Introdução

As vantagens da integração do Tivoli Access Manager (TAM) versão 6.1 e do Tivoli Integrated Portal (TIP) versão 1.1.x são descritas neste artigo. Instruções detalhadas mostram como configurar a conexão única entre o Tivoli Access Manager/WebSEAL e o Tivoli Integrated Portal usando o Tivoli Access Manager Extended Trust Association Interceptor (ETai). Aprenda a configurar o servidor do Tivoli Access Manager/WebSEAL, uma junção do Tivoli Integrated Portal, uma tabela de mapeamento de junção e uma conexão única. Também se pode explorar a associação de confiança e as propriedades customizadas do Extended Trust Association Interceptor. Também são incluídas dicas de resolução de problemas.

Pré-requisitos

Para acompanhar as configurações de exemplo neste artigo, é preciso executar as seguintes tarefas, que são pré-requisitos:

• Instale o Tivoli Access Manager versão 6.1 e qualquer pré-requisito associado ao Tivoli Access Manager, em uma máquina servidor.
• Instale o Tivoli Integrated Portal Versão 1.1 fix pack 11 e superior para todos os produtos baseados em Tivoli Integrated Portal.
• Confirme se as portas necessárias estão abertas para o acesso a partir dos servidores WebSEAL para os servidores do Tivoli Integrated Portal. Consulte detalhes na documentação do Tivoli Access Manager.
• Verifique o status do servidor Tivoli Access Manager/WebSEAL executando o comando pd_start status na linha de comando. A aparência da saída deve ser semelhante ao seguinte:

  pdmgrd yes yes pdacld yes no (sometimes yes) pdmgrproxyd no no webseald-ip1 yes yes

  
  
• Verifique se o registro LDAP está em execução com pdadmin -a sec_master -p passw0rd. A saída é: pdadmin sec_master>.
• Se os processos do Tivoli Access Manager não forem iniciados, inicie-os com pd_start start.
• Verifique se consegue se conectar ao Tivoli Access Manager.
• Em um navegador, insira http://tam_server_hostname. Deve aparecer uma caixa de diálogo de autenticação básica ou um formulário baseado na tela de login. Insira o ID do usuário e a senha. Deve aparecer a tela inicial do Tivoli Access Manager WebSEAL.

Voltar para parte superior

Arquitetura de implementação

Na arquitetura de implementação típica, o produto é implementado em três zonas, como mostrado na Figura 1. Na zona não confiável, o usuário final acessa serviços ou aplicativos. Na zona semiconfiável, o Tivoli Access Manager/WebSEAL (um servidor de proxy reverso) intercepta solicitações HTTP/HTTPS recebidas e assegura que os usuários finais a acessam aplicativos do Tivoli Integrated Portal estejam autenticados e autorizados para a solicitação. A solicitação pode então continuar até o aplicativo do Tivoli Integrated Portal necessário na zona confiável.

Todos os produtos baseados no Tivoli Integrated Portal precisam ser instalados em uma única instância do Tivoli Integrated Portal para integração com o Tivoli Access Manager.

Restrições da arquitetura de implementação do Tivoli Integrated Portal-Tivoli Access Manager

A arquitetura de implementação atual do Tivoli Integrated Portal-Tivoli Access Manager tem restrições para a implementação de uma instância do servidor WebSEAL e o mapeamento dela em um servidor do Tivoli Integrated Portal. A instalação de diversos servidores do Tivoli Integrated Portal e a manipulação de solicitação por meio de um único servidor WebSEAL são restritas nesse design.

Voltar para parte superior

Configurando o servidor Tivoli Access Manager/WebSEAL

Para garantir o transporte entre o Tivoli Access Manager e o Tivoli Integrated Portal, deve haver um assinante e um certificado padrão do Tivoli Integrated Portal no keystore do Tivoli Access Manager. Esse é um pré-requisito do Tivoli Integrated Portal para configuração de junção.

