Tivoli Identity Manager

Transcrição

1 Tivoli Identity Manager Versão 4.6 Adaptador Linux: Guia de Instalação e Configuração S

2

3 Tivoli Identity Manager Versão 4.6 Adaptador Linux: Guia de Instalação e Configuração S

4 Nota Antes de utilizar estas informações e o produto suportado por elas, leia as informações no Apêndice C, Avisos, na página 59. Sexta Edição (Junho de 2005) Esta edição aplica-se à versão 4.6 deste adaptador e a todos os releases e modificações subseqüentes, até que seja indicado de outra maneira em novas edições. Direitos Autorais International Business Machines Corporation 2003, Todos os direitos reservados.

5 Índice Prefácio v Quem Deve Ler este Manual v Publicações e Informações Relacionadas.....v Biblioteca do Tivoli Identity Manager.....v Publicações de Pré-requisito do Produto.... vii Publicações Relacionadas viii Acessando Publicações On-line viii Acessibilidade viii Informações sobre Suporte ix Convenções Utilizadas neste Manual......ix Convenções Tipográficas ix Diferenças de Sistemas Operacionais.....x Definições para HOME e Outras Variáveis de Diretório x Capítulo 1. Visão Geral do Adaptador Linux Recursos do Adaptador Capítulo 2. Instalando e Configurando o Adaptador Linux Pré-requisitos Instalando o Adaptador Importando o Perfil do Adaptador para o Servidor Tivoli Identity Manager Importando o Perfil do Adaptador Criando um Serviço Linux Configurando o Adaptador Capítulo 3. Configurando o Adaptador Linux para o IBM Tivoli Identity Manager 9 Iniciando a Ferramenta de Configuração do Adaptador Visualizando Definições de Configuração Alterando as Definições de Configuração do Protocolo Configurando a Notificação de Eventos Definindo Acionadores de Notificação de Eventos 16 Modificando um Contexto de Notificação de Eventos Alterando a Chave de Configuração Alterando Definições do Log de Atividades...20 Alterando Definições de Registro Modificando Definições de Registro Não Criptografadas Alterando Definições Avançadas Visualizando Estatísticas Alterando Definições da Página de Códigos...25 Acessando Ajuda e Opções Adicionais Capítulo 4. Configurando uma Autenticação SSL para o Adaptador Linux Visão Geral do SSL e de Certificados Digitais...29 Chaves Privadas, Chaves Públicas e Certificados Digitais Certificados Auto-assinados Certificado e Formatos de Chave O Uso da Autenticação SSL Configurando Certificados para Autenticação SSL 32 Configurando Certificados para Autenticação SSL Unidirecional Configurando Certificados para Autenticação SSL Bidirecional Configurando Certificados Quando o Adaptador Opera como um Cliente SSL Gerenciando Certificados SSL Utilizando o CertTool 35 Iniciando o CertTool Gerando uma Chave Privada e um Pedido de Certificado Instalando o Certificado Instalando o Certificado e a Chave a partir de um Arquivo PKCS Visualizando o Certificado Instalado Instalando um Certificado de CA Visualizando Certificados de CA Excluindo um Certificado de CA Visualizando Certificados Registrados Registrando um Certificado Cancelando o Registro de um Certificado...41 Exportando um Certificado e a Chave para o Arquivo PKCS Capítulo 5. Customizando o Adaptador Linux Copiar o Arquivo LinuxProfile.jar e Extrair os Arquivos Criar um Novo Arquivo JAR e Instalar os Novos Atributos no Servidor Tivoli Identity Manager...44 Gerenciando Senhas ao Restaurar Contas Capítulo 6. Fazendo Upgrade do Adaptador Linux ou do ADK Fazendo Upgrade do Adaptador Linux Fazendo Upgrade do ADK Arquivos de Log Capítulo 7. Desinstalando o Adaptador 49 Apêndice A. Atributos do Adaptador.. 51 Descrições de Atributos Atributos do Adaptador Linux por Ação Ping Adição de Login do Sistema Alteração de Login do Sistema Exclusão de Login do Sistema Suspensão de Login do Sistema Restauração de Login do Sistema Direitos Autorais IBM Corp. 2003, 2005 iii

6 Reconciliação Apêndice B. Informações sobre Suporte Procurando Bases de Conhecimento Procurar no Centro de Informações no Sistema Local ou na Rede Procurar na Internet Obtendo as Correções Entrando em Contato com o IBM Software Support 56 Determinar o Impacto Comercial do Problema..57 Descrever o Problema e Reunir Informações de Segundo Plano Submeter Problemas ao IBM Software Support 58 Apêndice C. Avisos Marcas Registradas Índice Remissivo iv IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

7 Prefácio Quem Deve Ler este Manual O IBM Tivoli Identity Manager Linux Adapter (Adaptador Linux) permite conectividade entre o IBM Servidor Tivoli Identity Manager e uma rede de sistemas que executa o sistema operacional Linux 7.x ou 8.0. O Servidor Linux deve ser um sistema Intel. Depois da instalação e configuração do adaptador, o Tivoli Identity Manager gerencia o acesso aos recursos do Linux com o sistema de segurança do site. Este manual descreve como instalar e configurar um Adaptador Linux. Nota: O programa que é utilizado para conectar o recurso gerenciado ao Servidor Tivoli Identity Manager é agora chamado de adaptador. O termo adaptador substitui o termo agente utilizando anteriormente. A interface com o usuário utilizada para configurar o adaptador ainda refere-se a um adaptador como um agente. Este manual é destinado a administradores de sistema e segurança Linux responsáveis pela instalação do software nos sistemas de computador de seus sites. Os leitores devem entender sobre conceitos Linux. A pessoa que estiver concluindo o procedimento de instalação do Adaptador Linux também deve estar familiarizada com os padrões e necessidades do sistema do site para terem experiência e conhecimento Linux adequados. Os leitores devem ser capazes de executar tarefas de rotina de administração e segurança do sistema Linux. Publicações e Informações Relacionadas Leia as descrições da biblioteca do Tivoli Identity Manager. Para determinar quais publicações adicionais você poderá achar útil, leia Publicações de Pré-requisito do Produto na página vii e Publicações Relacionadas na página viii. Depois de determinar as publicações necessárias, consulte as instruções em Acessando Publicações On-line na página viii. Biblioteca do Tivoli Identity Manager As publicações na biblioteca de documentação técnica do Tivoli Identity Manager são organizadas nas seguintes categorias: v Informações sobre o Release v Assistência On-line ao Usuário v Instalação e Configuração do Servidor v Determinação de Problemas v Complementos Técnicos v Instalação e Configuração do Adaptador Informações sobre o Release: v IBM Tivoli Identity Manager: Notas sobre o Release Fornece requisitos de software e hardware para o Tivoli Identity Manager, informações adicionais sobre correção e outras informações de suporte. v IBM Tivoli Identity Manager Documentation Read This First Card Lista as publicações do Tivoli Identity Manager. Direitos Autorais IBM Corp. 2003, 2005 v

8 Assistência On-line ao Usuário: Fornece tópicos de ajuda on-line e um centro de informações para todas as tarefas administrativas do Tivoli Identity Manager. O centro de informações inclui informações que foram anteriormente fornecidas no IBM Tivoli Identity Manager Configuration Guide e no IBM Tivoli Identity Manager Policy and Organization Administration Guide. Instalação e Configuração do Servidor: O IBM Tivoli Identity Manager Server: Guia de Instalação e Configuração para Ambientes do WebSphere fornece informações de instalação e configuração para o Tivoli Identity Manager. As informações de configuração que foram anteriormente fornecidas no IBM Tivoli Identity Manager Guia de Configuração agora estão incluídas no guia de instalação ou no IBM Tivoli Identity Manager Information Center. Determinação de Problemas: O IBM Tivoli Identity Manager: Guia de Determinação de Problemas fornece determinação de problemas, log e informações de mensagens para o produto Tivoli Identity Manager. Complementos Técnicos: Os seguintes complementos técnicos são fornecidos por desenvolvedores ou por outros grupos que estão interessados nesse produto: v IBM Tivoli Identity Manager Performance Tuning Guide Fornece informações necessárias para ajustar o Servidor Tivoli Identity Manager para um ambiente de produção, disponível na Web em: Clique no caractere I na lista de produtos de A-Z e, em seguida, clique no link Tivoli Identity Manager. Procure no centro de informações a seção Technical Supplements. v Redbooks e white papers estão disponíveis na Web em: IBMTivoliIdentityManager.html Procure a seção Self Help, na categoria Learn, e clique no link Redbooks. v Technotes estão disponíveis na Web em: v Os guias de campo estão disponíveis na Web em: v Para obter uma lista estendida de outros recursos do Tivoli Identity Manager, procure os seguintes endereços da Web do IBM developerworks: Instalação e Configuração do Adaptador: A biblioteca de documentação técnica do Servidor Tivoli Identity Manager inclui também um conjunto em desenvolvimento de documentos de instalação específicos da plataforma para os componentes do adaptador de uma implementação do Servidor Tivoli Identity Manager. Localize os adaptadores na Web em: vi IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

9 Passport_Advantage_Home Clique em Support & downloads. Procure Downloads and drivers. Clique no link do inventário de adaptadores atual. Habilidades e treinamento: As seguintes informações adicionais sobre habilidades e treinamento técnico estavam disponíveis no momento em que este manual foi publicado: v Virtual Skills Center para Tivoli Software na Web em: v Tivoli Education Software Training Roadmaps na Web em: v Tivoli Technical Exchange na Web em: supp_tech_exch.html Publicações de Pré-requisito do Produto Para utilizar as informações neste manual com eficiência, você deve ter algum conhecimento dos produtos que são pré-requisitos para o Servidor Tivoli Identity Manager. As publicações estão disponíveis nas seguintes localizações: v Sistemas operacionais IBM AIX Sun Solaris Red Hat Linux Microsoft Windows Server v Servidores de bancos de dados IBM DB2 - Suporte: - Centro de informações: - Documentação: winos2unix/support/v8pubs.d2w/en_main - Família de produtos DB2: - Fix packs: - Requisitos do sistema: Oracle Microsoft SQL Server 2000 Prefácio vii

10 Publicações Acessibilidade v Aplicativos do servidor de diretórios IBM Directory Server en_us/html/ldapinst.htm Sun ONE Directory Server v WebSphere Application Server Informações adicionais estão disponíveis no diretório do produto ou Web sites. v Sistema de mensagens incorporado do WebSphere v IBM HTTP Server Relacionadas As informações relacionadas ao Servidor Tivoli Identity Manager estão disponíveis nas seguintes publicações: v O Tivoli Software Library fornece uma variedade de publicações Tivoli, como white papers, planilhas, demonstrações, redbooks e cartas de anúncio. O Tivoli Software Library está disponível na Web em: v O Tivoli Software Glossary inclui definições para muitos dos termos técnicos relacionados a software Tivoli. O Tivoli Software Glossary está disponível no link Glossary da página da Web do Tivoli Software Library em: Acessando Publicações On-line A IBM lança publicações para este e todos os outros produtos Tivoli, assim que são disponibilizados e sempre que são atualizados, no Web site do centro de informações do software Tivoli. Acesse o centro de informações do software Tivoli no seguinte endereço da Web: Clique no caractere I na lista de A-Z e, em seguida, clique no link Tivoli Identity Manager para acessar a biblioteca do produto. Nota: Se você imprimir documentos PDF em outros papéis com tamanhos diferentes de carta, defina a opção na janela File Print, permitindo que o Adobe Reader imprima páginas tamanho carta em seu papel. A documentação do produto inclui os seguintes recursos para auxiliar a acessibilidade: viii IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

11 Informações sobre Suporte v A documentação está disponível no formato PDF conversível de forma a oferecer a oportunidade máxima para que os usuários apliquem software de leitor de tela. v Todas as imagens contidas na documentação são fornecidas com texto alternativo; dessa forma, os usuários com capacidade de visão diminuída podem entender o conteúdo das imagens. Se você tiver um problema com software IBM, desejará resolvê-lo rapidamente. A IBM oferece os seguintes modos para se obter o suporte necessário: v Procurando bases de conhecimento: você pode procurar em toda a ampla coleção de problemas conhecidos e soluções alternativas, Technotes e outras informações. v Obtendo correções: você pode localizar as correções mais recentes que já estão disponíveis ao seu produto. v Entrando em Contato com o IBM Software Support: se você ainda não puder resolver o problema e precisar trabalhar com alguém da IBM, poderá utilizar várias maneiras para entrar em contato com o IBM Software Support. Para obter informações adicionais sobre essas maneiras de resolução de problemas, consulte o Apêndice B, Informações sobre Suporte, na página 55. Convenções Utilizadas neste Manual Convenções Esta referência utiliza várias convenções para termos e ações especiais e para a operação de comandos e caminhos dependentes do sistema. Tipográficas Este guia utiliza as seguintes convenções sobre tipos de letra: Negrito Itálico v Comandos em minúsculas e comandos que misturem letras minúsculas e maiúsculas que possam ser difíceis de serem distinguidos do texto ao redor v Controles da interface (caixas de opções, botões de comandos, botões de opções, botões de rotação, campos, pastas, ícones, quadros de listagem, itens dentro de quadros de listagem, listas de colunas múltiplas, contêineres, opções de menu, nomes de menus, guias, folhas de propriedades), etiquetas (como as Dicas: e Considerações sobre o sistema operacional:) v Palavras-chave e parâmetros no texto v Palavras definidas no texto v Ênfases em palavras (palavras como palavras) v Novos termos no texto (exceto na lista de definições) v Variáveis e valores que devem ser fornecidos pelo usuário Monoespaçamento v Exemplos e exemplos e código v Nomes de arquivos, palavras-chave de programação e outros elementos que são difíceis de serem distinguidos do texto adjacente Prefácio ix

12 v Texto de mensagem e avisos dirigidos ao usuário v Texto que o usuário deve digitar v Valores para opções de argumentos ou comandos Diferenças de Sistemas Operacionais Este guia utiliza a convenção do UNIX para especificar variáveis de ambiente e notação de diretório. Ao utilizar a linha de comandos do Windows, substitua $variable por %variable% para variáveis de ambiente e substitua cada barra (/) por uma barra invertida (\) nos caminhos de diretórios. Os nomes de variáveis de ambiente nem sempre são os mesmos no Windows e no UNIX. Por exemplo, %TEMP% no sistema operacional Windows equivale a $tmp no sistema operacional UNIX. Nota: Se você for utilizar o shell bash em um sistema Windows, poderá utilizar as convenções UNIX. Definições para HOME e Outras Variáveis de Diretório A tabela a seguir contém as definições padrão utilizadas neste guia para representar o nível de diretório HOME para vários caminhos de instalação do produto. É possível personalizar o diretório de instalação e o diretório HOME para sua implementação específica. Se este for o caso, será necessário fazer a substituição apropriada para a definição de cada variável representada nessa tabela. O valor de caminho varia para estes sistemas operacionais: v Windows: unidade:\arquivos de Programas v AIX: /usr v Outro UNIX: /opt Variável do Caminho Definição Padrão Descrição DB_INSTANCE_HOME Windows: caminho\ibm\sqllib UNIX: v AIX, Linux: /home/nomedainstânciadodb v Solaris: /export/home/nomedainstânciadodb O diretório que contém o banco de dados para o Tivoli Identity Manager. x IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

13 Variável do Caminho Definição Padrão Descrição LDAP_HOME v Para IBM Directory Server Versão 5.2 O diretório que contém o código do Windows: servidor de caminho\ibm\ldap diretórios. UNIX: AIX, Linux: caminho/ldap Solaris: caminho/ibmldaps caminho/ibm/ldap v Para IBM Directory Server Versão 6.0 Windows: caminho\ibm\ldap\v6.0 UNIX: caminho/ibm/ldap/v6.0 AIX, Solaris Linux: opt/ibm/ldap/v6.0 v Para o Sun ONE Directory Server Windows: caminho\sun\mps UNIX: /var/sun/mps IDS_instance_HOME Para IBM Directory Server Versão 6.0 Windows: unidade\ ibmslapd-nome_do_ proprietário_da_instância O diretório que contém a instância do IBM Directory Server Versão 6.0. HTTP_HOME O valor de unidade poderá ser C:\ nos sistemas Windows. Um exemplo de nome_do_proprietário_da_instância poderá ser ldapdb2. Por exemplo, o arquivo de log poderá ser C:\idsslapdldapdb2\logs\ibmslapd.log. UNIX: INSTANCE_HOME/idsslapd-nome_da_ instância Nos sistemas Linux e AIX, o diretório home padrão é o diretório /home/nome_do_proprietário_da_instância. Em sistemas Solaris, por exemplo, o diretório é o /export/home/ldapdb2/idsslapdldapdb2. Windows: caminho\ibmhttpserver UNIX: caminho/ibmhttpserver O diretório que contém o código do IBM HTTP Server. Prefácio xi

