Introdução às dependências do TAM E-SSO

O TAM E-SSO exige o uso de um banco de dados para armazenamento de dados do produto, incluindo carteiras eletrônicas de usuário e configuração do sistema. A mídia de instalação de servidor IMS do TAM E-SSO inclui uma versão do Microsoft SQL Server Express (SQL2K5 Express) para facilitar a instalação. No futuro, isso mudará para acomodar o IBM DB2 Express. Além desse banco de dados integrado, o TAM E-SSO v8 suporta o uso dos bancos de dados IBM DB2 v9.5 e Oracle 9i. Muitas equipes de serviços de clientes IBM querem aproveitar implementações existentes de software IBM para maximizar a reutilização e minimizar o custo. Portanto, este artigo se concentrará no uso do DB2 como banco de dados do TAM E-SSO.

O TAM E-SSO também depende de um armazenamento de identidade existente (ou novo) para o gerenciamento de dados do usuário. O TAM E-SSO se refere a esses repositórios do usuário como diretórios corporativos. Visto que o TAM E-SSO em geral é implementado em um ambiente de intranet, muitos clientes decidem aproveitar as implementações existentes de Active Directory para o TAM E-SSO. Contudo, isso não é adequado a todas as implementações de cliente, de modo que o TAM E-SSO fornece suporte a produtos baseados em LDAP como diretórios corporativos. O TAM E-SSO v8 suporta o IBM Tivoli Directory Server (ITDS) 6.1+, SunOne directory 5.1+, Novell eDirectory 8.6+ e Sun Java Directory 5.2+ como diretórios corporativos baseados em LDAP. Este artigo descreve como configurar o TAM E-SSO para usar o IBM Tivoli Directory Server (ITDS).

Voltar para parte superior

Arquitetura operacional

Para simplificar, este artigo supõe a implementação simples ilustrada na Figura 1. Essa implementação representa melhor uma instalação de servidor único IMS do TAM E-SSO conectada a um servidor ITDS corporativo.

Embora esse ambiente seja simplista, escalar os componentes para maior disponibilidade deve ser transparente para a configuração do produto descrita neste artigo.

Se a intenção do leitor for seguir as etapas de configuração descritas neste artigo, várias tarefas precisam ser executadas como pré-requisitos.

• O ITDS v6.1 deve estar instalado e configurado na máquina servidor de ITDS.
• As imagens de instalação de servidor IMS do TAM E-SSO v8 devem estar disponíveis no servidor IMS.
• O DB2 9.5 deve estar instalado no servidor IMS.
• O software AccessAgent do TAM E-SSO precisa ser copiado para o servidor ITDS.
• Os servidores precisarão se comunicar por TCP/IP. Inclua o nome do host no arquivo %SystemRoot%\System32\drivers\etc\hosts , de modo que os nomes de servidor possam ser usados no lugar dos endereços de IP. Isso torna a configuração mais portável.

Voltar para parte superior

Configurando o TAM E-SSO para usar o DB2

O DB2 deve estar instalado e configurado de acordo com as instruções de instalação na página 56 do Guia de Implementação do TAM E-SSO. Essas instruções funcionaram bem para a instalação usada no desenvolvimento deste artigo.

Após o DB2 ser configurado, o servidor IMS deve ser instalado. Enquanto executa a instalação, selecione as opções de instalação customizada, e aponte a instalação na configuração do servidor DB2 do servidor IMS. Um ponto a notar é que, ao executar a instalação de servidor IMS, a configuração de tabela de banco de dados do DB2 parece levar bastante tempo. Isso é normal; seja paciente durante essa etapa. Se ficar preocupado com o tempo que está levando, monitore o log de instalação do IMS em c:\TAM_E-SSO_IMS_installer.log Depois de instalado com êxito, o arquivo tomcat stdout.log, localizado abaixo, é uma boa referência para determinar o estado do sistema.

Repare que nenhuma configuração de ITDS é executada no momento da configuração.

Quando a configuração está concluída, o utilitário de configuração do IMS, baseado na Web, é iniciado. Quando o utilitário de configuração é carregado, a página de configuração de domínio é exibida.

Voltar para parte superior

Configurando o TAM E-SSO para usar ITDS

A instância ITDS agora precisa ser configurada com os objetos necessários para os usuários que se registram pelo AccessAgent do TAM E-SSO. Quando isso é feito, o IMS pode ser configurado com o ITDS como diretório corporativo.

