IBM WebSphere Application Server: Guia de Integração

IBM Tioli Access Manager para e-business IBM WebSphere Application Serer: Guia de Integração Versão 5.1 S517-7930-00

IBM Tioli Access Manager para e-business IBM WebSphere Application Serer: Guia de Integração Versão 5.1 S517-7930-00

Nota Antes de utilizar estas informações e o produto suportado por elas, leia as informações no Apêndice B, Aisos, na página 105. Primeira Edição (Noembro de 2003) Esta edição aplica-se à ersão 5, release 1, modificação 0 do IBM Tioli Access Manager (número do produto 5724-C08) e a todos os releases e modificações subseqüentes, até que seja indicado de outra maneira em noas edições. Copyright International Business Machines Corporation 2002, 2003. Todos os direitos reserados.

Índice Prefácio................................... ii Quem Dee Ler este Manual.............................ii O que este Manual Contém..............................ii Publicações................................... iii Informações sobre o Release............................ iii Informações de Base............................... iii Informações sobre Segurança na Web..........................ix Referências para Desenoledores...........................ix Suplementos Técnicos...............................x Publicações Relacionadas..............................x Acessando Publicações On-line...........................xi Acessibilidade..................................xi Entrando em Contato com o Suporte ao Software......................xi Conenções Utilizadas neste Manual..........................xi Conenções Tipográficas..............................xi Diferenças do Sistema Operacional..........................x Capítulo 1. Introdução e Visão Geral....................... 1 Integrando o Tioli Access Manager ao WebSphere Application Serer................2 Segurança com Base em Função do Jaa 2 Enterprise Edition...................4 Mapeando Principais e Grupos para Funções........................5 Centralizando o Gerenciamento de Critério para Vários Seridores do WebSphere............8 Capítulo 2. Instruções de Instalação....................... 11 Conteúdo do Software................................11 Plataformas Suportadas...............................11 Suporte para o WebSphere Application Serer Versão 5.1...................12 Requisitos de Disco e Memória.............................12 Pré-requisitos de Software..............................12 WebSphere Application Serer............................12 Tioli Access Manager Base.............................13 Jaa Runtime Enironment.............................14 Pré-requisitos de Registro do Usuário...........................14 Efetuando o Upgrade a Partir de um Release Anterior.....................15 Instalando Utilizando o Assistente de Instalação.......................16 Instalando o Tioli Access Manager para WebSphere Usando Utilitários Natios............19 Instalando no Solaris...............................19 Instalando no AIX................................20 Instalando no HP-UX...............................21 Instalando no Linux...............................23 Instalando no Windows..............................24 Capítulo 3. Procedimentos de Configuração.................... 27 Configurando a Instalação Inicial............................27 Parte 1: Criar o Usuário Administratio do Tioli Access Manager para WebSphere Application Serer....28 Parte 2: Atiar a Segurança do WebSphere........................29 Parte 3: Configurar o Access Manager Jaa Runtime Enironment................31 Parte 4: Unir um Domínio Seguro...........................32 Parte 5a: Migrar as Definições de Segurança do WebSphere WebSphere Versão 4.0.6.........34 Parte 5b: Migrar as Definições de Segurança do WebSphere WebSphere Versão 5.0.2.........36 Configurando o Tioli Access Manager para WebSphere em um Ambiente do WebSphere Application Serer Versão 5.1....................................39 Parte 1: Criar o Usuário Administratio do Tioli Access Manager para WebSphere Application Serer....39 Parte 2: Atiar a Segurança no WebSphere Application Serer Versão 5.1..............39 Parte 3: Configurar o Access Manager Jaa Runtime Enironment................39 Copyright IBM Corp. 2002, 2003 iii

Parte 4: Configurar o Tioli Access Manager para WebSphere.................40 Parte 5: Migrar o Critério de Administração.......................40 Configurando Instalações Adicionais...........................41 Parte A-1: Configurar o Access Manager Jaa Runtime Enironment...............42 Parte A-2: Unir um Domínio Seguro..........................43 Capítulo 4. Migrando Funções de Segurança................... 45 Como Migrar Funções de Segurança...........................45 Limitações do Utilitário de Migração...........................49 Dicas de Resolução de Problemas............................50 Utilização de Arquios de Log............................50 Usuários não Anexados às ACLs Criadas........................50 A Migração Falha em Arquios Windows com Nome Abreiado................50 O Web Portal Manager não É Capaz de Anexar uma ACL a um Objeto..............51 Aiso de que o Usuário [...] É um Membro de pdwas-admin..................51 Autenticação do Cliente Perdida Deido a Expiração da Sessão.................51 As Mensagens do Utilitário de Migração não São Exibidas no Idioma Correto............52 Capítulo 5. Tarefas de Administração....................... 53 WebSphere Adanced Edition Single Serer Versão 4.0.6....................53 Ferramentas de Administração do Tioli Access Manager....................54 Especificando Propriedades de Tempo de Execução......................54 Configurando o Armazenamento em Cache de Funções Estáticas................54 Configurar o Armazenamento em Cache de Funções Dinâmicas.................55 Parâmetros de Estrutura de Critérios com Base em Funções..................56 Configurando Seridores de Autorização Adicionais......................57 Incluindo uma Classe de Objeto no Console........................58 Configuração do Mapeamento Principal GSO........................59 Criando um Noo Login de Aplicatio.........................60 Registro do Tioli Access Manager para WebSphere......................63 Conexão Única com o WebSphere Application Serer Utilizando o WebSEAL.............65 Etapa 1 Criar uma Conta do Usuário de Confiança no Tioli Access Manager...........66 Etapa 2 Criar um Campo de Junção do WebSEAL para o WebSphere Application Serer.......66 Etapa 3a Configurar SSO Utilizando o TAI para WebSphere Application Serer ersão 4.0.6......66 Etapa 3b Configurar SSO Utilizando o TAI para WebSphere Application Serer ersão 5.0.2......67 Etapa 4 Definir a Senha SSO no WebSEAL.......................68 Etapa 5 Testar a Conexão do WebSEAL........................68 Dicas de Resolução de Problemas............................68 O Seridor WebSphere não Inicia após a Configuração e a Migração Apenas WebSphere Application Serer ersão 4.0.6..................................68 O Seridor WebSphere não Inicia após a Desconfiguração Apenas WebSphere Application Serer ersão 4.0.6.....................................69 Fazendo Backup dos Arquios do Tioli Access Manager para WebSphere..............69 Capítulo 6. Tutorial: Como Atiar a Segurança................... 71 Tutorial : Para o Tioli Access Manager para WebSphere Application Serer ersão 4.0.6.........71 Como Utilizar o Tutorial..............................71 Parte 1: Incluir Usuários no Registro de Usuário LDAP....................72 Parte 2: Instalar o Tioli Access Manager para WebSphere...................73 Parte 3: Incluir Segurança em um Aplicatio do WebSphere..................73 Parte 4: Criar o Usuário Administratio do Tioli Access Manager para o WebSphere Application Serer...75 Parte 5: Atiar a Segurança do WebSphere........................76 Parte 6: Implementar o Aplicatio...........................76 Parte 7: Testar a Segurança para o Aplicatio Implementado..................77 Parte 8: Migrar o Aplicatio para o Tioli Access Manager..................77 Parte 9: Testar a Segurança para o Aplicatio Implementado..................79 Parte 10: Alterar Funções..............................79 Parte 11: Testar a Segurança para o Aplicatio Implementado..................80 Tutorial : Para o Tioli Access Manager para WebSphere Application Serer ersão 5.0.2.........80 Como Utilizar o Tutorial..............................80 i IBM Tioli Access Manager para e-business: IBM WebSphere Application Serer: Guia de Integração

