Tivoli Identity Manager

Transcrição

1 Tivoli Identity Manager Versão 4.6 Adaptador Solaris: Guia de Instalação e Configuração S

2

3 Tivoli Identity Manager Versão 4.6 Adaptador Solaris: Guia de Instalação e Configuração S

4 Nota Antes de utilizar estas informações e o produto suportado por elas, leia as informações no Apêndice C, Avisos, na página 59. Segunda Edição (Junho de 2005) Esta edição se aplica à versão 4.6 deste adaptador e a todos os releases e modificações subseqüentes, até que seja indicado de outra maneira em novas edições. Direitos Autorais International Business Machines Corporation 2003, Todos os direitos reservados.

5 Índice Prefácio v Quem Deve Ler este Manual v Publicações e Informações Relacionadas.....v Biblioteca do Tivoli Identity Manager.....v Publicações de Pré-requisito do Produto.... vii Publicações Relacionadas viii Acessando Publicações On-line viii Acessibilidade viii Informações sobre Suporte viii Convenções Utilizadas neste Manual......ix Convenções Tipográficas ix Diferenças de Sistemas Operacionais.....ix Definições para HOME e outras Variáveis de Diretório x Capítulo 1. Visão Geral do Adaptador Solaris Recursos do Adaptador Capítulo 2. Instalando e Configurando o Adaptador Solaris Pré-requisitos Testando a Conectividade de Rede Instalando o Adaptador Importando o Perfil do Adaptador no Servidor Tivoli Identity Manager Importando o Perfil do Adaptador Criando um Serviço Solaris Configurando o Adaptador Capítulo 3. Configurando o Adaptador Solaris do IBM Tivoli Identity Manager. 9 Iniciando a Ferramenta de Configuração do Adaptador Visualizando Definições de Configuração Alterando Definições de Configuração de Protocolo 10 Configurando a Notificação de Eventos Definindo Acionadores de Notificação de Eventos 16 Modificando um Contexto de Notificação de Evento Alterando a Chave de Configuração Alterando as Configurações do Log de Atividades 19 Alterando Configurações de Registro Modificando Configurações de Registro Não-criptografadas Alterando Configurações Avançadas Visualizando Estatísticas Alterando Configurações de Página de Códigos..25 Acessando a Ajuda e Opções Adicionais Capítulo 4. Configurando a Autenticação SSL para o Adaptador Solaris Visão Geral dos Certificados Digitais e SSL Chaves Privadas, Chaves Públicas e Certificados Digitais Certificados Auto-assinados Formatos de Certificado e de Chave O Uso da Autenticação SSL Configurando Certificados para Autenticação SSL 32 Configurando Certificados para Autenticação SSL de Uma Via Configurando Certificados para Autenticação SSL de Duas Vias Configurando Certificados quando o Adaptador Funciona como um Cliente SSL Gerenciando Certificados SSL Utilizando o CertTool 35 Iniciando o CertTool Gerando uma Chave Privada e um Pedido de Certificado Instalando o Certificado Instalando o Certificado e a Chave de um Arquivo PKCS Visualizando o Certificado Instalado Instalando um Certificado CA Visualizando Certificados CA Excluindo um Certificado CA Visualizando Certificados Registrados Registrando um Certificado Cancelando o Registro de um Certificado...41 Exportando um Certificado e uma Chave para o Arquivo PKCS Capítulo 5. Customizando o Adaptador Solaris Copiar o Arquivo SolarisProfile.jar e Extrair os Arquivos Criar um Novo Arquivo JAR e Instalar os Novos Atributos no Servidor Tivoli Identity Manager...44 Gerenciando Senhas ao Restaurar Contas Capítulo 6. Fazendo Upgrade do Adaptador Solaris ou do ADK Fazendo Upgrade do Adaptador Solaris Fazendo Upgrade do ADK Arquivos de Log Capítulo 7. Desinstalando o Adaptador Solaris Apêndice A. Atributos do Adaptador.. 51 Descrições dos Atributos Atributos do Adaptador Solaris por Ação Ping Adição de Logins do Sistema Alteração de Login do Sistema Exclusão de Login do Sistema Suspensão de Login do Sistema Direitos Autorais IBM Corp. 2003, 2005 iii

6 Restauração de Login do Sistema Reconciliação Apêndice B. Informações sobre Suporte Procurando Bases de Conhecimento Procurar no Centro de Informações no Sistema ou Rede Local Procurar na Internet Obtendo as Correções Entrando em Contato com o IBM Software Support 56 Determinar o Impacto Comercial do Problema..57 Descrever seu Problema e Reunir Informações de Segundo Plano Submeter Problemas ao IBM Software Support 58 Apêndice C. Avisos Marcas Registradas Índice Remissivo iv IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

7 Prefácio Quem Deve Ler este Manual O IBM Tivoli Identity Manager Solaris Adapter (Adaptador Solaris) ativa a conectividade entre o Servidor IBM Tivoli Identity Manager e uma rede de sistemas que executam a implementação do Sun Microsystems Solaris do sistema operacional UNIX. O Servidor Solaris pode ser um sistema SPARC ou não-sparc. Depois que o adaptador é instalado e configurado, o Tivoli Identity Manager gerencia o acesso aos recursos do Solaris com o sistema de segurança de seu site. Este manual descreve como instalar e configurar o Adaptador Solaris. Nota: O programa utilizado para conectar o recurso gerenciado ao Servidor Tivoli Identity Manager agora é chamado de adaptador. O termo adaptador substitui o termo agente utilizado anteriormente. A interface com o usuário utilizada para configurar o adaptador ainda se refere a um adaptador como um agente. Este manual destina-se a administradores de segurança e do sistema Sun Microsystems Solaris responsáveis por instalar softwares nos sistemas de computadores em seus sites. Os leitores devem estar familiarizados com os conceitos do Sun Microsystems. A pessoa que executará o procedimento de instalação também deve estar familiarizado com os padrões do sistema em seu site e precisa ter experiência e conhecimento apropriados do Solaris. Os leitores devem ser capazes de desempenhar tarefas rotineiras de administração de segurança e do sistema Sun Microsystems. Publicações e Informações Relacionadas Leia as descrições da biblioteca do Tivoli Identity Manager. Para determinar quais publicações adicionais possam ser úteis a você, leia Publicações de Pré-requisito do Produto na página vii e Publicações Relacionadas na página viii. Depois de determinar as publicações necessárias, consulte as instruções em Acessando Publicações On-line na página viii. Biblioteca do Tivoli Identity Manager As publicações na biblioteca de documentação técnica do Tivoli Identity Manager são organizadas nas seguintes categorias: v Informações sobre o release v Assistência on-line ao usuário v Instalação e configuração do servidor v Determinação de problemas v Complementos técnicos v Instalação e configuração do adaptador Informações sobre o Release: v IBM Tivoli Identity Manager: Notas sobre o Release Fornece requisitos de software e hardware para o Tivoli Identity Manager, informações adicionais sobre correção e outras informações de suporte. v IBM Tivoli Identity Manager Documentation Read This First Card Direitos Autorais IBM Corp. 2003, 2005 v

8 Lista as publicações do Tivoli Identity Manager. Assistência On-line ao Usuário: Fornece tópicos de ajuda on-line e um centro de informações para todas as tarefas administrativas do Tivoli Identity Manager. O centro de informações inclui informações que anteriormente eram fornecidas no IBM Tivoli Identity Manager: Guia de Configuração e no IBM Tivoli Identity Manager Policy and Organization Administration Guide. Instalação e Configuração do Servidor: O IBM Tivoli Identity Manager: Guia de Instalação e Configuração do Servidor para Ambientes do WebSphere fornece informações de instalação e configuração do Tivoli Identity Manager. Informações de configuração que anteriormente eram fornecidas no IBM Tivoli Identity Manager: Guia de Configuração agora estão incluídas no guia de instalação ou no IBM Tivoli Identity Manager Information Center. Determinação de Problemas: O IBM Tivoli Identity Manager: Guia de Determinação de Problemas fornece determinação de problemas, log e informações de mensagens do produto Tivoli Identity Manager. Complementos Técnicos: Os complementos técnicos a seguir são fornecidos por desenvolvedores ou por outros grupos interessados neste produto: v IBM Tivoli Identity Manager: Guia de Ajuste de Desempenho Fornece as informações necessárias para ajustar o Servidor Tivoli Identity Manager a um ambiente de produção, disponível na Web em: Clique no caractere I na lista de produtos de A a Z e, em seguida, clique no link Tivoli Identity Manager. Procure no centro de informações a seção Technical Supplements. v Redbooks e white papers estão disponíveis na Web em: IBMTivoliIdentityManager.html Procure a seção Self Help, na categoria Learn e clique no link Redbooks. v As technotes estão disponíveis na Web em: v Os guias de campo estão disponíveis na Web em: v Para obter uma lista maior de outros recursos do Tivoli Identity Manager, procure no seguinte endereço da Web do IBM developerworks: Instalação e Configuração do Adaptador: A biblioteca de documentação técnica do Servidor Tivoli Identity Manager inclui também um conjunto em desenvolvimento de documentos de instalação específicos vi IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

9 de plataforma para os componentes de adaptador de uma implementação do Servidor Tivoli Identity Manager. Localize os adaptadores na Web em: Passport_Advantage_Home Clique em Support & downloads. Navegue para Downloads and drivers. Clique no link para o inventário atual de adaptadores. Qualificações e Treinamento: As seguinte informações adicionais sobre treinamento técnico e qualificações estavam disponíveis no momento em que este manual foi publicado: v Virtual Skills Center para Tivoli Software na Web em: v Tivoli Education Software Training Roadmaps na Web em: v Tivoli Technical Exchange na Web em: supp_tech_exch.html Publicações de Pré-requisito do Produto Para utilizar as informações neste manual com eficiência, você deve ter algum conhecimento dos produtos que são pré-requisitos para o Servidor Tivoli Identity Manager. As publicações estão disponíveis nas seguintes localizações: v Servidor Solaris v Sistemas operacionais IBM AIX Sun Solaris Red Hat Linux Microsoft Windows Server v Servidores de bancos de dados Oracle Microsoft SQL Server v Aplicativos do servidor de diretórios IBM Directory Server en_us/html/ldapinst.htm Prefácio vii

10 Publicações Sun ONE Directory Server Relacionadas Informações relacionadas ao Servidor Tivoli Identity Manager estão disponíveis nas seguintes publicações: v O Tivoli Software Library fornece uma variedade de publicações Tivoli, como white papers, planilhas, demonstrações, redbooks e cartas de anúncio. O Tivoli Software Library está disponível na Web em: v O Tivoli Software Glossary inclui definições para muitos dos termos técnicos relacionados a software Tivoli. O Tivoli Software Glossary está disponível no link Glossary da página da Web do Tivoli Software Library em: Acessando Publicações On-line A IBM lança publicações para este e todos os outros produtos Tivoli, assim que são disponibilizados e sempre que são atualizados, no Web site Tivoli software information center. Acesse o centro de informações de software Tivoli no seguinte endereço da Web: Clique no caractere I na lista de produtos de A a Z e, em seguida, clique no link Tivoli Identity Manager para acessar a biblioteca do produto. Nota: Se você imprimir documentos PDF em outro papel com tamanho diferente de carta, defina a opção na janela File Print para permitir que o Adobe Reader imprima páginas tamanho carta em seu papel. Acessibilidade Informações sobre Suporte A documentação do produto inclui os seguintes recursos para auxiliar a acessibilidade: v A documentação está disponível em formato PDF conversível para oferecer oportunidade máxima para que os usuários apliquem o software de leitor de tela. v Todas as imagens contidas na documentação são fornecidas com texto alternativo; dessa forma, os usuários com capacidade de visão diminuída podem entender o conteúdo das imagens. Se você tiver um problema com software IBM, desejará resolvê-lo rapidamente. A IBM oferece os seguintes modos para se obter o suporte necessário: v Procurando bases de conhecimento: você pode procurar em toda a ampla coleção de problemas conhecidos e soluções alternativas, Technotes e outras informações. v Obtendo correções: você pode localizar as correções mais recentes que já estão disponíveis ao seu produto. viii IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

11 v Entrando em Contato com o IBM Software Support: se você ainda não puder resolver o problema e precisar trabalhar com alguém da IBM, poderá utilizar várias maneiras para entrar em contato com o IBM Software Support. Para obter mais informações sobre essas formas de resolver problemas, consulte o Apêndice B, Informações sobre Suporte, na página 55. Convenções Utilizadas neste Manual Convenções Esta referência utiliza várias convenções para termos e ações especiais e para a operação de comandos e caminhos dependentes do sistema. Tipográficas Este guia utiliza as seguintes convenções sobre tipos de letra: Negrito Itálico v Comandos em minúsculas e comandos que misturem letras minúsculas e maiúsculas que possam ser difíceis de serem distinguidos do texto ao redor v Controles da interface (caixas de opções, botões de comandos, botões de opções, botões de rotação, campos, pastas, ícones, quadros de listagem, itens dentro de quadros de listagem, listas de colunas múltiplas, contêineres, opções de menu, nomes de menus, guias, folhas de propriedades), etiquetas (como as Dicas: e Considerações sobre o sistema operacional): v Palavras-chave e parâmetros no texto v Palavras definidas no texto v Ênfases em palavras (palavras como palavras) v Novos termos no texto (exceto na lista de definições) v Variáveis e valores que devem ser fornecidos pelo usuário Monoespaçamento v Exemplos e exemplos e código v Nomes de arquivos, palavras-chave de programação e outros elementos que são difíceis de serem distinguidos do texto adjacente v Texto de mensagem e avisos dirigidos ao usuário v Texto que o usuário deve digitar v Valores para opções de argumentos ou comandos Diferenças de Sistemas Operacionais Este guia utiliza a convenção do UNIX para especificar variáveis de ambiente e notação de diretório. Ao utilizar a linha de comandos do Windows, substitua $variable por %variable% para variáveis de ambiente e substitua cada barra (/) por uma barra invertida (\) nos caminhos de diretórios. Os nomes de variáveis de ambiente nem sempre são os mesmos no Windows e no UNIX. Por exemplo, %TEMP% no sistema operacional Windows é equivalente a $tmp em um sistema operacional UNIX. Nota: Se você for utilizar o shell bash em um sistema Windows, poderá utilizar as convenções UNIX. Prefácio ix

12 Definições para HOME e outras Variáveis de Diretório A tabela a seguir contém as definições padrão utilizadas neste guia para representar o nível de diretório HOME para vários caminhos de instalação do produto. É possível personalizar o diretório de instalação e o diretório HOME para sua implementação específica. Se este for o caso, será necessário fazer a substituição apropriada para a definição de cada variável representada nessa tabela. O valor de path varia de acordo com estes sistemas operacionais: v Windows: unidade:\arquivos de Programas v AIX: /usr v Outro UNIX: /opt Variável do Caminho Definição Padrão Descrição DB_INSTANCE_HOME Windows: caminho\ibm\sqllib UNIX: v AIX, Linux: /home/dbinstancename v Solaris: /export/home/dbinstancename LDAP_HOME v Para IBM Directory Server Versão 5.2 Windows: caminho\ibm\ldap UNIX: AIX, Linux: caminho/ldap Solaris: caminho/ibmldaps caminho/ibm/ldap v Para IBM Directory Server Versão 6.0 Windows: caminho\ibm\ldap\v6.0 UNIX: caminho/ibm/ldap/v6.0 AIX, Solaris Linux: opt/ibm/ldap/v6.0 v Para o Sun ONE Directory Server Windows: caminho\sun\mps UNIX: /var/sun/mps O diretório que contém o banco de dados do Tivoli Identity Manager. O diretório que contém o código do servidor de diretórios. x IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

13 Variável do Caminho Definição Padrão Descrição IDS_instance_HOME Para IBM Directory Server Versão 6.0 Windows: unidade\ ibmslapd-instance_owner_name O valor de unidade poderá ser C:\ em sistemas Windows. Um exemplo de instance_owner_name poderá ser ldapdb2. Por exemplo, o arquivo de log poderá ser C:\idsslapd-ldapdb2\logs\ibmslapd.log. UNIX: INSTANCE_HOME/idsslapd-instance_name O diretório que contém a instância do IBM Directory Server Versão 6.0. HTTP_HOME ITIM_HOME Tivoli_Common_Directory Em sistemas Linux e AIX, o diretório home padrão é o diretório /home/instance_owner_name. Em sistemas Solaris, por exemplo, o diretório é /export/home/ldapdb2/idsslapdldapdb2. Windows: caminho\ibmhttpserver UNIX: caminho/ibmhttpserver Windows: caminho\ibm\itim UNIX: caminho/ibm/itim Windows: caminho\ibm\tivoli\common\ctgim UNIX: caminho/ibm/tivoli/common/ctgim O diretório que contém o código do IBM HTTP Server. O diretório de base que contém o código, a configuração e a documentação do Tivoli Identity Manager. O local central para todos os arquivos relacionados a capacidade de uso, como logs e dados de captura de primeira falha. Prefácio xi