Configuração do ITDS com usuários de teste

Na máquina ITDS, a primeira etapa é criar o sufixo para armazenar usuários e grupos, por exemplo, o=ibm,c=au. No desenvolvimento deste artigo, o seguinte LDIF foi carregado no servidor ITDS. Esse LDIF inclui vários usuários de teste.

    dn: o=ibm,c=au
    objectclass: organization
    o: ibm

    dn: cn=chrish,o=ibm,c=au
    objectclass: inetorgperson
    userpassword: passw0rd
    cn: chrish
    sn: hockings

    dn: cn=root,o=ibm,c=au
    objectclass: inetorgperson
    userpassword: passw0rd
    cn: root
    sn: root

        

Talvez seja bom conceder ao usuário cn=root,o=ibm,c=au a habilidade de procurar, incluir, excluir e modificar entradas dentro do diretório, mas por padrão o usuário pode procurar no repositório, e isso basta no TAM E-SSO. A próxima etapa é configurar o ITDS coimo diretório corporativo dentro do IMS.

Configurando o IMS para usar ITDS

Agora é hora de configurar o IMS para usar o servidor ITDS como armazenamento de identidade e autenticação. Inicie o utilitário de configuração de IMS. Repare que o utilitário de configuração de IMS começa na opção Add a domain , que é usada para a configuração de domínio do Active Directory. Isso é um pouco confuso, porque a criação de domínio não é necessária para a configuração de outros diretórios corporativos, como no ITDS.

Na página inicial do Utilitário de Configuração do IMS, selecione Enterprise Directories na coluna à esquerda. À direita, selecione Add Directory, como mostrado na Figura 3.

Repare que, após a instalação do IMS, AccessAnywhereEnterpriseDirectory é configurado, permitindo que qualquer usuário se registre sem validar as credenciais. Assim, se houver uma tentativa de criar um administrador de IMS antes desse ponto, ele aceitará qualquer combinação de nome de usuário/senha. Ele nunca é verificado com relação a um diretório.

A próxima etapa é incluir um nome e descrição para o novo diretório corporativo, como mostrado na Figura 4.

Certifique-se de que Include this directory in TAM E-SSO user validation esteja selecionado. Quando isso for feito, esse diretório se tornará o serviço de autenticação para registrar usuários por meio do AccessAgent.

Agora, selecione o botão Add e o Generic LDAP Connector, como mostra a Figura 5.

As informações do servidor ITDS agora devem ser inseridas na tela mostrada na Figura 6.

Abra a expansão Advanced configuration keys e configure os detalhes do ITDS. O SSL não deve ser configurado nesse ponto. As instruções para configurar SSL são fornecidas mais adiante neste artigo. Repare que o nome de classe completo, ou seja, com.sun.jndi.ldap.LdapCtxFactory, não é mostrado no diagrama abaixo.

A configuração pode ser então testada, selecionando o botão Save and test . O resultado é que uma mensagem de êxito é exibida na parte superior dessa página de configuração. Se aparecer um erro, verifique os detalhes inseridos. Consulte o arquivo stdout.log do IMS se o problema não puder ser determinado a partir das informações de configuração. A seção Resolução de problemas , abaixo, mostra técnicas para resolver os problemas encontrados.

Voltar para parte superior

Fornecimento do seu administrador IMS

A próxima etapa é fornecer um administrador IMS, nesse caso, a conta cn=root,o=ibm,c=au . Na página da Web IMS configuration utility , selecione o link Create an IMS Administrator . Depois digite root/passw0rd e conclua a tarefa.

Depois de configurar um administrador IMS, esse usuário pode efetuar login no AccessAdmin para configurar o comportamento da sessão IMS. Acesse a URL para AccessAdmin por meio da pasta do menu de início do TAM E-SSO. Quando solicitado, faça a autenticação usando o administrador IMS, root/passw0rd. Se a opção de usuário de procura estiver selecionada no AccessAdmin, os usuários registrados serão exibidos. Após selecionar um usuário, o diretório corporativo no qual o usuário foi registrado poderá ser determinado. Verifique se o usuário root tem ims_ldap\ como seu prefixo. Isso fornece confiança que o diretório corporativo ITDS foi configurado corretamente.

Voltar para parte superior

Configurar o comportamento da sessão do servidor IMS por meio do AccessAdmin

A próxima etapa é configurar o servidor IMS para as conexões das instâncias AccessAgent. Selecione Setup assistant no menu à esquerda do aplicativo da Web AccessAdmin. É exibida a página a seguir. Repare que o botão Begin aparece no canto inferior direito da página.