Parte 1: Incluir Usuários no Registro de Usuário LDAP....................81 Parte 2: Instalar o Tioli Access Manager para WebSphere...................82 Parte 3: Incluir Segurança em um Aplicatio do WebSphere..................82 Parte 4: Criar o Usuário Administratio do Tioli Access Manager para o WebSphere Application Serer...84 Parte 5: Atiar a Segurança do WebSphere........................84 Parte 6: Implementar o Aplicatio...........................84 Parte 7: Testar a Segurança para o Aplicatio Implementado..................85 Parte 8: Migrar o Aplicatio para o Tioli Access Manager..................86 Parte 9: Testar a Segurança para o Aplicatio Implementado..................87 Parte 10: Alterar Funções..............................88 Parte 11: Testar a Segurança para o Aplicatio Implementado..................88 Capítulo 7. Instruções de Remoção....................... 89 Remoendo do Solaris................................89 Remoendo do Windows...............................90 Remoendo do AIX................................90 Remoendo do HP-UX...............................90 Remoendo do Linux................................91 Apêndice A. Referência de Comandos...................... 93 pdwascfg....................................94 migrateear4...................................98 migrateear5.................................. 101 Apêndice B. Aisos.............................. 105 Marcas.................................... 107 Glossário.................................. 109 Índice Remissio............................... 115 Índice

i IBM Tioli Access Manager para e-business: IBM WebSphere Application Serer: Guia de Integração

Prefácio Quem Dee Ler este Manual Bem-indo ao IBM Tioli Access Manager para WebSphere Application Serer (Tioli Access Manager para WebSphere). Este produto estende o Tioli Access Manager para suportar aplicatios escritos para o IBM WebSphere Application Serer. O IBM Tioli Access Manager (Tioli Access Manager) é o software base necessário para executar aplicatios no conjunto de produtos do IBM Tioli Access Manager. Ele permite a integração de aplicatios do IBM Tioli Access Manager que fornecem uma ampla faixa de soluções de autorização e gerenciamento.vendidos como uma solução integrada, esses produtos fornecem uma solução de gerenciamento de controle de acesso que centraliza o critério de segurança de rede e aplicatio para aplicatios de e-business. Nota: O IBM Tioli Access Manager é o noo nome do software anteriormente liberado denominado Tioli SecureWay Policy Director. Além disso, para os usuários familiarizados com o software e a documentação do Tioli SecureWay Policy Director, o seridor de gerenciamento é agora referido como o seridor de critério. O IBM Tioli Access Manager para WebSphere Application Serer: Guia de Integração fornece instruções de instalação, configuração e administração. Este documento também fornece um tutorial sobre como configurar o critério de segurança centralizado para aplicatios do WebSphere. O público alo deste guia de administração inclui: Administradores de segurança Administradores de sistema de rede Arquitetos de IT O que este Manual Contém Os leitores deem estar familiarizados com: Protocolos de Internet, incluindo HTTP, TCP/IP, FTP (File Transfer Protocol) e telnet Implementação e gerenciamento de sistemas e aplicatios do WebSphere Application Serer Gerenciamento de segurança, incluindo autenticação e autorização Se ocê estier utilizando a comunicação SSL (Secure Sockets Layer), também deerá estar familiarizado com o protocolo SSL, a troca de chaes (pública e priada), assinaturas digitais, algoritmos criptográficos e autoridades de certificação. Este documento contém os seguintes capítulos: Capítulo 1, Introdução e isão geral Apresenta uma isão geral dos componentes do Tioli Access Manager que fornecem seriços de autorização para o WebSphere Application Serer. Copyright IBM Corp. 2002, 2003 ii

