WebSEAL: Průvodce administrátora

IBM Tivoli Access Manager WebSEAL: Průvodce administrátora Verze 4.1 SC09-3686-01

IBM Tivoli Access Manager WebSEAL: Průvodce administrátora Verze 4.1 SC09-3686-01

Poznámka Než začnete používat uvedené informace a produkt, o který se opírají, přečtěte si informace uvedené v části Dodatek D, Poznámky, na stránce 337. Páté vydání (Srpen 2003) Toto vydání nahrazuje GC32-0684-01 Copyright International Business Machines Corporation 1999, 2002. Všechna práva vyhrazena.

Obsah Úvod..................................... xi Pro koho je určena tato kniha...............................xi Co tato kniha obsahuje................................xi Publikace.................................... xii Informace o vydání................................ xiii Základní informace................................ xiii Informace o WebSEAL............................... xiii Informace o zabezpečení Webu............................ xiii Reference pro vývojáře............................... xiv Technické dodatky................................ xiv Související publikace................................ xiv Online přístup k publikacím............................. xvi Objednání publikací................................ xvii Dostupnost................................... xvii Kontakt na softwarovou podporu............................. xvii Konvence používané v této knize............................. xvii Konvence typu písma............................... xvii Rozdíly v operačních systémech............................ xviii Kapitola 1. Přehled produktu IBM Tivoli Access Manager WebSEAL.......... 1 Úvod do produktů IBM Tivoli Access Manager a WebSEAL.....................1 Vysvětlení bezpečnostního modelu produktu Tivoli Access Manager...................3 Prostor chráněných objektů..............................3 Definice a použití politik ACL a POP...........................4 Administrativa politiky: rozhraní Web Portal Manager......................6 Ochrana webového prostoru pomocí serveru WebSEAL.......................6 Plánování a implementace bezpečnostní politiky.........................8 Určení typů obsahu a úrovní zabezpečení..........................8 Vysvětlení autentizace serveru WebSEAL...........................9 Cíle autentizace.................................10 Autentizovaný a neautentizovaný přístup ke zdrojům......................10 Struktura paměti cache pro relace/pověření serveru WebSEAL...................11 Vysvětlení spojení WebSEAL..............................12 Spojení WebSEAL a škálovatelnost webového serveru......................14 Kapitola 2. Základní konfigurace serveru..................... 19 Obecné informace o serveru...............................19 Kořenový adresář instalace produktu WebSEAL........................19 Spuštění a zastavení serveru WebSEAL..........................20 Server WebSEAL znázorněný v prostoru chráněných objektů....................20 Server WebSEAL vrací odpovědi ve formátu HTTP/1.1.....................20 Soubor protokolu serveru WebSEAL...........................21 Používání konfiguračního souboru serveru WebSEAL.......................21 Konfigurační soubor webseald.conf...........................21 Kořenový adresář serveru WebSEAL...........................23 Konfigurace komunikačních parametrů...........................23 Konfigurace serveru WebSEAL pro požadavky HTTP......................23 Konfigurace serveru WebSEAL pro požadavky HTTPS......................24 Omezení připojení z určitých verzí SSL..........................24 Parametry pro nastavení časového limitu komunikace HTTP/HTTPS..................24 Další parametry pro časový limit serveru WebSEAL.......................25 Správa webového prostoru...............................25 Kořenový adresář stromu webových dokumentů........................26 Konfigurace indexování adresářů............................27 Windows: Pojmenování souborů pro programy CGI.......................28 Copyright IBM Corp. 1999, 2002 iii

Spustitelné UNIXové soubory na hostitelském systému serveru WebSEAL................28 Konfigurace ukládání webových dokumentů do paměti cache....................29 Zadání typů MIME dokumentů pro filtrování URL.......................31 Správa přizpůsobených HTTP stránek s chybovými zprávami.....................31 Podpora maker pro HTTP stránky s chybovými zprávami.....................33 Správa přizpůsobených stránek správy účtů..........................34 Parametry a hodnoty přizpůsobené stránky.........................34 Popisy přizpůsobených HTML stránek...........................34 Podpora maker pro stránky správy účtů..........................35 Podpora více lokalizací pro webové služby..........................35 Správa certifikátů klienta a serveru.............................37 Typy souborů databáze klíčů produktu GSKit.........................38 Konfigurace parametrů databáze klíčů...........................39 Používání obslužného programu správy certifikátů ikeyman....................41 Konfigurace kontroly CRL..............................41 Konfigurace paměti cache CRL.............................42 Konfigurace předvoleného protokolování HTTP.........................42 Aktivace a zakázání protokolování HTTP..........................43 Určení typu časového označení.............................43 Určení prahových hodnot obnovy souborů protokolu......................43 Určení četnosti zarovnávání vyrovnávacích pamětí souboru protokolu.................44 Obecný formát protokolu protokolu HTTP (pro soubor request.log)..................44 Zobrazení souboru request.log.............................44 Zobrazení souboru agent.log..............................45 Zobrazení souboru referer.log.............................45 Konfigurace protokolování HTTP pomocí protokolování událostí....................45 Protokolování zpráv obslužnosti serveru WebSEAL........................46 Soubory prověřovacích záznamů serveru WebSEAL........................47 Konfigurace souborů prověřovacích záznamů.........................47 Záznamy monitorování HTTP.............................50 Záznamy monitorování autentizace............................51 Kapitola 3. Pokročilá konfigurace serveru..................... 55 Konfigurace předvolené úrovně zabezpečení..........................55 Konfigurace QOP pro jednotlivé hostitele a sítě........................56 Konfigurace aktualizací a systému výzev autorizační databáze....................57 Konfigurace naslouchání upozorněním o aktualizaci......................57 Konfigurace systému výzev autorizační databáze.......................57 Správa alokace pracovních vláken.............................57 Konfigurace pracovních vláken serveru WebSEAL.......................58 Alokace pracovních vláken pro spojení (spravedlnost spojení)....................58 Replikace předřazených serverů WebSEAL..........................60 Konfigurace více instancí serveru WebSEAL..........................61 Přehled konfigurace................................61 Konfigurace více instancí serveru WebSEAL na operačním systému UNIX................62 Konfigurace více instancí serveru WebSEAL na operačním systému Windows...............67 Odkonfigurování více instancí serveru WebSEAL.......................70 Příkazy pro spuštění, zastavení, opětovné spuštění a dotaz na stav serveru................72 Konfigurace přepnutí uživatele..............................73 Přehled funkce přepnutí uživatele............................73 Procedura konfigurace...............................75 Používání přepnutí uživatele..............................80 Další funkční vlastnosti přepnutí uživatele.........................81 Vývoj přizpůsobené služby CDAS pro přepnutí uživatele.....................82 Konfigurace ukládání požadavku na straně serveru do paměti cache serveru WebSEAL.............84 Prostředí...................................84 Proces ukládání do paměti cache na straně serveru.......................84 Konfigurace parametrů pro ukládání do paměti cache na straně serveru.................85 Poznámky a omezení................................86 Práce se znaky zakódovanými pomocí UTF-8.........................86 Předcházení zranitelnosti způsobené skriptováním napříč stranami...................88 iv IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