14 Variável do Caminho Definição Padrão Descrição ITIM_HOME WAS_HOME WAS_MQ_HOME WAS_NDM_HOME Tivoli_Common_Directory Windows: caminho\ibm\itim UNIX: caminho/ibm/itim Windows: caminho\websphere\appserver UNIX: caminho/websphere/appserver Windows: caminho\ibm\websphere MQ UNIX: caminho/mqm Windows: caminho\websphere\deploymentmanager UNIX: caminho/websphere/deploymentmanager Windows: caminho\ibm\tivoli\common\ctgim UNIX: caminho/ibm/tivoli/common/ctgim O diretório de base que contém o código, a configuração e a documentação do Tivoli Identity Manager. O diretório home do WebSphere Application Server O diretório que contém o código do WebSphere MQ. O diretório home no gerenciador de implementação O local central para todos os arquivos relacionados à manutenção, como logs e dados de captura da primeira falha xii IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

15 Capítulo 1. Visão Geral do Adaptador Linux Recursos do Adaptador Um adaptador é um programa que fornece uma interface entre um recurso gerenciado e o Servidor Tivoli Identity Manager. Adaptadores podem ou não residir no recurso gerenciado e o Servidor Tivoli Identity Manager gerencia o acesso ao recurso utilizando seu sistema de segurança. Adaptadores agem como administradores virtuais confiáveis na plataforma de destino, executando tarefas como criar IDs de login, suspender IDs e executar outras funções que os administradores em geral executam manualmente. O adaptador é executado como um serviço, independente de um usuário ter efetuado logon ou não no Servidor Tivoli Identity Manager. O IBM Tivoli Identity Manager Adaptador Linux permite a conectividade entre o Servidor Tivoli Identity Manager e o sistema que está executando o Servidor Linux. Este guia de instalação fornece as informações básicas necessárias para instalar e configurar o Adaptador Linux. Este capítulo fornece uma visão geral do adaptador e dos recursos do adaptador. Você pode utilizar o Adaptador Linux para automatizar as seguintes tarefas administrativas: v Criar um ID do usuário para autorizar o acesso ao servidor Linux. v Modificar um ID do usuário existente para acessar o servidor Linux. v Remover o acesso de um ID do usuário, que exclui o ID do usuário do servidor Linux. v Suspender uma conta do usuário desativando temporariamente o acesso ao servidor Linux. v Restaurar uma conta do usuário reativando o acesso ao servidor Linux. v Alterar uma senha da conta do usuário no servidor Linux. v Reconciliar as informações de todos os usuários atuais em um servidor Linux. v Reconciliar as informações de uma conta de usuário específica em um servidor Linux executando uma consulta. Direitos Autorais IBM Corp. 2003,

16 2 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

17 Capítulo 2. Instalando e Configurando o Adaptador Linux Pré-requisitos A instalação e a configuração do Adaptador Linux envolve várias etapas que você deve concluir na seqüência adequada. Reveja os pré-requisitos antes de começar o processo de instalação. Você também pode criar uma conta no recurso gerenciado a ser utilizado pelo adaptador. A Tabela 1 identifica os pré-requisitos de hardware, software e autorização para instalar o Adaptador Linux. Verifique se todos os pré-requisitos foram atendidos antes de instalar o Adaptador Linux. Tabela 1. Pré-requisitos para Instalar o Adaptador Sistema v Um microprocessador baseado em x86 de 32 bits. Sistema Operacional v Red Hat 2.1 v No mínimo 256 MB de memória. v Pelo menos 300 MB de espaço livre em disco. v Red Hat 3.0 v SUSE Linux Enterprise Server 8.0 Conectividade da Rede O adaptador deve ser instalado em um sistema que possa se comunicar com o Servidor Tivoli Identity Manager por meio de uma rede TCP/IP. Autoridade de Administrador do Sistema Servidor Tivoli Identity Manager O usuário que está concluindo o procedimento de instalação do Adaptador Linux deve ter a autoridade de administrador do sistema para concluir as etapas deste capítulo. Nota: Os diretórios do adaptador precisam ser criados como parte do diretório raiz. Um instalador deve ter autoridade superusuário para concluir várias etapas no procedimento de instalação. Versão 4.6 Instalando o Adaptador O programa de instalação do Tivoli Identity Manager Adaptador Linux está disponível para download no Web site da IBM. Entre em contato com o representante da sua conta IBM para obter o endereço da Web e conhecer as instruções de download. Para instalar o adaptador, complete as seguintes etapas: 1. Faça download do arquivo compactado do Adaptador Linux a partir do Web site da IBM. 2. Extraia o conteúdo do arquivo compactado do Adaptador Linux para um diretório temporário. 3. Inicie o programa de instalação utilizando o arquivo setuplinuxrsa.bin no diretório temporário. Por exemplo, digite./setuplinuxrsa.bin e pressione Enter para executar o script de instalação. Direitos Autorais IBM Corp. 2003,

18 #./setuplinux.bin Nota: Se você utilizar o FTP para transferir os arquivos para o servidor Linux, verifique se os nomes dos arquivos estão em letras minúsculas. Se os nomes de arquivos não estiverem em letras minúsculas, renomeie-os para que sejam utilizados. 4. Na janela Bem-vindo, pressione Avançar. 5. Na janela Contrato de Licença, revise o contrato de licença e decida se aceita os termos da licença. Se aceitar, pressione Aceitar e, em seguida, Avançar. 6. Na janela Selecionar Diretório de Destino, especifique onde deseja instalar o adaptador no campo Nome do Diretório. Você pode aceitar o local padrão ou pressionar Procurar para especificar um diretório diferente. Em seguida, pressione Avançar. Instalador r Clique em Avançar para instalar < agentname> neste diretório ou clique em Procurar para instalar em um diretório diferente. Nome do Diretório: /home/tivoli/< agentname> Procurar... InstallShield < Voltar Avançar > Cancelar Figura 1. Janela de Diálogo Selecionar Diretório de Destino 7. Na janela Utilizar Senha Shadow, selecione se deseja ou não utilizar as senhas shadow e pressione Avançar. 8. Na janela Iniciar Após a Instalação, selecione se deseja ou não iniciar o Adaptador Linux quando a instalação estiver completa e pressione Avançar. 9. Na janela Iniciar Após o Bootup, selecione se deseja iniciar o Adaptador Linux quando o servidor iniciar ou para iniciar o Adaptador Linux manualmente e pressione Avançar. 10. Na janela Resumo da Instalação, pressione Avançar para iniciar a instalação. 11. Na janela Progresso da Instalação, pressione Concluir para sair do programa. 4 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

19 Importando o Perfil do Adaptador para o Servidor Tivoli Identity Manager Antes de incluir um adaptador como um serviço no Servidor Tivoli Identity Manager, o servidor deve ter um perfil do adaptador para reconhecer o adaptador como um serviço. Os arquivos que são empacotados com o Adaptador Linux incluem o arquivo JAR do adaptador, o LinuxProfile.jar. Utilizando o recurso Importar do Servidor Tivoli Identity Manager, você pode importar o perfil do adaptador para o servidor como um perfil de serviço. O arquivo LinuxProfile.jar inclui todos os arquivos que são necessários para definir o esquema do adaptador, o formulário de conta, o formulário de serviço e as propriedades do perfil. O arquivo LinuxProfile.jar será referido neste documento para fazer quaisquer alterações no esquema ou no perfil. Você será requerido a extrair os arquivos do arquivo JAR, fazer as alterações nos arquivos necessários e empacotar novamente o arquivo JAR com os arquivos atualizados. Para obter informações adicionais sobre como atualizar os arquivos JAR, consulte Copiar o Arquivo LinuxProfile.jar e Extrair os Arquivos na página 43. Importando o Perfil do Adaptador Um perfil do adaptador define os tipos de recursos que o Servidor Tivoli Identity Manager pode gerenciar. Você deve importar o perfil do adaptador para o Servidor Tivoli Identity Manager antes de utilizar o Adaptador Linux. O perfil é utilizado para criar um serviço do Adaptador Linux no Servidor Tivoli Identity Manager e para comunicação com o adaptador. Antes de começar a importar o perfil do adaptador, verifique se as seguintes condições são atendidas: v O Servidor Tivoli Identity Manager deve estar instalado e em execução. v Você deve ter autoridade raiz ou de Administrador no Servidor Tivoli Identity Manager. Para importar o perfil do adaptador, complete as seguintes etapas: 1. Efetue login no Servidor Tivoli Identity Manager utilizando uma conta que tenha autoridade para desempenhar tarefas administrativas. 2. Na Barra de Navegação do Menu Principal, selecione a guia Configuração. 3. Na janela Configuração, selecione as guias Importar/Exportar Importar. 4. Na janela Importar, no campo Arquivo para Upload, digite o local do arquivo LinuxProfile.jar ou pressione Procurar para localizar o arquivo. 5. Clique no link Importar dados para o Identity Manager para importar o perfil do adaptador para o Servidor Tivoli Identity Manager. v Se a importação do perfil do adaptador for concluída com êxito, a seguinte mensagem será exibida: Instalação do perfil concluída. v Se a importação do perfil do adaptador falhar, a seguinte mensagem será exibida: Falha na instalação do perfil. Quando você importar o perfil do adaptador, se receber um erro relacionado ao esquema, o arquivo trace.log conterá informações sobre o erro. O local do arquivo trace.log é especificado pela propriedade handler.file.filedir definida no arquivo Tivoli Identity Manager enrolelogging.properties, que está no diretório /data do Tivoli Identity Manager. Capítulo 2. Instalando e Configurando o Adaptador Linux 5

20 Criando um Serviço Linux Depois do perfil do adaptador ser importado para o Servidor Tivoli Identity Manager, você deverá criar um serviço de provisão para permitir que o Tivoli Identity Manager se comunique com o adaptador. Para criar um serviço de provisão, complete as seguintes etapas: 1. Efetue login no Servidor Tivoli Identity Manager utilizando uma conta que tem autoridade para desempenhar tarefas administrativas. 2. Na Barra de Navegação do Menu Principal, clique na guia Provisão. 3. Na janela Provisão, pressione Serviços de Gerenciamento. 4. Na janela Serviços de Gerenciamento, pressione Incluir. 5. Na lista de tipos de serviço, selecione Perfil do Linux e, em seguida, pressione Continuar. O Formulário de Serviço do Adaptador Linux é exibido. O formulário de serviço contém os seguintes campos: Nome do Serviço Especifique um nome que defina esse serviço Linux no Servidor Tivoli Identity Manager. Nome do Serviço é um campo obrigatório. Descrição Especifique uma descrição opcional para esse serviço. URL Especifique o local e o número da porta do Adaptador Linux. O número da porta é definido na configuração de protocolo utilizando o programa agentcfg. Para obter informações adicionais sobre as definições de configuração de protocolo, consulte Alterando as Definições de Configuração do Protocolo na página 10. URL é um campo obrigatório. Se https for especificado como parte da URL, o adaptador deverá ser configurado para utilizar a autenticação SSL. Se o adaptador não for configurado para utilizar a autenticação SSL, especifique http para a URL. Para obter informações adicionais sobre como configurar o adaptador para utilizar a autenticação SSL, consulte o Capítulo 4, Configurando uma Autenticação SSL para o Adaptador Linux, na página 29. ID do Usuário Especifique um nome de usuário para o protocolo DAML (Directory Access Markup Language). O nome do usuário é definido na configuração do protocolo utilizando o programa agentcfg. Para obter informações adicionais sobre as definições de configuração de protocolo, consulte Alterando as Definições de Configuração do Protocolo na página 10. ID do Usuário é um campo obrigatório. Senha Especifique a senha para o nome do usuário do protocolo DAML. Essa senha é definida na configuração do protocolo utilizando o programa agentcfg. Para obter informações adicionais sobre as definições de configuração de protocolo, consulte Alterando as Definições de Configuração do Protocolo na página 10. Senha é um campo obrigatório. Proprietário Especifique o proprietário do serviço, se houver. Proprietário é um campo opcional. 6 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

21 Configurando o Adaptador Pré-requisito de Serviço Especifique um serviço do Tivoli Identity Manager existente que seja um pré-requisito para o serviço Linux. 6. Para verificar a conexão, pressione Testar. 7. Para criar o serviço, pressione Enviar. Depois de ter instalado o Tivoli Identity Manager Adaptador Linux, a configuração será requerida para assegurar que ele funcione adequadamente. Para configurar o Adaptador Linux, complete as seguintes etapas: 1. Inicie o serviço do Adaptador Linux utilizando o Windows Services Tool. 2. Configure o DAML para assegurar a comunicação com o Servidor Tivoli Identity Manager. Para obter informações adicionais sobre a configuração do DAML, consulte Alterando as Definições de Configuração do Protocolo na página Configure o Adaptador Linux para comunicar-se com o Servidor Tivoli Identity Manager configurando o adaptador para notificação de eventos. Para obter informações adicionais sobre a configuração de notificação de eventos, consulte Configurando a Notificação de Eventos na página Para comunicação segura, instale um certificado na máquina em que o adaptador reside e no Servidor Tivoli Identity Manager. Para obter informações adicionais sobre a instalação de certificados, consulte o Capítulo 4, Configurando uma Autenticação SSL para o Adaptador Linux, na página Instale o perfil do adaptador no Servidor Tivoli Identity Manager. Para obter informações adicionais sobre a instalação do perfil do adaptador, consulte Importando o Perfil do Adaptador para o Servidor Tivoli Identity Manager na página Configure o formulário de serviço do adaptador. Para obter informações adicionais sobre a configuração do formulário de serviço do adaptador, consulte Criando um Serviço Linux na página Use o utilitário agentcfg para modificar os parâmetros do adaptador. Para obter informações adicionais sobre a configuração de parâmetros, consulte o Capítulo 3, Configurando o Adaptador Linux para o IBM Tivoli Identity Manager, na página Configure o formulário da conta do adaptador. Para obter informações adicionais sobre a configuração dos formulários do adaptador, consulte IBM Tivoli Identity Manager Information Center. Capítulo 2. Instalando e Configurando o Adaptador Linux 7

22 8 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

23 Capítulo 3. Configurando o Adaptador Linux para o IBM Tivoli Identity Manager Utilize o programa de configuração do adaptador, agentcfg, para visualizar ou modificar os parâmetros do Adaptador Linux. Todas as alterações feitas em parâmetros com essa ferramenta são efetivadas imediatamente. Iniciando a Ferramenta de Configuração do Adaptador Para iniciar a ferramenta de configuração do adaptador, agentcfg, para parâmetros do Adaptador Linux, complete estas etapas: 1. Efetue login no sistema do Adaptador Linux. 2. No prompt de comandos, altere o diretório \bin para o adaptador. Por exemplo, digite o seguinte comando se o Adaptador Linux estiver no local padrão: # cd home/itim/linuxagent/bin 3. Digite o seguinte comando: agentcfg -agent LinuxAgent Também é possível utilizar o agentcfg para exibir ou alterar definições de configuração a partir de um computador remoto. Consulte a tabela em Acessando Ajuda e Opções Adicionais na página 26 para conhecer os procedimentos sobre como utilizar argumentos adicionais. 4. No prompt Enter configuration key for Agent LinuxAgent, digite a chave de configuração para o Adaptador Linux. A chave de configuração padrão é agent. É necessário alterar a chave de configuração depois da instalação estar completa, para evitar o acesso não autorizado à configuração do adaptador. Consulte Alterando as Definições de Configuração do Protocolo na página 10 para conhecer procedimentos sobre como alterar a chave de configuração. O Main Configuration Menu é exibido. LinuxAgent 4.6 Agent Main Configuration Menu A. Configuration Settings. B. Protocol Configuration. C. Event Notification. D. Change Configuration Key. E. Activity Logging. F. Registry Settings. G. Advanced Settings. H. Statistics. I. Codepage Support. X. Done. Select menu option: No Main Menu, é possível configurar o protocolo, visualizar estatísticas e modificar definições, incluindo configuração, registro e definições avançadas. Direitos Autorais IBM Corp. 2003,