Capítulo 2, Instruções de instalação Descree como instalar o Tioli Access Manager para WebSphere. Capítulo 3, Procedimentos de configuração Descree como configurar o Tioli Access Manager para WebSphere. Capítulo 4, Migrando funções de segurança Descree como utilizar o utilitário de migração do Tioli Access Manager para WebSphere para migrar as funções de segurança do Jaa 2 Enterprise Edition para os usuários e grupos do Tioli Access Manager. Capítulo 5, Tarefas de administração Descree como executar tarefas de administração que gerenciam o Tioli Access Manager para WebSphere. Capítulo 6, Tutorial: Como atiar a segurança Descree como incluir a segurança em um aplicatio do WebSphere Application Serer. Também descree como migrar as informações de segurança para o Tioli Access Manager e como testar se a segurança foi atiada com êxito. Capítulo 7, Instruções de remoção Descree como remoer o Tioli Access Manager para WebSphere. Publicações Reise as descrições da biblioteca do Tioli Access Manager, as publicações de pré-requisitos e as publicações relacionadas para determinar quais publicações podem ser úteis. Depois de determinar as publicações necessárias, consulte as instruções para acessar publicações on-line. Informações adicionais sobre o produto IBM Tioli Access Manager para e-business em si podem ser encontradas em: http://www.ibm.com/software/tioli/products/access-mgr-e-bus/ A biblioteca do Tioli Access Manager está organizada nas seguintes categorias: Informações sobre o Release Informações de Base Informações sobre Segurança na Web na página ix Referências para Desenoledores na página ix Suplementos Técnicos na página x Informações sobre o Release IBM Tioli Access Manager para e-business Leia isto Primeiro (G517-7925-00) Fornece informações para instalar e começar a utilizar o Tioli Access Manager. IBM Tioli Access Manager para e-business: Notas sobre o Release (G517-7926-00) Fornece as últimas informações, como limitações de software, soluções e atualizações de software. Informações de Base IBM Tioli Access Manager Base: Guia de Instalação (S517-7927-00) Explica como instalar e configurar o software base do Tioli Access Manager, incluindo a interface de Web Portal Manager. Este manual é um subconjunto de IBM Tioli Access Manager para e-business: Guia de Instalação de Segurança da Web e iii IBM Tioli Access Manager para e-business: IBM WebSphere Application Serer: Guia de Integração

dee ser utilizado com outros produtos do Tioli Access Manager, como IBM Tioli Access Manager para Business Integration e IBM Tioli Access Manager para Sistemas Operacionais. IBM Tioli Access Manager Base Administration Guide (SC32-1360-00) Descree os conceitos e procedimentos para utilizar os seriços do Tioli Access Manager. Fornece instruções para a execução de tarefas a partir da interface do Web Portal Manager e utilizando o comando pdadmin. Informações sobre Segurança na Web IBM Tioli Access Manager para e-business: Guia de Instalação de Segurança da Web (S517-7928-00) Fornece instalação, configuração e instruções de remoção para o software base de Tioli Access Manager e também os componentes do Web Security. Este manual é um super conjunto de IBM Tioli Access Manager Base: Guia de Instalação. IBM Tioli Access Manager Upgrade Guide (SC32-1369-00) Explica como fazer a atualização do Tioli SecureWay Policy Director Versão 3.8 ou ersões anteriores do Tioli Access Manager para o Tioli Access Manager Versão 5.1. IBM Tioli Access Manager para e-business WebSEAL Administration Guide (SC32-1359-00) Fornece informações sobre material de segundo plano, sobre procedimentos administratios e sobre referência técnica para utilizar o WebSEAL para gerenciar os recursos de seu domínio Web seguro. IBM Tioli Access Manager para e-business IBM WebSphere Application Serer: Guia de Integração (S517-7930-00) Fornece instruções de instalação, remoção e administração para integrar o Tioli Access Manager com o IBM WebSphere Application Serer. IBM Tioli Access Manager para e-business IBM WebSphere Edge Serer: Guia de Integração (S517-7931-00) Fornece instruções de instalação, remoção e administração para integrar o Tioli Access Manager com o aplicatio IBM WebSphere Edge Serer. IBM Tioli Access Manager para e-business Plug-in for Web Serers: Guia de Integração (S517-7933-00) Fornece instruções de instalação, procedimentos de administração e informações de referência técnica para proteger o domínio da Web utilizando o plug-in para seridores da Web. IBM Tioli Access Manager para e-business BEA WebLogic Serer: Guia de Integração (S517-7929-00) Fornece instruções de instalação, remoção e administração para integrar o Tioli Access Manager com o BEA WebLogic Serer. IBM Tioli Access Manager para e-business IBM Tioli Identity Manager Proisioning Fast Start Guide (SC32-1364-00) Fornece uma isão geral das tarefas relacionadas à integração do Tioli Access Manager e do Tioli Identity Manager e explica como utilizar e instalar a coleta do Proisioning Fast Start. Referências para Desenoledores IBM Tioli Access Manager para e-business Authorization C API Deeloper Reference (SC32-1355-00) Prefácio ix

Fornece material de referência que descree como utilizar a API C de autorização do Tioli Access Manager e a interface de plug-in de seriço do Tioli Access Manager para incluir segurança do Tioli Access Manager em aplicatios. IBM Tioli Access Manager para e-business Authorization Jaa Classes Deeloper Reference (SC32-1350-00) Fornece informações de referência para o uso da implementação da linguagem Jaa da API de autorização para permitir que um aplicatio utilize a segurança do Tioli Access Manager. IBM Tioli Access Manager para e-business Administration C API Deeloper Reference (SC32-1357-00) Fornece informações de referência sobre o uso da API de administração para permitir que um aplicatio execute tarefas administratias do Tioli Access Manager. Esse documento descree a implementação C da API de administração. IBM Tioli Access Manager para e-business Administration Jaa Classes Deeloper Reference (SC32-1356-00) Fornece informações de referência para o uso da implementação da linguagem Jaa da API de administração para permitir que um aplicatio execute tarefas administratias do Tioli Access Manager. IBM Tioli Access Manager para e-business Web Security Deeloper Reference (SC32-1358-00) Fornece informações de administração e programação para o CDAS (Cross-Domain Authentication Serice), o CDMF (Cross-Domain Mapping Framework) e o módulo de força da senha. Suplementos Técnicos IBM Tioli Access Manager para e-business Command Reference (SC32-1354-00) Fornece informações sobre os utilitários da linha de comandos e scripts fornecidos com o Tioli Access Manager. IBM Tioli Access Manager Error Message Reference (SC32-1353-00) Fornece explicações e as ações recomendadas para as mensagens produzidas pelo Tioli Access Manager. IBM Tioli Access Manager para e-business Problem Determination Guide (SC32-1352-00) Fornece informações sobre determinação de problemas para o Tioli Access Manager. IBM Tioli Access Manager para e-business Performance Tuning Guide (SC32-1351-00) Fornece informações de ajuste de desempenho para um ambiente que consiste no Tioli Access Manager com o IBM Tioli Directory serer como o registro do usuário. Publicações Relacionadas Esta seção lista publicações relacionadas à biblioteca do Tioli Access Manager. O Tioli Software Library fornece uma ariedade de publicações Tioli como documentos técnicos, planilhas de dados, demonstrações, liros de registros e cartas de anúncio. O Tioli Software Library está disponíel na Web em: http://www.ibm.com/software/tioli/library/ O Tioli Software Glossary inclui definições para ários termos técnicos relacionados ao software Tioli. O Tioli Software Glossary está disponíel, somente em Inglês, a x IBM Tioli Access Manager para e-business: IBM WebSphere Application Serer: Guia de Integração

