Руководство по...

IBM Tivoli Identity Manager

Руководство по конфигурированию

Версия 4.5.1

SC43-0425-00

��

Примечание:

Перед тем как воспользоваться этой информацией и продуктом, к которому она относится, прочтите информацию в разделе

“Замечания”, на стр. 173.

Первое издание (февраль 2004 г.)

Данное издание применимо к версии 4, выпуску 5, модификации 1 IBM Tivoli Identity Manager (номер продукта

5724–C34) и ко всем его последующим выпускам и модификациям, пока в новых изданиях не будет указано иное.

Данное издание заменяет собой публикацию SC32–1150–02

© Copyright International Business Machines Corporation 2004. Все права защищены.

Содержание

Предисловие . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Для кого предназначена эта книга . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Публикации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Библиотека Tivoli Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Публикации по необходимым продуктам . . . . . . . . . . . . . . . . . . . . . . . . viii

Публикации, связанные с данной . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Как получить доступ к публикациям по электронной сети . . . . . . . . . . . . . . . . . . . ix

Специальные возможности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x

Как обратиться в службу поддержки программ . . . . . . . . . . . . . . . . . . . . . . . . x

Соглашения, используемые в этой книге . . . . . . . . . . . . . . . . . . . . . . . . . . x

Типографские способы выделения текста . . . . . . . . . . . . . . . . . . . . . . . . . x

Различия, связанные с использованием разных операционных систем . . . . . . . . . . . . . . . . xi

Редакционные пометки, используемые в библиотеке документации для версии 4.5.1 . . . . . . . . . . . xi

Определения переменных каталога HOME . . . . . . . . . . . . . . . . . . . . . . . . xi

Часть 1. Базовая конфигурация системы . . . . . . . . . . . . . . . . . . . 1

Глава 1. Использование программы конфигурирования системы (runConfig) . . . . . 3

Пользовательский интерфейс средства конфигурирования системы . . . . . . . . . . . . . . . . . . 4

Файлы свойств . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Запуск программы конфигурирования системы (runConfig) . . . . . . . . . . . . . . . . . . . 5

Общие системные свойства . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Сервер приложений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Информация для планирования . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Свойства каталога . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Информация о соединении с каталогом Tivoli Identity Manager . . . . . . . . . . . . . . . . . . 8

Информация о пуле соединений LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Свойства базы данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Общая информация о базе данных . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Информация о пуле баз данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Свойства функции ведения журнала . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Уровень записи в журнал . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Трассировка исключений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Свойства почты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Информация о Web-сервере . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Информация о почте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Информация о почтовом сервере . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Свойства пользовательского интерфейса . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Логотип заказчика и ссылка на логотип заказчика . . . . . . . . . . . . . . . . . . . . . . 12

Размер страницы списка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Свойства защиты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Параметры шифрования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Параметры управления пользователями сервера приложений . . . . . . . . . . . . . . . . . . 13

Конфигурирование свойств при помощи графического пользовательского интерфейса Tivoli Identity Manager . . . . 14

Глава 2. Настройка графического пользовательского интерфейса Tivoli Identity

Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Как сконфигурировать пользовательский логотип . . . . . . . . . . . . . . . . . . . . . . . 15

Добавление логотипа в графический пользовательский интерфейс Tivoli Identity Manager . . . . . . . . . 15

Настройка вывода списков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Как задать максимальное число элементов на странице . . . . . . . . . . . . . . . . . . . . 16

Как задать максимальное число ссылок на странице . . . . . . . . . . . . . . . . . . . . . 16

Пользовательские атрибуты дисплея . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Настройка шрифтов и цветов . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

© Copyright IBM Corp. 2004 iii

|||

Глава 3. Конфигурирование управления учетными записями и паролями . . . . . . 19

Конфигурирование приостановки/восстановления сотрудников вместе с учетными записями . . . . . . . . . 19

Конфигурирование дополнительной подсказки о пароле при восстановлении сотрудников/учетных записей . . . . 19

Недопустимые пароли . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Добавление слов в словарь паролей . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Исключение учетных записей из согласования . . . . . . . . . . . . . . . . . . . . . . . . 21

Как выбрать учетные записи, которые нужно исключить из согласования . . . . . . . . . . . . . . 21

Настройка шаблонов электронной почты . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Часть 2. Расширенная конфигурация системы . . . . . . . . . . . . . . . . 23

Глава 4. Конфигурирование связи SSL . . . . . . . . . . . . . . . . . . . . . 25

Обзор SSL и цифровых сертификатов . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Что такое секретные ключи и цифровые сертификаты . . . . . . . . . . . . . . . . . . . . . 26

Форматы ключей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Типы реализации SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Сводная информация по конфигурированию и схема . . . . . . . . . . . . . . . . . . . . . . 28

Внедрение Tivoli Identity Manager на сервере WebSphere . . . . . . . . . . . . . . . . . . . . 28

Внедрение Tivoli Identity Manager на сервере WebLogic . . . . . . . . . . . . . . . . . . . . . 28

Конфигурирование связи SSL между браузером и Web-сервером (WebSphere) . . . . . . . . . . . . . . 29

1. Генерирование требования о выдаче подписанного сертификата (Certificate Signing Request - CSR) . . . . . 29

2. Установка подписанного сертификата . . . . . . . . . . . . . . . . . . . . . . . . . 30

3. Конфигурирование Web-сервера для SSL . . . . . . . . . . . . . . . . . . . . . . . . 31

Конфигурирование связи SSL между браузером и Web-сервером (WebLogic) . . . . . . . . . . . . . . 33

Конфигурирование связи SSL между сервером и агентом . . . . . . . . . . . . . . . . . . . . 35

Конфигурирование сертификатов сервера при односторонней аутентификации SSL . . . . . . . . . . . 36

Конфигурирование подписанного сертификата на агенте . . . . . . . . . . . . . . . . . . . . 37

Конфигурирование связи SSL, инициируемой агентом (агент-Web-сервер) . . . . . . . . . . . . . . . 38

Агент на основе ADK, сконфигурированный для уведомлений о событиях . . . . . . . . . . . . . . 38

Загрузка идентификаторов для программы, использующей интерфейс JNDI . . . . . . . . . . . . . 38

Агент на основе IBM Directory Integrator (IDI) . . . . . . . . . . . . . . . . . . . . . . . 38

Глава 5. Конфигурирование решений с однократной регистрацией . . . . . . . . 41

Обзор функций однократной регистрации . . . . . . . . . . . . . . . . . . . . . . . . . 41

Конфигурирование однократной регистрации при использовании WebSEAL . . . . . . . . . . . . . . 42

Требования, предупреждения и обходные способы . . . . . . . . . . . . . . . . . . . . . . 42

Процедура конфигурирования . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Конфигурирование однократной регистрации при использовании модулей Plug-in Tivoli Access Manager . . . . . 44

Создание ответвления WebSEAL при использовании Tivoli Identity Manager . . . . . . . . . . . . . . . 44

Создание ответвления TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Создание ответвления SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Как задать URL для ответвления . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Часть 3. Конфигурирование пользовательских отчетов . . . . . . . . . . . 53

Глава 6. Установка и использование компонента Incremental Data Synchronizer . . . 55

Базовая информация по инкрементной синхронизации данных . . . . . . . . . . . . . . . . . . . 56

Роль журнала изменений ACI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Как включить поддержку журнала изменений сервера каталога . . . . . . . . . . . . . . . . . . 57

Опции установки Incremental Data Synchronizer . . . . . . . . . . . . . . . . . . . . . . . . 57

Установка Incremental Data Synchronizer в системе WebSphere/UNIX . . . . . . . . . . . . . . . . . 57

Установка на отдельном компьютере . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Установка на одном компьютере . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Установка Incremental Data Synchronizer в системе WebSphere/Windows . . . . . . . . . . . . . . . . 60



Установка Incremental Data Synchronizer в системе WebLogic/UNIX . . . . . . . . . . . . . . . . . 63



iv IBM Tivoli Identity Manager: Руководство по конфигурированию

||||

||

Установка Incremental Data Synchronizer в системе WebLogic/Windows . . . . . . . . . . . . . . . . . 65



Как запустить Incremental Data Synchronizer . . . . . . . . . . . . . . . . . . . . . . . . . 68

Графический режим . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Режим командной строки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Настройка Incremental Data Synchronizer . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Глава 7. Конфигурирование Crystal Reports . . . . . . . . . . . . . . . . . . . 73

Поток процессов при использовании отчетов Crystal Reports . . . . . . . . . . . . . . . . . . . . 74

Конфигурирование Tivoli Identity Manager для работы в сочетании с Crystal Reports . . . . . . . . . . . . 75

1. Конфигурирование RAS (поддерживается только на платформе Windows) . . . . . . . . . . . . . 75

2a. Конфигурирование Tivoli Identity Manager (WebSphere в Windows) . . . . . . . . . . . . . . . . 75

2b. Конфигурирование Tivoli Identity Manager (WebSphere в UNIX) . . . . . . . . . . . . . . . . . 77

2c. Конфигурирование сервера Tivoli Identity Manager (WebLogic в Windows) . . . . . . . . . . . . . 79

2d. Конфигурирование Tivoli Identity Manager (WebLogic в UNIX) . . . . . . . . . . . . . . . . . 80

3. Конфигурирование клиента (поддерживается только на платформе Windows) . . . . . . . . . . . . 81

Глава 8. Разработка условий фильтров Crystal . . . . . . . . . . . . . . . . . . 83

Учебник по разработке условий фильтров . . . . . . . . . . . . . . . . . . . . . . . . . 83

Примеры отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Как задать условия JOIN в дизайнере отчетов при разработке отчетов . . . . . . . . . . . . . . . 85

Глава 9. Разработка условий фильтров пользовательских отчетов . . . . . . . . . 89

Учебник по разработке условий фильтров . . . . . . . . . . . . . . . . . . . . . . . . . 89

Примеры отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Использование функций в отчетах . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Как задать условия JOIN в дизайнере отчетов при разработке отчетов . . . . . . . . . . . . . . . 91

Часть 4. Справочник по файлам свойств . . . . . . . . . . . . . . . . . . 95

Глава 10. Конфигурирование системных свойств . . . . . . . . . . . . . . . . . 97

Что такое файлы свойств . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Параметры конфигурации, связанные с WebLogic . . . . . . . . . . . . . . . . . . . . . . . 99

Параметры конфигурации, связанные с WebSphere . . . . . . . . . . . . . . . . . . . . . . 103

Информация о сервере приложений . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Информация об арендаторе по умолчанию . . . . . . . . . . . . . . . . . . . . . . . . . 109

Информация о сервере LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

Информация о кэше . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Информация для службы сообщений . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

Информация для планирования . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Параметры монитора транзакций паролей . . . . . . . . . . . . . . . . . . . . . . . . . 116

Информация XML и DTD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Информация о пуле соединений LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Информация о шифровании . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Программа конфигурирования системы . . . . . . . . . . . . . . . . . . . . . . . . . . 120

Информация о конфигурации рабочих потоков . . . . . . . . . . . . . . . . . . . . . . . 121

Конфигурация почтовых служб . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Информация о согласовании . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Хэширование общего секретного пароля . . . . . . . . . . . . . . . . . . . . . . . . . 128

Свойства двусторонней аутентификации SSL . . . . . . . . . . . . . . . . . . . . . . . . 129

Конфигурация пользовательского интерфейса управления требованиями . . . . . . . . . . . . . . . 130

Конфигурация требований приложения-клиента . . . . . . . . . . . . . . . . . . . . . . . 131

Глава 11. Конфигурирование дополнительных свойств . . . . . . . . . . . . . 133

Что такое файлы свойств . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

adhocreporting.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

crystal.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

DataBaseFunctions.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Содержание v

||

||||||

enRoleAuthentication.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

Конфигурирование пользовательского механизма аутентификации . . . . . . . . . . . . . . . . 142

enRoleDatabase.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

enRoleLDAPConnection.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

enRoleLogging.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

enRoleMail.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154

enrolepolicies.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

enroleworkflow.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

fesiextensions.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

UI.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

CustomLabels.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

Дополнительные файлы свойств . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

Часть 5. Приложения . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Приложение. Замечания . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Товарные знаки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Глоссарий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

Индекс . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

vi IBM Tivoli Identity Manager: Руководство по конфигурированию

||

Предисловие

Вас приветствует Руководство по конфигурированию IBM

® Tivoli

® Identity Manager.

Для кого предназначена эта книга

Это руководство предназначено для системных администраторов и администраторов

защиты, которые производят установку, администрирование или обслуживание

программ на компьютерах, относящихся к их участку работы. Предполагается, что

читатели знакомы с основными принципами управления системой и защитой. Кроме

того, читатель должен иметь представление о принципах управления следующими

программными средствами:

v Сервер каталога

v Сервер базы данных

v Встроенная поддержка службы сообщений WebSphere®

v WebSphere Application Server или WebLogic

v Серверы IBM HTTP Server

Публикации

Ознакомьтесь с описанием библиотеки Tivoli Identity Manager, перечнем необходимых

публикаций и родственными публикациями, чтобы узнать, какие из них могут

оказаться вам полезны. Определив, какие публикации вам нужны, прочтите

инструкции, которые позволят вам получить к ним доступ по электронной сети.

Библиотека Tivoli Identity Manager

Публикации, входящие в библиотеку технической документации по Tivoli Identity

Manager, подразделяются на следующие категории:

v Информация по выпуску

v Онлайновая справка для пользователей

v Установка сервера

v Администрирование и конфигурирование

v Технические дополнения

v Установка агента

Информация по выпуску:

v IBM Tivoli Identity Manager: Замечания по выпуску

Здесь приводятся требования к программным и аппаратным средствам,

необходимым для работы с Tivoli Identity Manager, а также информация о

дополнительных исправлениях и пэтчах и прочая информация о поддержке).

v Tivoli Identity Manager: Прочесть в первую очередь

Онлайновая справка для пользователей:

v Онлайновая справка для пользователей Tivoli Identity Manager

Содержит интегрированные разделы электронной справки по выполнению всех

административных задач в Tivoli Identity Manager.

Установка сервера:

© Copyright IBM Corp. 2004 vii

v IBM Tivoli Identity Manager Server Installation Guide on UNIX and Linux using

WebSphere

Здесь содержится информация по установке Tivoli Identity Manager.

v IBM Tivoli Identity Manager Server Installation Guide on Windows using WebSphere


v IBM Tivoli Identity Manager Server Installation Guide on UNIX using WebLogic


v IBM Tivoli Identity Manager Server Installation Guide on Windows 2000 using WebLogic


Администрирование и конфигурирование:

v IBM Tivoli Identity Manager Policy and Organization Administration Guide

Здесь содержится информация по выполнению административных задач в Tivoli

Identity Manager.

v IBM Tivoli Identity Manager: Руководство для конечного пользователя

Здесь содержится информация для начинающих пользователей Tivoli Identity

Manager.

v Руководство по конфигурированию IBM Tivoli Identity Manager

Здесь приводится информация по конфигурированию Tivoli Identity Manager в среде

с одним сервером и в кластеризованной среде.

Технические дополнения:

v IBM Tivoli Identity Manager Problem Determination Guide

Здесь приводится дополнительная информация по устранению ошибок для

продукта Tivoli Identity Manager.

Установка агента:

v Библиотека технической документации по Tivoli Identity Manager также включает в

себя набор документации по установке агентов для реализации Tivoli Identity

Manager на различных платформах.

Публикации по необходимым продуктам

Чтобы эффективно пользоваться данной книгой, нужно иметь представление оп

продуктах, необходимых для работы Tivoli Identity Manager. Эти публикации можно

найти на следующих страницах:

v WebSphere Application Server

http://www.ibm.com/software/webservers/appserv/support.html

Примечание: Ниже приводится краткий список технических публикаций, в которых

описываются установка и конфигурирование WebSphere Application

Server, а также обеспечение дополнительной защиты. Хотя на момент

выпуска в печать данной публикации этот список был свежим, эта

информация уже могла устареть. Обращайтесь за рекомендованным

списком источников информации к местному представителю по

работе с заказчиками.

– IBM WebSphere Application Server V5.0 System Management and

Configuration (IBM WebSphere Application Server V5.0: Управление

системой и конфигурирование), техническая публикация IBM

– IBM WebSphere Application Server V5.0 Security (IBM WebSphere

Application Server V5.0: Защита), техническая публикация IBM

viii IBM Tivoli Identity Manager: Руководство по конфигурированию

http://www-4.ibm.com/software/webservers/appserv/support.html

v WebLogic

http://e-docs.bea.com/

v Серверы баз данных

– IBM DB2

http://www.ibm.com/software/data/db2/udb/support.html

http://www.ibm.com/software/data/db2

– Oracle

http://otn.oracle.com/tech/index.html

– Microsoft SQL Server 2000 (SP3)

http://msdn.microsoft.com/library/v Приложения серверов каталога

– IBM Directory Server

http://www.ibm.com/software/network/directory

– Sun ONE Directory Server

http://wwws.sun.com/software/products/directory_srvr/5.1/index.htmlv WebSphere (или IBM MQSeries)

http://www.ibm.com/software/ts/mqseries

v Web-прокси-сервер

– IBM HTTP Server

http://www.ibm.com/software/webservers/httpservers/library.html

– Microsoft IIS HTTP Server

http://www.microsoft.com/technet/prodtechnol/iis/default.asp

– Apache HTTP Server

http://httpd.apache.org/docs-project

Публикации, связанные с данной

Информация по вопросам, связанным с сервером Tivoli Identity Manager, имеется в

следующих публикациях:

v В библиотеке публикаций по программам Tivoli содержатся разнообразные

публикации Tivoli: оригинальные статьи, информационные документы,

демонстрационные материалы, технические публикации и письма с объявлениями.

Библиотеке публикаций по программам Tivoli находится в Web по адресу:

http://www.ibm.com/software/tivoli/library/

v Глоссарий для программ Tivoli (Tivoli Software Glossary) содержит определения

многих технических терминов, связанных с программами Tivoli. Доступ к

глоссарию для программ Tivoli (Tivoli Software Glossary) (только на английском

языке) можно получить, воспользовавшись ссылкой Глоссарий в левой части

Web-страницы библиотеки по программам Tivoli; адрес этой страницы:


Как получить доступ к публикациям по электронной сети

Публикации по данному продукту можно найти в электронной сети в формате PDF

(Portable Document Format) и/или HTML (Hypertext Markup Language) в библиотеке по

программам Tivoli по адресу:

http://www.ibm.com/software/tivoli/library

Предисловие ix

http://e-docs.bea.com/

http://www-4.ibm.com/software/data/db2/udb/support.html

http://www.ibm.com/software/data/db2

http://otn.oracle.com/tech/index.html

http://msdn.microsoft.com/library/

http://www.ibm.com/software/network/directory

http://wwws.sun.com/software/products/directory_srvr/5.1/index.html

http://www-4.ibm.com/software/ts/mqseries

http://www-3.ibm.com/software/webservers/httpservers/library.html

http://www.microsoft.com/technet/prodtechnol/iis/default.asp

http://httpd.apache.org/docs-project




Чтобы найти в этой библиотеке публикации по тому или иному продукту, щелкните

по ссылке Product manuals (Руководства по продуктам) в левой части страницы

библиотеки. Затем найдите на странице информационного центра программных

средств Tivoli название нужного продукта и щелкните по нему.

В число публикаций по продукту входят замечания по выпуску, руководства по

установке, руководства пользователей, руководства администраторов и справочники

разработчиков.

Примечание: Чтобы обеспечить правильный вывод на печать публикаций в формате

PDF, выберите в окне Adobe Acrobat Print (это окно появится, когда вы

щелкнете по File → Print - Файл → Печать) переключатель Fit to page

(Уместить на странице).

Специальные возможности

Поддержка специальных возможностей для работы с документацией по продукту

учтена следующим образом:

v Документация представлена в формате HTML и преобразуемом формате PDF,

чтобы обеспечить максимум возможностей использования программ чтения

информации с экрана.

v Все рисунки в документации сопровождаются альтернативным описанием, чтобы

пользователи с нарушениями зрения смогли понять содержимое рисунков.

Как обратиться в службу поддержки программ

Прежде чем обращаться в службу поддержки программных средств IBM Tivoli (IBM

Tivoli Software Support) по поводу неполадок, попробуйте найти ответы на свои

вопросы на Web-сайте IBM Tivoli Software Support; для этого щелкните по ссылке

Tivoli Support на следующей Web-странице:

http://www.ibm.com/software/support/

Если вам потребуется дополнительная помощь, обратитесь в службу поддержки

программ одним из способов, описанных в документе IBM Software Support Guide

(Руководство по поддержке программ IBM), который находится на следующем

Web-сайте:

http://techsupport.services.ibm.com/guides/handbook.html

В этом руководстве содержится следующая информация:

v Порядок регистрации и условия предоставления поддержки

v Номера телефонов в зависимости от того, в какой стране вы находитесь

v Перечень информации, которую нужно собрать перед обращением в службу

поддержки заказчиков

Соглашения, используемые в этой книге

В данной публикации используется ряд условных обозначения для выделения

специальных терминов и действий, а также команд операционной системы и путей.

Типографские способы выделения текста

В этом справочнике используются следующие типографские способы выделения

текста:

x IBM Tivoli Identity Manager: Руководство по конфигурированию

http://www.ibm.com/software/support/

http://techsupport.services.ibm.com/guides/handbook.html

Полужирный шрифт

Полужирным шрифтом выделены команды в нижнем или смешанном

регистре, которые трудно распознать среди окружающего их текста,

ключевые слова, параметры, опции, имена классов и объектов Java.

Курсив Переменные, названия публикаций и отдельные слова или фразы, которые

нужно выделить, напечатаны курсивом.

Моноширинный шрифт

Примеры кода, командные строки, экранный вывод, имена файлов и

каталогов, которые трудно распознать среди окружающего их текста,

системные сообщения, текст, который должен ввести пользователь, а также

значения аргументов или командных опций выделены моноширинным шрифтом.

Различия, связанные с использованием разных

операционных систем

В данной книге переменные среды и пути каталогов указаны в соответствии с

правилами именования UNIX. Если вы работаете в Windows, то, задавая в командной

строке переменные среды, заменяйте $имя_переменной на %имя_переменной%, а

указывая пути каталогов - заменяйте прямую косую черту (/) на обратную косую

черту (\). Если вы используете оболочку bash в системе Windows, можете применять

условные обозначения UNIX.

Редакционные пометки, используемые в библиотеке

документации для версии 4.5.1

В библиотеке технической документации по Tivoli Identity Manager версии 4.5.1

используются редакционные пометки, которые указывают технические изменения по

сравнению с документацией, относящейся к версии 4.5. Редакционные пометки

представляют собой вертикальные линии ( | ) на полях страниц и находятся слева от

изменений.

Определения переменных каталога HOME

В приведенной ниже таблице содержатся определения по умолчанию, которые

используются в данном документе для обозначения домашних каталогов, куда

устанавливаются различные продукты. В вашей реализации могут использоваться

другие каталоги установки и домашние каталоги продуктов. В этом случае вы

должны будете подставлять соответствующие значения для каждой из переменных,

представленных в данной таблице.

Переменная пути Определение по умолчанию

ITIM_HOME Windows:

c:\itim45\

UNIX:

/itim45/

WAS_HOME Windows:

C:\Program Files\WebSphere\AppServer\

UNIX:

/opt/WebSphere/AppServer/

Предисловие xi

Переменная пути Определение по умолчанию

WAS_NDM_HOME Windows:

C:\Program Files\WebSphere\DeploymentManager\

UNIX:

/opt/WebSphere/DeploymentManager/

BEA_HOME Windows:

c:\bea\

UNIX:

/usr/local/bea/

xii IBM Tivoli Identity Manager: Руководство по конфигурированию

Часть 1. Базовая конфигурация системы

Глава 1. Использование программы

конфигурирования системы (runConfig) . . . . 3

Пользовательский интерфейс средства

конфигурирования системы . . . . . . . . . 4

Файлы свойств . . . . . . . . . . . . . 5

Запуск программы конфигурирования системы

(runConfig) . . . . . . . . . . . . . . 5


(UNIX) . . . . . . . . . . . . . . 5


(Windows) . . . . . . . . . . . . . 6

Общие системные свойства . . . . . . . . . . 6

Сервер приложений . . . . . . . . . . . 6

Информация для планирования . . . . . . . 7

Частота . . . . . . . . . . . . . . 7

Срок хранения в корзине (в днях) . . . . . . 7

Свойства каталога . . . . . . . . . . . . 7

Информация о соединении с каталогом Tivoli

Identity Manager . . . . . . . . . . . . 8

Информация о пуле соединений LDAP . . . . . 8

Свойства базы данных . . . . . . . . . . . 8

Общая информация о базе данных . . . . . . 9

Информация о пуле баз данных . . . . . . . 9

Свойства функции ведения журнала . . . . . . 10

Уровень записи в журнал . . . . . . . . . 10

Трассировка исключений . . . . . . . . . 10

Свойства почты . . . . . . . . . . . . . 10

Информация о Web-сервере . . . . . . . . 11

Информация о почте . . . . . . . . . . 12

Информация о почтовом сервере . . . . . . 12

Свойства пользовательского интерфейса . . . . . 12

Логотип заказчика и ссылка на логотип заказчика 12

Размер страницы списка . . . . . . . . . 12

Свойства защиты . . . . . . . . . . . . 13

Параметры шифрования . . . . . . . . . 13

Параметры управления пользователями сервера

приложений . . . . . . . . . . . . . 13

Конфигурирование свойств при помощи

графического пользовательского интерфейса Tivoli

Identity Manager . . . . . . . . . . . . . 14

Глава 2. Настройка графического

пользовательского интерфейса Tivoli Identity

Manager . . . . . . . . . . . . . . . 15

Как сконфигурировать пользовательский логотип . . 15

Добавление логотипа в графический

пользовательский интерфейс Tivoli Identity Manager 15

Настройка вывода списков . . . . . . . . . 16

Как задать максимальное число элементов на

странице . . . . . . . . . . . . . . 16

Как задать максимальное число ссылок на

странице . . . . . . . . . . . . . . 16

Пользовательские атрибуты дисплея . . . . . . 16

Настройка шрифтов и цветов . . . . . . . 16

Глава 3. Конфигурирование управления

учетными записями и паролями . . . . . . 19

Конфигурирование приостановки/восстановления

сотрудников вместе с учетными записями . . . . 19

Конфигурирование дополнительной подсказки о

пароле при восстановлении сотрудников/учетных

записей . . . . . . . . . . . . . . . . 19

Недопустимые пароли . . . . . . . . . . . 20

Добавление слов в словарь паролей . . . . . 20

Исключение учетных записей из согласования . . . 21

Как выбрать учетные записи, которые нужно

исключить из согласования . . . . . . . . 21

Настройка шаблонов электронной почты . . . . . 21

© Copyright IBM Corp. 2004 1

||||

| | | | | | |

| |

2 IBM Tivoli Identity Manager: Руководство по конфигурированию

Глава 1. Использование программы конфигурирования

системы (runConfig)

Конфигурирование сервера Tivoli Identity Manager осуществляется путем управления

различными системными свойствами. Каждому системному свойству соответствует

значение, которое контролирует порядок работы сервера Tivoli Identity Manager.

Например, при помощи системного свойства можно указать, сможет ли пользователь

сразу войти в систему, если даст правильный ответ на контрольный вопрос, или же

ему будет отправлено по электронной почте сообщение с новым паролем.

Системные свойства конфигурируются следующими способами:

v При помощи утилиты конфигурирования системы, runConfig, которая описана в

данной главе

v Вручную, путем изменения значений свойств в соответствующих файлах свойств.

– Подробную информацию о системных свойствах (enrole.properties) смотрите

в разделе Глава 10, “Конфигурирование системных свойств”, на стр. 97.

– Подробную информацию о дополнительных свойствах смотрите в разделе

Глава 11, “Конфигурирование дополнительных свойств”, на стр. 133.