Importar o certificado do Tivoli Integrated Portal para o keystore do WebSEAL

Para exportar um certificado do Tivoli Integrated Portal:

1. Efetue login no Tivoli Integrated Portal usando o Firefox. Dê um clique duplo no ícone de bloqueio no canto inferior direito da janela do navegador; deve aparecer a seção Security da janela Page Info.

   Clique em View Certificate, que abre a janela Certificate.

2. Selecione a guia Details .
3. Clique em Export para exportar para o sistema de arquivos local. Isso exporta o certificado X.509 do Tivoli Integrated Portal.
4. Transfira o certificado para a máquina do Tivoli Access Manager.
5. Importe o certificado do Tivoli Integrated Portal para o Tivoli Access Manager:
   • Inicie o servidor X na máquina do Tivoli Access Manager, se já não estiver iniciado, usando o comando startx ou gdm .
   • Ative IKeyMan (./ikeyman.sh).
     1. Clique em Open na barra de ferramentas.
     2. Selecione o Key database type: CMS, clique em Browse e acesse /var/pdweb/www-ip1/certs.
     3. Selecione pdsrv.kdb, que ative a janela Password Prompt. A senha padrão é igual ao nome do arquivo: pdsrv.
     4. Selecione Signer Certificates na seção Key database content.
     5. Clique em Add, o que ativa Add CA's Certificate em uma janela File.
     6. Selecione Data type: Base64-encoded ASCII data.
     7. Clique em Browse.
     8. Selecione o certificado exportado do Tivoli Integrated Portal.
     9. Digite uma etiqueta para o certificado, como tipmachine.
     10. Clique em Save para salvar o keystore (use o mesmo nome de arquivo).

Voltar para parte superior

Configurando uma junção do Tivoli Integrated Portal

Uma junção WebSEAL é uma conexão HTTP ou HTTPS entre um servidor WebSEAL front-end e um servidor Tivoli Integrated Portal backend. As junções combinam logicamente o espaço da Web do servidor Tivoli Integrated Portal backend com o do servidor WebSEAL, resultando em uma visualização unificada de todo o espaço de objeto da Web. Uma junção permite que o WebSEAL forneça serviços de proteção a favor do servidor backend. O WebSEAL executa verificações de autenticação e autorização de todas as solicitações de recursos antes de passar essas solicitações por uma junção para o servidor backend. Use as etapas abaixo para configurar uma junção do Tivoli Integrated Portal que use primariamente SSL como transporte seguro entre as comunicações de servidor do WebSEAL e do Tivoli Integrated Portal.

1. Cria uma junção do Tivoli Integrated Portal iniciando o utilitário pdadmin na linha de comando: pdadmin -a sec_master -p passw0rd onde:
   
   sec_master = ID do usuário da raiz
   passw0rd = senha de sec_master

   No prompt padadmin , execute o seguinte comando para criar uma junção:

   s t ip1-webseald-ip1 create -t ssl -c iv-creds -b supply -h <tip_hostname/ip> -p <tip_admin_console_secure_port> /tip

   
   
   onde:
   
   s t = tarefa de servidor
   ip1-webseal-ip1 = nome da instância WebSEAL
   -t ssl = transporte é SSL
   -c iv-creds = necessário para que SSO funcione; executa a credencial do usuário
   -b supply = cabeçalho de autenticação básica necessário para que o SSO funcione.

2. Exiba a junção do Tivoli Integrated Portal iniciando o utilitário pdadmin na linha de comando:

   pdadmin -a sec_master -p passw0rd

   
   
   onde:
   sec_master = ID do usuário da raiz
   passw0rd = senha de sec_master

   No prompt do padadmin, execute o comando:

   s t ip1-webseald-ip1 show /tip

   
   

Voltar para parte superior

Configurando uma tabela de mapeamento de junção

As URLs relativas ao servidor geradas do lado do cliente pelo Tivoli Integrated Portal inicialmente não tem conhecimento o ponto da junção. O WebSEAL não consegue filtrar a URL porque ela é gerada no lado do cliente.

