guia de instalação base - ibmpublib.boulder.ibm.com/tividd/td/itame/sc32-1131-01/pt... ·...

IBM Tivoli Access Manager

Guia de Instalação Base

Versão 4.1

S517-7644-01

��

Nota

Antes de utilizar estas informações e o produto suportado por elas, leia as informações no Apêndice E, “Avisos”, na página

213.

Segunda Edição (Agosto de 2003)

Esta edição substitui a GC32-0815-00.

© Copyright International Business Machines Corporation 2001, 2003. Todos os direitos reservados.

Índice

Prefácio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Quem Deve Ler este Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

O Que Este Manual Contém . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Publicações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Informações sobre o Release . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Informações de Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Informações sobre o WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Informações sobre Segurança na Web . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Referências para Desenvolvedores . . . . . . . . . . . . . . . . . . . . . . . . . . . xii

Suplementos Técnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii

Publicações Relacionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii

IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii

IBM DB2 Universal Database . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii

IBM Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii

IBM WebSphere Application Server . . . . . . . . . . . . . . . . . . . . . . . . . xiv

IBM Tivoli Access Manager para Business Integration . . . . . . . . . . . . . . . . . . . xiv

IBM Tivoli Access Manager para Sistemas Operacionais . . . . . . . . . . . . . . . . . . xiv

Acessando Publicações On-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv

Accessibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv

Entrando em Contato com o Suporte ao Software . . . . . . . . . . . . . . . . . . . . . . xv

Convenções Utilizadas neste Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . xv

Convenções Tipográficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv

Diferenças do Sistema Operacional . . . . . . . . . . . . . . . . . . . . . . . . . . xvi

Capítulo 1. Visão Geral da Instalação do Tivoli Access Manager . . . . . . . . . . . 1

Planejando a Implementação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Visão Geral de Domínio Seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Componentes de Instalação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Registro do Usuário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

IBM Directory Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Tivoli Access Manager Policy Server . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Authorization Server do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . 4

Java Runtime Environment do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . 5

Tempo de Execução do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . 5

Tivoli Access Manager Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . . 5

Tivoli Access Manager Application Development Kit . . . . . . . . . . . . . . . . . . . . . 6

Processo de Instalação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Processo de Instalação Fácil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Processo de Instalação Nativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Internacionalização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Visão Geral do Suporte ao Idioma . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Instalando os Pacotes de Suporte ao Idioma . . . . . . . . . . . . . . . . . . . . . . . 11

Instalando Pacotes de Idioma para o Software de Pré-requisito . . . . . . . . . . . . . . . . . 12

Desinstalando os Pacotes de Suporte ao Idioma . . . . . . . . . . . . . . . . . . . . . . 13

Variáveis de Ambiente de Locale . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Variável LANG e Sistemas UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Variável LANG e Sistemas Windows . . . . . . . . . . . . . . . . . . . . . . . . . 15

Utilizando Variantes de Locale . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Catálogos de Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Suporte à Codificação de Texto (Conjunto de Códigos) . . . . . . . . . . . . . . . . . . . . 17

Localização de Arquivos do Conjunto de Códigos . . . . . . . . . . . . . . . . . . . . 17

Capítulo 2. Configurando Registros para o Tivoli Access Manager . . . . . . . . . . 19

Visão Geral da Configuração do Servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . 19

© Copyright IBM Corp. 2001, 2003 iii

Configurando o IBM Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Configurando o iPlanet Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Configurando o Novell eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Incluindo um Sufixo GSO para Configuração no Tivoli Access Manager . . . . . . . . . . . . . . 30

Configurando os Servidores de Segurança z/OS e OS/390 . . . . . . . . . . . . . . . . . . . . 30

Criando um Banco de Dados DB2 para o TDBM de Backend . . . . . . . . . . . . . . . . . . 31

Criando um Arquivo de Configuração LDAP para um TDBM de Backend . . . . . . . . . . . . . 31

Iniciando o Servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Atualizando e Carregando Arquivos Esquema . . . . . . . . . . . . . . . . . . . . . . . 33

Aplicando ACLs a Novos Sufixos LDAP . . . . . . . . . . . . . . . . . . . . . . . . . 33

Ativando a Replicação do LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Incluindo uma Sub-rotina no Arquivo de Configuração do Servidor Réplica LDAP . . . . . . . . . 34

Incluindo um Objeto no Backend do Servidor LDAP Principal . . . . . . . . . . . . . . . . 34

Configurando o Tivoli Access Manager para LDAP . . . . . . . . . . . . . . . . . . . . . 34

Administração de Usuários da Autenticação Nativa . . . . . . . . . . . . . . . . . . . . . 35

Configurando o Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Considerações do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Criando um Domínio do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 36

Juntando um Domínio do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 37

Criando um Usuário Administrativo do Active Directory . . . . . . . . . . . . . . . . . . . 40

Replicação do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Configurando o Lotus Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Instalando um Cliente Lotus Notes no Servidor Domino . . . . . . . . . . . . . . . . . . . 41

Criando um Usuário Administrativo do Tivoli Access Manager para Domino . . . . . . . . . . . . 42

Capítulo 3. Instalando o Tivoli Access Manager no AIX . . . . . . . . . . . . . . . 43

Utilizando a Instalação Fácil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Utilizando a Instalação Nativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Instalando o IBM Global Security Toolkit . . . . . . . . . . . . . . . . . . . . . . . . 45

Instalando o IBM Directory Client . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Instalando e Configurando Componentes do Tivoli Access Manager . . . . . . . . . . . . . . . 46

Instalando o JRE Específico da Plataforma . . . . . . . . . . . . . . . . . . . . . . . . 47

Instalando e Configurando o Java Runtime Environment do Tivoli Access Manager . . . . . . . . . . 47

Instalando e Configurando um Sistema Web Portal Manager . . . . . . . . . . . . . . . . . . 48

Instalando o IBM WebSphere Application Server, Advanced Single Server . . . . . . . . . . . . 49

Instalando o IBM WebSphere Application Server FixPack 3 . . . . . . . . . . . . . . . . . 50

Desinstalando o Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Desconfigurando os Componentes do Tivoli Access Manager . . . . . . . . . . . . . . . . . . 51

Removendo Pacotes do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 51

Capítulo 4. Instalando o Tivoli Access Manager no HP-UX . . . . . . . . . . . . . 53








Desinstalandoo Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 58



Capítulo 5. Instalando o Tivoli Access Manager no Linux . . . . . . . . . . . . . . 61

Utilizando a Instalação Fácil (Somente no Red Hat Linux) . . . . . . . . . . . . . . . . . . . . 61






iv IBM Tivoli Access Manager: Guia de Instalação Base

Instalando e Configurando o Java Runtime Environment do Tivoli Access Manager (Somente para Red Hat

Linux) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67




Capítulo 6. Instalando o Tivoli Access Manager no Solaris . . . . . . . . . . . . . 71














Capítulo 7. Instalando o Tivoli Access Manager no Windows . . . . . . . . . . . . 81














Capítulo 8. Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1 . . . . . . . . 95

Considerações sobre Upgrade para Registros LDAP . . . . . . . . . . . . . . . . . . . . . . 95

Fazendo Upgrade do Sistema do Servidor de Política . . . . . . . . . . . . . . . . . . . . . 96

Fazendo Upgrade do Servidor de Política Utilizando Dois Sistemas . . . . . . . . . . . . . . . . 97

Fazendo Upgrade de Outros Sistemas do Tivoli Access Manager . . . . . . . . . . . . . . . . . 99

Removendo o Servidor de Política Existente . . . . . . . . . . . . . . . . . . . . . . . . 101

Restaurando um Sistema para o Nível Anterior . . . . . . . . . . . . . . . . . . . . . . . 101

Capítulo 9. Casos de Instalação Fácil do UNIX . . . . . . . . . . . . . . . . . . 103

Configurando um Sistema do IBM Directory Server . . . . . . . . . . . . . . . . . . . . . 103

Configurando o Sistema do Servidor de Política do Tivoli Access Manager . . . . . . . . . . . . . . 108

Configurando um Sistema de Tempo de Execução do Tivoli Access Manager . . . . . . . . . . . . . 115

Configurando um Sistema Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . 120

Capítulo 10. Casos de Instalação Fácil do Windows . . . . . . . . . . . . . . . . 127

Configurando o Sistema do IBM Directory Server . . . . . . . . . . . . . . . . . . . . . . 127

Configurando o Sistema do Servidor de Política do Tivoli Access Manager . . . . . . . . . . . . . . 133

Configurando um Sistema de Tempo de Execução do Tivoli Access Manager . . . . . . . . . . . . . 141

Configurando um Sistema Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . 144

Capítulo 11. Utilizando Arquivos de Resposta de Instalação Fácil . . . . . . . . . . 153

Criando um Arquivo de Resposta . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Instalando Componentes Utilizando um Arquivo de Resposta . . . . . . . . . . . . . . . . . . 154

Índice v

Exemplos de Arquivos de Resposta (ezinstall) . . . . . . . . . . . . . . . . . . . . . . . 154

Exemplo para UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154

Exemplo para Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Exemplos de Arquivos de Resposta (install_pdrte) . . . . . . . . . . . . . . . . . . . . . . 156

Exemplo para UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Exemplo para Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Opções do Arquivo de Resposta . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Opções de Arquivo de Resposta do UNIX . . . . . . . . . . . . . . . . . . . . . . . . 157

Opções de Arquivo de Resposta do Windows . . . . . . . . . . . . . . . . . . . . . . 158

Apêndice A. Ativando a Secure Sockets Layer . . . . . . . . . . . . . . . . . . 161

Configurando o IBM Directory Server para Acesso SSL . . . . . . . . . . . . . . . . . . . . 161

Criando o Arquivo de Banco de Dados de Chaves e o Certificado . . . . . . . . . . . . . . . . 162

Obtendo um Certificado Pessoal de uma Autoridade de Certificação . . . . . . . . . . . . . . . 163

Criando e Extraindo um Certificado Auto-assinado . . . . . . . . . . . . . . . . . . . . . 164

Ativando o Acesso SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

Configurando o iPlanet Directory Server para Acesso SSL . . . . . . . . . . . . . . . . . . . 167

Obtendo um Certificado de Servidor . . . . . . . . . . . . . . . . . . . . . . . . . 167

Instalando o Certificado do Servidor . . . . . . . . . . . . . . . . . . . . . . . . . 168


Configurando os Servidores LDAP OS/390 e z/OS LDAP para Acesso SSL . . . . . . . . . . . . . 170

Configurando as Opções de Segurança . . . . . . . . . . . . . . . . . . . . . . . . . 170

Criando um Arquivo de Banco de Dados de Chaves . . . . . . . . . . . . . . . . . . . . 171

Configurando o Novell eDirectory Server para Acesso SSL . . . . . . . . . . . . . . . . . . . 172

Criando um Objeto de Autoridade de Certificação Organizacional . . . . . . . . . . . . . . . . 172

Criando um Certificado Auto-assinado . . . . . . . . . . . . . . . . . . . . . . . . . 173

Criando um Certificado de Servidor para o Servidor LDAP . . . . . . . . . . . . . . . . . . 174

Ativando SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Incluindo o Certificado Auto-assinado no Arquivo de Chaves IBM . . . . . . . . . . . . . . . 175

Configurando o IBM Directory Client para Acesso SSL . . . . . . . . . . . . . . . . . . . . 175


Incluindo um Certificado de Assinante . . . . . . . . . . . . . . . . . . . . . . . . . 177

Testando o Acesso SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

Configurando a Autenticação de Servidor e Cliente LDAP . . . . . . . . . . . . . . . . . . . 178


Obtendo um Certificado Pessoal de uma Autoridade de Certificação . . . . . . . . . . . . . . . 179

Criando e Extraindo um Certificado Auto-assinado . . . . . . . . . . . . . . . . . . . . . 180

Incluindo um Certificado de Assinante . . . . . . . . . . . . . . . . . . . . . . . . . 181

Testando o Acesso SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

Ativando SSL para Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

Criando o Arquivo de Conjunto de Chaves SSL . . . . . . . . . . . . . . . . . . . . . . 183


Apêndice B. Referência de Configuração do Tivoli Access Manager . . . . . . . . . 185

Opções de Configuração Nativa UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . 185

Tempo de Execução do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 185

Servidor de Política do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 185

Servidor de Autorização do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . 187

Opções de Configuração Nativa do Windows . . . . . . . . . . . . . . . . . . . . . . . 188

Tempo de Execução do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 188

Registro de LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

Lotus Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190

Servidor de Política do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 191

Servidor de Autorização do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . 191

Portas Padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

Apêndice C. Referência de Configuração do OS/390 e z/OS . . . . . . . . . . . . 193

Configuração LDAP de Amostra . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

Script de Amostra da Área de Tabela e do Banco de Dados DB2 para SPUFI . . . . . . . . . . . . . 194

vi IBM Tivoli Access Manager: Guia de Instalação Base

Script de Amostra do Índice DB2 para SPUFI . . . . . . . . . . . . . . . . . . . . . . . . 200

Job Batch de Ligação CLI de Amostra . . . . . . . . . . . . . . . . . . . . . . . . . . 202

Arquivo de Inicialização de CLI de Amostra . . . . . . . . . . . . . . . . . . . . . . . . 203

Apêndice D. Critérios Comuns . . . . . . . . . . . . . . . . . . . . . . . . . 205

Critério de Segurança para Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . 205

Critério de Segurança Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

Critério de Segurança do Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

Critério de Rede do Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . 206

Suposições sobre o Comportamento de Usuários . . . . . . . . . . . . . . . . . . . . . 207

Instalação e Configuração Compatíveis com a Avaliação CC . . . . . . . . . . . . . . . . . . . 208

Instalando o Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 208

Protegendo o WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

Configurando Mecanismos de Autenticação do WebSEAL . . . . . . . . . . . . . . . . . . 209

Selecionando os Conjuntos de Codificação Suportados . . . . . . . . . . . . . . . . . . . 209

Configurando a Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

Outras Funções do WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

Critério de Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

Critério de Senha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Gerenciamento de Chave Criptográfica . . . . . . . . . . . . . . . . . . . . . . . . . 211

Arquivos de Configuração Compatíveis com CC . . . . . . . . . . . . . . . . . . . . . . . 211

Apêndice E. Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Licença do Kit de Ferramentas do XML Parser . . . . . . . . . . . . . . . . . . . . . . . 215

Licença do Módulo de Autenticação que Pode Ser Conectado . . . . . . . . . . . . . . . . . . 215

Servlet do Apache Axis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

Conjunto de Análise de Opções da Linha de Comandos JArgs para Java . . . . . . . . . . . . . . 217

Implementação do Java DOM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

Marcas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

Glossário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

Índice Remissivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

Índice vii

viii IBM Tivoli Access Manager: Guia de Instalação Base

Prefácio

O IBM® Tivoli® Access Manager (Tivoli Access Manager) é o software base

necessário para executar aplicativos no conjunto de produtos do IBM Tivoli Access

Manager. Ele permite a integração de aplicativos do IBM Tivoli Access Manager

que fornecem uma ampla faixa de soluções de autorização e gerenciamento.

Vendidos como uma solução integrada, esses produtos fornecem uma solução de

gerenciamento de controle de acesso que centraliza o critério de segurança de rede

e aplicativo para aplicativos de e-business.

Nota: IBM Tivoli Access Manager é o novo nome do software liberado

anteriormente, denominado Tivoli SecureWay® Policy Director. Além disso,

para os usuários familiarizados com o software e a documentação do Tivoli

SecureWay Policy Director, o servidor de gerenciamento é agora referido como

o servidor de política.

O IBM Tivoli Access Manager Base - Guia de Instalação explica como instalar,

configurar e fazer upgrade do software base do Tivoli Access Manager.

Quem Deve Ler este Manual

Este guia é para administradores do sistema responsáveis pela instalação e

implementação do IBM Tivoli Access Manager.

Os leitores devem estar familiarizados com o seguinte:

v Sistemas operacionais de PC e UNIX®

v Arquitetura e conceitos de banco de dados

v Gerenciamento de segurança

v Protocolos de Internet, incluindo HTTP, TCP/IP, FTP (File Transfer Protocol) e

Telnet

v LDAP (Lightweight Directory Access Protocol) e serviços de diretório

v Um registro suportado

v Autenticação e autorização

Se você estiver ativando a comunicação SSL (Secure Sockets Layer), também deverá

estar familiarizado com o protocolo SSL, troca de chaves (pública e privada),

assinaturas digitais, algoritmos criptográficos e autoridades de certificação.

O Que Este Manual Contém

Este guia contém as seguintes seções:

v Capítulo 1, “Visão Geral da Instalação do Tivoli Access Manager”, na página 1

Descreve os componentes do Tivoli Access Manager, explica processos de

instalação fáceis e nativos e indica as etapas necessárias para configurar um

domínio seguro do Tivoli Access Manager. Esse capítulo também mostra como

instalar pacotes de idiomas a fim de ativar o Tivoli Access Manager para

ambientes que não sejam em inglês.

v Capítulo 2, “Configurando Registros para o Tivoli Access Manager”, na página

19

© Copyright IBM Corp. 2001, 2003 ix

Descreve como definir e configurar registros suportados para uso com o Tivoli

Access Manager.

v Capítulo 3, “Instalando o Tivoli Access Manager no AIX”, na página 43

v Capítulo 4, “Instalando o Tivoli Access Manager no HP-UX”, na página 53

v Capítulo 5, “Instalando o Tivoli Access Manager no Linux”, na página 61

v Capítulo 6, “Instalando o Tivoli Access Manager no Solaris”, na página 71

v Capítulo 7, “Instalando o Tivoli Access Manager no Windows”, na página 81

Fornece instruções sobre como instalar e configurar os componentes do Tivoli

Access Manager, utilizando scripts de instalação fácil ou utilitários do sistema

operacional nativo. Também fornece instruções para o cancelamento da

configuração e a remoção dos componentes do Tivoli Access Manager.

v Capítulo 8, “Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1”, na

página 95

Explica como fazer upgrade de um domínio seguro do Tivoli Access Manager,

Versão 3.8 ou Versão 3.9 existente para o IBM Tivoli Tivoli Access Manager,

Versão 4.1.

v Capítulo 9, “Casos de Instalação Fácil do UNIX”, na página 103

Fornece instruções passo a passo com ilustrações de como instalar e configurar

os sistemas Tivoli Access Manager utilizando arquivos de instalação fácil em

sistemas UNIX.

v Capítulo 10, “Casos de Instalação Fácil do Windows”, na página 127

Fornece instruções passo a passo com ilustrações de como instalar e configurar

sistemas Tivoli Access Manager utilizando arquivos de instalação fácil em

sistemas Windows.

v Capítulo 11, “Utilizando Arquivos de Resposta de Instalação Fácil”, na página

153

Explica como utilizar um arquivo de resposta para efetuar uma operação

silenciosa e não-assistida dos componentes do Tivoli Access Manager aos quais

os scripts de instalação fácil oferecem suporte.

v Apêndice A, “Ativando a Secure Sockets Layer”, na página 161

Explica como ativar a criptografia de dados SSL para comunicação segura entre

o servidor LDAP e clientes IBM Directory. Inclui também instruções para a

ativação de SSL entre um servidor Lotus Domino e clientes IBM Directory.

v Apêndice B, “Referência de Configuração do Tivoli Access Manager”, na página

185

Fornece descrições das opções de configuração solicitadas durante a

configuração dos componentes do Tivoli Access Manager usando utilitários de

instalação nativos.

v Apêndice C, “Referência de Configuração do OS/390 e z/OS”, na página 193

Fornece informações de referência para a configuração de um Servidor de

Segurança OS/390 ou z/OS para uso com o Tivoli Access Manager.

v Apêndice D, “Critérios Comuns”, na página 205

v Apêndice E, “Avisos”, na página 213

v “Glossário” na página 221

x IBM Tivoli Access Manager: Guia de Instalação Base

Publicações

A biblioteca do Tivoli Access Manager está organizada nas seguintes categorias:

v “Informações sobre o Release”

v “Informações de Base”

v “Informações sobre o WebSEAL”

v “Informações sobre Segurança na Web”

v “Referências para Desenvolvedores” na página xii

v “Suplementos Técnicos” na página xii

Informações sobre o Release

v IBM Tivoli Access Manager Cartão Leia-me Primeiro

G517-7642-00 (am41_readme.pdf)

Fornece informações para instalar e começar a utilizar o Tivoli Access Manager.

v IBM Tivoli Access Manager - Notas sobre o Release

S517-7643-00 (am41_relnotes.pdf)

Fornece as últimas informações, como limitações de software, soluções e

atualizações de software.

Informações de Base

v IBM Tivoli Access Manager Guia de Instalação BaseS517-7644-01 (am41_install.pdf)

Explica como instalar, configurar e fazer upgrade do software do Tivoli Access

Manager e da interface do Web Portal Manager.

v IBM Tivoli Access Manager Base Administrator’s Guide

SC32-1132-01 (am41_admin.pdf)

Descreve os conceitos e procedimentos para utilizar os serviços do Tivoli Access

Manager. Fornece instruções para a execução de tarefas a partir da interface do

Web Portal Manager e utilizando o comando pdadmin.

Informações sobre o WebSEAL

v IBM Tivoli Access Manager WebSEAL - Guia de Instalação

S517-7645-01 (amweb41_install.pdf)

Fornece instruções para instalação, configuração e remoção para o servidor

WebSEAL e o WebSEAL Application Development Kit.

v IBM Tivoli Access Manager WebSEAL Administrator’s Guide

SC32-1134-01 (amweb41_admin.pdf)

Fornece informações sobre material de segundo plano, sobre procedimentos

administrativos e sobre referência técnica para utilizar o WebSEAL para

gerenciar os recursos de seu domínio Web seguro.

Informações sobre Segurança na Web

v IBM Tivoli Access Manager para WebSphere Application Server - Guia do Usuário

S517-7646-01 (amwas41_user.pdf)

Fornece instruções de instalação, remoção e administração para o Tivoli Access

Manager para IBM WebSphere® Application Server.

v IBM Tivoli Access Manager para WebLogic Server - Guia do Usuário

S517-7647-01 (amwls41_user.pdf)

Prefácio xi

Fornece instruções de instalação, remoção e administração para o Tivoli Access

Manager para BEA WebLogic Server.

v IBM Tivoli Access Manager Plug-in for Edge Server User’s Guide

SC32-1138-01 (amedge41_user.pdf)

Descreve como instalar, configurar e administrar o plug-in para o aplicativo IBM

WebSphere Edge Server.

v IBM Tivoli Access Manager Plug-in para Web Servers User’s GuideSC32-1139-01 (amws41_user.pdf)

Fornece instruções de instalação, procedimentos de administração e informações

de referência técnica para proteger o domínio da Web utilizando o plug-in para

servidores da Web.

Referências para Desenvolvedores

v IBM Tivoli Access Manager Authorization C API Developer’s ReferenceSC32-1140-01 (am41_authC_devref.pdf)

Fornece material de referência que descreve como utilizar a API C de

autorização do Tivoli Access Manager e a interface de plug-in do serviço do

Access Manager para incluir segurança do Tivoli Access Manager nos

aplicativos.

v IBM Tivoli Access Manager Authorization Java Classes Developer’s Reference

SC32-1141-01 (am41_authJ_devref.pdf)

Fornece informações de referência para o uso da implementação da linguagem

Java™ da API de autorização para permitir que um aplicativo utilize segurança

do Tivoli Access Manager.

v IBM Tivoli Access Manager Administration C API Developer’s ReferenceSC32-1142-01 (am41_adminC_devref.pdf)

Fornece informações de referência sobre o uso da API de administração para

permitir que um aplicativo execute tarefas administrativas do Tivoli Access

Manager. Esse documento descreve a implementação C da API de administração.

v IBM Tivoli Access Manager Administration Java Classes Developer’s Reference

SC32-1143-01 (am41_adminJ_devref.pdf)

Fornece informações de referência para o uso da implementação da linguagem

Java da API de administração para permitir que um aplicativo execute tarefas

administrativas do Tivoli Access Manager.

v IBM Tivoli Access Manager WebSEAL Developer’s Reference

SC32-1135-01 (amweb41_devref.pdf)

Fornece informações sobre administração e programação para o CDAS

(Cross-domain Authentication Service), o CDMF (Cross-domain Mapping

Framework) e para o Password Strength Module.

Suplementos Técnicos

v IBM Tivoli Access Manager Command ReferenceGC32-1107-01 (am41_cmdref.pdf)

Fornece informações sobre os utilitários da linha de comandos e scripts

fornecidos com o Tivoli Access Manager.

v IBM Tivoli Access Manager Error Message ReferenceSC32-1144-01 (am41_error_ref.pdf)

Fornece explicações e as ações recomendadas para as mensagens produzidas

pelo Tivoli Access Manager.

v IBM Tivoli Access Manager Problem Determination GuideGC32-1106-01 (am41_pdg.pdf)

xii IBM Tivoli Access Manager: Guia de Instalação Base

Fornece informações sobre determinação de problemas par o Tivoli Access

Manager.

v IBM Tivoli Access Manager Performance Tuning Guide

SC32-1145-01 (am41_perftune.pdf)

Fornece informações sobre ajuste de desempenho para um ambiente que consiste

no Tivoli Access Manager com o IBM Directory Server definido como registro do

usuário.

Publicações Relacionadas

Esta seção indica publicações relacionadas à biblioteca do Tivoli Access Manager.

O Tivoli Software Library fornece uma variedade de publicações Tivoli como

documentos técnicos, planilhas de dados, demonstrações, livros de registros e

cartas de anúncio. A Tivoli Software Library está disponível na Web em:

http://www.ibm.com/software/tivoli/library/

O Tivoli Software Glossary inclui definições para vários termos técnicos relacionados

ao software Tivoli. O Tivoli Software Glossary está disponível, somente em Inglês, a

partir do link Glossary, ao lado esquerdo da página da Web do Tivoli Software

Library Libraryhttp://www.ibm.com/software/tivoli/library/

IBM Global Security Toolkit

O Tivoli Access Manager oferece criptografia de dados com o uso do IBM GSKit

(Global Security Toolkit). O GSKit está incluído no CD IBM Tivoli Access Manager

Base para sua plataforma específica.

O pacote GSKit instala o utilitário de gerenciamento de chaves iKeyman, o

gsk5ikm, que permite a criação de bancos de dados de chaves, pares de chaves

pública-privada e solicitações de certificado. O documento a seguir está disponível

no site do Tivoli Information Center, na mesma seção que a documentação do

produto IBM Tivoli Access Manager:

v Secure Sockets Layer Introduction e iKeyman User’s Guide

(gskikm5c.pdf)

Fornece informações para administradores de segurança de rede ou de sistema

que planejam ativar comunicação SSL em seu ambiente do Tivoli Access

Manager.

IBM DB2 Universal Database

O IBM DB2® Universal Database™ é obrigatório quando os servidores LDAP IBM

Directory Server, z/OS™ e OS/390® forem instalados. O DB2 é fornecido nos CDs

do produto para as seguintes plataformas de sistema operacional:

v IBM AIX®

v Microsoft™ Windows™

v Sun Solaris Operating Environment

As informações sobre o DB2 estão disponíveis em:

http://www.ibm.com/software/data/db2/

IBM Directory Server

O IBM Directory Server, Versão 4.1, está incluído no CD IBM Tivoli Access

Manager Base para todas as plataformas, exceto o Linux para zSeries™. Você pode

obter o software IBM Directory Server software para Linux para S/390 em:

Prefácio xiii



http://www.ibm.com/software/data/db2/

http://www.ibm.com/software/network/directory/server/download/

Para utilizar o IBM Directory Server como registro do usuário, consulte as

informações fornecidas em:

http://www.ibm.com/software/network/directory/library/

IBM WebSphere Application Server

O IBM WebSphere Application Server, Advanced Single Server Edition 4.0.3, está

incluído nos CDs do Web Portal Manager e é instalado com a interface do Web

Portal Manager. Para obter informações sobre o IBM WebSphere Application

Server, consulte:

http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM Tivoli Access Manager para Business Integration

O IBM Tivoli Access Manager para Business Integration, disponível como um

produto solicitado separadamente, fornece uma solução de segurança para

mensagens do IBM MQSeries®, Versão 5.2 e o IBM WebSphere® MQ para Versão

5.3. O IBM Tivoli Access Manager para Business Integration permite que os

aplicativos MQSeries do WebSphere enviem dados com privacidade e integridade,

utilizando chaves associadas a aplicativos de envio e recepção. Assim como o

WebSEAL e o IBM Tivoli Access Manager para Sistemas Operacionais, o IBM Tivoli

Access Manager para Business Integration, é um dos gerenciadores de recursos que

utilizam os serviços de autorização do IBM Tivoli Access Manager para e-business.

Os seguintes documentos associados ao IBM Tivoli Access Manager para Business

Integration Versão 4.1 estão disponíveis no site do Tivoli Information Center:

v IBM Tivoli Access Manager for Business Integration Administrator’s Guide

(SC23-4831-00)

v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-00)

v IBM Tivoli Access Manager for Business Integration Read Me First (GI11-0958-00)

IBM Tivoli Access Manager para Sistemas Operacionais

IBM Tivoli Access Manager para Sistemas Operacionais, disponível como um

produto solicitado separadamente, fornece uma camada de aplicação do critério de

autorização em sistemas UNIX, além da fornecida pelo sistema operacional nativo.

O IBM Tivoli Access Manager para Sistemas Operacionais, assim como o WebSEAL

e o IBM Tivoli Access Manager para Business Integration, é um dos gerenciadores

de recursos que utilizam serviços de autorização do IBM Tivoli Access Manager

para e-business.

Os seguintes documentos associados ao IBM Tivoli Access Manager para Sistemas

Operacionais Versão 4.1 estão disponíveis no site do Tivoli Information Center:

v IBM Tivoli Access Manager para Sistemas Operacionais - Guia de Instalação

(S517-7609-00)

v IBM Tivoli Access Manager for Operating Systems Administration Guide

(SC23-4827-00)

v IBM Tivoli Access Manager for Operating Systems Problem Determination Guide

(SC23-4828-00)

v IBM Tivoli Access Manager para Sistemas Operacionais: Notas sobre o Release

(G517-7610-00)

v IBM Tivoli Access Manager for Operating Systems Read Me First (GI11-0949-00)

xiv IBM Tivoli Access Manager: Guia de Instalação Base



http://www.ibm.com/software/webservers/appserv/infocenter.html

Acessando Publicações On-line

As publicações para esse produto estão disponíveis on-line em formato PDF

(Portable Document Format) ou HTML (Hypertext Markup Language), ou ambos,

no Tivoli Software Library: http://www.ibm.com/software/tivoli/library

Para localizar publicações de produto na biblioteca, clique no link Product

manuals à esquerda da página Library. Em seguida, localize e clique no nome do

produto, na página do Tivoli Software Information Center.

As publicações de produto incluem notas sobre o release, guias de instalação, guias

de usuário, guias de administrador e referências de desenvolvedor.

Nota: Para assegurar a impressão adequada de publicações PDF, selecione a caixa

de opções Fit to page (Ajustar à Página) na janela Adobe Acrobat Print (que

está disponível quando você clica File →Print (Arquivo →Imprimir)).

Accessibilidade

Os recursos de acessibilidade ajudam usuários que possuem alguma limitação

física, como mobilidade restrita ou visão limitada, a utilizar os produtos de

software com êxito. Com este produto, é possível utilizar tecnologias de assistência

para ouvir e navegar a interface. Você também pode usar o teclado em lugar do

mouse para operar todos os recursos da interface gráfica com o usuário.

Entrando em Contato com o Suporte ao Software

Antes de entrar em contato com o suporte ao IBM Tivoli Software com um

problema, consulte o Web site de suporte ao IBM Tivoli Software em:

http://www.ibm.com/software/sysmgmt/products/support/

Se precisar de ajuda, entre em contato com o suporte a software, utilizando os

métodos descritos no IBM Software Support Guide, no seguinte Web site:

http://techsupport.services.ibm.com/guides/handbook.html

O guia fornece as seguintes informações:

v Requisitos de registro e elegibilidade para receber suporte

v Números de telefone e endereços de e-mail, dependendo do país no qual você se

encontra

v Uma lista de informações que você deve reunir antes de entrar em contato com

o suporte ao cliente

Convenções Utilizadas neste Manual

Este guia utiliza várias convenções para termos e ações especiais e para comandos

e caminhos que dependem do sistema operacional.

Convenções Tipográficas

As seguintes convenções tipográficas são utilizadas nesta referência:

Negrito

Comandos em letra minúscula ou mistura de letras maiúsculas e

minúsculas que são difíceis de distinguir no texto, palavras-chave,

parâmetros, opções, nomes de classes Java e objetos ao redor aparecem em

negrito.

Prefácio xv


http://www.ibm.com/software/sysmgmt/products/support/

http://techsupport.services.ibm.com/guides/handbook.html

Itálico Variáveis, títulos de publicações e palavras e frases especiais que são

enfatizadas aparecem em itálico.

Espaçamento fixo

Exemplos de códigos, linhas de comandos, saída de tela, nomes do arquivo

e diretório que são difíceis de distinguir no texto, mensagens do sistema,

texto que o usuário deve digitar e valores para argumentos ou opções de

comando ao redor aparecem em espaçamento fixo.

Diferenças do Sistema Operacional

Este manual utiliza a convenção UNIX para especificar variáveis de ambiente e

para notação do diretório. Ao utilizar a linha de comandos do Windows, substitua

$variable por %variable% para variáveis de ambiente e substitua cada barra (/) por

uma barra invertida (\) em caminhos de diretório. Quando você utiliza a shell

bash em um sistema Windows, pode utilizar as convenções UNIX.

xvi IBM Tivoli Access Manager: Guia de Instalação Base

Capítulo 1. Visão Geral da Instalação do Tivoli Access

Manager

Antes de começar a instalação do IBM Tivoli Access Manager, você deve se

familiarizar com seus componentes e opções de instalação. Este capítulo inclui as

seguintes seções:

v “Planejando a Implementação”

v “Visão Geral de Domínio Seguro” na página 2

v “Componentes de Instalação” na página 3

v “Processo de Instalação” na página 6

v “Internacionalização” na página 10

Atenção

Consulte o IBM Tivoli Access Manager - Notas sobre o Release para obter

informações sobre requisitos do sistema, plataformas suportadas e produtos

de pré-requisito.

Planejando a Implementação

Antes de implementar uma solução específica do Tivoli Access Manager, você deve

determinar as capacidades de gerenciamento e segurança específicas que são

necessárias à sua rede.

A primeira etapa no planejamento da implementação de um ambiente de

segurança do Tivoli Access Manager é definir os requisitos de segurança do seu

ambiente de computação. Definir os requisitos de segurança significa determinar os

critérios comerciais que devem ser aplicados a usuários, programas e dados. Isso

inclui a definição do seguinte:

v Objetos a serem protegidos

v Ações permitidas em cada objeto

v Usuários com permissão para executar as ações

Reforçar o critério de segurança requer compreensão do fluxo de acesso solicitado

através de sua topologia de rede. Isto inclui identificar funções apropriadas e

localizações de firewalls, roteadores e sub-redes. A implementação de um ambiente

de segurança do Tivoli Access Manager (chamado de domínio seguro) também exige

a identificação dos pontos favoráveis dentro da rede para instalar o software que

avalia pedidos de acesso de usuário e concede ou nega ou acesso solicitado.

A implementação de um critério de segurança requer o conhecimento da

quantidade de usuários, dados, e rendimento que sua rede deve acomodar.

Também é necessário avaliar as características de desempenho, escalabilidade e a

necessidade de recursos de tolerância a falhas. A integração de software, bancos de

dados e aplicativos legados com o software Tivoli Access Manager também deve

ser considerada.

© Copyright IBM Corp. 2001, 2003 1

Depois que você tiver um entendimento dos recursos a serem implementados, será

possível decidir quais componentes e aplicativos do Tivoli Access Manager podem

ser combinados para implementar melhor a política de segurança.

Para consultar uma documentação útil para o planejamento e casos de negócios,

consulte os seguintes sites:

www.ibm.com/redbooks

http://www-3.ibm.com/software/sysmgmt/products/

support/Field_Guides_Technical.html

Visão Geral de Domínio Seguro

O ambiente de computação no qual o Tivoli Access Manager aplica as políticas de

segurança para autenticação, autorização e controle de acesso é chamado de

domínio seguro. Vinculados ao domínio seguro há um serviço de autorização e um

registro, que consistem em um banco de dados de autorização e um mecanismo de

autorização. Esses componentes principais devem existir para que o Tivoli Access

Manager execute operações fundamentais, como permitir ou negar acesso de

usuários a objetos protegidos (recursos). Todos os outros serviços e componentes

do Tivoli Access Manager são construídos sobre essa base.

A Figura 1 representa os sistemas em um domínio seguro típico. Para fins

ilustrativos, essa figura mostra um único sistema para cada tipo de instalação —

registro do usuário, servidor de política, servidor de autorização e assim por

diante. Lembre-se que você pode implementar o Tivoli Access Manager em vários

sistemas, como mostrado, ou então instalar o software necessário para configurar e

utilizar um domínio seguro em um sistema independente. A configuração de um

sistema único é útil ao criar o protótipo de uma implementação ou para

desenvolver e testar um aplicativo. Depois de estabelecer o ambiente, você pode

configurar sistemas adicionais no domínio seguro existente, como um cliente de

tempo de execução ou um sistema de desenvolvimento de aplicativos.

Figura 1. Exemplo de Sistemas em um Domínio Seguro

Planejando Requisitos de Segurança

2 IBM Tivoli Access Manager: Guia de Instalação Base

A Tabela 1 relaciona os componentes obrigatórios e opcionais dos sistemas Tivoli

Access Manager ilustrados na Figura 1 na página 2. Para descrições desses

componentes, consulte “Componentes de Instalação”.

Tabela 1. Componentes do Sistema Tivoli Access Manager

Sistema Componentes Obrigatórios

Tivoli Access Managerservidor de critério

v IBM Global Security Toolkit

v IBM Directory Client *

v Tempo de execução do Tivoli Access Manager

v Servidor de critério do Tivoli Access Manager

Tivoli Access Managersistema de tempo de execução




Tivoli Access Managersistema de desenvolvimento




v Application Development Kit do Tivoli Access

Manager

v Tivoli Access Manager Java Runtime Environment

Tivoli Access Managerservidor de autorização




v Servidor de autorização do Tivoli Access Manager

Tivoli Access ManagerJava Runtime Environment


v JRE específico da plataforma

Tivoli Access Managersistema Web Portal Manager




v IBM WebSphere Application Server, Advanced Single

Server 4.0 e FixPack 3

v Tivoli Access Manager Web Portal Manager


* Se você pretende instalar o Active Directory como registro, o IBM Directory

Client não será obrigatório em sistemas Tivoli Access Manager no domínio seguro.

Componentes de Instalação

Esta seção apresenta os componentes base, que normalmente são comuns a todas

as instalações do Tivoli Access Manager.

Registro do Usuário

O Tivoli Access Manager exige um registro do usuário para oferecer suporte à

operação das suas funções de autorização. O registro fornece um banco de dados

das identidades do usuário conhecidas pelo Tivoli Access Manager. Ele fornece

também uma representação dos grupos nas funções do Tivoli Access Manager que

podem ser associadas aos usuários.


Capítulo 1. Visão Geral da Instalação do Tivoli Access Manager 3

Para obter uma lista de registros suportados, consulte o IBM Tivoli Access Manager -

Notas sobre o Release.

IBM Directory Client

O IBM Directory Client oferece suporte a todos os registros do Tivoli Access

Manager, com exceção do Active Directory. É necessário instalar e configurar esse

cliente em cada sistema que executa o Tivoli Access Manager, com as seguintes

exceções:

v O IBM Directory Client não é obrigatório em sistemas que utilizam o Active

Directory como registro do Tivoli Access Manager.

v O IBM Directory Client não é obrigatório em um sistema Java Runtime

Environment do Tivoli Access Manager.

O IBM Directory Client é enviado com o IBM Directory no CD do IBM Tivoli

Access Manager Base para sua plataforma específica. Este pacote de instalação

inclui duas GUIs (interfaces gráficas com o usuário). A interface de Administração

do Servidor com base na web permite a execução de tarefas do servidor e do

banco de dados para o IBM Directory Server. A DMT (Directory Management Tool)

permite que você procure e edite informações no diretório, como definições de

esquema, árvore de diretórios e entradas de dados. A documentação detalhada

para cada interface está disponível nos sistemas de ajuda on-line.

Nota: Não há suporte à interface de Administração do Servidor com base na Web

no Linux para zSeries.

IBM Global Security Toolkit

O Tivoli Access Manager fornece a criptografia de dados através da utilização do

IBM GSKit (Global Security Toolkit). O pacote GSKit instala o utilitário de

gerenciamento de chaves iKeyman (gsk5ikm), que permite criar bancos de dados

de chaves, pares de chaves pública-privada e pedidos de certificados.

Para obter informações sobre o uso deste utilitário para ativar o SSL, consulte o

Secure Sockets Layer Introduction and iKeyman User’s Guide e o Apêndice A,

“Ativando a Secure Sockets Layer”, na página 161.

Tivoli Access Manager Policy Server

O servidor de política do Tivoli Access Manager, que nas versões anteriores era

denominado servidor de gerenciamento, mantém o banco de dados de autorização

principal para o domínio seguro. Este servidor é a chave para o processamento de

controle de acesso, autenticação e pedidos de autorização. Também atualiza as

réplicas de banco de dados de autorização e mantém informações de localização

sobre outros servidores Tivoli Access Manager no domínio seguro.

Pode haver apenas uma única instância, por vez, do servidor de políticas e seu

banco de dados master de autorização em qualquer domínio seguro. Por motivos

de disponibilidade, é possível configurar um servidor em espera para assumir as

funções do servidor de política no caso de uma falha no sistema.

Authorization Server do Tivoli Access Manager

O Authorization Server efetua offload das decisões de controle de acesso e de

autorização a partir do servidor de políticas. Mantém uma réplica do banco de

dados de critério de autorização e funciona como o avaliador da tomada de

decisões de autorização. Um Authorization Server separado também fornece acesso



ao serviço de autorização para aplicativos de terceiros que utilizam a API de

autorização do Tivoli Access Manager em modo de cache remoto. Esse componente

é opcional.

Java Runtime Environment do Tivoli Access Manager

O Java Runtime Environment do Tivoli Access Manager oferece um ambiente

confiável para desenvolvimento e implementação de aplicativos Java em um

domínio seguro do Tivoli Access Manager. Utilize-o para incluir serviços de

autorização e segurança do Tivoli Access Manager em aplicativos Java novos ou já

existentes. Lembre-se de que antes de instalar esse componente, é necessário

instalar um JRE específico da plataforma.

Ao contrário de outros componentes do Tivoli Access Manager, é necessário

utilizar o comando pdjrtecfg para configurar o Java Runtime Environment do

Tivoli Access Manager, a fim de que o JRE correto seja utilizado no sistema. Você

também pode configurar o Java Runtime Environment do Tivoli Access Manager

para diversos JREs diferentes no mesmo sistema, se desejar.

Observe que para instalar a interface do Web Portal Manager, este componente é

obrigatório. Ele também é obrigatório com o ADK do Tivoli Access Manager se

você for um desenvolvedor que utiliza as classes Java Runtime Environment do

Tivoli Access Manager. Para obter informações adicionais, consulte o IBM Tivoli

Access Manager Administration Java Classes Developer’s Reference e o IBM Tivoli Access

Manager Authorization Java Classes Developer’s Reference.

Tempo de Execução do Tivoli Access Manager

O tempo de execução do Tivoli Access Manager contém bibliotecas de tempo de

execução e arquivos de suporte que os aplicativos podem utilizar para acessar

servidores Tivoli Access Manager.

É necessário instalar o tempo de execução do Tivoli Access Manager ou o Java

Runtime Environment do Tivoli Access Manager em todos os sistemas do domínio

seguro.

Tivoli Access Manager Web Portal Manager

O Web Portal Manager é uma GUI (interface gráfica com o usuário) com base na

Web utilizada para administração do Tivoli Access Manager. Da mesma forma que

a interface da linha de comando pdadmin, essa GUI oferece gerenciamento de

usuários, grupos, funções, permissões, políticas e outras tarefas do Tivoli Access

Manager. Uma das principais vantagens é que essas tarefas podem ser executadas

remotamente, sem a necessidade de qualquer configuração de rede especial.

O Web Portal Manager também inclui um conjunto de serviços de gerenciamento

delegados, que permite à empresa delegar a administração de usuários, a

administração de grupos e funções, a administração de segurança e o fornecimento

de acesso a aplicativos aos participantes (subdomínios) do sistema da empresa.

Esses subdomínios podem delegar adicionalmente o gerenciamento e a

administração para subdomínios confiáveis sob seu controle, suportando a

hierarquia de delegação e gerenciamento de vários níveis com base nas funções.

Esse componente é enviado separadamente no CD do Web Portal Manager do IBM

Tivoli Access Manager e está disponível nas plataformas AIX, Solaris Operating

Environment (daqui em diante chamado de Solaris) e Windows. Esse componente

é opcional.



Tivoli Access Manager Application Development Kit

O ADK proporciona um ambiente de desenvolvimento que permite codificar

aplicativos de terceiros para consultar o Authorization Server para decisões de

autorização. O ADK contém suporte para utilizar as APIs C e classes Java para

funções de autorização e administração. Esse componente é opcional.

Processo de Instalação

Para instalar sistemas ou componentes do Tivoli Access Manager, execute estas

etapas básicas:

1. Planeje a implementação do Tivoli Access Manager. Certifique-se de

compreender os requisitos de segurança dos negócios para os quais o Tivoli

Access Manager está sendo implementado. Para obter mais informações,

consulte “Planejando a Implementação” na página 1.

2. Assegure-se de conhecer e atender a todos os requisitos de software listados no

IBM Tivoli Access Manager - Notas sobre o Release.

3. Decida qual combinação de sistemas Tivoli Access Manager você deseja instalar.

Para obter mais informações, consulte “Visão Geral de Domínio Seguro” na

página 2.

4. Escolha uma opção de instalação indicada na Tabela 2 e siga as instruções.

Tabela 2. Opções de Instalação

Opção Objetivo Instruções

Instalação fácil Utilize-a para acelerar a instalação e a

configuração de um ou mais sistemas

Tivoli Access Manager em um domínio

seguro.

Consulte a seção

“Processo de Instalação

Fácil”.

Instalação nativa Utilize-a para executar a instalação e

configuração dos componentes do Tivoli

Access Manager usando os utilitários do

sistema operacional nativo.

Consulte a seção

“Processo de Instalação

Nativa” na página 7.

Upgrade Utilize-a para fazer upgrade do Tivoli

SecureWay Policy Director, Versão 3.8, ou

do Tivoli Access Manager, Versão 3.9.

Consulte o Capítulo 8,

“Fazendo Upgrade para

o Tivoli Access Manager,

Versão 4.1”, na página

95.

Processo de Instalação Fácil

Para instalar e configurar sistemas Tivoli Access Manager em um domínio seguro

utilizando a instalação fácil, siga estas etapas básicas:

1. Releia a seção ″Utilizando a instalação fácil″ no capítulo de instalação para sua

plataforma específica. Assegure-se de que os programas de instalação fácil

estejam disponíveis para a plataforma na qual você deseja configurar o sistema

Tivoli Access Manager.

2. Para exibir o status e mensagens em um idioma que não seja o inglês (padrão),

é necessário instalar um pacote de suporte ao idioma antes de executar os

scripts de instalação fácil. Para obter instruções, consulte “Instalando os Pacotes

de Suporte ao Idioma” na página 11.

3. Para instalar e configurar um registro suportado para uso com o Tivoli Access

Manager, execute uma das seguintes ações:

v Se já houver um registro que você deseja utilizar para o Tivoli Access

Manager, assegure-se de ter feito upgrade do servidor para a versão à qual



esse release oferece suporte. Depois, siga as instruções no Capítulo 2,

“Configurando Registros para o Tivoli Access Manager”, na página 19 a fim

de configurar o registro para uso com o Tivoli Access Manager.

v Para instalar e configurar o IBM Tivoli Directory Server (enviado com o

Tivoli Access Manager), execute o programa ezinstall_ldap_server. Esse

programa de instalação fácil instala e configura o IBM Tivoli Directory Server

e seus pré-requisitos ao mesmo tempo que ativa o SSL.

v Para instalar um registro suportado que não seja o IBM Tivoli Directory

Server, consulte a documentação do produto. Depois, siga as instruções do

Capítulo 2, “Configurando Registros para o Tivoli Access Manager”, na

página 19, a fim de configurar o registro para uso com o Tivoli Access

Manager.4. Execute o script ezinstall_pdmgr para configurar o sistema servidor de política

do Tivoli Access Manager.

5. Depois de configurar o servidor de políticas, você pode configurar sistemas

adicionais no domínio seguro. Por exemplo, você pode fazer o seguinte:

v Execute o script ezinstall_pdauthADK para instalar um sistema de

desenvolvimento com o ADK (application development kit).

v Execute o script ezinstall_pdacld para configurar um sistema do Servidor de

Autorização.

v Execute o script ezinstall_pdwpm para configurar um sistema de tempo de

execução com a interface do Web Portal Manager.

v Execute o programa InstallShield install_pdrte para instalar um ou mais

sistemas do cliente de tempo de execução.6. Opcional: Se você está desenvolvendo e implementando aplicativos Java em um

domínio seguro do Tivoli Access Manager, pode instalar o Java Runtime

Environment do Tivoli Access Manager. Como a instalação fácil desse

componente não está disponível, siga as instruções da instalação nativa no

capítulo de instalação da sua plataforma específica.

7. Opcional: É recomendado que você ative SSL entre o servidor LDAP e os

clientes IBM Directory. Para obter instruções, consulte o Apêndice A, “Ativando

a Secure Sockets Layer”, na página 161.

Nota: Se você tiver ativado SSL durante a execução do script

ezinstall_ldap_server, pode ignorar esta etapa.

Processo de Instalação Nativa

O procedimento a seguir mostra como instalar e configurar todos os componentes

do Tivoli Access Manager na ordem apropriada. Dependendo dos requisitos de seu

sistema, selecione apenas os componentes que precisam ser instalados. Para obter

uma lista dos componentes necessários para um sistema Tivoli Access Manager

específico, consulte a Tabela 1 na página 3.

Para instalar e configurar componentes do Tivoli Access Manager utilizando a

instalação nativa, execute estas etapas básicas:

1. Para instalar e configurar um registro suportado para uso com o Tivoli Access

Manager, execute uma das seguintes ações:

Nota: Se estiver instalando o IBM Directory Server, consulte instruções de

instalação no IBM Directory Server Version 4.1 Installation and Configuration

Guide for Multiplatforms no endereço:




v Para instalar um registro suportado que não seja o IBM Directory Server,

consulte a documentação do produto.

v Se já houver um registro que você deseja utilizar para o Tivoli Access

Manager, assegure-se de ter feito upgrade do servidor para a versão à qual

esse release oferece suporte.

v Para instalar o IBM Directory Server em sistemas AIX, Solaris ou Windows,

execute estas etapas:

a. Instale o IBM Directory Server utilizando os CDs do IBM Tivoli Access

Manager Base para AIX, Solaris ou Windows. Para instalar o IBM

Directory Server, digite um dos seguintes comandos:

– Em sistemas AIX:

installp -c -a -g -X -d /dev/cd0 ldap.server

– Em sistemas Solaris:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault \

IBMldaps

– Em sistemas Windows:

/windows/Directory/ismp/setup.exe

b. Instale a correção LDAP do IBM Directory, localizada no diretório raiz

dos CDs do IBM Tivoli Access Manager Base para AIX, Solaris e

Windows. Para aplicar essa correção, digite um dos seguintes comandos:

– Em sistemas AIX e Solaris:

apply_ldap41_patch.sh


apply_ldap41_patch.bat

c. Instale a correção do IBM HTTP Server, localizada no diretório raiz dos

CDs do IBM Tivoli Access Manager Base para AIX, Solaris e Windows.

Para aplicar essa correção, digite um dos seguintes comandos:

– Em sistemas AIX e Solaris:

http_1319_efix2.sh


http_1319_efix2.bat

v Para instalar o IBM Directory Server em sistemas Linux para zSeries, execute

estas etapas:

a. Instale o IBM Directory Server para Linux no zSeries, disponível no

endereço:


b. Instale o Fixpack 1 para o IBM Directory 4.1. O Fixpack do SO Linux 390

(FP410T-01.tar.Z) está disponível no endereço:

http://www.ibm.com/software/network/directory/

server/support/efixes.html

c. Instale a correção Bulkload para 4.1(.1) Fixpack 1. O Fixpack do SO Linux

390 (P410T-001A.tar.Z) está disponível no endereço:

http://www.ibm.com/software/network/directory/

server/support/efixes.html2. Somente para registros Lotus Domino, é recomendado que você ative a

comunicação SSL entre o servidor Domino e os clientes IBM Directory neste

momento. Para obter instruções, consulte “Ativando SSL para Domino” na

página 183.

3. Proceda de uma das seguintes maneiras:



v Se você tiver instalado o IBM Directory Server no Linux para zSeries, vá para

a etapa 4. É necessário instalar o Tivoli Access Manager antes de configurar o

IBM Directory Server.

v Configure o registro para uso com o Tivoli Access Manager. Para obter

instruções, consulte o Capítulo 2, “Configurando Registros para o Tivoli

Access Manager”, na página 19.4. Configure os sistemas do Tivoli Access Manager em seu domínio seguro.

Dependendo do sistema que você está configurando, instale e configure um ou

mais dos seguintes componentes, nesta ordem.

v IBM GSKit (Global Security Toolkit) — Você deve instalar o GSKit antes de

instalar qualquer outro componente do Tivoli Access Manager. O GSKit é um

pré-requisito do ambiente de tempo de execução do Tivoli Access Manager,

obrigatório em todos os sistemas no domínio seguro.

v IBM Directory Client — Esse cliente é obrigatório em todos os sistemas que

executam o Tivoli Access Manager, exceto o Active Directory.




v Application Development Kit do Tivoli Access Manager



Para obter instruções, consulte o capítulo de instalação da sua plataforma

específica.

Notas

v Para obter uma lista dos componentes necessários para um tipo

específico de configuração do sistema, consulte a Tabela 1 na página 3.

v Você deve instalar e configurar apenas um servidor de políticas para

cada domínio seguro.

v Ao instalar o servidor de política, é necessário instalar primeiro o

ambiente de tempo de execução. No entanto, você não deve configurar

o Runtime Environment até que o servidor de políticas esteja instalado.

5. Se você tiver instalado o IBM Directory no Linux para zSeries, configure o

servidor para uso com o Tivoli Access Manager agora. Para obter instruções,

consulte o “Configurando o IBM Directory Server” na página 20.

6. É recomendado que você ative a comunicação SSL entre o registro e os clientes

IBM Directory. Para obter instruções, consulte o Apêndice A, “Ativando a

Secure Sockets Layer”, na página 161.

Nota: O Active Directory para o Tivoli Access Manager utiliza Kerberos para

criptografia e não SSL.

7. Para exibir o status e mensagens em um idioma que não seja o inglês (padrão),

instale o pacote de suporte ao idioma depois de instalar os componentes do

Tivoli Access Manager, mas antes de configurá-los. Para obter instruções,

consulte o “Instalando os Pacotes de Suporte ao Idioma” na página 11.



Internacionalização

Este capítulo descreve os recursos de internacionalização para um domínio seguro

do Tivoli Access Manager. Esta seção contém os seguintes tópicos:

v “Visão Geral do Suporte ao Idioma”

v “Instalando os Pacotes de Suporte ao Idioma” na página 11

v “Instalando Pacotes de Idioma para o Software de Pré-requisito” na página 12

v “Desinstalando os Pacotes de Suporte ao Idioma” na página 13

v “Variáveis de Ambiente de Locale” na página 15

v “Catálogos de Mensagens” na página 16

v “Suporte à Codificação de Texto (Conjunto de Códigos)” na página 17

Atenção

Assegure-se de ter revisto a seção de internacionalização no IBM Tivoli Access

Manager - Notas sobre o Release para obter informações sobre limitações ou

restrições específicas do idioma.

Visão Geral do Suporte ao Idioma

O software Tivoli Access Manager está traduzido para os seguintes idiomas:

v Português do Brasil

v Tcheco

v Chinês (Simplificado)

v Chinês (Tradicional)

v Francês

v Alemão

v Húngaro

v Italiano

v Japonês

v Coreano

v Polonês

v Espanhol

v Russo

As traduções para esses idiomas são fornecidas como pacotes de suporte ao idioma

no CD de Suporte ao Idioma do IBM Tivoli Access Manager para cada produto. Para

obter suporte a idiomas no Tivoli Access Manager, é necessário instalar o pacote de

suporte ao idioma desse produto.

