IBM Tioli Access Manager Base: Administratiní příručka Verze 5.1 SC09-3708-00
IBM Tioli Access Manager Base: Administratiní příručka Verze 5.1 SC09-3708-00
Poznámka Než začnete použíat uedené informace a produkt, o který se opírají, přečtěte si informace uedené části Dodatek E, Poznámky, na stránce 359. Prní ydání (Listopad 2003) Toto ydání nahrazuje SC09-3690-01. Copyright International Business Machines Corporation 1999, 2003. Všechna práa yhrazena.
Obsah Úod..................................... xi Pro koho je určena tato kniha...............................xi Co tato kniha obsahuje................................xi Publikace.................................... xiii Informace o ydání................................ xiii Základní informace................................ xiii Informace o zabezpečení Webu............................. xiii Reference pro ýojáře............................... xi Technické dodatky................................x Souisející publikace................................x Online přístup k publikacím............................. xiii Dostupnost................................... xiii Kontakt na softwaroou podporu............................. xiii Konence použíané této knize............................. xiii Konence typu písma............................... xiii Rozdíly operačních systémech............................ xix Kapitola 1. Přehled produktu IBM Tioli Access Manager............... 1 Klíčoé technologie..................................2 Autentizace...................................2 Autorizace...................................2 Úroeň zabezpečení................................2 Škáloatelnost..................................3 Prokazatelnost přístupu................................3 Centralizoaná spráa................................3 Přehled bezpečnostní politiky...............................4 Standard autorizačního rozhraní API.............................5 Autorizace: koncepční model...............................5 Prospěchy ze standardní autorizační služby..........................7 Přehled autorizační služby produktu Tioli Access Manager.....................7 Autorizační služby Tioli Access Manager...........................8 Komponenty...................................8 Rozhraní autorizační služby..............................9 Replikace pro zajištění škáloatelnosti a ýkonnosti.......................9 Implementace síťoé bezpečnostní politiky..........................10 Definice a aplikace bezpečnostní politiky..........................10 Autorizační proces: krok-za-krokem...........................12 Autorizační API Tioli Access Manager...........................12 Použití autorizačního rozhraní API: da příklady........................13 Autorizační rozhraní API: režim zdálené paměti cache.....................14 Autorizační rozhraní API: režim lokální paměti cache......................15 Schopnost externí autorizace...............................16 Rozšíření autorizační služby..............................16 Prosazení podmínek požadakům na zdroj.........................17 Proces yhodnocoání autorizace............................17 Implementace externí autorizační služby..........................19 Strategie nasazení.................................19 Kapitola 2. Web Portal Manager......................... 21 Typy administratiy.................................21 Funkce delegoané administratiy.............................22 Vlastní podpora.................................22 Vlastní registrace.................................22 Společné úlohy rozhraní Web Portal Manager.........................23 Spuštění administratiy rozhraní Web Portal Manager......................23 Copyright IBM Corp. 1999, 2003 iii
Spuštění delegoané administratiy rozhraní Web Portal Manager..................23 Přihlášení a odhlášení................................24 Získání online nápoědy...............................24 Hledání....................................24 Zobrazení seznamů................................24 Změna oleb..................................25 Změna filtrů..................................25 Úpraa rozhraní Web Portal Manager podle užiatele.......................26 Přizpůsobení obrázků................................26 Vytoření přizpůsobitelného horního banneru........................26 Úlohy lastní registrace................................27 Proedení lastní registrace..............................27 Změna stránek sereru Jaa..............................28 Kapitola 3. Administratia produktu Tioli Access Manager............. 31 Domény.....................................31 Prostor chráněných objektů...............................32 Užiatelé a skupiny.................................33 Bezpečnostní politika.................................34 Politiky ACL...................................35 Použití politik ACL autorizační službou..........................36 Vyhodnocoání ACL................................36 Politiky POP...................................37 Autorizační praidla.................................37 Jak se autorizační praidla liší od politik ACL a POP......................38 Kdy použíat autorizační praidla............................38 Pokyny pro zabezpečení prostoru objektů...........................38 Kapitola 4. Předolená bezpečnostní politika................... 41 Předolení administrátoři a skupiny............................41 Skupina i-admin.................................41 Užiatel sec_master................................41 Skupina imgrd-serers...............................41 Administrátoři..................................41 Příklad administratiních politik ACL...........................42 Definice a aplikace bezpečnostní politiky...........................42 Přístupoý seznam.................................43 Předolené administratiní politiky ACL..........................43 Opránění spráy.................................45 Řídký model bezpečnostní politiky............................52 Politiky chráněného objektu..............................56 Autorizační praidla................................57 Kapitola 5. Spráa domény........................... 59 Vytoření domény..................................59 Web Portal Manager................................59 pdadmin....................................60 Výpis domén...................................60 Web Portal Manager................................60 pdadmin....................................60 Výmaz domén...................................60 Web Portal Manager................................61 pdadmin....................................61 Úpraa domény..................................61 Web Portal Manager................................61 pdadmin....................................62 Kapitola 6. Spráa prostoru objektů....................... 63 Vytořit prostor objektů................................63 Web Portal Manager................................63 i IBM Tioli Access Manager: Base: Administratiní příručka