Prostředí...................................88 Konfigurace filtrování řetězců URL...........................88 Potlačení totožnosti serveru...............................89 Konfigurace kryptografického hardwaru pro šifrování a ukládání klíčů..................89 Podmínky a předpoklady..............................90 Konfigurace serveru WebSEAL pro kryptografický hardware používající rozhraní BHAPI...........91 Konfigurace serveru WebSEAL pro kryptografický hardware používající rozhraní PKCS#11..........91 Nástroje pro určování problémů pro server WebSEAL.......................94 Kapitola 4. Bezpečnostní politika produktu WebSEAL................ 95 Politiky ACL specifické pro server WebSEAL.........................95 /WebSEAL/<hostitel>...............................95 /WebSEAL/<hostitel>/<soubor>............................95 Oprávnění ACL serveru WebSEAL............................95 Předvolená politika ACL pro /WebSEAL..........................96 Platné znaky pro jména ACL.............................96 Politika pro přihlášení třikrát a dost............................96 Politika uzamčení účtů u serverů WebSEAL s vyvažováním zatížení.................97 Syntaxe příkazu.................................98 Politika odolnosti hesla................................98 Nastavení politiky odolnosti hesla pomocí obslužného programu pdadmin................99 Syntaxe příkazu.................................99 Příklady platného a neplatného hesla........................... 100 Nastavení pro určitého uživatele a globální nastavení...................... 100 Politika POP odolnosti autentizace (zvýšení)......................... 101 Konfigurace úrovní pro zvýšenou autentizaci........................ 101 Aktivace zvýšené autentizace............................. 102 Formulář pro přihlášení pomocí zvýšené autentizace...................... 103 Algoritmus zvýšené autentizace............................ 103 Poznámky a omezení zvýšené autentizace......................... 104 Rozlišení mezi zvýšenou a vícefaktorovou autentizací..................... 104 Metoda autentizace pomocí POP založená na síti........................ 105 Konfigurace úrovní autentizace............................ 105 Určení IP adres a rozsahů.............................. 106 Zablokování zvýšené autentizace pomocí IP adresy...................... 107 Algoritmus autentizace založené na síti.......................... 107 Poznámky a omezení autentizace založené na síti....................... 107 Úroveň zabezpečení politiky POP............................. 107 Zacházení s neautentizovanými uživateli (HTTP / HTTPS)..................... 108 Zpracování požadavku od anonymního klienta........................ 108 Přinucení uživatele, aby se přihlásil........................... 108 Použití neautentizovaného HTTPS........................... 108 Řízení neautentizovaných uživatelů pomocí politik ACL/POP................... 108 Kapitola 5. Autentizace produktu WebSEAL................... 111 Vysvětlení procesu autentizace.............................. 111 Podporované typy dat relace............................. 112 Podporované metody autentizace............................ 112 Správa stavu relace................................. 112 Přehled stavu relace................................ 113 Přehled paměti cache pro relace produktů GSKit a WebSEAL................... 113 Konfigurace paměti cache pro ID relací SSL produktu GSKit................... 114 Konfigurace paměti cache pro relace/pověření serveru WebSEAL.................. 114 Udržování stavu relace pomocí cookies relace........................ 115 Určování platných typů dat ID relace........................... 117 Konfigurace failover cookies............................. 118 Přehled konfigurace autentizace............................. 121 Parametry lokální autentizace............................. 122 Parametry externí uživatelské autentizace CDAS....................... 122 Přednastavená konfigurace autentizace serveru WebSEAL.................... 122 Obsah v