14 xii IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

15 Capítulo 1. Visão Geral do Adaptador Solaris Recursos do Adaptador Um adaptador é um programa que fornece uma interface entre um recurso gerenciado e o Servidor Tivoli Identity Manager. Os adaptadores podem ou não residir no recurso gerenciado, e o Servidor Tivoli Identity Manager gerencia o acesso ao recurso utilizando seu sistema de segurança. Adaptadores funcionam como administradores virtuais confiáveis na plataforma de destino, executando tarefas como criar IDs de login, suspender IDs e executar outras funções que os administradores normalmente executam manualmente. O adaptador é executado como um serviço, quer o usuário esteja ou não com login efetuado no Servidor Tivoli Identity Manager. O IBM Tivoli Identity Manager Sybase Adapter ativa a conectividade entre o Servidor Tivoli Identity Manager e um sistema que executa o Servidor Solaris. Este guia de instalação fornece as informações básicas que você precisa para instalar e configurar o Adaptador Solaris. Este capítulo fornece uma visão geral do adaptador e de seus recursos. Você pode utilizar o Adaptador Solaris para automatizar as seguintes tarefas administrativas: v Criar um ID de usuário para autorizar o acesso ao Servidor Solaris. v Modificar um ID de usuário existente para acesso a um Servidor Solaris. v Excluir um ID de usuário para remover o acesso ao Servidor Solaris. v Suspender uma conta de usuário, desativando temporariamente o acesso ao Servidor Solaris. v Restaurar uma conta de usuário, reativando o acesso ao Servidor Solaris. v Alterar uma senha da conta de usuário no Servidor Solaris. v Reconciliar a informação do usuário de todos os usuários atuais em um Servidor Solaris. v Reconciliar a informação do usuário de uma conta de usuário específica em um Servidor Solaris, desempenhando uma consulta. O Adaptador Solaris não cria ou gerencia contas NIS ou NIS+. Utilize o Solaris NIS Adapter ou o Solaris NIS+ Adapter para essa finalidade. O Adaptador Solaris utiliza o PAM (Pluggable Authentication Module) ou os comandos do recurso para operações de alteração de senha no Servidor Solaris. Utilizando as chaves de registro, você pode determinar o método a ser utilizado. Para obter informações adicionais sobre chaves de registro, consulte a Tabela 9 na página 23. Direitos Autorais IBM Corp. 2003,

16 2 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

17 Capítulo 2. Instalando e Configurando o Adaptador Solaris Pré-requisitos Instalar e configurar o Adaptador Solaris envolve diversas etapas que você deve concluir na seqüência apropriada. Reveja os pré-requisitos antes de começar o processo de instalação. Você também pode criar uma conta no recurso gerenciado a ser utilizada pelo adaptador. A Tabela 1 identifica os pré-requisitos de hardware, software e autorização para instalar o Adaptador Solaris. Verifique se todos os pré-requisitos foram atendidos antes de instalar o Adaptador Solaris. Tabela 1. Pré-requisitos para Instalar o Adaptador Sistema v Sistema SPARC ou não-sparc. v No mínimo, 256 MB de memória. Sistema Operacional v Solaris versão 8 v Pelo menos, 300 MB de espaço livre em disco. v Solaris versão 9 Conectividade da Rede v Rede TCP/IP Autoridade de Administrador do Sistema Servidor Tivoli Identity Manager O usuário que está concluindo o procedimento de instalação do Adaptador Solaris deve ter a autoridade de administrador do sistema para concluir as etapas deste capítulo. Versão 4.6 Testando a Conectividade de Rede Instalando o Adaptador Para assegurar que o Adaptador Solaris funcione corretamente, você deve testar a conectividade de rede básica e o recurso de transferência de arquivos de seu sistema. O teste é feito entre a estação de trabalho na qual o Adaptador Solaris será instalado e a estação de trabalho na qual o Servidor Tivoli Identity Manager está ou será instalado. Você deve emitir um comando ping do Servidor Tivoli Identity Manager para o sistema do adaptador designado para verificar a comunicação. 1. Efetue logon no sistema Solaris como raiz ou superusuário. 2. Teste a comunicação entre o sistema no qual o Servidor Tivoli Identity Manager está instalado e o sistema Solaris. Por exemplo, digite ping Solaris_host_name O programa de instalação do Tivoli Identity Manager Adaptador Solaris está disponível para download no Web site da IBM. Entre em contato com o representante da sua conta IBM para obter o endereço da Web e conhecer as instruções de download. Para instalar o adaptador, conclua as seguintes etapas: Direitos Autorais IBM Corp. 2003,

18 1. Faça download do arquivo compactado do Adaptador Solaris no Web site da IBM. 2. Extraia o conteúdo do arquivo compactado de instalação do Adaptador Solaris em um diretório temporário e navegue até esse diretório. 3. Digite./setupsolaris.bin e pressione Enter para executar o script de instalação. Se você utilizar o FTP para transferir os arquivos para o servidor Solaris, verifique se os nomes dos arquivos estão em letras minúsculas. Se não estiverem em letras minúsculas, renomeie os arquivos para utilizar letras minúsculas. 4. Na janela Bem-vindo, clique em Avançar. 5. Na janela Contrato de Licença, revise o contrato de licença e decida se você aceita os termos. Se aceitar, clique em Aceitar e, em seguida, clique em Avançar. 6. Na janela Selecionar Diretório de Destino, especifique onde você quer instalar o adaptador no campo Nome do Diretório. Você pode aceitar o local padrão ou clicar em Procurar para especificar um diretório diferente. Em seguida, clique em Avançar. Instalador r Clique em Avançar para instalar < agentname> neste diretório ou clique em Procurar para instalar em um diretório diferente. Nome do Diretório: /home/tivoli/< agentname> Procurar... InstallShield < Voltar Avançar > Cancelar Figura 1. Janela de Diálogo Selecionar Diretório de Destino 7. Na janela Utilizar Senhas Shadow, selecione se você deseja utilizar senhas shadow e clique em Avançar. 8. Na janela Iniciar Agente no Tempo de Inicialização, selecione se você deseja executar o Adaptador Solaris no tempo de inicialização e clique em Avançar. 9. Na janela Iniciar Agente Após a Instalação, selecione se você deseja iniciar o Adaptador Solaris quando a instalação estiver concluída e clique em Avançar. 10. Na janela Resumo da Instalação, reveja as configurações da instalação. Clique em Voltar para alterar qualquer uma dessas configurações. Caso contrário, clique em Avançar para iniciar a instalação. 11. Na janela Instalação Concluída, clique em Concluir para sair do programa. 4 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

19 Importando o Perfil do Adaptador no Servidor Tivoli Identity Manager Antes de poder incluir um adaptador como um serviço no Servidor Tivoli Identity Manager, o servidor deverá ter um perfil do adaptador para reconhecer o adaptador como um serviço. Os arquivos que estão no pacote do Adaptador Solaris incluem o arquivo JAR do adaptador, SolarisProfile.jar. Utilizando o recurso Importar do Servidor Tivoli Identity Manager, você pode importar o perfil do adaptador no servidor como um perfil de serviço. O arquivo SolarisProfile.jar inclui todos os arquivos que são necessários para definir o esquema do adaptador, o formulário de conta, o formulário de serviço e as propriedades do perfil. O arquivo SolarisProfile.jar será referido neste documento para fazer qualquer alteração no esquema ou no perfil. Você será solicitado a extrair os arquivos do arquivo JAR, fazer alterações nos arquivos necessários e recompactar o arquivo JAR com os arquivos atualizados. Para obter mais informações sobre como atualizar os arquivos JAR, consulte Copiar o Arquivo SolarisProfile.jar e Extrair os Arquivos na página 43. Importando o Perfil do Adaptador Um perfil do adaptador define os tipos de recursos que o Servidor Tivoli Identity Manager pode gerenciar. Você deve importar o perfil do adaptador no Servidor Tivoli Identity Manager antes de utilizar o Adaptador Solaris. O perfil é utilizado para criar um serviço do Adaptador Solaris no Servidor Tivoli Identity Manager e comunicar-se com o adaptador. Antes de começar a importar o perfil do adaptador, verifique se as seguintes condições foram atendidas: v O Servidor Tivoli Identity Manager deve estar instalado e em execução. v Você ter autoridade root ou de Administrador no Servidor Tivoli Identity Manager. Para importar o perfil do adaptador, conclua as seguintes etapas: 1. Efetue login no Servidor Tivoli Identity Manager utilizando uma conta que tenha a autoridade para executar tarefas administrativas. 2. Na Barra de Navegação do Menu Principal, selecione a guia Configuração. 3. Na janela Configuração, selecione as guias Importar/Exportar Importar. 4. Na janela Importar, no campo Arquivo para Upload, digite o local do arquivo SolarisProfile.jar ou clique em Procurar para localizar o arquivo. 5. Clique no link Importar Dados no Identity Manager para importar o perfil do adaptador no Servidor Tivoli Identity Manager. v Se a importação do perfil do adaptador for concluída com êxito, a seguinte mensagem será exibida: A instalação do perfil foi concluída. v Se a importação do perfil do adaptador falhar, a seguinte mensagem será exibida: A instalação do perfil falhou. Ao importar o perfil do adaptador, se você receber um erro relacionado ao esquema, o arquivo trace.log conterá informações sobre esse erro. O local do arquivo trace.log é especificado pela propriedade handler.file.filedir que é definida no arquivo enrolelogging.properties do Tivoli Identity Manager, que está no diretório \data do Tivoli Identity Manager. Capítulo 2. Instalando e Configurando o Adaptador Solaris 5

20 Criando um Serviço Solaris Depois que o perfil do adaptador é importado no Servidor Tivoli Identity Manager, você deve criar um serviço de provisão para permitir que o Tivoli Identity Manager se comunique com o adaptador. Para criar um serviço de provisão, conclua as seguintes etapas: 1. Efetue login no Servidor Tivoli Identity Manager utilizando uma conta que tenha a autoridade para executar tarefas administrativas. 2. Na Barra de Navegação do Menu Principal, clique na guia Provisão. 3. Na janela Provisão, clique na guia Gerenciar Serviços. 4. Na janela Gerenciar Serviços, clique em Incluir. 5. Na lista de tipos de serviço, selecione Perfil de Serviço Solaris e, em seguida, clique em Continuar. O formulário de serviço Perfil de Serviço Solaris é exibido. O formulário de serviço contém os seguintes campos: Nome do Serviço Especifique um nome que defina esse serviço Solaris no Servidor Tivoli Identity Manager. Nome do Serviço é um campo obrigatório. Descrição Especifique uma descrição para esse serviço. Descrição é um campo opcional. URL Especifique o local e o número da porta do Adaptador Solaris. O número da porta é definido na configuração do protocolo utilizando o programa agentcfg. Para obter informações adicionais sobre definições de configuração de protocolo, consulte Alterando Definições de Configuração de Protocolo na página 10. URL é um campo obrigatório. Se https for especificado como parte da URL, o adaptador deverá ser configurado para utilizar autenticação SSL. Se o adaptador não estiver configurado para utilizar autenticação SSL, especifique http para a URL. Para obter informações adicionais sobre como configurar o adaptador para utilizar autenticação SSL, consulte o Capítulo 4, Configurando a Autenticação SSL para o Adaptador Solaris, na página 29. ID do Usuário Especifique o nome do usuário do protocolo DAML (Directory Access Markup Language). O nome do usuário é definido na configuração do protocolo utilizando o programa agentcfg. Para obter informações adicionais sobre as definições de configuração de protocolo, consulte Alterando Definições de Configuração de Protocolo na página 10. O ID do Usuário é um campo obrigatório. Senha Especifique a senha para o nome do usuário do protocolo DAML. Essa senha é definida na configuração do protocolo utilizando o programa agentcfg. Para obter informações adicionais sobre as definições de configuração de protocolo, consulte Alterando Definições de Configuração de Protocolo na página 10. Senha é um campo obrigatório. Proprietário Especifique o proprietário do serviço, se houver. Proprietário é um campo opcional. 6 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

21 Configurando o Adaptador Pré-requisito do Serviço Especifique um serviço existente do Tivoli Identity Manager que seja um pré-requisito para o serviço do Solaris. Pré-requisito do Serviço é um campo opcional. 6. Para verificar a conexão, pressione Testar. 7. Para criar o serviço, pressione Submeter. Uma vez instalado o Tivoli Identity Manager Adaptador Solaris, a configuração é obrigatória para garantir que ele funcione corretamente. Para configurar o Adaptador Solaris, conclua as etapas a seguir: 1. Inicie o serviço Adaptador Solaris. No diretório /bin do adaptador, digite./startagent.sh. 2. Configure o DAML para assegurar a comunicação com o Servidor Tivoli Identity Manager. Para obter mais informações sobre como configurar o DAML, consulte Alterando Definições de Configuração de Protocolo na página Configure o Adaptador Solaris para comunicar-se com o Servidor Tivoli Identity Manager configurando o adaptador para notificação de evento. Para obter mais informações sobre como configurar notificação de evento, consulte Configurando a Notificação de Eventos na página Para obter comunicação segura, instale um certificado na máquina onde o adaptador reside e no Servidor Tivoli Identity Manager. Para obter mais informações sobre como instalar certificados, consulte o Capítulo 4, Configurando a Autenticação SSL para o Adaptador Solaris, na página Instale o perfil do adaptador no Servidor Tivoli Identity Manager. Para obter mais informações sobre como instalar o perfil do adaptador, consulte Importando o Perfil do Adaptador no Servidor Tivoli Identity Manager na página Configure o formulário de serviço do adaptador. Para obter mais informações sobre como configurar o formulário de serviço, consulte Criando um Serviço Solaris na página Use o utilitário agentcfg para modificar os parâmetros do adaptador. Para obter mais informações sobre configuração de parâmetros, consulte o Capítulo 3, Configurando o Adaptador Solaris do IBM Tivoli Identity Manager, na página Configure o formulário de conta do adaptador. Para obter informações adicionais sobre como configurar um formulário de consulta, consulte o IBM Tivoli Identity Manager Information Center. Capítulo 2. Instalando e Configurando o Adaptador Solaris 7

22 8 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

23 Capítulo 3. Configurando o Adaptador Solaris do IBM Tivoli Identity Manager Utilize o programa de configuração do adaptador, agentcfg, para visualizar ou modificar os parâmetros do Adaptador Solaris. Todas as alterações feitas nos parâmetros com essa ferramenta são efetivadas imediatamente. Iniciando a Ferramenta de Configuração do Adaptador Para iniciar a ferramenta de configuração do adaptador, agentcfg, para os parâmetros do Adaptador Solaris, conclua estas etapas: 1. Efetue login no sistema do Adaptador Solaris. 2. No prompt de comandos, vá para o diretório \bin do adaptador. Por exemplo, digite o seguinte comando, se o Adaptador Solaris estiver no local padrão: # cd /opt/tivoli/agents/solarisagent/bin 3. Digite o seguinte comando: agentcfg -agent SolarisAgent Também é possível utilizar o agentcfg para exibir ou alterar definições de configuração a partir de um computador remoto. Consulte a tabela em Acessando a Ajuda e Opções Adicionais na página 25 para conhecer os procedimentos sobre como utilizar argumentos adicionais. 4. No prompt Enter configuration key for Agent SolarisAgent, digite a chave de configuração do Adaptador Solaris. A chave de configuração padrão é agent. Você deve alterar a chave de configuração uma vez concluída a instalação para evitar acesso não autorizado à configuração do adaptador. Consulte Alterando Definições de Configuração de Protocolo na página 10 para conhecer procedimentos sobre como alterar a chave de configuração. O Main Configuration Menu é exibido. SolarisAgent 4.6 Agent Main Configuration Menu A. Configuration Settings. B. Protocol Configuration. C. Event Notification. D. Change Configuration Key. E. Activity Logging. F. Registry Settings. G. Advanced Settings. H. Statistics. I. Codepage Support. X. Done. Select menu option: No Main Menu, você pode configurar o protocolo, visualizar estatísticas e modificar definições, incluindo configuração, registro e configurações avançadas. Tabela 2. Opções do Main Configuration Menu Opção Tarefa de Configuração Para Obter Mais Informações n Visualizando definições de configuração Consulte a página 10. Direitos Autorais IBM Corp. 2003,