pdadmin....................................64 Vytořit objekt...................................64 Web Portal Manager................................64 pdadmin....................................65 Procházení prostorů objektů...............................65 Web Portal Manager................................65 pdadmin....................................66 Vymazat prostor objektů................................66 Web Portal Manager................................66 pdadmin....................................66 Kapitola 7. Spráa chráněných objektů...................... 67 Vytořit objekt...................................67 Web Portal Manager................................67 pdadmin....................................67 Vypsat objekty...................................68 Web Portal Manager................................68 pdadmin....................................68 Vymazat objekt..................................68 Web Portal Manager................................69 pdadmin....................................69 Kapitola 8. Spráa přístupoých seznamů..................... 71 Politiky ACL...................................71 Záznamy ACL...................................71 Atribut Typ...................................72 Atribut ID...................................73 Atribut opránění (akce)...............................73 Předolená opránění (akce) produktu Tioli Access Manager....................73 Spráa přístupoých seznamů..............................74 Vytořit ACL..................................74 Vypsat ACL..................................75 Vymazat ACL..................................75 Uprait ACL..................................76 Použití atributu ACL pro chráněný objekt...........................76 Připojit ACL k objektu...............................76 Najít, kde je politika ACL připojena...........................77 Odpojení politiky ACL...............................77 Příklad záznamů ACL................................78 Politiky ACL a prostor chráněných objektů..........................78 Kořenoý ( / ) objekt typu zásobník...........................78 Opránění pro přechod...............................79 Opránění objektu a prostoru objektů............................79 Spráa skupin akcí.................................79 Skupiny akcí..................................80 Vytořit noou skupinu akcí..............................80 Vypsat skupiny akcí................................81 Vymazat skupinu akcí...............................81 Vytořit noou akci e skupině akcí...........................82 Přizpůsobené akce.................................82 Zadání přizpůsobených akcí do záznamů ACL........................83 Kapitola 9. Spráa politik chráněných objektů................... 85 Spráa politik chráněných objektů.............................86 Vytořit politiku POP................................86 Vypsat politiky POP................................88 Vymazat politiku POP...............................88 Úpraa politiky POP................................89 Aplikace atributů POP na chráněné objekty..........................90 Připojit politiku POP k objektu.............................90 Obsah
Najít, kde je politika POP připojena...........................90 Odpojení politiky POP od chráněného objektu........................91 Konfigurace atributů politiky POP.............................91 Atribut Režim aroání...............................91 Atribut Úroeň auditu................................92 Atribut Denní doba přístupu..............................92 Politika POP autorizace založené na síti...........................93 Určení IP adres a rozsahů..............................93 Zablokoání autorizací založených na síti prostřednictím adresy IP..................94 Algoritmus autorizace založené na síti...........................94 Omezení a poznámky k autorizaci založené na síti.......................95 Politika POP odolnosti autentizace (zýšení)..........................95 Konfigurace úroní pro zýšenou autentizaci.........................95 Použití politiky zýšené autentizace...........................96 Rozlišení mezi zýšenou a ícefaktoroou autentizací......................96 Úroeň zabezpečení politiky POP.............................97 Kapitola 10. Spráa autorizačních praidel.................... 99 Přehled autorizačních praidel..............................99 Informace o rozhodnutí o přístupu.............................99 Zdroje pro načtení ADI...............................99 Nestálá a stálá data................................ 101 Jazyk autorizačních praidel.............................. 101 Model dokumentu XML pro ADI............................ 102 Informace o rozhodnutí o přístupu do XML......................... 104 Definoání prostoru jmen XML............................ 106 Program pro yhodnocoání autorizačních praidel....................... 107 Formát a omezení praidel.............................. 108 Příklady praidel................................. 110 Metody poskytoání ADI programům pro yhodnocoání praidel.................. 113 Kódy příčiny pro selhání praidel............................ 114 Konfigurační soubor a inicializační atributy.......................... 115 resource-manager-proided-adi............................ 115 dynamic-adi-entitlement-serices............................ 115 input-adi-xml-prolog a xsl-stylesheet-prolog........................ 116 [xmladi-attribute-definitions]............................. 116 Spráa autorizačního praidla.............................. 117 Toření autorizačního praidla............................. 117 Výpis autorizačních praidel............................. 118 Vymazání autorizačního praidla............................ 