Опубликован: 04.07.2008 | Уровень: профессионал | Доступ: платный
Лекция 14:

Подробности реализации сценария

14.6.3 Интеграция серверов на основе Domino с TAM

Для интеграции служб на основе Lotus Domino (Domino, Sametime, QuickPlace и т. д.), чтобы можно было продолжать передавать cookie-файл SSO LTPA в Domino для единой регистрации, необходимо создать соединение между подключаемым модулем IBM Tivoli WebSeal на обратном прокси-сервере и серверами Domino заднего плана. Это осуществляется путем выполнения следующих действий:

  1. Откройте командную строку Administration Command Prompt (PDAdmin) из программной группы AccessManager for e-business в меню Start (Пуск).
  2. Войдите под учетной записью pdadmin.
  3. Создайте соединение с сервером Lotus Domino, используя следующие аргументы:
    • тип подключения (-t);
    • узел заднего плана (-h);
    • номер TCP-порта, к которому привязан узел заднего плана (-p);
    • определение единой регистрации (-A);
    • файл ключей (-F);
    • пароль ключа (-Z);
    • обеспечение надлежащей фильтрации JavaScript (-j);
    • ввод имени соединения (/).
commands:
pdadmin>login
Enter User ID:sec_master
Enter Password:
pdadmin>server list
webseald-webseal39
pdadmin>server task webseald-webseal39 create -t tcp -h
itsosec-dom.cam.itso.ibm.com -p 80 -A -F c:\Lotus\Domino\Keys\amdom.key -Z
mercury1 -j /domino
Created junction at /domino
pdadmin>
Пример 14.2. Создание соединения WebSeal с Domino

Этот процесс затем повторяется для всех серверов Domino, Sametime и QuickPlace в среде. В нашем тестовом сценарии эта команда выполняется три раза, для каждого из трех серверов Domino, с изменением имени соединения:

itsosec-dom.cam.itso.ibm.com -p 80 -A -F c:\Lotus\Domino\Keys\amdom.key -Z
mercury1 -j /domino
itsosec-st.cam.itso.ibm.com -p 80 -A -F c:\Lotus\Domino\Keys\amdom.key -Z
mercury1 -j /sametime
itsosec-qp.cam.itso.ibm.com -p 80 -A -F c:\Lotus\Domino\Keys\amdom.key -Z
mercury1 -j /quickplace

14.6.4 Интеграция WebSphere Portal с TAM

После интеграции служб на основе Domino с TAM путем создания WebSeal-соединений нужно выполнить следующие действия, чтобы обеспечить аутентификацию Websphere Portal с использованием Tivoli Access Manager:

  1. Настройте Tivoli Access Manager путем выполнения программы конфигурирования SvrSslCfg. Команда имеет следующий вид:
    c:\progra~1\Tivoli\POLICY~1\sbin\%WAS_HOME%\java\jre\bin\java
    com.tivoli.pd.jcfg.SvrSslCfg -action config -admin_id sec_master
    -admin_passwd password -appsvr_id itsosec-tam_amwps -mode remote
    -port 7201
    -policysvr itsosec-tam.cam.itso.ibm.com:7135:1 -authzsvr
    itsosec-tam.cam.itso.ibm.com:7136:1 -cfg_file
    "c:\websphere\appserver\java\jre\PDPerm.properties" -key_file
    "c:\websphere\appserver\java\jre\lib\security\pdperm.ks" -cfg_action
    create
  2. Отредактируйте файл Portallogin.cfg в WebSphere Portal Server. (Изменения в коде выделены курсивом.)
    WpsNewSubject {
    com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
    required delegate=com.ibm.wps.sso.GetCORBACredentialLoginModule;
    com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
    required delegate=com.ibm.wps.sso.CORBACredentialLoginModule;
    com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
    required delegate=com.ibm.wps.sso.UserDNGroupDNLoginModule;
    com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
    required delegate=com.ibm.wps.sso.UserIdPasswordLoginModule;
    com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
    required delegate=com.ibm.wps.sso.UserIdPrincipalLoginModule;
    com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
    required delegate=com.ibm.wps.sso.PasswordCredentialLoginModule;
    com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
    required delegate=com.ibm.wps.sso.LTPATokenLoginModule;
    com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
    required delegate=com.tivoli.mts.PDLoginModule;
    };
    WpsSubjectExists {
    com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
    required delegate=com.ibm.wps.sso.GetCORBACredentialLoginModule;
    com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
    required delegate=com.ibm.wps.sso.CORBACredentialLoginModule;
    com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
    required delegate=com.ibm.wps.sso.LTPATokenLoginModule;
    com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
    required delegate=com.tivoli.mts.PDLoginModule;
    };

После выполнения этих действий вся среда совместной работы, построенная в этой лекции, будет надежно защищена новой службой безопасности Tivoli Access Manager (с использованием подключаемого модуля WebSphere Edge Server) с точки зрения аутентификации.

Однако в нашем сценарии отдельные приложения (т. е. WebSphere Portal, Lotus Domino и т. д.) продолжают осуществлять базовую "авторизацию". Другими словами, они выполняют проверку в своих ACL, чтобы проверить, имеет ли пользователь, прошедший аутентификацию в TAM, доступ к определенному ресурсу. TAM также можно использовать для обеспечения централизованного контроля над авторизацией в дополнение к аутентификации, однако эта тема выходит за рамки этого сценария и этого курса.

14.7 Заключение

В этой лекции мы представили действительные процедуры, использовавшиеся командой Redbook для реализации сценария "защищенной совместной работы" RedbooksCo в тестовой среде Redbooks. Эти процедуры можно использовать как отправную точку для реализации подобного сценария в вашей среде.

Антон Чурков
Антон Чурков
Россия, Владимир, Владимирский государственный университет, 2002
Елена Коппалина
Елена Коппалина
Россия, г. Губкинский