Utilitário migrateEAR para Tivoli Access Manager

O utilitário migrateEAR migra as alterações feitas em usuários e grupos do console nos arquivos admin-authz.xml e naming-authz.xml para o espaço de objeto do Tivoli Access Manager.

[AIX Solaris HP-UX Linux Windows][z/OS]

Sintaxe

migrateEAR
-j fully_qualified_filename
-c pdPerm.properties_file_location
-a Tivoli_Access_Manager_administrator_ID
-p Tivoli_Access_Manager_administrator_password
-w WebSphere_Application_Server_administrator_user_name
-d user_registry_domain_suffix
[-r root_objectspace_name]
[-t ssl_timeout]
[-z role_mapping_location]
[IBM i]

Sintaxe

migrateEAR -profile_name default
-j fully_qualified_filename
-a Tivoli_Access_Manager_administrator_ID
-p Tivoli_Access_Manager_administrator_password
-w WebSphere_Application_Server_administrator_user_name
-d user_registry_domain_suffix
-c PdPerm.properties_file_location
[-z role_mapping_location]
Atenção:
  • O parâmetro -j utiliza como padrão o arquivo: profile_root/config/cells/cell_name/admin-authz.html
  • O parâmetro -c utiliza como padrão: file:profile_root/etc/pd/PdPerm.properties. A saída do utilitário é registrada no arquivo pdwas_migrate.log. O arquivo pdwas_migrate.log é criado no diretório profile_root/logs.
  • O parâmetro -profile_name é opcional e utiliza como padrão o nome do perfil padrão.

Parâmetros

[Windows]Atenção: Nos parâmetros a seguir, utilize o caminho absoluto em vez de uma variável.
-aTivoli_Access_Manager_administrator_ID
O identificador do usuário administrativo. O usuário administrativo deve ter os privilégios necessários para criar usuários, objetos e ACLs (Access Control Lists). Por exemplo, -a sec_master.

Esse parâmetro é opcional. Quando o parâmetro não é especificado, é solicitado que você o forneça no tempo de execução.

-c PdPerm.properties_file_location
O local do URI (Uniform Resource Indicator) do arquivo PdPerm.properties configurado pelo utilitário pdwascfg. Quando o WebSphere Application Server é instalado no local padrão, o URI é:
[Solaris][Linux][HP-UX]
file:/opt/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
[AIX]
arquivo:/usr/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
[Windows]
arquivo:/"C:/Arquivos de Programas/IBM/WebSphere/AppServer/java/jre/PdPerm.properties”
[IBM i][z/OS]
arquivo:profile_root/etc/pd/PdPerm.properties
-d user_registry_domain_suffix
O sufixo do domínio para ser utilizado pelo registro do usuário. Por exemplo, para os registros de usuário LDAP (Lightweight Directory Access Protocol), esse valor é o sufixo de domínio, como: "o=ibm,c=us"

[Windows]As plataformas Windows requerem que o sufixo do domínio esteja entre aspas.

É possível utilizar o comando pdadmin user show para exibir o DN (Nome Distinto) para um usuário.

-j fully_qualified_pathname
O caminho e o nome completos do arquivo admin-authz.xml do aplicativo Java™ 2 Platform, Enterprise Edition, ou do arquivo de definições de funções naming-authz.xml, que é utilizado para uma autorização de operação de nomenclatura. Opcionalmente, esse caminho pode ser um diretório de um aplicativo corporativo expandido. Por exemplo, quando o WebSphere Application Server é instalado no local padrão, o caminho para os arquivos de dados a serem migrados inclui:
[Solaris][Linux][HP-UX]
file:/opt/IBM/WebSphere/AppServer/profiles/profile_name/config/cells
/cell_name/admin-authz.xml
[AIX]
file:/usr/IBM/WebSphere/AppServer/profiles/profile_name/config/cells
/cell_name/admin-authz.xml
[Windows]
“C:/Program Files/IBM/WebSphere/AppServer/profiles/profile_name/config/cells
/cell_name/admin-authz.xml”
[IBM i][z/OS]
profile_root/config/cells/cell_name
-p Tivoli_Access_Manager_administrator_password
A senha para o usuário administrativo do Tivoli Access Manager. O usuário administrativo deve ter os privilégios requeridos para criar usuários, objetos e ACLs (Access Control Lists). Por exemplo, é possível especificar a senha -p myPassword para o usuário administrativo -a sec_master.

Quando este parâmetro não estiver especificado, será solicitado que o usuário forneça a senha para o nome do usuário administrativo.

[AIX Solaris HP-UX Linux Windows][z/OS]-r root_objectspace_name
[AIX Solaris HP-UX Linux Windows][z/OS]O nome do espaço do objeto raiz. O valor é o nome da raiz da hierarquia do espaço de nomes do objeto protegido criado para os dados de política do WebSphere Application Server.

O valor padrão para o espaço do objeto raiz é WebAppServer.

Defina o nome de espaços do objeto raiz do Tivoli Access Manager modificando o arquivo amwas.amjacc.template.properties antes de configurar o provedor JACC (Java Authorization Contract for Containers) para o Tivoli Access Manager pela primeira vez. Utilize essa opção se o valor do espaço de objeto padrão não for utilizado na configuração do provedor JACC do Tivoli Access Manager para o Tivoli Access Manager.

Não altere o nome do espaço de objetos do Tivoli Access Manager depois de configurar o provedor JACC do Tivoli Access Manager.

