É possível criar um perfil de proxy seguro para servir de ponto inicial de
entrada no ambiente corporativo. Geralmente, existe um servidor
proxy seguro na zona desmilitarizada (DMZ) que aceita pedidos
de clientes na Internet e os redireciona para servidores
em seu ambiente corporativo.
Antes de Iniciar
Antes de utilizar
o
Ferramenta de Gerenciamento de Perfil,
instale os arquivos principais do produto. Você pode criar dois perfis de proxy seguro
diferentes dependendo de quais arquivos principais do produto serão instalados. O arquivo principal do produto poderia ser para uma instalação do WebSphere Application Server, Network Deployment ou uma instalação do DMZ
Secure Proxy Server. Leia sobre os perfis criados para as diferentes
instalações em Sobre Esta Tarefa.
Configurações suportadas: O
Ferramenta de Gerenciamento de Perfil é a interface
gráfica com o usuário para o comando
manageprofiles e é suportada apenas
no AIX, Linux
e Windows. No HP-UX, IBM® i e Solaris, use o comando
manageprofiles
em vez disso.
sptcfg
Você deve fornecer espaço temporário de sistema
suficiente para criar um perfil. Para obter informações, leia sobre os requisitos de
sistema de arquivo para perfis.
Atenção: Ao ativar a
Ferramenta de Gerenciamento de Perfil, a ferramenta poderá ser bloqueada
na seguinte situação para um usuário não raiz: efetuar login em uma máquina como root,
usar o utilitário SetPermissions para alterar o usuário de x para y.
Suponha que você seja o usuário x e efetue login novamente na máquina. Ative a
Ferramenta de Gerenciamento de Perfil, clique em
Ferramenta de Gerenciamento de Perfil e clique em Criar.
O próximo clique depois de clicar em Criar poderá bloquear a ferramenta.
Sobre Esta Tarefa
Depois de instalar os arquivos do produto principal, você deve criar um perfil. Esse
procedimento descreve como criar um perfil de proxy seguro utilizando a interface gráfica
com o usuário fornecida pelo
Ferramenta de Gerenciamento de Perfil. Também é possível usar o comando manageprofiles para criar um perfil de proxy seguro. Consulte a descrição do comando manageprofiles para obter mais
informações.
Você
pode criar perfis com o
Ferramenta de Gerenciamento de Perfil
utilizando o processo de criação de perfil comum ou avançado. O processo de criação de perfil comum utiliza configurações padrão e designa valores de
porta exclusivos. É possível opcionalmente definir valores conforme permitido. Para o
processo de criação de perfil avançado, você pode aceitar os valores padrão ou
especificar seus próprios valores.
Você
pode criar dois perfis diferentes para o Servidor Proxy Seguro DMZ utilizando essa tarefa. É possível criar um perfil de servidor proxy seguro em uma instalação do WebSphere Application Server, Network Deployment.
Todavia, é possível apenas configurar esse perfil em uma instalação do WebSphere Application Server, Network Deployment.
Para utilizar o servidor proxy seguro do perfil, você deve exportar o perfil do ambiente do WebSphere Application Server, Network Deployment e, em seguida, importá-lo na
instalação do DMZ Secure Proxy Server.
Leia
sobre exportação e importação do perfil de proxy seguro no tópico sobre o grupo de
comandos ConfigArchiveOperations para o objeto AdminTask. Como alternativa, você pode
criar um perfil do servidor proxy seguro em uma instalação do Servidor Proxy Seguro DMZ. Nessa situação, o servidor proxy seguro não tem um contêiner da Web e, dessa forma, não pode fazer o host de um console administrativo. Para administrar esse servidor proxy seguro, utilize
comandos de script wsadmin.
- Inicie o Ferramenta de Gerenciamento de Perfil para criar um novo ambiente
de tempo de execução.
É possível utilizar uma
das maneiras a seguir para iniciar a ferramenta.
- No final da instalação, selecione a caixa de opções para ativar
a Ferramenta de Gerenciamento de Perfil.
- Emita o comando para abrir o WebSphere Customization Toolbox diretamente a partir de um prompt de comando; em seguida, abra o Ferramenta de Gerenciamento de Perfil.
- Selecione a opção WebSphere Customization Toolbox no console do
First Steps; em seguida, abra o Ferramenta de Gerenciamento de Perfil.
