Tivoli Identity Manager

Transcrição

1 Tivoli Identity Manager Versão 4.6 IBM Tivoli Access Manager Global Sign On Adapter para Windows: Guia de Instalação e Configuração S

2

3 Tivoli Identity Manager Versão 4.6 IBM Tivoli Access Manager Global Sign On Adapter para Windows: Guia de Instalação e Configuração S

4 Nota Antes de utilizar estas informações e o produto suportado por elas, leia as informações no Apêndice C, Avisos, na página 57. Primeira Edição (Junho de 2005) Esta edição se aplica à versão 4.6 deste adaptador e a todos os releases e modificações subseqüentes, até que seja indicado de outra maneira em novas edições. Direitos Autorais International Business Machines Corporation 2004, Todos os direitos reservados.

5 Índice Prefácio v Quem Deve Ler este Manual v Publicações e Informações Relacionadas.....v Biblioteca do Tivoli Identity Manager.....v Publicações de Pré-requisito do Produto.... vii Publicações Relacionadas viii Acessando Publicações On-line viii Acessibilidade viii Informações sobre Suporte ix Convenções Utilizadas neste Manual......ix Convenções Tipográficas ix Diferenças de Sistemas Operacionais.....x Definições para Variáveis de Diretório HOME..x Capítulo 1. Visão Geral Instalação Básica Capítulo 2. Instalação do Adaptador.. 3 Requisitos Etapa 1: Testando a Conectividade da Rede....4 Etapa 2: Instalando o Adaptador Etapa 3: Ativando o Adaptador como um Serviço..5 Etapa 4: Configurando o Adaptador Etapa 5: Instalando o Certificado do Adaptador..6 Etapa 6: Importando o Perfil do Adaptador....6 Etapa 7: Configurando os Formulários do Adaptador 7 Capítulo 3. Configurando o Adaptador do IBM Tivoli Identity Manager Iniciando a Ferramenta de Configuração do Adaptador Visualizando Definições de Configuração Alterando Definições de Configuração de Protocolo 11 Configurando a Notificação de Eventos Definindo Acionadores de Notificação de Eventos 16 Modificando um Contexto de Notificação de Evento Alterando a Chave de Configuração Alterando as Configurações do Log de Atividades 18 Alterando Configurações de Registro Modificando Definições de Registro não Criptografadas Alterando Configurações Avançadas Visualizando Estatísticas Alterando Configurações de Página de Códigos..23 Acessando a Ajuda e Opções Adicionais Capítulo 4. Configurando a Autenticação SSL para o Adaptador.. 27 Visão Geral dos Certificados Digitais e SSL Chaves Privadas, Chaves Públicas e Certificados Digitais Certificados Auto-assinados Formatos de Certificado e de Chave O Uso da Autenticação SSL Configurando Certificados para Autenticação SSL 30 Configurando Certificados para Autenticação SSL de Uma Via Configurando Certificados para Autenticação SSL de Duas Vias Configurando Certificados quando o Adaptador Funciona como um Cliente SSL Gerenciando Certificados SSL Utilizando o CertTool 33 Iniciando o CertTool Gerando uma Chave Privada e um Pedido de Certificado Instalando o Certificado Instalando o Certificado e a Chave de um Arquivo PKCS Visualizando o Certificado Instalado Instalando um Certificado de CA Visualizando Certificados de CA Excluindo um Certificado de CA Visualizando Certificados Registrados Registrando um Certificado Cancelando o Registro de um Certificado...39 Exportando um Certificado e uma Chave para o Arquivo PKCS Capítulo 5. Customizando o Adaptador Tivoli Access Manager GSO Copiar o Arquivo TAMGsoProfile.jar e Extrair os Arquivos Criar um Novo Arquivo JAR e Instalar os Novos Atributos no Servidor Tivoli Identity Manager...42 Capítulo 6. Fazendo Upgrade do Adaptador ou do ADK Fazendo Upgrade do Adaptador Fazendo Upgrade do ADK Arquivos de Log Capítulo 7. Desinstalando o Adaptador Tivoli Access Manager GSO Apêndice A. Atributos do Adaptador.. 47 Descrições dos Atributos Atributos por Ações do Adaptador Tivoli Access Manager GSO Adição de Login do Sistema Alteração de Login do Sistema Exclusão de Login do Sistema Suspensão de Login do Sistema Restauração de Login do Sistema Reconciliação Resolução de Problemas Reconciliação de Contas Grandes Utilizando a API pdadmin Direitos Autorais IBM Corp. 2004, 2005 iii

6 Erros de Relatórios do Access Manager Reconciliação de Contas Grandes Utilizando a API LDAP Apêndice B. Informações sobre Suporte Procurando Bases de Conhecimento Procurar no Centro de Informações no Sistema Local ou na Rede Procurar na Internet Obtendo as Correções Entrando em Contato com o IBM Software Support 54 Determinar o Impacto Comercial do Problema..55 Descrever seu Problema e Reunir Informações de Segundo Plano Submeter Problemas ao IBM Software Support 56 Apêndice C. Avisos Marcas Registradas Índice Remissivo iv IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

7 Prefácio Quem Deve Ler este Manual O IBM Tivoli Identity Manager Tivoli Access Manager Global Sign On Adapter para Windows (Adaptador Tivoli Access Manager GSO) permite a conectividade entre o IBM Servidor Tivoli Identity Manager e uma rede de sistemas que executa o banco de dados do Tivoli Access Manager. Após a instalação e preparação do adaptador, o Tivoli Identity Manager gerencia o acesso aos recursos do Global Sign On no sistema do servidor Tivoli Access Manager. Este manual descreve como instalar e preparar um Adaptador Tivoli Access Manager GSO. Este manual é destinado a administradores de segurança responsáveis por instalar softwares nos sistemas de computadores de seus sites. Os leitores devem estar familiarizados com os conceitos de administração de segurança. A pessoa que estiver concluindo o procedimento de instalação também deve estar familiarizada com os padrões de sistemas do site. Os leitores devem estar aptos a executar tarefas rotineiras de administração de segurança. Publicações e Informações Relacionadas Leia as descrições da biblioteca do Tivoli Identity Manager. Para determinar quais publicações adicionais possam ser úteis a você, leia Publicações de Pré-requisito do Produto na página vii e Publicações Relacionadas na página viii. Depois de determinar as publicações necessárias, consulte as instruções em Acessando Publicações On-line na página viii. Biblioteca do Tivoli Identity Manager As publicações na biblioteca de documentação técnica do Tivoli Identity Manager são organizadas nas seguintes categorias: v Informações sobre o Release v Assistência On-line ao Usuário v Instalação e Configuração do Servidor v Determinação de Problemas v Complementos Técnicos v Instalação e Configuração do Adaptador Informações sobre o Release: v IBM Tivoli Identity Manager: Notas sobre o Release Fornece requisitos de software e hardware para o Tivoli Identity Manager, informações adicionais sobre correção e outras informações de suporte. v IBM Tivoli Identity Manager Documentation Read This First Card Lista as publicações do Tivoli Identity Manager. Assistência On-line ao Usuário: Fornece tópicos de ajuda on-line e um centro de informações para todas as tarefas administrativas do Tivoli Identity Manager. O centro de informações inclui Direitos Autorais IBM Corp. 2004, 2005 v

8 informações que anteriormente eram fornecidas no IBM Tivoli Identity Manager Configuration Guide e no IBM Tivoli Identity Manager Policy and Organization Administration Guide. Instalação e Configuração do Servidor: O IBM Tivoli Identity Manager Server: Guia de Instalação e Configuração para Ambientes do WebSphere fornece informações de instalação e configuração do Tivoli Identity Manager. Informações de configuração que anteriormente eram fornecidas no IBM Tivoli Identity Manager Configuration Guide agora estão incluídas no guia de instalação ou no IBM Tivoli Identity Manager Information Center. Determinação de Problemas: O IBM Tivoli Identity Manager: Guia de Determinação de Problemas fornece determinação de problemas, log e informações de mensagens do produto Tivoli Identity Manager. Complementos Técnicos: Os complementos técnicos a seguir são fornecidos por desenvolvedores ou por outros grupos interessados neste produto: v IBM Tivoli Identity Manager Performance Tuning Guide Fornece as informações necessárias para ajustar o Servidor Tivoli Identity Manager a um ambiente de produção, disponível na Web em: Clique no caractere I na lista de produtos de A a Z e, em seguida, clique no link Tivoli Identity Manager. Procure no centro de informações a seção Technical Supplements. v Redbooks e white papers estão disponíveis na Web em: IBMTivoliIdentityManager.html Procure a seção Self Help, na categoria Learn e clique no link Redbooks. v As technotes estão disponíveis na Web em: v Guia de campo estão disponíveis na Web em: v Para obter uma lista maior de outros recursos do Tivoli Identity Manager, procure no seguinte endereço da Web do IBM developerworks: Instalação e Configuração do Adaptador: A biblioteca de documentação técnica do Servidor Tivoli Identity Manager inclui também um conjunto em desenvolvimento de documentos de instalação específicos de plataforma para os componentes de adaptador de uma implementação do Servidor Tivoli Identity Manager. Localize os adaptadores na Web em: IBMTivoliIdentityManager.html vi IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

9 Navegue para Other resources (Outros recursos) e clique no link para o inventário atual de adaptadores. Qualificações e Treinamento: As seguintes informações adicionais sobre treinamento técnico e qualificações estavam disponíveis no momento em que este manual foi publicado: v Virtual Skills Center para Tivoli Software na Web em: v Tivoli Education Software Training Roadmaps na Web em: v Tivoli Technical Exchange na Web em: supp_tech_exch.html Publicações de Pré-requisito do Produto Para utilizar as informações neste manual com eficiência, você deve ter algum conhecimento dos produtos que são pré-requisitos para o Servidor Tivoli Identity Manager. As publicações estão disponíveis nas seguintes localizações: v Sistemas operacionais IBM AIX Sun Solaris Red Hat Linux Microsoft Windows Server v Servidores de bancos de dados IBM DB2 - Suporte: - Centro de informações: - Documentação: winos2unix/support/v8pubs.d2w/en_main - Família de produtos DB2: - Fix packs: - Requisitos do sistema: Oracle Microsoft SQL Server v Aplicativos do servidor de diretórios Prefácio vii

10 Publicações IBM Directory Server en_us/html/ldapinst.htm Sun ONE Directory Server v WebSphere Application Server Informações adicionais estão disponíveis no diretório de produtos ou em Web sites. v Sistema de mensagens incorporado do WebSphere v IBM HTTP Server Relacionadas Informações relacionadas ao Servidor Tivoli Identity Manager estão disponíveis nas seguintes publicações: v O Tivoli Software Library fornece uma variedade de publicações Tivoli, como white papers, planilhas, demonstrações, redbooks e cartas de anúncio. O Tivoli Software Library está disponível na Web em: v O Tivoli Software Glossary inclui definições para muitos dos termos técnicos relacionados a software Tivoli. O Tivoli Software Glossary está disponível no link Glossary da página da Web do Tivoli Software Library em: Acessando Publicações On-line A IBM lança publicações para este e todos os outros produtos Tivoli, assim que são disponibilizados e sempre que são atualizados, no Web site Tivoli software information center. Acesse o centro de informações de software Tivoli no seguinte endereço da Web: Clique no caractere I na lista de produtos de A a Z e, em seguida, clique no link Tivoli Identity Manager para acessar a biblioteca do produto. Nota: Se imprimir os documentos PDF em um tamanho de papel diferente de carta, defina uma opção na janela File Print que permita que o Adobe Reader imprima no papel local as páginas tamanho carta. Acessibilidade A documentação do produto inclui os seguintes recursos para auxiliar a acessibilidade: v A documentação está disponível em formato PDF conversível para oferecer oportunidade máxima para que os usuários apliquem o software de leitor de tela. viii IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

11 Informações sobre Suporte v Todas as imagens contidas na documentação são fornecidas com texto alternativo; dessa forma, os usuários com capacidade de visão diminuída podem entender o conteúdo das imagens. Se você tiver um problema com software IBM, desejará resolvê-lo rapidamente. A IBM oferece os seguintes modos para se obter o suporte necessário: v Procurando bases de conhecimento: você pode procurar em toda a ampla coleção de problemas conhecidos e soluções alternativas, Technotes e outras informações. v Obtendo correções: você pode localizar as correções mais recentes que já estão disponíveis ao seu produto. v Entrando em Contato com o IBM Software Support: se você ainda não puder resolver o problema e precisar trabalhar com alguém da IBM, poderá utilizar várias maneiras para entrar em contato com o IBM Software Support. Para obter mais informações sobre essas formas de resolver problemas, consulte o Apêndice B, Informações sobre Suporte, na página 53. Convenções Utilizadas neste Manual Convenções Esta referência utiliza várias convenções para termos e ações especiais e para a operação de comandos e caminhos dependentes do sistema. Tipográficas Este guia utiliza as seguintes convenções sobre tipos de letra: Negrito Itálico v Comandos em minúsculas e comandos que misturem letras minúsculas e maiúsculas que possam ser difíceis de serem distinguidos do texto ao redor v Controles da interface (caixas de opções, botões de comandos, botões de opções, botões de rotação, campos, pastas, ícones, quadros de listagem, itens dentro de quadros de listagem, listas de colunas múltiplas, contêineres, opções de menu, nomes de menus, guias, folhas de propriedades), etiquetas (como as Dicas: e Considerações sobre o sistema operacional:) v Palavras-chave e parâmetros no texto v Palavras definidas no texto v Ênfases em palavras (palavras como palavras) v Novos termos no texto (exceto na lista de definições) v Variáveis e valores que devem ser fornecidos pelo usuário Monoespaçamento v Exemplos e exemplos e código v Nomes de arquivos, palavras-chave de programação e outros elementos que são difíceis de serem distinguidos do texto adjacente v Texto de mensagem e avisos dirigidos ao usuário v Texto que o usuário deve digitar v Valores para opções de argumentos ou comandos Prefácio ix

12 Diferenças de Sistemas Operacionais Este guia utiliza a convenção do UNIX para especificar variáveis de ambiente e notação de diretório. Ao utilizar a linha de comandos do Windows, substitua $variable por %variable% para variáveis de ambiente e substitua cada barra (/) por uma barra invertida (\) nos caminhos de diretórios. Os nomes de variáveis de ambiente nem sempre são os mesmos no Windows e no UNIX. Por exemplo, %TEMP% no sistema operacional Windows é equivalente a $tmp em um sistema operacional UNIX. Nota: Se você for utilizar o shell bash em um sistema Windows, poderá utilizar as convenções UNIX. Definições para Variáveis de Diretório HOME A tabela a seguir contém as definições padrão utilizadas neste guia para representar o nível de diretório HOME para vários caminhos de instalação do produto. É possível personalizar o diretório de instalação e o diretório HOME para sua implementação específica. Se este for o caso, será necessário fazer a substituição apropriada para a definição de cada variável representada nessa tabela. O valor de caminho para o sistema operacional Windows é unidade:\arquivos de Programas. O valor de caminho para o sistema operacional AIX é /usr. O valor de caminho é /opt para outros sistemas operacionais UNIX e Linux. Variável do Caminho Definição Padrão Descrição DB_INSTANCE_HOME Windows: caminho\ibm\sqllib UNIX e Linux: v AIX, Linux: /home/dbinstancename v Solaris: /export/home/dbinstancename LDAP_HOME v IBM Directory Server Windows: caminho\ibm\ldap UNIX: caminho/ibm/ldap v Sun ONE Directory Server Windows: caminho\sun\mps UNIX: /var/sun/mps O diretório que contém o banco de dados do Tivoli Identity Manager. O diretório que contém o código do servidor de diretórios. HTTP_HOME Windows: caminho\ibmhttpserver UNIX e Linux: caminho/ibmhttpserver O diretório que contém o código do IBM HTTP Server. x IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

13 Variável do Caminho Definição Padrão Descrição ITIM_HOME WAS_HOME WAS_MQ_HOME WAS_NDM_HOME Tivoli_Common_Directory Windows: caminho\ibm\itim UNIX e Linux: caminho/ibm/itim Windows: caminho\websphere\appserver UNIX e Linux: caminho/websphere/appserver Windows: caminho\ibm\webspheremq UNIX e Linux: caminho/mqm Windows: caminho\websphere\deploymentmanager UNIX e Linux: caminho/websphere/deploymentmanager Windows: caminho\ibm\tivoli\common\ctgim UNIX e Linux: caminho/ibm/tivoli/common/ctgim O diretório de base que contém o código, a configuração e a documentação do Tivoli Identity Manager. O diretório home do WebSphere Application Server O diretório que contém o código do WebSphere MQ. O diretório home no gerenciador de implementação O local central para todos os arquivos relacionados a capacidade de uso, como logs e dados de captura de primeira falha Prefácio xi

