Plug-in for Web Servers Integration Guide

IBM Tioli Access Manager for e-business Plug-in for Web Serers Integration Guide Verze 5.1 SC09-3712-00

IBM Tioli Access Manager for e-business Plug-in for Web Serers Integration Guide Verze 5.1 SC09-3712-00

Poznámka Než začnete použíat uedené informace a produkt, o který se opírají, přečtěte si informace uedené části Dodatek F, Poznámky, na stránce 213. Prní ydání (Listopad 2003) Toto ydání platí pro erzi 5, ydání 1, modifikace 0 IBM Tioli Access Manager (číslo produktu 5724-C08) a pro šechna následná ydání a modifikace, pokud nebude uedeno jinak noém ydání. Copyright International Business Machines Corporation 2000, 2003. Všechna práa yhrazena.

Obsah Obrázky................................... ix Tabulky.................................... xi Úod.................................... xiii Pro koho je určena tato kniha.............................. xiii Co tato kniha obsahuje................................ xi Publikace....................................x Informace o ydání................................x Základní informace................................x Informace o zabezpečení Webu.............................x Odkazy pro ýojáře................................ xi Technické dodatky................................ xii Souisející publikace............................... xii Online přístup k publikacím..............................xx Dostupnost....................................xx Kontakt na softwaroou podporu.............................xx Konence použíané této knize.............................xx Konence typu písma................................xx Rozdíly operačních systémech............................ xxi Kapitola 1. Úod do produktu IBM Tioli Access Manager Plug-in for Web Serers.... 1 Technologie produktu Tioli Access Manager Plug-in for Web Serers..................1 Základní proozní komponenty a architektura.........................1 Podpora irtuálních hostitelů..............................2 Ochrana ašeho weboého prostoru pomocí produktu Tioli Access Manager Plug-in for Web Serers.........3 Autentizace produktu Tioli Access Manager Plug-in for Web Serers..................4 Získání poěření...................................4 Kapitola 2. Konfigurace produktu IBM Tioli Access Manager Plug-in for Web Serers.. 7 Obecné informace o plug-in programu............................7 Kořenoý adresář instalace produktu Tioli Access Manager Plug-in for Web Serers.............7 Konfigurační soubor pdwebpi.conf............................8 Konfigurační soubor pdwebpimgr.conf...........................9 Spuštění a zastaení procesu produktu Tioli Access Manager Plug-in for Web Serers............9 Chyboé zpráy HTTP................................9 Podpora maker..................................10 Makra souisející s formáty..............................10 Konfigurace autorizačního sereru.............................11 Konfigurace praconích láken.............................11 Nastaení maximální doby trání relace pro požadaky IPC....................12 Konfigurace chyboých stránek.............................12 Konfigurace irtuálních hostitelských sererů.........................13 Konfigurace specifická pro weboý serer..........................15 Pokyny pro weboý serer..............................17 Výpisy objektu pro přizpůsobení.............................18 Parametry příkazoého řádku.............................18 Výstup....................................19 Konfigurace SU (switch user) pro administrátory........................19 Pochopení toku procesu přepnutí užiatele.........................20 Poolení přepnutí užiatele..............................20 Konfigurace formuláře HTML pro přepnutí užiatele......................20 Poolení nebo yloučení užiatelů z přepnutí užiatele......................22 Konfigurace mechanismu pro autentizaci přepnutí užiatele....................22 Copyright IBM Corp. 2000, 2003 iii

Olinění funkcionality ostatních plug-in programů.......................23 Konfigurace přepnutí při selhání pro serery LDAP........................24 Podpora P3P (Platform for Priacy Preferences) hlaiček......................25 Konfiguroání hlaiček P3P..............................25 Konfigurace monitoroání, protokoloání, trasoání a databáze paměti cache plug-in programu...........28 Proěřoací záznamy................................29 Konfigurace monitoroání..............................30 Trasoání akcí plug-in programu............................31 Nastaení databáze paměti cache............................32 Konfigurace služby autorizačního rozhraní API.........................33 Obnoení poěření.................................33 Konfiguroání obnoení poěření............................33 Konfigurace ukládání do paměti cache požadaku HTTP......................34 Konfigurace parametrů serer-side ukládání do paměti cache....................35 Podpora jazyků a znakoé sady..............................35 Kapitola 3. Zpracoání požadaku a autentizace produktu IBM Tioli Access Manager Plug-in for Web Serers............................ 39 Proces zacházení s požadakem..............................39 Proces autentizace..................................41 Konfigurace autentizace................................41 Konfigurace autentizace irtuálních hostitelů.........................42 Konfigurace pořadí politik autentizace...........................44 Konfigurace zpracoání následujícího po autorizaci.......................48 Spráa stau relace.................................49 Konfigurace paměti cache pro relace/poěření plug-in programu...................50 Udržoání stau relace pomocí ID relace SSL........................52 Udržoání stau relace pomocí Základní autentizace......................52 Udržoání stau relace pomocí cookies relace........................53 Udržoání stau relace pomocí HTTP hlaiček........................54 Udržoání stau relace pomocí IP adres..........................54 Udržoání stau relace pomocí LTPA cookies........................55 Udržoání stau relace pomocí IV hlaiček.........................55 Přehled konfigurace autentizace..............................55 Mechanismus lokální autentizace............................56 Parametry externí užiatelské autentizace CDAS........................56 Přednastaená konfigurace plug-in programů.........................57 Konfigurace několika politik autentizace..........................57 Příkazy pro odhlášení, změnu hesla a nápoědu........................57 Konfigurace Základní autentizace.............................58 Aktiace Základní autentizace.............................59 Konfigurace mechanismu pro Základní autentizaci.......................59 Nastaení jména sféry...............................59 Práce s BA hlaičkami...............................59 Uedení UTF-8 zakódoání BA hlaiček..........................61 Konfigurace autentizace pomocí formulářů..........................61 Aktiace autentizace pomocí formulářů..........................61 Konfigurace mechanismu pro autentizaci pomocí formulářů....................62 Přizpůsobení HTML formulářů s odpoědí.........................62 Přizpůsobení URI přihlášení pomocí formulářů........................63 Vytoření BA hlaičky...............................63 Uedení UTF-8 zakódoání BA hlaiček..........................63 Konfigurace autentizace pomocí certifikátů..........................64 Vzájemná autentizace pomocí certifikátů..........................64 Aktiace autentizace pomocí certifikátů..........................64 Konfigurace mechanismu pro autentizaci pomocí certifikátů....................65 Konfigurace autentizace pomocí tokenů...........................65 Autentizace SecurID pomocí tokenu...........................65 Aktiace autentizace pomocí tokenů...........................67 Konfigurace mechanismu pro autentizaci pomocí tokenů.....................68 Přizpůsobení stránek s odpoědí pro tokeny.........................68 i IBM Tioli Access Manager for e-business: Plug-in for Web Serers Integration Guide