Konfigurace několika metod autentizace.......................... 123 Výzva k přihlášení................................ 123 Příkazy pro odhlášení a změnu hesla........................... 123 Zpracování následující po změně hesla.......................... 124 Konfigurace Základní autentizace............................. 125 Aktivace a zablokování Základní autentizace........................ 125 Nastavení jména sféry............................... 125 Konfigurace mechanismu pro Základní autentizaci....................... 125 Podmínky konfigurace............................... 126 Konfigurace autentizace pomocí formulářů.......................... 126 Aktivace a zablokování autentizace pomocí formulářů..................... 126 Konfigurace mechanismu pro autentizaci pomocí formulářů.................... 126 Podmínky konfigurace............................... 127 Přizpůsobení HTML formulářů s odpovědí......................... 127 Konfigurace autentizace pomocí certifikátů klienta........................ 127 Prostředí: Vzájemná autentizace pomocí certifikátů...................... 127 Testovací certifikát serveru WebSEAL.......................... 128 Aktivace a zablokování autentizace pomocí certifikátů..................... 129 Konfigurace mechanismu pro autentizaci pomocí certifikátů.................... 130 Konfigurace autentizace pomocí HTTP hlaviček........................ 130 Aktivace a zablokování autentizace pomocí HTTP hlaviček.................... 131 Určení typů hlaviček................................ 131 Konfigurace mechanismu pro autentizaci pomocí HTTP hlaviček.................. 131 Podmínky konfigurace............................... 132 Konfigurace autentizace pomocí IP adres.......................... 132 Aktivace a zablokování autentizace pomocí IP adresy...................... 132 Konfigurace mechanismu pro autentizaci pomocí IP adresy.................... 132 Konfigurace autentizace pomocí tokenů........................... 132 Aktivace a zablokování autentizace pomocí tokenů...................... 133 Konfigurace mechanismu pro autentizaci pomocí tokenů..................... 133 Konfigurace serveru WebSEAL, aby používal knihovnu klienta SecurID................ 133 Podpora agentů MPA (Multiplexing Proxy Agents)....................... 134 Platné typy dat relací a metody autentizace......................... 135 Průběh procesu autentizace pro MPA a několik klientů..................... 136 Aktivace a zablokování autentizace pomocí MPA....................... 137 Vytvoření účtu uživatele pro MPA........................... 137 Přidání účtu MPA do skupiny webseal-mpa-servers...................... 137 Omezení autentizace pomocí MPA........................... 137 Konfigurace opětovné autentizace založené na bezpečnostní politice.................. 137 Podmínky ovlivňující opětovnou autentizaci pomocí POP..................... 137 Vytvoření a použití opětovné autentizace pomocí POP..................... 138 Konfigurace vynulování a rozšíření doby trvání záznamu v paměti cache pro relace............ 139 Přizpůsobení formulářů pro přihlášení pro potřeby opětovné autentizace................ 140 Konfigurace opětovné autentizace založené na politice nečinnosti relace................. 140 Podmínky ovlivňující opětovnou autentizaci vyvolanou nečinností.................. 141 Aktivace opětovné autentizace vyvolané nečinností...................... 142 Vynulování a rozšíření hodnoty doby trvání záznamu v paměti cache pro relace.............. 142 Přizpůsobení formulářů pro potřeby opětovné autentizace..................... 144 Konfigurace automatického přesměrování na domovskou stránku při přihlášení............... 144 Průběh procesu automatického přesměrování........................ 144 Podmínky ovlivňující automatické přesměrování....................... 145 Konfigurace přizpůsobeného URL........................... 145 Aktivace a zablokování automatického přesměrování...................... 145 Kapitola 6. Řešení pro jednotné přihlášení mezi doménami............. 147 Vysvětlení autentizace pro CDSSO............................ 147 Přizpůsobení autentizace pro jednotné přihlášení....................... 147 Funkce a požadavky řešení CDSSO........................... 148 Průběh procesu autentizace pro řešení CDSSO s rozhraním CDMF.................. 148 Konfigurace autentizace pro CDSSO............................ 149 Shrnutí konfigurace CDSSO............................. 149 vi IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

Aktivace a zablokování autentizace pro CDSSO....................... 150 Konfigurace mechanismu autentizace pro jednotné přihlášení................... 150 Zašifrování dat autentizačního tokenu.......................... 151 Konfigurace časové značky tokenu........................... 152 Konfigurace jména označení tokenu........................... 152 Vytvoření HTML odkazu pro CDSSO.......................... 152 Ochrana autentizačního tokenu............................ 153 Umožnění kompatibility s předchozími vydáními....................... 153 Vysvětlení jednotného přihlášení pomocí e-community...................... 153 Funkce a požadavky jednotného přihlášení pomocí e-community.................. 155 Průběh procesu e-community............................. 156 Vysvětlení e-community cookie............................ 159 Vysvětlení vouch for požadavku a odpovědí........................ 160 Vysvětlení vouch for tokenu............................. 160 Konfigurace jednotného přihlášení pomocí e-community...................... 161 Shrnutí konfigurace e-community............................ 161 Aktivace a zablokování autentizace pro e-community...................... 162 Zadání jména e-community.............................. 162 Konfigurace mechanismu autentizace pro jednotné přihlášení................... 162 Zašifrování vouch for tokenu............................ 163 Konfigurace jména označení vouch for tokenu....................... 164 Určení hlavního autentizačního serveru (MAS)........................ 164 Zadání vouch for URL.............................. 165 Konfigurace hodnot doby trvání tokenu a e-community cookie (ec-cookie)............... 166 Umožnění kompatibility s předchozími vydáními....................... 166 Kapitola 7. Spojení WebSEAL......................... 167 Přehled spojení WebSEAL............................... 167 Umístění a formát databáze spojení........................... 167 Použití hrubě strukturovaného řízení přístupu: shrnutí...................... 168 Použití jemně strukturovaného řízení přístupu: shrnutí...................... 168 Pokyny pro vytváření spojení WebSEAL.......................... 168 Další odkazy na spojení WebSEAL........................... 169 Použití programu pdadmin k vytvoření spojení......................... 169 Konfigurace základního spojení WebSEAL.......................... 170 Vytvoření spojení TCP typu............................. 170 Vytvoření spojení SSL typu............................. 170 Přidání dalších serverů typu back-end ke spojení....................... 171 Vzájemně autentizovaná SSL spojení............................ 172 Server WebSEAL potvrdí certifikát serveru typu back-end.................... 172 Shoda rozlišovacích jmen (DN - Distinguished Name)...................... 173 Server WebSEAL se autentizuje pomocí certifikátu klienta.................... 173 Server WebSEAL se autentizuje pomocí hlavičky Základní autentizace................. 173 Manipulace s informacemi o totožnosti klienta ve spojeních.................... 174 Vytvoření TCP a SSL proxy spojení............................ 175 Spojení WebSEAL-na-WebSEAL přes protokol SSL....................... 175 Modifikace URL ke zdrojům typu back-end.......................... 176 Vysvětlení typů cest používaných v URL......................... 177 Filtrování URL v odpovědích............................. 178 Zpracování URL v požadavcích............................ 180 Práce s cookies z více serverů přes více spojení -j....................... 182 Další volby spojení................................. 183 Vynutit nové spojení ( f).............................. 184 Dodání totožnosti klienta v HTTP hlavičkách ( c)....................... 184 Dodání IP adres klienta v HTTP hlavičkách ( r)....................... 186 Omezení velikosti HTTP hlaviček generovaných serverem WebSEAL................. 186 Předání cookies relace do spojených portálových serverů ( k)................... 187 Podpora URL nezávislých na velikosti písma ( i)....................... 187 Podpora stavových spojení ( s, u)........................... 187 Uvedení UUID serveru typu back-end pro stavová spojení ( u)................... 188 Spojení k systémům souborů Windows ( w)........................ 190 Obsah vii

