호 정책에 따라 다릅니다.

-appsvr_id application_server_name
애플리케이션 서버의 이름을 지정합니다. 이 이름은 호스트 이름과 결합되어 애플리케이션에 대해 작성된 Tivoli Access Manager 오브젝트의 고유 이름을 작성합니다. 다음 이름은 Tivoli Access Manager 애플리케이션에 대해 예약된 이름입니다. ivacld, secmgrd, ivnetivweb.
-appsvr_pwd application_server_password
애플리케이션 서버의 비밀번호를 지정합니다. 이 옵션은 필수입니다. 비밀번호는 시스템에 의해 작성되고 구성 파일은 시스템에서 작성된 비밀번호로 업데이트됩니다.

이 옵션을 지정하지 않으면 표준 입력에서 서버 비밀번호를 읽을 수 있습니다.

-authzsvr authorization_server_name
애플리케이션 서버와 통신하는 Tivoli Access Manager 권한 서버의 이름을 지정합니다. 이 서버는 완전한 호스트 이름, SSL 포트 번호 및 순위로 지정됩니다. 기본 SSL 포트 번호는 7136입니다예: myauth.mycompany.com:7136:1. 항목이 쉼표(,)로 구분되면 다중 서버를 지정할 수 있습니다.
-cfg_action {create | replace}
구성 및 키 파일을 작성할 때 수행할 조치를 지정합니다. 올바른 값은 create 또는 replace입니다. 구성 및 키 저장소 파일을 처음으로 작성하려면 create 옵션을 사용하십시오. 이러한 파일이 이미 존재하는 경우에는 replace 옵션을 사용하십시오. create 옵션을 사용하고 구성 및 키 저장소 파일이 이미 있는 경우에는 예외가 작성됩니다.
옵션은 다음과 같습니다.
작성
서버 구성 중에 구성 및 키 저장소 파일을 작성하도록 지정합니다. 이러한 파일 중 어느 하나가 존재하는 경우 구성에 실패합니다.
대체
서버 구성 중에 구성 및 키 저장소 파일을 대체하도록 지정합니다. 구성에서 기존 파일을 삭제하고 새 파일로 대체합니다.
[AIX Solaris HP-UX Linux Windows][z/OS]-cfg_file fully_qualified_name_of_configuration_file
[AIX Solaris HP-UX Linux Windows][z/OS]구성 파일 경로 및 이름을 지정합니다.

파일 이름이 유효하려면 절대 파일 이름(완전한 파일 이름)이어야 합니다.

-domain Tivoli_Access_Manager_domain
관리자가 인증되는 Tivoli Access Manager 도메인 이름을 지정합니다. 이 도메인이 존재해야 하고 관리자 ID 및 비밀번호가 이 도메인에 대해 유효해야 합니다. 애플리케이션 서버가 이 도메인에서 지정됩니다.

지정되지 않는 경우 Tivoli Access Manager 런타임 구성 중에 지정된 로컬 도메인이 사용됩니다. 로컬 도메인 값은 구성 파일에서 검색합니다.

유효한 도메인 이름은 대소문자를 구분하는 영숫자로 된 문자열입니다. 문자열 값은 로컬 코드 세트의 일부인 문자로 예상됩니다. 도메인 이름에 공백을 사용할 수 없습니다.

예를 들어, 미국 영어에서 도메인 이름에 유효한 문자는 문자 a - Z, 숫자 0 - 9, 마침표( . ), 밑줄(_), 더하기 부호(+), 하이픈(-), at 기호(@), 앰퍼샌드 (&) 및 별표(*)입니다. 한계가 있을 경우 도메인 이름의 최소 및 최대 길이는 기본 레지스트리에 의해 정해집니다.

[AIX Solaris HP-UX Linux Windows][z/OS]-host host_name_of_application_server
[AIX Solaris HP-UX Linux Windows][z/OS]Tivoli Access Manager 정책 서버가 이 서버에 접속하기 위해 사용하는 TCP 호스트 이름을 지정합니다. 이 이름은 azn-app-host 키를 사용하여 구성 파일에 저장됩니다.

기본값은 운영 체제에서 리턴되는 로컬 호스트 이름입니다. host_name의 올바른 값에는 유효한 IP 호스트 이름이 포함됩니다.