Lembre-se de que se for utilizada a instalação fácil, é necessário instalar o pacote

de idiomas antes de instalar o Tivoli Access Manager, para que você possa ver as

mensagens de configuração no seu idioma. Na instalação nativa, instale o pacote

de idiomas depois de instalar os componentes do Tivoli Access Manager, mas antes

de configurá-los. Se você não instalar o pacote de suporte ao idioma, o produto

associado exibirá todo o texto em inglês. Observe que cada idioma é uma imagem

de instalação do produto instalável separadamente.

Se o suporte ao idioma para um produto for instalado e você efetuar upgrade do

produto, também deverá instalar o produto de suporte ao idioma correspondente,



se algum existir. Consulte a documentação de upgrade para o produto específico,

para determinar se o suporte ao idioma é requerido. Se você não instalar o suporte

ao idioma após o upgrade, o produto associado poderá exibir alguns campos e

mensagens em inglês.

Instalando os Pacotes de Suporte ao Idioma

Para instalar os pacotes de suporte ao idioma, execute estas etapas:

1. Efetue logon no sistema como raiz ou como usuário Administrativo.

2. Insira ou monte o CD de Suporte ao idioma do IBM Tivoli Access Manager e vá

para o diretório raiz no qual o CD está localizado.

3. Instale o JRE específico da plataforma para o seu sistema operacional. Para

obter instruções, consulte um dos seguintes:

v Em sistemas AIX, consulte a página 47.

v Em sistemas HP-UX, consulte a página 57.

v Em sistemas Red Hat Linux ou Linux para zSeries, consulte a página 66.

v Em sistemas Solaris, consulte a página 75.

v Em sistemas Windows, consulte a página 86.4. Dependendo do produto Tivoli Access Manager que você deseja instalar,

execute um ou mais dos scripts de configuração a seguir.

Atenção

v Os scripts são utilizados para sistemas UNIX; os arquivos batch

(extensão .bat) são utilizados para sistemas Windows.

v Se você emitir um script sem especificar o jre_path, deverá assegurar

que o executável Java faz parte da instrução PATH. Caso contrário,

emita o script, especificando o jre_path da seguinte forma:

package jre_path

Por exemplo, para instalar o pacote de idiomas para o Tivoli Access

Manager Base, digite o seguinte:

install_pdrte_lp /usr/bin

em que /usr/bin é o caminho do JRE.

Os pacotes de idiomas são os seguintes:

install_pdjrte_lp Especifica a instalação dos pacotes de idiomas

para o Java Runtime Environment do Tivoli

Access Manager.

install_pdrte_lp Especifica a instalação dos pacotes de idiomas

para o Tivoli Access Manager Base.

install_pdwas_lp Especifica a instalação dos pacotes de idiomas

para o WebSphere Application Server.

install_pdwbpi_lp Especifica a instalação dos pacotes de idiomas

para o Plug-in do Tivoli Access Manager para

Servidores Web.

install_pdweb_lp Especifica a instalação dos pacotes de idiomas

para o Tivoli Access Manager WebSEAL.



install_pdwls_lp Especifica a instalação dos pacotes de idiomas

para o WebLogic Server.

install_pdwpm_lp Especifica a instalação dos pacotes de idiomas

para o Web Portal Manager do Tivoli Access

Manager.

install_pdwsl_lp Especifica a instalação dos pacotes de idiomas

para o Plug-in do Tivoli Access Manager para

Edge Server.5. Clique em Next (Avançar) para iniciar a instalação. O diálogo do Contrato de

Licença de Software é exibido.

6. Para aceitar o contrato de licença, selecione I accept the terms in the license

agreement (Aceito os termos do contrato de licença) e, em seguida, clique em

Next (Avançar). Um diálogo que mostra uma lista de pacotes de idiomas é

exibido.

7. Selecione os pacotes de idiomas que deseja instalar e clique em Next (Avançar).

Um diálogo que mostra a localização e os recursos dos pacotes de idiomas

selecionados é exibido.

8. Para aceitar os pacotes de idiomas selecionados, clique em Next (Avançar). Os

pacotes de idiomas selecionados serão instalados.

9. Após a instalação com êxito do pacote de idiomas do Tivoli Access Manager,

clique em Finish (Concluir) para fechar o assistente e iniciar novamente o

sistema.

Instalando Pacotes de Idioma para o Software de Pré-requisito

Além de instalar os pacotes de idiomas para o software Tivoli Access Manager, é

necessário instalar pacotes de idiomas para os produtos IBM HTTP Server, IBM

Directory e IBM DB2, somente nos sistemas AIX e Solaris. Esses pacotes de

idiomas também são fornecidos no CD de Suporte ao Idioma do IBM Tivoli Access

Manager.

1. Para instalar os pacotes de idioma de pré-requisito, proceda de uma das

seguintes maneiras:

v Nos sistemas AIX, digite o seguinte comando:

installp -c -a -g -X -d /dev/cd0 package

em que package, localizado no diretório usr/sys/inst.images, é um ou mais

dos seguintes:

http_server.html.lang Especifica a documentação do IBM HTTP

Server.

http_server.msg.lang.admin Especifica mensagens do IBM HTTP Server.

http_server.msg.lang.ssl.core Especifica mensagens SSL do IBM HTTP

Server.

ldap.html.lang Especifica a documentação do IBM Directory.

ldap.msg.lang Especifica as mensagens do IBM Directory.

db2_07_01.msg.lang Especifica as mensagens do produto IBM

DB2.

em que lang é a abreviação do arquivo de idioma.

Por exemplo, para instalar a documentação do IBM HTTP Server em italiano,

digite o seguinte:



installp -c -a -g -X -d /dev/cd0 http_server.html.it_IT

v Nos sistemas Solaris, digite o seguinte comando:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault package

em que package, localizado no diretório /solaris, é um ou mais dos

seguintes:

IBMHAlang Especifica mensagens do IBM HTTP Server.

IBMHSlang Especifica a documentação do IBM HTTP Server.

IBMHSSlang Especifica mensagens SSL do IBM HTTP Server.

IBMldilang Especifica a documentação do IBM Directory.

IBMldmlang Especifica as mensagens do IBM Directory.

db2mslang1 Especifica as mensagens do produto IBM DB2.

e lang é a abreviação do arquivo de idioma.

Por exemplo, para instalar as mensagens do IBM Directory em japonês,

digite o seguinte:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldmJa

2. Pare os daemons (ou serviços) do IBM HTTP Server e do IBM HTTP

Administration, caso estejam em execução. Por exemplo, no diretório

http_directory/bin em um sistema UNIX, digite os seguintes comandos:

apachectl stop

adminctl stop

Nota: Para verificar se o processo httpd está em execução, digite o seguinte

comando:

ps -ef | grep -i http

Se o processo httpd existir, emita o comando kill da seguinte forma:

kill -i http_process_id_(pid)

3. No diretório http_directory/bin, emita o comando setuplang. Esse script shell

modifica os arquivos httpd.conf e admin.conf para o novo idioma. Escolha o

idioma desejado na tabela do menu.

4. Para iniciar novamente os servidores HTTP, emita os seguintes comandos:

http_directory/bin/apachectl start

http_directory/bin/adminctl start

5. Os servidores devem estar executando em seu idioma desejado. Acesse o

servidor por meio de um navegador da Web e verifique se as telas estão no

idioma apropriado.

Desinstalando os Pacotes de Suporte ao Idioma

Para desinstalar os pacotes de suporte ao idioma, execute estas etapas:

1. Vá para um dos seguintes diretórios:

v Em sistemas UNIX:

/opt/location

v Em sistemas Windows:

C:\Arquivos de Programas\location

em que localização é a seguinte:



PDBLP/Lp_uninst Especifica a localização dos pacotes de idiomas

do Tivoli Access Manager Base.

PDJrtLP/lp_uninst Especifica a localização dos pacotes de idiomas

do Java Runtime Environment do Tivoli Access

Manager.

PDWasLP/lp_uninst Especifica a localização dos pacotes de idiomas

do WebSphere Application Server.

PDWpiLP/lp_uninst Especifica a localização dos pacotes de idiomas

do Plug-in do Tivoli Access Manager para

Servidores Web.

PDWebLP/lp_uninst Especifica a localização dos pacotes de idiomas

do Tivoli Access Manager WebSEAL.

PDWlsLP/lp_uninst Especifica a localização dos pacotes de idiomas

do WebLogic Server.

PDWpmLP/Lp_uninst Especifica a localização dos pacotes de idiomas

do Web Portal Manager do Tivoli Access

Manager.

PDWslLP/Lp_uninst Especifica a localização dos pacotes de idiomas

do Plug-in do Tivoli Access Manager para Edge

Server.2. Para desinstalar os pacotes de suporte ao idioma, digite um dos seguintes

comandos:

v Em sistemas UNIX:

jre_path/java package


jre_path\java -jar package

em que jre_path é o caminho no qual o executável Java está localizado e

package é um dos seguintes:

Nota: Se o executável Java estiver no caminho, não será necessário especificar

jre_path.

pdrte_lp_uninstall.jar Especifica o pacote de idiomas do Tivoli Access

Manager Base.

pdjrte_lp_uninstall.jar Especifica o pacote de idiomas do Java Runtime

Environment do Tivoli Access Manager.

pdwas_lp_uninstall.jar Especifica o pacote de idiomas do WebSphere

Application Server.

pdwbpi_lp_uninstall.jar Especifica o pacote de idiomas do Plug-in para

Servidores Web.

pdweb_lp_uninstall.jar Especifica o pacote de idiomas do Tivoli Access

Manager WebSEAL.

pdwls_lp_uninstall.jar Especifica o pacote de idiomas do WebLogic

Server.

pdwsl_lp_uninstall.jar Especifica o pacote de idiomas do Plug-in do

Tivoli Access Manager para Edge Server.



Variáveis de Ambiente de Locale

Como ocorre na maioria dos sistemas operacionais atuais, um comportamento

localizado é obtido especificando-se o locale desejado. No software Tivoli Access

Manager, você define a variável de ambiente LANG para o nome de locale

desejado, conforme especificado pelo POSIX, X/Open ou outros padrões de

sistemas abertos.

Nota: Para um ambiente Windows, você pode alternativamente modificar a

definição de idioma em Regional Settings (Configurações Regionais) do

Control Panel (Painel de Controle).

Se você especificar a variável de ambiente LANG e modificar as configurações

regionais, a variável LANG substituirá essa configuração regional.

Conforme especificado por padrões de sistemas abertos, outras variáveis de

ambiente substituem LANG para algumas ou todas as categorias de locale. Essas

variáveis incluem as seguintes:

v LC_CTYPE

v LC_TIME

v LC_NUMERIC

v LC_MONETARY

v LC_COLLATE

v LC_MESSAGES

v LC_ALL

Se alguma das variáveis anteriores for definida, você deverá remover sua definição

da variável LANG para permitir um efeito completo.

Variável LANG e Sistemas UNIX

A maioria dos sistemas UNIX utiliza a variável LANG para especificar o locale

desejado. Diferentes sistemas operacionais UNIX, contudo, exigem diferentes

nomes de locale para especificar o mesmo idioma. Certifique-se de utilizar um

valor para LANG que seja suportado pelo sistema operacional UNIX que estiver

sendo utilizado.

Para obter os nomes dos locales do sistema UNIX, digite o seguinte comando:

locale -a

Variável LANG e Sistemas Windows

A maioria dos sistemas operacionais não utiliza a variável de ambiente LANG. No

entanto, o software Tivoli Access Manager pode utilizar LANG para determinar o

idioma desejado. Para fazer isso, defina LANG para o nome de locale canônico

com base nos códigos de idioma ou território ISO sem um sufixo de conjunto de

códigos. Por exemplo:

v fr é o locale para Francês padrão

v ja é o locale para Japonês

v pt_BR é o locale para Português do Brasil

v C é o locale para Inglês em locale C

Nos sistemas Windows, se LANG não for definido, o Tivoli Access Manager utiliza

a seleção atual no objeto Regional Settings (Configurações Regionais) do Control

Panel (Painel de Controle) do Windows.



Utilizando Variantes de Locale

Embora o software Tivoli Access Manager forneça atualmente somente uma versão

traduzida para cada idioma, você pode utilizar a variante de locale de sua

preferência e o Tivoli Access Manager encontrará a tradução para o idioma

correspondente. Por exemplo, o Tivoli Access Manager fornece uma tradução para

o francês, mas cada uma das seguintes definições de locale encontra a tradução

apropriada:

v fr é o nome do locale para Francês padrão

v fr_FR é o nome do locale para Francês da França

v fr_CA é o nome do locale para Francês do Canadá

v fr_CH é o nome do locale para Francês da Suíça

Catálogos de Mensagens

Os catálogos de mensagens geralmente são instalados em um subdiretório msg e

cada um desses catálogos é instalado em um subdiretório específico do idioma, da

seguinte forma:

v Em sistemas UNIX:

/opt/PolicyDirector/nls/msg/locale


install_dir/nls/msg/locale

O Tivoli Access Manager reconhece variações em nomes de locale UNIX e

geralmente pode mapear o valor especificado para o catálogo de mensagens

apropriado.

A tela variável NLSPATH é utilizada para encontrar o diretório do catálogo de

mensagens apropriado, conforme especificado por padrões de sistemas abertos. Por

exemplo, se os catálogos de mensagens estiverem em /opt/PolicyDirector/nls/msg a

variável NLSPATH será definida como o seguinte:

/opt/PolicyDirector/nls/msg/%L/%N.cat:/opt/PolicyDirector/nls/msg/%L/%N

Nota: No Windows, utilize ponto e vírgula (;) em vez de dois pontos (:) como

separador.

A diretriz %L é expandida para o diretório do catálogo de mensagens que

corresponde mais à seleção de idioma do usuário atual e %N.cat expande para o

catálogo de mensagens desejado.

Se um catálogo de mensagens não for encontrado para o idioma desejado, os

catálogos de mensagens C em inglês serão utilizados.

Por exemplo, suponha que você especifique o locale AIX para Alemão da Suíça,

conforme a seguir:

LANG=De_CH.IBM-850

A diretriz %L é expandida na seguinte ordem para localizar o locale especificado:

1. de_CH

2. de

3. C

Como o Tivoli Access Manager não fornece um pacote de idioma em alemão da

Suíça, de_CH não é encontrado. Se o pacote em alemão do Tivoli Access Manager



estiver instalado, será utilizado de. Caso contrário, o locale padrão C será

utilizado, ocasionando a exibição em Inglês.

Suporte à Codificação de Texto (Conjunto de Códigos)

Diferentes sistemas operacionais muitas vezes codificam texto de diferentes

maneiras. Por exemplo, os sistemas Windows utilizam SJIS (página de códigos

932) para texto em japonês, mas os sistemas UNIX geralmente utilizam eucJP.

Além disso, vários locales podem ser fornecidos para o mesmo idioma de modo

que diferentes conjuntos de códigos podem ser utilizados para o mesmo idioma na

mesma máquina. Isso pode causar problemas quando o texto é movido de sistema

a sistema ou entre diferentes ambientes de locales.

O Tivoli Access Manager trata desses problemas utilizando Unicode e UTF-8 (o

formato de múltiplos bytes do Unicode) como representação canônica interna do

texto.

Os catálogos de mensagens são codificados utilizando UTF-8, e o texto é

convertido para a codificação do locale antes de ser apresentada ao usuário. Desse

modo, os mesmos arquivos do catálogo de mensagens em Francês podem ser

utilizados para suportar uma série de conjuntos de códigos em Latim 1, como

ISO8859-1, Microsoft 1252, IBM PC 850 e IBM MVS™

1047.

O UTF-8 também é utilizado para conseguir interoperabilidade de texto. Por

exemplo, as cadeias CORBA (Common Object Request Broker Architecture) são

transmitidas como UTF-8. Isso permite o gerenciamento remoto dentro de uma

rede heterogênea na qual a codificação de texto local pode variar. Por exemplo, os

nomes de arquivos em Japonês podem ser manipulados em nós de extremidade de

PC em Japonês a partir de um desktop que esteja executando no locale EUC em

japonês do UNIX.

A interoperabilidade de texto no domínio seguro também é obtida armazenando

cadeias como UTF-8 dentro do banco de dados de objetos Tivoli. As cadeias são

convertidas para a codificação local para exibição e manipulação por aplicativos

que estejam executando em diferentes conjuntos de códigos do sistema

operacional.

Localização de Arquivos do Conjunto de Códigos

A interoperabilidade através de seu domínio protegido depende de arquivos de

conjuntos de códigos, os quais são utilizados para executar a conversão UTF-8 e

outros tipos de processamento de texto específicos de codificação. Esses arquivos

são instalados nos seguintes diretórios:

v Em sistemas UNIX:

/opt/PolicyDirector/nls/msg/locale


install_dir/nls/msg/locale



Capítulo 2. Configurando Registros para o Tivoli Access

Manager

Este capítulo descreve como configurar um registro suportado para uso com o

Tivoli Access Manager. Esta etapa do processo de instalação é obrigatória antes da

instalação dos sistemas Tivoli Access Manager no domínio seguro (conforme

especificado no “Processo de Instalação” na página 6). Para obter os requisitos do

sistema de um registro específico, consulte IBM Tivoli Access Manager - Notas sobre o

Release.

Este capítulo inclui as seguintes seções principais:

v “Visão Geral da Configuração do Servidor LDAP”

v “Configurando o IBM Directory Server” na página 20

v “Configurando o iPlanet Directory Server” na página 26

v “Configurando o Novell eDirectory” na página 29

v “Configurando os Servidores de Segurança z/OS e OS/390” na página 30

v “Configurando o Active Directory” na página 36

v “Configurando o Lotus Domino” na página 41

Visão Geral da Configuração do Servidor LDAP

Os dados são armazenados dentro do servidor LDAP, em uma estrutura de árvore

hierárquica denominada DIT (Árvore de Informações de Diretório). O topo da

árvore é denominado sufixo (também chamado de contexto de nomenclatura ou

raiz). Um servidor LDAP pode conter vários sufixos para organizar a árvore de

dados em ramificações lógicas ou unidades organizacionais.

As seções a seguir mostram como criar sufixos do Tivoli Access Manager para o

seu servidor LDAP específico. Durante o processo de configuração, o Tivoli Access

Manager tenta incluir automaticamente as ACLs (listas de controle de acesso)

apropriadas para cada sufixo que existe atualmente no servidor LDAP. Isso é

necessário para fornecer ao Tivoli Access Manager a permissão necessária para

gerenciar os usuários e grupos definidos dentro desses sufixos. Se você incluir

sufixos após a configuração inicial do Tivoli Access Manager, deverá incluir as

ACLs apropriadas manualmente. Para obter instruções, consulte o IBM Tivoli Access

Manager Base Administrator’s Guide.

O Tivoli Access Manager requer que você crie um sufixo denominado

secAuthority=Default, que mantém os metadados do Tivoli Access Manager. Você

deve incluir esse sufixo somente uma vez—quando o servidor LDAP é configurado

pela primeira vez. Esse sufixo permite que o Tivoli Access Manager localize e

gerencie facilmente os dados. Também protege o acesso aos dados, evitando

problemas de integridade ou danos.

Além disso, será solicitado que você forneça o DN (nome distinto) de GSO

(conexão global) durante a configuração do servidor de política. Para armazenar os

metadados de GSO, você pode criar um sufixo ou especificar o nome distinto de

uma localização de DIT do LDAP. Você pode armazenar os metadados de GSO em

qualquer lugar escolhido na DIT do LDAP, mas a localização já deve existir. Se

você optar por criar um sufixo, poderá considerar o armazenamento de metadados

de GSO e de definições de usuário em um único sufixo. Por exemplo, as seguintes


seções utilizam o=tivoli,c=us como um exemplo para armazenar metadados de

GSO e definições de usuário. Observe que você também pode criar sufixos

adicionais para manter definições de usuário e de grupo.

Depois de criar sufixos, você também deve criar entradas de diretório para cada

sufixo. Isso é necessário para instanciar o sufixo. Caso contrário, o Tivoli Access

Manager não poderá anexar as ACLs quando ele estiver sendo configurado. As

ACLs fornecem ao Tivoli Access Manager a permissão necessária para gerenciar

usuários e grupos definidos dentro desses sufixos.

Nota: Para obter instruções completas sobre a criação de sufixos, consulte a

documentação do produto fornecida com o seu servidor LDAP específico.

As instruções a seguir servem como uma orientação geral na criação de

sufixos. Recomenda-se que você crie sufixos que espelhem sua estrutura

organizacional.

As seções a seguir descrevem como configurar os seguintes registros LDAP

suportados:

v “Configurando o IBM Directory Server”

v “Configurando o iPlanet Directory Server” na página 26

v “Configurando o Novell eDirectory” na página 29

v “Configurando os Servidores de Segurança z/OS e OS/390” na página 30

Configurando o IBM Directory Server

Atenção

v Se você tiver utilizado o script de instalação fácil ezinstall_ldap_server

para instalar e configurar o IBM Directory Server, ignore as instruções deste

capítulo. A instalação fácil configura o IBM Directory Server

automaticamente.

v Antes de configurar o IBM Directory Server, assegure-se de ter lido e de

seguir as etapas na ordem descrita na seção “Processo de Instalação

Nativa” na página 7. São necessárias correções antes da configuração.

v Se você estiver instalando o IBM Directory no Linux para zSeries,

assegure-se de configurar o servidor depois de instalar o Tivoli Access

Manager, conforme indicado na seção “Processo de Instalação Nativa” na

página 7.

Para configurar o IBM Directory Server para o Tivoli Access Manager, execute estas

etapas:

1. Assegure-se de que o IBM Directory Server esteja instalado.


v Para todos os sistemas, exceto Linux no zSeries, vá para a etapa 3 na

página 21.

v Somente nos sistemas Linux no zSeries, execute estas etapas:

a. Aplique o esquema do Tivoli Access Manager. Esse arquivo,

denominado secschema.def, está localizado no diretório etc no qual o

Tivoli Access Manager está instalado. Para aplicar esse esquema, digite o

seguinte comando (em uma linha):

ldapmodify -h ldap_host -p port -D cn=root -w pswd -c -v -f secschema.def


b. Instale o JRE para Linux no Series. Para obter instruções, consulte

“Instalando o JRE Específico da Plataforma” na página 66.

Nota: As ferramentas dmt e ldapcfg do IBM Directory Server exigem

JRE 1.3.1 ou posterior para serem executadas corretamente.

c. Para que as ferramentas dmt e ldapcfg utilizem o JRE versão 1.3.1 em

vez da versão do JRE instalada com o IBM Directory, atualize o seguinte:

– Edite o script /usr/ldap/bin/dmt e comente as seguintes linhas:

find_java()

{

# Primeiro, tente encontrar a versão Java que instalamos com LDAP.

# if [ "${ENV_JAVA}" == "" ] ; then COMENTE ESTA LINHA

# OVERRIDE=${LDAPIDIR}/java/bin/java COMENTE ESTA LINHA

# fi COMENTE ESTA LINHA

– Edite o script /usr/ldap/bin/ldapcfg e comente as seguintes linhas:

find_java()

{

# Primeiro, tente encontrar a versão Java que instalamos com LDAP.

# if [ "${OS}" != "HP-UX" ] ; then COMENTE ESTA LINHA

# if [ "${ENV_JAVA}" == "" ] ; then COMENTE ESTA LINHA

# OVERRIDE=${LDAPCIDIR}/java/bin/java COMENTE ESTA LINHA




v Em todos os sistemas, exceto Linux no zSeries, acesse a ferramenta de

administração da Web do IBM Directory Server no endereço a seguir e

prossiga com a etapa 4 na página 22:

http://nome do servidor:porta/ldap/index.html

em que nome do servidor é o nome do servidor LDAP e porta é o número da

porta indicada no arquivo httpd.conf.

v Somente nos sistemas Linux no zSeries, é necessário modificar

manualmente o arquivo slapd32.conf para incluir os sufixos necessários.

Para isso, modifique a seção dn: cn=Directory do arquivo slapd32.conf,

incluindo o seguinte sufixo obrigatório no Tivoli Access Manager e um

sufixo (ou um DN existente) para metadados GSO e definições do usuário

(por exemplo, o=tivoli,c=us). Em seguida, vá para a etapa 14 na página 24

a fim de continuar configurando o IBM Directory Server.

dn: cn=Directory, cn=RDBM Backends, cn=IBM, cn=Schemas, cn=Configuration

cn: Directory

ibm-slapdDbAlias: ldapdb2b

ibm-slapdDbConnections: 30

ibm-slapdDbInstance: ldapdb2

ibm-slapdDbName: ldapdb2

ibm-slapdDbUserId: ldapdb2

ibm-slapdDbUserPW: >1aV1aFVp/G44POPw/p4ZkJAldiDt+GsRizdgwYF0F7tJYkcEUuBg4K7

HnRFBgMev8jrleaPmiblTpnxb3br96RQ6ZjHeu75ZqCQ9/cIGqH/G6aDVCfbkmk3xyErW1eQdNt

7i8iY9HHqgICIGQek6Qm1K<

ibm-slapdPlugin: database /lib/libback-rdbm.so rdbm_backend_init

ibm-slapdReadOnly: FALSE

ibm-slapdSuffix: o=tivoli,c=us

ibm-slapdSuffix: secAuthority=Default

ibm-slapdSuffix: cn=localhost

objectclass: top

objectclass: ibm-slapdRdbmBackend


Capítulo 2. Configurando Registros Suportados 21

4. Digite o nome e a senha do administrador LDAP e clique no botão Logon,

como mostrado:

A página da Web de Administração do IBM Directory Server será exibida.

5. Para garantir que o IBM Directory Server seja iniciado, selecione Current state

(Estado Atual) → Server status (Estado do Servidor) na área de janela de

navegação da esquerda. Uma janela semelhante à seguinte é exibida:

6. Se o servidor estiver parado, clique em Start/Stop (Iniciar/Parar) e, em

seguida, clique em Start (Iniciar) para iniciar o servidor. Uma mensagem é

exibida quando o servidor inicia ou pára com êxito.

7. Para criar um sufixo, selecione Settings → Suffixes (Definições → Sufixos) na

área de janela de navegação esquerda. A janela Suffixes (Sufixos) será

exibida.

8. Para criar o sufixo no qual o Tivoli Access Manager mantém seus metadados,

digite o seguinte sufixo requerido, conforme mostrado:

secAuthority=Default

Nota: O nome distinto do sufixo não faz distinção entre maiúsculas e

minúsculas.



9. Clique em Update (Atualizar). A janela Suffixes (Sufixos) será exibida. Seus

novos sufixos são exibidos na tabela Current server suffixes (Sufixos atuais

do servidor).

10. Se você optar por criar um sufixo para o metadados de GSO, digite o nome

distinto do novo sufixo no campo Suffix DN (DN do Sufixo). Por exemplo,

você poderia digitar o=tivoli,c=us como mostrado:

É solicitado que você forneça o sufixo de GSO quando configura os

componentes do Tivoli Access Manager. Para obter informações sobre a razão

de um sufixo de GSO ser obrigatório, consulte “Visão Geral da Configuração

do Servidor LDAP” na página 19.

11. Clique em Update (Atualizar). A janela Suffixes (Sufixos) será exibida

novamente. Nesse ponto, você pode criar sufixos adicionais para manter

definições de usuário e de grupo.

Nota: Para obter informações adicionais sobre como incluir sufixos, clique no

ícone Help (Ajuda) na área de janela superior direita.

12. Quando tiver terminado de incluir sufixos, clique em restart the server

(iniciar novamente o servidor) na mensagem na área de janela superior, como

mostrado:

A seguinte mensagem é exibida após alguns minutos:



O servidor de diretórios está sendo executado.

Se a mensagem não for exibida, inicie novamente o IBM Directory Server. Por

exemplo, em sistemas Windows, selecione Iniciar → Configurações → Painel de

controle e clique em Services (Serviços). Selecione o serviço IBM Directory e

clique em Start (Iniciar) para iniciar novamente o servidor LDAP.

13. Proceda de uma das seguintes formas:

v Se você não tiver incluído sufixos diferentes de secAuthority=Default,

ignore as etapas 14 a 20 na página 26. Uma entrada de diretório para

secAuthority=Default será incluída automaticamente quando o servidor de

política for configurado.

v Se você tiver incluído sufixos diferentes de secAuthority=Default, continue

com a etapa 14 para criar entradas de diretório para cada sufixo.14. Para criar entradas de diretório, digite dmt em um prompt de comandos para

iniciar a DMT (directory management tool). A seguinte janela é exibida:

15. Clique no botão Add server (Incluir servidor), na área de janela inferior. Uma

janela semelhante à seguinte é exibida:




v Para utilizar SSL (Secure Sockets Layer) entre o DMT e o servidor LDAP,

opte por utilizar SSL e preencha os campos especificados. Clique em Help

(Ajuda) para obter descrições desses campos.

v Se você não desejar utilizar SSL entre o DMT e o servidor LDAP, selecione

um tipo de autenticação.

a. Se selecionar None (Nenhum) ou SASL External (SASL Externo), não

são necessárias informações adicionais.

b. Se selecionar Simple (simples) ou CRAM MD5, digite o DN e a senha

do usuário e clique em OK.17. Selecione Browse Tree (Procurar na Árvore), área de janela da esquerda.

Mensagens de aviso são exibidas indicando que os sufixos criados não contêm

dados. Clique em OK para descartar essas mensagens. Uma janela semelhante

à seguinte é exibida:

18. Selecione o nome do host na lista à direita e clique em Add (Incluir). Por

exemplo, o nome do host é ldap://dliburd2.tivoli.com:389 no exemplo

anterior.

19. Na janela Add an LDAP Entry (incluir na Entrada LDAP), preencha os

campos e clique em OK. Por exemplo, se você estiver incluindo uma entrada

de diretório para o sufixo de GSO, uma janela semelhante à seguinte é

exibida:



20. Digite valores para os atributos e clique em Add (Incluir). Por exemplo, o

exemplo de sufixo GSO aparece como mostrado:

21. Quando tiver terminado de incluir entradas de diretório para os sufixos

criados, clique em Exit (Sair) para fechar a janela IBM Directory Management

Tool.

Configurando o iPlanet Directory Server

Antes de começar, assegure-se de que você tenha concluído a instalação e

configuração básicas do servidor, conforme descrito na documentação do produto

iPlanet Directory Server. Para obter mais informações, consulte a documentação do

iPlanet Directory Server no seguinte endereço da Web:

http://docs.iplanet.com/docs/manuals/directory.html

Para configurar o iPlanet Directory Server para o Tivoli Access Manager, siga estas

etapas:

1. Para assegurar que o daemon do servidor de diretórios (slapd-serverID) e o

daemon do servidor administrativo (admin-serv) estejam sendo executados,

proceda de uma das seguintes maneiras:

v Em sistemas UNIX, digite os seguintes comandos:

/usr/iplanet/servers/slapd-serverID/start-slapd

/usr/iplanet/servers/start-admin

v Nos sistemas Windows, selecione Iniciar → Definições → Painel de controle

e, em seguida, clique no ícone Services (Serviços). Selecione os serviços

iPlanet Administration Server 5.0 e iPlanet Directory Server 5 e, em seguida,

clique em Start (Iniciar). 2. Para iniciar o Console do iPlanet, digite um dos seguintes:

v Em sistemas UNIX, digite o seguinte:

% /usr/iplanet/servers/startconsole

v Em sistemas Windows, selecione Iniciar → Programas → Produtos do

Servidor iPlanet → iPlanet Console 5.0.

A janela iPlanet Console Login (Login do Console do iPlanet) é exibida, a

menos que seu diretório de configuração (diretório o=NetscapeRoot) esteja

armazenado em uma instância separada do iPlanet Directory Server. Nesse

caso, é exibida uma janela que solicita o User ID (ID de Usuário) de



administrador, o Password (Senha) e o endereço da Web do servidor

administrativo para esse servidor de diretórios.

3. Inicie sessão utilizando o User ID (ID de Usuário) e Password (Senha) do

administrador LDAP. Por exemplo, insira cn=Directory Manager e a senha

apropriada, conforme mostrado:

O console do iPlanet é exibido.

4. Na guia Topology (Topologia), clique no ícone Directory Server (Servidor de

Diretórios). O console do iPlanet Directory Server é exibido.

5. No console do iPlanet Directory Server, selecione a guia Configuration

(Configuração).

6. Clique com o botão direito do mouse em Data (Dados) no painel de

navegação esquerdo e, em seguida, selecione New Root Suffix (Novo Sufixo

de Raiz). Você também pode criar um novo sufixo, selecionando Data (Dados)

e, em seguida, selecionando Object (Objeto) → Suffix (Sufixo) na barra de

menus, conforme mostrado:

Uma janela popup é exibida e solicita o novo sufixo e um nome de banco de

dados.

7. Para criar o sufixo que mantém os dados do Tivoli Access Manager, digite

secAuthority=Default no campo New suffix (Novo sufixo). Em seguida,

digite um nome exclusivo para o novo banco de dados e, depois, clique em

OK, conforme mostrado:

iPlanet Directory Server


Nota: A caixa de opções Create associated database automatically (Criar

banco de dados associado automaticamente) está pré-selecionada. Isso

é necessário para que um banco de dados seja criado ao mesmo tempo

que o novo sufixo de raiz. O novo sufixo de raiz fica desativado até

que você crie um banco de dados.

8. Se você optou por criar um sufixo para manter dados de GSO, digite o nome

distinto do sufixo no campo New Suffix (Novo sufixo) e digite um nome de

banco de dados exclusivo. Por exemplo, você poderia digitar o=tivoli,c=us e,

em seguida, clicar em OK, conforme mostrado:

É solicitado que você forneça o sufixo GSO ao configurar o Tivoli Access

Manager. Para obter informações adicionais sobre GSO, consulte “Visão Geral

da Configuração do Servidor LDAP” na página 19.


v Se você não incluiu sufixos diferentes de secAuthority=Default, ignore as

etapas de 10 a 13. Uma entrada de diretório para secAuthority=Default é

incluída automaticamente quando o servidor de políticas é configurado.

v Se você incluiu sufixos diferentes de secAuthority=Default, continue com a

etapa 10 para criar entradas de diretório para cada sufixo.10. Clique na guia Directory (Diretório) e destaque o nome do servidor no topo

do painel esquerdo.

11. Selecione Objects (Objetos) → New Root Object (Novo Objeto Raiz). Uma

lista de novos sufixos para os quais ainda não existem entradas é exibida,

conforme mostrado:

12. Para cada novo sufixo (diferente de secAuthority=Default), selecione o novo

sufixo. O painel New Object (Novo Objeto) é exibido. Role para baixo para

encontrar o tipo de entrada que corresponde ao sufixo que está sendo criado.

Por exemplo, você poderia selecionar organization (organização) para um

sufixo denominado o=tivoli,c=us. Destaque o tipo de entrada e clique em



OK, conforme mostrado:

13. Na janela Property Editor (Editor de Propriedades), digite um valor para a

entrada. Para o exemplo o=tivoli,c=us, insira tivoli como o valor para

organization (organização) e, em seguida, clique em OK, conforme mostrado:

14. Depois de criar entradas para cada sufixo incluído, selecione Console → Exit

(Sair) para fechar o console.

Configurando o Novell eDirectory

Antes de começar, assegure-se de ter concluído a instalação e configuração básicas

do servidor para o Novell eDirectory e a ferramenta ConsoleOne, conforme

descrito na documentação do produto Novell, no seguinte endereço da Web:

http://www.novell.com/documentation/lg/ndsedir86/index.html

Além disso, assegure-se de ter revisto e de estar em conformidade com os

requisitos do sistema e os pré-requisitos do Tivoli Access Manager listados no IBM

Tivoli Access Manager - Notas sobre o Release.

Para configurar o Novell eDirectory para o Tivoli Access Manager, execute estas

etapas:

1. Efetue logon na estação de trabalho do Cliente Novell e inicie o ConsoleOne.



2. Expanda a árvore NDS e depois a árvore criada durante a instalação. Há duas

entradas filhas na árvore: um objeto da organização e um objeto de contêiner

de Security (Segurança).

3. Selecione o ícone de organização; por exemplo, selecione AM. A área de janela

esquerda exibirá os objetos da organização.

4. Para atualizar o esquema para que o Tivoli Access Manager possa instalá-lo,

clique com o botão direito do mouse no objeto LDAP Group (Grupo LDAP) e

selecione Properties (Propriedades). O bloco de notas Propriedades será

exibido.

5. Na janela Propriedades do Grupo LDAP, selecione a guia Mapeamentos de

Classe.

6. Na janela Tabela de Mapeamentos de Classe do Grupo LDAP, exclua as

seguintes entradas e selecione Apply (Aplicar):

inetOrgPerson

groupOFNames

7. Na tela Propriedades do Grupo LDAP, selecione a guia Mapeamentos de

Atributos. A janela Mapeamentos de Atributos do Grupo LDAP será exibida.

8. Role pela tabela e selecione o Atributo NDS Member. Verifique se o valor do

atributo LDAP correspondente também é Member. Se o valor do atributo LDAP

não for Member, clique em Modify (Modificar).

9. Na janela Mapeamento de Atributos, digite o seguinte e selecione OK.

v Atributo NDS = Member

v Atributo LDAP Principal = Member

v Atributo LDAP Secundário = uniqueMember

10. Nas Propriedades da janela Grupo LDAP, clique em Aplicar e em Fechar.

Incluindo um Sufixo GSO para Configuração no Tivoli Access

Manager

Como parte do processo de configuração, é necessário incluir um sufixo GSO. Para

fazer isso, siga estas etapas:

1. Inicie o ConsoleOne.

2. Determine qual sufixo será utilizado. Este é o nome distinto do local na DIT

(árvore de informações do diretório) do servidor LDAP na qual você deseja que

os metadados de GSO (conexão global) estejam localizados. Você pode digitar

um sufixo ou especificar o DN de uma localização existente na DIT do LDAP

(mas ela deve designar um objeto de contêiner).

3. Clique com o botão direito do mouse no objeto da organização, selecione New

(Novo) → Object (Objeto) → Country (País) e clique em OK.

4. Digite o código de país. Por exemplo, digite US e clique em OK. O país será

exibido na árvore IBM no console.

5. Clique com o botão direito do mouse no país (US), selecione Novo → Objeto →

Organização e clique em OK.

6. Digite a organização. Por exemplo, digite Tivoli e clique em OK.

Configurando os Servidores de Segurança z/OS e OS/390

Esta seção descreve as etapas de configuração necessárias para preparar o servidor

LDAP no z/OS ou OS/390 para o Tivoli Access Manager. É dada ênfase

especificamente à configuração do Tivoli Access Manager em um registro SAF

(security authorization facility) nativo.

Novell eDirectory


Essas diretrizes supõem uma nova instância do servidor LDAP dedicada ao

registro do Tivoli Access Manager. Para obter mais informações, consulte o manual

LDAP Server Administration and Use para seu release específico do OS/390 ou do

z/OS. Esse documento está disponível na biblioteca do z/OS, no endereço:

http://www-1.ibm.com/servers/eserver/zseries/zos/bkserv/

Para obter os requisitos do sistema e PTFs (correções temporárias do programa)

aplicáveis, consulte IBM Tivoli Access Manager - Notas sobre o Release.

Este capítulo inclui as seguintes seções. Arquivos de configuração de amostra

também são fornecidos.

v Criando um Banco de Dados DB2 para o TDBM de Backend

v Criando um Arquivo de Configuração LDAP para um TDBM de Backend

v Iniciando o Servidor

v Atualizando e Carregando Arquivos Esquema

v Ativando a Replicação do LDAP

v Configurando o Tivoli Access Manager para LDAP

Criando um Banco de Dados DB2 para o TDBM de Backend

Para criar um banco de dados DB2 para o TDBM de backend, siga as instruções no

arquivo README localizado no seguinte diretório de sua instalação do LDAP:

/usr/lpp/ldap/examples/sample_server

As etapas são as seguintes:

1. Ligue (efetue bind de) a CLI (Call Level Interface). A CLI fornece uma camada

de abstração para comandos SQL. Esta etapa estabelece o ambiente necessário

para o servidor LDAP utilizar a CLI. O servidor de amostra fornece um

arquivo de job para ligar a CLI. Um administrador deve mover o arquivo para

uma partição MVS™ para que seja possível executar o job. Consulte “Job Batch

de Ligação CLI de Amostra” na página 202 para obter uma cópia desse

arquivo.

2. Crie um arquivo de inicialização da CLI. O arquivo de inicialização fornece um

recurso para o servidor LDAP e a origem de dados para a CLI. Um exemplo

desse arquivo é encontrado com o servidor de amostra. Ele é referido no

arquivo de configuração do LDAP. Consulte “Arquivo de Inicialização de CLI

de Amostra” na página 203 para obter uma cópia desse arquivo.

3. Crie um novo banco de dados. Utilize os scripts SPUFI (Processador de SQL

Utilizando Entrada de Arquivo) para execução com o DB2 Interactive (DB2 I)

no OS/390, para executar comandos SQL. Para criar um novo banco de dados e

as áreas de tabela associadas, execute o arquivo SPUFI localizado em “Script de

Amostra da Área de Tabela e do Banco de Dados DB2 para SPUFI” na página

194. Para criar os índices para o novo banco de dados, execute o arquivo SPUFI

localizado em “Script de Amostra do Índice DB2 para SPUFI” na página 200.

Observe que para executar um script SPUFI, você deve chamar o DB2 I e

selecionar SPUFI no Menu Primary Option (Opção Principal).

Criando um Arquivo de Configuração LDAP para um TDBM de

Backend

Para criar um arquivo de configuração LDAP para um TDBM de backend, utilize o

arquivo de configuração de amostra em “Configuração LDAP de Amostra” na

página 193. A seguintes entradas são requeridas para um TDBM:

Servidores de Segurança z/OS e OS/390


database TDBM GLDBTDBM

Especifica o tipo de banco de dados e o nome da biblioteca. Esta entrada

marca o início da seção do TDBM para o arquivo de configuração.

databasename dbname

Especifica o nome do banco de dados DB2 utilizado para o backend. Ele é

especificado na opção CREATE DATABASE do SPUFI utilizado para criar

o banco de dados e as áreas de tabela. Consulte a etapa 3 na página 31.

dsnaoini dataset

Especifica o arquivo de inicialização do DB2. Consulte a etapa 2 na página

31 para obter detalhes sobre como criar esse arquivo. O valor dessa opção

possui o formato USERID.FILENAME.

dbuserid userid

Especifica o usuário do OS/390 que possui as tabelas DB2. O userid é igual

ao administrador que executou os scripts SPUFI (por etapa 2 na página 31).

servername string

Especifica o nome da localização do servidor DB2 que gerencia as tabelas

para o servidor LDAP. A cadeia é o valor especificado na sub-rotina DATA

SOURCE do arquivo de inicialização da CLI.

attrOverflowSize num_of_bytes

Especifica o tamanho em que as entradas de atributos são carregadas em

tabelas DB2 separadas. Escolha um valor de modo que os grandes dados

binários sejam armazenados na área de tabela separada.

suffix dn_suffix

Especifica a raiz de uma subárvore no namespace gerenciado por este

servidor dentro deste backend. Inclua o DN do sufixo da organização do

seu registro e o secAuthority=Default, que especifica o DN do registro de

segurança do Tivoli Access Manager.

As entradas adicionais a seguir são requeridas para o uso da autenticação nativa.

Para obter explicações detalhadas sobre essas entradas, consulte a publicação

OS/390 LDAP Server Administration and Usage.

UseNativeAuth [SELECTED | ALL | OFF]

A opção SELECTED especifica que as entradas do usuário com um valor

para o atributo ibm-nativeId são autenticadas contra o SAF. A escolha de

SELECTED fornece maior flexibilidade e minimiza responsabilidades

administrativas adicionais. A opção ALL especifica que a autenticação do

SAF é feita contra o nome do usuário encontrado no atributo UID de uma

entrada (se nenhum atributo ibm-nativeId estiver especificado).

NativeAuthSubTree dn_suffix

Especifica a raiz de uma subárvore ou árvores no namespace ao qual a

autenticação nativa se aplica.

nativeAuthUpdateAllowed YES

Permite que os usuários do Tivoli Access Manager atualizem suas senhas

do SAF através do utilitário pkmspasswd baseado na Web.

Iniciando o Servidor

Forneça a localização do arquivo de configuração criado em “Configurando o

Tivoli Access Manager para LDAP” na página 34. O servidor LDAP procura e

carrega diversas DLLs (dynamic link libraries) durante seu processo de

inicialização. As DLLs estão localizadas em um sistema de arquivos PDS. Quando



iniciar o slapd a partir da shell do z/OS, o PDS correto deverá ser referido na

variável de ambiente STEPLIB, conforme a seguir:

export STEPLIB=GLD.SGLDLNK

export PATH=$PATH:/usr/lpp/ldap/sbin

GLDSLAPD -f slapd.conf

Atualizando e Carregando Arquivos Esquema

Para atualizar e carregar arquivos esquema, primeiro copie os seguintes arquivos

esquema para o diretório de trabalho:

v schema.user.ldif

v schema.IBM.ldif

Os arquivos esquema contêm os objetos e atributos utilizados para organizar dados

para os serviços do Tivoli Access Manager, assim como a classe de objeto de

autenticação nativa SAF.

É necessário modificar cada arquivo esquema para que corresponda ao sufixo do

DN (nome distinto) da organização no arquivo de configuração LDAP. Há uma

linha única que descreve o DN do esquema a ser atualizado.

Por exemplo, edite cada arquivo esquema e altere:

dn: cn=schema, suffix

para o seguinte:

dn: cn=schema,o=tivoli,c=us

Para carregar essas entradas, utilize o comando ldapmodify da seguinte forma:

ldapmodify -h hostname -p port -D bind_DN -w bind_pwd -f schema_file

Nota: É necessário carregar schema.user.ldif seguido de schema.IBM.ldif. Não é

necessário recarregar o esquema para cada DN do sufixo configurado.

Aplicando ACLs a Novos Sufixos LDAP

Para cada sufixo que o Tivoli Access Manager acessa, é necessário aplicar um LDIF

ACL da forma indicada a seguir. Observe que há uma nova permissão restricted

para membros de cn=securitygroup.

O comando ldapmodify é o seguinte:

ldapmodify -h nome_do_host -p porta -D DN_admin -c -v -f nome_do_arquivo_ldif

<suffix>

aclpropagate=TRUE

aclentry=group:cn=ivacld-servers,cn=securitygroups,secauthority=default:normal:csr

aclentry=group:cn=remote-acl-users,cn=securitygroups,secauthority=default:normal:csr

aclentry=group:cn=securitygroup,secauthority=default:object:ad:normal:cwsr:sensitive:cwsr:critical: \

cwsr:restricted:cwsr

aclentry=access-id:<LDAP admin DN>:object:ad:normal:rwsc:sensitive:rwsc:critical:cwsr:restricted:cwsr

<suffix>

ownerpropagate=TRUE

entryOwner=group:cn=SecurityGroup,secAuthority=Default

entryOwner=access-id:LDAP admin DN>



Ativando a Replicação do LDAP

Esta seção descreve como ativar a replicação do LDAP. Os servidores LDAP

utilizam o comportamento do modelo master-slave para tarefas de replicação. O

servidor master encaminha as atualizações do diretório para o slave. O slave, ou

servidor réplica, pode compartilhar o carregamento de pedidos de leitura e agir

como um servidor de backup.

Por padrão, um servidor LDAP é configurado para ser executado como um

servidor master. Fornecer ao master um objeto que detalha a localização de um ou

mais servidores réplica ativa a replicação.

Incluindo uma Sub-rotina no Arquivo de Configuração do

Servidor Réplica LDAP

Para incluir uma sub-rotina no arquivo de configuração do servidor réplica LDAP,

consulte o exemplo de sub-rotina em “Configuração LDAP de Amostra” na página

193. As entradas obrigatórias para um servidor réplica LDAP são as seguintes:

masterServer ldapURL

Especifica a URL do LDAP no formato ldap://server_name:port. Esta

opção refere-se ao FQDN e à porta do servidor master.

masterServerDN DN

Especifica o DN para o qual você fornece o replicaBindDN em “Incluindo

um Objeto no Backend do Servidor LDAP Principal”.

masterServerPW string

Especifica a senha para a qual você fornece o replicaCredentials em

“Incluindo um Objeto no Backend do Servidor LDAP Principal”.

Incluindo um Objeto no Backend do Servidor LDAP Principal

A seguir é fornecido um exemplo de arquivo ldif representando esse tipo de

objeto:

dn: cn=replicas

objectclass: replicaObject

cn: replicas

replicaHost: hostname

replicaPort: port

replicaBindDn: any_unique_DN_to_bind_with

replicaCredentials: password_to_bind_with

description:"Description Here"

Este objeto pode ser carregado com um comando ldapmodify, conforme a seguir:


Configurando o Tivoli Access Manager para LDAP

Para utilizar a autenticação nativa, você deve desativar auth-using-compare. Para

isso, edite a sub-rotina [ldap] dos arquivos ivmgrd.conf e webseald.conf e altere a

linha da seguinte forma:

auth-using-compare = no

Por padrão, as autenticações para LDAP são feitas com uma operação de

comparação, em vez de uma ligação.

O Tivoli Access Manager suporta a falha inversa do LDAP e o equilíbrio de carga

para operações de leitura. As operações de leitura do Tivoli Access Manager

incluem pedidos de autenticação e consultas de dados GSO. Se você tiver



configurado um servidor réplica (consulte “Ativando a Replicação do LDAP” na

página 34), poderá fornecer o nome do host réplica para o Tivoli Access Manager

no arquivo ldap.conf.

Administração de Usuários da Autenticação Nativa

A maioria das tarefas administrativas permanece inalterada com a inclusão da

autenticação nativa. Operações, como por exemplo, criar usuário, mostrar usuário,

incluir um usuário em uma entrada ou grupo ACL e todos os comandos de

modificar usuário (exceto senha) funcionam da mesma forma que o Tivoli Access

Manager configurado para qualquer outro registro LDAP. Os usuários podem

alterar suas próprias senhas do SAF com o utilitário pkmspasswd baseado na Web.

A autenticação nativa fornece o recurso incluído de mapeamento um-a-um de

usuários do Tivoli Access Manager para IDs de usuário do SAF. Vários usuários

podem ter o mesmo ibm-nativeId, e todos ligados à mesma senha. Por essa razão,

pode ser prudente evitar que usuários mapeados de muitos-para-um alterem a

senha do SAF (caso contrário, aumenta o risco de os usuários não bloquearem

inadvertidamente seus pares de suas contas).

pdadmin> group modify SAFusers add user1

pdadmin> acl create deny_pkms

pdadmin> acl modify deny_pkms set group SAFusers T

pdadmin> acl attach /Webseal/server_name/pkmspasswd deny_pkms

A ligação da autenticação nativa do OS/390 LDAP não fornece a autoridade para

executar uma redefinição de senha. Por exemplo, com a autenticação nativa

ativada, o seguinte comando de administração do Tivoli Access Manager não

funciona:

pdadmin> user modify user1 password ChangeMe1

Além disso, não há comando de administração auxiliar para definir a entrada

ibm-nativeId para um usuário. Para esse fim, as seguintes instruções auxiliam no

gerenciamento de usuários do Tivoli Access Manager com um nativeId associado.

O comando de criação de usuário não muda:

pdadmin> user create user1 cn=user1,o=tivoli,c=us user1 user1 ChangeMe1

pdadmin> user modify user1 account-valid yes

A senha (ChangeMe1, neste exemplo) é definida para a entrada userpassword do

usuário no LDAP, que não tem efeito com a autenticação nativa ativada. Na

produção, elabore uma senha longa e difícil de ser adivinhada—no caso da

autenticação nativa já estar inadvertidamente desativada.

Para definir a entrada ibm-nativeId para um usuário, crie um arquivo ldif

semelhante ao seguinte:

cn=user1,o=tivoli,c=us

objectclass=inetOrgPerson

objectclass=ibm-nativeAuthentication

ibm-nativeId=SAF_username

Você pode carregar o arquivo ldif utilizando o comando ldapmodify, conforme a

seguir:


O comando SAF para redefinir a senha de um usuário é o seguinte:

subsystem_prefix ALTUSER userid PASSWORD password



Configurando o Active Directory

Para configurar o Active Directory para o Tivoli Access Manager, é necessário

executar as seguintes tarefas, nesta ordem:

1. Crie um domínio do Active Directory.

2. Junte um domínio do Active Directory

3. Crie um usuário administrativo do Active Directory

Depois de configurar um domínio do Active Directory para uso com o Tivoli

Access Manager, a próxima etapa é configurar os sistemas Tivoli Access Manager

no domínio seguro. Para obter instruções, consulte Capítulo 7, “Instalando o Tivoli

Access Manager no Windows”, na página 81. Lembre-se que o Active Directory

não exige a instalação do IBM Directory Client. Além disso, é necessário instalar os

componentes do Tivoli Access Manager na ordem especificada na etapa 4 na

página 9 do processo de instalação nativa.

Considerações do Active Directory

É importante rever as seguintes informações antes de configurar o Active Directory

para o Tivoli Access Manager:

v O Tivoli Access Manager pode ser configurado em um ambiente de domínio

único ou de vários domínios do Active Directory. Para obter informações sobre

ambientes de domínio único ou de vários domínios, consulte a documentação do

produto Active Directory no seguinte endereço da Web:

http://www.microsoft.com/windows2000/en/server/help/

v Em um ambiente de domínio único, o sistema sem controlador de domínio

precisa juntar-se ao mesmo domínio no qual o Tivoli Access Manager está

configurado. Em um ambiente de vários domínios, o sistema sem controlador de

domínio precisa juntar-se ao domínio do Active Directory.

v Você não pode utilizar os arquivos batch da instalação fácil para instalar o Tivoli

Access Manager.

v Oferece suporte apenas ao grupo global de segurança.

v Para importar um usuário do Active Directory como um usuário do Tivoli

Access Manager, utilize o nome de login do usuário do Active Directory como o

ID do usuário do Tivoli Access Manager.

v Se você tiver instalado e configurado o Tivoli Access Manager em um cliente do

Active Directory (por exemplo, o Tivoli Access Manager e o Active Directory

estão em sistemas diferentes), o sistema cliente precisará unir-se ao domínio e

você deverá conectar-se ao domínio como Administrador para executar a

configuração do Tivoli Access Manager no sistema cliente.

v O DNS na definição TCP/IP de rede no sistema cliente deve ser igual à

definição TCP/IP de rede do controlador de domínio. Você pode utilizar o

controlador de domínio raiz como o servidor DNS ou pode utilizar um DNS

separado.

v Se você tiver configurado o Tivoli Access Manager no domínio único e ele for

um domínio sem raiz, será necessário executar adschema_update.exe

manualmente no controlador de domínio raiz.

Criando um Domínio do Active Directory

Utilize o assistente para configuração do Active Directory para promover o sistema

do servidor Windows 2000 para um controlador de domínio. Criar um controlador

de domínio também cria um domínio do Active Directory.

Active Directory


Antes de iniciar, você deve decidir se deseja criar um controlador de domínio para

um novo domínio ou criar um controlador de domínio adicional para um domínio

existente. Se você pretende criar um controlador de domínio para um novo

domínio, também deverá responder se este novo domínio será um dos seguintes:

v O primeiro domínio em um novo forest

v O primeiro domínio em uma nova árvore de domínios de um forest existente

v Um domínio filho em uma árvore de domínios existente

Nota: Se o novo nome de domínio não existir nas Zonas de Pesquisa Direta no

DNS, ele deverá ser criado como uma nova zona antes da configuração de

um novo controlador de domínio. Para obter informações adicionais sobre

controladores de domínio, árvores de domínio e forests, consulte a

documentação do servidor Windows 2000.

Para criar um domínio ou incluir um controlador de domínio adicional em um

domínio existente, siga estas etapas:

v “Juntando um Domínio do Active Directory”

v “Criando um Usuário Administrativo do Active Directory” na página 40

Juntando um Domínio do Active Directory

Depois de criar um domínio do Active Directory, execute estas etapas para juntar

um sistema Windows 2000 Advanced Server a um domínio do Active Directory.

Nota: Assegure-se de ter efetuado logon como administrador no sistema local e de

ter um nome do usuário e senha válidos. Assegure-se também de que os

sistemas cliente e servidor estejam no mesmo DNS antes de incluir um

sistema no domínio.

1. Clique com o botão direito do mouse em My Computer (Meu Computador) e,

em seguida, clique em Properties (Propriedades) no diálogo popup. O bloco de

notas Propriedades do Sistema é exibido.

Active Directory


2. Clique na guia Network Identification (Identificação da rede).

3. Clique em Properties (Propriedades). Em Member of (Membro de), selecione

Domain (Domínio) e digite o nome do domínio que você deseja juntar. Clique

em OK para continuar.

4. Na janela Domain Username And Password (Nome de Usuário e Senha do

Domínio) digite um nome de usuário e uma senha válidos e clique em OK

Active Directory


para juntar o sistema ao domínio.

5. Se a operação de junção for bem sucedida, será exibida uma janela de welcome

(bem-vindo), como mostrado. Clique em OK para continuar.

6. Será exibido um diálogo, indicando que é necessário reinicializar o sistema.

Clique em OK para continuar.

