Tivoli Access Manager 싱글 사인온을 위한 com.tivoli.pd.jcfg.SvrSslCfg 유틸리티
이 유틸리티는 WebSphere® Application Server 및 Tivoli® Access Manager 서버와 연관된 구성 정보를 구성하고 제거하는 데 사용됩니다.
목적
svrsslcfg
스크립트는 Tivoli Access Manager 사용자 레지스트리에서 WebSphere Application Server 프로파일을 나타내는 서버 항목 및 사용자 계정을 작성합니다. 또한
구성 파일 및 클라이언트 인증서를 안전하게 저장하는 Java™
키 저장소 파일이 애플리케이션 서버 프로파일에서 작성됩니다. 이 클라이언트 인증서는
호출자가 Tivoli Access Manager 인증 서비스를 사용하도록 허용합니다.
사용자 레지스트리에서 사용자 및 서버 항목을 제거하고 로컬 구성 및 키 저장소 파일을 정리하도록 선택할 수도 있습니다.
svrsslcfg 스크립트는 SvrSslCfg 클래스를 랩핑하고
다중 WebSphere Application
Server 프로파일에 대한 지원을 제공합니다. 다중 프로파일을 사용하면
서로 완전하게 격리된 다중 WebSphere Application Server 환경을 작성할 수 있습니다.
svrsslcfg 스크립트를 먼저 배치 관리자에서 실행한 다음 셀에 있는 다른 노드에서 실행하십시오.
![[IBM i]](../images/iseries.gif)
단계
- 사용자 프로파일 및 모든 오브젝트(*ALLOBJ) 권한을 사용하여 로그온하십시오.
- CL 명령행에서 Start Qshell (STRQSH) 명령을 입력하십시오.
- 디렉토리를 app_server_root/bin 디렉토리로 변경하십시오.
- 원하는 옵션과 함께 svrsslcfg 명령을 입력하십시오. 예를 들어, 다음과 같습니다.
svrsslcfg -profileName myprofile -action config -admin_id sec_master -admin_pwd pwd123 -appsvr_id ibm9 -appsvr_pwd ibm9pwd -mode remote -port 8888 -policysvr ourserv.rochester.ibm.com:7135:1 -authzsvr ourserv.rochester.ibm.com:7136:1 -key_file profile_root/myprofile/etc/ibm9.kdb -cfg_action create
위 예제는 예시용으로 여러 행에 표시되었습니다.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
구문
java com.tivoli.pd.jcfg.SvrSslCfg -action {config | unconfig} -admin_id admin_user_ID -admin_pwd admin_password -appsvr_id application_server_name -appsvr_pwd application_server_password -mode{local|remote} -host host_name_of_application_server -policysvr policy_server_name:port:rank [,...] -authzsvr authorization_server_name:port:rank [,...] -cfg_file fully_qualified_name_of_configuration_file -domain Tivoli_Acccess_Manager_domain -key_file fully_qualified_name_of_keystore_file -cfg_action {create|replace}
![[IBM i]](../images/iseries.gif)
구문
구성 구문은 다음과 같습니다.
svrsslcfg -action config [ -profileName profile_name ] -admin_id admin_user_id -admin_pwd admin_password -appsvr_id application_server_name -port port_number -mode { local | remote } -policysvr policy_server_name -authzsvr authorization_server_name -key_file fully_qualified_name_of_key_file -appsvr_pwd application_server_password -cfg_action { create | replace } [ -domain Tivoli_Access_Manager_domain ]
구성 해제 구문은 다음과 같습니다.
svrsslcfg -action unconfig [ -profileName profile_name ] -admin_id admin_user_id -admin_pwd admin_password -appsvr_id application_server_name -policysvr policy_server_name [ -domain Tivoli_Access_Manager_domain ]
위의 구문을 한 개의 연속 행에 입력할 수 있습니다.
매개변수
- -action {config | unconfig}
- 스크립트에 의해 수행되는 구성 조치를 지정합니다.
다음 옵션이 적용됩니다.
- -action config
- 서버를 구성하면 사용자 레지스트리에서 사용자 및 서버 정보가 작성되고
애플리케이션 서버에서 로컬 구성 및 키 저장소 파일이 작성됩니다. 이 조작을 되돌리려면 -action unconfig 옵션을
사용하십시오.
이 조치가 지정되는 경우 다음 옵션은 필수입니다. -admin_id, -admin_pwd, -appsvr_id, -port, -mode, -policysvr, -authzsvr 및 -key_file.
- -action unconfig
- 다음 조치를 완료하도록 애플리케이션 서버를 재구성합니다.
- 사용자 레지스트리에서 사용자 및 서버 정보 제거
- 로컬 키 저장소 파일 삭제
- 파일을 삭제하지 않고 구성 파일에서 이 애플리케이션에 대한 정보 제거
재구성 조작은 호출자에게 권한이 없거나 정책 서버에 접속할 수 없는 경우에만 실패합니다.