[AIX Solaris HP-UX Linux Windows][z/OS]-t ssl_timeout
[AIX Solaris HP-UX Linux Windows][z/OS]O número de minutos para o tempo limite de SSL (Secure Sockets Layer). Esse parâmetro é utilizado para desconectar e reconectar o contexto de SSL entre o servidor de autorização do Tivoli Access Manager e o servidor de política, antes que o tempo limite de conexão seja atingido.

O padrão é 60 minutos. O valor mínimo é 10 minutos. O valor máximo não pode exceder o valor ssl-v3-timeout do Tivoli Access Manager. O valor padrão para ssl-v3-timeout é 120 minutos.

Se você não estiver familiarizado com a administração desse valor, poderá utilizar com segurança o valor padrão.

-w WebSphere_Application_Server_administrator_user_name
O nome do usuário que é configurado no campo Registro do Usuário de Segurança do WebSphere Application Server como o administrador. Este valor corresponde à conta criada ou importada no Creating the security administrative user for Tivoli Access Manager. A permissão de acesso para esse usuário é necessária para criar ou atualizar o espaço de objeto protegido do Tivoli Access Manager.

Se o usuário administrativo do WebSphere Application Server ainda não existir no espaço de objeto protegido, ele será criado ou importado. Nesse caso, uma senha aleatória é gerada para o usuário e a conta é definida como inválida. Altere essa senha para um valor conhecido e defina a conta como válida.

São criados um objeto protegido e a ACL (Lista de Controle de Acesso). O usuário administrativo é incluído no grupo pdwas-admin com os seguintes atributos ACL:
O
Atravessar Permissão
é
Chamar Permissão
WebAppServer
É possível sobrescrever o nome do grupo de ação. O nome padrão é WebAppServer. Esse nome de grupo de ação e o espaço do objeto raiz correspondente podem ser sobrescritos quando o utilitário de migração for executado com a opção -r.
-z role_mapping_location
O local no qual o mapeamento de função deve ser armazenado ao migrar aplicativos de administração. O local padrão é colocar o mapeamento de função na estrutura de diretórios atual, tal como:
 /WebAppServer/deployedResouces
A especificação da opção -z inclui um outro nível de diretório no qual o mapeamento de função é armazenado. Por exemplo, se você especificar -z Roles no utilitário migrateEAR, o mapeamento de função será armazenado na estrutura de diretórios da seguinte forma:
/WebAppServer/deployedResouces/Roles
Evitar Problemas Evitar Problemas: Se a opção -z estiver especificada, deve-se atualizar manualmente o valor da propriedade com.tivoli.pd.as.rbpf.RoleContainerName nos arquivos amwas.node_name.amjacc.properties e no amwas.node_name.authztable.properties, de modo que valor corresponda ao valor especificado para a opção -z. Não é necessário reiniciar o WebSphere Application Server após atualizar o valor da propriedade com.tivoli.pd.as.rbpf.RoleContainerName.gotcha

Comentários

Esse utilitário migra as informações de política de segurança de descritores de implementação ou de arquivos archive corporativos para o Tivoli Access Manager for WebSphere Application Server. O script chama a classe com.tivoli.pdwas.migrate.Migrate Java.

[AIX Solaris HP-UX Linux Windows][z/OS]Antes de chamar o script, você deve executar os comandos setupCmdLine.bat ou setupCmdLine.sh. Esses arquivos podem ser localizados no diretório %WAS_HOME%/bin.

[IBM i]Antes de chamar o script, você deve executar o script setupCmdLine a partir da linha de comandos Qshell. É possível localizar esse arquivo no diretório profile_root/bin, em que profile_root é seu caminho de instalação. Em uma instalação padrão, profile_root é app_server_rootND.

[IBM i][AIX Solaris HP-UX Linux Windows][z/OS]O script depende de encontrar as variáveis de ambiente corretas para o local dos pré-requisitos de software.

[AIX Solaris HP-UX Linux Windows][z/OS]O script chama o código Java com as seguintes opções:
-Dpdwas.lang.home
O diretório que contém as bibliotecas de suporte a idioma nativo que são fornecidas com o provedor JACC para o Tivoli Access Manager. Essas bibliotecas estão localizadas em um subdiretório no provedor JACC para o diretório de instalação do Tivoli Access Manager. Por exemplo: -Dpdwas.lang.home=%PDWAS_HOME%\java\nls
-cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate
A variável CLASSPATH deve ser configurada corretamente para sua instalação Java.
[Windows]A opção -j e a opção -c podem fazer referência à variável %WAS_HOME% para determinar onde o WebSphere Application Server será instalado. Essas informações são utilizadas para:
  • Construir o nome completo do caminho do arquivo archive corporativo.
  • Construir o nome completo do URI da localização do arquivo PdPerm.properties.

Para ativar um novo acesso de usuário para o grupo administrativo no WebSphere Application Server, é recomendável incluir o usuário no grupo pdwas-admin após a ativação do JACC. É possível incluir o ID primário administrativo (adminID) no grupo. Isso é necessário quando o serverID não é o mesmo adminID.

Este é um exemplo desse comando:
pdadmin> group modify pdwas-admin add adminID

Códigos de retorno

O utilitário pode retornar os seguintes códigos de status de saída:
0
O comando foi concluído com êxito.
1
O comando falhou.

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_TAM_JACC_migrateear
Nome do arquivo: rsec_TAM_JACC_migrateear.html