24 Tabela 2. Opções do Main Configuration Menu (continuação) Opção Tarefa de Configuração Para Obter Mais Informações B Alterando definições de configuração de protocolo S Configurando notificação de eventos Consulte a página 10. Consulte a página 13. n Alterando a chave de configuração Consulte a página 19. A Alterando configurações de log de atividades u Alterando configurações de registro Consulte a página 19. Consulte a página 22. G Alterando configurações avançadas Consulte a página 23. H Visualizando estatísticas Consulte a página 25. T Alterando configurações de página de códigos Consulte a página 25. Visualizando Definições de Configuração O procedimento a seguir descreve como exibir as definições de configuração do Adaptador Solaris. 1. No Agent Main Configuration Menu, digite A. As definições de configuração do Adaptador Solaris são exibidas. A tela a seguir é um exemplo das definições de configuração do Adaptador Solaris. Configuration Settings Name : SolarisAgent Version : 4.6 ADK Version : 4.65 ERM Version : 4.65 License : NONE Asynchronous ADD Requests : TRUE (Max.Threads:3) Asynchronous MOD Requests : TRUE (Max.Threads:3) Asynchronous DEL Requests : TRUE (Max.Threads:3) Asynchronous SEA Requests : TRUE (Max.Threads:3) Available Protocols : DAML Configured Protocols : DAML Logging Enabled : TRUE Logging Directory : /opt/tivoli/agents/solarisagent/log Log File Name : SolarisAgent.log Max. log files : 3 Max.log file size (Mbytes) : 1 Debug Logging Enabled : TRUE Detail Logging Enabled : FALSE Press any key to continue 2. Pressione qualquer tecla para retornar ao Main Menu. Alterando Definições de Configuração de Protocolo O Adaptador Solaris utiliza o DAML Protocol para comunicar-se com o Servidor Tivoli Identity Manager. Por padrão, quando o adaptador é instalado, o DAML Protocol é configurado para ser utilizado em modo não seguro. Para configurar um ambiente seguro, você deve configurar o DAML Protocol para utilizar SSL e instalar um certificado. Consulte o Instalando o Certificado na página 39 para obter informações adicionais sobre como instalar certificados. 10 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

25 Nas versões anteriores deste adaptador, você podia incluir e remover protocolos. Contudo, na versão mais recente deste adaptador, o DAML Protocol é o único protocolo suportado que você pode utilizar. Portanto, não será necessário incluir ou remover um protocolo. Para configurar o DAML Protocol para o Adaptador Solaris, conclua as seguintes etapas: 1. No Agent Main Configuration Menu, digite B. O DAML protocol está configurado e disponível por padrão para o Adaptador Solaris. Agent Protocol Configuration Menu Available Protocols: DAML Configured Protocols: DAML A. Add Protocol. B. Remove Protocol. C. Configure Protocol. X. Done Select menu option 2. No Agent Protocol Configuration Menu, digite C. O DAML Protocol Properties Menu é exibido. 3. No DAML Protocol Properties Menu, digite C. As propriedades do protocolo configurado são exibidas. As propriedades em seu menu poderão ser diferentes das mostradas nos exemplos. A tela a seguir é um exemplo das propriedades do DAML Protocol: DAML Protocol Properties A. USERNAME ****** ;Authorized user name. B. PASSWORD ****** ;Authorized user password. C. MAX_CONNECTIONS 100 ;Max Connections. D. PORTNUMBER ;Protocol Server port number. E. USE_SSL FALSE ;Use SSL secure connection. F. SRV_NODENAME ;Event Notif. Server name. G. SRV_PORTNUMBER 9443 ;Event Notif. Server port number. H. VALIDATE_CLIENT_CE FALSE ;Require client certificate. I. REQUIRE_CERT_REG FALSE ;Require registered certificate. X. Done Select menu option: 4. Digite a letra da opção de menu da propriedade de protocolo que você deseja configurar. Consulte a Tabela 3 a seguir para obter informações adicionais sobre as propriedades que você pode configurar para o DAML Protocol. Tabela 3. Opções do DAML Protocol Menu Opção Tarefa de Configuração n O seguinte aviso é exibido: Modify Property USERNAME : Digite um ID de usuário. Esse valor é o ID de usuário que o Servidor Tivoli Identity Manager utiliza para conectar-se ao adaptador. O ID de usuário padrão é agent. Capítulo 3. Configurando o Adaptador Solaris do IBM Tivoli Identity Manager 11

26 Tabela 3. Opções do DAML Protocol Menu (continuação) Opção Tarefa de Configuração B O seguinte aviso é exibido: Modify Property PASSWORD : Digite uma senha. Esse valor é a senha para o ID de usuário que o Servidor Tivoli Identity Manager utiliza para conectar-se ao adaptador. A senha padrão é agent. S O seguinte aviso é exibido: Modify Property MAX_CONNECTIONS : Digite o número máximo de conexões simultâneas abertas o adaptador suporta. O número padrão é 100. n O seguinte aviso é exibido: Modify Property PORTNUMBER : Digite um número de porta diferente. Esse valor é o número da porta que o Servidor Tivoli Identity Manager utiliza para conectar-se ao adaptador. O número da porta padrão é A O seguinte aviso é exibido: Modify Property USE_SSL : Digite TRUE ou FALSE para especificar se uma conexão SSL segura será utilizada para conexão ou desconexão do adaptador. O valor padrão é FALSE. Você deverá instalar um certificado, quando USE_SSL for definido como TRUE. Para obter mais informações sobre instalação de certificado, consulte Instalando o Certificado na página 39. u O seguinte aviso é exibido: Modify Property SRV_NODENAME : Digite o nome do servidor ou um endereço IP, por exemplo, Esse valor é o nome DNS ou o endereço IP do Servidor Tivoli Identity Manager que é utilizado para notificação de eventos e processamento assíncrono de pedidos. Nota: Se sua plataforma suportar conexões IPv6 (Internet Protocol version 6), você poderá especificar um servidor IPv6. G O seguinte aviso é exibido: Modify Property SRV_PORTNUMBER : Digite um número de porta diferente para acessar o Servidor Tivoli Identity Manager. Esse valor é o número de porta que o adaptador utiliza para conectar-se ao Servidor Tivoli Identity Manager. O número de porta padrão é IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

27 Tabela 3. Opções do DAML Protocol Menu (continuação) Opção Tarefa de Configuração H O seguinte aviso é exibido: Modify Property VALIDATE_CLIENT_CE : Digite TRUE para exigir que o Servidor Tivoli Identity Manager envie um certificado quando comunicar-se com o adaptador. Digite FALSE para permitir que o Servidor Tivoli Identity Manager se comunique com o adaptador sem um certificado. O valor padrão é FALSE. Notas: 1. Se você definir essa opção como TRUE, deverá configurar as opções de D a H. 2. O nome da propriedade é de fato VALIDATE_CLIENT_CERT. Ele é truncado por agentcfg para ajustar-se à tela. 3. Você deve utilizar o CertTool para instalar os certificados CD apropriados e opcionalmente registrar o certificado do Servidor Tivoli Identity Manager. Para obter mais informações sobre como utilizar o CertTool, consulte Gerenciando Certificados SSL Utilizando o CertTool na página 35. I O seguinte aviso é exibido: Modify Property REQUIRE_CERT_REG : Esse valor só se aplica quando a opção H é definida como TRUE. Digite TRUE para exigir que o certificado cliente do Servidor Tivoli Identity Manager seja registrado no adaptador antes que ele aceite uma conexão SSL. Digite FALSE para exigir que o certificado cliente seja conferido apenas com a lista de certificados CA. O valor padrão é FALSE. Para obter mais informações sobre certificados, consulte o Capítulo 4, Configurando a Autenticação SSL para o Adaptador Solaris, na página No prompt, altere o valor e pressione Enter. O Protocol Properties Menu é exibido com as novas definições. Se você não deseja alterar o valor, basta pressionar Enter para retornar ao Protocol Properties Menu. 6. Repita as etapas 4 e 5 para configurar quantas propriedades de protocolo você precisar. 7. No Protocol Properties Menu, digite X para sair do menu. Configurando a Notificação de Eventos Notificação de eventos é um recurso do Adaptador Solaris que atualiza o Servidor Tivoli Identity Manager a intervalos definidos. A notificação de eventos detecta alterações feitas no recurso gerenciado e atualiza o Servidor Tivoli Identity Manager com as alterações. Você poderá ativar a notificação de eventos se quiser que informações atualizadas do recurso gerenciado sejam enviadas novamente ao Servidor Tivoli Identity Manager entre reconciliações completas. A notificação de eventos não está planejada para substituir as reconciliações no Servidor Tivoli Identity Manager. Capítulo 3. Configurando o Adaptador Solaris do IBM Tivoli Identity Manager 13

28 Quando a notificação de eventos está ativada, um banco de dados de reconciliação é mantido na máquina onde o adaptador está instalado. O banco de dados é atualizado com as alterações que são solicitadas pelo Servidor Tivoli Identity Manager e permanecerá sincronizado com o servidor. Você pode especificar um intervalo para o processo de notificação de eventos a fim de comparar o banco de dados com os dados existentes atualmente no recurso gerenciado. Decorrido o intervalo, todas as diferenças entre o recurso gerenciado e o banco de dados são encaminhadas para o Servidor Tivoli Identity Manager e atualizadas no banco de dados local de captura instantânea. Há várias etapas para ativar a notificação de eventos. Essas etapas partem do princípio de que o adaptador está se comunicando com êxito com o recurso gerenciado e com o Servidor Tivoli Identity Manager. Em primeiro lugar, você deve configurar o nome do host, o número da porta e as informações de login do Servidor Tivoli Identity Manager. Para identificar o servidor para o protocolo DAML a ser utilizado, conclua as seguintes etapas: 1. No Agent Protocol Configuration Menu, selecione Configure Protocol. Para obter mais informações sobre como configurar um protocolo, consulte Alterando Definições de Configuração de Protocolo na página Digite a opção de menu para a propriedade SRV_NODENAME. 3. Especifique o endereço IP ou o nome do servidor que identifica o Servidor Tivoli Identity Manager e pressione Enter. O Protocol Properties Menu é exibido com as novas definições. 4. Digite a opção de menu para a propriedade SRV_PORTNUMBER. 5. Especifique o número da porta que o adaptador utiliza para conectar-se ao Servidor Tivoli Identity Manager para verificar notificação de eventos e pressione Enter. O Protocol Properties Menu é exibido com as novas definições. O exemplo de menu mostra todas as opções exibidas quando a Event Notification está ativada. Se a Event Notification estiver desativada, nem todas as opções serão exibidas. Para definir a Event Notification para o Servidor Tivoli Identity Manager, conclua as etapas a seguir: 1. No Agent Main Configuration Menu, digite C. O Event Notification Menu é exibido. Event Notification Menu * Reconciliation interval : 1 day(s) * Next Reconciliation time : 23 hour(s) 56 min(s). 23 sec(s). * Configured Contexts : Jupiter, dd309 A. Enabled B. Time interval between reconciliations. C. Set Processing cache size. (currently: 50 Mbytes) D. Start event notification now. E. Set attributes to be reconciled. F. Reconciliation process priority. (current: 1) G. Add Event Notification Context. H. Modify Event Notification Context. I. Remove Event Notification Context. J. List Event Notification Contexts. X. Done Select menu option: 14 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

29 Nota: Esse menu mostra todas as opções que são exibidas quando a Event Notification está ativada. Se a Event Notification estiver desativada, nenhuma opção será exibida. 2. Digite a letra da opção de menu que você deseja alterar. A opção A deve ser ativada para que os valores das outras opções sejam efetivados. Pressione Enter para retornar ao Agent Event Notification Menu sem alterar o valor. Tabela 4. Opções do Event Notification Menu Opção Tarefa de Configuração n Se essa opção estiver ativada, o adaptador atualizará o Servidor Tivoli Identity Manager com as alterações no adaptador a intervalos regulares. Quando a opção está definida para: v Disabled, pressionar a tecla A muda para ativada v Enabled, pressionar a tecla A muda para desativada Digite A para alternar entre as opções. R O seguinte aviso é exibido: Enter new interval ([ww:dd:hh:mm:ss]) Digite um intervalo de reconciliação diferente.por exemplo, [00:01:00:00:00] Nota: Esse valor é o intervalo a ser aguardado depois que a notificação de eventos é concluída e antes que seja executada novamente. O processo de notificação de eventos possui intensos recursos; portanto, esse valor não deve ser definido para ser executado com muita freqüência. C O seguinte aviso é exibido: Enter new cache size[5]: Digite um valor diferente para alterar o tamanho do cache de processamento. n Se essa opção for selecionada, a Event Notification será iniciada. E O Menu de Tipos de Entrada de Notificação de Eventos é exibido. Consulte Definindo Acionadores de Notificação de Eventos na página 16 para obter informações adicionais. d O seguinte aviso é exibido: Enter new thread priority [1-10]: Digite um valor de encadeamento diferente para alterar a prioridade do processo de notificação de eventos. Nota: A definição da prioridade de encadeamento para um valor mais baixo reduz o impacto que o processo de notificação de eventos tem sobre o desempenho do adaptador. Um valor mais baixo também poderá fazer com que a notificação de eventos leve mais tempo. T O seguinte aviso é exibido: Context name : Digite o nome do novo contexto e pressione Enter. O novo contexto é adicionado. Capítulo 3. Configurando o Adaptador Solaris do IBM Tivoli Identity Manager 15

30 Tabela 4. Opções do Event Notification Menu (continuação) Opção Tarefa de Configuração H Um menu listando o contexto disponível é exibido. Consulte Modificando um Contexto de Notificação de Evento na página 17 para obter informações adicionais. I O Menu de Remoção de Contexto é exibido. Selecione o contexto a ser removido. O seguinte prompt é exibido: Delete context context1? [no]: Pressione Enter para sair sem excluir o contexto ou digite Yes e pressione Enter para excluir o contexto. J Os Event Notification Contexts são exibidos no seguinte formato: Context Name : Context1 Target DN : erservicename=context1,o=ibm, ou=ibm,dc=com --- Attributes for search request --- {search attributes listed} Se você alterou o valor para as opções B, C, E ou F, pressione Enter. As outras opções são alteradas automaticamente quando você digita a letra da opção de menu correspondente. O Event Notification Menu é exibido com as novas definições. Definindo Acionadores de Notificação de Eventos Por padrão, todos os atributos são consultados em busca de alterações no valor. Alguns atributos que são alterados com freqüência (por exemplo, duração de senha ou último logon com êxito) devem ser omitidos. 1. No Event Notification Menu, digite E. O Event Notification Entry Types Menu é exibido. Event Notification Entry Types A. USER B. GROUP X. Done Select menu option: Os tipos USER e GROUP não serão exibidos no menu acima até que as seguintes condições tenham sido atendidas: a. A notificação de eventos tenha sido ativada b. Um contexto tenha sido criado e configurado c. Uma reconciliação completa tenha sido executada 2. Digite A para obter uma lista dos atributos retornados durante uma reconciliação do usuário ou digite B para obter os atributos retornados durante uma reconciliação de grupo. É exibida a Event Notification Attribute Listing para o tipo de reconciliação selecionada. A definição padrão lista todos os atributos que o adaptador suporta. O exemplo a seguir lista exemplos de atributos, e pode diferir da lista que é exibida em sua máquina. 16 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

31 Event Notification Attribute Listing (a) **ersolarisgroupid (b) **ersolarisgroupmember (c) **ersolarisgroupname (d) **ersolarisat (e) **ersolariscron (f) **erunixduplicateuid (g) **erexpirationdate (h) **erpasswordforcechange (i) **erhomedirpermissions (j) **erhomedir (k) **eraccountidledays (l) **erlastaccessdate (m) **erpassword (n) **erunixprimarygroup (o) **erpasswordlastchange (p) **erpasswordmaxage (q) **ersolarispwdmaxexpire (r) **ersolarispwdmaxrepeats (p)rev page 1 of 3 (n)ext X. Done Select menu option: 3. Digite a letra correspondente da opção de menu para o atributo a ser excluído de uma notificação de evento. Os atributos marcados com dois asteriscos (**) são retornados durante a notificação de evento. Os atributos não marcados com asteriscos não são retornados durante a Event Notification. Modificando um Contexto de Notificação de Evento Contexto de notificação de eventos corresponde a um serviço no Servidor Tivoli Identity Manager. Alguns adaptadores suportam diversos serviços. Um Adaptador Solaris pode ter vários serviços do Tivoli Identity Manager, especificando um ponto de base diferente para cada serviço. O ponto de base do Adaptador Solaris é o ponto no servidor de diretório que é utilizado como raiz do adaptador. Pode ser um ponto de base OU (Organizational Unit) ou DC (Domain Container). Como o ponto de base é um valor opcional, se não for especificado um valor, o adaptador utilizará o domínio padrão da máquina na qual ele está instalado. Você pode ter vários contextos de notificação de eventos, mas deverá ter pelo menos um adaptador. Na tela de exemplo a seguir, note que Context1, Context2 e Context3 são três contextos diferentes, todos tendo um ponto de base diferente. Para modificar um contexto de notificação de eventos, conclua as etapas a seguir: 1. No Event Notification Menu, digite H. O Modify Context Menu é exibido. Modify Context Menu A. Context1 B. Context2 C. Context3 X. Done Select menu option: 2. Digite a letra da opção de menu que você deseja modificar. O Modify Context Menu para o contexto selecionado é exibido. A. Set attributes for search B. Target DN: C. Delete Baseline Database X. Done Select menu option: Capítulo 3. Configurando o Adaptador Solaris do IBM Tivoli Identity Manager 17

