AdminTask 对象的 TAMConfig 命令组
要通过 wsadmin 工具配置嵌入式 IBM® Tivoli® Access Manager,可以使用 Jython 或 Jacl 脚本语言来实现。TAMConfig 组中的命令和参数可用于配置或取消配置 Tivoli Access Manager。
configureTAM
使用 configureTAM 命令来手动配置 Tivoli Access Manager。
目标对象
无。必需参数
无。可选参数
无。示例
交互方式示例用法:
- 使用 Jacl:
$AdminTask configureTAM {-interactive}
- 使用 Jython:
AdminTask.configureTAM('-interactive')
listTAMSettings
listSSLRepertoires 命令显示当前的嵌入式 Tivoli Access Manager 配置设置。
目标对象
无。必需参数
无。可选参数
无。示例
交互方式示例用法:- 使用 Jacl:
$AdminTask listTAMSettings {-interactive}
- 使用 Jython:
print AdminTask.listTAMSettings('-interactive')
modifyTAM
modifyTAM 命令修改嵌入式 Tivoli Access Manager 配置设置。
目标对象
无。必需参数
- -adminPasswd
- 指定 Tivoli Access Manager 管理员密码。(字符串,必需)
可选参数
- -adminUid
- 指定 Tivoli Access Manager 用户名。(字符串,可选)
- -nodeName
- 指定一个或多个目标节点。将值设置为星号 (*) 字符以指定所有节点。(字符串,可选)
示例
交互方式示例用法:
- 使用 Jacl:
$AdminTask modifyTAM {-adminPasswd my11password}
- 使用 Jython:
AdminTask.modifyTAM('-adminPasswd my11password')
- 使用 Jython 列表:
AdminTask.modifyTAM(['-adminPasswd', 'my11password'])
交互方式示例用法:
- 使用 Jacl:
$AdminTask modifyTAM {-interactive}
- 使用 Jython:
AdminTask.modifyTAM('-interactive')
reconfigureTAM
reconfigureTAM 命令重新配置 Java™ Authorization Contract for Containers (JACC) Tivoli Access Manager 设置。
目标对象
无。必需参数
无。可选参数
无。示例
交互方式示例用法:
- 使用 Jacl:
$AdminTask reconfigureTAM {-interactive}
- 使用 Jython:
AdminTask.reconfigureTAM('-interactive')
unconfigureTAM
unconfigureTAM 命令移除 Java Authorization Contract for Containers (JACC) Tivoli Access Manager 的配置数据。
必需参数
无。可选参数
无。示例
交互方式示例用法:
- 使用 Jacl:
$AdminTask unconfigureTAM {-interactive}
- 使用 Jython:
AdminTask.unconfigureTAM('-interactive')
configureTAMTAI
configureTAMTAI 命令用于配置类名为 TAMTrustAsociationInterceptorPlus 的嵌入式 Tivoli Access Manager 信任关联拦截器 (TAI)。
目标对象
无。必需参数
- -policySvr
- 此属性指定与应用程序服务器通信的 Tivoli Access Manager 策略服务器的名称。服务器由标准主机名、SSL 端口号和排名指定。缺省 SSL 端口号为 7135。例如:myauth.mycompany.com:7135:1。
- -authSvrs
- 此属性指定与应用程序服务器通信的 Tivoli Access Manager 授权服务器的名称。服务器由标准主机名、SSL 端口号和排名指定。缺省 SSL 端口号为 7136。例如:myauth.mycompany.com:7136:1。如果这些条目用逗号 (,) 隔开,那么可以指定多个服务器。
- -adminPasswd
- 此属性指定与 -adminUid 参数相关联的 Tivoli Access Manager 管理员用户的密码。密码限制取决于 Tivoli Access Manager 配置的密码策略。
- -loginId
- “在 Tivoli Access Manager 中创建可信用户帐户”中创建的 WebSEAL 可信用户。有关更多信息,请参阅“使用信任关联拦截器 ++ 配置单点登录”一文。用户名的格式是短名称表示。
可选参数
- -adminUid