Konfigurace autentizace pomocí SPNEGO..........................69 Podpora platformy a registru užiatelů...........................69 Přechod konfigurace SPNEGO z erze 4.1 na 5.1.......................69 Omezení...................................70 Konfigurace jednotného přihlášení k praconí ploše Windows....................70 Rady pro odstraňoání problémů............................74 Konfigurace autentizace pomocí NTLM0 (pouze pro platformy IIS)...................76 Konfigurace autentizace pomocí weboého sereru (pouze pro platformy IIS)................77 Konfigurace autentizace po přepnutí při selhání.........................78 Koncepty autentizace po přepnutí při selhání.........................78 Konfigurace autentizace po přepnutí při selhání........................84 Konfigurace autentizace pomocí IV hlaiček..........................92 Aktiace autentizace pomocí IV hlaiček..........................93 Konfigurace parametrů IV hlaiček............................94 Ueďte UTF-8 zakódoání IV hlaiček..........................94 Konfigurace mechanismu pro autentizaci pomocí IV hlaiček pro i-remote-address.............94 Konfigurace autentizace pomocí HTTP hlaiček.........................95 Aktiace autentizace pomocí HTTP hlaiček.........................95 Určení typů hlaiček................................95 Konfigurace mechanismu pro autentizaci pomocí HTTP hlaiček...................96 Konfigurace autentizace pomocí IP adresy..........................96 Aktiace autentizace pomocí IP adresy..........................96 Konfigurace mechanismu pro autentizaci pomocí IP adresy....................97 Konfigurace autentizace pomocí LTPA cookies.........................97 Aktiace autentizace pomocí LTPA cookies.........................97 Nastaení podrobných informací o klíči..........................97 Konfigurace zpracoání následujícího po autorizaci pomocí LTPA cookies................98 Konfigurace přesměroání užiatelů po přihlášení........................98 Aktiace přesměroání užiatele............................98 Konfigurace parametrů přesměroání užiatele........................99 Přidání rozšířených atributů pro poěření...........................99 Mechanismy pro přidání rozšířených atributů do poěření.....................99 Konfigurace služby pojmenoání............................ 100 Přidání rozšířených atributů LDAP do HTTP hlaičky (hodnota příznaku)................. 102 Aktiace zpracoání pomocí hodnoty příznaku........................ 102 Konfigurace parametrů hodnoty příznaku......................... 103 Podpora MPA (Multiplexing Proxy Agents).......................... 103 Platné typy dat relací a metody autentizace......................... 103 Průběh procesu autentizace pro MPA a několik klientů..................... 105 Aktiace autentizace MPA.............................. 105 Vytoření účtu užiatele pro MPA........................... 106 Přidání účtu MPA do skupiny pdwebpi-mpa-serers...................... 106 Kapitola 4. Bezpečnostní politika produktu IBM Tioli Access Manager Plug-in for Web Serers................................... 107 Politiky ACL (Access Control List) specifické pro plug-in program................... 107 /PDWebPI/hostitel nebo irtuální-hostitel......................... 108 Opránění ACL plug-in programu............................ 109 Předolená politika ACL pro /PDWebPI.......................... 109 Politika pro přihlášení třikrát a dost............................ 110 Politika odolnosti hesla................................ 111 Nastaení politiky odolnosti hesla pomocí obslužného programu pdadmin................ 111 Nastaení pro určitého užiatele a globální nastaení...................... 113 Politika POP odolnosti autentizace (zýšená)......................... 113 Konfigurace úroní pro zýšenou autentizaci........................ 114 Aktiace zýšené autentizace............................. 114 Poznámky a omezení zýšené autentizace......................... 116 Vícefaktoroá autentizace............................... 116 Aktiace ícefaktoroé autentizace........................... 117 Opětoná autentizace pomocí politiky chráněného objektu..................... 117 Podmínky oliňující opětonou autentizaci pomocí POP..................... 117 Obsah

Vytoření a použití opětoné autentizace pomocí POP..................... 118 Autentizace pomocí POP založená na síti.......................... 118 Určení IP adres a rozsahů.............................. 118 Zablokoání zýšené autentizace pomocí IP adresy...................... 119 Algoritmus autentizace založené na síti.......................... 120 Úroeň zabezpečení politiky chráněného objektu........................ 120 Zacházení s neautentizoanými užiateli (HTTP/HTTPS)...................... 120 Zpracoání požadaku od anonymního klienta........................ 120 Přinucení užiatele, aby se přihlásil........................... 121 Použití neautentizoaného HTTPS........................... 121 Řízení neautentizoaných užiatelů pomocí politik ACL/POP................... 121 Kapitola 5. Řešení jednotného přihlášení pro web................. 123 Koncepty jednotného přihlášení............................. 123 Automatické přihlášení do zabezpečené aplikace........................ 124 Konfigurace jednotného přihlášení do zabezpečených aplikací pomocí HTTP hlaiček............ 124 Jednotné přihlášení do WebSphere Application serer pomocí LTPA cookies............... 125 Jednotné přihlášení do plug-in programu z WebSEAL nebo jiné proxy.................. 126 Aktiace a zablokoání autentizace pomocí IV hlaiček..................... 127 Konfigurace parametrů IV hlaiček........................... 127 Použití failoer cookie pro jednotné přihlášení......................... 127 Aktiace jednotného přihlášení pomocí failoer cookies..................... 128 Použíání globálního jednotného přihlášení (GSO - Global single sign-on)................ 128 Konfigurace GSO (Global single sign-on)......................... 130 Jednotné přihlášení pomocí SPNEGO (Security Proider NEGOtiation)................. 131 Jednotné přihlášení pomocí formulářů........................... 131 Průběh procesu jednotného přihlášení pomocí formulářů..................... 131 Požadaky pro podporu aplikace............................ 133 Aktiace jednotného přihlášení pomocí formulářů....................... 133 Konfigurace jednotného přihlášení pomocí formulářů...................... 134 Příklad konfiguračního souboru pro IBM HelpNow...................... 137 Kapitola 6. Řešení přihlášení napříč doménou.................. 139 Cross domain single sign-on (služba CDSSO)......................... 139 Průběh procesu autentizace pro CDSSO.......................... 139 Aktiace a zablokoání autentizace pomocí CDSSO...................... 141 Zašifroání dat tokenu autentizace........................... 141 Konfigurace časoého označení tokenu.......................... 142 Zahrnutí atributů poěření tokenech autentizace....................... 142 Uedení knihoen sso-create a sso-consume......................... 143 Vysětlení odkazů CDSSO.............................. 143 Ochrana tokenu autentizace............................. 144 Jednotné přihlášení pomocí e-community.......................... 144 Funkce a požadaky jednotného přihlášení pomocí e-community.................. 145 Průběh procesu jednotného přihlášení pomocí e-community.................... 145 Cookie e-community............................... 147 Vouch-for požadaek a odpoěď........................... 147 Vouch-for token................................ 148 Zašifroání ouch-for tokenu............................ 148 Konfigurace e-community.............................. 149 Konfigurace jednotného přihlášení pomocí e-community - příklad.................. 153 Kapitola 7. Integrace aplikace......................... 157 Udržoání stau relace mezi klientem a aplikacemi back-end..................... 157 Aktiace spráy ID relace užiatele........................... 157 Vkládání dat poěření do hlaičky HTTP......................... 158 Ukončení relací užiatele.............................. 159 Poskytnutí řízení přístupu k dynamickým URL......................... 159 Konfigurace dynamických URL............................ 160 i IBM Tioli Access Manager for e-business: Plug-in for Web Serers Integration Guide