7. O bloco de notas System Properties (Propriedades de sistema) será exibido,

indicando que a operação de junção foi concluída. Clique em OK para iniciar

novamente o sistema.

Active Directory


Nota: Quando o sistema tiver sido iniciado novamente, assegure-se de estar se

conectando ao domínio AD ao qual você acabou de ligar. Normalmente,

o domínio local é o padrão em uma janela de Login do Windows 2000.

Criando um Usuário Administrativo do Active Directory

Para criar um usuário administrativo do Active Directory para inicialização do

Tivoli Access Manager, siga estas etapas:

1. No sistema do servidor Active Directory, selecione Iniciar → Programas →

Ferramentas Administrativas→ Active Directory Usuários e Computadores.

2. Crie um novo usuário e o inclua nos grupos de Administradores, Admins do

Domínio, Administração Corporativa e Administradores de Esquemas. Esse é

um usuário apenas do Active Directory, não um usuário do Tivoli Access

Manager. Você pode selecionar qualquer nome como o nome de login do

usuário, exceto sec_master, que é reservado para o administrador do Tivoli

Access Manager.

Replicação do Active Directory

Quando um controlador de domínio grava uma alteração em sua cópia local do

Active Directory, é iniciado um temporizador que determina quando os parceiros

de replicação do controlador de domínio devem ser notificados da alteração. Por

padrão, esse intervalo é 300 segundos (5 minutos). Quando este intervalo decorre,

o controlador de domínio inicia uma notificação para cada parceiro da replicação

de site na intranet que possui alterações que precisam ser propagadas. Um outro

parâmetro configurável determina o número de segundos para fazer uma pausa

entre as notificações. Esse parâmetro impede respostas simultâneas pelos parceiros

de replicação. Por padrão, esse intervalo é 30 segundos. Ambos os intervalos

podem ser modificados editando o registro.

Para modificar o atraso entre a alteração para o Active Directory e a primeira

notificação do parceiro de réplica, utilize o Editor de Registro para modificar os

dados do valor para o valor DWORD Pausa de notificação do replicador após

modificação (segs) na seguinte chave de registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

Atenção: Cuidado ao modificar dados utilizando o Editor de Registro. O uso

incorreto pode provocar problemas graves, que podem exigir a reinstalação do

sistema operacional.

Os dados do valor padrão para o valor DWORD Pausa de notificação do

replicador após modificação (segs) é 0x12c, que em formato hexadecimal é o

decimal 300 (5 minutos).

Para modificar o atraso de notificação entre os controladores de domínio, utilize o

Editor de Registro para modificar os dados do valor DWORD Pausa de notificação

do replicador entre DSAs (segs) na seguinte chave de registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

Os dados do valor padrão para o valor DWORD Pausa de notificação do

replicador entre DSAs (segs) são 0x1e, que em formato hexadecimal é o decimal

30 (30 segundos).

Nota: Você deve parar o servidor de políticas antes de editar o registro e, em

seguida, iniciar novamente o sistema.

Active Directory


Durante a configuração de vários domínios do Active Directory, um atraso de

propagação de dados ocorre com um valor padrão de 5 minutos. Um usuário ou

grupo recentemente criado nos domínios sem raiz pode não ficar visível quando os

comandos user list ou group list forem emitidos. De modo semelhante, um

usuário ou grupo, recentemente criado no controlador de domínio raiz principal,

pode não ficar imediatamente visível no domínio raiz secundário. Ajustando os

valores de Pausa de notificação do replicador após modificação e Pausa de

notificação do replicador entre DSAs no registro do sistema Windows 2000, você

pode alterar o comportamento de modo que se ajuste às necessidades do ambiente.

Configurando o Lotus Domino

Para configurar um servidor Domino™ como registro do Tivoli Access Manager, é

necessário instalar um cliente Lotus Notes® no servidor Domino. O servidor

Domino também deve ter a interface LDAP (Lightweight Directory Access

Protocol) ativada. Isso é necessário para que o Tivoli Access Manager possa

autenticar usuários utilizando sua senha de Internet. Para obter os requisitos do

sistema, consulte o IBM Tivoli Access Manager Base Administrator’s Guide.

Há suporte ao Tivoli Access Manager utilizando um registro do Domino somente

nas plataformas Windows. Isso porque o Tivoli Access Manager exige o cliente

Notes, disponível somente nas plataformas Windows suportadas. Como a

comunicação LDAP é obrigatória, cada sistema Tivoli Access Manager também

exige que o IBM Directory Client esteja instalado no sistema.

O IBM Directory Client é utilizado para executar autenticação remota no servidor

LDAP Domino, para verificar as informações sobre nome do usuário e senha. O

cliente Notes é utilizado para acesso direto ao domínio (utilizando uma conta

privilegiada predefinida) de todas as outras tarefas, como exibir e atualizar as

informações do usuário.

Instalando um Cliente Lotus Notes no Servidor Domino

Para instalar um cliente Notes no servidor Domino, siga estas etapas:

1. Execute o arquivo de configuração do cliente Notes no CD do Notes/Domino

para Windows.

2. Na janela Opções de Instalação do Notes, selecione Typical (Típica) para

instalar apenas o cliente Notes. Para obter informações detalhadas sobre a

instalação do cliente Notes, consulte o Lotus Notes Installation Guide.

3. Quando a instalação for concluída, lance o cliente Notes para executar a

configuração.

4. Selecione Connect to a Domino Server (Conectar-se a um Servidor Domino).

5. Selecione Network connection (via LAN) (Conexão da rede (pela LAN)).

6. Digite o nome completo do servidor Domino. Por exemplo, digite o seguinte:

domino1/Tivoli

7. Selecione o botão de opções Use my name as identification option (Utilizar

meu nome como opção de identificação) e digite o ID de usuário

administrativo do Tivoli Access Manager (por exemplo, AMDaemons). Se

você fornecer o arquivo de IDs, selecione a caixa de entrada User ID was

supplied to you in a file (O ID de Usuário foi fornecido em um arquivo) e

coloque o arquivo de IDs no diretório c:\lotus\notes\data.

Active Directory


8. Clique em OK para continuar. Se forem solicitadas informações de

configuração adicionais, você poderá simplesmente aceitar todos os valores

padrão. Clique em Finish (Concluir) para continuar as etapas de configuração

do cliente Notes.

9. Se apropriado, selecione o botão de opções Do not connect to an internet

proxy server radio (Não conectar a um servidor proxy de internet).

Uma janela de prompt de senha aparecerá quando o cliente Notes puder

acessar o servidor Domino remoto.

10. Digite a senha do usuário administrativo do Tivoli Access Manager. Se a

senha estiver correta, o cliente Notes continuará concluindo a configuração

restante.

Quando a configuração for concluída, o arquivo de IDs do Notes para o

usuário administrativo será instalado no diretório de instalação do Notes no

sistema local.

Criando um Usuário Administrativo do Tivoli Access Manager

para Domino

1. A partir da GUI da área de trabalho do Domino Administrator, selecione o

menu Pessoas no lado direito.

2. No menu de opções, selecione Register (Registrar).

3. Selecione o ID do Certificador do servidor Domino (a localização padrão é

C:\Lotus\Domino\data).

4. Digite a senha do Certificador (especificada durante a configuração do

servidor).

5. Selecione a caixa de opção Advanced (Avançado) e digite as informações e

senha do usuário administrativo do Tivoli Access Manager. Por exemplo:

v Nome: PD

v Sobrenome: Daemons

v Senha: password

6. Clique em ID Info (Informações de ID) para certificar-se de que o arquivo de

IDs do Notes esteja armazenado no diretório do Domino.

7. Clique no botão Add person (Incluir pessoa) para incluir o usuário

administrativo do Tivoli Access Manager na fila Registro. O documento da

pessoa aparece na fila.

8. Destaque o documento da pessoa na fila e clique em Register (Registrar) para

incluir o usuário no servidor Domino.

9. No menu Exibir, clique em Refresh (Atualizar) e verifique se o documento

pessoal do usuário do Tivoli Access Manager foi criado no servidor Domino.

Domino


Capítulo 3. Instalando o Tivoli Access Manager no AIX

Este capítulo fornece informações sobre a instalação e configuração dos

componentes do Tivoli Access Manager em sistemas AIX. São fornecidas instruções

para os métodos de instalação fácil e nativa. Estão incluídas as seguintes seções

principais:

v “Utilizando a Instalação Fácil”

v “Utilizando a Instalação Nativa” na página 45

v “Desinstalando o Tivoli Access Manager” na página 51

Utilizando a Instalação Fácil

Antes de começar

v Instale todas as correções do sistema operacional e releia os requisitos do

sistema relacionados no IBM Tivoli Access Manager para e-business: Notas

sobre o Release.

v Assegure-se de ter configurado os sistemas Tivoli Access Manager na

ordem indicada na seção “Processo de Instalação” na página 6.

v Familiarize-se com as decisões sobre configuração que devem ser feitas

durante a instalação fácil. Para obter descrições de opções de configuração

na instalação fácil e instruções passo a passo com ilustrações, consulte o

Capítulo 9, “Casos de Instalação Fácil do UNIX”, na página 103.

Utilize scripts de instalação fácil para criar um domínio seguro ou para incluir

sistemas ou componentes em um já existente. A instalação fácil facilita a instalação

do Tivoli Access Manager, instalando automaticamente os pré-requisitos de

software ao mesmo tempo. Por exemplo, se você executa ezinstall_ldap_server

para instalar e configurar o IBM Directory Server como registro do Tivoli Access

Manager, esse script instala o IBM Directory Server e todos os produtos e correções

de pré-requisito. A instalação fácil também detecta quando os produtos necessários

estão instalados e não tenta reinstalá-los. Por exemplo, se você executar

ezinstall_pdmgr para configurar o servidor de política no mesmo sistema no qual

ezinstall_ldap_server foi executado, ele não reinstala o GSKit e o IBM Directory

Client.

Um script de instalação fácil começa solicitando informações sobre configuração.

Depois que você fornece essas informações, os componentes são instalados e

configurados sem outras intervenções. E se alguma vez for necessário instalar esses

componentes novamente, você poderá utilizar o arquivo de resposta associado que

é gerado durante a execução de um script de instalação fácil. O arquivo de

resposta armazena automaticamente as informações sobre configuração digitadas,

para que não seja necessário fornecê-las novamente. Para obter mais informações,

consulte a seção Capítulo 11, “Utilizando Arquivos de Resposta de Instalação

Fácil”, na página 153.

A Tabela 3 na página 44 relaciona scripts de instalação fácil para a plataforma AIX.

Todos os programas estão localizados no diretório raiz no CD do IBM Tivoli Access

Manager Base para AIX, com exceção do ezinstall_wpm, que está localizado no

diretório raiz no CD do Web Portal Manager do IBM Tivoli Access Manager para AIX.


Tabela 3. Scripts de Instalação Fácil para AIX

Nome do arquivo Descrição

ezinstall_ldap_server Configura um sistema do IBM Directory Server com os

seguintes pacotes de software:

v IBM DB2


v IBM HTTP Server

v IBM Directory Client

v IBM Directory Server

Nota: Se já existir uma versão do IBM Directory, remova-a

antes de executar este script.

ezinstall_pdacld Configura o sistema do servidor de autorização com os






ezinstall_pdauthadk Configura um sistema de desenvolvimento do Tivoli Access

Manager com os seguintes pacotes de software:





ezinstall_pdmgr Configura o sistema servidor de política do Tivoli Access





v Servidor de política do Tivoli Access Manager

ezinstall_pdwpm Configura um sistema Web Portal Manager com os





v IBM WebSphere Application Server, Advanced Single

Server 4.0 e FixPack 3



install_pdrte Configura um sistema de tempo de execução do Tivoli

Access Manager com os seguintes pacotes de software:




AIX


Utilizando a Instalação Nativa

Antes de começar

v Instale todas as correções do sistema operacional e revise os requisitos do

sistema relacionados em IBM Tivoli Access Manager Base Administrator’s

Guide.

v Assegure-se de seguir as instruções e de configurar os sistemas Tivoli

Access Manager na ordem indicada na seção “Processo de Instalação” na

página 6.


durante a instalação nativa. Para obter descrições de opções de

configuração nativa, consulte a seção “Opções de Configuração Nativa

UNIX” na página 185.

Esta seção inclui informações sobre a instalação e configuração do Tivoli Access

Manager usando utilitários nativos do sistema operacional. Diferentemente dos

scripts automatizados utilizados na instalação fácil, você deve instalar

manualmente cada componente e software de pré-requisito na ordem apropriada.

Esta seção inclui os seguintes tópicos principais:

v “Instalando o IBM Global Security Toolkit”

v “Instalando o IBM Directory Client” na página 46

v “Instalando e Configurando Componentes do Tivoli Access Manager” na página

46

v “Instalando o JRE Específico da Plataforma” na página 47

v “Instalando e Configurando o Java Runtime Environment do Tivoli Access

Manager” na página 47

v “Instalando e Configurando um Sistema Web Portal Manager” na página 48

Instalando o IBM Global Security Toolkit

Para instalar o GSKit em um sistema AIX, siga estas etapas:

1. Efetue login no sistema como root (raiz).

2. Insira o CD do IBM Tivoli Access Manager Base para AIX.

3. No prompt de comandos, digite o seguinte:

installp -c -a -g -X -d /dev/cd0 gskkm.rte

4. Para que o utilitário iKeyman seja executado corretamente, você deve definir a

seguinte variável do AIX:

export JAVA_HOME=path

em que path é o caminho no qual o Java Runtime Environment do Tivoli Access

Manager está instalado.

Depois de instalar o GSKit, nenhuma configuração é necessária.

Observe que o utilitário de gerenciamento de chaves iKeyman (gsk5ikm) é

instalado com o pacote GSKit. Isso permite a criação de arquivos de chaves SSL,

pares de chaves pública-privada e solicitações de certificados. Para obter mais

informações, consulte o Apêndice A, “Ativando a Secure Sockets Layer”, na página

161 e o Secure Sockets Layer Introduction and iKeyman User’s Guide.

AIX

Capítulo 3. Instalando o Tivoli Access Manager no AIX 45

Instalando o IBM Directory Client

Para instalar o IBM Directory Client em um sistema AIX, execute estas etapas:




installp -c -a -g -X -d /dev/cd0 ldap.client

ldap.max_crypto_client

Depois de instalar o IBM Directory Client, nenhuma configuração será necessária.

Instalando e Configurando Componentes do Tivoli Access

Manager

Antes de começar


sistema relacionados em IBM Tivoli Access Manager Base Administrator’s

Guide.



página 6.





Para instalar os componentes do Tivoli Access Manager, siga estas etapas:


2. Para instalar componentes do Tivoli Access Manager, execute uma das

seguintes ações:

v Insira o CD do IBM Tivoli Access Manager Base para AIX.

v Somente para o componente Web Portal Manager, insira o CD do Web Portal

Manager do IBM Tivoli Access Manager para AIX.3. No prompt de comandos, digite o seguinte:

installp -c -a -g -X -d /dev/cd0 package

em que /dev/cd0 é o diretório e package é um ou mais dos seguintes

componentes:

PD.RTE Indica o tempo de execução do Tivoli Access Manager.

PD.Mgr Indica o servidor de política Tivoli Access Manager.

PD.AuthADK Indica o Application Development Kit do Tivoli Access

Manager.

PD.Acld Indica o Tivoli Access Manager Authorization Server.

PD.WPM Indica o Web Portal Manager do Tivoli Access Manager.

Assegure-se de seguir as instruções da seção “Instalando e

Configurando um Sistema Web Portal Manager” na página 48.

Este componente é apenas uma parte do procedimento de

instalação do Web Portal Manager.

PDJ.rte Indica o Java Runtime Environment do Tivoli Access Manager.

AIX



Configurando o Java Runtime Environment do Tivoli Access

Manager”. Este componente é apenas uma parte do

procedimento de instalação do Java Runtime Environment.4. Para iniciar o utilitário de configuração, digite o seguinte comando:

pdconfig

O Tivoli Access Manager Setup Menu (Menu de Configuração do Tivoli

Access Manager) será exibido.

5. Digite o número do menu para Configure Package (Configurar Pacote). O

Tivoli Access Manager Configuration Menu (Menu de Configuração do

Tivoli Access Manager) será exibido. A lista de pacotes do Tivoli Access

Manager instalados é exibida.

6. Selecione o componente que você deseja configurar, um por vez.

Dependendo do componente selecionado, será solicitado que você forneça

opções de configuração. Para obter assistência para essas opções de

configuração, consulte “Opções de Configuração Nativa UNIX” na página 185.

7. Quando aparecer uma mensagem indicando que um pacote foi configurado

com êxito, pressione Enter para configurar outro componente ou selecione duas

vezes a opção x para fechar o utilitário de configuração.

Instalando o JRE Específico da Plataforma

Um JRE específico da plataforma é necessário para a instalação do componente

Java Runtime do Tivoli Access Manager e de pacotes de suporte ao idioma. Para

instalar o pacote JRE de pré-requisito para AIX, digite o seguinte comando:

installp -c -a -g -X -d /dev/cd0 Java131.rte

Para definir o caminho da variável de ambiente, digite o seguinte:

export PATH=jre_path:$PATH

Para verificar se há suporte ao nível de JRE no sistema, consulte o IBM Tivoli

Access Manager Base Administrator’s Guide.

Instalando e Configurando o Java Runtime Environment do

Tivoli Access Manager

Para instalar e configurar o Java Runtime Environment do Tivoli Access Manager,




3. Instale um JRE específico da plataforma, para o qual exista suporte. Para obter

instruções, consulte “Instalando o JRE Específico da Plataforma”.

4. Para instalar o Java Runtime Environment do Tivoli Access Manager, digite o

seguinte:

installp -c -a -g -X -d /dev/cd0 PDJ.rte

5. Para configurar o Java Runtime Environment do Tivoli Access Manager para

uso dentro do JRE atual, vá para o diretório install_dir/sbin e digite o

seguinte comando:

pdjrtecfg -action config

Nota: Para obter informações adicionais sobre o comando pdjrtecfg, consulte

IBM Tivoli Access Manager Command Reference.

AIX


Instalando e Configurando um Sistema Web Portal Manager

Execute estas etapas para instalar e configurar um sistema Web Portal Manager:

1. Instale o GSKit. Consulte a seção “Instalando o IBM Global Security Toolkit”

na página 45.

2. Instale o IBM Directory Client. Consulte a seção “Instalando o IBM Directory

Client” na página 46.

3. Instale o IBM WebSphere Application Server, Advanced Single Server 4.0.

Consulte a seção “Instalando o IBM WebSphere Application Server, Advanced

Single Server” na página 49.

4. Instale o IBM WebSphere Application Server FixPack 3. Consulte a seção

“Instalando o IBM WebSphere Application Server FixPack 3” na página 50.

5. Instale o componente de tempo de execução Java do Tivoli Access Manager.

Para isto, digite o seguinte:

installp -c -a -g -X -d /dev/cd0 PDJ.rte

Nota: A configuração do componente de tempo de execução Java do Tivoli

Access Manager não é obrigatória. Além disso, não é obrigatório

instalar um JRE específico da plataforma. O WebSphere instala um JRE

específico da plataforma e configura o Java Runtime Environment do

Tivoli Access Manager para uso dentro do JRE atual.

6. Instale o configure os componentes de tempo de execução e o Web Portal

Manager do Tivoli Access Manager. Consulte a seção “Instalando e

Configurando Componentes do Tivoli Access Manager” na página 46.

Nota: Os componentes de tempo de execução e Web Portal Manager do Tivoli

Access Manager devem ser instalados no mesmo sistema que o IBM

WebSphere Application Server. Além disso, se você instalar o IBM

WebSphere Application Server depois de instalar o tempo de execução

do Tivoli Access Manager, assegure-se de que a versão do GSKit à qual

o Tivoli Access Manager oferece suporte esteja instalada.

7. Antes de iniciar a interface do Web Portal Manager, assegure-se de que o

WebSphere Application Server esteja sendo executado. Para isso, execute o

script startServer.sh, localizado no diretório /usr/WebSphere/AppServer/bin.

Nota: O processo de configuração configura automaticamente o IBM

WebSphere Application Server para comunicação SSL na porta 443.

8. O suporte a SSL é ativado automaticamente entre o navegador e o IBM HTTP

Server, por meio de um arquivo de chaves SSL padrão e um arquivo stash.

Esses arquivos são fornecidos somente para avaliação. Você deve adquirir seu

próprio certificado e substituir os seguintes arquivos do sistema:

/var/PolicyDirector/keytab/pdwpm.kdb

Especifica o arquivo de banco de dados de chaves. O caminho do

arquivo é especificado no arquivo httpd.conf.

/var/PolicyDirector/keytab/pdwpm.sth

Especifica o arquivo no qual a senha do banco de dados de chaves

está armazenada. 9. Se você tiver instalado um servidor LDAP que não utiliza o IBM HTTP Server

e estiver instalando o Web Portal Manager no mesmo sistema, assegure-se de

que as portas do servidor da Web sejam diferentes. Para alterar a porta padrão

do IBM HTTP Server, edite o arquivo /usr/HTTPServer/conf/httpd.conf e

altere a porta padrão 80 para 8080 como mostrado:

AIX


# Port: A porta de atendimento independente.

Port 8080

10. Para acessar a interface do Web Portal Manager, digite o seguinte endereço no

navegador da Web:

https://hostname/pdadmin

em que hostname é o nome do host que está executando o IBM HTTP Server.

Nota: Para comunicações seguras com o IBM HTTP Server, utilize https em

vez de http.

Será exibido um diálogo de conexão segura, juntamente com a tela de boas

vindas do Web Portal Manager.

Instalando o IBM WebSphere Application Server, Advanced

Single Server

Para instalar o IBM WebSphere Application Server, Advanced Single Server 4.0,



2. Insira o CD do Web Portal Manager do IBM Tivoli Access Manager para AIX.

3. Vá para o diretório usr/sys/inst.images/WebSphere na unidade em que o CD

está localizado.


v Para instalar o IBM WebSphere Application Server utilizando a GUI, digite o

seguinte:

./install.sh

v Para utilizar um arquivo de resposta, execute o script install.sh conforme a

seguir, e depois vá para “Instalando o IBM WebSphere Application Server

FixPack 3” na página 50.

./install.sh -silent -responseFile ./install.script \

-prereqfile ./prereq.properties

A janela WebSphere Application Server, Advanced Single Server Edition será

exibida. Clique em Next (Avançar) para continuar.

Nota: Visualize a tela durante o processo de instalação, para ficar atento às

instruções solicitadas e à ocorrência de erros.

5. Selecione Typical Installation (Instalação Típica) (a opção padrão) e clique em

Next (Avançar).

6. Os caminhos padrão são exibidos para o diretório de destino do WebSphere

Application Server e o IBM HTTP Server. Se o sistema já tiver uma versão

suportada do IBM HTTP Server instalada, essa opção não será exibida. Anote

esses caminhos e selecione Next (Avançar) para aceitar os padrões.

Nota: Os caminhos a seguir serão solicitados durante a instalação do

WebSphere Application Server FixPack 3. Os caminhos padrão são os

seguintes:

v WebSphere Application Server: /usr/WebSphere/AppServer.

v IBM HTTP Server: /usr/HTTPServer

É exibido um diálogo indicando as seleções de instalação. Selecione Instalar

para começar o processo de instalação.

AIX


7. O IBM WebSphere Application Server instala o IBM HTTP Server. É necessário

instalar a correção a seguir, localizada no diretório raiz no CD do Web Portal

Manager do IBM Tivoli Access Manager para AIX. Para isto, digite o seguinte:

http_1319_efix2.sh

8. Para instalar o FixPack, consulte “Instalando o IBM WebSphere Application

Server FixPack 3”.

Instalando o IBM WebSphere Application Server FixPack 3

Para instalar o IBM WebSphere Application Server FixPack 3, execute estas etapas:

1. Pare o WebSphere Application Server, o HTTP Server e o servidor LDAP (se

instalado no mesmo sistema).

2. Insira o CD do Web Portal Manager do IBM Tivoli Access Manager para AIX.

3. Vá para o diretório /usr/sys/inst.images/WebSphere_PTF3 na unidade na qual

o CD está localizado e execute o seguinte script:

install.sh

4. Digite o diretório inicial do IBM WebSphere Application Server e pressione

Enter. Por exemplo, digite o seguinte:

/usr/WebSphere/AppServer

5. Selecione Yes (Sim) para utilizar o Application Server.

6. Selecione Yes (Sim) para efetuar a atualização do JDK.

7. Se estiver utilizando o Diretório iPlanet como registro, selecione Yes (Sim)

para utilizar a configuração do servidor da web iPlanet para suporte pelo

WebSphere. Caso contrário, selecione No (Não).

8. Selecione Yes (Sim) para atualizar o IBM HTTP Server.

9. Se estiver utilizando o IBM HTTP Server, digite seu diretório inicial e

pressione Enter. Por exemplo, digite o seguinte:

/usr/HTTPServer

10. Selecione Yes (Sim) para utilizar o diretório de Logs do Application Server.

11. Selecione Yes (Sim) para colocar backups no diretório inicial do WebSphere

Application Server.

O upgrade é iniciado. Um prompt exibe a mensagem Efetuando upgrade do

IBM JDK. Esse upgrade instala o IBM Developer Kit para AIX® no diretório

WebSphere. Não haverá conflito se você já tiver o toolkit instalado em outra

parte do sistema.

Quando o upgrade estiver concluído, um aviso exibirá a mensagem

Instalação concluída sem erros. Consulte o log de atividades para obter

detalhes. Pressione qualquer tecla para continuar.

12. Pressione qualquer tecla para continuar.

O WebSphere Application Server, Advanced Single Server 4.0 e FixPack 3

estão agora instalados.

13. Inicie novamente o sistema para que alterações sejam efetivadas.

AIX


Desinstalando o Tivoli Access Manager

Antes de começar

v Pare todos os serviços e aplicativos do Tivoli Access Manager antes de

desinstalar os componentes.

v Desconfigure os aplicativos do Tivoli Access Manager, como o WebSEAL,

antes de desconfigurar o servidor de política e os componentes de tempo

de execução do Tivoli Access Manager.

v Desconfigure e remova o sistema do servidor de políticas por último.

A remoção da instalação do Tivoli Access Manager é um processo em duas partes.

Você deve desconfigurar os componentes e, em seguida, removê-los, a menos que

seja instruído de outra maneira, tal como durante o processo de upgrade.


v “Desconfigurando os Componentes do Tivoli Access Manager”

v “Removendo Pacotes do Tivoli Access Manager”

Desconfigurando os Componentes do Tivoli Access Manager

Antes de remover pacotes do Tivoli Access Manager, assegure-se de que o

componente esteja desconfigurado. Para fazer isso, siga estas etapas:


2. Para iniciar o utilitário de configuração, digite o seguinte:

pdconfig

O Access Manager for e-business Setup Menu (Menu de Configuração do

Access Manager para e-business) será exibido.

3. Para desconfigurar um componente, digite o número do item de menu para o

componente do Tivoli Access Manager. Repita esse procedimento para cada

pacote que você deseja desconfigurar.

Notas

v Se um componente não estiver configurado, você pode simplesmente

removê-lo. Vá para “Removendo Pacotes do Tivoli Access Manager”.

v Se você estiver desconfigurando um servidor, serão solicitados o nome

distinto e a senha do usuário administrativo LDAP.

v Desconfigurar o servidor de políticas remove todas as informações de

configuração e autorização do domínio seguro. Isso inclui as informações

utilizadas pelos aplicativos do Tivoli Access Manager, tal como o WebSEAL.

Para continuar, digite y.4. Para desconfigurar o Java Runtime Environment do Tivoli Access Manager,

utilize o comando pdjrtecfg. Por exemplo, digite o seguinte para desconfigurar

o JRE especificado pela variável jre_path:

pdjrtecfg -action unconfig -java_home jre_path

Nota: Assegure-se de utilizar o comando pdjrtecfg para cada JRE configurado.

Para obter informações adicionais, consulte o IBM Tivoli Access Manager

Command Reference.

Removendo Pacotes do Tivoli Access Manager

Para remover componentes de um sistema AIX, siga estas etapas:

AIX


1. Certifique-se de que os componentes estejam desconfigurados. Sigas as

instruções em “Desconfigurando os Componentes do Tivoli Access Manager”

na página 51.

2. Para remover um ou mais pacotes e qualquer software dependente, digite o

seguinte:

installp -u -g package

em que package é um dos seguintes:

Nota: Utilize a opção –g apenas se desejar remover o software dependente do

pacote especificado.

PD.AuthADK Indica o Application Development Kit do Tivoli Access

Manager.

PD.Mgr Indica o servidor de política Tivoli Access Manager.

PD.Acld Indica o Tivoli Access Manager Authorization Server.

PD.RTE Indica o tempo de execução do Tivoli Access Manager.

PDJ.rte Indica o Java Runtime Environment do Tivoli Access Manager.

PD.WPM Indica o Web Portal Manager do Tivoli Access Manager.

ldap.client Indica o IBM Directory Client.

ldap.max_crypto_client

Indica o nível mais alto de criptografia para o IBM Directory

Client.

gskkm.rte Indica o GSKit.

AIX


Capítulo 4. Instalando o Tivoli Access Manager no HP-UX


componentes do Tivoli Access Manager em sistemas HP-UX. São fornecidas

instruções para os métodos de instalação fácil e nativa. Estão incluídas as seguintes

seções principais:



v “Desinstalandoo Tivoli Access Manager” na página 58


Antes de começar


sistema listados no IBM Tivoli Access Manager - Notas sobre o Release.










software ao mesmo tempo. Por exemplo, se você executar ezinstall_pdmgr para

configurar o sistema de servidor de política do Tivoli Access Manager, o processo

instala o componente do servidor de política e todos os pré-requisitos de software

e correções. A instalação fácil também detecta quando os produtos necessários


ezinstall_pdacld em um sistema já configurado utilizando install_pdrte, ele não

reinstala GSKit, o IBM Directory Client ou o tempo de execução do Tivoli Access

Manager.










A Tabela 4 na página 54 lista scripts de instalação fácil para a plataforma HP-UX.

Esses scripts estão localizados no diretório raiz no CD do IBM Tivoli Access

Manager Base para HP-UX.


Tabela 4. Scripts de Instalação Fácil para HP-UX

Nome do Script Descrição







ezinstall_pdauthadk Configura o sistema de desenvolvimento do Tivoli Access


















Antes de começar



v Assegure-se de seguir as instruções e configurar os sistemas Tivoli Access

Manager na ordem indicada na seção “Processo de Instalação” na página 6.





Esta seção inclui informações sobre como instalar e configurar os componentes do

Tivoli Access Manager usando os utilitários do sistema operacional nativo.

Diferentemente dos scripts automatizados utilizados na instalação fácil, você deve

instalar manualmente cada componente e quaisquer correções necessárias na

ordem apropriada.


v “Instalando o IBM Global Security Toolkit” na página 55


HP-UX



56





Para instalar o GSKit em um sistema HP-UX, siga estas etapas:


2. Insira o CD do IBM Tivoli Access Manager Base para HP-UX.

3. Inicie o pfs_mountd e, em seguida, o pfsd no segundo plano, caso não estejam

em execução. Monte o CD com o comando pfs_mount. Por exemplo, digite o

seguinte:

/usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom

em que /dev/dsk/c0t0d0 é o dispositivo de CD e /cd-rom é o ponto de

montagem.


swinstall -s /cd-rom/hp gsk5bas

em que /cd-rom/hp é o diretório.

5. Verifique se SHLIB_PATH está definido como /usr/lib ou /opt/ibm/gsk5/lib. Se

não estiver definido, digite o seguinte:

export SHLIB_PATH=/usr/lib;$SHLIB_PATH

Quando essa variável não está definida, o serviço de autorização do Tivoli

Access Manager pode não conseguir acessar as bibliotecas do GSKit.


Observe que o SHLIB_PATH é requerido apenas para executar o utilitário de

gerenciamento de chaves iKeyman (gsk5ikm), que é instalado com o pacote GSKit.

Isso permite a criação de arquivos de chaves SSL, pares de chaves pública-privada

e solicitações de certificados. Para obter informações adicionais sobre gsk5ikm,

consulte o Apêndice A, “Ativando a Secure Sockets Layer”, na página 161 e o

Secure Sockets Layer Introduction and iKeyman User’s Guide.


Para instalar o IBM Directory Client em um sistema HP-UX, execute estas etapas:

1. Assegure-se de ter removido todos os pacotes de clientes LDAP antes de

instalar esta versão.





seguinte:



montagem.


HP-UX

Capítulo 4. Instalando o Tivoli Access Manager no HP-UX 55

swinstall -s /cd-rom/hp LDAPClient

em que /cd-rom/hp é o diretório e LDAPClient é o nome do pacote cliente do

IBM Directory.

6. No diretório raiz do CD do IBM Tivoli Access Manager Base para HP-UX, digite o

seguinte para instalar a correção do IBM Directory Client:

apply_ldap41_patch.sh



Manager

Antes de começar



v Assegure-se de seguir as instruções e configurar os sistemas Tivoli Access

Manager na ordem indicada na seção “Processo de Instalação” na página 6.





Para instalar o Tivoli Access Manager no HP-UX, siga estas etapas:





seguinte:



montagem.


swinstall -s /cd-rom/hp package

em que /cd-rom/hp é o diretório e package é um ou mais dos seguintes:

PDRTE Indica o tempo de execução do Tivoli Access Manager.

PDMgr Indica o servidor de política Tivoli Access Manager.

PDAuthADK Indica o Application Development Kit do Tivoli Access

Manager.

PDAcld Indica o Tivoli Access Manager Authorization Server.

PDJrte Indica o Java Runtime Environment do Tivoli Access Manager.



Manager” na página 57. Este componente é apenas uma parte

do procedimento de instalação do Java Runtime Environment.5. Para iniciar o utilitário de configuração, digite o seguinte comando:

pdconfig

HP-UX


















instalar o pacote JRE pré-requisito para HP-UX, digite o seguinte comando:

swinstall -s /cd_drive/hp rte_13101os11.depot B9789AA

em que /cd_drive é o ponto de montagem do CD e /cd_drive/hp é o diretório.


PATH=java_path:$PATH


Access Manager - Notas sobre o Release.








em execução. Monte o CD com o comando pfs_mount.


instruções, consulte “Instalando o JRE Específico da Plataforma”.


seguinte:

swinstall -s /cd-rom/hp PDJrte

6. Para configurar o Java Runtime Environment para uso dentro do JRE atual, vá

para o diretório install_dir/sbin e digite o seguinte comando:

pdjrtecfg -action config -java_home jre_path



HP-UX


Desinstalandoo Tivoli Access Manager

Antes de começar










Esta seção inclui os seguintes tópicos:


v “Removendo Pacotes do Tivoli Access Manager”


Antes de remover pacotes do Tivoli Access Manager de um sistema UNIX, você

deve desconfigurar os componentes. Para fazer isso, siga estas etapas:


2. Para iniciar o utilitário de configuração, digite o seguinte comando:

pdconfig



3. Pressione 2 para exibir o menu de Desconfiguração. Em seguida, digite o

número do item de menu do componente do Tivoli Access Manager que deseja

desconfigurar. Repita esse procedimento para cada pacote que você deseja

desconfigurar.

Notas:


removê-lo. Vá para “Removendo Pacotes do Tivoli Access Manager”.

v Se você estiver desconfigurando um servidor, será exibido um aviso

solicitando o nome distinto e a senha do usuário administrativo LDAP.











Para remover componentes de um sistema HP-UX, siga estas etapas:

HP-UX


1. Certifique-se de que os componentes estejam desconfigurados. Sigas as

instruções em “Desconfigurando os Componentes do Tivoli Access Manager”

na página 58.

2. Para remover um ou mais pacotes, digite o seguinte:

swremove package

em que package é um ou mais dos seguintes:

PDAuthADK Indica o ADK.





LDAPClient Indica o IBM Directory Client.

gsk5bas Indica o GSKit.

É exibido um aviso indicando que o script de pré-remoção está sendo

executado. Cada arquivo é listado à medida que é removido.

HP-UX


HP-UX


Capítulo 5. Instalando o Tivoli Access Manager no Linux


componentes do Tivoli Access Manager em sistemas Red Hat Linux e Linux no

zSeries. São fornecidas instruções para os métodos de instalação fácil e nativa.

Estão incluídas as seguintes seções principais:

v “Utilizando a Instalação Fácil (Somente no Red Hat Linux)”



A Tabela 5 relaciona os componentes Tivoli Access Manager suportados e os

métodos de instalação.

Tabela 5. Componentes do Tivoli Access Manager suportados

Componente Red Hat Linux Linux no zSeries

Fácil Nativa Fácil Nativa

Application Development Kit do


U U U


Authorization Server

U

Java Runtime Environment do


U

Servidor de critério do Tivoli

Access Manager

U

Tempo de execução do Tivoli

Access Manager

U U U

Utilizando a Instalação Fácil (Somente no Red Hat Linux)

Antes de começar









v Antes de executar os scripts de instalação fácil, certifique-se de que o ksh

esteja instalado ou crie um link de software para o bash, conforme

mostrado:

ln -s /bin/bash /bin/ksh

v Antes de instalar os componentes, remova o pacote nss_ldap-149.1 ou

outros pacotes LDAP em conflito, se instalados.





software ao mesmo tempo. Por exemplo, você pode executar install_pdrte para

configurar um ambiente de tempo de execução e, em seguida, executar

ezinstall_pdauthadk em um sistema diferente para instalar um servidor de

autorização separado. Ou, você pode executar ambos os scripts para instalar e

configurar esses componentes no mesmo sistema. A instalação fácil também detecta

quando os produtos necessários estão instalados e não tenta reinstalá-los.










A Tabela 6 relaciona scripts de instalação fácil para a plataforma Red Hat Linux.

Esses scripts estão localizados no diretório raiz no CD do IBM Tivoli Access

Manager Base para Linux.

Tabela 6. Scripts de Instalação Fácil para Red Hat Linux














Antes de começar





página 6.






Tivoli Access Manager usando os utilitários do sistema operacional nativo nos

Linux


sistemas Red Hat Linux e Linux no zSeries. Diferentemente dos scripts

automatizados utilizados na instalação fácil, você deve instalar manualmente cada

componente e quaisquer correções necessárias na ordem apropriada.





65



Manager (Somente para Red Hat Linux)” na página 67


Para instalar o GSKit em um sistema Linux, siga estas etapas:

1. Log in to the system as root (raiz).

2. Somente para sistemas SuSE SLES-7 de 31 bits: Assegure-se de que o pacote

compat-libstdc++ esteja instalado. Esse pacote, compat.rpm, oferece suporte a

C++ legacy exigido pelo GSKit e está localizado no CD 1 do desenvolvedor do

SuSE SLES-7, no diretório /suse/a1.

Nota: Sistemas SuSE SLES-7 de 64 bits são enviados com o pacote

compat-libstdc++.

3. Insira o CD do IBM Tivoli Access Manager Base para Linux ou do IBM Tivoli

Access Manager Base para Linux no zSeries.


v Nos sistemas Red Hat Linux, vá para o diretório /mnt/cdrom/linux, em que

/mnt/cdrom é o ponto de mensagem do CD.

v Nos sistemas Linux no zSeries, obtenha acesso aos arquivos rpm do Tivoli


Nota: Por enquanto, o Linux no zSeries não oferece suporte à conexão de

uma unidade de CD. Para obter os arquivos necessários, proceda de

uma das seguintes formas:

– Faça download dos arquivos rpm do Tivoli Access Manager Base

para Linux no zSeries em outra estação de trabalho. Em seguida,

utilize o ftp a fim de transferir os arquivos para um diretório nesse

sistema.

– Monte o CD do Tivoli Access Manager Base para Linux no zSeries

em outra estação de trabalho. Em seguida, utilize NFS para

acessá-lo desse sistema.5. Para instalar o GSKit na localização padrão, proceda da seguinte forma:

v No Red Hat Linux, digite o seguinte:

rpm -i gsk5bas-5.0.5.46.i386.rpm

v No Linux no zSeries, digite o seguinte:

rpm -i gsk5bas-5.0.5.46.s390.rpm

Nota: Ao fazer upgrade do GSKit, utilize a opção –U. Por exemplo, digite o

seguinte:

rpm -U gsk5bas-5.0.5.46.s390.rpm

Linux

Capítulo 5. Instalando o Tivoli Access Manager no Linux 63

6. Nos sistemas Red Hat Linux ou SuSE SLES-7 de 31 bits, assegure-se de ter

definido a variável de ambiente LD_PRELOAD. Para isso, digite o seguinte

comando:

export LD_PRELOAD=/usr/lib/libstdc++-libc6.1-2.so.3

Isso é obrigatório antes de usar os utilitários da linha de comando GSKit e

LDAP.

Depois de instalar o GSKit, nenhuma configuração é necessária. Para obter

informações adicionais sobre o GSKit, consulte o Apêndice A, “Ativando a Secure

Sockets Layer”, na página 161 e o Secure Sockets Layer Introduction and iKeyman

User’s Guide.


Para instalar o IBM Directory Client em um sistema Linux, execute estas etapas:

Nota: Remova qualquer versão já existente do IBM Directory Client antes de

instalar esta versão.


2. Remova o pacote nss_ldap-149-1 ou outros pacotes LDAP em conflito, se

instalados.




a. Nos sistemas Red Hat Linux, vá para o diretório /mnt/cdrom/linux, em que


b. Nos sistemas Linux no zSeries, obtenha acesso aos arquivos rpm do Tivoli





v Faça download dos arquivos rpm do Tivoli Access Manager Base



sistema.

v Monte o CD do Tivoli Access Manager Base para Linux no zSeries


acessá-lo desse sistema.5. Para instalar o IBM Directory Client na localização padrão, proceda de uma das

seguintes formas:

a. No Red Hat Linux, digite o seguinte:

rpm -i ldap-clientd-4.1-1.i386.rpm

rpm -i ldap-dmtjavad-4.1-1.i386.rpm

b. No Linux no zSeries, digite o seguinte:

rpm -i ldap-clientd-4.1-1.s390.rpm

6. Nos sistemas Red Hat Linux ou SuSE SLES-7 de 31 bits, assegure-se de ter

definido a variável de ambiente LD_PRELOAD. Para isso, digite o seguinte

comando:

export LD_PRELOAD=/usr/lib/libstdc++-libc6.1-2.so.3

Linux


Isto é obrigatório antes de usar os utilitários da linha de comando GSKit e

LDAP, que utilizam SSL.



Manager

Antes de começar





página 6.





Para instalar os componentes do Tivoli Access Manager no Red Hat Linux ou no

Linux no zSeries, execute estas etapas:





a. Nos sistemas Red Hat Linux, vá para o diretório /mnt/cdrom/linux, em que


b. Nos sistemas Linux no zSeries, obtenha acesso aos arquivos rpm do Tivoli





v Faça download dos arquivos rpm do Tivoli Access Manager Base



sistema.

v Monte o CD do Tivoli Access Manager Base para Linux no zSeries


acessá-lo desse sistema.4. Para instalar componentes na localização padrão, digite um dos seguintes

comandos:

v Para instalar os componentes do Tivoli Access Manager:

rpm -i package

v Para fazer upgrade dos componentes do Tivoli Access Manager:

rpm –U package

em que package é um dos seguintes:

v No Red Hat Linux:

PDRTE-PD-4.1.0-0.i386.rpm Indica o tempo de execução do Tivoli Access

Manager.

Linux


PDAuthADK-PD-4.1.0-0.i386.rpm

Indica o Application Development Kit do


PDJrte-PD-4.1.0-0.i386.rpm Indica o Java Runtime Environment do Tivoli

Access Manager.

Assegure-se de seguir as instruções da seção

“Instalando e Configurando o Java Runtime

Environment do Tivoli Access Manager

(Somente para Red Hat Linux)” na página 67.

Este componente é apenas uma parte do

procedimento de instalação do Java Runtime

Environment.v No Linux no zSeries:

PDRTE-PD-4.1.0-0.s390.rpm Indica o tempo de execução do Tivoli Access

Manager.

PDMgr-PD-4.1.0-0.s390.rpm Indica o servidor de política Tivoli Access

Manager.

PDAcld-PD-4.1.0-0.s390.rpm Indica o Tivoli Access Manager Authorization

Server.

PDAuthADK-PD-4.1.0-0.s390.rpm

Indica o Application Development Kit do


Nota: Durante o processo de upgrade nos sistemas Linux, você pode ignorar

mensagens semelhantes à seguinte:

O Access Manager Runtime ainda está configurado.

Desconfigure o pacote de tempo de execução antes de desinstalar.

A execução do script

PDRTE-PD-3.9.0-0 falhou, status de saída 1


pdconfig

















instalar o pacote JRE pré-requisito no Linux, digite um dos seguintes comandos:

v No Red Hat Linux:

Linux


1. Para instalar o JRE, digite o seguinte:

rpm -i IBMJava2-JRE-1.3-10.0.i386.rpm

2. Para definir o caminho da variável de ambiente, digite o seguinte:

export PATH=jre_path:$PATH

v No Linux para zSeries:

1. Obtenha o JRE do CD de Suporte ao Idioma do IBM Tivoli Access Manager.

Também é possível fazer download do IBM Java Runtime Environment,

Versão 1.3.1, a partir do site do IBM Java para Linux, no endereço:

https://www6.software.ibm.com/dl/lxdk/lxdk-p

2. Para instalar o JRE, digite o seguinte:

rmp -i IBMJava2-JRE-1.3.1-2.0.s390.rpm

3. Para assegurar-se de que o JRE possa ser acessado por meio da variável de

ambiente PATH, digite o seguinte:

export PATH=/opt/IBMJava2-s390-131/jre/bin:$PATH




Tivoli Access Manager (Somente para Red Hat Linux)

Para instalar o Java Runtime Environment do Tivoli Access Manager em um

sistema Red Hat Linux, execute estas etapas.

Nota: Não há suporte a esse componente no Linux no zSeries.


2. Insira o CD do IBM Tivoli Access Manager Base para Linux.

3. Altere para o diretório /mnt/cdrom/linux, em que /mnt/cdrom é o ponto de

montagem do CD.


instruções, consulte “Instalando o JRE Específico da Plataforma” na página 66.

5. Para instalar o Java Runtime Environment do Tivoli Access Manager na

localização padrão, digite o seguinte:

rpm -i PDJrte-PD-4.1.0-0.i386.rpm

6. Para configurar o Java Runtime Environment do Tivoli Access Manager para

uso dentro do JRE atual, vá para o diretório opt/PolicyDirector/sbin e digite

o seguinte comando:

./pdjrtecfg -action config -java_home jre_path





Você deve desconfigurar os componentes e depois remover os pacotes do Tivoli

Access Manager.


v “Desconfigurando os Componentes do Tivoli Access Manager” na página 68

v “Removendo Pacotes do Tivoli Access Manager” na página 68

Linux



Antes de começar







Antes de remover pacotes do Tivoli Access Manager de um sistema Linux, você




pdconfig



3. Pressione 2 para exibir o menu de Desconfiguração. Em seguida, digite o

número do item de menu do componente do Tivoli Access Manager que deseja

desconfigurar. Repita esse procedimento para cada pacote que você deseja

desconfigurar.

4. Para desconfigurar o Java Runtime Environment do Tivoli Access Manager,



/opt/PolicyDirector/sbin/pdjrtecfg -action unconfig -java_home jre_path




Para remover os componentes de um sistema Linux, siga estas etapas:

1. Certifique-se de que você tenha desconfigurado os componentes. Siga as

instruções em “Desconfigurando os Componentes do Tivoli Access Manager”.


rpm -e package


v No Red Hat Linux:

PDAuthADK-PD Indica o Application Development Kit do


PDRTE-PD Indica o tempo de execução do Tivoli Access

Manager.

ldap_clientd Indica o IBM Directory Client.

ldap_dmtjavad Indica a DMT (Directory Management Tool).

gsk5bas-5.0.5.46 Indica o GSKit.v Para Linux no zSeries:

Linux


PDRTE-PD-4.1.1–0 Indica o tempo de execução do Tivoli Access

Manager.

PDAcld-PD-4.1.0–0 Indica o Tivoli Access Manager Authorization

Server.

PDMgr-PD-4.1.0–0 Indica o servidor de política Tivoli Access

Manager.

PDAuthADK-PD-4.1.0–0 Indica o Application Development Kit do


ldap_clientd-4.1.0–0 Indica o IBM Directory Client.

gsk5bas-5.0.5.46 Indica o GSKit.

Linux


Linux


Capítulo 6. Instalando o Tivoli Access Manager no Solaris


componentes do Tivoli Access Manager em sistemas Solaris. São fornecidas







Antes de começar





página 6.








software ao mesmo tempo. Por exemplo, se você executar ezinstall_ldap_server

para instalar e configurar o IBM Directory Server como registro do Tivoli Access

Manager, esse script instala o servidor LDAP e todos os softwares e correções

pré-requisito. A instalação fácil também detecta quando os produtos necessários


ezinstall_pdmgr para configurar o servidor de política no mesmo sistema no qual

ezinstall_ldap_server foi executado, ele não reinstala o GSKit e o IBM Directory

Client.










A Tabela 7 na página 72 relaciona scripts de instalação fácil para a plataforma

Solaris. Todos os programas estão localizados no diretório raiz no CD do IBM

Tivoli Access Manager Base para Solaris, com exceção do ezinstall_pdwpm, que está

localizado no diretório raiz no CD do Web Portal Manager do IBM Tivoli Access

Manager para Solaris.


Tabela 7. Scripts de Instalação Fácil para Solaris


ezinstall_ldap_server Configura um sistema do IBM Directory Server com os


v IBM DB2


v IBM HTTP Server


v IBM Directory Server

Nota: Se já existir uma versão do IBM Directory, remova-a

antes de executar este script.



















ezinstall_pdwpm Configura um sistema Web Portal Manager com os





v IBM WebSphere Application Server Single Server e

FixPack 3








Solaris



Antes de começar











Diferente dos scripts automatizados utilizados na instalação fácil, você deve

instalar manualmente cada componente e software pré-requisito na ordem

apropriada.



v “Instalando o IBM Directory Client”


74






Para instalar o GSKit em um sistema Solaris, siga estas etapas:


2. Insira o CD do IBM Tivoli Access Manager Base para Solaris.

3. Altere para o diretório /cdrom/cdrom0/solaris.

4. Para instalar o arquivo GSKit requerido, digite o seguinte:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault gsk5bas




pares de chaves pública-privada e solicitações de certificados. Para obter

informações adicionais sobre gsk5ikm, consulte o Apêndice A, “Ativando a Secure


User’s Guide.


Para instalar o IBM Directory Client em um sistema Solaris, execute estas etapas:



Solaris

Capítulo 6. Instalando o Tivoli Access Manager no Solaris 73

3. Altere para o diretório /cdrom/cdrom0/solaris.

4. Para instalar o IBM Directory Client, digite o seguinte:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldapc

5. Durante a instalação, será perguntado se você deseja utilizar /opt como o

diretório base. Se o espaço permitir, utilize /opt como o diretório de instalação

base. Para aceitar /opt como o diretório base, pressione Enter.



Manager

Antes de começar











2. Se você não estiver instalando o Tivoli Access Manager a partir de um sistema

de arquivos remoto, proceda de uma das seguintes formas:

v Insira o CD do IBM Tivoli Access Manager Base para Solaris.

v Somente para o componente Web Portal Manager, insira o CD do Web Portal

Manager do IBM Tivoli Access Manager para Solaris.3. Para instalar pacotes do Tivoli Access Manager, digite o seguinte comando:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault package

em que -d /cdrom/cdrom0/solaris especifica a localização do pacote e -a

/cdrom/cdrom0/solaris/pddefault especifica a localização do script de

administração da instalação.

Os pacotes instaláveis são mostrados a seguir. Você deve instalar um ou mais

destes pacotes na seguinte ordem:




Manager.


PDWPM Indica o Web Portal Manager do Tivoli Access Manager.


Configurando um Sistema Web Portal Manager” na página 76.

Este componente é apenas uma parte do procedimento de

instalação do Web Portal Manager.

Solaris





Manager”. Este componente é apenas uma parte do

procedimento de instalação do Java Runtime Environment.

Quando o processo de instalação estiver concluído para cada pacote, a seguinte

mensagem será exibida:

A instalação do pacote foi bem sucedida.


pdconfig

O Access Manager for e-business Setup Menu (Menu de Configuração do

Access Manager para e-business) será exibido.

5. Digite o número do menu para Configure Package. O Tivoli Access Manager

Configuration Menu (Menu de Configuração do Tivoli Access Manager) será

exibido. A lista de pacotes do Tivoli Access Manager instalados é exibida.





Nota: Não será solicitado um diretório de instalação. O diretório padrão é /opt.







instalar o pacote JRE de pré-requisito para o Solaris, digite o seguinte comando:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault SUNWj3rt

em que /cdrom/cdrom0/solaris é o diretório no qual o pacote JRE está localizado.


PATH=jre_path:$PATH

export PATH

Para verificar se há suporte ao nível de JRE no seu sistema, consulte o IBM Tivoli

Access Manager para e-business: Notas sobre o Release.








instruções, consulte o “Instalando o JRE Específico da Plataforma”.


seguinte comando:

Solaris


pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDJrte





para o diretório install_dir/sbin e digite o seguinte comando:

pdjrtecfg -action config -java_home jre_path






na página 73.






4. Instale o IBM WebSphere Application Server, FixPack 3. Consulte a seção



Para isto, digite o seguinte:

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDJrte









6. Instale e configure o tempo de execução do Tivoli Access Manager e os

componentes do Web Portal Manager. Consulte a seção “Instalando e









WebSphere Application Server esteja sendo executado. Para isso, execute o

script startServer.sh, localizado no diretório /opt/WebSphere/AppServer/bin.



Solaris














do IBM HTTP Server, edite o arquivo /usr/HTTPServer/conf/httpd.conf e

altere a porta padrão 80 para 8080 como mostrado:


Port 8080

10. Para iniciar o Web Portal Manager, digite o seguinte endereço no navegador

da Web:


em que hostname é o nome do host em execução no IBM HTTP Server.

Nota: Para comunicações seguras com o IBM HTTP Server, agora é necessário

utilizar https em vez de http.




Single Server

Para instalar o IBM WebSphere Application Server, siga estas etapas:


2. Insira o CD do Web Portal Manager do IBM Tivoli Access Manager para Solaris.

3. Vá para o diretório /solaris/WebSphere na unidade na qual o CD está

localizado.


v Para instalar o IBM WebSphere Application Server utilizando a GUI, digite o

seguinte:

./install.sh

v Para utilizar um arquivo de resposta, execute o script install.sh conforme a

seguir e, em seguida, vá para “Instalando o IBM WebSphere Application

Server FixPack 3” na página 78.

./install.sh -silent -responseFile ./install.script \

-prereqfile ./prereq.properties

A janela do WebSphere Application Server, Advanced Single Server Edition

v4.0 é exibida. Clique em Next (Avançar) para continuar.

Nota: Visualize a tela para ficar atento às instruções solicitadas e à ocorrência

de erros.

5. Selecione Typical Installation (Instalação Típica) (a opção padrão) e clique em

Next (Avançar).

Solaris


6. Os caminhos padrão são exibidos para o diretório de destino do WebSphere

Application Server e o IBM HTTP Server. Se o sistema já tiver o IBM HTTP

Server instalado, essa opção não será exibida. Anote esses caminhos e selecione

Next (Avançar) para aceitar os padrões.

Nota: Os caminhos a seguir serão solicitados durante a instalação do FixPack

do WebSphere Application Server. Os caminhos padrão são os seguintes:

v WebSphere Application Server: /opt/WebSphere/AppServer

v IBM HTTP Server: /opt/IBMHTTPD

É exibido um diálogo indicando as seleções de instalação. Selecione Instalar

para começar o processo de instalação.


instalar a correção a seguir, localizada no diretório raiz no CD do Web Portal

Manager do IBM Tivoli Access Manager para Solaris CD. Para isto, digite o

seguinte:

http_1319_efix2.sh







2. Insira o CD do Web Portal Manager do IBM Tivoli Access Manager para Solaris.

3. Vá para o diretório /usr/sys/inst.images/solaris/WebSphere_PTF3 e execute

o seguinte script:

install.sh



/opt/WebSphere/AppServer









/opt/IBMHTTP



Application Server.

O upgrade é iniciado. Um aviso exibe a mensagem Efetuando upgrade do IBM

JDK. Este upgrade instala o IBM Developer Kit para Solaris no diretório

WebSphere. Não haverá conflito se você já tiver o toolkit instalado em outra

parte do sistema.





Solaris


O WebSphere Application Server Single Server 4.0 e o FixPack 3 estão

instalados.



Antes de começar














Antes de remover pacotes do Tivoli Access Manager de um sistema UNIX, você



2. Altere para o seguinte diretório:

cd /opt/PolicyDirector/bin


pdconfig



4. Digite o número do item de menu referente ao componente do Tivoli Access

Manager que deseja desconfigurar. Você deve desconfigurar os componentes na

ordem inversa em que foram configurados. Por exemplo, desconfigure os

componentes na seguinte ordem:


PDWPM Indica o Web Portal Manager do Tivoli Access Manager.