- 此属性指定 Tivoli Access Manager 管理员名称。如果未指定此选项,那么 sec_master 为缺省值。有效的管理标识是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。管理标识中不能使用空格。
例如,对于美式英语,有效字符为:字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、 at 符号 (@)、and 符号 (&) 和星号 (*)。管理标识的最小长度和最大长度(如果有限制)由使用的注册表决定。
- -secDomain
- 此属性指定用于认证管理员的 Tivoli Access Manager 域名。此域必须存在并且管理员标识和密码对于此域必须是有效的。将在此域中指定应用程序服务器。如果未指定应用程序服务器,那么缺省值为
Default。将从配置文件检索本地域值。
有效的域名是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。域名中不能使用空格。
例如,对于美国英语,有效的域名字符是字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、at 符号 (@)、and 符号 (&) 和星号 (*)。域名的最小长度和最大长度(如果有限制)由使用的注册表决定。
- -checkViaHeader
- 可以配置 TAI,以便在为请求验证信任时可以忽略
via 头。如果不需要信任 via 头中的主机,那么将此属性设置为 false。设置为 false 时,您不需要设置可信的主机名和主机端口属性。当 via 头为 false 时唯一要检查的强制属性是
com.ibm.websphere.security.webseal.loginId。检查 via 头属性的缺省值为 false。将 Tivoli Access Manager 插件用于 Web 服务器时,请将此属性设置为 false。
注: via 头是标准 HTTP 头的一部分,它记录请求已通过的服务器名。
- -id
- 此属性指定请求中存在的以逗号分隔的头列表。如果请求中并非存在所有已配置头,那么不能建立信任。标识属性的缺省值为 iv-creds。WebSphere® Application Server 中设置的任何其他值与 iv-creds 一起添加到列表中,由逗号分隔。
- -hostnames
- 如果要将 Tivoli Access Manager 插件用于 Web 服务器,请勿设置此属性。此属性指定可信并且在请求头中需要的主机名(区分大小写)。从未列示的主机到达的请求可能不可信。如果 checkViaHeader 属性未设置或设置为 false,那么可信的主机名属性没有影响。如果 checkViaHeader 属性设置为 true,而可信主机名属性未设置,那么 TAI 初始化将失败。
- -ports
- 如果要将 Tivoli Access Manager 插件用于 Web 服务器,请勿设置此属性。此属性是以逗号分隔的可信主机端口列表。从未列示端口到达的请求可能不可信。如果 checkViaHeader 属性未设置或设置为 false,那么此属性没有影响。如果 checkViaHeader 属性设置为 true,而 WebSphere Application Server 中的可信主机端口属性未设置,那么 TAI 初始化会失败。
- -viaDepth
- 此属性指示一个正整数,它指定 via 头中要检查信任的源主机数。缺省情况下,将检查
via 头中的每个主机,如果有任何主机不可信,那么不能建立信任。当仅需要信任 via 头中的某些主机时,将使用 viaDepth 属性。该设置指示需要信任的主机(从头的右端开始)数目。
例如,考虑以下头:
via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001:如果 viaDepth 属性未设置、设置为 2 或设置为 0,且接收到具有先前 via 头的请求,那么需要信任 webseal1:7002 和 webseal2:7001。那么将应用以下配置:com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2
com.ibm.websphere.security.webseal.ports = 7002,7001:如果 viaDepth 属性设置为 1 且接收到先前的请求,那么只需要信任 via 头中的最后一个主机。那么将应用以下配置:com.ibm.websphere.security.webseal.hostnames = webseal2 com.ibm.websphere.security.webseal.ports = 7001
缺省情况下,viaDepth 属性设置为 0,这意味着将检查 via 头中所有主机的信任。
- -ssoPwdExpiry
- 在为请求建立信任后,将高速缓存单点登录用户密码,这样 TAI 就不需要使用 Tivoli Access Manager 对单点登录用户的每个请求进行重新认证。通过将单点登录密码到期属性设置为必需的时间(以秒计),可以修改高速缓存超时周期。如果密码到期属性设置为 0,那么高速缓存的密码永不到期。密码到期属性的缺省值为 600。