Темы раздела:

v “Пользовательский интерфейс средства конфигурирования системы” на стр. 4

v “Общие системные свойства” на стр. 6

v “Свойства каталога” на стр. 7

v “Свойства базы данных” на стр. 8

v “Свойства функции ведения журнала” на стр. 10

v “Свойства почты” на стр. 10

v “Свойства пользовательского интерфейса” на стр. 12

v “Свойства защиты” на стр. 13

v “Конфигурирование свойств при помощи графического пользовательского

интерфейса Tivoli Identity Manager” на стр. 14


Пользовательский интерфейс средства конфигурирования системы

В этом разделе содержится информация о программе конфигурирования системы

Tivoli Identity Manager. После установки сервера Tivoli Identity Manager системный

администратор может при помощи программы средства конфигурирования системы

изменить информацию о том или ином системном свойстве.

Системные свойства можно изменить в любой момент. Возможно, что после

изменения некоторых системных свойств, придется перезапустить Tivoli Identity

Manager. Например, изменения системных свойств, внесенные модулями запуска

системы, не будут распознаны, пока вы не перезапустите сервер. Изменения других

системных свойств программа может распознать в течение 30 секунд. Наиболее

ярким примером являются свойства функции ведения журнала. Свойства функции

ведения журнала можно изменить, не перезапуская сервер, и изменения вступят в силу

в течение 30 секунд.

Утилита runConfig - это графический инструмент, позволяющий изменить наиболее

часто используемые свойства сервера Tivoli Identity Manager. Изменения, внесенные

при помощи этого средства, автоматически записываются в соответствующие файлы

свойств. Программа runConfig размещается в каталоге bin.

При помощи программы runConfig можно проверить или изменить значения

следующих системных свойств:

v Информацию о сервере приложений

– Имя хоста сервера Tivoli Identity Manager (в случае WebSphere это значение

предназначено только для чтения; в случае WebLogic его можно изменить)

– Номер порта TCP/IP (в случае WebSphere это значение предназначено только

для чтения; в случае WebLogic его можно изменить)

– Номер порта SSL TCP/IP (в случае WebSphere это значение предназначено

только для чтения; в случае WebLogic его можно изменить)

– Информацию для планированияv Информацию о репозитории каталога

– Имя хоста сервера каталога

– DN и пароль принципала, которые сервер Tivoli Identity Manager использует для

подключения к системе сервера каталога

– Номер порта для сервера каталога

– Информацию о пуле соединений LDAPv Информацию о репозитории базы данных

– Тип базы данных

– IP-адрес и порт сервера базы данных

– Имя службы базы данных

– Учетную запись и пароль, которые сервер Tivoli Identity Manager использует для

подключения к базе данных

– Информацию о пуле соединений с базой данныхv Информацию для входа в систему

– Уровень трассировки и вывода сообщенийv Информацию о почтовых уведомлениях

– URL для входа в систему Tivoli Identity Manager

– Почтовый хост SMTP для отправки почтовых уведомлений

– Имя адресата для электронных уведомлений


v Информацию о пользовательском интерфейсе

– Определение логотипа заказчика

– Ссылку на URL заказчика

– Размер страницы спискаv Информацию о защите

– Параметр шифрования

– Пароль системного пользователя

– Пароль пользователя EJB

Файлы свойств

Системные и дополнительные файлы свойств находятся на сервере Tivoli Identity

Manager в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM/data. В этих файлах содержатся все

системные и дополнительные свойства, используемые сервером.

v Подробную информацию о свойствах системы (enrole.properties) смотрите в

разделе Глава 10, “Конфигурирование системных свойств”, на стр. 97.

v Подробную информацию о дополнительных свойствах смотрите в разделе

Глава 11, “Конфигурирование дополнительных свойств”, на стр. 133.

Запуск программы конфигурирования системы (runConfig)

Средство конфигурирования системы входит и в версию Tivoli Identity Manager для

Windows®, и в версию Tivoli Identity Manager для UNIX®.

Примечание: Для работы с утилитой runConfig в системах UNIX (включая Linux)

нужно использовать систему X Window System.

v “Запуск программы конфигурирования системы (UNIX)” на стр. 5

v “Запуск программы конфигурирования системы (Windows)” на стр. 6

Запуск программы конфигурирования системы (UNIX)

Чтобы запустить средство конфигурирования системы в UNIX, выполните

следующее:

1. Войдите в систему на компьютере, на котором установлен сервер Tivoli Identity

Manager, зарегистрировавшись в качестве пользователя root.

2. Перейдите в домашний каталог Tivoli Identity Manager.

# cd ДОМАШНИЙ_КАТАЛОГ_ITIM

3. Перейдите в каталог /bin.

# cd bin

4. Убедитесь, что текущим каталогом является каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/bin.

# pwd

$ ДОМАШНИЙ_КАТАЛОГ_ITIM/bin

5. Введите runConfig и нажмите Enter.

Откроется пользовательский интерфейс конфигурирования системы.

Теперь вы можете приступать к изменению системных свойств.

6. Измените системные свойства, как вам требуется, и щелкните по ОК.

Более подробную информацию о конфигурируемых системных свойствах

смотрите в следующих разделах.

Примечание: Если вы щелкнете по ОК, изменения будут сохранены, и

пользовательский интерфейс закроется. Если вы щелкнете по

Применить, изменения будут сохранены, но пользовательский

интерфейс не закроется.

Глава 1. Использование программы конфигурирования системы (runConfig) 5

||

||

Запуск программы конфигурирования системы (Windows)

Чтобы запустить средство конфигурирования системы в Windows, выполните

следующее:

1. Зарегистрируйтесь в операционной системе, где установлен сервер Tivoli Identity

Manager, воспользовавшись учетной записью системного администратора.

2. Откройте Проводник Windows.

3. Откройте домашний каталог сервера Tivoli Identity Manager.

4. Откройте каталог bin.

5. Дважды щелкните по программе runConfig.

Откроется пользовательский интерфейс конфигурирования системы.

Теперь вы можете приступать к изменению системных свойств.

6. Измените системные свойства, как вам требуется, и щелкните по ОК.

Более подробную информацию о конфигурируемых системных свойствах

смотрите в следующих разделах.

Примечание: Если вы щелкнете по ОК, изменения будут сохранены, и

пользовательский интерфейс закроется. Если вы щелкнете по

Применить, изменения будут сохранены, но пользовательский

интерфейс не закроется.

IBM рекомендует после изменения любых свойств при помощи средства

конфигурирования системы перезапускать сервер Tivoli Identity Manager.

Общие системные свойства

На вкладке Общие пользовательского интерфейса конфигурирования системы

находятся поля с информацией о конфигурации сервера приложения и планировщика.

Смотрите также раздел Глава 10, “Конфигурирование системных свойств”, на стр. 97.

Сервер приложений

Примечание: В случае WebSphere, информация в этом разделе показана только для

справки. Изменить эту информацию нельзя. В случае WebLogic, эти

поля можно изменять.

В поле Информация о сервере приложений показана информация о

компьютере-сервере приложения, включая имя хоста, номер порта TCP и номер

порта SSL.

Рисунок 1. вкладка Общие


||

Информация для планирования

Частота

В поле с информацией о планировщике находится информация о том, как часто поток

планировщика запрашивает из складов запланированных сообщений информацию о

событиях для обработки (Частота). Частота выражается в секундах. Изменить

частоту может только системный администратор.

Срок хранения в корзине (в днях)

При удалении объектов Tivoli Identity Manager (например, подразделений

организации, сотрудников или учетных записей) эти объекты не удаляются из

системы немедленно. Вместо этого они перемещаются в корзину. Очистка корзины -

это отдельная процедура (именуемая ″сбором мусора″), для выполнения которой

нужно вручную запустить сценарии очистки.

Предельный срок хранения в корзине задает срок в днях, в течение которого объект

должен оставаться в системной корзине, прежде чем его можно будет удалить при

помощи запускаемых вручную сценариев очистки. Предельный срок нахождения в

корзине защищает объекты, помещенные в корзину, от удаления сценариями очистки

до истечения заданного промежутка времени.

Когда задан предельный срок хранения в корзине, сценарии очистки могут удалять

только объекты, срок хранения которых превышает заданный предельный срок

хранения. Например, если предельный срок хранения составляет 62 дня (это значение

по умолчанию), удалить при помощи запускаемых вручную сценариев очистки можно

будет только объекты, возраст которых превышает 62 дня (которые находились в

корзине более 62 дней).

При помощи указанных ниже сценариев очистки можно удалять из корзины записи,

которые находятся там дольше заданного предела времени:

Windows:

ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win\ldapClean.cmd

UNIX:

ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix/ldapClean.sh

Рекомендуется запланировать периодическую процедуру очистки корзины. на

платформах Windows вы можете зарегистрировать указанный выше командный

сценарий в планировщике Windows. На платформе UNIX вы можете создать задание

cron UNIX.

Прилагается пример сценария cron UNIX:

ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix/schedule_garbarge.cron

Свойства каталога

На вкладке Каталог пользовательского интерфейса конфигурирования системы

содержится информация о соединении с сервером каталога Tivoli Identity Manager, а

также информация о пуле соединений LDAP. На вкладке Каталог также есть кнопка

Тест, позволяющая проверить соединение с сервером каталога.


Смотрите также ″enRoleLDAPConnection.properties″ в разделе Глава 11,

“Конфигурирование дополнительных свойств”, на стр. 133.

Информация о соединении с каталогом Tivoli Identity

Manager

В полях с информацией о соединении с каталогом сервера Tivoli Identity Manager

показаны DN принципала сервера каталога, пароль, имя хоста и номер порта.

Информация о пуле соединений LDAP

Информация о пуле соединений LDAP задает пул соединений LDAP, доступных

серверу Tivoli Identity Manager. В поле Максимальный размер пула показано

максимальное число соединений, которое может находиться в пуле соединений LDAP

в каждый данный момент времени. В поле Исходный размер пула соединений

показано исходное число соединений, создаваемых для пула соединений LDAP. В поле

Приращение показано число соединений, которое добавляется в пул соединений

LDAP каждый раз, когда запрашивается новое соединение, а все соединения уже

используются.

Примечание: Если после установления соединения и сохранения данных на сервере

каталога LDAP изменить имя хоста или номер порта, это может иметь

нежелательные последствия.

Свойства базы данных

На вкладке База данных пользовательского интерфейса конфигурирования системы

содержится общая информация о базе данных и информация о пуле баз данных. На

вкладке База данных также есть кнопка Тест, позволяющая проверить соединение с

базой данных. В зависимости от используемого типа соединения при

конфигурировании свойств базы данных появится одно из нескольких диалоговых

окон.

Примечание: В базе данных содержатся журнал аудита и информация о рабочем

потоке для системы. Изменение конфигурации после настройки системы

может привести к нежелательным последствиям.

В показанном ниже диалоговом окне показана вкладка База данных, если сервер

Tivoli Identity Manager не использует клиент Oracle для соединения с базой данных

Oracle. При таком типе соединения используется драйвер JDBC типа IV (Oracle Thin).

Аналогично, для Microsoft SQLServer используется драйвер JDBC типа 4.

Рисунок 2. Вкладка Каталог


Смотрите также ″enRoleDatabase.properties″ в разделе Глава 11, “Конфигурирование

дополнительных свойств”, на стр. 133.

Общая информация о базе данных

В полях общей информации о базе данных находится такая информация, как тип

базы данных, имя или алиас базы данных и имя пользователя базы данных.

v В поле Тип базы данных показан тип базы данных, используемый для вашей

системы.

v Только для DB2: В поле Имя или Алиас базы данных показано, как сервер Tivoli

Identity Manager соединяется с базой данных.

Если база данных установлена локально, значение в этом поле соответствует

имени базы данных.

Если база данных установлена на удаленном компьютере, значение в этом поле

соответствует алиасу удаленной базы данных.

v Только Oracle: Метка поля: Database IP:Port:Name (IP-адрес базы

данных:Порт:Имя)

v Только Microsoft SQLServer: Метка поля: Database IP:Port:Service Name (IP-адрес

базы данных:Порт:Имя службы)

v Только для Oracle и Microsoft SQLServer: Используются драйверы JDBC типа 4.

Никакой клиентской программы не требуется.

v В поле Пользователь базы данных показана учетная запись, которую сервер Tivoli

Identity Manager использует для входа в базу данных. В качестве ID пользователя

должно быть указано значение ″enrole″, создаваемое программой

конфигурирования базы данных Tivoli Identity Manager (DBConfig).

У этой учетной записи должен быть действительный пароль.

v В поле Пароль пользователя находится пароль для учетной записи пользователя

базы данных.

Информация о пуле баз данных

Информация о пуле баз данных определяет число соединений JDBC. В поле Initial

Capacity (Исходная мощность) показано исходное число соединений JDBC. В поле

Maximum Capacity (Максимальная мощность) показано максимальное число

соединений JDBC с базой данных, которые сервер Tivoli Identity Manager может

открыть в каждый момент времени. В поле Login Delay Seconds (Время задержки, в

сек) показан интервал времени между соединениями (в секундах).

Рисунок 3. Вкладка База данных


||

Свойства функции ведения журнала

На вкладке Запись в журнал средства конфигурирования системы находятся

параметры ведения журнала и трассировки для сервера Tivoli Identity Manager.

Смотрите также ″enRoleLogging.properties″ в разделе Глава 11, “Конфигурирование


Уровень записи в журнал

Сервер Tivoli Identity Manager записывает события в файл журнала. В поле Уровень

записи в журнал показано, насколько подробно ведется запись в журнал при

трассировке системных ошибок. Системные администраторы могут указать,

насколько подробно должен вестись журнал, установив в поле Уровень записи в

журнал число, соответствующее одному из уровней в диапазоне от информационных

сообщений до невосстановимых ошибок. При записи только невосстановимых

ошибок в журнал записывается меньше информации, чем если задан уровень записи

информации. При запись информации в журнал записываются большие объемы

уведомлений. Чтобы обеспечить более высокую производительность Tivoli Identity

Manager, укажите уровень, задающий запись только невосстановимых ошибок.

Трассировка исключений

Сервер Tivoli Identity Manager производит трассировку системных ошибок. При

трассировке осуществляется сбор информации для службы поддержки IBM.

Системный администратор может включить или выключить трассировку, выбрав

радиокнопки Да или Нет в блоке Трассировка исключений.

Свойства почты

На вкладке Почта средства конфигурирования системы находятся параметры

почтовых уведомлений и шлюзов.

Рисунок 4. Вкладка Запись в журнал


Смотрите также ″enRoleMail.properties″ в разделе Глава 11, “Конфигурирование


Информация о Web-сервере

Новые пользователи Tivoli Identity Manager впервые видят URL для входа в систему

Tivoli Identity Manager в виде гиперссылки, включенной в электронное сообщение.

Этот URL для входа в систему основан на значении URL, находящемся в поле URL

сервера Identity Manager (базовый URL) на вкладке Почта.

Обратите внимание не то, что в поле базового URL вы указываете только имя хоста

(IP-адрес) и порт. Это значение должно совпадать с опубликованным URL для входа

в вашу систему Tivoli Identity Manager.

В среде с одним сервером, где используется сервер WebSphere Application Server,

базовый URL должен представлять собой URL Web-сервера (например, сервера IBM

HTTP Server), который по умолчанию использует порт 80 для соединений HTTP и

порт 443 - для соединений HTTPS (это не номера портов сервера приложений,

который по умолчанию использует порт 9080 для HTTP и порт 9443 - для HTTPS).

В кластеризованной среде и в среде функционального кластера, где используется

WebSphere Application Server, базовый URL должен представлять собой URL

Web-сервера, который распределяет нагрузку по всем экземплярам серверов

приложений в кластере (а не базовый URL какого-то отдельного экземпляра сервера

приложений).

В среде с одним сервером, где используется сервер приложений WebLogic и НЕ

используется коммерческий Web-сервер, базовый URL должен представлять собой

URL сервера приложений, на котором есть встроенный компонент Web-сервера.

Например, 7001 для HTTP и 7002 - для HTTPS.

В среде с одним сервером, где используется сервер приложений WebLogic и

коммерческий Web-сервер, базовый URL должен представлять собой URL

Web-сервера, который по умолчанию использует порт 80 для соединений HTTP и

порт 443 - для соединений HTTPS (это не номера портов сервера приложений).

В кластере, где используется сервер приложений WebLogic, базовый URL должен

представлять собой URL прокси-сервера – либо коммерческого Web-сервера с

установленным и сконфигурированным модулем plug-in BEA WebLogic, либо другого

сервера приложений WebLogic, сконфигурированного и работающего в качестве

прокси-сервера. В качестве базового URL НЕ следует использовать URL какого-то

отдельного экземпляра сервера приложений в кластере.

Рисунок 5. Вкладка Почта


Информация о почте

В поле ″Почта от″ указан адрес электронной почты системного администратора

Tivoli Identity Manager для вашего сайта.

Все электронные сообщения будут доставляться с использованием параметра Почта

от. Это поле является обязательным. В этом поле должен быть указан правильно

сформатированный адрес электронной почты.

Информация о почтовом сервере

Поддерживаются почтовые серверы SMTP. Хост SMTP представляет собой почтовый

шлюз.

Свойства пользовательского интерфейса

На вкладке UI средства конфигурирования системы системный администратор

может настроить графический пользовательский интерфейс сервера Tivoli Identity

Manager.

Смотрите также ″UI.properties″ в разделе Глава 11, “Конфигурирование


Логотип заказчика и ссылка на логотип заказчика

В поле Логотип заказчика находится имя файла изображения-логотипа. Ссылка на

логотип заказчика - это дополнительная ссылка на URL, которая активируется, если

щелкнуть по логотипу. Системный администратор может задать эти две переменные,

чтобы везде в системе Tivoli Identity Manager заменить логотип IBM на логотип своей

компании.

Более подробную информацию об изменении логотипа и ссылки смотрите в разделе

“Как сконфигурировать пользовательский логотип” на стр. 15.

Размер страницы списка

В поле Размер страницы списка показано, сколько элементов может включать в себя

любой список, появляющийся в любом месте пользовательского интерфейса. Если

общее число элементом превысит значение, заданное в поле Размер страницы списка,

список будет разбит на несколько страниц.

Более подробную информацию об изменении размера страницы списка смотрите в

разделе “Настройка вывода списков” на стр. 16.

Рисунок 6. Вкладка UI


Свойства защиты

На вкладке Защита средства конфигурирования системы находятся параметры

шифрования и параметры управления пользователями сервера приложений для

сервера Tivoli Identity Manager.

Смотрите также ″enRoleAuthentication.properties″ в разделе Глава 11,


Параметры шифрования

Шифрование (переключатель)

если этот переключатель включен, пароли, используемые для соединения с базой

данных и LDAP, и пароль пользователя EJB, используемый для аутентификации EJB,

будут шифроваться. Флагам шифрования присваивается значение true. В файле

enRole.properties этим флагам соответствуют следующие свойства:

enrole.password.database.encrypted

enrole.password.ldap.encryped

enrole.password.appServer.encrypted

Если этот переключатель не включен, пароли не шифруются, и в качестве флагов

шифрования устанавливается значение false.

Параметры управления пользователями сервера

приложений

Здесь можно задать и подтвердить пароль для следующих пользователей:

v Системный пользователь

ID и пароль пользователя WebSphere Application Server.

v Пользователь EJB

Имя пользователя и пароль, которые следует задать до запуска установки.

Примечание: Это поле может содержать уже подставленное значение - System User

(Системный пользователь). Измените значение в этом поле на имя

пользователя EJB. Более подробную информацию смотрите в

приложении Замечания относительно защиты в соответствующей

версии публикации IBM Tivoli Identity Manager Server Installation Guide

(Руководство по установке сервера IBM Tivoli Identity Manager).

Рисунок 7. Вкладка Защита


Конфигурирование свойств при помощи графического

пользовательского интерфейса Tivoli Identity Manager

Некоторые системные свойства также можно изменить в разделе Конфигурация в

навигационной строке главного меню графического пользовательского интерфейса

Tivoli Identity Manager.

На вкладке Конфигурация можно изменить следующие свойства:

v Режим вопросов при забытом пароле

v Разрешить/запретить изменение паролей

v Срок действия пароля (время в сутках)

Это свойство применимо только к учетным записям сервера Tivoli Identity Manager.

Пользователь должен изменить пароль до истечения этого срока. Срок действия

пароля отсчитывается с момента назначения пароля для учетной записи Tivoli

Identity Manager. Можно сделать так, чтобы срок действия пароля никогда не

кончался - для этого нужно задать значение, равное нулю.

v Срок получения пароля (время в часах)

После создания новой учетной записи пользователь получит электронное

сообщение со ссылкой (URL), позволяющей получить пароль. Пользователь

должен получить пароль до истечения заданного срока получения пароля.

v Максимальное число неудачных попыток регистрации

Задает максимально допустимое число неудачных попыток входа в систему. Если

это число будет превышено, учетная запись приостанавливается. Значение по

умолчанию - ″0″ (число попыток входа в систему не ограничено).


Глава 2. Настройка графического пользовательского

интерфейса Tivoli Identity Manager

В этой главе содержится информация по настройке графического пользовательского

интерфейса Tivoli Identity Manager.

Смотрите также ″UI.properties″ в разделе Глава 11, “Конфигурирование



v “Как сконфигурировать пользовательский логотип” на стр. 15

v “Настройка вывода списков” на стр. 16

v “Пользовательские атрибуты дисплея” на стр. 16

Как сконфигурировать пользовательский логотип

Можно сделать так, чтобы в правом верхнем углу каждой страницы графического

пользовательского интерфейса Tivoli Identity Manager появлялся логотип компании

заказчика. Этот логотип можно также связать с URL. По умолчанию, в этом месте

находится логотип IBM (IBM_banner.gif), связанный с Web-сайтом IBM, и, если

щелкнуть по логотипу, можно перейти на этот сайт. Системные администраторы

могут добавить логотип своей компании, выполнив следующие действия:

Добавление логотипа в графический пользовательский

интерфейс Tivoli Identity Manager

1. Скопируйте файл GIF, содержащий логотип компании, в следующий каталог:

WebSphere:

ДОМАШНИЙ_КАТАЛОГ_WAS/installedApps/enrole.ear/enrole.war/images

WebLogic:

ДОМАШНИЙ_КАТАЛОГ_BEA/user_projects/itim/applications/enrole/images

2. Запустите средство конфигурирования системы.

Дополнительную информацию смотрите в разделе Глава 1, “Использование

программы конфигурирования системы (runConfig)”, на стр. 3.

3. Щелкните по вкладке UI (Пользовательский интерфейс).

4. Введите имя файла GIF в поле Логотип заказчика.

5. По желанию: Введите URL в поле Ссылка на логотип заказчика, чтобы связать

логотип с соответствующим Web-сайтом.

6. Щелкните по ОК.

Внесенные изменения будут сохранены в файле UI.properties, и средство

конфигурирования системы закроется.


|

|

|

||

|

|

|

|

|

|

Настройка вывода списков

На многих страницах в графическом пользовательском интерфейсе Tivoli Identity

Manager содержатся списки элементов на том или ином уровне. Можно

сконфигурировать этих страниц параметры, определяющие число элементов на

странице и число ссылок на страницы с продолжением списка. По умолчанию, на

странице появляется не более десяти элементов, и максимальное число ссылок на

страницы также равно десяти.

Эти два параметра конфигурируются в двух разных местах. Число элементов на

странице в списке следует задавать с помощью средства конфигурирования системы.

Число ссылок на страницы с продолжением списка указывается в файле

UI.properties, находящемся в папке ДОМАШНИЙ_КАТАЛОГ_ITIM/data.

Как задать максимальное число элементов на странице

1. Запустите средство конфигурирования системы.

Более подробную информацию смотрите в разделе Глава 1, “Использование

программы конфигурирования системы (runConfig)”, на стр. 3.

2. Щелкните по вкладке UI (Пользовательский интерфейс).

3. В поле Размер страницы списка введите число элементов, которые могут

появиться на странице.


Изменения будут сохранены, и пользовательский интерфейс конфигурирования

системы закроется.

Как задать максимальное число ссылок на странице

1. Войдите в систему на компьютере, на котором установлен сервер Tivoli Identity

Manager.

2. Перейдите в папку data.

3. Откройте файл UI.properties в текстовом редакторе.

4. Измените значение свойства enrole.ui.pageLinkMax на нужное значение.

Ниже приводится пример того, как можно задать это свойство в файле:

enrole.ui.pageLinkMax=10

5. Сохраните и закройте файл UI.properties.

Измененные параметры немедленно появятся в пользовательском интерфейсе

системы.

Пользовательские атрибуты дисплея

Графический пользовательский интерфейс Tivoli Identity Manager можно настроить

так, задав для него нужные вам шрифты и цвета, а также ограничив число элементов,

которые могут появиться на странице.

После внесения изменений всегда перезапускайте систему.

Настройка шрифтов и цветов

Системные шрифты и цвета, используемые в графическом пользовательском

интерфейсе, можно настроить путем изменения значений в файле Styles.css,

который находится в следующей папке:

WebSphere:


ДОМАШНИЙ_КАТАЛОГ_WAS/installedApps/<имя_сервера>/enrole.ear/app_web.war/en

WebLogic:

ДОМАШНИЙ_КАТАЛОГ_BEA/user_projects/itim/applications/enrole/en

Глава 2. Настройка графического пользовательского интерфейса Tivoli Identity Manager 17

|

|

Глава 3. Конфигурирование управления учетными записями

и паролями


v “Конфигурирование приостановки/восстановления сотрудников вместе с учетными

записями” на стр. 19

v “Конфигурирование дополнительной подсказки о пароле при восстановлении

сотрудников/учетных записей” на стр. 19

v “Недопустимые пароли” на стр. 20

v “Исключение учетных записей из согласования” на стр. 21

v “Настройка шаблонов электронной почты” на стр. 21

Конфигурирование приостановки/восстановления сотрудников

вместе с учетными записями

Указанное ниже свойство можно вручную добавить в файл enRole.properties,

чтобы изменить режим работы функции приостановки и восстановления

сотрудников, управляемых API приложений:

com.ibm.itim.personManagement.suspendRestorePersonWithAccounts

Допустимые значения:

v true

API приостановки и восстановления сотрудников также приостанавливают и

восстанавливают учетные записи сотрудников.

v false

API приостановки и восстановления сотрудников не приостанавливают и не

восстанавливают учетные записи сотрудников.

Значение этого свойства по умолчанию задает следующий режим:

v При приостановке доступа сотрудника также приостанавливаются все учетные

записи этого сотрудника

v При восстановлении доступа сотрудника его учетные записи не

восстанавливаются.

Конфигурирование дополнительной подсказки о пароле при

восстановлении сотрудников/учетных записей

Указанное ниже свойство можно вручную добавить в файл enRole.properties,

чтобы изменить режим работы функции подсказки о пароле при восстановлении

учетных записей (и восстановлении сотрудников, если включен переключатель

″Восстанавливать учетные записи″):

account.restore.password.suppress

Это свойство влияет и на восстановление учетных записей, и на восстановление

сотрудников (если включен переключатель ″Восстанавливать учетные записи″).


v true


|

|

|

|||

|

|

|

||

|

||

|

||

||

|

|

||||

|

||

|

|

Подсказка о пароле для восстанавливаемой учетной записи или сотрудника (если

включен переключатель ″Восстанавливать учетные записи″) отключается. Вместо

этого будет появляться окно с подтверждением.

Однако, этот режим не будет использоваться, если для восстановления хотя бы

одной из выбранных учетных записей требуется пароль. В этом случае Tivoli

Identity Manager все равно запросит пароль, даже если для данного свойства задано

значение ″true″ (подавление вывода подсказки).

То, требуется ли пароль для восстановления учетной записи, определено в профиле

службы агента, в файле resource.def.

v false

Подсказка о пароле для восстанавливаемой учетной записи или сотрудника (если

включен переключатель ″Восстанавливать учетные записи″) остается включенной.

Недопустимые пароли

Сервер Tivoli Identity Manager можно сконфигурировать так, чтобы пользователям

было запрещено использовать те или иные слова в качестве паролей для учетных

записей. Эти слова записываются в словаре паролей на сервере каталога LDAP. В

этом словаре паролей находится список слов, которые нельзя использовать в качестве

пароля.

Этот словарь можно изменить с помощью браузера LDAP, создав записи

erDictionaryItem в разделе erDictionaryName=<password> или импортировав файл

LDIF, содержащий нужные записи, на сервер каталога.