Kapitola 8. Vyolání ADI (authorization decision information retrieal)........ 163 Vyolání přehledu ADI................................ 163 Načítání ADI z požadaku plug-in programu......................... 164 Příklad: Načítání ADI z hlaičky požadaku........................ 164 Příklad: Načítání ADI z řetězce dotazu požadaku....................... 165 Příklad: Načítání ADI z těla požadaku POST........................ 165 Načítání ADI z poěření užiatele............................. 166 Dodání důodu selhání................................ 166 Konfigurace yolání dynamické ADI........................... 167 Konfigurace plug-in programu pro použití weboé služby AMWebARS................ 168 Dodatek A. Použití pdbackup k zálohoání dat pro plug-in............. 169 Funkčnost.................................... 169 Zálohoání dat pro plug-in.............................. 169 Obnoa dat pro plug-in............................... 170 Syntaxe.................................... 170 Příklady.................................... 171 Příklady pro UNIX................................ 171 Příklady pro Windows............................... 171 Obsah pdinfo-pdwebpi.lst.............................. 172 Další data zálohoání............................... 172 Dodatek B. pdwebpi.conf reference....................... 173 Obecné parametry konfigurace.............................. 173 Parametry konfigurace autentizace............................ 176 Konfigurační parametry relace.............................. 186 Konfigurační parametry LDAP............................. 187 Konfigurační parametry proxy.............................. 187 Konfigurační parametry autorizačního API.......................... 188 Konfigurační parametry specifické pro daný weboý serer..................... 189 Dodatek C. Stručná reference pro moduly.................... 195 Dodatek D. Stručná reference pro příkazy.................... 201 pdwebpi_start................................... 202 pdwebpi.................................... 204 pdwpi-ersion.................................. 205 pdwpicfg action config............................... 206 pdwpicfg action unconfig............................... 208 Dodatek E. Speciální znaky doolené běžných ýrazech............. 211 Dodatek F. Poznámky............................. 213 Ochranné známky................................. 214 Sloníček.................................. 217 Rejstřík................................... 223 Obsah ii

iii IBM Tioli Access Manager for e-business: Plug-in for Web Serers Integration Guide

Obrázky 1. Výměna informací mezi plug-in programem a produktem Tioli Access Manager..............2 2. Výojoý diagram, jak plug-in program určuje modul autentizace..................47 3. Výojoý diagram logiky ýzy k autentizaci........................48 4. Výojoý diagram, jak plug-in program určuje modul relace....................50 5. Typická architektura sereru pro failoer cookies.......................78 6. Přístup užiatele k zabezpečeným aplikacím pomocí GSO.................... 129 7. Průběh procesu jednotného přihlášení pomocí formulářů..................... 132 8. Průběh procesu pro CDSSO............................. 140 9. Přihlášení se do e-community............................. 146 10. Příklad konfigurace jednotného přihlášení pomocí e-community.................. 153 11. Průběh procesu ARS (Attribute retrieal serice)....................... 167 Copyright IBM Corp. 2000, 2003 ix

x IBM Tioli Access Manager for e-business: Plug-in for Web Serers Integration Guide

Tabulky 1. Pole certifikátu EPAC produktu Tioli Access Manager.....................5 2. Souhrn sekcí souboru pdwebpi.conf...........................8 3. Podporoané substituce maker............................10 4. Konfigurační parametry chyboé stránky e stanze [proxy]...................12 5. Konfigurační parametry specifické pro weboé serery.....................16 6. Parametry [p3p-header]..............................26 7. Definice polí autentizačního proěřoacího záznamu......................29 8. Definice parametrů konfigurace monitoroání........................30 9. Jazyky podporoané plug-in programem s podporoanými adresáři..................36 10. Lokální zabudoané autentizátory...........................56 11. Parametry externího sereru CDAS...........................56 12. Ekialentní konfigurace SPNEGO mezi erzí 4.1 a 5.1.....................70 13. Jména souboru knihony autentizace po přepnutí při selhání...................86 14. Popis polí IV hlaičky...............................93 15. Platné typy dat relací pro agenty MPA......................... 104 16. Platné typy autentizace agentů MPA.......................... 104 17. Opránění ACL plug-in programu........................... 109 18. Opránění WebDAV plug-in programu......................... 109 19. Příkazy politiky pro přihlášení pdadmin pro LDAP...................... 111 20. Příkazy pdadmin odolnosti hesla pro LDAP........................ 112 21. Příklady hesel................................. 113 22. Popisy úroní POP............................... 120 23. Popis polí IV hlaičky.............................. 124 24. Parametry konfigurace LTPA............................ 126 25. Popis polí IV hlaičky.............................. 126 26. Obecné parametry konfigurace............................ 173 27. Konfigurační parametry autentizace.......................... 176 28. Konfigurační parametry relace............................ 186 29. Konfigurační parametry LDAP............................ 187 30. Konfigurační parametry proxy............................ 187 31. Konfigurační parametry autorizačního API........................ 188 32. Konfigurační parametry specifické pro daný weboý serer................... 189 33. Reference pro politiky/moduly autentizace plug-in programu................... 195 34. Moduly autentizace specifické pro Windows........................ 197 35. Reference pro moduly relace plug-in programu....................... 197 36. Modul pro zpracoání předcházející autorizaci plug-in programu.................. 198 37. Reference pro moduly pro zpracoání následující po autorizaci plug-in programu............. 199 38. Reference pro modul odpoědi............................ 200 Copyright IBM Corp. 2000, 2003 xi

xii IBM Tioli Access Manager for e-business: Plug-in for Web Serers Integration Guide