- -ignoreProxy
- 此属性可用于通知 TAI 不将代理计为可信主机。如果将它设置为 true,那么会检查 via 头中主机条目的注释字段,以确定主机是否是代理。请记住,并非所有代理都会在 via 头中插入注释来表明它们是代理。ignoreProxy 属性的缺省值为 false。如果 checkViaHeader 属性设置为 false,那么 ignoreProxy 属性对建立信任没有影响。
- -configURL
- 要使 TAI 为请求建立信任,TAI 要求在应用程序服务器上对 Java 虚拟机运行 SvrSslCfg 任务并因此创建属性文件。如果此属性文件不是位于缺省 URL 处(缺省 URL 为 file://java.home/PdPerm.properties),那么必须在配置 URL 属性中设置此属性文件的正确 URL。如果未设置此属性,或 SvrSslCfg 生成的属性文件不在缺省位置,那么 TAI 初始化会失败。配置 URL 属性的缺省值为 file://${WAS_INSTALL_ROOT}/java/jre/PdPerm.properties。
- -defer
- 此属性指示此任务的 Tivoli Access Manager 配置部分是应该立即运行,还是应该推迟到
WebSphere Application Server 启动之后进行。缺省值为 no。注: 无论此设置如何,都将立即更新 TAI 属性。
示例
交互方式示例用法:
- 使用 Jacl:
$AdminTask configureTAMTAI {-interactive}
- 使用 Jython:
AdminTask.configureTAMTAI('-interactive')
unconfigureTAMTAI
unconfigureTAMTAI 命令用于取消配置类名为 TAMTrustAsociationInterceptorPlus 的嵌入式 Tivoli Access Manager 信任关联拦截器。此任务不会从安全配置中移除任何定制属性。
目标对象
无。必需参数
- -adminPasswd
- 指定与 -adminUid 参数相关联的 Tivoli Access Manager 管理员用户的密码。密码限制取决于 Tivoli Access Manager 配置的密码策略。
可选参数
- -adminUid
- 指定 Tivoli Access Manager 管理员名称。如果未指定此选项,那么 sec_master 为缺省值。有效的管理标识是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。管理标识中不能使用空格。
例如,对于美式英语,有效字符为:字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、 at 符号 (@)、and 符号 (&) 和星号 (*)。管理标识的最小长度和最大长度(如果有限制)由使用的注册表决定。
- -force
- 指示遇到错误时是否应该停止此任务。缺省值为 no。
- -defer
- 指示此任务是应该立即运行,还是应该推迟到 WebSphere Application Server 启动之后进行。缺省值为 no。
示例
交互方式示例用法:
- 使用 Jacl:
$AdminTask unconfigureTAMTAI {-interactive}
- 使用 Jython:
AdminTask.unconfigureTAMTAI('-interactive')
configureTAMTAIProperties
configureTAMTAIProperties 命令用于对类名为 TAMTrustAsociationInterceptorPlus 的嵌入式 Tivoli Access Manager 信任关联拦截器的安全配置添加定制属性。
目标对象
无。必需参数
- -loginId
- WebSEAL 可信用户将以“在 Tivoli Access Manager 中创建可信用户帐户”所述的方式进行创建。有关更多信息,请参阅“使用信任关联拦截器 ++ 配置单点登录”一文。用户名的格式是短名称表示。
可选参数
- -checkViaHeader
- 可以配置 TAI,以便在为请求验证信任时可以忽略
via 头。如果不需要信任 via 头中的主机,那么将此属性设置为 false。设置为 false
时,您不需要设置可信的主机名和主机端口属性。当 via 头为 false 时唯一要检查的强制属性是
com.ibm.websphere.security.webseal.loginId。检查 via 头属性的缺省值为 false。将 Tivoli Access Manager 插件用于 Web 服务器时,请将此属性设置为 false。
注: via 头是标准 HTTP 头的一部分,它记录请求已通过的服务器名。
- -id
- 此属性指示请求中存在的以逗号分隔的头列表。如果请求中并非存在所有已配置头,那么不能建立信任。标识属性的缺省值为 iv-creds。WebSphere Application Server 中设置的任何其他值与 iv-creds 一起添加到列表中,由逗号分隔。
- -hostnames