Ниже приводится пример файла LDIF, в котором указаны слова, которые нужно

запретить для использования в качестве паролей:

dn: erword=apple, erdictionaryname=password, ou=ITIM, dc=com

objectClass: top

objectClass: erdictionaryitem

erWord: apple

dn: erword=orange, erdictionaryname=password, ou=ITIM, dc=com

objectClass: top

objectClass: erdictionaryitem

erWord: orange

Единственное значение, которое подлежит изменению - это значение erword. Значение

erword задает слово, которое нельзя использовать в качестве пароля.

Примечание: После последней строки в файле LDIF должен стоять символ перевода

каретки, иначе запись не будет распознана.

Создав словарь паролей с нужными значения, следует изменить правила политики

паролей так, чтобы они действовали с учетом словаря паролей. Более подробную

информацию об изменении правил политики паролей смотрите в публикации IBM

Tivoli Identity Manager Policy and Organization Administration Guide.

Добавление слов в словарь паролей

Чтобы добавить слова в словарь паролей, сделайте следующее:

1. Создайте файл LDIF, указав в нем слова, которые нужно добавить в словарь

паролей.

2. Импортируйте этот файл LDIF на сервер каталога LDAP.


|||

||||

||

|

||

Исключение учетных записей из согласования

В ходе согласования с управляемого ресурса возвращаются все учетные записи, если в

запросе не указано иное. Учетная запись присваивается автоматически, если

какой-либо пользователь в системе будет распознан в качестве ее владельца или если

для учетной записи существует алиас.

Однако сервер Tivoli Identity Manager можно сконфигурировать так, чтобы не

допустить автоматического присвоения тех или иных учетных записей. Эта функция

позволяет избежать автоматического присвоения системных учетных записей

(например, root, lp, sys и etc) на ресурсах UNIX. В этом случае пользователи не

смогут случайно или умышленно присвоить и изменить учетные записи, необходимые

для работы системы.

Хотя эти записи не будут присваиваться автоматически, администратор все равно

сможет присвоить их тем или иным пользователям вручную.

Учетные записи, которые следует исключить из согласования, можно задать в файле

LDIF. Ниже приводится пример записей в файле LDIF:

dn: ou=excludeAccounts, ou=ITIM, ou=ITIM, dc=com

ou: excludeAccounts

objectClass: top

objectClass: organizationalunit

dn: cn=SolarisProfile, ou=excludeAccounts, ou=ITIM, ou=ITIM, dc=com

erObjectProfileName: SolarisProfile

objectClass: top

objectClass: eridentityexclusion

cn: SolarisProfile

erAccountID: root

erAccountID: admin

cn и erObjectProfileName - это имя профиля службы. Исключенные учетные записи

можно задать с помощью атрибута erAccountID. Например, можно исключить

учетные записи root и admin из процедуры автоматического присвоения в ходе

согласования для службы Solaris.

Как выбрать учетные записи, которые нужно исключить из

согласования

Чтобы выбрать учетные записи, которые нужно исключить из согласования, сделайте

следующее:

1. Создайте файл LDIF, содержащий имена учетных записей, которые следует

исключить из согласования, а также имена служб, для доступа к которым

используются эти учетные записи.

2. Импортируйте этот файл LDIF на сервер каталога LDAP.

Смотрите также ″Информация о согласовании″ в разделе Глава 11,


Настройка шаблонов электронной почты

На сервере Tivoli Identity Manager в качестве общего шаблона для всех стандартных

электронных сообщений, связанных с процессами рабочего потока в системе,

используется статический файл формата HTML (HyperText Markup Language). Этот

файл позволяет управлять тем, какая информация будет представлена в электронном

сообщении, и тем, как она будет отображаться на экране.

Глава 3. Конфигурирование управления учетными записями и паролями 21

|

|||||

Имя этого HTML-файла - notifytemplate.html, и он находится в каталоге

ДОМАШНИЙ_КАТАЛОГ_ITIM/data/workflow_systemprocess.

В этом HTML-файле можно изменять все атрибуты за исключением трех переменных,

перед которыми стоит знак доллара (’$’). Эти переменные указаны ниже:

v $TITLE

v $BODY

v $BASE_URL

Общие атрибуты, которые можно изменить - это цвет фона и такие атрибуты таблиц,

как размер и цвет ячейки.


||

||

|

|

|

||

Часть 2. Расширенная конфигурация системы

Глава 4. Конфигурирование связи SSL . . . . 25

Обзор SSL и цифровых сертификатов . . . . . . 25

Что такое секретные ключи и цифровые

сертификаты . . . . . . . . . . . . . 26

Форматы ключей . . . . . . . . . . . 27

Типы реализации SSL . . . . . . . . . . 27

Сводная информация по конфигурированию и схема 28

Внедрение Tivoli Identity Manager на сервере

WebSphere . . . . . . . . . . . . . . 28

Внедрение Tivoli Identity Manager на сервере

WebLogic . . . . . . . . . . . . . . 28

Конфигурирование связи SSL между браузером и

Web-сервером (WebSphere) . . . . . . . . . 29

1. Генерирование требования о выдаче

подписанного сертификата (Certificate Signing

Request - CSR) . . . . . . . . . . . . 29

2. Установка подписанного сертификата . . . . 30

3. Конфигурирование Web-сервера для SSL . . . 31

Конфигурирование связи SSL между браузером и

Web-сервером (WebLogic) . . . . . . . . . . 33

Конфигурирование связи SSL между сервером и

агентом . . . . . . . . . . . . . . . . 35

Конфигурирование сертификатов сервера при

односторонней аутентификации SSL . . . . . 36

Использование корневого сертификата

стороннего сертификатора . . . . . . . 36

Использование сертификатов, сгенерированных

и подписанных с помощью утилит OpenSSL . . 36

Конфигурирование подписанного сертификата на

агенте . . . . . . . . . . . . . . . 37

Конфигурирование связи SSL, инициируемой агентом

(агент-Web-сервер) . . . . . . . . . . . . 38

Агент на основе ADK, сконфигурированный для

уведомлений о событиях . . . . . . . . . 38

Загрузка идентификаторов для программы,

использующей интерфейс JNDI . . . . . . . 38

Агент на основе IBM Directory Integrator (IDI) . . 38

Глава 5. Конфигурирование решений с

однократной регистрацией . . . . . . . . 41

Обзор функций однократной регистрации . . . . 41

Конфигурирование однократной регистрации при

использовании WebSEAL . . . . . . . . . . 42

Требования, предупреждения и обходные способы 42

Предупреждение: SSO при использовании

нескольких учетных записей сотрудников . . . 42

Требование: Задать язык среды: . . . . . . 42

Обходной путь: Конфигурирование разницы

часовых поясов . . . . . . . . . . . 43

Процедура конфигурирования . . . . . . . 43

Конфигурирование однократной регистрации при

использовании модулей Plug-in Tivoli Access Manager . 44

Создание ответвления WebSEAL при использовании

Tivoli Identity Manager . . . . . . . . . . . 44

Создание ответвления TCP . . . . . . . . 45

Создание ответвления SSL . . . . . . . . 48

Как задать URL для ответвления . . . . . . 51


Глава 4. Конфигурирование связи SSL

В этой главе рассказывается, какие задачи по администрированию и

конфигурированию необходимо выполнить, чтобы настроить среду внедрения Tivoli

Identity Manager для использования цифровых сертификатов для

SSL-аутентификации.

Обзор и сводная информация о конфигурировании:

v “Обзор SSL и цифровых сертификатов” на стр. 25

v “Сводная информация по конфигурированию и схема” на стр. 28

Информация о конфигурировании Tivoli Identity Manager при использовании

WebSphere:

v “Конфигурирование связи SSL между браузером и Web-сервером (WebSphere)” на

стр. 29

v “Конфигурирование связи SSL между сервером и агентом” на стр. 35

Информация о конфигурировании Tivoli Identity Manager при использовании

WebLogic:

v “Конфигурирование связи SSL между браузером и Web-сервером (WebLogic)” на

стр. 33

v “Конфигурирование связи SSL между сервером и агентом” на стр. 35

Дополнительная информация:

v “Конфигурирование связи SSL, инициируемой агентом (агент-Web-сервер)” на стр.

38

Обзор SSL и цифровых сертификатов

В среде внедрения Tivoli Identity Manager следует учитывать вопросы защиты обмена

информацией между всеми сконфигурированными компонентами. В среде внедрения

Tivoli Identity Manager для защиты связи используется стандартный механизм Secure

Sockets Layer (SSL), в котором аутентификация производится на основе цифровых

сертификатов.

SSL обеспечивает защиту соединения, позволяя двум приложениям связаться друг с

другом по сети и аутентифицировать друг друга. Кроме того, SSL позволяет

шифровать данные, которыми обмениваются эти приложения. Посредством

аутентификации сервер (в случае односторонней аутентификации) и, если

понадобится, клиент (в случае двусторонней аутентификации) проверяют

идентичность приложения на другом конце сетевого соединения. При использовании

шифрования данные передаются по сети в таком виде, чтобы они были понятны

только получателю, для которого они предназначаются.

В основе использования SSL лежат следующие понятия:

v SSL обеспечивает механизм, посредством которого одно приложение

аутентифицирует себя для другого приложения.

v Односторонняя аутентификация SSL позволяет одному приложению

удостовериться в идентичности другого приложения.


v Двусторонняя аутентификация SSL (взаимная аутентификация) позволяет двум

приложениям удостовериться в идентичности друг друга.

v У приложения, которое принимает на себя роль ″сервера″, имеется сертификат

стороны сервера, который позволяет ему доказать свою идентичность

приложению-клиенту.

v При взаимной аутентификации у приложения, которое принимает на себя роль

″клиента″, имеется сертификат стороны клиента, который позволяет ему доказать

свою идентичность приложению-серверу.

v Приложение, которому представили сертификат, должно располагать корневым

сертификатом (или цепью сертификатов) сертификатора (CA), который подписал

представленный сертификат. Корневой сертификат CA (или цепь сертификатов)

позволяет проверить представленный сертификат.

v В клиентских соединениях, если браузеру клиента представят сертификат,

выданный кем-либо помимо известного сертификатора, браузер клиента оповестит

об этом пользователя.

Что такое секретные ключи и цифровые сертификаты

Секретные ключи, цифровые сертификаты и доверенные сертификаторы дают

возможность удостоверить и проверить идентичность сетевого приложения.

В SSL при аутентификации используется технология шифрования с открытым

ключом. При шифровании с открытым ключом для приложения генерируются

открытый ключ и секретный ключ. Эти ключи связаны друг с другом таким образом,

что данные, зашифрованные с использованием открытого ключа, можно

расшифровать только с помощью соответствующего секретного ключа. И

аналогично, данные, зашифрованные с использованием секретного ключа, можно

расшифровать только с помощью соответствующего открытого ключа. Секретный

ключ надежно защищен, чтобы сообщения, зашифрованные при помощи открытого

ключа, мог расшифровать только владелец.

Открытый ключ встроен в цифровой сертификат наряду с дополнительной

информацией, описывающей владельца открытого ключа (к такой информации

относится имя, почтовый адрес и адрес электронной почты). Секретный ключ и

цифровой сертификат обеспечивают подтверждение идентичности приложения.

Доверенный сертификатор (CA) проверяет данные, встроенные в цифровой

сертификат, и снабжает их цифровой подписью с использованием цифрового

сертификата сертификатора. К известным сертификаторам относятся Verisign и

Entrust.net. Доверенный сертификатор становится гарантом идентичности

приложения.

Приложение, участвующее в установлении соединения SSL, проходит

аутентификацию, когда другая сторона проверяет и принимает ее цифровой

сертификат. Цифровой сертификат, используемый при аутентификации, проверяется

при помощи связанного с ним корневого сертификата сертификатора, который

хранится в принимающем приложении.

Web-браузеры, серверы и другие приложения, поддерживающие SSL, обычно считают

подлинным все цифровые сертификаты, подписанные доверенными сертификаторами

и являющиеся действительными во всех остальных отношениях. Например,

цифровой сертификат может быть отвергнут, если истек срок его действия или истек

срок действия цифрового сертификата сертификатора, который его подписал.

Сертификат сервера может не пройти проверку, если имя хоста в цифровом

сертификате сервера не совпадет с именем хоста, которое указал клиент.


Форматы ключей

Сервер WebLogic может работать с цифровыми сертификатами в форматах .pem,

.arm и .der.

Файл формата .pem (privacy-enhanced mail) начинается и заканчивается следующими

строками:

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Файл формата .pem поддерживает несколько цифровых сертификатов (например, в

него можно включить цепь сертификатов). Однако порядок расположения цифровых

сертификатов в этом файле имеет важное значение. Например, сертификат A,

сертификат B (это должен быть эмитент сертификата A), сертификат C (это должен

быть эмитент сертификата B),... и так до корневого сертификатора.

Файл формата .arm представляет собой двоичный файл зашифрованный в кодировке

ASCII. В файле .arm содержится зашифрованное ASCII-представление сертификата,

закодированное при помощи base-64, включая его секретный ключ, но без открытого

ключа. Файл формата .arm генерируется и используется утилитой GSKit iKeyman

(только в WebSphere).

Файл формата .der содержит двоичные данные. Файл формата .der можно

использовать только для хранения одного сертификата, в то время как в файле

формата .pem может находиться несколько сертификатов.

Типы реализации SSL

Компоненты в конфигурации Tivoli Identity Manager используют несколько

реализаций SSL:

v IBM Global Security Toolkit (GSKit)

Используется сервером IBM HTTP Server.

v RSA SSL-J

Используется продуктом Tivoli Identity Manager.

v RSA SSL-C

Используется агентом.

v Open SSL

Используется агентом.

Защищенная связь SSL используется в конфигурации Tivoli Identity Manager в трех

местах:

v Между Web-браузером клиента и Web-сервером, который используется сервером

приложения Tivoli Identity Manager

v Между сервером Tivoli Identity Manager и агентами Tivoli Identity Manager

v При инициируемой агентом связи SSL между Web-сервером и агентом

Глава 4. Конфигурирование связи SSL 27

||

|

|

|

|

|

|

|

|

Сводная информация по конфигурированию и схема

Приведенная в этом разделе информация представляет собой схему

конфигурирования среды внедрения Tivoli Identity Manager для использования SSL.

Внедрение Tivoli Identity Manager на сервере WebSphere

Приведенная ниже сводная информация по конфигурированию относится к

внедрению Tivoli Identity Manager на сервере WebSphere Application Server.

v Сконфигурируйте связь SSL между браузером клиента и Web-сервером (IBM HTTP

Server).

Поддерживается только односторонняя аутентификация.

Смотрите раздел “Конфигурирование связи SSL между браузером и Web-сервером

(WebSphere)” на стр. 29.

v Сконфигурируйте связь SSL между сервером Tivoli Identity Manager и агентами.


Смотрите раздел “Конфигурирование связи SSL между сервером и агентом” на

стр. 35.

Внедрение Tivoli Identity Manager на сервере WebLogic

Приведенная ниже сводная информация по конфигурированию относится к

внедрению Tivoli Identity Manager на сервере приложений WebLogic.

v Сконфигурируйте связь SSL между браузером клиента и встроенным

Web-сервером WebLogic.


Смотрите раздел “Конфигурирование связи SSL между браузером и Web-сервером

(WebLogic)” на стр. 33.

v Сконфигурируйте связь SSL между сервером Tivoli Identity Manager и агентами.


Смотрите раздел “Конфигурирование связи SSL между сервером и агентом” на

стр. 35.


|

|

|

|

Конфигурирование связи SSL между браузером и Web-сервером

(WebSphere)

Приведенная ниже информация относится к внедрению Tivoli Identity Manager на

сервере WebSphere Application Server.

Сводная информация по внедрению:

v Клиент - это пользователь с Web-браузером.

v Web-сервер - это сервер IBM HTTP Server, установленный на удаленном

компьютере либо, в качестве альтернативы, на одном компьютере с WebSphere.

v Сервер IBM HTTP Server в качестве реализации SSL использует GSKit.

Примечание: На приведенной ниже диаграмме ″Сервер ITIM″ - это сервер IBM Tivoli

Identity Manager.

Сводная информация о процедурах:

1. Сгенерируйте требование о выдаче подписанного сертификата (Certificate Signing

Request - CSR); оно отправляется сертификатору (Certificate Authority - CA),

который затем возвращает подписанный сертификат, используемый

Web-сервером, чтобы идентифицировать себя для браузера клиента.

2. Установите сертификат на Web-сервере.

3. Сконфигурируйте Web-сервер для использования связи SSL.

4. Убедитесь, что в браузере имеется корневой сертификат сертификатора,

подписавшего сертификат Web-сервера. Корневой сертификат сертификатора

используется браузером для проверки сертификата, поступившего от Web-сервера.

Корневые сертификаты сертификаторов промышленного стандарта (например,

VeriSign), как правило, входят в состав дистрибутива браузера.

1. Генерирование требования о выдаче подписанного

сертификата (Certificate Signing Request - CSR)

Чтобы получить сертификат от сертификатора (Certificate Authority - CA), вы сначала

должны будете передать требование о выдаче сертификата (Certificate Signing Request

- CSR).

Рисунок 8. Внедрение Tivoli Identity Manager на сервере WebSphere


|

В WebSphere Application Server есть Java-приложение, которое позволяет генерировать

требования о выдаче сертификатов. Это средство называется iKeyman. iKeyman - это

сервлет, который собирает информацию в вашей системе и генерирует файл

секретного ключа, а также файл требования о выдаче сертификата. Этот сервлет

позволяет передать файл CSR сертификатору - например, в VeriSign - чтобы тот его

подписал.

Подробную информацию об использовании утилит WebSphere Application Server

смотрите в библиотеке документов по WebSphere Application Server, которая

находится на следующем Web-сайте:

http://www.ibm.com/software/webservers/appserv/library.html

Ниже описано, как сгенерировать CSR:

1. Запустите утилиту управления ключами WebSphere Application Server, iKeyman.

Найдите и выполните файл gsk5ikm в каталоге ../gsk5.

2. Создайте файл ключей или откройте существующий файл ключей.

3. Выберите меню Signer Certificates (Сертификаты подписавшего) или Personal

Certificates (Личные сертификаты) и щелкните по Personal Certificate Requests

(Требования о выдаче личных сертификатов).

4. Щелкните по New (Создать).

5. Заполните следующие поля:

v Метка ключа

v Общее имя

v Организация

v Имя файла6. Щелкните по ОК.

Появится диалоговое окно с сообщением о том, что требование о выдаче

сертификата сгенерировано и сохранено в ранее указанном файле.


Диалоговое окно закроется.

8. Закройте утилиту iKeyman.

9. Передайте требование о выдаче сертификата соответствующему сертификатору.

2. Установка подписанного сертификата

Дальнейшие инструкции в этом разделе основываются на предположении, что вы

получили от сертификатора подписанный сертификат. Кроме того, предполагается,

что вы сохранили файл с этим сертификатов во временном каталоге.

Ниже рассказывается, как установить сертификат при помощи утилит WebSphere

Application Server.

Подробную информацию об использовании утилит WebSphere Application Server

смотрите в библиотеке документов по WebSphere Application Server по адресу:



2. Откройте файл базы данных, используемый для создания требования о выдаче

сертификата.

3. Щелкните по меню Personal Certificate Requests (Требования о выдаче личных

сертификатов) и щелкните по Personal Certificates (Личные сертификаты).




4. Щелкните по Receive (Получить).

5. Щелкните по Тип данных и выберите тип данных цифрового сертификата.

v В случае сертификата в формате ASCII выберите тип данных ″Base64–encoded

ASCII Data″ (Данные ASCII, закодированные при помощи Base64).

v В случае сертификата в двоичном формате выберите тип данных ″Binary DER

Data″ (Двоичные данные в формате DER).6. Укажите временный каталог и имя файла сертификата.


8. Введите метку нового цифрового сертификата и щелкните по ОК.

iKeyman сохранит сертификат в файле базы данных ключей, и сертификат

появится в списке личных сертификатов (Personal Certificates).

9. Закройте утилиту iKeyman.

Примечание: Если Web-сервер использует не сертификат, подписанный известным

сертификатором (например, сертификатором VeriSign), а

самоподписанный сертификат, браузер клиента попросит пользователя

указать, нужно ли доверять тому, кто подписал сертификат сервера.

3. Конфигурирование Web-сервера для SSL

После того, как вы установите сертификат, вы должны будете сконфигурировать

связь SSL на сервере IBM HTTP Server.


2. Создайте файл ключей, в котором будут храниться файлы ключей и сертификат

SSL. Например:

ДОМАШНИЙ_КАТАЛОГ_ITIM/myKeys

3. Щелкните по меню Key Database File (Файл базы данных ключей) и выберите

New (Новый).

4. Задайте параметры, как указано ниже, и щелкните по ОК.

v Key Database Type (Тип базы данных ключей): CMS Key Database File

v File Name (Имя файла): WebServerKeys.kdb

v Location (Каталог): Путь каталога ДОМАШНИЙ_КАТАЛОГ_ITIM/myKeys

5. Введите и подтвердите пароль файла ключей SSL.

6. Выберите переключатель Stash the password to a file? (Сохранить пароль в

файле?).


При этом будет создан файл WebServerKeys.sth, содержащий пароль в

зашифрованном виде.

Примечание: Необходимо задать в операционной системе разрешения на доступ

к этому файлу так, чтобы запретить любой несанкционированный

доступ к этому файлу.

8. Откройте меню Signer Certificates (Сертификаты подписавшего) и, когда

появится список сертификатов подписавших по умолчанию (Signer Certificates),

выберите Personal Certificates (Личные сертификаты).

Если сертификат сервера получен от сертификатора (например, от VeriSign), вы

можете щелкнуть по кнопке Import (Импорт), чтобы импортировать этот

сертификат в файл ключей SSL. Вас попросят указать тип и местонахождение

файла, содержащего сертификат сервера.


Если у вас нет действительного сертификата сервера, выданного

сертификатором, но вы хотите проверить, как работает система, щелкните по

опции New Self-Signed (Новый самоподписанный).

Вас попросят ввести метку ключа (например, ITIM) и название организации

(например, IBM). В остальных полях оставьте значения по умолчанию.

9. Откройте меню Key Database File (Файл базы данных ключей) и выберите Close

(Закрыть).

10. Добавьте в конец файла httpd.conf указанные ниже строки (заменив

ДОМАШНИЙ_КАТАЛОГ_ITIM на правильный путь каталога myKeys):

LoadModule ibm_ssl_module libexec/mod_ibm_ssl_128.so

Listen 443

SSLEnable

Keyfile “ДОМАШНИЙ_КАТАЛОГ_ITIM/myKeys/WebServerKeys.kdb”

Тогда Web-сервер будет в качестве порта приема использовать порт 443 (порт

SSL по умолчанию).

11. Добавьте порты 443 и 9443 для виртуального хоста (VirtualHost) на консоли

администрирования сервера WebSphere в системе PRIMARY и обновите модуль

plugin Web-сервера.

12. Запустите IBM HTTP Server:

Solaris: /opt/IBMHttpServer/bin/apachectl start

Linux: /opt/IBMHttpServer/bin/apachectl start

HP-UX: /opt/IBMHttpServer/bin/apachectl start

AIX: /usr/IBMHttpServer/bin/apachectl start

Windows: Панель управления - Администрирование - Службы.

13. Проверьте соединение из браузера, введя соответствующий URL. Например:

https://localhost

Примечание: Если вы используете самоподписанный сертификат, а не

сертификат, выданный сертификатором (например,

сертификатором VeriSign), то браузер попросит вас указать, нужно

ли доверять неизвестному подписавшему, который подписал

сертификат Web-сервера.


|

|

|

|

|

|

|

|

|||||

Конфигурирование связи SSL между браузером и Web-сервером

(WebLogic)

Приведенная ниже информация относится к внедрению Tivoli Identity Manager на

сервере приложений WebLogic.


v Клиент - это пользователь с Web-браузером.

v Web-сервер встроен в WebLogic.

v Сервер WebLogic в качестве реализации SSL использует RSA SSL-J.

Примечание: На приведенной ниже диаграмме ″Сервер ITIM″ - это сервер IBM Tivoli

Identity Manager.

Сводная информация о процедурах:



который затем возвращает подписанный сертификат, используемый

Web-сервером, чтобы идентифицировать себя для браузера клиента.

2. Установите сертификат на Web-сервере.

3. Сконфигурируйте Web-сервер для использования связи SSL.

4. Убедитесь, что в браузере имеется корневой сертификат сертификатора,

подписавшего сертификат Web-сервера. Корневой сертификат сертификатора

используется браузером для проверки сертификата, поступившего от Web-сервера.

Корневые сертификаты сертификаторов промышленного стандарта (например,

VeriSign), как правило, входят в состав дистрибутива браузера.

Условия:

v Сертификаты (включая корневой сертификат сертификатора) и файлы ключей

должны быть представлены в формате ASCII, закодированном при помощи Base64

(.pem) или в двоичном формате (.der).

Рисунок 9. Внедрение Tivoli Identity Manager на сервере WebLogic


|

v При помощи генератора требований о выдаче сертификатов получите секретные

ключи, цифровые сертификаты и сертификаты доверенных сертификаторов. Этот

сервлет входит в состав дистрибутива WebLogic.

v Секретные ключи и сертификаты доверенных сертификаторов сохраняются в виде

файлов в каталоге домена.

Подробные инструкции:

Подробную информацию по настройке связи SSL между браузером и Web-сервером

на сервере WebLogic смотрите на Web-сайте BEA WebLogic по адресу:

http://e-docs.bea.com/wls/docs70/secmanage/ssl.html


Конфигурирование связи SSL между сервером и агентом

Приведенная ниже информация относится к внедрению Tivoli Identity Manager как на

сервере WebSphere Application Server, так и на сервере приложений WebLogic.

В этом сценарии сервер Tivoli Identity Manager инициирует связь с агентом

(сервер-агент) по SSL для выполнения транзакции, исходно инициированной

браузером.

Если несколько дополнительных сценариев, в которых агент инициирует SSL-связь с

сервером Tivoli Identity Manager (агент-сервер). Более подробную информацию об

этих сценариях смотрите в разделе “Конфигурирование связи SSL, инициируемой

агентом (агент-Web-сервер)” на стр. 38.


v По умолчанию, сервер и агент Tivoli Identity Manager используют одностороннюю

аутентификацию SSL.

v Агент в качестве реализации SSL использует RSA SSL-C или Open SSL

v Сервер Tivoli Identity Manager в качестве реализации SSL использует RSA SSL-J

Примечание: На приведенных ниже диаграммах ″Сервер ITIM″ - это сервер IBM


Сводная информация о процедурах (односторонняя аутентификация по умолчанию):



который затем возвращает подписанный сертификат, используемый агентом,

чтобы идентифицировать себя для сервера Tivoli Identity Manager.

2. Установите подписанный сертификат на агенте.

Рисунок 10. Конфигурирование односторонней аутентификации SSL между сервером и

агентом


|

|

3. Убедитесь, что на сервере Tivoli Identity Manager имеется корневой сертификат

сертификатора, подписавшего сертификат агента. Корневой сертификат

сертификатора используется сервером для проверки сертификата, поступившего

от агента.

Агенты Tivoli Identity Manager запрашивают, устанавливают, удаляют и

регистрируют сертификаты при помощи утилиты CertTool.

Конфигурирование сертификатов сервера при

односторонней аутентификации SSL

Условия для односторонней аутентификации SSL:

v Сервер Tivoli Identity Manager предварительно сконфигурирован для поддержки

односторонней аутентификации SSL.

v Аутентификация агента производится на основе подписанного сертификата; сервер

Tivoli Identity Manager проверяет этот сертификат с использованием связанного с

ним корневого сертификата сертификатора.

v Сертификаты (включая корневой сертификат сертификатора) и файлы ключей

должны быть представлены в двоичном формате (.der).

Сводная информация об опциях конфигурации:

v “Использование корневого сертификата стороннего сертификатора” на стр. 36

v “Использование сертификатов, сгенерированных и подписанных с помощью

утилит OpenSSL” на стр. 36

Использование корневого сертификата стороннего

сертификатора

1. При помощи утилиты CertTool на агенте сгенерируйте требование о выдаче

подписанного сертификата (Certificate Signing Request - CSR), которое будет

отправлено сертификатору.

Информацию по конфигурированию сертификатов для агента смотрите в разделе

“Конфигурирование подписанного сертификата на агенте” на стр. 37.

2. При помощи утилиты CertTool установите подписанный сертификат на агенте.