Durante uma solicitação do cliente por recurso usando essa URL, o WebSEAL pode tentar reprocessar a URL relativa ao servidor usando a tabela de mapeamento de junção (JMT). Uma JMT mapeia recursos de destino específicos para nomes de junção. O mapeamento de junção é uma alternativa a solução baseada em cookies para a filtragem de URLs relativas ao servidor geradas dinamicamente.

O WebSEAL verifica as informações de localização na URL relativa ao servidor com os dados contidos no JMT. O WebSEAL começa a procurar no alto da tabela e continua para baixo. Se as informações de caminho da URL correspondem a uma entrada na tabela durante a procura de cima para baixo, o WebSEAL direciona a solicitação para a junção associada a essa localização.

A tabela é um arquivo de texto ASCII chamado jmt.conf. A localização do arquivo é especificada na sub-rotina [junction] do arquivo de configuração do WebSEAL: jmt-map = lib/jmt.conf.

De acordo com os comentários das propriedades, esse caminho é relativo ao valor da raiz do servidor. Verifique o valor de raiz do servidor na sub-rotina do servidor. Por exemplo, server-root = /opt/pdweb/www-ip1.

Crie um JMT usando o arquivo jmt.conf, como segue:

• Crie um arquivo jmt.conf no diretório <server-root>/.

  Inclua as seguintes entradas nesse arquivo e salve-o.

  /tip /ibm/console/* /tip /ibm/sla/* /tip /TCR/reports/*

  
  

  Carregue o JMT no WebSEAL usando o comando:

  s t ip1-webseald-ip1 jmt load. A saída é:

  DPWWM1462I JMT Table successfully loaded

  
  
• Reinicie o servidor WebSEAL usando o comando: pdweb restart.

  A saída é:

  Stopping the: webseald-ip1 Starting the: webseald-ip1

  
  

Voltar para parte superior

Mudanças no IBM Tivoli Network Manager (ITNM)

Com o Tivoli Network Manager é preciso especificar a URL WebTop. Já existe uma facilidade no código base para substituir a URL WebTop usando uma propriedade. Essa propriedade ajudará a exibir os Applets WebTop.

• Diretório: {ITNM_INSTALL_DIR}/tip/profiles/TIPProfile/etc/tnm/
• Arquivo de propriedades: tnm.properties
• Propriedade: tnm.webtop.url

Isso deve ser configurado como:

https://{TAM WebSEAL server}/{WebSEAL junction name}/ibm/webtop

Por exemplo, para o ambiente de teste acima, é incluída a seguinte propriedade.

 
tnm.webtop.url=https://9.196.131.76/tip/ibm/webtop

Voltar para parte superior

Mapeamentos de junção de teste

Para testar os mapeamentos de junção, ative o navegador usando https://<TAM_Host Name>/tip/ibm/console onde /tip é o nome da junção.

A saída do navegador deve ser:

https://<TAM_Host Name>/tip/ibm/console/logon.jsp

Será exibida a janela Authentication Required. Insira as credenciais do Tivoli Access Manager: ID do usuário e senha. A solicitação deve ser redirecionada para a página de login do Tivoli Integrated Portal.

Voltar para parte superior

Configurando a desconexão única no Tivoli Integrated Portal

Fazer o logout do console Tivoli Integrated Portal também resulta em logout da sessão do usuário no Tivoli Integrated Portal e no Tivoli Access Manager. Para ativar essa desconexão única, use a seguinte configuração.

Edite customizationProperties.xml, que se encontra em <TIP_HOME>/profiles/TIPProfile/config\cells\TIPCell\applications\isclite.ear \deployments\isclite\isclite.war\WEB-INF . Insira<consoleproperties:console-property id="TAMJunctionName" value="tip"/> onde TAMJunctionName é o nome da junção configurada no Tivoli Access Manager a aponta para o servidor do Tivoli Integrated Portal.

Se o valor da propriedade acima estiver em branco, a junção do host virtual do Tivoli Access Manager será assumida. Se houver um valor especificado para a propriedade acima, o Tivoli Integrated supõe que é uma junção tradicional do Tivoli Access Manager.

A mensagem de saída Successful Logout será exibida no navegador.