118 Úpraa autorizačního praidla............................. 119 Připojení autorizačního praidla k chráněnému objektu..................... 120 Hledání objektu s připojeným autorizačním praidlem...................... 120 Odpojení autorizačního praidla............................ 121 Kapitola 11. Spráa užiatelů a skupin...................... 123 Hledání užiatelů.................................. 123 Web Portal Manager................................ 123 pdadmin................................... 124 Vytoření užiatele................................. 124 Web Portal Manager................................ 124 pdadmin................................... 125 Naimportoat užiatele................................ 125 Web Portal Manager................................ 125 pdadmin................................... 126 Nastaení globálních politik užiatele........................... 126 Web Portal Manager................................ 126 pdadmin................................... 128 Změna hesla užiatele................................ 128 Web Portal Manager................................ 128 i IBM Tioli Access Manager: Base: Administratiní příručka
pdadmin................................... 128 Hledání skupin.................................. 128 Web Portal Manager................................ 128 pdadmin................................... 129 Vytoření skupiny................................. 129 Web Portal Manager................................ 129 pdadmin................................... 130 Naimportoat skupinu................................ 130 Web Portal Manager................................ 130 pdadmin................................... 130 Kapitola 12. Spráa certifikátů a hesel...................... 133 Výchozí konfigurace................................. 134 Informace o obnoě souboru klíčů a souboru pro uložení...................... 135 Rozhodnutí o důěře................................. 136 Odolání certifikátu sereru.............................. 136 Další pokyny pro soubory klíčů a soubory pro uložení....................... 137 Kapitola 13. Spráa sererů.......................... 139 Serery produktu Tioli Access Manager.......................... 139 Proxy serer.................................. 140 Záislosti sererů................................ 141 Obslužné programy produktu Tioli Access Manager....................... 142 Úlohy sereru produktu Tioli Access Manager........................ 142 Spuštění a zastaení sererů systémech UNIX....................... 142 Spuštění a zastaení sererů systémech Windows...................... 143 Úlohy konfiguračních souborů sereru........................... 144 Změna nastaení konfigurace............................. 144 Automatizace spuštění sereru čase zaádění systému..................... 145 Úlohy administratiy sereru politik............................ 145 Replikace autorizační databáze............................ 145 Nastaení počtu láken oznámení o aktualizaci........................ 147 Nastaení doby prodley oznámení........................... 147 Kapitola 14. Vysoká dostupnost sereru politik.................. 149 Integrita dat................................... 149 Primární a replikoané serery LDAP........................... 149 Aktiní a pasiní serery politik............................. 149 Spráa ysoké dostupnosti............................... 150 Oěření nastaení ysoké dostupnosti sererů politik...................... 150 Přehled souborů protokolů.............................. 151 Kapitola 15. Serer politik s íce klienty..................... 153 Kapitola 16. Delegoaná administratia..................... 155 Přehled delegoané administratiy............................ 155 Administratia delegoaných rolí............................. 157 Spráa prostoru delegoaných objektů........................... 158 Členění prostoru objektů pro delegoání spráy........................ 158 Předolení administrátoři a skupiny........................... 159 Příklad: Delegoání spráy.............................. 159 Delegoaná spráa skupin a užiatelů........................... 160 Vytořit objekty typu zásobník pro skupiny......................... 160 Vytořit skupiny................................. 162 Politiky ACL oliňující spráu skupin.......................... 164 Politiky ACL oliňující spráu užiatelů......................... 165 Bezpečnostní politika delegoané administratiy........................ 166 Kapitola 17. Soubory protokolu a směroání................... 169 Obsah ii
Základní soubory směroání.............................. 169 Protokoly zprá obslužnosti............................. 169 Výstupní syntaxe souboru směroání........................... 171 Společné adresáře souborů protokolu............................ 174 Předolené umístění Tioli Common Directory........................ 174 Soubor lastností Tioli Common Directory......................... 175 Předolené umístění produktu Tioli Access Manager...................... 175 Prohlížeč protokolů XML............................... 176 Úlohy souborů protokolu a trasoání............................ 176 Změna umístění souborů protokolu zprá......................... 176 Zpráy protokolu e formátu protokolu XML........................ 177 Aktiace zobrazoání záznamů trasoání......................... 178 Kapitola 18. Výstup XML pro protokoloání a protokoly monitoroání........ 179 Pomocný formát DTD................................ 179 Bloky dat a ýstupní pole............................... 179 Kódy akcí pro příkazy spráy.............................. 190 Výstup dat pro chyby autentizace............................. 196 Kapitola 19. Zachycení protokoloaných a monitoroaných událostí......... 197 Agenti protokolů.................................. 197 Kategorie událostí................................. 197 Kategorie události specifická pro program......................... 197 Hierarchie společné oblasti události........................... 198 Konfigurační parametry pro společné oblasti událostí....................... 200 Společná oblast událostí............................... 203 queue_size.................................. 203 hi-water................................... 203 flush_interal.................................. 204 Konfigurační parametry pro agenta protokolu konzole....................... 204 stdout.................................... 