Информацию по конфигурированию сертификатов для агента смотрите в разделе

“Конфигурирование подписанного сертификата на агенте” на стр. 37.

3. Вручную скопируйте соответствующий корневой сертификат сертификатора в

каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/cert на сервере Tivoli Identity Manager.

Использование сертификатов, сгенерированных и

подписанных с помощью утилит OpenSSL

Вы сможете быстро приступить к работе, настроив SSL-связь между сервером и

агентом при помощи утилит OpenSSL (они предоставляются бесплатно), которые

позволяют генерировать сертификаты и подписывать требования о подписании

сертификатов (Certificate Signing Request - CSR). Эти утилиты можно найти на сайте

www.openssl.org; кроме того, они могут по умолчанию устанавливаться вместе с

большинством дистрибутивов Linux. Описанные ниже шаги были выполнены с

использованием утилит OpenSSL версии 0.9.6b.

1. Сгенерируйте CSR при помощи средства CertTool. Выберите в меню опцию A,

″Сгенерировать личный ключ и требование о выдаче сертификата″.

2. Введите нужные значения для создания требования о выдаче сертификата.

3. Сохраните его в файле agentreq.pem. Этот файл находится в каталоге

ДОМАШНИЙ_КАТАЛОГ_АГЕНТА/bin.

Секретный ключ записывается в реестр, а CSR содержится в файле .pem.


4. Скопируйте файл agentreq.pem на компьютер, на котором будут генерироваться

сертификаты.

5. Чтобы создать секретный ключ и подписанный сертификат сертификатора (CA),

на компьютере, на котором генерируется сертификат, введите в командной

строке следующее:

$ openssl

OpenSSL> req -x509 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem

# введите значения для сертификата CA, включая страну, область и т.п.

OpenSSL> quit

6. Чтобы задать среду для подписи, введите:

$ mkdir demoCA

$ cp cacert.pem demoCA/cacert.pem

$ mkdir demoCA/private

$ mv cakey.pem demoCA/private/cakey.pem

$ mkdir demoCA/newcerts

$ touch demoCA/index.txt

$ cat > demoCA/serial

01

7. Чтобы подписать требование о выдаче сертификата, введите:

$ openssl

OpenSSL> ca -in ntagentreq.pem -out agentcert.pem

OpenSSL> quit

$ mv demoCA/newcerts/01.pem agentcert.pem

8. Чтобы преобразовать сертификат сертификатора в двоичный формат, введите:

$ openssl

OpenSSL> x509 -inform PEM -outform DER -in demoCA/cacert.pem -out cacert.der

OpenSSL> quit

$

9. Скопируйте требование о выдаче подписанного сертификата обратно на

компьютер агента.

10. В утилите CertTool введите опцию B, ″Install certificate from file″ (Установить

сертификат из файла).

11. Укажите местонахождение подписанного требования.

12. Убедитесь, что сертификат установлен; для этого просмотрите список

установленных сертификатов (опция D в утилите CertTool).

13. Скопируйте файл сертификата сертификатора в двоичном формате (cacert.der)

в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/cert на компьютере-сервере Tivoli Identity

Manager.

Конфигурирование подписанного сертификата на агенте

Информацию о том, как с помощью утилиты CertTool управлять подписанным

сертификатом, используемым агентом для односторонней аутентификации, смотрите

в главе ″Certificate Installation″ (Установка сертификатов) соответствующей

публикации Tivoli Identity Manager Agent Installation Guide (Руководство по установке

агента Tivoli Identity Manager).


Конфигурирование связи SSL, инициируемой агентом

(агент-Web-сервер)

Обычно, SSL-связь инициируется агентом (связь сервер-агент) для выполнения

транзакции, исходно инициированной браузером.

Если три сценария, в которых агент инициирует SSL-связь с Web-сервером

(агент-Web-сервер):

v “Агент на основе ADK, сконфигурированный для уведомлений о событиях” на стр.

38

v “Загрузка идентификаторов для программы, использующей интерфейс JNDI” на

стр. 38

v “Агент на основе IBM Directory Integrator (IDI)” на стр. 38

Во всех случаях вы должны экспортировать корневой сертификат сертификатора,

используемый Web-сервером, при помощи утилиты iKeyman на сервере IBM HTTP

Server. После этого сертификат сертификатора следует поместить в соответствующий

склад ключей, используемый внешним агентом.

Агент на основе ADK, сконфигурированный для

уведомлений о событиях

При уведомлениях о событиях агент на основе ADK инициирует связь с

Web-сервером, чтобы сообщить о новых , измененных или удаленных учетных

записях.

С помощью утилиты CertTool установите на агенте корневой сертификат

сертификатора, подписавшего сертификат Web-сервера. Сертификат сертификатора

должен быть представлен в двоичном формате (имеющаяся на сервере IBM HTTP

Server утилита iKeyman использует суффикс имен файлов .der).

Агент на основе ADK использует реестр в качестве склада ключей. Управление

ключами осуществляется с помощью утилиты CertTool.

Загрузка идентификаторов для программы, использующей

интерфейс JNDI

При загрузке идентификаторов, чтобы добавить, изменить или удалить записи с

личной информацией, связь с Web-сервером инициирует не агент, а внешняя

Java-программа. Эта Java-программа обменивается информацией с Web-сервером

при помощи Java Naming Directory Interface (JNDI).

Программа загрузки идентификаторов, используя утилиты управления файлами,

имеющиеся в операционной системе, помещает корневой сертификат сертификатора

в папку, заданную в программе JNDI. Сертификат сертификатора должен быть

представлен в двоичном формате (имеющаяся на сервере IBM HTTP Server утилита

iKeyman использует суффикс имен файлов .der).

Агент на основе IBM Directory Integrator (IDI)

IDI (IBM Directory Integrator) инициирует связь для агента загрузки идентификаторов

или управления учетными записями, чтобы отправить данные на сервер Tivoli Identity

Manager. То же самое также может сделать пользовательская Java-программа,

использующая провайдера JNDI DSMLv2.


|||

В случае агента на основе IDI корневой сертификат сертификатора нужно поместить в

склад ключей Java. Используйте для этого средство iKeyman, прилагаемое к серверу

IBM HTTP Server. Сертификат сертификатора может быть представлен в двоичном

формате или в формате ASCII, закодированном при помощи base 64. Имеющаяся на

сервере IBM HTTP Server утилита iKeyman использует суффикс имен файлов .der в

случае двоичного формата, и суффикс имен файлов .arm для формата ASCII,

закодированного при помощи base 64.

Склад ключей Java можно создать при помощи средства iKeyman, прилагаемого к

WebSphere Application Server, или при помощи средства Sun Java keytool и утилиты

управления сертификатами.

Подробную информацию по утилите keytool смотрите в документации, прилагаемой

к Sun JDK или находящейся в Интернете по адресу:

http://java.sun.com/j2se/1.3/docs/tooldocs/win32/keytool.html

Агент на основе IDI в качестве склада ключей использует склад ключей Java (Java Key

Store - JKS).


Глава 5. Конфигурирование решений с однократной

регистрацией

В этой главе обсуждается использование функций однократной регистрации при

работе с Tivoli Identity Manager.


v “Обзор функций однократной регистрации” на стр. 41

v “Конфигурирование однократной регистрации при использовании WebSEAL” на

стр. 42

v “Конфигурирование однократной регистрации при использовании модулей Plug-in

Tivoli Access Manager” на стр. 44

v “Создание ответвления WebSEAL при использовании Tivoli Identity Manager” на

стр. 44

Обзор функций однократной регистрации

Web-серверы защиты, прилагаемые к IBM Tivoli Access Manager (Tivoli Access

Manager) позволяют обеспечить поддержку функции однократной регистрации для

Tivoli Identity Manager. За счет этого программа Tivoli Access Manage производит

аутентификацию и первичную авторизацию пользователей, прежде чем разрешить им

доступ к приложению Tivoli Identity Manager. После этого приложение Tivoli Identity

Manager применяет узконаправленное управление доступом, осуществляемое при

помощи элементов управления доступом (Access Control Item - ACI).

Когда сервер Tivoli Identity Manager сконфигурирован для однократной регистрации,

он распознает пользователей при помощи переменной заголовка HTTP, ″iv-user″.

Каждый Web-сервер защиты, прилагаемый к Tivoli Access Manager, может

безопасным образом задать этот заголовок HTTP перед передачей трафика серверу


Примечания:

1. Если сервер Tivoli Identity Manager сконфигурирован для однократной

регистрации, у пользователей не должно быть прямого доступа по сети к серверу

Tivoli Identity Manager. Существует риск нарушения защиты, если пользователь

сможет создать требование с поддельным значением ″iv-user″ и отправить это

требование прямо на сервер Tivoli Identity Manager. Для достижения оптимального

уровня защиты настоятельно рекомендуется сделать так, чтобы доступ по сети к

серверу Tivoli Identity Manager можно было получить только через Web-сервер

Access Manager.

2. Как сервер Tivoli Identity Manager, так и сервер Tivoli Access Manager Web Security

устанавливают сеанс с браузером. Для сеанса сервера Tivoli Identity Manager

должен быть задан тайм-аут, продолжительность которого должна быть меньше,

чем тайм-аут для сервера Tivoli Access Manager Web Security. В особенности это

относится к средам совместного пользования рабочими станциями.

3. Приложение Tivoli Identity Manager является ″постоянным″. То есть, для

выполнения некоторых операций требуется выполнить несколько требований, и

результаты требования зависят от того, какие данные вводились в предыдущих

требованиях. Если для распределения пользователей по нескольким установкам

приложения Tivoli Identity Manager используется механизм распределения


нагрузки, нужно убедиться, что все требования от одного и того же пользователя

отправляются на один и тот же экземпляр сервера Tivoli Identity Manager.

4. Если сервер Tivoli Identity Manager сконфигурирован для однократной

регистрации, все операции регистрации JAAS будут успешными при условии, что

указанный ID пользователя существует. Поэтому приложения, которые

используют API Tivoli Identity Manager, также должны запускаться из защищенной

области.

Сделайте следующее:

1. Внесите изменения в файл свойств Tivoli Identity Manager, включив в нем

однократную регистрацию.

2. Сконфигурируйте сервер Tivoli Access Manager Web Security, так чтобы

идентификатор пользователя включался в трафик, передаваемый программе


3. Примените авторизацию Tivoli Access Manager к пространству защищенных

объектов Tivoli Access Manager, чтобы доступ к Tivoli Identity Manager смогли

получать только авторизованные пользователи.

Конфигурирование однократной регистрации при использовании

WebSEAL

Использование аутентификации WebSEAL вместо аутентификации Tivoli Identity

Manager дает пользователям возможность получить доступ к Tivoli Identity Manager,

один раз введя ID пользователя и пароль на странице входа в систему WebSEAL. При

использовании однократной регистрации панель входа в систему Tivoli Identity

Manager не появится на экране.

Требования, предупреждения и обходные способы

Предупреждение: SSO при использовании нескольких

учетных записей сотрудников

Функция однократной регистрации между Tivoli Access Manager и Tivoli Identity

Manager обеспечивает отображение идентификаторов одного пользователя Tivoli

Access Manager в идентификаторы одного пользователя Tivoli Identity Manager. На

основе ID пользователя Tivoli Access Manager производится поиск сотрудника Tivoli

Identity Manager, которому принадлежит учетная записи в среде Tivoli Identity

Manager. Однако у сотрудника Tivoli Identity Manager может быть несколько учетных

записей. В этом случае нельзя предугадать заранее, в какую из этих учетных записей

отобразится идентификатор. Будьте осторожны, когда включаете однократную

регистрацию для пользователей Tivoli Access Manager, которые одновременно

являются сотрудниками в системе Tivoli Identity Manager.

Требование: Задать язык среды:

В среде однократной регистрации WebSEAL ссылка ″Выберите другой язык″,

находящаяся в панели входа в систему Tivoli Identity Manager, будет недоступна,

поскольку после регистрации в WebSEAL панель входа в систему Tivoli Identity

Manager не появляется.

Чтобы обойти эту проблему, задайте нужную языковую среду в браузере перед

входом в систему. Обходной путь. Ниже приводится пример для Microsoft Internet

Explorer:

1. Убедитесь, что выбрана кодировка Unicode (UTF-8):

Вид > Кодировка > Юникод (UTF-8)

2. Задайте нужный язык:


Свойства обозревателя > Общие > Языки

3. Убедитесь, что язык поддерживает кодировку Юникод:

Свойства обозревателя > Общие > Шрифты

Обходной путь: Конфигурирование разницы часовых поясов

Если вы войдете в систему сервера Tivoli Identity Manager через ответвление WebSEAL

(однократная регистрация), в поле Дата вступления в силу в графическом

пользовательском интерфейсе будет показано время по Гринвичу для сервера (GMT -

Greenwich Mean Time), а не локальное время браузера. При однократной регистрации

страница входа в систему Tivoli Identity Manager будет пропущена (так разработана

программа). Когда вы пропускаете страницу входа в систему, серверу Tivoli Identity

Manager не передаются правильные время и часовой пояс.

Администратор может обойти эту проблему следующим образом:

1. Определите разницу с временем по Гринвичу для браузера клиента. Например,

для Москвы (Россия) разница во времени составляет 3 часа. Для Калифорнии

(США) разница во времени составляет -8 часов (-7 для Тихоокеанского побережья

США).

2. Включите эту разницу во времени в URL, который вы предоставляете

пользователям (публикуете), используя следующий формат:

http://адрес_системы_WebSEAL/имя_ответвления/enrole/logon?timezoneOffset=

вычисленная_разница_во_времени

Эта ссылка URL передает разницу во времени в виде HTTP-параметра при

передаче информации.

Например, если сервер находится в Калифорнии (США), а пользователи

(браузеры клиентов) находятся в Москве (Россия), опубликуйте для пользователей

в России следующий URL:

http://адрес_системы_WebSEAL/имя_ответвления/enrole/logon?timezoneOffset=3

Либо вы можете опубликовать URL Web-страницы на Web-сервере, который

использует WebSEAL, или Web-страницы, входящей в состав корпоративного

портала. Web-страница представит эту ссылку функции однократной регистрации

WebSEAL. Страница должна содержать функцию JavaScript, которая будет вычислять

разницу во времени между браузером клиента и временем по Гринвичу. Если

щелкнуть по этой ссылке, на сервер Tivoli Identity Manager будет передано

HTTP-требование с автоматически вычисленной разницей во времени, передаваемой в

виде HTTP-параметра). Этот способ аналогичен описанному выше обходному

способу указания URL с тем исключением, что разница во времени вычисляется

автоматически.

Процедура конфигурирования

1. Сконфигурируйте WebSEAL до конфигурирования Tivoli Identity Manager:

v Передайте все атрибуты домена в заголовках cookie

v Распознавание только строк в кодировке UTF-82. Включите функцию однократной регистрации WebSEAL, задав значение TRUE

для свойства enrole.ui.ssoEnabled в файле ui.properties. Тогда Tivoli Identity

Manager не будет выводить на экран страницу входа в систему.

enrole.ui.ssoEnabled = true

3. По умолчанию, Java-объект, обеспечивающий механизм однократной

регистрации WebSEAL, задан в файле enRoleAuthentication.properties

(никаких действий не требуется):

enrole.authentication.provider.webseal =

factory = com.ibm.enrole.authentication.webseal.WebsealProviderFactory

Глава 5. Конфигурирование решений с однократной регистрацией 43

4. В файле enRoleAuthentication.properties нужно указать подходящий алгоритм

для отображения ID пользователя Tivoli Access Manager в ID пользователя Tivoli

Identity Manager:

v Если ID пользователя Tivoli Access Manager совпадает с ID пользователя Tivoli

Identity Manager:

enrole.authentication.idsEqual = true

v Если ID пользователя Tivoli Access Manager НЕ совпадает с ID пользователя

Tivoli Identity Manager:

enrole.authentication.idsEqual = false

Внутренний алгоритм отображения идентификаторов нужен для того, чтобы

обеспечить успешное завершение процедуры однократной регистрации.5. Изменив значение тайм-аута сеанса Tivoli Identity Manager в дескрипторе

внедрения, можно нарушить защиту в среде совместного пользования рабочими

станциями. Задайте тайм-аут сеанса Tivoli Identity Manager, чтобы избежать

нарушения защиты:

v Tivoli Identity Manager завершит работу по тайм-ауту из-за бездействия.

v Tivoli Identity Manager завершит работу по тайм-ауту одновременно с тем, как

произойдет тайм-аут WebSEAL из-за бездействия, или до этого.6. Сконфигурируйте ответвление TCP или SSL для использования в сочетании с

Tivoli Identity Manager. Дополнительную информацию смотрите в разделе

“Создание ответвления WebSEAL при использовании Tivoli Identity Manager”.

Конфигурирование однократной регистрации при использовании

модулей Plug-in Tivoli Access Manager

Использование встраиваемых модулей (plug-in) аутентификации Tivoli Access

Manager дает пользователям возможность получить доступ к Tivoli Identity Manager,

один раз введя ID пользователя и пароль. Модуль plug-in может представлять собой

либо модуль plug-in Tivoli Access Manager для Web-серверов, либо модуль plug-in для

серверов Edge Server.

Сделайте следующее:

1. Сконфигурируйте модуль plug-in Tivoli Access Manager так, чтобы он вставлял

аутентифицированный идентификатор пользователя в заголовок HTTP ″iv-user″.

Более подробную информацию смотрите в описании модели с одной

конфигурацией в документации Tivoli Access Manager по модулям plug-in для

Web-сервера или сервера Edge Server.

2. Сконфигурируйте файл Tivoli Identity Manager ui.properties и (по желанию) файл

enRoleAuthentication.properties.

v Задайте значение TRUE для свойства enrole.ui.ssoEnabled в файле

ui.properties; Tivoli Identity Manager не будет выводить на экран страницу для

входа в систему.

v Задайте значение FALSE для свойства enrole.authentication.idsEqual в файле

enRoleAuthentication.properties, если ID пользователя Tivoli Access Manager

не всегда совпадает с ID пользователя Tivoli Identity Manager.

Создание ответвления WebSEAL при использовании Tivoli Identity

Manager

В этом разделе рассказывается, как создать ответвление WebSEAL, использующее

соединение TCP или соединение SSL.


Перед конфигурированием ответвления следует сконфигурировать для WebSEAL

следующие опции:

v Передача всех атрибутов домена в заголовках cookie

v Распознавание только строк в кодировке UTF-8

Создание ответвления TCP

Чтобы создать для Tivoli Identity Manager ответвление TCP, выполните следующее:

Примечание: Приведенные ниже инструкции исходят из предположения, что

компонент WebSEAL уже установлен и сконфигурирован. Более

подробную информацию смотрите в документации по установке

WebSEAL.

1. В командной строке введите: pdadmin, чтобы запустить интерфейс командной

строки pdadmin.

2. Введите в командной строке pdadmin команду login и укажите для входа в

систему имя пользователя и пароль мастера защиты (sec_master).

pdadmin> login

3. Введите имя пользователя мастера защиты (sec_master).

Введите ID пользователя: sec_master

4. Введите пароль мастера защиты (security master).

Введите пароль: password

pdadmin>

5. Определите имя сервера WebSEAL Server, заданное в системе Tivoli Access

Manager. Имя должно быть представлено в следующем формате:

webseald-краткое_имя_хоста. Чтобы вызвать список всех серверов, заданных в

Tivoli Access Manager, введите следующее:

pdadmin> server list

6. Создайте ответвление WebSEAL.

Синтаксис команды для создания ответвления WebSEAL:

server task сервер_WebSEAL create -t тип -h имя_хоста

-p номер_опции -s -j -c опции_идентификаторов_клиента /имя_ответвления

где сервер_WebSEAL - имя сервера WebSEAL. В данном примере используется

имя сервера webseald-drbtest.

-t Тип Тип ответвления. Укажите значение tcp.

-h имя_хоста

Полное имя хоста.

-p номер_порта

Номер порта. Значение по умолчанию для ответвления TCP - 80.

-s Постоянное ответвление. Этот флаг необходим при репликации серверов


-j Компоненты cookies ответвления. Компоненты cookies используются

для обработки адресов URL, связанных с сервером.

-c опции_идентификаторов_клиента

Выберите значение, чтобы указать, что сервер WebSEAL должен

вставить переменную заголовка HTTP ″iv-user″. Например, ″iv_user″.

Полный перечень опций смотрите в документации по

администрированию Tivoli Access Manager.

/имя_ответвления

Уникальное имя точки ответвления.


Например, создайте ответвление TCP, введя следующую команду (в виде одной

строки):

pdadmin> server task webseald-drbtest create -t tcp

–h drbtest.tivoli.com –p 8080 –s –j –c iv_user /websphere

7. Создайте список управления доступом (Access Control List - ACL), чтобы задать

требования к аутентификации доступа, связанные с создаваемым ответвлением

WebSEAL. Синтаксис команды для создания ACL:

pdadmin> acl create имя_acl

Например:

pdadmin> acl create itim-acl

8. Добавьте группы в этот список ACL, используя следующий синтаксис:

pdadmin> acl modify имя_acl set group имя_группы разрешения

Например:

pdadmin> acl modify itim-acl set group ITIM-Group Trx

pdadmin> acl modify itim-acl set unauthenticated T

pdadmin> acl modify itim-acl remove any-other

где в качестве разрешений могут использоваться следующие обозначения:

Таблица 1. Разрешения

Разрешение Описание

T просмотр подкаталогов

r чтение

x выполнение

9. Свяжите ACL с ответвлением, используя следующий синтаксис:

pdadmin> acl attach полное_имя_ответвления имя_acl

Например:

pdadmin> acl attach /WebSEAL/drbtest/websphere/enrole itim-acl

10. Создайте список управления доступом (ACL), разрешающий

неаутентифицированный доступ. Этот ACL связывается с любым объектом,

доступ к которому пользователь может получить, не регистрируясь для входа в

систему.

Например:

pdadmin> acl create unprotected-acl

11. Добавьте в ACL группы, которым требуется неаутентифицированный доступ.

Используйте следующий синтаксис:


Например:

pdadmin> acl attach /WebSEAL/drbtest/itim/enrole/self_reg unprotected-acl

12. Обновите файл свойств Tivoli Identity Manager, ui.properties, чтобы

сконфигурировать один из механизмов выхода из системы, содержащихся в

каталоге APP_WEB.war. Эти прилагаемые файлы выхода из системы описаны в

приведенной ниже таблице.

Файлы ssoLogout.jsp и websealLogout.jsp - это просто примеры файлов,

которые содержат образец кода, позволяющего воспользоваться кнопкой выхода

из системы в графическом пользовательском интерфейсе Tivoli Identity Manager,

когда включена функция однократной регистрации WebSEAL. Вы можете

отредактировать эти файлы (включая язык) так, чтобы выполнялись все

функции, необходимые в вашей среде.


logoff.html

(по умолчанию)

Режим отключения от системы Tivoli Identity Manager, используемый по

умолчанию:

Связь SSO отключена:

v После отключения от системы появляется страница входа в систему

Tivoli Identity Manager

Связь SSO включена:

v После выхода из системы вы вернетесь в графический

пользовательский интерфейс Tivoli Identity Manager, поскольку

информация для аутентификации из Tivoli Access Manager (в

HTTP-заголовке iv-user) все еще доступна.

ssoLogout.jsp Используйте этот пример файла, если хотите, чтобы в среде

однократной регистрации выполнялась описанная ниже комбинация

действий.

v Прекратить текущий сеанс Tivoli Identity Manager и вывести на экран

ссылку для возврата в графический пользовательский интерфейс


v Не отключаться от системы Tivoli Access Manager (информация

HTTP-заголовка iv-user остается доступной). Это, например,

позволяет продолжить работать со страницей портала или вернуться

в систему Tivoli Identity Manager в обход подсказки о входе в

систему.

Этот файл можно отредактировать, чтобы настроить функции

отключения от системы.

websealLogout.jsp Используйте этот пример файла, если хотите, чтобы в среде


действий.

v Прекратите сеанс регистрации на сервере Tivoli Identity Manager.

v Прервите сеанс регистрации Tivoli Access Manager (при этом будет

вызвана функция pkmslogout).

Функция pkmslogout действует только для клиентов, использующих

механизм аутентификации, который не предоставляет данные для

аутентификации вместе с каждым требованием. Так, функция

pkmslogout не действует для клиентов, которые используют базовую

аутентификацию, аутентификацию на основе сертификатов или

аутентификацию на основе IP-адреса. В подобных случаях вы

должны будете закрыть браузер, чтобы отключиться от системы.

Функция pkmslogout представит пользователю эту информацию в

виде сообщения, которое появится на странице выхода из системы.



Например:

enrole.ui.logoffURL=ssoLogout.jsp

13. Остановите и перезапустите WebSphere Application Server, чтобы изменения,

внесенные в файл ui.properties, вступили в силу.


Создание ответвления SSL

Примечание: Приведенные ниже инструкции исходят из предположения, что

компонент WebSEAL уже установлен и сконфигурирован. Более

подробную информацию смотрите в документации по установке

WebSEAL.

Чтобы создать для Tivoli Identity Manager ответвление SSL, выполните следующее:

1. Запустите утилиту iKeyman для WebSphere Application Server.

2. В задаче Key Database File (Файл базы данных ключей) выберите Open

(Открыть).

3. Откройте файл DummyServerKeyFile.jks, находящийся в каталоге

корневой_каталог_WebSphere\etc. Появится подсказка о вводе пароля. Если вы

используете пример файла, то паролем служит значение ″WebAS″.

4. Выберите сертификат websphere dummy server и щелкните по Extract Certificate

(Извлечь сертификат).

5. В диалоговом окне Extract Certificate to a File (Извлечь сертификат в файл)

введите следующую информацию:

v Data type (Тип данных): Выберите Base64-encoded ASCII (ASCII с кодировкой

Base64).

v Certificate file name (Имя файла сертификата): Введите имя файла сертификата.

v Location (Местонахождение): Введите путь каталога, в котором следует

сохранить сертификат. В данном примере введите WebSphereServerCert.arm в

качестве имени файла сертификата и сохраните этот сертификат в каталоге

коневой_каталог_WebSphere\etc. 6. Щелкните по ОК. После сохранения сертификата его нужно перенести на сервер

WebSEAL.

Если вы задали свои файлы ключей для WebSphere и получили сертификат от

сертификатора, то, выполняя описанные ниже шаги, используйте корневой

сертификат сертификатора, который подписал ваш сертификат WebSphere.

7. Закройте графический пользовательский интерфейс утилиты WebSphere IBM Key

Management.

8. На сервере WebSEAL запустите выполняемый файл iKeyman в GSKit.

9. В задаче Key Database File (Файл базы данных ключей) выберите Open

(Открыть).

10. В данном примере используется база данных WebSEAL по умолчанию. Найдите

файл корневой_каталог_WebSEAL\www-экземпляр_WebSEAL\certs\pdsrv.kdb и

щелкните по Open (Открыть).

11. Когда появится диалоговое окно для ввода пароля, введите пароль. (Пароль для

доступа к базе данных WebSEAL по умолчанию - pdsrv.)

12. Когда откроется база данных, выберите Signer Certificates (Сертификаты

подписавшего).

13. Нажмите кнопку Добавить. Появится диалоговое окно Add CA’s Certificate from a

File (Добавить сертификат CA из файла).

14. В диалоговом окне Add CA’s Certificate from a File (Добавить сертификат CA из

файла) выполните следующее:

v Data type (Тип данных): Выберите Base64-encoded ASCII (ASCII с кодировкой

Base64).


|||

v Certificate file name (Имя файла сертификата): Щелкните по Browse (Обзор),

чтобы найти нужный файл сертификата. В данном примере используется файл

WebSphereServerCert.arm, находящийся в каталоге

корневой_каталог_WebSphere\etc.15. Щелкните по ОК. Появится подсказка о том, что нужно ввести метку для

сохранения сертификата. В данном примере используется сервер WAS 5.

16. Щелкните по ОК. Появится панель IBM Key Management со списком

сертификатов подписавшего, где также содержатся заданные вами метки.

17. Закройте графический пользовательский интерфейс утилиты GSKit IBM Key

Management.

18. В командной строке введите: pdadmin, чтобы запустить интерфейс командной

строки pdamin.