24 Tabela 2. Opções para o Main Configuration Menu Opção Tarefa de Configuração Para Obter Informações Adicionais A Visualizando definições de configuração B Alterando definições de configuração de protocolo C Configurando a notificação de eventos Consulte a página 10. Consulte a página 10. Consulte a página 14. D Alterando a chave de configuração Consulte a página 20. E Alterando as definições do log de atividades Consulte a página 20. F Alterando definições de registro Consulte a página 22. G Alterando definições avançadas Consulte a página 24. H Visualizando estatísticas Consulte a página 25. I Alterando definições da página de códigos Consulte a página 25. Visualizando Definições de Configuração O procedimento a seguir descreve como exibir as definições de configuração do Adaptador Linux. 1. No Agent Main Configuration Menu, digite A. As definições de configuração para o Adaptador Linux são exibidas. A seguinte tela é um exemplo das definições de configuração do Adaptador Linux. Configuration Settings Name : LinuxAgent Version : 4.6 ADK Version : 4.65 ERM Version : 4.65 License : NONE Asynchronous ADD Requests : TRUE (Max.Threads:3) Asynchronous MOD Requests : TRUE (Max.Threads:3) Asynchronous DEL Requests : TRUE (Max.Threads:3) Asynchronous SEA Requests : TRUE (Max.Threads:3) Available Protocols : DAML Configured Protocols : DAML Logging Enabled : TRUE Logging Directory : /home/itim/linuxagentlog Log File Name : LinuxAgent.log Max. log files : 3 Max.log file size (Mbytes) : 1 Debug Logging Enabled : TRUE Detail Logging Enabled : FALSE Press any key to continue 2. Pressione qualquer tecla para retornar ao Main Menu. Alterando as Definições de Configuração do Protocolo O Adaptador Linux utiliza o Protocolo DAML para comunicar-se com o Servidor Tivoli Identity Manager. Por padrão, quando o adaptador é instalado, o Protocolo DAML é configurado para ser utilizado no modo não seguro. Para configurar um ambiente seguro, você deve configurar o Protocolo DAML para utilizar o SSL e 10 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

25 instalar um certificado. Consulte o Instalando o Certificado na página 39 para obter informações adicionais sobre como instalar certificados. Nas versões anteriores desse adaptador, você poderá incluir e remover protocolos. No entanto, na versão mais recente desse adaptador, o Protocolo DAML é o único protocolo suportado que você pode utilizar. Portanto, você não precisará incluir ou remover um protocolo. Para configurar o Protocolo DAML para o Adaptador Linux, complete as seguintes etapas: 1. No Agent Main Configuration Menu, digite B. O protocolo DAML está configurado e disponível por padrão para o Adaptador Linux. Agent Protocol Configuration Menu Available Protocols: DAML Configured Protocols: DAML A. Add Protocol. B. Remove Protocol. C. Configure Protocol. X. Done Select menu option 2. No Agent Protocol Configuration Menu, digite C. O DAML Protocol Properties Menu é exibido. 3. No DAML Protocol Properties Menu, digite C. As propriedades para o protocolo configurado são exibidas. As propriedades no menu podem ser diferentes das exibidas nos exemplos. A tela a seguir é um exemplo das propriedades do Protocolo DAML: DAML Protocol Properties A. USERNAME ****** ;Authorized user name. B. PASSWORD ****** ;Authorized user password. C. MAX_CONNECTIONS 100 ;Max Connections. D. PORTNUMBER ;Protocol Server port number. E. USE_SSL FALSE ;Use SSL secure connection. F. SRV_NODENAME ;Event Notif. Server name. G. SRV_PORTNUMBER 9443 ;Event Notif. Server port number. H. VALIDATE_CLIENT_CE FALSE ;Require client certificate. I. REQUIRE_CERT_REG FALSE ;Require registered certificate. X. Done Select menu option: 4. Digite a letra da opção de menu da propriedade de protocolo que você deseja configurar. Consulte a Tabela 3 na página 12 abaixo para obter informações adicionais sobre as propriedades que você pode configurar para o Protocolo DAML. Capítulo 3. Configurando o Adaptador Linux para o IBM Tivoli Identity Manager 11

26 Tabela 3. Opções para o Menu Protocolo DAML Opção Tarefa de Configuração A O seguinte aviso é exibido: Modify Property USERNAME : Digite um ID do usuário. Esse valor é o ID do usuário que o Servidor Tivoli Identity Manager utiliza para conectar-se ao adaptador. O ID do usuário padrão é agent. B O seguinte prompt é exibido: Modify Property PASSWORD : Digite uma senha. Esse valor é a senha para o ID do usuário que o Servidor Tivoli Identity Manager utiliza para conectar-se ao adaptador. A senha padrão é agent. C O seguinte prompt é exibido: Modify Property MAX_CONNECTIONS : Digite o número máximo de conexões abertas simultâneas que o adaptador suporta. O número padrão é 100. D O seguinte aviso é exibido: Modify Property PORTNUMBER : Digite um número de porta diferente. Esse valor é o número de porta que o Servidor Tivoli Identity Manager utiliza para conectar-se ao adaptador. O número de porta padrão é E O seguinte prompt é exibido: Modify Property USE_SSL : Digite TRUE ou FALSE para especificar se uma conexão SSL segura será utilizada para conectar-se ao adaptador ou a partir dele. O valor padrão é FALSE. Você deve instalar um certificado quando USE_SSL for definido para TRUE. Para obter informações adicionais sobre a instalação de certificado, consulte Instalando o Certificado na página 39. F O seguinte prompt é exibido: Modify Property SRV_NODENAME : Digite um nome de servidor ou um endereço IP, por exemplo, Esse valor é o nome do DNS ou o endereço IP do Servidor Tivoli Identity Manager utilizado para notificação de eventos e processamento de pedido assíncrono. Nota: Se a sua plataforma suportar conexões IPv6 (Internet Protocol versão 6), você poderá especificar um servidor IPv6. 12 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

27 Tabela 3. Opções para o Menu Protocolo DAML (continuação) Opção Tarefa de Configuração G O seguinte prompt é exibido: Modify Property SRV_PORTNUMBER : Digite um número de porta diferente para acessar o Servidor Tivoli Identity Manager. Esse valor é o número de porta que o adaptador utiliza para conectar-se ao Servidor Tivoli Identity Manager. O número de porta padrão é H O seguinte prompt é exibido: Modify Property VALIDATE_CLIENT_CE : Digite TRUE para requerer que o Servidor Tivoli Identity Manager envie um certificado quando ele se comunicar com o adaptador. Digite FALSE para permitir que o Servidor Tivoli Identity Manager se comunique com o adaptador sem um certificado. O valor padrão é FALSE. Notas: 1. Se você definir esta opção para TRUE, será necessário configurar as opções D a H. 2. O nome da propriedade é realmente VALIDATE_CLIENT_CERT. Ela é truncada pelo agentcfg para caber na tela. 3. Você deve utilizar o CertTool para instalar os certificados de CA adequados e, opcionalmente, registrar o certificado do Servidor Tivoli Identity Manager. Para obter informações adicionais sobre o uso do CertTool, consulte Gerenciando Certificados SSL Utilizando o CertTool na página 35. I O seguinte prompt é exibido: Modify Property REQUIRE_CERT_REG : Esse valor aplica-se apenas quando a opção H está definida para TRUE. Digite TRUE para requerer que o certificado cliente do Servidor Tivoli Identity Manager seja registrado com o adaptador antes de aceitar uma conexão SSL. Digite FALSE para requerer que o certificado cliente seja verificado apenas na lista de certificados de CA. O valor padrão é FALSE. Para obter informações adicionais sobre certificados, consulte o Capítulo 4, Configurando uma Autenticação SSL para o Adaptador Linux, na página No prompt, altere o valor e pressione Enter. O Menu Protocol Properties é exibido com as suas novas definições. Se você não desejar alterar o valor, pressione apenas Enter para retornar ao Protocol Properties Menu. 6. Repitas as etapas 4 e 5 para configurar todas as propriedades do protocolo que precisar. 7. No Protocol Properties Menu, digite X para sair do menu. Capítulo 3. Configurando o Adaptador Linux para o IBM Tivoli Identity Manager 13

28 Configurando a Notificação de Eventos A notificação de eventos é um recurso do Adaptador Linux que atualiza o Servidor Tivoli Identity Manager em intervalos definidos. A notificação de eventos detecta alterações que são feitas no recurso gerenciado e atualiza o Servidor Tivoli Identity Manager com as alterações. Você pode ativar a notificação de eventos se desejar que as informações atualizadas do recurso gerenciado sejam enviadas de volta ao Servidor Tivoli Identity Manager entre reconciliações completas. A notificação de eventos não tem como objetivo substituir reconciliações no Servidor Tivoli Identity Manager. Quando a notificação de eventos é ativada, um banco de dados dos dados de reconciliação é mantido na máquina em que o adaptador está instalado. O banco de dados é atualizado com as alterações que são solicitadas pelo Servidor Tivoli Identity Manager e permanecerá sincronizado com o servidor. Você pode especificar um intervalo para o processo de notificação de eventos para comparar o banco de dados com os dados que existem atualmente no recurso gerenciado. Quando o intervalo passa, todas as diferenças entre o recurso gerenciado e o banco de dados são redirecionadas para o Servidor Tivoli Identity Manager e atualizadas no banco de dados de captura instantânea local. Existem várias etapas para ativar a notificação de eventos. Essas etapas assumem que o adaptador está se comunicando com êxito com o recurso gerenciado e o Servidor Tivoli Identity Manager. Primeiro, você deve configurar o nome do host, o número da porta e as informações de login para o Servidor Tivoli Identity Manager. Para identificar o servidor a ser utilizado pelo protocolo DAML, complete as seguintes etapas: 1. No Agent Protocol Configuration Menu, selecione Configure Protocol. Para obter informações adicionais sobre a configuração de um protocolo, consulte Alterando as Definições de Configuração do Protocolo na página Digite a opção de menu para a propriedade SRV_NODENAME. 3. Especifique o endereço IP ou o nome do servidor que identifica o Servidor Tivoli Identity Manager e pressione Enter. O Protocol Properties Menu é exibido com as suas novas definições. 4. Digite a opção de menu para a propriedade SRV_PORTNUMBER. 5. Especifique o número da porta que o adaptador utiliza para se conectar ao Servidor Tivoli Identity Manager para notificação de eventos e pressione Enter. O Protocol Properties Menu é exibido com as suas novas definições. O menu de exemplo mostra todas as opções exibidas quando a Notificação de Eventos é ativada. Se a Notificação de Eventos estiver desativada, nem todas as opções serão exibidas. Para definir a Notificação de Evevtos para o Servidor Tivoli Identity Manager, complete as seguintes etapas: 1. No Agent Main Configuration Menu, digite C. O Event Notification Menu é exibido. 14 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

29 Event Notification Menu * Reconciliation interval : 1 day(s) * Next Reconciliation time : 23 hour(s) 56 min(s). 23 sec(s). * Configured Contexts : Jupiter, dd309 A. Enabled B. Time interval between reconciliations. C. Set Processing cache size. (currently: 50 Mbytes) D. Start event notification now. E. Set attributes to be reconciled. F. Reconciliation process priority. (current: 1) G. Add Event Notification Context. H. Modify Event Notification Context. I. Remove Event Notification Context. J. List Event Notification Contexts. X. Done Select menu option: Nota: Esse menu mostra todas as opções exibidas quando a Notificação de Eventos é ativada. Se a Notificação de Eventos estiver desativada, todas as opções não serão exibidas. 2. Digite a letra da opção de menu que você deseja alterar. A opção A deve estar ativada para que os valores das outras opções sejam efetivados. Pressione Enter para retornar ao Agent Event Notification Menu sem alterar o valor. Tabela 4. Opções para o Event Notification Menu Opção Tarefa de Configuração A Se essa opção estiver ativada, o adaptador atualizará o Servidor Tivoli Identity Manager com as alterações no adaptador em intervalos regulares. Quando a opção está definida para: v Desativada, pressionar a tecla A altera para ativada. v Ativada, pressionar a tecla A altera para desativada. Digite A para comutar entre as opções. B O seguinte prompt é exibido: Enter new interval ([ww:dd:hh:mm:ss]) Digite um intervalo de reconciliação diferente.por exemplo, [00:01:00:00:00] Nota: Esse valor é o intervalo de espera depois que a notificação de eventos é concluída e antes de ser executada novamente. O processo de notificação de eventos é cheio de recursos, portanto, esse valor não deve ser definido para execução com muita freqüência. C O seguinte prompt é exibido: Enter new cache size[5]: Digite um valor diferente para alterar o tamanho da cache de processamento. D Se essa opção for selecionada, a Notificação de Eventos será iniciada. Capítulo 3. Configurando o Adaptador Linux para o IBM Tivoli Identity Manager 15

30 Tabela 4. Opções para o Event Notification Menu (continuação) Opção Tarefa de Configuração E O Event Notification Entry Types Menu é exibido. Consulte Definindo Acionadores de Notificação de Eventos para obter informações adicionais. d O seguinte aviso é exibido: Enter new thread priority [1-10]: Digite um valor de encadeamento diferente para alterar a prioridade do processo de notificação de eventos. Nota: A definição da prioridade do encadeamento para um valor mais baixo reduz o impacto que o processo de notificação de eventos tem sobre o desempenho do adaptador. Um valor mais baixo também pode fazer com a notificação de eventos fique mais demorada. G O seguinte prompt é exibido: Context name : Digite o nome do novo contexto e pressione Enter. O novo contexto é incluído. H Um menu listando os contextos disponíveis é exibido. Consulte Modificando um Contexto de Notificação de Eventos na página 17 para obter informações adicionais. I O Remove Context Menu é exibido. Selecione o contexto a ser removido. O seguinte prompt é então exibido: Delete context context1? [no]: Pressione Enter para sair sem excluir o contexto ou digite Yes e pressione Enter para excluir o contexto. J Os Contextos de Notificação de Eventos são exibidos no seguinte formato: Context Name : Context1 Target DN : erservicename=context1,o=ibm, ou=ibm,dc=com --- Attributes for search request --- {search attributes listed} Se você alterou o valor para as opções B, C, E ou F, pressione Enter. As outras opções são alteradas automaticamente quando você digita a letra da opção de menu correspondente. O Event Notification Menu é exibido com as suas novas definições. Definindo Acionadores de Notificação de Eventos Por padrão, em todos os atributos são consultadas alterações de valor. Determinados atributos que são alterados com freqüência (por exemplo, duração da senha ou último logon efetuado com êxito) devem ser omitidos. 1. No Event Notification Menu, digite E. O Event Notification Entry Types Menu é exibido. 16 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

31 Event Notification Entry Types A. USER B. GROUP X. Done Select menu option: Os tipos USER e GROUP não aparecerão no menu acima até as seguintes condições serem atendidas: a. A notificação de eventos ser ativada. b. Um contexto ser criado e configurado. c. Uma reconciliação completa ser executada. 2. Digite A para obter uma lista dos atributos retornados durante uma reconciliação de usuário ou digite B para os atributos retornados durante uma reconciliação de grupo. É exibida a lista Event Notification Attribute Listing para o tipo de reconciliação selecionado. A definição padrão lista todos os atributos suportados pelo adaptador. O exemplo abaixo lista os atributos de exemplo e poderá diferir da lista exibida na máquina. Event Notification Attribute Listing (a) **erlinuxgroupid (b) **erlinuxgroupmember (c) **erlinuxgroupname (d) **erunixduplicateuid (e) **erexpriationdate (f) **erpasswordforcechange (g) **gecos (h) **gidnumber (i) **erhomedirpermissions (j) **erhomedir (k) **eraccountidledays (l) **erlastaccessdate (m) **erpassword (n) **erunixprimarygroup (o) **erpasswordlastchange (p) **erpasswordmaxage (q) **erpasswordminage (r) **erpasswordwarnage (p)rev page 1 of 3 (n)ext X. Done Select menu option: 3. Digite a letra correspondente da opção de menu para o atributo a ser excluído de uma notificação de eventos. Os atributos que são marcados com dois asteriscos (**) são retornados durante a notificação de eventos. Os atributos não marcados com asteriscos não são retornados durante a notificação de eventos. Modificando um Contexto de Notificação de Eventos Um Contexto de Notificação de Eventos corresponde a um serviço no Servidor Tivoli Identity Manager. Alguns adaptadores suportam vários serviços. Um Adaptador Linux pode ter vários serviços do Tivoli Identity Manager, especificando um ponto de base diferente para cada serviço. O ponto de base do Adaptador Linux é o ponto no servidor do diretórios que é utilizado como a raiz para o adaptador. Esse ponto pode ser um ponto de base da OU (Unidade Organizacional) ou do DC (Contêiner de Domínio). Como o ponto de base é um valor opcional, se um valor não for especificado, o adaptador utilizará o domínio padrão da máquina na qual ele está instalado. Você pode ter vários Contextos de Notificação de Eventos, mas deve ter pelo menos um adaptador. Na tela de exemplo abaixo, observe que Context1, Context2 e Context3 são três contextos diferentes, todos com um ponto de base diferente. Capítulo 3. Configurando o Adaptador Linux para o IBM Tivoli Identity Manager 17