Use o menu Iniciar para acessar o WebSphere Customization Toolbox; em seguida, abra
o Ferramenta de Gerenciamento de Perfil.
Use os menus do sistema operacional Linux que são usados para iniciar programas para iniciar o WebSphere Customization Toolbox; em seguida, abra o Ferramenta de Gerenciamento de Perfil.
- Clique em Criar na guia Perfis para criar um novo perfil.
A guia Perfis contém uma lista de perfis que foram criados
em sua máquina. Nenhuma ação
pode ser feita em um perfil selecionado, a menos que o perfil possa ser aumentado. O botão Aumentar fica esmaecido, a menos que um perfil selecionado
possa ser aumentado.
A ferramenta exibe o painel Seleção de
Ambiente.
- Selecione Proxy Seguro (apenas configuração) para a imagem WebSphere Application Server, Network Deployment ou Proxy Seguro para a imagem DMZ e clique em Avançar.
O painel Opções
de Criação do Perfil é exibido.
- Selecione Criação de perfil típico ou Criação de perfil avançado e clique em
Avançar.
A opção Criação de Perfil Típico cria um perfil que utiliza as definições de
configuração padrão. Com a opção Criação de Perfil Avançado, você pode especificar
seus próprios valores de configuração para um perfil.
- Se você selecionou Criação de Perfil Típico no início
destas etapas, vá para a etapa que exibe a segurança
administrativa.
- Especifique um nome para o perfil e o
caminho do diretório do perfil, ou aceite os valores padrão. Em seguida, clique em Avançar.
Diretrizes
de Nomenclatura do Perfil: Caracteres de byte duplo são suportados. O nome do perfil
pode ser qualquer nome exclusivo com as seguintes restrições. Não utilize nenhum dos caracteres a seguir ao nomear seu perfil:
- Espaços
- Caracteres especiais que não são suportados no nome de um diretório em seu sistema
operacional, como *&?
- Barras (/) ou (\)
O perfil padrão
O
primeiro perfil criado em uma máquina é o perfil padrão. O perfil padrão
é o destino padrão para os comandos que são emitidos a partir do diretório bin
na raiz da instalação do produto. Quando existe somente um perfil em uma máquina,
todos os comandos funcionam no único processo do servidor da configuração. Você
pode tornar um outro perfil o padrão quando criar esse perfil,
marcando Tornar este perfil o padrão no painel Nome e Local do Perfil
do caminho Criação de Perfil Avançado. Você também pode tornar um outro
perfil o padrão utilizando o comando manageprofiles depois de criar
o perfil.
Endereçando um perfil em um ambiente de vários perfis
Quando existem vários
perfis em uma máquina, determinados comandos requerem que você especifique o perfil
ao qual o comando se aplicará se o perfil não for o padrão. Esses comandos utilizam o parâmetro -profileName
para identificar qual perfil endereçar. Você pode achar mais fácil utilizar os
comandos que estão no diretório bin de cada perfil.
Utilize
esses comandos para consultar o shell de comando a fim de determinar o perfil de chamada
e endereçar esses comandos ao perfil de chamada.
Informações de perfil padrão
O nome do perfil padrão é
<profile_type><profile_number>:
- <profile_type> é um valor de AppSrv, Dmgr, Custom, AdminAgent, JobMgr ou SecureProxySrv.
- <número_do_perfil> é
um número sequencial usado para criar um nome de perfil exclusivo
![[AIX]](../images/aixlogo.gif)
O diretório de perfil padrão é
app_server_root/profiles, em que
app_server_root é a raiz da instalação.
O diretório de perfil padrão é
app_server_root\profiles, em que
app_server_root é a raiz da instalação.
- No painel Nomes do Nó e do Host, especifique um nome de nó exclusivo, um nome de
servidor e o nome do host real da máquina. Clique em Avançar.
Tabela 1. Características do Nó do Servidor
Proxy Seguro. Esta tabela mostra as características do
nó de servidor proxy seguro.
Nome do Campo |
Valor padrão |
Restrições |
Description |
Nome do Nó |
shortHostName
Node
onde:- shortHostName é o nome do host abreviado.