Technické poznámky k používání spojení WebSEAL....................... 191 Uchycení více serverů ke stejnému spojení......................... 192 Výjimky ve vynucování oprávnění přes spojení........................ 192 Autentizace pomocí certifikátů přes spojení......................... 192 Práce s cookies domény............................... 193 Používání programu query_contents servery třetích stran...................... 193 Instalace komponent query_contents........................... 193 Instalace programu query_contents na UNIXových serverech třetích stran................ 194 Instalace programu query_contents na serverech Win32 třetích stran................. 194 Přizpůsobení query_contents............................. 195 Zabezpečení query_contents............................. 196 Kapitola 8. Řešení pro jednotné přihlášení prostřednictvím spojení......... 199 Konfigurace hlaviček Základní autentizace pro jednotné přihlášení................... 199 Koncepty jednotného přihlášení (Single sign-on - SSO)..................... 199 Dodání totožnosti klienta v BA hlavičkách......................... 200 Dodání totožnosti klienta a generického hesla........................ 200 Přeposílání informací o originální BA hlavičce klienta..................... 201 Odstranění informací o BA hlavičce klienta......................... 202 Dodání jmen uživatelů a hesel z GSO.......................... 203 Používání globálního přihlášení (GSO - global sign-on)...................... 203 Mapování informací o autentizaci........................... 204 Konfigurace spojení WebSEAL pro GSO......................... 205 Konfigurace paměti cache GSO............................ 205 Konfigurace jednotného přihlášení k produktu IBM WebSphere (LTPA)................. 206 Konfigurace spojení LTPA.............................. 207 Konfigurace paměti cache LTPA............................ 207 Technické poznámky k jednotnému přihlášení pomocí LTPA.................... 208 Konfigurace autentizace pomocí formulářů pro jednotné přihlášení................... 208 Prostředí a cíle................................. 208 Průběh procesu jednotného přihlášení pomocí formulářů..................... 209 Požadavky na podporu aplikace............................ 210 Vytvoření konfiguračního souboru pro jednotné přihlášení pomocí formulářů............... 210 Aktivace jednotného přihlášení pomocí formulářů....................... 214 Příklad konfiguračního souboru pro IBM HelpNow...................... 214 Kapitola 9. Integrace aplikací.......................... 217 Podpora programování CGI.............................. 217 Windows: Podpora proměnných prostředí WIN32....................... 218 Podpora aplikací na straně serveru typu back-end........................ 219 Osvědčené metody spojení pro integraci aplikací........................ 219 Dodání úplné informace hlavičky HOST pomocí -v...................... 219 Podpora standardního filtrování absolutních URL....................... 220 Vytváření přizpůsobené personifikované služby........................ 221 Konfigurace serveru WebSEAL pro personifikovanou službu................... 221 Příklad personifikované služby............................ 222 Aktivace nároků dynamického obchodu (příznak/hodnota)..................... 222 Vytváření obchodních nároků z dat LDAP......................... 222 Vkládání dat pověření do HTTP hlavičky......................... 224 Udržování stavu relace mezi klientem a aplikací typu back-end.................... 225 Prostředí správy relací uživatelů............................ 225 Aktivace správy ID relací uživatelů........................... 226 Vkládání dat pověření do HTTP hlavičky......................... 226 Ukončení relací uživatele.............................. 227 Poskytování řízení přístupu k dynamickým URL........................ 229 Komponenty dynamického URL............................ 229 Mapování objektů ACL a POP na dynamická URL....................... 229 Aktualizace serveru WebSEAL pro dynamická URL...................... 231 Rozlišování dynamických URL v prostoru objektů...................... 231 Konfigurace omezení požadavků POST.......................... 232 viii IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

Souhrn a technické poznámky............................. 233 Příklad dynamického URL: Travel Kingdom......................... 234 Aplikace................................... 234 Rozhraní................................... 234 Bezpečnostní politika............................... 235 Zabezpečení klientů................................ 235 Řízení přístupu................................. 236 Závěr.................................... 236 Dodatek A. Reference konfiguračního souboru serveru WebSEAL.......... 237 Pokyny pro konfiguraci stanz.............................. 237 Obecné pokyny................................. 237 Předvolené hodnoty................................ 238 Řetězce................................... 238 Definované řetězce................................ 238 Seznamy................................... 238 Jména souborů................................. 239 Celočíselné proměnné............................... 239 Boolovské hodnoty................................ 240 Změna nastavení konfigurace.............................. 240 Uspořádání stanz.................................. 241 Konfigurace serveru................................. 243 Registr uživatelů.................................. 248 LDAP.................................... 248 Active Directory................................. 253 IBM Lotus Domino................................ 256 Protokol SSL (Secure Socket Layer)............................ 259 Autentizace................................... 266 Mechanismy autentizace.............................. 267 Knihovny autentizace............................... 271 Opětovná autentizace............................... 275 Autentizace při přepnutí při selhání........................... 276 Jednotné přihlášení mezi doménami........................... 278 Jednotné přihlášení pomocí e-community......................... 279 Úroveň zabezpečení................................ 282 Relace..................................... 284 Obsah..................................... 286 Správa obsahu................................. 287 Správa účtů.................................. 288 Automatické přesměrování.............................. 291 Lokální CGI.................................. 292 Ikony.................................... 294 Ukládání obsahu do paměti cache............................ 296 Typy MIME obsahu................................ 297 Kódování obsahu................................. 298 Spojení..................................... 299 Správa spojení................................. 300 Filtrování dokumentů............................... 304 Filtrování správce událostí.............................. 305 Filtrování schémat................................ 307 Filtrování typů MIME a hlaviček............................ 308 Filtrování skriptů................................. 309 Paměť cache pro GSO (Global Sign-On).......................... 311 Paměť cache pro autentizaci pomocí LTPA (Lightweight Third Party Authentication)............ 313 Protokolování................................... 315 Monitorování................................... 318 Databáze politik.................................. 321 Služby nároků.................................. 323 Server politik................................... 324 Dodatek B. Reference spojení WebSEAL..................... 325 Obsah ix

