Tivoli Access Manager 单点登录的 com.tivoli.pd.jcfg.SvrSslCfg 实用程序

可使用该实用程序来配置和移除与 WebSphere® Application Server 和 Tivoli® Access Manager 服务器相关联的配置信息。

用途

[IBM i]svrsslcfg 脚本创建用户帐户和服务器项,这些服务器项用于表示 Tivoli Access Manager 用户注册表中的 WebSphere Application Server 概要文件。此外,将在应用程序服务器概要文件中创建配置文件和 Java™ 密钥库文件,后者将安全地存储客户机证书。此客户机证书允许调用者使用 Tivoli Access Manager 认证服务。还可选择从用户注册表移除用户和服务器项,并清除本地配置和密钥库文件。

[IBM i]svrsslcfg 脚本包含 SvrSslCfg 类,并提供对多个 WebSphere Application Server 概要文件的支持。使用多个概要文件就可以创建多个完全相互独立的 WebSphere Application Server 环境。

首先在 Deployment Manager 上运行 svrsslcfg 脚本,然后在单元的其他节点上运行该脚本。

[IBM i]

步骤

要运行 svrsslcfg 脚本,请执行以下步骤:
  1. 使用用户概要文件和全部对象 (*ALLOBJ) 权限登录。
  2. 在 CL 命令行上,输入启动 Qshell (STRQSH) 命令。
  3. 切换至 app_server_root/bin 目录。
  4. 输入 svrsslcfg 命令及您想使用的选项。
    例如:
    svrsslcfg -profileName myprofile -action config -admin_id sec_master
      -admin_pwd pwd123 -appsvr_id ibm9 -appsvr_pwd ibm9pwd -mode remote
      -port 8888 -policysvr ourserv.rochester.ibm.com:7135:1
      -authzsvr ourserv.rochester.ibm.com:7136:1
      -key_file profile_root/myprofile/etc/ibm9.kdb
      -cfg_action create
    为了便于显示,以上示例分成了几行。
[AIX Solaris HP-UX Linux Windows][z/OS]

语法

java com.tivoli.pd.jcfg.SvrSslCfg
-action {config | unconfig} -admin_id admin_user_ID 
-admin_pwd admin_password -appsvr_id application_server_name 
-appsvr_pwd application_server_password -mode{local|remote} 
-host host_name_of_application_server 
-policysvr policy_server_name:port:rank [,...] 
-authzsvr authorization_server_name:port:rank [,...] 
-cfg_file fully_qualified_name_of_configuration_file 
-domain Tivoli_Acccess_Manager_domain 
-key_file fully_qualified_name_of_keystore_file 
-cfg_action {create|replace}
[IBM i]

语法

配置语法为:

svrsslcfg -action config
          [ -profileName profile_name ]
            -admin_id admin_user_id
            -admin_pwd admin_password
            -appsvr_id application_server_name
            -port port_number
            -mode { local | remote }
            -policysvr policy_server_name
            -authzsvr authorization_server_name
            -key_file fully_qualified_name_of_key_file
            -appsvr_pwd application_server_password
            -cfg_action { create | replace }
          [ -domain Tivoli_Access_Manager_domain ]

取消配置语法为:

svrsslcfg -action unconfig
          [ -profileName profile_name ]
            -admin_id admin_user_id
            -admin_pwd admin_password
            -appsvr_id application_server_name
            -policysvr policy_server_name
          [ -domain Tivoli_Access_Manager_domain ]

可将以上语法输入为连续的一行。

参数

-action {config | unconfig}
指定脚本执行的配置操作。下列选项适用:
-action config
配置服务器以在用户注册表中创建用户和服务器信息,并创建应用程序服务器的本地配置和密钥库文件。使用 -action unconfig 选项的操作将与此操作相反。

如果指定了此操作,那么下列选项是必需的:-admin_id-admin_pwd-appsvr_id-port-mode-policysvr-authzsvr-key_file

-action unconfig
重新配置应用程序服务器以完成以下操作:
  • 从用户注册表中移除用户和服务器信息
  • 删除本地密钥库文件
  • 从配置文件中移除此应用程序的信息而不删除文件

只有调用者未被授权或无法连接策略服务器时,重新配置操作才会失败。

配置文件不存在时此操作可以成功。当配置文件不存在时,会创建 它并将它用作临时文件来保存操作期间的配置信息,然后彻底删除此文件。

如果指定了此操作,那么下列选项是必需的:-admin_id-admin_pwd-appsvr_id-policysvr

-admin_id admin_user_ID
指定 Tivoli Access Manager 管理员名称。如果未指定此选项,那么 sec_master 为缺省值。

有效的管理标识是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。管理标识中不能使用空格。

例如,对于美式英语,有效字符为:字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、 at 符号 (@)、and 符号 (&) 和星号 (*)。管理标识的最小长度和最大长度(如果有限制)由使用的注册表决定。

-admin_password admin_password

指定与 -admin_id 参数相关联的 Tivoli Access Manager 管理员用户的密码。密码限制取决于 Tivoli Access Manager 配置的密码策略。

-appsvr_id application_server_name
指定应用程序服务器的名称。将此名称与主机名组合以创建为您的应用程序创建的 Tivoli Access Manager 对象的唯一名称。以下名称保留供 Tivoli Access Manager 应用程序使用:ivacldsecmgrdivnetivweb
-appsvr_pwd application_server_password
指定应用程序服务器的密码。此选项是必需的。系统将创建密码,并将用此密码更新配置文件。