- NodeNumber é um número sequencial iniciando em 01.
|
Utilize um nome exclusivo para o servidor proxy seguro. |
O nome é utilizado para administração na célula do gerenciador
de implementação. |
Nome do servidor |
proxy1
|
Especifica um nome lógico para o servidor. Nomes de servidores devem ser exclusivos dentro de um nó. Entretanto, para vários nós em um cluster, você pode ter diferentes
servidores com o mesmo nome, desde que o par de servidor e nó
seja exclusivo. |
O nome do servidor é utilizado para administração na
célula do gerenciador de implementação. |
Nome do host |
A forma completa do nome do DNS (servidor
de nomes de domínio).
|
O nome do host deve ser endereçável através de sua rede. |
Utilize o nome DNS real ou o endereço IP de sua máquina
para ativar a comunicação com sua máquina. Consulte informações adicionais sobre
o nome do host após esta tabela. |
Nomes reservados: Evite usar nomes de pasta reservados como valores do
campo. A utilização de nomes de pastas reservados pode causar resultados imprevisíveis. Os
termos a seguir são nomes de pasta reservados:
- cells
- nodes
- servers
- clusters
- applications
- deployments
- Comprimento do caminho do diretório:
O
número de caracteres no diretório profiles_directory_path\profile_name deve
ser menor ou igual a 80 caracteres.
- Considerações do nome do host:
O nome do host é o nome da rede para a máquina física na qual o nó está instalado. O nome do host deve indicar um nó de rede física
no servidor. Quando há várias placas de rede
no servidor, o nome do host ou o endereço IP deve indicar uma
das placas de rede. Os nós remotos utilizam o nome do host para conexão e comunicação
com esse nó. É importante selecionar um nome de host que outras máquinas possam acessar
em sua rede. Não utilize o identificador genérico, localhost, para esse
valor. Além disso, não tente instalar os produtos do WebSphere Application Server em uma máquina com
um nome de host que utilize caracteres de um DBCS (Conjunto de Caracteres de Byte Duplo). Caracteres DBCS não são suportados quando utilizados no nome do
host.
Se você definir nós coexistentes no mesmo computador com endereços IP
exclusivos, defina cada endereço IP em uma tabela de consulta de DNS (servidor de
nomes de domínio). Os arquivos de
configuração de servidores de aplicativos independentes não fornecem resolução de nome
de domínio para vários endereços IP em uma máquina com um único endereço
de rede.
O valor especificado para o nome do
host é utilizado como o valor da propriedade hostName em documentos de
configuração do servidor de aplicativos independente. Especifique o valor do nome do host
em um dos formatos a seguir:
- Cadeia do nome completo do host DNS (Domain Name Servers), como
xmachine.manhattan.ibm.com
- Cadeia do nome abreviado do host DNS padrão, como xmachine
- Endereço IP numérico, como 127.1.255.3
O nome completo do host DNS tem as vantagens de ser flexível e
não ter ambiguidade. Você tem a flexibilidade de alterar o
endereço IP real do sistema host sem precisar alterar a configuração do servidor de
aplicativos. Esse valor para o nome do host é especialmente útil
se você planeja alterar o endereço IP com frequência ao utilizar o DHCP (Dynamic Host
Configuration Protocol) para atribuir endereços IP. Uma desvantagem desse formato é a dependência
do DNS. Se o DNS não estiver disponível, a conectividade ficará comprometida.
O
nome abreviado do host também pode ser resolvido dinamicamente. Um formato de nome
abreviado tem a função adicional de ser redefinido no arquivo de hosts local para que o
sistema possa executar o servidor de aplicativos, mesmo quando desconectado da rede. Para executar desconectado, defina o nome abreviado como o endereço de auto-retorno, 127.0.0.1,
no arquivo de hosts. Uma desvantagem desse formato é uma
dependência do DNS para o acesso remoto. Se o DNS não estiver disponível, a conectividade ficará comprometida.
Um endereço IP numérico tem a vantagem de não requerer uma resolução de nome por meio do DNS.
Um nó remoto pode conectar-se ao nó denominado com um endereço
IP numérico sem o DNS estar disponível. Uma desvantagem desse formato é que o endereço IP numérico é fixo.
Após exibir o
nome do nó, nome do servidor e nome do host para o perfil de proxy seguro, a ferramenta
exibe o painel Seleção do Nível de Segurança.
