AdminTask 对象的 TAMConfig 命令组

要通过 wsadmin 工具配置嵌入式 IBM® Tivoli® Access Manager,可以使用 Jython 或 Jacl 脚本语言来实现。TAMConfig 组中的命令和参数可用于配置或取消配置 Tivoli Access Manager。

configureTAM

使用 configureTAM 命令来手动配置 Tivoli Access Manager。

目标对象

无。

必需参数

无。

可选参数

无。

示例

交互方式示例用法:

  • 使用 Jacl:
    $AdminTask configureTAM {-interactive}
  • 使用 Jython:
    AdminTask.configureTAM('-interactive')

listTAMSettings

listSSLRepertoires 命令显示当前的嵌入式 Tivoli Access Manager 配置设置。

目标对象

无。

必需参数

无。

可选参数

无。

示例

交互方式示例用法:
  • 使用 Jacl:
    $AdminTask listTAMSettings {-interactive}
  • 使用 Jython:
    print AdminTask.listTAMSettings('-interactive')

modifyTAM

modifyTAM 命令修改嵌入式 Tivoli Access Manager 配置设置。

目标对象

无。

必需参数

-adminPasswd
指定 Tivoli Access Manager 管理员密码。(字符串,必需)

可选参数

-adminUid
指定 Tivoli Access Manager 用户名。(字符串,可选)
-nodeName
指定一个或多个目标节点。将值设置为星号 (*) 字符以指定所有节点。(字符串,可选)

示例

交互方式示例用法:

  • 使用 Jacl:
    $AdminTask modifyTAM {-adminPasswd my11password}
  • 使用 Jython:
    AdminTask.modifyTAM('-adminPasswd my11password')
  • 使用 Jython 列表:
    AdminTask.modifyTAM(['-adminPasswd', 'my11password'])

交互方式示例用法:

  • 使用 Jacl:
    $AdminTask modifyTAM {-interactive}
  • 使用 Jython:
    AdminTask.modifyTAM('-interactive')

reconfigureTAM

reconfigureTAM 命令重新配置 Java™ Authorization Contract for Containers (JACC) Tivoli Access Manager 设置。

目标对象

无。

必需参数

无。

可选参数

无。

示例

交互方式示例用法:

  • 使用 Jacl:
    $AdminTask reconfigureTAM {-interactive}
  • 使用 Jython:
    AdminTask.reconfigureTAM('-interactive')

unconfigureTAM

unconfigureTAM 命令移除 Java Authorization Contract for Containers (JACC) Tivoli Access Manager 的配置数据。

必需参数

无。

可选参数

无。

示例

交互方式示例用法:

  • 使用 Jacl:
    $AdminTask unconfigureTAM {-interactive}
  • 使用 Jython:
    AdminTask.unconfigureTAM('-interactive')

configureTAMTAI

configureTAMTAI 命令用于配置类名为 TAMTrustAsociationInterceptorPlus 的嵌入式 Tivoli Access Manager 信任关联拦截器 (TAI)。

目标对象

无。

必需参数

-policySvr
此属性指定与应用程序服务器通信的 Tivoli Access Manager 策略服务器的名称。服务器由标准主机名、SSL 端口号和排名指定。缺省 SSL 端口号为 7135。例如:myauth.mycompany.com:7135:1
-authSvrs
此属性指定与应用程序服务器通信的 Tivoli Access Manager 授权服务器的名称。服务器由标准主机名、SSL 端口号和排名指定。缺省 SSL 端口号为 7136。例如:myauth.mycompany.com:7136:1。如果这些条目用逗号 (,) 隔开,那么可以指定多个服务器。
-adminPasswd
此属性指定与 -adminUid 参数相关联的 Tivoli Access Manager 管理员用户的密码。密码限制取决于 Tivoli Access Manager 配置的密码策略。
-loginId
“在 Tivoli Access Manager 中创建可信用户帐户”中创建的 WebSEAL 可信用户。有关更多信息,请参阅“使用信任关联拦截器 ++ 配置单点登录”一文。用户名的格式是短名称表示。