32 Para modificar um contexto de notificação de eventos, complete as seguintes etapas: 1. No Event Notification Menu, digite H. O Modify Context Menu é exibido. Modify Context Menu A. Context1 B. Context2 C. Context3 X. Done Select menu option: 2. Digite a letra da opção de menu que você deseja modificar. O Modify Context Menu para o contexto selecionado é exibido. A. Set attributes for search B. Target DN: C. Delete Baseline Database X. Done Select menu option: Tabela 5. Opções para o Modify Context Menu Opção Tarefa de Configuração Para Obter Informações Adicionais A Incluindo atributos de procura para a notificação de eventos B Configurando o DN de destino para os contextos de notificação de eventos C Removendo o banco de dados da linha de base para os contextos de notificação de eventos Consulte a página 18. Consulte a página 19. Consulte a página 19. Incluindo Atributos de Procura para a Notificação de Eventos Para alguns adaptadores, você poderá precisar especificar um par atributo-valor para um ou mais contextos. Esses pares atributo-valor, que são definidos ao completar as etapas abaixo, servem para vários propósitos: v Quando vários serviços são suportados por um único adaptador, cada serviço precisa especificar um ou mais atributos para diferenciá-lo dos outros serviços. v Os atributos de procura são transmitidos para o processo de notificação de eventos, depois do intervalo da notificação de eventos ocorrer ou ser iniciado manualmente. Para cada contexto, um pedido de procura completo é enviado ao adaptador. Adicionalmente, os atributos especificados para esse contexto são transmitidos para o adaptador. v Quando o Servidor Tivoli Identity Manager inicia um processo de reconciliação, o adaptador substitui o banco de dados local que representa esse serviço pelo novo banco de dados. Para incluir atributos de procura, complete as seguintes etapas: 1. No Modify Context Menu para o contexto, digite A. O Reconciliation Attribute Passed to Agent Menu é exibido. 18 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

33 Reconciliation Attributes Passed to Agent for Context: Context A. Add new attribute B. Modify attribute value C. Remove attribute X. Done Select menu option: O Adaptador Linux não tem nenhum atributo que precise ser especificado para a Notificação de Eventos. 2. Digite a letra da opção de menu que você deseja alterar. Os nomes de atributo suportados serão exibidos com dois asteriscos (**) na frente de cada nome. Quando você digitar a letra de um atributo, ela ativará e desativará os asteriscos. Atributos sem asteriscos não serão atualizados durante uma notificação de eventos. O Reconciliation Attributes Passed to Agent Menu é exibido com as alterações exibidas. Configurando o DN de Destino para Contextos de Notificação de Eventos O campo DN de destino contém um nome exclusivo do serviço que recebe as atualizações da notificação de eventos. Para configurar o DN de destino, complete as seguintes etapas: 1. No Modify Context Menu para o contexto, digite B. 2. No prompt Enter Target DN, digite o DN de destino para o contexto e pressione Enter. O DN de destino para o Contexto de Notificação de Eventos deve estar no seguinte formato: erservicename=erservicename,o=organizationname,ou=tenantname,rootsuffix Cada elemento do DN é definido da seguinte maneira: Tabela 6. Elementos e Definições do DN Elemento Definição erservicename Especifica o nome do serviço de destino. o Especifica o nome da organização. ou Especifica o nome do locatário em que a organização está localizada. rootsuffix Especifica a raiz da árvore de diretórios. O Modify Context Menu é exibido com o novo DN de destino listado. Removendo o Banco de Dados de Linha de Base para Contextos de Notificação de Eventos Essa opção apenas estará disponível depois que um contexto for criado e uma reconciliação for executada no contexto para criar um arquivo do Banco de Dados de Linha de Base. No Modify Context Menu para o contexto, digite C. O Modify Context Menu é exibido com a opção Delete Baseline Database removida. Capítulo 3. Configurando o Adaptador Linux para o IBM Tivoli Identity Manager 19

34 Alterando a Chave de Configuração Você utiliza a chave de configuração como uma senha para acessar a ferramenta de configuração para o adaptador. Para alterar a chave de configuração do Adaptador Linux, complete as seguintes etapas: 1. No prompt Main Menu, digite D. 2. Altere o valor da chave de configuração e pressione Enter. Pressione Enter para retornar ao Main Configuration Menu sem alterar a chave de configuração. A chave de configuração padrão é agent. Certifique-se de escolher senhas que não possam ser adivinhadas com facilidade. A seguinte mensagem será exibida: Configuration key successfully changed. O programa de configuração sai e o prompt Main Menu é exibido. Alterando Definições do Log de Atividades Quando o log é ativado, o Adaptador Linux mantém um arquivo de log datado de todas as transações, LinuxAgent.log. Por padrão, o arquivo de log está no diretório \log. Para alterar as definições do log de atividades do Adaptador Linux, complete as seguintes etapas: 1. No prompt Main Menu, digite E. O Agent Activity Logging Menu é exibido. O exemplo a seguir mostra as definições padrão do log de atividades. Agent Activity Logging Menu A. Activity Logging (Enabled). B. Logging Directory (current: /home/itim/linuxagentlog). C. Activity Log File Name (current: LinuxAgent.log). D. Activity Logging Max. File Size ( 1 mbytes) E. Activity Logging Max. Files ( 3 ) F. Debug Logging (Enabled). G. Detail Logging (Disabled). H. Base Logging (Disabled). I. Thread Logging (Disabled). X. Done Select menu option: 2. Digite a letra da opção do Activity Logging Menu que você deseja alterar. A opção A deve estar ativada para que os valores das outras opções sejam efetivados. Pressione Enter para retornar ao Agent Activity Logging Menu sem alterar o valor. 20 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

35 Tabela 7. Opções para o Activity Logging Menu Opção Tarefa de Configuração A Defina essa opção como ativada para que o adaptador mantenha um arquivo de log datado de todas as transações. Quando a opção está definida para: v Desativada, pressionar a tecla A altera para ativada. v Ativada, pressionar a tecla A altera para desativada. Digite A para comutar entre as opções. B O seguinte prompt é exibido: Enter log file directory: Digite um valor diferente para o diretório de registro, por exemplo, /home/log. Quando a opção de log está ativada, detalhes sobre cada pedido de acesso são armazenados no arquivo de log que está nesse diretório. C O seguinte prompt é exibido: Enter log file name: Digite um valor diferente para o nome do arquivo de log. Quando a opção de registro está ativada, detalhes sobre cada pedido de acesso são armazenados no arquivo de registro. E O seguinte prompt é exibido: Enter maximum size of log files (mbytes): Digite um novo valor, por exemplo, 10. Os dados mais antigos são arquivados quando o arquivo de log atinge o tamanho de arquivo máximo. O tamanho do arquivo é medido em megabytes. É possível que o tamanho do arquivo de log de atividades exceda a capacidade do disco. E O seguinte prompt é exibido: Enter maximum number of log files to retain: Digite um novo valor, até 100, por exemplo, 5. O adaptador exclui automaticamente os logs de atividades mais antigos além do limite especificado. F Se essa opção estiver definida como ativada, o adaptador incluirá as instruções de depuração no arquivo de log de todas as transações. Quando a opção está definida para: v Desativada, pressionar a tecla F altera o valor para ativada. v Ativada, pressionar a tecla F altera o valor para desativada. Digite F para comutar entre as opções. G Se essa opção estiver definida como ativada, o adaptador manterá um arquivo de log detalhado de todas as transações. A opção de log detalhado deve ser utilizada apenas para fins de diagnóstico. O log detalhado permite mais mensagens do adaptador e poderá aumentar o tamanho dos logs. Quando a opção está definida para: v Desativada, pressionar a tecla G altera o valor para ativada. v Ativada, pressionar a tecla G altera o valor para desativada. Digite G para comutar entre as opções. Capítulo 3. Configurando o Adaptador Linux para o IBM Tivoli Identity Manager 21

36 Tabela 7. Opções para o Activity Logging Menu (continuação) Opção Tarefa de Configuração H Se essa opção estiver definida como ativada, o adaptador manterá um arquivo de log de todas as transações no ADK (Adapter Development Kit) e em arquivos de bibliotecas. O log de base aumentará substancialmente o tamanho dos logs. Quando a opção está definida para: v Desativada, pressionar a tecla H altera o valor para ativada. v Ativada, pressionar a tecla H altera o valor para desativada. Digite H para comutar entre as opções. I Se essa opção estiver ativada, o arquivo de log conterá IDs de encadeamento, além de uma data e time stamp em cada linha do arquivo. Quando a opção está definida para: v Desativada, pressionar a tecla I altera o valor para ativada. v Ativada, pressionar a tecla I altera o valor para desativada. Digite I para comutar entre as opções. 3. Pressione Enter se você tiver alterado o valor para a opção B, C, D ou E. As outras opções são alteradas automaticamente quando você digita a letra correspondente da opção de menu. Alterando Definições de Registro O Agent Activity Logging Menu é exibido com as suas novas definições. Para alterar as definições de registro do Adaptador Linux, complete as seguintes etapas: 1. No Main Menu, digite F. O Registry Menu é exibido. LinuxAgent 4.6 Agent Registry Menu A. Modify Non-encrypted registry settings. B. Modify encrypted registry settings. C. Multi-instance settings. X. Done Select menu option: 2. Consulte os procedimentos a seguir sobre como modificar definições de registro. Nota: Não existem definições de registro criptografadas para esse adaptador. Modificando Definições de Registro Não Criptografadas Para modificar as definições de registro não criptografadas, complete as seguintes etapas: 1. No Agent Registry Menu, digite A. O Non-encrypted Registry Settings Menu é exibido. 22 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

37 Agent Registry Items ENROLE_VERSION deletehomedir true 03. SetupHomeDir /opt/tivoli/agents/linuxagent 04. UseShadowFile true 05. processatcron true 06. processpath false 07. processumask true Page 1 of 1 A. Add new attribute B. Modify attribute value C. Remove attribute X. Done Select menu option: 2. Digite a letra da opção de menu para a ação que você deseja executar em um atributo. Tabela 8. Descrições de Opção de Configuração do Atributo Opção Tarefa de Configuração A Incluir novo atributo B Modificar valor de atributo C Remover atributo 3. Digite o nome do item do registro e pressione Enter. 4. Se você tiver selecionado a opção A ou B, digite o valor do item de registro e pressione Enter. O Non-encrypted Registry Settings Menu exibe as novas definições. A Tabela 9 descreve as chaves de registro e suas definições disponíveis: Tabela 9. Descrições da Chave de Registro Chave Descrição deletehomedir Especifica se irá utilizar ou não delete_user para excluir o diretório home. O valor padrão é TRUE. SetupHomeDir Especifica o diretório de configuração do adaptador. Você deve definir esse valor durante a instalação do adaptador. UseShadowFile Especifica se irá ou não utilizar o arquivo shadow. O valor padrão é TRUE. processatcron Especifica o sinalizador que indica se irá processar ou não os seguintes arquivos: v v v v cron_allowed cron_deny at_allowed at_deny O valor padrão é TRUE. processpath Especifica o sinalizador que indica se irá processar ou não o atributo do caminho de procura do usuário. O valor padrão é FALSE. Capítulo 3. Configurando o Adaptador Linux para o IBM Tivoli Identity Manager 23

38 Tabela 9. Descrições da Chave de Registro (continuação) Chave Descrição processumask Especifica o sinalizador que indica se irá processar ou não o usuário UMASK. O valor padrão é TRUE. Alterando Definições Avançadas Você pode alterar as definições de contagem de encadeamentos do Adaptador Linux para os seguintes tipos de pedidos: v Adição de Logins do Sistema v Alteração de Logins do Sistema v Exclusão de Logins do Sistema v Reconciliação Essas definições determinam o número máximo de pedidos processados simultaneamente pelo Adaptador Linux. Para alterar essas definições, complete as seguintes etapas: 1. No prompt Main Menu, digite G. O Advanced Settings Menu é exibido. O exemplo a seguir mostra as definições padrão de contagem de encadeamentos. LinuxAgent 4.6 Advanced Settings Menu A. Single Thread Agent (current:true) B. ADD max. thread count. (current:3) C. MODIFY max. thread count. (current:3) D. DELETE max. thread count. (current:3) E. SEARCH max. thread count. (current:3) F. Allow User EXEC procedures (current:false) G. Archive Request Packets (current:false) H. UTF8 Conversion support (current:true) I. Pass search filter to agent (current:false) J. Thread Priority Level (1-10) (current:4) X. Done Select menu option: 2. Digite a letra da opção de menu da definição avançada que você deseja alterar. Para obter uma descrição de cada opção, consulte a Tabela 10. Tabela 10. Opções para Options Advanced Settings Menu Opção Descrição n Força o adaptador a permitir apenas um pedido por vez. O valor padrão é TRUE. B Controla quantos pedidos ADD simultâneos podem ser executados por vez. O valor padrão é 3. C Controla quantos pedidos MODIFY simultâneos podem ser executados por vez. O valor padrão é 3. D Controla quantos pedidos DELETE simultâneos podem ser executados por vez. O valor padrão é IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

39 Tabela 10. Opções para Options Advanced Settings Menu (continuação) Opção Descrição E Controla quantos pedidos SEARCH simultâneos podem ser executados por vez. O valor padrão é 3. F Determina se o adaptador permite funções pré-exec e pós-exec. A ativação dessa opção consiste em um risco de segurança potencial. O valor padrão é FALSE. G Essa opção não é mais suportada. H Essa opção não é mais suportada. I Atualmente, esse adaptador não oferece suporte para o processamento direto de filtros. Essa opção sempre deve ser FALSE. J Define o nível de prioridade do encadeamento para o adaptador. O valor padrão é Altere o valor e pressione Enter. O Advanced Settings Menu é exibido com as suas novas definições. Visualizando Estatísticas Para visualizar um log de eventos para o Adaptador Linux, complete as seguintes etapas: 1. No prompt Main Menu, digite H. O histórico de atividades para o adaptador é exibido. LinuxAgent 4.6 Agent Request Statistics Date Add Mod Del Ssp Res Rec /15/ X. Done 2. Digite X para retornar ao Menu Main Configuration. Alterando Definições da Página de Códigos Para listar as informações da página de códigos suportada para o Adaptador Linux, o adaptador deve estar em execução. Execute o seguinte comando para visualizar as informações da página de códigos: agentcfg -agent [nome_do_adaptador] -codepages Para alterar as definições da página de códigos para o Adaptador Linux, complete as seguintes etapas: 1. No prompt Main Menu, digite I. O CodePage Support Menu para o adaptador é exibido. Capítulo 3. Configurando o Adaptador Linux para o IBM Tivoli Identity Manager 25

40 LinuxAgent 4.6 Codepage Support Menu * Configured codepage: US-ASCII * ******************************************* * Restart Agent After Configuring Codepages ******************************************* A. Codepage Configure. X. Done Select menu option: 2. Digite A para configurar uma página de códigos. Nota: A página de códigos do LinuxAgent utiliza unicode, portanto, essa opção não é aplicável. 3. Digite X para retornar ao Menu Main Configuration. Acessando Ajuda e Opções Adicionais Para acessar o menu de ajuda do agentcfg e utilizar os argumentos de ajuda, complete as seguintes etapas: 1. No prompt Main Menu, digite H. O prompt de comandos é exibido e você está no diretório \bin. 2. Digite agentcfg -help no prompt para exibir o menu de ajuda. A seguinte lista de comandos possíveis é exibida: -version ; Show version -hostname < value> ; Target nodename to connect to (Default:Local host IP address) -findall ; Find all agents on target node -list ; List available agents on target node -agent <value> ; Name of agent -tail ; Display agent s activity log -schema ; Display agent s attribute schema -portnumber <value>; Specified agent s TCP/IP port number -netsearch <value> ; Lookup agents hosted on specified subnet -confidencetest ; Confidence test -setup ; Confidence test setup -help ; Display this help screen A Tabela 11 descreve cada argumento. Tabela 11. Argumentos e Descrições para o Comando de Ajuda do agentcfg Argumento Descrição -version Utilize esse argumento para exibir a versão da ferramenta agentcfg. -hostname <value> Utilize o argumento -hostname com qualquer um dos argumentos a seguir para especificar um host diferente: v v v v -findall -list -tail -agent Digite um nome de host ou endereço IP como o valor. 26 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