Použití programu pdadmin k vytvoření spojení......................... 325 Příkazy pro spojení................................. 326 Vytvořit nové spojení pro první server........................... 327 Přidání dalšího serveru ke stávajícímu spojení......................... 329 Dodatek C. Použití obslužného programu pdbackup pro produkt WebSEAL...... 331 Funkční vlastnosti................................. 331 Zálohování dat:................................. 331 Obnova dat.................................. 332 Syntaxe.................................... 332 Příklady.................................... 333 Příklady pro operační systém UNIX........................... 333 Příklady pro operační systém Windows.......................... 333 Obsah souboru amwebbackup.lst............................ 334 Další data pro zálohování.............................. 335 Dodatek D. Poznámky............................. 337 Ochranné známky................................. 339 Rejstřík................................... 341 x IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

Úvod Pro koho je určena tato kniha Co tato kniha obsahuje Vítejte v knize IBM Tivoli Access Manager WebSEAL: Průvodce administrátora. Produkt IBM Tivoli Access Manager WebSEAL je správce zabezpečení zdrojů pro zdroje založené na webu v rámci zabezpečené domény produktu Tivoli Access Manager. Server WebSEAL je vysoce výkonný vícevláknový webový server, který používá jemně strukturovanou bezpečnostní politiku, aby zabezpečil prostor webových objektů. Server WebSEAL může nabídnout řešení pro jednotné přihlášení a zahrnout zdroje webových aplikačních serverů typu back-end do své bezpečnostní politiky. Tento průvodce administrátora nabízí úplnou sadu procedur a referenčních informací pro správu zdrojů vaší zabezpečené webové domény. Tento průvodce vám dále poskytuje hodnotné informace o prostředí a konceptech řady funkčních vlastností produktu WebSEAL. IBM Tivoli Access Manager (Tivoli Access Manager) je základní software, který je nezbytný, aby bylo možné pracovat s aplikacemi v produktové řadě IBM Tivoli Access Manager. Umožňuje integraci aplikací IBM Tivoli Access Manager, které nabízí širokou paletu řešení autorizace a správy. Jsou-li prodány jako integrované řešení, mohou tyto produkty nabídnout řešení pro správu řízení přístupu, které centralizuje síť a bezpečnostní politiku pro e-business aplikace. Poznámka: IBM Tivoli Access Manager je nové jméno dříve uvolněného softwaru zvaného Tivoli SecureWay Policy Director. Uživatelům, kteří dobře znali software a dokumentaci produktu Tivoli SecureWay Policy Director, bychom chtěli dát vědět, že termín Management Server (server správy) je nyní nahrazen termínem Policy Server (server politik). Tento průvodce je určen pro systémové administrátory odpovědné za konfiguraci a správu prostředí produktu Tivoli Access Manager WebSEAL. Čtenáři této knihy by měli znát: v operační systémy na platformě PC a operační systém UNIX v databázovou architekturu a koncepty v správu zabezpečení ochrany dat v protokoly Internetu, včetně HTTP, TCP/IP, FTP (file transfer protocol) a telnetu v Lightweight Directory Access Protocol (LDAP) a adresářové služby v podporovaný registr uživatelů v autentizaci a autorizaci Pokud používáte komunikaci SSL (Secure Sockets Layer), měli byste také znát protokol SSL, výměnu klíčů (veřejných a soukromých), digitální podpisy, šifrovací algoritmy a vydavatele certifikátů. v Kapitola 1: Přehled produktu IBM Tivoli Access Manager WebSEAL Copyright IBM Corp. 1999, 2002 xi

Tato kapitola vám představí důležité koncepty a funkční vlastnosti produktu WebSEAL, jako např.: organizování a zabezpečení vašeho prostoru objektů, autentizaci, získání pověření a spojení WebSEAL. v Kapitola 2: Základní konfigurace serveru Tato kapitola je technickou referencí pro obecné úlohy konfigurace produktu WebSEAL, včetně používání konfiguračního souboru produktu WebSEAL, správy webového prostoru, správy certifikátů a konfigurace protokolování. v Kapitola 3: Pokročilá konfigurace serveru Tato kapitola je technickou referencí pro pokročilé úlohy konfigurace produktu WebSEAL, včetně konfigurace více instancí serveru WebSEAL, konfigurace funkčnosti pro přepínání uživatelů, správy alokace pracovních vláken a konfigurace aktualizací a systému výzev autorizační databáze. v Kapitola 4: Bezpečnostní politika produktu WebSEAL Tato kapitola obsahuje podrobné technické procedury pro přizpůsobení bezpečnostní politiky na WebSEAL serveru, včetně politik ACL a POP, úrovně zabezpečení, politiky zvýšené autentizace, politiky autentizace založené na síti, politiky pro přihlášení třikrát a dost a politiky odolnosti hesla. v Kapitola 5: Autentizace produktu WebSEAL Tato kapitola obsahuje podrobné technické procedury pro nastavení produktu WebSEAL tak, aby mohl spravovat řadu politik autentizace, včetně jména a hesla uživatele, certifikátů klienta, SecurID token passcode, speciálních dat HTTP hlavičky a opětovné autentizace. v Kapitola 6: Řešení pro jednotné přihlášení mezi doménami Tato kapitola probírá řešení pro jednotné přihlášení mezi doménami, týkající se vnější strany konfigurace WebSEAL proxy mezi klientem a serverem WebSEAL. v Kapitola 7: Spojení WebSEAL Tato kapitola je úplnou technickou referencí pro nastavení a používání spojení WebSEAL. v Kapitola 8: Řešení pro jednotné přihlášení prostřednictvím spojení Tato kapitola probírá řešení pro jednotné přihlášení, týkající se vnitřní strany konfigurace WebSEAL proxy mezi WebSEAL serverem a spojeným aplikačním serverem typu back-end. v Kapitola 9: Integrace aplikací Tato kapitola prozkoumává řadu schopností produktu WebSEAL, týkajících se integrace funkčních vlastností aplikací třetích stran. v Dodatek A: Reference konfiguračního souboru WebSEAL v Dodatek B: Reference spojení WebSEAL v Dodatek C: Použití obslužného programu pdbackup pro produkt WebSEAL v Dodatek D: Poznámky Publikace Knihovna produktu Tivoli Access Manager je rozdělena do následujících kategorií: v Informace o vydání na stránce xiii v Základní informace na stránce xiii v Informace o WebSEAL na stránce xiii v Informace o zabezpečení Webu na stránce xiii v Reference pro vývojáře na stránce xiv v Technické dodatky na stránce xiv xii IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