32 Tabela 5. Opções do Modify Context Menu Opção Tarefa de Configuração Para Obter Mais Informações n Incluindo atributos de procura para notificação de eventos B Configurando o DN de destino para contextos de notificação de eventos S Removendo o banco de dados de linha de base para contextos de notificação de eventos Consulte a página 18. Consulte a página 18. Consulte a página 19. Incluindo Atributos de Procura para Notificação de Eventos Em alguns adaptadores, você poderá precisar especificar um par de atributo-valor para um ou mais contextos. Esses pares de atributo-valor, que são definidos ao concluir as etapas a seguir, são úteis para diversos propósitos: v Quando múltiplos valores são suportados por um único adaptador, cada serviço precisa especificar um ou mais atributos para diferenciá-lo dos outros serviços. v Os atributos de procura são transmitidos ao processo de notificação de eventos, depois de decorrido o intervalo de notificação de eventos ou de ser iniciado manualmente. Para cada contexto, um pedido de procura completa é enviado ao adaptador. Adicionalmente, os atributos especificados para esse contexto são transmitidos ao adaptador. v Quando o Servidor Tivoli Identity Manager inicia um processo de reconciliação, o adaptador substitui o banco de dados local que representa esse serviço pelo novo banco de dados. Para incluir atributos de procura, conclua as etapas a seguir: 1. No Modify Context Menu, digite A. O Reconciliation Attribute Passed to Agent Menu é exibido. Reconciliation Attributes Passed to Agent for Context: Context A. Add new attribute B. Modify attribute value C. Remove attribute X. Done Select menu option: O Adaptador Solaris não possui os atributos que precisam se especificados para Notiicação de Eventos. 2. Digite a letra da opção de menu que você deseja alterar. Os nomes de atributos suportados serão exibidos com dois asteriscos (**) na frente de cada nome. Quando você digitar a letra de um atributo, ela ativará e desativará os asteriscos. Atributos sem asteriscos não serão atualizados durante uma notificação de eventos. O Reconciliation Attributes Passed to Agent Menu é exibido com as alterações. Configurando o DN de Destino para Contextos de Notificação de Eventos O campo do DN de destino contém o nome exclusivo do serviço que recebe atualizações de notificação de eventos. Para configurar o DN de destino, conclua as etapas a seguir: 1. No Modify Context Menu, digite B. 18 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

33 2. No prompt Enter Target DN, digite o DN de destino do contexto e pressione Enter. O DN de destino para o Event Notification Contexts deve estar no seguinte formato: erservicename=erservicename,o=organizationname,ou=tenantname,rootsuffix Cada elemento do DN é definido da seguinte maneira: Tabela 6. Elementos e Definições do DN Elemento Definição erservicename Especifica o nome do serviço de destino Q Especifica o nome da organização ou Especifica o nome do tenant no qual a organização se encontra rootsuffix Especifica a raiz da árvore de diretórios O Modify Context Menu é exibido com o novo DN de destino listado. Removendo o Banco de dados de Linha de Base para Contextos de Notificação de Eventos Essa opção estará disponível somente depois que um contexto for criado e uma reconciliação for executada no contexto para criar um arquivo do Banco de Dados de Linha de Base. No Modify Context Menu, digite C. O Modify Context Menu é exibido com a opção Delete Baseline Database removida. Alterando a Chave de Configuração Utilize a chave de configuração como senha para acessar a ferramenta de configuração do adaptador. Para alterar a chave de configuração do Adaptador Solaris, conclua as etapas a seguir: 1. No prompt Main Menu, digite D. 2. Altere o valor da chave de configuração e pressione Enter. Pressione Enter para retornar ao Main Configuration Menu sem alterar a chave de configuração. A chave de configuração padrão é agent. Certifique-se de escolher senhas que não sejam descobertas facilmente. A seguinte mensagem será exibida: Configuration key successfully changed. O programa de configuração é encerrado e o prompt Main Menu é exibido. Alterando as Configurações do Log de Atividades Quando você ativa o log, o Adaptador Solaris mantém um arquivo de log datado de todas as transações, SolarisAgent.log. Por padrão, o arquivo de log está no diretório \log. Para alterar as configurações do log de atividades do Adaptador Solaris, conclua as etapas a seguir: 1. No prompt Main Menu, digite E. Capítulo 3. Configurando o Adaptador Solaris do IBM Tivoli Identity Manager 19

34 O Agent Activity Logging Menu é exibido. O exemplo a seguir mostra as configurações do log de atividades padrão. Agent Activity Logging Menu A. Activity Logging (Enabled). B. Logging Directory (current: /opt/tivoli/agents/solarisagent/log). C. Activity Log File Name (current: SolarisAgent.log). D. Activity Logging Max. File Size ( 1 mbytes) E. Activity Logging Max. Files ( 3 ) F. Debug Logging (Enabled). G. Detail Logging (Disabled). H. Base Logging (Disabled). I. Thread Logging (Disabled). X. Done Select menu option: 2. Digite a letra da opção do Activity Logging Menu que deseja alterar. A opção A deve ser ativada para que os valores das outras opções sejam efetivados. Pressione Enter para retornar ao Agent Activity Logging Menu sem alterar o valor. Tabela 7. Opções do Activity Logging Menu Opção Tarefa de Configuração O Defina essa opção como ativada para que o adaptador mantenha um arquivo de log datado de todas as transações. Quando a opção está definida para: v Disabled, pressionar a tecla A muda para ativada v Enabled, pressionar a tecla A muda para desativada Digite A para alternar entre as opções. B O seguinte aviso é exibido: Enter log file directory: Digite um valor diferente para o diretório de registro, por exemplo, /home/log. Quando a opção de log está ativada, detalhes sobre cada pedido de acesso são armazenados no arquivo de log que se encontra nesse diretório. C O seguinte aviso é exibido: Enter log file name: Digite um valor diferente para o nome do arquivo de log. Quando a opção de registro está ativada, detalhes sobre cada pedido de acesso são armazenados no arquivo de registro. E O seguinte aviso é exibido: Enter maximum size of log files (mbytes): Digite um novo valor, por exemplo, 10. Os dados mais antigos são arquivados quando o arquivo de log atinge o tamanho de arquivo máximo. O tamanho do arquivo é medido em megabytes. É possível que o tamanho do arquivo de log de atividades exceda a capacidade do disco. 20 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

35 Tabela 7. Opções do Activity Logging Menu (continuação) Opção Tarefa de Configuração E O seguinte aviso é exibido: Enter maximum number of log files to retain: Digite um novo valor, até 100, por exemplo, 5. O adaptador exclui automaticamente os logs de atividades mais antigos além do limite especificado. d Se essa opção estiver definida como ativada, o adaptador incluirá as instruções de depuração no arquivo de log de todas as transações. Quando a opção está definida para: v Disabled, pressionar a tecla F altera o valor para ativada v Enabled, pressionar a tecla F altera o valor para desativada Digite F para alternar entre as opções. T Se essa opção estiver definida como ativada, o adaptador manterá um arquivo de log detalhado de todas as transações. A opção de log de detalhes deve ser utilizada apenas para finalidades de diagnóstico. O log detalhado permite mais mensagens do adaptador e poderá aumentar o tamanho dos logs. Quando a opção está definida para: v Disabled, pressionar a tecla G altera o valor para ativada v Enabled, pressionar a tecla G altera o valor para desativada Digite G para alternar entre as opções. H Se essa opção estiver definida como ativada, o adaptador manterá um arquivo de log de todas as transações no ADK (Adapter Development Kit) e em arquivos de biblioteca. O log de base aumentará substancialmente o tamanho dos logs. Quando a opção está definida para: v Disabled, pressionar a tecla H altera o valor para ativada v Enabled, pressionar a tecla H altera o valor para desativada Digite H para alternar entre as opções. T Se essa opção estiver ativada, o arquivo de log conterá IDs de encadeamento, além de uma data e um timestamp em cada linha do arquivo. Quando a opção está definida para: v Disabled, pressionar a tecla I altera o valor para ativada v Enabled, pressionar a tecla I altera o valor para desativada Digite I para alternar entre as opções. 3. Pressione Enter se você alterou o valor da opção B, C, D ou E. As outras opções são alteradas automaticamente quando você digita a letra da opção de menu correspondente. O Agent Activity Logging Menu é exibido com as novas definições. Capítulo 3. Configurando o Adaptador Solaris do IBM Tivoli Identity Manager 21

36 Alterando Configurações de Registro Para alterar as configurações de registro do Adaptador Solaris, conclua as etapas a seguir: 1. No Main Menu, digite F. O Registry Menu é exibido. SolarisAgent 4.6 Agent Registry Menu A. Modify Non-encrypted registry settings. B. Modify encrypted registry settings. C. Multi-instance settings. X. Done Select menu option: 2. Consulte os procedimentos a seguir sobre como modificar definições de registro. Nota: Não há configurações de registro criptografadas para este adaptador. Modificando Configurações de Registro Não-criptografadas Para modificar as configurações de registro não-criptografadas, conclua as seguintes etapas: 1. No Agent Registry Menu, digite A. O Non-encrypted Registry Settings Menu é exibido. Agent Registry Items ENROLE_VERSION deletehomedir true 03. SetupHomeDir /opt/tivoli/agents/solarisagent 04. UseShadowFile true 05. processatcron true 06. processpath false 07. processumask true 08. ISTAMOSInstalled false 09. NISShadowFile true Page 1 of 1 A. Add new attribute B. Modify attribute value C. Remove attribute X. Done Select menu option: 2. Digite a letra da opção de menu da ação que você deseja executar em um atributo. Tabela 8. Descrições da Opção de Configuração de Atributo Opção Tarefa de Configuração n Incluir novo atributo B Modificar valor do atributo S Remover atributo 3. Digite o nome do item do registro e pressione Enter. Consulte a Tabela 9 na página 23 para obter uma descrição de cada chave de registro. 4. Se você selecionou a opção A ou B, digite o valor do item de registro e pressione Enter. 22 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

37 As definições de registro não criptografadas são novamente exibidas e mostram as novas definições. A Tabela 9 descreve as chaves de registro e suas configurações disponíveis: Tabela 9. Descrições das Chaves de Registro Chave Descrição deletehomedir Especifica o sinalizador que indica se delete_user deve ser utilizado para excluir o diretório home. O valor padrão é TRUE. SetupHomeDir Especifica o diretório de configuração do adaptador. Você deve configurar esse valor durante a instalação do adaptador. UseShadowFile Especifica o sinalizador que indica se o arquivo shadow deve ser utilizado. O valor padrão é TRUE. processatcron Especifica o sinalizador que indica se os seguintes arquivos devem ser processados: v v v v cron_allowed cron_deny at_allowed at_deny O valor padrão é TRUE. processpath Especifica o sinalizador que indica se o atributo de caminho da procura do usuário deve ser processado. O valor padrão é FALSE. processumask Especifica o sinalizador que indica se o usuário UMASK deve ser processado. O valor padrão é TRUE. ISTAMOSInstalled Especifica o sinalizador que indica se o módulo PAM deve ser ativado ou desativado. O valor padrão é FALSE. NISShadowFile Especifica o sinalizador que indica se o arquivo shadow deve ser utilizado. O valor padrão é TRUE. Alterando Configurações Avançadas Você pode alterar as configurações de contagem de encadeamentos do Adaptador Solaris para os seguintes tipos de pedidos: v Adição de Login do Sistema v Alteração de Login do Sistema v Exclusão de Login do Sistema v Reconciliação Essas definições determinam o número máximo de pedidos processados simultaneamente pelo Adaptador Solaris. Para alterar essas configurações, conclua as etapas a seguir: 1. No prompt Main Menu, digite G. O Advanced Settings Menu é exibido. O exemplo a seguir mostra as configurações padrão de contagem de encadeamentos. Capítulo 3. Configurando o Adaptador Solaris do IBM Tivoli Identity Manager 23

38 SolarisAgent 4.6 Advanced Settings Menu A. Single Thread Agent (current:true) B. ADD max. thread count. (current:3) C. MODIFY max. thread count. (current:3) D. DELETE max. thread count. (current:3) E. SEARCH max. thread count. (current:3) F. Allow User EXEC procedures (current:false) G. Archive Request Packets (current:false) H. UTF8 Conversion support (current:true) I. Pass search filter to agent (current:false) J. Thread Priority Level (1-10) (current:4) X. Done Select menu option: 2. Digite a letra da opção de menu da configuração avançada que você deseja alterar. Para obter uma descrição de cada opção, consulte a Tabela 10. Tabela 10. Opções do Advanced Settings Menu Opção Descrição n Força o adaptador a permitir somente um pedido por vez. O valor padrão é TRUE. R Controla quantos pedidos ADD simultâneos podem ser executados por vez. O valor padrão é 3. C Controla quantos pedidos MODIFY simultâneos podem ser executados por vez. O valor padrão é 3. E Controla quantos pedidos DELETE simultâneos podem ser executados por vez. O valor padrão é 3. E Controla quantos pedidos SEARCH simultâneos podem ser executados por vez. O valor padrão é 3. d Determina se o adaptador permite funções pré e pós execução. A ativação dessa opção consiste em um risco de segurança potencial. O valor padrão é FALSE. T Essa opção não é mais suportada. H Essa opção não é mais suportada. I Atualmente, esse adaptador não suporta o processamento de filtros diretamente. Essa opção deve ser sempre FALSE. J Define o nível de prioridade de encadeamento do adaptador. O valor padrão é Altere o valor e pressione Enter. O Advanced Settings Menu é exibido com as novas definições. 24 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

39 Visualizando Estatísticas Para visualizar um log de eventos do Adaptador Solaris, conclua as etapas a seguir: 1. No prompt Main Menu, digite H. O histórico de atividades do adaptador é exibido. SolarisAgent 4.6 Agent Request Statistics Date Add Mod Del Ssp Res Rec /15/ X. Done 2. Digite X para retornar ao Main Configuration Menu. Alterando Configurações de Página de Códigos Para listar as informações da página de códigos suportada do Adaptador Solaris, o adaptador deverá estar em execução. Execute o seguinte comando para visualizar as informações da página de códigos: agentcfg -agent [adapter_name] -codepages Para alterar as configurações da página de códigos do Adaptador Solaris, conclua as etapas a seguir: 1. No prompt Main Menu, digite I. O Code Page Support Menu do adaptador é exibido. SolarisAgent 4.6 Codepage Support Menu * Configured codepage: US-ASCII * ******************************************* * Restart Agent After Configuring Codepages ******************************************* A. Codepage Configure. X. Done Select menu option: 2. Digite A para configurar uma página de códigos. Nota: A página de códigos do SolarisAgent utiliza unicode; portanto, essa opção não é aplicável. 3. Digite X para retornar ao Main Configuration Menu. Acessando a Ajuda e Opções Adicionais Para acessar o menu de ajuda do agentcfg e utilizar os argumentos da ajuda, conclua as etapas a seguir: Capítulo 3. Configurando o Adaptador Solaris do IBM Tivoli Identity Manager 25

40 1. No prompt Main Menu, digite X. O prompt de comandos é exibido e você está no diretório \bin. 2. Digite agentcfg -help no prompt para exibir o menu de ajuda. A seguinte lista de possíveis comandos é exibida: -version ; Show version -hostname < value> ; Target nodename to connect to (Default:Local host IP address) -findall ; Find all agents on target node -list ; List available agents on target node -agent <value> ; Name of agent -tail ; Display agent s activity log -schema ; Display agent s attribute schema -portnumber <value>; Specified agent s TCP/IP port number -netsearch <value> ; Lookup agents hosted on specified subnet -confidencetest ; Confidence test -setup ; Confidence test setup -help ; Display this help screen A Tabela 11 descreve cada argumento. Tabela 11. Argumentos e Descrições do Comando de Ajuda do agentcfg Argumento Descrição -version Utilize esse argumento para exibir a versão da ferramenta agentcfg. -hostname <value> Utilize o argumento -hostname com qualquer um dos seguintes argumentos para especificar um host diferente: v v v v -findall -list -tail -agent Digite um nome de host ou endereço IP como o valor. -findall Utilize esse argumento para procurar e exibir todos os endereços de porta entre e e seus nomes de adaptador designados. Essa opção será interrompida em números de porta não utilizados; por isso, poderá levar vários minutos para ser concluída. Adicione o argumento -hostname para pesquisar um host remoto. -list Utilize esse argumento para exibir os adaptadores que estão instalados no host local do Adaptador Solaris. Por padrão, a primeira vez que você instala um adaptador, ele é designado ao endereço de porta ou ao próximo número de porta disponível. Todos os adaptadores instalados subseqüentemente são designados ao próximo endereço de porta disponível. Uma vez localizada uma porta não utilizada, a listagem é interrompida. Utilize o argumento -hostname para procurar um host remoto. -agent <value> Utilize esse argumento para especificar o adaptador que você deseja configurar. Digite um nome de adaptador como o valor. Utilize esse argumento com o argumento -hostname para modificar a definição de configuração a partir de um host remoto. Também é possível utilizar esse argumento com o argumento -tail. 26 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