Manager.

PDMgr Indica o servidor de política Tivoli Access Manager.5. Repita esse procedimento para cada pacote que você deseja desconfigurar.

Notas


removê-lo. Vá para a seção “Removendo Pacotes do Tivoli Access Manager”

na página 80.

Solaris


v Se você estiver desconfigurando um servidor, será exibido um aviso

solicitando o nome distinto e a senha do usuário administrativo LDAP.











Para remover os componentes de um sistema Solaris, siga estas etapas:

1. Certifique-se de que os componentes estejam desconfigurados. Para

desconfigurar componentes, siga as instruções da seção “Desconfigurando os

Componentes do Tivoli Access Manager” na página 79.


pkgrm package


PDAuthADK Indica o ADK.

PDMgr Indica o servidor de políticas.

PDAcld Indica o servidor de autorização.



PDWPM Indica o Web Portal Manager.

IBMldapc Indica o IBM Directory Client.

gsk5bas Indica o GSKit.3. Quando aparecer um aviso para você confirmar a remoção desses componentes,

digite y.

É exibido um aviso indicando que o script de pré-remoção está sendo executado.

Cada arquivo é listado à medida que é removido.

Solaris


Capítulo 7. Instalando o Tivoli Access Manager no Windows


componentes do Tivoli Access Manager em sistemas Windows. São fornecidas







Antes de começar








Capítulo 10, “Casos de Instalação Fácil do Windows”, na página 127.

Utilize os arquivos em batch de instalação fácil para criar um domínio seguro ou

incluir sistemas ou componentes em um já existente. A instalação fácil facilita a

instalação do Tivoli Access Manager, instalando automaticamente os pré-requisitos

de software ao mesmo tempo. Por exemplo, se você executar

ezinstall_ldap_server.bat para instalar e configurar o IBM Directory Server como

registro do Tivoli Access Manager, o processo instala o servidor LDAP e todos os

softwares e correções pré-requisito. Esse processo também detecta quando os

produtos necessários estão instalados e não tenta reinstalá-los. Por exemplo, se

você executar ezinstall_pdmgr.bat para configurar o servidor de política no mesmo

sistema no qual ezinstall_ldap_server.bat foi executado, ele não reinstala o GSKit e

o IBM Directory Client.

Um arquivo de instalação fácil começa solicitando informações sobre configuração.









Lembre-se que é necessário iniciar novamente o sistema intermitentemente durante

todo o processo de instalação fácil nos sistemas Windows. Durante o processo de

instalação, você também pode receber uma notificação de que alguns serviços não

iniciaram. Nenhuma ação é necessária. Continue com o processo de instalação.


A Tabela 8 relaciona scripts de instalação fácil para a plataforma Windows. Todos

os arquivos de instalação fácil estão localizados no diretório raiz do CD do IBM

Tivoli Access Manager Base para Windows exceto o arquivo ezinstall_pdwpm.bat, que

está no diretório raiz no CD Web Portal Manager do IBM Tivoli Access Manager para

Windows.

Tabela 8. Programas de Instalação Fácil para Windows


ezinstall_ldap_server.bat Configura um sistema do IBM Directory Server com os


v IBM DB2


v IBM HTTP Server

v IBM Directory Server, que inclui o IBM Directory Client

Nota: Se já existir uma versão do IBM Directory server,

remova-a antes de executar este programa.

ezinstall_pdacld.bat Configura o sistema do servidor de autorização com os




v Access Manager Runtime

v Access Manager Authorization Server

ezinstall_pdauthadk.bat Configura um sistema de desenvolvimento do Tivoli Access





v Access Manager Application Developer Kit

ezinstall_pdmgr.bat Configura o sistema servidor de política do Tivoli Access





v Access Manager Policy Server

ezinstall_pdwpm.bat Configura um sistema Web Portal Manager com os





v IBM WebSphere Application Server Single Server e

FixPack 3


v Access Manager Java runtime

install_pdrte.exe Configura um sistema de tempo de execução do Tivoli





Windows



Antes de começar





página 6.



configuração nativa, consulte a seção “Opções de Configuração Nativa do

Windows” na página 188.



Diferente dos scripts automatizados utilizados na instalação fácil, você deve

instalar manualmente cada componente e quaisquer correções necessárias.





85






Para instalar o GSKit em um sistema Windows, siga estas etapas:

1. Efetue login no sistema como um usuário com privilégios administrativos.

2. Insira o CD do IBM Tivoli Access Manager Base para Windows.

3. Em um prompt de comandos, altere para o diretório windows\gskit na unidade

na qual o CD está localizado e digite o seguinte:

setup.exe PolicyDirector

O diálogo Welcome (Bem-vindo) é exibido.

4. Clique em Next (Avançar). O diálogo Choose Destination Location (Escolher

Localização de Destino) é exibido.

5. Aceite o diretório de destino padrão ou clique em Browse (Procurar) para

selecionar um caminho para outro diretório no sistema local. Se o diretório não

existir, é necessário confirmar que você deseja que ele seja criado, ou especificar

um diretório existente.

6. Clique em Next (Avançar) para instalar o GSKit. O diálogo Setup Complete

(Instalação Concluída) é exibido.

7. Clique em Finish (Concluir) para sair do programa de instalação.

8. Inicie novamente o sistema.


Windows

Capítulo 7. Instalando o Tivoli Access Manager no Windows 83



pares de chaves pública-privada e solicitações de certificados. Para obter

informações adicionais sobre gsk5ikm, consulte o Apêndice A, “Ativando a Secure


User’s Guide.


Para instalar o IBM Directory Client em um sistema Windows, execute estas

etapas.

Nota: Se você tiver instalado o Active Directory como registro, o IBM Directory

Client não é obrigatório.



3. Execute o arquivo setup.exe no seguinte diretório:

windows\Directory\ismp

O diálogo Choose Setup Language (Escolher Idioma de Configuração) é

exibido.

4. Selecione o idioma que você deseja utilizar para a instalação e clique em OK.

5. O diálogo Welcome (Bem-vindo) é exibido. Clique em Next (Avançar) para

continuar.

6. Leia o acordo de licença. Opte por aceitar os termos e clique em Next

(Avançar).

7. Assegure-se de ter fechado quaisquer programas do Windows em execução e

clique em Next (Avançar) para continuar. Um diálogo informa quais os

pacotes já instalados e se é necessária alguma ação. Atenda aos requisitos e

clique em Next (Avançar).

8. Clique em Next (Avançar) para instalar o IBM Directory no diretório padrão

especificado. Para especificar um diretório diferente, digite um caminho ou

clique em Browse (Procurar) para selecionar um.

9. Selecione o idioma do IBM Directory e clique em Next (Avançar).

Windows


10. Selecione Typical (Típica) para instalar o IBM Directory.

11. Selecione a instalação do SDK Cliente e da DMT (Directory Management Tool)

e clique em Next (Avançar).

12. Revise suas definições atuais e, em seguida, clique em Next (Avançar) para

começar a copiar os arquivos.

13. Quando os arquivos estiverem instalados, o arquivo LEIA-ME será exibido.

Revise o LEIA-ME e clique em Next (Avançar) para continuar.

14. Selecione se deseja iniciar novamente o sistema agora ou depois e clique em

Next (Avançar).



Manager

Antes de começar





página 6.



configuração nativa, consulte a seção “Opções de Configuração Nativa do

Windows” na página 188.


1. Efetue login no domínio do Windows com privilégios de administrador do

Windows.

2. Para instalar componentes do Tivoli Access Manager, execute uma das

seguintes ações:

v Insira o CD do IBM Tivoli Access Manager Base para Windows.

Windows


v Somente no componente Web Portal Manager, insira o CD do Web Portal

Manager do IBM Tivoli Access Manager para Windows. 3. Execute o arquivo setup.exe no seguinte diretório:

windows\PolicyDirector\Disk Images\Disk1


exibido.


O diálogo Welcome (Bem-vindo) é exibido.

5. Clique em Next (Avançar). O diálogo License Agreement (Contrato de

Licença) é exibido.

6. Leia o contrato de licença e clique em Yes (Sim) se você concordar com os

termos. O diálogo Select Packages (Selecionar Pacotes) é exibido.

7. Selecione os pacotes que você deseja instalar no sistema e clique em Next

(Avançar). Se você tiver optado por instalar o tempo de execução ou o Java

Runtime Environment do Tivoli Access Manager, o diálogo Instalação do

Tivoli Access Manager Runtime será exibido. Escolha uma pasta de destino na

qual você deseja instalar os arquivos de configuração de runtime e clique em

Next (Avançar).

Quando a instalação estiver concluída, o diálogo Instalação do Tivoli Access

Manager Concluída será exibido.

Atenção

Para instalar os componentes Web Portal Manager ou Java Runtime

Environment do Tivoli Access Manager, assegure-se de seguir as

instruções da seção “Instalando e Configurando um Sistema Web Portal

Manager” na página 88 ou “Instalando e Configurando o Java Runtime

Environment do Tivoli Access Manager” na página 87.


9. Depois de iniciar novamente o sistema, selecione Iniciar → Programas → Access

Manager para e-business → Configuração. O diálogo Configuração do Access

Manager para e-business será exibido.

10. Selecione um componente para configurar e clique em Configure

(Configurar). Você deve configurar cada componente separadamente, na

ordem listada.

11. Dependendo do componente selecionado, será solicitado que você forneça


configuração, consulte “Opções de Configuração Nativa do Windows” na

página 188. Após a configuração, o diálogo Configuração do Access Manager

para e-business será exibido novamente.

12. Revise suas seleções e clique em Finish (Concluir). O diálogo Configuração

do Access Manager para e-business será exibido. Selecione um outro

componente na lista para configurar ou clique em Close (Fechar) para sair da

ferramenta.



Java Runtime do Tivoli Access Manager e de pacotes de suporte ao idioma.

Para instalar o pacote JRE suportado enviado com o Tivoli Access Manager, faça o

seguinte:

Windows


1. Vá para o diretório \windows\JRE na unidade na qual o CD está localizado e

insira o seguinte:

install

2. Siga as instruções on-line. Quando for solicitado a instalar o Java Runtime

Environment como a JVM do Sistema, clique em Yes.

3. Para definir o caminho da variável de ambiente, digite o seguinte:

set PATH=dir_instalação;%PATH%

Por exemplo, se você tiver instalado o IBM Developer Kit para Windows, Java

2 Technology Edition, Versão 1.3.1, no diretório padrão da unidade C, insira o

seguinte:

set PATH=C:\Program Files\IBM\Java131\jre;%PATH%





1. Efetue login no domínio do Windows com privilégios de administrador do

Windows.


3. Instale um JRE específico da plataforma, para o qual exista suporte. Para

obter instruções, consulte o “Instalando o JRE Específico da Plataforma” na

página 86.

4. Para instalar o Java Runtime Environment do Tivoli Access Manager, execute

o arquivo setup.exe no seguinte diretório:

windows\PolicyDirector\Disk Images\Disk1\PDJRTE\Disk Images\Disk1


exibido.


6. A tela Bem-vindo é exibida. Clique em Next (Avançar) para continuar.

7. Leia o contrato de licença e clique em Yes (Sim) se você concordar com os

termos. O diálogo Escolher Localização de Destino é exibido se você não tiver

instalado um Runtime Environment suportado.

8. Aceite o diretório de destino padrão ou clique em Browse (Procurar) para

selecionar um caminho para outro diretório no sistema local. Se o diretório

não existir, é necessário confirmar que você deseja que ele seja criado, ou

especificar um diretório existente.

9. Para começar a copiar os arquivos na pasta de destino, clique em Next

(Avançar). Se desejar rever ou alterar as definições, clique em Back (Voltar).

O diálogo Setup Status (Status da Instalação) é exibido.

10. Quando a instalação do Runtime tiver sido concluída, selecione Yes (Sim)

para iniciar novamente o computador.


para o diretório install_dir\sbin e digite o seguinte comando:

pdjrtecfg -action config



Windows





na página 83.






4. Instale o IBM WebSphere Application Server, FixPack 3. Consulte a seção



Para isto, execute o arquivo setup.exe no seguinte diretório:

windows\PolicyDirector\Disk Images\Disk1

Siga as instruções on-line para instalar o pacote de tempo de execução Java do

Access Manager.






6. Instale e configure os componentes de tempo de execução e Web Portal

Manager do Tivoli Access Manager. Consulte a seção “Instalando e









WebSphere Application Server esteja sendo executado. Para isto, clique em

Iniciar → Programas → IBM WebSphere → Application Server 4.0 → Iniciar

Application Server.







C:\Arquivos de Programas\Tivoli\Policy Director\keytab\pdwpm.kdb



C:\Arquivos de Programas\Tivoli\Policy Director\keytab\pdwpm.sth




Windows



do IBM HTTP Server, edite o arquivo C:\Arquivos de Programas\IBM HTTP

Server\conf\httpd.conf e altere a porta padrão 80 para 8080 como mostrado:


Port 8080

10. Para iniciar o Web Portal Manager, digite o seguinte endereço no navegador

da Web:


em que hostname é o nome do host em execução no IBM HTTP Server.

Nota: Para comunicações seguras com o IBM HTTP Server, agora é necessário

utilizar https em vez de http.




Single Server

Para instalar o IBM WebSphere Application Server, siga estas etapas:


2. Insira o CD do Web Portal Manager do IBM Tivoli Access Manager para Windows.

3. Vá para o diretório windows\WebSphere na unidade na qual o CD está

localizado e digite o seguinte:

setup.exe


exibido.


5. Assegure-se de que você tenha fechado quaisquer programas do Windows em

execução e clique em Next (Avançar) para continuar.

6. Selecione Typical Installation (Instalação Típica) (a opção padrão) e clique

em Next (Avançar).

7. Na janela Security Options (Opções de Segurança), digite um nome de usuário

e uma senha e selecione Next (Avançar). Este é um nome de usuário e senha

Windows


para o WebSphere, e deve ser um ID de usuário e senha no sistema local.

8. O programa InstallShield apresenta um caminho padrão para o diretório de

destino do WebSphere Application Server e o IBM HTTP Server. Se o sistema

já tiver o IBM HTTP Server instalado, essa opção não será exibida. Aceite

esses padrões selecionando Next (Avançar).

Nota: Anote esses caminhos. Eles serão solicitados durante a instalação do

WebSphere Application Server. Os caminhos padrão são os seguintes:

v WebSphere Application Server: C:\WebSphere\AppServer

v IBM HTTP Server: C:\IBM HTTP Server se estiver instalado como

parte da instalação do WebSphere; c:\Arquivos de Programas\IBM

HTTP Server se estiver instalado como parte do Web Portal Manager

Windows


9. Selecione uma localização da Pasta de Programas do Windows; o padrão é

IBM WebSphere\Application Server V4.0 AES. Selecione Next (Avançar).

O processo de instalação é iniciado.

10. Quando a instalação for concluída, será solicitado que você inicie novamente o

Windows. Selecione No, do not restart Windows (Não, não inicie novamente

o Windows). O sistema será iniciado novamente após a instalação do FixPack

3.


instalar a correção a seguir, localizada diretório raiz do CD do Web Portal

Manager do IBM Tivoli Access Manager para Windows. Para isto, digite o

seguinte:

http_1319_efix2.bat install_path

em que install_path especifica o caminho de instalação do IBM HTTP Server.

O caminho padrão é C:\Arquivos de Programas\IBM HTTP Server.







2. Insira o CD do Web Portal Manager do IBM Tivoli Access Manager para Windows.

3. Em prompt de comandos, vá para o diretório windows\WebSphere\ptf403 na

unidade na qual o CD está localizado.

4. Copie o conteúdo do diretório ptf403 para um diretório temporário no

sistema e execute o seguinte arquivo em batch:

install.bat



C:\WebSphere\AppServer







Windows




C:\Arquivos de Programas\IBM HTTP Server



Application Server. O upgrade será iniciado. Um prompt exibe a mensagem

Upgrade do IBM JDK. Esse upgrade instala o IBM Developer Kit para

Windows no diretório WebSphere. Não haverá conflito se você já tiver o toolkit

instalado em outra parte do sistema.





O WebSphere Application Server Single Server 4.0 e o FixPack 3 estão

instalados.



Antes de começar

v Pare todos os aplicativos do Tivoli Access Manager antes de desinstalar os

componentes.












Para desconfigurar os componentes do Tivoli Access Manager em um sistema

Windows, siga estas etapas.

Nota: Se você já tiver desconfigurado um componente do Tivoli Access Manager,

não serão solicitadas as informações de nome de administrador e senha

durante o processo de desconfiguração. O utilitário de configuração

armazena essas informações em cache.

1. Efetue login como um usuário do Windows com privilégios de administrador.

2. Assegure-se de que o servidor de registro e o servidor de política estejam sendo

executados (a não ser que você esteja desinstalando o servidor de política do

Tivoli Access Manager).

3. Selecione Iniciar → Programas → Access Manager para e-business →

Configuração ou digite o comando pdconfig a partir de um prompt de

comandos.

Windows


4. No diálogo Configuração do Access Manager para e-business, clique em um

dos componentes do Tivoli Access Manager relacionados. Os componentes

devem ser desconfigurados na seguinte ordem:




v Web Portal Manager do Access Manager

Nota: Apenas para usuários de registro do Active Directory, assegure-se de que

o aplicativo Administration Console esteja fechado antes de

desconfigurar o servidor de política do Tivoli Access Manager.

5. Clique em Unconfigure (Desconfigurar).

6. Se você tiver optado por desconfigurar o servidor de autorização especifique a

senha Principal de Segurança.

7. Se você selecionou para desconfigurar o servidor de políticas, digite o nome do

administrador LDAP (por exemplo, cn=root) e a senha apropriada. É exibida

uma mensagem de aviso informando que a desconfiguração desse pacote

removerá as informações de configuração e autorização de todos os servidores

Tivoli Access Manager no domínio seguro. Clique em Yes (Sim) para remover;

clique em No (Não) para sair dessa tarefa.

8. Para desconfigurar outro componente, sigas as etapas de 4 à 7.

9. Para desconfigurar o Java Runtime Environment do Tivoli Access Manager,







Para remover os componentes de um sistema Windows, siga estas etapas:

1. Inicie sessão como um usuário do Windows com privilégio de administrador.

2. Selecione Iniciar → Configurações → Painel de controle e, em seguida, clique no

ícone Add/Remove Programs (Adicionar ou Remover Programas).

3. Selecione um dos seguintes componentes e, em seguida, clique em

Add/Remove (Adicionar ou Remover):

v IBM Directory V4.1.1


v Access Manager Application Development Kit

v Access Manager Java runtime environment



v Web Portal Manager do Access Manager

v WebSphere Application Server


exibido.

4. Selecione o idioma que você deseja utilizar para o processo de remoção do

Tivoli Access Manager e clique em OK.

Windows


5. Na caixa de mensagem Confirm Component Removal (Confirmar Remoção

do Componente), clique em Yes (Sim).

O componente Tivoli Access Manager é removido.

6. Selecione um outro componente da lista ou clique em OK para sair do

programa.

7. Para remover o GSKit do sistema, digite o seguinte comando:

isuninst -f"c:\arquivos de programas\ibm\gsk\ibm\gsk5\gsk5bui.isu"

em que c:\arquivos de programas\ibm\gsk\ibm\gsk5 é o caminho completo no

qual o arquivo gsk5BUI.isu está localizado.

Nota: Você não pode desinstalar o GSKit utilizando o ícone Add/Remove

Programs (Adicionar ou Remover Programas) semelhante aos outros

componentes do Tivoli Access Manager.

Windows


Capítulo 8. Fazendo Upgrade para o Tivoli Access Manager,

Versão 4.1

Este capítulo descreve como fazer upgrade dos sistemas Tivoli Access Manager,

Versão 3.8 e Versão 3.9 para o Tivoli Access Manager, Versão 4.1. Os procedimentos

a seguir constituíam as etapas recomendadas para componentes na época da

publicação. Para obter informações sobre requisitos do sistema e as últimas

informações específicas do processo de upgrade, consulte o IBM Tivoli Access

Manager - Notas sobre o Release no Web site de Suporte ao Cliente Tivoli.

Nota: Se você estiver tentando fazer upgrade do domínio seguro do Tivoli

SecureWay Policy Director, Versão 3.7.x ou anterior, primeiro deve fazer um

upgrade para o Tivoli Access Manager, Versão 3.8 ou 3.9 antes de instalar a

Versão 4.1.

Este capítulo inclui as seguintes seções:

v “Considerações sobre Upgrade para Registros LDAP”

v “Fazendo Upgrade do Sistema do Servidor de Política” na página 96

v “Fazendo Upgrade do Servidor de Política Utilizando Dois Sistemas” na página

97

v “Fazendo Upgrade de Outros Sistemas do Tivoli Access Manager” na página 99

v “Removendo o Servidor de Política Existente” na página 101

Para fazer upgrade de um servidor de política da Versão 3.8 ou 3.9, você pode

optar pelo upgrade no mesmo sistema de servidor de política ou utilizar dois

sistemas — o atual e um segundo, limpo, para a Versão 4.1. Essa abordagem de

dois sistemas torna possível manter o servidor de política atual em funcionamento

enquanto você configura e testa um segundo sistema do servidor de política da

Versão 4.1. Se encontrar um problema ao fazer upgrade utilizando dois sistemas,

basta tornar o servidor Versão 4.1 off-line.

Considerações sobre Upgrade para Registros LDAP

Antes de fazer upgrade para a Versão 4.1, revise as seguintes considerações:

v Como precaução padrão ao fazer upgrade entre versões, faça backup de todos os

servidores Tivoli Access Manager antes de começar. Além disso, é recomendado

que você utilize comandos do LDAP para backup e posterior restauração dos

dados do LDAP. Para obter instruções, consulte a documentação do produto

LDAP.

v Não é obrigatório fazer upgrade de todos os sistemas do domínio seguro para o

nível da Versão 4.1. Para obter uma lista dos sistemas das Versões 3.8 e 3.9

compatíveis com um servidor de critério da Versão 4.1, consulte o IBM Tivoli


v O processo de upgrade não oferece suporte à alteração do tipo de registro. Por

exemplo, você não pode efetuar upgrade de um registro de LDAP para um

registro do Domino.

v Se estiver fazendo upgrade com um aplicativo do Tivoli Access Manager

instalado, consulte a documentação do aplicativo publicada no site de Suporte

Tivoli para obter os requisitos e recomendações adicionais durante o processo de

upgrade.


v Apenas em sistemas UNIX:

– Todos os comandos são executados como usuário root (raiz).

– O diretório temporário é /tmp.

– O caminho de instalação é /opt/PolicyDirector e /var/PolicyDirector.v Apenas em sistemas Windows:

– Os comandos são executados por um usuário incluído no grupo

Administrador.

– O diretório temporário é o valor especificado pela variável TMP. Se a variável

TMP não existir, será utilizado o valor especificado pela variável TEMP. Se

nenhuma dessas variáveis estiver definida, o diretório system será o diretório

temporário.

– O caminho de instalação varia e depende do diretório especificado durante a

instalação.

– Você pode fazer upgrade do registro a qualquer momento ou após o upgrade

do Tivoli Access Manager, exceto quando o IBM Directory Server estiver

instalado em um sistema com um componente do Tivoli Access Manager.

Nesse caso, será necessário fazer upgrade do registro ao mesmo tempo que o

upgrade do IBM Directory Client.

Fazendo Upgrade do Sistema do Servidor de Política

Execute estas etapas para fazer upgrade do sistema do servidor de política

existente para o Tivoli Access Manager, Versão 4.1.

1. Para interromper todos os serviços do Tivoli Access Manager, execute uma das

seguintes ações:

v Em sistemas Windows, selecione Iniciar → Configurações → Painel de

controle → Ferramentas Administrativas (apenas Windows 2000) e, em

seguida, dê um clique duplo no ícone Services (Serviços). Pare todos os

serviços do Tivoli Access Manager em execução no sistema local, inclusive

aplicativos, como o WebSEAL.

v Nos sistemas UNIX, utilize o comando pd_start. Por exemplo, digite o

seguinte:

pd_start stop

Para assegurar-se de que todos os serviços e aplicativos do Tivoli Access

Manager estejam parados, emita o comando ps. Se ainda houver algum

serviço ou aplicativo do Tivoli Access Manager em execução, emita o

comando kill.2. Instale todas as correções do sistema operacional necessárias para o Tivoli

Access Manager, Versão 4.1 e seus produtos de pré-requisito. Para obter

informações sobre produtos de pré-requisito e correções requeridas do sistema

operacional, consulte os requisitos de software no IBM Tivoli Access Manager -

Notas sobre o Release.

3. Instale a versão do IBM GSKit (Global Security Toolkit) para a qual existe

suporte e faça upgrade do IBM Directory Client. Para obter instruções, consulte

a seção ″Utilizando a instalação nativa″ no capítulo de sua plataforma

específica. Após a conclusão das etapas de instalação nativa, volte para este

procedimento.

Notas:

v Se durante o upgrade do GSKit for solicitado que você reinicialize,

assegure-se de reinicializar e então continuar com este procedimento.

Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1


v Se o IBM Directory Client estiver no mesmo sistema que o IBM Directory

Server, será necessário fazer upgrade do servidor. Para obter informações

sobre upgrade do servidor, consulte a documentação do IBM Directory.4. Para fazer backup de informações importantes do Tivoli Access Manager no

servidor de política atual, utilize o comando pdbackup. Por exemplo, digite o

seguinte:

pdbackup -action backup -file archive_name -list /path/pdbackup.lst

em que archive_name é o nome do arquivo archive de dados do Tivoli Access

Manager e /path/ é um dos seguintes diretórios (no qual está o arquivo

pdbackup.lst):

v Em sistemas AIX:

unidade_de_cd/usr/sys/inst.images/migrate

v Em sistemas HP-UX:

unidade_de_cd/HP/migrate

v Em sistemas Red Hat Linux:

unidade_de_cd/linux/migrate

v Em sistemas Linux para zSeries:

unidade_de_cd/zSeries/migrate

v Em sistemas Solaris:

unidade_de_cd/solaris/migrate


unidade_de_cd\windows\migrate

Nota: Para obter informações adicionais sobre o comando pdbackup, consulte


5. Assegure-se de que o servidor LDAP esteja em execução e depois instale os

componentes do Tivoli Access Manager, Versão 4.1. Para obter instruções,

consulte o procedimento de instalação nativa no capítulo de sua plataforma

específica.

6. Assegure-se de que o servidor de política do Tivoli Access Manager esteja

sendo executado. Inicie todos os aplicativos do Tivoli Access Manager e execute

todas as tarefas específicas do produto.

Fazendo Upgrade do Servidor de Política Utilizando Dois Sistemas

Execute estas etapas para configurar um novo servidor de política da Versão 4.1

em um segundo sistema, permitindo que o sistema do servidor de política já

existente continue funcionando.

1. Para interromper todos os serviços do Tivoli Access Manager no servidor de

política existente, execute uma das seguintes ações:






v Nos sistemas UNIX, use o utilitário pd_start. Por exemplo, digite o

seguinte:

pd_start stop


Capítulo 8. Fazendo Upgrade para o Tivoli Access Manager, Versão 4.1 97

Para assegurar-se de que todos os serviços e aplicativos do Tivoli Access

Manager estejam parados, emita o comando ps. Se ainda houver algum

serviço ou aplicativo ainda em execução, emita o comando kill. 2. Para fazer backup de informações importantes do Tivoli Access Manager no

servidor de política existente, utilize o comando pdbackup. Por exemplo,

digite um dos seguintes comandos:

v Na Versão 3.8:

pdbackup -action backup -file nome_do_archive -list mig38to41.lst -path path

v Na Versão 3.9:

pdbackup -action backup -file nome_do_archive -list mig39to41.lst -path path

em que nome_do_archive é o nome do arquivo archive de dados do Tivoli

Access Manager UNIX ou o nome do diretório de archive no Windows e path

é o caminho no qual o arquivo archive ou o diretório de archive será criado.

Quando o comando pdbackup tiver sido concluído, um arquivo archive de

dados ou um diretório de archive de dados do Tivoli Access Manager será

produzido no caminho especificado.



3. Para iniciar novamente o daemon do servidor de política (pdmgrd) ou seu

serviço no servidor de política existente, execute uma das seguintes ações:



seguida, dê um clique duplo no ícone Services (Serviços). Inicie todos os



v Nos sistemas UNIX, use o utilitário pd_start. Por exemplo, digite o

seguinte:

pd_start start

4. Copie o archive produzido pelo comando pdbackup do servidor de política

existente para o novo servidor de política 4.1. Se estiver utilizando um sistema

Windows, copie o diretório de archive e todo o seu conteúdo para o novo

servidor de política 4.1. Além disso, se estiver utilizando SSL com o servidor

LDAP, copie o arquivo de chaves do cliente SSL para o novo sistema,

utilizando o mesmo caminho de destino e nome de arquivo utilizados como

origem do arquivo de chaves no primeiro sistema.

Nota: O novo servidor de política 4.1 deve ser um sistema limpo. Não utilize

um sistema existente.

5. No novo sistema, instale todas as correções do sistema operacional necessárias

para o Tivoli Access Manager, Versão 4.1 e seus produtos pré-requisito. Para

obter informações sobre produtos de pré-requisito e correções requeridas do

sistema operacional, consulte os requisitos de software no IBM Tivoli Access

Manager Command Reference.

6. Assegure-se de que o servidor LDAP esteja executando e instale o Tivoli

Access Manager, Versão 4.1 e seus pré-requisitos no novo servidor de política

4.1. Para obter instruções, consulte a seção ″Utilizando a instalação nativa″ no

capítulo de sua plataforma específica.

7. Para extrair dados de registro para o novo servidor de política 4.1, utilize o

comando pdbackup. Por exemplo, digite o seguinte:

pdbackup -action extract -path diretório_de_restauração -file nome_do_archive



em que diretório_de_restauração é o diretório temporário no novo servidor

de política 4.1 para o qual você deseja extrair os dados do archive e

nome_do_archive é o arquivo archive de dados do Tivoli Access Manager ou o

nome do diretório de archive.



8. Configure o tempo de execução no novo servidor de política 4.1. Quando for

solicitado um servidor LDAP, especifique o nome do servidor LDAP utilizado

pelo servidor de política existente.

9. Configure o novo servidor de política 4.1. Quando solicitado, se você desejar

configurar a política para migração, selecione Yes (Sim) e digite o

diretório_de_restauração especificado pela opção –path na Etapa 7 na página 98.

Cuidado

Se ocorrer um problema na configuração, não desconfigure este sistema

para não destruir os dados críticos necessários ao servidor de política

existente. Execute as instruções da seção “Removendo o Servidor de

Política Existente” na página 101 com o novo servidor. Observe que o

novo sistema é um clone do existente. Isso significa que o

posicionamento de arquivos críticos, como arquivos de certificado, deve

ser idênticos ao do sistema existente. Por exemplo, se houver um arquivo

de certificado no diretório /certs do servidor de política existente, ele

deverá estar localizado no diretório /certs no novo sistema.

10. Seu sistema está pronto. Execute pdadmin e consulte o banco de dados ACL e

o registro para verificar o status.

11. Instale e configure outros componentes do Tivoli Access Manager no novo

sistema, como necessário.

12. Se você tiver feito atualizações ou alterações no banco de dados durante o

processo de migração, copie os arquivos do banco de dados do servidor de

política antigo para o novo servidor de política 4.1. As localizações padrão dos

arquivos a serem copiados são as seguintes:

v Em sistemas UNIX: /var/PolicyDirector/db/master_authzn.db

v Em sistemas Windows:dir_de_instalação\db\master_authzn.db13. Continue com a próxima seção, “Fazendo Upgrade de Outros Sistemas do

Tivoli Access Manager”, para fazer upgrade de outros sistemas para a Versão

4.1. Quando você tiver atualizado todos os sistemas do Tivoli Access Manager,

conclua o procedimento da seção “Removendo o Servidor de Política

Existente” na página 101 para remover o servidor de política existente.

Fazendo Upgrade de Outros Sistemas do Tivoli Access Manager

Execute estas etapas para migrar os sistemas do Tivoli Access Manager (que não

sejam o servidor de política) para o Tivoli Access Manager, Versão 4.1:

1. Pare os aplicativos e serviços do Tivoli Access Manager em execução no sistema

e execute as instruções específicas do produto. Para parar todos os aplicativos e

serviços, proceda de uma das seguintes formas:








v Nos sistemas UNIX, use o utilitário pd_start. Por exemplo, digite o seguinte:

pd_start stop

Nota: Para assegurar-se de que todos os serviços e aplicativos do Tivoli

Access Manager estejam parados, emita o comando ps. Se ainda

houver algum serviço ou aplicativo do Tivoli Access Manager em

execução, emita o comando kill.2. Instale todas as correções do sistema operacional necessárias para o Tivoli

Access Manager, Versão 4.1 e seus produtos de pré-requisito. Para obter

informações sobre produtos de pré-requisito e correções requeridas do sistema

operacional, consulte os requisitos de software no IBM Tivoli Access Manager

Command Reference.

3. Instale a versão do IBM GSKit (Global Security Toolkit) para a qual existe

suporte e faça upgrade do IBM Directory Client. Para obter instruções, consulte

a seção ″Utilizando a instalação nativa″ no capítulo de sua plataforma

específica. A remoção de versões anteriores do IBM Global Security Toolkit não

é necessária. Ao concluir as etapas da instalação nativa, retorne para este

procedimento para assegurar a conclusão do procedimento com êxito.

Notas:

v Se durante o upgrade do GSKit for solicitada uma reinicialização, execute-a e

depois continue com este procedimento.

v Se o IBM Directory Client estiver no mesmo sistema que o IBM Directory

Server, será necessário fazer upgrade do servidor. Para obter informações

sobre upgrade do servidor, consulte a documentação do IBM Directory.4. Para fazer backup de informações importantes do Tivoli Access Manager no

servidor de política atual, utilize o comando pdbackup. Por exemplo, digite o

seguinte:

pdbackup -action backup -file archive_name -list /path/pdbackup.lst

em que archive_name é o nome do arquivo archive de dados do Tivoli Access

Manager e /path/ é um dos seguintes diretórios (no qual está o arquivo

pdbackup.lst):

v Em sistemas AIX:

unidade_de_cd/usr/sys/inst.images/migrate

v Em sistemas HP-UX:

unidade_de_cd/HP/migrate

v Em sistemas Red Hat Linux:

unidade_de_cd/linux/migrate

v Em sistemas Linux para zSeries:

unidade_de_cd/zSeries/migrate


unidade_de_cd/solaris/migrate


unidade_de_cd\windows\migrate





5. Assegure-se de que o servidor LDAP e o servidor de política estejam

executando e instale os componentes do Tivoli Access Manager, Versão 4.1.

Para obter instruções, consulte o procedimento de instalação nativa no capítulo

de sua plataforma específica.

6. Inicie os aplicativos do Tivoli Access Manager e execute as tarefas específicas

do produto.

Removendo o Servidor de Política Existente

Se você tiver feito upgrade do servidor de política utilizando a abordagem de dois

sistemas, execute estas etapas para remover o servidor de política existente depois

que seus dados e o cliente/servidor tiverem sido migrados com êxito para o

sistema do servidor de política da Versão 4.1.

1. Copie o seguinte arquivo do servidor de política da Versão 4.1 para um

diretório temporário no servidor de política existente:

v Em sistemas UNIX: opt/PolicyDirector/sbin/pdmgr_ucf

v Em sistemas Windows: pd_install_path/sbin/pdmgr_ucf.exe

em que pd_install_path é o caminho de instalação do Tivoli Access Manager.

2. No servidor de política existente, execute o arquivo pdmgr_ucf (pfmgr_ucf.exe

no Windows).

3. Desinstale a versão anterior do Tivoli Access Manager. Consulte a

documentação do Tivoli Access Manager, Versão 3.8 ou Versão 3.9, para obter

os procedimentos de remoção da instalação.

Nota: Não desconfigure o servidor de política existente ou o novo durante o

processo de upgrade. Se for feita desconfiguração, o ambiente do Tivoli

Access Manager não funcionará.

Restaurando um Sistema para o Nível Anterior

Se ocorrer algum problema ao migrar para a Versão 4.1 utilizando a abordagem de

um sistema, poderá ser necessário restaurar o sistema para seu nível anterior. Para

isso, execute estas etapas.

Nota: Se você encontrar um problema durante o backup dos dados existentes,

entre em contato com o Suporte do Tivoli para obter assistência, antes de

continuar com o processo de atualização.

1. Assegure-se de que todos os aplicativos e serviços base do Tivoli Access

Manager estejam parados.

2. Para remover o Tivoli Access Manager, Versão 4.1, proceda de uma das

seguintes formas:

v Em sistemas AIX, utilize smitty para remover os pacotes do Tivoli Access

Manager do sistema.

v Em sistemas HP-UX, digite os seguintes comandos nesta ordem:

rm -f /opt/PolicyDirector/.configure/*

swremove -x enforce_dependencies=false package_name

rm -fR /opt/PolicyDirector

rm -fR /var/PolicyDirector

v No Linux, digite os seguintes comandos:


rpm -e package_name





v Em sistemas Solaris, digite os seguintes comandos:


pkgrm package_name



O comando pkgrm pergunta se você deseja continuar removendo o

componente mesmo que ainda esteja configurado. Digite Yes (Sim) para

continuar. Se houver dependências instaladas, como o WebSEAL, será

perguntado se você deseja desinstalar o componente base do Tivoli Access

Manager, embora haja aplicativos que dependem dele. Digite Yes (Sim) para

continuar.

v Em sistemas Windows, siga estas etapas:

a. Inicie sessão como um usuário do Windows com privilégio de

administrador.

b. Selecione Iniciar → Configurações → Painel de controle e, em seguida,

clique no ícone Add/Remove Programs (Adicionar ou Remover

Programas).

c. Utilize o botão Add/Remove (Adicionar ou remover) para remover os

pacotes do Tivoli Access Manager.3. Instale a versão anterior do Tivoli Access Manager. Para obter instruções,

consulte o Guia de Instalação Base específico da sua versão.

Nota: Apenas em sistemas AIX, você deve emitir o comando installp com a

opção –F . Ou, se estiver utilizando SMIT para instalar os pacotes da

Versão 3.8 ou 3.9, responda yes quando perguntado se deseja

sobrescrever a mesma versão ou versões mais novas, e no quando

perguntado se deseja instalar automaticamente o software de requisito.

4. Aplique os fixpacks do Tivoli Access Manager que estavam no sistema antes do

upgrade para a Versão 4.1.

5. Para restaurar os dados anteriores, vá para o diretório temporário e utilize o

comando pdbackup –action restore. Para obter exemplos e descrições das

opções pdbackup, consulte o IBM Tivoli Access Manager Command Reference.



Capítulo 9. Casos de Instalação Fácil do UNIX

Este apêndice fornece os seguintes casos de uso de scripts de instalação fácil em

plataformas UNIX:

v “Configurando um Sistema do IBM Directory Server”

v “Configurando o Sistema do Servidor de Política do Tivoli Access Manager” na

página 108

v “Configurando um Sistema de Tempo de Execução do Tivoli Access Manager”

na página 115

v “Configurando um Sistema Web Portal Manager” na página 120

Antes de começar





v Revise a seção ″Utilizando a instalação fácil″ no capítulo de instalação do

Tivoli Access Manager para sua plataforma específica, para ver a quais

scripts de instalação fácil há suporte.

Os componentes essenciais de um domínio seguro incluem um registro para o qual

existe suporte e o servidor de política do Tivoli Access Manager. Para estes casos,

as seguintes condições são válidas:

v O IBM Directory Server está instalado e configurado como registro do Tivoli

Access Manager.

v A comunicação SSL (Secure Sockets Layer) está ativada entre o IBM Directory

Server e seus clientes LDAP.

Configurando um Sistema do IBM Directory Server

O caso a seguir utiliza o script ezinstall_ldap_server para instalar e configurar o

IBM Directory Server como registro do Tivoli Access Manager. Esse script instala e

configura todos os softwares necessários no seu sistema, inclusive os produtos de

pré-requisito, componentes do Tivoli Access Manager e correções associadas.

Ao contrário dos arquivos de instalação fácil do Windows, você não tem a opção

de alterar os diretórios de instalação. Os diretórios padrão são os seguintes:

v Para sistemas AIX:

– IBM DB2 — /usr/ldap/db2

– IBM HTTP Server — /usr/HTTPServer

– LDAP — /usr/ldap

– GSKit — /usr/opt/ibm/gskkm

v Para sistemas Solaris:

– IBM DB2 — /opt/IBMdb2

– IBM HTTP Server — /opt/IBMHTTP

– Servidor LDAP — /opt/IBMldaps


– Cliente LDAP — /opt/IBMldapc

– GSKit — /opt/ibm/gsk5

A Tabela 9 indica opções de configuração para o IBM Directory Server e seu

software pré-requisito. Leia o caso a seguir e identifique esses valores nos espaços

fornecidos, pois serão solicitados durante a instalação.

Tabela 9. Planilha de Instalação do IBM Directory Server

Configuração do IBM HTTP Server Valor Padrão Seu Valor

ID de Administração

A instalação fácil detecta o ID de

administração utilizado para conectar-se

ao sistema.

____________________________

Senha de Administração ____________________________

Porta HTTP 80 ____________________________

Configuração do IBM Directory Server Valor Padrão Seu Valor

ID do administrador LDAP (DN) cn=root ____________________________

Senha do Administrador LDAP ____________________________

Nome do Host do Servidor LDAP

A instalação fácil detecta e preenche o

nome do host do sistema.

____________________________

DN LDAP para Banco de Dados GSO

Sugestão:

o=tivoli,c=us

____________________________

Porta do Servidor LDAP 389 ____________________________

Arquivo Chave LDAP SSL cd_drive/common/pd_ldapkey.kdb ____________________________

Senha do Arquivo de Chaves SSL LDAP gsk4ikm ____________________________

Etiqueta de Certificado do Cliente SSL PDLDAP ____________________________

Para instalar e configurar o IBM Directory Server e seu software pré-requisito,


Nota: Se já existir uma versão do IBM Directory Server, remova-a. Assegure-se

também de ter saído de todos os programas em execução antes de iniciar os

scripts de instalação fácil.


2. Um arquivo de chaves LDAP SSL padrão (pd_ldapkey.kdb) será copiado para

o sistema durante a instalação fácil. Se você estiver ativando SSL e pretende

utilizar um arquivo de chaves SSL diferente, assegure-se de copiar

manualmente o arquivo de chaves SSL que pretende utilizar para um diretório

neste sistema.

3. Execute o arquivo ezinstall_ldap_server, localizado no diretório raiz no CD

do Tivoli Access Manager Base para sua plataforma específica.

Se você executou anteriormente um arquivo de instalação fácil neste sistema,

será solicitado que utilize o arquivo de resposta armazenado. Para continuar

com este caso, pressione N. Para obter informações adicionais sobre arquivos

de resposta, consulte o Apêndice B, “Referência de Configuração do Tivoli

Access Manager”, na página 185.

Será exibida uma janela semelhante à seguinte. Ela mostra o status atual dos

produtos necessários para o IBM Directory Server. Para iniciar o processo de

instalação, pressione Enter e forneça as informações de configuração, quando

Casos de instalação fácil do UNIX


solicitadas.

Nota: A instalação fácil não solicita que você altere os valores padrão.

Entretanto, você pode alterar esses valores no fim de cada conjunto de

opções de configuração. Quando solicitado, basta digitar o número

associado à opção, alterar seu valor e pressionar Enter.

4. Digite a senha associada ao ID root (raiz) utilizada para efetuar logon nesse

sistema e pressio ne Enter.


Capítulo 9. Casos de instalação fácil no UNIX 105

5. Para continuar, digite S e pressione Enter. Em seguida, crie uma senha para o

ID do Administrador LDAP, digitando-a novamente para confirmar.

6. Será solicitado que você digite o DN LDAP para o Banco de Dados GSO. Este

é o nome distinto do local na DIT (árvore de informações do diretório) do

servidor LDAP na qual você deseja que os metadados de GSO (conexão

global) estejam localizados. Você pode digitar um sufixo ou especificar o DN

de uma localização DIT do LDAP já existente. Por exemplo, digite

o=tivoli,c=us para criar um novo sufixo para metadados GSO.

Nota: O DN LDAP para o banco de dados GSO é obrigatório,

independentemente de você implementar uma solução de conexão

única com o Tivoli Access Manager. Para obter informações adicionais

sobre o DN LDAP para o banco de dados GSO, consulte a seção “Visão

Geral da Configuração do Servidor LDAP” na página 19.

7. Depois de digitar o DN LDAP para o banco de dados GSO, você tem a

oportunidade de modificar qualquer opção de configuração do IBM Directory

Server. Por exemplo, se você não deseja utilizar o Arquivo de chaves SSL

LDAP (opção 7), digite 7 e pressione Enter para alterar seu valor. Se você



alterar o valor do arquivo de chaves SSL, assegure-se de alterar também os

valores das opções 8 e 9 conforme a primeira alteração.

8. Se você não tiver alterado o valor padrão da opção 7 (Arquivo de chaves SSL

LDAP), será solicitado que pressione Enter para copiar o arquivo

cd_drive/common/pd_ldapkey.kdb para o diretório

var/ldap/keytab/pd_ldapkey.kdb no sistema. Para continuar, digite Y e

pressione Enter.

Notas:

v A Opção 8 (Senha do Arquivo de Chaves SSL LDAP) é a senha associada ao

arquivo pd_ldapkey.kdb padrão. Essa senha padrão é gsk4ikm. Se você

decidir alterar essa senha com o utilitário gsk5ikm, será necessário chamar

novamente a senha.

v Se você tiver alterado o arquivo pd_ldapkey.kdb padrão na opção 7, não

será solicitado que copie esse arquivo de chaves.

9. O processo de instalação inicia para o IBM Directory Server e seus produtos

pré-requisito.

10. Continue monitorando a instalação e configuração do IBM Directory Server e

de seus produtos pré-requisito. Esse processo pode demorar alguns minutos.



Aguarde até a conclusão do processo. Quando a instalação tiver sido

concluída, o status de todos os produtos será Configured (Configurado)

conforme mostrado:

Nota: Se ocorrer algum erro durante a instalação, você pode exibir o arquivo

/var/ezinstall_ldap_server.log.

Configurando o Sistema do Servidor de Política do Tivoli Access

Manager

Depois de concluir com êxito a instalação do registro LDAP, a próxima etapa é

configurar o servidor de política. O caso a seguir utiliza o arquivo ezinstall_pdmgr

para instalar e configurar o servidor de política. Esse script instala e configura

todos os softwares necessários no seu sistema, inclusive os produtos de

pré-requisito, componentes do Tivoli Access Manager e correções associadas.

Este caso instala o servidor de política no mesmo sistema que o registro instalado

na seção “Configurando um Sistema do IBM Directory Server” na página 103. Isso

é útil ao criar um protótipo de uma implementação ou desenvolver e testar um

aplicativo. Em uma implementação real, no entanto, é recomendado que esses

servidores sejam instalados em sistemas separados. Observe que a única diferença

de uma instalação em sistemas separados é que o processo também instala o IBM

Global Security Toolkit e o IBM Directory Client.

A Tabela 10 relaciona opções de configuração do servidor de política do Tivoli

Access Manager e seu software pré-requisito. Leia o caso a seguir e identifique

esses valores nos espaços fornecidos, pois serão solicitados durante a instalação.

Tabela 10. Planilha de Instalação do Servidor de Política do Tivoli Access Manager

Configuração de Tempo de Execução do


Valor Padrão Seu Valor

Configure Utilizando Este Registro

ldapHá suporte somente a LDAP no

momento.

____________________________

Nome do Host do Servidor LDAP ____________________________




Tabela 10. Planilha de Instalação do Servidor de Política do Tivoli Access Manager (continuação)

Configuração do Servidor de Política

do IBM Tivoli Access





Ativar SSL entre o Servidor de Política e

o LDAP?

Recomendado: Y ____________________________

Se você ativar SSL com o servidor LDAP, os próximos quatro valores serão solicitados:

Arquivo Chave do Cliente SSL do LDAP ____________________________

Rótulo de Certificado do Cliente LDAP

Valor não obrigatório se for utilizado o

arquivo de chaves SSL padrão.

____________________________

Senha do Arquivo de Chaves SSL gsk4ikm ____________________________

Porta SSL do Servidor LDAP 636 ____________________________

DN do LDAP para Banco de Dados

GSO

Assegure-se de ter especificado o mesmo

DN utilizado para configurar o servidor

LDAP.

____________________________

Porta do Servidor SSL para Servidor de

Política do AM

7135 ____________________________

Tempo de Vida do Certificado SSL do

Servidor de Política

365 ____________________________

Ativar Download de Certificados Recomendado: Y ____________________________

Para instalar e configurar o servidor de política do Tivoli Access Manager, execute

estas etapas:

1. Assegure-se de ter efetuado logon no sistema como administrador raiz.


v Se estiver instalando o servidor de política em um sistema separado, copie

manualmente o arquivo de chaves SSL utilizado para configurar o servidor

LDAP para um diretório neste sistema. Por exemplo, copie o arquivo

pd_ldapkey.kdb padrão do diretório var/ldap/keytab no sistema do IBM

Directory Server para o diretório /var/ldap/keytab neste sistema.

v Se estiver instalando o servidor de política no mesmo sistema em que

instalou o IBM Directory Server, vá para a etapa 3. 3. Execute o arquivo ezinstall_pdmgr, localizado no diretório raiz no CD do

Tivoli Access Manager Base para sua plataforma específica.






Será exibida uma janela semelhante à seguinte. Para iniciar o processo de




solicitadas.

Se você pretende instalar o servidor de política no mesmo sistema que o

servidor LDAP, o script ezinstall_pdmgr detecta que o IBM Global Security

Toolkit e o IBM Directory Client já estão instalados.

4. Digite o nome do host do servidor LDAP e pressione Enter. Esse é o nome do

sistema host no qual o IBM Directory Server foi instalado. Por exemplo,

pdsun3 foi o nome de host utilizado para o IBM Directory Server no caso

anterior. Você pode digitar o nome abreviado ou completo, como

pdsun3.dev.company.com.

5. Para continuar, digite S e pressione Enter. Por motivos de segurança, é

recomendado ativar a comunicação SSL com o servidor LDAP. Para isto, digite

Y e pressione Enter. Caso contrário, digite N e vá para a etapa 8 na página

112



112.

6. Digite o caminho completo para o qual copiou o arquivo de chaves do cliente

SSL LDAP na etapa 2 na página 109 e pressione Enter. Por exemplo, se você

tiver copiado o arquivo pd_ldapkey.kdb padrão para o diretório

/var/ldap/keytab, digite /var/ldap/keytab/pd_ldapkey.kdb.

7. Digite a senha do arquivo de chaves do cliente SSL LDAP e pressione Enter.

O arquivo pd_ldapkey.kdb padrão incluído na instalação fácil tem a senha

padrão gsk4ikm. Utilize essa senha padrão somente se tiver instalado e

configurado o IBM Directory Server utilizando o script ezinstall_ldap_server

ou se tiver especificado esse arquivo de chaves padrão durante a instalação

nativa. Se você decidir alterar essa senha usando o utilitário gsk5ikm, será

necessário chamar novamente a senha padrão.

Nota: A Opção 7 especifica o rótulo no arquivo de banco de dados de chaves

do GSKit do cliente para o certificado do cliente a ser enviado para o

servidor LDAP. Ao ativar SSL utilizando os valores padrão, esse valor

não é necessário. O valor é obrigatório somente se o servidor estiver



configurado para exigir autenticação do cliente durante o

estabelecimento de SSL ou se você desejar utilizar o certificado não

padrão no arquivo de chaves. Normalmente, o servidor LDAP exige

somente certificados no lado do servidor, especificados durante a

criação do arquivo .kdb do cliente.

8. Digite a senha do ID do Administrador LDAP criada na instalação do servidor

LDAP e pressione Enter .

9. Crie uma senha para o ID principal de segurança (sec_master), digitando-a

novamente para confirmar. Utilize esse ID administrativo para definir seus



próprios IDs administrativos, grupos e respectivos recursos.

10. Digite o DN LDAP para o valor do banco de dados GSO digitado durante a

configuração do servidor LDAP e pressione Enter. Por exemplo, o=tivoli,c=us

era o sufixo utilizado no caso anterior.

11. A configuração do servidor de política Tivoli Access Manager cria um arquivo

de autoridade de certificação SSL padrão, denominado pdcacert.b64, que

permite a comunicação entre o servidor e outros sistemas de tempo de

execução do Tivoli Access Manager. Para simplificar a configuração, permita

que sistemas de tempo de execução do Tivoli Access Manager façam

download desse arquivo automaticamente. Caso contrário, será necessário

copiar esse arquivo manualmente para cada sistema de tempo de execução do

Tivoli Access Manager subseqüente antes de configurar o sistema.

Para ativar o download automático do arquivo de autoridade de certificação

SSL, digite Y e pressione Enter.



Nota: Se você não ativar o download automático, o arquivo de autoridade de

certificação SSL será colocado no seguinte diretório:

/var/PolicyDirector/keytab/pdcacert.b64

12. Para continuar, digite S e pressione Enter. Monitore o andamento da

instalação. Quando a instalação tiver sido concluída, o status de todos os

produtos será Configured (Configurado) como mostrado:

13. Depois de configurar o servidor de política, você pode configurar sistemas

Tivoli Access Manager adicionais no domínio seguro. Por exemplo, você pode

fazer o seguinte:

v Execute o programa InstallShield install_pdrte para instalar um ou mais

sistemas do cliente de tempo de execução (sem o servidor de política). Para

obter instruções, consulte o “Configurando um Sistema de Tempo de

Execução do Tivoli Access Manager” na página 115.



v Execute o script ezinstall_pdwpm para instalar um cliente de tempo de

execução Tivoli Access Manager com a interface do Web Portal Manager.

Para obter instruções, consulte o “Configurando um Sistema Web Portal

Manager” na página 120.

v Execute o script ezinstall_pdacld para configurar um sistema do Servidor

de Autorização.

v Execute o script ezinstall_pdauthADK para instalar um sistema de



/var/ezinstall_pdmgr.log.

Configurando um Sistema de Tempo de Execução do Tivoli Access

Manager

O caso a seguir utiliza o assistente InstallShield install_pdrte para instalar e

configurar um sistema de tempo de execução do Tivoli Access Manager. Ao

contrário dos outros scripts de instalação fácil, o programa install_pdrte utiliza um

assistente InstallShield para guiá-lo pela instalação de um sistema de tempo de

execução. Todos os produtos pré-requisitos e componentes do Tivoli Access

Manager são instalados e configurados, exceto um JRE pré-requisito, que deve ser

instalado manualmente.

A Tabela 11 relaciona opções de configuração para o tempo de execução do Tivoli



Nota: Se o produto já estiver instalado, o InstallShield não solicita o diretório de

instalação. Lembre-se também que há suporte à instalação fácil somente com

o uso de um registro com base em LDAP.

Tabela 11. Planilha de Instalação do Sistema de Tempo de Execução do Tivoli Access Manager

Tempo de Execução do IBM Tivoli

Access Manager


Nome do host do servidor de política ____________________________

Porta SSL do servidor de política 7135 ____________________________

Arquivo de certificado CA do servidor

de política

Não é necessário nenhum valor se você

tiver optado por permitir que outros

sistemas de tempo de execução do Tivoli

Access Manager façam download do

arquivo de certificado padrão durante a

instalação do servidor de política.

____________________________

Nome do host do servidor LDAP ____________________________

Porta do servidor LDAP 389 ____________________________

SSL com o servidor LDAP é ativado por padrão. Será solicitado que você forneça os seguintes valores:

Arquivo de chaves com caminho

completo

É necessário copiar o arquivo

pd_ldapkey.kdb padrão do IBM

Directory Server para um diretório neste

sistema.

____________________________

Senha do arquivo de chaves gsk4ikm ____________________________

DN do Arquivo de Chaves SSL LDAP

(se necessário)


utilizar o arquivo de chaves padrão

pd_ldapkey.kdb

____________________________



Tabela 11. Planilha de Instalação do Sistema de Tempo de Execução do Tivoli Access Manager (continuação)

Número da porta SSL 636 ____________________________

Nota: Não serão solicitadas opções de configuração para GSKit e o IBM Directory

Client. Além disso, SSL é ativado automaticamente com o IBM Directory

Server.

Para instalar e configurar um sistema de tempo de execução do Tivoli Access

Manager, execute estas etapas:

1. Assegure-se de que o servidor LDAP e o servidor de política estejam ativados

e em execução e que você tenha efetuado logon como administrador raiz.