Voltar para parte superior

Gerenciando solicitações no servidor do Tivoli Integrated Portal

Pode-se configurar o Tivoli Integrated Portal para permitir solicitações apenas de certos hosts e servidores, permitindo controlar o acesso ao servidor do Tivoli Integrated Portal. Esse recurso é útil para servidores instalados em zonas confiáveis ou não confiáveis.

Um script é enviado em:

  
<TIP_HOME>/bin directory called includeHostNames.py < options>

As opções do script incluem:

Para executar o script, insira o seguinte comando:

	    
<TIP_HOME>/bin/wsadmin.sh/bat -username tipadmin -password tippass -f
includeHostnames.py  <options> hostnames (separated by ;)

onde:

options = uma lista de opções especificadas acima.
TIP_HOME = o diretório de instalação do Tivoli Integrated Portal.

Voltar para parte superior

Conexão única do Tivoli Integrated Portal/Tivoli Access Manager

Em um servidor Tivoli Integrated Portal/WebSphere Application Server integrado, há vários métodos que permitem a conexão única (SSO) do usuário autenticado nos quais a credencial é passada do WebSEAL para os servidores WebSphere Application Server de recebimento de dados. O usuário não precisa ser reautenticado novamente.

A próxima seção descreve um componente, chamado Tivoli Access Manager Extended Trust Association Interceptor (ETai), que implementa a interface do WebSphere Application Server Trust Association Interceptor para obter SSO do WebSEAL para servidor Tivoli Integrated Portal/WebSphere Application Server integrado.

Voltar para parte superior

Associação de confiança

O Tivoli Integrated Portal/WebSphere Application Server 6.1 integrado suporta SSO com serviços de autenticação de perímetro, como proxies reversos, por meio de associações de confiança. Quando as associações de confiança estão ativadas, o WebSphere Application Server não precisa autenticar o usuário se uma solicitação chegar por meio de uma fonte confiável que já executou a autenticação. Espera-se que o serviço de autenticação de perímetro:

• Estabeleça confiança com o WebSphere Application Server.
• Execute a autenticação do usuário.
• Insira informações de credencial do usuário em solicitações de HTTP.

O Trust Association Interceptor (TAI) é o módulo do WebSphere Application Server que cuida da associação de confiança. Trata-se de um módulo "conectável", cujas responsabilidades incluem:

• Validação da confiança com o serviço de autenticação de perímetro.
• Extração das informações de credenciais da solicitação.

Integração do Tivoli Access Manager Extended Trust Association Interceptor e do Tivoli Integrated Portal/Tivoli Access Manager WebSEAL

O Tivoli Integrated Portal suporta SSO entre o Tivoli Access Manager/WebSEAL e o servidor do Tivoli Integrated Portal. Os usuários finais podem efetuar login uma vez no Tivoli Access Manager e o WebSEAL redireciona a solicitação para o servidor do Tivoli Integrated Portal sem ter de efetuar login no Tivoli Integrated Portal. O Tivoli Access Manager Extended Trust Association Interceptor será configurado no Tivoli Integrated Portal/WebSphere Application Server integrado e será responsável pelo estabelecimento de confiança com relação ao servidor Tivoli Access Manager/WebSEAL.

O Tivoli Access Manager Extended Trust Association Interceptor simplifica o uso do Tivoli Access Manager e a configuração para obter SSO. Uma grande vantagem é que o Tivoli Access Manager/Tivoli Integrated Portal pode usar diferentes registros do usuário e ainda executar SSO. O Tivoli Access Manager/Tivoli Integrated Portal fornece o mapeamento entre diferentes formatos de registro. Também é possível configurar o Tivoli Integrated Portal/Tivoli Access Manager para compartilhar um único registro do usuário (embora essa configuração esteja fora do escopo deste artigo).

Interação do WebSEAL e do Tivoli Integrated Portal/WebSphere Application Server TAI integrado

A Figura 2 mostra o fluxo de uma solicitação de HTTP para o WebSphere Application Server por meio de WebSEAL e do Extended Trust Association Interceptor. Esse é apenas o uso padrão do Extended Trust Association Interceptor.