204 stderr.................................... 204 Konfigurační parametry pro agenta protokolu souboru....................... 205 path..................................... 205 logcfg.................................... 205 rolloer_size.................................. 206 buffer_size.................................. 206 queue_size.................................. 207 hi_water................................... 207 flush_interal.................................. 208 mode.................................... 209 Konfigurační parametry pro agenty protokolu propojení procesů.................... 209 path..................................... 209 queue_size.................................. 209 hi_water................................... 210 flush_interal.................................. 210 Konfigurační parametry pro zdáleného agenta protokolu...................... 210 buffer_size.................................. 211 flush_interal.................................. 211 queue_size a hi_water............................... 211 compress................................... 211 error.................................... 212 path..................................... 212 rebind_retry.................................. 212 serer.................................... 212 port..................................... 212 dn..................................... 213 Úlohy protokoloání událostí.............................. 213 Odesílání záznamů událostí do souborů protokolů....................... 213 Záznamy událostí propojení procesů do jiných programů..................... 215 iii IBM Tioli Access Manager: Base: Administratiní příručka
Odeslání záznamů událostí do konzole.......................... 216 Odesílání záznamů událostí do zdáleného sereru....................... 216 Výkon fronty protokoloání monitoroání......................... 218 Kapitola 20. Protokoloání přejatých monitoroaných událostí........... 221 Přehled monitoroání................................ 221 Koncepty souboru proěřoacích záznamů.......................... 222 Příklady záznamů auditu autorizace........................... 222 Příklady záznamů auditu autentizace........................... 223 Příklady záznamů auditu spráy............................ 225 Záznamy objektu stanza přejatého konfiguračního souboru pro monitoroání................ 227 logaudit................................... 227 auditcfg................................... 227 auditlog................................... 228 logsize.................................... 229 logflush................................... 229 audit-attribute.................................. 229 Protokoloání a monitoroání úloh............................ 230 Aktiace monitoroání............................... 230 Ueďte, které atributy ADI mají být monitoroané....................... 231 Údržba souborů protokolu auditu............................ 231 Dodatek A. Referenční informace ke konfiguraci sereru.............. 233 Konfigurační soubory................................ 233 actiedir.conf.................................. 234 actiedir_ldap.conf................................ 234 domino.conf.................................. 235 iacld.conf.................................. 235 imgrd.conf.................................. 236 ldap.conf................................... 236 pd.conf.................................... 237 pdmgrproxyd.conf................................ 237 pdwpm.conf.................................. 238 Konfigurační soubory spráce zdrojů............................ 239 Pokyny pro konfiguraci stanz.............................. 240 Obecné pokyny................................. 240 Předolené hodnoty................................ 240 Řetězce................................... 241 Definoané řetězce................................ 241 Jména souborů................................. 241 Celočíselné proměnné............................... 242 Booleoské hodnoty................................ 242 Stanzy..................................... 243 stanza [authentication-mechanisms]........................... 244 stanza [aznapi-admin-serices]............................. 247 stanza [aznapi-configuration]............................. 249 stanza [aznapi-cred-modification-serices]......................... 260 stanza [aznapi-entitlement-serices]........................... 262 stanza [aznapi-external-authzn-serices].......................... 264 stanza [aznapi-pac-serices]............................. 266 stanza [configuration-database]............................ 268 stanza [delegated-admin].............................. 269 stanzy [domains] a [domain=jméno_domény]........................ 270 stanza [iacld]................................. 272 stanza [imgrd]................................. 275 stanza [ldap].................................. 280 stanza [ldap] pro ldap.conf.............................. 289 stanza [manager]................................. 294 stanza [meta-info]................................ 296 stanza [pdmgrproxyd]............................... 297 Obsah ix
stanza [pdrte].................................. 300 stanza [pdwpm]................................. 303 stanza [ssl].................................. 305 stanza [ssl] pro ldap.conf.............................. 312 stanza [uraf-registry]................................ 313 stanza [uraf-registry] pro domino.conf.......................... 317 stanza [uraf-registry] pro actiedir.conf.......................... 319 stanza [uraf-registry] pro actiedir_ldap.conf........................ 321 stanza [xmladi-attribute-definitions]........................... 326 Dodatek B. Rozdíly registrech užiatelů.................... 327 Dodatek C. Ekialenty Web Portal Manager a příkazoého řádku administratiy... 331 Dodatek D. Spráa registrů užiatelů...................... 341 Úlohy specifické pro LDAP.............................. 341 Konfigurace přepnutí při selhání LDAP.......................... 341 Použití platných znaků pro jména užiatelů a skupin LDAP.................... 344 Použití politiky ACL produktu IBM Tioli Access Manager do noých přípon sereru LDAP.......... 345 Úlohy specifické pro Actie Directory........................... 353 Nastaení Microsoft Windows 2000 Domain Name System pro Actie Directory.............. 354 Aktualizace schématu produktu Tioli Access Manager..................... 354 Přidání užiatele produktu Tioli Access Manager do systémoé skupiny Actie Directory........... 355 Úlohy specifické pro Noell.............................. 356 Aktualizace schématu edirectory............................ 356 Aktiity údržby Noell edirectory, které mohou poškodit úpray schémat použité produktem Tioli Access Manager... 357 Dodatek E. Poznámky............................. 359 Ochranné známky................................. 361 Sloníček.................................. 363 Rejstřík................................... 369 x IBM Tioli Access Manager: Base: Administratiní příručka