41 Tabela 11. Argumentos e Descrições do Comando de Ajuda do agentcfg (continuação) Argumento Descrição -tail Utilize esse argumento com o argumento -agent para exibir o log de atividades para um adaptador. Inclua o argumento -hostname para exibir o arquivo de log para um adaptador em um host diferente. -schema Essa opção não é mais suportada. -portnumber <value> Utilize esse argumento com o argumento -agent para especificar o número de porta que é utilizado para conexões da ferramenta agentcfg. -netsearch <value> Utilize esse argumento com o argumento -findall para exibir todos os adaptadores ativos no sistema. Você deve especificar um endereço de sub-rede como o valor. -confidencetest Utilize esse argumento para executar um teste para incluir, modificar, procurar e excluir um pedido ao adaptador. O teste de confiança permite testar a conexão entre o adaptador e o Servidor Solaris. Isso permite a você verificar se o adaptador pode conectar-se ao Servidor Solaris sem o Servidor Tivoli Identity Manager. -setup Utilize esse argumento, junto com o argumento confidence para configurar o teste de confiança. -help Utilize esse argumento para exibir as informações de Ajuda para o comando agentcfg. 3. Digite agentcfg e um ou mais dos argumentos suportados no prompt. Você deve digitar agentcfg antes de cada argumento para executar a ferramenta de configuração do adaptador. Digite agentcfg -list para listar todos os adaptadores no endereço IP do host local. Note que o endereço de porta do Servidor Tivoli Identity Manager is A saída é semelhante à seguinte: Agent(s) installed on node SolarisAgent (44970) Digite agentcfg -agent SolarisAgent para exibir o Main Menu da ferramenta agentcfg, que é utilizada para visualizar ou modificar os parâmetros do Adaptador Solaris. Digite agentcfg -list -hostname para listar os adaptadores em um host cujo endereço IP seja A saída é semelhante à seguinte: Agent(s) installed on node SolarisAgent (44970) Digite agentcfg -agent SolarisAgent -hostname para exibir o Main Menu da ferramenta agentcfg para um host cujo endereço IP seja Utilize as opções do menu para exibir ou modificar os parâmetros do Adaptador Solaris. Capítulo 3. Configurando o Adaptador Solaris do IBM Tivoli Identity Manager 27

42 28 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

43 Capítulo 4. Configurando a Autenticação SSL para o Adaptador Solaris Para estabelecer uma conexão segura entre um adaptador Tivoli Identity Manager e o Servidor Tivoli Identity Manager, é necessário configurar o adaptador e o servidor para que utilizem a autenticação SSL (Secure Sockets Layer) com o protocolo de comunicação padrão, DAML. A configuração do adaptador para SSL assegura que o Servidor Tivoli Identity Manager verifique a identidade do adaptador antes que uma conexão segura seja estabelecida. Você pode configurar a autenticação SSL para conexões originárias do Servidor Tivoli Identity Manager ou do adaptador. Normalmente, o Servidor Tivoli Identity Manager inicia uma conexão com o adaptador para definir e recuperar o valor de um atributo gerenciado no adaptador. Entretanto, dependendo dos requisitos de segurança de seu ambiente, talvez seja necessário configurar a autenticação SSL para conexões originárias do adaptador. Por exemplo, se o adaptador utilizar eventos para notificar o Servidor Tivoli Identity Manager de alterações nos atributos do adaptador, você poderá configurar a autenticação SSL para conexões da Web que se originem do adaptador para o servidor Web utilizado pelo Servidor Tivoli Identity Manager. Em um ambiente de produção, é necessário ativar a segurança SSL; entretanto, para finalidades de teste, talvez você queira desativar o SSL. Se um aplicativo externo que se comunica com o adaptador (como o Servidor Tivoli Identity Manager) estiver definido para utilizar autenticação de servidor, você deverá ativar o SSL no adaptador para verificar o certificado que o aplicativo apresenta. Este capítulo apresenta uma visão geral da autenticação SSL, dos certificados e de como ativar a autenticação SSL com o uso do utilitário CertTool. Visão Geral dos Certificados Digitais e SSL Ao implementar o Tivoli Identity Manager em uma rede corporativa, você deve proteger a comunicação entre o Servidor Tivoli Identity Manager e os produtos de software e componentes com os quais o servidor se comunica. O protocolo SSL padrão de mercado, que utiliza certificados digitais assinados de uma CA (Autoridade de Certificação) para autenticação, é utilizado para proteger a comunicação em uma implementação do Tivoli Identity Manager. Adicionalmente, o SSL fornece a criptografia dos dados trocados entre os aplicativos. A criptografia torna os dados transmitidos pela rede inteligíveis apenas para o destinatário pretendido. Os certificados digitais assinados permitem que dois aplicativos se conectem a uma rede para autenticar a identidade entre si. Um aplicativo que age como um servidor SSL apresenta suas credenciais em um certificado digital assinado para verificar se um cliente SSL é a entidade que ele declara ser. Um aplicativo que age como um servidor SSL pode também ser configurado para requerer que o aplicativo que age como um cliente SSL apresente suas credenciais em um certificado, concluindo por meio disso uma troca de certificados bidirecionais. Os certificados assinados são emitidos por uma autoridade de certificação terceirizada, mediante uma taxa. Alguns utilitários, como aqueles fornecidos pelo OpenSSL, também podem emitir certificados assinados. Direitos Autorais IBM Corp. 2003,

44 Um certificado de autoridade de certificação (certificado CA) deve ser instalado para verificar a origem de um certificado digital assinado. Quando um aplicativo receber um certificado assinado de outro aplicativo, utilizará um certificado de CA para verificar o originador do certificado. Uma autoridade de certificação pode ser de renome e amplamente utilizada por outras organizações, ou pode ser local para uma região ou empresa específica. Muitos aplicativos, como navegadores da Web, são configurados com os certificados CA de autoridades de certificação de renome para eliminar ou reduzir a tarefa de distribuir certificados CA por meio de zonas de segurança em uma rede. Chaves Privadas, Chaves Públicas e Certificados Digitais Chaves, certificados digitais e autoridades de certificação confiáveis são utilizados para estabelecer e verificar as identidades dos aplicativos. O SSL utiliza tecnologia de criptografia de chave pública para autenticação. Na criptografia de chave pública, uma chave pública e uma chave privada são geradas para um aplicativo. Os dados criptografados com a chave pública só podem ser decriptografados utilizando a chave privada correspondente. De maneira semelhante, os dados criptografados com a chave privada podem ser decriptografados apenas utilizando a chave pública correspondente. A chave privada é protegida por senha em um arquivo do banco de dados de chaves, de modo que apenas o proprietário possa acessar a chave privada para decriptografar mensagens criptografadas utilizando a chave pública correspondente. Certificado digital assinado é um método padrão de mercado para verificar a autenticação de uma entidade, como um servidor, um cliente ou um aplicativo. Para garantir segurança máxima, um certificado é emitido por uma autoridade de certificação de terceiros. Um certificado contém as seguintes informações para verificar a identidade de uma entidade: Informações organizacionais Esta seção do certificado contém informações que identificam com exclusividade o proprietário do certificado, como um nome e endereço organizacional. Você fornece essas informações ao gerar um certificado com o uso de um utilitário de gerenciamento de certificados. Chave pública O receptor do certificado utiliza a chave pública para decifrar texto criptografado enviado pelo proprietário do certificado para verificar sua identidade. A chave pública tem uma chave privada correspondente que criptografa o texto. Nome distinto da autoridade de certificação O emissor do certificado identifica a si próprio com essas informações. Assinatura digital O emissor do certificado o assina com uma assinatura digital para verificar sua autenticidade. Essa assinatura é comparada à assinatura no certificado de CA correspondente para verificar se o certificado foi originado em uma autoridade de certificação confiável. Navegadores da Web, servidores e outros aplicativos ativados para SSL geralmente aceitam como genuíno qualquer certificado digital que seja assinado por uma autoridade de certificação confiável e por outro lado válido. Por exemplo, um certificado digital pode ser invalidado se tiver expirado ou se o certificado de CA utilizado para verificá-lo tiver expirado, ou porque o nome distinto do certificado digital do servidor não corresponde ao nome distinto especificado pelo cliente. 30 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

45 Certificados Auto-assinados Você pode utilizar certificados auto-assinados para testar uma configuração SSL antes de criar e instalar um certificado assinado emitido por uma autoridade de certificação. Um certificado auto-assinado contém uma chave pública, informações sobre o proprietário do certificado e a assinatura do proprietário. Possui uma chave privada associada, mas não verifica a origem do certificado por meio de uma autoridade de certificação de terceiros. Uma vez gerado um certificado auto-assinado em um aplicativo servidor SSL, você deverá extraí-lo e incluí-lo no registro de certificado do aplicativo cliente SSL. Esse procedimento é equivalente a instalar um certificado CA que corresponda a um certificado do servidor. Entretanto, não inclua a chave privada no arquivo quando você extrair um certificado auto-assinado para utilizar como o equivalente de um certificado CA. Use um utilitário key management para gerar um certificado auto-assinado e uma chave privada, para extrair um certificado auto-assinado, e para incluí-lo. Onde e como optar pelo uso de certificados auto-assinados depende de seus requisitos de segurança. Para obter o nível mais alto de autenticação entre componentes de software críticos, não utilize certificados auto-assinados ou utilize-os seletivamente. Por exemplo, você pode optar por autenticar aplicativos que protegem os dados do servidor com certificados digitais assinados e utilizar certificados auto-assinados para autenticar navegadores da Web ou adaptadores Tivoli Identity Manager. Se você estiver utilizando certificados auto-assinados, nos seguintes procedimentos, poderá substituir um certificado auto-assinado por um par de certificado CA e certificado. Formatos de Certificado e de Chave Certificados e chaves são armazenados em arquivos com os seguintes formatos: Formato.pem Um arquivo de formato.pem (privacy-enhanced mail) começa e termina com as seguintes linhas: Formato.arm -----BEGIN CERTIFICATE END CERTIFICATE----- Um formato de arquivo.pem suporta vários certificados digitais, incluindo uma cadeia de certificados. Se sua organização utiliza cadeia de certificados, use esse formato para criar certificados CA. Um arquivo.arm contém uma representação ASCII codificada em base 64 de um certificado, incluindo sua chave pública, mas não sua chave privada. Um formato de arquivo.arm é gerado e usado pelo utilitário IBM Key Management. Formato.der Um arquivo.der contém dados binários. Um arquivo.der só pode ser utilizado para um único certificado, ao contrário de um arquivo.pem, que pode conter vários certificados. Formato.pfx (PKCS12) Arquivo PKCS12 é um arquivo portátil que contém um certificado e uma chave privada correspondente. Esse formato é útil para conversões de um Capítulo 4. Configurando a Autenticação SSL para o Adaptador Solaris 31

46 O Uso da Autenticação SSL tipo de implementação SSL em uma implementação diferente. Por exemplo, você pode criar e exportar um arquivo PKCS12 usando o utilitário IBM Key Management, importando, em seguida, o arquivo para outra máquina usando o utilitário CertTool. Quando você inicia o adaptador, os protocolos de conexão disponíveis são carregados. O protocolo DAML é o único protocolo disponível que suporta o uso de autenticação SSL. Você pode especificar o uso da implementação DAML SSL. A implementação DAML SSL utiliza um registro de certificado para armazenar chaves privadas e certificados. O local do registro de certificado é gerenciado internamente pela chave CertTool e pela ferramenta de gerenciamento de certificado; assim, não especifique o local do registro quando executar tarefas de gerenciamento de certificados. Para obter mais informações sobre o DAML Protocol, consulte Alterando Definições de Configuração de Protocolo na página 10. Configurando Certificados para Autenticação SSL Utilize os procedimentos a seguir para configurar o adaptador para autenticação SSL de uma ou duas vias, utilizando certificados assinados. Para executar esses procedimentos, use o utilitário CertTool. Configurando Certificados para Autenticação SSL de Uma Via Neste cenário, o servidor Tivoli Identity Manager e o adaptador Tivoli Identity Manager estão definidos para utilizar SSL. A autenticação de cliente não está definida em nenhum aplicativo. O servidor Tivoli Identity Manager funciona como o cliente SSL e inicia a conexão. O adaptador funciona como o servidor SSL e responde enviando seu certificado assinado para o Servidor Tivoli Identity Manager. O servidor Tivoli Identity Manager utiliza o certificado CA instalado para validar o certificado enviado pelo adaptador. Na Figura 2, O Aplicativo A funciona como o Servidor Tivoli Identity Manager e o Aplicativo B funciona como o adaptador Tivoli Identity Manager. Servidor Tivoli Identity Manager (cliente SSL) Adaptador Tivoli Identity Manager (servidor SSL) Armazenamento de chave Iniciar comunicação Certificado A de CA Verificar Enviar Certificado B Certificado A Figura 2. Autenticação de Uma Via (Autenticação de Servidor) Para configurar o SSL de uma via, execute as seguintes tarefas para cada aplicativo: 32 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

47 1. No adaptador, conclua estas etapas: a. Inicie o utilitário CertTool. b. Para configurar o aplicativo servidor SSL com um certificado assinado emitido por uma autoridade de certificação: 1) Crie um CSR (Certificate Signing Request) e uma chave privada. Esta etapa cria o certificado com uma chave pública incorporada e uma chave privada separada e coloca a chave privada no valor do registro PENDING_KEY. 2) Submeta o CSR à autoridade de certificação utilizando as instruções fornecidas pela CA. Ao enviar o CSR, especifique que você deseja que o certificado de CA raiz seja devolvido com o certificado do servidor. 2. No Servidor Tivoli Identity Manager, conclua uma destas etapas: v Se você estiver configurando o uso de um certificado assinado emitido por uma CA de renome, verifique se o Servidor Tivoli Identity Manager armazenou o certificado raiz da CA (certificado CA) em seu armazenamento de chave. Se o armazenamento de chave não contiver o certificado CA, extraia-o do adaptador e inclua-o no armazenamento de chave do servidor. v Se você estiver configurando o uso de certificados auto-assinados: Se você gerou o certificado auto-assinado no Servidor Tivoli Identity Manager, o certificado já estará instalado em seu armazenamento de chave. Se você gerou o certificado auto-assinado usando o utilitário key management de outro aplicativo, extraia o certificado do armazenamento de chave desse aplicativo e inclua-o no armazenamento de chave do Servidor Tivoli Identity Manager. Configurando Certificados para Autenticação SSL de Duas Vias Neste cenário, o servidor Tivoli Identity Manager e o adaptador Tivoli Identity Manager estão definidos para utilizar o SSL e o adaptador está definido para utilizar a autenticação de cliente. Ao enviar seu certificado ao Servidor Tivoli Identity Manager, o adaptador solicita a verificação de identidade do servidor, que envia seu certificado assinado ao adaptador. Ambos os aplicativos são configurados com certificados assinados e certificados CA correspondentes. Na Figura 3 na página 34, o Servidor Tivoli Identity Manager funciona como o Aplicativo A e o adaptador Tivoli Identity Manager funciona como o Aplicativo B. Capítulo 4. Configurando a Autenticação SSL para o Adaptador Solaris 33

48 Servidor Tivoli Identity Manager (cliente SSL) Armazenamento de Chave Certificado A de CA Verificar Iniciar comunicação Enviar Certificado A Adaptador Tivoli Identity Manager (servidor C SSL) Certificado A Certificado B Verificar Certificado B de CA Figura 3. Autenticação SSL de Duas Vias (Autenticação de Cliente) O procedimento a seguir supõe que você já configurou o adaptador e o Servidor Tivoli Identity Manager para autenticação SSL de uma via utilizando o procedimento descrito em Configurando Certificados para Autenticação SSL de Uma Via na página 32. Portanto, se você estiver utilizando certificados assinados de uma CA: v O adaptador está configurado com uma chave privada e um certificado assinado que foi emitido por uma CA. v O Servidor Tivoli Identity Manager está configurado com o certificado CA da CA que emitiu o certificado assinado do adaptador. Para concluir a configuração do certificado para SSL de duas vias, execute as seguintes tarefas: 1. No Servidor Tivoli Identity Manager, crie um CSR e uma chave privada, obtenha um certificado de uma CA, instale o certificado CA, instale o certificado recém-assinado e extraia o certificado CA para um arquivo temporário. 2. No adaptador, inclua o certificado CA que foi extraído do armazenamento de chave do Servidor Tivoli Identity Manager para o adaptador. Quando tiver concluído a configuração de certificado de duas vias, cada aplicativo terá seu próprio certificado e chave privada e o certificado da CA que emitiu os certificados para cada aplicativo. Configurando Certificados quando o Adaptador Funciona como um Cliente SSL Neste cenário, o adaptador funciona como um cliente SSL e também como um servidor SSL. Este cenário será aplicável se o adaptador iniciar uma conexão com o servidor Web (utilizado pelo Servidor Tivoli Identity Manager) para enviar uma notificação de evento. Por exemplo, o adaptador inicia a conexão e o servidor Web responde apresentando seu certificado ao adaptador. A Figura 4 na página 35 ilustra como um adaptador Tivoli Identity Manager funciona como um servidor SSL e um cliente SSL. Ao comunicar com o Servidor Tivoli Identity Manager, o adaptador envia seu certificado para autenticação. Ao comunicar com o servidor Web, o adaptador recebe o certificado do servidor Web. 34 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