2. Copie manualmente o arquivo de chaves SSL utilizado para configurar o

servidor LDAP para um diretório neste sistema. Por exemplo, copie o arquivo

pd_ldapkey.kdb padrão do diretório /var/ldap/keytab no sistema do IBM

Directory Server para o diretório var/ldap/keytab neste sistema.


instruções, consulte um dos seguintes:

v Em sistemas AIX, consulte a página 47.

v Em sistemas HP-UX, consulte a página 57.

v Em sistemas Red Hat Linux, consulte a página 66.

v Em sistemas Solaris, consulte a página 75. 4. Selecione o idioma que você deseja utilizar para a instalação e clique em OK.

5. Para iniciar o Assistente InstallShield para o tempo de execução do Tivoli

Access Manager, clique em Next (Avançar).




(Avançar).

7. Preencha os campos a seguir e pressione Next (Avançar).

v Policy server host name (Nome do host do servidor de política) — Digite

o nome do host do sistema do servidor de política.

v Policy server SSL port (Porta SSL do servidor de política) — A porta SSL

do servidor de política já é fornecida (7135). Se você tiver alterado esse

número de porta, modifique esse valor.

v Policy server CA Certificate File (Arquivo de Certificado CA do servidor

de política) — Para que o tempo de execução do Tivoli Access Manager

autentique os outros servidores do Tivoli Access Manager aos quais ele é

conectado, ele deve ter uma cópia do arquivo pdcacert.b64 gerado pelo

servidor de política durante a configuração. Proceda de uma das seguintes

maneiras:

– Se você tiver ativado o servidor de política para permitir o download do

arquivo pdcacert.b64 não será necessário nenhum valor.

– Se você não tiver ativado o servidor de política para fazer download

desse arquivo de certificado, digite o caminho completo no qual copiou o

arquivo pdcacert.b64 neste sistema.



8. Digite o nome do host do sistema do servidor LDAP. A porta do servidor

LDAP já é fornecida (389). Se necessário, modifique essa porta e pressione

Next (Avançar) para continuar.



9. Revise as opções de configuração. Selecione Next (Avançar) para iniciar a

instalação.

10. O processo de instalação é iniciado. Esse processo pode demorar alguns

minutos.

11. Continue monitorando a instalação do tempo de execução do Tivoli Access

Manager e a criação do programa de remoção da instalação. Quando a

instalação tiver sido concluída, você será avisado que a instalação do tempo

de execução foi concluída com êxito. Para sair desse programa, clique em



Concluir como mostrado:

Se ocorrer algum erro durante a instalação, você pode exibir o arquivo

/tmp/msg__amismp.log .

Configurando um Sistema Web Portal Manager

O caso a seguir utiliza o script ezinstall_pdwpm para instalar e configurar um

sistema de tempo de execução do Tivoli Access Manager com a interface do Web

Portal Manager. Esse script instala e configura todos os softwares necessários no

seu sistema, inclusive os produtos de pré-requisito, componentes do Tivoli Access

Manager e correções associadas.

A Tabela 12 relaciona opções de configuração para o Web Portal Manager e seu



Tabela 12. Planilha de Instalação do Sistema Web Portal Manager





ao sistema.

____________________________


Porta HTTP 80 ____________________________


Access Manager


Configure Utilizando Este Tipo de

Registro

ldap ____________________________





Tabela 12. Planilha de Instalação do Sistema Web Portal Manager (continuação)

Nome do Host do Servidor de Política

Access Manager

____________________________

Porta de Servidor SSL 7135 ____________________________

Nome do Arquivo de Certificado CA do


Se você tiver ativado o servidor de política

para permitir o download do arquivo de

certificado, não será necessário nenhum

valor.

____________________________

IBM Web Portal Manager Tivoli Access

Manager


Nome de Login do PDADMIN sec_master ____________________________

Senha Master de Segurança ____________________________

Para instalar o configurar um sistema Tivoli Access Manager com a interface do

Web Portal Manager, execute estas etapas:


e em execução e que você tenha efetuado logon como administrador raiz.

2. Assegure-se de ter um navegador da Web instalado que ofereça suporte à

interface do Web Portal Manager. Para obter os navegadores suportados,

consulte o IBM Tivoli Access Manager - Notas sobre o Release.

3. Execute o script ezinstall_pdwpm, localizado no diretório raiz no CD do IBM

Tivoli Access Manager Web Portal Manager para sua plataforma UNIX específica.








solicitadas.



Nota: Se você já instalou anteriormente o componente de tempo de execução

do Tivoli Access Manager neste sistema, a coluna Status indica que o

IBM Global Security Toolkit, o IBM Directory Client e o componente de

tempo de execução do Tivoli Access Manager já estão instalados.

4. Digite a senha associada ao ID root (raiz) utilizada para efetuar logon nesse

sistema e pressione Enter. Lembre-se que a instalação fácil faz upgrade da

versão do IBM HTTP Server instalada com o IBM WebSphere Application

Server. Ela também instala um patch necessário para o IBM HTTP Server.

Nota: A Opção 3 especifica a porta utilizada pelo IBM HTTP Server. Se você

tiver instalado um servidor LDAP que não utiliza o IBM HTTP Server e

estiver instalando o Web Portal Manager no mesmo sistema,

assegure-se de que as portas sejam diferentes. Você pode alterar o valor

da opção 3 durante a instalação fácil ou pode editar o arquivo

/usr/HTTPServer/conf/httpd.conf e alterar a porta padrão 80 para 8080

como mostrado:


Port 8080

5. Para continuar, digite S e pressione Enter. Em seguida, digite o nome do host

do servidor LDAP e pressione Enter. Esse é o nome do sistema host no qual o

IBM Directory Server foi instalado. Por exemplo, pdsun3 foi o nome do host

do IBM Directory Server utilizado no caso anterior. Você pode digitar o nome



abreviado ou completo do host, como pdsun3.dev.company.com.

6. Digite o nome do host do servidor de política e pressione Enter.

7. Para que o tempo de execução do Tivoli Access Manager autentique os outros

servidores do Tivoli Access Manager aos quais ele é conectado, é necessário

ter uma cópia do arquivo de certificado CA gerado pelo servidor de política

durante a configuração.

Proceda de uma das seguintes formas:

v Se você tiver ativado o servidor de política para permitir o download do

arquivo pdcacert.b64, pressione Enter. Não é necessário nenhum valor.

v Se você não tiver ativado o servidor de política para fazer download

automaticamente desse arquivo de certificado, digite o caminho completo

para o qual copiou o arquivo pdcacert.b64 neste sistema e pressione Enter.



8. Para continuar, digite S e pressione Enter. Em seguida, digite a senha do ID

principal de segurança (sec_master), criada durante a instalação do servidor

de política. Para continuar, digite S e pressione Enter.



9. O processo de instalação é iniciado. Os produtos são instalados na seqüência

indicada.

Os componentes são configurados e o Web Portal Manager é instalado. O Java

Runtime Environment do Tivoli Access Manager também tem instalação

silenciosa com o componente Web Portal Manager.

10. Continue monitorando a instalação dos produtos indicados. Esse processo

pode demorar alguns minutos. Aguarde até a conclusão do processo. Quando

a instalação tiver sido concluída, o status de todos os produtos será

Configured (Configurado) como mostrado:


WebSphere Application Server esteja sendo executado. Para isto, execute o

script startServer.sh em um dos seguintes diretórios:

v Em sistemas AIX:

/usr/WebSphere/AppServer/bin




/opt/WebSphere/AppServer/bin












está armazenada.13. Para acessar a interface do Web Portal Manager, digite o endereço a seguir no

navegador da Web.




vez de http.




/var/ezinstall_pdwpm.log.



Capítulo 10. Casos de Instalação Fácil do Windows

Este apêndice fornece os seguintes casos de uso de arquivos de instalação fácil em

uma plataforma Windows:

v “Configurando o Sistema do IBM Directory Server”

v “Configurando o Sistema do Servidor de Política do Tivoli Access Manager” na

página 133

v “Configurando um Sistema de Tempo de Execução do Tivoli Access Manager”

na página 141

v “Configurando um Sistema Web Portal Manager” na página 144

Antes de começar

v Instale todas as correções do sistema operacional e releia os requisitos do

sistema relacionados no IBM Tivoli Access Manager para e-business: Notas

sobre o Release.

v Assegure de configurar os sistemas Tivoli Access Manager na ordem

indicada na seção “Processo de Instalação” na página 6.

Os componentes essenciais de um domínio seguro incluem um registro para o qual

existe suporte e o servidor de política do Tivoli Access Manager. Para estes casos,

as seguintes condições são válidas:

v O IBM Directory Server está instalado e configurado como registro do Tivoli

Access Manager.

v A comunicação SSL (Secure Sockets Layer) está ativada entre o IBM Directory

Server e seus clientes LDAP.

Configurando o Sistema do IBM Directory Server

O caso a seguir utiliza o arquivo ezinstall_ldap_server.bat para instalar e

configurar o IBM Directory Server como registro do Tivoli Access Manager. Esse

arquivo em batch instala e configura todos os softwares necessários no seu sistema,

inclusive os produtos de pré-requisito, componentes do Tivoli Access Manager e

correções associadas.

A Tabela 13 indica opções de configuração para o IBM Directory Server e seu



Tabela 13. Planilha de Instalação do IBM Directory Server

Configuração do IBM DB2 Valor Padrão Seu Valor

ID de Administração db2admin ____________________________


Diretório de Instalação C:\Arquivos de Programas\SQLLIB ____________________________





ao sistema.

____________________________


Tabela 13. Planilha de Instalação do IBM Directory Server (continuação)


Porta HTTP 80 ____________________________

Diretório de Instalação

C:\Arquivos de Programas\IBM HTTP

Server

____________________________

IBM Global Security Toolkit Valor Padrão Seu Valor

Diretório de Instalação C:\Arquivos de Programas\IBM\GSK ____________________________

Configuração do IBM Directory Server Valor Padrão Seu Valor



Nome do Host do Servidor LDAP

A instalação fácil detecta e preenche o

nome do host do sistema.

____________________________


Sugestão:

o=tivoli,c=us

____________________________


Arquivo de Chaves SSL LDAP cd_drive:\common\pd_ldapkey.kdb ____________________________


Rótulo de Certificado do Cliente SSL PDLDAP ____________________________

Diretório de Instalação C:\Arquivos de Programas\IBM\LDAP ____________________________

Para instalar e configurar o IBM Directory Server e seu software pré-requisito,


Notas

v Se já existir uma versão do IBM Directory Server, remova-a.

v Em sistemas Windows, será solicitado intermitentemente que você reinicie o

sistema. Saia de todos os programas em execução antes de executar a instalação

fácil. 1. Efetue logon no sistema Windows como usuário Administrador ou com um

ID que seja membro do grupo de Administradores.

2. Um arquivo de chaves LDAP SSL padrão (pd_ldapkey.kdb) será copiado para

o sistema durante a instalação fácil. Se você estiver ativando SSL e pretende

utilizar um arquivo de chaves SSL diferente, assegure de copiar manualmente

o arquivo de chaves SSL que pretende utilizar para um diretório neste

sistema.

3. Execute o arquivo ezinstall_ldap_server.bat, localizado no diretório raiz do

CD do IBM Tivoli Access Manager Base para Windows.






Será exibida uma janela semelhante à seguinte. Ela mostra o status atual dos

produtos necessários para o IBM Directory Server. Para iniciar o processo de


Casos de instalação fácil do Windows


solicitadas.

4. Crie uma senha para o ID de administração do DB2, digitando-a novamente

para confirmar.

Nota: Será solicitado que você redigite todas as novas senhas, para confirmar.

Nota: A instalação fácil não solicita que você altere os valores padrão.

Entretanto, você pode alterar esses valores no fim de cada conjunto de

opções de configuração (como mostrado na etapa 6 na página 130).

Basta digitar o número associado à opção, alterar seu valor e pressionar

Enter.

5. Para continuar, digite S e pressione Enter. Em seguida, digite a senha

associada ao ID de administração utilizado para efetuar logon neste sistema


Capítulo 10. Casos de instalação fácil no Windows 129

(valor especificado na Opção 1) e pressione Enter.

6. Para continuar, digite S e pressione Enter. Para instalar o GSKit no diretório

padrão, digite Y and pressione Enter.

7. Crie uma senha para o ID do Administrador LDAP, digitando-a novamente

para confirmar.

8. Será solicitado que você digite um DN LDAP para o banco de dados GSO.

Este é o nome distinto da localização na DIT (árvore de informações do



diretório) do servidor LDAP na qual você deseja que os metadados de GSO

(conexão global) estejam localizados. Digite um sufixo ou especifique O DN

de uma localização na DIT do LDAP já existente. Por exemplo, digite

o=tivoli,c=us para criar um novo sufixo para metadados GSO.

Nota: O DN LDAP para o banco de dados GSO é obrigatório,

independentemente de você implementar uma solução de conexão

única com o Tivoli Access Manager. Para obter informações adicionais

sobre o DN LDAP para o banco de dados GSO, consulte a seção “Visão

Geral da Configuração do Servidor LDAP” na página 19.

9. Depois de digitar o DN LDAP para o banco de dados GSO, você tem a

oportunidade de modificar qualquer opção de configuração do IBM Directory

Server. Por exemplo, se você não deseja utilizar o Arquivo de chaves SSL

LDAP (opção 6), digite 6 e pressione Enter para alterar seu valor. Se você

alterar o valor do arquivo de chaves SSL, assegure de alterar também os

valores das opções 7 e 8 conforme a primeira alteração.

10. Se você não tiver alterado o valor padrão da opção 6 (Arquivo de chaves SSL

LDAP), será solicitado que pressione Enter para copiar o arquivo

cd_drive:\common\pd_ldapkey.kdb para o diretório c:\keytabs no sistema.

Notas

v A Opção 7 (Senha do Arquivo de Chaves SSL LDAP) é a senha associada ao

arquivo pd_ldapkey.kdb padrão. Essa senha padrão é gsk4ikm. Quando

você opta por alterar essa senha com o utilitário gsk5ikm, deve chamar a

senha novamente.

v Se você tiver alterado o arquivo pd_ldapkey.kdb padrão na opção 6, não

será solicitado que copie esse arquivo de chaves. O arquivo de chaves deve

ser copiado manualmente para o sistema do servidor LDAP.



11. Para continuar, digite S e pressione Enter. O processo de instalação inicia para

o IBM Directory Server e seu produto pré-requisito. Quando o DB2 estiver

instalado, pressione Enter para reiniciar o sistema automaticamente.

12. Após a reinicialização do sistema, o IBM Directory Server será instalado com

as correções necessárias do LDAP, como mostrado. Quando o IBM Directory

Server estiver instalado, pressione Enter para iniciar novamente o sistema.



13. Após a reinicialização do sistema, continue monitorando a instalação do IBM

Directory Server e de seus produtos pré-requisitos. Esse processo pode

demorar alguns minutos. Aguarde até a conclusão do processo. Quando a

instalação tiver sido concluída, o status de todos os produtos será Configured

(Configurado) como mostrado:

Se ocorrer algum erro durante a instalação, consulte o arquivo ezinstall.log,

localizado no diretório temporário, que é o valor especificado pela variável

%TEMP%.

Configurando o Sistema do Servidor de Política do Tivoli Access

Manager

Depois de concluir com êxito a instalação do registro LDAP, a próxima etapa é

configurar o servidor de política. O caso a seguir utiliza o arquivo

ezinstall_pdmgr.bat para instalar e configurar o servidor de política. Esse arquivo

em batch instala e configura todos os softwares necessários no seu sistema,

inclusive os produtos de pré-requisito, componentes do Tivoli Access Manager e

correções associadas.

Este caso instala o servidor de política no mesmo sistema que o registro instalado

na seção “Configurando o Sistema do IBM Directory Server” na página 127. Isso é

útil ao criar um protótipo de uma implementação ou desenvolver e testar um

aplicativo. Em uma implementação real, no entanto, é recomendado que esses

servidores sejam instalados em sistemas separados. Observe que a única diferença

de uma instalação em sistemas separados é que o processo também instala o IBM

Global Security Toolkit e o IBM Directory Client.

A Tabela 14 relaciona opções de configuração do servidor de política do Tivoli



Tabela 14. Planilha de Instalação do Servidor de Política do Tivoli Access Manager

Configuração de Tempo de Execução do



Configure Utilizando Este Registro ldap ____________________________





Tabela 14. Planilha de Instalação do Servidor de Política do Tivoli Access Manager (continuação)




LDAP.

____________________________

Ativar SSL com o servidor LDAP Recomendado: Y ____________________________


Arquivo de Chaves SSL LDAP ____________________________




____________________________




C:\Arquivos de

Programas\Tivoli\Policy Director

____________________________

Configuração do Servidor de Política

do IBM Tivoli Access Manager


ID de Administração LDAP (DN) cn=root ____________________________

Senha de Administração LDAP ____________________________

Senha Principal de Segurança ____________________________

Porta de Servidor SSL 7135 ____________________________

Tempo de Vida do Certificado SSL do


365 ____________________________

Ativar Download de Certificados Recomendado: Y ____________________________

Para instalar e configurar o servidor de política do Tivoli Access Manager, execute

estas etapas:

1. Assegure-se de ter efetuado logon no sistema Windows como usuário

Administrador ou com um ID que seja membro do grupo de Administradores.


v Se estiver instalando o servidor de política em um sistema separado, copie

manualmente o arquivo de chaves SSL para um diretório nesse sistema. Por

exemplo, copie o arquivo pd_ldapkey.kdb padrão do diretório c:\keytabs

no sistema do IBM Directory Server para o diretório c:\keytabs neste

sistema.

v Se estiver instalando o servidor de política no mesmo sistema em que

instalou o IBM Directory Server, vá para a etapa 3. 3. Execute o arquivo ezinstall_pdmgr.bat, localizado no diretório raiz do CD do

IBM Tivoli Access Manager Base para Windows.










solicitadas.

Se você pretende instalar o servidor de política no mesmo sistema que o

servidor LDAP, o arquivo ezinstall_pdmgr.bat detecta que o IBM Global

Security Toolkit e o IBM Directory Client já estão instalados.



dliburdi2 foi o nome de host utilizado para o IBM Directory Server no caso

anterior. Você pode digitar o nome abreviado ou completo, como

dliburdi2.dev.company.com.






6. Por motivos de segurança, é recomendado ativar a comunicação SSL com o

servidor LDAP. Para isto, digite Y e pressione Enter. Caso contrário, digite N

e vá para a etapa 9 na página 137.

7. Digite o caminho completo para o qual copiou o arquivo de chaves do cliente

SSL LDAP na etapa 2 na página 134 e pressione Enter. Por exemplo, se você

tiver copiado o arquivo pd_ldapkey.kdb padrão para o diretório c:\keytabs,



digite c:\keytabs\pd_ldapkey.kdb.


O arquivo pd_ldapkey.kdb padrão, enviado com a instalação fácil, tem a senha

padrão gsk4ikm. Essa senha pode ser utilizada somente se você tiver

instalado e configurado o IBM Directory Server utilizando esse arquivo de

chaves padrão.

Nota: A Opção 7 especifica o rótulo no arquivo de banco de dados de chaves

do GSKit do cliente para o certificado do cliente a ser enviado para o

servidor LDAP. Ao ativar SSL utilizando os valores padrão, esse valor

não é necessário. O valor é obrigatório somente se o servidor estiver

configurado para exigir autenticação do cliente durante o

estabelecimento de SSL ou se você desejar utilizar o certificado não

padrão no arquivo de chaves. Normalmente, o servidor LDAP exige

somente certificados no lado do servidor, especificados durante a

criação do arquivo .kdb do cliente.

9. Para continuar, digite S e pressione Enter. Em seguida, digite a senha do ID

do Administrador LDAP criada na instalação do servidor LDAP e pressione



Enter .

10. Crie uma senha para o ID principal de segurança (sec_master), digitando-a

novamente para confirmar. Utilize esse ID administrativo para definir seus

próprios IDs administrativos, grupos e respectivos recursos.

11. Para continuar, digite S e pressione Enter. A configuração do servidor de

política Tivoli Access Manager cria um arquivo de autoridade de certificação

SSL padrão, denominado pdcacert.b64, que permite a comunicação entre o

servidor e outros sistemas de tempo de execução do Tivoli Access Manager.

Para simplificar a configuração, permita que sistemas de tempo de execução

do Tivoli Access Manager façam download desse arquivo automaticamente.

Caso contrário, será necessário copiar esse arquivo manualmente para cada

sistema de tempo de execução do Tivoli Access Manager subseqüente antes de

configurar o sistema.

Para ativar o download automático do arquivo de autoridade de certificação

SSL, digite Y e pressione Enter.

Nota: Se você não ativar o download automático, o arquivo de autoridade de

certificação SSL será colocado no seguinte diretório:

install_dir\keytab\pdcacert.b64

Por exemplo:

c:\Arquivos de

Programas\Tivoli\Policy Director\keytab\pdcacert.b64



12. Para continuar, digite S e pressione Enter. O processo de instalação é iniciado

para os produtos indicados.

13. Pressione Enter para reiniciar automaticamente.

14. Após a reinicialização do sistema, continue monitorando o andamento dos

produtos indicados. O ambiente de tempo de execução será configurado



somente depois que o servidor de política estiver instalado, como mostrado:

15. Quando o instalação tiver sido concluída, o status para todos os produtos será

Configurado como mostrado:

Observe que se ocorrer algum erro durante a instalação, você pode exibir o

arquivo ezinstall.log, localizado no diretório temporário, que é o valor

especificado pela variável TEMP.

16. Depois de configurar o servidor de política, você pode configurar sistemas

Tivoli Access Manager adicionais no domínio seguro. Por exemplo, você pode

fazer o seguinte:

v Execute o programa InstallShield install_pdrte.exe para instalar um ou mais

sistemas do cliente de tempo de execução (sem o servidor de política). Para

obter instruções, consulte o “Configurando um Sistema de Tempo de

Execução do Tivoli Access Manager” na página 141.

v Execute o arquivo ezinstall_pdwpm.bat para instalar um cliente de tempo

de execução Tivoli Access Manager com a interface do Web Portal Manager.

Para obter instruções, consulte o “Configurando um Sistema Web Portal

Manager” na página 144.

v Execute o arquivo ezinstall_pdacld.bat para configurar um sistema do

servidor de autorização.

v Execute o arquivo ezinstall_pdauthADK.bat para instalar um sistema de




Configurando um Sistema de Tempo de Execução do Tivoli Access

Manager

O caso a seguir utiliza o assistente InstallShield install_pdrte.exe para instalar e

configurar um sistema de tempo de execução do Tivoli Access Manager. Ao

contrário dos outros scripts de instalação fácil, o programa install_pdrte.exe utiliza

um assistente InstallShield para guiá-lo pela instalação de um sistema de tempo de

execução. Todos os produtos pré-requisitos e componentes do Tivoli Access

Manager são instalados e configurados, exceto um JRE específico da plataforma,

que deve ser instalado manualmente.

A Tabela 15 relaciona opções de configuração para o tempo de execução do Tivoli



Nota: Se o produto já estiver instalado, o InstallShield não solicita o diretório de

instalação. Lembre-se também que há suporte à instalação fácil somente com

o uso de um registro com base em LDAP.

Tabela 15. Planilha de Instalação do Sistema de Tempo de Execução do Tivoli Access Manager


Nome do diretório C:\Arquivos de Programas\IBM\GSK ____________________________

IBM Directory Client Valor Padrão Seu Valor

Nome do diretório C:\Arquivos de Programas\IBM\ldapc ____________________________


Access Manager


Nome do diretório

C:\Arquivos de


____________________________

Nome do host do servidor de política ____________________________

Porta SSL do servidor de política 7135 ____________________________

Arquivo de certificado CA do servidor

de política


tiver optado por permitir que outros

sistemas de tempo de execução do Tivoli

Access Manager façam download do

arquivo de certificado durante a instalação

do servidor de política.

____________________________

Seleção de registro do usuário LDAP ____________________________

Nome do host do servidor LDAP ____________________________

Porta do servidor LDAP 389 ____________________________

DN LDAP para banco de dados GSO



LDAP.

____________________________

Ativar SSL com o IBM Directory Server Recomendado: Y ____________________________

Se você ativar SSL com o servidor LDAP, será solicitado que forneça os seguintes valores:

Arquivo de chaves com caminho

completo

É necessário copiar o arquivo

pd_ldapkey.kdb padrão do IBM

Directory Server para um diretório neste

sistema

____________________________

Senha do arquivo de chaves gsk4ikm ____________________________



Tabela 15. Planilha de Instalação do Sistema de Tempo de Execução do Tivoli Access Manager (continuação)


(se necessário)


utilizar o arquivo de chaves padrão

pd_ldapkey.kdb

____________________________

Número da porta SSL 636 ____________________________

Para instalar e configurar um sistema de tempo de execução do Tivoli Access

Manager, execute estas etapas:


e em execução e que você tenha efetuado logon no sistema Windows como

usuário Administrador (ou com um ID que seja membro do grupo de

Administradores).



pd_ldapkey.kdb padrão do diretório c:\keytabs no sistema do IBM Directory

Server para o diretório c:\keytabs neste sistema.


instruções, consulte o “Instalando o JRE Específico da Plataforma” na página

86.


5. Para iniciar o Assistente InstallShield para o tempo de execução do Tivoli

Access Manager, clique em Next (Avançar).


(Avançar).

7. Para instalar o GSKit no diretório padrão, clique em Next (Avançar).

8. Para instalar o IBM Directory Client no diretório padrão, clique em Next

(Avançar).

9. Para instalar o ambiente de tempo de execução do Tivoli Access Manager no

diretório padrão, clique em Next (Avançar).


v Policy server host name (Nome do host do servidor de política) — Digite

o nome do host do sistema do servidor de política.

v Policy server SSL port (Porta SSL do servidor de política) — A porta SSL

do servidor de política já é fornecida (7135). Se você tiver alterado esse

número de porta, modifique esse valor.

v Policy server CA Certificate File (Arquivo de Certificado CA do servidor

de política) — Para que o tempo de execução do Tivoli Access Manager

autentique os outros servidores do Tivoli Access Manager aos quais ele é

conectado, ele deve ter uma cópia do arquivo pdcacert.b64 gerado pelo

servidor de política durante a configuração. Proceda de uma das seguintes

maneiras:

– Se você tiver ativado o servidor de política para permitir o download do

arquivo pdcacert.b64 não será necessário nenhum valor.

– Se você não tiver ativado o servidor de política para fazer download

desse arquivo de certificado, digite o caminho completo no qual copiou o

arquivo pdcacert.b64 neste sistema.

Nota: A seleção de registro do usuário é LDAP. Essa opção não pode ser

alterada.




v LDAP server host name (Nome do host do servidor LDAP) — Digite o

nome do host do sistema do servidor LDAP.

v LDAP server port (Porta do servidor LDAP) — A porta do servidor LDAP

já é fornecida (389). Modifique o número dessa porta se necessário.

v LDAP DN for GSO database (DN LDAP para banco de dados GSO) —

Digite o sufixo ou o valor DN existente que foi digitado durante a

configuração do servidor LDAP. Por exemplo, o=tivoli,c=us foi o sufixo

utilizado no caso anterior.

v Enable SSL (Secure Sockets Layer) with the IBM Directory server (Ative

SSL (Secure Sockets Layer) com o IBM Directory Server) — Por segurança,

é recomendado ativar SSL com o servidor LDAP. Para isto, selecione esta

caixa de opções para que as opções de SSL relacionadas na etapa 12 sejam

solicitadas. Caso contrário, vá para a etapa 13.12. Se você tiver optado por ativar SSL com o servidor LDAP, preencha os

campos a seguir e selecione Next (Avançar).

v Key file with full path (Arquivo de chaves com caminho completo) —

Digite o caminho completo no qual o arquivo de chaves do cliente SSL

LDAP está localizado. Por exemplo, se você tiver copiado o arquivo

pd_ldapkey.kdb para o diretório c:\keytabs, digite

c:\keytabs\pd_ldapkey.kdb.

v Key file password (Senha do arquivo de chaves) — Digite a senha

associada ao arquivo de chaves. A senha padrão do arquivo pd_ldapkey.kdb

é gsk4ikm. Futuramente, quando você alterar essa senha com o utilitário

gsk5ikm, será necessário chamar novamente essa senha padrão.

v LDAP SSL key file DN (if required) (DN do arquivo de chaves SSL

LDAP (se necessário)) — O rótulo do certificado SSL não é necessário se o

arquivo de chaves padrão da instalação fácil (pd_ldapkey.kdb) for utilizado.

v SSL port number (Número da porta SSL) — O número da porta SSL já é

fornecido (636). Modifique o número da porta se necessário.13. Releia as opções de configuração exibidas. Selecione Next (Avançar) para

iniciar a instalação.

14. O processo de instalação é iniciado. Esse processo pode demorar alguns

minutos. Aguarde a conclusão do processo de instalação de tempo de

execução.

15. Clique em Next (Avançar) para iniciar o sistema novamente, automaticamente.

16. Quando o sistema for iniciado novamente, selecione o idioma que deseja

utilizar para continuar a instalação e clique em OK.

17. Continue monitorando a instalação do tempo de execução do Tivoli Access

Manager e a criação do programa de remoção da instalação. Quando a

instalação tiver sido concluída, você será avisado que a instalação do tempo

de execução foi concluída com êxito. Para sair desse programa, clique em

Finish (Concluir).

Se ocorrer algum erro durante a instalação, você pode exibir o arquivo

msg__amismp.log, localizado no diretório temporário, que é o valor especificado

pela variável TEMP.



Configurando um Sistema Web Portal Manager

O caso a seguir utiliza o arquivo ezinstall_pdwpm.bat para instalar e configurar

um sistema de tempo de execução do Tivoli Access Manager com a interface do

Web Portal Manager. Esse arquivo em batch instala e configura todos os softwares

necessários no seu sistema, inclusive os produtos de pré-requisito, componentes do

Tivoli Access Manager e correções associadas.

A Tabela 16 relaciona opções de configuração para o Web Portal Manager e seu



Tabela 16. Planilha de Instalação do Sistema Web Portal Manager


Nome do diretório C:\Arquivos de Programas\IBM\GSK ____________________________





ao sistema.

____________________________

Senha de Administração ___________________ ____________________________

Porta HTTP 80 ____________________________


C:\Arquivos de Programas\IBM HTTP

Server

____________________________

IBM Directory Client Valor Padrão Seu Valor

Diretório de Instalação C:\Arquivos de Programas\IBM\LDAP ____________________________

Tempo de Execução do IBM Tivoli Access Manager Valor Padrão Seu Valor

Configure Utilizando Este Tipo de

Registro

ldap ____________________________






LDAP.

____________________________

Ativar SSL com o servidor LDAP Recomendado: Y ____________________________


Arquivo de Chaves SSL LDAP ____________________________




____________________________




C:\Arquivos de


____________________________

Nome do Host do Servidor de Política

do Access Manager

____________________________

Porta do Servidor SSL para Servidor de

Política do AM

7135 ____________________________

Nome do Arquivo de Certificado CA do


Se você tiver ativado o servidor de política

para permitir o download do arquivo de

certificado, não será necessário nenhum

valor.

____________________________



Para instalar o configurar um sistema Tivoli Access Manager com a interface do

Web Portal Manager, execute estas etapas:


e em execução e que você tenha efetuado logon no sistema Windows como

usuário Administrador (ou com um ID que seja membro do grupo de

Administradores).



pd_ldapkey.kdb padrão do diretório c:\keytabs no sistema do IBM Directory

Server para o diretório c:\keytabs neste sistema.

3. Assegure-se de ter um navegador da Web instalado que ofereça suporte à

interface do Web Portal Manager. Para saber para quais navegadores existe

suporte, consulte o IBM Tivoli Access Manager para e-business: Notas sobre o

Release.

4. Execute ezinstall_pdwpm.bat, localizado no diretório raiz do CD do IBM

Tivoli Access Manager Web Portal Manager para Windows.








solicitadas.

Nota: Se você instalou anteriormente o componente de tempo de execução do

Tivoli Access Manager neste sistema, a coluna Status indica que o IBM

Global Security Toolkit, o IBM Directory Client e os componentes de

tempo de execução do Tivoli Access Manager já estão instalados. Nesse

caso, vá para a etapa 15 na página 150.



5. Para instalar o GSKit no diretório padrão, digite Y e pressione Enter.

6. Digite a senha associada ao ID de administração utilizado para efetuar logon

neste sistema (valor especificado na opção 1) e pressione Enter. Lembre-se que

a instalação fácil faz upgrade da versão do IBM HTTP Server instalada com o

IBM WebSphere Application Server. Ela também instala um patch necessário

para o IBM HTTP Server.

Nota: A Opção 3 especifica a porta utilizada pelo IBM HTTP Server. Se você

tiver instalado um servidor LDAP que não utiliza o IBM HTTP Server e

estiver instalando o Web Portal Manager no mesmo sistema,

assegure-se de que as portas do servidor da Web sejam diferentes. Você

pode alterar o valor da opção 3 durante a instalação fácil ou pode

editar o arquivo C:\Arquivos de Programas\IBM HTTP

Server\conf\httpd.conf e alterar a porta padrão 80 para 8080 como

mostrado


Port 8080



7. Para continuar, digite S e pressione Enter. Em seguida, pressione Enter para

instalar o IBM Directory Client no diretório padrão.



dliburdi2 foi o nome do host do IBM Directory Server utilizado no caso

anterior. Você pode digitar o nome abreviado ou completo do host, como

dliburdi2.dev.company.com.






10. Para ativar SSL com o servidor LDAP, digite Y e pressione Enter.

11. Digite o caminho completo no qual o arquivo de chaves do cliente SSL LDAP

está localizado e pressione Enter. Por exemplo, se você tiver copiado o arquivo

pd_ldapkey.kdb para o diretório c:\keytabs, digite



c:\keytabs\pd_ldapkey.kdb e pressione Enter.


O arquivo pd_ldapkey.kdb incluído na instalação fácil tem a senha padrão

gsk4ikm. Utilize essa senha padrão somente se tiver instalado e configurado o

IBM Directory Server utilizando o arquivo ezinstall_ldap_server.bat ou se

tiver especificado esse arquivo de chaves padrão durante a instalação nativa.

Nota: Se você decidir alterar essa senha usando o utilitário gsk5ikm, será

necessário chamar novamente a senha padrão.



13. Para continuar, digite S e pressione Enter. Em seguida, digite o nome do host

do servidor de política e pressione Enter.

14. Para que o tempo de execução do Tivoli Access Manager autentique os outros

servidores do Tivoli Access Manager aos quais ele é conectado, é necessário

ter uma cópia do arquivo de certificado CA gerado pelo servidor de política

durante a configuração.

Proceda de uma das seguintes formas:

v Se você tiver ativado o servidor de política para permitir o download do

arquivo pdcacert.b64, pressione Enter. Não é necessário nenhum valor.

v Se você não tiver ativado o servidor de política para fazer download

automaticamente desse arquivo de certificado, digite o caminho completo

para o qual copiou o arquivo pdcacert.b64 neste sistema e pressione Enter.

15. Para continuar, digite S e pressione Enter. Em seguida, digite a senha

associada ao ID de administração utilizado para efetuar logon nesse sistema



(valor especificado na opção 1) e pressione Enter.

16. Para continuar, digite Y e pressione Enter. O processo de instalação é iniciado.

Os produtos são instalados na seqüência indicada. Quando a instalação do

IBM WebSphere Application Server começar, serão mostrados avisos e

mensagens da seguinte forma:

17. Em seguida, os componentes instalados são configurados e o Web Portal

Manager é instalado. O Java Runtime Environment do Tivoli Access Manager

também tem instalação silenciosa com o componente Web Portal Manager.

Para concluir a instalação de um sistema cliente de tempo de execução com o

Web Portal Manager, pressione Enter para reiniciar o sistema



automaticamente.


WebSphere Application Server esteja sendo executado. Para isto, clique em

Iniciar → Programas → IBM WebSphere → Application Server 4.0 → Iniciar

Application Server.







C:\Arquivos de Programas\Tivoli\Policy Director\keytab\pdwpm.kdb



C:\Arquivos de Programas\Tivoli\Policy Director\keytab\pdwpm.sth


está armazenada.20. Para acessar a interface do Web Portal Manager, digite o endereço a seguir no

navegador da Web.




vez de http.




ezinstall.log, localizado no diretório temporário, que é o valor

especificado pela variável TEMP.



Capítulo 11. Utilizando Arquivos de Resposta de Instalação

Fácil

O Tivoli Access Manager permite a criação de arquivos de resposta para dinamizar

a instalação e a configuração dos componentes de instalação fácil. Um arquivo de

resposta é um arquivo de texto que contém informações do produto e do sistema

necessárias para instalar e configurar componentes. É útil para executar instalações

(silenciosas) não-assistidas. O processo de instalação lê as informações do arquivo

de resposta em vez de solicitar a você para preencher os espaços em branco. Você

também pode reutilizar o arquivo de resposta para instalações futuras, utilizando

um editor de texto para incluir componentes ou personalizar opções.

Esta seção contém os seguintes tópicos:

v “Criando um Arquivo de Resposta”

v “Instalando Componentes Utilizando um Arquivo de Resposta” na página 154

v “Exemplos de Arquivos de Resposta (ezinstall)” na página 154

v “Opções do Arquivo de Resposta” na página 157

Nota: As considerações para os arquivos de resposta são iguais às da instalação

fácil.

Criando um Arquivo de Resposta

Você pode criar um arquivo de resposta a partir do início, utilizando qualquer

editor de texto, ou pode utilizar os scripts ezinstall para gerar arquivos de

resposta automaticamente, com base nas respostas fornecidas durante a instalação.

Em sistemas UNIX, o arquivo de resposta é nomeado com base no pacote instalado

e configurado. Por exemplo, se você executar o script ezinstall_ldap_server, o

nome do arquivo de resposta gerado será ezinstall_ldap_server.rsp. Os arquivos

de resposta para cada pacote executado são armazenados no diretório /var/tmp.

Nos sistemas Windows, a instalação fácil gera um arquivo de resposta denominado

ezinstall.rsp. Este arquivo de resposta reside no diretório temporário que é o valor

especificado pela variável %TEMP%. Por exemplo, se você executar o arquivo

ezinstall_ldap_server.bat, o nome do arquivo de resposta gerado será

%TEMP%\ezinstall.rsp.

Observe que o programa InstallShield install_pdrte trabalha de uma forma um

pouco diferente dos scripts ezinstall e arquivos em batch. Para criar um arquivo de

resposta de tempo de execução do Tivoli Access Manager, copie um gabarito

fornecido no CD do Tivoli Access Manager Base para a unidade de disco rígido e

edite seus valores. Os gabaritos estão localizados nos seguintes diretórios e têm os

seguintes nomes:

v Em sistemas UNIX:

/common/unixismp.rsp.template


\common\winismp.rsp.template


Instalando Componentes Utilizando um Arquivo de Resposta

Para utilizar um arquivo de resposta para instalar componentes do Tivoli Access

Manager, siga estas etapas básicas:

1. Edite o arquivo de resposta para verificar sua sintaxe e assegurar-se de que as

informações estejam corretas. Para obter descrições das sub-rotinas no arquivo

de resposta, consulte “Opções do Arquivo de Resposta” na página 157. Observe

que para todos os processos ezinstall (exceto install_pdrte), você pode fornecer

senhas reais para os valores ou aguardar até que as senhas sejam solicitadas, na

execução de ezinstall com o arquivo de resposta. Se estiver utilizando

install_pdrte, forneça todos os valores obrigatórios ou o processo falhará.

2. Execute o script de instalação fácil e especifique o arquivo de resposta. Por

exemplo:

v Em sistemas UNIX, digite o seguinte:

ezinstall_ldap_server /tmp/ezinstall_ldap_server.rsp

em que /tmp/ezinstall_ldap_server.rsp é o nome completo do arquivo de

resposta.

v Em sistemas Windows, digite o seguinte:

ezinstall_ldap_server c:\temp\ezinstall.rsp

em que c:\temp\ezinstall.rsp é o nome completo do arquivo de resposta.3. Para executar o processo install_pdrte com um arquivo de resposta, digite o

seguinte:

install_pdrte -options response_file

em que response_file é o nome completo do arquivo de resposta. Esse uso

aplica-se a sistemas Windows ou UNIX.

Nota: Após a instalação, é recomendável aplicar segurança ou apagar o arquivo de

resposta gerado.

Exemplos de Arquivos de Resposta (ezinstall)

Um arquivo de resposta contém sub-rotinas de pares atributo=valor. Uma

sub-rotina inicia com uma linha que contém o nome da sub-rotina entre colchetes,

por exemplo, [LDAPS], e termina quando uma outra linha começa com outro nome

de sub-rotina entre colchetes ou quando o fim do arquivo é alcançado. Cada

sub-rotina contém zero ou mais pares atributo=valor. Um nome da sub-rotina não

pode ser repetido mais de uma vez em um arquivo de resposta. Os comentários

podem ser incluídos em um arquivo de resposta, utilizando o caractere # antes do

comentário.

Os exemplos a seguir ilustram arquivos de resposta gerados de scripts de

instalação fácil. Observe que a instalação fácil faz uma pausa durante a

configuração para permitir que você especifique quaisquer valores que estejam

faltando.

Nota: A senha padrão do arquivo de chaves do IBM Directory Client é gsk4ikm.

Exemplo para UNIX

[HTTPD]

http-admin-id = root

http-admin-pwd = secret

Utilizando Arquivos de Resposta de Instalação Fácil


http-port = 80

[LDAPS]

ldap-adminid = cn=root

ldap-password = secret

suffix = o=tivoli,c=us

host = ldapserv.tivoli.com

port = 389

ldap-ssl-client-keyfile = /cdrom/common/pd_ldapkey.kdb

ldap-ssl-client-keyfile-pwd = gsk4ikm

ldap-label = PDLDAP

[PDRTE]

ldap-or-domino = 1

host = ldapserv.tivoli.com

port = 389

ldap-server-ssl-port = 636

master-host = pdmgr.tivoli.com

pd-cacert =

enable-ssl = Y

ssl-client-keyfile = /var/ldap/keytab/pd_ldapkey.kdb

ssl-keyfile-pwd = gsk4ikm

ssl-port = 7135

[PDMGR]

ldap-adminid = cn=root

ldap-password = secret

ssl-life = 365

ssl-port = 7135

sec-master-pwd = secret

enable-cert-download = Y

prompt-languages = N

Exemplo para Windows

[PDRTE]

registry-type=ldap

ldap-server=ldapserv.tivoli.com

ldap-port=389

ldap-ssl-port=636

pdmgr-host=pdmgr.tivoli.com

cacert=

enable-ssl=Y

ssl-client-keyfile=c:\keytabs\pd_ldapkey.kdb

ssl-client-keyfile-dn=

suffix=o=tivoli,c=us

pdmgr_ssl_port=7135

pdc_dir=C:\Program Files\Tivoli\Policy Director

ssl-client-keyfile-pwd=gsk4ikm

[PDMGR]

ldap-admin-id=cn=root

ldap-admin-pwd=secret

ssl-port=7135

cert-life=365

enable-cert-download=Y

sec-master-pwd=secret

[DB2]

admin-pwd=db2admin

install_dir=C:\SQLDIR

[HTTPD]

admin-id=administrator

admin-pwd=secret

port=80

install_dir=C:\Program Files\IBM HTTP Server


Capítulo 11. Utilizando Arquivos de Resposta de Instalação Fácil 155

[LDAPS]

admin-id=cn=root

admin-pwd=secret

hostname=ldapserv.tivoli.com

server-port=389

suffix=o=tivoli,c=us

ssl-client-keyfile=c:\keytabs\pd_ldapkey.kdb

ssl-client-keyfile-pwd=gsk4ikm

label=PDLDAP

[PDACLD]

admin-id=cn=root

admin-pwd=secret

sec-master-pwd=secret

[LDAP]

install_dir=C:\Program Files\IBM\LDAP

Exemplos de Arquivos de Resposta (install_pdrte)

Um arquivo de resposta contém pares –w atributo=valor. Os atributos consistem

em um nome de bean do painel do assistente seguido de um ponto, seguido de

um nome de opção. Os nomes de bean são transformados no processo

install_pdrte e não podem ser modificados. Os comentários podem ser incluídos

em um arquivo de resposta, utilizando o caractere # antes do comentário.Os

exemplos a seguir ilustram gabaritos de arquivo de resposta contidos no CD, no

diretório /common. Para facilitar a leitura, as descrições das opções obrigatórias

foram colocadas entre caracteres de menor que (<) e maior que (>). Assegure-se de

substituir toda a cadeia à direita do sinal de igual.

Nota: A senha do arquivo de chaves padrão para o IBM Directory Client é

gsk4ikm.

Exemplo para UNIX

# Para executar o processo no modo silencioso, especifique

–silent aqui ou na linha cmd.

-silent

-W AMRTE_ServerOptions_Panel.hostName=<Policy Server Hostname>

-W AMRTE_ServerOptions_Panel.listeningPort=7135

-W AMRTE_ServerOptions_Panel.certFile=

-W AMRTE_LDAP_Options_Panel.ldapHostName=<LDAP Server Hostname>

-W AMRTE_LDAP_Options_Panel.ldapPortNumber=389

-W AMRTE_LDAP_Options_Panel.enableSSL=N

-W AMRTE_LDAPSSLOptions_Panel.sslPort=636

-W AMRTE_LDAPSSLOptions_Panel.keyFile=

-W AMRTE_LDAPSSLOptions_Panel.keyFilePasswd=

-W AMRTE_LDAP_Options_Panel.ldapDNGSO=<dn for gso database - example: o=tivoli,c=us>

Exemplo para Windows

# Para executar o processo no modo silencioso, especifique

–silent aqui ou na linha cmd.

-silent

-W GSKIT_Panel.installDirectory=c:\Program Files\IBM\gskit

-W LDAPC_Panel.installDirectory=c:\Program Files\LDAP

-W AMRTE_Panel.installDirectory=c:\Program Files\Tivoli\Policy Director

-W AMRTE_ServerOptions_Panel.hostName=<Policy Server Hostname>

-W AMRTE_ServerOptions_Panel.listeningPort=7135

-W AMRTE_ServerOptions_Panel.certFile=

-W AMRTE_LDAP_Options_Panel.ldapHostName=<LDAP Server Hostname>

-W AMRTE_LDAP_Options_Panel.ldapPortNumber=389



-W AMRTE_LDAP_Options_Panel.enableSSL=N

-W AMRTE_LDAPSSLOptions_Panel.sslPort=636

-W AMRTE_LDAPSSLOptions_Panel.keyFile=

-W AMRTE_LDAPSSLOptions_Panel.keyFilePasswd=

-W AMRTE_LDAP_Options_Panel.ldapDNGSO=<dn for gso database - example: o=tivoli,c=us>

Opções do Arquivo de Resposta

As tabelas a seguir mostram as diversos opções de palavras-chave de sub-rotina

disponíveis para uso em um arquivo de resposta. Os nomes de sub-rotina são

utilizados para legibilidade em plataformas UNIX.

Opções de Arquivo de Resposta do UNIX

Nome da

Sub-rotina Palavra-chave Descrição

[HTTPD] http-admin-id Especifica o nome do usuário do

administrador. O padrão é

Administrator (Administrador).

[HTTPD] http-admin-pwd Especifica a senha do administrador.

[HTTPD] http-port Especifica a porta utilizada pelo

HTTPD.

[LDAPS] ldap-adminid Especifica o DN (Nome Distinto) ou ID

do administrador LDAP. O padrão é

cn=root.

[LDAPS] ldap-password Especifica a senha do administrador

LDAP.

[LDAPS] host Especifica o nome do host do servidor

LDAP. O padrão é o nome do host do

sistema que está sendo configurado.

[LDAPS] server-port Especifica o número da porta não-SSL

do servidor LDAP. O número da porta

padrão é 389.

[LDAPS] suffix Especifica o nome distinto do LDAP

para o banco de dados de GSO

(conexão global). Por exemplo,

o=tivoli,c=us.

[LDAPS] ldap-ssl-client-keyfile Especifica o caminho para o arquivo de

chaves SSL do LDAP. O padrão é

/common/pd_ldapkey.kdb, que é

fornecido no CD. Se esse arquivo for

utilizado, a senha gsk4ikm e o rótulo

do lado do servidor PDLDAP serão

necessários.

[LDAPS] ldap-ssl-client-keyfile-pwd Especifica a senha associada ao arquivo

de chaves. Se você estiver utilizando o

padrão media/common/pd_ldapkey.kdb, a

senha será gsk4ikm.

[LDAPS] ldap-label Especifica o rótulo associado ao arquivo

de chaves SSL. Se você estiver

utilizando o padrão

media/common/pd_ldapkey.kdb, o rótulo

será PDLDAP.



Nome da

Sub-rotina Palavra-chave Descrição

[PDMGR] ldap-adminid Especifica o ID do administrador LDAP.

O padrão é cn=root. Este ID é criado

durante a configuração do servidor

LDAP.

[PDMGR] ldap-password Especifica a senha do administrador

LDAP.

[PDMGR] porta Especifica a porta não-SSL do servidor

LDAP. O número da porta padrão é

389.

[PDMGR] ssl-life Especifica a duração do arquivo de

certificado (pdcacert.b64). O padrão é

365 dias.

[PDMGR] enable-cert-download Especifica para ativar os ambientes do

Tivoli Access Manager Runtime em

outros sistemas para fazer download

automaticamente do arquivo de

certificado (pdcacert.b64).Os valores

válidos são Y (ativar) ou N (desativar).

[PDMGR] sec-master-pwd Especifica a senha master de segurança.

[PDACLD] ldap-adminid Especifica o ID do administrador LDAP.

O padrão é cn=root. Este ID é criado

durante a configuração do servidor

LDAP.

[PDACLD] ldap-password Especifica a senha do administrador

LDAP.

[PDACLD] sec-master-pwd Especifica a senha master de segurança.

Essa senha é criada durante a

configuração do servidor de políticas.

Opções de Arquivo de Resposta do Windows

Nome da

Sub-rotina

Palavra-chave

Win32 Descrição

[DB2] admin-pwd Especifica a senha do administrador.Se você efetuar

login em um sistema Windows como

Administrador, utilize a senha padrão de

db2admin.

[DB2] admin-uid Especifica o nome do usuário do administrador. Se

você efetuar login em um sistema Windows como

Administrador, utilize a senha padrão de

db2admin.

[DB2] install_dir Especifica o diretório de instalação (apenas

WIN32). Especifique a unidade e o diretório. Por

exemplo: C:\SQLDIR

[HTTPD] admin-id Especifica o nome do usuário do administrador. O

padrão é Administrator (Administrador).

[HTTPD] admin-pwd Especifica a senha do administrador.

[HTTPD] port Especifica a porta utilizada pelo HTTPD.



Nome da

Sub-rotina

Palavra-chave

Win32 Descrição

[HTTPD] install_dir Especifica o diretório de instalação. Especifique a

unidade e o diretório. Por exemplo: C:\Arquivos de

Programas\IBM HTTP Server

[LDAP] install_dir Especifica o diretório de instalação (apenas

WIN32). Especifique a unidade e o diretório. Por

exemplo: C:\Arquivos de Programas\IBM\LDAP. Os

softwares cliente e servidor do LDAP residem neste

diretório.

[LDAPS] admin-id Especifica o DN (Nome Distinto) ou ID do

administrador LDAP. O padrão é cn=root.

[LDAPS] admin-pwd Especifica a senha do administrador LDAP.

[LDAPS] hostname Especifica o nome do host do servidor LDAP. O

padrão é o nome do host do sistema que está

sendo configurado.

[LDAPS] server-port Especifica o número da porta não-SSL do servidor

LDAP. O número da porta padrão é 389.

[LDAPS] suffix Especifica o nome distinto do LDAP para o banco

de dados de GSO (conexão global). Por exemplo,

o=tivoli,c=us.

[LDAPS] ssl-client-keyfile Especifica o caminho para o arquivo de chaves SSL

do LDAP. O padrão é /common/pd_ldapkey.kdb, que

é fornecido no CD. Se esse arquivo for utilizado, a

senha gsk4ikm e o rótulo do lado do servidor

PDLDAP serão necessários.

[LDAPS] ssl-client-keyfile-pwd

Especifica a senha associada ao arquivo de chaves.

Se você estiver utilizando o padrão

media/common/pd_ldapkey.kdb, a senha será

gsk4ikm.

[LDAPS] label Especifica o rótulo associado ao arquivo de chaves

SSL. Se você estiver utilizando o padrão

media/common/pd_ldapkey.kdb, o rótulo será

PDLDAP.

[GSKIT] install_dir Especifica o diretório de instalação (apenas

WIN32). Especifique a unidade e o caminho. Por

exemplo: C:\Arquivos de Programas\IBM\GSK

[PDMGR] ldap-admin-id Especifica o ID do administrador LDAP. O padrão

é cn=root. Este ID é criado durante a configuração

do servidor LDAP.

[PDMGR] ldap-admin-pwd Especifica a senha do administrador LDAP.

[PDMGR] ssl-port Especifica a porta não-SSL do servidor LDAP. O

número da porta padrão é 389.

[PDMGR] cert-life Especifica a duração do arquivo de certificado

(pdcacert.b64). O padrão é 365 dias.

[PDMGR] enable-cert-download

Especifica para ativar os ambientes do Tivoli

Access Manager Runtime em outros sistemas para

fazer download automaticamente do arquivo de

certificado (pdcacert.b64).Os valores válidos são Y

(ativar) ou N (desativar).

[PDMGR] sec-master-pwd Especifica a senha master de segurança.



Nome da

Sub-rotina

Palavra-chave

Win32 Descrição

[PDACLD] admin-id Especifica o ID do administrador LDAP. O padrão

é cn=root. Este ID é criado durante a configuração

do servidor LDAP.

[PDACLD] admin-pwd Especifica a senha do administrador LDAP.

[PDACLD] sec-master-pwd Especifica a senha master de segurança. Essa senha

é criada durante a configuração do servidor de

políticas.

[WEB] install_dir Especifica o diretório de instalação do IBM

WebSphere Application Server, Advanced Single

Server, que é um pré-requisito para o Web Portal

Manager. Especifique a unidade e o diretório. Por

exemplo: C:\WebSphere\AppServer



Apêndice A. Ativando a Secure Sockets Layer

É recomendável que você ative a comunicação SSL (Secure Sockets Layer) entre o

servidor LDAP ou Domino e os IBM Directory Clients que oferecem suporte ao

software IBM Tivoli Access Manager.

Nota: Se você tiver utilizado a instalação fácil para o IBM Directory Server, pode

ignorar as instruções deste apêndice. O script ezinstall_ldap_server irá

orientá-lo no processo de ativação SSL durante a instalação e configuração

desse servidor LDAP e seus pré-requisitos.

Para ativar a comunicação SSL, primeiramente é necessário configurar SSL no

servidor e depois no IBM Directory Client. Durante a configuração de SSL, é

solicitado que você escolha um dos seguintes tipos de autenticação:

Autenticação de servidor

O servidor envia seu certificado para o cliente e o cliente autentica o

servidor.

Autenticação de servidor e cliente

Depois que o servidor tiver enviado seu certificado para o cliente e tiver

sido autenticado pelo cliente, o servidor solicita o certificado do cliente.

Nesse caso, um certificado precisa ser estabelecido para o sistema cliente

bem como para o servidor.

Se você optar por implementar somente autenticação do servidor, configure o

servidor e os IBM Directory Clients para acesso SSL. No entanto, se você optar por

implementar a autenticação de servidor e cliente, deverá configurar o SSL no

servidor e no cliente e, em seguida, seguir as instruções em “Configurando a

Autenticação de Servidor e Cliente LDAP” na página 178.

Este capítulo contém as seguintes seções principais:

v “Configurando o IBM Directory Server para Acesso SSL”

v “Configurando o iPlanet Directory Server para Acesso SSL” na página 167

v “Configurando o Novell eDirectory Server para Acesso SSL” na página 172

v “Configurando o IBM Directory Client para Acesso SSL” na página 175

v “Configurando os Servidores LDAP OS/390 e z/OS LDAP para Acesso SSL” na

página 170

v “Configurando a Autenticação de Servidor e Cliente LDAP” na página 178

v “Ativando SSL para Domino” na página 183

Configurando o IBM Directory Server para Acesso SSL

Você pode ativar o uso de SSL para proteger a comunicação entre os servidores

Tivoli Access Manager e o servidor LDAP. Essa etapa precisa ser executada

somente na primeira vez que a comunicação SSL for definida entre o servidor

LDAP e o IBM Directory Client.

Se anteriormente você tiver ativado o acesso SSL ao servidor LDAP durante a

configuração do servidor LDAP, deverá copiar um par de conjuntos de chaves do

cliente e do servidor para cada sistema Tivoli Access Manager adicional que utiliza

acesso SSL.


Se o acesso SSL for requerido pelo servidor LDAP, utilize o GSKit para executar o

gerenciamento de chaves SSL. O GSKit fornece um utilitário gráfico de

gerenciamento de chaves denominado gsk5ikm.

Nota: Para obter instruções completas sobre como usar o utilitário gsk5ikm para

ativar o SSL, consulte o IBM SecureWay Installation and Configuration Guide.