- Aceite os padrões ou altere o nível de segurança do proxy e os
protocolos e clique em Avançar.
Como opção, você pode alterar
suas configurações de segurança após criar o perfil do servidor proxy seguro. Leia
sobre como ajustar as propriedades de segurança para o servidor proxy seguro.
Após
exibir as opções de nível de segurança, a ferramenta exibe o painel Segurança
Administrativa.
- Ative opcionalmente a segurança administrativa e clique em Avançar.
É possível ativar
a segurança administrativa, agora, durante a criação do perfil ou, posteriormente, a partir do console. Se você ativar a segurança administrativa agora, digite um nome de usuário e uma senha
para efetuar logon no console administrativo.
Após a especificação das características de segurança,
a ferramenta exibirá o painel Certificado de Segurança se você selecionou anteriormente Criação
de Perfil Avançado.
- Se você tiver selecionado Criação de Perfil Típico no início dessas etapas,
vá para a etapa que exibe o painel Resumo
do Perfil.
- Crie um certificado pessoal padrão e um certificado de assinatura raiz, ou importe
um certificado pessoal e um de assinatura raiz dos arquivos de armazenamento de chaves, e
clique em Avançar.
É possível criar ambos os certificados,
importá-los ou criar um e importar o outro.
Boas Práticas: Ao importar um certificado pessoal como padrão, importe o
certificado raiz que assinou o certificado pessoal. Caso contrário, o
Ferramenta de Gerenciamento de Perfil
incluirá o signatário do certificado pessoal no arquivo trust.p12.
bprac
Se você importar o certificado pessoal padrão ou o certificado de assinatura raiz,
especifique o caminho e a senha, e selecione o tipo e o alias do armazenamento de chaves
para cada certificado que importar.
- Verifique se as informações de certificado estão corretas e clique em
Avançar.
Se você criar os certificados, poderá usar os valores padrão ou modificá-los
para criar novos certificados. O certificado pessoal padrão é válido por um ano por padrão e
assinado pelo certificado de assinatura raiz. O certificado de assinatura raiz é um certificado autoassinado
que é válido por 15 anos por padrão. A senha do armazenamento de chaves padrão
para o certificado de assinatura raiz é WebAS. Você deve alterar a senha. A
senha não pode conter caractere de byte duplo (DBCS), porque determinados tipos de
armazenamento de chaves, incluindo PKCS12, não suportam esses caracteres. Os tipos de keystore que
são suportados dependem dos provedores no java.security
.
Quando você
cria ou importa um ou ambos os certificados,
os arquivos de armazenamento de chaves criados são key.p12, trust.p12, root-key.p12,
default-signers.p12, deleted.p12 e ltpa.jceks. Todos esses arquivos têm a
mesma senha quando os certificados são criados ou importados, que é
a senha padrão ou a senha especificada. O
arquivo key.p12 contém o certificado pessoal padrão. O arquivo trust.p12 contém o certificado de signatário
do certificado raiz padrão. O arquivo root-key.p12
contém o certificado de assinatura raiz. O
arquivo default-signer.p12 contém certificados de assinante que são incluídos em qualquer novo
arquivo que
você cria após o servidor estar instalado e em execução. Por padrão, o signatário do
certificado raiz padrão e um certificado signatário do
DataPower
estão no arquivo de armazenamento de chaves default-signer.p12. O arquivo de armazenamento de chaves deleted.p12 é utilizado para conter os certificados excluídos com a
tarefa deleteKeyStore para que possam ser recuperados, se necessário. O arquivo
ltpa.jceks contém as chaves LTPA (Lightweight Third-Party Authentication) padrão do
servidor que os servidores em seu ambiente utilizam para se comunicarem uns com os
outros.
Um
certificado importado é incluído no arquivo key.p12 ou root-key.p12.
Se você importar qualquer certificado que não contiver as informações desejadas,
clique em Voltar para importar outro certificado.
Após a
exibição dos painéis Certificado de Segurança, a ferramenta exibirá o painel Portas
se você selecionou anteriormente Criação de Perfil Avançado.
- Verifique se as portas no perfil de proxy seguro são exclusivas, ou
intencionalmente conflitantes, e clique em Avançar.