49 Certificado A Certificado C de CA Adaptador Tivoli Identity Manager A Iniciar Comunicação Certificado A Certificado A de CA Servidor Tivoli Identity Manager B Certificado C Iniciar Comunicação Certificado C Servidor Web C Figura 4. Adaptador Tivoli Identity Manager Funcionando como um Servidor SSL e um Cliente SSL Se o Servidor Web estiver configurado para autenticação SSL de duas vias, ele verificará a identidade do adaptador, que envia seu certificado assinado ao servidor Web (não mostrado na ilustração). Para ativar a autenticação SSL de duas vias entre o adaptador e o servidor Web, utilize o seguinte procedimento: 1. Configure o servidor Web para utilizar autenticação de cliente. 2. Siga o procedimento para criar e instalar um certificado assinado no servidor Web. 3. Instale o certificado CA no adaptador usando o utilitário CertTool. 4. Inclua no servidor Web o certificado CA correspondente ao certificado assinado do adaptador. Para obter mais informações sobre como configurar certificados quando o adaptador inicia uma conexão com o servidor Web (utilizado pelo Servidor Tivoli Identity Manager) para enviar uma notificação de evento, consulte o Tivoli Identity Manager Information Center. Gerenciando Certificados SSL Utilizando o CertTool Os procedimentos nesta seção descrevem como usar o utilitário CertTool para gerenciar chaves privadas e certificados. Esta seção inclui instruções para a execução das seguintes tarefas: v Iniciando o CertTool na página 36. v Gerando uma Chave Privada e um Pedido de Certificado na página 38. v Instalando o Certificado na página 39. v Instalando o Certificado e a Chave de um Arquivo PKCS12 na página 39. v Visualizando o Certificado Instalado na página 39. v Visualizando Certificados CA na página 40. v Instalando um Certificado CA na página 40. v Excluindo um Certificado CA na página 40. v Visualizando Certificados Registrados na página 40. v Registrando um Certificado na página 41. v Cancelando o Registro de um Certificado na página 41. Capítulo 4. Configurando a Autenticação SSL para o Adaptador Solaris 35

50 Iniciando o CertTool Para iniciar a ferramenta de configuração de certificado, CertTool, para o Adaptador Solaris, conclua estas etapas: 1. Efetue login no Adaptador Solaris. 2. Vá para o diretório bin do adaptador. Por exemplo, se o diretório do Adaptador Solaris estiver no local padrão, digite o seguinte comando: # cd /opt/tivoli/agents/solarisagent/bin 3. Digite CertTool -agent SolarisAgent no prompt. O Main Menu é exibido: Main menu - Configuring agent: SolarisAgent A. Generate private key and certificate request B. Install certificate from file C. Install certificate and key from PKCS12 file D. View current installed certificate E. List CA certificates F. Install a CA certificate G. Delete a CA certificate H. List registered certificates I. Register certificate J. Unregister a certificate K. Export certificate and key to PKCS12 file X. Quit Choice: No Main Menu, você pode gerar uma chave privada e o pedido de certificado, instalar e excluir certificados, registrar e cancelar o registro de certificados e listar certificados. As seções a seguir resumem o propósito de cada grupo de opções. O primeiro conjunto de opções (A a D) permite a você gerar um CSR e instalar no adaptador o certificado assinado retornado. A. Generate private key and certificate request Gere um CSR e a chave privada associada que é enviada à autoridade de certificação. Para obter mais informações sobre a opção A, consulte Gerando uma Chave Privada e um Pedido de Certificado na página 38. B. Install certificate from file Instalar um certificado a partir de um arquivo. Esse arquivo deve ser o certificado assinado retornado pela CA em resposta ao CSR gerado pela opção A. Para obter mais informações sobre a opção B, consulte Instalando o Certificado na página 39. C. Install certificate and key from a PKCS12 file Instalar um certificado a partir do arquivo formatado PKCS12 que inclua o certificado público e uma chave privada. Se as opções A e B não forem utilizadas para obter um certificado, o certificado que você utilizar deverá estar no formato PKCS12. Para obter mais informações sobre a opção C, consulte Instalando o Certificado e a Chave de um Arquivo PKCS12 na página 39. D. View current installed certificate Visualize o certificado que está instalado no sistema. Para obter mais informações sobre a opção D, consulte Visualizando o Certificado Instalado na página IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

51 O segundo conjunto de opções permite a você instalar certificados CA raiz no adaptador. Um certificado CA é utilizado pelo adaptador Tivoli Identity Manager para validar o certificado correspondente apresentado por um cliente, como o Servidor Tivoli Identity Manager. E. List CA certificates Mostrar os certificados instalados de CA. O adaptador só se comunica com os Servidores Tivoli Identity Manager cujos certificados são validados por um dos certificados CA instalados. F. Install a CA certificate Instalar um novo certificado de CA para que os certificados gerados por essa CA possam ser validados. O arquivo de certificado CA pode estar no formato codificado X.509 ou PEM. Para obter mais informações sobre como instalar um certificado CA, consulte Instalando um Certificado CA na página 40. G. Delete a CA certificate Remover um dos certificados instalados de CA. Para obter mais informações sobre como excluir um certificado CA, consulte Excluindo um Certificado CA na página 40. O restante das opções (H a K) se aplica a adaptadores que devem autenticar o aplicativo (por exemplo, o Servidor Tivoli Identity Manager ou o servidor Web) ao qual o adaptador está enviando informações. Essas opções permitem a você registrar certificados no adaptador. No Tivoli Identity Manager Versão 4.5 ou anterior, o certificado assinado do servidor Tivoli Identity Manager deve ser registrado em um adaptador para permitir autenticação de cliente no adaptador. Se você não planeja fazer upgrade de um adaptador existente para utilizar certificados CA para autenticação de cliente, o certificado assinado apresentado pelo Servidor Tivoli Identity Manager deverá ser registrado no adaptador. Se você configurar o adaptador para utilizar notificação de evento, ou a autenticação de cliente estiver ativada em DAML, será necessário instalar o certificado CA correspondente ao certificado assinado do Servidor Tivoli Identity Manager utilizando a opção F. Install a CA certificate. H. List registered certificates Listar todos os certificados registrados que serão aceitos para comunicações. Para obter mais informações sobre como listar certificados registrados, consulte Visualizando Certificados Registrados na página 40. I. Register a certificate Registrar um novo certificado. O certificado a ser registrado deve estar no formato X.509 codificado em Base 64 ou PEM. Para obter mais informações sobre como registrar certificados, consulte Registrando um Certificado na página 41. J. Unregister a certificate Cancelar (remover) o registro de um certificado da lista registrada. Para obter mais informações sobre como cancelar o registro de certificados, consulte Cancelando o Registro de um Certificado na página 41. K. Export certificate and key to PKCS12 file Exporte um certificado e uma chave privada instalados anteriormente. Serão solicitados o nome do usuário e uma senha para criptografia. Para obter mais informações sobre como exportar um certificado e uma chave para um arquivo PKCS12, consulte Exportando um Certificado e uma Chave para o Arquivo PKCS12 na página 41. Capítulo 4. Configurando a Autenticação SSL para o Adaptador Solaris 37

52 Gerando uma Chave Privada e um Pedido de Certificado Um pedido de assinatura de certificado é um certificado não assinado que é um arquivo de texto. Quando você submete um certificado não assinado a uma autoridade de certificação, a CA assina o certificado com a assinatura digital privada que está incluída em seu certificado CA correspondente. Quando o CSR é assinado, ele se torna um certificado válido. Um CSR contém informações sobre sua organização, como o nome dela, o país e a chave pública do servidor Web. Para gerar um arquivo CSR, conclua estas etapas: 1. No Main Menu do CertTool, digite A. A mensagem e o prompt a seguir são exibidos: Enter values for certificate request (press enter to skip value) No prompt Organization, digite o nome de sua organização e pressione Enter. 3. No prompt Organizational Unit, digite a organizational unit e pressione Enter. 4. No prompt Agent Name, digite o nome do adaptador para o qual você está solicitando um certificado e pressione Enter. 5. No prompt , digite o endereço de da pessoa de contato desse pedido e pressione Enter. 6. No prompt State, digite o estado no qual o adaptador reside (se o adaptador estiver nos Estados Unidos) e pressione Enter. Algumas autoridades de certificação não aceitam abreviações em duas letras para estados; por isso, você deve digitar o nome completo do estado. 7. No prompt Country, digite o país no qual o adaptador reside e pressione Enter. 8. No prompt Locality, digite o nome da cidade na qual o adaptador reside e pressione Enter. 9. No prompt Accept these values, digite Y para aceitar os valores exibidos ou digite N para inserir os valores novamente e pressione Enter. A chave privada e o pedido de certificado são gerados depois que os valores são aceitos. 10. No prompt Enter name of file to store PEM cert request, digite o nome do arquivo que você deseja utilizar para armazenar os valores especificados durante as etapas anteriores e pressione Enter. 11. Pressione Enter para continuar. O pedido de certificado e os valores de entrada são gravados no arquivo especificado e o Main Menu é exibido novamente. Você pode solicitar nesse momento um certificado de uma CA confiável enviando o arquivo.pem que acabou de ser gerado para um fornecedor de autoridade de certificação. Exemplo de Pedido de Assinatura de Certificado Seu arquivo CSR será semelhante ao seguinte exemplo: -----BEGIN CERTIFICATE REQUEST----- MIIB1jCCAT8CAQAwgZUxEjAQBgNVBAoTCWFjY2VzczM2MDEUMBIGA1UECxMLZW5n aw5lzxjpbmcxedaobgnvbamtb250ywdlbnqxjdaibgkqhkig9w0bcqewfw50ywdl bnraywnjzxnzmzywlmnvbtelmakga1uebhmcvvmxezarbgnvbagtcknhbglmb3ju awexdzanbgnvbactbklydmluztcbnzanbgkqhkig9w0baqefaaobjqawgykcgyea mr6acpnwf6hllc72bmukawaxcebtxcocnnth9uc8vumhpbimagjuc4s91hprilg7 UtlbOfy6X3R3kbeR8apRR9uLYrPIvQ1b4NK0whsytij6syCySaFQIB6V7RPBatFr 6XQ9hpsARdkGytZmGTgGTJ1hSS/jA6mbxpgmttz9HPECAwEAAaAAMA0GCSqGSIb3 38 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

53 DQEBAgUAA4GBADxA1cDkvXhgZntHkwT9tCTqUNV9sim8N/U15HgMRh177jVaHJqb N1Er46vQSsOOOk4z2i/XwOmFkNNTXRVl9TLZZ/D+9mGZcDobcO+lbAKlePwyufxK Xqdpu3d433H7xfJJSNYLYBFkrQJesITqKft0Q45gIjywIrbctVUCepL END CERTIFICATE REQUEST----- Instalando o Certificado Depois de receber seu certificado da CA confiável, instale-o no registro do adaptador. Para instalar o certificado, conclua estas etapas: 1. Se você recebeu o certificado como parte de uma mensagem de , copie o texto do certificado em um arquivo de texto e copie esse arquivo no diretório bin do adaptador. Por exemplo, /opt/tivoli/agents/solarisagent/bin 2. No Main Menu do CertTool, digite B. O seguinte aviso é exibido: Enter name of certificate file: No prompt Enter name of certificate file, digite o caminho completo para o arquivo de certificado e pressione Enter. O certificado é instalado no registro do adaptador e o Main Menu é exibido novamente. Instalando o Certificado e a Chave de um Arquivo PKCS12 Se você não usar o utilitário CertTool para gerar um CSR a fim de obter um certificado, deverá instalar o certificado e a chave privada, os quais devem estar armazenados em um arquivo PKCS12. A CA talvez envie um arquivo protegido por senha, ou um arquivo PKCS12 (com a extensão.pfx), o qual inclui o certificado e a chave privada. Para instalar o certificado por esse arquivo PKCS12, conclua estas etapas: 1. Copie o arquivo PKCS12 no diretório bin do adaptador. Por exemplo, /opt/tivoli/agents/solarisagent/bin 2. No Main Menu do CertTool, digite C. O seguinte aviso é exibido: Enter name of PKCS12 file: No prompt Enter name of PKCS12 file, digite o nome do arquivo PKCS12 que tem as informações do certificado e da chave privada e pressione Enter. Por exemplo, DamlSrvr.pfx. 4. No prompt Enter password, digite a senha para acessar o arquivo e pressione Enter. O certificado e a chave privada são instalados no registro do adaptador e o Main Menu é exibido. Visualizando o Certificado Instalado Para listar o certificado que está instalado no sistema, no Main Menu do CertTool, digite D. O certificado instalado é listado e o Main Menu é exibido. O exemplo a seguir lista um certificado instalado: The following certificate is currently installed. Subject: c=us,st=california,l=irvine,o=daml,cn=daml Server Capítulo 4. Configurando a Autenticação SSL para o Adaptador Solaris 39

54 Instalando um Certificado CA Se você estiver utilizando a autenticação de cliente, precisará instalar um certificado CA. O certificado CA que você instala é emitido por um fornecedor de autoridade de certificação. Para instalar um certificado CA que foi extraído em um arquivo temporário, conclua as seguintes etapas: 1. No prompt Main Menu, digite F (Install a CA certificate). O seguinte aviso é exibido: Enter name of certificate file: 2. No prompt Enter name of certificate file, digite o nome do arquivo de certificado, como DamlCACerts.pem, e pressione Enter. O arquivo de certificado é aberto e o seguinte prompt é exibido: e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng Install the CA? (Y/N) 3. No prompt Install the CA, digite Y para instalar o certificado e pressione Enter. O arquivo de certificado de CA é instalado no arquivo CACerts.pem. Visualizando Certificados CA O CertTool só instala um certificado e uma chave privada. Para listar o certificado CA que está instalado no adaptador, digite E no prompt Main Menu. Os certificados CA instalados são exibidos e o Main Menu é exibido. O exemplo a seguir lista um certificado CA instalado: Subject: o=ibm,ou=samplecacert,cn=testca Valid To: Wed Jul 26 23:59: Excluindo um Certificado CA Para excluir um certificado CA dos diretórios do adaptador, conclua as etapas a seguir: 1. No prompt Main Menu, digite G. Uma lista de todos os certificados CA instalados no adaptador é exibida. 0 - e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng 1 - e=support@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=support,cn=support Enter number of CA certificate to remove: 2. No prompt Enter number of CA certificate to remove, digite o número do certificado CA que você deseja remover e pressione Enter. O certificado CA é excluído do arquivo CACerts.pem e o Main Menu é exibido. Visualizando Certificados Registrados Somente pedidos que apresentam um certificado registrado serão aceitos pelo adaptador quando a validação de cliente for ativada. Para visualizar uma lista de todos os certificados registrados disponíveis no adaptador, no prompt Main Menu, digite H. Os certificados registrados são exibidos e o Main Menu é exibido. O exemplo a seguir lista certificados registrados: 0 - e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng 1 - e=support@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=support,cn=support 40 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

55 Registrando um Certificado Para registrar um certificado para o adaptador, conclua as seguintes etapas: 1. No prompt Main Menu, digite I. O seguinte aviso é exibido: Enter name of certificate file: 2. No prompt Enter name of certificate file, digite o nome do arquivo de certificado que você deseja registrar e pressione Enter. O assunto do certificado é exibido e um prompt é exibido; por exemplo: e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng Register this CA? (Y/N) 3. No prompt Register this CA, digite Y para registrar o certificado e pressione Enter. O certificado é registrado para o adaptador e o Main Menu é exibido. Cancelando o Registro de um Certificado Para cancelar o registro de um certificado para o adaptador, conclua as seguintes etapas: 1. No prompt Main Menu, digite J. Os certificados registrados são exibidos. O exemplo a seguir lista certificados registrados: 0 - e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng 1 - e=support@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=support,cn=support 2. Digite o número do arquivo de certificado cujo registro você deseja cancelar e pressione Enter. O assunto do certificado selecionado e um prompt são exibidos; por exemplo: e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng Unregister this CA? (Y/N) 3. No prompt Unregister this CA, digite Y para cancelar o registro do certificado e pressione Enter. O certificado é removido da lista de certificados registrados para o adaptador e o Main Menu é exibido. Exportando um Certificado e uma Chave para o Arquivo PKCS12 Para exportar um certificado e uma chave para um arquivo PKCS12 do adaptador, conclua as seguintes etapas: 1. No prompt Main Menu, digite K. O seguinte aviso é exibido: Enter name of PKCS12 file: 2. No prompt Enter name of PKCS12 file, digite o nome do arquivo PKCS12 da chave privada ou do certificado instalado e pressione Enter. 3. No prompt Enter Password, digite a senha do arquivo PKCS12 e pressione Enter. 4. No prompt Confirm Password, digite a senha novamente e pressione Enter. O certificado ou a chave privada é exportado para o arquivo PKCS12 e o Main Menu é exibido. Capítulo 4. Configurando a Autenticação SSL para o Adaptador Solaris 41

