Utilitário migrateEAR para Tivoli Access Manager
O utilitário migrateEAR migra as alterações feitas em usuários e grupos do console nos arquivos admin-authz.xml e naming-authz.xml para o espaço de objeto do Tivoli Access Manager.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Sintaxe
migrateEAR
-j fully_qualified_filename
-c pdPerm.properties_file_location
-a Tivoli_Access_Manager_administrator_ID
-p Tivoli_Access_Manager_administrator_password
-w WebSphere_Application_Server_administrator_user_name
-d user_registry_domain_suffix
[-r root_objectspace_name]
[-t ssl_timeout]
[-z role_mapping_location]
![[IBM i]](../images/iseries.gif)
Sintaxe
migrateEAR -profile_name default
-j fully_qualified_filename
-a Tivoli_Access_Manager_administrator_ID
-p Tivoli_Access_Manager_administrator_password
-w WebSphere_Application_Server_administrator_user_name
-d user_registry_domain_suffix
-c PdPerm.properties_file_location
[-z role_mapping_location]
- O parâmetro -j utiliza como padrão o arquivo: profile_root/config/cells/cell_name/admin-authz.html
- O parâmetro -c utiliza como padrão: file:profile_root/etc/pd/PdPerm.properties. A saída do utilitário é registrada no arquivo pdwas_migrate.log. O arquivo pdwas_migrate.log é criado no diretório profile_root/logs.
- O parâmetro -profile_name é opcional e utiliza como padrão o nome do perfil padrão.
Parâmetros
![[Windows]](../images/windows.gif)
- -aTivoli_Access_Manager_administrator_ID
- O identificador do usuário administrativo. O usuário administrativo deve ter os privilégios necessários para criar usuários, objetos e
ACLs (Access Control Lists). Por exemplo, -a
sec_master.
Esse parâmetro é opcional. Quando o parâmetro não é especificado, é solicitado que você o forneça no tempo de execução.
- -c PdPerm.properties_file_location
- O local do URI (Uniform Resource Indicator) do arquivo PdPerm.properties configurado pelo utilitário
pdwascfg. Quando o WebSphere Application Server é instalado no local padrão, o URI é:
file:/opt/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
arquivo:/usr/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
arquivo:/"C:/Arquivos de Programas/IBM/WebSphere/AppServer/java/jre/PdPerm.properties”
- -d user_registry_domain_suffix
- O sufixo do domínio para ser utilizado pelo registro do usuário. Por exemplo,
para os registros de usuário LDAP (Lightweight Directory Access Protocol), esse valor
é o sufixo de domínio, como: "o=ibm,c=us"
As plataformas Windows requerem que o sufixo do domínio esteja entre aspas.
É possível utilizar o comando pdadmin user show para exibir o DN (Nome Distinto) para um usuário.
- -j fully_qualified_pathname
- O caminho e o nome completos do arquivo admin-authz.xml do aplicativo Java™ 2 Platform, Enterprise Edition, ou do arquivo de definições de funções naming-authz.xml, que é utilizado para uma autorização de operação de nomenclatura. Opcionalmente, esse caminho pode ser um diretório de um aplicativo corporativo expandido. Por exemplo, quando o WebSphere Application
Server é instalado no local padrão, o caminho para os arquivos de dados a serem migrados inclui:
file:/opt/IBM/WebSphere/AppServer/profiles/profile_name/config/cells /cell_name/admin-authz.xml
file:/usr/IBM/WebSphere/AppServer/profiles/profile_name/config/cells /cell_name/admin-authz.xml
“C:/Program Files/IBM/WebSphere/AppServer/profiles/profile_name/config/cells /cell_name/admin-authz.xml”
- -p Tivoli_Access_Manager_administrator_password
- A senha para o usuário administrativo do Tivoli Access Manager. O usuário administrativo deve ter os privilégios requeridos para criar usuários, objetos e ACLs (Access Control Lists). Por exemplo, é possível especificar a senha -p myPassword para o usuário administrativo -a
sec_master.
Quando este parâmetro não estiver especificado, será solicitado que o usuário forneça a senha para o nome do usuário administrativo.
-r root_objectspace_name
O nome do espaço do objeto raiz. O valor é o nome da raiz da hierarquia do espaço de nomes do objeto protegido criado para os dados de política do WebSphere Application Server.
O valor padrão para o espaço do objeto raiz é WebAppServer.
Defina o nome de espaços do objeto raiz do Tivoli Access Manager modificando o arquivo amwas.amjacc.template.properties antes de configurar o provedor JACC (Java Authorization Contract for Containers) para o Tivoli Access Manager pela primeira vez. Utilize essa opção se o valor do espaço de objeto padrão não for utilizado na configuração do provedor JACC do Tivoli Access Manager para o Tivoli Access Manager.