41 Tabela 11. Argumentos e Descrições para o Comando de Ajuda do agentcfg (continuação) Argumento Descrição -findall Utilize esse argumento para procurar e exibir todos os endereços de porta entre e e seus nomes de adaptador designados. Essa opção excederá o tempo limite em números de porta não utilizados, portanto, poderá levar vários minutos para ser concluída. Inclua o argumento -hostname para pesquisar um host remoto. -list Utilize esse argumento para exibir os adaptadores que estão instalados no host local do Adaptador Linux. Por padrão, na primeira vez que você instala um adaptador, ele é designado para o endereço de porta ou para o próximo número de porta disponível. Todos os adaptadores subseqüentemente instalados são então designados para o próximo endereço de porta disponível. Depois de uma porta não utilizada ser localizada, a listagem pára. Utilize o argumento -hostname para procurar um host remoto. -agent <value> Utilize esse argumento para especificar o adaptador que você deseja configurar. Digite um nome de adaptador como o valor. Utilize esse argumento com o argumento -hostname para modificar a definição de configuração a partir de um host remoto. Também é possível utilizar esse argumento com o argumento -tail. -tail Utilize esse argumento com o argumento -agent para exibir o log de atividades de um adaptador. Inclua o argumento -hostname para exibir o arquivo de log de um adaptador em um host diferente. -schema Essa opção não é mais suportada. -portnumber <value> Utilize esse argumento com o argumento -agent para especificar o número de porta que é utilizado para conexões para a ferramenta agentcfg. -netsearch <value> Utilize esse argumento com o argumento -findall para exibir todos os adaptadores ativos no sistema. Você deve especificar um endereço de sub-rede como o valor. -confidencetest Utilize esse argumento para executar um teste para incluir, modificar, procurar e excluir um pedido para o adaptador. O teste de confiança permite testar a conexão entre o adaptador e o Servidor Linux. Isso permite verificar se o adaptador pode conectar-se ao Servidor Linux sem o Servidor Tivoli Identity Manager. -setup Utilize esse argumento, junto com o argumento confidence, para configurar o teste de confiança. -help Utilize esse argumento para exibir as informações de Ajuda para o comando agentcfg. 3. Digite agentcfg e um ou mais dos argumentos suportados no prompt. É necessário digitar agentcfg antes de cada argumento para executar a ferramenta de configuração do adaptador. Digite agentcfg -list para listar todos os adaptadores no endereço IP do host local. Observe que o endereço de porta para o Servidor Tivoli Identity Manager é A saída será semelhante ao seguinte: Capítulo 3. Configurando o Adaptador Linux para o IBM Tivoli Identity Manager 27

42 Agent(s) installed on node LinuxAgent (44970) Digite agentcfg -agent LinuxAgent para exibir o Main Menu da ferramenta agentcfg, que é utilizada para visualizar ou modificar os parâmetros do Adaptador Linux. Digite agentcfg -list -hostname para listar os adaptadores em um host cujo endereço IP é A saída será semelhante ao seguinte: Agent(s) installed on node LinuxAgent (44970) Digite agentcfg -agent LinuxAgent -hostname para exibir o Main Menu da ferramenta agentcfg para um host cujo endereço IP é Utilize as opções do menu para exibir ou modificar os parâmetros do Adaptador Linux. 28 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

43 Capítulo 4. Configurando uma Autenticação SSL para o Adaptador Linux Para estabelecer uma conexão segura entre um adaptador Tivoli Identity Manager e o Servidor Tivoli Identity Manager, você deve configurar o adaptador e o servidor para utilizar a autenticação SSL (Secure Sockets Layer) com o protocolo de comunicação padrão, DAML. Ao configurar o adaptador para SSL, você assegura que o Servidor Tivoli Identity Manager verifica a identidade do adaptador antes de uma conexão segura ser estabelecida. Você pode configurar a autenticação SSL para conexões que originam do Servidor Tivoli Identity Manager ou do adaptador. Normalmente, o Servidor Tivoli Identity Manager inicia uma conexão ao adaptador para configurar ou recuperar o valor de um atributo gerenciado no adaptador. No entanto, dependendo dos requisitos de segurança de seu ambiente, você poderá precisar configurar a autenticação SSL para conexões que originam do adaptador. Por exemplo, se o adaptador utilizar eventos para notificar o Servidor Tivoli Identity Manager de alterações em atributos no adaptador, você poderá configurar a autenticação SSL para conexões Web que originam do adaptador para o servidor Web utilizado pelo Servidor Tivoli Identity Manager. Em um ambiente de produção, você precisa ativar a segurança SSL; no entanto, para propósitos de teste você poderá desejar desativar o SSL. Se um aplicativo externo que se comunica com o adaptador (como o Servidor Tivoli Identity Manager) for configurado para utilizar a autenticação do servidor, você deverá desativar o SSL no adaptador para verificar o certificado que o aplicativo apresenta. Este capítulo apresenta uma visão geral da autenticação SSL, certificados e como ativar a autenticação SSL utilizando o utilitário CertTool. Visão Geral do SSL e de Certificados Digitais Ao implementar o Tivoli Identity Manager em uma rede corporativa, você deve proteger a comunicação entre o Servidor Tivoli Identity Manager e os produtos e componentes de software com os quais o servidor se comunica. O protocolo SSL padrão de mercado, que utiliza certificados digitais assinados a partir de uma CA (Autoridade de Certificação) para autenticação, é utilizado para proteger a comunicação em uma implementação do Tivoli Identity Manager. Adicionalmente, o SSL fornece a criptografia dos dados trocados entre os aplicativos. A criptografia torna os dados transmitidos pela rede inteligíveis apenas para o destinatário pretendido. Os certificados digitais assinados permitem que dois aplicativos se conectem a uma rede para autenticar a identidade entre si. Um aplicativo que age como um servidor SSL apresenta suas credenciais em um certificado digital assinado para verificar se um cliente SSL é a entidade que ele declara ser. Um aplicativo que age como um servidor SSL pode também ser configurado para requerer que o aplicativo que age como um cliente SSL apresente suas credenciais em um certificado, concluindo por meio disso uma troca de certificados bidirecionais. Os certificados assinados são emitidos por uma autoridade de certificação terceirizada, Direitos Autorais IBM Corp. 2003,

44 mediante uma taxa. Alguns utilitários, como aqueles fornecidos pelo OpenSSL, também podem emitir certificados assinados. Um certificado de CA (Autoridade de Certificação) deve ser instalado para verificar a origem de um certificado digital assinado. Quando um aplicativo receber um certificado assinado de outro aplicativo, utilizará um certificado de CA para verificar o originador do certificado. Uma autoridade de certificação pode ser de renome e amplamente utilizada por outras organizações ou pode ser local para uma região ou empresa específica. Muitos aplicativos, como navegadores da Web, são configurados com os certificados de CA de autoridades de certificação de renome para eliminar ou reduzir a tarefa de distribuir certificados de CA em todas as zonas de segurança em uma rede. Chaves Privadas, Chaves Públicas e Certificados Digitais Chaves, certificados digitais e autoridades de certificação confiáveis são utilizados para estabelecer e verificar as identidades de aplicativos. O SSL utiliza tecnologia de criptografia de chave pública para autenticação. Na criptografia de chave pública, uma chave pública e uma chave privada são geradas para um aplicativo. Os dados criptografados com a chave pública só podem ser decriptografados utilizando a chave privada correspondente. De maneira semelhante, os dados criptografados com a chave privada podem ser decriptografados apenas utilizando a chave pública correspondente. A chave privada é protegida por senha em um arquivo do banco de dados de chaves, de modo que apenas o proprietário possa acessar a chave privada para decriptografar mensagens que são criptografadas utilizando a chave pública correspondente. Um certificado digital assinado é um método padrão de mercado para verificar a autenticidade de uma entidade, como um servidor, um cliente ou aplicativo. Para garantir segurança máxima, um certificado é emitido por uma autoridade de certificação de terceiros. Um certificado contém as seguintes informações para verificar a identidade de uma entidade: Informações organizacionais Esta seção do certificado contém informações que identificam com exclusividade o proprietário do certificado, como um nome e endereço organizacional. Você fornece essas informações ao gerar um certificado utilizando um utilitário de gerenciamento de certificados. Chave pública O receptor do certificado utiliza a chave pública para decifrar texto criptografado enviado pelo proprietário do certificado para verificar sua identidade. Uma chave pública tem uma chave privada correspondente que criptografa o texto. Nome distinto da autoridade de certificação O emissor do certificado identifica a si próprio com essas informações. Assinatura digital O emissor do certificado o assina com uma assinatura digital para verificar sua autenticidade. Essa assinatura é comparada à assinatura no certificado de CA correspondente para verificar se o certificado foi originado em uma autoridade de certificação confiável. Navegadores da Web, servidores e outros aplicativos ativados por SSL geralmente aceitam como verdadeiro qualquer certificado digital que seja assinado por uma autoridade de certificação confiável e seja válido. Por exemplo, um certificado 30 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

45 Certificados digital pode ser invalidado se tiver expirado ou se o certificado de CA utilizado para verificá-lo tiver expirado, ou porque o nome distinto do certificado digital do servidor não corresponde ao nome distinto especificado pelo cliente. Auto-assinados Você pode utilizar certificados auto-assinados para testar uma configuração SSL antes de criar e instalar um certificado assinado emitido por uma autoridade de certificação. Um certificado auto-assinado contém uma chave pública, informações sobre o proprietário do certificado e a assinatura do proprietário. Possui uma chave privada associada, mas não verifica a origem do certificado por meio de uma autoridade de certificação de terceiros. Depois de gerar um certificado auto-assinado em um aplicativo de servidor SSL, você deverá extraí-lo e incluí-lo no registro de certificado do aplicativo cliente SSL. Esse procedimento é equivalente a instalar um certificado de CA que corresponde a um certificado do servidor. No entanto, você não inclui a chave privada no arquivo ao extrair um certificado auto-assinado para utilizar como equivalente de um certificado de CA. Utilize um utilitário Key Management para gerar um certificado auto-assinado e uma chave privada, extrair um certificado auto-assinado e incluir no certificado auto-assinado. Onde e como você optar por utilizar certificados auto-assinados dependerá dos seus requisitos de segurança. Para obter o nível mais alto de autenticação entre componentes de software críticos, não utilize certificados auto-assinados ou utilize-os seletivamente. Por exemplo, você pode optar por autenticar aplicativos que protegem os dados do servidor com certificados digitais assinados e utilizar certificados auto-assinados para autenticar navegadores da Web ou adaptadores do Tivoli Identity Manager. Se você estiver utilizando certificados auto-assinados, nos seguintes procedimentos poderá substituir um certificado auto-assinado para um par de certificado e certificado de CA. Certificado e Formatos de Chave Os certificados a as chaves são armazenados em arquivos com os seguintes formatos: formato.pem Um arquivo no formato.pem (privacy-enhanced mail) começa e termina com as seguintes linhas: formato.arm -----BEGIN CERTIFICATE END CERTIFICATE----- Um formato de arquivo.pem suporta vários certificados digitais, incluindo uma cadeia de certificados. Se sua organização utiliza cadeia de certificados, utilize esse formato para criar certificados de CA. Um arquivo.arm contém uma representação de ASCII codificada em base 64 de um certificado, incluindo sua chave pública, mas não sua chave privada. Um formato de arquivo.arm é gerado e usado pelo utilitário IBM Key Management. Capítulo 4. Configurando uma Autenticação SSL para o Adaptador Linux 31

46 O Uso da Autenticação SSL formato.der Um arquivo.der contém dados binários. Um arquivo.der pode ser utilizado apenas para um único certificado, ao contrário de um arquivo.pem, que pode conter vários certificados. formato.pfx (PKCS12) Um arquivo PKCS12 é um arquivo portátil que contém um certificado e uma chave privada correspondente. Esse formato é útil para converter de um tipo de implementação SSL para uma implementação diferente. Por exemplo, você pode criar e exportar um arquivo PKCS12 usando o utilitário IBM Key Management, importando, em seguida, o arquivo para outra máquina usando o utilitário CertTool. Quando você inicia o adaptador, os protocolos de conexão disponíveis são carregados. O protocolo DAML é o único protocolo disponível que suporta o uso da autenticação SSL. Você pode especificar o uso da implementação DAML SSL. A implementação DAML SSL utiliza um registro de certificado para armazenar chaves privadas e certificados. O local do registro de certificado é gerenciado internamente pela chave CertTool e a ferramenta de gerenciamento de certificados; portanto, você não especifica o local do registro quando executa as tarefas de gerenciamento de certificados. Para obter informações adicionais sobre o Protocolo DAML, consulte Alterando as Definições de Configuração do Protocolo na página 10. Configurando Certificados para Autenticação SSL Utilize os seguintes procedimentos para configurar o adaptador para autenticação SSL unidirecional ou bidirecional utilizando certificados assinados. Para executar esses procedimentos, use o utilitário CertTool. Configurando Certificados para Autenticação SSL Unidirecional Nesse cenário, o Servidor Tivoli Identity Manager e o adaptador Tivoli Identity Manager são definidos para utilizar o SSL. A autenticação do cliente não é configurada em nenhum aplicativo. O Servidor Tivoli Identity Manager opera como o cliente SSL e inicia a conexão. O adaptador opera como o servidor SSL e responde enviando seu certificado assinado ao Servidor Tivoli Identity Manager. O Servidor Tivoli Identity Manager utiliza o certificado de CA que é instalado para validar o certificado enviado pelo adaptador. Na Figura 2 na página 33, o Aplicativo A opera como o Servidor Tivoli Identity Manager e o Aplicativo B opera como o adaptador Tivoli Identity Manager. 32 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

47 Servidor Tivoli Identity Manager (cliente SSL) Adaptador Tivoli Identity Manager (servidor SSL) Armazenamento de chave Iniciar comunicação Certificado A de CA Verificar Enviar Certificado B Certificado A Figura 2. Autenticação SSL Unidirecional (Autenticação do Servidor) Para configurar o SSL unidirecional, execute as seguintes tarefas para cada aplicativo: 1. No adaptador, complete estas etapas: a. Inicie o utilitário CertTool. b. Para configurar o aplicativo do servidor SSL com um certificado assinado emitido por uma autoridade de certificação: 1) Crie um CSR (Certificate Signing Request) e uma chave privada. Esta etapa cria o certificado com uma chave pública incorporada e uma chave privada separada e coloca a chave privada no valor do registro PENDING_KEY. 2) Envie o CSR para a autoridade de certificação utilizando as instruções fornecidas pela CA. Ao enviar o CSR, especifique que você deseja que o certificado de CA raiz seja devolvido com o certificado do servidor. 2. No Servidor Tivoli Identity Manager, complete uma destas etapas: v Se você estiver configurando o uso de um certificado assinado emitido por uma CA de renome, assegure-se de que o Servidor Tivoli Identity Manager tenha armazenado o certificado raiz da CA (certificado de CA) em seu armazenamento de chave. Se o armazenamento de chave não contiver o certificado de CA, extraia-o do adaptador e inclua-o no armazenamento de chave do servidor. v Se você estiver configurando o uso de certificados auto-assinados: Se você tiver gerado o certificado auto-assinado no Servidor Tivoli Identity Manager, o certificado já estará instalado em seu armazenamento de chave. Se você tiver gerado o certificado auto-assinado usando o utilitário de gerenciamento de chaves de outro aplicativo, extraia o certificado do armazenamento de chave desse aplicativo e inclua-o no armazenamento de chave do Servidor Tivoli Identity Manager. Configurando Certificados para Autenticação SSL Bidirecional Nesse cenário, o Servidor Tivoli Identity Manager e o Adaptador Tivoli Identity Manager são configurados para utilizar o SSL e o adaptador é configurado para utilizar a autenticação de cliente. Depois de enviar seu certificado para o Servidor Tivoli Identity Manager, o adaptador solicita a verificação de identidade do servidor, que envia seu certificado assinado ao adaptador. Ambos os aplicativos são configurados com certificados assinados e certificados de CA correspondentes. Capítulo 4. Configurando uma Autenticação SSL para o Adaptador Linux 33

48 Na Figura 3, o Servidor Tivoli Identity Manager opera como o Aplicativo A e o adaptador Tivoli Identity Manager opera como o Aplicativo B. Servidor Tivoli Identity Manager (cliente SSL) Armazenamento de Chave Certificado A de CA Verificar Iniciar comunicação Enviar Certificado A Adaptador Tivoli Identity Manager (servidor C SSL) Certificado A Certificado B Verificar Certificado B de CA Figura 3. Autenticação SSL Bidirecional (Autenticação do Cliente) O seguinte procedimento assume que você já configurou o adaptador e o Servidor Tivoli Identity Manager para autenticação SSL unidirecional utilizando o procedimento descrito em Configurando Certificados para Autenticação SSL Unidirecional na página 32. Portanto, se você estiver utilizando certificados assinados de uma CA: v O adaptador é configurado com uma chave privada e um certificado assinado que foi emitido por uma CA. v O Servidor Tivoli Identity Manager é configurado com o certificado de CA da CA que emitiu o certificado assinado do adaptador. Para completar a configuração do certificado para SSL bidirecional, execute as seguintes tarefas: 1. No Servidor Tivoli Identity Manager, crie um CSR e uma chave privada, obtenha um certificado de uma CA, instale o certificado de CA, instale o certificado recém-assinado e extraia o certificado de CA para um arquivo temporário. 2. No adaptador, inclua o certificado de CA que foi extraído do armazenamento de chave do Servidor Tivoli Identity Manager no adaptador. Quando tiver concluído a configuração do certificado bidirecional, cada aplicativo terá o seu próprio certificado e chave privada e o certificado de CA da CA que emitiu os certificados para cada aplicativo. Configurando Certificados Quando o Adaptador Opera como um Cliente SSL Nesse cenário, o adaptador opera como um cliente SSL além de operar como um servidor SSL. Esse cenário aplica-se caso o adaptador inicie uma conexão ao servidor Web (utilizado pelo Servidor Tivoli Identity Manager) para enviar uma notificação de evento. Por exemplo, o adaptador inicia a conexão e o servidor Web responde apresentando seu certificado ao adaptador. A Figura 4 na página 35 ilustra como um adaptador Tivoli Identity Manager opera como um servidor SSL e um cliente SSL. Ao comunicar-se com o Servidor Tivoli Identity Manager, o adaptador envia seu certificado para autenticação. Ao 34 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