partir do link Glossary, ao lado esquerdo da página da Web do Tioli Software Library Libraryhttp://www.ibm.com/software/tioli/library/ IBM Global Security Kit O Tioli Access Manager fornece criptografia de dados atraés do uso do IBM GSKit (Global Security Kit) Versão 7.0. O GSKit está incluído no CD do IBM Tioli Access Manager Base para sua plataforma particular e também nos CDs do IBM Tioli Access Manager Web Security, nos CDs do IBM Tioli Access Manager Web Administration Interfaces e nos CDs do IBM Tioli Access Manager Directory Serer. O pacote GSKit fornece o utilitário de gerenciamento de chaes do ikeyman, gsk7ikm, que é utilizado para criar bancos de dados chae, pares de chaes pública-priada e pedidos de certificados. O documento a seguir está disponíel no site do Tioli Information Center, na mesma seção que a documentação do produto IBM Tioli Access Manager: IBM Global Security Kit Secure Sockets Layer and ikeyman: Guia do Usuário (S517-7932-00) Fornece informações para administradores de segurança de rede ou de sistema que planejam atiar a comunicação SSL em seu ambiente do Tioli Access Manager. IBM Tioli Directory Serer O IBM Tioli Directory Serer, Versão 5.2, é incluído no CD do IBM Tioli Access Manager Directory Serer para o sistema operacional desejado. Nota: IBM Tioli Directory Serer é o noo nome para o software liberado anteriormente conhecido como: IBM Directory Serer (Versão 4.1 e Versão 5.1) IBM SecureWay Directory Serer (Versão 3.2.2) O IBM Directory Serer Versão 4.1, o IBM Directory Serer Versão 5.1 e o IBM Tioli Directory Serer Versão 5.2 são todos suportados pelo IBM Tioli Access Manager Versão 5.1. Informações adicionais sobre o IBM Tioli Directory Serer podem ser encontradas em: http://www.ibm.com/software/network/directory/library/ IBM DB2 Uniersal Database O IBM DB2 Uniersal Database Enterprise Serer Edition, Versão 8.1 é fornecido no CD do IBM Tioli Access Manager Directory Serer e é instalado com o software IBM Tioli Directory Serer. O DB2 é necessário ao utilizar o IBM Tioli Directory Serer, os seridores LDAP z/os ou OS/390 como o registro de usuário para o Tioli Access Manager. Informações adicionais sobre o DB2 podem ser encontradas em: http://www.ibm.com/software/data/db2/ IBM WebSphere Application Serer O IBM WebSphere Application Serer, Adanced Single Serer Edition 5.0, é incluído no CD do IBM Tioli Access Manager Web Administration Interfaces para o sistema operacional desejado. O WebSphere Application Serer atia o suporte da interface do Web Portal Manager, que é utilizada para administrar o Tioli Access Prefácio xi

Manager e o Web Administration Tool, que é utilizado para administrar o IBM Tioli Directory Serer. O IBM WebSphere Application Serer Fix Pack 2 também é requerido pelo Tioli Access Manager e é fornecido no CD do IBM Tioli Access Manager WebSphere Fix Pack. Informações adicionais sobre o IBM WebSphere Application Serer podem ser encontradas em: http://www.ibm.com/software/webserers/appser/infocenter.html IBM Tioli Access Manager para Business Integration O IBM Tioli Access Manager para Business Integration, disponíel como um produto solicitado separadamente, fornece uma solução de segurança para mensagens do IBM MQSeries, Versão 5.2 e o IBM WebSphere MQ para Versão 5.3. O IBM Tioli Access Manager para Business Integration permite que os aplicatios MQSeries do WebSphere eniem dados com priacidade e integridade, utilizando chaes associadas a aplicatios de enio e recepção. Como o WebSEAL e o IBM Tioli Access Manager para Sistemas Operacionais, o IBM Tioli Access Manager para Business Integration é um dos gerenciadores de recursos que utilizam os seriços do IBM Tioli Access Manager. Informações adicionais sobre o IBM Tioli Access Manager para Business Integration podem ser encontradas em: http://www.ibm.com/software/tioli/products/access-mgr-bus-integration/ Os seguintes documentos associados ao IBM Tioli Access Manager para Business Integration Versão 5.1 estão disponíeis no Web site do Tioli Information Center: IBM Tioli Access Manager para Business Integration: Guia de Administração (S517-7600-01) IBM Tioli Access Manager for Business Integration Problem Determination Guide (GC23-1328-00) IBM Tioli Access Manager para Business Integration: Notas sobre o Release (G517-7602-01) IBM Tioli Access Manager para Business Integration: Leia isto Primeiro (G517-7821-00) IBM Tioli Access Manager para WebSphere Business Integration Brokers O IBM Tioli Access Manager para WebSphere Business Integration Brokers, disponíel como parte do IBM Tioli Access Manager para Business Integration, fornece uma solução de segurança para o WebSphere Business Integration Message Broker, Versão 5.0 e o WebSphere Business Integration Eent Broker, Versão 5.0. O IBM Tioli Access Manager para WebSphere Business Integration Brokers opera juntamente com o Tioli Access Manager para dar segurança a aplicatios de publicação/assinatura JMS fornecendo senha e autenticação baseada em credenciais, autorização definida centralmente e seriços de auditoria. Informações adicionais sobre o IBM Tioli Access Manager para WebSphere Integration Brokers podem ser encontradas em: http://www.ibm.com/software/tioli/products/access-mgr-bus-integration/ xii IBM Tioli Access Manager para e-business: IBM WebSphere Application Serer: Guia de Integração