14 xii IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

15 Capítulo 1. Visão Geral Um adaptador é um programa que fornece uma interface entre um recurso gerenciado e o Servidor Tivoli Identity Manager. Os adaptadores podem ou não residir no recurso gerenciado, e o Servidor Tivoli Identity Manager gerencia o acesso ao recurso utilizando seu sistema de segurança. Adaptadores funcionam como administradores virtuais confiáveis na plataforma de destino, executando tarefas como criar IDs de login, suspender IDs e executar outras funções que os administradores normalmente executam manualmente. O adaptador é executado como um serviço, quer o usuário esteja ou não com login efetuado no Servidor Tivoli Identity Manager. O IBM Tivoli Identity Manager Tivoli Access Manager GSO Adapter ativa a conectividade entre o Servidor Tivoli Identity Manager e um sistema que executa os servidores Windows. Este guia de instalação fornece as informações básicas que você precisa para instalar e configurar os componentes do Adaptador Tivoli Access Manager GSO. Este capítulo fornece uma visão geral do adaptador e de seus recursos. Instalação Básica A lista a seguir relaciona os procedimentos básicos necessários para instalar, configurar e executar o adaptador: v Crie uma conta no recurso gerenciado a ser utilizada pelo adaptador. v Instale o software do adaptador. v Carregue os eventos do Tivoli Identity Manager. v Ative o Adaptador Tivoli Access Manager GSO como um serviço no sistema do adaptador. v Configure os protocolos de comunicação do adaptador para permitir que o Adaptador Tivoli Access Manager GSO se comunique com o Servidor Tivoli Identity Manager. v Instale o perfil do adaptador no Servidor Tivoli Identity Manager. v Configure o Servidor Tivoli Identity Manager para reconhecer o adaptador como um serviço. Direitos Autorais IBM Corp. 2004,

16 2 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

17 Capítulo 2. Instalação do Adaptador Requisitos Este capítulo descreve as etapas requeridas para instalar e configurar o software do Adaptador Tivoli Access Manager GSO. É necessário concluir as etapas na ordem em que estão listadas. Esse capítulo tem as seguintes seções: v Requisitos v Etapa 1: Testando a Conectividade da Rede na página 4 v Etapa 2: Instalando o Adaptador na página 4 v Etapa 3: Ativando o Adaptador como um Serviço na página 5 v Etapa 4: Configurando o Adaptador na página 6 v Etapa 5: Instalando o Certificado do Adaptador na página 6 v Etapa 6: Importando o Perfil do Adaptador na página 6 v Etapa 7: Configurando os Formulários do Adaptador na página 7 A tabela a seguir identifica os requisitos de hardware, software e autorização para instalar o Adaptador Tivoli Access Manager GSO. Verifique se todos os requisitos foram atendidos antes de instalar o Adaptador Tivoli Access Manager GSO. Tabela 1. Requisitos para a Instalação do Adaptador Sistema O adaptador deve ser instalado em um servidor com microprocessador de 32 bits com base em x86 (no mínimo, 486), pelo menos 256 MB de memória e pelo menos 300 MB de espaço livre em disco. Sistema Operacional Estação de trabalho Windows NT 4.0 com SP6 ou Windows 2000 com SP2 ou Windows Software Tivoli Access Manager Este adaptador funciona com o Tivoli Access Manager versão 4.1 e 5.1. O Tivoli Access Manager Run-time Environment deve estar instalado e operacional no sistema em que o adaptador é instalado. O ambiente de tempo de execução do Tivoli Access Manager requer que um cliente LDAP seja instalado no sistema de implementação do aplicativo. Nota: O ambiente de tempo de execução do Tivoli Access Manager reforça a instalação do software necessário. Para obter instruções de instalação, consulte o Tivoli Access Manager Base Installation Guide para seu sistema operacional. Cliente do Tivoli Access Manager Agente do Tivoli Access Manager 4.1/5.1 O Tivoli Access Manager LDAP e GSKit devem ser instalados e estarem operacional. O Agente do Tivoli Identity Manager Tivoli Access Manager v4.1/v5.1 deve ser instalado e estar operacional no sistema em que o adaptador GSO está sendo instalado. Direitos Autorais IBM Corp. 2004,

18 Tabela 1. Requisitos para a Instalação do Adaptador (continuação) Conectividade da Rede O adaptador deve ser instalado em um sistema que possa se comunicar com o Servidor Tivoli Identity Manager por meio de uma rede TCP/IP. Autoridade de Administrador do Sistema O usuário que está concluindo o procedimento de instalação do Adaptador Tivoli Access Manager GSO deve ter a autoridade de administrador do sistema para concluir as etapas deste capítulo. Comunicação com o Servidor A comunicação entre o Servidor Tivoli Identity Manager e o Adaptador Tivoli Access Manager GSO deve ser testada com um ping de comunicação de nível baixo antes da instalação do software IBM. Isso facilitará a resolução de problemas se houver problemas de instalação. Etapa 1: Testando a Conectividade da Rede Esta etapa testa a conectividade da rede básica e a capacidade de transferência de arquivos. O teste é feito entre a estação de trabalho do Windows em que o Adaptador Tivoli Access Manager GSO será instalado e a estação de trabalho em que o Servidor Tivoli Identity Manager está ou estará localizado. Você deve emitir um comando ping do Tivoli Identity Manager para as estações de trabalho do adaptador designado para verificar a comunicação. 1. Efetue logon na estação de trabalho do Windows. 2. Teste a comunicação entre o sistema em que o Servidor Tivoli Identity Manager está localizado e a estação de trabalho do Windows. # ping adapter_host_name Etapa 2: Instalando o Adaptador Um programa de instalação executável é fornecido para o Adaptador Tivoli Access Manager GSO. Quando o programa de instalação é executado, é possível aceitar as definições padrão ou selecionar novos valores. Os arquivos de instalação do Tivoli Identity Manager Adaptador Tivoli Access Manager GSO estão disponíveis para download no Web site da IBM. Entre em contato com o representante da sua conta IBM para obter o endereço da Web e conhecer as instruções de download. Para instalar o adaptador, faça o seguinte: 1. Faça o download do arquivo zip de instalação do Adaptador Tivoli Access Manager GSO no Web site da IBM. 2. Extraia o conteúdo do arquivo zip de instalação do Adaptador Tivoli Access Manager GSO para um diretório temporário. 3. No menu Iniciar, selecione Executar... e digite o caminho para o diretório temporário, seguido por Setup.exe. Exemplo: C:\Temp\Setup.exe A janela de diálogo Bem-vindo é exibida. 4. Clique em Avançar. A janela de diálogo Contrato de Licença de Software aparece. Leia atenciosamente o contrato de licença e, se o aceitar, selecione a opção Aceito os termos do contrato de licença. 4 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

19 5. Clique em Avançar para continuar. A janela de diálogo Selecionar Diretório de Destino é exibida. Instalador r Clique em Avançar para instalar < agentname> neste diretório ou clique em Procurar para instalar em um diretório diferente. Nome do Diretório: C:\tivoli\agents\< agentname> Procurar... InstallShield < Voltar Avançar > Cancelar Figura 1. Janela de Diálogo Selecionar Diretório de Destino 6. Aceite o padrão ou selecione um caminho de destino alternativo e clique em Avançar. A janela de diálogo Resumo da Instalação aparecerá. 7. Clique em Avançar. O diálogo de configuração de contas do Access Manager é exibido. 8. Digite o ID e a senha da conta do administrador do Tivoli Access Manager nos respectivos campos, selecione Versão do Tivoli Access Manager e clique em Avançar. O Adaptador Tivoli Access Manager GSO é instalado e o diálogo de conclusão é exibido. 9. Clique em Concluir. Etapa 3: Ativando o Adaptador como um Serviço O Adaptador Tivoli Access Manager GSO é instalado e iniciado no Windows Server e iniciará automaticamente sempre que o servidor for reinicializado. O status do serviço do Tivoli Access Manager Agent pode ser visualizado utilizando a Ferramenta de Serviços do Windows (no menu Programas, selecione Ferramentas Administrativas e, em seguida, Serviços). Você também pode iniciar, parar e pausar o software Agent utilizando a Ferramenta de Serviços do Windows. Capítulo 2. Instalação do Adaptador 5

20 Etapa 4: Configurando o Adaptador O Adaptador Tivoli Access Manager GSO utiliza o DAML Protocol para garantir uma comunicação segura com o Servidor Tivoli Identity Manager. Os valores do protocolo padrão são fornecidos. Entretanto, é necessário configurar o DAML Protocol para os sistemas do seu site. Consulte Alterando Definições de Configuração de Protocolo na página 11 para obter informações adicionais. Nota: Um certificado deve estar instalado para o DAML Protocol. Consulte a Etapa 5: Instalando o Certificado do Adaptador para obter informações adicionais sobre como instalar certificados. Etapa 5: Instalando o Certificado do Adaptador Um certificado também deve estar instalado para o DAML Protocol. Você deve obter um certificado de produção com uma Autoridade de Certificação conhecida ou deve criar o seu próprio certificado utilizando a sua própria Autoridade de Certificação. O Adaptador Tivoli Access Manager GSO não é fornecido com um certificado por padrão. Consulte a Etapa 6: Importando o Perfil do Adaptador para obter informações adicionais sobre como instalar certificados. Depois de instalar o novo certificado, também será necessário instalar a nova Autoridade de Certificação no Servidor Tivoli Identity Manager. Consulte o IBM Tivoli Identity Manager: Guia de Configuração para obter mais informações. Nota: Você deve configurar o DAML Protocol antes de instalar o certificado. Pare e reinicie o adaptador após a instalação do certificado. Etapa 6: Importando o Perfil do Adaptador Um perfil do adaptador define os tipos de recursos que o Servidor Tivoli Identity Manager pode gerenciar. Você deve importar o perfil do adaptador no Servidor Tivoli Identity Manager antes de utilizar o Adaptador Tivoli Access Manager GSO. O perfil é utilizado para criar um serviço do Adaptador Tivoli Access Manager GSO no Servidor Tivoli Identity Manager e comunicar-se com o adaptador. Antes de começar a importar o perfil do adaptador, verifique se as seguintes condições foram atendidas: v Antes de importar o perfil do adaptador, o Servidor Tivoli Identity Manager deve ser instalado e estar em execução. v Para configurar o perfil do Adaptador Tivoli Access Manager GSO, você deve ter autoridade raiz ou de Administrador no Servidor Tivoli Identity Manager. Para importar o perfil do adaptador, conclua as seguintes etapas: 1. Efetue logon no Servidor Tivoli Identity Manager utilizando uma conta que tenha a autoridade para executar tarefas administrativas. 2. Na Barra de Navegação do Menu Principal, selecione a guia Configuração. 3. Na janela Configuração, selecione as guias Importar/Exportar Importar. 4. Na janela Importar, no campo Arquivo para Upload, digite o local do arquivo TAMGsoProfile.jar ou clique em Procurar para localizar o arquivo. 5. Clique no link Importar dados para o Identity Manager para importar o perfil do adaptador para o Servidor Tivoli Identity Manager. v Se a importação do perfil do adaptador for concluída com êxito, a seguinte mensagem será exibida: 6 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

21 A instalação do perfil foi concluída. v Se a importação do perfil do adaptador falhar, a seguinte mensagem será exibida: A instalação do perfil falhou. Ao importar o perfil do adaptador, se você receber um erro relacionado ao esquema, o arquivo trace.log conterá informações sobre esse erro. O local do arquivo trace.log é especificado pela propriedade handle.file.filedir que é definida no arquivo enrolelogging.properties do Tivoli Identity Manager, que está localizado no diretório \data do Tivoli Identity Manager. Etapa 7: Configurando os Formulários do Adaptador Configure os formulários de manutenção da conta e manutenção do serviço do adaptador no Servidor Tivoli Identity Manager. Consulte o IBM Tivoli Identity Manager Information Center para obter informações adicionais. Cada Tivoli Access Manager Global Sign On Service é configurado para apenas um Recurso ou Grupo de Recurso do Tivoli Access Manager. Antes de você configurar o formulário Serviço do Adaptador, um Recurso ou Grupo de Recurso do Tivoli Access Manager deve ser criado. Para concluir o formulário Configuração de Serviço do Adaptador Tivoli Access Manager GSO, preencha os campos Nome do Serviço, URL, ID do Usuário e Senha com os valores apropriados. O formulário tem dois atributos adicionais que precisam ser configurados: v O atributo Nome de Recurso do GSO especifica o nome do Recurso ou do Grupo de Recurso do Tivoli Access Manager. Durante o teste da configuração do adaptador, a existência do recurso ou do grupo de recurso não é testada. Portanto, um teste bem-sucedido não significa necessariamente que o campo Nome de Recurso do GSO contenha um valor correto. v A lista drop-down Tipo de Recurso do GSO oferece seleções para acompanhar o tipo especificado no campo anterior: Web Recurso da Web Grupo Grupo de Recurso Capítulo 2. Instalação do Adaptador 7

22 8 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

23 Capítulo 3. Configurando o Adaptador do IBM Tivoli Identity Manager Utilize o programa de configuração do adaptador, agentcfg, para visualizar ou modificar os parâmetros do Adaptador Tivoli Access Manager GSO. Todas as alterações feitas nos parâmetros com essa ferramenta são efetivadas imediatamente. Iniciando a Ferramenta de Configuração do Adaptador Para iniciar a ferramenta de configuração do adaptador, agentcfg, para os parâmetros do Adaptador Tivoli Access Manager GSO, conclua estas etapas: 1. No menu Iniciar, selecione Programas Acessórios Prompt de Comandos. 2. Na janela Prompt de Comandos do DOS, vá para o diretório bin do adaptador. Por exemplo, digite o seguinte comando, se o diretório do Adaptador Tivoli Access Manager GSO estiver na localização padrão: cd \Tivoli\Agents\TAMGSOAgent\bin 3. Digite o seguinte comando: agentcfg -agent TAMGSOAgent Também é possível utilizar o agentcfg para exibir ou alterar definições de configuração a partir de um computador remoto. Consulte a tabela em Acessando a Ajuda e Opções Adicionais na página 23 para conhecer os procedimentos sobre como utilizar argumentos adicionais. Nota: Para executar esta ferramenta de configuração, é necessário que o serviço TAMGSOAgent esteja em execução. 4. No prompt Enter configuration key for Agent TAMGSOAgent : (Digite a chave de configuração para o Agente TAMGSOAgent ), digite a chave de configuração do Adaptador Tivoli Access Manager GSO. A chave de configuração padrão é agent. Você deve alterar a chave de configuração uma vez concluída a instalação para evitar acesso não autorizado à configuração do adaptador. Consulte Alterando Definições de Configuração de Protocolo na página 11 para conhecer procedimentos sobre como alterar a chave de configuração. O Main Configuration Menu é exibido. TAMGSOAgent Agent Main Configuration Menu A. Configuration Settings. B. Protocol Configuration. C. Event Notification D. Change Configuration Key. E. Activity Logging. F. Registry Settings. G. Advanced Settings. H. Statistics. I. Codepage Support. X. Done Select menu option: No Main Menu, você pode configurar o protocolo, visualizar estatísticas e modificar definições, incluindo configuração, registro e configurações avançadas. Direitos Autorais IBM Corp. 2004,