可选参数

-adminUid
此属性指定 Tivoli Access Manager 管理员名称。如果未指定此选项,那么 sec_master 为缺省值。有效的管理标识是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。管理标识中不能使用空格。

例如,对于美式英语,有效字符为:字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、 at 符号 (@)、and 符号 (&) 和星号 (*)。管理标识的最小长度和最大长度(如果有限制)由使用的注册表决定。

-secDomain
此属性指定用于认证管理员的 Tivoli Access Manager 域名。此域必须存在并且管理员标识和密码对于此域必须是有效的。将在此域中指定应用程序服务器。如果未指定应用程序服务器,那么缺省值为 Default。将从配置文件检索本地域值。

有效的域名是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。域名中不能使用空格。

例如,对于美国英语,有效的域名字符是字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、at 符号 (@)、and 符号 (&) 和星号 (*)。域名的最小长度和最大长度(如果有限制)由使用的注册表决定。

-checkViaHeader
可以配置 TAI,以便在为请求验证信任时可以忽略 via 头。如果不需要信任 via 头中的主机,那么将此属性设置为 false。设置为 false 时,您不需要设置可信的主机名和主机端口属性。当 via 头为 false 时唯一要检查的强制属性是 com.ibm.websphere.security.webseal.loginId。检查 via 头属性的缺省值为 false。将 Tivoli Access Manager 插件用于 Web 服务器时,请将此属性设置为 false。
注: via 头是标准 HTTP 头的一部分,它记录请求已通过的服务器名。
-id
此属性指定请求中存在的以逗号分隔的头列表。如果请求中并非存在所有已配置头,那么不能建立信任。标识属性的缺省值为 iv-creds。WebSphere® Application Server 中设置的任何其他值与 iv-creds 一起添加到列表中,由逗号分隔。
-hostnames
如果要将 Tivoli Access Manager 插件用于 Web 服务器,请勿设置此属性。此属性指定可信并且在请求头中需要的主机名(区分大小写)。从未列示的主机到达的请求可能不可信。如果 checkViaHeader 属性未设置或设置为 false,那么可信的主机名属性没有影响。如果 checkViaHeader 属性设置为 true,而可信主机名属性未设置,那么 TAI 初始化将失败。
-ports
如果要将 Tivoli Access Manager 插件用于 Web 服务器,请勿设置此属性。此属性是以逗号分隔的可信主机端口列表。从未列示端口到达的请求可能不可信。如果 checkViaHeader 属性未设置或设置为 false,那么此属性没有影响。如果 checkViaHeader 属性设置为 true,而 WebSphere Application Server 中的可信主机端口属性未设置,那么 TAI 初始化会失败。
-viaDepth
此属性指示一个正整数,它指定 via 头中要检查信任的源主机数。缺省情况下,将检查 via 头中的每个主机,如果有任何主机不可信,那么不能建立信任。当仅需要信任 via 头中的某些主机时,将使用 viaDepth 属性。该设置指示需要信任的主机(从头的右端开始)数目。

例如,考虑以下头:

via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001:如果 viaDepth 属性未设置、设置为 2 或设置为 0,且接收到具有先前 via 头的请求,那么需要信任 webseal1:7002 和 webseal2:7001。那么将应用以下配置:
com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2
com.ibm.websphere.security.webseal.ports = 7002,7001:如果 viaDepth 属性设置为 1 且接收到先前的请求,那么只需要信任 via 头中的最后一个主机。那么将应用以下配置:
com.ibm.websphere.security.webseal.hostnames = webseal2 
com.ibm.websphere.security.webseal.ports = 7001