19. Введите в командной строке pdadmin команду login и укажите для входа в

систему имя пользователя и пароль мастера защиты (sec_master).

pdadmin> login

Введите ID пользователя: sec_master

Введите пароль: password

pdadmin>

20. Определите имя сервера WebSEAL Server, заданное в системе Tivoli Access

Manager. Имя должно быть представлено в следующем формате:

webseald-краткое_имя_хоста. Чтобы вызвать список всех серверов, заданных в

Tivoli Access Manager, введите следующее:

pdadmin> server list

21. Создайте ответвление WebSEAL.

Синтаксис команды для создания ответвления WebSEAL:

server task сервер_WebSEAL create -t тип -h имя_хоста

-p номер_опции -s -j -c опции_идентификаторов_клиента /имя_ответвления

где сервер_WebSEAL - имя сервера WebSEAL. В данном примере используется

имя сервера webseald-drbtest.

-t Тип Тип ответвления. Укажите значение ssl.

-h имя_хоста

Полное имя хоста.

-p номер_порта

Номер порта. Значение по умолчанию для ответвления SSL - 9443.

-s Постоянное ответвление. Этот флаг необходим для повышения

производительности при репликации серверов Tivoli Identity Manager.

-j Компоненты cookies ответвления. Компоненты cookies используются

для обработки адресов URL, связанных с сервером.

-c опции_идентификаторов_клиента

Выберите значение, чтобы указать, что сервер WebSEAL должен

вставить переменную заголовка HTTP ″iv-user″. Например, ″iv_user″.

Полный перечень опций смотрите в документации по

администрированию Tivoli Access Manager.

/имя_ответвления

Уникальное имя точки ответвления.Например, создайте ответвление SSL, введя следующую команду (в виде одной

строки):

pdadmin> server task webseald-drbtest create -t ssl

–h drbtest.tivoli.com –p 9443 –s –j –c iv_user /websphere


22. Создайте список управления доступом (Access Control List - ACL), чтобы задать

требования к аутентификации доступа, связанные с создаваемым ответвлением

WebSEAL. Синтаксис команды для создания ACL:

pdadmin> acl create имя_acl

Например:

pdadmin> acl create itim-acl

23. Добавьте группы в этот список ACL, используя следующий синтаксис:

pdadmin> acl modify имя_acl set group имя_группы разрешения

где в качестве разрешений могут использоваться следующие обозначения:

Таблица 2. Разрешения

Разрешение Описание

T просмотр подкаталогов

r читать

x выполнить

24. Свяжите ACL с ответвлением, используя следующий синтаксис:


Например:

pdadmin> acl attach /WebSEAL/drbtest/enrole itim-acl

25. Создайте список управления доступом для тех, кому требуется

неаутентифицированный доступ. Этот ACL связывается с любым объектом,

доступ к которому пользователь может получить, не регистрируясь для входа в

систему.

Например:

pdadmin> acl create unprotected-acl

26. Добавьте в ACL группы, которым требуется неаутентифицированный доступ.

Используйте следующий синтаксис:


Например:

pdadmin> acl attach /WebSEAL/drbtest/itim/enrole/self_reg unprotected-acl

27. Обновите файл свойств Tivoli Identity Manager, ui.properties, чтобы

сконфигурировать один из механизмов выхода из системы, содержащихся в

каталоге APP_WEB.war. Эти прилагаемые файлы выхода из системы описаны в

приведенной ниже таблице.

Файлы ssoLogout.jsp и websealLogout.jsp - это просто примеры файлов,

которые содержат образец кода, позволяющего воспользоваться кнопкой выхода

из системы в графическом пользовательском интерфейсе Tivoli Identity Manager,

когда включена функция однократной регистрации WebSEAL. Вы можете

отредактировать эти файлы (включая язык) так, чтобы выполнялись все

функции, необходимые в вашей среде.


logoff.html

(по умолчанию)

Режим отключения от системы Tivoli Identity Manager, используемый по

умолчанию:

Связь SSO отключена:

v После отключения от системы появляется страница входа в систему

Tivoli Identity Manager

Связь SSO включена:

v После выхода из системы вы вернетесь в графический

пользовательский интерфейс Tivoli Identity Manager, поскольку

информация для аутентификации из Tivoli Access Manager (в

HTTP-заголовке iv-user) все еще доступна.

ssoLogout.jsp Используйте этот пример файла, если хотите, чтобы в среде


действий.

v Прекратить текущий сеанс Tivoli Identity Manager и вывести на экран

ссылку для возврата в графический пользовательский интерфейс


v Не отключаться от системы Tivoli Access Manager (информация

HTTP-заголовка iv-user остается доступной). Это, например,

позволяет продолжить работать со страницей портала или вернуться

в систему Tivoli Identity Manager в обход подсказки о входе в

систему.



websealLogout.jsp Используйте этот пример файла, если хотите, чтобы в среде


действий.

v Прекратите сеанс регистрации на сервере Tivoli Identity Manager.

v Прервите сеанс регистрации Tivoli Access Manager (при этом будет

вызвана функция pkmslogout).

Функция pkmslogout действует только для клиентов, использующих

механизм аутентификации, который не предоставляет данные для

аутентификации вместе с каждым требованием. Так, функция

pkmslogout не действует для клиентов, которые используют базовую

аутентификацию, аутентификацию на основе сертификатов или

аутентификацию на основе IP-адреса. В подобных случаях вы

должны будете закрыть браузер, чтобы отключиться от системы.

Функция pkmslogout представит пользователю эту информацию в

виде сообщения, которое появится на странице выхода из системы.



Например:

enrole.ui.logoffURL=ssoLogout.jsp

28. Остановите и перезапустите WebSphere Application Server, чтобы изменения,

внесенные в файл ui.properties, вступили в силу.

Как задать URL для ответвления

Ответвление WebSEAL модифицирует URL, необходимый для доступа к продукту

Tivoli Identity Manager. Возможен любой из следующих вариантов синтаксиса нового

URL:


http://имя_хоста/имя_ответвления/enrole/logon

https://имя_хоста/имя_ответвления/enrole/logon

Например, введите адрес, аналогичный одному из следующих вариантов:

http://drbtest.tivoli.com/websphere/enrole/logon

https://drbtest.tivoli.com/websphere/enrole/logon


Часть 3. Конфигурирование пользовательских отчетов

Глава 6. Установка и использование

компонента Incremental Data Synchronizer . . 55

Базовая информация по инкрементной

синхронизации данных . . . . . . . . . . . 56

Роль журнала изменений ACI . . . . . . . 57

Как включить поддержку журнала изменений сервера

каталога . . . . . . . . . . . . . . . 57

Опции установки Incremental Data Synchronizer . . . 57

Установка Incremental Data Synchronizer в системе

WebSphere/UNIX . . . . . . . . . . . . . 57

Установка на отдельном компьютере . . . . . 58

Установка на одном компьютере . . . . . . 59


WebSphere/Windows . . . . . . . . . . . . 60




WebLogic/UNIX . . . . . . . . . . . . . 63




WebLogic/Windows . . . . . . . . . . . . 65



Как запустить Incremental Data Synchronizer . . . . 68

Графический режим . . . . . . . . . . . 68

Режим командной строки . . . . . . . . . 70

Настройка Incremental Data Synchronizer . . . . . 71

Глава 7. Конфигурирование Crystal Reports . . 73

Поток процессов при использовании отчетов Crystal

Reports . . . . . . . . . . . . . . . . 74

Конфигурирование Tivoli Identity Manager для работы

в сочетании с Crystal Reports . . . . . . . . . 75

1. Конфигурирование RAS (поддерживается

только на платформе Windows) . . . . . . . 75

2a. Конфигурирование Tivoli Identity Manager

(WebSphere в Windows) . . . . . . . . . . 75

2b. Конфигурирование Tivoli Identity Manager

(WebSphere в UNIX) . . . . . . . . . . . 77

2c. Конфигурирование сервера Tivoli Identity

Manager (WebLogic в Windows) . . . . . . . 79

2d. Конфигурирование Tivoli Identity Manager

(WebLogic в UNIX) . . . . . . . . . . . 80

3. Конфигурирование клиента (поддерживается

только на платформе Windows) . . . . . . . 81

Глава 8. Разработка условий фильтров Crystal 83

Учебник по разработке условий фильтров . . . . 83

Примеры отчетов . . . . . . . . . . . . 85

Как задать условия JOIN в дизайнере отчетов при

разработке отчетов . . . . . . . . . . . 85

Отчет об атрибутах учетных записей . . . . 85

Отчет о ролях сотрудников в организации . . 86

Отчет об учетных записях сотрудников . . . 86

Глава 9. Разработка условий фильтров

пользовательских отчетов . . . . . . . . 89

Учебник по разработке условий фильтров . . . . 89

Примеры отчетов . . . . . . . . . . . . 91

Использование функций в отчетах . . . . . . 91


разработке отчетов . . . . . . . . . . . 91

Отчет об атрибутах учетных записей . . . . 91

Отчет о ролях сотрудников в организации . . 92

Отчет об учетных записях сотрудников . . . 93


Глава 6. Установка и использование компонента

Incremental Data Synchronizer

Incremental Data Synchronizer - это облегченный компонент, который обслуживает

процесс создания настроенных отчетов Tivoli Identity Manager, обеспечивая более

оптимальный механизм синхронизации недавно изменившейся информации.

Incremental Data Synchronizer в режиме реального времени производит синхронизацию

данных и информации управления доступом (ACI) между сервером каталога Tivoli

Identity Manager и базой данных Tivoli Identity Manager. Кроме того, утилиту

Incremental Data Synchronizer можно сконфигурировать для применения изменений

объекта схемы или отображения атрибута, используемых в настроенных шаблонах

отчетов.

Incremental Data Synchronizer - это отдельный дополнительный компонент, который

можно сконфигурировать после установки Tivoli Identity Manager. Инкрементная

синхронизация данных не является строго необходимой для пользовательских

отчетов, если вам не требуется синхронизация данных и элементов ACI в режиме,

близком к реальному времени.

Более полную информацию по созданию пользовательских отчетов смотрите в главе

″Отчеты″ руководства IBM Tivoli Identity Manager Policy and Organization

Administration Guide (IBM Tivoli Identity Manager: Руководство по управлению

политикой и организациями).


v “Базовая информация по инкрементной синхронизации данных” на стр. 56

v “Как включить поддержку журнала изменений сервера каталога” на стр. 57

v “Опции установки Incremental Data Synchronizer” на стр. 57

v “Установка Incremental Data Synchronizer в системе WebSphere/UNIX” на стр. 57

v “Установка Incremental Data Synchronizer в системе WebSphere/Windows” на стр. 60

v “Установка Incremental Data Synchronizer в системе WebLogic/UNIX” на стр. 63

v “Установка Incremental Data Synchronizer в системе WebLogic/Windows” на стр. 65

v “Как запустить Incremental Data Synchronizer” на стр. 68

v “Настройка Incremental Data Synchronizer” на стр. 71


Базовая информация по инкрементной синхронизации данных

Tivoli Identity Manager позволяет создавать новые пользовательские шаблоны отчетов

при помощи встроенного дизайнера отчетов, а также импортировать шаблоны

отчетов, созданные при помощи инструментария независимых поставщиков

(например, Crystal Reports). Все пользовательские отчеты хранятся в таблицах

отчетов в базе данных Tivoli Identity Manager. Доступ к системе составления отчетов

(включая возможность конструировать и запускать отчеты) защищен имеющимися в

Tivoli Identity Manager функциями ACI.

Создание пользовательского отчета включает в себя следующие шаги:

1. Отображение атрибутов для отчета в Дизайнере схем

2. Подготовка данных

3. Создание шаблонов отчетов при помощи встроенного дизайнера отчетов, а также

импорт шаблонов отчетов, созданных при помощи инструментария независимых

поставщиков (например, Crystal Reports)

4. Предоставление пользователям прав доступа к отчету

Утилита Incremental Data Synchronizer синхронизирует содержимое записей о

подготовленных объектах и соответствующую им информацию ACI. Кроме того, эта

утилита может применять изменения схем, внесенные при помощи дизайнера схем.

Incremental Data Synchronizer выполняет следующие операции:

1. Синхронизация журналов изменений

a. Чтение журналов изменений с сервера каталога

b. Анализ действующих операций и значений атрибутов для каждой

изменившейся записи

c. Обновление информации ACI, если это нужно

d. Синхронизация всех доступных атрибутов записей в базе данных, связанных с

проанализированными журналами изменений2. Применение схем:

a. Выявление изменений, внесенных при помощи дизайнера схем

b. Отображение или отмена отображения объектов, если это нужно

c. Отображение или отмена отображения атрибутов объектов, если это нужно

d. Добавление или удаление информации ACI в случае отмены отображения

атрибутов или отображения новых атрибутов

Incremental Data Synchronizer - это отдельный процесс, который можно запланировать

или вызвать непосредственно. Функции синхронизации журналов изменений и

применения схем можно включать и отключать независимо друг от друга.

Назначение Incremental Data Synchronizer - обеспечить непротиворечивость изменений

на сервере каталога Tivoli Identity Manager и в подготовленных таблицах отчетов в

базе данных Tivoli Identity Manager.

Если чаще запускать Incremental Data Synchronizer, изменения в информации об

учетных записях пользователей реже будут приводить ко временным неточностям в

информации и неверной интерпретации разрешений для процессов обработки

пользовательских отчетов. При уменьшении вероятности таких несогласований

повышается точность процесса обработки пользовательских отчетов.


Роль журнала изменений ACI

В утилите Incremental Data Synchronizer используется имеющийся на сервере каталога

механизм, известный как changelog - журнал изменений. Журнал изменений

(changelog) - это история изменений, сохраняющихся в пользовательском каталоге.

Как IBM Directory Server, так и Sun ONE Directory Server можно сконфигурировать

для записи изменений данных на узле каталога с именем:

cn=changelog

Incremental Data Synchronizer читает этот узел каталога и собирает записи об

изменениях данных и ACI, которые нужно синхронизировать с подготовленными

таблицами базы данных.

Как включить поддержку журнала изменений сервера каталога

Чтобы обеспечить поддержку журнала изменений для того или иного сервера

каталога, используемого системой Tivoli Identity Manager, смотрите

соответствующую документацию, предоставленную поставщиком этого сервера

каталога.

Примечание: В случае IBM Directory Server необходимо увеличить размер

динамической памяти (″кучи″) приложения (Application Heap Size) для

базы данных данных DB2 (в которой IBM Directory Server сохраняет

записи журнала изменений) - например, до 4096. Чтобы узнать, как

изменить объем динамической памяти (″размер кучи″) для приложения,

смотрите руководства по DB2.

Опции установки Incremental Data Synchronizer

Выберите один из указанных ниже разделов, соответствующий тому, какие сервер

приложений и платформу вы используете:

v “Установка Incremental Data Synchronizer в системе WebSphere/UNIX” на стр. 57

v “Установка Incremental Data Synchronizer в системе WebSphere/Windows” на стр. 60

v “Установка Incremental Data Synchronizer в системе WebLogic/UNIX” на стр. 63

v “Установка Incremental Data Synchronizer в системе WebLogic/Windows” на стр. 65

Установка Incremental Data Synchronizer в системе WebSphere/UNIX

Утилиту Incremental Data Synchronizer можно установить на одном компьютере с

сервером WebSphere Application Server или на отдельном компьютере. Рекомендуется

устанавливать Incremental Data Synchronizer на отдельном компьютере. В данном

разделе приводятся инструкции для обоих типов установки.

При описании этих процедур используются следующие условные обозначения

(перепечатано из Предисловия):

Обозначение пути Интерпретация

ДОМАШНИЙ_КАТАЛОГ_ITIM КАТАЛОГ_УСТАНОВКИ/ITIM/

КАТАЛОГ_УСТАНОВКИ - это местонахождение установки Tivoli

Identity Manager.

ДОМАШНИЙ_КАТАЛОГ_WAS КАТАЛОГ_УСТАНОВКИ/WebSphere/AppServer/

КАТАЛОГ_УСТАНОВКИ - это местонахождение установки WebSphere.

Глава 6. Установка и использование компонента Incremental Data Synchronizer 57

Обозначение пути Интерпретация

ДОМАШНИЙ_КАТАЛОГ_WAS_NDM КАТАЛОГ_УСТАНОВКИ/WebSphere/DirectoryManager/

КАТАЛОГ_УСТАНОВКИ - это местонахождение установки WebSphere.

ДОМАШНИЙ_КАТАЛОГ_BEA КАТАЛОГ_УСТАНОВКИ/bea/

КАТАЛОГ_УСТАНОВКИ - это местонахождение установки WebLogic.

Установка на отдельном компьютере

Ниже приводятся инструкции, позволяющие настроить Incremental Data Synchronizer

на отдельном компьютере (то есть, не на одном компьютере с WebSphere Application

Server).

Примечание: <компьютер_синхронизации> - это компьютер, на котором

устанавливается утилита Incremental Data Synchronizer.

<компьютер_itim> - это компьютер, на котором установлен продукт


1. Скопируйте каталог ДОМАШНИЙ_КАТАЛОГ_ITIM с компьютера <компьютер_itim> на

компьютер <компьютер_синхронизации>.

2. Скопируйте каталог java из каталога ДОМАШНИЙ_КАТАЛОГ_WAS на компьютере

<компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM на компьютере

<компьютер_синхронизации>.

3. Создайте каталог с именем websphere_lib в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на

компьютере <компьютер_синхронизации>.

4. Скопируйте все файлы и папки из каталога ДОМАШНИЙ_КАТАЛОГ_WAS/lib на

компьютере <компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/websphere_lib

на компьютере <компьютер_синхронизации>.

5. Скопируйте файлы app_ejb.jar, api_ejb.jar и wf_ejb.jar из каталога

ДОМАШНИЙ_КАТАЛОГ_WAS/installedApps/<имя_компьютера>/enRole.ear на

компьютере <компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/lib на


<имя_компьютера> - это, обычно, имя компьютера, не котором установлен

сервер Tivoli Identity Manager. Это значение указывается во время установки

Tivoli Identity Manager. Это имя должно находиться в пути каталогов в каталоге

установки WebSphere, в котором содержится файл enRole.ear. Например:

/usr/WebSphere/AppServer/installedApps/<имя_компьютера>/enRole.ear

6. Скопируйте файл implfactory.properties из каталога

ДОМАШНИЙ_КАТАЛОГ_WAS/properties на компьютере <компьютер_itim> в каталог

ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации>.

7. Скопируйте файл jaas_login_was.conf из каталога

ДОМАШНИЙ_КАТАЛОГ_ITIM/extensions/examples/apps/bin на компьютере

<компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере


8. Создайте каталог с именем logs в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на


9. Включите обработку журнала изменений в файле adhocreporting.properties на

компьютере <компьютер_itim> следующим образом:

a. В файле adhocreporting.properties, находящемся в каталоге data установки

сервера Tivoli Identity Manager, укажите changelogEnabled=true.

b. В файле adhocreporting.properties, находящемся в каталоге data

установки сервера Tivoli Identity Manager, задайте значение свойства


||||

|||||

changelogBaseDN=<DN_источника_changelog>. Значение

<DN_источника_changelog> - это DN источника, в котором хранятся записи

журнала изменений (changelog) на сервере каталога. Например:

changelogBaseDN=cn=changelog

10. Включите применение схем в файле adhocreporting.properties на компьютере

<компьютер_itim> следующим образом:

v В файле adhocreporting.properties, находящемся в каталоге data установки

сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true.11. Модифицируйте файл enRole.properties в каталоге

ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации>

следующим образом:

enrole.appServer.url=iiop://<имя_компьютера_сервера_itim>:2809

12. Модифицируйте файл enRoleDatabase.properties в каталоге

ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации,

включив в него информацию о базе данных Tivoli Identity Manager.

13. Модифицируйте файл enRoleLDAPConnection.properties в каталоге


включив в него информацию о сервере каталога Tivoli Identity Manager.

14. Модифицируйте файл enRoleLogging.properties в каталоге



log4j.appender.Logger.File=<путь_itim>.log

Путь файла itim.log - ДОМАШНИЙ_КАТАЛОГ_ITIM/logs/itim.log. Каталог logs

был создан при выполнении предыдущего шага. Например:

log4j.appender.Logger.File = ДОМАШНИЙ_КАТАЛОГ_ITIM/logs/itim.log

15. Если Tivoli Identity Manager использует в качестве базы данных DB2, скопируйте

файл db2java.zip из каталога SQLLIB/java12 на компьютере <компьютер_itim> в

каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/lib на компьютере

<компьютер_синхронизации_itimri_aci>.

16. В указанных ниже двух файлах измените значение переменной ITIM_HOME так,

чтобы она указывала на каталог ДОМАШНИЙ_КАТАЛОГ_ITIM:

startIncrementalSynchronizerCMD_WAS.sh

startIncrementalSynchronizerUI_WAS.sh

Например:

ITIM_HOME = ДОМАШНИЙ_КАТАЛОГ_ITIM

Эти файлы находятся в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix.

Установка на одном компьютере


на одном компьютере с WebSphere Application Server.

1. Скопируйте каталог java из каталога ДОМАШНИЙ_КАТАЛОГ_WAS в каталог

ДОМАШНИЙ_КАТАЛОГ_ITIM.

Примечание: ДОМАШНИЙ_КАТАЛОГ_WAS - это

КАТАЛОГ_УСТАНОВКИ/WebSphere/AppServer/

2. Создайте каталог websphere_lib в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM.

3. Скопируйте все файлы и папки из каталога ДОМАШНИЙ_КАТАЛОГ_WAS/lib в каталог

ДОМАШНИЙ_КАТАЛОГ_ITIM/websphere_lib.


ДОМАШНИЙ_КАТАЛОГ_WAS/installedApps/<имя_компьютера>/enRole.ear в каталог

ДОМАШНИЙ_КАТАЛОГ_ITIM/lib.


|||

<имя_компьютера> - это, обычно, имя компьютера, не котором установлен сервер

Tivoli Identity Manager. Это значение указывается во время установки Tivoli Identity

Manager. Это имя должно находиться в пути каталогов в каталоге установки

WebSphere, в котором содержится файл enRole.ear. Например:

/usr/WebSphere/AppServer/installedApps/<имя_компьютера>/enRole.ear


ДОМАШНИЙ_КАТАЛОГ_WAS/properties в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/data.


ДОМАШНИЙ_КАТАЛОГ_ITIM/extensions/examples/apps/bin в каталог

ДОМАШНИЙ_КАТАЛОГ_ITIM/data.

7. Включите обработку журнала изменений в файле adhocreporting.properties


a. В файле adhocreporting.properties, находящемся в каталоге

ДОМАШНИЙ_КАТАЛОГ_ITIM/data, укажите changelogEnabled=true.

b. В файле adhocreporting.properties, находящемся в каталоге

ДОМАШНИЙ_КАТАЛОГ_ITIM/data, задайте значение свойства





8. Включите применение схем в файле adhocreporting.properties следующим

образом:


сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true.9. Если Tivoli Identity Manager использует в качестве базы данных DB2, скопируйте

файл db2java.zip из каталога SQLLIB/java12 в каталог



WebSphere/Windows


сервером WebSphere Application Server или на отдельном компьютере. Рекомендуется

устанавливать Incremental Data Synchronizer на отдельном компьютере. В данном

разделе приводятся инструкции для обоих типов установки.



на отдельном компьютере (то есть, не на одном компьютере с WebSphere Application

Server).







2. Скопируйте каталог java из каталога ДОМАШНИЙ_КАТАЛОГ_WAS на компьютере

<компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM на компьютере


3. Создайте каталог с именем websphere_lib в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на



|||||

4. Скопируйте все файлы и папки из каталога ДОМАШНИЙ_КАТАЛОГ_WAS\lib на

компьютере <компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\websphere_lib

на компьютере <компьютер_синхронизации>.


ДОМАШНИЙ_КАТАЛОГ_WAS\installedApps\<имя_компьютера>\enRole.ear на

компьютере <компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\lib на


<имя_компьютера> - это, обычно, имя компьютера, не котором установлен

сервер Tivoli Identity Manager. Это значение указывается во время установки

Tivoli Identity Manager. Это имя должно находиться в пути каталогов в каталоге

установки WebSphere, в котором содержится файл enRole.ear. Например:

C:\Program

Files\WebSphere\AppServer\installedApps\<имя_компьютера>\enRole.ear


ДОМАШНИЙ_КАТАЛОГ_WAS\properties на компьютере <компьютер_itim> в каталог

ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации>.


ДОМАШНИЙ_КАТАЛОГ_ITIM\extensions\examples\apps\bin на компьютере

<компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере






a. В файле adhocreporting.properties, находящемся в каталоге data установки

сервера Tivoli Identity Manager, укажите changelogEnabled=true.

b. В файле adhocreporting.properties, находящемся в каталоге data

установки сервера Tivoli Identity Manager, задайте значение свойства









ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации>


enrole.appServer.url=iiop://<имя_компьютера_сервера_itim>:2809


ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации,



ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации>,






Путь файла itim.log - ДОМАШНИЙ_КАТАЛОГ_ITIM\logs\itim.log. Каталог logs



||||

||||||

log4j.appender.Logger.File=C:\\ДОМАШНИЙ_КАТАЛОГ_ITIM\logs\itim.log

15. Если Tivoli Identity Manager использует в качестве базы данных DB2, скопируйте

файл db2java.zip из каталога SQLLIB\java12 на компьютере <компьютер_itim> в

каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\lib на компьютере

<компьютер_синхронизации_itimri_aci>.



startIncrementalSynchronizerCMD_WAS.bat

startIncrementalSynchronizerUI_WAS.bat

Например:

set ITIM_HOME = C:\ДОМАШНИЙ_КАТАЛОГ_ITIM

Эти файлы находятся в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win.



на одном компьютере с WebSphere Application Server.

1. Скопируйте каталог java из каталога ДОМАШНИЙ_КАТАЛОГ_WAS в каталог

ДОМАШНИЙ_КАТАЛОГ_ITIM.

2. Создайте каталог websphere_lib в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM.

3. Скопируйте все файлы и папки из каталога ДОМАШНИЙ_КАТАЛОГ_WAS\lib в каталог

ДОМАШНИЙ_КАТАЛОГ_ITIM\websphere_lib.


ДОМАШНИЙ_КАТАЛОГ_WAS\installedApps\<имя_компьютера>\enRole.ear в каталог

ДОМАШНИЙ_КАТАЛОГ_ITIM\lib.

<имя_компьютера> - это, обычно, имя компьютера, не котором установлен сервер

Tivoli Identity Manager. Это значение указывается во время установки Tivoli Identity

Manager. Это имя должно находиться в пути каталогов в каталоге установки

WebSphere, в котором содержится файл enRole.ear. Например: C:\Program

Files\WebSphere\AppServer\installedApps\<имя_компьютера>\enRole.ear


ДОМАШНИЙ_КАТАЛОГ_WAS\properties в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\data.


ДОМАШНИЙ_КАТАЛОГ_ITIM\extensions\examples\apps\bin в каталог

ДОМАШНИЙ_КАТАЛОГ_ITIM\data.




ДОМАШНИЙ_КАТАЛОГ_ITIM\data, укажите changelogEnabled=true.


ДОМАШНИЙ_КАТАЛОГ_ITIM\data, задайте значение свойства






образом:


сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true.9. Если Tivoli Identity Manager использует в качестве базы данных DB2, скопируйте

файл db2java.zip из каталога SQLLIB\java12 в каталог



|||

|||||

Установка Incremental Data Synchronizer в системе WebLogic/UNIX


сервером WebLogic или на отдельном компьютере. Рекомендуется устанавливать

Incremental Data Synchronizer на отдельном компьютере. В данном разделе

приводятся инструкции для обоих типов установки.



на отдельном компьютере (то есть, не на одном компьютере с WebLogic).







2. Создайте каталог с именем java в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на


3. Скопируйте содержимое каталога jdk131_06 из каталога ДОМАШНИЙ_КАТАЛОГ_BEA

на компьютере <компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/java на


4. Скопируйте файл weblogic.jar из каталога

ДОМАШНИЙ_КАТАЛОГ_BEA/weblogic700/server/lib на компьютере

<компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/lib на компьютере


5. Скопируйте файл jaas_login.conf из каталога

ДОМАШНИЙ_КАТАЛОГ_BEA/user_projects/itim на компьютере <компьютер_itim> в

каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере







ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_itim>, укажите

changelogEnabled=true.


ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_itim>, задайте

значение свойства changelogBaseDN=<DN_источника_changelog>. Значение







сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true. 9. Модифицируйте файл enRole.properties в каталоге



enrole.appServer.url=t3://<имя_компьютера_сервера_tim>:<порт_сервера_tim>


<имя_компьютера_сервера_tim - это имя компьютера <компьютер_itim>.

<порт_сервера_tim - это порт, на котором работает Tivoli Identity Manager.

Примечание: Номер порта очень важен. Если его не указать, приложение

попытается соединиться с портом 7001, который является портом

по умолчанию для WebLogic.





ДОМАШНИЙ_КАТАЛОГ_ITIM/data на компьютере <компьютер_синхронизации>,






Путь файла itim.log - ДОМАШНИЙ_КАТАЛОГ_ITIM/logs/itim.log. Каталог logs


log4j.appender.Logger.File = ДОМАШНИЙ_КАТАЛОГ_ITIM/logs/itim.log



startIncrementalSynchronizerCMD_WLS.sh

startIncrementalSynchronizerUI_WLS.sh

Например:

ITIM_HOME = ДОМАШНИЙ_КАТАЛОГ_ITIM

Эти файлы находятся в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix.



на одном компьютере с WebLogic.

1. Создайте каталог java в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM/java.

2. Скопируйте содержимое каталога jdk131_06 в каталог ДОМАШНИЙ_КАТАЛОГ_BEA в

каталог ДОМАШНИЙ_КАТАЛОГ_ITIM/java.


ДОМАШНИЙ_КАТАЛОГ_BEA/weblogic700/server/lib в каталог



ДОМАШНИЙ_КАТАЛОГ_BEA/user_projects/itim в каталог

ДОМАШНИЙ_КАТАЛОГ_ITIM/data.




ДОМАШНИЙ_КАТАЛОГ_ITIM/data, укажите changelogEnabled=true.


ДОМАШНИЙ_КАТАЛОГ_ITIM/data, задайте значение свойства






образом:




ДОМАШНИЙ_КАТАЛОГ_ITIM/data следующим образом:


<имя_компьютера_сервера_tim - это имя компьютера <компьютер_itim>. Обычно,

это ″localhost″. <порт_сервера_tim - это порт, на котором работает Tivoli Identity

Manager.


попытается соединиться с портом 7001, который является портом по

умолчанию для WebLogic.


WebLogic/Windows


сервером WebLogic или на отдельном компьютере. Рекомендуется устанавливать

Incremental Data Synchronizer на отдельном компьютере. В данном разделе

приводятся инструкции для обоих типов установки.



на отдельном компьютере (то есть, не на одном компьютере с WebLogic).







2. Создайте каталог с именем java в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM на


3. Скопируйте содержимое каталога jdk131_06 из каталога ДОМАШНИЙ_КАТАЛОГ_BEA

на компьютере <компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\java на



ДОМАШНИЙ_КАТАЛОГ_BEA\weblogic700\server\lib на компьютере

<компьютер_itim> в каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\lib на компьютере



ДОМАШНИЙ_КАТАЛОГ_BEA\user_projects\itim на компьютере <компьютер_itim> в

каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере







ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_itim>, укажите

changelogEnabled=true.



ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_itim>, задайте

значение свойства changelogBaseDN=<DN_источника_changelog>. Значение







сервера Tivoli Identity Manager, укажите enableDeltaSchemaEnforcer=true. 9. Модифицируйте файл enRole.properties в каталоге




<имя_компьютера_сервера_tim - это имя компьютера <компьютер_itim>.

<порт_сервера_tim - это порт, на котором работает Tivoli Identity Manager.


попытается соединиться с портом 7001, который является портом

по умолчанию для WebLogic.


ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации,



ДОМАШНИЙ_КАТАЛОГ_ITIM\data на компьютере <компьютер_синхронизации>,






Путь файла itim.log - ДОМАШНИЙ_КАТАЛОГ_ITIM\logs\itim.log. Каталог logs


log4j.appender.Logger.File=C:\\ДОМАШНИЙ_КАТАЛОГ_ITIM\logs\itim.log



startIncrementalSynchronizerCMD_WLS.bat

startIncrementalSynchronizerUI_WLS.bat

Например:

set ITIM_HOME = C:\ДОМАШНИЙ_КАТАЛОГ_ITIM

Эти файлы находятся в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win.



на одном компьютере с WebLogic.

1. Создайте каталог java в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM.

2. Скопируйте содержимое каталога jdk131_06 в каталог ДОМАШНИЙ_КАТАЛОГ_BEA в

каталог ДОМАШНИЙ_КАТАЛОГ_ITIM\java.


ДОМАШНИЙ_КАТАЛОГ_BEA\weblogic700\server\lib в каталог




ДОМАШНИЙ_КАТАЛОГ_BEA\user_projects\itim в каталог

ДОМАШНИЙ_КАТАЛОГ_ITIM\data.




ДОМАШНИЙ_КАТАЛОГ_ITIM\data, укажите changelogEnabled=true.


ДОМАШНИЙ_КАТАЛОГ_ITIM\data, задайте значение свойства






образом:



ДОМАШНИЙ_КАТАЛОГ_ITIM\data следующим образом:


<имя_компьютера_сервера_tim - это имя компьютера <компьютер_itim>. Обычно,

это ″localhost″. <порт_сервера_tim - это порт, на котором работает Tivoli Identity

Manager.


попытается соединиться с портом 7001, который является портом по

умолчанию для WebLogic.


Как запустить Incremental Data Synchronizer

Утилиту Incremental Data Synchronizer можно запустить либо в режиме графического

пользовательского интерфейса, либо в режиме командной строки.

Примечание: Перед запуском Incremental Data Synchronizer нужно запустить сервер

Tivoli Identity Manager и произвести синхронизацию данных.

Графический режим

UNIX (WebSphere):

Чтобы вызвать Incremental Data Synchronizer в режиме графического

пользовательского интерфейса, выполните указанную ниже команду в каталоге

ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix:

# startIncrementalSynchronizerUI_WAS.sh

Примечание: При помощи XClient вызовите Incremental Data Synchronizer.

UNIX (WebLogic):



ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix:

# startIncrementalSynchronizerUI_WLS.sh

Примечание: При помощи XClient вызовите Incremental Data Synchronizer.

Windows (WebSphere):



ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win:

C:> startIncrementalSynchronizerUI_WAS.bat

Windows (WebLogic):



ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win:

C:> startIncrementalSynchronizerUI_WLS.bat

На приведенном ниже рисунке показано окно Incremental Data Synchronizer при

запуске в графическом режиме:


Вход в систему:

Чтобы запустить синхронизацию ACI, пользователь должен сначала ввести

идентификационные данные менеджера Tivoli Identity Manager. Щелкните по кнопке

Login (Вход в систему), чтобы ввести эти идентификационные данные. Появится

диалоговое окно, показанное на следующем рисунке:

Опции:

Теперь вы должны ввести DN источника на сервере каталога LDAP, где хранятся

записи журнала изменений, а также интервал времени между процедурами

синхронизации.

Примечание: Это время, которое должно пройти с момента окончания одной

процедуры синхронизации до начала следующей процедуры

синхронизации.

Чтобы задать эти параметры, щелкните по кнопке Options (Опции). Появится

диалоговое окно, показанное на следующем рисунке:

Рисунок 11. Incremental Data Synchronizer в графическом режиме

Рисунок 12. Ввод идентификационных данных


Операции Incremental Data Synchronizer:

Запустите синхронизацию, щелкнув по кнопке Start (Запуск). Ход выполнения

синхронизации и другие сведения будут показаны в текстовой области графического

интерфейса.

Процесс синхронизации можно остановить, щелкнув по кнопке Stop (Остановить).

Чтобы очистить текстовую область окна Incremental Data Synchronizer, щелкните по

кнопке Clear (Очистить).

Чтобы закрыть Incremental Data Synchronizer, щелкните по кнопке Exit (Выход).

Режим командной строки

UNIX (WebSphere):

Чтобы вызвать Incremental Data Synchronizer в режиме командной строки, выполните

указанную ниже команду в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix:

# startIncrementalSynchronizerCMD_WAS.sh itim-manager passwd dn_источника_chglog

интервал_времени

UNIX (WebLogic):


указанную ниже команду в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/unix:

# startIncrementalSynchronizerCMD_WLS.sh itim-manager passwd dn_источника_chglog


Windows (WebSphere):


указанную ниже команду в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win (команду

нужно ввести в виде одной строки):

C:> startIncrementalSynchronizerCMD_WAS.bat itim-manager passwd dn_источника_chglog


Windows (WebLogic):


указанную ниже команду в каталоге ДОМАШНИЙ_КАТАЛОГ_ITIM\bin\win (команду

нужно ввести в виде одной строки):

C:> startIncrementalSynchronizerCMD_WLS.bat itim-manager passwd dn_источника_chglog


Рисунок 13. Опции


Где:

Аргумент Описание

itim-manager Регистрационный ID менеджера Tivoli Identity Manager

passwd Пароль менеджера Tivoli Identity Manager

dn_источника_chglog DN источника записей журнала изменений на сервере

каталога Tivoli Identity Manager

интервал_времени Интервал времени между процедурами синхронизации, в

секундах

Пример (UNIX/WebSphere):

# startIncrementalSynchronizerCMD_WAS.sh "itim manager" password cn=changelog 1800

Пример (Windows/WebSphere) (вводится в виде одной строки):

C:> startIncrementalSynchronizerCMD_WAS.bat "itim manager" password

cn=changelog 1800

Примечание: Это интервал времени между окончанием одной процедуры

синхронизации и началом следующей процедуры синхронизации.

Настройка Incremental Data Synchronizer

Утилиту Incremental Data Synchronizer можно настроить, изменив значения свойств в

файле конфигурации adhocreporting.properties. Чтобы обеспечить эффективность

процедуры синхронизации, можно изменять значения трех свойств в комбинации

друг с другом:

v changeLogFetchSize

v maximumChangeLogsToSynchronize

v changeLogsToAnalyzeBeforeSynchronization

Подробную информацию об этих свойствах и других свойствах конфигурации

смотрите в справке по файлу adhocreporting.properties в разделе Глава 11,



Глава 7. Конфигурирование Crystal Reports

Crystal Reports

® версии 9 это продукт Crystal Decisions, Inc для интеграции и создания

шаблонов отчетов. Средство Crystal Reports Dеsigner позволяет создавать сложные

шаблоны отчетов. Эти шаблоны можно затем интегрировать в среду Tivoli Identity

Manager и сделать доступными для пользователей, которые создают отчеты.

Функция Crystal Reports - это дополнительный (а не обязательный) компонент,

который позволяет создавать пользовательские отчеты.

Вы можете встроить пользовательский шаблон Crystal Report в среду Tivoli Identity

Manager, импортировав файл шаблона отчета с компьютера-клиента Crystal Reports

при помощи графического пользовательского интерфейса Tivoli Identity Manager.

Пользовательский шаблон отчета появится в списке вместе со стандартными

отчетами в панели Отчеты графического пользовательского интерфейса Tivoli Identity

Manager. Теперь можно использовать этот шаблон для генерирования

пользовательского отчета. В Tivoli Identity Manager предусмотрен полный набор

функций контроля (посредством ACI) за данными в отчетах, построенных на основе

шаблонов Crystal Report.


v “Поток процессов при использовании отчетов Crystal Reports” на стр. 74

v “Конфигурирование Tivoli Identity Manager для работы в сочетании с Crystal

Reports” на стр. 75


Поток процессов при использовании отчетов Crystal Reports

Tivoli Identity Manager в сочетании с функцией Crystal Reports представляют собой

систему ″клиент/сервер″, в состав которой входят следующие компоненты:

v Клиент Crystal Reports (на котором установлено средство Crystal Reports Designer)

При помощи средства Crystal Reports Designer пользователи могут

сконструировать шаблон отчета.

v Графический пользовательский интерфейс Tivoli Identity Manager

Администраторы могут сделать новые шаблоны отчетов доступными

пользователям Tivoli Identity Manager (при помощи функции импорта).

v Сервер Tivoli Identity Manager

Отправляет требование о создании отчета на сервер Crystal Reports Report

Application Server (RAS)

v Сервер Crystal Reports RAS (Report Application Server)

Обрабатывает отчет, извлекая данные из базы данных Tivoli Identity Manager и

заполняя этими данными шаблон.

v SDK обеспечивает интерфейс между сервером Tivoli Identity Manager и RAS

Описанный ниже поток процессов содержит последовательность событий при

генерировании отчета на основе шаблона Crystal Reports:

1. На компьютере-клиенте Crystal Reports сконструируйте шаблон отчета при

помощи Crystal Reports Designer.

Для средства Crystal Reports Designer доступны только те объекты и столбцы, для

которых заданы отображения с использованием Дизайнера схем Tivoli Identity

Manager. Сконструированный шаблон отчета можно при помощи средства Crystal

Reports Designer сохранить в файловой системе клиента в виде файла шаблона

отчета (.rpt).

2. При помощи графического пользовательского интерфейса Tivoli Identity Manager

сделайте новый шаблон отчета доступным в среде Tivoli Identity Manager,

импортировав в нее этот шаблон (кнопка Импорт в задаче Создать отчет).

3. Когда пользователь выберет этот шаблон и запустит генерирование отчета,

сервер Tivoli Identity Manager отправит требование о создании отчета на сервер

RAS для обработки.

4. Используя имя источника данных (DSN), созданное на компьютере RAS, сервер

RAS установит связь с базой данных Tivoli Identity Manager, прочтет

соответствующие данные и сгенерирует отчет.


Конфигурирование Tivoli Identity Manager для работы в сочетании с

Crystal Reports

Чтобы импортировать в среду Tivoli Identity Manager шаблоны отчетов,

разработанные при помощи средства Crystal Reports Designer, необходимо, чтобы в

сети работал сервер Report Application Server (RAS); сервер Tivoli Identity Manager

должен быть сконфигурирован для работы с SDK RAS.

Конфигурирование поддержки Crystal Reports в среде Tivoli Identity Manager

подразделяется на три части:

1. Конфигурирование Crystal Enterprise Report Application Server (RAS)

v Поддерживается только на платформе Windows2. Конфигурирование сервера приложений Tivoli Identity Manager

Примечание: Выберите один из указанных ниже разделов, соответствующий

тому, какие сервер приложений и платформу вы используете:

a. WebSphere в Windows

b. WebSphere в UNIX

c. WebLogic в Windows

d. WebLogic в UNIX3. Конфигурирование клиента Crystal Reports (для компьютера, на котором работает

средство Crystal Reports Designer)

v Поддерживается только на платформе Windows

1. Конфигурирование RAS (поддерживается только на

платформе Windows)

Чтобы сконфигурировать сервер Report Application Server (RAS), выполните действия,

описанные ниже:

1. Установите сервер приложений Crystal Reports Report Application Server (RAS),

руководствуясь инструкциями, прилагаемыми к программе.

RAS может находиться на том же компьютере Windows, что и сервер приложения

Tivoli Identity Manager, либо на отдельном компьютере Windows.

2. Создайте системное имя источника данных (Data Source Name - DSN),

указывающее на базу данных Tivoli Identity Manager, которая используется

сервером Tivoli Identity Manager.

2a. Конфигурирование Tivoli Identity Manager (WebSphere в

Windows)

Чтобы сконфигурировать Tivoli Identity Manager для работы в сочетании с сервером

приложений WebSphere Application Server на компьютере Windows, выполните

следующие шаги:

1. Скопируйте все файлы .jar (за исключением файлов OB405.jar/ebus405.jar и

xerces.jar) из каталога установки RAS в следующий каталог на сервере

WebLogic:

ДОМАШНИЙ_КАТАЛОГ_WAS\installedApps\<имя_компьютера>\enrole.ear\app_web

\WEB-INF\lib\

Примечание: Создайте папку lib, если она не существует.

Эти файлы .jar, как правило, находятся в каталоге:

C:\Program Files\Common Files\Crystal Decisions\2.0\jars

Глава 7. Конфигурирование Crystal Reports 75

||

|

Примечание: НЕ перезаписывайте файл xerces.jar, который уже существует в

каталоге назначения. НЕ копируйте в каталог назначения ни файл

OB405.jar, ни файл ebus405.jar. В папке установки Crystal должен

быть ЛИБО файл OB405.jar, ЛИБО файл ebus405.jar, в

зависимости от того, какую версию Crystal Report Application Server

вы используете.

2. Модифицируйте файл ДОМАШНИЙ_КАТАЛОГ_ITIM\data\crystal.properties,

изменив в нем следующие свойства:

v crystalras: В качестве значения этого свойства укажите имя сервера, на котором

установлен RAS

v dsn: В качестве значения этого свойства укажите созданное перед этим значение

DSN

v database: В качестве значения этого свойства укажите имя тип базы данных,

которую использует Tivoli Identity Manager

При конфигурировании базы данных DB2, если база данных находится не на

одном компьютере с RAS, укажите алиас базы данных, который укажет

фактическую базу данных, используемую продуктом Tivoli Identity Manager.3. Перезапустите сервер Tivoli Identity Manager.

Создайте файл .war при помощи WebSphere Application Assembly Tool:

Ниже приводятся инструкции, которые позволят вам внедрить каталог

crystalreportviewers в виде файла .war в WebSphere 5.0.

1. Запустите WebSphere Application Assembly Tool:

Пуск > Программы > IBM WebSphere > Application Server 5.0 >

Application Assembly Tool

2. Выберите Web Module (Web-модуль).

3. Раскройте узел Files (Файлы).

4. Щелкните правой кнопкой мыши по Resource Files (Ресурсные файлы) и

выберите Add Files (Добавить файлы).

5. Выберите каталог crystalreportviewers в каталоге установки Crystal. Как

правило, путь этого каталога:

C:\Program Files\Common Files\Crystal Decisions\2.0\crystalreportviewers

6. Щелкните по Add (Добавить).

Убедитесь, что список файлов, содержащихся в каталоге crystalreportviewers,

появился в нижней панели графического пользовательского интерфейса.


8. Щелкните правой кнопкой мыши по Jar Files (Файлы Jar) и выберите Add Files

(Добавить файлы).

9. Выберите каталог jars в каталоге установки Crystal. Как правило, путь этого

каталога:


10. Выберите все файлы с расширением .jar.


Убедитесь, что список файлов, содержащихся в каталоге jars, появился в нижней

панели графического пользовательского интерфейса.


13. Щелкните по Apply (Применить).

14. Щелкните по узлу, находящемуся в корне дерева в левой панели.


15. Измените значение переменной classpath, включив в нее следующее пути (в виде

одной строки):

WEB-INF/lib/rascore.jar;

WEB-INF/lib/rasapp.jar;

WEB-INF/lib/webreporting.jar;

WEB-INF/lib/WebReportingWizard.jar;

WEB-INF/lib/Serialization.jar;

WEB-INF/lib/MetafileRenderer.jar;

WEB-INF/lib/ReportTemplate.jar;

WEB-INF/lib/CorbaIDL.jar;

WEB-INF/lib/OBBiDir.jar;

WEB-INF/lib/OBEvent.jar;

WEB-INF/lib/OBIMR.jar;

WEB-INF/lib/OBNaming.jar;

WEB-INF/lib/OBProperty.jar;

WEB-INF/lib/OBTime.jar;

WEB-INF/lib/OBUtil.jar;

WEB-INF/lib/reportsourcefactory.jar


17. Сохраните файл в виде файла .war.

Внедрите файл .war при помощи консоли администрирования WebSphere:

1. Запустите сервер WebSphere.

2. Перейдите на консоль администрирования WebSphere:

http://имя_компьютера:9090/admin/

3. На консоли администрирования выберите:

Applications (Приложения) > Install New Application (Установить

новое приложение)

4. Выберите локальный путь, если файл внедряется с какого-либо компьютера

помимо компьютера-сервера. В противном случае выберите полное имя сервера.

5. Выберите файл .war, созданный в предыдущем разделе.

6. Задайте корневой каталог контекста следующим образом:

/crystalreportviewers

7. Примите все параметры по умолчанию и задайте следующее имя приложения:

crystalreportviewers

8. Щелкните по Finish (Готово).

9. Щелкните по Save to Master Configuration (Сохранить в главной конфигурации).

10. Щелкните по Save (Сохранить).

11. Раскройте узел Environment (Среда) в дереве, которое находится в левой панели.

12. Выберите Update Web Server Plugin (Обновить Plugin Web-сервера).

13. Щелкните по ОК в правой панели.

14. Перезапустите WebSphere Application Server.

2b. Конфигурирование Tivoli Identity Manager (WebSphere в

UNIX)


приложений WebSphere Application Server на компьютере UNIX, выполните

следующие шаги:



WebLogic:

ДОМАШНИЙ_КАТАЛОГ_WAS/installedApps/<имя_компьютера>/enrole.ear/app_web/

WEB-INF/lib/


||

Примечание: Создайте папку lib, если она не существует.









2. Модифицируйте файл ДОМАШНИЙ_КАТАЛОГ_ITIM/data/crystal.properties,





DSN


которую использует Tivoli Identity Manager

При конфигурировании базы данных DB2, если база данных находится не на

одном компьютере с RAS, укажите алиас базы данных, который укажет

фактическую базу данных, используемую продуктом Tivoli Identity Manager.3. Перезапустите сервер Tivoli Identity Manager.

Создайте файл .war при помощи WebSphere Application Assembly Tool:


crystalreportviewers в виде файла .war в WebSphere 5.0.

1. Запустите WebSphere Application Assembly Tool. Выполняемый файл этого

средства находится в следующем каталоге:

ДОМАШНИЙ_КАТАЛОГ_ITIM/bin/assembly.sh

2. Выберите Web Module (Web-модуль).

3. Раскройте узел Files (Файлы).

4. Щелкните правой кнопкой мыши по Resource Files (Ресурсные файлы) и

выберите Add Files (Добавить файлы).

5. Выберите каталог crystalreportviewers в каталоге установки Crystal. Как

правило, путь этого каталога:

C:\Program Files\Common Files\Crystal Decisions\2.0\crystalreportviewers


Убедитесь, что список файлов, содержащихся в каталоге crystalreportviewers,

появился в нижней панели графического пользовательского интерфейса.


8. Щелкните правой кнопкой мыши по Jar Files (Файлы Jar) и выберите Add Files

(Добавить файлы).

9. Выберите каталог jars в каталоге установки Crystal. Как правило, путь этого

каталога:


10. Выберите все файлы с расширением .jar.


Убедитесь, что список файлов, содержащихся в каталоге jars, появился в нижней

панели графического пользовательского интерфейса.


|



14. Щелкните по узлу, находящемуся в корне дерева в левой панели.

15. Измените значение переменной classpath, включив в нее следующее пути (в виде

одной строки):

WEB-INF/lib/rascore.jar;

WEB-INF/lib/rasapp.jar;

WEB-INF/lib/webreporting.jar;

WEB-INF/lib/WebReportingWizard.jar;

WEB-INF/lib/Serialization.jar;

WEB-INF/lib/MetafileRenderer.jar;

WEB-INF/lib/ReportTemplate.jar;

WEB-INF/lib/CorbaIDL.jar;

WEB-INF/lib/OBBiDir.jar;

WEB-INF/lib/OBEvent.jar;

WEB-INF/lib/OBIMR.jar;

WEB-INF/lib/OBNaming.jar;

WEB-INF/lib/OBProperty.jar;

WEB-INF/lib/OBTime.jar;

WEB-INF/lib/OBUtil.jar;

WEB-INF/lib/reportsourcefactory.jar


17. Сохраните файл в виде файла .war.

Внедрите файл .war при помощи консоли администрирования WebSphere:

1. Запустите сервер WebSphere.

2. Перейдите на консоль администрирования WebSphere:

http://имя_компьютера:9090/admin/

3. На консоли администрирования выберите:

Applications (Приложения) > Install New Application

(Установить новое приложение)

4. Выберите локальный путь, если файл внедряется с какого-либо компьютера

помимо компьютера-сервера. В противном случае выберите полное имя сервера.

5. Выберите файл .war, созданный в предыдущем разделе.

6. Задайте корневой каталог контекста следующим образом:

/crystalreportviewers

7. Примите все параметры по умолчанию и задайте следующее имя приложения:

crystalreportviewers

8. Щелкните по Finish (Готово).

9. Щелкните по Save to Master Configuration (Сохранить в главной конфигурации).

10. Щелкните по Save (Сохранить).

11. Раскройте узел Environment (Среда) в дереве, которое находится в левой панели.

12. Выберите Update Web Server Plugin (Обновить Plugin Web-сервера).

13. Щелкните по ОК в правой панели.

14. Перезапустите WebSphere Application Server.

2c. Конфигурирование сервера Tivoli Identity Manager

(WebLogic в Windows)


приложений WebLogic на компьютере Windows, выполните следующие шаги:




WebLogic:

ДОМАШНИЙ_КАТАЛОГ_ITIM\lib









2. Модифицируйте файл ДОМАШНИЙ_КАТАЛОГ_ITIM\data\crystal.properties,





DSN


которую использует Tivoli Identity Manager3. Перезапустите сервер Tivoli Identity Manager.

Конфигурирование WebLogic:


crystalreportviewers в WebLogic 7.0.

1. Создайте подкаталог DefaultWebapp_мой_сервер в каталоге

ДОМАШНИЙ_КАТАЛОГ_BEA\user_projects\itim\applications.

2. Скопируйте в этот подкаталог каталог crystalreportviewers из каталога

установки Crystal. Как правило, путь каталога установки Crystal:

C:\Program Files\Common Files\Crystal Decisions\2.0

3. Запустите сервер WebLogic.

4. Перейдите в консоль WebLogic при помощи браузера:

http://имя_компьютера/console

5. Зарегистрируйтесь в системе, указав имя пользователя ″system″ и назначенный

пароль. Пароль по умолчанию - ″enrole″.

6. Раскройте дерево в левой части страницы:

itim > Deployments > Web Application > DefaultWebapp_мой_сервер

7. Щелкните по вкладке Targets (Пункты назначения).

8. Если в списке Available (Доступные) есть запись мой_сервер, щелкните по кнопке

со стрелкой, чтобы добавить ее в список Chosen (Выбранные).


2d. Конфигурирование Tivoli Identity Manager (WebLogic в

UNIX)


приложений WebLogic на компьютере UNIX, выполните следующие шаги:




WebLogic:

ДОМАШНИЙ_КАТАЛОГ_ITIM/lib









2. Модифицируйте файл ДОМАШНИЙ_КАТАЛОГ_ITIM/data/crystal.properties,





DSN


которую использует Tivoli Identity Manager3. Перезапустите сервер Tivoli Identity Manager.

Конфигурирование WebLogic:


crystalreportviewers в WebLogic 7.0.

1. Создайте подкаталог DefaultWebapp_мой_сервер в каталоге

ДОМАШНИЙ_КАТАЛОГ_BEA/user_projects/itim/applications.

2. Скопируйте в этот подкаталог каталог crystalreportviewers из каталога

установки Crystal. Как правило, путь каталога установки Crystal:

C:\Program Files\Common Files\Crystal Decisions\2.0

3. Запустите сервер WebLogic.

4. Перейдите в консоль WebLogic при помощи браузера:

http://имя_компьютера/console

5. Зарегистрируйтесь в системе, указав имя пользователя ″system″ и назначенный

пароль. Пароль по умолчанию - ″enrole″.

6. Раскройте дерево в левой части страницы:

itim > Deployments > Web Application > DefaultWebapp_мой_сервер

7. Щелкните по вкладке Targets (Пункты назначения).

8. Если в списке Available (Доступные) есть запись мой_сервер, щелкните по кнопке

со стрелкой, чтобы добавить ее в список Chosen (Выбранные).


3. Конфигурирование клиента (поддерживается только на

платформе Windows)

Ниже рассматривается, как следует сконфигурировать компьютер-клиент, на

котором будет работать средство Crystal Reports 9 Designer.


v Создайте на компьютере-клиенте (на котором работает Crystal Reports 9 Designer)

системное имя источника данных (Data Source Name - DSN), указывающее на базу

данных Tivoli Identity Manager, которая используется сервером Tivoli Identity

Manager.

Эта информация о соединении требуется для того, чтобы средство разработки

могло получать нужные объекты и данные из столбцов базы данных Tivoli Identity

Manager.

v Укажите имя пользователя ″enrole″ с соответствующим паролем. У этого

пользователя должен быть доступ к таблицам базы данных на сервере Tivoli

Identity Manager. Пароль можно узнать у администратора Tivoli Identity Manager.

