Tivoli Access Manager 的 migrateEAR 实用程序
migrateEAR 实用程序将 admin-authz.xml 和 naming-authz.xml 文件中对控制台用户和组所作的更改迁移到 Tivoli® Access Manager 对象空间。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
语法
migrateEAR
-j fully_qualified_filename
-c pdPerm.properties_file_location
-a Tivoli_Access_Manager_administrator_ID
-p Tivoli_Access_Manager_administrator_password
-w WebSphere_Application_Server_administrator_user_name
-d user_registry_domain_suffix
[-r root_objectspace_name]
[-t ssl_timeout]
[-z role_mapping_location]
![[IBM i]](../images/iseries.gif)
语法
migrateEAR -profile_name default
-j fully_qualified_filename
-a Tivoli_Access_Manager_administrator_ID
-p Tivoli_Access_Manager_administrator_password
-w WebSphere_Application_Server_administrator_user_name
-d user_registry_domain_suffix
-c PdPerm.properties_file_location
[-z role_mapping_location]
- -j 参数缺省为以下文件:profile_root/config/cells/cell_name/admin-authz.html
- -c 参数缺省为:file:profile_root/etc/pd/PdPerm.properties。实用程序的输出记录在 pdwas_migrate.log 文件中。pdwas_migrate.log 文件是在 profile_root/logs 目录中创建的。
- -profile_name 参数是可选的,它缺省为缺省概要文件名称。
参数
![[Windows]](../images/windows.gif)
- -aTivoli_Access_Manager_administrator_ID
- 管理用户标识。管理用户必须具有创建用户、对象和访问控制表(ACL)所需的特权。例如,-a sec_master。
此参数是可选的。如果未指定此参数,就会在运行时提示您提供它。
- -c PdPerm.properties_file_location
- pdwascfg 实用程序配置的 PdPerm.properties
文件的统一资源指示符 (URI) 位置。当 WebSphere Application Server 安装在缺省位置时,此 URI 为:
file:/opt/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
file:/usr/IBM/WebSphere/AppServer/java/jre/PdPerm.properties
file:/"C:/Program Files/IBM/WebSphere/AppServer/java/jre/PdPerm.properties”
- -d user_registry_domain_suffix
- 要使用的用户注册表的域后缀。例如,对于轻量级目录访问协议 (LDAP) 用户注册表,此值是域后缀,例如:"o=ibm,c=us"。
Windows 平台要求为域后缀加上引号。
可使用 pdadmin user show 命令来显示用户的专有名称 (DN)。
- -j fully_qualified_pathname
- Java™ 2 Platform, Enterprise Edition 应用程序归档文件 admin-authz.xml 或者用于命名操作授权的角色定义文件 naming-authz.xml
的标准路径和文件名。(可选)此路径也可以是展开的企业应用程序的目录。例如,当 WebSphere Application Server 安装在缺省位置时,要迁移的数据文件的路径包括:
file:/opt/IBM/WebSphere/AppServer/profiles/profile_name/config/cells /cell_name/admin-authz.xml
file:/usr/IBM/WebSphere/AppServer/profiles/profile_name/config/cells /cell_name/admin-authz.xml
“C:/Program Files/IBM/WebSphere/AppServer/profiles/profile_name/config/cells /cell_name/admin-authz.xml”
- -p Tivoli_Access_Manager_administrator_password
- Tivoli Access Manager 管理用户的密码。管理用户必须具有创建用户、对象和访问控制表 (ACL) 所需的特权。例如,可将 -a sec_master 管理用户的密码指定为 -p myPassword。
未指定此参数时,将提示用户提供管理用户名的密码。
-r root_objectspace_name
根对象的空间名。此值是为 WebSphere Application Server 策略数据创建的受保护对象名称空间层次结构的根的名称。