Úod Pro koho je určena tato kniha Co tato kniha obsahuje Kniha IBM Tioli Access Manager Base: Administratiní příručka obsahuje yčerpáající přehled procedur a referenčních informací, potřebných ke spráě sererů a zdrojů produktu IBM Tioli Access Manager (Tioli Access Manager). Tato příručka ám také poskytuje hodnotné ýchozí a koncepční informace o široké paletě funkcionalit produktu Tioli Access Manager. Tato příručka je určena pro systémoé administrátory, kteří jsou odpoědni za nasazení a administraci základního softwaru Tioli Access Manager. Čtenáři této knihy by měli znát: operační systémy na platformě Microsoft Windows a UNIX databázoou architekturu a koncepty spráu zabezpečení ochrany dat protokoly Internetu, četně HTTP a TCP/IP LDAP (Lightweight Directory Access Protocol) a adresářoé služby autentizaci a autorizaci model zabezpečení ochrany produktu Tioli Access Manager a jeho schopnosti Také byste měli znát protokol SSL, ýměnu klíčů (eřejných a soukromých), digitální podpisy, šifroací algoritmy a ydaatele certifikátů. Tato příručka obsahuje následující části: Kapitola 1, Přehled produktu IBM Tioli Access Manager, na stránce 1 Nabízí přehled produktu IBM Tioli Access Manager. Kapitola 2, Web Portal Manager, na stránce 21 Popisuje da typy funkcí administratiy produktu Web Portal Manager. Kapitola 3, Administratia produktu Tioli Access Manager, na stránce 31 Popisuje administratiu produktu Tioli Access Manager. Kapitola 4, Předolená bezpečnostní politika, na stránce 41 Popisuje předolenou bezpečnostní politiku nabízenou produktem Tioli Access Manager. Kapitola 5, Spráa domény, na stránce 59 Popisuje, jak administrátor doméně spráy může ytořit další domény, a také které administratiní úlohy může administrátor domén proést e sé lastní doméně. Kapitola 6, Spráa prostoru objektů, na stránce 63 Popisuje úlohy přidružené ke spráě prostorů objektů. Kapitola 7, Spráa chráněných objektů, na stránce 67 Popisuje úlohy týkající se spráy objektů. Kapitola 8, Spráa přístupoých seznamů, na stránce 71 Popisuje úlohy týkající se spráy přístupoých seznamů (ACL - Access Control List). Kapitola 9, Spráa politik chráněných objektů, na stránce 85 Copyright IBM Corp. 1999, 2003 xi
Popisuje úlohy týkající se spráy politik chráněných objektů (POP - Protected Object Policy). Kapitola 10, Spráa autorizačních praidel, na stránce 99 Poskytuje detailní informace o autorizačních praidlech (AuthzRules), která jsou použita pro proádění rozhodnutí o přístupu. Kapitola 11, Spráa užiatelů a skupin, na stránce 123 Popisuje úlohy týkající se spráy užiatelů a skupin. Kapitola 12, Spráa certifikátů a hesel, na stránce 133 Popisuje úlohy týkající se spráy certifikátů a hesel. Kapitola 13, Spráa sererů, na stránce 139 Popisuje úlohy týkající se spráy sererů přidružených k produktu Tioli Access Manager. Kapitola 14, Vysoká dostupnost sereru politik, na stránce 149 Popisuje úlohy ztahující se k ytáření prostředí s ysokou dostupností skrz použití proxy sererů politik, íce sererů politik a íce autorizačních sererů. Kapitola 15, Serer politik s íce klienty, na stránce 153 Popisuje serery s íce klienty a jak nastait serer politik s íce klienty produktu Tioli Access Manager. Kapitola 16, Delegoaná administratia, na stránce 155 Popisuje úlohy týkající se delegoání administratiy. Kapitola 17, Soubory protokolu a směroání, na stránce 169 Popisuje úlohy ztahující se ke spráě směroaných souborů, běžného adresáře pro spráu souborů protokolu, a jak rozumět a zobrazit ýstup souboru protokolu XML (Extensible Markup Language) pro zpráy a trasoání souborů protokolu. Kapitola 18, Výstup XML pro protokoloání a protokoly monitoroání, na stránce 179 Popisuje informace o středním formátu DTD, ýstup XML ze souborů protokolu monitoroání a příznaků XML použitých pro protokoloání a monitoroání události produktu Tioli Access Manager. Kapitola 19, Zachycení protokoloaných a monitoroaných událostí, na stránce 197 Popisuje úlohu ztahující se k zachycení protokoloaných a monitoroaných událostí. Kapitola 20, Protokoloání přejatých monitoroaných událostí, na stránce 221 Popisuje úlohy ztahující se ke spraoání přejatého protokoloání a monitoroání. Dodatek A, Referenční informace ke konfiguraci sereru, na stránce 233 Poskytuje podrobné informace o syntaxi konfiguračních souborů použíaných serery produktu Tioli Access Manager. Dodatek B, Rozdíly registrech užiatelů, na stránce 327 Popisuje rozdíly, které existují aktuálních registrech užiatelů produktu Tioli Access Manager: LDAP, Microsoft Actie Directory a IBM Lotus Domino. Dodatek C, Ekialenty Web Portal Manager a příkazoého řádku administratiy, na stránce 331 Mapuje funkce rozhraní příkazoého řádku Tioli Access Manager pdadmin do grafických funkcí rozhraní užiatele produktu Web Portal Manager Dodatek D, Spráa registrů užiatelů, na stránce 341 Popisuje podmnožinu úloh registru užiatelů, které jsou specifické pro instalaci produktu Tioli Access Manager. xii IBM Tioli Access Manager: Base: Administratiní příručka