24 Tabela 2. Opções do Main Configuration Menu Opção Tarefa de Configuração Para Obter Mais Informações n Visualizando definições de configuração Consulte a página 10. B Alterando definições de configuração de protocolo Consulte a página 11. S Configurando notificação de eventos Consulte a página 13. n Alterando a chave de configuração Consulte a página 18. A Alterando configurações de log de atividades Consulte a página 18. u Alterando configurações de registro Consulte a página 20. G Alterando configurações avançadas Consulte a página 21. H Visualizando estatísticas Consulte a página 23. T Alterando configurações de página de códigos Consulte a página 23. Visualizando Definições de Configuração O procedimento a seguir descreve como exibir as definições de configuração do Adaptador Tivoli Access Manager GSO. 1. No Agent Main Configuration Menu, digite A. As definições de configuração do Adaptador Tivoli Access Manager GSO são exibidas. A tela a seguir é um exemplo das definições de configuração do Adaptador Tivoli Access Manager GSO. Configuration Settings Name : TAMGSOAgent Version : ADK Version : 4.65 ERM Version : 4.65 enrole Version : 4.0 License : NONE Asynchronous ADD Requests : TRUE (Max.Threads:3) Asynchronous MOD Requests : TRUE (Max.Threads:3) Asynchronous DEL Requests : TRUE (Max.Threads:3) Asynchronous SEA Requests : TRUE (Max.Threads:3) Available Protocols : DAML Configured Protocols : DAML Logging Enabled : TRUE Logging Directory : C:\Tivoli\Agents\TAMGSOAgent\Log Log File Name : TAMGSOAgent.log Max. log files : 3 Max.log file size (Mbytes) : 1 Debug Logging Enabled : TRUE Detail Logging Enabled : FALSE Thread Logging Enabled : FALSE Press any key to continue 2. Pressione qualquer tecla para retornar ao Main Menu. 10 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

25 Alterando Definições de Configuração de Protocolo O Adaptador Tivoli Access Manager GSO utiliza o DAML Protocol para comunicar-se com o Servidor Tivoli Identity Manager. Por padrão, quando o adaptador é instalado, o DAML Protocol é configurado para ser utilizado em modo não seguro. Para configurar um ambiente seguro, você deve configurar o DAML Protocol para utilizar SSL e instalar um certificado. Consulte Instalando o Certificado na página 37 para obter informações adicionais sobre como instalar certificados. Nas versões anteriores deste adaptador, você podia incluir e remover protocolos. Contudo, na versão mais recente deste adaptador, o DAML Protocol é o único protocolo suportado que você pode utilizar. Portanto, não será necessário incluir ou remover um protocolo. Para configurar o DAML Protocol para o Adaptador Tivoli Access Manager GSO, conclua as seguintes etapas: 1. No Agent Main Configuration Menu, digite B. O protocolo DAML está configurado e disponível por padrão para o Adaptador Tivoli Access Manager GSO. Agent Protocol Configuration Menu Available Protocols: DAML Configured Protocols: DAML A. Add Protocol. B. Remove Protocol. C. Configure Protocol. X. Done Select menu option 2. No Agent Protocol Configuration Menu, digite C. O Configure Protocol Menu é exibido. 3. No Configure Protocol Menu, digite a letra correspondente ao protocolo que você configurará. O Protocol Properties Menu para o protocolo configurado é exibido com as propriedades do protocolo. As propriedades em seu menu poderão ser diferentes das mostradas nos exemplos. A tela a seguir é um exemplo das propriedades do DAML Protocol: DAML Protocol Properties A. USERNAME ****** ;Authorized user name. B. PASSWORD ****** ;Authorized user password. C. MAX_CONNECTIONS 100 ;Max Connections. D. PORTNUMBER ;Protocol Server port number. E. USE_SSL FALSE ;Use SSL secure connection. F. SRV_NODENAME ;Event Notif. Server name. G. SRV_PORTNUMBER 7002 ;Event Notif. Server port number. H. VALIDATE_CLIENT_CE FALSE ;Require client certificate. I. REQUIRE_CERT_REG FALSE ;Require registered certificate. X. Done Select menu option: 4. Digite a opção de menu da letra referente à propriedade do protocolo que você deseja configurar. Consulte a Tabela 3 na página 12 a seguir para obter informações adicionais sobre as propriedades que você pode configurar para o DAML Protocol. Capítulo 3. Configurando o Adaptador do IBM Tivoli Identity Manager 11

26 Tabela 3. Opções do DAML Protocol Menu Opção Tarefa de Configuração n O seguinte aviso é exibido: Modify Property USERNAME : Digite um ID de usuário; por exemplo, admin. Esse valor é o ID de usuário que o Servidor Tivoli Identity Manager utiliza para conectar-se ao adaptador. B O seguinte aviso é exibido: Modify Property PASSWORD : Digite uma senha; por exemplo, admin. Esse valor é a senha para o ID de usuário que o Servidor Tivoli Identity Manager utiliza para conectar-se ao adaptador. S O seguinte aviso é exibido: Modify Property MAX_CONNECTIONS : Digite o número máximo de conexões simultâneas abertas o adaptador suporta. O número padrão é 100. n O seguinte aviso é exibido: Modify Property PORTNUMBER : Digite um número de porta diferente. Esse valor é o número da porta que o Servidor Tivoli Identity Manager utiliza para conectar-se ao adaptador. O número da porta padrão é Nota: O número da porta padrão do Tivoli Access Manager Agent também é Como o Tivoli Access Manager Agent está instalado no mesmo sistema que o Tivoli Access Manager GSO Agent, você pode desejar alterar esse número de porta para um valor diferente, de forma que os dois serviços do agente possam ser executados simultaneamente. A O seguinte aviso é exibido: Modify Property USE_SSL : Digite TRUE ou FALSE para especificar se uma conexão SSL segura será utilizada para conexão ou desconexão do adaptador. O valor padrão é FALSE. Você deverá instalar um certificado, quando USE_SSL for definido como TRUE. Para obter mais informações sobre instalação de certificado, consulte Instalando o Certificado na página 37. u O seguinte aviso é exibido: Modify Property SRV_NODENAME : Digite um nome de servidor, por exemplo, Esse valor é o nome DNS ou o endereço IP do Servidor Tivoli Identity Manager que é utilizado para notificação de eventos e processamento assíncrono de pedidos. Nota: Se sua plataforma suportar conexões IPv6 (Internet Protocol version 6), você poderá especificar um servidor IPv6. 12 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

27 Tabela 3. Opções do DAML Protocol Menu (continuação) Opção Tarefa de Configuração G O seguinte aviso é exibido: Modify Property SRV_PORTNUMBER : Digite um número de porta diferente para acessar o Servidor Tivoli Identity Manager. Esse valor é o número de porta que o adaptador utiliza para conectar-se ao Servidor Tivoli Identity Manager. O número da porta padrão é H O seguinte aviso é exibido: Modify Property VALIDATE_CLIENT_CE : Digite TRUE para exigir que o Servidor Tivoli Identity Manager envie um certificado quando comunicar-se com o adaptador. Digite FALSE para permitir que o Servidor Tivoli Identity Manager se comunique com o adaptador sem um certificado. O valor padrão é FALSE. Notas: 1. Se você definir essa opção como TRUE, deverá configurar as opções de D a H. 2. O nome da propriedade é de fato VALIDATE_CLIENT_CERT. Ele é truncado por agentcfg para ajustar-se à tela. 3. Você deve utilizar o CertTool para instalar os certificados CD apropriados e opcionalmente registrar o certificado do Servidor Tivoli Identity Manager. Para obter mais informações sobre como utilizar o CertTool, consulte Gerenciando Certificados SSL Utilizando o CertTool na página 33. I O seguinte aviso é exibido: Modify Property REQUIRE_CERT_REG : Esse valor só se aplica quando a opção H é definida como TRUE. Digite TRUE para exigir que o certificado cliente do Servidor Tivoli Identity Manager seja registrado no adaptador antes que ele aceite uma conexão SSL. Digite FALSE para exigir que o certificado cliente seja conferido apenas com a lista de certificados CA. O valor padrão é FALSE. Para obter mais informações sobre certificados, consulte o Capítulo 4, Configurando a Autenticação SSL para o Adaptador, na página No prompt, altere o valor e pressione Enter. O Protocol Properties Menu é exibido com as novas configurações. Se você não deseja alterar o valor, basta pressionar Enter para retornar ao menu Protocol Properties. 6. Repita as etapas 4 e 5 para configurar quantas propriedades de protocolo você precisar. 7. No Protocol Properties Menu, digite X para sair do menu. Configurando a Notificação de Eventos Notificação de eventos é um recurso do Adaptador Tivoli Access Manager GSO que atualiza o Servidor Tivoli Identity Manager a intervalos definidos. A notificação de eventos detecta alterações feitas no recurso gerenciado e atualiza o Servidor Tivoli Identity Manager com as alterações. Você poderá ativar a notificação de eventos se quiser que informações atualizadas do recurso gerenciado sejam enviadas novamente ao Servidor Tivoli Identity Manager entre reconciliações Capítulo 3. Configurando o Adaptador do IBM Tivoli Identity Manager 13

28 completas. A notificação de eventos não está planejada para substituir as reconciliações no Servidor Tivoli Identity Manager. Quando a notificação de eventos está ativada, um banco de dados de reconciliação é mantido na máquina onde o adaptador está instalado. O banco de dados é atualizado com as alterações que são solicitadas pelo Servidor Tivoli Identity Manager e permanecerá em sincronização com o servidor. Você pode especificar um intervalo para o processo de notificação de eventos a fim de comparar o banco de dados com os dados existentes atualmente no recurso gerenciado. Decorrido o intervalo, todas as diferenças entre o recurso gerenciado e o banco de dados são encaminhadas para o Servidor Tivoli Identity Manager e atualizadas no banco de dados local de captura instantânea. Há várias etapas para ativar a notificação de eventos. Essas etapas partem do princípio de que o adaptador está se comunicando com êxito com o recurso gerenciado e com o Servidor Tivoli Identity Manager. Em primeiro lugar, você deve configurar o nome do host, o número da porta e as informações de login do Servidor Tivoli Identity Manager. Para identificar o servidor para o protocolo DAML a ser utilizado, conclua as seguintes etapas: 1. No Agent Protocol Configuration Menu (Menu de Configuração de Protocolo do Agente), selecione Configure Protocol (Configurar Protocolo). Para obter mais informações sobre como configurar um protocolo, consulte Alterando Definições de Configuração de Protocolo na página Digite a opção de menu para a propriedade SRV_NODENAME. 3. Especifique o endereço IP ou o nome completo do host que identifica o Servidor Tivoli Identity Manager e pressione Enter. O Protocol Properties Menu é exibido com as novas configurações. 4. Digite a opção de menu para a propriedade SRV_PORTNUMBER. 5. Especifique o número da porta que o adaptador utiliza para conectar-se com o Servidor Tivoli Identity Manager para verificar notificação de eventos e pressione Enter. O Protocol Properties Menu é exibido com as novas configurações. O exemplo de menu mostra todas as opções exibidas quando a Event Notification é ativada. Se a Event Notification estiver desativada, nem todas as opções serão exibidas. Para definir a Notificação de Eventos para o Servidor Tivoli Identity Manager, conclua as etapas a seguir: 1. No Agent Main Configuration Menu, digite C. O Event Notification Menu é exibido. 14 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

29 Event Notification Menu * Reconciliation interval : 1 day(s) * Next Reconciliation time : 23 hour(s) 56 min(s). 23 sec(s). * Configured Contexts : Jupiter, dd309 A. Enabled B. Time interval between reconciliations. C. Set Processing cache size. (currently: 50 Mbytes) D. Start event notification now. E. Set attributes to be reconciled. F. Reconciliation process priority. (current: 1) G. Add Event Notification Context. H. Modify Event Notification Context. I. Remove Event Notification Context. J. List Event Notification Contexts. X. Done Select menu option: Tabela 4. Opções do Event Notification Menu Opção Tarefa de Configuração Nota: Esse menu mostra todas as opções exibidas quando a opção Event Notification é ativada. Se Event Notification estiver desativado, nenhuma opção será exibida. 2. Digite a opção de menu da letra que você deseja alterar. A opção A deve estar ativada para que os valores das outras opções sejam efetivados. Pressione Enter para retornar ao Agent Event Notification Menu sem alterar o valor. n Se essa opção estiver ativada, o adaptador atualizará o Servidor Tivoli Identity Manager com as alterações no adaptador a intervalos regulares. Quando a opção está definida para: v Disabled (Desativada), é alterada automaticamente para ativada v Enabled (Ativada), é alterada automaticamente para desativada Digite A para alternar entre as opções. R O seguinte aviso é exibido: Enter new interval ([ww:dd:hh:mm:ss]) Digite um intervalo de reconciliação diferente.exemplo: [00:01:00:00:00] Nota: Esse valor é o intervalo a ser aguardado depois que a notificação de eventos é concluída e antes que seja executada novamente. O processo de notificação de eventos possui intensos recursos; portanto, esse valor não deve ser definido para ser executado com muita freqüência. C O seguinte aviso é exibido: Enter new cache size[5]: Digite um valor diferente para alterar o tamanho do cache de processamento. n Se essa opção for selecionada, a Event Notification será iniciada. E O Event Notification Entry Types Menu é exibido. Consulte Definindo Acionadores de Notificação de Eventos na página 16 para obter informações adicionais. Capítulo 3. Configurando o Adaptador do IBM Tivoli Identity Manager 15

30 Tabela 4. Opções do Event Notification Menu (continuação) Opção Tarefa de Configuração d O seguinte aviso é exibido: Enter new thread priority [1-10]: Digite um valor de encadeamento diferente para alterar a prioridade do processo de notificação de eventos. A definição da prioridade de encadeamento para um valor mais baixo reduz o impacto que o processo de notificação de eventos tem sobre o desempenho do adaptador. Um valor mais baixo também poderá fazer com que a notificação de eventos leve mais tempo. T O seguinte aviso é exibido: Context name : Digite o nome do novo contexto e pressione Enter. O novo contexto é adicionado. H Um menu listando o contexto disponível é exibido. Consulte Modificando um Contexto de Notificação de Evento na página 17 para obter informações adicionais. I O Remove Context Menu é exibido. Selecione o contexto a ser removido. O seguinte prompt é exibido: Delete context context1? [no]: Pressione Enter para sair sem excluir o contexto ou digite Yes e pressione Enter para excluir o contexto. J Os Event Notification Contexts são exibidos no seguinte formato: Context Name : Context1 Target DN : erservicename=context1,o=ibm, ou=ibm,dc=com --- Attributes for search request --- {search attributes listed} Se você alterou o valor para as opções B, C, E ou F, pressione Enter. As outras opções são automaticamente alteradas quando você digita a letra de opção de menu correspondente. O Event Notification Menu é exibido com as novas configurações. Definindo Acionadores de Notificação de Eventos Por padrão, todos os atributos são consultados em busca de alterações no valor. Selecione os atributos alterados com freqüência (por exemplo, duração de senha ou último logon com êxito) que devem ser omitidos. 1. No Event Notification Menu, digite E. O Event Notification Entry Types Menu é exibido. Event Notification Entry Types A. USER B. GROUP X. Done Select menu option: Os tipos USER e GROUP não serão exibidos no menu acima até que as seguintes condições tenham sido atendidas: a. A notificação de eventos tenha sido ativada b. Um contexto tenha sido criado e configurado 16 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

31 c. Uma reconciliação completa tenha sido executada 2. Digite A para obter uma lista dos atributos retornados durante uma reconciliação do usuário ou digite B para obter os atributos retornados durante uma reconciliação de grupo. É exibida a Listagem de Atributos de Notificação de Eventos para o tipo de reconciliação selecionada. A definição padrão lista todos os atributos que o adaptador suporta. 3. Digite a opção de letra do atributo a ser excluído de uma notificação de eventos. Os atributos marcados com asteriscos são retornados durante a Event Notification. Os atributos não marcados com asteriscos não são retornados durante a notificação de eventos. Modificando um Contexto de Notificação de Evento Contexto de notificação de eventos corresponde a um serviço no Servidor Tivoli Identity Manager. Alguns adaptadores suportam diversos serviços. Um Adaptador Tivoli Access Manager GSO pode ter vários serviços do Tivoli Identity Manager, especificando um ponto de base diferente para cada serviço. Você pode ter vários contextos de notificação de eventos, mas deverá ter pelo menos um adaptador. Na tela de exemplo a seguir, observe que Context1 (Contexto 1), Context2 (Contexto 2) e Context3 (Contexto 3) são três contextos diferentes, todos tendo um ponto de base diferente. Para modificar um contexto de notificação de eventos, conclua as etapas a seguir: 1. No Event Notification Menu, digite H. A tela Modify Context Menu é exibida. Modify Context Menu A. Context1 B. Context2 C. Context3 X. Done Select menu option: 2. Digite a letra do menu para o contexto que deseja modificar. O Modify Context Menu do contexto selecionado é exibido. A. Set attributes for search B. Target DN: C. Delete Baseline Database X. Done Select menu option: Tabela 5. Opções do Modify Context Menu Opção Tarefa de Configuração n Incluindo atributos de procura para notificação de eventos B Configurando o DN de destino para contextos de notificação de eventos S Removendo o banco de dados de linha de base para contextos de notificação de eventos Configurando o DN de Destino para Contextos de Notificação de Eventos O campo do DN de destino contém o nome exclusivo do serviço que recebe atualizações de notificação de eventos. Para configurar o DN de destino, conclua as etapas a seguir: Capítulo 3. Configurando o Adaptador do IBM Tivoli Identity Manager 17