Para ativar o acesso SSL no IBM Directory Server, execute as instruções das

seguintes seções:

v “Criando o Arquivo de Banco de Dados de Chaves e o Certificado” na página

162

v “Obtendo um Certificado Pessoal de uma Autoridade de Certificação” na página

163 ou “Criando e Extraindo um Certificado Auto-assinado” na página 164

v “Ativando o Acesso SSL” na página 165

Criando o Arquivo de Banco de Dados de Chaves e o

Certificado

Para ativar o suporte SSL no servidor LDAP, o servidor deve ter um certificado

que o identifique e que ele possa utilizar como um certificado pessoal. Este

certificado pessoal é o certificado que o servidor envia para o cliente para permitir

ao cliente autenticar o servidor. Os certificados e os pares de chaves privadas e

públicas são armazenados em um arquivo de banco de dados de chave. Um

usuário geralmente adquire um certificado assinado de uma autoridade de

certificação, tal como a VeriSign.

Alternativamente, um usuário pode utilizar um certificado auto-assinado. Se o

usuário estiver utilizando um certificado auto-assinado, o sistema no qual o

certificado é gerado torna-se a autoridade de certificação.

Use o utilitário gsk5ikm para criar o arquivo de banco de dados de chaves e o

certificado. Para criar o arquivo de banco de dados de chaves e o certificado

(auto-assinado ou assinado), siga estas etapas:

1. Assegure-se de que a versão do GSKit e do gsk5ikm para a qual existe

suporte esteja instalada no servidor LDAP e nos IBM Directory Clients que

vão utilizar SSL.

Nota: Somente em um sistema de kernel SuSE SLES-7 2.4, assegure-se de que a

biblioteca C++ correta seja usada pelos utilitários GSKit. Para isso,

digite o seguinte comando:

export LD_PRELOAD=/usr/lib/libstdc++libc6.1-2.so.3

Essa variável de ambiente não é obrigatória se você executar gsk5ikm

em um sistema kernel 2.2.

2. Inicie o utilitário gsk5ikm, que está localizado em um dos seguintes diretórios

padrão:

Sistema Caminho

AIX /usr/opt/lpp/ibm/gsk5/bin/gsk5ikm

HP-UX /opt/ibm/gsk5/bin/gsk5ikm

Linux /usr/local/ibm/gsk5/bin/gsk5ikm

Solaris /opt/IBM/GSK5/bin/gsk5ikm

Windows C:\Arquivos de Programas\IBM\GSK5\bin\GSK5ikm.exe

SSL — IBM Directory Server


Nota: Somente no Linux para zSeries, para executar o utilitário gsk5ikm é

necessária uma sessão X-windows e o IBM Java, Versão 1.3.1, deve estar

acessível por meio da variável de ambiente PATH da seguinte forma:

export PATH=/opt/IBMJava2-s390-131/jre/bin:$PATH

É possível fazer download do IBM Java Runtime Environment, Versão

1.3.1 a partir do site do IBM Java para Linux, no endereço:

http://www6.software.ibm.com/dl/lxdk/lxdk-p

3. Para criar um novo arquivo de banco de dados de chaves, selecione Arquivo

de Banco de Dados de Chaves → Novo.

4. Assegure-se de que o CMS key database file (arquivo de banco de dados de

chaves CMS) seja o arquivo de banco de dados de chaves selecionado.

5. Digite as informações nos campos File Name (Nome do Arquivo) e Location

(Localização) em que você deseja que o arquivo de banco de dados de chaves

esteja localizado. A extensão de um arquivo de banco de dados de chaves é

.kdb.

6. Clique em OK.

7. Digite a senha do arquivo-chave de banco de dados e confirme-a. Lembre-se

desta senha porque ela será solicitada quando o arquivo de banco de dados

de chave for editado.

8. Aceite a hora de expiração ou altere-a para atender as necessidades de sua

empresa.

9. Se você desejar que a senha seja mascarada e armazenada em um arquivo

stash, selecione Stash the password to a file (Ocultar a senha em um

arquivo).

Um arquivo stash pode ser utilizado por alguns aplicativos para que o

aplicativo não tenha que saber a senha para utilizar o arquivo-chave de banco

de dados. O arquivo stash tem a mesma localização e o nome que o arquivo

de banco de dados de chaves e possui a extensão .sth.

10. Clique em OK. Isto conclui a criação do arquivo de banco de dados de chave.

Há um conjunto de certificados de assinantes padrão. Esses certificados de

assinantes são as autoridades de certificação padrão que são reconhecidas.

Obtendo um Certificado Pessoal de uma Autoridade de

Certificação

Se você pretende utilizar um certificado de uma autoridade de certificação em vez

de um certificado auto-assinado, será necessário solicitar o certificado da

autoridade de certificação e, em seguida, recebê-lo depois que for preenchido.

Se você planejar utilizar um certificado auto-assinado, desconsidere esta seção e vá

para a seção “Criando e Extraindo um Certificado Auto-assinado” na página 164.

Para solicitar e receber um certificado, siga estas etapas:

1. Utilize o gsk5ikm para solicitar um certificado de uma autoridade de

certificação e, em seguida, receber o novo certificado em seu arquivo de banco

de dados de chaves.

2. Clique na seção Personal Certificate Requests (Solicitações de Certificados

Pessoais) do arquivo de banco de dados de chave.

3. Clique em New (Novo).


Apêndice A. Ativando SSL 163

4. Para produzir um pedido que possa ser enviado para a autoridade de

certificação, complete as informações e, em seguida, clique em OK.

5. Para instalar o certificado no arquivo de banco de dados de chave, depois de

retornado pela autoridade de certificação, clique na seção Personal Certificates

(Certificados Pessoais) e, em seguida, clique em Receive (Receber).

6. Depois que o certificado do servidor LDAP estiver no arquivo de banco de

dados de chaves, configure o servidor LDAP para ativar o SSL.

Continue com a seção “Ativando o Acesso SSL” na página 165.

Criando e Extraindo um Certificado Auto-assinado

Se você tiver obtido um certificado de uma autoridade de certificação conhecida,

conforme descrito na seção “Obtendo um Certificado Pessoal de uma Autoridade

de Certificação” na página 163, ignore esta seção é vá para “Ativando o Acesso

SSL” na página 165.

Para criar um novo certificado auto-assinado e armazená-lo no arquivo de banco

de dados de chaves, siga estas etapas:

1. Selecione Criar → Novo Certificado Auto-assinado.

2. Digite um nome no campo Key Label (Rótulo da Chave) que o GSKit pode

utilizar para identificar esse novo certificado no banco de dados de chaves.

Por exemplo, o rótulo pode ser o nome do sistema do servidor LDAP.

3. Aceite os padrões para o campo Version (Versão) (X509 V3) e para o campo

Key Size (Tamanho da Chave).

4. Aceite o nome do sistema padrão ou digite um nome distinto diferente no

campo Common Name (Nome Comum) para esse certificado.

5. Digite um nome de empresa no campo Organization (Empresa).

6. Preencha quaisquer campos opcionais ou deixe-os em branco.

7. Aceite os padrões para o campo Country (País) e 365 para o campo Validity

Period (Período de Validade) ou altere-os de acordo com as necessidades de

sua organização.

8. Clique em OK. O GSKit gera um novo par de chaves públicas e privadas e

cria o certificado.

Se você tiver mais de um certificado pessoal no arquivo de banco de dados de

chave, o GSKit vai pesquisar se você deseja que esta chave seja a chave

padrão no banco de dados. Você pode aceitar um deles como o padrão. O

certificado padrão é utilizado no runtime quando um rótulo não é fornecido

para selecionar qual certificado utilizar.

Isto conclui a criação do certificado pessoal do servidor LDAP. Ele é exibido

na seção Certificados Pessoais do arquivo de banco de dados de chaves.

Utilize a barra central do utilitário de gerenciamento de chaves para selecionar

entre os tipos de certificados mantidos no arquivo de banco de dados de

chaves.

O certificado também é exibido na seção Certificados de Assinante do arquivo

de banco de dados de chaves. Quando você estiver na seção Certificados de

Assinante do banco de dados de chaves, verifique se ela contém o novo

certificado.

Depois, você deve extrair o certificado do seu servidor LDAP para um

arquivo de dados ASCII codificado em Base64.

9. Utilize gsk5ikm para extrair o certificado do servidor LDAP em um arquivo

de dados ASCII codificado em Base64. Esse arquivo é utilizado em “Incluindo

um Certificado de Assinante” na página 177.



10. Destaque o certificado auto-assinado que você acabou de criar.

11. Clique em Extract Certificate (Certificado de Extração).

12. Clique em Base64-encoded ASCII data (Dados ASCII codificados em Base64)

como o tipo de dados.

13. Digite um nome de arquivo de certificado para o certificado recém-extraído. A

extensão do arquivo de certificado é geralmente .arm.

14. Digite a localização em que deseja armazenar o certificado extraído.

15. Clique em OK.

16. Copie esse certificado extraído para o sistema IBM Directory Client.

Agora você pode configurar o servidor LDAP para ativar o acesso SSL. Continue

com a seção “Ativando o Acesso SSL”.

Ativando o Acesso SSL

Para configurar o servidor LDAP a fim de ativar SSL, assegure-se de que ele esteja

instalado e em execução, e proceda às etapas seguintes.

Somente nos sistemas Linux no zSeries, é necessário atualizar manualmente o arquivo

slapd32.conf para configurar o servidor LDAP para ativar SSL. Para isso, atualize

a entrada cn=SSL,cn=Configuration no arquivo slapd32.conf semelhante ao

exemplo mostrado:

Não são necessárias outras ações.

Para todos os sistemas, exceto Linux no zSeries, proceda da seguinte forma:

1. Acesse a ferramenta de administração da Web do IBM Directory Server no

seguinte endereço:

http://servername/ldap

em que servername é o nome do sistema do servidor LDAP.

2. Inicie sessão como administrador LDAP (por exemplo, cn=root) caso você

ainda não tenha iniciado sessão.

3. Selecione Security → SSL → Settings (Segurança → SSL → Definições).

dn: cn=SSL, cn=Configuration

cn: SSL

ibm-slapdSecurePort: 636

#ibm-slapdSecurity deve ser um dos none/SSL/SSLOnly

ibm-slapdSecurity: SSL

#ibm-slapdSslAuth deve ser um dos serverAuth/serverClientAuth

ibm-slapdSslAuth: serverauth

ibm-slapdSslCertificate: ldapcert

#ibm-slapdSslCipherSpecs deve ser um valor decimal de bits na máscara 0x3F00

ibm-slapdSslCipherSpecs: 12288

#ibm-slapdSslKeyDatabase deve ser a localização do banco de dados de chaves

# Se houver um arquivo stash de senha, será necessário especificar a senha

ibm-slapdSslKeyDatabase: /usr/ldap/etc/key.kdb

objectclass: top

objectclass: ibm-slapdSSL



4. Clique em SSL On (SSL Ativado), que ativa o SSL, ou clique em SSL Only

(Apenas) para o status de SSL que você deseja definir. Por exemplo:

5. Escolha um dos seguintes métodos de autenticação:

v Server Authentication (Autenticação de Servidor)

Para autenticação de servidor, o servidor envia seu certificado para o cliente

e o cliente autentica o servidor.

v Server and Client Authentication (Autenticação de Servidor e Cliente)

Para autenticação de servidor e cliente, depois que o servidor tiver enviado

seu certificado para o cliente e tiver sido autenticado pelo cliente, o servidor

solicitará o certificado do cliente. Nesse caso, um certificado precisa ser

estabelecido também para o cliente.

Você deve estabelecer o certificado para o cliente ao ativar o acesso SSL

para o cliente em “Configurando a Autenticação de Servidor e Cliente

LDAP” na página 178. 6. Digite um número de porta ou aceite o número de porta padrão de 636.

7. Digite o caminho e nome de arquivo do banco de dados de chaves que você

especificou em “Criando o Arquivo de Banco de Dados de Chaves e o

Certificado” na página 162.

A extensão do arquivo de banco de dados de chaves é .kdb.

8. Digite o nome no campo Key Label (Rótulo da Chave) que você utilizou para

identificá-lo quando armazenou o certificado do servidor LDAP no banco de

dados de chaves. Por exemplo, o rótulo poderia ser o nome do sistema do

servidor LDAP.

9. Digite a senha do arquivo de banco de dados de chave e confirme-a. Você

pode deixar o campo de senha em branco se desejar que o servidor LDAP

utilize o arquivo stash.

10. Clique em Apply (Aplicar).

11. Clique no link restart the server (reiniciar o servidor) para reiniciar o servidor

LDAP e permitir que esta alteração tenha efeito.

Para testar se o SSL foi ativado, digite o seguinte comando de uma linha de

comando do servidor LDAP:

ldapsearch -h servername -Z -K keyfile -P key_pw -b ""

-s base objectclass=*



As variáveis do comando são as seguintes:

Variável Descrição

servername O nome de host DNS do servidor LDAP.

keyfile O nome completo do caminho do conjunto de

chaves gerado.

key_pw A senha do conjunto de chaves gerado.

O comando ldapsearch retorna as informações base do LDAP, que incluem os

sufixos no servidor LDAP.

Agora, a configuração de SSL do servidor LDAP está concluída.

Em seguida, configure o IBM Directory Client para acesso SSL. Continue com a

seção “Configurando o IBM Directory Client para Acesso SSL” na página 175.

Configurando o iPlanet Directory Server para Acesso SSL

O SSL permite que os dados transmitidos entre os serviços Tivoli Access Manager

e o iPlanet Directory Server sejam criptografados para oferecer privacidade e

integridade dos dados. Recomendamos que os administradores ativem SSL para

proteger informações como senhas de usuários e dados particulares. No entanto, o

SSL não é obrigatório para a operação do Tivoli Access Manager.

Esse procedimento deve ser feito somente na primeira vez que a comunicação SSL

for configurada entre o iPlanet Directory Server e os IBM Directory Clients. Para

ativar a comunicação SSL, o iPlanet Directory Server e os IBM Directory Clients

devem estar configurados.

Para obter informações completas sobre como ativar o acesso SSL no iPlanet

Directory Server, consulte a documentação do iPlanet Directory Server.

Conclua as instruções nas seguintes seções:

v “Obtendo um Certificado de Servidor” na página 167

v “Instalando o Certificado do Servidor” na página 168

v “Ativando o Acesso SSL” na página 169

Obtendo um Certificado de Servidor

Para ativar o suporte SSL, o iPlanet Directory Server requer um certificado que

prove sua identidade para os sistemas clientes. O servidor envia o certificado para

o cliente para permitir que o cliente autentique com o servidor. Este certificado é

denominado Server-Cert.

Utilize o iPlanet Console 5.0 e o Assistente para Configuração de Certificado para

estabelecer o Server-Cert:

1. Inicie o iPlanet Console 5.0.

2. Digite o ID do usuário do administrador LDAP.

3. Digite a senha.

4. Digite o endereço de administração da Web.

5. Selecione o domínio a ser utilizado pelo Tivoli Access Manager.

6. Expanda o nome do servidor.



7. Expanda Server Group (Grupo de servidores).

8. Selecione a entrada denominada Directory Server.

Informações de configuração sobre o iPlanet Directory Server são exibidas.

9. Clique em Open (Abrir). O iPlanet Directory Server é acessado.

10. Clique na guia Configuration (Configuração).

11. Clique na guia Encryption (Criptografia).

12. Verifique se a caixa de entrada Enable SSL for this server (Ativar SSL para

este servidor) não está selecionada.

13. Clique na guia Tasks (Tarefas) e, em seguida, clique em Manage Certificates

(Gerenciar Certificados).

Nota: A chave privada para o certificado é armazenada em um dispositivo de

segurança interno denominado token, que é protegido por senha. Na

primeira vez que você clica no botão Manage Certificates (Gerenciar

Certificados), é solicitada a criação de uma senha para esse token.

14. Digite a senha de Segurança duas vezes e, em seguida, clique em OK. A

janela Manage Certificates (Gerenciar Certificados) é exibida.

15. No menu de opções Segurança, assegure-se de que internal (interno)

(software) esteja selecionado e que a guia Server Certs (Certs de Servidor)

esteja selecionada.

16. Clique no botão Request (Solicitar) na parte inferior da janela. O painel

Assistente para Pedido de Certificado é exibido.

17. Certifique-se de que o botão Request certificate manually (Solicitar

certificado manualmente) esteja selecionado e clique em Next (Avançar).

18. Digite as informações do solicitante e, em seguida, clique em Next (Avançar).

Certifique-se de preencher todos os campos. Quando perguntado de deseja

continuar, clique em Yes (Sim).

19. Assegure-se de que o campo Active Encryption token (Token de Criptografia

Ativa) especifique internal (interno) (software).

20. Digite a senha do dispositivo de segurança e, em seguida, clique em Next

(Avançar).

21. Para salvar o pedido de certificado em um arquivo, clique em Save to File

(Salvar em Arquivo). Para copiar o pedido para a área de transferência, clique

em Copy to Clipboard (Copiar para a Área de Transferência). Em seguida,

clique em Done (Concluído) para concluir o pedido.

22. Envie seu pedido por e-mail ou anexe o arquivo salvo e envie o pedido para o

administrador da autoridade de certificação.

Instalando o Certificado do Servidor

Depois de ter recebido o certificado da autoridade de certificação, instale-o

executando as seguintes etapas:

1. Abra o Console do iPlanet Directory Server.

2. Clique na guia Tasks (Tarefas) e, em seguida, clique em Manage Certificates

(Gerenciar Certificados).

3. Assegure-se de que Server Certs (Certificados de Servidor) esteja selecionado

e, em seguida, clique em Install (Instalar).


v Para instalar o certificado a partir de um arquivo, selecione In this local file

(Neste arquivo local).

SSL — iPlanet Directory Server


v Para colar o texto na janela, selecione In the following encoded text block

(No seguinte bloco de texto codificado), copie o texto do certificado e, em

seguida, clique em Paste from Clipboard (Colar da Área de Transferência).5. Clique em Next (Avançar).

6. Verifique se as informações do certificado estão corretas e clique em Next

(Avançar).

7. No campo This certificate will be named (Este certificado será denominado),

digite um nome de certificado ou aceite o nome padrão, server-cert, e clique

em Next (Avançar).

8. Digite a senha do token e, em seguida, clique em Done (Concluído). Se o

processo for bem-sucedido, o painel Gerenciar Certificado será exibido e o

nome do certificado de servidor será listado na guia Server Certs (Certs de

Servidor).

9. Continue com a seção “Ativando o Acesso SSL”.


Depois de sair do Assistente para Configuração de Certificado, você será retornado

à guia Encryption (Criptografia) no iPlanet Console 5.0, conforme mostrado:

1. Selecione Enable SSL (Ativar SSL).

2. Selecione RSA Cipher Family.

3. Se você não planeja solicitar autenticação de cliente com base em certificado,

selecione Do not allow client authentication (Não permitir autenticação de

cliente).

4. Clique em Save (Salvar).

5. Reinicie o o iPlanet Directory Server para que as alterações sejam efetivadas.

Nota: É necessário digitar a senha do banco de dados confiável toda vez que o

servidor é iniciado.

O SSL está agora ativado no iPlanet Directory Server. Em seguida, é necessário

ativar SSL nos sistemas IBM Directory Client que funcionarão como clientes

LDAP para o iPlanet Directory Server.

Consultar “Configurando o IBM Directory Client para Acesso SSL” na página

175.

SSL — iPlanet Directory Server


Configurando os Servidores LDAP OS/390 e z/OS LDAP para Acesso

SSL

Quando os serviços Tivoli Access Manager e LDAP não estão na mesma rede

protegida, é recomendável ativar a comunicação SSL entre o servidor LDAP e os

clientes que suportam o software Tivoli Access Manager.Esse protocolo fornece

comunicações criptografadas seguras entre cada servidor e cliente. O Tivoli Access

Manager utiliza esses canais de comunicação como parte do processo de tomada

de decisões de autenticação e autorização.

Para configurar um servidor LDAP no OS/390 ou no z/OS para comunicações

SSL, consulte o manual LDAP Server Administration and Use para seu release do

OS/390 ou do z/OS. Esse documento está localizado em:

http://www-1.ibm.com/servers/eserver/zseries/zos/bkserv/

As etapas de nível superior a seguir são necessárias para ativar o suporte SSL para

LDAP no z/OS releases 1.2 a 1.4. Estas etapas supõem que você já instalou e

configurou o servidor de diretório LDAP e o Cryptographic Services System SSL

do Z/OS.

1. Configure o servidor LDAP para atender pedidos LDAP na porta SSL para

autenticação do servidor e, opcionalmente, autenticação do cliente.

2. Gere a chave privada do servidor LDAP e o certificado do servidor e marque-o

como padrão no banco de dados de chaves, ou utilize seu rótulo na opção do

arquivo de configuração sslCertificate.

3. Reinicie o servidor LDAP.

Configurando as Opções de Segurança

As opções a seguir para SSL podem ser definidas no arquivo slapd.conf:

listen ldap_URL

Especifica, no formato de URL do LDAP, o endereço IP (ou o nome do

host) e o número da porta na qual o servidor LDAP atenderá pedidos

recebidos de clientes. Esse parâmetros pode ser especificado mais de uma

vez no arquivo de configuração.

sslAuth {serverAuth | serverClientAuth}

Especifica o método de autenticação SSL. O método serverAuth permite

que o cliente LDAP valide o servidor LDAP no contato inicial entre o

cliente e o servidor. O método serverAuth é o padrão.

sslCertificate {certificateLabel | none}

Especifica o rótulo do certificado utilizado para autenticação do servidor.

Ele é armazenado no arquivo de banco de dados de chaves, criado e

gerenciado pela ferramenta gskkyman.

sslCipherSpecs int

Estipula as especificações de codificação SSL que serão aceitas pelos

clientes.

Tabela 17. Codificações Suportadas

Codificação Valor hexadecimal Valor decimal

SLAPD_SSL_RC4_MD5_US 0x0800 2048

SLAPD_SSL_RC4_SHA_US 0x0400 1024

SLAPD_SSL_TRIPLE_DES_SHA_US 0x0100 256

SSL — Servidores OS/390 e z/OS


Tabela 17. Codificações Suportadas (continuação)

Codificação Valor hexadecimal Valor decimal

SLAPD_SSL_DES_SHA_EXPORT 0x0200 512

SLAPD_SSL_RC2_MD5_EXPORT 0x1000 4096

SLAPD_SSL_RC4_MD5_EXPORT 0x2000 8192

O valor inteiro utilizado com a palavra-chave sslCipherSpecs é a

representação decimal da máscara de bits ORed definida pelos valores

hexadecimais contidos na Tabela 17 na página 170. Por exemplo, para

utilizar todas as codificações disponíveis nos EUA, o valor deve ser 15104.

Fora dos EUA, o valor que indica todas as especificações de codificação

válidas é 12288. Nesse caso, os clientes que oferecem suporte a qualquer

dessas codificações poderia estabelecer uma conexão SSL com o servidor.

Nome do arquivo sslKeyRingFile

Especifica o caminho e o nome do arquivo do banco de dados de chaves

SSL para o servidor. O nome do arquivo deve corresponder ao nome do

banco de dados de chaves utilizando a ferramenta gskkyman.

sslKeyRingFilePW string

Especifica o acesso de proteção por senha ao arquivo de banco de dados de

chaves SSL. A cadeia de senha deve corresponder à senha do arquivo de

banco de dados de chaves criado utilizando a ferramenta gskkyman.

Nota: O uso da opção de configuração sslKeyRingFilePW não é

recomendado. Como alternativa, utilize o suporte ao conjunto de

chaves RACF ou a opção de configuração sslKeyRingPWStashFile.

Isso elimina a senha do arquivo de configuração.

sslKeyRingPWStashFile filename

Especifica um nome de arquivo no qual a senha do arquivo de banco de

dados de chaves do servidor é stash. Se essa opção estiver presente, a

senha desse arquivo stash substitui a opção de configuração

sslKeyRingFilePW, se estiver presente. Use o utilitário gskkyman com a

opção –s para criar um arquivo stash de senha do banco de dados de

chaves.

Criando um Arquivo de Banco de Dados de Chaves

O exemplo a seguir mostra como usar o utilitário gskkyman para criar um arquivo

de banco de dados de chaves.

1. Inicie o utilitário gskkyman a partir de um prompt do shell (OMVS ou sessão

rlogin) da seguinte forma:

$ gskkyman

O utilitário gskkyman oferece uma interface com base no menu. Para executar

uma função, escolha a opção que deseja executar, digitando seu número no

prompt de comandos.

2. Para criar um novo arquivo de banco de dados de chaves, selecione a opção 1.

3. Digite o nome do arquivo de banco de dados de chaves (key.kdb é o padrão).

4. Digite uma senha para proteger o banco de dados de chaves.

5. Redigite a senha, para verificação.

6. Digite o intervalo de expiração da senha em dias, ou pressione Enter para

indicar que não há data de expiração.



7. Digite o comprimento do registro do banco de dados ou pressione Enter para

utilizar 2500.

O banco de dados de chaves é criado e é exibida uma mensagem indicando o

êxito ou falha dessa operação.

8. No Menu de Gerenciamento de Chaves, selecione a opção 6 para criar um

certificado auto-assinado e siga os prompts.

9. Após a criação do certificado, extraia-o, para que possa ser enviado para o

sistema do cliente LDAP e incluído como certificado CA confiável. Para fazer

isso, siga estas etapas:

a. Selecione a opção 1 para gerenciar chaves e certificados.

b. Na Lista de Chaves e Certificados, digite o número do rótulo.

c. No Menu de Chaves e Certificados, digite a opção 6 para exportar o

certificado para um arquivo.

d. No diálogo Exportar Formato do Arquivo, selecione o formato de

exportação. Por exemplo, selecione a opção 1 para exportar para Binary

ASN.1 DER.

O certificado será exportado. Agora o arquivo exportado pode ser

transferido para o sistema cliente LDAP e incluído como certificado CA

confiável. Como o formato de arquivo DER binário foi especificado na

exportação, esse mesmo tipo de arquivo deve ser especificado para o

utilitário gsk5ikm no sistema cliente LDAP durante a operação de inclusão.

Configurando o Novell eDirectory Server para Acesso SSL

O SSL (Secure Socket Layer) permite que os dados, que são transmitidos entre os

serviços do Tivoli Access Manager e o eDirectory NDS, sejam criptografados para

proteger a privacidade e integridade dos dados. É recomendável que os

administradores ativem SSL para proteger as informações, como senhas do usuário

e dados particulares. Entretanto, o SSL não é obrigatório para o funcionamento do

Tivoli Access Manager. Se o SSL não for necessário no ambiente do Tivoli Access

Manager, ignore esta seção.

O Tivoli Access Manager oferece suporte a autenticação no lado do servidor

somente com eDirectory NDS. Para configurar o servidor NDS eDirectory para

SSL, assegure-se de que a ferramenta ConsoleOne esteja instalada e conclua as

seguintes seções:

v “Criando um Objeto de Autoridade de Certificação Organizacional”

v “Criando um Certificado Auto-assinado” na página 173

v “Criando um Certificado de Servidor para o Servidor LDAP” na página 174

v “Ativando SSL” na página 174

v “Incluindo o Certificado Auto-assinado no Arquivo de Chaves IBM” na página

175

Nota: Para obter mais informações, consulte a documentação do produto Novell

no endereço:

http://www.novell.com/documentation/lg/ndsedir86/index.html

Criando um Objeto de Autoridade de Certificação

Organizacional

Durante a instalação do eDirectory, um objeto NDSPKI:Autoridade de Certificação

é criado por padrão (se ainda não existir um na rede). É importante que o nome



do assunto (não o nome do objeto) seja um signatário válido. O nome do assunto

deve ter um campo de organização e um campo de país para que seja reconhecido

como válido pelo Tivoli Access Manager. O nome de assunto padrão é o seguinte:

0=<nome da entrada organizacional>.OU=CD Organizacional

Este não é um signatário válido. Para alterá-lo, é necessário recriar o objeto de

Autoridade de Certificação com um nome de assunto válido. Para fazer isso, siga

estas etapas:

1. Inicie o ConsoleOne.

2. Selecione o objeto de contêiner Security (Segurança). Os objetos são exibidos na

área de janela da direita.

3. Selecione o objeto CA da Organização e exclua-o.

4. Clique com o botão direito do mouse no objeto de contêiner Security

(Segurança) novamente e clique em Novo → Objeto.

5. No quadro de listagem do diálogo Novo Objeto, dê um clique duplo em

NDSPKI: Certificate Authority (NDSPKI: Autoridade de Certificação). O

diálogo Criar Objeto de Autoridade de Certificação Organizacional será exibido.

Execute as instruções on-line.

6. Selecione o servidor de destino e digite um nome de objeto do eDirectory. Por

exemplo:

Campo do Servidor Host = C22Knt_NDS.AM

Campo de Nome de Objeto = C22KNT-CA

7. Em Método de Criação, selecione Custom (Personalizado) e clique em Next

(Avançar).

8. Edite o nome do Assinto e digite o sufixo. Por exemplo, digite:

.o=tivoli.c=us

9. A Autoridade de Certificação Organizacional será exibida no ConsoleOne como

C22KNT-CA.

Criando um Certificado Auto-assinado

Para criar um certificado auto-assinado, proceda da seguinte forma:

1. Vá para as propriedades da Organizational Certificate Authority (Autoridade

de Certificação Organizacional) (C22KNT-CA). A janela Properties

(Propriedades) será exibida.

2. Selecione a guia Certificate (Certificado) e, em seguida, Self Signed Certificate

(Certificado Auto-assinado) no menu drop down.

3. Valide o certificado.

4. Exporte o certificado. A janela Export a Certificate (Exportar um Certificado)

será exibida.

5. Aceite os valores padrão e anote a localização na qual o certificado

auto-assinado será salvo. Por exemplo:

c:\c22knt\CA-SelfSignedCert.der

6. Transfira por FTP o arquivo para o diretório host do Tivoli Access Manager. Por

exemplo:

c:\Arquivos de Programas\Tivoli\Policy Directory\keytab

Observe que este é um arquivo binário.

SSL — Novell eDirectory Server


Criando um Certificado de Servidor para o Servidor LDAP

Para criar um certificado de servidor para o Novell eDirectory Server, execute estas

etapas:

1. Para criar um certificado de servidor para o servidor LDAP, clique com o botão

direito do mouse na entrada Organização e clique em Novo → Objeto. Será

exibida uma janela New Object (Novo Objeto).

2. Selecione NDSPKI: Key Material (NDSPKI: Material Chave) e clique em OK.

A janela Create Server Certificate (Key Material) (Criar Certificado de Servidor

(Material Chave)) será exibida.

3. Digite o nome do certificado (por exemplo, AM), selecione Custom

(Personalizado) como método de criação e clique em Next (Avançar).

4. Utilize os valores padrão para a opção Specify the Certificate Authority

(Especificar a Autoridade de Certificação), que assinará o certificado e clique

em Next (Avançar).

5. Especifique o tamanho da chave (o padrão é 1024 bits), utilize os valores

padrão para todas as outras opções e clique em Next (Avançar).

6. Na janela Specify the Certificate Parameters (Especificar Parâmetros do

Certificado), clique no botão Edit (Editar) ao lado do campo de nome Subject

(Assunto). A janela Edit Subject (Editar Assunto) será exibida.

7. Digite o nome do assunto. Assegure-se de que ele tenha os campos

Organization and a Country (Organização e Países) e clique em OK. A janela

Create Server Certificate (Key Material) (Criar Certificado de Servidor (Material

Chave)) será exibida, com o campo Subject Name (Nome do Assunto)

atualizado. Clique em Next (Avançar) para continuar.

8. Para aceitar os valores padrão nas janelas a seguir, clique em Next (Avançar)

duas vezes e, em seguida, clique em Finish (Concluir) para criar um material

chave.

A janela Creating Certificate (Criando Certificado) será exibida

temporariamente. Quando for limpa, a área de janela esquerda do ConsoleOne

será atualizada com uma entrada de Material Chave denominada AM. Esse é o

certificado do servidor.

Ativando SSL

Para ativar SSL para o servidor LDAP Novell, proceda da seguinte forma:

1. Na área de janela da direita do ConsoleOne, localize uma entrada denominada

Servidor LDAP – nome_do_host e clique com o botão direito do mouse nela.

2. No menu drop down, selecione Properties (Propriedades). No bloco de notas

Properties (Propriedades), selecione a guia SSL Configuration (Configuração

SSL).

3. Clique no ícone Tree Search (Pesquisa na árvore), ao lado do campo SSL

Certificate (Certificado SSL). A janela Select SSL Certificate (Selecionar

Certificado SSL) será exibida. A área de janela SSL Certificate List (Lista de

Certificados SSL) exibirá os certificados conhecidos na organização.

4. Selecione o certificado AM e clique em OK. A janela Properties of LDAP Server

(Propriedades do Servidor LDAP) – nome_do_host será exibida novamente, com

um campo de SSL Certificate (Certificado SSL) atualizado.

Nota: Não selecione Enable and Require Mutual Authentication (Ativar e Exigir

Autenticação Mútua).



Incluindo o Certificado Auto-assinado no Arquivo de Chaves

IBM

Para incluir o certificado auto-assinado no arquivo de chaves IBM no servidor

Tivoli Access Manager, execute estas etapas:

1. Inicie o utilitário gsk5ikm. Será exibida uma janela do IBM Key Manager

(Gerenciador de Chaves IBM).

2. Selecione Arquivo de Banco de Dados de Chaves → Novo. Será exibida uma

nova janela.

3. Atualize os campos para os valores a seguir e clique em OK.

Tipo de banco de dados de chaves: arquivo

de banco de dados de chaves CMS Nome do arquivo: key.kdb

Localização: /var/PolicyDirector/keytabs

Será exibida uma janela de Password Prompt (Prompt de Senha).

4. Crie uma senha, digitando-a duas vezes para configuração e clique em OK.

Será exibida uma janela do IBM Key Manager (Gerenciador de Chaves IBM),

com o diálogo de Signer Certificates (Certificados de Assinante) exibida.

5. Clique no botão Add (Incluir). A janela Add CA’s Certificate from a File

(Incluir Certificado CA de um Arquivo) será exibida. Atualize os campos a

seguir e clique em OK.

Tipo de dados: Dados der binários

Nome do arquivo de certificado: <hostname>CA-SelfSignedCert.der

Localização: /var/PolicyDirector/keytabs

O diálogo Signer Certificates (Certificados de Assinante) será atualizado com

um certificado denominado AM.

Configurando o IBM Directory Client para Acesso SSL

Você deve primeiro configurar o servidor LDAP para acesso SSL antes de

configurar o cliente LDAP para acesso SSL. Se você ainda não configurou o

servidor LDAP para acesso SSL, vá para a seção “Configurando o IBM Directory

Server para Acesso SSL” na página 161.

Semelhante à criação de um arquivo de banco de dados de chaves para o servidor,

você deve criar um arquivo de banco de dados de chaves no sistema cliente. Para

que o cliente possa autenticar o servidor LDAP, o cliente deve reconhecer a

autoridade de certificação (assinante) que criou o certificado do servidor LDAP. Se

o servidor LDAP estiver utilizando um certificado auto-assinado, o cliente deverá

ser ativado para reconhecer o sistema que gerou o certificado do servidor LDAP

como uma raiz confiável (autoridade de certificação).

Para configurar o cliente LDAP para acesso SSL para o servidor LDAP, conclua as

instruções nas seguintes seções:

v “Criando um Arquivo de Banco de Dados de Chaves” na página 175

v “Incluindo um Certificado de Assinante” na página 177

v “Testando o Acesso SSL” na página 177


Use o utilitário gsk5ikm para criar o arquivo de banco de dados de chaves e o

certificado. Para criar o arquivo de banco de dados de chaves e o certificado

(auto-assinado ou assinado), siga estas etapas:



1. Certifique-se de que o GSKit e o utilitário gsk5ikm estejam instalados no

servidor LDAP e nos clientes LDAP que utilizarão o SSL.


padrão:

Sistema Caminho






Nota: Somente no Linux para zSeries, para executar o utilitário gsk5ikm, é

necessária uma sessão X-windows e o IBM Java, Versão 1.3.1, deve estar

acessível por meio da variável de ambiente PATH da seguinte forma:

export PATH=/opt/java/IBMJava2-s390-131/jre/bin:$PATH

É possível fazer download do IBM Java Runtime Environment, Versão

1.3.1, a partir do site do IBM Java para Linux, no endereço:

http://www6.software.ibm.com/dl/lxdk/lxdk-p

Além disso, para carantir que a biblioteca C++ correta seja usada pelo

utilitário gsk5ikm nos sistemas SuSE SLES-7 de 31 bits, a variável de

ambiente LD_PRELOAD deve ser definida:

LD_PRELOAD=/usr/lib/libstdc++libc6.1–2.so.3

3. Para criar um novo arquivo de banco de dados de chaves, selecione Arquivo

de Banco de Dados de Chaves → Novo.

4. Assegure-se de que o arquivo de banco de dados de chaves CMS seja o

arquivo de banco de dados de chaves selecionado.

5. Digite as informações nos campos Nome do Arquivo e Localização em que

você deseja que o arquivo de banco de dados de chaves esteja localizado. A

extensão de um arquivo de banco de dados de chaves é .kdb.

6. Clique em OK.

7. Digite a senha do arquivo-chave de banco de dados e confirme-a.

Lembre-se desta senha porque ela será solicitada quando o arquivo de banco

de dados de chave for editado.


empresa.


stash, selecione Ocultar a senha em um arquivo.



de dados. O arquivo stash tem a mesma localização e o nome que o arquivo

de banco de dados de chaves e possui a extensão .sth.

10. Clique em OK. Isto conclui a criação do arquivo de banco de dados de chave.

Há um conjunto de certificados de assinantes padrão. Esses certificados de

assinantes são as autoridades de certificação padrão que são reconhecidas.

Para que o cliente possa autenticar o servidor LDAP, ele deve reconhecer a

autoridade de certificação (assinante) que criou o certificado do servidor

SSL — iPlanet Directory Client


LDAP. Se o servidor LDAP estiver utilizando um certificado auto-assinado, o

cliente deverá ser ativado para reconhecer o sistema que gerou o certificado

do servidor LDAP como uma raiz confiável (autoridade de certificação).

11. Depois de criar o arquivo de banco de dados de chaves, altere a propriedade

desse arquivo para ivmgr. Utilize o comando apropriado do sistema

operacional para alterar a propriedade do arquivo. Por exemplo, em sistemas

UNIX, digite o seguinte:

# chown ivmgr keyfile

Incluindo um Certificado de Assinante

Para incluir um certificado de assinante após a criação do arquivo de banco de

dados de chaves, siga estas etapas:

1. Se você estiver utilizando um certificado auto-assinado para o servidor LDAP,

certifique-se de que o certificado que foi extraído do arquivo de banco de

dados de chaves em “Criando e Extraindo um Certificado Auto-assinado” na

página 164 tenha sido copiado para o sistema cliente. Se ele não tiver sido

copiado, copie-o agora. Caso contrário, assegure-se de ter o certificado da

autoridade de certificação que criou o certificado do servidor LDAP.

2. Clique na seção Signer Certificates (Certificados de Assinante) do arquivo de

banco de dados de chave CMS.

3. Clique em Add (Incluir).


para definir o tipo de dados.

5. Indique o nome do arquivo do certificado e sua localização. A extensão do

arquivo de certificado é geralmente .arm.

6. Clique em OK.

7. Digite um rótulo para o certificado de assinante que você está incluindo. Por

exemplo, você pode utilizar o nome do sistema do servidor LDAP para o

rótulo. Se o certificado do servidor LDAP tiver sido criado por uma

autoridade de certificação, você poderá utilizar o nome da autoridade de

certificação como o rótulo.

8. Clique em OK. O certificado é exibido no banco de dados de chaves do

cliente como um certificado de assinante.

9. Destaque o certificado de assinante recentemente incluído e clique em

View/Edit (Exibir/Editar).

10. Assegure-se de que Set the certificate as a trust root (Definir o certificado

como uma raiz confiável) esteja selecionado para que o certificado seja

marcado como uma raiz confiável.

Se o certificado do servidor LDAP tiver sido gerado por uma autoridade de

certificação regular, assegure-se de que a autoridade de certificação esteja

listada como um certificado de assinante e marcada como uma raiz confiável.

Se não estiver, inclua o certificado da autoridade de certificação como um

certificado de assinante e indique que é uma raiz confiável.

Agora, o cliente estará apto a estabelecer uma conexão SSL com o servidor LDAP.

Testando o Acesso SSL

Para testar se o acesso SSL foi ativado, digite o seguinte comando no cliente LDAP:

ldapsearch -h servername -Z -K client_keyfile -P key_pw

-b "" -s base objectclass=*






client_keyfile O nome completo do caminho do conjunto de

chaves de cliente gerado.


Este comando retorna as informações de base de LDAP, incluindo os sufixos no

servidor LDAP.

Durante a configuração do servidor LDAP em “Configurando o IBM Directory

Server para Acesso SSL” na página 161, você escolheu um método de autorização

Server Authentication (Autenticação de Servidor) ou Server and Client

Authentication (Autenticação de Servidor e Cliente).

v Se você escolheu Server Authentication (Autenticação de Servidor), a

configuração do SSL está concluída.

v Se você escolheu Server and Client Authentication (Autenticação de Servidor e

Cliente), vá para a seção “Configurando a Autenticação de Servidor e Cliente

LDAP”.

Configurando a Autenticação de Servidor e Cliente LDAP

Durante a configuração do servidor LDAP para ativar o acesso SSL, conforme

descrito na seção “Ativando o Acesso SSL” na página 165, foi solicitado a você

escolher Server Authentication (Autenticação de Servidor) ou Server and Client

Authentication (Autenticação de Servidor e Cliente).

Se você escolheu Server Authentication (Autenticação de Servidor), a

configuração do SSL está concluída.

Se você escolheu Server and Client Authentication (Autenticação de Servidor e

Cliente), agora deverá estabelecer um certificado para o sistema cliente. Nesse

modo de autenticação, o servidor solicita o certificado do cliente e o utiliza para

autenticar a identidade do cliente.

Para estabelecer um certificado para o sistema do cliente, conclua as instruções nas

seções a seguir:

v “Criando um Arquivo de Banco de Dados de Chaves” na página 178

v “Obtendo um Certificado Pessoal de uma Autoridade de Certificação” na página

179

v “Criando e Extraindo um Certificado Auto-assinado” na página 180

v “Incluindo um Certificado de Assinante” na página 181

v “Testando o Acesso SSL” na página 182


Se você ainda não tiver criado um arquivo de banco de dados de chaves do cliente,

use o utilitário gsk5ikm para criar o arquivo de banco de dados de chaves e o

certificado. Se você já tiver criado um arquivo de banco de dados de chaves, vá

para “Obtendo um Certificado Pessoal de uma Autoridade de Certificação” na

página 179.



Para criar o arquivo de banco de dados de chaves e o certificado (auto-assinado ou

assinado), siga estas etapas:

1. Certifique-se de que o GSKit e o gsk5ikm estejam instalados no servidor e

quaisquer clientes LDAP que utilizarão o SSL.


padrão:

Sistema Caminho





Windows C:\Arquivos de Programas\IBM\GSK5\bin\ GSK5ikm.exe

3. Selecione Arquivo de Banco de Dados de Chaves → Novo.

4. Assegure-se de que o CMS key database file (arquivo de banco de dados de

chaves CMS) seja o arquivo de banco de dados de chaves selecionado.

5. Digite as informações nos campos File Name (Nome do Arquivo) e

Localização em que você deseja que o arquivo de banco de dados de chaves

esteja localizado. A extensão de um arquivo de banco de dados de chaves é

.kdb.

6. Clique em OK.

7. Digite a senha do arquivo-chave de banco de dados e confirme-a. Lembre-se

desta senha porque ela será solicitada quando o arquivo de banco de dados

de chave for editado.


empresa.


stash, selecione Stash the password to a file (Ocultar a senha em um

arquivo).



de dados. O arquivo stash possui a mesma localização e nome que o arquivo

de banco de dados de chaves e possui a extensão de .sth.

10. Clique em OK.

Isto conclui a criação do arquivo de banco de dados de chave. Há um

conjunto de certificados de assinantes padrão. Esses certificados de assinantes

são as autoridades de certificação padrão que são reconhecidas.

11. Depois de criar o arquivo de banco de dados de chaves, altere a propriedade

desse arquivo para ivmgr. Utilize o comando apropriado do sistema

operacional para alterar a propriedade do arquivo. Por exemplo, em sistemas

UNIX, digite o seguinte:

# chown ivmgr keyfile

Obtendo um Certificado Pessoal de uma Autoridade de

Certificação

Se você pretende utilizar um certificado de uma autoridade de certificação (como a

VeriSign), em vez de um certificado auto-assinado, deverá solicitar o certificado da

autoridade de certificação e recebê-lo depois que estiver concluído.

SSL — Autenticação de Servidor e Cliente


Se você planejar utilizar um certificado auto-assinado, desconsidere esta seção e vá

para a seção “Criando e Extraindo um Certificado Auto-assinado”.

Para solicitar e receber um certificado, siga estas etapas:

1. Utilize o gsk5ikm para solicitar um certificado de uma autoridade de

certificação e, em seguida, receber o novo certificado em seu arquivo de banco

de dados de chaves.

2. Clique na seção Personal Certificate Requests (Solicitações de Certificados

Pessoais) do arquivo de banco de dados de chave.

3. Clique em New (Novo).

4. Para produzir um pedido que possa ser enviado para a autoridade de

certificação, complete as informações e, em seguida, clique em OK.

5. Para instalar o certificado no arquivo de banco de dados de chave, depois de

retornado pela autoridade de certificação, clique na seção Personal Certificates

(Certificados Pessoais) e, em seguida, clique em Receive (Receber).

6. Depois que o certificado do cliente LDAP estiver no arquivo de banco de dados

de chaves, você poderá incluir o certificado da autoridade de certificação que

criou o certificado do cliente no servidor LDAP.

7. Continue com a seção “Incluindo um Certificado de Assinante” na página 181.

Criando e Extraindo um Certificado Auto-assinado

Se você obteve um certificado de uma autoridade de certificação, conforme descrito

em “Obtendo um Certificado Pessoal de uma Autoridade de Certificação” na

página 179, salte esta seção e vá para “Incluindo um Certificado de Assinante” na

página 181.

Para criar um novo certificado auto-assinado e armazená-lo no arquivo de banco

de dados de chaves, siga estas etapas:


padrão:

Sistema Caminho






2. Selecione Criar → Novo Certificado Auto-assinado.

3. Digite um nome no campo Key Label (Rótulo da Chave) que o GSKit pode

utilizar para identificar esse novo certificado no banco de dados de chaves.

Por exemplo, o rótulo pode ser o nome do sistema do cliente LDAP.

4. Aceite os padrões para o campo Version (Versão) (X509 V3) e para o campo

Key Size (Tamanho da Chave).

5. Aceite o nome do sistema padrão ou digite um nome distinto diferente no

campo Common Name (Nome Comum) para esse certificado.

6. Digite um nome de empresa no campo Organization (Empresa).

7. Preencha quaisquer campos opcionais ou deixe-os em branco.



8. Aceite os padrões para o campo Country (País) e 365 para o campo Validity

Period (Período de Validade) ou altere-os de acordo com as necessidades de

sua organização.

9. Clique em OK. O GSKit gera um novo par de chaves públicas e privadas e

cria o certificado.

Se você tiver mais de um certificado pessoal no arquivo de banco de dados de

chave, o GSKit vai pesquisar se você deseja que esta chave seja a chave

padrão no banco de dados. Você pode aceitar um deles como o padrão. O

certificado padrão é utilizado no runtime quando um rótulo não é fornecido

para selecionar qual certificado utilizar.

Isso conclui a criação do certificado pessoal do cliente LDAP. Ele é exibido na

seção Certificados Pessoais do arquivo de banco de dados de chaves. Utilize a

barra central do utilitário de gerenciamento de chaves para selecionar entre os

tipos de certificados mantidos no arquivo de banco de dados de chaves.

O certificado também é exibido na seção Certificados de Assinante do arquivo

de banco de dados de chaves. Quando você estiver na seção Certificados de

Assinante do banco de dados de chaves, verifique se ela contém o novo

certificado.

Depois, você deve extrair o certificado do seu servidor LDAP para um

arquivo de dados ASCII codificado em Base64.

10. Utilize gsk5ikm para extrair o certificado do servidor LDAP em um arquivo

de dados ASCII codificado em Base64.

11. Destaque o certificado auto-assinado que você acabou de criar.

12. Clique em Extract Certificate (Certificado de Extração).


como o tipo de dados.

14. Digite um nome de arquivo de certificado para o certificado recém-extraído. A

extensão do arquivo de certificado é geralmente .arm.

15. Digite a localização na qual você deseja armazenar o certificado extraído e, em

seguida, clique em OK.

16. Copie este certificado extraído para o sistema do servidor LDAP.

No servidor LDAP, após a criação e inclusão do certificado pessoal do cliente no

banco de dados de chaves do cliente, a autoridade de certificação que criou esse

certificado de cliente deve ser reconhecida como um certificado de assinante (raiz

confiável).

Incluindo um Certificado de Assinante

Você deve executar esta etapa no servidor LDAP.

Para incluir um certificado de assinante após a criação do arquivo de banco de

dados de chaves, siga estas etapas:


v Se você estiver utilizando um certificado auto-assinado para o cliente,

certifique-se de que o certificado que foi extraído do arquivo de banco de

dados de chaves em “Criando e Extraindo um Certificado Auto-assinado”

na página 180 foi copiado para o sistema do servidor.Se isso não tiver sido

feito, copie-o agora e salte as etapas seguintes.

v Se o certificado de cliente tiver sido criado por uma autoridade de

certificação, inclua o certificado da autoridade de certificação como um

assinante confiável, executando as seguintes etapas.



2. Clique na seção Signer Certificates (Certificados de Assinante) do arquivo de

banco de dados de chave CMS.

3. Clique em Add (Incluir).


para definir o tipo de dados.

5. Indique o nome do arquivo do certificado e sua localização. A extensão do

arquivo de certificado é geralmente .arm.

6. Clique em OK.

7. Digite um rótulo para o certificado de assinante que você está incluindo. Por

exemplo, você pode utilizar o nome do sistema do cliente LDAP para o rótulo

ou o nome da autoridade de certificação que gerou o certificado do cliente.

8. Clique em OK. O certificado auto-assinado é exibido no banco de dados de

chaves do cliente como um certificado de assinante.

9. Destaque o certificado de assinante recentemente incluído e clique em

View/Edit (Exibir/Editar).

10. Assegure-se de que Set the certificate as a trust root (Definir o certificado

como uma raiz confiável) esteja selecionado para que o certificado seja

marcado como uma raiz confiável.

Se o certificado do cliente LDAP tiver sido gerado por uma autoridade de

certificação regular, assegure-se de que a autoridade de certificação esteja

listada como um certificado de assinante e marcada como uma raiz confiável.

Se não estiver, inclua o certificado da autoridade de certificação como um

certificado de assinante e indique que é uma raiz confiável.

Agora, o servidor está apto a estabelecer uma sessão SSL com o cliente LDAP.

11. Continue com a seção “Testando o Acesso SSL”.

Testando o Acesso SSL

Depois que o servidor LDAP reconhecer a autoridade de certificação que criou o

certificado pessoal do cliente, teste o acesso SSL utilizando o seguinte comando no

cliente LDAP:

ldapsearch -h servername -Z -K client_keyfile -P key_pw -N \

client_label -b "" -s base objectclass=*




client_keyfile O nome completo do caminho do conjunto de

chaves de cliente gerado.


client_label O rótulo associado à chave, se houver. Este campo

é opcional e é necessário apenas se o servidor

LDAP estiver configurado para executar

autenticação de servidor e cliente.

O comando ldapsearch retorna as informações base do LDAP, que incluem os

sufixos no servidor LDAP. Observe que o parâmetro –N indica o rótulo que foi

especificado quando o certificado pessoal do cliente foi incluído no arquivo de

banco de dados de chaves do cliente.

Nota: Não especifique o rótulo do certificado de assinante do servidor LDAP. A opção –N

indica para o GSKit qual certificado de cliente é enviado para o servidor



quando solicitado. Se nenhum rótulo for especificado, o certificado pessoal

será enviado quando o servidor solicitar o certificado do cliente.

A configuração do SSL foi concluída.

Ativando SSL para Domino

É recomendado que você ative a comunicação SSL (Secure Sockets Layer) entre o

servidor Lotus Domino e os IBM Directory Clients que oferecem suporte ao

software Tivoli Access Manager.

Este capítulo inclui as seguintes seções:

1. “Criando o Arquivo de Conjunto de Chaves SSL”

2. “Ativando o Acesso SSL”

3. “Criando um Usuário Administrativo do Tivoli Access Manager para Domino”

na página 42

Criando o Arquivo de Conjunto de Chaves SSL

Para suportar o SSL em um servidor Domino, você deve criar um arquivo de

conjunto de chaves do servidor Domino que contenha o certificado digital do lado

do servidor. Para fazer isso, siga estas etapas:

1. Inicie o cliente Notes no servidor Domino e, em seguida, selecione Arquivo →

Banco de Dados → Abrir. Abra o banco de dados Server Certificate Admin

(Admin de Certificados do Servidor) no servidor Domino.

Nota: Você deve instalar o cliente Domino Designer no sistema do cliente

Notes.

2. Dependendo do ambiente, proceda de uma das seguintes formas:

v Crie o conjunto de chaves SSL e preencha-o com certificados

Complete as opções Create Key Ring (Criar Conjunto de Chaves), Create

Certificate Request (Criar Pedido de Certificado), Install Root Certificate

(Instalar Certificado Raiz) e Install Certificate into Key Ring (Instalar

Certificado no Conjunto de Chaves).

v Crie um conjunto de chaves com certificado auto-atestado para finalidade de

teste

Dê um clique duplo na opção Create Key Ring with Self-Certified Certificate

(Criar Conjunto de Chaves com Certificado Auto-Atestado). Preencha o nome

do arquivo de conjunto de chaves e todos os outros campos obrigatórios.

Clique no botão Create Key Ring with Self-Certified Certificate (Criar

Conjunto de Chaves com Certificado Auto-Atestado) para concluir o processo.

Copie o arquivo de conjunto de chaves e o arquivo stash para o seguinte caminho

do servidor Domino:

\Lotus\Domino\Data


O Domino suporta apenas autenticação do lado do cliente. Para ativar o SSL, siga

estas etapas:

1. Inicie o cliente Domino Administrator e selecione a guia Configuration

(Configuração).



2. Selecione a opção All Server Documents (Todos os Documentos do Servidor)

sob a categoria Servidor no lado esquerdo da GUI. Abra o documento do

servidor no qual você deseja configurar o LDAP.

3. Clique em Edit Server (Editar Servidor) para preparar a atualização da

configuração do servidor.

4. Selecione a guia Ports (Portas) no documento do servidor.

5. Selecione a guia Internet Ports (Portas de Internet) e digite o nome do arquivo

de conjunto de chaves do servidor criado em “Criando o Arquivo de Conjunto

de Chaves SSL” na página 183. Selecione Yes (Sim) em Aceitar Certificados do

Site de SSL.

6. Selecione a guia Directory (Diretório) para atualizar a configuração LDAP e,

em seguida, selecione Enabled (Ativado) em Status da Porta SSL. Certifique-se

de indicar as seguintes definições:

v Defina o certificado do cliente como No (Não).

v Defina o nome & senha como Yes (Sim).

v Defina anonymous como Yes (Sim) ou No (Não).7. Clique em OK para atualizar o documento do servidor. A configuração de SSL

do LDAP está concluída.

Se o certificado do servidor Domino não for atestado pelo certificador confiável

padrão do servidor Domino, será necessário registrar o certificador no arquivo de

conjunto de chaves do servidor Domino. Para fazer isso, siga estas etapas:

1. Destaque o documento do servidor e abra o menu de opções Registro no lado

direito.

2. No menu de opções, selecione Internet Certifier (Certificador de Internet).

3. Localize o arquivo de conjunto de chaves do servidor Domino e clique em

Open (Abrir) para concluir o processo de registro do Certificador de Internet.

4. Para verificar o registro acima, selecione o menu Pessoas & Grupos e clique na

guia Certificates (Certificados) para verificar se o certificador do novo servidor

Domino foi inserido na lista de Certificadores de Internet.

5. Salve o documento do servidor.

6. No console do servidor Domino, inicie novamente o servidor LDAP digitando

os seguintes comandos:

tell ldap quit

load ldap

Ativando SSL para Domino


Apêndice B. Referência de Configuração do Tivoli Access

Manager

Este apêndice inclui as seguintes seções:

v “Opções de Configuração Nativa UNIX”

v “Opções de Configuração Nativa do Windows” na página 188

Opções de Configuração Nativa UNIX

Esta seção lista as informações de configuração que são requeridas durante o

processo de instalação nativa. Recomenda-se que você identifique esses valores

antes de serem solicitados durante a instalação. Se você estiver planejando ativar

SLL (Secure Sockets Layer), as opções de configuração também são fornecidas.