Publikace Zobrazte si přehled popisů knihoen produktu Tioli Access Manager, publikace předem požadoaných opra a ztahující se publikace, abyste určili, které z nich by pro ás mohly být nápomocné. Poté, co určíte, které publikace potřebujete, následujte instrukce pro online přístup k publikacím. Další informace o samotném produktu IBM Tioli Access Manager for e-business můžete nalézt: http://www.ibm.com/software/tioli/products/access-mgr-e-bus/ Knihona produktu Tioli Access Manager je rozdělena do následujících kategorií: Informace o ydání Základní informace Informace o zabezpečení Webu Reference pro ýojáře na stránce xi Technické dodatky na stránce x Informace o ydání IBM Tioli Access Manager for e-business Čtěte jako prní (GI11-2930-00) Obsahuje informace pro instalaci a začátek práce s produktem Tioli Access Manager. IBM Tioli Access Manager for e-business Release Notes (GI11-4156-00) Poskytuje nejnoější informace např. o omezeních softwaru, pomocných opraách problémů, nebo o aktualizacích dokumentace. Základní informace IBM Tioli Access Manager Base Installation Guide (SC32-1362-00) Vysětluje, jak instaloat a konfiguroat základní software produktu Tioli Access Manager četně rozhraní produktu Web Portal Manager. Tato kniha je součástí publikace IBM Tioli Access Manager for e-business Web Security Installation Guide a jejím záměrem je, aby byla použíána s dalšími produkty Tioli Access Manager, jako jsou IBM Tioli Access Manager for Business Integration a IBM Tioli Access Manager for Operating Systems. IBM Tioli Access Manager Base: Administratiní příručka (SC09-3708-00) Popisuje koncepty a procedury použíání služeb produktu Tioli Access Manager. Poskytuje instrukce pro proádění úloh z rozhraní Web Portal Manager a pro proádění úloh pomocí příkazu pdadmin. Informace o zabezpečení Webu IBM Tioli Access Manager for e-business Web Security Installation Guide (SC32-1361-00) Poskytuje instrukce pro instalaci, konfiguraci a odstranění základního softwaru produktu Tioli Access Manager stejně jako komponent Web Security. Tato kniha sobě zahrnuje publikaci IBM Tioli Access Manager Base Installation Guide. IBM Tioli Access Manager Upgrade Guide (SC32-1369-00) Vysětluje jak poýšit z produktu Tioli SecureWay Policy Director erze 3.8 nebo předchozích erzí produktu Tioli Access Manager na produkt Tioli Access Manager erze 5.1. Úod xiii
IBM Tioli Access Manager for e-business WebSEAL: Administratiní příručka (SC09-3709-00) Poskytuje podkladoé materiály, administratiní procedury a informace o technických odkazech, které použíá produkt WebSEAL ke spráě zdrojů e aší zabezpečené weboé doméně. IBM Tioli Access Manager for e-business IBM WebSphere Application Serer: Integrační příručka (SC09-3710-00) Poskytuje instrukce pro instalaci, odstranění a administratiu pro integraci produktu Tioli Access Manager s IBM WebSphere Application Serer. IBM Tioli Access Manager for e-business IBM WebSphere Edge Serer Integration Guide (SC32-1367-00) Poskytuje instrukce o instalaci, odstranění a administratiě pro integraci produktu Tioli Access Manager s aplikací IBM WebSphere Edge Serer. IBM Tioli Access Manager for e-business Plug-in for Web Serers: Integrační příručka (SC09-3712-00) Poskytuje instrukce pro instalaci, administratiní procedury a informace o technických odkazech, týkající se zabezpečení aší weboé domény pomocí plug-in pro weboé serery. IBM Tioli Access Manager for e-business BEA WebLogic Serer: Integrační příručka (SC09-3711-00) Poskytuje instrukce pro instalaci, odstranění a administratiu pro integraci produktu Tioli Access Manager s BEA WebLogic Serer. IBM Tioli Access Manager for e-business IBM Tioli Identity Manager: Příručka k funkci zajištění rychlého spuštění (SC09-3713-00) Poskytuje přehled úloh ztahujících se k integraci produktu Tioli Access Manager a Tioli Identity Manager a ysětluje, jak použíat a instaloat kolekci Fast Start. Reference pro ýojáře IBM Tioli Access Manager for e-business Authorization C API Deeloper Reference (SC32-1355-00) Poskytuje referenční materiály, které popisují, jak použíat autorizační C API produktu Tioli Access Manager a rozhraní plug-inů služeb Tioli Access Manager, aby bylo možné přidat zabezpečení produktu Tioli Access Manager do aplikací. IBM Tioli Access Manager for e-business Authorization Jaa Classes Deeloper Reference (SC32-1350-00) Poskytuje referenční informace, jak pomocí implementace autorizačního rozhraní API jazyce Jaa poolit, aby aplikace použíala zabezpečení produktu Tioli Access Manager. IBM Tioli Access Manager for e-business Administration C API Deeloper Reference (SC32-1357-00) Poskytuje referenční informace, jak pomocí administratiního rozhraní API poolit, aby aplikace proáděla administratiní úlohy produktu Tioli Access Manager. Tento dokument popisuje implementaci tohoto administratiního rozhraní API jazyce C. IBM Tioli Access Manager for e-business Administration Jaa Classes Deeloper Reference (SC32-1356-00) Poskytuje referenční informace, jak pomocí implementace administratiního rozhraní API jazyce Jaa poolit, aby aplikace proáděla administratiní úlohy produktu Tioli Access Manager. IBM Tioli Access Manager for e-business Web Security Deeloper Reference (SC32-1358-00) xi IBM Tioli Access Manager: Base: Administratiní příručka
Poskytuje informace o administratiě a programoání pro autentizační služby napříč doménami (CDAS), základní strukturu mapoání napříč doménami (CDMF) a modul odolnosti hesla. Technické dodatky IBM Tioli Access Manager for e-business Command Reference (SC32-1354-00) Poskytuje informace o obslužných programech příkazoého řádku a skriptech, které jsou součástí produktu Tioli Access Manager. IBM Tioli Access Manager Error Message Reference (SC32-1353-00) Obsahuje ysětlení a doporučoané akce pro zpráy, které ydáá produkt Tioli Access Manager. IBM Tioli Access Manager for e-business Problem Determination Guide (SC32-1352-00) Obsahuje informace napomáhající určení problému pro produkt Tioli Access Manager. IBM Tioli Access Manager for e-business Performance Tuning Guide (SC32-1351-00) Poskytuje informace o ladění ýkonu pro prostředí skládající se z produktu Tioli Access Manager se sererem IBM Tioli Directory jako registrem užiatelů. Souisející publikace Tato část obsahuje seznam publikací, souisejících s knihonou produktu Tioli Access Manager. Tioli Software Library obsahuje celou řadu publikací týkajících se produktů Tioli, jako např. dokumenty typu white paper, základní informace o produktech, demonstrační materiály, tz. redbooks a informace o ohlášení. Tioli Software Library je k dispozici na této weboé adrese: http://www.ibm.com/software/tioli/library/ Obsahem Tioli Software Glossary jsou definice mnoha technických termínů, ztahujících se k softwaru Tioli. Tioli Software Glossary je k dispozici pouze anglickém jazyce na odkazu Glossary leé části weboé stránky Tioli Software Library http://www.ibm.com/software/tioli/library/ IBM Global Security Kit Produkt Tioli Access Manager poskytuje šifroání dat skrz použití IBM Global Security Kit (GSKit) erze 7.0. GSKit je součástí