32 1. No Modify Context Menu para o contexto, digite B. O seguinte prompt é exibido: Enter Target DN: 2. Digite o DN de destino para o contexto e pressione Enter. O DN de destino para o Event Notification Contexts deve estar no seguinte formato: erservicename=erservicename,o=organizationname,ou=tenantname,rootsuffix Cada elemento do DN é definido da seguinte maneira: erservicename Nome do serviço de destino. o Nome da organização. ou Nome do locatário em que a organização está localizada. rootsuffix Raiz da árvore de diretórios. O Modify Context Menu é exibido com o novo DN de destino listado. Removendo o Banco de dados de Linha de Base para Contextos de Notificação de Eventos Essa opção estará disponível somente depois que um contexto for criado e uma reconciliação for executada no contexto para criar um arquivo do Banco de Dados de Linha de Base. No Modify Context Menu para o contexto, digite C. Esse menu é exibido com a opção Delete Baseline Database (Excluir Banco de Dados da Linha de Base) removida. Alterando a Chave de Configuração Utilize a chave de configuração como senha para acessar a ferramenta de configuração do adaptador. Para alterar a chave de configuração do Adaptador Tivoli Access Manager GSO, conclua as etapas a seguir: 1. No prompt Main Menu, digite D. 2. Altere o valor da chave de configuração e pressione Enter. Pressione Enter para retornar ao menu Main Configuration sem alterar a chave de configuração. A chave de configuração padrão é agent. Certifique-se de escolher senhas que não sejam descobertas facilmente. A seguinte mensagem será exibida: Configuration key successfully changed. O programa de configuração é encerrado e o prompt Main Menu é exibido. Alterando as Configurações do Log de Atividades Quando você ativa o log, o Tivoli Identity Manager mantém um arquivo de log datado de todas as transações, TAMGSOAgent.log. Por padrão, o arquivo de log está localizado no diretório \log. Para alterar as configurações do log de atividades do Adaptador Tivoli Access Manager GSO, conclua as etapas a seguir: 1. No prompt Main Menu, digite E. 18 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

33 O Agent Activity Logging Menu é exibido. O exemplo a seguir mostra as configurações do log de atividades padrão. Agent Activity Logging Menu A. Activity Logging (Enabled). B. Logging Directory (current: C:\Tivoli\Agents\TAMGSOAgent\Log). C. Activity Log File Name (current: TAMGSOAgent.log). D. Activity Logging Max. File Size ( 1 mbytes) E. Activity Logging Max. Files ( 3 ) F. Debug Logging (Enabled). G. Detail Logging (Disabled). H. Base Logging (Disabled). I. Thread Logging (Disabled). X. Done Select menu option: Tabela 6. Opções do Activity Logging Menu Opção Tarefa de Configuração 2. Digite a letra de opção de menu da opção de registro de atividades que você deseja alterar. A opção A deve ser ativada para que os valores das outras opções sejam efetivados. Pressione Enter para retornar ao Agent Activity Logging Menu sem modificar o valor. O Defina essa opção como ativada para que o adaptador mantenha um arquivo de log datado de todas as transações. Quando a opção está definida para: v Disabled (Desativada), é alterada automaticamente para ativada v Enabled (Ativada), é alterada automaticamente para desativada Digite A para alternar entre as opções. B O seguinte aviso é exibido: Enter log file directory: Digite um valor diferente para o diretório de registro, por exemplo, C:\Log. Quando a opção de registro está ativada, detalhes sobre cada pedido de acesso são armazenados no arquivo de registro localizado nesse diretório. C O seguinte aviso é exibido: Enter log file name: Digite um valor diferente para o nome do arquivo de log. Quando a opção de registro está ativada, detalhes sobre cada pedido de acesso são armazenados no arquivo de registro. E O seguinte aviso é exibido: Enter maximum size of log files (mbytes): Digite um novo valor, por exemplo, 10. Os dados mais antigos são arquivados quando o arquivo de log atinge o tamanho de arquivo máximo. O tamanho do arquivo é medido em megabytes. É possível que o tamanho do arquivo de log de atividades exceda a capacidade do disco. E O seguinte aviso é exibido: Enter maximum number of log files to retain: Digite um novo valor, até 100, por exemplo, 5. O adaptador exclui automaticamente os logs de atividades mais antigos além do limite especificado. Capítulo 3. Configurando o Adaptador do IBM Tivoli Identity Manager 19

34 Tabela 6. Opções do Activity Logging Menu (continuação) Opção Tarefa de Configuração d Se essa opção estiver definida como ativada, o adaptador incluirá as instruções de depuração no arquivo de log de todas as transações. Quando a opção está definida para: v Desativada, pressionar a tecla F altera o valor para ativada v Ativada, pressionar a tecla F altera o valor para desativada Digite F para alternar entre as opções. T Se essa opção estiver definida como ativada, o adaptador manterá um arquivo de log detalhado de todas as transações. A opção de log de detalhes deve ser utilizada apenas para finalidades de diagnóstico. O log detalhado permite mais mensagens do adaptador e poderá aumentar o tamanho dos logs. Quando a opção está definida para: v Desativada, pressionar a tecla G altera o valor para ativada v Ativada, pressionar a tecla G altera o valor para desativada Digite G para alternar entre as opções. H Se essa opção estiver definida como ativada, o adaptador manterá um arquivo de log de todas as transações no ADK (Agent Development Kit) e em arquivos de biblioteca. O log de base aumentará substancialmente o tamanho dos logs. Quando a opção está definida para: v Desativada, pressionar a tecla H altera o valor para ativada v Ativada, pressionar a tecla H altera o valor para desativada Digite H para alternar entre as opções. T Se essa opção estiver ativada, o arquivo de log conterá IDs de encadeamento, além de uma data e um timestamp em cada linha do arquivo. Quando a opção está definida para: v Desativada, pressionar a tecla I altera o valor para ativada v Ativada, pressionar a tecla I altera o valor para desativada Digite I para alternar entre as opções. 3. Pressione Enter se você alterou o valor da opção B, C, D ou E. As outras opções são alteradas automaticamente quando você digita a letra da opção de menu correspondente. O Agent Activity Logging Menu é exibido com as novas configurações. Alterando Configurações de Registro Para alterar as configurações de registro do Adaptador Tivoli Access Manager GSO, conclua as etapas a seguir: 1. Digite F (Definições do Registro) no prompt do Main Menu. O Registry Menu é exibido. 20 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

35 TAMGSOAgent Agent Registry Menu A. Modify Non-encrypted registry settings. B. Modify encrypted registry settings. C. Multi-instance settings. X. Done Select menu option: 2. Consulte os procedimentos a seguir sobre como modificar definições de registro. Modificando Definições de Registro não Criptografadas Para modificar as configurações de registro não-criptografadas, conclua as seguintes etapas: 1. No Agent Registry Menu, digite A. O Non-encrypted Registry Settings Menu é exibido. Agent Registry Items ENROLE_Version ertamgsoinstalldir c:\tivoli\agents\tamgsoagent Page 1 of 1 A. Add new attribute B. Modify attribute value C. Remove attribute X. Done Select menu option: 2. Digite a letra do menu para a ação que você deseja executar em um atributo. Tabela 7. Descrições da Opção de Configuração de Atributo Opção Tarefa de Configuração n Incluir novo atributo B Modificar valor do atributo S Remover atributo 3. Digite o nome do item do registro e pressione Enter. 4. Se você selecionou a opção A ou B, digite o valor do item de registro e pressione Enter. As definições de registro não criptografadas são novamente exibidas e mostram as novas definições. Nota: De maneira similar, as Configurações de Registro Criptografadas podem ser definidas selecionando B no Agent Registry Menu (Menu Registro de Agente). Alterando Configurações Avançadas Você pode alterar as configurações de contagem de encadeamentos do Adaptador Tivoli Access Manager GSO para os seguintes tipos de pedidos: v Adição de Login do Sistema v Alteração de Login do Sistema v Exclusão de Login do Sistema Capítulo 3. Configurando o Adaptador do IBM Tivoli Identity Manager 21

36 v Reconciliação Essas definições determinam o número máximo de pedidos processados simultaneamente pelo Adaptador Tivoli Access Manager GSO. Para alterar essas configurações, conclua as etapas a seguir: 1. No prompt Main Menu, digite G. O Advanced Settings Menu é exibido. O exemplo a seguir mostra as configurações padrão de contagem de encadeamentos. TAMGSOAgent Advanced Settings Menu A. Single Thread Agent (current:false) B. ADD max. thread count. (current:3) C. MODIFY max. thread count. (current:3) D. DELETE max. thread count. (current:3) E. SEARCH max. thread count. (current:3) F. Allow User EXEC procedures (current:false) G. Archive Request Packets (current:false) H. UTF8 Conversion support (current:true) I. Pass search filter to agent (current:false) J. Thread Priority Level (1-10) (current:4) X. Done Select menu option: Tabela 8. Opções do Advanced Settings Menu Opção 2. Digite a letra de opção de menu da definição avançada que você deseja alterar.para obter uma descrição de cada opção, consulte a Tabela 8. Descrições n Força o adaptador a permitir somente um pedido por vez. O valor padrão é FALSE. R Controla quantos pedidos ADD simultâneos podem ser executados por vez. O valor padrão é 3. C Controla quantos pedidos MODIFY simultâneos podem ser executados por vez. O valor padrão é 3. E Controla quantos pedidos DELETE simultâneos podem ser executados por vez. O valor padrão é 3. E Controla quantos pedidos SEARCH simultâneos podem ser executados por vez. O valor padrão é 3. d Determina se o adaptador permite funções pré e pós execução. A ativação dessa opção consiste em um risco de segurança potencial. O valor padrão é FALSE. T Essa opção não é mais suportada. H Essa opção não é mais suportada. I Atualmente, esse adaptador não suporta o processamento de filtros diretamente. Essa opção deve ser sempre FALSE. J Define o nível de prioridade de encadeamento do adaptador. O valor padrão é Altere o valor e pressione Enter. O Advanced Settings Menu é exibido com as novas configurações. 22 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

37 Visualizando Estatísticas Para visualizar um log de eventos do Adaptador Tivoli Access Manager GSO, conclua as etapas a seguir: 1. No prompt Main Menu, digite H. O histórico de atividades do adaptador é exibido. TAMGSOAgent Agent Request Statistics Date Add Mod Del Ssp Res Rec /15/ X. Done 2. Digite X para retornar ao Menu Main Configuration. Alterando Configurações de Página de Códigos Para listar as informações da página de códigos suportada do Adaptador Tivoli Access Manager GSO, o adaptador deverá estar em execução. Execute o seguinte comando para visualizar as informações da página de códigos: agentcfg -agent [adapter_name] -codepages Para alterar as configurações da página de códigos do Adaptador Tivoli Access Manager GSO, conclua as etapas a seguir: 1. No prompt Main Menu, digite I. O menu de suporte da página de códigos do adaptador é exibido. TAMGSOAgent Codepage Support Menu * Configured codepage: US-ASCII * ******************************************* * Restart Agent After Configuring Codepages ******************************************* A. Codepage Configure. X. Done Select menu option: 2. Digite A para configurar uma página de códigos. Nota: O TAMGSOAgent utiliza unicode, portanto, essa opção não é aplicável. 3. Digite X para retornar ao Menu Main Configuration. Acessando a Ajuda e Opções Adicionais Para acessar o menu de ajuda do agentcfg e utilizar os argumentos da ajuda, conclua as etapas a seguir: 1. No prompt Main Menu, digite X. O prompt de comandos do DOS é exibido e você está no diretório \bin. Capítulo 3. Configurando o Adaptador do IBM Tivoli Identity Manager 23

38 2. Digite agentcfg -help no prompt para exibir o menu de ajuda. A seguinte lista de possíveis comandos é exibida: -version ; Show version -hostname < value> ; Target nodename to connect to (Default:Local host IP address) -findall ; Find all agents on target node -list ; List available agents on target node -agent <value> ; Name of agent -tail ; Display agent s activity log -schema ; Display agent s attribute schema -portnumber <value>; Specified agent s TCP/IP port number -netsearch <value> ; Lookup agents hosted on specified subnet -confidencetest ; Confidence test -setup ; Confidence test setup -help ; Display this help screen A Tabela 9 descreve cada argumento. Tabela 9. Opções e Descrições do Help Menu do agentcfg Argumento Descrição -version Utilize esse argumento para exibir a versão da ferramenta agentcfg. -hostname <value> Utilize o argumento -hostname com qualquer um dos comandos a seguir para especificar um host diferente: v v v v -findall -list -tail -agent Digite um nome de host ou endereço IP como o valor. -findall Utilize esse argumento para procurar e exibir todos os endereços de porta entre e e seus nomes de adaptador designados. Essa opção será interrompida em números de porta não utilizados; por isso, poderá levar vários minutos para ser concluída. Adicione o argumento -hostname para pesquisar um host remoto. -list Utilize esse argumento para exibir os adaptadores que estão instalados no host local do Adaptador Tivoli Access Manager GSO. Por padrão, a primeira vez que você instala um adaptador, ele é designado ao endereço de porta ou ao próximo número de porta disponível. Todos os adaptadores instalados subseqüentemente são designados ao próximo endereço de porta disponível. Uma vez localizada uma porta não utilizada, a listagem é interrompida. Utilize o argumento -hostname para procurar um host remoto. -agent <value> Utilize esse argumento para especificar o adaptador que você deseja configurar. Digite um nome de adaptador como o valor. Utilize esse argumento com o argumento -hostname para modificar a definição de configuração a partir de um host remoto. Também é possível utilizar esse argumento com o argumento -tail. -tail Utilize esse argumento com o argumento -agent para exibir o log de atividades para um adaptador. Inclua o argumento -hostname para exibir o arquivo de log para um adaptador em um host diferente. -schema Essa opção não é mais suportada. -portnumber <value> Utilize esse argumento com o argumento -agent para especificar o número de porta que é utilizado para conexões da ferramenta agentcfg. -netsearch <value> Utilize esse argumento com o argumento -findall para exibir todos os adaptadores ativos no sistema. Você deve especificar um endereço de sub-rede como o valor. 24 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

39 Tabela 9. Opções e Descrições do Help Menu do agentcfg (continuação) -confidencetest Utilize esse argumento para executar um teste para incluir, modificar, procurar e excluir um pedido ao adaptador. O teste de confiança permite testar a conexão entre o adaptador e a plataforma gerenciada. Isto permite verificar se o adaptador pode se conectar com a plataforma gerenciada sem o Servidor Tivoli Identity Manager. -setup Utilize esse argumento, junto com o argumento confidence, para configurar o teste de confiança. -help Utilize esse argumento para exibir as informações de Ajuda para o comando agentcfg. 3. Digite agentcfg e um ou mais dos argumentos suportados no prompt. Você deve digitar agentcfg antes de cada argumento para executar a ferramenta de configuração do adaptador. Digite agentcfg -list para listar todos os adaptadores no endereço IP do host local. Observe que o nó padrão para o Servidor Tivoli Identity Manager é A saída é semelhante à seguinte: Agent(s) installed on node TAMGSOAgent (44970) Digite agentcfg -agent TAMGSOAgent para exibir o Main Menu da ferramenta agentcfg, que é utilizada para visualizar ou modificar os parâmetros do Adaptador Tivoli Access Manager GSO. Digite agentcfg -list -hostname para listar os adaptadores em um host cujo endereço IP seja Observe que o nó padrão para o Adaptador Tivoli Access Manager GSO é A saída é semelhante à seguinte: Agent(s) installed on node TAMGSOAgent (44970) Digite agentcfg -agent TAMGSOAgent -hostname para exibir o Main Menu da ferramenta agentcfg para um host cujo endereço IP seja Utilize as opções do menu para exibir ou modificar os parâmetros do Adaptador Tivoli Access Manager GSO. Capítulo 3. Configurando o Adaptador do IBM Tivoli Identity Manager 25