Resolução de conflito de porta
As portas serão reconhecidas como estando em uso se uma das seguintes
condições existir:
- As portas estiverem designadas a um perfil criado de uma instalação que é executada pelo
usuário atual.
- A porta estiver em uso no momento.
A validação de portas ocorre quando você acessa o painel Designação de Valor de
Porta. Conflitos ainda podem ocorrer entre o painel Designação de Valor de Porta e o
painel Criação de Perfil Concluída, porque as portas não são designadas até que a criação
de perfil esteja concluída.
Se você suspeitar de um
conflito de porta, poderá investigá-lo após a criação do
perfil. Determine as portas que são utilizadas durante a criação do perfil, examinando
os arquivos a seguir.
![[AIX]](../images/aixlogo.gif)
arquivo
profile_root/properties/portdef.props
profile_root\properties\portdef.props
file
Incluídos nesse arquivo estão as chaves e os valores utilizados na configuração
das portas. Se você descobrir conflitos de porta, poderá redesignar as portas manualmente. Para
redesignar portas, execute o arquivo updatePorts.ant utilizando o script ws_ant.
![[Windows]](../images/windows.gif)
A ferramenta exibirá o painel de definição de serviço do
Windows se você estiver instalando em um sistema
operacional Windows e o ID de instalação tiver o privilégio de
grupo administrativo. A ferramenta exibirá o painel de definição de serviço do Linux se você estiver
instalando em um sistema operacional Linux suportado e o ID que
executa a Ferramenta de Gerenciamento de Perfil for o usuário root.
![[Windows]](../images/windows.gif)
Escolha se deseja executar o
servidor proxy seguro como um serviço do Windows
em um sistema operacional
Windows
ou como um serviço do
Linux
em um sistema operacional
Linux,
e clique em Avançar. O painel de definição de serviço
do Windows será
exibido para o sistema operacional Windows somente se o ID que instala o serviço do Windows tiver o privilégio do grupo de administrador. Entretanto,
você pode executar o comando WASService.exe para criar o serviço do
Windows,
desde que o ID do instalador pertença ao grupo de administrador. Leia sobre os processos do servidor de reinicialização
automática par obter mais
informações.
O produto tenta iniciar os serviços do Windows para processos do proxy seguro
iniciados por um comando startServer. Por exemplo, se você configurar um
servidor proxy seguro como um serviço do Windows e emitir o comando startServer,
o comando wasservice tentará iniciar o serviço
definido.
Se você optou por instalar um serviço de sistema
local, não precisará especificar seu ID de usuário ou senha. Se você criar um tipo de
serviço de usuário especificado, deverá especificar o ID e a senha do usuário que executa
o serviço. O usuário deve ter autoridade Efetuar Logon como um Serviço
para que o serviço seja executado corretamente. Se
o usuário não tiver autoridade para Efetuar Logon como um Serviço, a
ferramenta de Gerenciamento de Perfil incluirá a autoridade automaticamente.
Para
desempenhar essa tarefa de criação de perfil, o ID do usuário não deve conter espaços. Além
de pertencer ao grupo de administradores, o ID também deve ter o privilégio de usuário avançado
de Efetuar logon como um serviço. O programa de instalação concede ao ID do usuário o
acesso de usuário avançado se o ID do usuário ainda não tiver os privilégios de usuário avançados e se o ID do usuário
pertence ao grupo de administradores.
Também é
possível criar outros serviços do Windows após a instalação ser concluída para iniciar outros
processos do servidor. Leia sobre os processos do servidor de reinicialização
automática par obter mais
detalhadas do erro.
Você
pode remover o serviço do Windows que é incluído durante a criação de perfil durante a
exclusão de perfil. Pode também remover o serviço do Windows com o comando wasservice.