Os números na figura acima correspondem ao fluxo descrito abaixo.

1. O usuário encontra o WebSEAL (possivelmente por meio de outros proxies) e é solicitada a autenticação dele.
2. O WebSEAL autentica o usuário, adquire credenciais para ele a partir do registro de usuário e, possivelmente autoriza a solicitação.
3. O WebSEAL aumenta a solicitação com um cabeçalho HTTP adicional (iv-creds) que contém as credenciais do usuário.

   A senha contida no cabeçalho de autenticação básica (BA) é alterada para corresponder a um usuário de SSO configurado, e a solicitação é enviada para o WebSphere Application Server.

4. O Tivoli Integrated Portal/WebSphere Application Server integrado recebe a solicitação e chama um método TAI (isTargetInterceptor) para determinar se a solicitação é de um serviço de autenticação de perímetro que já autenticou o usuário.
5. O Tivoli Integrated Portal/WebSphere Application Server integrado chama um método TAI (negotiateValidateandEstablishTrust) para:
   • Estabelecer confiança com o servidor de autenticação de perímetro.

     Esse método estabelece confiança com o WebSEAL verificando se o cabeçalho de BA contém a senha correta para o usuário de SSO configurado. A confiança entre o WebSEAL e o WebSphere Application Server não pode ser estabelecida usando sessões SSL autenticadas mutuamente; só pode ser estabelecida verificando a senha de SSO. O TAI não executa a verificação de certificados.

   • Recuperar as credenciais.

     O cabeçalho de iv-creds é então extraído da solicitação e usado para recuperar: o nome abreviado do usuário autenticado do WebSEAL e o objeto de credencial que contém informações sobre o usuário e sobre o grupo.

6. Retornar as informações de usuário autenticado.

   Nesse ponto, o WebSphere Application Server tem credenciais válidas que pode usar para tomar decisões de autorização da maneira J2EE costumeira.

Alguns pontos importantes a notar:

• O WebSEAL deve inserir o cabeçalho iv-creds na solicitação.
• Na etapa 5, o novo TAI é configurável para autenticar a confiança usando o servidor de autorizações do Tivoli Access Manager ou registro do usuário do WebSphere Application Server diretamente.

  As informações sobre o usuário extraídas do cabeçalho iv-creds podem ter o formato DN mapeado a partir do formato inicial no formato necessário do registro do usuário do WebSphere Application Server.

• O objeto de credencial inserido no assunto pelo TAI significa que o WebSphere Application Server não precisa executar procuras adicionais de registro do usuário como parte do processo de autenticação.

Configuração do SSO no Tivoli Integrated Portal: Configurando o Tivoli Integrated Portal/WebSphere Application Server integrado

Esta seção descreve as três tarefas de configuração relacionadas que devem ser executadas no Tivoli Integrated Portal/WebSphere Application Server integrado para permitir a operação correta do Extended Trust Association Interceptor.

• Ativar a associação de confiança
• Incluir o Extended Trust Association Interceptor como interceptor conhecido
• Incluir as propriedades de configuração necessárias para que o Extended Trust Association Interceptor se comporte como desejado

Ativando a associação de confiança
A primeira etapa é passar para a tela de associação de confiança no console.

1. A partir do console do Tivoli Integrated Portal:
   • Expanda Security, selecione Secure administration, applications, and infrastructure
   • Expanda Web security e clique em Trust association, como mostrado na Figura 3.
   
   
   Figura 3. Página Security do Tivoli Integrated Portal
   
   
   
2. Enable trust association deve estar marcado. Verifique se já não está marcado e clique em Apply.
3. Salve as mudanças na configuração.

Incluir o Extended Trust Association Interceptor como interceptor
Essa seção segue a seção acima de forma sequencial. Se usada isoladamente, deve-se ler Ativando a associação de confiança para aprender como transferir para a página Trust association no console de administração do WebSphere Application Server.