40 26 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

41 Capítulo 4. Configurando a Autenticação SSL para o Adaptador Para estabelecer uma conexão segura entre um adaptador Tivoli Identity Manager e o Servidor Tivoli Identity Manager, é necessário configurar o adaptador e o servidor para que utilizem a autenticação SSL (Secure Sockets Layer) com o protocolo de comunicação padrão, DAML. A configuração do adaptador para SSL assegura que o Servidor Tivoli Identity Manager verifique a identidade do adaptador antes que uma conexão segura seja estabelecida. Você pode configurar a autenticação SSL para conexões originárias do Servidor Tivoli Identity Manager ou do adaptador. Normalmente, o Servidor Tivoli Identity Manager inicia uma conexão com o adaptador para definir e recuperar o valor de um atributo gerenciado no adaptador. Entretanto, dependendo dos requisitos de segurança de seu ambiente, talvez seja necessário configurar a autenticação SSL para conexões originárias do adaptador. Por exemplo, se o adaptador utilizar eventos para notificar o Servidor Tivoli Identity Manager de alterações nos atributos do adaptador, você poderá configurar a autenticação SSL para conexões da Web que se originem do adaptador para o servidor Web utilizado pelo Servidor Tivoli Identity Manager. Em um ambiente de produção, é necessário ativar a segurança SSL; entretanto, para finalidades de teste, talvez você queira desativar o SSL. Se um aplicativo externo que se comunica com o adaptador (como o Servidor Tivoli Identity Manager) estiver definido para utilizar autenticação de servidor, você deverá ativar o SSL no adaptador para verificar o certificado que o aplicativo apresenta. Este capítulo apresenta uma visão geral da autenticação SSL, dos certificados e de como ativar a autenticação SSL com o uso do utilitário CertTool. Visão Geral dos Certificados Digitais e SSL Ao implementar o Tivoli Identity Manager em uma rede corporativa, você deve proteger a comunicação entre o Servidor Tivoli Identity Manager e os produtos de software e componentes com os quais o servidor se comunica. O protocolo SSL padrão de mercado, que utiliza certificados digitais assinados de uma ca (autoridade de certificação) para autenticação, é utilizado para proteger a comunicação em uma implementação do Tivoli Identity Manager. Adicionalmente, o SSL fornece a criptografia dos dados trocados entre os aplicativos. A criptografia torna os dados transmitidos pela rede inteligíveis apenas para o destinatário pretendido. Os certificados digitais assinados permitem que dois aplicativos se conectem a uma rede para autenticar a identidade entre si. Um aplicativo que age como um servidor SSL apresenta suas credenciais em um certificado digital assinado para verificar se um cliente SSL é a entidade que ele declara ser. Um aplicativo que age como um servidor SSL pode também ser configurado para requerer que o aplicativo que age como um cliente SSL apresente suas credenciais em um certificado, concluindo por meio disso uma troca de certificados bidirecionais. Os certificados assinados são emitidos por uma autoridade de certificação terceirizada, mediante uma taxa. Alguns utilitários, como aqueles fornecidos pelo OpenSSL, também podem emitir certificados assinados. Direitos Autorais IBM Corp. 2004,

42 Um certificado ca (certificado de autoridade de certificação) deve ser instalado para verificar a origem de um certificado digital assinado. Quando um aplicativo receber um certificado assinado de outro aplicativo, utilizará um certificado de ca para verificar o originador do certificado. Uma autoridade de certificação pode ser de renome e amplamente utilizada por outras organizações, ou pode ser local para uma região ou empresa específica. Muitos aplicativos, como navegadores da Web, são configurados com os certificados de ca de autoridades de certificação de renome para eliminar ou reduzir a tarefa de distribuir certificados de CA por meio das zonas de segurança em uma rede. Chaves Privadas, Chaves Públicas e Certificados Digitais Chaves, certificados digitais e autoridades de certificação confiáveis são utilizados para estabelecer e verificar as identidades dos aplicativos. O SSL utiliza tecnologia de criptografia de chave pública para autenticação. Na criptografia de chave pública, uma chave pública e uma chave privada são geradas para um aplicativo. Os dados criptografados com a chave pública só podem ser decriptografados utilizando a chave privada correspondente. De maneira semelhante, os dados criptografados com a chave privada podem ser decriptografados apenas utilizando a chave pública correspondente. A chave privada é protegida por senha em um arquivo do banco de dados de chaves, de modo que apenas o proprietário possa acessar a chave privada para decriptografar mensagens criptografadas utilizando a chave pública correspondente. Certificado digital assinado é um método padrão de mercado para verificar a autenticação de uma entidade, como um servidor, um cliente ou um aplicativo. Para garantir segurança máxima, um certificado é emitido por uma ca de terceiros. Um certificado contém as seguintes informações para verificar a identidade de uma entidade: Informações organizacionais Esta seção do certificado contém informações que identificam com exclusividade o proprietário do certificado, como um nome e endereço organizacional. Você fornece essas informações ao gerar um certificado com o uso de um utilitário de gerenciamento de certificados. Chave pública O receptor do certificado utiliza a chave pública para decifrar texto criptografado enviado pelo proprietário do certificado para verificar sua identidade. A chave pública tem uma chave privada correspondente que criptografa o texto. Nome distinto da autoridade de certificação O emissor do certificado identifica a si próprio com essas informações. Assinatura digital O emissor do certificado o assina com uma assinatura digital para verificar sua autenticidade. Essa assinatura é comparada à assinatura no certificado de ca correspondente para verificar se o certificado foi originado em uma autoridade de certificação confiável. Navegadores da Web, servidores e outros aplicativos ativados por SSL geralmente aceitam como verdadeiro qualquer certificado digital que seja assinado por uma Autoridade de Certificação confiável e seja válido. Por exemplo, um certificado digital pode ser invalidado se tiver expirado ou se o certificado de ca utilizado para verificá-lo tiver expirado, ou porque o nome distinto do certificado digital do servidor não corresponde ao nome distinto especificado pelo cliente. 28 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

43 Certificados Auto-assinados Você pode utilizar certificados auto-assinados para testar uma configuração SSL antes de criar e instalar um certificado assinado emitido por uma autoridade de certificação. Um certificado auto-assinado contém uma chave pública, informações sobre o proprietário do certificado e a assinatura do proprietário. Possui uma chave privada associada, mas não verifica a origem do certificado por meio de uma autoridade de certificação de terceiros. Uma vez gerado um certificado auto-assinado em um aplicativo servidor SSL, você deverá extraí-lo e incluí-lo no registro de certificado do aplicativo cliente SSL. Esse procedimento é equivalente a instalar um certificado de ca que corresponda a um certificado do servidor. Entretanto, não inclua a chave privada no arquivo quando você extrair um certificado auto-assinado para utilizar como o equivalente de um certificado de ca. Use um utilitário key management para gerar um certificado auto-assinado e uma chave privada, para extrair um certificado auto-assinado e para incluí-lo. Onde e como optar pelo uso de certificados auto-assinados depende de seus requisitos de segurança. Para obter o nível mais alto de autenticação entre componentes de software críticos, não utilize certificados auto-assinados ou utilize-os seletivamente. Por exemplo, você pode optar por autenticar aplicativos que protegem os dados do servidor com certificados digitais assinados e utilizar certificados auto-assinados para autenticar navegadores da Web ou adaptadores Tivoli Identity Manager. Se você estiver utilizando certificados auto-assinados, nos seguintes procedimentos, poderá substituir um certificado auto-assinado por um par de certificado de ca e certificado. Formatos de Certificado e de Chave Certificados e chaves são armazenados em arquivos com os seguintes formatos: Formato.pem Um arquivo de formato.pem (privacy-enhanced mail) começa e termina com as seguintes linhas: Formato.arm -----BEGIN CERTIFICATE END CERTIFICATE----- Um formato de arquivo.pem suporta vários certificados digitais, incluindo uma cadeia de certificados. Se sua organização utiliza cadeia de certificados, use esse formato para criar certificados de ca. Um arquivo.arm contém uma representação ASCII codificada em base 64 de um certificado, incluindo sua chave pública, mas não sua chave privada. Um formato de arquivo.arm é gerado e usado pelo utilitário IBM Key Management. Formato.der Um arquivo.der contém dados binários. Um arquivo.der só pode ser utilizado para um único certificado, ao contrário de um arquivo.pem, que pode conter vários certificados. Formato.pfx (PKCS12) Arquivo PKCS12 é um arquivo portátil que contém um certificado e uma chave privada correspondente. Esse formato é útil para conversões de um Capítulo 4. Configurando a Autenticação SSL para o Adaptador 29

44 O Uso da Autenticação SSL tipo de implementação SSL em uma implementação diferente. Por exemplo, você pode criar e exportar um arquivo PKCS12 usando o utilitário IBM Key Management e, em seguida, importar o arquivo para outra máquina usando o utilitário CertTool. Quando você inicia o adaptador, os protocolos de conexão disponíveis são carregados. O protocolo DAML é o único protocolo disponível que suporta o uso de autenticação SSL. Você pode especificar para utilizar a implementação DAML SSL. A implementação DAML SSL utiliza um registro de certificado para armazenar chaves privadas e certificados. O local do registro de certificado é gerenciado internamente pela chave CertTool e pela ferramenta de gerenciamento de certificados; assim, não especifique o local do registro quando executar tarefas de gerenciamento de certificados. Para obter mais informações sobre o DAML Protocol, consulte Alterando Definições de Configuração de Protocolo na página 11. Configurando Certificados para Autenticação SSL Utilize os procedimentos a seguir para configurar o adaptador para autenticação SSL de uma ou duas vias, utilizando certificados assinados. Para executar esses procedimentos, use o utilitário CertTool. Configurando Certificados para Autenticação SSL de Uma Via Neste cenário, o servidor Tivoli Identity Manager e o adaptador Tivoli Identity Manager estão definidos para utilizar SSL. A autenticação de cliente não está definida em nenhum aplicativo. O servidor Tivoli Identity Manager funciona como o cliente SSL e inicia a conexão. O adaptador funciona como o servidor SSL e responde enviando seu certificado assinado para o Servidor Tivoli Identity Manager. O servidor Tivoli Identity Manager utiliza o certificado de ca instalado para validar o certificado enviado pelo adaptador. Na Figura 2, O Aplicativo A funciona como o Servidor Tivoli Identity Manager e o Aplicativo B funciona como o Adaptador Tivoli Identity Manager. Servidor Tivoli Identity Manager (cliente SSL) Adaptador Tivoli Identity Manager (servidor SSL) Armazenamento de chave Iniciar comunicação Certificado A de CA Verificar Enviar Certificado B Certificado A Figura 2. Autenticação de Uma Via (Autenticação de Servidor) 30 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

45 Para configurar o SSL de uma via, execute as seguintes tarefas para cada aplicativo: 1. No adaptador, conclua estas etapas: a. Inicie o utilitário CertTool. b. Para configurar o aplicativo servidor SSL com um certificado assinado emitido por uma autoridade de certificação: 1) Crie um csr (Certificate Signing Request) e uma chave privada. Esta etapa cria o certificado com uma chave pública incorporada e uma chave privada separada e coloca a chave privada no valor do registro PENDING_KEY. 2) Envie o csr para a autoridade de certificação (ca) seguindo as instruções fornecidas pela ca. Ao enviar o csr, especifique que você deseja que o certificado de ca raiz seja devolvido com o certificado do servidor. 2. No Servidor Tivoli Identity Manager, conclua uma destas etapas: v Se você estiver configurando o uso de um certificado assinado emitido por uma ca de renome, verifique se o Servidor Tivoli Identity Manager armazenou o certificado raiz da ca (certificado de ca) em seu armazenamento de chave. Se o armazenamento de chave não contiver o certificado de ca, extraia o certificado do adaptador e inclua-o no armazenamento de chave do servidor. v Se você estiver configurando o uso de certificados auto-assinados: Se você gerou o certificado auto-assinado no Servidor Tivoli Identity Manager, o certificado já estará instalado em seu armazenamento de chave. Se você gerou o certificado auto-assinado usando o utilitário key management de outro aplicativo, extraia o certificado do armazenamento de chave desse aplicativo e inclua-o no armazenamento de chave do Servidor Tivoli Identity Manager. Configurando Certificados para Autenticação SSL de Duas Vias Neste cenário, o servidor Tivoli Identity Manager e o adaptador Tivoli Identity Manager estão definidos para utilizar o SSL e o adaptador está definido para utilizar a autenticação de cliente. Ao enviar seu certificado ao Servidor Tivoli Identity Manager, o adaptador solicita a verificação de identidade do servidor, que envia seu certificado assinado ao adaptador. Ambos os aplicativos são configurados com certificados assinados e certificados de ca correspondentes. Na Figura 3 na página 32, o Servidor Tivoli Identity Manager funciona como o Aplicativo A e o adaptador Tivoli Identity Manager funciona como o Aplicativo B. Capítulo 4. Configurando a Autenticação SSL para o Adaptador 31

46 Servidor Tivoli Identity Manager (cliente SSL) Armazenamento de Chave Certificado A de CA Verificar Iniciar comunicação Enviar Certificado A Adaptador Tivoli Identity Manager (servidor C SSL) Certificado A Certificado B Verificar Certificado B de CA Figura 3. Autenticação SSL de Duas Vias (Autenticação de Cliente) O procedimento a seguir supõe que você já configurou o adaptador e o Servidor Tivoli Identity Manager para autenticação SSL de uma via utilizando o procedimento descrito em Configurando Certificados para Autenticação SSL de Uma Via na página 30. Portanto, se você estiver utilizando certificados assinados de uma ca: v O adaptador está configurado com uma chave privada e um certificado assinado que foi emitido por uma ca. v O servidor Tivoli Identity Manager está configurado com o certificado de ca da ca que emitiu o certificado assinado do adaptador. Para concluir a configuração do certificado para SSL de duas vias, execute as seguintes tarefas: 1. No servidor Tivoli Identity Manager, crie um csr e uma chave privada, obtenha um certificado de uma ca, instale o certificado de ca, instale o certificado recém-assinado e extraia o certificado de ca para um arquivo temporário. 2. No adaptador, inclua o certificado de ca que foi extraído do armazenamento de chave do servidor Tivoli Identity Manager para o adaptador. Quando tiver concluído a configuração de certificado de duas vias, cada aplicativo terá seu próprio certificado e chave privada e o certificado da ca que emitiu os certificados para cada aplicativo. Configurando Certificados quando o Adaptador Funciona como um Cliente SSL Neste cenário, o adaptador funciona como um cliente SSL e também como um servidor SSL. Este cenário será aplicável se o adaptador iniciar uma conexão com o servidor Web (utilizado pelo Servidor Tivoli Identity Manager) para enviar uma notificação de evento. Por exemplo, o adaptador inicia a conexão e o servidor Web responde apresentando seu certificado ao adaptador. A Figura 4 na página 33 ilustra como um adaptador Tivoli Identity Manager funciona como um servidor SSL e um cliente SSL. Ao comunicar-se com o Servidor Tivoli Identity Manager, o adaptador envia seu certificado para autenticação. Ao comunicar-se com o servidor Web, o adaptador recebe o certificado do servidor Web. 32 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

47 Certificado A Certificado C de CA Adaptador Tivoli Identity Manager A Iniciar Comunicação Certificado A Certificado A de CA Servidor Tivoli Identity Manager B Certificado C Iniciar Comunicação Certificado C Servidor Web C Figura 4. Adaptador Tivoli Identity Manager Funcionando como um Servidor SSL e um Cliente SSL Se o Servidor Web estiver configurado para autenticação SSL de duas vias, ele verificará a identidade do adaptador, que envia seu certificado assinado ao servidor Web (não mostrado na ilustração). Para ativar a autenticação SSL de duas vias entre o adaptador e o servidor Web, utilize o seguinte procedimento: 1. Configure o servidor Web para utilizar autenticação de cliente. 2. Siga o procedimento para criar e instalar um certificado assinado no servidor Web. 3. Instale o certificado de ca no adaptador usando o utilitário CertTool. 4. Inclua no servidor Web o certificado de ca correspondente ao certificado assinado do adaptador. Para obter mais informações sobre como configurar certificados quando o adaptador inicia uma conexão com o servidor Web (utilizado pelo Servidor Tivoli Identity Manager) para enviar uma notificação de evento, consulte o Tivoli Identity Manager Information Center. Gerenciando Certificados SSL Utilizando o CertTool Os procedimentos nesta seção descrevem como usar o utilitário CertTool para gerenciar chaves privadas e certificados. Esta seção inclui instruções para a execução das seguintes tarefas: v Iniciando o CertTool na página 34. v Gerando uma Chave Privada e um Pedido de Certificado na página 36. v Instalando o Certificado na página 37. v Instalando o Certificado e a Chave de um Arquivo PKCS12 na página 37. v Visualizando o Certificado Instalado na página 37. v Visualizando Certificados de CA na página 38. v Instalando um Certificado de CA na página 38. v Excluindo um Certificado de CA na página 38. v Visualizando Certificados Registrados na página 38. v Registrando um Certificado na página 39. v Cancelando o Registro de um Certificado na página 39. Capítulo 4. Configurando a Autenticação SSL para o Adaptador 33