Os seguintes documentos associados ao IBM Tioli Access Manager para WebSphere Integration Brokers, Versão 5.1 estão disponíeis no Web site do Tioli Information Center: IBM Tioli Access Manager para WebSphere Business Integration Brokers: Guia de Administração (S517-7910-00) IBM Tioli Access Manager para WebSphere Business Integration Brokers: Notas sobre o Release (G517-7911-00) IBM Tioli Access Manager para Business Integration: Leia isto Primeiro (G517-7821-00) IBM Tioli Access Manager para Sistemas Operacionais O IBM Tioli Access Manager para Sistemas Operacionais, disponíel como um produto que pode ser solicitado separadamente, fornece uma camada de aplicação do critério de autorização em sistemas UNIX, além da fornecida pelo sistema operacional natio. O IBM Tioli Access Manager para Sistemas Operacionais, como o WebSEAL e o IBM Tioli Access Manager para Business Integration, é um dos gerenciadores de recursos que utilizam os seriços do IBM Tioli Access Manager. Informações adicionais sobre o IBM Tioli Access Manager para Sistemas Operacionais podem ser encontradas em: http://www.ibm.com/software/tioli/products/access-mgr-operating-sys/ Os seguintes documentos associados ao IBM Tioli Access Manager para Sistemas Operacionais Versão 5.1 estão disponíeis no Web site do Tioli Information Center: IBM Tioli Access Manager para Sistemas Operacionais: Guia de Instalação (S517-7609-00) IBM Tioli Access Manager for Operating Systems Administration Guide (SC23-4827-00) IBM Tioli Access Manager for Operating Systems Problem Determination Guide (SC23-4828-00) IBM Tioli Access Manager para Sistemas Operacionais: Notas sobre o Release (G517-7610-00) IBM Tioli Access Manager para Sistemas Operacionais: Leia isto Primeiro (G517-7611-00) IBM Tioli Identity Manager O IBM Tioli Identity Manager Versão 4.5, disponíel como um produto que pode ser solicitado separadamente, permite gerenciar centralmente usuários (como IDs de usuários e senhas) e proisões (que estejam fornecendo ou cancelando o acesso a aplicatios, recursos ou sistemas operacionais.) O Tioli Identity Manager pode ser integrado com o Tioli Access Manager atraés do uso do Tioli Access Manager Agent. Entre em contato com o representante de contas IBM para obter informações adicionais sobre como comprar o Agent. Informações adicionais sobre o IBM Tioli Identity Manager podem ser encontradas em: http://www.ibm.com/software/tioli/products/identity-mgr/ Prefácio xiii

Acessibilidade Acessando Publicações On-line As publicações para esse produto estão disponíeis on-line no formato PDF (Portable Document Format) ou HTML (Hypertext Markup Language) ou em ambos na biblioteca de software do Tioli: http://www.ibm.com/software/tioli/library Para localizar publicações do produto na biblioteca, clique no link Product manuals à esquerda da página de bibliotecas. Em seguida, localize e clique no nome do produto na página central de informações do software Tioli. As publicações de produto incluem notas sobre o release, guias de instalação, guias de usuário, guias de administrador e referências de desenoledor. Nota: Para garantir a impressão correta de publicações PDF, selecione a caixa de opções Ajustar à página na janela Imprimir do Adobe Acrobat (disponíel quando ocê clica em Arquio Imprimir). Os recursos de acessibilidade ajudam usuários que possuem alguma limitação física, como mobilidade restrita ou isão limitada, a utilizar os produtos de software com êxito. Com este produto, é possíel utilizar tecnologias de assistência para ouir e naegar a interface. Você também pode usar o teclado em lugar do mouse para operar todos os recursos da interface gráfica com o usuário. Entrando em Contato com o Suporte ao Software Antes de entrar em contato com o suporte do IBM Tioli Software com um problema, consulte o site de suporte do IBM Tioli Software clicando no link Tioli support no Web site a seguir: http://www.ibm.com/software/support/ Se precisar de ajuda, entre em contato com o suporte a software, utilizando os métodos descritos no IBM Software Support Guide, no seguinte Web site: http://techsupport.serices.ibm.com/guides/handbook.html O guia fornece as seguintes informações: Requisitos de registro e elegibilidade para receber suporte Números de telefone, dependendo do país em que ocê esteja localizado Uma lista de informações que ocê dee reunir antes de entrar em contato com o suporte ao cliente Conenções Utilizadas neste Manual Este guia utiliza árias conenções para termos e ações especiais e para comandos e caminhos que dependem do sistema operacional. Conenções Tipográficas As seguintes conenções tipográficas são utilizadas nesta referência: Negrito Comandos em letra minúscula ou mistura de letras maiúsculas e minúsculas que são difíceis de distinguir no texto, palaras-chae, parâmetros, opções, nomes de classes Jaa e objetos ao redor aparecem em negrito. xi IBM Tioli Access Manager para e-business: IBM WebSphere Application Serer: Guia de Integração

Itálico Variáeis, títulos de publicações e palaras e frases especiais que são enfatizadas aparecem em itálico. Espaçamento fixo Exemplos de códigos, linhas de comandos, saída de tela, nomes do arquio e diretório que são difíceis de distinguir no texto, mensagens do sistema, texto que o usuário dee digitar e alores para argumentos ou opções de comando ao redor aparecem em espaçamento fixo. Diferenças do Sistema Operacional Este manual utiliza a conenção UNIX para especificar ariáeis de ambiente e para notação do diretório. Ao utilizar a linha de comandos do Windows, substitua $ariable por %ariable% para ariáeis de ambiente e substitua cada barra (/) por uma barra inertida (\) nos caminhos de diretório. Se ocê for utilizar o shell bash em um sistema Windows, poderá utilizar as conenções UNIX. Prefácio x

xi IBM Tioli Access Manager para e-business: IBM WebSphere Application Serer: Guia de Integração