Não altere o nome do espaço de objetos do Tivoli Access Manager depois de configurar o provedor JACC do Tivoli Access Manager.
-t ssl_timeout
O número de minutos para o tempo limite de SSL (Secure Sockets Layer). Esse parâmetro é utilizado para desconectar e reconectar o contexto de SSL entre o servidor de autorização do Tivoli Access Manager e o servidor de política, antes que o tempo limite de conexão seja atingido.
O padrão é 60 minutos. O valor mínimo é 10 minutos. O valor máximo não pode exceder o valor ssl-v3-timeout do Tivoli Access Manager. O valor padrão para ssl-v3-timeout é 120 minutos.
Se você não estiver familiarizado com a administração desse valor, poderá utilizar com segurança o valor padrão.
- -w WebSphere_Application_Server_administrator_user_name
- O nome do usuário que é configurado no campo Registro do Usuário de Segurança do WebSphere Application Server como o administrador. Este valor corresponde
à conta criada ou importada no Creating the security administrative user for Tivoli Access Manager. A permissão de acesso para esse usuário é necessária para criar ou atualizar o espaço de objeto protegido do Tivoli Access
Manager.
Se o usuário administrativo do WebSphere Application Server ainda não existir no espaço de objeto protegido, ele será criado ou importado. Nesse caso, uma senha aleatória é gerada para o usuário e a conta é definida como inválida. Altere essa senha para um valor conhecido e defina a conta como válida.
São criados um objeto protegido e a ACL (Lista de Controle de Acesso). O usuário administrativo é incluído no grupo pdwas-admin com os seguintes atributos ACL:- O
- Atravessar Permissão
- é
- Chamar Permissão
- WebAppServer
- É possível sobrescrever o nome do grupo de ação. O nome padrão é WebAppServer. Esse nome de grupo de ação e o espaço do objeto raiz correspondente podem ser sobrescritos quando o utilitário de migração for executado com a opção -r.
- -z role_mapping_location
- O local no qual o mapeamento de função deve ser armazenado ao migrar aplicativos de
administração. O local padrão é colocar o mapeamento de função na estrutura de diretórios
atual, tal como:
/WebAppServer/deployedResouces
A especificação da opção -z inclui um outro nível de diretório no qual o mapeamento de função é armazenado. Por exemplo, se você especificar -z Roles no utilitário migrateEAR, o mapeamento de função será armazenado na estrutura de diretórios da seguinte forma:/WebAppServer/deployedResouces/Roles
Evitar Problemas: Se a opção -z estiver especificada, deve-se atualizar manualmente o valor da propriedade com.tivoli.pd.as.rbpf.RoleContainerName nos arquivos amwas.node_name.amjacc.properties e no amwas.node_name.authztable.properties, de modo que valor corresponda ao valor especificado para a opção -z. Não é necessário reiniciar o WebSphere Application Server após atualizar o valor da propriedade com.tivoli.pd.as.rbpf.RoleContainerName.gotcha
Comentários
Esse utilitário migra as informações de política de segurança de descritores de implementação ou de arquivos archive corporativos para o Tivoli Access Manager for WebSphere Application Server. O script chama a classe com.tivoli.pdwas.migrate.Migrate Java.
Antes de chamar o script, você deve executar os comandos setupCmdLine.bat ou setupCmdLine.sh.
Esses arquivos podem ser localizados no diretório %WAS_HOME%/bin.
Antes de
chamar o script, você deve executar o script setupCmdLine a partir da linha de comandos
Qshell. É possível localizar esse arquivo no diretório profile_root/bin, em que
profile_root é seu caminho de instalação. Em uma instalação padrão, profile_root é app_server_rootND.
O
script depende de encontrar as variáveis de ambiente corretas para o local dos pré-requisitos de software.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
- -Dpdwas.lang.home
- O diretório que contém as bibliotecas de suporte a idioma nativo que são fornecidas com o provedor JACC para o Tivoli Access Manager. Essas bibliotecas estão localizadas em um subdiretório no provedor JACC para o diretório de instalação do Tivoli Access Manager. Por exemplo: -Dpdwas.lang.home=%PDWAS_HOME%\java\nls
- -cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate
- A variável CLASSPATH deve ser configurada corretamente para sua instalação Java.
![[Windows]](../images/windows.gif)
- Construir o nome completo do caminho do arquivo archive corporativo.
- Construir o nome completo do URI da localização do arquivo PdPerm.properties.
Para ativar um novo acesso de usuário para o grupo administrativo no WebSphere Application Server, é recomendável incluir o usuário no grupo pdwas-admin após a ativação do JACC. É possível incluir o ID primário administrativo (adminID) no grupo. Isso é necessário quando o serverID não é o mesmo adminID.
pdadmin> group modify pdwas-admin add adminID
Códigos de retorno
- 0
- O comando foi concluído com êxito.
- 1
- O comando falhou.