이 조치는 구성 파일이 존재하지 않는 경우 성공할 수 있습니다. 구성 파일이 존재하지 않으면 임시 파일로 작성 및 사용되어 조작 중에 구성 정보를 보관하고 그 후에 완전히 삭제됩니다.
이 조치가 지정되는 경우 다음 옵션은 필수입니다. -admin_id, -admin_pwd, -appsvr_id 및 -policysvr.
- -admin_id admin_user_ID
- Tivoli Access Manager 관리자 이름을 지정합니다. 이 옵션을 지정하지 않으면 sec_master가 기본값입니다.
올바른 관리 ID는 대소문자 구분 영숫자 문자열입니다. 문자열 값은 로컬 코드 세트의 일부인 문자로 예상됩니다. 관리 ID에 공백을 사용할 수 없습니다.
예를 들어, 미국 영어의 경우 유효한 문자는 문자 a-Z, 숫자 0-9, 마침표(.), 밑줄(_), 더하기 부호(+), 하이픈(-), at 기호(@), 앰퍼샌드(&) 및 별표(*)입니다. 한계가 있을 경우 관리 ID의 최소 및 최대 길이는 기본 레지스트리에 의해 정해집니다.
- -admin_password admin_password
-admin_id 매개변수와 연관된 Tivoli Access Manager 관리자의 비밀번호를 지정합니다. 비밀번호 제한사항은 Tivoli Access Manager 구성의 비밀번호 정책에 따라 다릅니다.
- -appsvr_id application_server_name
- 애플리케이션 서버의 이름을 지정합니다. 이 이름은 호스트 이름과 결합되어 애플리케이션에 대해 작성된 Tivoli Access Manager 오브젝트의 고유 이름을 작성합니다. 다음 이름은 Tivoli Access Manager 애플리케이션에 대해 예약된 이름입니다. ivacld, secmgrd, ivnet 및 ivweb.
- -appsvr_pwd application_server_password
- 애플리케이션 서버의 비밀번호를 지정합니다. 이 옵션은 필수입니다. 비밀번호는 시스템에 의해 작성되고
구성 파일은 시스템에서 작성된 비밀번호로 업데이트됩니다.
이 옵션을 지정하지 않으면 표준 입력에서 서버 비밀번호를 읽을 수 있습니다.
- -authzsvr authorization_server_name
- 애플리케이션 서버와 통신하는 Tivoli Access Manager 권한 서버의 이름을 지정합니다. 이 서버는 완전한 호스트 이름, SSL 포트 번호 및 순위로 지정됩니다. 기본 SSL 포트 번호는 7136입니다예: myauth.mycompany.com:7136:1. 항목이 쉼표(,)로 구분되면 다중 서버를 지정할 수 있습니다.
- -cfg_action {create | replace}
- 구성 및 키 파일을 작성할 때 수행할 조치를 지정합니다. 올바른 값은 create 또는 replace입니다. 구성 및 키 저장소 파일을 처음으로 작성하려면 create 옵션을 사용하십시오. 이러한 파일이 이미 존재하는 경우에는 replace 옵션을 사용하십시오. create 옵션을 사용하고 구성 및 키 저장소 파일이 이미 있는 경우에는 예외가 작성됩니다. 옵션은 다음과 같습니다.
- 작성
- 서버 구성 중에 구성 및 키 저장소 파일을 작성하도록 지정합니다. 이러한 파일 중 어느 하나가 존재하는 경우 구성에 실패합니다.
- 대체
- 서버 구성 중에 구성 및 키 저장소 파일을 대체하도록 지정합니다. 구성에서 기존 파일을 삭제하고 새 파일로 대체합니다.
-cfg_file fully_qualified_name_of_configuration_file
구성 파일 경로 및 이름을 지정합니다.
파일 이름이 유효하려면 절대 파일 이름(완전한 파일 이름)이어야 합니다.
- -domain Tivoli_Access_Manager_domain
- 관리자가 인증되는 Tivoli Access Manager 도메인 이름을 지정합니다. 이 도메인이 존재해야 하고
관리자 ID 및 비밀번호가 이 도메인에 대해 유효해야 합니다. 애플리케이션 서버가 이 도메인에서 지정됩니다.
지정되지 않는 경우 Tivoli Access Manager 런타임 구성 중에 지정된 로컬 도메인이 사용됩니다. 로컬 도메인 값은 구성 파일에서 검색합니다.
유효한 도메인 이름은 대소문자를 구분하는 영숫자로 된 문자열입니다. 문자열 값은 로컬 코드 세트의 일부인 문자로 예상됩니다. 도메인 이름에 공백을 사용할 수 없습니다.