Úod Pro koho je určena tato kniha Produkt IBM Tioli Access Manager Plug-in for Web Serers sprauje zabezpečení ochrany dat ašich weboých zdrojů tak, že ystupuje jako brána mezi ašimi klienty a bezpečným weboým prostorem. Plug-in program implementuje bezpečnostní politiku, která chrání áš weboý prostor objektů. Plug-in program může nabídnout řešení pro jednotné přihlášení, podporoat weboé serery ystupující jako irtuální hostitelé a zahrnout zdroje weboého aplikačního sereru do sé bezpečnostní politiky. Poznámka: Další informace o podporoaných platformách, požadacích na disk a paměť, předem požadoaných opraách softwaru a instalační instrukce naleznete knize Tioli Access Manager for e-business Web Security Installation Guide. IBM Tioli Access Manager (Tioli Access Manager) je základní software, který je nezbytný, aby bylo možné pracoat s aplikacemi produktoé řadě IBM Tioli Access Manager. Umožňuje integraci aplikací IBM Tioli Access Manager, které nabízí širokou paletu řešení autorizace a spráy. Jsou-li prodány jako integroané řešení, mohou tyto produkty nabídnout řešení pro spráu řízení přístupu, které centralizuje síť a bezpečnostní politiku pro e-business aplikace. Poznámka: IBM Tioli Access Manager je noé jméno dříe uolněného softwaru zaného Tioli SecureWay Policy Director. Užiatelům, kteří dobře znali software a dokumentaci produktu Tioli SecureWay Policy Director, bychom chtěli dát ědět, že termín Management Serer (serer spráy) je nyní nahrazen termínem Policy Serer (serer politik). Kniha IBM Tioli Access Manager for e-business Plug-in for Web Serers: Průodce užiatele obsahuje administratiní procedury a informace o technických odkazech, týkající se zabezpečení aší weboé domény pomocí plug-in programu pro aplikace weboých sererů. Tento průodce je určen pro systémoé administrátory, odpoědné za instalaci, nasazení a administraci produktu Access Manager Plug-in for Web Serers. Čtenáři této knihy by měli znát: Operační systémy pro PC a UNIX. Architekturu databáze a koncepty. Spráu zabezpečení. Internetoé protokoly, četně HTTP, HTTPS a TCP/IP. Lightweight Directory Access Protocol (LDAP) a adresářoé služby. Podporoaný registr užiatelů. Autentizaci a autorizaci. Pokud použíáte komunikaci SSL (Secure Sockets Layer), měli byste také znát protokol SSL, ýměnu klíčů (eřejných a soukromých), digitální podpisy, šifroací algoritmy a ydaatele certifikátů. Copyright IBM Corp. 2000, 2003 xiii

Co tato kniha obsahuje Tato kniha obsahuje následující části: Kapitola 1, Úod do produktu IBM Tioli Access Manager Plug-in for Web Serers Obsahuje úod do produktu Access Manager Plug-in for Web Serers, poskytuje podrobnosti o architektuře systému, o funkcionalitě a praconím prostředí. Kapitola 2, Konfigurace produktu IBM Tioli Access Manager Plug-in for Web Serers Obsahuje informace o požadacích konfigurace produktu Access Manager Plug-in for Web Serers. Kapitola 3, Zpracoání požadaku a autentizace produktu IBM Tioli Access Manager Plug-in for Web Serers Diskuze o tom, jak plug-in obsluhuje proces autentizace a proádí zpracoání následující po autorizaci, které je yžadoáno autorizoaných relacích. Kapitola 4, Bezpečnostní politika produktu IBM Tioli Access Manager Plug-in for Web Serers Informace o konfiguraci a nastaení bezpečnostní politiky produktu Access Manager plug-in for Web Serers. Kapitola 5, Řešení jednotného přihlášení pro web Diskuze o řešeních pro jednotné přihlášení do weboého prostoru, chráněného produktem Access Manager Plug-in for Web Serers. Kapitola 6, Řešení přihlášení napříč doménou Diskuze o řešení pro jednotné cross-domain přihlášení produktu Access Manager Plug-in for Web Serers. Kapitola 7, Integrace aplikace, na stránce 157 Diskuze o integraci třístranné aplikace pomocí přídaného rozsahu proměnných prostředí a hlaiček HTTP plug-in programu a schopnosti dynamického URL. Kapitola 8, Vyolání ADI (authorization decision information retrieal), na stránce 163 Diskuze o tom, jak plug-in program může poskytnout nebo získat ADI (autorization decision information) požadoanou ke zhodnocení autorizačních praidel, která chrání zdroje doméně Tioli Access Manager. Dodatek A, Použití pdbackup k zálohoání dat pro plug-in, na stránce 169 Informace o použití utility pdbackup. Dodatek B, pdwebpi.conf reference Seznam parametrů konfigurace Access Manager Plug-in for Web Serers, četně odpoídajících popisů. Dodatek C, Stručná reference pro moduly Seznam šech možností plug-in programu pro autentizaci, relace a po-autorizační politiky, četně odpoídajících popisů. Dodatek D, Stručná reference pro příkazy Seznam dostupných obslužných programů plug-in programu, četně popisu akcí, které tyto obslužné programy proádějí. Dodatek E, Speciální znaky doolené běžných ýrazech, na stránce 211 Vypsání speciálních znaků poolených běžných ýrazech použitých konfiguračním souboru pdwebpi.conf. xi IBM Tioli Access Manager for e-business: Plug-in for Web Serers Integration Guide

