使用管理控制台为 Tivoli Access Manager 配置 JACC 提供程序

使用此任务通过管理控制台将 Tivoli ® Access Manager 配置为 Java™ Authorization Contract for Containers (JACC) 提供程序。

准备工作

在将 Tivoli Access Manager 配置为 JACC 提供程序之前,请验证是否已启动所有受管服务器 (包括 Node Agent)

在完成以下步骤之前,请验证您先前是否已 创建安全管理用户

有关此任务

在管理服务器上执行下列配置。 当您单击应用确定时,将检查配置信息的一致性,保存此信息,如果这些操作成功,还将应用此信息。

执行同步时,会将此配置信息传播到节点。 重新启动配置更改的节点,以使更改生效。

要使用管理控制台将 Tivoli Access Manager 配置为 JACC 提供程序,请完成以下步骤:

过程

  1. 单击以启动 WebSphere® Application Server 管理控制台http://yourhost.domain:port_number/ibm/console在启动 WebSphere Application Server之后。
    如果禁用安全性,请使用任何用户标识登录。 如果已启用安全性,请使用预定义的管理标识和密码登录。 此标识通常是您在配置用户注册表时指定的服务器用户标识。
  2. 单击 安全性> 全局安全性> 外部授权提供程序
  3. 在 "常规属性" 下,选择 使用 JACC 提供程序进行外部授权
  4. 在 "相关项" 下,单击 外部 JACC 提供程序
  5. 在 "其他属性" 下,单击 Tivoli Access Manager 属性
    将显示 Tivoli Access Manager JACC 提供程序配置屏幕。
  6. 输入以下信息:
    启用嵌入式 Tivoli Access Manager
    选择此选项以启用 Tivoli Access Manager。
    在嵌入式 Tivoli Access Manager 禁用期间忽略错误
    当您要取消配置 JACC 提供程序时选择此选项。 在配置期间不要选择此选项。
    客户机侦听的端口集
    WebSphere Application Server 必须使用 TCP/IP 端口侦听来自策略服务器的授权数据库更新。 在一个特定的节点或机器上可以运行多个进程。 可以逗号分隔条目来指定多个授权服务器。 出于故障转移和性能的原因,每次指定多台授权服务器是有用的。 输入 Tivoli Access Manager 客户机使用的侦听端口 (以逗号分隔)。 如果指定了端口范围,请使用冒号 (:) 分隔低值和高值 (例如,7999, 9990:999).
    策略服务器
    输入 Tivoli Access Manager 策略服务器的名称和连接端口。 使用policy_server:port表单。 策略通信端口是在 Tivoli Access Manager 配置时设置的,缺省值为 7135。
    授权服务器
    输入 Tivoli Access Manager 授权服务器的名称。 使用auth_server:port:priority表单。 授权服务器通信端口是在 Tivoli Access Manager 配置时设置的,缺省值为 7136。 优先级值由授权服务器使用的顺序确定 (例如,auth_server1:7136:1auth_server2:7137:2)。 优先级值1是针对单个授权服务器进行配置时必需的。
    管理员用户名
    输入配置 Tivoli Access Manager 时创建的 Tivoli Access Manager 管理员用户名; 通常是sec_master.
    管理员用户密码
    输入 Tivoli Access Manager 管理员密码。
    用户注册表专有名称后缀
    输入 Tivoli Access Manager 与 WebSphere Application Server之间共享的用户注册表的专有名称后缀,例如,o=ibm, c=us.
    安全域
    您可以在 Tivoli Access Manager 中创建多个安全域,每个安全域都有自己的管理用户。 用户、组和其他对象是在特定域中创建的,并且不允许访问另一个域中的资源。 输入用于存储 WebSphere Application Server 用户和组的 Tivoli Access Manager 安全域的名称。

    如果在 Tivoli Access Manager 配置时未建立安全域,请将该值保留为Default.

    管理员用户专有名称
    输入 WebSphere Application Server 安全性管理员标识的完整专有名称 (例如,cn=wasdmin, o=organization, c=country)。 标识名称必须与管理控制台中 "轻量级目录访问协议 (LDAP) 用户注册表" 面板上的服务器用户标识相匹配。 要访问“LDAP 用户注册表”面板,请单击安全性 > 全局安全性。 在用户帐户存储库下面,选择独立 LDAP 注册表作为可用的领域定义。 然后,单击 配置
  7. 输入所有信息后,单击 确定 以保存配置属性。 检查配置参数的有效性,以及在主机服务器或单元管理器上尝试的配置。

结果

单击 确定后, WebSphere Application Server 将完成以下操作:
  • 验证配置参数。
  • 配置主机服务器或单元管理器。
这些过程可能花费一些时间,这取决于网络流量或机器速度。

下一步做什么?

如果配置成功,将参数复制到所有下级服务器,包括 Node Agent。 要完成嵌入式 Tivoli Access Manager 客户机配置,必须重新启动所有服务器 (包括主机服务器) ,并启用 WebSphere Application Server 安全性。