Observe que as informações sobre configuração do servidor de políticas são

utilizadas para configurar outros componentes do Tivoli Access Manager.


Durante a configuração do tempo de execução do Tivoli Access Manager em um

sistema AIX, HP-UX, Linux ou Solaris, as seguintes informações serão solicitadas:

v Seleção de Registro — Clique para selecionar o tipo de registro configurado

para o Tivoli Access Manager. Observe que Registro LDAP é a única opção para

a qual existe suporte.v Nome do host do servidor LDAP—Especifica o nome completo do host do

servidor LDAP. Por exemplo:

ldapserver.tivoli.com

v Número da porta do servidor LDAP—Especifica o número da porta na qual o

servidor LDAP atende. O número da porta padrão é 389.

Se o Tivoli Access Manager Policy Server não estiver instalado no mesmo sistema

que o Tivoli Access Manager Runtime, também serão solicitadas as seguintes

informações:

v Nome do host da máquina do Policy Server—Especifica o nome completo do

host do servidor de políticas. Por exemplo:

pdmgr.tivoli.com

v Porta de atendimento SSL utilizada pelo Policy Server—Especifica o número

da porta na qual o servidor de políticas atende a pedidos SSL. O número da

porta padrão é 7135.

Servidor de Política do Tivoli Access Manager

Durante a configuração do servidor de política em um sistema AIX, HP-UX, Linux

no zSeries e Solaris, as seguintes informações serão solicitadas.

v DN do usuário administrativo LDAP—Especifica o nome distinto do

administrador LDAP. O nome padrão é cn=root.

v Senha do usuário administrativo LDAP—Especifica a senha associada ao ID do

administrador LDAP.

v Ativar comunicação SSL entre o Servidor de Política do Access Manager e o

servidor LDAP — Especifica se SSL deve ser ativado Yes (Sim) ou No (Não). Se

for especificado Yes (Sim), as informações a seguir serão solicitadas.


– Localização do arquivo de chaves do cliente SSL do LDAP — Especifica o

nome completo do caminho no qual o arquivo de banco de dados de chaves

LDAP do cliente está localizado no servidor de política. Para ativar o suporte

a SSL entre o servidor de política e o servidor LDAP, o CD do Tivoli Access

Manager Base oferece as seguintes amostras de arquivo de chave, somente

para avaliação:

/common/pd_ldapkey.kdb

Esse arquivo não destina-se ao uso em um ambiente de produção. Para

adquirir seu próprio certificado, consulte as informações sobre como criar um

arquivo de banco de dados de chaves e um certificado no Apêndice A,


– Rótulo de certificado do cliente SSL (se necessário) — Especifica o rótulo no

arquivo de banco de dados de chaves LDAP do certificado do cliente a ser

enviado ao servidor. Esse rótulo é obrigatório se o servidor estiver

configurado para exigir autenticação do cliente durante o estabelecimento de

SSL ou se você desejar utilizar um certificado não padrão no arquivo de

chaves. Se você utilizar o script ezinstall_ldap_server e o arquivo de chaves

padrão (pd_ldapkey.kdb), o rótulo deverá ser deixado em branco. Geralmente,

o servidor LDAP requer apenas certificados do lado do servidor que foram

especificados durante a criação do arquivo .kbd do cliente. Além disso, se o

rótulo do arquivo de chaves do cliente SSL não for requerido, deixe esse

campo em branco quando configurar o servidor de políticas.

– Senha do arquivo de chaves do cliente SSL LDAP — Especifica a senha do

arquivo de banco de dados de chaves LDAP do cliente. O arquivo

pd_ldapkey.kdb, fornecido com a instalação fácil, possui a senha padrão

gsk4ikm. Esses padrões podem ser utilizados se você instalar e configurar o

IBM Directory Server utilizando o script ezinstall_ldap_server. Se você

decidir alterar esta senha utilizando o utilitário gsk5ikm, você deve chamar

novamente esta senha padrão.

– Número da Porta SSL do Servidor LDAP—Especifica o número da porta em

que o servidor LDAP atende pedidos SSL. O número da porta padrão é 636.v DN do LDAP para banco de dados GSO — Especifica o nome distinto da

localização na DIT (directory information tree) do diretório do servidor LDAP

em que o banco de dados GSO (conexão global) está localizado. Por exemplo:

o=tivoli,c=us

Para obter informações adicionais sobre o sufixo GSO, consulte “Visão Geral da

Configuração do Servidor LDAP” na página 19.

v Senha do Administrador do Access Manager—Especifica a senha associada ao

ID de administrador principal sec_master. Será solicitado que você digite

novamente essa senha para confirmação.

v Porta do servidor SSL para o Access Manager Policy Server—Especifica o

número da porta na qual o servidor de políticas atende a pedidos SSL. O

número da porta padrão é 7135.

v Duração do certificado SSL do Policy Server— Especifica o número de dias

durante os quais o arquivo de certificado SSL é válido. O número de dias

padrão é 365.

v Ativar o download de Certificados de CA raiz—Especifique yes para ativar o

download automático do arquivo de autoridade de certificação SSL.

Independentemente se você especifica Yes (Sim) ou No (Não), o arquivo de

autoridade de certificação SSL é colocado no seguinte diretório:



Se essa opção for definida como No (Não), você deverá copiar o arquivo

pdcacert.b64 em cada sistema do Tivoli Access Manager Runtime em seu

domínio seguro.

Servidor de Autorização do Tivoli Access Manager

Durante a configuração do servidor de autorização em um sistema AIX, HP-UX,

Linux no zSeries ou Solaris, as seguintes informações serão solicitadas:

v DN do usuário administrativo LDAP—Especifica o nome distinto do

administrador LDAP. O nome padrão é cn=root.

v Senha do usuário administrativo LDAP—Especifica a senha associada ao ID do

administrador LDAP.

v Ativar comunicação SSL entre o Servidor de Política do Access Manager e o

servidor LDAP — Especifica se SSL deve ser ativado Yes (Sim) ou No (Não). Se

for especificado Yes (Sim), as informações a seguir serão solicitadas.

– Localização do arquivo de chaves do cliente SSL do LDAP — Especifica o

nome completo do caminho no qual o arquivo de banco de dados de chaves

LDAP do cliente está localizado no servidor de política. Para ativar o suporte

a SSL entre o servidor de política e o servidor LDAP, o CD do Tivoli Access

Manager Base oferece as seguintes amostras de arquivo de chave, somente

para avaliação:

/common/pd_ldapkey.kdb

Esse arquivo não destina-se ao uso em um ambiente de produção. Para

adquirir seu próprio certificado, consulte as informações sobre como criar um

arquivo de banco de dados de chaves e um certificado no Apêndice A,


– Rótulo de certificado do cliente SSL (se necessário) — Especifica o rótulo no

arquivo de banco de dados de chaves LDAP do certificado do cliente a ser

enviado ao servidor. Esse rótulo é obrigatório se o servidor estiver




padrão (pd_ldapkey.kdb ), então o rótulo para configuração do servidor

LDAP deverá ser PDLDAP. Geralmente, o servidor LDAP requer apenas

certificados do lado do servidor que foram especificados durante a criação do

arquivo .kbd do cliente.

Nota: Se o rótulo do arquivo de chaves do cliente SSL não for requerido,

deixe esse campo em branco quando configurar o Authorization Server.

– Senha do arquivo de chaves do cliente SSL LDAP — Especifica a senha do

arquivo de banco de dados de chaves LDAP do cliente. O arquivo

pd_ldapkey.kdb, fornecido com a instalação fácil, possui a senha padrão

gsk4ikm. Esses padrões podem ser utilizados se você instalar e configurar o

IBM Directory Server utilizando o script ezinstall_ldap_server. Se você

decidir alterar esta senha utilizando o utilitário gsk5ikm, você deve chamar

novamente esta senha padrão.

– Número da Porta SSL do Servidor LDAP—Especifica o número da porta em

que o servidor LDAP atende pedidos SSL. O número da porta padrão é 636.v Senha do Administrador do Access Manager—Especifica a senha associada ao

ID de administrador principal sec_master.

Apêndice B. Referência de Configuração do Tivoli Access Manager 187

Opções de Configuração Nativa do Windows

Esta seção lista as informações de configuração que são requeridas durante o

processo de instalação nativa. Recomenda-se que você identifique esses valores

antes de serem solicitados durante a instalação. Se você estiver planejando ativar

SLL (Secure Sockets Layer), as opções de configuração também são fornecidas.

Observe que as informações sobre configuração do servidor de políticas são

utilizadas para configurar outros componentes do Tivoli Access Manager.Não serão

solicitadas opções de configuração para os componentes GSKit, IBM Directory

Client, ADK e Web Portal Manager.


Durante a configuração do componente Tivoli Access Manager Runtime, serão

solicitadas as seguintes informações:

v Seleção de Registro — Clique para selecionar o tipo de registro configurado

para o Tivoli Access Manager. As opções são as seguintes:

– Registro de LDAP (consulte “Registro de LDAP”)

– Active Directory (consulte “Active Directory” na página 189)

– Domino (consulte “Lotus Domino” na página 190)

Registro de LDAP

Durante a configuração do tempo de execução do Tivoli Access Manager em um

sistema Windows, as seguintes informações serão solicitadas:

v Nome do Host do Servidor LDAP—Especifica o nome completo do host do

servidor LDAP. Por exemplo:

ldapserver.tivoli.com

v Porta do Servidor LDAP—Especifica o número da porta em que o servidor

LDAP atende. O número da porta padrão é 389.

v DN do LDAP para banco de dados GSO — Especifica o nome distinto da

localização na DIT (directory information tree) do diretório do servidor LDAP

em que o banco de dados GSO (conexão global) está localizado. Por exemplo:

o=tivoli,c=us

Para obter informações adicionais sobre o sufixo GSO, consulte “Visão Geral da

Configuração do Servidor LDAP” na página 19.

v Ativar SSL entre o Tivoli Access Manager e o LDAP — Especifica se o SSL

deve ser ativado (Yes (Sim) ou No (Não)). Se Yes (Sim) for especificado, as

informações a seguir serão solicitadas.

– Arquivo de Chaves do Cliente SSL do LDAP — Especifica o nome completo

do caminho no qual o arquivo de banco de dados de chaves do LDAP do

cliente está localizado no sistema do cliente.

Se você pretende ativar a comunicação SSL entre o servidor LDAP e os

clientes IBM Directory que oferecem suporte ao software Tivoli Access

Manager, deve copiar manualmente o arquivo C:\keytabs\pd_ldapkey.kdb da

sua localização no servidor LDAP para um diretório nos sistemas cliente.

– Rótulo do Certificado do Cliente SSL (se necessário) — Especifica o rótulo

no arquivo de banco de dados de chaves do LDAP do certificado do cliente a

ser enviado ao servidor. Esse rótulo é obrigatório se o servidor estiver




padrão (pd_ldapkey.kdb ), então o rótulo para configuração do servidor


LDAP deverá ser PDLDAP. Geralmente, o servidor LDAP requer apenas

certificados do lado do servidor que foram especificados durante a criação do

arquivo .kbd do cliente.

Nota: Se o rótulo do arquivo de chaves do cliente SSL não for requerido, ele

poderá ser deixado em branco durante a configuração do Runtime.

– Senha do Arquivo de Chaves SSL — Especifica a senha do arquivo de banco

de dados de chaves do LDAP do cliente. O arquivo pd_ldapkey.kdb, fornecido

com a instalação fácil, possui a senha padrão gsk4ikm. Esses padrões podem

ser utilizados se você instalar e configurar o IBM Directory Server utilizando

o script ezinstall_ldap_server. Se você decidir alterar esta senha utilizando

o utilitário gsk5ikm, você deve chamar novamente esta senha padrão.

– Porta SSL do Servidor LDAP—Especifica o número da porta que o servidor

LDAP utiliza para escuta de pedidos SSL. O número da porta padrão é 636.v Diretório de Instalação — Especifica o diretório no qual o Tivoli Access

Manager deverá ser instalado.

Se o servidor de política do Tivoli Access Manager não estiver instalado no mesmo

sistema que o tempo de execução do Tivoli Access Manager, as seguintes

informações também serão solicitadas:

v Nome do Host do Policy Server—Especifica o nome completo do host do Policy

Server. Por exemplo:

pdmgr.tivoli.com

v Porta do Servidor SSL— Especifica o número da porta na qual o servidor de

políticas atende a pedidos SSL. O número da porta padrão é 7135.

v Nome do Arquivo de Certificado de CA do Tivoli Access Manager — Se você

tiver especificado para ativar o download automático do arquivo de certificado

de CA durante a configuração do servidor de política do Tivoli Access Manager,

deixe esta opção em branco. Ela será recuperada automaticamente na

configuração do tempo de execução do Tivoli Access Manager.

Se você não ativou o download automático do arquivo de certificado de CA,

será necessário obter o arquivo de certificado SSL do sistema do servidor de

políticas. Para fazer isso, utilize um programa de transferência de arquivos,

como ftp, para colocar uma cópia do arquivo em uma localização de sua

escolha. No servidor de política, o arquivo de certificado está localizado em:


Você deve copiar esse arquivo depois de instalar o componente Runtime, mas

antes de configurá-lo.

Active Directory

Se você tiver selecionado do Active Directory como registro, as seguintes

informações serão solicitadas:

v Vários domínios—Selecione Yes (Sim) para utilizar vários domínios ou No (Não)

para configurar um único domínio.

– Se você selecionou Yes (Sim) para utilizar vários domínios, serão solicitadas

as seguintes informações de configuração:

- Ativar conexão criptografada — Especifica se você deseja ativar o

protocolo Kerberos como mecanismo de criptografia para conexão segura

com o servidor de AD. Essa é uma etapa adicional durante o processo de

configuração. Selecione Yes (Sim) para ativar Kerberos.– Se você selecionou No (Não) para utilizar vários domínios, serão solicitadas

as seguintes informações:


- Nome do host—Especifica o nome do servidor do controlador de domínio

do Active Directory. Por exemplo:

adserver.tivoli.com

- Nome de domínio—Especifica o nome de domínio. Por exemplo:

dc=adpd,dc=com

- Ativar conexão criptografada — Especifica se você deseja ativar o

protocolo Kerberos como mecanismo de criptografia para conexão segura

com o servidor de AD. Essa é uma etapa adicional durante o processo de

configuração. Selecione Yes (Sim) para ativar Kerberos.v Outras Informações do Active Directory—Digite o ID administrativo e a senha

criados em “Criando um Usuário Administrativo do Active Directory” na página

40 e, em seguida, clique em Next (Avançar).

Notas

– Se você especificou No (Não) para utilizar vários domínios, o painel

Informações de Dados do Active Directory é exibido. Digite o nome distinto

no qual você deseja armazenar os dados do Tivoli Access Manager.Por

exemplo,

dc=wsm,dc=com

– Se você estiver utilizando o Active Directory como registro, será criado um

arquivo activedir.conf no seguinte diretório:

%PD_INSTALL_DIR%\etc

em que PD_INSTALL_DIR é o diretório no qual o Tivoli Access Manager

está instalado.C:\Arquivos de Programas\Tivoli\Policy Director é o

diretório padrão.

Lotus Domino

Se você tiver selecionado Domino como seu registro, as seguintes informações

serão solicitadas:

v Nome completo do servidor domino—Especifica o nome completo do servidor

Domino. Por exemplo:

Domino/tivoli

v Nome do host TCP/IP do servidor Domino—Especifica o nome do host TCP/IP

do servidor Domino. Por exemplo:

domino.tivoli.com

v Porta do servidor LDAP do Domino—Especifica a porta do servidor LDAP na

qual o servidor Domino atende. Se você pretende ativar o SSL, o número da

porta é 636. Para comunicação não-SSL, o número da porta padrão é 389.

v Ativar a comunicação SSL para o servidor Domino—Selecione Yes (Sim) ou No

(Não) para ativar a autenticação do cliente SSL para o servidor Domino. Esta é

uma etapa opcional durante o processo de instalação. Se você instalou um

certificado de cliente durante a instalação do Domino, selecione Yes (Sim). Para

obter informações adicionais sobre como ativar a comunicação SSL, consulte

Apêndice A, “Ativando a Secure Sockets Layer”, na página 161.

Se você especificar Yes (Sim), serão solicitadas as seguintes informações:

– Número da porta—Especifica o número da porta SSL. O número da porta

padrão é 636.

– Arquivo de chaves com caminho completo—Especifica o arquivo de chaves

do cliente que você criou ao ativar o SSL. Quando for solicitado o arquivo de

chaves do servidor Domino, forneça o nome do arquivo de banco de dados

de chaves do cliente LDAP. Por exemplo:

d:\cert\dominoc.kdb


– Rótulo do certificado—Especifica o rótulo do certificado de cliente SSL. Esse

campo exige que você digite qualquer caractere. Como não é necessário

configurar autenticação de certificado no lado do cliente, o caractere

especificado será ignorado.

– Senha do arquivo de chaves—Especifica a senha associada ao arquivo de

chaves.v Senha do cliente Notes—Especifica a senha do cliente Notes para acessar o

banco de dados Domino.

v Nome do Banco de Dados de Metadados do Tivoli Access Manager—

Especifica o nome do banco de dados associado aos dados do Tivoli Access

Manager. Por exemplo:

PDdata.nsf

Servidor de Política do Tivoli Access Manager

Durante a configuração do servidor de políticas em um sistema Windows, serão


v ID (DN) do Administrador LDAP—Especifica o nome distinto do administrador

LDAP. O nome padrão é cn=root.

v Senha do Administrador LDAP—Especifica a senha associada ao ID do

administrador LDAP.

v Senha Mestre de Segurança—Especifica a senha associada ao ID de

administrador principal sec_master.

v Porta do Servidor SSL para o Policy Server—Especifica o número da porta na

qual o servidor de políticas atende a pedidos SSL. O número da porta padrão é

7135.

v Duração do Certificado SSL do Policy Server— Especifica o número de dias

durante os quais o arquivo de certificado SSL é válido. O número de dias

padrão é 365.

v Ativar o Download de Certificados—Especifique Yes (Sim) para ativar o

download automático do arquivo de autoridade de certificação SSL.

Independentemente se você especifica Yes (Sim) ou No (Não), o arquivo de

autoridade de certificação SSL é colocado no seguinte diretório:

install_dir/keytab/pdcacert.b64

Se esta opção for definida para No (Não), você deverá copiar o arquivo

pdcacert.b64 para cada sistema do cliente Tivoli Access Manager Runtime.

Servidor de Autorização do Tivoli Access Manager

Durante a configuração do Authorization Server em um sistema Windows, serão


v ID (DN) do Administrador LDAP—Especifica o nome distinto do administrador

LDAP. O nome padrão é cn=root.

v Senha do Administrador LDAP—Especifica a senha associada ao ID do

administrador LDAP.

v Senha Mestre de Segurança—Especifica a senha associada ao ID de

administrador principal sec_master.


Portas Padrão

Os números de porta padrão são os seguintes:

v Porta não-SSL do servidor LDAP: 389

v Porta SSL do servidor LDAP: 636

v Porta SSL do servidor de políticas: 7135

v Porta SSL do WebSphere Application Server: 443


Apêndice C. Referência de Configuração do OS/390 e z/OS

Este apêndice inclui amostras para o seguinte:

v “Configuração LDAP de Amostra”

v “Script de Amostra da Área de Tabela e do Banco de Dados DB2 para SPUFI” na

página 194

v “Script de Amostra do Índice DB2 para SPUFI” na página 200

v “Job Batch de Ligação CLI de Amostra” na página 202

v “Arquivo de Inicialização de CLI de Amostra” na página 203

Utilize estas amostras durante o processo de configuração, conforme descrito em

“Configurando os Servidores de Segurança z/OS e OS/390” na página 30.

Configuração LDAP de Amostra

########################################################################

## Os valores fornecidos neste arquivo de configuração podem refletir os

## valores genéricos fornecidos nos arquivos de configuração do DB2 de

## exemplo. Certifique-se de utilizar os valores apropriados para uma

## instalação de produção.

########################################################################

########################################################################

##Definições globais

########################################################################

adminDN "cn=root"

adminPW password1

########################################################################

## diretrizes port & securePort desaprovadas, utilizando listen

########################################################################

listen ldap://:389

listen ldaps://:636

########################################################################

## Definições do banco de dados tdbm

########################################################################

database tdbm GLDBTDBM

servername LOC1

dbuserid LDAPSRV

databaseName LDAPR10

dsnaoini SUADMIN.DSNAOINI.DB2INI

suffix "o=ibm,c=us"

suffix "secAuthority=Default"

AttrOverflowSize 80

########################################################################

## Autenticação Nativa (SAF) para o TDBM

########################################################################

useNativeAuth SELECTED

nativeAuthSubtree "o=ibm,c=us"

nativeUpdateAllowed YES

########################################################################

##Definições SSL

########################################################################

sslAuth serverAuth

sslKeyRingFile "/usr/lpp/ldap/etc/ldapserver.kdb"

sslKeyRingPWStashFile "usr/lpp/ldap/etc/ldapserver.sth"

sslCertificate ldapcert

sslCipherSpecs 15104

########################################################################

##Definições de réplica


########################################################################

masterServer "ldap://jeff.endicott.ibm.com:3389"

masterServerDN cn=master

masterServerPW password1

Script de Amostra da Área de Tabela e do Banco de Dados DB2 para

SPUFI

--*********************************************************************/

--* Este arquivo contém código de amostra. A IBM FORNECE ESTE CÓDIGO */

--* ’COMO SE ENCONTRA’, SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU */

--* IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS*/

--* DE MERCADO OU DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. */

--*********************************************************************/

-- Utilize as instruções a seguir para criar o servidor LDAP do banco de

-- dados DB2 e as áreas de tabela no SPUFI. Os nomes de banco de dados e

-- de área de tabela que você cria serão utilizados para atualizar a

-- seção de banco de dados do arquivo de configuração do Servidor LDAP.

-- Você também precisa tomar decisões do DB2,-- em termos de seleção do

-- tamanho do conjunto de buffers para áreas de tabela e seleção de

-- tamanho de coluna, todas relacionadas diretamente aos dados que serão

-- armazenados no banco de dados. Consulte as instruções a seguir para

-- obter mais informações.

--

-- *************************

-- Informações sobre o Nome do Banco de Dados

-- *************************

-- Altere LDAPR10 para o nome do banco de dados LDAP

que você deseja criar.

-- Certifique-se de que esse nome esteja atualizado para corresponder ao que

-- está definido para o databasename no arquivo de configuração do servidor.

--

-- **************************

-- Informações sobre o Proprietário do Banco de Dados

-- **************************

-- Altere o LDAPSRV para o ID do proprietário do banco de dados MVS. Esse ID será o

-- qualificador de alto nível para as tabelas

--

-- **********************

-- Informações sobre Área de Tabela

-- **********************

--

-- *********************************************************************

-- NOTA: Consulte os manuais do DB2 para obter uma lista completa de nomes de

-- conjuntos de buffers válidos.

-- *********************************************************************

--

-- Altere o ENTRYTS para o nome da área de tabela de entrada LDAP


--

-- Altere o BP0 para o nome do conjunto de buffers da área de tabela de

entrada LDAP.

-- O tamanho do conjunto de buffers pode ser determinado com a fórmula:

--

-- result = 62 bytes + <tamanho de trunc da coluna dn (abaixo)> +

-- <tamanho total máximo de um DN (abaixo)> +

-- <tamanho dos dados da entrada (que inclui DN do criador e

DN de modificadores)>

--

-- Também há um conceito de tabela "transbordada", em que os dados de

-- entrada que não se ajustam ao tamanho da linha são divididos de modo que se

-- ajustem em uma linha. Os dados da entrada podem ser distribuídos em várias

linhas,

-- se necessário. Portanto, na fórmula acima, o <tamanho dos dados da entrada>

Referência e Configuração LDAP do OS/390 e z/OS


-- não precisa ser o tamanho máximo dos dados, talvez o tamanho mediano dos

-- dados seria uma opção melhor. Consulte abaixo a descrição da área de tabela

-- de entrada longa.

--

-- O tamanho padrão sugerido é 4K.

--

-- Altere o LENTRYTS para o nome da área de tabela de entrada longa LDAP que você

-- desejacriar.

--

-- Altere o BP0 para o nome do conjunto de buffers da área de tabela de entrada

-- longa LDAP. A área de tabela de entrada longa conterá as linhas

"transbordadas"

-- de dados da entrada que não se ajustam à área de tabela de entrada.

-- Para minimizar o número de linhas transbordadas, escolha um tamanho de

-- conjunto de buffers grande.

--


--

-- Altere o LATTRTS para o nome da área de tabela de atributo longo LDAP que

você deseja criar.

--

-- Altere o BP0 para o nome do conjunto de buffers da área de tabela de atributo

-- longo LDAP. A área de tabela de atributo longo conterá as linhas

"transbordadas"

-- de dados do atributo que não se ajustam à área de tabela da entrada.

-- Para minimizar o número de linhas transbordadas, escolha um tamanho de

-- conjunto de buffers grande.

--


--

-- Altere o MISCTS para o nome da área de tabela variada LDAP que você deseja

criar.

--

-- Altere o DESCTS para o nome da área de tabela de descendentes LDAP que você

criar.

--

-- Altere o SEARCHTS para o nome da área de tabela de pesquisa LDAP


--

-- Altere o BP0 para o nome do conjunto de buffers da área de tabela de

-- pesquisa LDAP. O tamanho do conjunto de buffers pode ser determinado com

-- uma fórmula simples:

--

-- result = 16 bytes + <tamanho de trunc da coluna de pesquisa (abaixo)> +

-- <tamanho máximo do valor do atributo que você gostaria de pesquisar>

--

-- O valor do resultado é o número máximo de bytes que uma linha ocupará na

-- tabela de pesquisa que contém um valor de atributo. Escolha um tamanho de

-- conjunto de buffers que acomodará esse tamanho.

--


--

-- Altere o REPTS para o nome da área de tabela de réplica LDAP


--

-- *********************************

-- Informações sobre a Seleção do Tamanho da Coluna

-- *********************************

-- Todos os atributos pesquisáveis de uma determinada entrada

serão armazenados de duas

-- formas. A primeira será uma versão truncada, que será utilizada como parte de

-- um índice do DB2. A segunda versão será o valor inteiro do atributo,

-- potencialmente truncado pelo tamanho do conjunto de buffers escolhido. A razão

-- pela qual as duas versões são armazenadas é para que o LDAP/DB2 possa utilizar

-- índices para aumentar

-- o desempenho da pesquisa. A razão pela qual nós não indexamos o valor inteiro

-- do atributo pesquisável é por causa do custo (em termos de DASD) associado a


Apêndice C. Referência de Configuração LDAP do OS/390 e z/OS 195

-- ter índices em uma coluna grande com grande quantidade de dados.

--

-- A opção do tamanho de trunc da coluna de pesquisa deve considerar os limites do

-- sistema de conta que você pode ter (conforme descrito acima) e deve considerar

-- o tamanho típico dos valores de atributo que são armazenados no

-- LDAP. Por exemplo, se a maioria dos dados tiver apenas 20 bytes,

-- a escolha de 20 para este tamanho de trunc é adequada.

--

-- Altere 32 para o tamanho de trunc da coluna de pesquisa que ajuste melhor

-- os dados do atributo.

--

-- O tamanho padrão sugerido é 32.

--

-- Um outro aperfeiçoamento de desempenho da pesquisa está relacionado ao

-- atributo DN.

-- O valor do atributo DN é armazenado separadamente dos dados da entrada para

-- permitir uma consulta de caminho rápida. Ele também é armazenado em duas versões.

-- As razões são semelhantes àquelas mencionadas acima para a coluna do atributo.

-- Como os dados de DN são armazenados em sua própria coluna, é necessário definir

-- o tamanho máximo do valor do atributo DN aqui. Você também precisa escolher um

-- tamanho de trunc da coluna dn que ajuste melhor os dados.

--

-- Altere 32 para o tamanho de trunc dn que ajuste melhor os dados dn.

--


--

-- Altere 512 para o tamanho máximo de um DN. Este valor inclui o terminador

-- nulo, portanto, o comprimento real máximo de um DN será inferior a

-- esse valor.

--


--

--

-- *************************

-- Informações sobre o Grupo de Armazenamento

-- *************************

-- Altere o SYSDEFLT para o grupo de armazenamento que deverá conter os

-- áreas de tabela DB2 do LDAP. Utilize SYSDEFLT para escolher o grupo de

-- armazenamento padrão.

-- NOTA: Os valores fornecidos abaixo para PRIQTY e SECQTY provavelmente

-- precisarão ser modificados dependendo do tamanho projetado das informações

-- de Diretório a serem armazenadas.

--

-- ***************************************************************************

-- Utilize as instruções a seguir se precisar excluir o banco de dados DB2 e as

-- áreas de tabela do Servidor LDAP no SPUFI. Você precisa remover o ’--’

-- de cada linha antes de executar estas instruções.

-- Altere o ENTRYTS para o nome da área de tabela de entrada LDAP que você

-- deseja excluir.

-- Altere o LENTRYTS para o nome da área de tabela de entrada longa LDAP que você

-- deseja-- excluir.

-- Altere o LATTRTS para o nome da área de tabela de atrib longo LDAP que você

-- excluir.

-- Altere o MISCTS para o nome da área de tabela variada LDAP que você deseja

-- excluir.

-- Altere o SEARCHTS para o nome da área de tabela de pesquisa LDAP que você

-- deseja excluir.

-- Altere o REPTS para o nome da área de tabela de réplica LDAP que você deseja

-- excluir.

-- Altere o DESCTS para o nome da área de tabela de descendentes LDAP que você

-- excluir.

-- Altere o LDAPR10 para o nome do banco de dados LDAP que você deseja

excluir.

-- ***************************************************************************

--DROP TABLESPACE LDAPR10.ENTRYTS;



--DROP TABLESPACE LDAPR10.LENTRYTS;

--DROP TABLESPACE LDAPR10.LATTRTS;

--DROP TABLESPACE LDAPR10.MISCTS;

--DROP TABLESPACE LDAPR10.SEARCHTS;

--DROP TABLESPACE LDAPR10.REPTS;

--DROP TABLESPACE LDAPR10.DESCTS;

--DROP DATABASE LDAPR10;

--COMMIT;

-- ************************

-- Criar o banco de dados LDAP

-- ************************

CREATE DATABASE LDAPR10 STOGROUP SYSDEFLT;

-- ********************************

-- Criar a área de tabela de entrada LDAP

-- ********************************

CREATE TABLESPACE ENTRYTS IN LDAPR10

USING STOGROUP SYSDEFLT

BUFFERPOOL BP0;

-- *************************************

-- Criar a área de tabela de entrada longa LDAP

-- *************************************

CREATE TABLESPACE LENTRYTS IN LDAPR10


BUFFERPOOL BP0;

-- ************************************

-- Criar a área de tabela de atrib longo LDAP

-- ************************************

CREATE TABLESPACE LATTRTS IN LDAPR10


BUFFERPOOL BP0;

-- *****************************

-- Criar a área de tabela LDAP de 4K

-- *****************************

CREATE TABLESPACE MISCTS IN LDAPR10

SEGSIZE 4


BUFFERPOOL BP0;

-- *********************************

-- Criar a área de tabela de pesquisa LDAP

-- *********************************

CREATE TABLESPACE SEARCHTS IN LDAPR10


BUFFERPOOL BP0;

-- *********************************

-- Criar a área de tabela de réplica LDAP

-- *********************************

CREATE TABLESPACE REPTS IN LDAPR10


BUFFERPOOL BP0;

-- *****************************

-- Criar a área de tabela de descendentes LDAP

-- *****************************

CREATE TABLESPACE DESCTS IN LDAPR10


BUFFERPOOL BP0;

-- *********************

-- Criar as tabelas do DB2

-- *********************



-- **************************

-- Criar a tabela DIR_ENTRY

-- **************************

CREATE TABLE LDAPSRV.DIR_ENTRY (

EID DECIMAL(15 , 0) NOT NULL,

PEID DECIMAL(15 , 0),

ENTRY_SIZE INTEGER,

LEVEL INTEGER,

ACLSRC DECIMAL(15 , 0),

ACLPROP CHAR(1),

OWNSRC DECIMAL(15 , 0),

OWNPROP CHAR(1),

CREATE_TIMESTAMP TIMESTAMP,

MODIFY_TIMESTAMP TIMESTAMP,

DN_TRUNC CHAR(32) FOR BIT DATA,

DN VARCHAR(512) FOR BIT DATA,

ENTRYDATA LONG VARCHAR FOR BIT DATA,

PRIMARY KEY( EID ) )

IN LDAPR10.ENTRYTS;

-- ******************************

-- Criar a tabela DIR_LONGENTRY

-- ******************************

CREATE TABLE LDAPSRV.DIR_LONGENTRY (


SEQ INTEGER NOT NULL,

ENTRYDATA LONG VARCHAR FOR BIT DATA,

PRIMARY KEY( EID, SEQ ) )

IN LDAPR10.LENTRYTS;

-- *****************************

-- Criar a tabela DIR_LONGATTR

-- *****************************

CREATE TABLE LDAPSRV.DIR_LONGATTR (


ATTR_ID INTEGER NOT NULL,

VALUENUM INTEGER NOT NULL,


ATTRDATA LONG VARCHAR FOR BIT DATA,

PRIMARY KEY( EID, ATTR_ID, VALUENUM, SEQ ) )

IN LDAPR10.LATTRTS;

-- *****************************

-- Criar a tabela DIR_MISC

-- *****************************

CREATE TABLE LDAPSRV.DIR_MISC (

NEXT_EID DECIMAL(15 , 0),

NEXT_ATTR_ID INTEGER,

DB_VERSION CHAR(10),

DB_CREATE_VERSION CHAR(10) )

IN LDAPR10.MISCTS;

-- **************************

-- Criar a tabela DIR_CACHE

-- **************************

CREATE TABLE LDAPSRV.DIR_CACHE (

CACHE_NAME CHAR(25) NOT NULL,

MODIFY_TIMESTAMP TIMESTAMP NOT NULL,

PRIMARY KEY( CACHE_NAME, MODIFY_TIMESTAMP ) )

IN LDAPR10.MISCTS;

-- ***************************

-- Criar a tabela DIR_ATTRID

-- ***************************

CREATE TABLE LDAPSRV.DIR_ATTRID (

ATTR_ID INTEGER,



ATTR_NOID VARCHAR(200) NOT NULL,

PRIMARY KEY( ATTR_NOID ) )

IN LDAPR10.MISCTS;

-- *************************

-- Criar a tabela DIR_DESC

-- *************************

CREATE TABLE LDAPSRV.DIR_DESC (

DEID DECIMAL(15 , 0) NOT NULL,

AEID DECIMAL(15 , 0) NOT NULL,

PRIMARY KEY( DEID, AEID ) )

IN LDAPR10.DESCTS;

-- ***************************

-- Criar a tabela DIR_SEARCH

-- ***************************

CREATE TABLE LDAPSRV.DIR_SEARCH (


ATTR_ID INTEGER NOT NULL,

VALUE CHAR(32) FOR BIT DATA,

LVALUE LONG VARCHAR FOR BIT DATA )

IN LDAPR10.SEARCHTS;

-- *****************************

-- Criar a tabela DIR_REGISTER

-- *****************************

CREATE TABLE LDAPSRV.DIR_REGISTER (

ID INTEGER NOT NULL,

SRV VARCHAR(125) NOT NULL,

PRIMARY KEY( ID, SRV ) )

IN LDAPR10.MISCTS;

-- *****************************

-- Criar a tabela DIR_PROGRESS

-- *****************************

CREATE TABLE LDAPSRV.DIR_PROGRESS (


PRG VARCHAR(125) NOT NULL,

SRV VARCHAR(125) NOT NULL,

PRIMARY KEY( ID, PRG, SRV ) )

IN LDAPR10.MISCTS;

-- ***************************

-- Criar a tabela DIR_CHANGE

-- ***************************

CREATE TABLE LDAPSRV.DIR_CHANGE (


TYPE INTEGER NOT NULL,

LONGENTRY_SIZE INTEGER,

DIN VARCHAR(512) NOT NULL,

LDIF LONG VARCHAR NOT NULL,

PRIMARY KEY( ID ) )

IN LDAPR10.REPTS;

-- *******************************

-- Criar a tabela DIR_LONGCHANGE

-- *******************************

CREATE TABLE LDAPSRV.DIR_LONGCHANGE (



LDIF LONG VARCHAR,

PRIMARY KEY( ID, SEQ ) )

IN LDAPR10.REPTS;



-- ***********************************

-- Consolidar todas as instruções SQL acima

-- ***********************************

COMMIT;

Script de Amostra do Índice DB2 para SPUFI

--*********************************************************************/

--* Este arquivo contém código de amostra. A IBM FORNECE ESTE CÓDIGO */

--* ’COMO SE ENCONTRA’, SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU */

--* IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS*/

--* DE MERCADO OU DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. */

--*********************************************************************/

--

-- Utilize as instruções a seguir para criar seus índices DB2 do Servidor

-- LDAP no SPUFI. Consulte as instruções abaixo para obter mais informações.

--

-- **************************

-- Informações sobre o Proprietário do Banco de Dados

-- **************************

-- Altere o LDAPSRV para o ID do proprietário do banco de dados MVS. Esse ID será o

-- qualificador de alto nível para as tabelas. Esse valor deve corresponder ao

-- valor escolhido no script de área de tabela e banco de dados DB2 do Servidor LDAP

-- no SPUFI.

--

-- *************************

-- Informações sobre o Grupo de Armazenamento

-- *************************

-- Altere o SYSDEFLT para o grupo de armazenamento que deverá conter os

-- índices DB2 do LDAP. Utilize SYSDEFLT para escolher o grupo de

armazenamento padrão.

-- NOTA: Os valores fornecidos abaixo para PRIQTY e SECQTY provavelmente

precisarão

-- ser modificados dependendo do tamanho projetado das informações de Diretório

-- a serem armazenadas.

--

-- *************************

-- Informações Diversas

-- *************************

-- Todos os índices foram definidos como DEFER YES, o que significa que precisam

-- ser recuperados em algum ponto. É recomendável fazer a recuperação depois que

-- o banco de dados tiver sido ocupado por bancos de dados com grandes quantidades

-- de dados. O uso desta opção é estritamente opcional.

--

-- Para NÃO utilizar a opção DEFER YES, simplesmente remova o DEFER YES

globalmente.

--

-- ****************************

-- Criar os índices DIR_ENTRY

-- ****************************

CREATE UNIQUE INDEX LDAPSRV.DIR_ENTRYX0 ON LDAPSRV.DIR_ENTRY( EID )


DEFER YES;

CREATE INDEX LDAPSRV.DIR_ENTRYX1 ON LDAPSRV.DIR_ENTRY( PEID, EID )


DEFER YES;

CREATE INDEX LDAPSRV.DIR_ENTRYX2 ON LDAPSRV.DIR_ENTRY( EID, DN_TRUNC )


DEFER YES;

CREATE INDEX LDAPSRV.DIR_ENTRYX3 ON LDAPSRV.DIR_ENTRY( DN_TRUNC, EID )


DEFER YES;

-- ********************************



-- Criar os índices DIR_LONGENTRY

-- ********************************

CREATE UNIQUE INDEX LDAPSRV.DIR_LONGENTRYX1

ON LDAPSRV.DIR_LONGENTRY( EID, SEQ )


DEFER YES;

-- *******************************

-- Criar os índices DIR_LONGATTR

-- *******************************

CREATE UNIQUE INDEX LDAPSRV.DIR_LONGATTRX1

ON LDAPSRV.DIR_LONGATTR( EID, ATTR_ID, VALUENUM, SEQ )


DEFER YES;

-- ****************************

-- Criar os índices DIR_CACHE

-- ****************************

CREATE UNIQUE INDEX LDAPSRV.DIR_CACHEX1

ON LDAPSRV.DIR_CACHE( CACHE_NAME, MODIFY_TIMESTAMP )


DEFER YES;

-- *****************************

-- Criar os índices DIR_ATTRID

-- *****************************

CREATE UNIQUE INDEX LDAPSRV.DIR_ATTRIDX1

ON LDAPSRV.DIR_ATTRID( ATTR_NOID )


DEFER YES;

-- ***************************

-- Criar os índices DIR_DESC

-- ***************************

CREATE UNIQUE INDEX LDAPSRV.DIR_DESCX1

ON LDAPSRV.DIR_DESC( DEID, AEID )


DEFER YES;

-- *****************************

-- Criar os índices DIR_SEARCH

-- *****************************

CREATE INDEX LDAPSRV.DIR_SEARCHX1

ON LDAPSRV.DIR_SEARCH( ATTR_ID, VALUE, EID )


DEFER YES;

CREATE INDEX LDAPSRV.DIR_SEARCHX2

ON LDAPSRV.DIR_SEARCH( EID, ATTR_ID )

USING STOGROUP SYSDEFLT CLUSTER

DEFER YES;

-- *******************************

-- Criar os índices DIR_REGISTER

-- *******************************

CREATE UNIQUE INDEX LDAPSRV.DIR_REGISTERX1

ON LDAPSRV.DIR_REGISTER( ID, SRV )


DEFER YES;

-- *******************************

-- Criar os índices DIR_PROGRESS

-- *******************************

CREATE UNIQUE INDEX LDAPSRV.DIR_PROGRESSX1

ON LDAPSRV.DIR_PROGRESS( ID, PRG, SRV )


DEFER YES;



-- *****************************

-- Criar os índices DIR_CHANGE

-- *****************************

CREATE UNIQUE INDEX LDAPSRV.DIR_CHANGEX1 ON LDAPSRV.DIR_CHANGE( ID )


DEFER YES;

-- *********************************

-- Criar os índices DIR_LONGCHANGE

-- *********************************

CREATE UNIQUE INDEX LDAPSRV.DIR_LONGCHANGEX1

ON LDAPSRV.DIR_LONGCHANGE( ID, SEQ )


DEFER YES;

-- ***********************************

-- Consolidar todas as instruções SQL acima

-- ***********************************

COMMIT;

Job Batch de Ligação CLI de Amostra

//DSNTIJCL JOB (DB2),

// ’PGMRNAME’,

// CLASS=A,MSGCLASS=H,MSGLEVEL=(1,1),

// REGION=4M

//*

//*********************************************************************/

//* Este arquivo contém código de amostra. A IBM FORNECE ESTE CÓDIGO */

//* ’COMO SE ENCONTRA’, SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU */

//* IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS*/

//* DE MERCADO OU DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. */

//*********************************************************************/

//*********************************************************************/

//* NOME DO JOB = DSNTIJCL */

//* NOME DESCRITIVO = FLUXO DO JOB DE INSTALAÇÃO */

//* MATERIAIS LICENCIADOS - PROPRIEDADE DA IBM */

//* 5655-DB2 */

//* (C) COPYRIGHT 1982, 1997 IBM CORP. TODOS OS DIREITOS RESERVADOS.*/

//* STATUS = VERSÃO 5 */

//* FUNÇÃO = LIGAÇÃO DE CLI DE AMOSTRA */

//* PSEUDOCÓDIGO = BINDCLI PLANO E PACOTES PADRÃO DE CLI DE LIGAÇÃO */

//* DA ETAPA */

//* DEPENDÊNCIAS = A CLI DEVE ESTAR INSTALADA */

//* O MEMBRO DSNCLIQR SÓ PODE SER LIGADO COM ÊXITO AOS SERVIDORES */

//* DRDA QUE SUPORTAM O SQL DO CONJUNTO DE RESULTADOS DA CONSULTA */

//* (ISTO É, DESCREVER PROCEDIMENTO). */

//* ATUAL, OU SEJA, DB2 PARA OS/390 V5. */

//* */

//* NOTAS = */

//* ANTES DE EXECUTAR ESTE JOB: */

//* - ALTERE TODAS AS OCORRÊNCIAS DE DSN5 PARA O PREFIXO DE SEU */

//* CONJUNTO DE DADOS SDSNLOAD E SDSNDBRM DO DB2 V5.1 */

//* - ALTERE A INSTRUÇÃO SYSTEM(DSN5) */

//* PARA CORRESPONDER AO SSID DO DB2 V5.1 */

//* */

//* A CLI PODE SER LIGADA A SERVIDORES REMOTOS INCLUINDO O NOME DA */

//* */

//* PARA SERVIDORES REMOTOS DIFERENTES DO DB2 PARA OS/390, INCLUA */

//* TAMBÉM AS INSTRUÇÕES BIND PACKAGE MEMBER, LISTADAS ABAIXO, */

//* COM BASE NO TIPO DE SERVIDOR: */

//* BIND PACKAGE (<NOME COMUM DA LOCALIZAÇÃO DO SERVIDOR V1>.

DSNAOCLI) - */

//* MEMBER(DSNCLIV1) */

//* BIND PACKAGE (<NOME COMUM DA LOCALIZAÇÃO DO SERVIDOR V2>.



DSNAOCLI) - */

//* MEMBER(DSNCLIV2) */

//* BIND PACKAGE (<NOME DA LOCALIZAÇÃO DO AS400>.DSNAOCLI) - */

//* MEMBER(DSNCLIAS) */

//* BIND PACKAGE (<NOME DA LOCALIZAÇÃO DO SQLDS>.DSNAOCLI) - */

//* MEMBER(DSNCLIVM) */

//* INCLUA TAMBÉM QUAISQUER NOMES DE PACOTES INCLUÍDOS NA PALAVRA-CHAVE

PKLIST DA */

//* INSTRUÇÃO BIND PLAN APÓS AS INSTRUÇÕES BIND PACKAGE. */

//* */

//*********************************************************************/

//JOBLIB DD DISP=SHR,

// DSN=DB2710.SDSNLOAD

//BINDCLI EXEC PGM=IKJEFT01,DYNAMNBR=20

//DBRMLIB DD DISP=SHR,

// DSN=DB2710.SDSNDBRM

//SYSTSPRT DD SYSOUT=*

//SYSPRINT DD SYSOUT=*

//SYSUDUMP DD SYSOUT=*

//SYSTSIN DD *

DSN SYSTEM(DSN5)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLICS) ISOLATION(CS)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLINC) ISOLATION(NC)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIRR) ISOLATION(RR)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIRS) ISOLATION(RS)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIUR) ISOLATION(UR)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIC1)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIC2)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIF4)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIMS)

BIND PACKAGE (DSNAOCLI) MEMBER(DSNCLIQR)

BIND PLAN(DSNACLI) -

PKLIST(DSNAOCLI.DSNCLICS -

DSNAOCLI.DSNCLINC -

DSNAOCLI.DSNCLIRR -

DSNAOCLI.DSNCLIRS -

DSNAOCLI.DSNCLIUR -

DSNAOCLI.DSNCLIC1 -

DSNAOCLI.DSNCLIC2 -

DSNAOCLI.DSNCLIF4 -

DSNAOCLI.DSNCLIMS -

DSNAOCLI.DSNCLIQR )

END

/*

Arquivo de Inicialização de CLI de Amostra

; Esta é uma linha de comentário...

;/*********************************************************************/

;/* Este arquivo contém código de amostra. A IBM FORNECE ESTE CÓDIGO */

;/* ’COMO SE ENCONTRA’, SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU */

;/* IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS*/

;/* DE MERCADO OU DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. */

;/*********************************************************************/

; Sub-rotina COMMON de exemplo

;

; A opção MVSDEFAULTSSID indica qual subsistema DB2

; deve ser utilizado para interagir com

; tabelas DB2. Este valor depende da instalação.

; Para este exemplo, será utilizado o DSN5.

[COMMON]

MVSDEFAULTSSID=DSN5

; Sub-rotina SUBSYSTEM de exemplo para o subsistema DSN5



;

; NOTA: a opção PLANNAME abaixo deve corresponder ao

; nome do plano que foi especificado ao executar o

; job batch DSNTIJCL para criar o plano. Para este

; exemplo, será utilizado o DSNACLI.

[DSN5]

;MVSATTACHTYPE=CAF

MVSATTACHTYPE=RRSAF

PLANNAME=DSNACLI

; Sub-rotina DATA SOURCE de exemplo

;

; O nome de DATA SOURCE depende da instalação.

; Para este exemplo, será utilizado o LOC1.

[LOC1]

AUTOCOMMIT=0

CONNECTTYPE=1



Apêndice D. Critérios Comuns

Um sistema avaliado por CC (Critérios Comuns) é um sistema que foi avaliado de

acordo com os Critérios Comuns, um padrão ISO reconhecido internacionalmente

(ISO 15408) para a avaliação segura de produtos TI. O IBM Tivoli Access Manager,

Versão 4.1 com fix pack 5 instalado, contém a tecnologia para atender aos

requisitos do nível de segurança CC EAL3+. A configuração do sistema que atende

a esses requisitos é referida neste guia como um sistema avaliado por CC.

Nota: Para obter as últimas atualizações neste apêndice, incluindo status de

certificação e plataformas utilizadas na avaliação CC, consulte o arquivo

leia-me do IBM Tivoli Access Manager, Versão 4.1, fix pack 5.

A avaliação foi executada na configuração específica descrita nesta seção. A

alteração nessa configuração leva a um sistema não avaliado. Isso, no entanto, não

significa que a segurança do sistema será reduzida. Significa apenas que essa

configuração personalizada não é coberta pela avaliação.

Essa apêndice explica as restrições de um sistema que precisa atender aos

requisitos de uma avaliação CC. O sistema IBM Tivoli Access Manager, Versão 4.1,

avaliado por CC inclui os seguintes sistemas Tivoli Access Manager:

Servidor de critério (pdmgrd)

com os seguintes componentes instalados:




v GSKit (IBM Global Security Kit)

Servidor WebSEAL (webseald)

com os seguintes componentes instalados:


v Servidor Tivoli Access Manager WebSEAL


v GSKit (IBM Global Security Kit)

As seguintes seções descrevem a forma como esses componentes e o ambiente

operacional devem ser configurados para obter um sistema compatível com CC.

Critério de Segurança para Tivoli Access Manager

A configuração CC do Tivoli Access Manager é baseada em um critério de

segurança que deve ser respeitado para obter e manter uma operação segura.

Critério de Segurança Base

Os sistemas devem ser instalados e operados em instalações controladas por acesso

às quais apenas administradores autorizados têm acesso. As plataformas em que os

componentes do servidor Tivoli Access Manager são executados devem ser

protegidas de acordo, permitindo acesso apenas a administradores autorizados.


A seguir há uma lista não exclusiva de instruções de critérios de segurança, que

deve ser preenchida para operar o Tivoli Access Manager de uma forma

compatível com CC.

v Apenas usuários autorizados a trabalhar com as informações nos sistemas

recebem IDs de usuário no sistema.

v Os administradores e usuários devem utilizar senhas de alta qualidade (o mais

aleatórias possível e não afiliadas ao usuário ou à organização).

v Os usuários e administradores não devem divulgar suas senhas para outras

pessoas.

v Os administradores devem ser confiáveis e trabalhar de acordo com a orientação

fornecida pela documentação do sistema.

v As senhas geradas pelos administradores aos usuários do sistema devem ser

transmitidas de uma forma segura aos usuários.

v Um administrador que utiliza um terminal ou estação de trabalho remota para

conectar-se ao servidor de critério para administração precisa garantir que o

terminal ou a estação de trabalho remota esteja em um ambiente seguro e

gerenciado com segurança. O gerenciamento é executado configurando-se uma

conexão segura para comunicar-se com o sistema operacional no servidor de

critério. Nele, o administrador chama a interface da linha de comandos pdadmin

e se autentica.

Critério de Segurança do Sistema

Além do critério de segurança base descrito em “Critério de Segurança Base” na

página 205, os sistemas e redes utilizados para operar o Tivoli Access Manager

precisam preencher instruções de critério da seguinte forma:

v As máquinas nas quais o Tivoli Access Manager é implementado devem ser

máquinas do Tivoli Access Manager dedicadas. (Os aplicativos do Tivoli Access

Manager devem ser os únicos aplicativos em execução nos sistemas operacionais

subjacentes).

Nota: Todos os serviços do sistema operacional devem ser desativados,

especialmente serviços em rede que são não essenciais para execução,

gerenciamento e administração do Tivoli Access Manager.

v O sistema operacional deve ser configurado por pessoal treinado e confiável.

v O sistema operacional deve fornecer uma hora exata para os aplicativos do


v Os arquivos de configuração e os arquivos de log/auditoria do Tivoli Access

Manager devem ser protegidos através de mecanismos de controle de acesso do

sistema operacional.

v O acesso ao LDAP deve ser configurado através do SSL, Versão 3, ou TLS,

Versão 1.

v O servidor LDAP deve executar identificação e autenticação do usuário além de

executar controle de acesso nas entradas que fornece.

As questões adicionais sobre gerenciamento e administração e os mecanismos dos

sistemas operacionais subjacentes estão fora do escopo deste apêndice.

Critério de Rede do Tivoli Access Manager

A seguinte lista descreve o perfil de comunicação de cada componente. Esse perfil

de comunicação deve ser reforçado pelo ambiente de rede para operar o Tivoli

Access Manager de uma forma segura.

Critérios Comuns


Geralmente, as redes precisam ser configuradas de uma forma que o WebSEAL seja

o ponto de reforço para o critério de acesso de recursos. Isso significa que não há

outra forma para um usuário acessar os recursos protegidos pelo Tivoli Access

Manager. Os mecanismos de gerenciamento e administração do sistema

operacional devem estar de acordo com essa regra.

v Servidor de critério (pdmgrd)

– Comunicação do Tivoli Access Manager

– LDAP para o registrov Servidor WebSEAL (webseald)

– Para usuários externos, apenas HTTPS

– HTTPS para recursos backend

– Comunicação do Tivoli Access Manager para autorização, replicação de banco

de dados, gerenciamento e auditoria

– LDAP para o registro

O seguinte diagrama fornece uma visão geral do critério de rede:

Nota: Esse critério não implica qualquer configuração de rede específica. De

acordo com as melhores práticas, as interfaces de rede internas e externas

devem ser claramente separadas, produzindo acesso HTTPS apenas para

usuários externos. Qualquer outro serviço de rede não deve ser acessível a

partir de redes externas.

Suposições sobre o Comportamento de Usuários

Cada sistema seguro tem áreas nas quais sua segurança se baseia em uma

suposição (e, portanto, confia). A segurança do Tivoli Access Manager baseia-se nas

seguintes suposições com relação ao comportamento de usuários externos:

v A geração de chave criptográfica no lado do cliente é executada de forma

segura, produzindo dessa forma chaves criptográficas sólidas.

v As chaves privadas do usuário utilizadas para autenticação e troca de chaves

com o Tivoli Access Manager são armazenadas de forma segura e protegidas

contra uso e acesso não autorizados.

Critérios Comuns

Apêndice D. Critérios Comuns 207

v Usuários que não são hostis e tentam atacar deliberadamente as funções de

segurança (ou seja, eles tentam enganar o critério do sistema). Eles também

protegem com cuidado suas informações de segurança dentro de seus ambientes

operacionais.

Se qualquer uma dessas suposições não for verdadeira, o administrador deve estar

ciente de que o acesso em nome do usuário em questão é possível, porque qualquer

intruso pode fazer-se passar pelo usuário com êxito.

Instalação e Configuração Compatíveis com a Avaliação CC

A avaliação CC abrange opções de configuração de segurança listadas apenas neste

apêndice. Os requisitos de instalação e configuração são os seguintes:

v Assegure-se de que esteja utilizando sistemas ″limpos″ que não tenham versões

anteriores do Tivoli Access Manager instaladas. Você não tem permissão para

fazer o upgrade de um release anterior ao fix pack atual e, em seguida, utilizar

esse sistema no qual foi feito o upgrade como uma base para uma configuração

avaliada.

v Os sistemas pdmgrd e webseald devem ser instalados em máquinas separadas.

v Os componentes do Tivoli Access Manager foram avaliados utilizando o mesmo

sistema operacional. As configurações mistas não foram avaliadas, por exemplo,

pdmgrd e webseald foram instalados em máquinas AIX.

v O WPM (Web Portal Manager) não é suportado na configuração avaliada.

Apenas a interface da linha de comandos pdadmin e a API do C são suportadas.

v Apenas o LDAP é suportado para acesso ao servidor de diretório. O Active

Directory ou outros protocolos não são suportados.

v As réplicas do LDAP não são suportadas.

v Os dispositivos de criptografia de hardware não são suportados.

v Apenas o suporte ao idioma inglês foi avaliado.

v Apenas programas de instalação fácil são suportados para a configuração

avaliada por CC.

v Todos os sistemas WebSEAL são configurados para operar independentemente

uns dos outros e são conectados apenas ao servidor de critério central. Portanto,

as configurações de equilíbrio de carga e failover dos sistemas WebSEAL não são

suportadas na configuração avaliada.

Instalando o Tivoli Access Manager

A instalação compatível com CC dos componentes do Tivoli Access Manager base

está descrita neste guia; a instalação de componentes do WebSEAL está descrita no

IBM Tivoli Access Manager WebSEAL - Guia de Instalação.