Publikace Abyste určili, která publikace ám může být užitečná, zobrazte znou popis Tioli Access Manager knihony, předpokládané publikace a souisející publikace. Až určíte, které publikace potřebujete, odkaz na instrukce pro on-line přístup k publikacím. Další informace o produktu IBM Tioli Access Manager for e-business můžete nalézt : http://www.ibm.com/software/tioli/products/access-mgr-e-bus/ Knihona produktu Tioli Access Manager je rozdělena do následujících kategorií: Informace o ydání Základní informace Informace o zabezpečení Webu Odkazy pro ýojáře na stránce xi Technické dodatky na stránce xii Informace o ydání IBM Tioli Access Manager for e-business Čtěte jako prní (GI11-2930-00) Obsahuje informace pro instalaci a začátek práce s produktem Tioli Access Manager. IBM Tioli Access Manager for e-business Release Notes (GI11-4156-00) Poskytuje nejnoější informace např. o omezeních softwaru, pomocných opraách problémů, nebo o aktualizacích dokumentace. Základní informace IBM Tioli Access Manager Base Installation Guide (SC32-1362-00) Vysětluje, jak nainstaloat a nakonfiguroat Tioli Access Manager, základní software, četně rozhraní Web Portal Manager. Tato publikace je podmnožinou IBM Tioli Access Manager for e-business Web Security Installation Guide a je určena pro použití s dalšími Tioli Access Manager produkty, stejně jako IBM Tioli Access Manager pro Business Integration a IBM Tioli Access Manager pro operační systémy. IBM Tioli Access Manager Base: Administratiní příručka (SC09-3708-00) Popisuje koncepty a procedury použíání služeb produktu Tioli Access Manager. Poskytuje instrukce pro proádění úloh z rozhraní Web Portal Manager a pro proádění úloh pomocí příkazu pdadmin. Informace o zabezpečení Webu IBM Tioli Access Manager for e-business Web Security Installation Guide (SC32-1361-00) Poskytuje instrukce pro instalaci, konfiguraci a odstranění Tioli Access Manager základního softwaru stejně jako komponent Web Security. Tato publikace je nadsadou IBM Tioli Access Manager Base Installation Guide. IBM Tioli Access Manager Upgrade Guide (SC32-1369-00) Vysětluje, jak přejít na yšší erzi z Tioli SecureWay Policy Director Version 3.8 nebo z předchozích erzí Tioli Access Manager na Tioli Access Manager erzi 5.1. IBM Tioli Access Manager for e-business WebSEAL: Administratiní příručka (SC09-3709-00) Poskytuje podkladoé materiály, administratiní procedury a informace o technických odkazech, které použíá serer WebSEAL ke spráě zdrojů e aší zabezpečené weboé doméně. Úod x

IBM Tioli Access Manager for e-business IBM WebSphere Application Serer: Integrační příručka (SC09-3710-00) Poskytuje instrukce pro instalaci, odstranění a administratiu pro integroání Tioli Access Manager s aplikačním sererem IBM WebSphere. IBM Tioli Access Manager for e-business IBM WebSphere Edge Serer Integration Guide (SC32-1367-00) Poskytuje instrukce pro instalaci, odstranění a administratiu pro integroání Tioli Access Manager s aplikací IBM WebSphere Edge Serer. IBM Tioli Access Manager for e-business Plug-in for Web Serers: Integrační příručka (SC09-3712-00) Poskytuje instrukce pro instalaci, administratiní procedury a informace o technických odkazech, týkající se zabezpečení aší weboé domény pomocí plug-in pro aplikace weboých sererů. IBM Tioli Access Manager for e-business BEA WebLogic Serer: Integrační příručka (SC09-3711-00) Poskytuje instrukce pro instalaci, odstranění a administratiu pro integroání Tioli Access Manager s produktem BEA WebLogic Serer. IBM Tioli Access Manager for e-business IBM Tioli Identity Manager: Příručka k funkci zajištění rychlého spuštění (SC09-3713-00) Poskytuje přehled úloh souisejících s integroáním Tioli Access Manager a s produktem Tioli Identity Manager a ysětluje, jak použít a instaloat shromažďoání Proisioning Fast Start. Odkazy pro ýojáře IBM Tioli Access Manager for e-business Authorization C API Deeloper Reference (SC32-1355-00) Obsahuje referenční materiál, který popisuje, jak použíat autorizační rozhraní C API produktu Tioli Access Manager a serisní plug-in rozhraní produktu Access Manager pro přidání zabezpečení produktu Tioli Access Manager do aplikací. IBM Tioli Access Manager for e-business Authorization Jaa Classes Deeloper Reference (SC32-1350-00) Poskytuje referenční informace, jak pomocí implementace autorizačního rozhraní API jazyce Jaa poolit, aby aplikace použíala zabezpečení produktu Tioli Access Manager. IBM Tioli Access Manager for e-business Administration C API Deeloper Reference (SC32-1357-00) Poskytuje referenční informace, jak pomocí administratiního rozhraní API poolit, aby aplikace proáděla administratiní úlohy produktu Tioli Access Manager. Tento dokument popisuje implementaci tohoto administratiního rozhraní API jazyce C. IBM Tioli Access Manager for e-business Administration Jaa Classes Deeloper Reference (SC32-1356-00) Poskytuje referenční informace, jak pomocí implementace administratiního rozhraní API jazyce Jaa poolit, aby aplikace proáděla administratiní úlohy produktu Tioli Access Manager. IBM Tioli Access Manager for e-business Web Security Deeloper Reference (SC32-1358-00) Poskytuje informace o administratiě a programoání CDAS (cross-domain authentication serice), CDMF (cross-domain mapping framework) a modulu Odolnosti hesla. xi IBM Tioli Access Manager for e-business: Plug-in for Web Serers Integration Guide

Technické dodatky IBM Tioli Access Manager for e-business Command Reference (SC32-1354-00) Poskytuje informace o obslužných programech příkazoého řádku a skriptech, které jsou součástí produktu Tioli Access Manager. IBM Tioli Access Manager Error Message Reference (SC32-1353-00) Obsahuje ysětlení a doporučoané akce pro zpráy, které ydáá produkt Tioli Access Manager. IBM Tioli Access Manager for e-business Problem Determination Guide (SC32-1352-00) Obsahuje informace napomáhající určení problému pro produkt Tioli Access Manager. IBM Tioli Access Manager for e-business Performance Tuning Guide (SC32-1351-00) Poskytuje informace o ladění ýkonnosti pro prostředí obsahující produkt Tioli Access Manager, e kterém je IBM Directory Serer nadefinoán jako registr užiatelů. Souisející publikace Tato část obsahuje seznam publikací, souisejících s knihonou produktu Tioli Access Manager. Tioli Software Library obsahuje celou řadu publikací týkajících se produktů Tioli, jako např. dokumenty typu white paper, základní informace o produktech, demonstrační materiály, tz. redbooky a informace o ohlášení. Tioli Software Library je k dispozici na této weboé adrese: http://www.ibm.com/software/tioli/library/ Obsahem Tioli Software Glossary jsou definice mnoha technických termínů, ztahujících se k softwaru Tioli. Tioli Software Glossary je k dispozici pouze anglickém jazyce na odkazu Glossary leé části weboé stránky Tioli Software Library http://www.ibm.com/software/tioli/library/ IBM Global Security Kit Produkt Tioli Access Manager umožňuje šifroání dat pomocí produktu IBM Global Security Kit (GSKit) eze 7.0. Produkt GSKit je zahrnut na IBM Tioli Access Manager základním CD-ROM pro aši partikulární platformu, stejně jako na CD-ROM IBM Tioli Access Manager Web Security, IBM Tioli Access Manager Web Administration Interfaces a IBM Tioli Access Manager Directory Serer. Sada programů GSKit instaluje obslužný program pro spráu klíčů ikeyman gsk7ikm, který ám doolí ytořit databáze klíčů, páry klíčů eřejný-soukromý a žádosti o certifikát. Následující dokument je k dispozici na weboém sereru Tioli Information Center, a to e stejné části jako dokumentace produktu IBM Tioli Access Manager: IBM Global Security Kit Secure Sockets Layer and ikeyman User s Guide (SC32-1363-00) Obsahuje informace pro síťoé nebo systémoé administrátory, kteří chtějí aktioat SSL komunikaci prostředí produktu Tioli Access Manager. IBM Tioli Directory Serer Produkt IBM Tioli Directory Serer, erze 5.2, je na obsažen CD-ROM IBM Tioli Access Manager Directory Serer pro požadoaný operační systém. Poznámka: Produkt IBM Tioli Directory Serer je noé jméno pro dříe ydaný software známý jako: IBM Directory Serer (erze 4.1 a 5.1) IBM SecureWay Directory Serer (erze 3.2.2) Úod xii

