Modification des paramètres de configuration du protocole

L'adaptateur utilise le protocole DAML pour communiquer avec le serveur d'identité.

A propos de cette tâche

Par défaut, lorsque l'adaptateur est installé, le protocole DAML est configuré pour un environnement non sécurisé. Pour configurer un environnement sécurisé, utilisez la fonction SSL (Secure Socket Layer) et installez un certificat.

Le protocole DAML est le seul protocole pris en charge que vous pouvez utiliser. N'ajoutez pas et ne supprimez pas de protocole.

Procédure

  1. Accédez au menu de configuration principale de l'agent.
  2. Entrez dans B. Le protocole DAML est configuré et disponible par défaut pour l'adaptateur.
    Agent Protocol Configuration Menu
-----------------------------------
Available Protocols: DAML
Configured Protocols: DAML
A. Add Protocol.
B. Remove Protocol.
C. Configure Protocol.

X. Done

Select menu option
  3. Dans le menu Configuration du protocole de l'agent, entrez C pour afficher le menu Configuration du protocole.
    Configure Protocol Menu
-----------------------------------
A. DAML

X. Done

Select menu option:
  4. Entrez une lettre pour afficher le menu Protocol Properties du protocole configuré avec les propriétés du protocole.

    L'écran suivant est un exemple des propriétés du protocole DAML.

    DAML Protocol Properties
--------------------------------------------------------

A. USERNAME           ****** ;Authorized user name.
B. PASSWORD           ****** ;Authorized user password.
C. MAX_CONNECTIONS    100    ;Max Connections.
D. PORTNUMBER         45580  ;Protocol Server port number.
E. USE_SSL            FALSE  ;Use SSL secure connection.
F. SRV_NODENAME       –––––  ;Event Notif. Server name.
G. SRV_PORTNUMBER     9443   ;Event Notif. Server port number.
H. HOSTADDR           ANY    ;Listen on address < or "ANY" >
I. VALIDATE_CLIENT_CE FALSE  ;Require client certificate.
J. REQUIRE_CERT_REG   FALSE  ;Require registered certificate.
K. READ_TIMEOUT       0      ;Socked read timeout (seconds)
L. MIN_TLS_LEVEL      1.0    ;Minimum TLS level (0 for none)
X. Done
Select menu option:
  5. Pour modifier une valeur de protocole, procédez comme suit :
    • Entrez la lettre de l'option de menu pour la propriété de protocole à configurer. Le tableau suivant décrit chaque propriété.
    • Effectuez l'une des actions suivantes :
      • Modifiez la valeur de la propriété et appuyez sur Entrée pour afficher le menu Protocol Properties avec la nouvelle valeur.
      • Si vous ne voulez pas modifier la valeur, appuyez sur Entrée.
    Tableau 1. Options pour le menu du protocole DAML
    Option Tâche de configuration
    A Affiche l'invite suivante :

    Modify Property 'USERNAME':

    Entrez un ID utilisateur, par exemple, agent. Le serveur d'identité utilise cette valeur pour se connecter à l'adaptateur. L'ID utilisateur par défaut est agent.
    B Affiche l'invite suivante :

    Modify Property 'PASSWORD':

    Saisissez un mot de passe, par exemple agent. Le serveur d'identité utilise cette valeur pour se connecter à l'adaptateur. Le mot de passe par défaut est agent.
    C Affiche l'invite suivante :

    Modify Property 'MAX_CONNECTIONS':

    Entrez un nombre maximal de connexions ouvertes concurrentes prises en charge par l'adaptateur. Le nombre par défaut est 100.
    D Affiche l'invite suivante :

    Modify Property 'PORTNUMBER':

    Entrez un numéro de port différent.

    Cette valeur est le numéro de port que le serveur d'identité utilise pour se connecter à l'adaptateur. Le numéro de port par défaut est 45580.
    E Affiche l'invite suivante :

    Modify Property 'USE_SSL':

    TRUE spécifie d'utiliser une connexion SSL sécurisée pour se connecter à l'adaptateur. Si vous définissezUSE_SSL sur TRUE, vous devez installer un certificat. FALSE (valeur par défaut) spécifie de ne pas utiliser une connexion SSL sécurisée.

    Remarque : par défaut, la notification d'événements nécessite que USE_SSL soit réglé sur TRUE. Pour utiliser la notification d'événements, vous devez affecter la valeur TRUE à USE_SSL et ajouter un certificat et une clé à partir du fichier PKCS12 dans l'adaptateur.
    F Affiche l'invite suivante :

    Modify Property 'SRV_NODENAME':

    Saisissez le nom du serveur ou l'adresse IP du poste de travail sur lequel vous avez installé le serveur d'identité.

    Cette valeur est le nom DNS ou l'adresse IP du serveur d'identité utilisé pour la notification des événements et le traitement asynchrone des demandes.