Agora o sistema pode ser configurado em harmonia com os requisitos para o gerenciamento de sessão do usuário. Esse artigo simplesmente ativa o autoatendimento usando um desktop compartilhado. Conclua a configuração de acordo com os requisitos específicos.

Foram feitas as seguintes seleções para este artigo:

1. Ativar opções de autoatendimento
2. Suportar estação de trabalho compartilhada
3. Usar desktop compartilhado
4. Continuar para selecionar os padrões para todas as outras opções

Voltar para parte superior

Registro bem-sucedido de usuário

A próxima etapa é instalar o AccessAgent na instância do servidor ITDS. Execute a instalação de acordo com a documentação do produto. Quando instalado, o AccessAgent pedirá a localização do servidor IMS. Use o nome do host do servidor IMS no ambiente. O sistema será reinicializado.

Depois que o sistema reinicializar, em vez da janela padrão de Autenticação do Windows, será apresentado o GINA do TAM E-SSO. Selecionando a opção Go to Windows Logon e autenticando com o uso de Administrador, será exibido o desktop do Windows. Antes de continuar, verifique se o servidor ITDS foi iniciado com sucesso (por meio de serviços Microsoft). Agora, clique com o botão direito do mouse no ícone do AccessAgent, na barra de ferramentas, como mostrado abaixo.

Selecione o link Sign up . Digite o texto chrish/passw0rd. O AccessAgent executa então um registro de primeira vez, pedindo que o usuário selecione duas respostas de Q&A e para reconfigurar a senha da sua carteira eletrônica. Repare que isso não muda a senha do Diretório Corporativo.

Quando concluído, o AccessAgent muda para uma cor vermelha brilhante (não piscante). Isso indica que o usuário se registrou e agora está logado na sua nova carteira eletrônica.

Voltar para parte superior

Registro de usuário sem êxito

Agora, clique com o botão direito do mouse no ícone da barra de tarefas do AccessAgent e selecione Logoff AccessAgent. Tente registrar um usuário que não existe no ITDS. Execute as funções de autorregistro. Quando for executado envio final, o AccessAgent exibirá a seguinte mensagem.

Isso prova que a instância ITDS está autenticando usuários durante o registro.

Voltar para parte superior

Configuração do SSL para o diretório corporativo

Como se dá com o exercício de configuração SSL, há um componente SSL do lado do cliente e um do lado do servidor para configurar. O servidor, nesse caso, é o servidor ITDS, com o IMS do TAM E-SSO agindo como cliente. Esta seção descreve as etapas de configuração necessárias para o servidor e para o cliente. Antes de tentar configurar o SSL, certifique-se de que o servidor IMS e o servidor ITDS tenham a mesma configuração de fuso horário e horário.

Configuração do SSL para ITDS

A primeira etapa é configurar o servidor ITDS com um certificado autoassinado para usar conexões SSL. Os certificados autoassinados são um modo conveniente de configurar um servidor não de produção para executar SSL. Naturalmente os servidores de produção devem usar autoridade de certificação confiáveis para criar os certificados.

Na máquina servidor ITDS, abra um prompt de comandos e dê os seguintes comandos:

C:\Program Files\IBM\GSK7\bin>gsk7cmd -keydb -create -db c:\serverkey -pw passw0rd -type
cms -stash
C:\Program Files\IBM\GSK7\bin>gsk7cmd -cert -create -db c:\serverkey.kdb -pw passw0rd
-label testlabel 
-dn "CN='tam6',o=ibm,c=au -default_cert yes -expire 999

C:\Program Files\IBM\GSK7\bin>gsk7cmd -cert -list -db c:\serverkey.kdb -pw passw0rd
Certificates in database: c:\serverkey.kdb
   Entrust.net Global Secure Server Certification Authority
   Entrust.net Global Client Certification Authority
   Entrust.net Client Certification Authority
   Entrust.net Certification Authority (2048)
   Entrust.net Secure Server Certification Authority
   VeriSign Class 3 Public Primary Certification Authority
   VeriSign Class 2 Public Primary Certification Authority
   VeriSign Class 1 Public Primary Certification Authority
   VeriSign Class 4 Public Primary Certification Authority - G2
   VeriSign Class 3 Public Primary Certification Authority - G2
   VeriSign Class 2 Public Primary Certification Authority - G2
   VeriSign Class 1 Public Primary Certification Authority - G2
   VeriSign Class 4 Public Primary Certification Authority - G3
   VeriSign Class 3 Public Primary Certification Authority - G3
   VeriSign Class 2 Public Primary Certification Authority - G3
   VeriSign Class 1 Public Primary Certification Authority - G3
   Thawte Personal Premium CA
   Thawte Personal Freemail CA
   Thawte Personal Basic CA
   Thawte Premium Server CA
   Thawte Server CA
   RSA Secure Server Certification Authority
   testlabel

