外部访问控制服务
门户网站外部访问控制服务负责收集来自外部安全性管理器(例如 Computer Associates eTrust SiteMinder 或 IBM® Security Access Manager)的授权数据。
在 WebSphere® Integrated Solutions Console 中,门户网站外部访问控制服务列示为 WP ExternalAccessControlService。
在门户网站外部访问控制服务中,您可以修改下面列出的配置属性。但是,修改这些属性时,请提前作好规划并且需要特别小心。
外部访问控制服务的常规属性
这些属性用于外部访问控制服务的一般使用。
- externalaccesscontrol.ready = (false)
- 此属性表示此文件中的配置是否已配置为连接到外部安全性管理器。缺省值为 false。
- externalaccesscontrol.server = WebSphere_Portal
- externalaccesscontrol.application = WPS
- externalaccesscontrol.cell = cell
- 角色名说明使用这三个属性构建的上下文来进行限定。例如,Administrator@External_Access_Control/xxx/xxx 以下列方式表示:
- Security Access Manager: Protected object space entry
/WPSv6/Administrator@External_Access_Control/xxx/xxx/WPS/WebSphere_Portal/cell- eTrust SiteMinder:
resource/subrealms under Domain: WebSphere Portal v8 /cell/WebSphere_Portal/WPS/Administrator@External_Access_Control/xxx/xxx
Access Manager 配置
使用以下属性以配置 WebSphere Portal 和 Tivoli Access Manager 之间的连接。
- externalaccesscontrol.pdroot = (/WPSv6)
- 在完成 AMJRTE 和 SrvSslCfg 配置任务后,需要运行以下伪指令以允许 WebSphere Portal 将 Tivoli Access Manager 用作外部安全性管理器。为 Portal Server 条目提供您的受保护对象空间的根。
- externalaccesscontrol.pduser = sec_master
- externalaccesscontrol.pdpw = passw0rd
- 使用这些属性可以向 Tivoli 中的管理用户标识和密码提供足够的权限,以创建、删除、修改受保护对象空间中的对象。您可以使用 WebSphere Application Server PropFilePasswordEncoder 实用程序来屏蔽密码。使用 PropFilePasswordEncoder 将除去所有注释和已取消注释的属性。因此,请创建此文件的备份副本以供将来参考。下面是
AIX® IBM i Linux Solaris Windows 的示例:
AppServer_root/bin/PropFilePasswordEncoder wp_profile_root/PortalServer/config/properties/ExternalAccessControlService.properties externalaccesscontrol.pdpw下面是 的示例:
注: 应该在命令行窗口中单独一行上输入此命令。 - externalaccesscontrol.pdurl=file:///${WAS_INSTALL_ROOT}/java/jre/PdPerm.properties
- 使用此属性可以指定 AMJRTE 的 Access Manager 属性文件的 URL 地址。此 URL 的格式必须为 file:///directory_path_to_properties_file。不支持 HTTP URL。
- externalaccesscontrol.createAcl = (true)
- 此属性为可选属性。使用此属性可以指定是否在 Access Manager 中为外部存储的角色创建访问控制表(ACL)。缺省值为 true。如果将此属性设置为
false,那么 Access Manager 管理员将负责 Security Access
Manager 和 WebSphere Portal 之间的所有 ACL 链接。此属性的可能值为:
- true
- 将为每项 WebSphere Portal 资源创建 Security Access Manager ACL。这是缺省值。
- false
- 不为门户网站对象创建 ACL。
- externalaccesscontrol.pdactiongroup = ([WPS])
- externalaccesscontrol.pdAction = (m)
- 这些属性是可选属性。使用这些属性可以指定映射到门户网站角色成员资格的操作组和定制操作。如果这些项不存在,那么在启动时创建它们。先前给出的值是缺省值。
Computer Associates eTrust SiteMinder 策略服务器信息
使用以下属性配置 WebSphere Portal 和策略服务器之间的连接。
- externalaccesscontrol.domainname = WebSphere Portal V 8
- 使用此属性可以指定将在 eTrust SiteMinder 管理 GUI 中创建的域名。所有域和子域都将在此域下创建。此域将在启动 WebSphere Portal 时创建。
- externalaccesscontrol.scheme = (Basic)
- 使用此属性可以指定将与领域相关联的方案。您必须在启动 WebSphere Portal 之前在eTrust SiteMinder中定义该方案。缺省值为 Basic。