Após a instalação dos componentes do Tivoli Access Manager, serão necessárias

etapas adicionais de configuração para se obter um estado compatível com CC.

Atenção

As etapas descritas são especificadas como um delta para a configuração

padrão da instalação de componentes do Tivoli Access Manager. Se forem

feitas quaisquer outras alterações na configuração padrão, o sistema não manterá

mais a configuração avaliada.

Critérios Comuns


Protegendo o WebSEAL

As informações avaliadas suportam apenas acesso HTTPS ao WebSEAL. As

seguintes diretivas de configuração no webseald.conf asseguram isto:

[server]

http = no

https = yes

É recomendado, mas não requerido, que o WebSEAL utilize a porta HTTPS padrão,

como segue:

[server]

https-port = 443

A configuração avaliada não inclui o SSL, Versão 2; apenas o SSL, Versão 3, e o

TLS, Versão 1, são suportados:

[ssl]

disable-ssl-v2 = yes

disable-ssl-v3 = no

disable-tls-v1 = no

Nota: As conexões do WebSEAL aos servidores backend devem ser baseadas no

SSL (SSL, Versão 3 ou TLS, Versão 1). O WebSEAL não regrava os URLs de

acordo com os campos de junção quando SSL e não-SSL estão misturados.

Configurando Mecanismos de Autenticação do WebSEAL

A configuração avaliada restringe o uso de um mecanismo de autenticação do

usuário para o seguinte subconjunto:

v Autenticação baseada em certificado

v ID do usuário e senha baseados na autenticação

Portanto, os seguintes parâmetros de configuração precisam ser definidos no

webseald.conf:

[ba]

ba-auth = https

[forms]

forms-auth = https

[certificate]

accept-client-certs = optional

[authentication-mechanisms]

cert-ssl = ssl_client_side_certificate_authentication_library

Selecionando os Conjuntos de Codificação Suportados

Os seguintes conjuntos de codificação do SSL, Versão 3 / TLS, Versão 1, devem ser

utilizados na configuração avaliada:

v SSL_RSA_WITH_RC4_128_SHA

v SSL_RSA_WITH_RC4_128_SHA

v SL_RSA_WITH_3DES_EDE_CBC_SHA

Os seguintes parâmetros devem ser definidos no webseald.conf:

[ssl-qop-mgmt-default]

default = RC4-128

default = DES-168

Critérios Comuns


Configurando a Auditoria

O mecanismo do log de eventos permite vários destinos para as entradas de log e

auditoria.

No webseald ou pdmgrd, as seguintes entradas devem ser colocadas no arquivo

de configuração:

logcfg = audit.azn: file=audit_file,\

log_id=audit,\

flush_interval=1,\

rollover=size=-10000000,\

buffer_size=0,\

queue_size=1,\

hi_water=1

logcfg = audit.authn:file log_id=audit

logcfg = audit.mgmt:file log_id=audit

logcfg = audit.http:file log_id=audit

em que audit_file é o caminho completo do arquivo de log de auditoria.

Esse exemplo envia todos os eventos de auditoria de todas as categorias de

auditoria para um único arquivo de log de auditoria. O arquivo aumentará até

10.000.000 bytes ou ficará com 24 horas a mais (no máximo) antes de um novo

arquivo de log ser criado. A data e hora são anexados ao arquivo antigo.

O administrador precisa assegurar que sempre haja espaço suficiente no sistema de

arquivos no qual a trilha de auditoria foi gravada. Este exemplo cria uma trilha de

auditoria para todas as superclasses que suportam auditoria.

Outras Funções do WebSEAL

Para assegurar que nenhuma funcionalidade indesejada seja desativada, os

seguintes parâmetros devem ser alterados:

[ltpa]

ltpa-cache-enabled = no

Critério de Login

Para estar em conformidade com os requisitos de CC, utilize o comando pdadmin

para alterar o critério de login padrão para IDs do usuário e administrativos, como

segue:

policy set max-login-failures 3

Isso assegura que o critério de login seja aplicado após três tentativas falhas

consecutivas e não após dez tentativas (o padrão). Observe que você não precisa

alterar a penalidade padrão de 180 segundos.

Nota: Mais de uma instância do servidor WebSEAL pode ser configurada por vez.

Cada instância apresenta um ponto de entrada adicional através do qual um

intruso pode adivinhar senhas. Quando há um grande número de instâncias

configuradas, deve se ter cuidado para manter níveis ótimos para segurança

de senha. Nesses casos, outras definições de segurança do WebSEAL devem

ser ajustadas. Por exemplo, o aumento da penalidade padrão para tentativas

falhas consecutivas aumenta muito o tempo necessário para um intruso

conduzir um forte ataque à senha.

A avaliação CC incluiu duas instâncias do WebSEAL. Para manter uma

configuração CC quando as definições de segurança do WebSEAL não são

Critérios Comuns


modificadas a partir dos valores especificados neste apêndice, é

recomendado não adicionar mais do que quatro instâncias do WebSEAL.

Para obter informações adicionais sobre as definições de segurança do

WebSEAL, consulte o IBM Tivoli Access Manager WebSEAL Administration

Guide.

Critério de Senha

Para estar em conformidade com os requisitos de CC, utilize o comando pdadmin

para alterar o critério de senha padrão, como segue:

policy set password-spaces no

Gerenciamento de Chave Criptográfica

A avaliação do Tivoli Access Manager também abrange o processo de geração de

chave criptográfica. Isso significa que os status de segurança das chaves, que são

geradas pelos utilitários do Tivoli Access Manager (mgrsslcfg, bassslcfg e

svrsslcfg), foram verificados. Observe que os certificados gerados pelo usuário (por

exemplo, para o certificado do servidor WebSEAL) devem ter pelo menos um

comprimento de chave de 1024 bits. Para obter informações adicionais sobre o

gerenciamento de certificados do WebSEAL, consulte o IBM Tivoli Access Manager

WebSEAL Administration Guide.

Arquivos de Configuração Compatíveis com CC

Os seguintes arquivos de configuração foram utilizados na avaliação CC do Tivoli

Access Manager. Para obter descrições desses arquivos, incluindo informações de

sub-rotina e parâmetros, consulte o IBM Tivoli Access Manager Base Administrator’s

Guide. Para o arquivo webseald.conf, consulte o IBM Tivoli Access Manager

WebSEAL Administrator’s Guide.

v ivmgrd.conf

v ldap.conf

v pd.conf

v webseald.conf

Critérios Comuns


Critérios Comuns


Apêndice E. Avisos

Estas informações foram desenvolvidas para produtos e serviços oferecidos nos

Estados Unidos. É possível que a IBM não ofereça os produtos, serviços ou

recursos discutidos nesse documento em outros países. Consulte um representante

IBM local para obter informações sobre produtos e serviços disponíveis atualmente

em sua área. Qualquer referência a produtos, programas ou serviços IBM não

significa que apenas produtos, programas ou serviços IBM possam ser utilizados.

Qualquer produto, programa ou serviço funcionalmente equivalente, que não

infrinja nenhum direito de propriedade intelectual da IBM, poderá ser utilizado em

substituição a este produto, programa ou serviço. Entretanto, é de responsabilidade

do usuário, a avaliação e verificação da operação de qualquer produto, programa

ou serviço que não seja da IBM.

A IBM pode ter patentes ou solicitações de patentes pendentes relativas a assuntos

tratados nesta publicação. O fornecimento desta publicação não lhe garante direito

algum sobre tais patentes. Consultas sobre licenças devem ser enviadas, por

escrito, para:

Gerência de Relações Comerciais e Industriais da IBM Brasil.

Av. Pasteur 138/146 - Botafogo

Rio de Janeiro - RJ

CEP: 22290-240

Para pedidos de licença relacionados a informações de DBCS (byte duplo), entre

em contato com o Departamento de Propriedade Intelectual da IBM em seu país

ou envie pedidos de licença, por escrito, para:

IBM World Trade Asia CorporationLicensing2-31 Roppongi 3-chome,

Minato-kuTokyo 106, Japan

O parágrafo a seguir não se aplica a nenhum país em que tais disposições não

estejam de acordo com a legislação local: A INTERNATIONAL BUSINESS

MACHINES CORPORATION FORNECE ESTA PUBLICAÇÃO ″NO ESTADO EM

QUE SE ENCONTRA″, SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA

OU IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS

IMPLÍCITAS DE NÃO-VIOLAÇÃO, MERCADO OU ADEQUAÇÃO A UM

DETERMINADO PROPÓSITO. Alguns países não permitem a exclusão de

garantias expressas ou implícitas em certas transações; portanto, esta disposição

pode não se aplicar ao Cliente.

Estas informações podem conter imprecisões técnicas ou erros tipográficos. São

realizadas alterações periódicas nas informações aqui contidas; estas alterações

serão incorporadas em novas edições da publicação. A IBM pode executar

melhorias e/ou alterações no(s) produto(s) e/ou programa(s) descritos nesta

publicação, a qualquer momento, sem aviso prévio.

Referências nestas informações a Web sites não IBM são fornecidas apenas por

conveniência e não representam de forma alguma um endosso a estes Web sites. O

material nestes Web sites não faz parte do material para este produto IBM e a

utilização destes Web sites é de sua inteira responsabilidade.

A IBM pode utilizar ou distribuir as informações fornecidas da forma que julgar

apropriada sem incorrer em qualquer obrigação para com o Cliente.


Licenciados deste programa que desejam obter informações sobre este assunto com

objetivo de permitir: (i) a troca de informações entre programas criados

independentemente e outros programas (incluindo este) e (ii) a utilização mútua

das informações trocadas, devem entrar em contato com:

Gerência de Relações Comerciais e Industriais da IBM Brasil

Av. Pasteur, 138/146 - Botafogo

Rio de Janeiro, RJ

CEP: 22290-240

Tais informações podem estar disponíveis, sujeitas a termos e condições

apropriadas, incluindo em alguns casos, pagamento de uma taxa.

O programa licenciado descrito neste documento e todo o material licenciado

disponível são fornecidos pela IBM sob os termos do Contrato com o Cliente IBM,

do Contrato de Licença do Programa Internacional IBM ou de qualquer outro

contrato equivalente.

As informações sobre produtos não-IBM foram obtidas junto aos fornecedores dos

respectivos produtos, de seus anúncios publicados ou de outras fontes disponíveis

publicamente. A IBM não testou estes produtos e não pode confirmar a precisão de

do desempenho, da compatibilidade ou de qualquer outra reivindicação

relacionada a produtos não-IBM. Dúvidas sobre a capacidade de produtos não-IBM

devem ser encaminhadas diretamente a seus fornecedores.

Todas as declarações relacionadas aos objetivos e intenções futuras da IBM estão

sujeitas a alterações ou cancelamento sem aviso prévio e representam apenas metas

e objetivos.

Estas informações contém exemplos de dados e relatórios utilizados em operações

de negócios diárias. Estas informações contêm exemplos de dados e relatórios

utilizados nas operações diárias de negócios. Todos estes nomes são fictícios e

qualquer semelhança com os nomes e endereços utilizados por um empresa real é

inteira coincidência.

LICENÇA DE COPYRIGHT:

Estas informações contêm exemplos de programas aplicativos na linguagem fonte,

ilustrando as técnicas de programação em diversas plataformas operacionais. Você

pode copiar, modificar e distribuir estes exemplos de programas sem a necessidade

de pagar a IBM, com objetivos de desenvolvimento, utilização, marketing ou

distribuição de programas aplicativos em conformidade com a interface de

programação do aplicativo para a plataforma operacional para a qual os programas

de exemplo são criados. Estes exemplos não foram testados completamente em

todas as condições. Portanto, a IBM não pode garantir ou implicar a confiabilidade,

manutenção ou função destes programas. Você pode copiar, modificar e distribuir

estes exemplos de programas de qualquer maneira sem pagamento à IBM, com

objetivos de desenvolvimento, utilização, marketing ou distribuição de programas

aplicativos em conformidade com interfaces de programação de aplicativos da

IBM.

Cada cópia ou parte deste exemplo de programas ou qualquer trabalho derivado

deve incluir um aviso de copyright com os dizeres:

© (nome da empresa) (ano). Partes deste código são derivadas do Exemplo de

Programas da IBM Corp. Programas de Exemplos. © Copyright IBM Corp. _digite

o ano ou os anos_. Todos os direitos reservados.


Se estas informações estiverem sendo exibidas em cópia eletrônica, as fotografias e

ilustrações coloridas podem não aparecer.

Alguns códigos distribuídos com este produto são de terceiros, os quais podem

possuir termos de licença alternativos. Estes termos estão reproduzidos abaixo.

Licença do Kit de Ferramentas do XML Parser

Copyright © 1998, 1999, 2000 Thai Open Source Software Center Ltd

A permissão está contida por meio deste documento, sem necessidade de

pagamento, a qualquer pessoa que obtenha uma cópia deste software e arquivos

de documentação associados (o ″Software″), para utilizar o Software sem restrição,

incluindo não limitação aos direitos de utilizar, copiar, modificar, mesclar, publicar,

distribuir, sublicenciar e/ou vender cópias do Software e permitir a pessoas as

quais o Software for fornecido a fazer isso, sujeitos às seguintes condições:

O aviso de copyright acima e o aviso de permissão devem estar incluídos em todas

as cópias ou partes substanciais do Software.

O SOFTWARE É FORNECIDO ″NO ESTADO EM QUE SE ENCONTRA″, SEM

GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO,

MAS NÃO SE LIMITANDO ÀS GARANTIAS DE NÃO-VIOLAÇÃO, MERCADO

OU ADEQUAÇÃO A UM DETERMINADO PROPÓSITO.

EM NENHUM CASO DEVERÃO OS AUTORES OU OS DETENTORES DE

COPYRIGHT SEREM RESPONSABILIZADOS POR QUALQUER

REIVINDICAÇÃO, DANOS OU QUALQUER OUTRO TIPO DE

RESPONSABILIDADE, SEJA ELA CAUSADA POR AÇÃO DE CONTRATO,

NEGLIGÊNCIA OU QUALQUER OUTRA FORMA, EM DECORRÊNCIA DA

CONEXÃO COM O SOFTWARE OU DA UTILIZAÇÃO OU OUTRAS

TRANSAÇÕES NO SOFTWARE.

Licença do Módulo de Autenticação que Pode Ser Conectado

Copyright © 1995 da Red Hat Software, Marc Ewing Copyright (c) 1996-8, Andrew

G. Morgan <[email protected]>

Todos os direitos reservados

Redistribuição e utilização em código e formas binárias, com ou sem modificação,

são permitidos desde que as seguintes condições sejam respeitadas:

1. Redistribuições do código devem reter o aviso de copyright acima e o aviso de

permissão na sua íntegra, incluindo a renúncia de garantias.

2. Redistribuições na forma binária devem reproduzir o aviso de copyright acima,

a lista de condições e a renúncia acompanhante na documentação e/ou em

outros materiais fornecidos com a distribuição.

3. O nome do autor não pode ser utilizado para endossar ou promover produtos

derivados deste software sem prévia permissão específica por escrito.

O SOFTWARE É FORNECIDO ″NO ESTADO EM QUE SE ENCONTRA″, SEM

GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO,

MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE MERCADO OU

ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. EM NENHUM CASO

DEVERÁ O AUTOR SER RESPONSABILIZADO POR NENHUM DANO DIRETO,

Apêndice E. Avisos 215

INDIRETO, ACIDENTAL, ESPECIAL, EXEMPLAR OU CONSEQÜENCIAL

(INCLUINDO, MAS NÃO SE LIMITANDO A, COMPRA DE BENS OU SERVIÇOS

SUBSTITUTOS; PERDA DE UTILIZAÇÃO, DADOS OU LUCROS; OU

INTERRUPÇÃO DE NEGÓCIOS) NÃO OBSTANTE CAUSADOS NA TEORIA DE

RESPONSABILIDADE, SEJA EM CONTRATO, RESPONSABILIDADE RESTRITA

OU DELITO (INCLUINDO NEGLIGÊNCIA OU QUALQUER OUTRO TIPO)

DECORRENTE DA UTILIZAÇÃO DESTE SOFTWARE, MESMO SE ADVERTIDO

SOBRE A POSSIBILIDADE DE TAL DANO.

Servlet do Apache Axis

Copyright ©2002 The Apache Software Foundation. Todos os direitos reservados.



1. Redistribuições do código-fonte devem manter o aviso de copyright acima, essa

lista de condições e a renúncia acompanhante.




3. A documentação do usuário final incluída com a redistribuição, se houver, deve

incluir a seguinte confirmação: ″Este produto inclui software desenvolvido pela

Apache Software Foundation (http://www.apache.org/).″ Alternativamente,

essa confirmação poderá aparecer no próprio software, se e sempre que tais

confirmações de terceiros normalmente aparecerem.

4. Os nomes ″Apache Forrest″ e ″Apache Software Foundation″ não devem ser

utilizados para endossar ou promover produtos derivados deste software sem

permissão prévia por escrito. Para obter a permissão por escrito, entre em

contato com [email protected].

5. Os produtos derivados deste software poderão não ser chamados de ″Apache″,

nem ″Apache″ aparecerá em seu nome, sem a permissão prévia por escrito da

Apache Software Foundation.

O SOFTWARE É FORNECIDO `NO ESTADO EM QUE SE ENCONTRA″, E

QUAISQUER GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO, MAS

NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE MERCADO OU

ADEQUAÇÃO A UM DETERMINADO PROPÓSITO SÃO RENUNCIADAS. EM

NENHUM CASO DEVERÁ A APACHE SOFTWARE FOUNDATION OU SEUS

COLABORADORES SEREM RESPONSABILIZADOS POR NENHUM DANO

DIRETO, INDIRETO, ACIDENTAL, ESPECIAL, EXEMPLAR OU

CONSEQÜENCIAL (INCLUINDO, MAS NÃO SE LIMITANDO A, COMPRA DE

BENS OU SERVIÇOS SUBSTITUTOS; PERDA DE UTILIZAÇÃO, DADOS OU

LUCROS; OU INTERRUPÇÃO DE NEGÓCIOS) NÃO OBSTANTE CAUSADOS

NA TEORIA DE RESPONSABILIDADE, SEJA EM CONTRATO,

RESPONSABILIDADE RESTRITA OU DELITO (INCLUINDO NEGLIGÊNCIA OU

QUALQUER OUTRO TIPO) DECORRENTE DA UTILIZAÇÃO DESTE

SOFTWARE, MESMO SE ADVERTIDO SOBRE A POSSIBILIDADE DE TAL

DANO.

Este software consiste em contribuições voluntárias feitas por vários indivíduos em

nome da Apache Software Foundation. Para obter informações adicionais sobre a

Apache Software Foundation, consulte http://www.apache.org/.


Conjunto de Análise de Opções da Linha de Comandos JArgs para

Java

Copyright ©2001, Stephen Purcell Todos os direitos reservados.



1. Redistribuições do código-fonte devem manter o aviso de copyright acima, essa

lista de condições e a renúncia acompanhante.




3. O nome do portador de copyright ou os nomes de seus colaboradores não

podem ser utilizados para endossar ou promover produtos derivados deste

software sem prévia permissão específica por escrito.

O SOFTWARE É FORNECIDO PELOS PORTADORES DE COPYRIGHT E

COLABORADORES ″NO ESTADO EM QUE SE ENCONTRA″, E QUAISQUER

GARANTIAS, SEJAM EXPRESSAS OU IMPLÍCITAS, INCLUINDO, MAS NÃO SE

LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE MERCADO OU ADEQUAÇÃO A

UM DETERMINADO PROPÓSITO SÃO RENUNCIADAS. EM NENHUM CASO

OS REGENTES OU COLABORADORES DEVERÃO SER RESPONSABILIZADOS

POR NENHUM DANO DIRETO, INDIRETO, ACIDENTAL, ESPECIAL,

EXEMPLAR OU CONSEQÜENCIAL (INCLUINDO, MAS NÃO SE LIMITANDO

A, COMPRA DE BENS OU SERVIÇOS SUBSTITUTOS; PERDA DE UTILIZAÇÃO,

DADOS OU LUCROS; OU INTERRUPÇÃO DE NEGÓCIOS) NÃO OBSTANTE

CAUSADOS NA TEORIA DE RESPONSABILIDADE, SEJA EM CONTRATO,

RESPONSABILIDADE RESTRITA OU DELITO (INCLUINDO NEGLIGÊNCIA OU

QUALQUER OUTRO TIPO) DECORRENTE DA UTILIZAÇÃO DESTE

SOFTWARE, MESMO SE ADVERTIDO SOBRE A POSSIBILIDADE DE TAL

DANO.

Implementação do Java DOM

Copyright © 2000-2002 Brett McLaughlin & Jason Hunter. Todos os direitos

reservados. Redistribuição e utilização em código e formas binárias, com ou sem

modificação, são permitidos desde que as seguintes condições sejam respeitadas:

1. Redistribuições do código-fonte devem manter o aviso de copyright acima,

essa lista de condições e a renúncia acompanhante.


essa lista de condições e a renúncia que segue essas condições na

documentação e/ou em outros materiais fornecidos com a distribuição.

3. O nome ″JDOM″ não pode ser utilizado para endossar ou promover produtos

derivados deste software sem prévia permissão por escrito. Para obter a

permissão por escrito, entre em contato com [email protected].

4. Os produtos derivados deste software poderão não ser chamados de ″JDOM″,

nem ″JDOM″ aparecerá em seu nome, sem a permissão prévia por escrito da

JDOM Project Management ([email protected]).

5. Além disso, solicitamos (mas não exigimos) que você inclua na documentação

do usuário final fornecida com a redistribuição e/ou no próprio software uma

confirmação equivalente à seguinte: ″Este produto inclui software desenvolvido

pela JDOM Project (http://www.jdom.org/).″


6. Além disso, solicitamos (mas não exigimos) que você inclua na documentação

do usuário final fornecida com a redistribuição e/ou no próprio software uma

confirmação equivalente à seguinte: ″Este produto inclui software desenvolvido

pela JDOM Project (http://www.jdom.org/)″. Alternativamente, a confirmação

pode ser gráfica utilizando os logotipos disponíveis em

http://www.jdom.org/images/logos.

O SOFTWARE É FORNECIDO `NO ESTADO EM QUE SE ENCONTRA″, E

QUAISQUER GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO, MAS

NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE MERCADO OU

ADEQUAÇÃO A UM DETERMINADO PROPÓSITO SÃO RENUNCIADAS. EM

NENHUM CASO OS AUTORES DA JDOM OU COLABORADORES DE PROJETO

DEVERÃO SER RESPONSABILIZADOS POR NENHUM DANO DIRETO,

INDIRETO, ACIDENTAL, ESPECIAL, EXEMPLAR OU CONSEQÜENCIAL

(INCLUINDO, MAS NÃO SE LIMITANDO A, COMPRA DE BENS OU SERVIÇOS

SUBSTITUTOS; PERDA DE UTILIZAÇÃO, DADOS OU LUCROS; OU

INTERRUPÇÃO DE NEGÓCIOS) NÃO OBSTANTE CAUSADOS NA TEORIA DE

RESPONSABILIDADE, SEJA EM CONTRATO, RESPONSABILIDADE RESTRITA

OU DELITO (INCLUINDO NEGLIGÊNCIA OU QUALQUER OUTRO TIPO)

DECORRENTE DA UTILIZAÇÃO DESTE SOFTWARE, MESMO SE ADVERTIDO

SOBRE A POSSIBILIDADE DE TAL DANO.

Este software consiste em contribuições voluntárias feitas por vários indivíduos em

nome da JDOM Project e foi originalmente criado por Brett McLaughlin

([email protected]) e Jason Hunter ([email protected]). Para obter informações

adicionais sobre a JDOM Project, consulte http://www.jdom.org/.

Marcas

Os termos a seguir são marcas ou marcas registradas da International Business

Machines Corporation nos Estados Unidos e/ou em outros países:

AIX

DB2

IBM

Logotipo IBM

MVS

OS/390

SecureWay

Tivoli

logotipo Tivoli

Universal Database

WebSphere

zSeries

z/OS

Lotus, Lotus Notes e Notes são marcas da Lotus Development Corporation e/ou

da IBM Corporation.

Domino é uma marca da International Business Machines Corporation e Lotus

Development Corporation nos Estados Unidos e/ou em outros países.

Java e todas a marcas e logotipos baseados em Java são marcas ou marcas

registradas da Sun Microsystems, Inc. nos Estados Unidos e/ou em outros países.


Microsoft, Windows, Windows NT e o logotipo do Windows são marcas da

Microsoft Corporation nos Estados Unidos e/ou em outros países. Java e todas as

marcas e logotipos baseados em Java são marcas ou marcas registradas da Sun

Microsystems, Inc. nos Estados Unidos e em outros países.

UNIX é uma marca registrada do The Open Group nos Estados Unidos e em

outros países.

Nomes de empresas, produtos ou serviços podem ser marcas ou marcas de

serviços de terceiros.


Glossário

A

ação. O atributo de permissão de uma ACL (lista de

controle de acesso).

arquivo de banco de dados de chaves. Consulte

conjunto de chaves.

arquivo de chaves. Consulte conjunto de chaves.

arquivo de resposta. Um arquivo que contém um

conjunto de respostas predefinidas às perguntas feitas

por um programa e que é utilizado em vez de digitar

esses valores um por vez.

arquivo de roteamento. Um arquivo ASCII que

contém comandos que controlam a configuração das

mensagens.

assinatura digital. No e-commerce, dados que são

anexados a uma unidade de dados ou que são uma

transformação criptográfica dela e que permitem que o

destinatário da unidade de dados verifique a origem e

a integridade da unidade e reconheça uma possível

falsificação.

ativação de função. O processo de aplicar as

permissões de acesso a uma função.

atribuição de função. O processo de atribuir uma

função a um usuário, como o usuário possuir as

permissões de acesso apropriadas para o objeto

definido para essa função.

autenticação. (1) Em segurança de computadores, a

verificação da identidade de um usuário ou sua

elegibilidade para acessar um objeto. (2) Em segurança

de computadores a verificação de que uma mensagem

não foi alterada ou corrompida. (3) Em segurança de

computadores, um processo utilizado para verificar o

usuário de um sistema de informações ou de recursos

protegidos. Consulte também autenticação com

multifatores, autenticação com base na rede e autenticação

aumentada.

autenticação aumentada. Um critério POP (protected

object policy) que confia em uma hierarquia

pré-configurada de níveis de autenticação e aplica um

nível específico de autenticação, de acordo com o

critério definido em um recurso. A POP de autenticação

aumentada não força o usuário a autenticar utilizando

vários níveis de autenticação para acessar qualquer

recurso indicado, mas exige que o usuário autentique

em um nível no mínimo igual ao exigido pelo critério

que protege um recurso.

autenticação básica. Um método de autenticação que

exige que o usuário digite um nome de usuário e senha

válidos antes de obter acesso a um recurso on-line

seguro.

autenticação com base na rede. Um POP (protected

object policy) que controla o acesso aos objetos com

base no endereço IP (internet protocol) do usuário.

Consulte também critério do objeto protegido.

autenticação com multifatores. Um POP (protected

object policy) que força o usuário a efetuar autenticação

utilizando dois ou mais níveis de autenticação. Por

exemplo, o controle de acesso em um recurso protegido

pode exigir que os usuários sejam autenticados com

nome do usuário/senha e com nome do

usuário/código de token. Consulte também critério do

objeto protegido.

autorização. (1) Em segurança de computadores, o

direito concedido ao usuário para se comunicar com ou

fazer uso de um sistema de computadores. (2) O

processo de conceder a um usuário acesso completo ou

restrito a um objeto, recurso ou função.

B

BA. Consulte autenticação básica.

blade. Componente que oferece serviços e

componentes específicos do aplicativo.

C

CA. Consulte autoridade de certificação.

CA (autoridade de certificação). No e-commerce, uma

organização que emite certificados. A autoridade de

certificação autentica a identidade do proprietário do

certificado e os serviços que o proprietário está

autorizado a utilizar, emite novos certificados, renova

os certificados existentes e revoga os certificados

pertencentes aos usuários que não estão mais

autorizados a utilizá-los.

campos de junção. Uma conexão HTTP ou HTTPS

entre um servidor WebSEAL front-end e um servidor

de aplicativos da Web backend. Os campos de junção

combinam de forma lógica o espaço da Web do

servidor backend com o espaço da web do servidor

WebSEAL, resultando em uma exibição unificada do

espaço de objetos da Web inteiro. Os campos de junção

permitem que o WebSEAL ofereça serviços de proteção

em nome do servidor backend. O WebSEAL executa

verificações de autenticação e autorização em todos os

pedidos de recursos antes de transmitir esses pedidos


por um campo de junção para o servidor backend. Os

campos de junção também permitem diversas soluções

de conexão única entre um cliente e o aplicativo

backend que faz parte da junção.

CDAS. Consulte Cross Domain Authentication Service.

CDAS (cross domain authentication service). Um

serviço do WebSEAL que fornece um mecanismo de

biblioteca compartilhada que permite substituir os

mecanismos de autenticação padrão do WebSEAL por

um processo personalizado que retorna uma identidade

do Tivoli Access Manager para o WebSEAL. Consulte

também WebSeal.

CDMF. Consulte Cross Domain Mapping Framework.

CDMF (cross domain mapping framework). Uma

interface de programação que permite que um

desenvolvedor personalize o mapeamento de

identidades do usuário e o tratamento de atributos do

usuário quando as funções SSO do WebSEAL

e-Community SSO são utilizadas.

certificado. Em segurança de computadores, um

documento digital que liga uma chave pública à

identidade do proprietário do certificado, permitindo

assim que o proprietário do certificado seja autenticado.

Um certificado é emitido por uma autoridade de

certificação.

certificado de atributo de privilégio de serviço. (1)

No Tivoli Access Manager, o serviço PAC (Privilege

Attribute Certificate) é utilizado para codificar ou

decodificar a credencial de um Tivoli Access Manager

para um formato transmissível em um ambiente

somente de texto ou a partir dele. O formato é uma

combinação de codificação ASN1 e MIME. O serviço é

interno à API de autorização do Tivoli Access Manager.

(2) Um plug-in do cliente de tempo de execução da API

de autorização que converte um PAC de um formato

predeterminado em uma credencial do Access Manager

e vice-versa. Esses serviços também pode ser utilizados

para compactar ou ordenar uma credencial do Access

Manager para transmissão para outros membros do

domínio seguro. Os clientes podem desenvolver esses

serviços utilizando o Authorization ADK.

CGI. Consulte common gateway interface.

CGI (common gateway interface). Um programa de

computador que é executado em um servidor da Web e

utiliza a interface CGI (Common Gateway Interface)

para executar tarefas que normalmente não são

executadas por um servidor da Web (por exemplo,

acesso ao banco de dados e processamento de

formulários). Um script CGI é um programa CGI

gravado em uma linguagem de script como Perl.

chave. Em segurança de computadores, uma

seqüência de símbolos utilizados com um algoritmo

criptográfico para criptografar e descriptografar dados.

Consulte chave privada e chave pública.

chave privada. Em segurança de computadores, uma

chave conhecida somente pelo seu proprietário.

Compare com chave pública.

chave pública. Em segurança de computadores, uma

chave que é disponibilizada para todos. Compare com

chave privada.

cifrado. Dados criptografados que são ilegíveis até

que sejam convertidos em dados comuns

(descriptografados) com uma chave.

conexão. (1) Em comunicação de dados, uma

associação estabelecida entre unidades funcionais para

transportar informações. (2) Em TCP/IP, o caminho

entre dois aplicativos de protocolo que fornece serviço

de entrega de fluxo de dados confiável. Na Internet,

uma conexão se estende de um aplicativo TCP em um

sistema para um aplicativo TCP em outro sistema. (3)

Em comunicações de sistemas, uma linha através da

qual os dados podem ser passados entre dois sistemas

ou entre um sistema e um dispositivo.

configuração. (1) A maneira pela qual o hardware e o

software de um sistema de processamento de

informações são organizados e interconectados. (2) Os

dispositivos e programas que formam um sistema, um

subsistema ou uma rede.

conjunto de chaves. Em segurança de computadores,

um arquivo que contém chaves públicas, chaves

privadas, raízes confiáveis e certificados.

Conjunto de protocolos de Internet. Um conjunto de

protocolos desenvolvidos para serem utilizados na

Internet e publicados como RFCs (Requests for

Comments) através da IETF (Internet Engineering Task

Force).

controle de acesso. Em segurança de computadores, o

processo de assegurar que os recursos de um sistema

de computador possam ser acessados somente pelos

usuários autorizados, de maneiras autorizadas.

cookie. Informações que um servidor armazena em

uma máquina cliente e que acessa durante as próximas

sessões. Os cookies permitem que os servidores

lembrem-se de informações específicas sobre os clientes.

credenciais. Informações detalhadas, obtidas durante a

autenticação, que descrevem o usuário, quaisquer

associações de grupo e outros atributos de identidade

relacionados à segurança. As credenciais podem ser

utilizadas para executar uma grande variedade de

serviços, como autorização, auditoria e delegação.

criptografia. Em segurança de computadores, o

processo de transformar dados em uma forma

ininteligível, para que os dados originais não possam

ser obtidos ou possam ser obtidos somente utilizando

um processo de descriptografia.


criptografia RSA. Um sistema de criptografia de

chave pública utilizado para criptografia e autenticação.

Ele foi inventado em 1977 por Ron Rivest, Adi Shamir

e Leonard Adleman. A segurança do sistema depende

da dificuldade de fatorar o produto de dois números

primos grandes.

critério. Conjunto de regras aplicadas a recursos

gerenciados.

D

dados da política. Incluem dados de política de

durabilidade da senha e dados de início de sessão.

daemon. Um programa que é executado

independentemente para realizar um serviço padrão.

Alguns daemons são ativados automaticamente para

realizar suas tarefas; outros operam periodicamente.

DN. Consulte nome distinto.

DN (nome distinto). O nome que identifica com

exclusividade uma entrada em um diretório. Um nome

distinto é formado de pares atributo:valor, separados por

vírgulas.

domínio. (1) A parte de uma rede de computadores na

qual os recursos de processamento de dados estão sob

controle comum. (2) Consulte nome de domínio.

domínio seguro. O grupo de usuários, sistemas e

recursos que compartilham serviços comuns e

geralmente funcionam com uma finalidade em comum.

E

EAS. Consulte External Authorization Service.

escalabilidade. A capacidade de um sistema da rede

em responder aos crescentes números de usuários que

acessam os recursos.

espaço de objeto protegido. A representação de objeto

virtual dos recursos reais do sistema que é utilizada

para aplicar ACLs e POPs e utilizada pelo serviço de

autorização.

esquema. O conjunto de instruções, expressas em uma

linguagem de definição de dados, que descrevem

completamente a estrutura de um banco de dados.

esquema de diretório. Os tipos de atributos e classes

de objetos válidos que podem aparecer em um

diretório. Os tipos de atributos e classes de objetos

definem a sintaxe dos valores de atributos, quais

atributos devem estar presentes e quais podem estar

presentes para o diretório.

F

FTP (protocolo de transferência de arquivos). No

conjunto de protocolos de Internet, um protocolo da

camada de aplicativos que utiliza serviços TCP

(Transmission Control Protocol) e Telnet para transferir

arquivos com muitos dados entre máquinas ou hosts.

G

gerenciamento de segurança. A disciplina de

gerenciamento que trata da capacidade de uma

organização em controlar o acesso a aplicativos e dados

que são críticos para seu sucesso.

grupos de controle de acesso. Grupos a serem

utilizados para controle de acesso. Cada grupo contém

um atributo multivalor consistindo em nomes distintos

de membros. Os grupos de controle de acesso possuem

uma classe de objeto AccessGroup.

GSO. Consulte conexão global.

GSO (conexão global). Uma solução de conexão única

que permite que o usuário forneça nomes de usuário e

senhas alternativos para o servidor de aplicativos da

Web backend. A conexão global permite que os

usuários tenham acesso aos recursos de computação

que tenham autorização para utilizar — por meio de

um login único. Projetado para empresas grandes que

consistem em vários sistemas e aplicativos dentro de

ambientes de computação heterogêneos e distribuídos,

o GSO elimina a necessidade de os usuários

gerenciarem vários nomes de usuário e senhas.

Consulte também conexão única.

H

host. Um computador que é conectado a uma rede

(como uma rede Internet ou SNA) e fornece um ponto

de acesso para aquela rede. Também, dependendo do

ambiente, o host pode fornecer controle centralizado da

rede. O host pode ser um cliente, um servidor ou um

cliente e um servidor ao mesmo tempo.

host virtual. A capacidade de um servidor da Web

que permite que ele apareça como mais de um host na

Internet.

HTTP. Consulte Hypertext Transfer Protocol.

HTTP (protocolo de transferência de hipertexto). No

conjunto de protocolos da Internet, o protocolo que é

utilizado para transferir e exibir documentos de

hipertexto.

I

instalação silenciosa. Uma instalação que não envia

mensagens para o console, mas, em vez disso,

Glossário 223

armazena as mensagens e os erros nos arquivos de log.

Além disso, uma instalação silenciosa pode utilizar

arquivos de resposta para entrada de dados. Consulte

também arquivo de resposta.

IP. Consulte Internet Protocol.

IPC. Consulte Comunicação de Interprocessos.

IPC (comunicação de interprocessos). Um método

para permitir que um programa trate vários pedidos de

usuários ao mesmo tempo, por meio da criação e

gerenciamento de processos de programas individuais

em execução simultânea em um sistema operacional.

IP (Internet protocol). No conjunto de protocolos da

Internet, um protocolo sem conexão que direciona

dados através de uma rede ou de redes interconectadas

e age como um intermediário entre as camadas de

protocolos mais altas e a rede física.

L

LDAP. Consulte Lightweight Directory Access Protocol.

LDAP (lightweight directory access protocol). Um

protocolo aberto que (a) utiliza o TCP/IP para fornecer

acesso aos diretórios que suportam um modelo X.500 e

(b) não fica sujeito aos requisitos de recursos do X.500

DAP (Directory Access Protocol) mais complexo. Os

aplicativos que utilizam o LDAP (conhecidos como

aplicativos habilitados para diretório) podem utilizar o

diretório como um armazenamento de dados comum e

para recuperar informações sobre pessoas ou serviços,

como endereços de e-mail, chaves públicas ou

parâmetros de configuração específicos do serviço. O

LDAP foi especificado originalmente no RFC 1777. O

LDAP versão 3 está especificado no RFC 2251 e a IETF

continua a trabalhar em funções padrão adicionais.

Alguns dos esquemas padrão definidos pelo IETF para

LDAP são encontrados no RFC 2256.

ligar. Relacionar um identificador a outro objeto em

um programa; por exemplo, relacionar um identificador

a um valor, endereço ou outro identificador ou associar

os parâmetros formais e parâmetros reais.

lista de atributos. No Tivoli Access Manager, uma

lista vinculada que contém informações estendidas,

utilizadas para tomar decisões sobre autorizações. As

listas de atributos consistem em um conjunto de pares

palavra-chave = valor.

lista de controle de acesso. Consulte lista de controle de

acesso.

lista de controle de acesso. Em segurança de

computadores, uma lista associada a um objeto que

identifica todas as pessoas que podem acessar o objeto

e seus direitos de acesso. Por exemplo, uma lista de

controle de acesso é associada a um arquivo que

identifica os usuários que podem acessar o arquivo e os

direitos do usuário a esse arquivo.

LTPA. Consulte lightweight third party authentication.

LTPA (lightweight third party authentication). Uma

estrutura de autenticação que permite conexão única

entre uma série de servidores da Web que estão dentro

de um domínio de Internet.

M

metadados. Dados que descrevem as características

dos dados armazenados.

migração. A instalação de uma nova versão ou release

de um programa para substituir uma versão ou release

anterior.

MPA (agente proxy de multiplexação). Um gateway

que acomoda acesso a vários clientes. Algumas vezes,

esses gateways são conhecidos como WAP (Wireless

Access Protocol) quando o cliente acessa um domínio

seguro utilizando o WAP. Os gateways estabelecem um

único canal autenticado para o servidor de origem e

criam um ″túnel″ para todos os pedidos de clientes e

respostas por meio desse canal.

N

nome de domínio. No conjunto de protocolos da

Internet, um nome de um sistema host. Um nome de

domínio consiste em uma seqüência de subnomes

separados por um caractere delimitador. Por exemplo,

se o nome completo do domínio de um sistema host for

ralvm7.vnet.ibm.com, cada um dos seguintes é um

nome de domínio:

v ralvm7.vnet.ibm.com

v vnet.ibm.com

v ibm.com

O

objeto de contêiner. Uma designação estrutural que

organiza o espaço do objeto em regiões funcionais

distintas.

objeto de recurso. A representação de um recurso real

da rede, como um serviço, arquivo e programa.

P

PAC. Consulte privilege attribute certificate.

par de chaves. Em segurança de computadores, uma

chave pública e uma chave privada. Quando o par de

chaves é utilizado para criptografia, o emissor utiliza a

chave pública para criptografar a mensagem e o

destinatário utiliza a chave privada para


descriptografar a mensagem. Quando o par de chaves é

utilizado para assinatura, o signatário utiliza a chave

privada para criptografar uma representação da

mensagem e o destinatário utiliza a chave pública para

descriptografar a representação da mensagem para

verificação de assinatura.

permissão. A capacidade de acessar um objeto

protegido, como um arquivo ou diretório. O número e

o significado das permissões de um objeto são

definidos pela lista de controle de acesso.

permissão de acesso. O privilégio de acesso aplicado

ao objeto inteiro ou permissões aplicadas a classes de

acesso do atributo.

plug-in do serviço de autorização. Uma DLL

(dynamically loadable library ou biblioteca

compartilhada) que pode ser carregada pelo cliente de

tempo de execução da API de autorização do Access

Manager na inicialização, a fim de executar operações

que estendem uma interface de serviço dentro da API

de autorização. As interfaces de serviço disponíveis

atualmente incluem Administração, Autorização

Externa, Modificação de credenciais, Qualificações e

interfaces de manipulação PAC. Os clientes podem

desenvolver esses serviços utilizando o Authorization

ADK.

polling. Um protocolo CAM (channel access method)

no qual é feito o pedido de um dado. Em uma situação

de principal/secundário, o dispositivo principal

consulta cada dispositivo secundário para saber se ele

possui dados para transmissão. Se o dispositivo

secundário responder sim, o principal tem permissão

para transmitir seus dados. Se o secundário responder

não, o principal vai adiante e efetua poll no próximo

dispositivo secundário. O processo é repetido

continuamente. Para o Tivoli Access Manager, o

servidor WebSEAL pode ser configurado para efetuar

poll regularmente no banco de dados de autorização

principal (política) para obter informações atualizadas.

POP. Consulte critério do objeto protegido

POP (protected object policy). Um tipo de política de

segurança que impõe condições adicionais para acessar

um recurso protegido após uma verificação

bem-sucedida da política ACL. Exemplos de POPs

incluem o acesso em uma determinada hora do dia e a

qualidade do nível de proteção.

portal. Um Web site integrado que produz

dinamicamente uma lista personalizada de recursos da

Web, como links, conteúdo ou serviços, disponíveis

para um usuário específico, com base nas permissões

de acesso desse usuário.

privilege attribute certificate. Descreve um contêiner

de dados, definido externamente para o domínio

seguro do Tivoli Access Manager, que contém os

atributos de autenticação e autorização do principal,

além de seus recursos.

Q

qualidade de proteção. O nível de segurança dos

dados, determinado por uma combinação de condições

de autenticação, integridade e privacidade.

qualificação. Uma estrutura de dados que contém

informações externas de critério de segurança. As

qualificações contêm dados de critério ou recursos que

são formatados de forma que possa ser entendida por

um aplicativo específico.

qualificação para negócios. Os atributos

complementares da credencial de um usuário de

descrevem as condições detalhadas que podem ser

utilizadas nos pedidos de autorização dos recursos.

R

raiz confiável. No SSL (Secure Sockets Layer), a chave

pública e o nome distinto associado de uma CA

(autoridade de certificação).

registro. (1) O datastore que mantém as informações

da conta para usuários e grupos que têm permissão

para participar do domínio seguro. (2) Um banco de

dados que contém informações de configuração do

sistema referentes a usuário, hardware e programas e

aplicativos instalados.

registro automático. O processo pelo qual um usuário

pode digitar os dados necessários e tornar-se um

usuário registrado do Tivoli Access Manager, sem a

participação de um administrador.

registro do usuário. Consulte registro.

réplica. Um servidor que contém uma cópia do

diretório ou diretórios de outro servidor. As réplicas

fazem backup de servidores a fim de melhorar o

desempenho ou os tempos de resposta e garantir a

integridade dos dados.

S

serviço. Trabalho executado por um servidor. Um

serviço pode ser um pedido simples de dados a serem

enviados ou armazenados (como em servidores de

arquivos, servidores HTTP, servidores de e-mail e

servidores finger) ou pode ser um trabalho mais

complexo, como os dos servidores de impressão ou de

processos.

serviço de administração. Um plug-in de tempo de

execução da API de autorização que pode ser utilizado

para executar pedidos de administração em um

aplicativo gerenciador de recursos do Access Manager.

O serviço admin responderá a pedidos remotos a partir

do comando pdadmin para executar tarefas como

relacionar os objetos em um determinado nó na árvore

Glossário 225

de objetos protegida. Os clientes podem desenvolver

esses serviços utilizando o Authorization ADK.

serviço de autorização externa. Um plug-in de tempo

de execução da API de autorização que pode ser

utilizado para tomar decisões de autorização específicas

do aplicativo ou do ambiente, como parte da cadeia de

decisões de autorização do Access Manager. Os clientes

podem desenvolver esses serviços utilizando o

Authorization ADK.

serviço de modificação de credenciais. Um plug-in de

tempo de execução da API de autorização que pode ser

utilizado para modificar a credencial de um Access

Manager. Os serviços de modificação de credenciais

desenvolvidos externamente pelos clientes são

limitados à execução de operações para incluir e

remover da lista de atributos de credenciais e somente

para os atributos considerados modificáveis.

serviço de qualificação. Um plug-in de tempo de

execução da API de autorização que pode ser utilizado

para retornar qualificações de uma fonte externa para

uma condição principal ou um conjunto de condições.

Normalmente, as qualificações são dados específicos do

aplicativo, que serão consumidos pelo aplicativo

gerenciador de recursos de alguma forma ou que serão

incluídos nas credenciais do principal para uso

posterior no processo de autorização. Os clientes

podem desenvolver esses serviços utilizando o

Authorization ADK.

servidor de critérios. O servidor Tivoli Access

Manager que mantém as informações sobre localização

de outros servidores no domínio seguro.

Servidor de Gerenciamento. Obsoleto. Consulte

servidor de critério.

símbolo. (1) Em uma rede local, o símbolo de

autoridade passado sucessivamente de uma estação de

dados para outra, para indicar a estação

temporariamente no controle do meio de transmissão.

Cada estação de dados tem uma oportunidade de obter

e utilizar o símbolo para controlar o meio. Um símbolo

é um padrão específico de bit ou mensagem que

significa permissão para transmitir. (2) Em LANs (redes

locais), uma seqüência de bits passados de um

dispositivo para outro pelo meio de transmissão.

Quando o símbolo tem dados anexados a ele, ele

torna-se um quadro.

SSL. Consulte Secure Sockets Layer.

SSL (secure sockets layer). Um protocolo de

segurança que fornece privacidade de comunicação. O

SSL permite que os aplicativos cliente /servidor se

comuniquem de uma maneira que impeça a escuta

clandestina, a violação e a falsificação de mensagens. O

SSL foi desenvolvido pela Netscape Communications

Corp. e pela RSA Data Security, Inc.

SSO. Consulte Conexão Simples.

SSO (conexão única). A capacidade de um usuário

efetuar logon uma vez e acessar vários aplicativos, sem

precisar efetuar logon em cada aplicativo

separadamente. Consulte também conexão global.

sufixos. Um nome distinto que identifica a primeira

entrada em uma hierarquia de diretórios contida

localmente. Devido ao esquema de nomenclatura

relativo utilizado no protocolo LDAP (Lightweight

Directory Access Protocol), esse sufixo é aplicado a

entradas alternadas dentro dessa hierarquia de

diretórios. Um servidor de diretórios pode ter vários

sufixos, cada um identificando uma hierarquia de

diretórios contida localmente.

T

tempo de execução. O período de tempo durante o

qual um programa de computador é executado. O

Runtime Environment é um ambiente de execução.

Tivoli Access Manager para Business Integration.

Um blade do Tivoli Access Manager que fornece

serviços de segurança abrangentes para o IBM

MQSeries. Ele estende o ambiente do MQSeries para

que ofereça suporte a segurança ponta a ponta nas

filas.

Tivoli Access Manager para Operating Systems. Um

blade do Tivoli Access Manager que fornece um

mecanismo de segurança para o produto Tivoli Identity

Director. O mecanismo de segurança intercepta

chamadas do sistema operacional que exigem

verificações de autorização, como para acesso ao

arquivo.

U

URI. Consulte uniform resource identifier.

URI (identificador do recurso uniforme). O método

utilizado para identificar as localizações de conteúdo na

Internet. O URL (uniform resource locator) é uma

forma específica de URI que identifica um endereço de

página da Web. Normalmente, o URI descreve: (a) o

mecanismo utilizado para acessar o recurso (por

exemplo, HTTP, HTTPS, FTP); (b) o computador

específico no qual o recurso está armazenado (por

exemplo, www.webserver.org); (c) o nome específico do

recurso no computador (por exemplo,

.../products/images/serv.jpg).

URL. Consulte uniform resource locator.

URL (uniform resource locator). Uma seqüência de

caracteres que representa recursos de informações em

um computador ou em uma rede como a Internet. Essa

seqüência de caracteres inclui (a) o nome abreviado do

protocolo utilizado para acessar o recurso de

informações e (b) as informações utilizadas pelo

protocolo para localizar o recurso de informações. Por


exemplo, no contexto da Internet, são nomes

abreviados de alguns protocolos utilizados para acessar

diversos recursos de informações: http, ftp, gopher,

telnet e news. Este é o URL da home page da IBM:

http://www.ibm.com.

usuário. Qualquer pessoa, organização, processo,

dispositivo, programa, protocolo ou sistema que utiliza

um serviço fornecido por outros.

W

Web Portal Manager (WPM). Um aplicativo gráfico

com base na Web utilizado para gerenciar o critério de

segurança do Tivoli Access Manager Base e WebSEAL

em um domínio seguro. Uma alternativa para a

interface da linha de comando pdadmin, essa GUI

permite o acesso de administradores remotos e que os

administradores criem domínios de usuário delegados e

atribua administradores delegados a esses domínios.

WebSEAL. Um blade do Tivoli Access Manager. O

WebSEAL é um servidor da Web de alto desempenho e

de múltiplo thread que aplica um critério de segurança

a um espaço de objetos protegidos. O WebSEAL pode

fornecer soluções de conexão única e incorporar

recursos do servidor de aplicativos da Web de backend

em seu critério de segurança.

WPM. Consulte a seção Web Portal Manager.

Glossário 227

Índice Remissivo

Caracteres Especiais.kdb 163

AACLs (listas de controle de acesso)

anexando durante a configuração do servidor LDAP 20

AIXdesinstalando componentes do 51

instalandocomponentes do Tivoli Access Manager 46

GSKit 45

IBM Directory Client 45

arquivo de banco de dados de chaves 162, 175, 178

arquivo de chaves 167

arquivo gsk5ikm 162, 176, 179, 180

arquivo httpd.conf 21

arquivosarquivo de banco de dados de chaves (.kdb) 163

banco de dados de chaves 175, 178

banco de dados de chaves (.kdb) 162

esquema 19

gsk5ikm.exe 162, 176, 179, 180

httpd.conf 21

resposta 153

arquivos de respostadescrição 153

sintaxe 154

arquivos esquema 19

autenticaçãoservidor 161, 166

servidor e cliente 161, 166, 178

autenticação de servidor 161, 166

autenticação de servidor e cliente 161, 166, 178

autoridade, certificado 163, 179

autorização ADKdesinstalando 58, 79, 92

Ccatálogo de mensagens

diretórios de idioma 16

internacionalização 16

CDspara Web Portal Manager 5

certificadoauto-assinado 164, 180

autoridade 163, 179

pessoal 162, 163, 179

servidor 167, 168

certificado auto-assinado 164, 180

certificado de assinantecertificado

assinante 177, 181

certificado de servidor 167, 168

certificado pessoal 162, 163, 179

codificação de textoConsulte conjuntos de códigos 17

codificação UTF-8 17

comandosdmt 24

componentesConsulte a seção Web Portal Manager 5

Consulte IBM Global Security Toolkit 4

Configuração regional, para Windows 15

configurandoIBM Directory Server 20

IBM WebSphere Application Server 50

conjunto de chaves 167

conjuntos de códigosdiretórios de arquivo 17

suporte ao idioma 17

consideraçõesinstalação silenciosa 153

contexto de nomenclatura 19

criando um certificado auto-assinado 164, 180

Ddefinições de idioma, modificando 15

desconfigurandoUNIX 58, 79

desinstalando componentesdo AIX 51

do HP-UX 58

do Solaris 80

do Windows 92

Tivoli Access Manager 58, 79, 92

DIT (Directory Information Tree) 19

DMT (Directory Management Tool) 24

Eentradas, diretório 20

entradas de diretório 20

extraindo um certificado auto-assinado 164, 180

Ffazendo upgrade

IBM JDK 1.2.2 78

GGSO

Consulte conexão global 19

GSO (conexão global)descrição 19

nome distinto/sufixo 19, 23

GUIs (interfaces gráficas com o usuário)Administração da Web 165

Administração do Servidor 22

HHP-UX

desinstalando o 58


HP-UX (continuação)instalando

componentes do Tivoli Access Manager 56

GSKit 55


IIBM Developer Toolkit 78

IBM Directorycliente

ativando SSL 175

desinstalando 58, 79, 92

servidorativando SSL 161

configurando 20

IBM Global Security Toolkitdescrição 4


IBM JDK 1.2.2 78

instalaçãoarquivos de resposta 154

instalação fácilopções de configuração 185, 188

instalação nativaconfiguração 185, 188

instalação silenciosaarquivos de resposta 153

considerações 153

instalandoIBM WebSphere Application Server 50

interface de Administração da Web 165

interface de Administração do Servidor 22

internacionalizaçãocatálogos de mensagens 16

conjuntos de códigos 17

idiomas suportados 10

variantes de locale 16

variáveis de locale 15

iPlanet Directory Serverativando SSL 167, 169

documentação do produto 26

Llog

atividade 50, 78, 92

log de atividades 50, 78, 92

Mmanagement server


metadados 19

migraçãoservidor de critério 183

servidor de política 41, 42

Nnome distinto/sufixo, GSO 19

nomes de localeUNIX 15

Windows 15

Oopções

configuração 185, 188

opções de configuração 185, 188

Pportas

padrão 192

WebSEAL 21

publicações relacionadas xiii

Rraiz 19

registroConsulte o registro DCE 41, 42, 183

Consulte o registro LDAP 41, 42, 183

registro de DCE, migrando de 41, 42, 183

registro de LDAP, migrando de 41, 42, 183

removendoConsulte desinstalando 58, 79, 92

runtime environmentdesinstalando 58, 79, 92

SsecAuthority=Default 19, 22, 28

Secure Sockets LayerIBM Global Security Toolkit 4

servidor de autorizaçãodesinstalando 58, 79, 92

servidor de critériomigração 183

servidor de políticamigração 41, 42

servidores LDAPativando SSL 165

configurando 19

sintaxearquivo de resposta 154

Solarisdesinstalando o 80

instalandocomponentes do Tivoli Access Manager 74

GSKit 73


SSLConsulte Secure Sockets Layer 4

SSL (Secure Sockets Layer)ativando 161

ativando no IBM Directory Client 175

ativando no iPlanet Directory Server 169

ativando o acesso no servidor LDAP 165

ativando para iPlanet Directory Server 167

testando 177, 182

sub-rotinas 154

sufixo 19

sufixos 22

suporte ao idiomacatálogos de mensagens 16

conjuntos de códigos 17

nomes de localeUNIX 15

Windows 15


suporte ao idioma (continuação)variantes de locale, implementando 16


visão geral 10

Ttempo de execução

configuração 185, 187, 188, 191

UUnicode 17

UNIXsuporte ao idioma 15

UNIX, desconfigurando componentes 58, 79

utilitário de gerenciamento de chaves iKeymanativando SSL 162

criando um arquivo de banco de dados de chaves 175

descrição 4

Vvariantes, locales de idioma 16

variantes de locale 16

variáveisLANG

UNIX 15

Windows 15

NLSPATHuso das 16


variável LANGobjetivo 15

UNIX 15

Windows 15

variável NLSPATHuso das 16

visão geralconfiguração do servidor LDAP 19

IBM Global Security Toolkit 4

WWeb Portal Manager 5

Windowsdesinstalando componentes do 92

instalandoGSKit 83


Tivoli Access Manager 85

suporte ao idioma 15

Índice Remissivo 231

��

Impresso em Brazil

S517-7644-01