1. Inicie a tela Trust association.
2. Clique em Interceptors.
   
   Figura 4. Associação de confiança
   
   
   
3. Se com.ibm.sec.authn.tai.TAMETai não estiver definido, selecione New.

   Na tela seguinte, insira com.ibm.sec.authn.tai.TAMETai no campo Interceptor class name e clique em Apply.

4. Salve as mudanças na configuração.

Incluindo propriedades customizadas no Tivoli Access Manager Extended Trust Association Interceptor
Para incluir propriedades customizadas no Tivoli Access Manager Extended Trust Association Interceptor, inicie a tela Interceptors.

1. Selecione o Interceptor class name com.ibm.sec.authn.tai.Tivoli Access ManagerETai, como mostra a Figura 5.
2. Acesse a tela Custom properties.
3. No console do Tivoli Integrated Portal, clique em Custom properties.
   
   Figura 5. Definir o nome de classe do interceptor
   
   
   
4. Para cada propriedade necessária que não estiver definida, clique em New depois insira Name e Value necessários. Clique em Apply. A Figura 6 mostra um exemplo.
   
   Figura 6. Definir propriedade customizada
   
   
   

   O resultado deve ser a definição da propriedade customizada, como mostrado abaixo.

   
   
   Figura 7. Propriedade customizada do Extended Trust Association Interceptor
   
   
   
5. Se a propriedade customizada já existe, mas não contém os itens Name, Value e Description corretos, selecione essa propriedade, faça as mudanças necessárias e clique em Apply.
6. Repita em todas as propriedades necessárias, como definido em Propriedades customizadas do Extended Trust Association Interceptor.
7. Quando todas as propriedades estiverem configuradas, deve aparecer uma lista semelhante à Figura 8 (com 10 propriedades customizadas).
   
   Figura 8. Lista de propriedades customizadas
   
   
   
8. Salve as mudanças na configuração e reinicie o servidor do Tivoli Integrated Portal.
   
   Figura 9. Salvar configuração
   
   
   

Voltar para parte superior

Propriedades customizadas do Extended Trust Association Interceptor

Esta seção descreve todas as propriedades de configuração obrigatórias e opcionais e qualquer interação que as propriedades tenham entre si.

Reinicie o servidor do Tivoli Integrated Portal após todas as propriedades customizadas acima terem sido salvas.

Voltar para parte superior

Tivoli Access Manager WebSEAL

Para que o Extended Trust Association Interceptor aceite resultados do WebSEAL, é preciso executar as seguintes tarefas no servidor WebSEAL para assegurar que a solicitação de HTTP com destino do Extended Trust Association Interceptor seja enviada.

1. Criar a junção com os parâmetros necessários.
2. Criar um usuário de SSO confiável.
3. Configure a senha simulada no arquivo de configuração.

Parâmetros de junção necessários

Há muitos parâmetros disponíveis ao criar uma junção no WebSEAL. Os dois que são exigidos pelo Extended Trust Association Interceptor são:

–b supply

Assegura que o WebSEAL passe o cabeçalho de BA na solicitação de HTTP. O Extended Trust Association Interceptor exige a senha simulada no cabeçalho de BA; o nome de usuário não é usado.

–c iv-creds

Assegura que o WebSEAL passe a credencial do usuário logado em todos os cabeçalhos de iv-creds da solicitação de HTTP. O Extended Trust Association Interceptor exige esse cabeçalho; caso contrário, ele não manuseia a solicitação. Outros cabeçalhos também podem ser passados, como iv-user, mas o cabeçalho iv-creds também deve ser passado.

O exemplo a seguir mostra coo criar uma junção no WebSEAL 6.1.

server task "webseal_instance_name" create -b supply -c iv-
creds -t tcp -h "websphere_hostname" -p 
"websphere_app_port_number" "junction_name"

Criar um usuário de SSO confiável

O Extended Trust Association Interceptor exige que o usuário exista no registro do usuário que será usado para autenticar a confiança. Esse usuário e sua senha se tornarão a parte central do estabelecimento de confiança entre o WebSEAL e o WebSphere Application Server. O valor da propriedade customizada com.ibm.websphere.security.webseal.loginId será configurado para esse usuário, e a senha simulada no WebSEAL será configurada nessa senha de usuário.

