Verwenden Sie diese Task, um Tivoli Access Manager über die Administrationskonsole als JACC-Provider (Java™ Authorization Contract for Containers) zu konfigurieren.
Informationen zu dieser Task
Die folgende Konfiguration wird einmal auf dem Deployment-Manager-Server durchgeführt. Wenn Sie auf Anwenden oder OK klicken, werden die Konfigurationsdaten auf
Konsistenz überprüft, gespeichert und angewendet.
Führen Sie die folgenden Schritte aus, um Tivoli Access Manager über die Administrationskonsole als JACC-Provider zu konfigurieren:
Vorgehensweise
- Starte das WebSphere Application Server Konsolenverwaltung durch Klicken aufhttp://yourhost.domain:port_number/ibm/consolenach dem Start WebSphere Application Server.
Wenn die Sicherheit inaktiviert ist, melden Sie sich mit einer
beliebigen Benutzer-ID an. Falls die Sicherheit aktiviert ist, melden Sie
sich mit einer vordefinierten Administrator-ID und dem zugehörigen Kennwort an. Dies ist in der Regel
die Benutzer-ID für Server, die beim Konfigurieren
der Benutzerregistry angegeben wird.
- Klicken Sicherheit > Globale Sicherheit > Externe Autorisierungsanbieter.
- Wählen Sie unter Allgemeine Eigenschaften Externe Autorisierung über einen JACC-Provider.
- Klicken Sie unter „Verwandte Elemente“ auf Externer JACC-Anbieter.
- Klicken Sie unter „Weitere Eigenschaften“ auf Tivoli Access Manager-Eigenschaften.
Der Konfigurationsbildschirm des JACC-Providers von Tivoli Access Manager wird angezeigt.
- Geben Sie die folgenden Informationen ein:
- Eingebetteter Tivoli Access Manager aktivieren
- Wählen Sie diese Option aus, um Tivoli Access Manager zu aktivieren.
- Fehler während der Deaktivierung des eingebetteten Tivoli Access Manager ignorieren
- Wählen Sie diese Option aus, wenn Sie den JACC-Provider dekonfigurieren möchten. Wählen Sie die Option während der Konfiguration nicht aus.
- Empfangsportgruppe des Clients
- WebSphere Application Server muss über einen TCP/IP-Port auf Aktualisierungen der Autorisierungsdatenbank vom Richtlinienserver lauschen. Auf einem bestimmten Knoten oder einer
bestimmten Maschine können mehrere Prozesse aktiv sein. Sie können mehrere Berechtigungsserver angeben, indem Sie die Einträge durch Kommata voneinander trennen. Die Konfiguration mehrerer Berechtigungsserver ist nützlich,
wenn Sie eine gute Leistung gewährleisten und Failover nutzen möchten. Geben Sie die von den Tivoli Access Manager-Clients verwendeten Listening-Ports durch Kommas getrennt ein. Wenn ein Portbereich angegeben ist, trennen Sie die kleineren und größeren Werte durch einen Doppelpunkt ( : ) (Zum Beispiel,7999, 9990:999).
- Richtlinienserver
- Geben Sie den Namen und Verbindungsport für den Richtlinienserver von
Tivoli Access Manager ein. Verwendenpolicy_server:portbilden. Der Richtlinienkommunikationsport wird bei der Konfiguration von Tivoli Access Manager festgelegt und ist standardmäßig auf 7135 eingestellt.
- Berechtigungsserver
- Geben Sie den Namen des Tivoli Access Manager-Autorisierungsservers ein. Verwendenauth_server:port:prioritybilden. Der Kommunikationsport des Autorisierungsservers wird bei der Konfiguration von Tivoli Access Manager festgelegt und ist standardmäßig auf 7136 eingestellt. Der Prioritätswert wird durch die Reihenfolge der Verwendung des Autorisierungsservers bestimmt (z. B.auth_server1:7136:1andauth_server2:7137:2). Ein Prioritätswert von1ist bei der Konfiguration gegenüber einem einzelnen Autorisierungsserver erforderlich.
- Benutzername des Administrators
- Geben Sie den Administratorbenutzernamen für Tivoli Access Manager ein, der bei der Konfiguration von Tivoli Access Manager erstellt wurde. Normalerweise lautet ersec_master.
- Benutzerkennwort des Administrators
- Geben Sie das Administratorkennwort für Tivoli Access Manager ein.
- DN-Suffix für Benutzerregistry
- Geben Sie das Suffix des definierten Namens für die Benutzerregistry ein, die von Tivoli Access Manager und WebSphere Application Server, Zum Beispiel,o=ibm, c=us.
- Sicherheitsdomäne
- Sie können in Tivoli Access Manager mehrere Sicherheitsdomänen erstellen, jede mit ihrem eigenen Verwaltungsbenutzer. Benutzer,
Gruppen und andere Objekte werden in einer spezifischen Domäne erstellt und können nicht
auf Ressourcen in einer anderen Domäne zugreifen. Geben Sie den Namen der Tivoli Access Manager-Sicherheitsdomäne ein, die zum Speichern verwendet wird WebSphere Application Server Benutzer und Gruppen.
Wenn zum Zeitpunkt der Konfiguration von Tivoli Access Manager keine Sicherheitsdomäne eingerichtet wird, belassen Sie den Wert wie folgt:Default.
- Definierter Name (DN) des Administrators
- Geben Sie den vollständigen Distinguished Name des WebSphere Application Server Sicherheitsadministrator-ID (zum Beispielcn=wasdmin, o=organization, c=country). Der ID-Name muss mit der Server-Benutzer-ID im Fenster „LDAP-Benutzerregistry“ in der Administrationskonsole übereinstimmen. Zum Aufrufen der Anzeige
LDAP-Benutzerregistry klicken Sie auf
Sicherheit > Globale Sicherheit. Wählen Sie unter
Repository für Benutzeraccounts die Option Eigenständige LDAP-Registry als verfügbare Realmdefinition
aus. Dann klick Konfigurieren.
- Wenn alle Informationen eingegeben sind, klicken Sie auf OK, um die Konfigurationseigenschaften zu speichern. Die Konfigurationsparameter werden auf Gültigkeit
überprüft, und es wird versucht, die Konfiguration auf dem Hostserver oder im
Zellenmanager auszuführen.
Ergebnisse
Nachdem Sie auf OK, WebSphere Application Server führt die folgenden Aktionen aus:
- Validiert die Konfigurationsparameter.
- Konfiguriert den Hostserver oder Zellenmanager.
Die Ausführungsdauer dieser Prozesse richtet sich nach dem Datenaufkommen im Netz und der
Geschwindigkeit Ihrer Maschine.
Nächste Schritte
Die Konfigurationsparameter werden auf alle untergeordneten
Server einschließlich der Node Agents kopiert. Um die Konfiguration des eingebetteten Tivoli Access Manager-Clients abzuschließen, müssen Sie alle Server, einschließlich des Hostservers, neu starten und WebSphere Application Server Sicherheit.