49 comunicar-se com o servidor Web, o adaptador recebe o certificado do servidor Web. Certificado A Certificado C de CA Adaptador Tivoli Identity Manager A Iniciar Comunicação Certificado A Certificado A de CA Servidor Tivoli Identity Manager B Certificado C Iniciar Comunicação Certificado C Servidor Web C Figura 4. Adaptador Tivoli Identity Manager Operando como um Servidor SSL e um Cliente SSL Se o Servidor Web for configurado para autenticação SSL bidirecional, ele verificará a identidade do adaptador, que envia seu certificado assinado para o servidor Web (não mostrado na ilustração). Para ativar a autenticação SSL bidirecional entre o adaptador e o servidor Web, utilize o seguinte procedimento: 1. Configure o servidor Web para utilizar a autenticação de cliente. 2. Siga o procedimento para criar e instalar um certificado assinado no servidor Web. 3. Instale o certificado de CA no adaptador utilizando o utilitário CertTool. 4. Inclua o certificado de CA correspondente ao certificado assinado do adaptador no servidor Web. Para obter informações adicionais sobre a configuração de certificados quando o adaptador inicia uma conexão ao servidor Web (utilizado pelo Servidor Tivoli Identity Manager) para enviar uma notificação de evento, consulte o Tivoli Identity Manager Information Center. Gerenciando Certificados SSL Utilizando o CertTool Os procedimentos nesta seção descrevem como utilizar o utilitário CertTool para gerenciar chaves privadas e certificados. Esta seção inclui instruções para executar as seguintes tarefas: v Iniciando o CertTool na página 36. v Gerando uma Chave Privada e um Pedido de Certificado na página 38. v Instalando o Certificado na página 39. v Instalando o Certificado e a Chave a partir de um Arquivo PKCS12 na página 39. v Visualizando o Certificado Instalado na página 39. v Visualizando Certificados de CA na página 40. v Instalando um Certificado de CA na página 40. v Excluindo um Certificado de CA na página 40. Capítulo 4. Configurando uma Autenticação SSL para o Adaptador Linux 35

50 v Visualizando Certificados Registrados na página 40. v Registrando um Certificado na página 41. v Cancelando o Registro de um Certificado na página 41. Iniciando o CertTool Para iniciar a ferramenta de configuração de certificado, CertTool, para o Adaptador Linux, complete estas etapas: 1. Efetue login no Adaptador Linux. 2. Mude para o diretório bin do adaptador. Por exemplo, se o diretório do Adaptador Linux estiver no local padrão, digite o seguinte comando: # cd home/itim/linuxagent/bin 3. Digite CertTool -agent LinuxAgent no prompt. O Main Menu é exibido: Main menu - Configuring agent: LinuxAgent A. Generate private key and certificate request B. Install certificate from file C. Install certificate and key from PKCS12 file D. View current installed certificate E. List CA certificates F. Install a CA certificate G. Delete a CA certificate H. List registered certificates I. Register certificate J. Unregister a certificate K. Export certificate and key to PKCS12 file X. Quit Choice: No Main Menu, você pode gerar uma chave privada e um pedido de certificado, instalar e excluir certificados, registrar e cancelar o registro de certificados e listar certificados. As seguintes seções resumem o objetivo de cada grupo de opções. O primeiro conjunto de opções (A a D) permite gerar um CSR e instalar o certificado assinado retornado no adaptador. A. Generate private key and certificate request Gerar um CSR e a chave privada associada enviada para a autoridade de certificação. Para obter informações adicionais sobre a opção A, consulte Gerando uma Chave Privada e um Pedido de Certificado na página 38. B. Install certificate from file Instalar um certificado a partir de um arquivo. Esse arquivo deve ser o certificado assinado retornado pela CA em resposta ao CSR gerado pela opção A. Para obter informações adicionais sobre a opção B, consulte Instalando o Certificado na página 39. C. Install certificate and key from a PKCS12 file Instalar um certificado a partir do arquivo formatado PKCS12 que inclua o certificado público e uma chave privada. Se as opções A e B não forem utilizadas para obter um certificado, o certificado utilizado deverá estar no formato PKCS12. Para obter informações adicionais sobre a opção C, consulte Instalando o Certificado e a Chave a partir de um Arquivo PKCS12 na página IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

51 D. View current installed certificate Visualizar o certificado que está instalado no sistema. Para obter informações adicionais sobre a opção D, consulte Visualizando o Certificado Instalado na página 39. O segundo conjunto de opções permite instalar certificados de CA raiz no adaptador. Um certificado de CA é utilizado pelo adaptador Tivoli Identity Manager para validar o certificado correspondente apresentado por um cliente, como o Servidor Tivoli Identity Manager. E. List CA certificates Mostrar os certificados instalados de CA. O adaptador apenas se comunica com os Servidores Tivoli Identity Manager cujos certificados são validados por um dos certificados de CA instalados. F. Install a CA certificate Instalar um novo certificado de CA para que os certificados gerados por essa CA possam ser validados. O arquivo de certificado de CA pode estar no formato codificado X.509 ou PEM. Para obter informações adicionais sobre como instalar um certificado de CA, consulte Instalando um Certificado de CA na página 40. G. Delete a CA certificate Remover um dos certificados instalados de CA. Para obter informações adicionais sobre como excluir um certificado de CA, consulte Excluindo um Certificado de CA na página 40. As opções restantes (H a K) aplicam-se a adaptadores que devem autenticar o aplicativo (por exemplo, o Servidor Tivoli Identity Manager ou o servidor Web) ao qual o adaptador está enviando informações. Essas opções permitem registrar certificados no adaptador. Para o Tivoli Identity Manager Versão 4.5 ou anterior, o certificado assinado do Servidor Tivoli Identity Manager deve ser registrado com um adaptador para ativar a autenticação do cliente no adaptador. Se você não pretende fazer upgrade em um adaptador existente para utilizar certificados de CA para autenticação de cliente, o certificado assinado apresentado pelo Servidor Tivoli Identity Manager deverá ser registrado com o adaptador. Se configurar o adaptador para utilizar notificação de eventos ou a autenticação de cliente estiver ativada no DAML, então, você deverá instalar o certificado de CA correspondente ao certificado assinado do Servidor Tivoli Identity Manager utilizando a opção Install a CA certificate, opção F. H. List registered certificates Listar todos os certificados registrados que serão aceitos para comunicações. Para obter informações adicionais sobre a listagem de certificados registrados, consulte Visualizando Certificados Registrados na página 40. I. Register a certificate Registrar um novo certificado. O certificado a ser registrado deve estar no formato X.509 codificado em Base 64 ou PEM. Para obter informações adicionais sobre o registro de certificados, consulte Registrando um Certificado na página 41. J. Unregister a certificate Cancelar (remover) o registro de um certificado da lista registrada. Para obter informações adicionais sobre o cancelamento de registro de certificados, consulte Cancelando o Registro de um Certificado na página 41. Capítulo 4. Configurando uma Autenticação SSL para o Adaptador Linux 37

52 K. Export certificate and key to PKCS12 file Exportar um certificado e chave privada anteriormente instalados. Você será solicitado pelo nome do arquivo e senha para criptografia. Para obter informações adicionais sobre a exportação de um certificado e da chave para um arquivo PKCS12, consulte Exportando um Certificado e a Chave para o Arquivo PKCS12 na página 41. Gerando uma Chave Privada e um Pedido de Certificado Um pedido de assinatura de certificado é um certificado não assinado que é um arquivo de texto. Quando você envia um certificado não assinado para uma autoridade de certificação, a CA assina o certificado com a assinatura digital privada que é incluída no certificado de CA correspondente. Quando o CSR é assinado, ele se torna um certificado válido. Um CSR contém informações sobre sua organização, como o nome da organização, o país e a chave pública para o servidor Web. Para gerar um arquivo CSR, complete estas etapas: 1. No Main Menu do CertTool, digite A. A seguinte mensagem e o prompt serão exibidos: Enter values for certificate request (press enter to skip value) No prompt Organization, digite o nome da organização e pressione Enter. 3. No prompt Organizational Unit, digite a unidade organizacional e pressione Enter. 4. No prompt Agent Name, digite o nome do adaptador para o qual você está solicitando um certificado e pressione Enter. 5. No prompt , digite o endereço de para a pessoa de contato desse pedido e pressione Enter. 6. No prompt State, digite o estado no qual o adaptador reside (se o adaptador estiver nos Estados Unidos) e pressione Enter. Algumas autoridades de certificação não aceitam abreviações de duas letras para estados, portanto, você deve digitar o nome completo do estado. 7. No prompt Country, digite o país no qual o adaptador reside e pressione Enter. 8. No prompt Locality, digite o nome da cidade no qual o adaptador reside e pressione Enter. 9. No prompt Accept these values, digite Y para aceitar os valores exibidos ou digite N para digitar os valores novamente e pressione Enter. A chave privada e o pedido de certificado serão gerados quando os valores forem aceitos. 10. No prompt Enter name of file to store PEM cert request, digite o nome do arquivo que você deseja utilizar para armazenar os valores especificados durante as etapas anteriores e pressione Enter. 11. Pressione Enter para continuar. O pedido de certificado e os valores de entrada são gravados no arquivo especificado e o Main Menu é exibido novamente. Agora você pode solicitar um certificado de uma CA confiável enviando o arquivo.pem que acabou de gerar para um fornecedor de autoridade de certificação. Exemplo de Pedido de Assinatura de Certificado O seu arquivo CSR ficará semelhante ao seguinte exemplo: 38 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

53 -----BEGIN CERTIFICATE REQUEST----- MIIB1jCCAT8CAQAwgZUxEjAQBgNVBAoTCWFjY2VzczM2MDEUMBIGA1UECxMLZW5n aw5lzxjpbmcxedaobgnvbamtb250ywdlbnqxjdaibgkqhkig9w0bcqewfw50ywdl bnraywnjzxnzmzywlmnvbtelmakga1uebhmcvvmxezarbgnvbagtcknhbglmb3ju awexdzanbgnvbactbklydmluztcbnzanbgkqhkig9w0baqefaaobjqawgykcgyea mr6acpnwf6hllc72bmukawaxcebtxcocnnth9uc8vumhpbimagjuc4s91hprilg7 UtlbOfy6X3R3kbeR8apRR9uLYrPIvQ1b4NK0whsytij6syCySaFQIB6V7RPBatFr 6XQ9hpsARdkGytZmGTgGTJ1hSS/jA6mbxpgmttz9HPECAwEAAaAAMA0GCSqGSIb3 DQEBAgUAA4GBADxA1cDkvXhgZntHkwT9tCTqUNV9sim8N/U15HgMRh177jVaHJqb N1Er46vQSsOOOk4z2i/XwOmFkNNTXRVl9TLZZ/D+9mGZcDobcO+lbAKlePwyufxK Xqdpu3d433H7xfJJSNYLYBFkrQJesITqKft0Q45gIjywIrbctVUCepL END CERTIFICATE REQUEST----- Instalando o Certificado Depois de receber o certificado da CA confiável, você o instalará no registro do adaptador. Para instalar o certificado, complete estas etapas: 1. Se você tiver recebido o certificado como parte de uma mensagem de , copie o texto do certificado para um arquivo de texto e copie esse arquivo para o diretório bin do adaptador. Por exemplo, home/itim/linuxagent/bin 2. No Main Menu do CertTool, digite B. O seguinte aviso é exibido: Enter name of certificate file: No prompt Enter name of certificate file, digite o caminho completo para o arquivo de certificado e pressione Enter. O certificado é instalado no registro do adaptador e o Main Menu é novamente exibido. Instalando o Certificado e a Chave a partir de um Arquivo PKCS12 Se você não utilizar o utilitário CertTool para gerar um CSR a fim de obter um certificado, deverá instalar o certificado e a chave privada, que devem estar armazenados em um arquivo PKCS12. A CA poderá enviar um arquivo protegido por senha ou um arquivo PKCS12 (um arquivo com a extensão.pfx), que inclui o certificado e a chave privada. Para instalar o certificado a partir desse arquivo PKCS12, complete estas etapas: 1. Copie o arquivo PKCS12 para o diretório bin do adaptador. Por exemplo, home/itim/linuxagent/bin 2. No Main Menu do CertTool, digite C. O seguinte aviso é exibido: Enter name of PKCS12 file: No prompt Enter name of PKCS12 file, digite o nome do arquivo PKCS12 que tem informações sobre o certificado e a chave privada e pressione Enter. Por exemplo, DamlSrvr.pfx. 4. No prompt Enter password, digite a senha para acessar o arquivo e pressione Enter. O certificado e a chave privada são instalados no registro do adaptador e o Main Menu é exibido. Visualizando o Certificado Instalado Para listar o certificado que está instalado no sistema, no Main Menu do CertTool, digite D. Capítulo 4. Configurando uma Autenticação SSL para o Adaptador Linux 39

54 O certificado instalado é listado e o Main Menu é exibido. O exemplo a seguir lista um certificado instalado: The following certificate is currently installed. Subject: c=us,st=california,l=irvine,o=daml,cn=daml Server Instalando um Certificado de CA Se você estiver utilizando a autenticação de cliente, precisará instalar um certificado de CA. O certificado de CA que você instala é emitido por um fornecedor de autoridade de certificação. Para instalar um certificado de CA que foi extraído para um arquivo temporário, complete as seguintes etapas: 1. No prompt Main Menu, digite F (Install a CA certificate). O seguinte aviso é exibido: Enter name of certificate file: 2. No prompt Enter name of certificate file, digite o nome do arquivo de certificado, como DamlCACerts.pem, e pressione Enter. O arquivo de certificado é aberto e o seguinte prompt é exibido: e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng Install the CA? (Y/N) 3. No prompt Install the CA, digite Y para instalar o certificado e pressione Enter. O arquivo de certificado é instalado no arquivo CACerts.pem. Visualizando Certificados de CA O CertTool instala apenas um certificado e uma chave privada. Para listar o certificado de CA que está instalado no adaptador, digite E no prompt Main Menu. Os certificados de CA instalados e o Main Menu são exibidos. O exemplo a seguir lista um certificado de CA instalado: Subject: o=ibm,ou=samplecacert,cn=testca Valid To: Wed Jul 26 23:59: Excluindo um Certificado de CA Para excluir um certificado de CA dos diretórios do adaptador, complete as seguintes etapas: 1. No prompt Main Menu, digite G. É exibida uma lista de todos os certificados de CA instalados no adaptador. 0 - e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng 1 - e=support@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=support,cn=support Enter number of CA certificate to remove: 2. No prompt Enter number of CA certificate to remove, digite o número do certificado de CA que você deseja remover e pressione Enter. O certificado de CA é excluído do arquivo CACerts.pem e o Main Menu é exibido. Visualizando Certificados Registrados Somente pedidos que apresentam um certificado registrado serão aceitos pelo adaptador quando a validação de clientes for ativada. Para visualizar uma lista de todos os certificados registrados disponíveis para o adaptador, no prompt Main Menu, digite H. 40 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

55 Os certificados registrados e o Main Menu são exibidos. O exemplo a seguir lista os certificados registrados: 0 - e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng 1 - e=support@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=support,cn=support Registrando um Certificado Para registrar um certificado para o adaptador, complete as seguintes etapas: 1. No prompt Main Menu, digite I. O seguinte aviso é exibido: Enter name of certificate file: 2. No prompt Enter name of certificate file, digite o nome do arquivo de certificado que deseja registrar e pressione Enter. O assunto do certificado e um prompt são exibidos, por exemplo: e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng Register this CA? (Y/N) 3. No prompt Register this CA, digite Y para registrar o certificado e pressione Enter. O certificado é registrado para o adaptador e o Main Menu é exibido. Cancelando o Registro de um Certificado Para cancelar o registro de um certificado para o adaptador, complete as seguintes etapas: 1. No prompt Main Menu, digite J. Os certificados registrados são exibidos. O exemplo a seguir lista os certificados registrados: 0 - e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng 1 - e=support@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=support,cn=support 2. Digite o número do arquivo de certificado que você deseja cancelar o registro e pressione Enter. O assunto do certificado selecionado e um prompt são exibidos, por exemplo: e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng Unregister this CA? (Y/N) 3. No prompt Unregister this CA, digite Y para cancelar o registro do certificado e pressione Enter. O certificado é removido da lista de certificados registrados para o adaptador e o Main Menu é exibido. Exportando um Certificado e a Chave para o Arquivo PKCS12 Para exportar um certificado e uma chave para um arquivo PKCS12 do adaptador, complete as seguintes etapas: 1. No prompt Main Menu, digite K. O seguinte prompt é exibido: Enter name of PKCS12 file: 2. No prompt Enter name of PKCS12 file, digite o nome do arquivo PKCS12 para o certificado ou chave privada instalada e pressione Enter. 3. No prompt Enter Password, digite a senha para o arquivo PKCS12 e pressione Enter. 4. No prompt Confirm Password, digite a senha novamente e pressione Enter. O certificado ou a chave privada é exportada para o arquivo PKCS12 e o Main Menu é exibido. Capítulo 4. Configurando uma Autenticação SSL para o Adaptador Linux 41