- 如果要将 Tivoli Access Manager 插件用于 Web 服务器,那么不要设置此属性。此属性指定可信并且在请求头中需要的主机名(区分大小写)。从未列示的主机到达的请求可能不可信。如果 checkViaHeader 属性未设置或设置为 false,那么可信的主机名属性没有影响。如果 checkViaHeader 属性设置为 true,而可信主机名属性未设置,那么 TAI 初始化将失败。
- -ports
- 如果要将 Tivoli Access Manager 插件用于 Web 服务器,请勿设置此属性。此属性是以逗号分隔的可信主机端口列表。从未列示端口到达的请求可能不可信。如果 checkViaHeader 属性未设置或设置为 false,那么此属性没有影响。如果 checkViaHeader 属性设置为 true,而 WebSphere Application Server 中的可信主机端口属性未设置,那么 TAI 初始化会失败。
- -viaDepth
- 此属性指示一个正整数,它指定 via 头中要检查信任的源主机数。缺省情况下,将检查
via 头中的每个主机,如果有任何主机不可信,那么不能建立信任。当仅需要信任 via 头中的某些主机时,将使用 viaDepth 属性。该设置表明必须信任的主机数。
作为示例,请考虑以下头:
via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001:如果 viaDepth 属性未设置、设置为 2 或设置为 0,且接收到具有先前 via 头的请求,那么需要信任 webseal1:7002 和 webseal2:7001。那么将应用以下配置:com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2
com.ibm.websphere.security.webseal.ports = 7002,7001:如果 viaDepth 属性设置为 1 且接收到先前的请求,那么只需要信任 via 头中的最后一个主机。那么将应用以下配置:com.ibm.websphere.security.webseal.hostnames = webseal2 com.ibm.websphere.security.webseal.ports = 7001
缺省情况下,viaDepth 属性设置为 0,这意味着将检查 via 头中所有主机的信任。
- -ssoPwdExpiry
- 此属性可用于通知 TAI 不将代理计为可信主机。如果将它设置为 true,那么会检查 via 头中主机条目的注释字段,以确定主机是否是代理。请记住,并非所有代理都会在 via 头中插入注释来表明它们是代理。ignoreProxy 属性的缺省值为 false。如果 checkViaHeader 属性设置为 false,那么 ignoreProxy 属性对建立信任没有影响。
- -viaDepth
- 此属性指示一个正整数,它指定 via 头中要检查信任的源主机数。缺省情况下,将检查 via 头中的每个主机,如果有任何主机不可信,那么不能建立信任。当仅需要信任 via 头中的某些主机时,将使用 viaDepth 属性。该设置表明必须信任的主机数。
- -ssoPwdExpiry
- 在为请求建立信任后,将高速缓存单点登录用户密码,这样 TAI 就不需要使用 Tivoli Access Manager 对单点登录用户的每个请求进行重新认证。通过将单点登录密码到期属性设置为必需的时间(以秒计),可以修改高速缓存超时周期。如果密码到期属性设置为 0,那么高速缓存的密码永不到期。密码到期属性的缺省值为 600。
- -ignoreProxy
- 此属性可用于通知 TAI 不将代理计为可信主机。如果将它设置为 true,那么会检查 via 头中主机条目的注释字段,以确定主机是否是代理。请记住,并非所有代理都会在 via 头中插入注释来表明它们是代理。ignoreProxy 属性的缺省值为 false。如果 checkViaHeader 属性设置为 false,那么 ignoreProxy 属性对建立信任没有影响。
- -configURL
- 要使 TAI 为请求建立信任,TAI 要求在应用程序服务器上对 Java 虚拟机运行 SvrSslCfg 任务并因此创建属性文件。如果此属性文件不是位于缺省 URL 处(缺省 URL 为 file://java.home/PdPerm.properties),那么必须在配置 URL 属性中设置此属性文件的正确 URL。如果未设置此属性,或 SvrSslCfg 生成的属性文件不在缺省位置,那么 TAI 初始化会失败。配置 URL 属性的缺省值为 file://${WAS_INSTALL_ROOT}/java/jre/PdPerm.properties。
示例
交互方式示例用法:
- 使用 Jacl:
$AdminTask configureTAMTAIProperties {-interactive}
- 使用 Jython:
AdminTask.configureTAMTAIProperties('-interactive')
unconfigureTAMTAIProperties