Capítulo 1. Introdução e Visão Geral O IBM Tioli Access Manager para WebSphere Application Serer (Tioli Access Manager para WebSphere) é uma extensão do IBM Tioli Access Manager (Tioli Access Manager) que fornece autorização baseada em contêiner e gerenciamento de critério centralizado para aplicatios do IBM WebSphere Application Serer. O Tioli Access Manager para WebSphere facilita o uso do Tioli Access Manager fornecendo gerenciamento centralizado de critério de segurança para recursos do WebSphere Application Serer e para recursos que não estão relacionados ao WebSphere Application Serer. O Tioli Access Manager fornece gerenciamento de identidades comuns, perfis de usuário e mecanismos de autorização. O Tioli Access Manager também fornece um utilitário de interface gráfica com o usuário, o Tioli Access Manager Web Portal Manager, que pode ser utilizado como um único ponto de gerenciamento de segurança para recursos compatíeis com o J2EE (Jaa 2 Enterprise Edition) e para recursos que não são compatíeis com o J2EE. O WebSphere Application Serer suporta as classes de segurança e as APIs do J2EE. O Tioli Access Manager para WebSphere suporta aplicatios do WebSphere que utilizam as classes de segurança do J2EE. O Tioli Access Manager para WebSphere fornece este suporte sem precisar de qualquer alteração de codificação ou de implementação nos aplicatios. O Tioli Access Manager para WebSphere pode ser integrado aos contêineres do WebSphere para permitir que eles utilizem os seriços de segurança fornecidos por um domínio seguro do Tioli Access Manager. O domínio seguro dee ser implementado antes da instalação do Tioli Access Manager para WebSphere. Os usuários iniciantes do Tioli Access Manager deem reer o modelo de segurança do Tioli Access Manager antes de implementar um domínio seguro do Tioli Access Manager. Um bree resumo é apresentado aqui. O Tioli Access Manager é uma solução completa de autorização e de gerenciamento de critério de segurança de rede que fornece proteção de recursos, de uma extremidade à outra, atraés de intranets e extranets geograficamente dispersas. O Tioli Access Manager apresenta o mais aançado gerenciamento de critério de segurança. Além disso, o Tioli Access Manager suporta capacidades de autenticação, autorização, segurança de dados e gerenciamento de recursos. Você utiliza o Tioli Access Manager em conjunto com aplicatios padrão com base na Internet para construir intranets e extranets altamente seguras e bem gerenciadas. Em seu núcleo, o Tioli Access Manager fornece: Uma estrutura de autenticação O Tioli Access Manager suporta uma grande ariedade de mecanismos de autenticação. Obsere, no entanto, que o WebSphere executa suas próprias etapas de autenticação antes de utilizar o Tioli Access Manager para WebSphere. Uma estrutura de autorização Copyright IBM Corp. 2002, 2003 1

O seriço de autorização do Tioli Access Manager, acessado por meio das classes de autorização padrão do J2EE, fornece decisões de permissão e recusa de solicitações de acesso para seridores natios do Tioli Access Manager e aplicatios de terceiros. Você pode aprender mais sobre o Tioli Access Manager, incluindo informações necessárias para tomar decisões de implementação, examinando a documentação do produto. Comece com as seguintes publicações: IBM Tioli Access Manager Base: Guia de Instalação Este guia descree como planejar, instalar e configurar um domínio seguro do Tioli Access Manager. Uma série de scripts de instalação fáceis permite que ocê implemente rapidamente um domínio seguro completamente funcional. Esses scripts são muito úteis ao criar o protótipo da implementação de um domínio seguro. IBM Tioli Access Manager Base Administration Guide Este documento apresenta uma isão geral do modelo de segurança do Tioli Access Manager para gerenciar recursos protegidos. Esse guia descree como configurar os seridores do Tioli Access Manager que tomam decisões de controle de acesso. Além disso, instruções detalhadas descreem como realizar tarefas importantes como declarar critérios de segurança, definir espaço de nomes de objetos protegidos e administrar perfis de usuário e grupo. Integrando o Tioli Access Manager ao WebSphere Application Serer O Tioli Access Manager para WebSphere estende o modelo de segurança do Tioli Access Manager para trabalhar com aplicatios construídos para o IBM WebSphere Application Serer. O modelo de segurança é utilizado da seguinte maneira: Quando um usuário (principal) tenta acessar um recurso protegido, o WebSphere executa as seguinte tarefas: Autentica o principal. Quando a segurança for especificada no descritor de implementação de um aplicatio (segurança declaratia), um contêiner do WebSphere determinará quais funções são necessárias para acessar o recurso, e utilizará o Tioli Access Manager para WebSphere para determinar se o principal atual recebeu concessão a alguma das funções requeridas. Quando o desenoledor de um aplicatio tier incluído código de segurança diretamente no aplicatio (segurança programática), um contêiner do WebSphere utilizará o Tioli Access Manager para executar as erificações de filiação de função necessárias. 2 IBM Tioli Access Manager para e-business: IBM WebSphere Application Serer: Guia de Integração

Figura 1. Tioli Access Manager Implementado com o WebSphere Application Serer A figura 1 ilustra a seguinte seqüência de eentos: 1. Quando um aplicatio do WebSphere com segurança do J2EE é executado e o usuário tenta acessar um recurso protegido, o WebSphere autentica o usuário utilizando o registro do usuário. Por exemplo, na figura 1, o WebSphere Adanced Edition, ersão para ários seridores, autentica um registro de usuário do IBM Directory. O registro do usuário é compartilhado com o Tioli Access Manager. (Para o WebSphere Adanced Edition Single Serer, a autenticação é feita em relação à segurança com base em host). 2. Quando o usuário solicita acesso a um método ou recurso protegido, o contêiner do WebSphere utiliza as informações do descritor de implementação do aplicatio J2EE para determinar a afiliação de função requerida. 3. O contêiner do WebSphere utiliza o módulo integrado do Tioli Access Manager para solicitar uma decisão de autorização ( concedida ou negada ) do seridor de autorização do Tioli Access Manager. O contêiner do WebSphere também passa informações de contexto adicionais, quando presentes, para o seridor de autorização. As informações de contexto opcionais podem incluir o nome da célula, o nome do host e o nome do seridor. Se o banco de dados de critério do Tioli Access Manager tier critérios especificados para qualquer uma das informações de contexto, o seridor de autorização poderá utilizar essas informações ao tomar a decisão de autorização. 4. O seridor de autorização consulta as definições do usuário do Tioli Access Manager no registro de usuário compartilhado. (O registro de usuário é Capítulo 1. Introdução e Visão Geral 3