Produkty IBM Directory Serer erze 4.1, IBM Directory Serer erze 5.1, a IBM Tioli Directory Serer erze 5.2 jsou šechny podporoány produktem IBM Tioli Access Manager erze 5.1. Další informace o produktu IBM Tioli Directory Serer můžete nalézt : http://www.ibm.com/software/network/directory/library/ IBM DB2 Uniersal Database Produkt IBM DB2 Uniersal Database Enterprise Serer Edition, erze 8.1 je poskytnut na CD-ROM IBM Tioli Access Manager Directory Serer a je instaloán se softwarem pro IBM Tioli Directory Serer. Produkt DB2 je požadoán při použití produktu IBM Tioli Directory Serer, z/os, nebo OS/390 sererů LDAP jako registr užiatelů produktu Tioli Access Manager. Další informace o produktu DB2 můžete nalézt : http://www.ibm.com/software/data/db2/ IBM WebSphere Application Serer IBM WebSphere Application Serer, Adanced Single Serer Edition 5.0, je součástí CD-ROM IBM Tioli Access Manager Web Administration Interfaces pro požadoaný operační systém.websphere Application Serer umožňuje jak podporu Web Portal Manager rozhraní, které se použíá ke spráě Tioli Access Manager, tak podporu produktu Web Administration Tool, který se použíá ke spráě IBM Tioli Directory Serer. Produkt IBM WebSphere Application Serer Fix Pack 2 je také yžadoán Tioli Access Manager a je poskytnut na CD-ROM IBM Tioli Access Manager WebSphere Fix Pack. Další informace o produktu IBM WebSphere Application Serer můžete nalézt : http://www.ibm.com/software/webserers/appser/infocenter.html IBM Tioli Access Manager for Business Integration Produkt IBM Tioli Access Manager for Business Integration je k dispozici jako samostatně objednatelný produkt. Nabízí řešení zabezpečení pro zpráy z produktů IBM MQSeries erze 5.2 a IBM WebSphere MQ for Version 5.3. Produkt IBM Tioli Access Manager for Business Integration umožňuje, aby aplikace WebSphere MQSeries posílala data diskrétně a neporušeně pomocí klíčů, které jsou přidruženy k odesílacím a přijímajícím aplikacím. Stejně jako produkt WebSEAL a produkt IBM Tioli Access Manager for Operating Systems, tak i produkt IBM Tioli Access Manager for Business Integration je jedním ze spráců zdrojů, který použíá autorizační služby produktu IBM Tioli Access Manager. Další informace o produktu IBM Tioli Access Manager for Business Integration můžete nalézt : http://www.ibm.com/software/tioli/products/access-mgr-bus-integration/ Níže uedené dokumenty, které se týkají produktu IBM Tioli Access Manager for Business Integration erze 5.1, jsou k dispozici na weboé stránce Tioli Information Center: IBM Tioli Access Manager for Business Integration Administration Guide (SC23-4831-01) IBM Tioli Access Manager for Business Integration Problem Determination Guide (GC23-1328-00) IBM Tioli Access Manager for Business Integration Release Notes (GI11-0957-01) IBM Tioli Access Manager for Business Integration Read This First (GI11-4202-00) xiii IBM Tioli Access Manager for e-business: Plug-in for Web Serers Integration Guide

IBM Tioli Access Manager for WebSphere Business Integration Brokers Produkt IBM Tioli Access Manager for WebSphere Business Integration Brokers dostupný jako část produktu IBM Tioli Access Manager for Business Integration poskytuje řešení zabezpečení produktu WebSphere Business Integration Message Broker, erze 5.0 a produktu WebSphere Business Integration Eent Broker, erze 5.0. Produkt IBM Tioli Access Manager for WebSphere Business Integration Brokers funguje e spojení s produktem Tioli Access Manager pro zabezpečení JMS publikačních/podpisoých aplikací pomocí poskytnutí hesla a autentizace na základě poěřoacích listů, centrálně definoané autorizace a monitoroacích služeb. Další informace o produktu IBM Tioli Access Manager for WebSphere Integration Brokers můžete nalézt : http://www.ibm.com/software/tioli/products/access-mgr-bus-integration/ Níže uedené dokumenty, které se týkají produktu IBM Tioli Access Manager for WebSphere Integration Brokers erze 5.1, jsou k dispozici na weboé stránce Tioli Information Center: IBM Tioli Access Manager for WebSphere Business Integration Brokers Administration Guide (SC32-1347-00) IBM Tioli Access Manager for WebSphere Business Integration Brokers Release Notes (GI11-4154-00) IBM Tioli Access Manager for Business Integration Read This First (GI11-4202-00) IBM Tioli Access Manager for Operating Systems Produkt IBM Tioli Access Manager for Operating Systems je k dispozici jako samostatně objednatelný produkt. Pro UNIXoé systémy nabízí další úroeň pro ymáhání politiky autorizace k půodní úroni lastního operačního systému. Produkt IBM Tioli Access Manager for Operating Systems je stejně jako produkty WebSEAL a IBM Tioli Access Manager for Business Integration jedním ze spráců zdrojů, kteří použíají autorizační služby produktu IBM Tioli Access Manager. Další informace o produktu IBM Tioli Access Manager for Operating Systems můžete nalézt : http://www.ibm.com/software/tioli/products/access-mgr-operating-sys/ Níže uedené dokumenty, které se týkají produktu IBM Tioli Access Manager for Operating Systems erze 5.1, jsou k dispozici na weboé stránce Tioli Information Center: IBM Tioli Access Manager for Operating Systems Installation Guide (SC23-4829-00) IBM Tioli Access Manager for Operating Systems Administration Guide (SC23-4827-00) IBM Tioli Access Manager for Operating Systems Problem Determination Guide (SC23-4828-00) IBM Tioli Access Manager for Operating Systems Release Notes (GI11-0951-00) IBM Tioli Access Manager for Operating Systems Read Me First (GI11-0949-00) IBM Tioli Identity Manager Produkt IBM Tioli Identity Manager Version 4.5 dostupný jako samostatně setřiditelný produkt ám umožňuje centrální spráu užiatelů (jako jsou ID užiatelů a hesla) a zajišťoání (které poskytuje nebo odoláá přístup k aplikacím, zdrojům nebo operačním systémům). Produkt Tioli Identity Manager může být integroán s produktem Tioli Access Manager pomocí produktu Tioli Access Manager Agent. Abyste získali další informace o použití produktu Agent, kontaktujte zástupce ašeho IBM konta. Úod xix