如果未指定此选项,那么将从标准输入读取服务器密码。

-authzsvr authorization_server_name
指定与应用程序服务器通信的 Tivoli Access Manager 授权服务器的名称。服务器由标准主机名、SSL 端口号和排名指定。缺省 SSL 端口号为 7136。例如:myauth.mycompany.com:7136:1。如果这些条目用逗号 (,) 隔开,那么可以指定多个服务器。
-cfg_action {create | replace}
指定创建配置和密钥文件时要采用的操作。有效值为 createreplace。一开始应使用 create 选项创建配置和密钥库文件。如果这些文件已经存在,那么使用 replace 选项。如果使用 create 选项并且配置或密钥库文件已经存在,那么会产生异常。
选项如下所示:
create
指定在服务器配置期间创建配置文件和密钥库文件。如果这些文件中的任意一个文件已存在,配置都会失败。
replace
指定在服务器配置期间替换配置文件和密钥库文件。配置会删除任何现有文件并用新的文件替换它们。
[AIX Solaris HP-UX Linux Windows][z/OS]-cfg_file fully_qualified_name_of_configuration_file
[AIX Solaris HP-UX Linux Windows][z/OS]指定配置文件路径和名称。

文件名应该是有效的绝对文件名(标准文件名)。

-domain Tivoli_Access_Manager_domain
指定用于认证管理员的 Tivoli Access Manager 域名。此域必须存在并且管理员标识和密码对于此域必须是有效的。将在此域中指定应用程序服务器。

如果未指定域名,那么将使用 Tivoli Access Manager 运行时配置期间指定的本地域。将从配置文件检索本地域值。

有效的域名是区分大小写的字母数字字符串。要求的字符串值是本地代码集中的字符。域名中不能使用空格。

例如,对于美式英语,域名的有效字符为:字母 a-Z、数字 0-9、句点 (.)、下划线 (_)、加号 (+)、连字符 (-)、 at 符号 (@)、and 符号 (&) 和星号 (*)。域名的最小长度和最大长度(如果有限制)由使用的注册表决定。

[AIX Solaris HP-UX Linux Windows][z/OS]-host host_name_of_application_server
[AIX Solaris HP-UX Linux Windows][z/OS]指定 Tivoli Access Manager 策略服务器用于联系此服务器的 TCP 主机名。此名称保存在使用 azn-app-host 键的配置文件中。

缺省值为操作系统返回的本地主机名。host_name 的有效值包括任何有效的 IP 主机名。

示例:

host = libra
host = libra.dallas.ibm.com

-key_file fully_qualified_name_of_keystore_file
指定要包含服务器的密钥文件的目录。有效的目录名由操作系统确定。使用包含应用程序服务器证书和密钥文件的标准文件名。

确保服务器用户(例如,ivmgr)或所有用户具有访问 .kdb 文件和包含 .kdb 文件的文件夹的许可权。

此选项是必需的。

-mode server_mode
[AIX Solaris HP-UX Linux Windows][z/OS]指定应用程序操作的方式。此值必须是 localremote
[IBM i]指定应用程序服务器处理请求的方式。仅支持 remote 方式。
-policysvr policy_server_name
[AIX Solaris HP-UX Linux Windows][z/OS]指定策略服务器的名称。
[IBM i]指定运行与应用程序服务器通信的 Tivoli Access Manager 策略服务器 (ivmgrd) 的服务器的名称。服务器由标准主机名、SSL 端口号和排名指定。缺省 SSL 端口号为 7135。例如:mypolicy.mycompany.com:7135:1。如果这些条目用逗号 (,) 隔开,那么可以指定多个服务器。
[IBM i]-port port_number
[IBM i]指定应用程序服务器在其上侦听来自策略服务器的通信的 TCP/IP 通信端口。
[IBM i]-profileName profile_name
[IBM i]指定 WebSphere Application Server 概要文件的名称。如果未指定此选项,那么使用缺省 server1 概要文件。
[AIX Solaris HP-UX Linux Windows][z/OS]

注释

成功配置 Tivoli Access Manager Java 应用程序服务器后,SvrSslCfg 将在 Tivoli Access Manager 用户注册表中创建用户帐户和表示 Java 应用程序服务器的服务器项。此外,SvrSslCfg 将在应用程序服务器上本地创建配置文件和 Java 密钥库文件,后者将安全地存储客户机证书。此客户机证书允许调用者使用已认证的 Tivoli Access Manager 服务。相反地,重新配置会从用户注册表移除用户和服务器项,并清除本地配置文件和密钥库文件。

可使用 SvrSslCfg 实用程序来修改现有配置文件的内容。 当使用除了 -action config-action unconfig 的所有选项调用 SvrSslCfg 时,配置文件和密钥库文件必须已存在。

以下选项将在配置文件中解析并处理,但在此版本的 Tivoli Access Manager 中将忽略除此以外的选项。

主机名用于构建应用程序的唯一名称(标识)。 pdadmin 用户列表命令用以下格式显示应用程序标识名:

server_name/host_name

注意,pdadmin 服务器列表命令用略有不同的格式显示服务器名:

server_name-host_name

[AIX Solaris HP-UX Linux Windows][z/OS]

CLASSPATH=${WAS_HOME}/tivoli/tam/PD.jar:${WAS_CLASSPATH}
java \
-cp ${CLASSPATH} \
-Dpd.cfg.home= ${WAS_HOME}/java/jre \
-Dfile.encoding=ISO8859-1 \
-Xnoargsconversion \
com.tivoli.pd.jcfg.SvrSslCfg \
-action config \
-admin_id sec_master \
-admin_pwd $TAM_PASSWORD \
-appsvr_id $APPSVR_ID \
-policysvr ${TAM_HOST}:7135:1 \
-port 7135 \
-authzsvr ${TAM_HOST}:7136:1 \
-mode remote \
-cfg_file ${CFG_FILE} \
-key_file ${KEY_FILE} \
-cfg_action create


指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_tampsvrsslcfg
文件名:rsec_tampsvrsslcfg.html