compartilhado com o WebSphere, a menos que o WebSphere Adanced Edition Single Serer seja utilizado). O seridor de autorização consulta as permissões que foram definidas para o usuário especificado dentro do espaço de nomes de objeto protegido do Tioli Access Manager. O espaço de nomes de objeto protegido está incluído no banco de dados de critério mostrado na figura 1. 5. O seridor de autorização do Tioli Access Manager retorna a decisão de acesso ao contêiner do WebSphere. 6. O WebSphere Application Serer concede ou nega acesso ao método ou recurso protegido. Segurança com Base em Função do Jaa 2 Enterprise Edition A segurança do J2EE (Jaa 2 Enterprise Edition) utiliza o conceito de um principal para representar a identidade de uma entidade que executa atiidades. As entidades podem ser pessoas (usuários) ou processos. Além disso, o J2EE utiliza o conceito de uma função, conforme descrito abaixo. Os métodos são mapeados para funções. A tabela a seguir, de um aplicatio de transações bancárias de amostra, define as funções e mapeia os métodos para as mesmas. A entrada concedido na tabela a seguir indica que a função pode acessar o método especificado. Tabela 1. Mapeamento de Métodos para Funções Funções Métodos getbalance deposit closeaccount Teller concedido concedido Cashier Superisor concedido concedido As funções que foram definidas acima podem ser mapeadas para principais e/ou grupos. A entrada Chamar nas células da tabela a seguir indica que o principal ou o grupo pode chamar quaisquer métodos que tenham sido concedidos a essa função. Tabela 2. Permissões de Chamada de Método para Principais ou Grupos Funções Principal/Grupo TellerGroup CashierGroup SuperisorGroup Frank (um principal, não é membro de nenhum dos grupos acima) Teller Cashier Superisor Chamar Chamar Chamar Chamar Na tabela acima, o principal Frank pode chamar os métodos getbalance e closeaccount, mas não pode chamar o método deposit porque este método não foi concedido à função Cashier ou Superisor. 4 IBM Tioli Access Manager para e-business: IBM WebSphere Application Serer: Guia de Integração

Mapeando Principais e Grupos para Funções Antes do tempo de execução do aplicatio, o utilitário de migração do Tioli Access Manager para WebSphere é executado para ocupar o espaço de nomes de objeto protegido do Tioli Access Manager. O utilitário de migração obtém informações sobre funções e métodos dos descritores de implementação de aplicatio J2EE. No tempo de execução do aplicatio, quando um usuário solicita acesso a um recurso protegido, as seguintes informações são transmitidas ao contêiner do WebSphere: Principal A identidade autenticada do usuário. RoleName O nome de uma função. AppName O nome do aplicatio. CellName O nome de um agrupamento de sistemas host na rede. HostName O nome de um sistema host contido no CellName. SererName O nome do seridor que é hospedado pelo HostName. Os nomes de função são deriados dos mapeamentos de método-para-função nos descritores de implementação. Por padrão, a erificação de acesso do Tioli Access Manager é executada com base no RoleName e AppName. A erificação de acesso pode ser facilmente estendida para considerar CellName, HostName e SererName. Esses alores são opcionais e são aaliados apenas quando são definidos. As ACLs (listas de controle de acesso) do Tioli Access Manager determinam quais funções do aplicatio J2EE foram atribuídas a um principal. O utilitário de migração anexa ACLs ao AppName no espaço de nomes de objeto protegido. A figura 2 a seguir ilustra a seguinte seqüência de eentos: 1. Antes do tempo de execução do aplicatio, o utilitário de migração do Tioli Access Manager para WebSphere acessa o descritor de implementação do aplicatio J2EE para extrair informações sobre as funções e sobre o mapeamento entre função e principal ou entre função e grupo. 2. O utilitário de migração conerte as informações no formato do Tioli Access Manager e as transmite para o seridor de critério do Tioli Access Manager. 3. O seridor de critério inclui entradas no espaço de nomes de objeto protegido para representar as funções definidas para o aplicatio. Quando os mapeamentos entre função e principal ou entre função e grupo tierem sido definidos no descritor de implementação, os principais ou grupos apropriados serão incluídos nas ACLs que estão anexadas aos noos objetos. Capítulo 1. Introdução e Visão Geral 5

Figura 2. Mapeamento de Funções para o Espaço de Objeto Protegido do Tioli Access Manager O modelo de segurança do Tioli Access Manager utiliza as definições armazenadas no espaço de nomes de objeto protegido para construir uma hierarquia de recursos aos quais as ACLs podem ser anexadas. Essas ACLs definem o mapeamento de funções para usuários ou grupos. A figura 3 abaixo ilustra como as ACLs podem ser aplicadas ao espaço de nomes de objeto protegido que descree uma função. O espaço de nomes de objeto protegido para todos os aplicatios do WebSphere consiste em um objeto protegido de níel superior denominado WebAppSerer. O objeto WebAppSerer possui um objeto filho denominado deployedresources. Juntos, esses dois nomes de objeto funcionam como um prefixo de níel superior para todas as funções do J2EE definidas nos aplicatios do WebSphere. 6 IBM Tioli Access Manager para e-business: IBM WebSphere Application Serer: Guia de Integração