unconfigureTAMTAIProperties 命令用于从类名为 TAMTrustAsociationInterceptorPlus 的嵌入式 Tivoli Access Manager 信任关联拦截器的安全配置中移除定制属性。
目标对象
无。必需参数
无。可选参数
无。示例
交互方式示例用法:
- 使用 Jacl:
$AdminTask unconfigureTAMTAIProperties {-interactive}
- 使用 Jython:
AdminTask.unconfigureTAMTAIProperties('-interactive')
configureTAMTAIPdjrte
configureTAMTAIPdjrte 命令执行全面配置 Tivoli Access Manager Runtime for Java 所必需的任务。运行的具体任务是 PDJrteCfg 和 SvrSslCfg。
目标对象
无。必需参数
- -policySvr
- 此属性指定与应用程序服务器通信的 Tivoli Access Manager 策略服务器的名称。服务器由标准主机名、SSL 端口号和排名指定。缺省 SSL 端口号为 7135。例如:myauth.mycompany.com:7135:1。
- -authSvrs
- 此属性指定与应用程序服务器通信的 Tivoli Access Manager 授权服务器的名称。服务器由标准主机名、SSL 端口号和排名指定。缺省 SSL 端口号为 7136。例如:myauth.mycompany.com:7136:1。如果这些条目用逗号 (,) 隔开,那么可以指定多个服务器。
- -adminPasswd
- 此属性指定与 -adminUid 参数相关联的 Tivoli Access Manager 管理员用户的密码。密码限制取决于 Tivoli Access Manager 配置的密码策略。
可选参数
- -adminUid
- 此属性指定 Tivoli Access Manager 管理员名称。如果未指定此选项,那么 sec_master 为缺省值。有效的管理标识是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。管理标识中不能使用空格。
例如,对于美式英语,有效字符为:字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、 at 符号 (@)、and 符号 (&) 和星号 (*)。管理标识的最小长度和最大长度(如果有限制)由使用的注册表决定。
- -secDomain
- 此属性指定用于认证管理员的 Tivoli Access Manager 域名。此域必须存在并且管理员标识和密码对于此域必须是有效的。将在此域中指定应用程序服务器。
如果未指定此属性,那么缺省值为 Default。将从配置文件检索本地域值。
有效的域名是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。域名中不能使用空格。
例如,对于美国英语,有效的域名字符是字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、at 符号 (@)、and 符号 (&) 和星号 (*)。域名的最小长度和最大长度(如果有限制)由使用的注册表决定。
- -defer
- 此属性指示此任务是应该立即运行,还是应该推迟到 WebSphere Application Server 启动之后进行。缺省值为 no。
示例
交互方式示例用法:
- 使用 Jacl:
$AdminTask configureTAMTAIPdjrte {-interactive}
- 使用 Jython:
AdminTask.configureTAMTAIPdjrte('-interactive')
unconfigureTAMTAIPdjrte
unconfigureTAMTAIPdjrte 命令执行取消配置 Tivoli Access Manager Runtime for Java 所必需的任务。运行的具体任务是 PDJrteCfg 和 SvrSslCfg。
目标对象
无。必需参数
- -adminPasswd
- 此属性指定与 -adminUid 参数相关联的 Tivoli Access Manager 管理员用户的密码。密码限制取决于 Tivoli Access Manager 配置的密码策略。
可选参数
- -adminUid
- 此属性指定 Tivoli Access Manager 管理员名称。如果未指定此选项,那么 sec_master 为缺省值。有效的管理标识是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。管理标识中不能使用空格。
- -force
- 此属性指示遇到错误时是否应该停止此任务。缺省值为 no。
- -defer
- 此属性指示此任务是应该立即运行,还是应该推迟到 WebSphere Application Server 启动之后进行。缺省值为 no。
示例
交互方式示例用法:
- 使用 Jacl:
$AdminTask unconfigureTAMTAIPdjrte {-interactive}
- 使用 Jython:
AdminTask.unconfigureTAMTAIPdjrte('-interactive')