Dostupnost Další informace o produktu IBM Tioli Identity Manager můžete nalézt : http://www.ibm.com/software/tioli/products/identity-mgr/ Online přístup k publikacím Publikace pro tento produkt jsou k dispozici online erzi e formátu PDF (Portable Document Format) nebo HTML (Hypertext Markup Language), případně obou knihoně Tioli software library: http://www.ibm.com/software/tioli/library Chcete-li knihoně nalézt publikace produktu, klepněte na odkaz Product manuals leé části stránky library. Pak najděte na stránce Tioli software information center jméno produktu a klepněte na ně. Publikace produktu obsahují poznámky k jednotliým ydáním, průodce instalací, průodce užiatele, průodce administrátora a reference pro ýojáře. Poznámka: Pokud chcete ytisknout PDF publikace, zaškrtněte pole Fit to page dialogu Print produktu Adobe Acrobat (ke kterému se dostanete, pokud klepnete na File Print). Funkce dostupnosti pomáhají užiateli, který má tělesné postižení, jako např. sníženou pohybliost nebo omezené iděni, úspěšně použíat softwaroé produkty. Pomocí těchto produktů můžete použíat asistenční technologie, prostřednictím kterých můžete poslouchat a naigoat rozhraní. Můžete také použíat kláesnici místo myši pro obsluhu šech funkcí grafického užiatelského rozhraní. Kontakt na softwaroou podporu Než se obrátíte na Softwaroou podporu IBM Tioli se sým problémem, podíejte se klepnutím na Tioli support na stránku podpory softwaru IBM Tioli na této weboé adrese: http://www.ibm.com/software/support/ Pokud budete potřeboat další pomoc, obraťte se na softwaroou podporu způsobem, který je popsán příručce IBM Software Support Guide na této weboé adrese: http://techsupport.serices.ibm.com/guides/handbook.html Průodce poskytuje následující informace: Konence použíané této knize požadaky na registraci a způsobilost pro obdržení podpory telefonní čísla záislosti na zemi, e které pracujete jaké informace je nutné shromáždit, než se obrátíte na Zákaznickou podporu Tato příručka použíá několik grafických konencí pro speciální termíny a akce, a příkazy a cesty záislé na operačním systému. Konence typu písma V této knize jsou použity tyto konence typu písma: xx IBM Tioli Access Manager for e-business: Plug-in for Web Serers Integration Guide

tučné písmo Příkazy uedené malými písmeny nebo smíšeně malými i elkými písmeny, které je těžké odlišit od okolního textu, klíčoá sloa, parametry, olby a jména tříd Jay a objekty jsou uedeny tučným písmem. kurzía Proměnné, názy publikací a speciální sloa nebo fráze, které je nutné zdůraznit, jsou yznačeny kurzíou. monospace Příklady kódů, příkazoé řádky, ýstupy na obrazoku, jména souborů a adresářů, která je těžké odlišit od okolního textu, systémoé zpráy, text, který musí užiatel spráně zadat, a hodnoty argumentů nebo oleb příkazů jsou yznačeny pomocí monospace. Rozdíly operačních systémech Tato kniha použíá konence operačního systému UNIX e specifikacích proměnných prostředí a zápisu adresářů. Pokud použíáte příkazoý řádek operačního systému Windows, nahraďte $proměnná za %proměnná% proměnných prostředích a nahraďte každé lomítko (/) lomítkem zpětným (\) cestách k adresářům.pokud použíáte nadstabu bash operačním systému Windows, můžete použíat konence operačního systému UNIX. Úod xxi

xxii IBM Tioli Access Manager for e-business: Plug-in for Web Serers Integration Guide

Kapitola 1. Úod do produktu IBM Tioli Access Manager Plug-in for Web Serers Produkt IBM Tioli Access Manager (Tioli Access Manager) Plug-in for Web Serers je integrační řešení, které ulehčuje implementaci a spráu bezpečnostní politiky ašeho chráněného weboého prostoru. Je-li nainstaloán jako součást stejného procesu jako áš weboý serer, ystupuje plug-in program jako bezpečnostní brána mezi ašimi klienty a aším chráněným weboým prostorem. Tato úodní kapitola obsahuje přehled technologie produktu Tioli Access Manager Plug-in for Web Serers, uádí technické požadaky produktu a nabízí úod do procesů zajišťujících zabezpečení ašeho weboého prostoru pomocí plug-in programu. Poznámka: Další informace o podporaaných platformách, požadacích na disk a paměť, předem požadoaných opraách softwaru a instalační instrukce naleznete publikaci Tioli Access Manager for e-business Web Security Installation Guide.Podrobné informace o tom, jak přejít na yšší erzi produktu Tioli Access Manager Plug-in for Web Serers (tj. na erzi 5.1), naleznete publikaci IBM Tioli Access Manager Upgrade Guide. Tato úodní kapitola obsahuje následující témata: Technologie produktu Tioli Access Manager Plug-in for Web Serers Ochrana ašeho weboého prostoru pomocí produktu Tioli Access Manager Plug-in for Web Serers na stránce 3 Autentizace produktu Tioli Access Manager Plug-in for Web Serers na stránce 4 Získání poěření na stránce 4 Technologie produktu Tioli Access Manager Plug-in for Web Serers Produkt Tioli Access Manager Plug-in for Web Serers může být zaintegroán do aplikací produktu Tioli Access Manager, aby bylo poskytoáno úplné řešení zabezpečení ochrany dat ašich weboých zdrojů. Plug-in program je součástí stejného procesu jako áš weboý serer, zachycuje každý požadaek, který dorazí, určí, zda bude nutné yžadoat rozhodnutí o autorizaci, a také poskytuje prostředky pro autentizaci užiatele (je-li nezbytná). Plug-in program může nabídnout řešení pro jednotné přihlášení a zahrnout zdroje weboých aplikací do sé bezpečnostní politiky. Základní proozní komponenty a architektura Produkt Tioli Access Manager Plug-in for Web Serers se skládá ze dou základních komponent architektury komponenty lastního plug-in programu a komponenty autorizačního sereru. Komponenta lastního plug-in programu pracuje s lákny weboého sereru, a odesílá na autorizační serer podrobnosti o každém požadaku přes rozhraní IPC (Inter-Process Communication). Autorizační serer zpracoáá autentizaci a autorizaci příchozích požadaků. Autorizační serer je aplikace AZNAPI lokálním režimu, která přijímá a zpracoáá požadaky z plug-in komponenty a odpoídá tak, že sdělí plug-in komponentě, jak obsloužit každý požadaek. Copyright IBM Corp. 2000, 2003 1