56 42 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

57 Capítulo 5. Customizando o Adaptador Linux Você pode atualizar o arquivo JAR do Adaptador Linux, LinuxProfile.jar, para fazer alterações no esquema do adaptador, no formulário de conta, no formulário de serviço e nas propriedades do perfil. Para fazer tais atualizações, você deve extrair os arquivos do arquivo JAR, fazer as alterações nos arquivos necessários e empacotar novamente o arquivo JAR com os arquivos atualizados. Siga estas etapas na ordem listada para customizar o perfil do Adaptador Linux: 1. Copie o arquivo JAR para um diretório temporário e extraia os arquivos. Para obter informações adicionais sobre a extração dos arquivos, consulte Copiar o Arquivo LinuxProfile.jar e Extrair os Arquivos. 2. Faça as alterações apropriadas no arquivo. 3. Instale os novos atributos no Servidor Tivoli Identity Manager. Para obter informações adicionais sobre a atualização desse arquivo, consulte Criar um Novo Arquivo JAR e Instalar os Novos Atributos no Servidor Tivoli Identity Manager na página 44. Copiar o Arquivo LinuxProfile.jar e Extrair os Arquivos O arquivo JAR do perfil, LinuxProfile.jar, está incluído no arquivo compactado do Adaptador Linux o qual você fez download a partir do Web site da IBM. O arquivo LinuxProfile.jar contém os seguintes arquivos: v v v v v CustomLabels.properties erlinuxaccount.xml erlinuxdamlservice.xml resource.def schema.dsml v xforms.xml Você pode modificar esses arquivos para customizar seu ambiente. Ao concluir a atualização do arquivo JAR do perfil, instale-o no Servidor Tivoli Identity Manager. Para obter informações adicionais sobre a instalação do perfil, consulte Importando o Perfil do Adaptador para o Servidor Tivoli Identity Manager na página 5. Para modificar o arquivo LinuxProfile.jar, complete as seguintes etapas: 1. Efetue logon no sistema no qual o Adaptador Linux está instalado. 2. Copie o arquivo LinuxProfile.jar para um diretório temporário. 3. Extraia o conteúdo do arquivo LinuxProfile.jar para o diretório temporário executando o seguinte comando: #cd /tmp jar -xvf LinuxProfile.jar O comando jar cria os arquivos no diretório LinuxProfile. 4. Edite o arquivo adequado. Direitos Autorais IBM Corp. 2003,

58 Criar um Novo Arquivo JAR e Instalar os Novos Atributos no Servidor Tivoli Identity Manager Depois que os arquivos schema.dsml e CustomLabels.properties são modificados, esses arquivos e qualquer outro arquivo que foi modificado para o adaptador devem ser importados para o Servidor Tivoli Identity Manager para que as alterações tenham efeito. Para instalar os novos atributos, complete as seguintes etapas: 1. Crie um novo arquivo JAR utilizando os arquivos no diretório /temp executando os seguintes comandos: #cd /tmp jar -cvf LinuxProfile.jar LinuxProfile 2. Importe o arquivo LinuxProfile.jar para o Servidor de Aplicativos Tivoli Identity Manager. Para obter informações adicionais sobre a importação do arquivo, consulte Importando o Perfil do Adaptador na página Pare e inicie o servidor de diretórios. 4. Pare e inicie o serviço do Adaptador Linux para que as alterações tenham efeito. Gerenciando Senhas ao Restaurar Contas Quando as contas de uma pessoa forem restauradas após um estado de suspensão, você será solicitado a fornecer uma nova senha para as contas restabelecidas. Entretanto, existem algumas circunstâncias em que você pode desejar evitar esse comportamento. O requisito de senha para a restauração de uma conta no Servidor Linux cai em duas categorias: permitido e necessário. A maneira como cada ação de restauração interage com seu recurso gerenciado correspondente depende do recurso gerenciado ou dos processos de negócios que você implementar. Determinados recursos rejeitarão uma senha quando um pedido for feito para restaurar uma conta. Nesse caso, você pode configurar o Tivoli Identity Manager para preceder o novo requisito de senha. Você pode definir o Adaptador Linux para requerer uma nova senha quando a conta estiver restaurada, se sua empresa tiver um processo de negócios no local que estabeleça que o processo de restauração de conta deve ser acompanhado pela reconfiguração da senha. No arquivo resource.def, você pode definir se uma senha é requerida ou não como uma nova opção de protocolo. Quando você importar o perfil do adaptador, se uma opção não for especificada, o importador do perfil do adaptador determinará o comportamento correto da senha de restauração a partir dos arquivos schema.dsml e xforms.xml. Os componentes do perfil do adaptador também permitem que serviços remotos descubram se você descartou uma senha digitada pelo usuário em uma situação nas qual várias contas em recursos distintos estão sendo restauradas. Nesse cenário, é possível que apenas algumas das contas em processo de restauração exijam uma senha. Os serviços remotos descartarão a senha da ação de restauração referente aos recursos gerenciados nos quais ela não é necessária. Para configurar o Adaptador Linux a fim de não solicitar uma nova senha ao restaurar contas: 1. Pare o Servidor Tivoli Identity Manager. 44 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

59 2. Extraia os arquivos do arquivo LinuxProfile.jar. Para obter informações adicionais sobre a customização do arquivo do perfil do adaptador, consulte Copiar o Arquivo LinuxProfile.jar e Extrair os Arquivos na página Mude para o diretório /LinuxProfile, no qual o arquivo resource.def foi criado. 4. Edite o arquivo resource.def para incluir as novas opções de protocolo, por exemplo: <Property Name = "com.ibm.itim.remoteservices.resourceproperties. PASSWORD_NOT_REQUIRED_ON_RESTORE" Value = "TRUE"/> <Property Name = "com.ibm.itim.remoteservices.resourceproperties. PASSWORD_NOT_ALLOWED_ON_RESTORE" Value = "FALSE"/> Ao incluir essas duas opções, você assegura que não será solicitada uma senha quando uma conta for restaurada. 5. Crie um novo arquivo LinuxProfile.jar utilizando o arquivo resource.def e importe o arquivo do perfil do adaptador para o Servidor Tivoli Identity Manager. Para obter informações adicionais, consulte Criar um Novo Arquivo JAR e Instalar os Novos Atributos no Servidor Tivoli Identity Manager na página Inicie o Servidor Tivoli Identity Manager novamente. Nota: Se você estiver fazendo upgrade de um perfil do adaptador existente, o novo esquema do perfil do adaptador não será refletido imediatamente. Você precisa parar e iniciar o Servidor Tivoli Identity Manager para atualizar a cache e, portanto, o esquema do adaptador. Para obter informações adicionais sobre o upgrade de um adaptador existente, consulte Fazendo Upgrade do Adaptador Linux na página 47. Capítulo 5. Customizando o Adaptador Linux 45

60 46 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

61 Capítulo 6. Fazendo Upgrade do Adaptador Linux ou do ADK Você pode fazer upgrade do Adaptador Linux ou do ADK (Adapter Development Kit). O ADK é o componente básico do adaptador. Enquanto todos os adaptadores têm o mesmo ADK, a funcionalidade dos adaptadores restantes é específica ao recurso gerenciado. Você pode executar um upgrade do adaptador para migrar a instalação atual do adaptador para uma versão mais recente, por exemplo, da versão 4.4 para a versão 4.6. O upgrade do adaptador, em oposição à sua reinstalação, permitirá que você mantenha suas definições de configuração. Adicionalmente, você não precisará desinstalar o adaptador atual e instalar a versão mais recente. No entanto, se uma correção de código tiver sido feita no ADK, em vez do upgrade no adaptador inteiro, você poderá fazer upgrade apenas do ADK para a versão mais recente. Fazendo Upgrade do Adaptador Linux Fazendo Upgrade do ADK Durante um upgrade, para manter todas as definições de configuração atuais, bem como o certificado e a chave privada, não desinstale a versão antiga do adaptador antes de instalar a nova. Durante a instalação, especifique o mesmo diretório de instalação em que o adaptador anterior foi instalado. Para obter informações adicionais sobre como instalar o adaptador, consulte o Capítulo 2, Instalando e Configurando o Adaptador Linux, na página 3. Se você tiver atualmente a versão 4.4 ou 4.5 do Adaptador Linux instalada e desejar a versão 4.6, será necessário um upgrade do adaptador. O upgrade do adaptador envolve várias etapas que você deve concluir na seqüência adequada. Para fazer upgrade de um adaptador existente, complete as seguintes etapas: 1. Pare o serviço do Adaptador Linux. 2. Instale a nova versão do adaptador. Quando o adaptador com upgrade for iniciado pela primeira vez, os novos arquivos de log serão criados, substituindo os antigos. O ADK consiste na biblioteca de tempo de execução, na funcionalidade de filtragem e de notificação de eventos, nas definições de protocolo e nas informações de log. O restante do adaptador é composto das funções Incluir, Modificar, Excluir e Procurar. Enquanto todos os adaptadores têm o mesmo ADK, a funcionalidade restante é específica ao recurso gerenciado. Você pode utilizar o programa de upgrade do ADK para atualizar a parte dos adaptadores do ADK que está atualmente instalada em uma máquina. Isso permite instalar apenas o ADK em vez do adaptador inteiro. Como parte do upgrade do ADK, a biblioteca do ADK e a biblioteca do protocolo DAML são atualizadas. Além disso, os binários agentcfg e CertTool são atualizados. Direitos Autorais IBM Corp. 2003,

62 Antes de fazer upgrade dos arquivos ADK, o programa de upgrade verifica a versão atual do ADK. Se o nível atual for mais alto do que o que você está tentando instalar, uma mensagem de aviso será exibida. Para fazer upgrade do ADK do Adaptador Linux, complete as seguintes etapas: 1. Faça download do arquivo do programa de upgrade do ADK a partir do Web site da IBM. 2. Extraia o conteúdo do arquivo compactado para um diretório temporário. 3. Altere o diretório de trabalho para o diretório temporário aonde você extraiu os arquivos de instalação do adaptador. Por exemplo: # cd /tmp 4. Execute o programa de upgrade do ADK adequado para o seu sistema operacional. #./adkinst_<sistema operacional>.bin em que <sistema operacional> é o nome do seu sistema operacional, como aix, solaris, linux ou hpux. 5. Na janela Bem-vindo, clique em Avançar. 6. Na janela Contrato de Licença de Software, revise o contrato de licença e decida se aceita os termos da licença. Se aceitá-los, clique em Aceitar. 7. Na janela Caminho de Instalação do Agente, digite o local onde o adaptador está atualmente instalado e clique em Avançar. Se nenhum adaptador for localizado, você receberá a seguinte mensagem de erro: Local de Instalação Inválido - Não é Possível Instalar o ADK. Você será então solicitado a digitar outro caminho de instalação do adaptador ou clicar em Cancelar para sair do programa. 8. Na janela Informações da Instalação, clique em Avançar para iniciar a instalação. 9. Se o adaptador estiver em execução atualmente, a janela Parar Agente será exibida solicitando que você pare o adaptador. 10. Na janela Instalação Concluída, clique em Avançar. 11. Na janela Fazer Upgrade de Outro ADK, clique em Sim para fazer upgrade de outro ADK do adaptador ou clique em Não para sair do programa. Arquivos de Log As entradas de log são armazenadas nos arquivos <ADKVersion>Installer.log e <ADKVersion>Installeropt.log, em que <ADKVersion> é a versão do ADK. Por exemplo, ADK46Installer.log e ADK46Installeropt.log. Esses arquivos são criados na pasta em que você executa o programa de instalação. 48 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

63 Capítulo 7. Desinstalando o Adaptador Este apêndice descreve os procedimentos de desinstalação do Adaptador Linux. Forneça avisos com antecedência aos usuários de que o recurso estará indisponível antes da remoção do adaptador. Se o servidor for desativado, os pedidos não concluídos poderão não ser recuperados quando o servidor for novamente ativado. Para remover o adaptador, faça o seguinte: 1. Navegue para o diretório _uninst, que é o diretório de instalação do adaptador. Por exemplo, /home/linuxagent/_uninst. 2. Execute o script uninstaller.bin. O arquivo uninstaller.bin está no diretório de instalação do adaptador. #./uninstaller.bin A janela de diálogo Bem-vindo é exibida. 3. Pressione Avançar. A janela de diálogo do resumo de desinstalação do Adaptador Linux aparece. 4. Pressione Avançar. Os componentes do Adaptador Linux são excluídos. 5. Pressione Concluir. Nota: Inspecione na árvore de diretórios os diretórios, subdiretórios e arquivos do Adaptador Linux para verificar se a desinstalação foi concluída. Direitos Autorais IBM Corp. 2003,

64 50 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

65 Apêndice A. Atributos do Adaptador Descrições de Atributos Como parte da implementação do adaptador, uma conta dedicada para o Tivoli Identity Manager acessar o Servidor Linux é criada no Servidor Linux. O Adaptador Linux consiste em arquivos e diretórios que pertencem à conta do Tivoli Identity Manager. Esses arquivos estabelecem comunicação com o Servidor Tivoli Identity Manager. O Servidor Tivoli Identity Manager se comunica com o Adaptador Linux utilizando os atributos incluídos em pacotes de transmissão enviados por uma rede. A combinação de atributos, incluídos nos pacotes, depende do tipo de ação que o Servidor Tivoli Identity Manager solicita do Adaptador Linux. A Tabela 12 é uma listagem alfabética dos atributos utilizados pelo Adaptador Linux. A tabela fornece uma breve descrição e o tipo de dados para o valor do atributo. Tabela 12. Atributos, Descrições e Tipos de Dados Correspondentes Atributo Atributo do Servidor de Diretórios Descrição Tipos de Dados GroupId erlinuxgroupid Especifica o ID do grupo ao qual a conta pertence GroupMember erlinuxgroupmember Especifica o membro do grupo ao qual a conta pertence GroupName erlinuxgroupname Especifica o nome do grupo ao qual a conta pertence lu_dupuid erunixduplicateuid Especifica o indicador do UID (ID do Usuário) duplicado: 0 = UIDs duplicados não são permitidos Número inteiro Cadeia Cadeia Número inteiro 1 = UIDs duplicados são permitidos lu_expire erexpirationdate Especifica a data de expiração no formato Linux DateYYYYMMDD Direitos Autorais IBM Corp. 2003,

66 Tabela 12. Atributos, Descrições e Tipos de Dados Correspondentes (continuação) Atributo Atributo do Servidor de Diretórios Descrição Tipos de Dados lu_force erpasswordforcechange Forçar alteração de senha Especifica o indicador forçar alteração de senha: Y = força a alteração da senha Cadeia N = não força a alteração da senha lu_gecos gecos Especifica o campo GECOS (General Electric Comprehensive Operating System) principal lu_gid gidnumber Especifica o ID do grupo válido (requerido para Inclusão de Grupo) lu_home_mode erhomedirpermissions Especifica o valor octal chmod de 3 dígitos para as permissões do diretório home lu_home_path erhomedir Especifica o caminho completo do diretório home UNIX para o usuário lu_idle_days eraccountidledays Especifica o número máximo de dias que uma conta permanece inativa lu_last_access erlastaccessdate Especifica a hora e a data que a senha foi acessada pela última vez lu_passwd erpassword Especifica a senha do usuário (apenas gravação, com 8 caracteres ou menos) lu_primary_group erunixprimarygroup Especifica o nome do grupo principal de caracteres ASCII lu_pwd_last_change erpasswordlastchange Especifica a data e a hora em que a senha foi alterada pela última vez lu_pwd_max_age erpasswordmaxage Especifica o número máximo de dias de validade da senha atual Cadeia Número inteiro Número inteiro Cadeia Número inteiro DateYYYYMMDDhhmmssss Cadeia Cadeia DateYYYYMMDDhhmmssss Número inteiro 52 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