Informace o vydání v IBM Tivoli Access Manager Karta Čtěte jako první GI11-2919-00 (am41_readme.pdf) Obsahuje informace pro instalaci a začátek práce s produktem Tivoli Access Manager. v IBM Tivoli Access Manager Release Notes SC32-1130-00 (am41_relnotes.pdf) Poskytuje nejnovější informace např. o omezeních softwaru, pomocných opravách problémů, nebo o aktualizacích dokumentace. Základní informace v IBM Tivoli Access Manager Base Installation Guide SC32-1131-01 (am41_install.pdf) Vysvětluje, jak nainstalovat, nakonfigurovat a jak provést aktualizaci softwaru Tivoli Access Manager, včetně rozhraní Web Portal Manager. v IBM Tivoli Access Manager Base: Administrativní příručka SC09-3690-01 (am41_admin.pdf) Popisuje koncepty a procedury používání služeb produktu Tivoli Access Manager. Poskytuje instrukce pro provádění úloh z rozhraní Web Portal Manager a pro provádění úloh pomocí příkazu pdadmin. Informace o WebSEAL v IBM Tivoli Access Manager WebSEAL Installation Guide SC32-1133-01 (amweb41_install.pdf) Poskytuje instrukce pro instalaci, konfiguraci a odstranění serveru WebSEAL a sady pro vývoj aplikací WebSEAL. v IBM Tivoli Access Manager WebSEAL: Průvodce administrátora SC09-3686-01 (amweb41_admin.pdf) Poskytuje podkladové materiály, administrativní procedury a informace o technických odkazech, které se používají ke správě zdrojů ve vaší zabezpečené webové doméně pomocí serveru WebSEAL. Informace o zabezpečení Webu v IBM Tivoli Access Manager for WebSphere Application Server: Průvodce uživatele SC09-3687-01 (amwas41_user.pdf) Poskytuje instrukce pro instalaci, odstranění a administrativu produktu Tivoli Access Manager for IBM WebSphere Application Server. v IBM Tivoli Access Manager for WebLogic Server User s Guide SC09-3688-01 (amwls41_user.pdf) Poskytuje instrukce pro instalaci, odstranění a administrativu produktu Tivoli Access Manager for BEA WebLogic Server. v IBM Tivoli Access Manager Plug-in for Edge Server User s Guide SC32-1138-01 (amedge41_user.pdf) Popisuje, jak nainstalovat, nakonfigurovat a administrovat aplikaci Plug-in for IBM WebSphere Edge Server. v IBM Tivoli Access Manager Plug-in for Web Servers: Průvodce uživatele SC09-3698-01 (amws41_user.pdf) Poskytuje instrukce pro instalaci, administrativní procedury a informace o technických odkazech, týkající se zabezpečení vaší webové domény pomocí plug-in programu pro webové servery. Úvod xiii

Reference pro vývojáře v IBM Tivoli Access Manager Authorization C API Developer s Reference SC32-1140-01 (am41_authc_devref.pdf) Obsahuje referenční materiál, který popisuje, jak používat autorizační rozhraní C API produktu Tivoli Access Manager a servisní plug-in rozhraní produktu Access Manager pro přidání zabezpečení produktu Tivoli Access Manager do aplikací. v IBM Tivoli Access Manager Authorization Java Classes Developer s Reference SC32-1141-01 (am41_authj_devref.pdf) Poskytuje referenční informace, jak pomocí implementace autorizačního rozhraní API v jazyce Java povolit, aby aplikace používala zabezpečení produktu Tivoli Access Manager. v IBM Tivoli Access Manager Administration C API Developer s Reference SC32-1142-01 (am41_adminc_devref.pdf) Poskytuje referenční informace, jak pomocí administrativního rozhraní API povolit, aby aplikace prováděla administrativní úlohy produktu Tivoli Access Manager. Tento dokument popisuje implementaci tohoto administrativního rozhraní API v jazyce C. v IBM Tivoli Access Manager Administration Java Classes Developer s Reference SC32-1143-01 (am41_adminj_devref.pdf) Poskytuje referenční informace, jak pomocí implementace administrativního rozhraní API v jazyce Java povolit, aby aplikace prováděla administrativní úlohy produktu Tivoli Access Manager. v IBM Tivoli Access Manager WebSEAL Developer s Reference SC32-1135-01 (amweb41_devref.pdf) Poskytuje informace o administrativě a programování CDAS (Cross-domain Authentication Service), CDMF (Cross-domain Mapping Framework) a modulu Odolnosti hesla. Technické dodatky Související v IBM Tivoli Access Manager Command Reference GC32-1107-01 (am41_cmdref.pdf) Poskytuje informace o obslužných programech příkazového řádku a skriptech, které jsou součástí produktu Tivoli Access Manager. v IBM Tivoli Access Manager Error Message Reference SC32-1144-01 (am41_error_ref.pdf) Obsahuje vysvětlení a doporučované akce pro zprávy, které vydává produkt Tivoli Access Manager. v IBM Tivoli Access Manager Problem Determination Guide GC32-1106-01 (am41_pdg.pdf) Obsahuje informace napomáhající určení problému pro produkt Tivoli Access Manager. v IBM Tivoli Access Manager Performance Tuning Guide SC32-1145-01 (am41_perftune.pdf) Poskytuje informace o ladění výkonnosti pro prostředí obsahující produkt Tivoli Access Manager, ve kterém je IBM Directory server nadefinován jako registr uživatelů. publikace Tato část obsahuje seznam publikací, souvisejících s knihovnou produktu Tivoli Access Manager. Tivoli Software Library obsahuje celou řadu publikací týkajících se produktů Tivoli, jako např. dokumenty typu white paper, základní informace o produktech, demonstrační materiály, xiv IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