Obrázek 1. Výměna informací mezi plug-in programem a produktem Tioli Access Manager. Autorizační serer určuje, kterému z irtuálních hostitelů je adresoán požadaek (pokud na weboém sereru existují irtuální hostitelé), a určuje, zda daný požadaek yžaduje autorizaci. Požadaky, které neyžadují autorizaci, jsou ronou předány weboému sereru ke zpracoání. Požadaky, které yžadují autorizaci, jsou zpracoány následujícím způsobem autorizačním sererem: 1. Z požadaku, který byl již autentizoán, jsou yjmuty informace o relaci a autentizaci. 2. Je-li to třeba, je zahájena autentizační ýměna informací s užiatelem. 3. Je ytořeno poěření produktu Tioli Access Manager. 4. Proede se určení zdrojů, ke kterým může užiatel přistupoat, a tyto zdroje jsou namapoány na odpoídající jméno chráněného objektu produktu Tioli Access Manager. Jméno chráněného objektu předstauje elektronickou jednotku, jako např. zabezpečenou část weboého sereru nebo aplikaci, ke kterým mají poolen přístup pouze určití užiatelé. 5. Určí se, zda požadaek nebo odpoěď yžadují úprau. 6. Jsou ygeneroány odpoědi yžadoané plug-in programem nebo hostitelským weboým sererem tak, že k požadaku nebo odpoědi jsou připojeny cookies nebo hlaičky, nebo je ygeneroána samostatná odpoěď (např. odpoěď o proedené autentizaci nebo odpoěď, že užiatel není autorizoán). Podpora irtuálních hostitelů Virtuální hostitelstí je schopnost weboých sererů, která jim umožňuje, aby se objeily na internetu jako íce než jeden hostitel. Všechny weboé serery, podporoané produktem Tioli Access Manager Plug-in for Web Serers, nabízí schopnost irtuálního hostitelstí. 2 IBM Tioli Access Manager for e-business: Plug-in for Web Serers Integration Guide

Produkt Tioli Access Manager Plug-in for Web Serers nabízí možnost implementace bezpečnostní politiky na bázi jednotliých irtuálních hostitelů. Nastaení aplikace nutné pro implementaci této schopnosti je obsaženo dalších částech tohoto dokumentu. Ochrana ašeho weboého prostoru pomocí produktu Tioli Access Manager Plug-in for Web Serers Produkt Tioli Access Manager Plug-in for Web Serers obsahuje následující funkce: Podporuje íce politik autentizace, četně Základní autentizace, autentizace pomocí IP adresy, tokenu, certifikátů, formulářů, atd. Přijímá požadaky HTTP a HTTPS. Chrání zdroje weboého sereru pomocí autentizace a autorizace požadaků užiatele záislosti na politice organizace. Podporuje autentizaci a autorizaci požadaků prostředí irtuálního hostitele. Sprauje řízení přístupu do prostoru weboého sereru. Podporoané zdroje zahrnují URL, regulérní ýrazy založené na URL, CGI programy, HTML soubory, Jaa serlety a soubory třídy Jay. Ukládá do paměti cache informace o relaci a o poěření, aby eliminoal opakující se dotazy na databázi registru užiatelů během kontroly autorizace. Nabízí schopnosti jednotného přihlášení. Firemní bezpečnostní politika určuje weboé zdroje, které yžadují ochranu, a úroeň zabezpečení ochrany dat pro každý z těchto weboých zdrojů. Produkt Tioli Access Manager použíá irtuální znázornění těchto weboých zdrojů, které se nazýá prostor chráněných objektů. Prostor chráněných objektů obsahuje objekty, které předstaují skutečné fyzické prostředky e aší síti. Bezpečnostní politiku naimplementujete pomocí odpoídajících zabezpečoacích mechanismů, které aplikujete na objekty yžadující ochranu. Zabezpečoací mechanismy zahrnují: politiky ACL (Access control list) Politiky ACL určují typy užiatelů, které mohou uažoat o přístupu, a udáají operace, které je dooleno proádět na objektu pro každý typ užiatele. POP (Protected object policies - politiky chráněného objektu) POP určuje další podmínky regulující přístup ke chráněnému objektu, jako je např. utajení, integrita, monitoroání a denní doba přístupu. autorizační praidla Autorizační praidla jsou podmínky obsažené autorizační metodě, které se použíají k ynucení rozhodnutí o přístupu na základě atributů, jako je sta, aplikace a kontext prostředí. rozšířené atributy Rozšířené atributy jsou další hodnoty, které jsou umístěny na objektu, ACL nebo POP, a které oliňují rozhodnutí o autorizaci. Autorizační serer je tou komponentou produktu Tioli Access Manager Plug-in for Web Serers, která pooluje nebo zamítá přístup ke chráněným zdrojům na základě poěření užiatele a řízení přístupu umístěných na objektu. Pokud chcete úspěšně naimplementoat bezpečnostní politiku, musíte logicky zorganizoat různé typy obsahu a aplikoat odpoídající politiky ACL a POP. Spráa řízení přístupu může být komplexní a je možné ji ytořit snadněji, pokud proedete důkladnou kategorizaci typů obsahu. Vyčerpáající informace o produktu Tioli Access Manager, četně podrobných informací o nastaení bezpečnostní politiky, najdete knize IBM Tioli Access Manager Base: Administratiní příručka. Kapitola 1. Úod do produktu IBM Tioli Access Manager Plug-in for Web Serers 3