Примечание: При разработке отчетов Crystal Reports не используйте таблицы, имена

которых начинаются со слова ″user_″.

Примечание: Столбцы SUPERVISOR и CONTAINERDN в подготовленных таблицах

содержат метаданные, которые нельзя использовать в отчетах,

созданных при помощи Crystal Report.


Глава 8. Разработка условий фильтров Crystal


v “Учебник по разработке условий фильтров” на стр. 83

v “Примеры отчетов” на стр. 85

Учебник по разработке условий фильтров

Условия этих фильтров очень сходны с операторами языка SQL, используемыми при

обращении к базам данных. Условия фильтров, созданные при помощи Crystal Report

Designer, преобразуются в SQL и выполняются при генерировании отчетов.

Дизайнер Crystal Report сначала должен при помощи средства ″Database Expert″

выбрать таблицы, которые будет использоваться в отчете. Пользователь увидит все

таблицы, созданные в ходе синхронизации. При выборе таблиц нужно обратить

внимание на следующее:

v Ниже перечислены имена таблиц, генерируемых для атрибутов с несколькими

значениями:

<ИМЯ_ОБЪЕКТА>_<ИМЯ_АТРИБУТА>

Однако, используемый здесь фрагмент <ИМЯ_АТРИБУТА> - это не имя,

появляющееся на экране в Tivoli Identity Manager, а внутреннее представление этого

атрибута. (Например, cn для Полного имени).

v Для генерирования имен таблиц во время синхронизации данных используется

следующая схема:

<ИМЯ_ОБЪЕКТА>_<ИМЯ_АТРИБУТА>

Однако, база данных Oracle не поддерживает идентификаторы, длина которых

превышает 30 символов. Следовательно, длина имен таблиц, созданных во время

синхронизации данных, не может превышать 30 символов.

В тех случаях, когда длина имени превышает 30 символов, имя таблицы

генерируется в соответствии с приведенной ниже схемой:

Первые 22 символа имени ( <ИМЯ_ОБЪЕКТА>_<ИМЯ_АТРИБУТА> ) +

<уникальный_ID>

Эта схема гарантирует, что имена таблиц никогда не будут содержать более 30

символов. В некоторых случаях, дизайнеру отчетов приходится искать атрибут с

несколькими значениями (для которого создана таблица), путем поиска данных в

столбцах таблиц, поскольку имена таблиц могут оказаться шифрованными.

v Пользователю не следует выбирать в Database Expert никакие таблицы с именами

вида USER_<ОБЪЕКТ>. В этих таблицах содержится информация ACI, не

предназначенная для составления отчетов.

Ниже приводится список агентов, их атрибутов и взаимосвязей друг с другом в

контексте Tivoli Identity Manager. Этот список может оказаться полезным для

создания правильных условий фильтра при создании отчетов. В столбце Фильтры

приведенной ниже таблицы показано точное условие JOIN, которое можно

использовать в отчете для получения адекватных и значимых результатов.


Номер Объекты Фильтры

1 Сотрудник,

Учетная запись

Person.DN = Account.owner

2 Person_erroles,

DefaultRole

Person_erroles.erroles= DefaultRole.DN


Подразделение

организации

Person.ParentDN = OrganizationalUnit.DN

ИЛИ

OrganizationalUnit.ersupervisor = Person.DN

4 Учетная запись, Служба Account.erservice = Service.DN

5 Политика

предоставления

доступа,

Роль в организации

ProvisioningPolicy.erparent = OrganizationUnit.DN

6 Участок, Сотрудник Location.ersupervisor = Person.DN

7 Организация бизнес-партнера,

Сотрудник

BPOrganization.ersponsor = Person.DN

8 BPPerson, DefaultRole BPPerson.erroles = DefaultRole.DN

9 Организация,

Участок

Organization.DN = Location.erparent


Подразделение организации

Organization .DN = OrganizationUnit.erparent


Организация бизнес-партнера

Organization.DN = BPOrganization.erparent

12 Подразделение организации,

Участок

OrganizationalUnit.erparent = Location.DN

ИЛИ

Location.erparent = OrganizationalUnit.DN

13 Подразделение организации,


OrganizationalUnit.erparent = BPOrganization.DN

ИЛИ

BPOrganization.erparent = OrganizationalUnit.DN

14 Участок,


Location.erparent = BPOrganization.DN

ИЛИ

BPOrganization.erparent = Location.DN

15 Служба, Сотрудник Service.owner = Person.DN

16 Учетная запись SQL2000,

Служба

SQL2000Account.erservice = Service.DN

17 Учебная запись ITIM,

Служба ITIM

ITIMAccount.erservice = ITIMService.DN

18 Предоставляемое право,

Служба

Service.DN = Entitlement.ServiceTargetName

19 Политика предоставления

доступа,

Предоставляемое право

ProvisioningPolicy.DN = Entitlement.DN

20 ACI, Принципалы ACI ACI.DN = ACI_Principals.DN

AND ACI.Name = ACI_Principals.Name

AND ACI.Target = ACI_Principals.Target

21 ACI,

ACI_Permission_ClassRight

ACI.DN = ACI_Permission_ClassRight.DN

AND ACI.Name = ACI_Permission_ClassRight.Name

AND ACI.Target = ACI_Permission_ClassRight.Target

22 ACI,

ACI_Permission_AttributeRight

ACI.DN = ACI_Permission_AttributeRight.DN

AND ACI.Name = ACI_Permission_AttributeRight.Name

AND ACI.Target = ACI_Permission_AttributeRight.Target


|

23 ACI, ACI_RoleDNS ACI.DN = ACI_RoleDNS.DN

AND ACI.Name = ACI_RoleDNS.Name

AND ACI.Target = ACI_RoleDNS.Target

Для справки:

Имя, выводимое на экран в ITIM Внутреннее имя

Роль в организации DefaultRole

Организация бизнес-партнера BPOrganization

Сотрудник бизнес-партнера BPPerson

Примеры отчетов

Ниже описаны некоторые механизмы разработки условий фильтра. Приводится

несколько примеров, иллюстрирующих процесс разработки фильтров. Эти примеры

также отражают некоторые взаимосвязи между разными столбцами

синхронизируемых таблиц.


разработке отчетов

При разработке отчетов пользователь должен задать в дизайнере отчетов

соответствующие фильтры, чтобы при выполнении отчета получить нужные данные.

Вот несколько примеров:

Отчет об атрибутах учетных записей

(Все пользователи с учетными записями типа ITIMService)

Создайте следующую схему отчета:

v Столбцы отчета: Account.eruid, ITIM.Service.erservicename

v Фильтры: Нет

Следовательно, если существуют двое пользователей:

v User1 с учетными записями ITIMService1 и ITIMService2

v User2 с учетной записью ITIMService3

В результате мы получим:

User1 ITIMService1

User1 ITIMService2

User1 ITIMService3

User2 ITIMService1

User2 ITIMService2

User2 ITIMService3

Это просто результат декартового представления двух таблиц.

Чтобы получить нужный набор результатов, нужно указать правильные условия

объединения (JOIN), задающие взаимосвязь между двумя этими таблицами.


Условием объединения (JOIN) в данном случае будет:

v Фильтры: Account.Service = ITIMService.DN

В результате применения такого фильтра мы получим:

User1 ITIMService1

User1 ITIMService2

User2 ITIMService3

Отчет о ролях сотрудников в организации

(Сотрудники, связанные с той или иной ролью в организации).


v Столбцы отчета: Person.cn, DefaultRole.Name

v Фильтр: DefaultRole.Name = ’_USERINPUT_’


v Person1 с ролью Role1


Если при генерировании отчета в качестве роли указывается ″Role1″, то в результате

мы получим:

Person1 Role1

Person2 Role1

Чтобы программа сгенерировала нужные результаты для этого отчета, нужны

следующие условия фильтра:

Person.erroles = DefaultRole.DN

AND DefaultRole.Name = ’_USERINPUT_’



Person1 Role1

Указанное условие фильтра действует потому, что атрибут ″Роль в организации″ для

объекта ″Сотрудник″ содержит значение DN роли, к которой относится пользователь.

Также обратите внимание на то, что атрибут Роль в организации является атрибутом

с несколькими значениями, то есть, у сотрудника может быть несколько ролей в

организации.

Отчет об учетных записях сотрудников

(Учетные записи, связанные с сотрудниками в системе)


v Столбец отчета: Person.cn, Account.eraccountstatus


Этот отчет в качестве результата возвратит декартово произведение записей в

таблицах Сотрудник и Учетная запись.


Условие объединения (JOIN), которое задаст взаимосвязь между таблицами

Сотрудник и Учетная запись:

Account.owner = Person.DN


|

Глава 9. Разработка условий фильтров пользовательских

отчетов


v “Учебник по разработке условий фильтров” на стр. 89

v “Примеры отчетов” на стр. 91

Учебник по разработке условий фильтров

Условия этих фильтров очень сходны с операторами языка SQL, используемыми при

обращении к базам данных. Условия фильтров, созданные при помощи дизайнера

отчетов, преобразуются в SQL и выполняются при генерировании отчетов.

Ниже приводится список агентов, их атрибутов и взаимосвязей друг с другом в

контексте ITIM. Этот список может оказаться полезным для создания правильных

условий фильтра при создании отчетов. В столбце Фильтры приведенной ниже

таблицы показано точное условие JOIN, которое можно использовать в отчете для

получения адекватных и значимых результатов.

Этот учебник завершается несколькими примерами отчетов, которые иллюстрируют,

как и когда следует использовать эти условия JOIN при разработке отчетов.

Номер Объекты Фильтры

1 Сотрудник, Учетная

запись

Person.DN = Account.owner



Person.Organization Roles = Organization Role.DN




Person.ParentDN = Organizational Unit.DN

OR

Organizational Unit. Supervisor = Person.DN

4 Учетная запись,

Служба

Account.Service = Service.DN

5 Политика


доступа,


Organization Role.DN = getDN(Provisioning Policy.Policy Membership) **

6 Политика


доступа,



Provisioning Policy.Parent DN = Organizational Unit.DN

7 Политика


доступа,

Служба

Service.DN = getDN(Provisioning Policy.Policy Target ) **

8 Участок, Сотрудник Location.Supervisor = Person.DN

9 Бизнес-партнер

Организация,

Сотрудник

Business Partner Organization.Sponsor = Person.DN


|

10 Бизнес-партнер

Сотрудник,


Business Partner Person.Organization Roles = Organization Role.DN


Участок

Organization.DN = Location.Parent DN




Организация,

Бизнес-партнер

Организация

Organization .DN = Organizational Unit.ParentDN

Organization.DN = Business Partner

Organization.ParentDN

13 Подразделение

организации,

Участок

Organizational Unit.Parent DN = Location.DN

OR

Location.Parent DN = Organizational Unit.DN

14 Подразделение

организации,


бизнес-партнера

Organizational Unit.Parent DN = Business Partner Organization DN

OR

Business Partner Organization.Parent DN = Organizational Unit.DN

15 Участок,


бизнес-партнера

Location..Parent DN = Business Partner Organization.DN

OR

Business Partner Organization.Parent DN = Location.DN

16 Служба, Сотрудник Service.Account Owner = Person.DN

17 Учетная запись

SQL2000,

Служба

SQL2000Account.Service = Service.DN

18 Учетная запись ITIM,

Служба ITIM

ITIMAccount.Service = ITIMService.DN

19 Предоставляемое

право, Служба

Service.DN = Entitlement.Service Target Name

20 Политика


доступа,

Предоставляемое

право

ProvisioningPolicy.DN = Entitlement.DN

21 ACI,

Принципалы ACI

ACI.DN = ACI Principals.DN

AND ACI.Name = ACI Principals.Name

AND ACI.Target = ACI Principals.Target

22 ACI,

Разрешение ACI

ClassRight

ACI.DN = ACI Permission ClassRight.DN

AND ACI.Name = ACI Permission ClassRight.Name

AND ACI.Target = ACI Permission ClassRight.Target

23 ACI,

Разрешение ACI

AttributeRight

ACI.DN = ACI Permission AttributeRight.DN

AND ACI.Name = ACI Permission AttributeRight.Name

AND ACI.Target = ACI Permission

AttributeRight.Target

24 ACI, DN ролей ACI ACI.DN = ACI Role DNs.DN

AND ACI.Name = ACI Role DNs.Name

AND ACI.Target = ACI Role DNs.Target

25 ACI,



ACI.DN = Organizational Unit.DN


Примечание:

Функция getDN - это функция дизайнера отчетов, позволяющая извлечь DN из

столбцов, данные в которых представлены в формате:

<число>;<dn>

Например, в столбце ProvisioningPolicy.Policymembership содержатся записи

вида:

<число>;<dn>

Чтобы извлечь DN из этой строки, нужно воспользоваться функцией getDN. Пример

подобного фильтра:

Organization Role.DN = getDN(ProvisioningPolicy.Policymembership)

Примеры отчетов

Ниже описаны некоторые механизмы разработки условий фильтра. Приводится

несколько примеров, иллюстрирующих процесс разработки фильтров. Эти примеры

также отражают некоторые взаимосвязи между разными столбцами

синхронизируемых таблиц.

Использование функций в отчетах

Функции можно использовать в сочетании с различными столбцами в схеме отчета.

По умолчанию, в реализацию включены следующие функции:

Upper Эта функция принимает один аргумент и преобразует аргумент в верхний

регистр.

Lower Эта функция принимает один аргумент и преобразует аргумент в нижний

регистр.

GetDN В первую очередь эта функция предназначена для извлечение DN из

столбцов, содержащих строку следующего формата:

<число>;<dn>

Например:

В столбце ProvisioningPolicy.Policymembership содержатся записи вида:

<число>;<dn>

Чтобы извлечь DN из этой строки, нужно воспользоваться функцией getDN. Пример

подобного фильтра:

Organization Role.DN = getDN(ProvisioningPolicy.Policymembership)


разработке отчетов

При разработке отчетов пользователь должен задать в дизайнере отчетов

соответствующие фильтры, чтобы при выполнении отчета получить нужные данные.

Вот несколько примеров:

Отчет об атрибутах учетных записей

(Все пользователи с учетными записями типа ITIMService)


Глава 9. Разработка условий фильтров пользовательских отчетов 91

v Столбцы отчета: Account.Userid, ITIM.ServiceName



v User1 с учетными записями ITIMService1 и ITIMService2

v User2 с учетной записью ITIMService3

В результате мы получим:

User1 ITIMService1

User1 ITIMService2

User1 ITIMService3

User2 ITIMService1

User2 ITIMService2

User2 ITIMService3

Это просто результат декартового представления двух таблиц.

Чтобы получить нужный набор результатов, нужно указать правильные условия

объединения (JOIN), задающие взаимосвязь между двумя этими таблицами.

Условием объединения (JOIN) в данном случае будет:

v Фильтры: Account.Service = ITIM.DN

В результате применения такого фильтра мы получим:

User1 ITIMService1

User1 ITIMService2

User2 ITIMService3

Отчет о ролях сотрудников в организации

(Сотрудники, связанные с той или иной ролью в организации).


v Столбцы отчета: Person.FullName, OrganizationRole.Name

v Фильтр: OrganizationRole.Name = ’_USERINPUT_’






Person1 Role1

Person2 Role1

Чтобы программа сгенерировала нужные результаты для этого отчета, нужны

следующие условия фильтра:


Person.OrganizationRoles = OrganizationRole.DN

AND OrganizationRole.Name = ’_USERINPUT_’



Person1 Role1

Указанное условие фильтра действует потому, что атрибут ″Роль в организации″ для

объекта ″Сотрудник″ содержит значение DN роли, к которой относится пользователь.

Также обратите внимание на то, что атрибут Роль в организации является атрибутом

с несколькими значениями, то есть, у сотрудника может быть несколько ролей в


Отчет об учетных записях сотрудников

(Учетные записи, связанные с сотрудниками в системе)


v Столбец отчета: Person.FullName, Account.AccountStatus


Этот отчет в качестве результата возвратит декартово произведение записей в

таблицах Сотрудник и Учетная запись.

Условие объединения (JOIN), которое задаст взаимосвязь между таблицами

Сотрудник и Учетная запись:

Account.owner = Person.DN

Глава 9. Разработка условий фильтров пользовательских отчетов 93

|

Часть 4. Справочник по файлам свойств

Глава 10. Конфигурирование системных

свойств . . . . . . . . . . . . . . . 97

Что такое файлы свойств . . . . . . . . . . 98

Параметры конфигурации, связанные с WebLogic . . 99

Параметры конфигурации, связанные с WebSphere 103

Информация о сервере приложений . . . . . . 107

Информация об арендаторе по умолчанию . . . . 109

Информация о сервере LDAP . . . . . . . . 110

Информация о кэше . . . . . . . . . . . 111

Информация для службы сообщений . . . . . . 112

Информация для планирования . . . . . . . 115

Параметры монитора транзакций паролей . . . . 116

Информация XML и DTD . . . . . . . . . 117

Информация о пуле соединений LDAP . . . . . 118

Информация о шифровании . . . . . . . . . 119

Программа конфигурирования системы . . . . . 120

Информация о конфигурации рабочих потоков . . 121

Конфигурация почтовых служб . . . . . . . 125

Информация о согласовании . . . . . . . . 126

Хэширование общего секретного пароля . . . . 128

Свойства двусторонней аутентификации SSL . . . 129

Конфигурация пользовательского интерфейса

управления требованиями . . . . . . . . . 130

Конфигурация требований приложения-клиента . . 131

Глава 11. Конфигурирование дополнительных

свойств . . . . . . . . . . . . . . . 133

Что такое файлы свойств . . . . . . . . . 134

adhocreporting.properties . . . . . . . . . . 135

crystal.properties . . . . . . . . . . . . . 138

DataBaseFunctions.conf . . . . . . . . . . 139

enRoleAuthentication.properties . . . . . . . . 140

Конфигурирование пользовательского механизма

аутентификации . . . . . . . . . . . 142

enRoleDatabase.properties . . . . . . . . . . 143

enRoleLDAPConnection.properties . . . . . . . 147

enRoleLogging.properties . . . . . . . . . . 150

enRoleMail.properties . . . . . . . . . . . 154

enrolepolicies.properties . . . . . . . . . . 156

enroleworkflow.properties . . . . . . . . . . 158

fesiextensions.properties . . . . . . . . . . 160

UI.properties . . . . . . . . . . . . . . 163

CustomLabels.properties . . . . . . . . . . 166

Дополнительные файлы свойств . . . . . . . 166


||

||||||

||

Глава 10. Конфигурирование системных свойств

В этой главе приводится подробная информация о ключах и значениях свойств,

содержащихся в системном файле конфигурации Tivoli Identity Manager,

enRole.properties.


v “Что такое файлы свойств” на стр. 98

Ссылки на файл enRole.properties по разделам:

v “Параметры конфигурации, связанные с WebLogic” на стр. 99

v “Параметры конфигурации, связанные с WebSphere” на стр. 103

v “Информация о сервере приложений” на стр. 107

v “Информация об арендаторе по умолчанию” на стр. 109

v “Информация о сервере LDAP” на стр. 110

v “Информация о кэше” на стр. 111

v “Информация для службы сообщений” на стр. 112

v “Информация для планирования” на стр. 115

v “Параметры монитора транзакций паролей” на стр. 116

v “Информация XML и DTD” на стр. 117

v “Информация о пуле соединений LDAP” на стр. 118

v “Информация о шифровании” на стр. 119

v “Программа конфигурирования системы” на стр. 120

v “Информация о конфигурации рабочих потоков” на стр. 121

v “Конфигурация почтовых служб” на стр. 125

v “Информация о согласовании” на стр. 126

v “Хэширование общего секретного пароля” на стр. 128

v “Свойства двусторонней аутентификации SSL” на стр. 129

v “Конфигурация пользовательского интерфейса управления требованиями” на стр.

130

v “Конфигурация требований приложения-клиента” на стр. 131


|

Что такое файлы свойств

Файлы свойств Java задают атрибуты, обеспечивающие возможности настройки и

контроля программных компонентов Java. Стандартные файлы системных свойств и

пользовательские файлы свойств позволяют сконфигурировать пользовательские

предпочтения и параметры настройки. В файлах свойств Java заданы значения

именованных ресурсов, которые определяют такие опции программ, как информация

для доступ к базам данных, параметры среды и специальные возможности и функции.

Файлы свойств задают именованные ресурсы в виде пар ключей и значений свойств:

имя_ключа_свойства = значение

имя_ключа_свойства - это идентификатор ресурса.значение - это имя реального

Java-объекта, содержащего этот ресурс.

В Tivoli Identity Manager используется ряд файлов свойств, которые управляют

функционированием программы и дают пользователям возможность настраивать

специальные функции.


Параметры конфигурации, связанные с WebLogic

Описанные ниже свойства позволяют сконфигурировать значения, связанные с

интеграцией Tivoli Identity Manager с сервером приложений WebLogic:

Имя фабрики контекста платформы

enrole.platform.contextFactory

Не изменяйте ключ и значение этого свойства.

Задает для платформенной фабрики контекста класс Java, который определяет точку

интеграции для Tivoli Identity Manager и сервера приложений WebLogic.

По умолчанию (вводится в виде одной строки):

enrole.platform.contextFactory = com.ibm.itim.apps.impl.weblogic.

WebLogicPlatformContextFactory


enrole.appServer.contextFactory


Задает класс Java, который определяет, какую фабрику JNDI нужно использовать в

сочетании с сервером приложений WebLogic.

По умолчанию:

enrole.appServer.contextFactory = weblogic.jndi.WLInitialContextFactory

enrole.appServer.url.redirect


Задает URL, необходимый для прямой отправки требований на сервер Tivoli Identity

Manager.

Пример (по умолчанию):

enrole.appServer.url.redirect = /enrole

enrole.appServer.url

Ключ и значение этого свойства может изменять только квалифицированный

администратор.

Задает местонахождение службы именования сервера приложений. Это значение

определяется во время установки Tivoli Identity Manager.

Пример:

enrole.appServer.url = t3://localhost

enrole.appServer.pwdKey

НЕ ИСПОЛЬЗУЕТСЯ.

enrole.appServer.systemUser

Глава 10. Конфигурирование системных свойств 99


администратор. Изменяйте его только при помощи утилиты runConfig.

Задает имя администратора WebLogic. В среде WebLogic это значение является

обязательным, и это свойство всегда должно быть включено. Это значение

используется для запуска, остановки и конфигурирования сервера Tivoli Identity

Manager. Это значение также используется подпрограммами установки и

конфигурирования Tivoli Identity Manager для прохождения аутентификации на сервере

WebLogic.

Пример:

enrole.appServer.systemUser = system

enrole.appServer.systemUser.credentials



Задает пароль для пользователя systemUser.

Пример:

enrole.appServer.systemUser.credentials = enrole

enrole.appServer.ejbuser.principal



Задает имя, которое Tivoli Identity Manager использует для аутентификации при вызове

компонентов Java bean.

Пример:

enrole.appServer.ejbuser.principal = rasweb

enrole.appServer.ejbuser.credentials



Задает пароль для пользователя ejbuser.

Шифрование этого значения определяется значением свойства

enrole.password.appServer.encrypted в файле enrole.properties.

Пример:

enrole.appServer.ejbuser.credentials = password

enrole.appServer.usertransaction.jndiname


Задает имя JNDI объекта пользовательской транзакции JTA (Java Transaction API).


enrole.appServer.usertransaction.jndiname = javax.transaction.

UserTransaction

enrole.appServer.name.java.option


Оно задает опции JVM при запуске сервера WebLogic.


enrole.appServer.name.java.option = weblogic.Name


||||||

Разделитель путей сервлета сервера приложения

enrole.servlet.path.separator


Задает символ-разделитель, который следует использовать в именах путей к нужным

ресурсам.

По умолчанию (WebLogic):

enrole.servlet.path.separator = /

Служба сообщений

enrole.messaging.JMSServerUrl



Задает местонахождение службы именования, содержащей службу сообщений Java

(Java Messaging Service - JMS).

В случае WebSphere, это значение совпадает со значением enrole.appServer.url.

Пример:

enrole.messaging.JMSServerUrl = t3://localhost

enrole.messaging.sessionPoolFactory


enrole.messaging.weblogic.sessionPoolFactory


Помощник регистрации

enrole.appServer.loginHelper.class


Регистрационное имя системы уведомлений о событиях

SystemLoginContextFactory


Задает класс фабрики Java для регистрации системы уведомлений о событиях, который

подходит для WebLogic.


SystemLoginContextFactory =

com.ibm.itim.remoteservices.provider.itim.

weblogic.WLSystemLoginContextFactory

Атрибуты очередей сообщений


v MAX_THREADS

Задает максимальное число потоков приема для данной очереди. Если этот атрибут

не задан, значение, используемое по умолчанию, определяется значением

enrole.messaging.defaultMaxThreads. Если этот атрибут задан, его значение не

должно превышать значение enrole.messaging.defaultMaxThreads.

v MIN_THREADS

Задает минимальное число потоков приема для данной очереди. Если этот атрибут

не задан, используется значение по умолчанию, равное 10. Если этот атрибут задан,

его значение не должно быть ниже значения enrole.messaging.minThreads.

v OVERCAPACITY_WAIT_TIME

Время ожидания перед приемом нового сообщения, когда система перегружена

(обработка сообщений откладывается). Значение по умолчанию - 60 секунд. Этот

атрибут применим только при использовании workflowPendingQueue.

v PRIORITY

Приоритет потоков. Информацию о том, как выбрать подходящие значения (1 – 5),

смотрите в документации по JVM. Значение по умолчанию - 1. Рекомендуется задать

для всех очередей одно и то же значение.

v RECEIVE_TIMEOUT

Время (в сек.), в течение которого нужно ждать от сервера JMS ответа о том, что он

может принять сообщение. Значение по умолчанию - 60 секунд.

v WAIT_TIME

Время ожидания (в сек.) перед обработкой нового сообщения из очереди. Если

значение равно 0, обработка нового сообщения производится без ожидания.

Значение по умолчанию - 0 секунд.

v TRANSACTED

True – поддерживать пользовательские транзакции

False – не поддерживать пользовательские транзакции

Примеры:

enrole.messaging.adhocSyncQueue.attributes = TRANSACTED=true

RECEIVE_TIMEOUT=1 MAX_THREADS=5 MIN_THREADS=1

enrole.messaging.workflowQueue.attributes = TRANSACTED=true


enrole.messaging.workflowPendingQueue.attributes = TRANSACTED=true

RECEIVE_TIMEOUT=1 WAIT_TIME=0 OVERCAPACITY_WAIT_TIME=10 MAX_THREADS=5

MIN_THREADS=2

enrole.messaging.workflowAbortQueue.attributes = TRANSACTED=true

RECEIVE_TIMEOUT=1 WAIT_TIME=0 MAX_THREADS=5 MIN_THREADS=1

enrole.messaging.remoteServicesQueue.attributes = TRANSACTED=false


enrole.messaging.mailServicesQueue.attributes = TRANSACTED=false



|||||||||||||

Параметры конфигурации, связанные с WebSphere


интеграцией Tivoli Identity Manager с сервером приложений WebSphere Application

Server:

Имя фабрики контекста платформы

enrole.platform.contextFactory


Задает для платформенной фабрики контекста класс Java, который определяет точку

интеграции для Tivoli Identity Manager и WebSphere Application Server.


enrole.platform.contextFactory = com.ibm.itim.apps.impl.websphere.

WebSpherePlatformContextFactory


enrole.appServer.contextFactory


Задает класс Java, который определяет, какую фабрику JNDI нужно использовать в

сочетании с сервером WebSphere Application Server.


enrole.appServer.contextFactory = com.ibm.websphere.naming.

WsnInitialContextFactory

enrole.appServer.url



Задает местонахождение службы именования сервера приложений. Это значение

определяется во время установки Tivoli Identity Manager.

Пример:

enrole.appServer.url = iiop://localhost:2809

enrole.appServer.usertransaction.jndiname


Задает имя JNDI объекта пользовательской транзакции JTA (Java Transaction API).


enrole.appServer.usertransaction.jndiname = jta/usertransaction

enrole.appServer.systemUser




Задает имя администратора WebSphere, когда включена защита. В среде WebSphere это

значение является обязательным, только когда включена глобальная защита. Если

защита не включена, это значение не устанавливается.