CD IBM Tioli Access Manager Base pro aši danou platformu, stejně jako CD IBM Tioli Access Manager Web Security, CD IBM Tioli Access Manager Web Administration Interfaces a CDIBM Tioli Access Manager Directory Serer. Sada programů GSKit poskytuje obslužný program spráy klíčů ikeyman, gsk7ikm, který je použitý pro ytoření databází klíčů, eřejných-soukromých párů klíčů a požadaků o certifikát. Následující dokument je k dispozici na weboém sereru Tioli Information Center, a to e stejné části jako dokumentace produktu IBM Tioli Access Manager: IBM Global Security Kit Secure Sockets Layer and ikeyman User s Guide (SC32-1363-00) Obsahuje informace pro síťoé nebo systémoé administrátory, kteří chtějí aktioat SSL komunikaci prostředí produktu Tioli Access Manager. IBM Tioli Directory Serer IBM Tioli Directory Serer, erze 5.2 je součástí CD IBM Tioli Access Manager Directory Serer pro požadoaný operační systém. Poznámka: IBM Tioli Directory Serer je noé jméno pro předešlý software ydaný pod jmény: IBM Directory Serer (erze 4.1 a erze 5.1) Úod x
IBM SecureWay Directory Serer (Verison 3.2.2) IBM Directory Serer erze 4.1, IBM Directory Serer erze 5.1, a IBM Tioli Directory Serer erze 5.2 jsou šechny podporoané produktem IBM Tioli Access Manager erze 5.1. Další informace o IBM Tioli Directory Serer můžete nalézt na: http://www.ibm.com/software/network/directory/library/ IBM DB2 Uniersal Database IBM DB2 Uniersal Database Enterprise Serer Edition, erze 8.1 je poskytoaná na CDIBM Tioli Access Manager Directory Serer a je instaloaná se softwarem IBM Tioli Directory Serer. DB2 je požadoaná, když použíáte serery IBM Tioli Directory Serer, z/os nebo OS/390 LDAP jako registry užiatelů pro produkt Tioli Access Manager. Všimněte si, že serery z/os a OS/390 nejsou poskytoané produktem IBM Tioli Access Manager erze 5.1. Další informace o DB2 lze nalézt na: http://www.ibm.com/software/data/db2/ IBM WebSphere Application Serer IBM WebSphere Application Serer, Adanced Single Serer Edition 5.0 je součástí CD IBM Tioli Access Manager Web Administration Interfaces pro požadoaný operační systém. WebSphere Application Serer umožňuje podporu pro obojí, rozhraní Web Portal Manager, které je použité pro administratiu produktu Tioli Access Manager, a IBM Directory Serer Web Administration Tool Web Administration Tool, který je použitý pro administratiu sereru IBM Tioli Directory Serer. IBM WebSphere Application Serer Fix Pack 2 je také požadoaný produktem Tioli Access Manager a je poskytoaný na CD IBM Tioli Access Manager WebSphere Fix Pack. Další informace o IBM WebSphere Application Serer lze nalézt na: http://www.ibm.com/software/webserers/appser/infocenter.html IBM Tioli Access Manager for Business Integration IBM Tioli Access Manager for Business Integration, který je možné si objednat jako zláštní produkt, poskytuje bezpečnostní řešení pro zpráy IBM MQSeries, Version 5.2 a IBM WebSphere MQ for Version 5.3. Produkt IBM Tioli Access Manager for Business Integration umožňuje, aby aplikace WebSphere MQSeries posílala data diskrétně a neporušeně pomocí klíčů, které jsou přidruženy k odesílacím a přijímajícím aplikacím. Jako WebSEAL a IBM Tioli Access Manager for Operating Systems, IBM Tioli Access Manager for Business Integration je jeden ze spráců zdrojů, který použíá služby produktu IBM Tioli Access Manager. Další informace o produktu IBM Tioli Access Manager for Business Integration lze nalézt na: http://www.ibm.com/software/tioli/products/access-mgr-bus-integration/ Následující dokumenty ztahující se k produktu IBM Tioli Access Manager for Business Integration erze 5.1 jsou dostupné na weboém sereru Tioli Information Center: IBM Tioli Access Manager for Business Integration Administration Guide (SC23-4831-01) xi IBM Tioli Access Manager: Base: Administratiní příručka
IBM Tioli Access Manager for Business Integration Problem Determination Guide (GC23-1328-00) IBM Tioli Access Manager for Business Integration Release Notes (GI11-0957-01) IBM Tioli Access Manager for Business Integration Read This First (GI11-4202-00) IBM Tioli Access Manager for WebSphere Business Integration Brokers Produkt IBM Tioli Access Manager for WebSphere Business Integration Brokers dostupný jako součást IBM Tioli Access Manager for Business Integration poskytuje zabezpečoací řešení pro WebSphere Business Integration Message Broker, erze 5.0 a WebSphere Business Integration Eent Broker, erze 5.0. Produkt IBM Tioli Access Manager for WebSphere Business Integration Brokers funguje e spojení s produktem Tioli Access Manager jako zabezpečení aplikací publikoání/podpisů JMS tím, že poskytuje heslo a autentizaci založenou na poěřeních, centrálně definoanou autorizaci a služby monitoroání. Další informace o produktu IBM Tioli Access Manager for WebSphere Integration Brokers lze nalézt na: http://www.ibm.com/software/tioli/products/access-mgr-bus-integration/ Následující dokumenty ztahující se k produktu IBM Tioli Access Manager for WebSphere Integration Brokers, erze 5.1 jsou dostupné na weboém sereru Tioli Information Center: IBM Tioli Access Manager for WebSphere Business Integration Brokers Administration Guide (SC32-1347-00) IBM Tioli Access Manager for WebSphere Business Integration Brokers Release Notes (GI11-4154-00) IBM Tioli Access Manager for Business Integration Read This First (GI11-4202-00) IBM Tioli Access Manager for Operating Systems Produkt IBM Tioli Access Manager for Operating Systems je k dispozici jako samostatně objednatelný produkt. Pro UNIXoé systémy nabízí další úroeň pro ymáhání politiky autorizace k půodní úroni lastního operačního systému. Produkt IBM Tioli Access Manager for Operating Systems, stejně jako WebSEAL a produkt IBM Tioli Access Manager for Business Integration, je jeden ze spráců zdrojů, kteří použíají služby produktu IBM Tioli Access Manager. Další informace o produktu IBM Tioli Access Manager for Operating Systems lze nalézt na: http://www.ibm.com/software/tioli/products/access-mgr-operating-sys/ Následující dokumenty ztahující se k produktu IBM Tioli Access Manager for Operating Systems erze 5.1 jsou dostupné na weboém sereru Tioli Information Center: IBM Tioli Access Manager for Operating Systems Installation Guide (SC23-4829-00) IBM Tioli Access Manager for Operating Systems Administration Guide (SC23-4827-00) IBM Tioli Access Manager for Operating Systems Problem Determination Guide (SC23-4828-00) IBM Tioli Access Manager for Operating Systems Release Notes (GI11-0951-00) IBM Tioli Access Manager for Operating Systems Read Me First (GI11-0949-00) IBM Tioli Identity Manager IBM Tioli Identity Manager erze 4.5, který si lze objednat jako zláštní produkt, ám umožňuje centrálně spraoat užiatele (jako jsou ID a hesla užiatelů) a zajišťoat jej (tj. poskytoat nebo odoláat přístup do aplikací, zdrojů nebo operačních systémů). Tioli Identity Manager lze integroat s produktem Tioli Access Manager skrze použití Úod xii