    Remarque : si votre système d'exploitation prend en charge les connexions Internet Protocol version 6 ( IPv6 ), vous pouvez spécifier un serveur IPv6.
    G Affiche l'invite suivante :

    Modify Property 'SRV_PORTNUMBER':

    Saisissez un autre numéro de port pour accéder au serveur d'identité.

    L'adaptateur utilise ce numéro de port pour se connecter au serveur d'identité. Le numéro de port par défaut est 9443.
    H L'option HOSTADDR est pratique lorsque le système d'exécution de l'adaptateur dispose de plusieurs adaptateurs de réseau. Vous pouvez sélectionner l'adresse IP d'écoute de l'adaptateur.

    La valeur par défaut est ANY.
    I

    Affiche l'invite suivante :

    Modify Property 'VALIDATE_CLIENT_CE':

    Spécifiez TRUE pour que le serveur d'identité envoie un certificat lorsqu'il communique avec l'adaptateur. Lorsque vous définissez cette option sur TRUE, vous devez configurer les options D à I.

    Spécifiez FALSE, la valeur par défaut, pour permettre au serveur d'identité de communiquer avec l'adaptateur sans certificat.
    Remarque :
    • Le nom de la propriété est VALIDATE_CLIENT_CERT, mais il est tronqué par l'outil agentCfg afin de tenir sur l'écran.
    • Vous devez utiliser certTool pour installer les certificats CA appropriés et éventuellement enregistrer le certificat du serveur d'identité.
    J

    Affiche l'invite suivante :

    Modify Property 'REQUIRE_CERT_REG':

    Cette valeur est nécessaire lorsque l'option I est définie sur TRUE.

    Tapez TRUE pour enregistrer l'adaptateur avec le certificat client du serveur d'identité avant qu'il n'accepte une connexion SSL.

    Entrez la valeur FALSE pour vérifier le certificat client par rapport à la liste des certificats de CA. La valeur par défaut est FALSE.
    K Affiche l'invite suivante :

    Modify Property 'READ_TIMEOUT':

    Saisissez la valeur du délai d'attente en secondes pour IBM Security Verify Governance Identity Manager et la connexion de l'adaptateur.

    Cette option s'applique aux configurations qui ont un pare-feu entre IBM Security Verify Governance Identity Manager et l'adaptateur. Ce pare-feu a une valeur de délai d'attente inférieure à l'âge maximum de la connexion, propriété DAML sur IBM Security Verify Governance Identity Manager. Lorsque vos transactions dépassent le délai d'attente du pare-feu, celui-ci stoppe la connexion. L'arrêt brutal des connexions peut entraîner l'apparition d'unités d'exécution incorrectes dans l'adaptateur pouvant entraîner le dysfonctionnement de ce dernier.

    Lorsque l'adaptateur s'arrête de manière aléatoire en raison de la configuration spécifiée, modifiez la valeur de READ_TIMEOUT. La valeur doit être exprimée en secondes et inférieure à celle du délai d'attente du pare-feu.
    L

    Cette option contrôle le niveau TSL minimal utilisé lorsque SSL est activé. Les paramètres du protocole DAML comprennent désormais une valeur appelée MIN_TLS_LEVEL. Elle remplace les valeurs DISABLE_SSLV3 et DISABLE_TLS10. Les valeurs admises sont les suivantes :

    • 0 : aucune restriction. Cette valeur autorise les connexions SSLV3 qui sont connues pour être vulnérables.
    • 1.0 : TLS 1.0 et versions ultérieures est pris en charge.
    • 1.1 : TLS 1.1 et versions ultérieures est pris en charge.
    • 1.2 : TLS 1.2 et versions ultérieures est pris en charge.
    • 1.3 : TLS 1.3 et versions ultérieures est pris en charge.

    Pour des raisons de compatibilité ascendante, si MIN_TLS_LEVEL n'est pas défini, il est défini au démarrage sur la base des paramètres de DISABLE_SSLV3 et DISABLE_TLS10.
  6. A l'invite, procédez comme suit :
    • Modifiez la valeur de la propriété et appuyez sur Entrée pour afficher le menu Protocol Properties avec la nouvelle valeur.
    • Si vous ne voulez pas modifier la valeur, appuyez sur Entrée.
  7. Répétez l'étape 5 pour configurer les autre propriétés de protocole.
  8. Dans le menu Protocol Properties, tapez X pour quitter.
  9. Définition de la liste de chiffrement
    Le protocole DAML vérifie désormais la présence d'une variable d'environnement appelée ISIM_ADAPTER_CIPHER_LIST. Cette variable peut contenir une liste des chiffrements du protocole SSL. DAML utilise la bibliothèque OpenSSL pour prendre en charge le protocole SSL. Cette chaîne de chiffrement est transmise à OpenSSL lors de l'initialisation. Les noms des codes et la syntaxe peuvent être consultés sur le site web OpenSSL. Lorsque cette chaîne est utilisée, la procédure échoue uniquement si aucun des chiffrements ne peut être chargé. La procédure aboutit si au moins l'un des chiffrements est chargé.