67 Tabela 12. Atributos, Descrições e Tipos de Dados Correspondentes (continuação) Atributo Atributo do Servidor de Diretórios Descrição Tipos de Dados lu_pwd_min_age erpasswordminage Especifica o número mínimo de dias requeridos antes de solicitar que o usuário altere sua senha lu_pwd_warn_age erpasswordwarnage Especifica o número de dias antes da data de expiração que o sistema emitirá o aviso para o usuário alterar a senha lu_secondary_groups erunixsecondarygroup Especifica o nome do grupo secundário (único) lu_shell erunixshell Especifica o nome do shell Linux padrão Número inteiro Número inteiro Cadeia Cadeia lu_uid uidnumber Especifica o UID Número inteiro lu_umask erunixumask Especifica o valor chmod UMask complementado octal de 3 dígitos UserName eruid Especifica a cadeia de caracteres ASCII do nome de login do usuário (requerido para todas as transações do usuário, Incluir no Grupo e Remover do Grupo) UserStatus eraccountstatus Especifica o sinalizador bloqueado da conta Número inteiro Cadeia Booleano Atributos do Adaptador Linux por Ação A lista a seguir relaciona as ações típicas do Adaptador Linux de acordo com o seu grupo de transações funcionais. As listas incluem informações adicionais sobre atributos obrigatórios e opcionais enviados ao Adaptador Linux para concluir essa ação. Ping Um Ping é um pedido para verificar a conexão entre o Adaptador Linux e o Servidor Tivoli Identity Manager. Um pedido de ping não requer nenhum atributo. Tabela 13. Atributos de Pedido de Ping Atributo Obrigatório Atributo Opcional Nenhum Nenhum Adição de Login do Sistema Uma Inclusão de Login de Sistema é um pedido para criar uma nova conta de usuário no domínio com os atributos especificados. Apêndice A. Atributos do Adaptador 53

68 Tabela 14. Incluir Atributos de Pedido Atributo Obrigatório Atributo Opcional UserName Todos os outros atributos suportados Alteração de Login do Sistema Uma Alteração de Login de Sistema é um pedido para alterar um ou mais atributos para os usuários especificados. Tabela 15. Alterar Atributos de Pedido Atributo Requerido Atributo Opcional UserName Todos os outros atributos suportados Exclusão de Login do Sistema Uma Exclusão de Login de Sistema é um pedido para remover o usuário especificado do Active Directory. Tabela 16. Excluir Atributos de Pedido Atributo Requerido Atributo Opcional UserName Nenhum Suspensão de Login do Sistema Uma Suspensão de Login de Sistema é um pedido para desativar uma conta do usuário. O usuário não é removido e seus atributos não são modificados. Tabela 17. Suspender Atributos de Pedido Atributo Requerido Atributo Opcional UserName UserStatus Nenhum Restauração de Login do Sistema Uma Restauração de Login de Sistema é um pedido para ativar uma conta de usuário que foi suspensa anteriormente. Depois de uma conta ser restaurada, o usuário pode acessar o sistema com os mesmos atributos existentes antes da chamada da função Suspender. Tabela 18. Restaurar Atributos de Pedido Atributo Requerido Atributo Opcional UserName Nenhum Reconciliação O Pedido de Reconciliação sincroniza informações de contas de usuário entre o Tivoli Identity Manager e o adaptador. Tabela 19. Atributos Retornados Durante a Reconciliação Atributos Retornados Todos os atributos suportados 54 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

69 Apêndice B. Informações sobre Suporte Esta seção descreve as seguintes opções para obtenção de suporte para produtos IBM: v Procurando Bases de Conhecimento v Obtendo as Correções na página 56 v Entrando em Contato com o IBM Software Support na página 56 Procurando Bases de Conhecimento Se tem um problema com seu software IBM, você quer que seja resolvido rapidamente. Comece pesquisando as bases de conhecimento disponíveis para determinar se a resolução para seu problema já está documentada. Procurar no Centro de Informações no Sistema Local ou na Rede A IBM fornece uma documentação extensa que pode ser instalada na sua máquina local ou em um servidor intranet. Você pode utilizar a função de pesquisa desse centro de informações para consultar informações conceituais, instruções para concluir tarefas, informações de referência e documentos de suporte. Procurar na Internet Se não encontrar uma resposta para sua pergunta no centro de informações, pesquise na Internet para obter as informações mais recentes e mais completas que podem ajudá-lo a resolver o problema. Para localizar recursos da Internet para o produto, abra um dos seguintes Web sites: v IBM Tivoli Identity Manager Performance Tuning Guide Fornece informações necessárias para ajustar o Servidor Tivoli Identity Manager para um ambiente de produção, disponível na Web em: Clique no caractere I na lista de produtos de A-Z e, em seguida, clique no link Tivoli Identity Manager. Procure no centro de informações a seção Technical Supplements. v Redbooks e white papers estão disponíveis na Web em: IBMTivoliIdentityManager.html Procure a seção Self Help, na categoria Learn, e clique no link Redbooks. v Technotes estão disponíveis na Web em: v Field Guides estão disponíveis na Web em: v Para obter uma lista estendida de outros recursos do Tivoli Identity Manager, procure os seguintes endereços da Web do IBM developerworks: Direitos Autorais IBM Corp. 2003,

70 Obtendo as Correções Uma correção do produto pode estar disponível para resolver seu problema. É possível determinar quais correções estão disponíveis para seu produto de software IBM verificando o Web site de suporte ao produto: 1. Vá para o Web site do IBM Software Support ( 2. Em Products support pages A to Z, selecione a letra do nome do produto. 3. Na lista de produtos específicos, clique em IBM Tivoli Identity Manager. 4. Em Self help, você localiza uma lista de correções, fix packs e outras atualizações de serviço para seu produto. 5. Clique no nome de uma correção para ler a descrição e, opcionalmente, fazer o download da correção. Para receber semanalmente notificações de sobre as correções e outras notícias sobre os produtos IBM, siga estas etapas: 1. A partir da página de suporte para qualquer produto IBM, clique em My support no canto superior esquerdo da página. 2. Se você já tiver se registrado, vá para a próxima etapa. Se não tiver se registrado, clique em registro no canto superior direito da página de suporte para estabelecer seu ID de usuário e senha. 3. Registre-se em My support. 4. Na página My support, clique em Edit profiles na área de janela de navegação à esquerda e role para Select Mail Preferences. Selecione uma família de produtos e marque as caixas apropriadas para o tipo de informações que você deseja. 5. Clique em Submit. 6. Para obter notificação de de outros produtos, repita as Etapas 4 e 5. Para obter informações adicionais sobre tipos de correções, consulte o Software Support Handbook ( Entrando em Contato com o IBM Software Support O IBM Software Support fornece assistência para os defeitos de produto. Antes de entrar em contato com o IBM Software Support, sua empresa deve ter um contrato ativo de manutenção de software IBM e deve estar autorizado a submeter os problemas à IBM. O tipo de contrato de manutenção de software que você precisa depende do tipo de produto que você tem: v Para produtos de software distribuídos pela IBM (incluindo, mas não se limitando a, produtos Tivoli, Lotus e Rational, bem como produtos DB2 e WebSphere que são executados em sistemas operacionais Windows ou UNIX), cadastre-se no Passport Advantage de uma das seguintes maneiras: On-line: Visite a página da Web do Passport Advantage ( Passport_Advantage_Home) e clique em How to Enroll Por Telefone: Para obter o número de telefone para ligar em seu país, vá para o Web site do IBM Software Support ( e clique no nome de sua região geográfica. v Para produtos de software IBM eserver (incluindo, mas não se limitando a, produtos DB2 e WebSphere que são executados em ambientes zseries, pseries e 56 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

71 iseries), você pode adquirir um acordo de manutenção de software diretamente de um representante de vendas IBM ou um de um Parceiro de Negócios IBM. Para obter informações adicionais sobre suporte para produtos de software eserver, visite a página da Web do IBM Technical Support Advantage ( Se não tiver certeza do tipo de contrato de manutenção de software que você precisa, ligue para IBMSERV ( ) nos Estados Unidos ou, de outros países, vá para a página de contatos do IBM Software Support Handbook na Web ( e clique no nome da sua região geográfica para obter os números de telefone de pessoas que fornecem suporte para a sua localidade. Siga as etapas deste tópico para contatar o IBM Software Support: 1. Determine o impacto de seu problema na empresa. 2. Descreva seu problema e reúna informações de apoio. 3. Submeta seu problema ao IBM Software Support. Determinar o Impacto Comercial do Problema Quando você relatar um problema à IBM, será necessário fornecer um nível de severidade. Portanto, é necessário entender e avaliar o impacto comercial do problema que você está relatando. Utilize os critérios a seguir: Gravidade 1 Impacto comercial crítico: Não é possível utilizar o programa, resultando em um impacto crítico nas operações. Essa condição requer uma solução imediata. Gravidade 2 Impacto comercial significativo: O programa é utilizável, mas é muito limitado. Gravidade 3 Algum impacto comercial: O programa é utilizável com recursos menos significativos (não críticos para as operações) não disponíveis. Gravidade 4 Impacto comercial mínimo: O problema causa um pequeno impacto nas operações ou foi implementado um engano razoável para o problema. Descrever o Problema e Reunir Informações de Segundo Plano Ao explicar um problema à IBM, seja o mais específico possível. Inclua todas as informações relevantes de segundo plano para que os especialistas do IBM Software Support possam ajudá-lo a solucionar o problema com eficiência. Para economizar tempo, conheça as respostas a essas perguntas: v Quais versões de software você estava executando quando ocorreu o problema? v Você tem logs, rastreios e mensagens que estejam relacionados aos sintomas do problema? O IBM Software Support provavelmente solicitará estas informações. v É possível recriar o problema? Se sim, quais etapas levaram ao defeito? v Foi feita alguma alteração no sistema? (Por exemplo, hardware, sistema operacional, software de rede e etc.) v Você está utilizando, atualmente, uma solução alternativa para esse problema? Se estiver, esteja preparado para explicá-la quando relatar o problema. Apêndice B. Informações sobre Suporte 57

72 Submeter Problemas ao IBM Software Support Você pode enviar seu problema de uma entre duas maneiras: v On-line: Vá para a página Submit and track problems no site do IBM Software Support ( Digite suas informações na ferramenta de submissão de problemas apropriada. v Pelo telefone: Para obter o número de telefone em seu país, vá para a página de contatos do IBM Software Support Handbook na Web ( e clique no nome de sua região geográfica. Se o problema que você submeter destinar-se a um defeito de software ou à documentação ausente ou inexata, o IBM Software Support criará um APAR (Authorized Program Analysis Report). O APAR descreve o problema com detalhes. Sempre que possível, o IBM Software Support fornecerá uma solução alternativa para que você implemente até que o APAR seja resolvido e uma correção seja entregue. A IBM publica os APARs resolvidos nas páginas da Web do suporte ao produto IBM diariamente para que outros usuários que tenham o mesmo problema possam se beneficiar com as mesmas resoluções. Para obter mais informações sobre resolução de problemas, consulte Procurando Bases de Conhecimento e Obtendo Correções. 58 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

73 Apêndice C. Avisos Estas informações foram desenvolvidas para produtos e serviços oferecidos nos Estados Unidos. É possível que a IBM não ofereça os produtos, serviços ou recursos discutidos neste documento em seu país. Consulte o representante IBM local para obter informações sobre os produtos e serviços disponíveis atualmente em sua área. Qualquer referência a produtos, programas ou serviços IBM não significa que somente produtos, programas ou serviços IBM possam ser utilizados. Qualquer produto, programa ou serviço funcionalmente equivalente, que não infrinja nenhum direito de propriedade intelectual da IBM ou quaisquer outros direitos da IBM, poderá ser utilizado em substituição a este produto, programa ou serviço. Porém, é de responsabilidade do usuário a avaliação e verificação da operação de qualquer produto, programa ou serviço que não seja da IBM. A IBM pode ter patentes ou solicitações de patentes relativas a assuntos tratados neste documento. O fornecimento deste documento não concede ao Cliente nenhuma licença relativa a estas patentes. Pedidos de licença devem ser enviados, por escrito, para: Gerência de Relações Comerciais e Industriais da IBM Brasil Av. Pasteur, 138/146 Botafogo Rio de Janeiro, RJ CEP Para pedidos de licenças com relação a informações sobre DBCS (Conjunto de Caracteres de Byte Duplo), entre em contato com o Departamento de Propriedade Intelectual da IBM em seu país ou envie pedidos, por escrito, para: IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome, Minato-ku Tokyo , Japan O parágrafo a seguir não se aplica a nenhum país em que tais disposições não estejam de acordo com a legislação local: A INTERNATIONAL BUSINESS MACHINES CORPORATION FORNECE ESTA PUBLICAÇÃO NO ESTADO EM QUE SE ENCONTRA SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE MERCADO OU DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. Alguns estados não permitem a exclusão de garantias expressas ou implícitas em certas transações; portanto, esta disposição pode não se aplicar ao Cliente. Estas informações podem conter imprecisões técnicas ou erros tipográficos. Alterações são periodicamente realizadas nas informações aqui contidas; tais alterações serão incorporadas em futuras edições desta publicação. A IBM pode, a qualquer momento, aperfeiçoar e/ou alterar os produtos e/ou programas descritos nesta publicação, sem aviso prévio. Referências nestas informações a Web sites não-ibm são fornecidas apenas por conveniência e não representam de forma alguma um endosso a esses Web sites. Os materiais contidos nesses Web sites não fazem parte deste produto IBM e seu uso é de responsabilidade do Cliente. Direitos Autorais IBM Corp. 2003,

74 A IBM pode utilizar ou distribuir as informações fornecidas da forma que julgar apropriada sem incorrer em qualquer obrigação para com o Cliente. Licenciados deste programa que pretendam obter informações adicionais sobre o mesmo com o objetivo de permitir: (i) a troca de informações entre programas criados independentemente e outros programas (incluindo este) e (ii) a utilização mútua das informações trocadas, devem entrar em contato com: Gerência de Relações Comerciais e Industriais da IBM Brasil Av. Pasteur, 138/146 Botafogo Rio de Janeiro, RJ CEP Tais informações podem estar disponíveis, sujeitas a termos e condições apropriados, incluindo em alguns casos, o pagamento de uma taxa. O programa licenciado descrito nessas informações e todo o material licenciado disponível são fornecidos pela IBM sob os termos do Acordo do Cliente IBM, do Acordo Internacional de Licença de Programa IBM, ou sob qualquer acordo equivalente entre as partes. Quaisquer dados sobre desempenho contidos neste documento foram determinados em um ambiente controlado. Portanto, os resultados obtidos em outros ambientes operacionais poderão variar significativamente. Algumas medidas podem ter sido tomadas em sistemas de nível de desenvolvimento e não há garantia de que estas medidas sejam iguais em sistemas geralmente disponíveis. Além disso, algumas medidas podem ter sido estimadas através de extrapolação. O resultado real pode variar. Os usuários deste documento devem verificar os dados aplicáveis para seu ambiente específico. As informações referentes a produtos não-ibm foram obtidas com os fornecedores desses produtos, anúncios publicados ou outras fontes de publicidade disponíveis. A IBM não testou esses produtos e não pode confirmar a precisão do seu desempenho, compatibilidade ou qualquer outro requisito relacionado a produtos não-ibm. Dúvidas sobre os recursos de produtos não-ibm devem ser encaminhadas diretamente a seus fornecedores. Marcas Registradas Os seguintes termos são marcas registradas da International Business Machines Corporation nos Estados Unidos e/ou em outros países: IBM Logotipo IBM AIX DB2 Novell SecureWay Tivoli Logotipo Tivoli Universal Database WebSphere Lotus é uma marca registrada da Lotus Development Corporation e/ou IBM Corporation. 60 IBM Tivoli Identity Manager: Adaptador Linux - Guia de Instalação e Configuração

75 Domino é uma marca registrada da International Business Machines Corporation e Lotus Development Corporation nos Estados Unidos e/ou em outros países. Microsoft, Windows, Windows NT e o logotipo Windows são marcas registradas da Microsoft Corporation nos Estados Unidos e/ou em outros países. Intel, Intel Inside (logotipos), MMX e Pentium são marcas registradas da Intel Corporation nos Estados Unidos e/ou em outros países. UNIX é uma marca registrada da The Open Group nos Estados Unidos e/ou em outros países. Linux é uma marca registrada da Linus Torvalds nos Estados Unidos e/ou em outros países. Sun, Sun Microsystems e o Logotipo Sun são marcas ou marcas registradas da Sun Microsystems, Inc. nos Estados Unidos e em outros países. Java e todas as marcas registradas baseadas em Java são marcas registradas da Sun Microsystems Inc. nos Estados Unidos e/ou em outros países. Outros nomes de empresas, produtos e serviços podem ser marcas registradas ou marcas de serviços de terceiros. Apêndice C. Avisos 61