缺省情况下,viaDepth 属性设置为 0,这意味着将检查 via 头中所有主机的信任。

-ssoPwdExpiry
在为请求建立信任后,将高速缓存单点登录用户密码,这样 TAI 就不需要使用 Tivoli Access Manager 对单点登录用户的每个请求进行重新认证。通过将单点登录密码到期属性设置为必需的时间(以秒计),可以修改高速缓存超时周期。如果密码到期属性设置为 0,那么高速缓存的密码永不到期。密码到期属性的缺省值为 600。
-ignoreProxy
此属性可用于通知 TAI 不将代理计为可信主机。如果将它设置为 true,那么会检查 via 头中主机条目的注释字段,以确定主机是否是代理。请记住,并非所有代理都会在 via 头中插入注释来表明它们是代理。ignoreProxy 属性的缺省值为 false。如果 checkViaHeader 属性设置为 false,那么 ignoreProxy 属性对建立信任没有影响。
-configURL
要使 TAI 为请求建立信任,TAI 要求在应用程序服务器上对 Java 虚拟机运行 SvrSslCfg 任务并因此创建属性文件。如果此属性文件不是位于缺省 URL 处(缺省 URL 为 file://java.home/PdPerm.properties),那么必须在配置 URL 属性中设置此属性文件的正确 URL。如果未设置此属性,或 SvrSslCfg 生成的属性文件不在缺省位置,那么 TAI 初始化会失败。配置 URL 属性的缺省值为 file://${WAS_INSTALL_ROOT}/java/jre/PdPerm.properties。
-defer
此属性指示此任务的 Tivoli Access Manager 配置部分是应该立即运行,还是应该推迟到 WebSphere Application Server 启动之后进行。缺省值为 no
注: 无论此设置如何,都将立即更新 TAI 属性。

示例

交互方式示例用法:

  • 使用 Jacl:
    $AdminTask configureTAMTAI {-interactive}
  • 使用 Jython:
    AdminTask.configureTAMTAI('-interactive')

unconfigureTAMTAI

unconfigureTAMTAI 命令用于取消配置类名为 TAMTrustAsociationInterceptorPlus 的嵌入式 Tivoli Access Manager 信任关联拦截器。此任务不会从安全配置中移除任何定制属性。

目标对象

无。

必需参数

-adminPasswd
指定与 -adminUid 参数相关联的 Tivoli Access Manager 管理员用户的密码。密码限制取决于 Tivoli Access Manager 配置的密码策略。

可选参数

-adminUid
指定 Tivoli Access Manager 管理员名称。如果未指定此选项,那么 sec_master 为缺省值。有效的管理标识是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。管理标识中不能使用空格。

例如,对于美式英语,有效字符为:字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、 at 符号 (@)、and 符号 (&) 和星号 (*)。管理标识的最小长度和最大长度(如果有限制)由使用的注册表决定。

-force
指示遇到错误时是否应该停止此任务。缺省值为 no。
-defer
指示此任务是应该立即运行,还是应该推迟到 WebSphere Application Server 启动之后进行。缺省值为 no。

示例

交互方式示例用法:

  • 使用 Jacl:
    $AdminTask unconfigureTAMTAI {-interactive}
  • 使用 Jython:
    AdminTask.unconfigureTAMTAI('-interactive')

configureTAMTAIProperties

configureTAMTAIProperties 命令用于对类名为 TAMTrustAsociationInterceptorPlus 的嵌入式 Tivoli Access Manager 信任关联拦截器的安全配置添加定制属性。

目标对象

无。

必需参数

-loginId
WebSEAL 可信用户将以“在 Tivoli Access Manager 中创建可信用户帐户”所述的方式进行创建。有关更多信息,请参阅“使用信任关联拦截器 ++ 配置单点登录”一文。用户名的格式是短名称表示。