tzv. redbooky a informace o ohlášení. Tivoli Software Library je k dispozici na této webové adrese: http://www.ibm.com/software/tivoli/library/ Obsahem Tivoli Software Glossary jsou definice mnoha technických termínů, vztahujících se k softwaru Tivoli. Tivoli Software Glossary je k dispozici pouze v anglickém jazyce na odkazu Glossary v levé části webové stránky Tivoli Software Library http://www.ibm.com/software/tivoli/library/ IBM Global Security Toolkit Produkt Tivoli Access Manager umožňuje šifrování dat pomocí produktu IBM Global Security Toolkit (GSKit). GSKit se dodává na CD-ROM IBM Tivoli Access Manager Base pro vaši určitou platformu. Sada programů GSKit instaluje obslužný program pro správu klíčů ikeyman (gsk5ikm), který vám dovolí vytvořit databáze klíčů, páry klíčů veřejný-soukromý a žádosti o certifikát. Následující dokument je k dispozici na webovém serveru Tivoli Information Center, a to ve stejné části jako dokumentace produktu IBM Tivoli Access Manager: v Secure Sockets Layer Introduction and ikeyman User s Guide (gskikm5c.pdf) Obsahuje informace pro síťové nebo systémové administrátory, kteří chtějí aktivovat SSL komunikaci v prostředí produktu Tivoli Access Manager. IBM DB2 Universal Database Produkt IBM DB2 Universal Database je vyžadován, pokud instalujete server IBM SecureWay Directory, nebo server z/os a OS/390 SecureWay LDAP. DB2 se dodává na produktových CD-ROM pro následující operační systémy: v IBM AIX v Microsoft Windows v Sun Solaris Operating Environment Informace o DB2 jsou k dispozici na následující webové stránce: http://www.ibm.com/software/data/db2/ IBM Directory Server Produkt IBM Directory Server verze 4.1 je součástí CD-ROM s názvem IBM Tivoli Access Manager Base CD, a to pro všechny platformy kromě operačního systému Linux pro platformu zseries. Software IBM Directory Server pro operační systém Linux pro platformu S/390 můžete získat na této webové stránce: http://www.ibm.com/software/network/directory/server/download/ Pokud chcete používat IBM Directory Server jako váš registr uživatelů, prohlédněte si informace na této webové stránce: http://www.ibm.com/software/network/directory/library/ IBM WebSphere Application Server IBM WebSphere Application Server, Advanced Single Server Edition 4.0.3 je součástí CD-ROM Web Portal Manager a je nainstalován současně s rozhraním Web Portal Manager. Další informace o produktu IBM WebSphere Application Server najdete na následujícím webovém serveru: http://www.ibm.com/software/webservers/appserv/infocenter.html Úvod xv

IBM Tivoli Access Manager for Business Integration Produkt IBM Tivoli Access Manager for Business Integration je k dispozici jako samostatně objednatelný produkt. Nabízí řešení zabezpečení pro zprávy z produktů IBM MQSeries verze 5.2 a IBM WebSphere MQ for Version 5.3. Produkt IBM Tivoli Access Manager for Business Integration umožňuje, aby aplikace WebSphere MQSeries posílala data diskrétně a neporušeně pomocí klíčů, které jsou přidruženy k odesílacím a přijímajícím aplikacím. Stejně jako produkt WebSEAL a produkt IBM Tivoli Access Manager for Operating Systems, tak i produkt IBM Tivoli Access Manager for Business Integration je jedním ze správců zdrojů, který používá autorizační služby produktu IBM Tivoli Access Manager for e-business. Níže uvedené dokumenty, které se týkají produktu IBM Tivoli Access Manager for Business Integration verze 4.1, jsou k dispozici na webové stránce Tivoli Information Center: v IBM Tivoli Access Manager for Business Integration Administrator s Guide (SC23-4831-00) v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-00) v IBM Tivoli Access Manager for Business Integration Read Me First (GI11-0958-00) IBM Tivoli Access Manager for Operating Systems Produkt IBM Tivoli Access Manager for Operating Systems je k dispozici jako samostatně objednatelný produkt. Pro UNIXové systémy nabízí další úroveň pro vymáhání politiky autorizace k původní úrovni vlastního operačního systému. Produkt IBM Tivoli Access Manager for Operating Systems je stejně jako produkty WebSEAL a IBM Tivoli Access Manager for Business Integration jedním ze správců zdrojů, kteří používají autorizační služby produktu IBM Tivoli Access Manager for e-business. Níže uvedené dokumenty, které se týkají produktu IBM Tivoli Access Manager for Operating Systems verze 4.1, jsou k dispozici na webové stránce Tivoli Information Center: v IBM Tivoli Access Manager for Operating Systems Installation Guide (SC23-4829-00) v IBM Tivoli Access Manager for Operating Systems Administration Guide (SC23-4827-00) v IBM Tivoli Access Manager for Operating Systems Problem Determination Guide (SC23-4828-00) v IBM Tivoli Access Manager for Operating Systems Release Notes (GI11-0951-00) v IBM Tivoli Access Manager for Operating Systems Read Me First (GI11-0949-00) Online přístup k publikacím Publikace pro tento produkt jsou k dispozici v online verzi ve formátu PDF (Portable Document Format) nebo HTML (Hypertext Markup Language), případně v obou v knihovně Tivoli Software Library: http://www.ibm.com/software/tivoli/library Chcete-li v knihovně nalézt publikace produktu, klepněte na odkaz Product manuals v levé části stránky Library. Pak najděte na stránce Tivoli Software Information Center jméno produktu a klepněte na ně. Publikace produktu obsahují poznámky k jednotlivým vydáním, průvodce instalací, průvodce uživatele, průvodce administrátora a reference pro vývojáře. Poznámka: Pokud chcete vytisknout PDF publikace, zaškrtněte pole Fit to page v dialogu Print produktu Adobe Acrobat (ke kterému se dostanete, pokud klepnete na File Print). xvi IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