Considerações do IPv6
Os perfis criados para serem executados como um serviço do
Windows
não serão iniciados ao utilizar o IPv6 (Protocolo da Internet Versão 6.0) se o serviço
estiver configurado para ser executado como sistema local. Crie uma variável de ambiente específica do usuário para ativar
IPv6. Como essa variável de ambiente é uma variável do usuário e não uma variável do
sistema local, apenas um serviço do
Windows
que seja executado como esse usuário específico poderá acessá-la. Por padrão, quando um
novo perfil é criado e configurado para ser executado como um serviço do
Windows,
o serviço é definido para ser executado como sistema local. Quando o serviço do
Windows
para o processo do servidor proxy seguro tenta ser executado, ele não consegue acessar a
variável de ambiente do usuário que especifica IPv6, e com isso, tenta iniciar como IPv4. O servidor não iniciará corretamente
nesse caso. Para resolver o problema, ao criar o perfil, especifique que o serviço do Windows para o processo do servidor proxy seguro seja executado como o mesmo ID de usuário do qual a variável de ambiente que especifica IPv6 é definida, em vez de um sistema local.
![[Windows]](../images/windows.gif)
Os
seguintes valores padrão para o painel de definição de serviço do Windows existem:
- O padrão é executar como um serviço do Windows.
- O processo de serviço é selecionado para executar como uma conta de sistema.
- A conta do usuário é o nome do usuário atual. Requisitos de nome do usuário são os requisitos que o sistema operacional
Windows
impõe para um ID do usuário.
- O tipo de inicialização é automatic. Os valores para o tipo de
inicialização são aqueles que o sistema operacional Windows impõe. Se você quiser um tipo de
inicialização diferente de automática, poderá selecionar outra opção
disponível no menu ou alterar o tipo de inicialização após a criação do perfil. Também poderá remover o serviço criado após a
criação do perfil e incluí-lo posteriormente com o tipo de inicialização desejado. Você
pode decidir não criar um serviço no momento da criação do perfil e opcionalmente criá-lo
mais tarde com o tipo de inicialização desejado.
O painel de definição de serviço
do Linux será exibido se o
sistema operacional atual for uma versão suportada do sistema operacional
Linux
e o usuário atual tiver as permissões apropriadas.
O produto tenta iniciar os serviços do
Linux
para processos do servidor de aplicativos que são iniciados por um comando startServer. Por
exemplo, se você configurar um servidor de aplicativos como um serviço Linux e
emitir o comando startServer, então, o comando wasservice tenta iniciar o serviço
definido.
Por padrão, o produto não
é selecionado para ser executado como um serviço do Linux.
Para criar o serviço, o usuário que executa a Ferramenta de Gerenciamento de Perfil deve ser o usuário root. Se você executar a Ferramenta de Gerenciamento de Perfil com um ID do
usuário não-root, o painel de definição de serviço do Linux não será exibido e nenhum serviço será criado.
Ao criar um serviço do Linux, você deve especificar um nome de usuário do
qual o serviço é executado.
Para excluir um serviço do Linux, o usuário deve ser root ou ter privilégios apropriados para
excluir o serviço. Caso contrário, é criado um script de remoção
que o usuário root pode executar para excluir o serviço para o usuário.
A
ferramenta exibe o painel Resumo da Criação do Perfil.
- Clique em Criar para criar o perfil do servidor proxy seguro ou clique em Voltar para alterar as características do perfil.
O painel Progresso
da Criação de Perfil,que mostra os comandos de configuração que estão em execução, é
exibido.
Quando a criação do perfil
for concluída, a ferramenta exibirá o painel Criação de Perfil Concluída.
- Se o perfil de proxy seguro que você estiver criando fizer parte da instalação
do DMZ Secure Proxy Server for IBM WebSphere Application Server,
selecione como opção Ativar o Console de Primeiras Etapas.
Clique em Concluir para sair.
Com
o console de Primeiras Etapas, você pode criar perfis adicionais e iniciar o servidor de aplicativos.
Se o perfil proxy seguro que estiver criando for parte da instalação do WebSphere Application Server, Network Deployment, você não tem a opção
de ativação do console do First Steps.
O que Fazer Depois
O servidor proxy seguro pode aceitar pedidos de clientes na
Internet e redirecionar os pedidos para servidores em seu ambiente corporativo.
O perfil proxy seguro está disponível tanto no
WebSphere Application Server, Network Deployment quanto na imagem do DMZ. Não é possível iniciar o perfil na imagem do WebSphere Application Server, Network Deployment. O
perfil é utilizado apenas para a configuração em um console administrativo. Após
configurar o perfil, você pode exportá-lo e, em seguida, importá-lo para o
perfil de proxy seguro da imagem da DMZ. O perfil de proxy seguro é totalmente operacional
na imagem da DMZ.