Подробности реализации сценария

14.6.3 Интеграция серверов на основе Domino с TAM

Для интеграции служб на основе Lotus Domino (Domino, Sametime, QuickPlace и т. д.), чтобы можно было продолжать передавать cookie-файл SSO LTPA в Domino для единой регистрации, необходимо создать соединение между подключаемым модулем IBM Tivoli WebSeal на обратном прокси-сервере и серверами Domino заднего плана. Это осуществляется путем выполнения следующих действий:

1. Откройте командную строку Administration Command Prompt (PDAdmin) из программной группы AccessManager for e-business в меню Start (Пуск).
2. Войдите под учетной записью pdadmin.
3. Создайте соединение с сервером Lotus Domino, используя следующие аргументы:
   • тип подключения (-t);
   • узел заднего плана (-h);
   • номер TCP-порта, к которому привязан узел заднего плана (-p);
   • определение единой регистрации (-A);
   • файл ключей (-F);
   • пароль ключа (-Z);
   • обеспечение надлежащей фильтрации JavaScript (-j);
   • ввод имени соединения (/).

commands:
pdadmin>login
Enter User ID:sec_master
Enter Password:
pdadmin>server list
webseald-webseal39
pdadmin>server task webseald-webseal39 create -t tcp -h
itsosec-dom.cam.itso.ibm.com -p 80 -A -F c:\Lotus\Domino\Keys\amdom.key -Z
mercury1 -j /domino
Created junction at /domino
pdadmin>

Этот процесс затем повторяется для всех серверов Domino, Sametime и QuickPlace в среде. В нашем тестовом сценарии эта команда выполняется три раза, для каждого из трех серверов Domino, с изменением имени соединения:

itsosec-dom.cam.itso.ibm.com -p 80 -A -F c:\Lotus\Domino\Keys\amdom.key -Z
mercury1 -j /domino
itsosec-st.cam.itso.ibm.com -p 80 -A -F c:\Lotus\Domino\Keys\amdom.key -Z
mercury1 -j /sametime
itsosec-qp.cam.itso.ibm.com -p 80 -A -F c:\Lotus\Domino\Keys\amdom.key -Z
mercury1 -j /quickplace

14.6.4 Интеграция WebSphere Portal с TAM

После интеграции служб на основе Domino с TAM путем создания WebSeal-соединений нужно выполнить следующие действия, чтобы обеспечить аутентификацию Websphere Portal с использованием Tivoli Access Manager:

1. Настройте Tivoli Access Manager путем выполнения программы конфигурирования SvrSslCfg. Команда имеет следующий вид:

   c:\progra~1\Tivoli\POLICY~1\sbin\%WAS_HOME%\java\jre\bin\java
   com.tivoli.pd.jcfg.SvrSslCfg -action config -admin_id sec_master
   -admin_passwd password -appsvr_id itsosec-tam_amwps -mode remote
   -port 7201
   -policysvr itsosec-tam.cam.itso.ibm.com:7135:1 -authzsvr
   itsosec-tam.cam.itso.ibm.com:7136:1 -cfg_file
   "c:\websphere\appserver\java\jre\PDPerm.properties" -key_file
   "c:\websphere\appserver\java\jre\lib\security\pdperm.ks" -cfg_action
   create
2. Отредактируйте файл Portallogin.cfg в WebSphere Portal Server. (Изменения в коде выделены курсивом.)

   WpsNewSubject {
   com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
   required delegate=com.ibm.wps.sso.GetCORBACredentialLoginModule;
   com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
   required delegate=com.ibm.wps.sso.CORBACredentialLoginModule;
   com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
   required delegate=com.ibm.wps.sso.UserDNGroupDNLoginModule;
   com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
   required delegate=com.ibm.wps.sso.UserIdPasswordLoginModule;
   com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
   required delegate=com.ibm.wps.sso.UserIdPrincipalLoginModule;
   com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
   required delegate=com.ibm.wps.sso.PasswordCredentialLoginModule;
   com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
   required delegate=com.ibm.wps.sso.LTPATokenLoginModule;
   com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
   required delegate=com.tivoli.mts.PDLoginModule;
   };
   WpsSubjectExists {
   com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
   required delegate=com.ibm.wps.sso.GetCORBACredentialLoginModule;
   com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
   required delegate=com.ibm.wps.sso.CORBACredentialLoginModule;
   com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
   required delegate=com.ibm.wps.sso.LTPATokenLoginModule;
   com.ibm.websphere.security.auth.module.proxy.WSLoginModuleProxy
   required delegate=com.tivoli.mts.PDLoginModule;
   };

После выполнения этих действий вся среда совместной работы, построенная в этой лекции, будет надежно защищена новой службой безопасности Tivoli Access Manager (с использованием подключаемого модуля WebSphere Edge Server) с точки зрения аутентификации.

Однако в нашем сценарии отдельные приложения (т. е. WebSphere Portal, Lotus Domino и т. д.) продолжают осуществлять базовую "авторизацию". Другими словами, они выполняют проверку в своих ACL, чтобы проверить, имеет ли пользователь, прошедший аутентификацию в TAM, доступ к определенному ресурсу. TAM также можно использовать для обеспечения централизованного контроля над авторизацией в дополнение к аутентификации, однако эта тема выходит за рамки этого сценария и этого курса.

14.7 Заключение

В этой лекции мы представили действительные процедуры, использовавшиеся командой Redbook для реализации сценария "защищенной совместной работы" RedbooksCo в тестовой среде Redbooks. Эти процедуры можно использовать как отправную точку для реализации подобного сценария в вашей среде.