Dostupnost Objednání publikací Mnohé z Tivoli publikací si můžete online objednat na následujícím webovém serveru: http://www.elink.ibmlink.ibm.com/public/applications/ publications/cgibin/pbi.cgi Můžete si je také objednat telefonicky na těchto telefonních číslech: v ve Spojených státech: 800-879-2755 v v Kanadě: 800-426-4968 v seznam telefonních čísel pro ostatní země najdete na této webové stránce:http://www.ibm.com/software/tivoli/order-lit/ Funkce dostupnosti pomáhají uživateli s tělesným postižením, jako např. se sníženou pohyblivostí nebo omezeným viděním, úspěšně používat softwarové produkty. Pomocí těchto produktů můžete používat asistenční technologie, prostřednictvím kterých můžete poslouchat a navigovat rozhraní. Můžete také používat klávesnici místo myši pro obsluhu všech funkcí grafického uživatelského rozhraní. Kontakt na softwarovou podporu Než se obrátíte na Softwarovou podporu IBM Tivoli se svým problémem, podívejte se na stránku podpory softwaru IBM Tivoli na této webové adrese: http://www.ibm.com/software/sysmgmt/products/support/ Pokud budete potřebovat další pomoc, obraťte se na softwarovou podporu způsobem, který je popsán v příručce IBM Software Support Guide na této webové adrese: http://techsupport.services.ibm.com/guides/handbook.html Průvodce poskytuje následující informace: v požadavky na registraci a způsobilost pro obdržení podpory v telefonní čísla a adresy elektronické pošty v závislosti na zemi, ve které pracujete v jaké informace je nutné shromáždit, než se obrátíte na Zákaznickou podporu Konvence používané v této knize Tato příručka používá několik grafických konvencí pro speciální termíny a akce, a příkazy a cesty závislé na operačním systému. Konvence typu písma V této knize jsou použity tyto konvence typu písma: tučné písmo Příkazy uvedené malými písmeny nebo smíšeně malými i velkými písmeny, které je těžké odlišit od okolního textu, klíčová slova, parametry, volby a jména tříd Javy a objekty jsou uvedeny tučným písmem. kurzíva Proměnné, názvy publikací a speciální slova nebo fráze, které je nutné zdůraznit, jsou vyznačeny kurzívou. monospace Příklady kódů, příkazové řádky, výstupy na obrazovku, jména souborů a adresářů, která je těžké odlišit od okolního textu, systémové zprávy, text, který musí uživatel správně zadat, a hodnoty argumentů nebo voleb příkazů jsou vyznačeny pomocí monospace. Úvod xvii

Rozdíly v operačních systémech Tato kniha používá konvence operačního systému UNIX ve specifikacích proměnných prostředí a v zápisu adresářů. Pokud používáte příkazový řádek operačního systému Windows, nahraďte $proměnná za %proměnná% v proměnných prostředích a nahraďte každé lomítko (/) lomítkem zpětným (\) v cestách k adresářům. Pokud používáte nadstavbu bash v operačním systému Windows, můžete používat konvence operačního systému UNIX. xviii IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

Kapitola 1. Přehled produktu IBM Tivoli Access Manager WebSEAL Produkt IBM Tivoli Access Manager for e-business (Tivoli Access Manager) je robustní a bezpečné řešení centralizované správy politik pro aplikace elektronického obchodu a distribuované aplikace. Produkt IBM Tivoli Access Manager WebSEAL je vysoce výkonný vícevláknový webový server, který aplikuje jemně strukturovanou bezpečnostní politiku na prostor chráněných webových objektů produktu Tivoli Access Manager. Server WebSEAL může nabídnout řešení pro jednotné přihlášení a zahrnout zdroje webových aplikačních serverů typu back-end do své bezpečnostní politiky. Tato přehledová kapitola vám představí hlavní schopnosti serveru WebSEAL. Seznam témat: v Úvod do produktů IBM Tivoli Access Manager a WebSEAL na stránce 1 v Vysvětlení bezpečnostního modelu produktu Tivoli Access Manager na stránce 3 v Ochrana webového prostoru pomocí serveru WebSEAL na stránce 6 v Plánování a implementace bezpečnostní politiky na stránce 8 v Vysvětlení autentizace serveru WebSEAL na stránce 9 v Vysvětlení spojení WebSEAL na stránce 12 Úvod do produktů IBM Tivoli Access Manager a WebSEAL IBM Tivoli Access Manager: Produkt IBM Tivoli Access Manager je úplné řešení správy bezpečnostní politiky autorizace i sítě, které nabízí dosud nepřekonanou ochranu zdrojů typu end-to-end (tj. ochranu přes všechny úrovně v hierarchii systému) v geograficky rozptýlených intranetech a extranetech. Kromě této nejmodernější funkce pro správu bezpečnostní politiky produkt Tivoli Access Manager podporuje autentizaci, autorizaci, zabezpečení dat a centralizovanou správu zdrojů. Produkt Tivoli Access Manager můžete používat společně se standardními aplikacemi založenými na Internetu, abyste vybudovali vysoce zabezpečené a dobře spravované intranety. Ve svém jádru produkt Tivoli Access Manager poskytuje: v základní strukturu autentizace Produkt Tivoli Access Manager nabízí řadu zabudovaných autentizátorů a podporuje externí autentizátory. v základní strukturu autorizace Autorizační služba produktu Tivoli Access Manager, ke které je možné přistupovat prostřednictvím autorizačního rozhraní API Tivoli Access Manager, poskytuje pro žádosti o přístup ke chráněným zdrojům umístěným v zabezpečené doméně rozhodnutí povolit nebo odepřít přístup. S pomocí produktu Tivoli Access Manager je možné bezpečně řídit přístup k soukromým interním zdrojům umístěným na síti za současného rozšíření o širokou propojitelnost a snadnost použití veřejného Internetu. Produkt Tivoli Access Manager v kombinaci s firemním systémem firewallů může úplně chránit celopodnikovou intranetovou síť před neoprávněným přístupem a narušením. Copyright IBM Corp. 1999, 2002 1