C:\Program Files\IBM\GSK7\bin>gsk7cmd -cert -create -db c:\serverkey.kdb -pw passw0rd
-label testcert 
-dn "cn=tam6,o=ibm,c=au" -default_cert yes -expire 999

    
-dn "cn=tam6,o=ibm,c=au" -default_cert yes -expire 999
    

A próxima etapa é criar um arquivo LDIF para fazer o upload do certificado e de informações de configuração no ITDS. O arquivo de texto aparece assim:

dn: cn=SSL,cn=Configuration
changetype: modify
replace: ibm-slapdSslAuth
ibm-slapdSslAuth: serverAuth
-
replace: ibm-slapdSecurity
ibm-slapdSecurity: SSL

dn: cn=SSL,cn=Configuration
changetype: modify
replace: ibm-slapdSSLKeyDatabase
ibm-slapdSSLKeyDatabase: c:\serverkey.kdb
-
replace:ibm-slapdSslCertificate
ibm-slapdSslCertificate: testlabel
-
replace: ibm-slapdSSLKeyDatabasePW
ibm-slapdSSLKeyDatabasePW: passw0rd
    

Faça o upload do conteúdo do arquivo com o seguinte comando:

C:\Program Files\IBM\GSK7\bin>idsldapmodify -D cn=root -w passw0rd -i file.ldif -p 389
modifying entry cn=SSL,cn=Configuration

modifying entry cn=SSL,cn=Configuration
    
    

A última tarefa de configuração do lado do servidor é extrair o certificado autoassinado de modo que possa ser carregado no TAM E-SSO. O utilitário gsk7ikm pode ser usado para extrair o certificado. Basta abrir o arquivo CMS e exportar o certificado criado acima, como mostrado na Figura 11.

Copie esse certificado para o servidor IMS, colocando-o no diretório c:\ .

Reinicie a instância do servidor ITDS por meio do gerenciador de serviço do Windows. Verifique se o servidor está monitorando a porta 636 dando o comando netstat e verificando se o servidor monitora essa porta.

Configuração do SSL para TAM E-SSO

A próxima etapa é configurar o SSL para TAM E-SSO. Há duas etapas envolvidas. Primeira, o certificado CA exportado para ITDS deve ser incluído no armazenamento de certificados CA confiável usado pelo tomcat. Pode-se fazer isso dando os seguintes comandos no prompt de comandos:

   C:\Encentuate\IMSServer8.0.0.12\j2sdk1.5\bin>keytool -import -alias ldapcert -file
   c:\cert.der 
   -keystore C:\Encentuate\IMSServer8.0.0.12\j2sdk1.5\jre\lib\security\cacerts
Enter keystore password:  changeit
Owner: CN='tam6', O=ibm, C=au -default_cert yes -expire 999
Issuer: CN='tam6', O=ibm, C=au -default_cert yes -expire 999
Serial number: 7620914a145654c4
Valid from: 12/22/08 10:34 AM until: 12/23/09 10:34 AM
Certificate fingerprints:
         MD5:  C1:8B:81:C3:C3:EA:37:EB:68:4D:22:C8:59:39:6F:B9
         SHA1: 35:0F:A6:20:C1:EF:43:5F:45:CB:24:F3:C4:E7:C3:D3:0E:5A:8D:07
Trust this certificate? [no]:  yes
Certificate was added to keystore
    

Reinicie o servidor IMS.

A próxima etapa é configurar a configuração do Diretório Corporativo do IMS para ativar SSL. Abra o IMS Configuration Utility, selecione Enterprise Directories e selecione a entrada do servidor ITDS. Depois, selecione Update directory. O URI do servidor do LDAP agora deve incluir o novo protocolo e a porta, como segue: ldaps://ldap-hostname:636. Dentro do grupo advanced configuration keys, o protocolo de segurança LDAP deve ser alterado para ssl. Depois, selecione Save and test, que resulta na exibição de uma mensagem de êxito na parte superior da página de configuração.

Agora deve ser possível fazer um novo teste de alguns processos de registro do usuário para garantir que as mudanças de SSL estão corretas.

Voltar para parte superior

Resolução de problemas

A maioria dos problemas encontrados durante o desenvolvimento deste artigo não se relacionaram ao produto funcional (a não ser nos casos em que foram fornecidas dicas no texto acima), mas tiveram mais a ver com o a configuração de rede e dos sistemas. A seção a seguir descreve os métodos que podem ser usados para depurar problemas específicos do produto.