As funções são definidas no próximo níel na hierarquia, como um recurso denominado para a função: RoleName. Diretamente sob esse objeto está o recurso que representa o aplicatio: AppName. Abaixo do objeto protegido AppName estão diersos recursos opcionais que podem ser definidos para controlar mais precisamente o acesso às funções. Os recursos opcionais são CellName, HostName e SererName. Figura 3. Anexando ACLs a Objetos no Espaço de Nomes de Objeto Protegido. Na Figura 3 acima, ACL 1 concede ao user1 acesso ao RoleName especificado, em qualquer aplicatio de qualquer parte da rede. User2 e group1 têm o acesso negado. No modelo de segurança do Tioli Access Manager, essas definições de acesso são herdadas pelos objetos definidos sob RoleName na hierarquia de espaço de objeto protegido. Essa herança ocorre por padrão. Portanto, na figura 3, as definições de acesso são herdadas pelos objetos que representam AppName/CellName/HostName/SererName. Às ezes, o critério de segurança requer que as definições de acesso para objetos localizados sob o ponto de anexação da ACL sejam diferentes das definições de acesso herdadas. Nesse caso o administrador do Tioli Access Manager define uma noa ACL contendo as definições de acesso requeridas. O administrador anexa a noa ACL ao objeto no ponto de controle especificado. Essa noa ACL substitui as definições de acesso herdadas. Por exemplo, o critério de segurança pode impor que o user1 não dee receber a permissão RoleName quando o aplicatio é executado em um seridor específico, em um determinado host, dentro de uma célula específica. Para reforçar esse critério, o administrador define uma ACL mais restritia, conforme representada na figura 3 por ACL 2. Essa ACL nega acesso para user1, user2 e grp1. Em seguida, o administrador anexa essa ACL ao objeto SererName que representa o seridor para o qual o acesso dee ser restringido. A Figura 3 mostra a anexação de ACL 2 ao SererName. obsere que ACL 2 aplica-se apenas ao seridor especificado. Quando mais de um objeto SererName é definido sob HostName, a ACL 2 aplica-se apenas ao objeto SererName ao qual ela Capítulo 1. Introdução e Visão Geral 7

está anexada. Todos os outros objetos SererName nesse níel na hierarquia continuam herdando as definições de acesso especificadas na ACL 1 e anexadas ao RoleName. Para obter informações adicionais sobre a utilização de ACLs no espaço de nomes de objeto protegido, consulte o IBM Tioli Access Manager Base Administration Guide. Centralizando o Gerenciamento de Critério para Vários Seridores do WebSphere O Tioli Access Manager fornece gerenciamento centralizado dos critérios de segurança. O Tioli Access Manager pode gerenciar o critério de segurança em ários WebSphere Application Serers. Além disso, o Tioli Access Manager utiliza o mesmo modelo para gerenciar a segurança em aplicatios não-websphere. Após as funções e os mapeamentos de principal ou grupo descritos nos descritores de implementação de um aplicatio J2EE terem sido migrados para o Tioli Access Manager, e os usuários e grupos terem sido registrados no Tioli Access Manager, ocê pode utilizar as ferramentas de gerenciamento do Tioli Access Manager para gerenciar alterações adicionais nas definições de segurança. Utilize o Tioli Access Manager Web Portal Manager para gerenciar as alterações nas definições de segurança relacionadas ao mapeamento de funções para principais ou grupos. Utilize o console do WebSphere para efetuar outras alterações relacionadas a segurança. Obsere que as alterações nos mapeamentos de funções feitas utilizando o console do WebSphere não ficarão isíeis ao modelo de segurança do Tioli Access Manager. Utilize as seguintes ferramentas do Tioli Access Manager para gerenciar o critério de segurança: Tioli Access Manager Web Portal Manager O Web Portal Manager é o console de gerenciamento do Tioli Access Manager. Esse console fornece uma GUI (Interface Gráfica com o Usuário) para gerenciar os usuários, ações e recursos do Tioli Access Manager que estão definidos no espaço de nomes de objeto protegido do Tioli Access Manager. O console pode ser utilizado para criar e gerenciar ACLs. O console também pode ser utilizado para gerenciar definições de usuário e de grupo no registro do usuário. pdadmin O utilitário pdadmin é um utilitário de linha de comando para gerenciar o modelo de segurança do Tioli Access Manager. Esse utilitário poderoso pode ser utilizado para gerenciar todos os aspectos do espaço de nomes de objeto protegido do Tioli Access Manager, incluindo usuários, objetos, recursos e ACLs. Além disso, o pdadmin pode gerenciar entradas de usuário e de grupo nos registros do usuário. Os administradores podem usar esse utilitário dentro de scripts ou programas para automatizar as tarefas de administração. Para obter informações adicionais, consulte o IBM Tioli Access Manager Base Administration Guide. API de Administração do Tioli Access Manager O Tioli Access Manager fornece uma interface programática para as tarefas de administração realizadas pelo pdadmin e pelo Web Portal Manager. Os desenoledores de aplicatios podem utilizar uma API C ou Jaa para executar tarefas de administração que são específicas do aplicatio. 8 IBM Tioli Access Manager para e-business: IBM WebSphere Application Serer: Guia de Integração

Para obter informações adicionais, consulte o IBM Tioli Access Manager para e-business Administration C API Deeloper Reference ou o IBM Tioli Access Manager para e-business Administration Jaa Classes Deeloper Reference. Figura 4. O Tioli Access Manager Fornece Administração Centralizada de Vários Seridores. A figura 4 acima ilustra o gerenciamento de segurança do Tioli Access Manager em ários seridores do WebSphere. O Web Portal Manager foi instalado com o WebSphere Application Serer na Máquina A. O utilitário pdadmin é mostrado em um sistema não-websphere na Máquina B. Tanto o Web Portal Manager como o pdadmin utilizam o seridor de critério na Máquina D para administrar o critério de segurança. O seridor de autorização do Tioli Access Manager pode ser instalado em um sistema separado do sistema WebSphere. Na figura 4 a Máquina E hospeda o WebSphere Application Serer. Esse seridor possui um módulo do Tioli Access Manager para WebSphere que foi integrado ao contêiner do WebSphere responsáel pelas decisões de autorização. O contêiner do WebSphere obtém as decisões de autorização do seridor de autorização do Tioli Access Manager na Máquina F. Capítulo 1. Introdução e Visão Geral 9