예제:

host = libra
host = libra.dallas.ibm.com

-key_file fully_qualified_name_of_keystore_file
서버의 키 파일을 포함하는 디렉토리를 지정합니다. 유효한 디렉토리 이름은 운영 체제에 의해 판별됩니다. 애플리케이션 서버 인증서 및 키 파일을 포함하는 완전한 파일 이름을 사용하십시오.

서버 사용자(예: ivmgr) 또는 모든 사용자에게 .kdb 파일 및 .kdb 파일을 포함하는 폴더에 액세스할 수 있는 권한이 있는지 확인하십시오.

이 옵션은 필수입니다.

-mode server_mode
[AIX Solaris HP-UX Linux Windows][z/OS]애플리케이션이 작동하는 모드를 지정합니다. 이 매개변수는 local 또는 remote이어야 합니다.
[IBM i]애플리케이션 서버 프로세스가 요청하는 모드를 지정합니다. remote 모드만 지원됩니다.
-policysvr policy_server_name
[AIX Solaris HP-UX Linux Windows][z/OS]정책 서버의 이름을 지정합니다.
[IBM i]애플리케이션 서버가 통신하는 Tivoli Access Manager 정책 서버(ivmgrd)를 실행하는 서버의 이름을 지정합니다. 이 서버는 완전한 호스트 이름, SSL 포트 번호 및 순위로 지정됩니다. 기본 SSL 포트 번호는 7135입니다. 예: mypolicy.mycompany.com:7135:1. 항목이 쉼표(,)로 구분되면 다중 서버를 지정할 수 있습니다.
[IBM i]-port port_number
[IBM i]통신을 위해 애플리케이션 서버가 정책 서버로부터 청취하는 TCP/IP 통신 포트를 지정합니다.
[IBM i]-profileName profile_name
[IBM i]WebSphere Application Server 프로파일의 이름을 지정합니다. 이 옵션을 지정하지 않으면 기본값 server1 프로파일이 사용됩니다.
[AIX Solaris HP-UX Linux Windows][z/OS]

주석

Tivoli Access Manager Java 애플리케이션 서버의 성공적인 구성 후 SvrSslCfg는 Tivoli Access Manager 사용자 레지스트리에서 Java 애플리케이션 서버를 나타내는 서버 항목 및 사용자 계정을 작성합니다. 또한 SvrSslCfg는 애플리케이션 서버에서 로컬로 클라이언트 인증서를 안전하게 저장하는 Java 키 저장소 파일 및 구성 파일을 작성합니다. 이 클라이언트 인증서는 호출자가 인증된 Tivoli Access Manager 서비스를 이용하도록 허용합니다. 반대로 재구성에서는 사용자 레지스트리에서 사용자 및 서버 항목을 제거하고 로컬 구성 및 키 저장소 파일을 정리합니다.

기존 구성 파일의 컨텐츠는 SvrSslCfg 유틸리티를 사용하여 수정할 수 있습니다. -action config 또는 -action unconfig 옵션을 제외한 모든 옵션을 사용하여 SvrSslCfg를 호출하는 경우 구성 파일 및 키 저장소 파일이 존재해야 합니다.

다음 옵션은 구성 파일로 구문 분석되고 처리되지만 그렇지 않은 경우에는 이 버전의 Tivoli Access Manager에서 무시됩니다.

호스트 이름은 애플리케이션의 고유 이름(ID)을 빌드하는 데 사용됩니다. pdadmin 사용자 나열 명령은 다음 형식으로 애플리케이션 ID 이름을 표시합니다.

server_name/host_name

pdadmin 서버 나열 명령은 약간 다른 형식으로 서버 이름을 표시함에 유의하십시오.

server_name-host_name

[AIX Solaris HP-UX Linux Windows][z/OS]

CLASSPATH=${WAS_HOME}/tivoli/tam/PD.jar:${WAS_CLASSPATH}
java \
-cp ${CLASSPATH} \
-Dpd.cfg.home= ${WAS_HOME}/java/jre \
-Dfile.encoding=ISO8859-1 \
-Xnoargsconversion \
com.tivoli.pd.jcfg.SvrSslCfg \
-action config \
-admin_id sec_master \
-admin_pwd $TAM_PASSWORD \
-appsvr_id $APPSVR_ID \
-policysvr ${TAM_HOST}:7135:1 \
-port 7135 \
-authzsvr ${TAM_HOST}:7136:1 \
-mode remote \
-cfg_file ${CFG_FILE} \
-key_file ${KEY_FILE} \
-cfg_action create


주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_tampsvrsslcfg
파일 이름:rsec_tampsvrsslcfg.html