• Se a propriedade customizada com.ibm.websphere.security.webseal.useWebSphereUserRegistry não for configurada como verdadeira, esse usuário deverá ser criado no registro do usuário do Tivoli Access Manager. Pode-se fazer isso com o utilitário pdadmin.

  Por exemplo, para criar um usuário que usa pdadmin no Tivoli Access Manager 5.1:

  user create sso cn=sso,o=ibm,c=au sso sso ssopwd user modify ssouser account-valid yes

  
  

• Se a propriedade customizada com.ibm.websphere.security.webseal.useWebSphereUserRegistry for configurada como verdadeira, esse usuário deverá ser criado no registro do usuário do WebSphere Application Server. (Consulte o Centro de Informações do WebSphere Application Server para obter detalhes.)

Configurar a senha simulada

O WebSEAL fornece um mecanismo para predeterminar a senha que passou no cabeçalho de autenticação básica da solicitação de HTTP. Configure a senha simulada no arquivo de configuração de instância de WebSEAL usando o parâmetro –b supply descrito em Parâmetros de junção necessários. O arquivo de configuração para atualizar, webseald-instancename.conf, está no seu diretório webseal_home/etc.

Por exemplo, se a instância WebSEAL tiver o nome padrão e o WebSEAL estiver instalado no Windows, o arquivo será:

C:\Arquivos de programas\tivoli\pdweb\wetc\webseald-default.conf

Abra esse arquivo, procure basicauth-dummy-passwd e mude o valor dessa propriedade para a senha do usuário de SSO confiável. Salve o arquivo e reinicie sua instância do WebSEAL de modo que o novo valor da propriedade entre em vigor.

Voltar para parte superior

Resolução de problemas

Esta seção descreve alguns problemas comuns encontrados ao usar o Extended Trust Association Interceptor.

• Problema: Após a ativação do Extended Trust Association Interceptor, ao reiniciar o WebSphere Application Server aparece ClassNotFoundException ou ClassDefNotFoundError.

  Causas comuns

  O com.ibm.sec.authn.tai.etai_6.0.jar não foi colocado no caminho de classe. Ou, no WebSphere Application Server 6.1, o script osgiCfgInit não foi executado após a colocação do JAR no diretório de plug-ins do diretório inicial do WebSphere Application Server.

  Solução

  Confirme se o JAR foi incluído no local correto e se o script osgiCfgInit foi executado.

• Problema: A conexão única não funciona. Pede-se que o usuário efetue login no WebSEAL e no WebSphere Application Server.

  Causas comuns

  A junção de WebSEAL não foi configurada para passar o cabeçalho de iv-creds. Esse requisito é obrigatório para o Extended Trust Association Interceptor.

  A junção de WebSEAL não foi configurada para passar o cabeçalho de BA. Esse requisito é obrigatório para o Extended Trust Association Interceptor.

  A autenticação do usuário confiável especificado na propriedade com.ibm.websphere.security.webseal.loginId falha, possivelmente em vista do seguinte:

  • A senha simulada não foi configurada corretamente na configuração de WebSEAL. configuration.
  • A instância de WebSEAL não foi reiniciada após a senha simulada ser configurada.
  • A senha do usuário confiável venceu.

  A solicitação vem por meio de hosts ou portas que não são alistados nas propriedades de configuração hostnames e ports.

  O Extended Trust Association Interceptor não foi inicializado corretamente porque uma propriedade obrigatória não foi configurada corretamente.

  Soluções

  • Confirme se junção passa os iv-creds e o cabeçalho de BA.
  • Assegure-se de que o usuário confiável e a senha simulada sejam válidos.
  • Assegure-se de que a instância do WebSEAL tenha sido reiniciada.
  • Assegure-se de que todos os hosts e portas do cabeçalho Via estejam configurados nas propriedades relevantes ou configure as propriedades viaDepth e checkViaHeader como necessário.
  • Verifique os arquivos de log para conferir por que a inicialização está falhando. Procure o Tivoli Access Manager Extended Trust Association Interceptor no SystemOut.log.