Problemas do ITDS

Uma pessoa qualificada deve ser capaz de depurar problemas do lado do servidor com LDAP, de modo que esta seção não se concentrará nessa área.

Os problemas encontrados no desenvolvimento deste artigo se devem, na maior parte, a problemas reais de conectividade, além de anomalias nos dados de solicitação de protocolo LDAP.

Wireshark foi usado amplamente para depurar problemas encontrados com a conectividade e problemas de LDAP. Para configurar o Wireshark para monitorar determinada interface de rede, basta selecionar Capture->interfaces no menu e depois selecionar o adaptador pelo qual as informações do protocolo fluirão. A seguir, execute um teste, como o registro de um novo usuário. Isso deve resultar em uma saída do Wireshark similar à mostrada abaixo.

Também se pode testar a conectividade apenas usando um cliente Telnet (comando telnet no Windows) para acessar a porta usada pelo servidor ITDS. Pode-se fazer isso emitindo telnet itds-server-name 389 a partir de um prompt de comandos. Se a conectividade estiver OK, pode ser necessário instalar o cliente ITDS na máquina IMS e simular as solicitações do LDAP que estão sendo executadas.

Naturalmente, o Wireshark não pode ser usado para inspecionar cargas úteis criptografadas de SSL, de modo que recomendamos garantir que a configuração IMS para ITDS seja executada com sucesso sem SSL. O Wireshark pode, pelo menos, revelar problemas no handshake do SSL, que pode ser sempre útil. Além dos erros de handshake, inspecionar o arquivo de log stdout do servidor IMS fornecerá rastreio de pilha para quaisquer outros erros encontrados.

Problemas de IMS

O arquivo stdout.log do servidor IMS é o melhor lugar para identificar problemas a qualquer momento durante o exercício de configuração. Monitore-o de perto para garantir que o sistema permanece estável durante as mudanças na configuração. Várias outras dicas incluem:

• Durante a instalação, certifique-se de seguir de perto as instruções de instalação do produto, sempre reiniciando quando necessário.
• Se por qualquer motivo um AccessAgent tiver sido configurado para determinado servidor IMS e você tentar apontar para ele em outro, ele falhará. Se isso acontecer, tente reinstalar o AccessAgent.
• Também, certifique-se de que o processo tomcat do IMS esteja totalmente inicializado antes de tentar qualquer operação. Quando o servidor IMS tiver iniciado e a CPU cair a zero, o processo DB2 ficará por volta de 200MB e o processo tomcat estará por volta de 600MB.
• Se o servidor IMS for configurado em VMWare, é necessário alocar 2GB de memória para essa imagem. Menos do que essa quantidade pode causar problemas na inicialização do servidor IMS.

Voltar para parte superior

Conclusão

Embora o TAM E-SSO possa ser usado internamente para fornecer serviços de Conexão Única a usuários da intranet, há muitos casos de uso em que os diretórios corporativos poderiam ser considerados mais relevantes em uma implementação TAM E-SSO. Se esse for o caso, este artigo fornece instruções detalhadas de como configurar essa implementação sem a necessidade de usar o Active Directory. Sem o Active Directory, o TAM E-SSO mantém seus benefícios de negócios e aumenta o alcance além da implementação de Active Directory interno.

Voltar para parte superior

Agradecimentos

Recursos

• Tivoli Directory Server - página inicial. Guia de Implementação do TAM E-SSO - download.
  
  

Sobre o autor

Chris trabalha como IT Specialist Senior e Chefe de Equipe no Laboratório de Desenvolvimento Australiano de Segurança Tivoli Security localizado em Gold Coast, Austrália. Ele lidera uma equipe de Engenheiros de Software e IT Specialists que trabalham com produtos de Segurança Tivoli.

Classificar este artigo

Comentários

Voltar para parte superior

Índice

• Introdução às dependências do TAM E-SSO
• Arquitetura operacional
• Configurando o TAM E-SSO para usar o DB2
• Configurando o TAM E-SSO para usar ITDS
• Fornecimento do seu administrador IMS
• Configurar o comportamento da sessão do servidor IMS por meio do AccessAdmin
• Registro bem-sucedido de usuário
• Registro de usuário sem êxito
• Configuração do SSL para o diretório corporativo
• Resolução de problemas
• Conclusão
• Agradecimentos
• Recursos
• Sobre o autor
• Comentários

Conheça a IBM da sua cidade

A IBM está mais perto do que você imagina!

---

Saiba mais