예를 들어, 미국 영어에서 도메인 이름에 유효한 문자는 문자 a - Z, 숫자 0 - 9, 마침표( . ), 밑줄(_), 더하기 부호(+), 하이픈(-), at 기호(@), 앰퍼샌드 (&) 및 별표(*)입니다. 한계가 있을 경우 도메인 이름의 최소 및 최대 길이는 기본 레지스트리에 의해 정해집니다.
-host host_name_of_application_server
Tivoli Access Manager 정책 서버가 이 서버에 접속하기 위해 사용하는 TCP 호스트 이름을 지정합니다. 이 이름은 azn-app-host 키를 사용하여 구성 파일에 저장됩니다.
기본값은 운영 체제에서 리턴되는 로컬 호스트 이름입니다. host_name의 올바른 값에는 유효한 IP 호스트 이름이 포함됩니다.
예제:host = libra
host = libra.dallas.ibm.com- -key_file fully_qualified_name_of_keystore_file
- 서버의 키 파일을 포함하는 디렉토리를 지정합니다. 유효한 디렉토리 이름은 운영 체제에 의해 판별됩니다.
애플리케이션 서버 인증서 및 키 파일을 포함하는 완전한 파일 이름을 사용하십시오.
서버 사용자(예: ivmgr) 또는 모든 사용자에게 .kdb 파일 및 .kdb 파일을 포함하는 폴더에 액세스할 수 있는 권한이 있는지 확인하십시오.
이 옵션은 필수입니다.
- -mode server_mode
애플리케이션이 작동하는 모드를 지정합니다. 이 매개변수는 local 또는 remote이어야 합니다.
애플리케이션 서버 프로세스가 요청하는 모드를 지정합니다. remote 모드만 지원됩니다.
- -policysvr policy_server_name
정책 서버의 이름을 지정합니다.
애플리케이션 서버가 통신하는 Tivoli Access Manager 정책 서버(ivmgrd)를 실행하는 서버의 이름을 지정합니다. 이 서버는 완전한 호스트 이름, SSL 포트 번호 및 순위로 지정됩니다. 기본 SSL 포트 번호는 7135입니다. 예: mypolicy.mycompany.com:7135:1. 항목이 쉼표(,)로 구분되면 다중 서버를 지정할 수 있습니다.
-port port_number
통신을 위해 애플리케이션 서버가 정책 서버로부터 청취하는 TCP/IP 통신 포트를 지정합니다.
-profileName profile_name
WebSphere Application Server 프로파일의 이름을 지정합니다. 이 옵션을 지정하지 않으면 기본값 server1 프로파일이 사용됩니다.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
주석
Tivoli Access Manager Java 애플리케이션 서버의 성공적인 구성 후 SvrSslCfg는 Tivoli Access Manager 사용자 레지스트리에서 Java 애플리케이션 서버를 나타내는 서버 항목 및 사용자 계정을 작성합니다. 또한 SvrSslCfg는 애플리케이션 서버에서 로컬로 클라이언트 인증서를 안전하게 저장하는 Java 키 저장소 파일 및 구성 파일을 작성합니다. 이 클라이언트 인증서는 호출자가 인증된 Tivoli Access Manager 서비스를 이용하도록 허용합니다. 반대로 재구성에서는 사용자 레지스트리에서 사용자 및 서버 항목을 제거하고 로컬 구성 및 키 저장소 파일을 정리합니다.
기존 구성 파일의 컨텐츠는 SvrSslCfg 유틸리티를 사용하여 수정할 수 있습니다. -action config 또는 -action unconfig 옵션을 제외한 모든 옵션을 사용하여 SvrSslCfg를 호출하는 경우 구성 파일 및 키 저장소 파일이 존재해야 합니다.
다음 옵션은 구성 파일로 구문 분석되고 처리되지만 그렇지 않은 경우에는 이 버전의 Tivoli Access Manager에서 무시됩니다.
server_name/host_name
pdadmin 서버 나열 명령은 약간 다른 형식으로 서버 이름을 표시함에 유의하십시오.server_name-host_name
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
CLASSPATH=${WAS_HOME}/tivoli/tam/PD.jar:${WAS_CLASSPATH}
java \
-cp ${CLASSPATH} \
-Dpd.cfg.home= ${WAS_HOME}/java/jre \
-Dfile.encoding=ISO8859-1 \
-Xnoargsconversion \
com.tivoli.pd.jcfg.SvrSslCfg \
-action config \
-admin_id sec_master \
-admin_pwd $TAM_PASSWORD \
-appsvr_id $APPSVR_ID \
-policysvr ${TAM_HOST}:7135:1 \
-port 7135 \
-authzsvr ${TAM_HOST}:7136:1 \
-mode remote \
-cfg_file ${CFG_FILE} \
-key_file ${KEY_FILE} \
-cfg_action create