48 Iniciando o CertTool Para iniciar a ferramenta de configuração de certificado, CertTool, para o Adaptador Tivoli Access Manager GSO, conclua estas etapas: 1. Selecione Programas no menu Iniciar, selecione Acessórios e, em seguida, selecione Prompt de Comandos. 2. Na janela Prompt de Comandos do DOS do Microsoft Windows, vá para o diretório bin do adaptador. Por exemplo, se o diretório do Adaptador Tivoli Access Manager GSO estiver no local padrão, digite o seguinte comando: cd \Tivoli\Agents\TAMGSOAgent\bin 3. Digite CertTool -agent TAMGSOAgent no prompt. O Main Menu é exibido: Main menu - Configuring agent: TAMGSOAgent A. Generate private key and certificate request B. Install certificate from file C. Install certificate and key from PKCS12 file D. View current installed certificate E. List CA certificates F. Install a CA certificate G. Delete a CA certificate H. List registered certificates I. Register certificate J. Unregister a certificate K. Export certificate and key to PKCS12 file X. Quit Choice: No Main Menu, você pode gerar uma chave privada e o pedido de certificado, instalar e excluir certificados, registrar e cancelar o registro de certificados e listar certificados. As seções a seguir resumem o propósito de cada grupo de opções. O primeiro conjunto de opções (A a D) permite a você gerar um csr (Certificate Signing Request) e instalar no adaptador o certificado assinado retornado. A. Generate private key and certificate request Gere um csr e a chave privada associada que é enviada à autoridade de certificação (ca). Para obter mais informações sobre a opção A, consulte Gerando uma Chave Privada e um Pedido de Certificado na página 36. B. Install certificate from file Instalar um certificado a partir de um arquivo. Esse arquivo deve ser o certificado assinado retornado pela ca em resposta ao csr gerado pela opção A. Para obter mais informações sobre a opção B, consulte Instalando o Certificado na página 37. C. Install certificate and key from a PKCS12 file Instalar um certificado a partir do arquivo formatado PKCS12 que inclua o certificado público e uma chave privada. Se as opções A e B não forem utilizadas para obter um certificado, o certificado que você utilizar deverá estar no formato PKCS12. Para obter mais informações sobre a opção C, consulte Instalando o Certificado e a Chave de um Arquivo PKCS12 na página IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

49 D. View current installed certificate Visualize o certificado que está instalado no sistema. Para obter mais informações sobre a opção D, consulte Visualizando o Certificado Instalado na página 37. O segundo conjunto de opções permite a você instalar certificados de ca raiz no adaptador. Um certificado de ca é utilizado pelo adaptador Tivoli Identity Manager para validar o certificado correspondente apresentado por um cliente, como o Servidor Tivoli Identity Manager. E. List CA certificates Mostre os certificados de ca instalados. O adaptador só se comunica com os Servidores Tivoli Identity Manager cujos certificados são validados por um dos certificados de ca instalados. F. Install a CA certificate Instale um novo certificado de ca para que os certificados gerados por essa ca possam ser validados. O arquivo de certificado de ca pode estar nos formatos codificados X.509 ou PEM. Para obter mais informações sobre como instalar um certificado de ca, consulte Instalando um Certificado de CA na página 38. G. Delete a CA certificate Remover um dos certificados de ca instalados. Para obter mais informações sobre como excluir um certificado de ca, consulte Excluindo um Certificado de CA na página 38. O restante das opções (H a K) se aplica a adaptadores que devem autenticar o aplicativo (por exemplo, o Servidor Tivoli Identity Manager ou o servidor Web) ao qual o adaptador está enviando informações. Essas opções permitem a você registrar certificados no adaptador. No Tivoli Identity Manager Versão 4.5 ou anterior, o certificado assinado do servidor Tivoli Identity Manager deve ser registrado em um adaptador para permitir autenticação de cliente no adaptador. Se você não planeja fazer upgrade de um adaptador existente para utilizar certificados de ca para autenticação de cliente, o certificado assinado apresentado pelo Servidor Tivoli Identity Manager deverá ser registrado no adaptador. Se você configurar o adaptador para utilizar notificação de eventos, ou a autenticação de cliente estiver ativada em DAML, será necessário instalar o certificado de ca correspondente ao certificado assinado do Servidor Tivoli Identity Manager utilizando a opção F. Install a CA certificate. H. List registered certificates Listar todos os certificados registrados que serão aceitos para comunicações. Para obter mais informações sobre como listar certificados registrados, consulte Visualizando Certificados Registrados na página 38. I. Register a certificate Registrar um novo certificado. O certificado a ser registrado deve estar no formato X.509 codificado em Base 64 ou PEM. Para obter mais informações sobre como registrar certificados, consulte Registrando um Certificado na página 39. J. Unregister a certificate Cancelar (remover) o registro de um certificado da lista registrada.para obter mais informações sobre como cancelar o registro de certificados, consulte Registrando um Certificado na página 39. Capítulo 4. Configurando a Autenticação SSL para o Adaptador 35

50 K. Export certificate and key to PKCS12 file Exporte um certificado e uma chave privada instalados anteriormente. Serão solicitados o nome do usuário e uma senha para criptografia. Para obter mais informações sobre como exportar um certificado e uma chave para um arquivo PKCS12, consulte Exportando um Certificado e uma Chave para o Arquivo PKCS12 na página 39. Gerando uma Chave Privada e um Pedido de Certificado Um csr (Certificate Signing Request) é um certificado não assinado que é um arquivo de texto. Quando você submete um certificado não assinado a uma autoridade de certificação, a ca assina o certificado com a assinatura digital privada que está incluída em seu certificado de ca correspondente. Quando o csr é assinado, ele se torna um certificado válido. Um csr contém informações sobre sua organização, como o nome dela, o país e a chave pública do servidor Web. Para gerar um arquivo csr, conclua estas etapas: 1. No Main Menu do CertTool, digite A. A mensagem e o prompt a seguir são exibidos: Enter values for certificate request (press enter to skip value) No prompt Organization, digite o nome de sua organização e pressione Enter. 3. No prompt Organizational Unit, digite a organizational unit e pressione Enter. 4. No prompt Agent Name, digite o nome do adaptador para o qual você está solicitando um certificado e pressione Enter. 5. No prompt , digite o endereço de da pessoa de contato desse pedido e pressione Enter. 6. No prompt Country, digite o país no qual o adaptador reside e pressione Enter. 7. No prompt State (Estado), digite o estado no qual o adaptador reside (se o adaptador estiver localizado nos Estados Unidos) e pressione Enter. Algumas autoridades de certificação não aceitam abreviações em duas letras para estados; por isso, você deve digitar o nome completo do estado. 8. No prompt Locality, digite o nome da cidade na qual o adaptador reside e pressione Enter. 9. No prompt Accept these values, digite Y para aceitar os valores exibidos ou digite N para inserir os valores novamente e pressione Enter. A chave privada e o pedido de certificado são gerados depois que os valores são aceitos. 10. No prompt Enter name of file to store PEM cert request, digite o nome do arquivo que você deseja utilizar para armazenar os valores especificados durante as etapas anteriores e pressione Enter. 11. Pressione Enter para continuar. O pedido de certificado e os valores de entrada são gravados no arquivo especificado e o Main Menu é exibido novamente. Você pode solicitar nesse momento um certificado de uma ca confiável enviando o arquivo.pem que acabou de ser gerado para um fornecedor de autoridade de certificação. Exemplo de Pedido de Assinatura de Certificado Seu arquivo csr será semelhante ao seguinte exemplo: 36 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

51 -----BEGIN CERTIFICATE REQUEST----- MIIB1jCCAT8CAQAwgZUxEjAQBgNVBAoTCWFjY2VzczM2MDEUMBIGA1UECxMLZW5n aw5lzxjpbmcxedaobgnvbamtb250ywdlbnqxjdaibgkqhkig9w0bcqewfw50ywdl bnraywnjzxnzmzywlmnvbtelmakga1uebhmcvvmxezarbgnvbagtcknhbglmb3ju awexdzanbgnvbactbklydmluztcbnzanbgkqhkig9w0baqefaaobjqawgykcgyea mr6acpnwf6hllc72bmukawaxcebtxcocnnth9uc8vumhpbimagjuc4s91hprilg7 UtlbOfy6X3R3kbeR8apRR9uLYrPIvQ1b4NK0whsytij6syCySaFQIB6V7RPBatFr 6XQ9hpsARdkGytZmGTgGTJ1hSS/jA6mbxpgmttz9HPECAwEAAaAAMA0GCSqGSIb3 DQEBAgUAA4GBADxA1cDkvXhgZntHkwT9tCTqUNV9sim8N/U15HgMRh177jVaHJqb N1Er46vQSsOOOk4z2i/XwOmFkNNTXRVl9TLZZ/D+9mGZcDobcO+lbAKlePwyufxK Xqdpu3d433H7xfJJSNYLYBFkrQJesITqKft0Q45gIjywIrbctVUCepL END CERTIFICATE REQUEST----- Instalando o Certificado Depois de receber seu certificado da ca confiável, instale-o no registro do adaptador. Para instalar o certificado, conclua estas etapas: 1. Se você recebeu o certificado como parte de uma mensagem de , copie o texto do certificado em um arquivo de texto e copie esse arquivo no diretório bin do adaptador. Por exemplo, C:\Tivoli\Agents\<adaptername>\bin 2. No Main Menu do CertTool, digite B. O seguinte aviso é exibido: Enter name of certificate file: No prompt Enter name of certificate file, digite o caminho completo para o arquivo de certificado e pressione Enter. O certificado é instalado no registro do adaptador e o Main Menu é exibido novamente. Instalando o Certificado e a Chave de um Arquivo PKCS12 Se você não usar o utilitário CertTool para gerar um csr a fim de obter um certificado, deverá instalar o certificado e a chave privada, os quais devem estar armazenados em um arquivo PKCS12. A ca talvez envie um arquivo protegido por senha, ou um arquivo PKCS12 (com a extensão.pfx), o qual inclui o certificado e a chave privada. Para instalar o certificado por esse arquivo PKCS12, conclua estas etapas: 1. Copie o arquivo PKCS12 no diretório bin do adaptador. Por exemplo, C:\Tivoli\Agents\< adaptername>\bin 2. No Main Menu do CertTool, digite C. O seguinte aviso é exibido: Enter name of PKCS12 file: No prompt Enter name of PKCS12 file, digite o nome do arquivo PKCS12 que tem as informações do certificado e da chave privada e pressione Enter. Por exemplo, DamlSrvr.pfx. 4. No prompt Enter password, digite a senha para acessar o arquivo e pressione Enter. O certificado e a chave privada são instalados no registro do adaptador e o Main Menu é exibido. Visualizando o Certificado Instalado Para listar o certificado que está instalado no sistema, no Main Menu do CertTool, digite D. O certificado instalado é listado e o Main Menu é exibido. O exemplo a seguir lista um certificado instalado: Capítulo 4. Configurando a Autenticação SSL para o Adaptador 37

52 The following certificate is currently installed. Subject: c=us,st=california,l=irvine,o=daml,cn=daml Servidor Instalando um Certificado de CA Se você estiver utilizando a autenticação de cliente, precisará instalar um certificado de ca. O certificado de ca que você instala é emitido por um fornecedor de autoridade de certificação. Para instalar um certificado de ca que foi extraído em um arquivo temporário, conclua as seguintes etapas: 1. No prompt Main Menu, digite F (Install a ca certificate). O seguinte aviso é exibido: Enter name of certificate file: 2. No prompt Enter name of certificate file, digite o nome do arquivo de certificado, como DamlCACerts.pem, e pressione Enter. O arquivo de certificado é aberto e o seguinte prompt é exibido: e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng Install the CA? (Y/N) 3. No prompt Install the CA, digite Y para instalar o certificado e pressione Enter. O arquivo de certificado de CA é instalado no arquivo CACerts.pem. Visualizando Certificados de CA O CertTool só instala um certificado e uma chave privada. Para listar o certificado de ca que está instalado no adaptador, digite E no prompt Main Menu. Os certificados de ca instalados são exibidos e o Main Menu é exibido. O exemplo a seguir lista um certificado de ca instalado: Subject: o=ibm,ou=samplecacert,cn=testca Valid To: Wed Jul 26 23:59: Excluindo um Certificado de CA Para excluir um certificado de ca dos diretórios do adaptador, conclua as etapas a seguir: 1. No prompt Main Menu, digite G. Uma lista de todos os certificados de ca instalados no adaptador é exibida. 0 - e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng 1 - e=support@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=support,cn=support Enter number of CA certificate to remove: 2. No prompt Enter number of CA certificate to remove (Digitar número de certificado de ca a ser removido), digite o número do certificado de ca que você deseja remover e pressione Enter. O certificado de ca é excluído do arquivo CACerts.pem e o Main Menu é exibido. Visualizando Certificados Registrados Somente pedidos que apresentam um certificado registrado serão aceitos pelo adaptador quando a validação de cliente for ativada. Para visualizar uma lista de todos os certificados registrados disponíveis no adaptador, conclua as seguintes etapas: 38 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

53 No prompt Main Menu, digite H. Os certificados registrados são exibidos e o Main Menu é exibido. O exemplo a seguir lista certificados registrados: 0 - e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng 1 - e=support@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=support,cn=support Registrando um Certificado Para registrar um certificado para o adaptador, conclua as seguintes etapas: 1. No prompt Main Menu, digite I. O seguinte aviso é exibido: Enter name of certificate file: 2. No prompt Enter name of certificate file, digite o nome do arquivo de certificado que você deseja registrar e pressione Enter. O assunto do certificado é exibido e um prompt é exibido; por exemplo: e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng Register this CA? (Y/N) 3. No prompt Register this CA, digite Y para registrar o certificado e pressione Enter. O certificado é registrado para o adaptador e o Main Menu é exibido. Cancelando o Registro de um Certificado Para cancelar o registro de um certificado para o adaptador, conclua as seguintes etapas: 1. No prompt Main Menu, digite J. Os certificados registrados são exibidos. O exemplo a seguir lista certificados registrados: 0 - e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng 1 - e=support@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=support,cn=support 2. Digite o número do arquivo de certificado cujo registro você deseja cancelar e pressione Enter. O assunto do certificado selecionado e um prompt são exibidos; por exemplo: e=admin@ibm.com,c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng Unregister this CA? (Y/N) 3. No prompt Unregister this CA, digite Y para cancelar o registro do certificado e pressione Enter. O certificado é removido da lista de certificados registrados para o adaptador e o Main Menu é exibido. Exportando um Certificado e uma Chave para o Arquivo PKCS12 Para exportar um certificado e uma chave para um arquivo PKCS12 do adaptador, conclua as seguintes etapas: 1. No prompt Main Menu, digite K. O seguinte aviso é exibido: Enter name of PKCS12 file: 2. No prompt Enter name of PKCS12 file, digite o nome do arquivo PKCS12 da chave privada ou do certificado instalado e pressione Enter. 3. No prompt Enter Password, digite a senha do arquivo PKCS12 e pressione Enter. Capítulo 4. Configurando a Autenticação SSL para o Adaptador 39

54 4. No prompt Confirm Password, digite a senha novamente e pressione Enter. O certificado ou a chave privada é transportado para o arquivo PKCS12 e o Main Menu é exibido. 40 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