可选参数

-checkViaHeader
可以配置 TAI,以便在为请求验证信任时可以忽略 via 头。如果不需要信任 via 头中的主机,那么将此属性设置为 false。设置为 false 时,您不需要设置可信的主机名和主机端口属性。当 via 头为 false 时唯一要检查的强制属性是 com.ibm.websphere.security.webseal.loginId。检查 via 头属性的缺省值为 false。将 Tivoli Access Manager 插件用于 Web 服务器时,请将此属性设置为 false。
注: via 头是标准 HTTP 头的一部分,它记录请求已通过的服务器名。
-id
此属性指示请求中存在的以逗号分隔的头列表。如果请求中并非存在所有已配置头,那么不能建立信任。标识属性的缺省值为 iv-creds。WebSphere Application Server 中设置的任何其他值与 iv-creds 一起添加到列表中,由逗号分隔。
-hostnames
如果要将 Tivoli Access Manager 插件用于 Web 服务器,那么不要设置此属性。此属性指定可信并且在请求头中需要的主机名(区分大小写)。从未列示的主机到达的请求可能不可信。如果 checkViaHeader 属性未设置或设置为 false,那么可信的主机名属性没有影响。如果 checkViaHeader 属性设置为 true,而可信主机名属性未设置,那么 TAI 初始化将失败。
-ports
如果要将 Tivoli Access Manager 插件用于 Web 服务器,请勿设置此属性。此属性是以逗号分隔的可信主机端口列表。从未列示端口到达的请求可能不可信。如果 checkViaHeader 属性未设置或设置为 false,那么此属性没有影响。如果 checkViaHeader 属性设置为 true,而 WebSphere Application Server 中的可信主机端口属性未设置,那么 TAI 初始化会失败。
-viaDepth
此属性指示一个正整数,它指定 via 头中要检查信任的源主机数。缺省情况下,将检查 via 头中的每个主机,如果有任何主机不可信,那么不能建立信任。当仅需要信任 via 头中的某些主机时,将使用 viaDepth 属性。该设置表明必须信任的主机数。

作为示例,请考虑以下头:

via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001:如果 viaDepth 属性未设置、设置为 2 或设置为 0,且接收到具有先前 via 头的请求,那么需要信任 webseal1:7002 和 webseal2:7001。那么将应用以下配置:
com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2
com.ibm.websphere.security.webseal.ports = 7002,7001:如果 viaDepth 属性设置为 1 且接收到先前的请求,那么只需要信任 via 头中的最后一个主机。那么将应用以下配置:
com.ibm.websphere.security.webseal.hostnames = webseal2 
com.ibm.websphere.security.webseal.ports = 7001

缺省情况下,viaDepth 属性设置为 0,这意味着将检查 via 头中所有主机的信任。

-ssoPwdExpiry
此属性可用于通知 TAI 不将代理计为可信主机。如果将它设置为 true,那么会检查 via 头中主机条目的注释字段,以确定主机是否是代理。请记住,并非所有代理都会在 via 头中插入注释来表明它们是代理。ignoreProxy 属性的缺省值为 false。如果 checkViaHeader 属性设置为 false,那么 ignoreProxy 属性对建立信任没有影响。
-viaDepth
此属性指示一个正整数,它指定 via 头中要检查信任的源主机数。缺省情况下,将检查 via 头中的每个主机,如果有任何主机不可信,那么不能建立信任。当仅需要信任 via 头中的某些主机时,将使用 viaDepth 属性。该设置表明必须信任的主机数。
-ssoPwdExpiry
在为请求建立信任后,将高速缓存单点登录用户密码,这样 TAI 就不需要使用 Tivoli Access Manager 对单点登录用户的每个请求进行重新认证。通过将单点登录密码到期属性设置为必需的时间(以秒计),可以修改高速缓存超时周期。如果密码到期属性设置为 0,那么高速缓存的密码永不到期。密码到期属性的缺省值为 600。
-ignoreProxy
此属性可用于通知 TAI 不将代理计为可信主机。如果将它设置为 true,那么会检查 via 头中主机条目的注释字段,以确定主机是否是代理。请记住,并非所有代理都会在 via 头中插入注释来表明它们是代理。ignoreProxy 属性的缺省值为 false。如果 checkViaHeader 属性设置为 false,那么 ignoreProxy 属性对建立信任没有影响。
-configURL
要使 TAI 为请求建立信任,TAI 要求在应用程序服务器上对 Java 虚拟机运行 SvrSslCfg 任务并因此创建属性文件。如果此属性文件不是位于缺省 URL 处(缺省 URL 为 file://java.home/PdPerm.properties),那么必须在配置 URL 属性中设置此属性文件的正确 URL。如果未设置此属性,或 SvrSslCfg 生成的属性文件不在缺省位置,那么 TAI 初始化会失败。配置 URL 属性的缺省值为 file://${WAS_INSTALL_ROOT}/java/jre/PdPerm.properties

示例

交互方式示例用法:

  • 使用 Jacl:
    $AdminTask configureTAMTAIProperties {-interactive}
  • 使用 Jython:
    AdminTask.configureTAMTAIProperties('-interactive')

unconfigureTAMTAIProperties

unconfigureTAMTAIProperties 命令用于从类名为 TAMTrustAsociationInterceptorPlus 的嵌入式 Tivoli Access Manager 信任关联拦截器的安全配置中移除定制属性。

目标对象

无。

必需参数

无。

可选参数

无。

示例

交互方式示例用法:

  • 使用 Jacl:
    $AdminTask unconfigureTAMTAIProperties {-interactive}
  • 使用 Jython:
    AdminTask.unconfigureTAMTAIProperties('-interactive')

configureTAMTAIPdjrte

configureTAMTAIPdjrte 命令执行全面配置 Tivoli Access Manager Runtime for Java 所必需的任务。运行的具体任务是 PDJrteCfg 和 SvrSslCfg。

目标对象

无。

必需参数

-policySvr
此属性指定与应用程序服务器通信的 Tivoli Access Manager 策略服务器的名称。服务器由标准主机名、SSL 端口号和排名指定。缺省 SSL 端口号为 7135。例如:myauth.mycompany.com:7135:1
-authSvrs
此属性指定与应用程序服务器通信的 Tivoli Access Manager 授权服务器的名称。服务器由标准主机名、SSL 端口号和排名指定。缺省 SSL 端口号为 7136。例如:myauth.mycompany.com:7136:1。如果这些条目用逗号 (,) 隔开,那么可以指定多个服务器。
-adminPasswd
此属性指定与 -adminUid 参数相关联的 Tivoli Access Manager 管理员用户的密码。密码限制取决于 Tivoli Access Manager 配置的密码策略。

可选参数

-adminUid
此属性指定 Tivoli Access Manager 管理员名称。如果未指定此选项,那么 sec_master 为缺省值。有效的管理标识是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。管理标识中不能使用空格。

例如,对于美式英语,有效字符为:字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、 at 符号 (@)、and 符号 (&) 和星号 (*)。管理标识的最小长度和最大长度(如果有限制)由使用的注册表决定。

-secDomain
此属性指定用于认证管理员的 Tivoli Access Manager 域名。此域必须存在并且管理员标识和密码对于此域必须是有效的。将在此域中指定应用程序服务器。

如果未指定此属性,那么缺省值为 Default。将从配置文件检索本地域值。

有效的域名是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。域名中不能使用空格。

例如,对于美国英语,有效的域名字符是字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、at 符号 (@)、and 符号 (&) 和星号 (*)。域名的最小长度和最大长度(如果有限制)由使用的注册表决定。

-defer
此属性指示此任务是应该立即运行,还是应该推迟到 WebSphere Application Server 启动之后进行。缺省值为 no

示例

交互方式示例用法:

  • 使用 Jacl:
    $AdminTask configureTAMTAIPdjrte {-interactive}
  • 使用 Jython:
    AdminTask.configureTAMTAIPdjrte('-interactive')

unconfigureTAMTAIPdjrte

unconfigureTAMTAIPdjrte 命令执行取消配置 Tivoli Access Manager Runtime for Java 所必需的任务。运行的具体任务是 PDJrteCfg 和 SvrSslCfg。

目标对象

无。

必需参数

-adminPasswd
此属性指定与 -adminUid 参数相关联的 Tivoli Access Manager 管理员用户的密码。密码限制取决于 Tivoli Access Manager 配置的密码策略。

可选参数

-adminUid
此属性指定 Tivoli Access Manager 管理员名称。如果未指定此选项,那么 sec_master 为缺省值。有效的管理标识是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。管理标识中不能使用空格。
-force
此属性指示遇到错误时是否应该停止此任务。缺省值为 no
-defer
此属性指示此任务是应该立即运行,还是应该推迟到 WebSphere Application Server 启动之后进行。缺省值为 no

示例

交互方式示例用法:

  • 使用 Jacl:
    $AdminTask unconfigureTAMTAIPdjrte {-interactive}
  • 使用 Jython:
    AdminTask.unconfigureTAMTAIPdjrte('-interactive')

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rxml_atembedtamconfig
文件名:rxml_atembedtamconfig.html