56 42 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

57 Capítulo 5. Customizando o Adaptador Solaris Você pode atualizar o arquivo JAR do Adaptador Solaris, SolarisProfile.jar, para fazer alterações no esquema do adaptador, no formulário de conta, no formulário de serviço e nas propriedades do perfil. Para fazer essas atualizações, você deverá extrair os arquivos do arquivo JAR, fazer as alterações nos arquivos necessários e recompactar o arquivo JAR com os arquivos atualizados. Conclua estas etapas para customizar o perfil do Adaptador Solaris: 1. Copie o arquivo JAR em um diretório temporário e extraia os arquivos. Para obter mais informações sobre como extrair os arquivos, consulte Copiar o Arquivo SolarisProfile.jar e Extrair os Arquivos. 2. Faça as alterações apropriadas no arquivo. 3. Instale os novos atributos no Servidor Tivoli Identity Manager. Para obter mais informações sobre como atualizar esse arquivo, consulte Criar um Novo Arquivo JAR e Instalar os Novos Atributos no Servidor Tivoli Identity Manager na página 44. Copiar o Arquivo SolarisProfile.jar e Extrair os Arquivos O arquivo JAR do perfil, SolarisProfile.jar, está incluído no arquivo compactado do Adaptador Solaris transferido por download no Web site da IBM. O arquivo SolarisProfile.jar contém os seguintes arquivos: v v v v CustomLabels.properties ersolarisaccount.xml ersolarisdamlservice.xml resource.def v schema.dsml Você pode modificar esses arquivos para customizar seu ambiente. Quando tiver concluído a atualização do arquivo JAR do perfil, instale-o no Servidor Tivoli Identity Manager. Para obter mais informações sobre a instalação do perfil, consulte Importando o Perfil do Adaptador no Servidor Tivoli Identity Manager na página 5. Para modificar o arquivo SolarisProfile.jar, conclua as etapas a seguir: 1. Efetue login no sistema em que o Adaptador Solaris está instalado. 2. Copie o arquivo SolarisProfile.jar para um diretório temporário. 3. Extraia o conteúdo do arquivo SolarisProfile.jar no diretório temporário executando o seguinte comando: #cd /tmp jar -xvf SolarisProfile.jar O comando jar criará o diretório /tmp/solarisprofile. 4. Edite o arquivo apropriado. Direitos Autorais IBM Corp. 2003,

58 Criar um Novo Arquivo JAR e Instalar os Novos Atributos no Servidor Tivoli Identity Manager Depois de modificar os arquivos schema.dsml e CustomLabels.properties, você deverá importar esses arquivos, e qualquer outro que tenha modificado para o adaptador, para o Servidor Tivoli Identity Manager para que as alterações sejam efetivadas. Para instalar os novos atributos, conclua as seguintes etapas: 1. Crie um novo arquivo JAR utilizando os arquivos no diretório /temp, executando os seguintes comandos: #cd /tmp jar -cvf SolarisProfile.jar SolarisProfile 2. Importe o arquivo SolarisProfile.jar para o Servidor de Aplicativos Tivoli Identity Manager. Para obter mais informações sobre como importar o arquivo, consulte Importando o Perfil do Adaptador na página Pare e inicie o servidor de diretórios. 4. Pare e inicie o serviço Adaptador Solaris para efetivar as alterações. Gerenciando Senhas ao Restaurar Contas Quando as contas de uma pessoa são restauradas de um estado de suspensão anterior, você é solicitado a fornecer uma nova senha para as contas restabelecidas. Entretanto, em algumas circunstâncias, pode ser mais conveniente evitar esse comportamento. O requisito de senha para restaurar uma conta no Servidor Solaris está dividido em duas categorias: permitido e necessário. O modo de interação de cada ação de restauração com seu correspondente recurso gerenciado depende do recurso gerenciado ou dos processos de negócios implementados. Determinados recursos rejeitarão uma senha quando for feito um pedido para restaurar uma conta. Nesse caso, você poderá configurar o Tivoli Identity Manager para abster-se do novo requisito de senha. Você poderá definir o Adaptador Solaris para exigir uma nova senha quando a conta for restaurada, se sua empresa tem um processo de negócios que exige que o processo de restauração de conta seja acompanhado da reconfiguração da senha. No arquivo resource.def, você pode definir se uma senha é ou não necessária como uma nova opção de protocolo. Ao importar o perfil do adaptador, se uma opção não for especificada, o importador do perfil do adaptador determinará o comportamento de restauração de senha correto dos arquivos schema.dsml e xforms.xml. Os componentes de perfil do adaptador também permitem que serviços remotos determinem a possibilidade de descartar uma senha digitada pelo usuário em situações nas quais várias contas em recursos distintos estão sendo restauradas. Nesse cenário, é possível que apenas algumas das contas em processo de restauração exijam uma senha. Os serviços remotos descartarão a senha da ação de restauração referente aos recursos gerenciados nos quais ela não é necessária. Para configurar o Adaptador Solaris para não solicitar uma nova senha ao restaurar contas: 1. Pare o Servidor Tivoli Identity Manager. 2. Extraia os arquivos do arquivo SolarisProfile.jar. Para obter mais informações sobre como customizar o arquivo de perfil do adaptador, consulte Copiar o Arquivo SolarisProfile.jar e Extrair os Arquivos na página IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

59 3. Vá para o diretório \SolarisProfile, no qual o arquivo resource.def foi criado. 4. Edite o arquivo resource.def para incluir as novas opções de protocolo, por exemplo: <Property Name = "com.ibm.itim.remoteservices.resourceproperties. PASSWORD_NOT_REQUIRED_ON_RESTORE" Value = "TRUE"/> <Property Name = "com.ibm.itim.remoteservices.resourceproperties. PASSWORD_NOT_ALLOWED_ON_RESTORE" Value = "FALSE"/> Incluindo as duas opções no exemplo anterior, você estará garantindo que não será solicitado a digitar uma senha ao restaurar uma conta. 5. Crie um novo arquivo SolarisProfile.jar utilizando o arquivo resource.def e importe o arquivo de perfil do adaptador para o Servidor Tivoli Identity Manager. Para obter informações adicionais, consulte Criar um Novo Arquivo JAR e Instalar os Novos Atributos no Servidor Tivoli Identity Manager na página Inicie o Servidor Tivoli Identity Manager novamente. Nota: Se você estiver fazendo upgrade do perfil de um adaptador existente, o novo esquema de perfil do adaptador não será refletido imediatamente. É preciso parar e iniciar o Servidor Tivoli Identity Manager para atualizar o cache e assim o esquema do adaptador. Para obter mais informações sobre como fazer upgrade de um adaptador existente, consulte Fazendo Upgrade do Adaptador Solaris na página 47. Capítulo 5. Customizando o Adaptador Solaris 45

60 46 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

61 Capítulo 6. Fazendo Upgrade do Adaptador Solaris ou do ADK Você pode fazer upgrade do Adaptador Solaris ou do ADK (Adapter Development Kit). O ADK é o componente básico do adaptador. Enquanto todos os adaptadores têm o mesmo ADK, a funcionalidade restante do adaptador é específica do recurso gerenciado. Você pode executar um upgrade do adaptador para migrar a instalação atual do adaptador para uma versão mais nova, por exemplo, da versão 4.4 para a versão 4.6. Fazer upgrade do adaptador, em vez de reinstalá-lo, permitirá manter suas definições de configuração. Além disso, você não terá de desinstalar o adaptador atual e instalar a versão mais nova. Entretanto, se uma correção de código tiver sido feita no ADK, em vez de fazer upgrade do adaptador inteiro, você poderá fazer upgrade apenas do ADK para a versão mais nova. Fazendo Upgrade do Adaptador Solaris Fazendo Upgrade do ADK Durante um upgrade, para manter todas as definições de configuração atuais, bem como o certificado e a chave privada, não desinstale a versão antiga do adaptador antes de instalar a nova versão. Durante a instalação, especifique o mesmo diretório de instalação onde o adaptador anterior foi instalado. Para obter mais informações sobre como instalar o adaptador, consulte o Capítulo 2, Instalando e Configurando o Adaptador Solaris, na página 3. Se você tem atualmente a versão 4.4 ou 4.5 do Adaptador Solaris instalada e quer a versão 4.6, será necessário um upgrade do adaptador. Fazer upgrade do adaptador envolve várias etapas que você deverá concluir na seqüência apropriada. Para fazer o upgrade de um adaptador existente, conclua as seguintes etapas: 1. Pare o serviço do Adaptador Solaris. 2. Instale a nova versão do adaptador. Quando o adaptador atualizado for iniciado pela primeira vez, novos arquivos de log serão criados, substituindo os arquivos antigos. O ADK consiste na biblioteca de tempo de execução, na filtragem e na funcionalidade de notificação de eventos, bem como em configurações de protocolo e informações de log. O restante do adaptador é composto das funções Incluir, Modificar, Excluir e Procurar. Enquanto todos os adaptadores têm o mesmo ADK, a funcionalidade restante é específica do recurso gerenciado. Você pode utilizar o programa de upgrade do ADK para atualizar a parte ADK dos adaptadores que estão instalados atualmente em uma máquina. Isso permite instalar apenas o ADK, não o adaptador inteiro. Como parte do upgrade do ADK, as bibliotecas do ADK e do protocolo DAML são atualizadas. Além disso, os binários do agentcfg e do CertTool são atualizados. Direitos Autorais IBM Corp. 2003,

62 Antes de fazer upgrade dos arquivos do ADK, o programa de upgrade verifica a versão atual do ADK. Se o nível atual for superior ao que você está tentando instalar, uma mensagem de aviso será exibida. Para fazer upgrade do Adaptador Solaris ADK, conclua as seguintes etapas: 1. Faça download do arquivo do programa de upgrade do ADK no Web site da IBM. 2. Extraia o conteúdo do arquivo compactado para um diretório temporário. 3. Altere o diretório de trabalho para o diretório temporário onde você extraiu os arquivos de instalação do adaptador. Por exemplo: # cd /tmp 4. Execute o programa de upgrade do ADK apropriado ao seu sistema operacional. #./adkinst_<operating system>.bin em que <operating system> é o nome de seu sistema operacional, como aix, solaris, linux ou hpux. 5. Na janela Bem-vindo, clique em Avançar. 6. Na janela Contrato de Licença de Software, revise o contrato de licença e decida se você aceita os termos. Se aceitá-los, clique em Aceitar. 7. Na janela Caminho de Instalação do Agente, digite o local onde o adaptador está instalado atualmente e clique em Avançar. Se nenhum adaptador for localizado, você receberá a seguinte mensagem de erro: Local de Instalação Inválido - Impossível Instalar o ADK. Você será solicitado em seguida a digitar outro caminho de instalação do adaptador ou a clicar em Cancelar para sair do programa. 8. Na janela Informações da Instalação, clique em Avançar para iniciar a instalação. 9. Se o adaptador estiver em execução atualmente, a janela Parar Agente será exibida, solicitando que você pare o adaptador. 10. Na janela Instalação Concluída, clique em Avançar. 11. Na janela Fazer Upgrade de outro ADK, clique em Sim para fazer upgrade de outro ADK do adaptador ou clique em Não para sair do programa. Arquivos de Log Entradas de log são armazenadas nos arquivos <ADKVersion>Installer.log e <ADKVersion>Installeropt.log, em que <ADKVersion> é a versão do ADK. Por exemplo, ADK46Installer.log e ADK46Installeropt.log. Esses arquivos são criados na pasta em que você executa o programa de instalação. 48 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

63 Capítulo 7. Desinstalando o Adaptador Solaris Antes de remover o adaptador, informe seus usuários de que o Adaptador Solaris estará indisponível e será removido do sistema. Se o servidor for colocado off-line, os pedidos do Adaptador Solaris que não estiverem concluídos não poderão ser recuperados quando o servidor estiver on-line novamente. Para remover o Adaptador Solaris, conclua estas etapas: 1. No diretório /bin, digite./stopagent.sh para interromper o serviço Adaptador Solaris. 2. No diretório <adapter_directory>/_uninst, digite./uninstaller.bin e pressione Enter para executar o script de desinstalação, em que adapter_directory é o diretório no qual o adaptador foi instalado. 3. Na janela Bem-vindo, clique em Avançar. 4. Na janela Resumo da Desinstalação do Adaptador Solaris, clique em Avançar. 5. Na janela Remover Arquivo Existente, clique em Sim para Todos se deseja remover os arquivos de log do adaptador ou clique em Não para Todos para manter os arquivos. 6. Clique em Concluir. Inspecione a árvore de diretórios para verificar se os diretórios, os subdiretórios e os arquivos do Adaptador Solaris foram excluídos. Direitos Autorais IBM Corp. 2003,

64 50 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

65 Apêndice A. Atributos do Adaptador Descrições dos Atributos Como parte da implementação do adaptador, uma conta dedicada para o Tivoli Identity Manager acessar o Servidor Solaris é criada no Servidor Solaris. O Adaptador Solaris consiste em arquivos e diretórios que são de propriedade da conta do Tivoli Identity Manager. Esses arquivos estabelecem comunicação com o Servidor Tivoli Identity Manager. Não existem atributos do adaptador para Excluir, Suspender, Restaurar e Reconciliar um acesso. Para desempenhar essas funções de acesso, utilize as opções correspondentes da interface GUI. Os dados padrão já está incluídos no banco de dados do Tivoli Identity Manager. Os dados para essas funções podem ser alterados manualmente no arquivo xforms.xml. O Servidor Tivoli Identity Manager se comunica com o Adaptador Solaris utilizando atributos incluídos em pacotes de transmissão enviados por uma rede. A combinação de atributos, incluídos nos pacotes, depende do tipo de ação que o Servidor Tivoli Identity Manager solicita do Adaptador Solaris. A Tabela 12 é uma listagem em ordem alfabética dos atributos que são utilizados pelo Adaptador Solaris. A tabela fornece uma descrição resumida e o tipo de dados para o valor do atributo. Tabela 12. Atributos, Descrições e Tipos de Dados Correspondentes Atributo Atributo do Servidor de Diretórios Descrição Tipo de Dados GroupId ersolarisgroupid Especifica o ID do grupo ao qual o usuário pertence. GroupMember ersolarisgroupmember Especifica o ID do grupo secundário ao qual o usuário pertence. GroupName ersolarisgroupname Especifica o nome do grupo que é retornado durante uma reconciliação. lu_at ersolarisat Especifica o sinalizador que configurará uma tarefa como permitida ou não permitida. lu_cron ersolariscron Especifica o sinalizador que configurará uma tarefa cron como permitida ou não permitida. lu_dupuid erunixduplicateuid Especifica o sinalizador que indica se um ID de usuário duplicado é permitido durante um pedido de inclusão. String String String Booleano Booleano Booleano Direitos Autorais IBM Corp. 2003,

66 Tabela 12. Atributos, Descrições e Tipos de Dados Correspondentes (continuação) Atributo Atributo do Servidor de Diretórios Descrição Tipo de Dados lu_expire erexpirationdate Especifica a data de expiração para a conta de usuário. lu_force erpasswordforcechange Especifica se o usuário precisa alterar sua senha no próximo login. lu_gecos gecos Especifica o campo principal do GECOS e é uma descrição genérica do usuário. lu_gid gidnumber Especifica o número do ID do grupo ao qual o usuário pertence. lu_home_mode erhomedirpermissions Especifica o valor do modo de arquivo de alteração de três dígitos para o diretório home do usuário. lu_home_path erhomedir Especifica o caminho completo do UNIX para a conta de usuário. lu_idle_days eraccountidledays Especifica o número máximo de dias durante os quais uma conta de usuário pode ficar inativa. lu_last_access erlastaccessdate Especifica a data do último acesso à conta de usuário. lu_passwd erpassword Especifica a senha do usuário como uma cadeia de caracteres apenas de gravação, com oito ou menos caracteres. lu_primary_group erunixprimarygroup Especifica o nome ou ID do grupo primário. lu_pwd_last_change erpasswordlastchange Especifica a data da última alteração da senha. lu_pwd_max_age erpasswordmaxage Especifica o número máximo de dias que a senha é válida. lu_pwd_max_expired ersolarispwdmaxexpire Especifica o número de semanas entre a expiração da senha e o bloqueio da conta. lu_pwd_max_repeats ersolarispwdmaxrepeats Especifica o número máximo de caracteres repetidos permitidos em uma senha. Número inteiro String Cadeia ASCII Número inteiro Número inteiro String Número inteiro Número inteiro String Cadeia ASCII Número inteiro Número inteiro Número inteiro Número inteiro 52 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