55 Capítulo 5. Customizando o Adaptador Tivoli Access Manager GSO Você pode atualizar o arquivo JAR do Adaptador Tivoli Access Manager GSO, TAMGsoProfile.jar, para fazer alterações no esquema do adaptador, no formulário de conta, no formulário de serviço e nas propriedades do perfil. Para fazer essas atualizações, você deverá extrair os arquivos do arquivo JAR, fazer as alterações nos arquivos necessários e recompactar o arquivo JAR com os arquivos atualizados. Siga estas etapas na ordem listada para customizar o perfil do Adaptador Tivoli Access Manager GSO: 1. Copie o arquivo JAR em um diretório temporário e extraia os arquivos. Para obter mais informações sobre como extrair os arquivos, consulte Copiar o Arquivo TAMGsoProfile.jar e Extrair os Arquivos. 2. Faça as alterações apropriadas no arquivo. 3. Instale os novos atributos no Servidor Tivoli Identity Manager. Para obter mais informações sobre como atualizar esse arquivo, consulte Criar um Novo Arquivo JAR e Instalar os Novos Atributos no Servidor Tivoli Identity Manager na página 42. Copiar o Arquivo TAMGsoProfile.jar e Extrair os Arquivos O arquivo JAR do perfil, TAMGsoProfile.jar, está incluído no arquivo compactado do Adaptador Tivoli Access Manager GSO transferido por download no Web site da IBM. O arquivo TAMGsoProfile.jar contém os seguintes arquivos: v v v v v CustomLabels.properties ertamgsoaccount.xml ertamgsodamlservice.xml resource.def schema.dsml v xforms.xml Você pode modificar esses arquivos para customizar seu ambiente. Quando tiver concluído a atualização do arquivo JAR do perfil, instale-o no Servidor Tivoli Identity Manager. Para obter mais informações sobre a instalação do perfil, consulte o Capítulo 2, Instalação do Adaptador, na página 3. Para modificar o arquivo TAMGsoProfile.jar, conclua as etapas a seguir: 1. Efetue logon no sistema em que o Adaptador Tivoli Access Manager GSO está localizado. 2. No menu Iniciar, clique em Programas Acessórios Prompt de Comandos. 3. Copie o arquivo TAMGsoProfile.jar para um diretório temporário. 4. Extraia o conteúdo do arquivo TAMGsoProfile.jar no diretório temporário executando o seguinte comando: cd c:\temp jar -xvf TAMGsoProfile.jar O comando jar criará o diretório c:\temp\tamgsoprofile. Direitos Autorais IBM Corp. 2004,

56 5. Edite o arquivo apropriado. Criar um Novo Arquivo JAR e Instalar os Novos Atributos no Servidor Tivoli Identity Manager Depois de modificar os arquivos schema.dsml e CustomLabels.properties, você deverá importar esses arquivos, e qualquer outro que tenha modificado para o adaptador, para o Servidor Tivoli Identity Manager para que as alterações sejam efetivadas. Para instalar os novos atributos, conclua as seguintes etapas: 1. Crie um novo arquivo JAR utilizando os arquivos contidos no diretório \temp executando os seguintes comandos: cd c:\temp jar -cvf TAMGsoProfile.jar tamgsoprofile 2. Importe o arquivo TAMGsoProfile.jar para o Servidor de Aplicativos Tivoli Identity Manager. Para obter mais informações sobre como importar o arquivo, consulte a Etapa 6: Importando o Perfil do Adaptador na página Pare e inicie o servidor de diretórios. 4. Pare e inicie o serviço do Adaptador Tivoli Access Manager GSO para efetivar as alterações. 42 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

57 Capítulo 6. Fazendo Upgrade do Adaptador ou do ADK Você pode fazer upgrade do Adaptador Tivoli Access Manager GSO ou do ADK (Agent Development Kit). O ADK é o componente básico do adaptador. Enquanto todos os adaptadores têm o mesmo ADK, a funcionalidade restante do adaptador é específica do recurso gerenciado. Você pode executar um upgrade do adaptador para migrar a instalação atual do adaptador para uma versão mais nova, por exemplo, da versão 4.4 para a versão 4.6. Fazer upgrade do adaptador, em vez de reinstalá-lo, permitirá manter suas definições de configuração. Além disso, você não terá de desinstalar o adaptador atual e instalar a versão mais nova. Entretanto, se uma correção de código tiver sido feita no ADK, em vez de fazer upgrade do adaptador inteiro, você poderá fazer upgrade apenas do ADK para a versão mais nova. Fazendo Upgrade do Adaptador Fazendo Upgrade do ADK Se você tem atualmente a versão 4.4 ou 4.5 do Adaptador Tivoli Access Manager GSO instalada e quer a versão 4.6, será necessário um upgrade do adaptador. Fazer upgrade do adaptador envolve várias etapas que você deverá concluir na seqüência apropriada. Para fazer o upgrade de um adaptador existente, conclua as seguintes etapas: 1. Pare o serviço do Adaptador Tivoli Access Manager GSO. 2. Instale a nova versão do adaptador. Para manter todas as definições de configuração atuais, bem como o certificado e a chave privada, não desinstale a versão antiga do adaptador antes de instalar a nova versão. Durante a instalação, especifique o mesmo diretório de instalação onde o adaptador anterior foi instalado. Para obter mais informações sobre como instalar o adaptador, consulte o Capítulo 2, Instalação do Adaptador, na página 3. Quando o adaptador atualizado for iniciado pela primeira vez, novos arquivos de log serão criados, substituindo os arquivos antigos. O ADK consiste na biblioteca de tempo de execução, na filtragem e na funcionalidade de notificação de eventos, bem como em configurações de protocolo e informações de log. O restante do adaptador é composto das funções Incluir, Modificar, Excluir e Procurar. Enquanto todos os adaptadores têm o mesmo ADK, a funcionalidade restante é específica do recurso gerenciado. Você pode utilizar o programa de upgrade do ADK para atualizar a parte ADK dos adaptadores que estão instalados atualmente em uma máquina. Isso permite instalar apenas o ADK, não o adaptador inteiro. Como parte do upgrade do ADK, as bibliotecas do ADK e do protocolo DAML são atualizadas. Além disso, os binários do agentcfg e do CertTool são atualizados. Direitos Autorais IBM Corp. 2004,

58 Antes de fazer upgrade dos arquivos do ADK, o programa de upgrade verifica a versão atual do ADK. Se o nível atual for superior ao que você está tentando instalar, uma mensagem de aviso será exibida. Para fazer upgrade do Adaptador Tivoli Access Manager GSO ADK, conclua as seguintes etapas: 1. Faça download do arquivo compactado do programa de upgrade do ADK no Web site da IBM. 2. Extrais o conteúdo do arquivo.zip file em um diretório temporário. 3. Pare o serviço do Adaptador Tivoli Access Manager GSO. 4. Inicie o programa de upgrade utilizando o arquivo adkinst_win32.exe no diretório temporário. Por exemplo, selecione Executar no menu Iniciar e digite C:\TEMP\adkinst_win32.exe no campo Abrir. Se nenhum adaptador estiver instalado, você receberá a seguinte mensagem de erro e o programa será encerrado: Nenhum Agente Instalado - Impossível Instalar o ADK. 5. Na janela Bem-vindo, clique em Avançar. 6. Na janela Contrato de Licença de Software, revise o contrato de licença e decida se você aceita os termos. Se aceitá-los, clique em Aceitar. 7. Na janela Informações da Instalação, clique em Avançar para iniciar a instalação. 8. Na janela Instalação Concluída, clique em Concluir para sair do programa. Arquivos de Log Entradas de log são armazenadas nos arquivos <ADKVersion>Installer.log e <ADKVersion>Installeropt.log, em que <ADKVersion> é a versão do ADK. Por exemplo, ADK46Installer.log e ADK46Installeropt.log. Esses arquivos são criados na pasta em que você executa o programa de instalação. 44 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

59 Capítulo 7. Desinstalando o Adaptador Tivoli Access Manager GSO Antes de remover o adaptador, informe seus usuários de que o Adaptador Tivoli Access Manager GSO estará indisponível e será removido do sistema. Se o servidor for colocado off-line, os pedidos do Adaptador Tivoli Access Manager GSO que não estiverem concluídos não poderão ser recuperados quando o servidor estiver on-line novamente. Para remover o Adaptador Tivoli Access Manager GSO, conclua estas etapas: 1. Pare o serviço do Adaptador Tivoli Access Manager GSO. 2. Abra o Windows Explorer e execute <adapter_directory>\_uninst\uninstaller.exe, em que adapter_directory é o diretório em que o adaptador foi instalado. 3. Na janela Bem-vindo, clique em Avançar. 4. Na janela Resumo da Desinstalação do Adaptador Tivoli Access Manager GSO, clique em Avançar. 5. Clique em Concluir. Inspecione o diretório do adaptador em busca de diretórios, subdiretórios e arquivos do Adaptador Tivoli Access Manager GSO para verificar se a desinstalação está concluída. A instância do Adaptador Tivoli Access Manager GSO que foi desinstalada não deverá mais aparecer na janela Serviços. Direitos Autorais IBM Corp. 2004,

60 46 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

61 Apêndice A. Atributos do Adaptador Descrições dos Atributos Como parte da implementação do adaptador, uma conta dedicada para o Tivoli Identity Manager acessar os servidores Windows é criada nos servidores Windows. O Adaptador Tivoli Access Manager GSO consiste em arquivos e diretórios que são de propriedade da conta do Tivoli Identity Manager. Esses arquivos estabelecem comunicação com o Servidor Tivoli Identity Manager. O Servidor Tivoli Identity Manager se comunica com o Adaptador Tivoli Access Manager GSO utilizando atributos incluídos em pacotes de transmissão enviados por uma rede. A combinação de atributos, incluídos nos pacotes, depende do tipo de ação que o Servidor Tivoli Identity Manager solicita do Adaptador Tivoli Access Manager GSO. A Tabela 10 é uma listagem em ordem alfabética dos atributos que são utilizados pelo Adaptador Tivoli Access Manager GSO. A tabela fornece uma descrição resumida e o tipo de dados para o valor do atributo. Tabela 10. Descrições dos Atributos Atributo Atributo de Servidor do Diretório Descrição UserName eruid Especifica o ID de usuário para o Recurso ou Grupo de Recurso ertamgsoresname ertamgsoresname Especifica o Nome do Recurso ou o Nome do Grupo de Recurso do Tivoli Access Manager ertamgsorestype ertamgsorestype Especifica o Tipo de Recurso do Tivoli Access Manager ertamgsouid ertamgsouid Especifica o ID de Usuário do Tivoli Access Manager erpassword erpassword Especifica a Senha do Recurso do Tivoli Access Manager USER eruid Especifica a Conta do Usuário Tipos de Dados String String String Campo de Entrada Senha de Cadeia de Caracteres Cadeia Nota: Nomes de grupo no Tivoli Access Manager 4.1 e 5.1 não fazem distinção de maiúsculas e minúsculas, enquanto os nomes de grupo no Tivoli Identity Manager fazem. Para evitar confusão, todos os nomes de grupo no Tivoli Identity Manager são exibidos em letras minúsculas. Direitos Autorais IBM Corp. 2004,

62 Atributos por Ações do Adaptador Tivoli Access Manager GSO A lista a seguir relaciona as ações típicas do Adaptador Tivoli Access Manager GSO de acordo com o seu grupo de transações funcionais. As listas incluem mais informações sobre atributos opcionais e obrigatórios enviados ao Adaptador Tivoli Access Manager GSO para concluir essa ação. Adição de Login do Sistema Inclusão de Login do Sistema é um pedido para criar uma nova conta de usuário no domínio com os atributos especificados. Tabela 11. Atributos da Função Adicionar Atributos Requeridos Atributos Opcionais UserName Todos os outros atributos suportados. ertamgsouid erpassword Alteração de Login do Sistema Alteração de Login do Sistema é um pedido para alterar um ou mais atributos para os usuários especificados. Tabela 12. Atributos da Função Alterar Atributos Requeridos Atributos Opcionais UserName Todos os outros atributos suportados. Exclusão de Login do Sistema Exclusão de Login do Sistema é um pedido para remover o usuário especificado do Active Directory. Tabela 13. Função Excluir Atributos Requeridos Atributos Opcionais UserName Nenhuma. Suspensão de Login do Sistema Login Suspenso do Sistema é um pedido para desativar uma conta de usuário. O usuário não é removido e seus atributos não são modificados. Tabela 14. Função Suspender Atributos Requeridos Atributos Opcionais UserName Nenhuma. Restauração de Login do Sistema Restauração de Login do Sistema é um pedido para ativar uma conta de usuário que estava suspensa anteriormente. Uma vez restaurada uma conta, o usuário poderá acessar o sistema com os mesmos atributos de antes que a função Suspender fosse chamada. 48 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

63 Tabela 15. Função Suspender Atributos Requeridos Atributos Opcionais UserName Nenhuma. Reconciliação A função Reconciliação sincroniza informações da conta do usuário entre o Tivoli Identity Manager e o adaptador. A tabela a seguir é um conjunto completo de atributos retornados pela reconciliação. Um asterisco (*) indica atributos com finalidades apenas informativas. Tabela 16. Função Reconciliação Atributos Retornados Durante a Reconciliação UserName ertamgsouid Resolução de Problemas Esta seção contém informações que podem ser úteis durante a resolução de quaisquer problemas com o adaptador. Reconciliação de Contas Grandes Utilizando a API pdadmin Durante a reconciliação em sistemas com grande quantidade de contas do Tivoli Access Manager, o adaptador pode necessitar de um longo período para obter a lista completa de usuários do Tivoli Access Manager. Isto poderá gerar um evento de tempo limite de inatividade do SSL entre o servidor ITIM e o adaptador. Para evitar este problema, a instalação do adaptador contém um arquivo padrão de padrões de reconciliação, recon_pattern_default.txt, o qual está instalado no diretório data. Esse arquivo permite particionar a lista de nomes de conta do Tivoli Access Manager em blocos menores. O arquivo está configurado para particionar nomes de usuário em ordem alfabética, de acordo com os caracteres de início dos nomes de usuário. As partições são separadas por espaços, da seguinte forma: ================================================================= a* b* c* d* e* f* g* h* i* j* k* l* m* n* o* p* q* r* s* t* u* v* w* x* y* z* 0* 1* 2* 3* 4* 5* 6* 7* 8* 9* _* $* %* ================================================================= Para permitir o particionamento de contas maiores, apenas renomeie o arquivo padrão para recon_pattern.txt. Se a maioria de seus nomes de usuário da conta começar com uma cadeia específica (por exemplo, a000001, a000002,.. a999999), você poderá configurar o arquivo para particionar a parte do espaço de nomenclatura. Exemplo: ================================================================= aa* ab* ac* ad* ae* af* ag* ah* ai* aj* ak* al* am* an* ao* ap* aq* ar* as* at* au* av* aw* ax* ay* az* a00* a01* a02* a03* a04* a05* a06* a07* a08* a09* a10* a11* a12* a13* a14* a15* a16* a17* a18* a19* a20* a21* a22* a23* a24* a25* a26* a27* a28* a29* a30* a31* a32* a33* a34* a35* a36* a37* a38* a39* a40* a41* a42* a43* a44* a45* a46* a47* a48* a49* a50* a51* a52* a53* a54* a55* a56* a57* a58* a59* a60* a61* a62* a63* a64* a65* a66* a67* a68* a69* a70* a71* a72* a73* a74* a75* a76* a77* a78* a79* Apêndice A. Atributos do Adaptador 49

64 a80* a81* a82* a83* a84* a85* a86* a87* a88* a89* a90* a91* a92* a93* a94* a95* a96* a97* a98* a99* a_* a~* a!* a$* a%* a^* b* c* d* e* f* g* h* i* j* k* l* m* n* o* p* q* r* s* t* u* v* w* x* y* z* 0* 1* 2* 3* 4* 5* 6* 7* 8* 9* _* $* %* ================================================================= O padrão máximo único é 256 caracteres. O tamanho do arquivo é ilimitado. Se os seus nomes de usuário tiverem caracteres Unicode, edite o arquivo de padrões com um editor que suporte a sua página de códigos local. As configurações padrão para LDAP e Tivoli Access Manager têm restrições no limite de extensão da procura. A prática ideal é a seguinte: 1. Modifique o arquivo de configuração do IBM Directory Server, slapd32.conf. Esse arquivo está localizado no diretório etc do IBM Directory Server. Configure o atributo ibm-slapdsizelimit para 0 (isto é, sem limite). 2. Modifique os arquivos de configuração ldap.conf do LDAP do Tivoli Access Manager, que estão localizados nos diretórios etc e lib do Tivoli Access Manager Policy Server. Configure o atributo max-search-size para maior que 2048 (a configuração padrão e atual). Configurar o atributo max-search-size para 0 significa que a extensão de procura é ilimitada. 3. Modifique o arquivo de configuração do Tivoli Access Manager, pd.conf,que está localizado no diretório etc do Tivoli Access Manager Policy Server. Configure o atributo ssl-v3-timeout para (a configuração máxima) e o atributo ssl-io-inactivity para 0 (isto é, sem limite). Erros de Relatórios do Access Manager Durante a reconciliação, o Tivoli Access Manager freqüentemente relata erros do tipo: Cannot connect to server (Não é possível conectar com o servidor). Isto faz com que o processo de reconciliação falhe após determinado número de tentativas. O número padrão de novas tentativas por pedido é 10. Esse número pode ser alterado criando o atributo de registro ertammaxretry do adaptador com um valor especificado. Reconciliação de Contas Grandes Utilizando a API LDAP Ao executar a reconciliação em sistemas com grande quantidade de contas do Tivoli Access Manager, o adaptador demora um longo período para obter a lista completa de contas do Tivoli Access Manager. O adaptador fornece uma função para acelerar a reconciliação, executando-a diretamente com o servidor IBM LDAP. Para ativar essa função, você precisa configurar o adaptador da seguinte forma: 1. Altere para o diretório bin do adaptador. No prompt (pressupondo-se que o diretório do Tivoli Access Manager GSO Adapter seja no local padrão), digite o seguinte: agentcfg -ag TAMGSOAgent Nota: Antes de tentar configurar o agente, assegure-se de que o serviço do agente esteja em execução. 2. O seguinte aviso é exibido: 50 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