Dostupnost produktutioli Access Manager Agent. Kontaktujte sého předstaitele účet IBM, chcete-li získat íce informací o nákupu produktu Agent. Další informace o IBM Tioli Identity Manager lze nalézt na: http://www.ibm.com/software/tioli/products/identity-mgr/ Online přístup k publikacím Publikace pro tento produkt jsou dostupné pouze online e formátu PDF (Portable Document Format) nebo HTML (Hypertext Markup Language) nebo obojí softwaroé knihoně Tioli: http://www.ibm.com/software/tioli/library Abyste zjistili umístění publikací knihoně, klepněte na odkaz Product manuals (Manuály produktu) na leé straně stránky knihony. Potom zjistěte umístění a klepněte na jméno produktu na stránce softwaroého informačního centra Tioli. Publikace produktu obsahují poznámky k jednotliým ydáním, průodce instalací, průodce užiatele, průodce administrátora a reference pro ýojáře. Poznámka: Pokud chcete ytisknout PDF publikace, zaškrtněte pole Fit to page dialogu Print produktu Adobe Acrobat (ke kterému se dostanete, pokud klepnete na File Print). Funkce dostupnosti pomáhají užiateli s tělesným postižením, jako např. se sníženou pohybliostí nebo omezeným iděním, úspěšně použíat softwaroé produkty. Pomocí těchto produktů můžete použíat asistenční technologie, prostřednictím kterých můžete poslouchat a naigoat rozhraní. Můžete také použíat kláesnici místo myši pro obsluhu šech funkcí grafického užiatelského rozhraní. Kontakt na softwaroou podporu Než s problémem kontaktujete IBM Tioli Software Support, yhledejte odkaz sereru IBM Tioli Software Support klepnutím na odkaz Tioli support (Podpora Tioli) na následujícím weboém sereru: http://www.ibm.com/software/support/ Pokud budete potřeboat další pomoc, obraťte se na softwaroou podporu způsobem, který je popsán příručce IBM Software Support Guide na této weboé adrese: http://techsupport.serices.ibm.com/guides/handbook.html Průodce poskytuje následující informace: Konence použíané této knize požadaky na registraci a způsobilost pro obdržení podpory Telefonní čísla záislosti na zemích, e kterých se nacházíte jaké informace je nutné shromáždit, než se obrátíte na Zákaznickou podporu Tato příručka použíá několik grafických konencí pro speciální termíny a akce, a příkazy a cesty záislé na operačním systému. Konence typu písma V této knize jsou použity tyto konence typu písma: xiii IBM Tioli Access Manager: Base: Administratiní příručka
tučné písmo Příkazy uedené malými písmeny nebo smíšeně malými i elkými písmeny, které je těžké odlišit od okolního textu, klíčoá sloa, parametry, olby a jména tříd Jay a objekty jsou uedeny tučným písmem. kurzía Proměnné, názy publikací a speciální sloa nebo fráze, které je nutné zdůraznit, jsou yznačeny kurzíou. monospace Příklady kódů, příkazoé řádky, ýstupy na obrazoku, jména souborů a adresářů, která je těžké odlišit od okolního textu, systémoé zpráy, text, který musí užiatel spráně zadat, a hodnoty argumentů nebo oleb příkazů jsou yznačeny pomocí monospace. Rozdíly operačních systémech Tato kniha použíá konence operačního systému UNIX e specifikacích proměnných prostředí a zápisu adresářů. Když použíáte příkazoá řádek Windows, nahraďte $proměnnou s%proměnnou%, pro proměnné prostředí nahraďte cestách adresářů každé lomítko po směru (/) zpětným lomítkem (\). Pokud použíáte nadstabu bash operačním systému Windows, můžete použíat konence operačního systému UNIX. Úod xix
xx IBM Tioli Access Manager: Base: Administratiní příručka
Kapitola 1. Přehled produktu IBM Tioli Access Manager Produkt IBM Tioli Access Manager (Tioli Access Manager) je řešení autentizace a autorizace pro firemní weboé aplikace, aplikace typu klient/serer a stáající aplikace. Produkt Tioli Access Manager ám umožňuje řídit přístup užiatelů ke chráněným informacím a zdrojům. Vytoření centralizoaného, flexibilního a přizpůsobitelného řešení pro řízení přístupu pomocí produktu Tioli Access Manager ám doolí ybudoat zabezpečené a snadno spraoatelné aplikace založené na síti a infrastrukturu pro elektronické podnikání. Produkt Tioli Access Manager podporuje autentizaci, autorizaci, zabezpečení dat a spráu zdrojů. Produkt Tioli Access Manager můžete použíat společně se standardními aplikacemi založenými na Internetu, abyste ybudoali ysoce zabezpečené a dobře spraoané intranety a extranety. Produkt Tioli Access Manager nabízí: základní strukturu autentizace Tioli Access Manager nabízí řadu zabudoaných autentizátorů a podporuje externí autentizátory. základní strukturu autorizace Autorizační služba produktu Tioli Access Manager, ke které je možné přistupoat prostřednictím standardního autorizačního rozhraní aplikačních programů (autorizačního rozhraní API), nabízí pro žádosti o přístup lastních sererů produktu Tioli Access Manager a aplikací třetích stran rozhodnutí poolit nebo odepřít. Autorizační služba společně se sprácem zdrojů poskytuje standardní mechanismus autorizace pro systémy obchodních sítí. Produkt Tioli Access Manager se integruje do stáajících přejatých a yíjejících se infrastruktur a poskytuje schopnost zabezpečené a centralizoané spráy politik. Někteří stáající spráci zdrojů jsou: IBM Tioli Access Manager WebSEAL Sprauje a chrání informace a zdroje založené na Webu. WebSEAL je součástí produktu Tioli Access Manager. IBM Tioli Access Manager for Business Integration Poskytuje řešení zabezpečení produktu IBM MQSeries a zprá IBM WebSphere MQ. IBM Tioli Access Manager for Operating Systems Poskytuje další úroeň pro ymáhání politiky autorizace k půodní úroni lastního operačního systému pro operační systémy UNIX. Stáající aplikace mohou yužíat ýhod autorizační služby produktu Tioli Access Manager, jakož i mohou poskytoat společnou bezpečnostní politiku pro celou firmu. Copyright IBM Corp. 1999, 2003 1