67 Tabela 12. Atributos, Descrições e Tipos de Dados Correspondentes (continuação) Atributo Atributo do Servidor de Diretórios Descrição Tipo de Dados lu_pwd_min_age erpasswordminage Especifica o número mínimo de dias que a senha atual é válida. lu_pwd_warn_age erpasswordwarnage Especifica o número de dias que restam antes de um aviso de expiração de senha ser emitido. lu_secondary_groups erunixsecondarygroup Especifica o nome ou ID do grupo para grupos secundários. lu_shell erunixshell Especifica um shell de login válido para contas de usuário solicitadas. lu_uid uidnumber Especifica o número de ID de login do usuário. lu_umask erunixumask Especifica o número de três dígitos para a máscara de criação do arquivo. UserName eruid Especifica o nome de login do usuário. UserStatus eraccountstatus Especifica o sinalizador que indica se a conta do usuário está, ou não, suspensa. Número inteiro Número inteiro String String Número inteiro Número inteiro Cadeia ASCII Booleano Atributos do Adaptador Solaris por Ação A lista a seguir relaciona as ações típicas do Adaptador Solaris de acordo com o seu grupo de transações funcionais. As listas incluem mais informações sobre atributos opcionais e obrigatórios enviados ao Adaptador Solaris para concluir essa ação. Ping Utilize o Ping para verificar a conexão entre o Adaptador Solaris e o Servidor Tivoli Identity Manager. O Ping não requer atributos. Adição de Logins do Sistema Inclusão de Login do Sistema é um pedido para criar uma nova conta de usuário no domínio com os atributos especificados. Tabela 13. Atributos de Pedido de Inclusão Atributo Obrigatório Atributo Opcional eruid erpassword Todos os outros atributos suportados Apêndice A. Atributos do Adaptador 53

68 Alteração de Login do Sistema Alteração de Login do Sistema é um pedido para alterar um ou mais atributos para os usuários especificados. Tabela 14. Atributos de Pedido de Alteração Atributo Obrigatório Atributo Opcional eruid Todos os outros atributos suportados Exclusão de Login do Sistema Exclusão de Login do Sistema é um pedido para remover o usuário especificado do Active Directory. Tabela 15. Atributos de Pedido de Exclusão Atributo Obrigatório Atributo Opcional eruid Nenhum Suspensão de Login do Sistema Suspensão de Login do Sistema é um pedido para desativar uma conta de usuário. O usuário não é removido e seus atributos não são modificados. Tabela 16. Atributos de Pedido de Suspensão Atributo Obrigatório Atributo Opcional eruid eraccountstatus Nenhum Restauração de Login do Sistema Restauração de Login do Sistema é um pedido para ativar uma conta de usuário que estava suspensa anteriormente. Uma vez restaurada uma conta, o usuário poderá acessar o sistema com os mesmos atributos de antes que a função Suspender fosse chamada. Tabela 17. Atributos de Pedido de Restauração Atributo Obrigatório Atributo Opcional eruid eraccountstatus erpassword Reconciliação A função Reconciliação sincroniza informações de contas de usuários entre o Tivoli Identity Manager e o adaptador. Tabela 18. Atributos de Reconciliação Atributo Obrigatório Atributo Opcional Nenhum Nenhum 54 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

69 Apêndice B. Informações sobre Suporte Esta seção descreve as seguintes opções para obtenção de suporte para produtos IBM: v Procurando Bases de Conhecimento v Obtendo as Correções na página 56 v Entrando em Contato com o IBM Software Support na página 56 Procurando Bases de Conhecimento Se tem um problema com seu software IBM, você quer que seja resolvido rapidamente. Comece pesquisando as bases de conhecimento disponíveis para determinar se a resolução para seu problema já está documentada. Procurar no Centro de Informações no Sistema ou Rede Local A IBM fornece uma documentação extensa que pode ser instalada na sua máquina local ou em um servidor intranet. Você pode utilizar a função de pesquisa desse centro de informações para consultar informações conceituais, instruções para concluir tarefas, informações de referência e documentos de suporte. Procurar na Internet Se não encontrar uma resposta para sua pergunta no centro de informações, pesquise na Internet para obter as informações mais recentes e mais completas que podem ajudá-lo a resolver o problema. Para localizar recursos da Internet para seu produto, abra um dos seguintes Web sites: v IBM Tivoli Identity Manager: Guia de Ajuste de Desempenho Fornece as informações necessárias para ajustar o Servidor Tivoli Identity Manager a um ambiente de produção, disponível na Web em: Clique no caractere I na lista de produtos de A a Z e, em seguida, clique no link Tivoli Identity Manager. Procure no centro de informações a seção Technical Supplements. v Redbooks e white papers estão disponíveis na Web em: IBMTivoliIdentityManager.html Procure a seção Self Help, na categoria Learn e clique no link Redbooks. v As technotes estão disponíveis na Web em: v Os guias de campo estão disponíveis na Web em: v Para obter uma lista maior de outros recursos do Tivoli Identity Manager, procure no seguinte endereço da Web do IBM developerworks: Direitos Autorais IBM Corp. 2003,

70 Obtendo as Correções Uma correção do produto pode estar disponível para resolver seu problema. É possível determinar quais correções estão disponíveis para seu produto de software IBM verificando o Web site de suporte ao produto: 1. Vá para o Web site do IBM Software Support ( 2. Em Products support pages A to Z, selecione a letra do nome de seu produto. 3. Na lista de produtos específicos, clique em IBM Tivoli Identity Manager. 4. Em Self help, você localiza uma lista de correções, fix packs e outras atualizações de serviço para seu produto. 5. Clique no nome de uma correção para ler a descrição e, opcionalmente, fazer o download da correção. Para receber semanalmente notificações de sobre as correções e outras notícias sobre os produtos IBM, siga estas etapas: 1. Na página de suporte de qualquer produto IBM, clique em My support no canto superior esquerdo da página. 2. Se você já tiver se registrado, vá para a próxima etapa. Se não tiver se registrado, clique em registro no canto superior direito da página de suporte para estabelecer seu ID de usuário e senha. 3. Registre-se em My support. 4. Na página My support, clique em Edit profiles na área de janela de navegação à esquerda e role para Select Mail Preferences. Selecione uma família de produtos e marque as caixas apropriadas para o tipo de informações que você deseja. 5. Clique em Submit. 6. Para obter notificação de de outros produtos, repita as Etapas 4 e 5. Para obter informações adicionais sobre tipos de correções, consulte o Software Support Handbook ( Entrando em Contato com o IBM Software Support O IBM Software Support fornece assistência para os defeitos de produto. Antes de entrar em contato com o IBM Software Support, sua empresa deve ter um contrato ativo de manutenção de software IBM e deve estar autorizado a submeter os problemas à IBM. O tipo de contrato de manutenção de software que você precisa depende do tipo de produto que você tem: v Para produtos de software distribuídos pela IBM (incluindo, mas não se limitando a, produtos Tivoli, Lotus e Rational, bem como produtos DB2 e WebSphere que são executados em sistemas operacionais Windows ou UNIX), cadastre-se no Passport Advantage de uma das seguintes maneiras: On-line: Visite a página da Web do Passport Advantage ( Passport_Advantage_Home) e clique em How to Enroll Por Telefone: Para obter o número de telefone para ligar em seu país, vá para o Web site do IBM Software Support ( e clique no nome de sua região geográfica. v Para produtos de software IBM eserver (incluindo, mas não se limitando a, produtos DB2 e WebSphere que são executados em ambientes zseries, pseries e 56 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

71 iseries), você pode adquirir um acordo de manutenção de software diretamente de um representante de vendas IBM ou um de um Parceiro de Negócios IBM. Para obter informações adicionais sobre suporte para produtos de software eserver, visite a página da Web do IBM Technical Support Advantage ( Se não tiver certeza do tipo de contrato de manutenção de software que você precisa, ligue para IBMSERV ( ) nos Estados Unidos ou, de outros países, vá para a página de contatos do IBM Software Support Handbook na Web ( e clique no nome da sua região geográfica para obter os números de telefone de pessoas que fornecem suporte para a sua localidade. Siga as etapas deste tópico para contatar o IBM Software Support: 1. Determine o impacto de seu problema na empresa. 2. Descreva seu problema e reúna informações de apoio. 3. Submeta seu problema ao IBM Software Support. Determinar o Impacto Comercial do Problema Quando você relatar um problema à IBM, será necessário fornecer um nível de severidade. Portanto, é necessário entender e avaliar o impacto comercial do problema que você está relatando. Utilize os critérios a seguir: Gravidade 1 Impacto comercial crítico: Não é possível utilizar o programa, resultando em um impacto crítico nas operações. Essa condição requer uma solução imediata. Gravidade 2 Impacto comercial significativo: O programa é utilizável, mas é muito limitado. Gravidade 3 Algum impacto comercial: O programa é utilizável com recursos menos significativos (não críticos para as operações) não disponíveis. Gravidade 4 Impacto comercial mínimo: O problema causa um pequeno impacto nas operações ou foi implementado um engano razoável para o problema. Descrever seu Problema e Reunir Informações de Segundo Plano Ao explicar um problema à IBM, seja o mais específico possível. Inclua todas as informações relevantes de segundo plano para que os especialistas do IBM Software Support possam ajudá-lo a solucionar o problema com eficiência. Para economizar tempo, conheça as respostas a essas perguntas: v Quais versões de software você estava executando quando ocorreu o problema? v Você tem logs, rastreios e mensagens que estejam relacionados aos sintomas do problema? O IBM Software Support provavelmente solicitará estas informações. v É possível recriar o problema? Se sim, quais etapas levaram ao defeito? v Foi feita alguma alteração no sistema? (Por exemplo, hardware, sistema operacional, software de rede e etc.) v Você está utilizando, atualmente, uma solução alternativa para esse problema? Se estiver, esteja preparado para explicá-la quando relatar o problema. Apêndice B. Informações sobre Suporte 57

72 Submeter Problemas ao IBM Software Support Você pode enviar seu problema de uma entre duas maneiras: v On-line: Vá para a página Submeter e Rastrear Problemas no site do IBM Software Support ( Digite suas informações na ferramenta de submissão de problemas apropriada. v Por telefone: Para obter o número de telefone em seu país, vá para a página de contatos do IBM Software Support Handbook na Web ( e clique no nome de sua região geográfica. Se o problema que você submeter destinar-se a um defeito de software ou à documentação ausente ou inexata, o IBM Software Support criará um APAR (Authorized Program Analysis Report). O APAR descreve o problema com detalhes. Sempre que possível, o IBM Software Support fornecerá uma solução alternativa para que você implemente até que o APAR seja resolvido e uma correção seja entregue. A IBM publica os APARs resolvidos nas páginas da Web do suporte ao produto IBM diariamente para que outros usuários que tenham o mesmo problema possam se beneficiar com as mesmas resoluções. Para obter mais informações sobre resolução de problemas, consulte Procurando Bases de Conhecimento e Obtendo Correções. 58 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

73 Apêndice C. Avisos Estas informações foram desenvolvidas para produtos e serviços oferecidos nos Estados Unidos. É possível que a IBM não ofereça os produtos, serviços ou recursos discutidos neste documento em seu país. Consulte o representante IBM local para obter informações sobre os produtos e serviços disponíveis atualmente em sua área. Qualquer referência a produtos, programas ou serviços IBM não significa que somente produtos, programas ou serviços IBM possam ser utilizados. Qualquer produto, programa ou serviço funcionalmente equivalente, que não infrinja nenhum direito de propriedade intelectual da IBM ou quaisquer outros direitos da IBM, poderá ser utilizado em substituição a este produto, programa ou serviço. Porém, é de responsabilidade do usuário a avaliação e verificação da operação de qualquer produto, programa ou serviço que não seja da IBM. A IBM pode ter patentes ou solicitações de patentes relativas a assuntos tratados neste documento. O fornecimento deste documento não dá ao Cliente nenhuma licença relativa a estas patentes. Pedidos de licença devem ser enviados, por escrito, para: Gerência de Relações Comerciais e Industriais da IBM Brasil Av. Pasteur, Botafogo Rio de Janeiro, RJ CEP Para pedidos de licenças com relação a informações sobre DBCS (Conjunto de Caracteres de Byte Duplo), entre em contato com o Departamento de Propriedade Intelectual da IBM em seu país ou envie pedidos, por escrito, para: IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome, Minato-ku Tokyo , Japan O parágrafo a seguir não se aplica a nenhum país em que tais disposições não estejam de acordo com a legislação local: A INTERNATIONAL BUSINESS MACHINES CORPORATION FORNECE ESTA PUBLICAÇÃO NO ESTADO EM QUE SE ENCONTRA SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO, MAS NÃO LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE MERCADO OU DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. Alguns estados não permitem a exclusão de garantias expressas ou implícitas em certas transações; portanto, esta disposição pode não se aplicar ao Cliente. Estas informações podem conter imprecisões técnicas ou erros tipográficos. Alterações são periodicamente realizadas nas informações aqui contidas; tais alterações serão incorporadas em futuras edições desta publicação. A IBM pode, a qualquer momento, aperfeiçoar e/ou alterar os produtos e/ou programas descritos nesta publicação, sem aviso prévio. Referências nestas informações a Web sites não-ibm são fornecidas apenas por conveniência e não representam de forma alguma um endosso a esses Web sites. Os materiais contidos nesses Web sites não fazem parte deste produto IBM e seu uso é de responsabilidade do cliente. Direitos Autorais IBM Corp. 2003,

74 A IBM pode utilizar ou distribuir as informações fornecidas da forma que julgar apropriada sem incorrer em qualquer obrigação para com o Cliente. Licenciados deste programa que pretendam obter informações adicionais sobre o mesmo com o objetivo de permitir: (i) a troca de informações entre programas criados independentemente e outros programas (incluindo este) e (ii) a utilização mútua das informações trocadas, devem entrar em contato com: Gerência de Relações Comerciais e Industriais da IBM Brasil Av. Pasteur, Botafogo Rio de Janeiro, RJ CEP Tais informações podem estar disponíveis, sujeitas a termos e condições apropriados, incluindo em alguns casos, o pagamento de uma taxa. O programa licenciado descrito nessas informações e todo o material licenciado disponível são fornecidos pela IBM sob os termos do Acordo do Cliente IBM, do Acordo Internacional de Licença de Programa IBM, ou sob qualquer acordo equivalente entre as partes. Quaisquer dados sobre desempenho contidos neste documento foram determinados em um ambiente controlado. Portanto, os resultados obtidos em outros ambientes operacionais poderão variar significativamente. Algumas medidas podem ter sido tomadas em sistemas de nível de desenvolvimento e não há garantia de que estas medidas sejam iguais em sistemas geralmente disponíveis. Além disso, algumas medidas podem ter sido estimadas através de extrapolação. O resultado real pode variar. Os usuários deste documento devem verificar os dados aplicáveis para seu ambiente específico. As informações referentes a produtos não-ibm foram obtidas com os fornecedores desses produtos, anúncios publicados ou outras fontes de publicidade disponíveis. A IBM não testou esses produtos e não pode confirmar a precisão do seu desempenho, compatibilidade ou qualquer outro requisito relacionado a produtos não-ibm. Dúvidas sobre os recursos de produtos não-ibm devem ser encaminhadas diretamente a seus fornecedores. Marcas Registradas Os seguintes termos são marcas registradas da International Business Machines Corporation nos Estados Unidos e/ou em outros países: IBM IBM (logotipo) AIX DB2 Novell SecureWay Tivoli Tivoli (logotipo) Universal Database WebSphere Lotus é uma marca registrada da Lotus Development Corporation e/ou IBM Corporation. 60 IBM Tivoli Identity Manager: Adaptador Solaris - Guia de Instalação e Configuração

75 Domino é uma marca registrada da International Business Machines Corporation e Lotus Development Corporation nos Estados Unidos e/ou em outros países. Microsoft, Windows, Windows NT e o logotipo do Windows são marcas registradas da Microsoft Corporation nos Estados Unidos e/ou em outros países. Intel, Intel Inside (logotipos), MMX e Pentium são marcas registradas da Intel Corporation nos Estados Unidos e/ou em outros países. UNIX é uma marca registrada da The Open Group nos Estados Unidos e/ou em outros países. Linux é uma marca registrada da Linus Torvalds nos Estados Unidos e/ou em outros países. Sun, Sun Microsystems e o logotipo da Sun são marcas registradas da Sun Microsystems, Inc. nos Estados Unidos e em outros países. Java e todas as marcas baseadas em Java são marcas registradas da Sun Microsystems Inc. nos Estados Unidos e/ou em outros países. Outros nomes de empresas, produtos e serviços podem ser marcas registradas ou marcas de serviços de terceiros. Apêndice C. Avisos 61