根对象空间的缺省值为 WebAppServer。
第一次为 Tivoli Access Manager 配置 Java Authorization Contract for Containers (JACC) 提供程序之前,通过修改 amwas.amjacc.template.properties 文件来设置 Tivoli Access Manager 根对象空间名。如果在 Tivoli Access Manager 的 Tivoli Access Manager JACC 提供程序的配置中未使用缺省对象空间值,那么使用此选项。
在配置 Tivoli Access Manager JACC 提供程序之后,请不要更改 Tivoli Access Manager 对象空间名。
-t ssl_timeout
安全套接字层 (SSL) 超时分钟数。此参数用于在缺省连接超时之前将 Tivoli Access Manager 授权服务器与策略服务器之间的 SSL 上下文断开连接并进行重新连接。
缺省值为 60 分钟。最小值是 10 分钟。最大值不能超过 Tivoli Access Manager ssl-v3-timeout 值。ssl-v3-timeout 的缺省值为 120 分钟。
如果您不熟悉如何管理此值,那么安全的做法是使用缺省值。
- -w WebSphere_Application_Server_administrator_user_name
- 在 WebSphere Application Server 安全用户注册表字段中配置为管理员的用户名。此值与您在为 Tivoli Access Manager 创建安全性管理用户中创建或导入的帐户相匹配。要创建或更新受 Tivoli Access Manager 保护的对象空间,需要此用户的访问许可权。
当受保护对象空间中还不存在 WebSphere Application Server 管理用户时,将创建或导入该用户。在这种情况下,会为此用户生成随机密码并将该帐户设置成无效。请将此密码更改为已知的值并将该帐户设置成有效。
将创建受保护对象和访问控制表(ACL)。并且,会将管理用户添加到具有以下 ACL 属性的 pdwas-admin 组:- T
- 遍历许可权
- i
- 调用许可权
- WebAppServer
- 您可以覆盖操作组名。缺省名称是 WebAppServer。在指定了 -r 选项的情况下运行迁移实用程序时,将覆盖此操作组名和匹配的根对象空间。
- -z role_mapping_location
- 迁移管理应用程序时存储角色映射的位置。缺省位置是将角色映射放入当前目录结构中,例如:
/WebAppServer/deployedResouces
指定 -z 选项时将添加另一目录级别以存储角色映射。例如,如果您在 migrateEAR 实用程序中指定 -z Roles,那么会将角色映射存储在目录结构中,如下所示:/WebAppServer/deployedResouces/Roles
避免故障: 如果指定了 -z 选项,那么必须手动更新 amwas.node_name.amjacc.properties 文件和 amwas.node_name.authztable.properties 文件中 com.tivoli.pd.as.rbpf.RoleContainerName 属性的值,以便此值与对 -z 选项指定的值相匹配。 更新 com.tivoli.pd.as.rbpf.RoleContainerName 属性的值之后,不必重新启动 WebSphere Application Servergotcha
注释
此实用程序将安全策略信息从部署描述符或企业归档文件迁移到用于 WebSphere Application Server 的 Tivoli Access Manager。此脚本调用 com.tivoli.pdwas.migrate。迁移 Java 类。
在调用此脚本之前,必须运行 setupCmdLine.bat 或
setupCmdLine.sh 命令。可以在 %WAS_HOME%/bin 目录中找到这些文件。
在调用此脚本之前,必须从 Qshell 命令行运行 setupCmdLine 脚本。可以在
profile_root/bin 目录中找到此文件,其中
profile_root 是安装路径。在缺省安装中,profile_root 是
app_server_rootND。
此脚本依赖于找到必备软件位置的正确环境变量。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
- -Dpdwas.lang.home
- 包含与 Tivoli Access Manager JACC 提供程序一起提供的本地语言支持库的目录。这些库位于 Tivoli Access Manager JACC 提供程序安装目录下的子目录中。例如:-Dpdwas.lang.home=%PDWAS_HOME%\java\nls
- -cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate
- 必须为 Java 安装正确设置 CLASSPATH 变量。
![[Windows]](../images/windows.gif)
- 构建企业归档文件的完整路径名。
- 构建 PdPerm.properties 文件位置的完整 URI 路径名。
要允许新的用户访问 WebSphere Application Server 中的管理组,建议在启用 JACC 后将该用户添加至 pdwas-admin 组。可在该组中输入管理主标识(adminID)。当 serverID 不同于 adminID 时,这是必需的。
pdadmin> group modify pdwas-admin add adminID
返回码
- 0
- 命令已成功完成。
- 1
- 命令已失败。