Tivoli Access Manager 单点登录的 com.tivoli.pd.jcfg.SvrSslCfg 实用程序
可使用该实用程序来配置和移除与 WebSphere® Application Server 和 Tivoli® Access Manager 服务器相关联的配置信息。
用途
svrsslcfg
脚本创建用户帐户和服务器项,这些服务器项用于表示 Tivoli Access Manager 用户注册表中的 WebSphere Application Server 概要文件。此外,将在应用程序服务器概要文件中创建配置文件和 Java™ 密钥库文件,后者将安全地存储客户机证书。此客户机证书允许调用者使用 Tivoli Access Manager 认证服务。还可选择从用户注册表移除用户和服务器项,并清除本地配置和密钥库文件。
svrsslcfg
脚本包含 SvrSslCfg 类,并提供对多个 WebSphere Application Server 概要文件的支持。使用多个概要文件就可以创建多个完全相互独立的 WebSphere Application Server 环境。
首先在 Deployment Manager 上运行 svrsslcfg 脚本,然后在单元的其他节点上运行该脚本。
![[IBM i]](../images/iseries.gif)
步骤
- 使用用户概要文件和全部对象 (*ALLOBJ) 权限登录。
- 在 CL 命令行上,输入启动 Qshell (STRQSH) 命令。
- 切换至 app_server_root/bin 目录。
- 输入 svrsslcfg 命令及您想使用的选项。例如:
svrsslcfg -profileName myprofile -action config -admin_id sec_master -admin_pwd pwd123 -appsvr_id ibm9 -appsvr_pwd ibm9pwd -mode remote -port 8888 -policysvr ourserv.rochester.ibm.com:7135:1 -authzsvr ourserv.rochester.ibm.com:7136:1 -key_file profile_root/myprofile/etc/ibm9.kdb -cfg_action create
为了便于显示,以上示例分成了几行。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
语法
java com.tivoli.pd.jcfg.SvrSslCfg -action {config | unconfig} -admin_id admin_user_ID -admin_pwd admin_password -appsvr_id application_server_name -appsvr_pwd application_server_password -mode{local|remote} -host host_name_of_application_server -policysvr policy_server_name:port:rank [,...] -authzsvr authorization_server_name:port:rank [,...] -cfg_file fully_qualified_name_of_configuration_file -domain Tivoli_Acccess_Manager_domain -key_file fully_qualified_name_of_keystore_file -cfg_action {create|replace}
![[IBM i]](../images/iseries.gif)
语法
配置语法为:
svrsslcfg -action config [ -profileName profile_name ] -admin_id admin_user_id -admin_pwd admin_password -appsvr_id application_server_name -port port_number -mode { local | remote } -policysvr policy_server_name -authzsvr authorization_server_name -key_file fully_qualified_name_of_key_file -appsvr_pwd application_server_password -cfg_action { create | replace } [ -domain Tivoli_Access_Manager_domain ]
取消配置语法为:
svrsslcfg -action unconfig [ -profileName profile_name ] -admin_id admin_user_id -admin_pwd admin_password -appsvr_id application_server_name -policysvr policy_server_name [ -domain Tivoli_Access_Manager_domain ]
可将以上语法输入为连续的一行。
参数
- -action {config | unconfig}
- 指定脚本执行的配置操作。下列选项适用:
- -action config
- 配置服务器以在用户注册表中创建用户和服务器信息,并创建应用程序服务器的本地配置和密钥库文件。使用 -action unconfig 选项的操作将与此操作相反。
如果指定了此操作,那么下列选项是必需的:-admin_id、-admin_pwd、-appsvr_id、-port、-mode、-policysvr、-authzsvr 和 -key_file。
- -action unconfig
- 重新配置应用程序服务器以完成以下操作:
- 从用户注册表中移除用户和服务器信息
- 删除本地密钥库文件
- 从配置文件中移除此应用程序的信息而不删除文件
只有调用者未被授权或无法连接策略服务器时,重新配置操作才会失败。
配置文件不存在时此操作可以成功。当配置文件不存在时,会创建 它并将它用作临时文件来保存操作期间的配置信息,然后彻底删除此文件。
如果指定了此操作,那么下列选项是必需的:-admin_id、-admin_pwd、-appsvr_id 和 -policysvr。
- -admin_id admin_user_ID
- 指定 Tivoli Access Manager 管理员名称。如果未指定此选项,那么 sec_master 为缺省值。
有效的管理标识是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。管理标识中不能使用空格。
例如,对于美式英语,有效字符为:字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、 at 符号 (@)、and 符号 (&) 和星号 (*)。管理标识的最小长度和最大长度(如果有限制)由使用的注册表决定。
- -admin_password admin_password