65 Enter configuration key for Agent TAMGSOAgent Digite a chave de configuração apropriada no prompt e o Main Configuration Menu será exibido. 3. Digite a chave de configuração F para alterar para Registry Settings. 4. Digite a chave de configuração A para Modify Non-encrypted registry settings. 5. Nas configurações de registro não criptografadas, inclua os seguintes novos atributos e seus valores: Tabela 17. Atributos para Reconciliação de Contas Grandes Utilizando a API LDAP Nome do Novo Atributo Descrição erldapip Nome do host ou endereço IP do servidor LDAP erldapport Número da porta do servidor LDAP. Por exemplo: 389 erldaprecon Ativa a reconciliação LDAP. Existem dois valores para este atributo: Y - ativa a reconciliação LDAP N - desativa a reconciliação LDAP erldaproot DN de ligação de LDAP. Por exemplo: cn=root erldaptype Tipo de LDAP. Atualmente, o adaptador suporta apenas o IBM Directory Server. Portanto, o valor deve ser IDS. 6. No Agent Registry Menu, digite a chave de configuração B para Modify encrypted registry settings. Inclua um novo atributo, erldappwd, cujo valor é a senha da raiz do LDAP. 7. Altere para o diretório bin do adaptador e modifique o script de comando ldapsearch4 ou ldapsearch5 (dependendo da versão do Tivoli Access Manager) para assegurar que o caminho utilizado para o comando ldapsearch está correto. Especifique a opção base dn for search (dn base para procura) para mapear a organização LDAP (opção -b). Notas: a. Não altere o nome do comando ldapsearch<versão do LDAP>. b. Todos os nomes de atributos fazem distinção entre maiúsculas e minúsculas. Apêndice A. Atributos do Adaptador 51

66 52 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

67 Apêndice B. Informações sobre Suporte Esta seção descreve as seguintes opções para obtenção de suporte para produtos IBM: v Procurando Bases de Conhecimento v Obtendo as Correções na página 54 v Entrando em Contato com o IBM Software Support na página 54 Procurando Bases de Conhecimento Se tem um problema com seu software IBM, você quer que seja resolvido rapidamente. Comece pesquisando as bases de conhecimento disponíveis para determinar se a resolução para seu problema já está documentada. Procurar no Centro de Informações no Sistema Local ou na Rede A IBM fornece uma documentação extensa que pode ser instalada na sua máquina local ou em um servidor intranet. Você pode utilizar a função de pesquisa desse centro de informações para consultar informações conceituais, instruções para concluir tarefas, informações de referência e documentos de suporte. Procurar na Internet Se não encontrar uma resposta para sua pergunta no centro de informações, pesquise na Internet para obter as informações mais recentes e mais completas que podem ajudá-lo a resolver o problema. Para localizar recursos da Internet para seu produto, abra um dos seguintes Web sites: v IBM Tivoli Identity Manager Performance Tuning Guide Fornece as informações necessárias para ajustar o Servidor Tivoli Identity Manager a um ambiente de produção, disponível na Web em: Clique no caractere I na lista de produtos de A a Z e, em seguida, clique no link Tivoli Identity Manager. Procure no centro de informações a seção Technical Supplements. v Redbooks e white papers estão disponíveis na Web em: IBMTivoliIdentityManager.html Procure a seção Self Help, na categoria Learn e clique no link Redbooks. v As technotes estão disponíveis na Web em: v Guia de campo estão disponíveis na Web em: v Para obter uma lista maior de outros recursos do Tivoli Identity Manager, procure no seguinte endereço da Web do IBM developerworks: Direitos Autorais IBM Corp. 2004,

68 Obtendo as Correções Uma correção do produto pode estar disponível para resolver seu problema. É possível determinar quais correções estão disponíveis para seu produto de software IBM verificando o Web site de suporte ao produto: 1. Vá para o Web site do IBM Software Support ( 2. Em Products support pages A to Z, selecione a letra do nome de seu produto. 3. Na lista de produtos específicos, clique em IBM Tivoli Identity Manager. 4. Em Self help, você localiza uma lista de correções, fix packs e outras atualizações de serviço para seu produto. 5. Clique no nome de uma correção para ler a descrição e, opcionalmente, fazer o download da correção. Para receber semanalmente notificações de sobre as correções e outras notícias sobre os produtos IBM, siga estas etapas: 1. Na página de suporte de qualquer produto IBM, clique em My support no canto superior esquerdo da página. 2. Se você já tiver se registrado, vá para a próxima etapa. Se não tiver se registrado, clique em registro no canto superior direito da página de suporte para estabelecer seu ID de usuário e senha. 3. Registre-se em My support. 4. Na página My support, clique em Edit profiles na área de janela de navegação à esquerda e role para Select Mail Preferences. Selecione uma família de produtos e marque as caixas apropriadas para o tipo de informações que você deseja. 5. Clique em Submit. 6. Para obter notificação de de outros produtos, repita as Etapas 4 e 5. Para obter informações adicionais sobre tipos de correções, consulte o Software Support Handbook ( Entrando em Contato com o IBM Software Support O IBM Software Support fornece assistência para os defeitos de produto. Antes de entrar em contato com o IBM Software Support, sua empresa deve ter um contrato ativo de manutenção de software IBM e deve estar autorizado a submeter os problemas à IBM. O tipo de contrato de manutenção de software que você precisa depende do tipo de produto que você tem: v Para produtos de software distribuídos pela IBM (incluindo, mas não se limitando a, produtos Tivoli, Lotus e Rational, bem como produtos DB2 e WebSphere que são executados em sistemas operacionais Windows ou UNIX), cadastre-se no Passport Advantage de uma das seguintes maneiras: On-line: Visite a página da Web do Passport Advantage ( Passport_Advantage_Home) e clique em How to Enroll Por Telefone: Para obter o número de telefone para ligar em seu país, vá para o Web site do IBM Software Support ( e clique no nome de sua região geográfica. v Para produtos de software IBM eserver (incluindo, mas não se limitando a, produtos DB2 e WebSphere que são executados em ambientes zseries, pseries e 54 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

69 iseries), você pode adquirir um acordo de manutenção de software diretamente de um representante de vendas IBM ou um de um Parceiro de Negócios IBM. Para obter informações adicionais sobre suporte para produtos de software eserver, visite a página da Web do IBM Technical Support Advantage ( Se não tiver certeza do tipo de contrato de manutenção de software que você precisa, ligue para IBMSERV ( ) nos Estados Unidos ou, de outros países, vá para a página de contatos do IBM Software Support Handbook na Web ( e clique no nome da sua região geográfica para obter os números de telefone de pessoas que fornecem suporte para a sua localidade. Siga as etapas deste tópico para contatar o IBM Software Support: 1. Determine o impacto do problema na empresa. 2. Descreva o problema e reúna informações de apoio. 3. Submeta o problema ao IBM Software Support. Determinar o Impacto Comercial do Problema Quando você relatar um problema à IBM, será necessário fornecer um nível de severidade. Portanto, é necessário entender e avaliar o impacto comercial do problema que você está relatando. Utilize os critérios a seguir: Gravidade 1 Impacto comercial crítico: Não é possível utilizar o programa, resultando em um impacto crítico nas operações. Essa condição requer uma solução imediata. Gravidade 2 Impacto comercial significativo: O programa é utilizável, mas é muito limitado. Gravidade 3 Algum impacto comercial: O programa é utilizável com recursos menos significativos (não críticos para as operações) não disponíveis. Gravidade 4 Impacto comercial mínimo: O problema causa um pequeno impacto nas operações ou foi implementado um engano razoável para o problema. Descrever seu Problema e Reunir Informações de Segundo Plano Ao explicar um problema à IBM, seja o mais específico possível. Inclua todas as informações relevantes de segundo plano para que os especialistas do IBM Software Support possam ajudá-lo a solucionar o problema com eficiência. Para economizar tempo, conheça as respostas a essas perguntas: v Quais versões de software você estava executando quando ocorreu o problema? v Você tem logs, rastreios e mensagens que estejam relacionados aos sintomas do problema? O IBM Software Support provavelmente solicitará estas informações. v É possível recriar o problema? Se sim, quais etapas levaram ao defeito? v Foi feita alguma alteração no sistema? (Por exemplo, hardware, sistema operacional, software de rede e etc.) v Você está utilizando, atualmente, uma solução alternativa para esse problema? Se estiver, esteja preparado para explicá-la quando relatar o problema. Apêndice B. Informações sobre Suporte 55

70 Submeter Problemas ao IBM Software Support Você pode enviar seu problema de uma entre duas maneiras: v On-line: Vá para a página Submeter e Rastrear Problemas no site do IBM Software Support ( Digite suas informações na ferramenta de submissão de problemas apropriada. v Por telefone: Para obter o número de telefone em seu país, vá para a página de contatos do IBM Software Support Handbook na Web ( e clique no nome de sua região geográfica. Se o problema que você submeter destinar-se a um defeito de software ou à documentação ausente ou inexata, o IBM Software Support criará um APAR (Authorized Program Analysis Report). O APAR descreve o problema com detalhes. Sempre que possível, o IBM Software Support fornecerá uma solução alternativa para que você implemente até que o APAR seja resolvido e uma correção seja entregue. A IBM publica os APARs resolvidos nas páginas da Web do suporte ao produto IBM diariamente para que outros usuários que tenham o mesmo problema possam se beneficiar com as mesmas resoluções. Para obter mais informações sobre resolução de problemas, consulte Procurando Bases de Conhecimento e Obtendo Correções. 56 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

71 Apêndice C. Avisos Estas informações foram desenvolvidas para produtos e serviços oferecidos nos Estados Unidos. É possível que a IBM não ofereça os produtos, serviços ou recursos discutidos neste documento em seu país. Consulte o representante IBM local para obter informações sobre os produtos e serviços disponíveis atualmente em sua área. Qualquer referência a produtos, programas ou serviços IBM não significa que somente produtos, programas ou serviços IBM possam ser utilizados. Qualquer produto, programa ou serviço funcionalmente equivalente, que não infrinja nenhum direito de propriedade intelectual da IBM ou quaisquer outros direitos da IBM, poderá ser utilizado em substituição a este produto, programa ou serviço. Porém, é de responsabilidade do usuário a avaliação e verificação da operação de qualquer produto, programa ou serviço que não seja da IBM. A IBM pode ter patentes ou solicitações de patentes relativas a assuntos tratados neste documento. O fornecimento deste documento não dá ao Cliente nenhuma licença relativa a estas patentes. Pedidos de licença devem ser enviados, por escrito, para: Gerência de Relações Comerciais e Industriais da IBM Brasil Av. Pasteur, Botafogo Rio de Janeiro, RJ CEP Para pedidos de licenças com relação a informações sobre DBCS (Conjunto de Caracteres de Byte Duplo), entre em contato com o Departamento de Propriedade Intelectual da IBM em seu país ou envie pedidos, por escrito, para: IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome, Minato-ku Tokyo , Japan O parágrafo a seguir não se aplica a nenhum país em que tais disposições não estejam de acordo com a legislação local: A INTERNATIONAL BUSINESS MACHINES CORPORATION FORNECE ESTA PUBLICAÇÃO NO ESTADO EM QUE SE ENCONTRA SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO, MAS NÃO LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE MERCADO OU DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. Alguns estados não permitem a exclusão de garantias expressas ou implícitas em certas transações; portanto, esta disposição pode não se aplicar ao Cliente. Estas informações podem conter imprecisões técnicas ou erros tipográficos. Alterações são periodicamente realizadas nas informações aqui contidas; tais alterações serão incorporadas em futuras edições desta publicação. A IBM pode, a qualquer momento, aperfeiçoar e/ou alterar os produtos e/ou programas descritos nesta publicação, sem aviso prévio. Referências nestas informações a Web sites não-ibm são fornecidas apenas por conveniência e não representam de forma alguma um endosso a esses Web sites. Os materiais contidos nesses Web sites não fazem parte deste produto IBM e seu uso é de responsabilidade do Cliente. Direitos Autorais IBM Corp. 2004,

72 A IBM pode utilizar ou distribuir as informações fornecidas da forma que julgar apropriada sem incorrer em qualquer obrigação para com o Cliente. Licenciados deste programa que pretendam obter informações adicionais sobre o mesmo com o objetivo de permitir: (i) a troca de informações entre programas criados independentemente e outros programas (incluindo este) e (ii) a utilização mútua das informações trocadas, devem entrar em contato com: Gerência de Relações Comerciais e Industriais da IBM Brasil Av. Pasteur, Botafogo Rio de Janeiro, RJ CEP Tais informações podem estar disponíveis, sujeitas a termos e condições apropriados, incluindo em alguns casos, o pagamento de uma taxa. O programa licenciado descrito nessas informações e todo o material licenciado disponível são fornecidos pela IBM sob os termos do Acordo do Cliente IBM, do Acordo Internacional de Licença de Programa IBM, ou sob qualquer acordo equivalente entre as partes. Quaisquer dados sobre desempenho contidos neste documento foram determinados em um ambiente controlado. Portanto, os resultados obtidos em outros ambientes operacionais poderão variar significativamente. Algumas medidas podem ter sido tomadas em sistemas de nível de desenvolvimento e não há garantia de que estas medidas sejam iguais em sistemas geralmente disponíveis. Além disso, algumas medidas podem ter sido estimadas através de extrapolação. O resultado real pode variar. Os usuários deste documento devem verificar os dados aplicáveis para seu ambiente específico. As informações referentes a produtos não-ibm foram obtidas com os fornecedores desses produtos, anúncios publicados ou outras fontes de publicidade disponíveis. A IBM não testou esses produtos e não pode confirmar a precisão do seu desempenho, compatibilidade ou qualquer outro requisito relacionado a produtos não-ibm. Dúvidas sobre os recursos de produtos não-ibm devem ser encaminhadas diretamente a seus fornecedores. Marcas Registradas Os seguintes termos são marcas registradas da International Business Machines Corporation nos Estados Unidos e/ou em outros países: IBM IBM (logotipo) AIX DB2 Novell SecureWay Tivoli Tivoli (logotipo) Universal Database WebSphere Lotus é uma marca registrada da Lotus Development Corporation e/ou IBM Corporation. 58 IBM Tivoli Access Manager GSO Adapter para Windows: Guia de Instalação e Configuração

73 Domino é uma marca registrada da International Business Machines Corporation e Lotus Development Corporation nos Estados Unidos e/ou em outros países. Microsoft, Windows, Windows NT e o logotipo do Windows são marcas registradas da Microsoft Corporation nos Estados Unidos e/ou em outros países. Intel, Intel Inside (logotipos), MMX e Pentium são marcas registradas da Intel Corporation nos Estados Unidos e/ou em outros países. UNIX é uma marca registrada da The Open Group nos Estados Unidos e/ou em outros países. Linux é uma marca registrada da Linus Torvalds nos Estados Unidos e/ou em outros países. Java e todas as marcas baseadas em Java são marcas registradas da Sun Microsystems Inc. nos Estados Unidos e/ou em outros países. Outros nomes de empresas, produtos e serviços podem ser marcas registradas ou marcas de serviços de terceiros. Apêndice C. Avisos 59