- externalaccesscontrol.agentname = wpsagent
- externalaccesscontrol.agentsecret = passw0rd
- 使用这些属性可以指定与 eTrust SiteMinder 建立运行时连接的代理程序名称以及密码。代理程序应该是具有静态共享密码的 Web 代理程序,因此,版本高于
V4.6 的 Web 代理程序应对 eTrust SiteMinder Web 代理程序启用属性 supports 4.x agents。您可以使用 WebSphere Application Server PropFilePasswordEncoder 实用程序来屏蔽密码。注: 使用 PropFilePasswordEncoder 除去所有注释和已注释掉的所有属性。因此,请确保先创建此文件的备份副本以供将来参考,然后再使用 PropFilePasswordEncoder 实用程序。
下面是一个屏蔽密码的示例:
AppServer_root/bin/PropFilePasswordEncoder wp_profile_root/PortalServer/config/properties/ExternalAccessControlService.properties externalaccesscontrol.agentsecret
注: 在命令行窗口中的单独一行输入此命令。 - externalaccesscontrol.admin = siteminder
- externalaccesscontrol.password = passw0rd
- 使用这些属性可以指定用户的管理用户标识和密码,该用户可以创建、删除和修改 eTrust SiteMinder 对象(用于代表 WebSphere Portal 角色)。该用户标识必须对 eTrust SiteMinder 中的域级别对象具有足够的访问权。您可以使用 WebSphere Application Server PropFilePasswordEncoder 实用程序来屏蔽密码。注: 使用 PropFilePasswordEncoder 除去所有注释和已注释掉的所有属性。因此,请确保先创建此文件的备份副本以供将来参考,然后再使用 PropFilePasswordEncoder 实用程序。
下面是一个屏蔽密码的示例:
AppServer_root/bin/PropFilePasswordEncoder wp_profile_root/PortalServer/properties/ExternalAccessControlService.properties externalaccesscontrol.password
- externalaccesscontrol.userdir = (User Directory 1)
- 使用此属性可以指定与域关联的用户目录。您可以在 eTrust SiteMinder 管理 GUI 中为用户目录配置故障转移。在您启动 WebSphere Portal 之前,用户目录必须存在。
- externalaccesscontrol.failOver = (false)
- 使用此属性可以指定 ESM 子系统无法与当前策略服务器进行通信时是否应该切换到另一策略服务器。可能的值为
true 和 false。您可以将此属性指定为
externalaccesscontrol.failOver 或 externalaccesscontrol.failover。注: 该值和 servers 属性所指定的策略服务器 IP 地址的数目保持一致,这一点很重要。如果在 servers 属性上指定多个策略服务器地址,并且该属性设置为 false,那么计算机关联的代理程序 API 将通过在已配置策略服务器之间分发或发射请求,从而按照循环负载均衡进行操作。这可能适用于从策略服务器仅执行 read 操作的 TAI,但不适用于执行 write 操作的 TAI。如果您在 externalaccesscontrol.servers 属性(紧接的下一个属性)中定义了多个服务器,请将 failOver 设置为 true。
- externalaccesscontrol.servers = server1,server2, . . .
- 使用此属性可以指定所有策略服务器的 IP 地址。多个地址需要用逗号分隔。例如,servers=10.0.0.1,10.0.0.2 。注: 如果您在 externalaccesscontrol.servers 属性中定义了多个服务器,请将 failOver 属性设置为 true。您可以为每台服务器定义下列属性。In order to differentiate the 每台服务器的属性,请将键的格式指定为 Server IP address.key=value。为所有省略的键假设缺省值。可用键如下:
- accountingPort = (44441)
- 策略服务器的核算端口。缺省值为 44441。
- authenticationPort = (44442)
- 策略服务器的认证端口。缺省值为 44442。
- authorizationPort = (44443)
- 策略服务器的授权端口。缺省值为 44442。
- connectionMax = (10)
- 授权服务可以建立的到此策略服务器的连接的最大数目。缺省值为 10。
- connectionMin = (1)
- 授权服务将建立的与此策略服务器的连接的初始数目。缺省值为 1。
- connectionStep = (1)
- 授权服务不能建立到策略服务器的连接时将分配的连接数。缺省值为 1。
- timeout = (20)
- 连接超时的秒数。缺省值为 20。
10.0.0.1.accountingPort=44441 10.0.0.1.authenticationPort=44442 10.0.0.1.authorizationPort=44443 10.0.0.1.connectionMax=30 10.0.0.1.connectionMin=10 10.0.0.1.connectionStep=5 10.0.0.1.timeout=60