指定与 -admin_id 参数相关联的 Tivoli Access Manager 管理员用户的密码。密码限制取决于 Tivoli Access Manager 配置的密码策略。
- -appsvr_id application_server_name
- 指定应用程序服务器的名称。将此名称与主机名组合以创建为您的应用程序创建的 Tivoli Access Manager 对象的唯一名称。以下名称保留供 Tivoli Access Manager 应用程序使用:ivacld、secmgrd、ivnet 和 ivweb。
- -appsvr_pwd application_server_password
- 指定应用程序服务器的密码。此选项是必需的。系统将创建密码,并将用此密码更新配置文件。
如果未指定此选项,那么将从标准输入读取服务器密码。
- -authzsvr authorization_server_name
- 指定与应用程序服务器通信的 Tivoli Access Manager 授权服务器的名称。服务器由标准主机名、SSL 端口号和排名指定。缺省 SSL 端口号为 7136。例如:myauth.mycompany.com:7136:1。如果这些条目用逗号 (,) 隔开,那么可以指定多个服务器。
- -cfg_action {create | replace}
- 指定创建配置和密钥文件时要采用的操作。有效值为
create 或 replace。一开始应使用 create
选项创建配置和密钥库文件。如果这些文件已经存在,那么使用 replace
选项。如果使用 create 选项并且配置或密钥库文件已经存在,那么会产生异常。选项如下所示:
- create
- 指定在服务器配置期间创建配置文件和密钥库文件。如果这些文件中的任意一个文件已存在,配置都会失败。
- replace
- 指定在服务器配置期间替换配置文件和密钥库文件。配置会删除任何现有文件并用新的文件替换它们。
-cfg_file fully_qualified_name_of_configuration_file
指定配置文件路径和名称。
文件名应该是有效的绝对文件名(标准文件名)。
- -domain Tivoli_Access_Manager_domain
- 指定用于认证管理员的 Tivoli Access Manager 域名。此域必须存在并且管理员标识和密码对于此域必须是有效的。将在此域中指定应用程序服务器。
如果未指定域名,那么将使用 Tivoli Access Manager 运行时配置期间指定的本地域。将从配置文件检索本地域值。
有效的域名是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。域名中不能使用空格。
例如,对于美式英语,域名的有效字符为:字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、 at 符号 (@)、and 符号 (&) 和星号 (*)。域名的最小长度和最大长度(如果有限制)由使用的注册表决定。
-host host_name_of_application_server
指定 Tivoli Access Manager 策略服务器用于联系此服务器的 TCP 主机名。此名称保存在使用 azn-app-host 键的配置文件中。
缺省值为操作系统返回的本地主机名。host_name 的有效值包括任何有效的 IP 主机名。
示例:host = libra
host = libra.dallas.ibm.com- -key_file fully_qualified_name_of_keystore_file
- 指定要包含服务器的密钥文件的目录。有效的目录名由操作系统确定。使用包含应用程序服务器证书和密钥文件的标准文件名。
确保服务器用户(例如,ivmgr)或所有用户具有访问 .kdb 文件和包含 .kdb 文件的文件夹的许可权。
此选项是必需的。
- -mode server_mode
指定应用程序操作的方式。此值必须是 local 或 remote。
指定应用程序服务器处理请求的方式。仅支持 remote 方式。
- -policysvr policy_server_name
指定策略服务器的名称。
指定运行与应用程序服务器通信的 Tivoli Access Manager 策略服务器 (ivmgrd) 的服务器的名称。服务器由标准主机名、SSL 端口号和排名指定。缺省 SSL 端口号为 7135。例如:mypolicy.mycompany.com:7135:1。如果这些条目用逗号 (,) 隔开,那么可以指定多个服务器。
-port port_number
指定应用程序服务器在其上侦听来自策略服务器的通信的 TCP/IP 通信端口。
-profileName profile_name
指定 WebSphere Application Server 概要文件的名称。如果未指定此选项,那么使用缺省 server1 概要文件。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
注释
成功配置 Tivoli Access Manager Java 应用程序服务器后,SvrSslCfg 将在 Tivoli Access Manager 用户注册表中创建用户帐户和表示 Java 应用程序服务器的服务器项。此外,SvrSslCfg 将在应用程序服务器上本地创建配置文件和 Java 密钥库文件,后者将安全地存储客户机证书。此客户机证书允许调用者使用已认证的 Tivoli Access Manager 服务。相反地,重新配置会从用户注册表移除用户和服务器项,并清除本地配置文件和密钥库文件。
可使用 SvrSslCfg 实用程序来修改现有配置文件的内容。 当使用除了 -action config 或 -action unconfig 的所有选项调用 SvrSslCfg 时,配置文件和密钥库文件必须已存在。
以下选项将在配置文件中解析并处理,但在此版本的 Tivoli Access Manager 中将忽略除此以外的选项。
server_name/host_name
注意,pdadmin 服务器列表命令用略有不同的格式显示服务器名:server_name-host_name
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
CLASSPATH=${WAS_HOME}/tivoli/tam/PD.jar:${WAS_CLASSPATH}
java \
-cp ${CLASSPATH} \
-Dpd.cfg.home= ${WAS_HOME}/java/jre \
-Dfile.encoding=ISO8859-1 \
-Xnoargsconversion \
com.tivoli.pd.jcfg.SvrSslCfg \
-action config \
-admin_id sec_master \
-admin_pwd $TAM_PASSWORD \
-appsvr_id $APPSVR_ID \
-policysvr ${TAM_HOST}:7135:1 \
-port 7135 \
-authzsvr ${TAM_HOST}:7136:1 \
-mode remote \
-cfg_file ${CFG_FILE} \
-key_file ${KEY_FILE} \
-cfg_action create