• Problema: Como ativar o rastreio para o Tivoli Access Manager Extended Trust Association Interceptor. A especificação de rastreio necessária para o Extended Trust Association Interceptor é:

  com.ibm.sec.authn.tai.*=all

  
  

  Depois de ela ser configurada, pode-se inspecionar o trace.log em busca de erros ou enviá-lo para o Suporte IBM, para revisão de problemas. Também é útil para o Suporte IBM ter o rastreio do componente da Web de segurança do WebSphere Application Server. Use a seguinte especificação de rastreio para obter os dois:

  com.ibm.ws.security.web.*=all:com.ibm.sec.authn.tai.*=all

  
  

Recursos

Aprender

• Aprenda tudo sobre os recursos e benefícios do Tivoli Access Manager para a conexão única corporativa.
  
  
• Tivoli Integrated Portal: Leia sobre essa plataforma abrangente de produtos Tivoli.
  
  
• Leia mais sobre autenticação de WebSEAL e junções de WebSEAL.
  
  
• Configuring custom properties for ETai: Obtenha instruções passo a passo.
  
  
• Zona de AIX e UNIX do developerWorks: Encontre muitas informações sobre todos os aspectos da administração de sistemas AIX e aumente suas qualificações em UNIX.
  
  
• Navegue pela página do livraria de tecnologia para obter livros sobre estes e outros tópicos técnicos.
  
  

Obter produtos e tecnologias

• Versão de teste do software IBM: Crie seu próximo projeto de desenvolvimento com software para download direto do developerWorks.
  
  

Discutir

• Participar do fórum de discussão.
  
  
• Crie seu perfil do My developerWorks hoje e configure uma watchlist no Tivoli Access Manager, Tivoli Integrated Portal ou WebSEAL. Conecte-se e fique conectado com o My developerWorks.
  
  
• Participe do Blogs do developerWorks e participe da comunidade do developerWorks.
  
  
• Siga DeveloperWorks no Twitter.
  
  

Sobre os autores

Sudhindra Rao é engenheiro de desenvolvimento de software com 13 anos de experiência na produção de softwares que são sucesso comercial, com foco em middleware (servidor de aplicativos e gerenciamento de sistemas), segurança e visualização baseada na Web. Suas especialidades incluem J2EE, segurança do aplicativo, processamento de eventos, gerenciamento de serviço de negócio, tecnologia da Web, liderança técnica e trabalho com usuários para desenvolver protótipos e arquiteturas. Sudhindra atualmente é arquiteto de segurança do Tivoli Integrated Portal, onde projeta arquitetura de integração e implementação de segurança.

Dr. Samar Choudhary já trabalhou com várias tecnologias de software ao longo dos anos, incluindo gráficos 3D, Websphere Application Server e WebSphere Portal. Suas especialidades incluem interfaces com o usuário, segurança e outros aspectos do tempo de execução. Dr. Choudhary tem mais de 10 publicações, e mais de 20 patentes obtidas ou solicitas. Mais recentemente, ele trabalha como arquiteto de computação em nuvem em aspectos da interface com o usuário e do fornecimento.

Classificar este artigo

Comentários

Voltar para parte superior

Índice

• Introdução
• Arquitetura de implementação
• Configurando o servidor Tivoli Access Manager/WebSEAL
• Configurando uma junção do Tivoli Integrated Portal
• Configurando uma tabela de mapeamento de junção
• Changes to IBM Tivoli Network Manager
• Mapeamentos de junção de teste
• Configurando a desconexão única no Tivoli Integrated Portal
• Gerenciando solicitações no servidor do Tivoli Integrated Portal
• Conexão única do Tivoli Integrated Portal/Tivoli Access Manager
• Associação de confiança
• Propriedades customizadas do Extended Trust Association Interceptor
• Tivoli Access Manager WebSEAL
• Resolução de problemas
• Recursos
• Sobre os autores
• Comentários

Conheça a IBM da sua cidade

A IBM está mais perto do que você imagina!

---

Saiba mais