Это значение используется для запуска, остановки и конфигурирования сервера Tivoli

Identity Manager. Это значение также используется подпрограммами установки и

конфигурирования Tivoli Identity Manager для прохождения аутентификации на сервере

WebSphere.

Пример:

enrole.appServer.systemUser = system

enrole.appServer.systemUser.credentials



Задает пароль для пользователя systemUser.

Пример:

enrole.appServer.systemUser.credentials = enrole

enrole.appServer.ejbuser.principal



Задает имя, которое Tivoli Identity Manager использует для аутентификации при вызове

компонентов Java bean.

Пример:

enrole.appServer.ejbuser.principal = rasweb

enrole.appServer.ejbuser.credentials



Задает пароль для пользователя ejbuser.


enrole.password.appServer.encrypted в файле enrole.properties.

Пример:

enrole.appServer.ejbuser.credentials = password

Разделитель путей сервлета сервера приложения

enrole.servlet.path.separator


Задает символ-разделитель, который следует использовать в именах путей к нужным

ресурсам.

По умолчанию (WebSphere):

enrole.servlet.path.separator = .

Служба сообщений

enrole.messaging.JMSServerUrl


|||

||||



Задает местонахождение службы именования, содержащей службу сообщений Java

(Java Messaging Service - JMS).

В случае WebSphere, это значение совпадает со значением enrole.appServer.url.

Пример:

enrole.messaging.JMSServerUrl = iiop://localhost:2809

Помощник регистрации

enrole.appServer.loginHelper.class


Задает класс Java для записи каждого потока в журнал J2EE Security.


enrole.appServer.loginHelper.class = com.ibm.itim.util.was.WAS40LoginHelper

URL слоя рабочего потока

enrole.wfcluster.url


Это свойство применимо только к WebSphere.

Задает уровень рабочего потока, на котором можно производить поиск компонентов

beans. Это значение следует указывать только на компьютерах уровня приложений в

функциональном кластере. Во всех прочих случаях следует оставлять значение по

умолчанию.


enrole.wfcluster.url = iiop://localhost:2809/cell/clusters/WFCluster

Регистрационное имя системы уведомлений о событиях

SystemLoginContextFactory


Задает класс фабрики Java для регистрации системы уведомлений о событиях, который

подходит для WebSphere.


SystemLoginContextFactory =

com.ibm.itim.remoteservices.provider.itim.

websphere.WSSystemLogonContextFactory

Атрибуты очередей сообщений


v MAX_THREADS

Задает максимальное число потоков приема для данной очереди. Если этот атрибут

не задан, значение, используемое по умолчанию, определяется значением

enrole.messaging.defaultMaxThreads. Если этот атрибут задан, его значение не

должно превышать значение enrole.messaging.defaultMaxThreads.

v MIN_THREADS

Задает минимальное число потоков приема для данной очереди. Если этот атрибут

не задан, используется значение по умолчанию, равное 10. Если этот атрибут задан,

его значение не должно быть ниже значения enrole.messaging.minThreads.

v OVERCAPACITY_WAIT_TIME

Время ожидания перед приемом нового сообщения, когда система перегружена

(обработка сообщений откладывается). Значение по умолчанию - 60 секунд. Этот

атрибут применим только при использовании workflowPendingQueue.

v PRIORITY

Приоритет потоков. Информацию о том, как выбрать подходящие значения (1 – 5),

смотрите в документации по JVM. Значение по умолчанию - 1. Рекомендуется задать

для всех очередей одно и то же значение.

v RECEIVE_TIMEOUT

Время (в сек.), в течение которого нужно ждать от сервера JMS ответа о том, что он

может принять сообщение. Значение по умолчанию - 60 секунд.

v WAIT_TIME

Время ожидания (в сек.) перед обработкой нового сообщения из очереди. Если

значение равно 0, обработка нового сообщения производится без ожидания.

Значение по умолчанию - 0 секунд.

v TRANSACTED

True – поддерживать пользовательские транзакции

False – не поддерживать пользовательские транзакции

Примеры:

enrole.messaging.adhocSyncQueue.attributes = TRANSACTED=true


enrole.messaging.workflowQueue.attributes = TRANSACTED=true


enrole.messaging.workflowPendingQueue.attributes = TRANSACTED=true

RECEIVE_TIMEOUT=60 WAIT_TIME=0 OVERCAPACITY_WAIT_TIME=10 MAX_THREADS=5

MIN_THREADS=2

enrole.messaging.workflowAbortQueue.attributes = TRANSACTED=true


enrole.messaging.remoteServicesQueue.attributes = TRANSACTED=false


enrole.messaging.mailServicesQueue.attributes = TRANSACTED=false



|||||||||||||

Информация о сервере приложений


сервером приложений (например, WebSphere или WebLogic), который используется в

сочетании с Tivoli Identity Manager.

Выбранная пользователем локаль

locale

Задает параметр локали (языка) для среды Tivoli Identity Manager.

Пример (русский язык):

locale = ru

Имя фабрики контекста

enrole.appServer.name

Задает уникальное имя сервера приложений.

В кластеризованной среде важно, чтобы это имя было уникальным для каждого члена

в кластере.


enrole.appServer.name = myserver

enrole.appServer.config.latency

НЕ ИСПОЛЬЗУЕТСЯ

enrole.password.database.encrypted

Для изменения этого свойства используйте утилиту runConfig.

Указывает, шифруется ли пароль для соединения с базой данных (заданный свойством

database.db.password в файле enroleDatbase.properties). Допустимые значения:

v true – шифруется

v false – не шифруется


enrole.password.database.encrypted = false

enrole.password.ldap.encrypted


Указывает, шифруется ли пароль LDAP (заданный свойством

java.naming.security.credentials в файле enRoleLDAPConnection.properties).





enrole.password.ldap.encrypted = false

enrole.password.appServer.encrypted


|

|

|

|

|


Указывает, шифруется ли пароль для доступа к серверу приложений (заданный

свойством enrole.appServer.ejbuser.credentials в файле enrole.properties).





enrole.password.appServer.encrypted = false


Информация об арендаторе по умолчанию

Описанные ниже свойства позволяют сконфигурировать полное имя организации,

используемое сервером каталога.

enrole.defaulttenant.id


Задает краткий формат имени организации, которое используется сервером каталога.

Это значение указывается во время установки Tivoli Identity Manager.


enrole.defaulttenant.id = Tivoli

В LDAP это значение выражается следующим образом:

ou = Tivoli

enrole.organization.name


Задает полный формат имени организации, которое используется сервером каталога.



enrole.organization.name = Tivoli


Информация о сервере LDAP

Описанные ниже свойства позволяют сконфигурировать значение, используемые

сервером каталога Tivoli Identity Manager.

enrole.ldapserver.root

Задает стартовый узел домена верхнего уровня для структуры данных сервера каталога

(dc = domain control, управление доменом).


Для изменения этого значения используйте утилиту runConfig.


enrole.ldapserver.root = dc=com

enrole.ldapserver.home


Задает местонахождение информации о конфигурации системы на сервере каталога



enrole.ldapserver.home = ou=itim

enrole.ldapserver.agelimit

Задает срок в днях, в течение которого объект должен оставаться в системной корзине,

прежде чем его можно будет удалить при помощи запускаемых вручную сценариев

очистки. Предельный срок нахождения в корзине защищает объекты, помещенные в

корзину, от удаления сценариями очистки до истечения заданного промежутка

времени.

Сценарии очистки могут удалять только объекты, срок хранения которых превышает

заданный предельный срок хранения. Например, если предельный срок хранения

составляет 62 дня (это значение по умолчанию), удалить при помощи запускаемых

вручную сценариев очистки можно будет только объекты, возраст которых превышает

62 дня (которые находились в корзине более 62 дней).


администратор. Для изменения этого значения используйте утилиту runConfig.


enrole.ldapserver.agelimit = 62

enrole.ldapserver.ditlayout


Задает класс Java, который определяет структуру данных, хранящихся на сервере

каталога.

По умолчанию – плоская структура:

enrole.ldapserver.ditlayout = com.ibm.itim.dataservices.dit.itim.

FlatHashedLayout

enrole.ldap.provider



Информация о кэше

Описанные ниже свойства позволяют сконфигурировать значения параметров,

влияющих на производительность системного кэша.

enrole.profile.timeout

Ключ и значение этого свойства влияют на настройку производительности Tivoli

Identity Manager, и изменять их может только квалифицированный администратор.

Задает тайм-аут для информации, содержащейся в кэше в разделе профилей.

Информация, срок пребывания которой в кэше превысит этот тайм-аут, удаляется из

кэша.

Это значение выражается в минутах.


enrole.profile.timeout = 10

enrole.schema.timeout



Задает тайм-аут для информации, содержащейся в кэше в разделе схем. Информация,

срок пребывания которой в кэше превысит этот тайм-аут, удаляется из кэша.



enrole.schema.timeout = 10


Информация для службы сообщений

Описанные ниже свойства позволяют сконфигурировать внутренние взаимодействия

между компонентами Java Message Service (JMS), используемыми продуктом Tivoli

Identity Manager. Очень важно задать значения этих свойств, так чтобы обеспечить

надлежащую настройку производительности и масштабируемости продукта Tivoli

Identity Manager. Значения свойств, описанных в данном разделе, должен изменять

только квалифицированный администратор.

Конфигурация фабрики соединений

enrole.messaging.queueConnectionFactory


Это свойства задает имя фабрики соединений для соединений с очередями Java Naming

and Directory Interface (JNDI).

Значение этого свойства является встроенным, и его нельзя ни изменять, ни удалять.

Это значение является критически важным для успешного конфигурирования

соединения с соответствующей очередью сервера приложений.


enrole.messaging.queueConnectionFactory = enrole.jms.QueueConnectionFactory

Глобальные параметры конфигурации потоков приема

enrole.messaging.defaultMaxThreads



Задает максимально допустимое число потоков приема, сохраняемых по умолчанию в

пуле соединений для каждой очереди JMS.

Это значение по умолчанию используется, если для очереди на задан атрибут

MAX_THREADS (смотрите раздел Конфигурирование очередей сообщений).


enrole.messaging.defaultMaxThreads = 10

enrole.messaging.minThreads



Задает минимально допустимое число потоков приема для каждой очереди JMS.

Фактическое число потоков приема не должно быть ниже этого порогового значения.

Это глобальное значение можно переопределить для отдельных очередей при помощи

атрибута MIN_THREADS (в настоящее время для него в коде записано значение 10).


enrole.messaging.minThreads = 1

enrole.messaging.maxThreads




Задает максимально допустимое число потоков приема для каждой очереди JMS.

Фактическое число потоков приема не должно быть выше этого порогового значения.

Это глобальное значение задает предельно допустимое значение для атрибута очередей

MAX_THREADS.


enrole.messaging.maxThreads = 500

Конфигурация тайм-аута сообщений

enrole.messaging.ttl

Ключ и значение этого свойства влияют на настройку производительности JMS, и

изменять их может только квалифицированный администратор.

Задает срок существования сообщения в очереди (в минутах).


enrole.messaging.ttl = 1440

enrole.messaging.timeout

Ключ и значение этого свойства влияют на настройку производительности JMS, и

изменять их может только квалифицированный администратор.

Это свойство задает тайм-аут пользовательской транзакции для обработки сообщений

(в секундах). Рекомендуемое значение по умолчанию - 360 секунд.

Это значение является критически важным для производительности системы, и его

следует изменять только после тщательного анализа работы отдельной установки.

При низком значении этого свойства в загруженной системе будут возникать

тайм-ауты обработки сообщений. Слишком высокое значение может привести к том,

что один долгий процесс заблокирует всю систему.

Пример (рекомендуемое исходное значение):

enrole.messaging.timeout = 360

Управление обработкой сообщений

enrole.messaging.threshold



Задает процентный уровень одновременной обработки сообщений (нагрузки по

обработке сообщений).

При значении меньше 100% используется алгоритм ″первое сообщение обрабатывается

первым″. Пр значении больше 100% все сообщения принимаются для обработки, но

это может привести к чрезмерной нагрузке на систему.

Пример (процент по умолчанию):

enrole.messaging.threshold = 60

Инициализация системы сообщений

enrole.messaging.QueueLookupRetryCount




Задает для Tivoli Identity Manager число попыток установления соединения с

серверными очередями приложений.


enrole.messaging.QueueLookupRetryCount = 5

enrole.messaging.QueueLookupInterval



Задает интервал (в секундах) между попытками соединения с очередью.


enrole.messaging.QueueLookupInterval = 60

Конфигурация очередей сообщений

enrole.messaging.managers= \

enrole.messaging.adhocSyncQueue \

enrole.messaging.workflowQueue \

enrole.messaging.workflowPendingQueue \

enrole.messaging.remoteServicesQueue \

enrole.messaging.mailServicesQueue

enrole.messaging.workflowAbortQueue

Не изменяйте ключи и значения этих свойств.

Задает имена ключей поддерживаемых очередей Tivoli Identity Manager.

enrole.messaging.adhocSyncQueue=adhocSyncQueue

enrole.messaging.workflowQueue=workflowQueue

enrole.messaging.workflowPendingQueue=workflowPendingQueue

enrole.messaging.remoteServicesQueue=remoteServicesQueue

enrole.messaging.mailServicesQueue=mailServicesQueue

enrole.messaging.workflowAbortQueue=workflowAbortQueue


Задает фактическое имя очереди, на которое ссылается сервер приложений.


|||||||

||||||

Информация для планирования

Описанные ниже свойства позволяют сконфигурировать внутренний планировщик,

отвечающий за выполнение запланированных событий на основе календарного

расписания. События и соответствующие им запланированные задания хранятся в

таблице базы данных.

enrole.scheduling.heartbeat



Задает, как часто монитором событий должен проверять наличие запланированных

событий в таблице базы данных.

Это значение выражается в секундах.


enrole.scheduling.heartbeat = 60

enrole.scheduling.timeout



Задает значение тайм-аута для процессора событий.



enrole.scheduling.timeout = 10

enrole.scheduling.fetchsize



Задает число сообщений, которое можно получить за один раз при работе в пакетном

режиме.


enrole.scheduling.fetchsize = 50


Параметры монитора транзакций паролей

Описанное ниже свойство представляет собой параметр конфигурации для монитора

транзакций паролей.

При изменении или автоматическом генерировании пароля для пользователя этому

пользователю отправляется уведомление по электронной почте. В этом электронном

сообщении содержится реальный пароль или ссылка, при помощи которой

пользователь сможет получить новый пароль. Такая операция называется

транзакцией пароля. Пользователь должен ответить на электронное сообщение и

получить новый пароль до истечения заданного времени. Если пользователь не

ответит в течение заданного времени, срок действия транзакция пароля истечет.

Монитор транзакций паролей отвечает за проверку ответов на транзакции паролей и

контролирует срок действия тех транзакций, в которых пользователь не

прореагировал на электронное уведомление.

enrole.passwordtransactionmonitor.heartbeat

Указывает, как часто монитор транзакций паролей должен проверять наличие

истекших транзакций паролей.

Это значение выражается в часах.


enrole.passwordtransactionmonitor.heartbeat = 1


Информация XML и DTD

Этот раздел больше не используется.

enrole.dtd.uri



Информация о пуле соединений LDAP

Описанные ниже свойства позволяют сконфигурировать значения, которые влияют

на требования об установления соединений с кэшем, адресованные серверу каталога


enrole.connectionpool.maxpoolsize



Задает максимальное число физических соединений LDAP, которое можно создать.


enrole.connectionpool.maxpoolsize = 100

enrole.connectionpool.initialpoolsize



Задает исходное число физических соединений LDAP, необходимое для создания пула

соединений LDAP. Это значение должно быть меньше или равно значению maxpoolsize.


enrole.connectionpool.initialpoolsize = 50

enrole.connectionpool.incrementcount



Задает число соединений, создаваемых при каждом расширении (приращении) пула

соединений LDAP для удовлетворения возросшего спроса.


enrole.connectionpool.incrementcount = 3


Информация о шифровании

Описанные ниже свойства позволяют сконфигурировать значения параметров,

влияющих на шифрование паролей.

enrole.encryption.algorithm


Задает набор криптографических алгоритмов для шифрования.


enrole.encryption.algorithm = PBE/SHA1/RC2/CBC/PKCS12PBE-5-128

enrole.encryption.password


Задает пароль, используемый в качестве входного параметра для PBE (Password-Based

Encryption), способа шифрования и расшифровывания данных с применением

секретного ключа на основе введенного пользователем пароля.



enrole.encryption.password = sunshine

enrole.encryption.passwordDigest


Задает тип разложения, используемый для пароля Tivoli Identity Manager. Возможные

значения: ″SHA″ и ″MD5″

v SHA – Алгоритм Secure Hash Algorithm в соответствии со стандартом Secure Hash

Standard, NIST FIPS 180-1

v MD5 – Алгоритм разложения сообщений MD5, определенный в документе RFC 1321.


enrole.encryption.passwordDigest = MD5


|||

Программа конфигурирования системы

Описанные ниже свойства позволяют сконфигурировать параметры порта приема

для системы Tivoli Identity Manager.

enrole.system.listenPort


Задает номер порта приема TCP (для незащищенного обмена информацией).



enrole.system.listenPort = 80

enrole.system.SSLlistenPort


Задает номер порта приема SSL (для защищенного обмена информацией).



enrole.system.SSLlistenPort = 443


Информация о конфигурации рабочих потоков

Описанные ниже свойства позволяют сконфигурировать ядро механизма рабочих

потоков Tivoli Identity Manager.

Конфигурация рабочего потока

enrole.workflow.processcache



Позволяет включить или отключить кэширование для внутренних процессов.

В средах с одним сервером можно задать значение ″true″; в кластеризованных средах

это значение всегда равно ″false″.

Кэширование при внедрении в кластеризованных средах не поддерживается. При

установке в кластеризованной конфигурации этому свойства автоматически

присваивается значение ″false″ (выключено).

Пример (по умолчанию для среды с одним сервером):

enrole.workflow.processcache = true

enrole.workflow.notifyoption



Задает опции уведомлений о завершении процессов.

Значение, равное 1, означает, что реквестер получит уведомление по завершении

рабочего потока. Значение, равное 0, означает, что реквестер не получит уведомления.


enrole.workflow.notifyoption = 1

enrole.workflow.notifypassword



Задает тип электронного уведомления для транзакции пароля (осуществляемой при

изменении или автоматическом генерировании пароля пользователя).

v true – - Пользователю можно отправить уведомление об изменении пароля по

электронной почте. Фактически используемый механизм уведомлений, а также то,

будет ли включен в электронное сообщение сам пароль, определяется значением

свойства enrole.workflow.notification.newpassword в файле конфигурации

enrole.properties.

v false – - Пользователю отправляется уведомление об изменении пароля по

электронной почте. В электронном сообщении будет указан URL, по которому

пользователь сможет получить пароль. На странице с этим URL пользователя

попросят ввести общий секретный пароль.


enrole.workflow.notifypassword = true

enrole.workflow.maxasyncactivitycreate


enrole.workflow.maxretry


||

|||||

||||



Задает число попыток повторного вызова приложения рабочего потока, которое

первоначально завершилось неудачно. Смотрите также: enrole.workflow.retrydelay.


enrole.workflow.maxretry = 2

enrole.workflow.retrydelay



Задает интервал между последовательными повторными попытками запуска

приложения рабочего потока, которое первоначально запустить не удалось. Смотрите

также: enrole.workflow.maxretry.

Это значение выражается в миллисекундах.


enrole.workflow.retrydelay = 60000

enrole.workflow.skipapprovalforrequester



В случае действия рабочего потока, для которого требуется утверждение, это свойство

указывает, нужно ли пропустить процедуру утверждения другими утверждающими,

если реквестер также является утверждающим. Кроме того, программа разработана

так, чтобы пропускать утверждение реквестера.

Значение ″true″ указывает, что нужно пропустить процедуру утверждения другими

утверждающими, если реквестер сам является одним из утверждающих.

Значение ″false″ указывает, что нужно применить проверку утверждения для всех

остальных лиц, ответственных за утверждение данного действия, кроме реквестера

(если реквестер также является утверждающим).


enrole.workflow.skipapprovalforrequester = false

enrole.workflow.skipfornoncompliantaccount



Указывает, нужно ли задействовать рабочий поток полномочий, связанный с учетной

записью, когда в результате действия по применению политики инициируется

изменение системной учетной записи.

Значение ″true″ указывает, что это действие следует пропустить.

Значение ″false″ указывает, что это действие не следует пропускать.


enrole.workflow.skipfornoncompliantaccount = true


Конфигурация уведомлений рабочего потока

Этот раздел позволяет добавить файлы пользовательских классов Java, обеспечивающие

настройку реализации типов уведомлений рабочего потока.

Информацию о том, как настроить уведомления, смотрите в следующем документе:

<каталог_установки>\extensions\doc\mail\mail.html

enrole.workflow.notification.activitytimeout



Задает класс Java по умолчанию, который генерирует уведомление о тайм-ауте

действия рабочего потока.

Пример (встроенное значение по умолчанию) (вводится в виде одной строки):

enrole.workflow.notification.activitytimeout = com.ibm.itim.workflow.

notification.ActivityTimeoutNotification

enrole.workflow.notification.processtimeout



Задает класс Java по умолчанию, который генерирует уведомление о тайм-ауте

процесса рабочего потока.


enrole.workflow.notification.processtimeout = com.ibm.itim.workflow.

notification.ProcessTimeoutNotification

enrole.workflow.notification.processcomplete



Задает класс Java по умолчанию, который генерирует уведомление о завершении

процесса рабочего потока.


enrole.workflow.notification.processcomplete = com.ibm.itim.workflow.

notification.ProcessCompleteNotification

enrole.workflow.notification.pendingwork



Задает класс Java по умолчанию, который генерирует уведомление об отложенном

задании рабочего потока.


enrole.workflow.notification.pendingwork = com.ibm.itim.workflow.

notification.PendingWorkNotification

enrole.workflow.notification.newaccount



Задает класс Java по умолчанию, который генерирует уведомление о новой учетной

записи в рабочем потоке.


enrole.workflow.notification.newaccount = com.ibm.itim.workflow.

notification.NewAccountNotification


enrole.workflow.notification.newpassword



Задает класс Java по умолчанию, который генерирует электронное уведомление для

пользователя, когда изменяется пароль этого пользователя. Это свойство

активируется, когда:

enrole.workflow.notifypassword = true

В рабочем потоке предусмотрены следующие три сценария изменения пароля:

v Пользователь изменяет пароль для учетной записи

v Администратор применяет изменение пароля для учетной записи

v Пользователь успешно идентифицирован функцией Вопрос/Ответ при забытом

пароле, и функция Вопрос/Ответ конфигурируется для отправки пароля по

электронной почте.

Допустимые классы:

v NewPasswordNotification

Пользователю отправляется электронное уведомление, содержащее пароль (в виде

ASCII-текста) (по умолчанию).

v EmptyNotificationFactory

Указывает, что нужно подавить отправку уведомлений по электронной почте.

v PasswordChangeNotificationFactory

Пользователю отправляется электронное уведомление, в котором нет пароля. Текст

сообщения гласит: ″Процесс завершен″.


enrole.workflow.notification.newpassword = com.ibm.itim.workflow.

notification.NewPasswordNotification

enrole.workflow.notification.deprovision



Задает класс Java по умолчанию, который генерирует уведомление об отмене

предоставления доступа в рабочем потоке.


enrole.workflow.notification.deprovision = com.ibm.itim.workflow.

notification.DeprovisionNotification

enrole.workflow.notification.workorder



Задает класс Java по умолчанию, который генерирует уведомление о рабочем

распоряжении рабочего потока.


enrole.workflow.notification.workorder = com.ibm.itim.workflow.

notification.WorkOrderNotification


|||

|

|

|

|

|||

|

|

||

|

|

|

||

Конфигурация почтовых служб

Описанное ниже свойство представляет собой параметр конфигурации внутренних

почтовых уведомлений.

enrole.mail.notify

Задает режим отправки внутренних сообщений рабочего потока по электронной почте:

синхронный или асинхронный.

Допустимые значения: ″SYNC″ и ″ASYNC″. ″SYNC″ означает ″синхронный″, а

″ASYNC″ - ″асинхронный″.


enrole.mail.notify = ASYNC


Информация о согласовании

Описанные ниже свойства используются для конфигурирования значений, влияющих

на процесс согласования, при котором данные, полученные с агентов,

синхронизируются с базой данных Tivoli Identity Manager.

Конфигурация согласования

enrole.reconciliation.accountcachesize



Оно задает максимальный размер кэша существующих учетных записей (число

учетных записей), используемого в процессе согласования.


enrole.reconciliation.accountcachesize = 2000

enrole.reconciliation.threadcount



Оно задает число потоков, используемых для обработки согласовываемых записей.

Это число потоков будет создаваться для каждого процесса согласования.


enrole.reconciliation.threadcount = 8

События незапрошенных уведомлений

account.EventProcessorFactory


Задает встроенный класс Java для фабрики процессора событий учетных записей.


account.EventProcessorFactory = com.ibm.itim.remoteservices.ejb.

reconciliation.AccountEventProcessorFactory

person.EventProcessorFactory


Задает встроенный класс Java для фабрики процессора событий сотрудников.


person.EventProcessorFactory = com.ibm.itim.remoteservices.ejb.

reconciliation.PersonEventProcessorFactory

Обработка согласования

account.ReconEntryHandlerFactory


Задает встроенный класс Java для фабрики обработчика данных об учетных записей.


account.ReconEntryHandlerFactory = com.ibm.itim.remoteservices.ejb.

mediation.AccountEntryHandlerFactory

person.ReconEntryHandlerFactory



Задает встроенный класс Java для фабрики обработчика записей о сотрудниках.


person.ReconEntryHandlerFactory = com.ibm.itim.remoteservices.ejb.

mediation.PersonEntryHandlerFactory


Хэширование общего секретного пароля

Описанное ниже свойство позволяет сконфигурировать уровень защиты общего

секретного пароля.

В контексте управления личной информацией общий секретный пароль представляет

собой код, воспользовавшись которым, владелец учетной записи сможет получить

пароль для новой учетной записи. Общий секретный пароль является обязательным,

если система сервера Tivoli Identity Manager генерирует исходные пароли для новых

учетных записей.

enrole.sharedsecret.hashed



Указывает, производится ли хэширование общего секретного пароля, или нет

(защищенный или незащищенный режим).


v true – Общий секретный пароль сохраняется в хэшированном виде

v false – Общий секретный пароль сохраняется в нехэшированном виде


enrole.sharedsecret.hashed = false


Свойства двусторонней аутентификации SSL

Эти свойства больше не действуют и не используются.

com.ibm.daml.jndi.DAMLContext.CLIENT_CERT


com.ibm.daml.jndi.DAMLContext.CLIENT_CERT_KEY


com.ibm.daml.jndi.DAMLContext.CLIENT_CERT_KEY_PASSPHASE



Конфигурация пользовательского интерфейса управления

требованиями

Описанное ниже свойство задает объем информации о результатах, выводимой на

экран при неудачном выполнении требования.

webclient.request.maxResultDetailLines

Это свойство используется функцией управления требованиями в графическом

пользовательском интерфейсе Tivoli Identity Manager для вывода информации об

ошибках, записываемых в журнал аудита, когда не удается выполнить требование. Это

значение указывает, сколько строк будет занимать раздел ″Сведения о результатах″ в

журнале аудита со сведениями о требованиях.

Домой > Выполненные требования > Сведения о требованиях > Журнал аудита >

Сведения о требованиях > Сведения о результатах


webclient.request.maxResultDetailLines = 20


Конфигурация требований приложения-клиента

Описанное ниже свойство позволяет сконфигурировать срок действия (или

тайм-аута) маркера аутентификации, используемого API приложений Tivoli Identity

Manager для того, чтобы разрешить приложениям независимых производителей

взаимодействовать с сервером Tivoli Identity Manager.

authTokenTimeout

Это свойство задает в интерфейсе прикладного программирования (API) приложения

Tivoli Identity Manager срок действия (или тайм-аут) (в часах) маркера аутентификации,

используемого при взаимодействии между приложениями независимых

производителей и сервером Tivoli Identity Manager.

Значение, равное -1, означает, что у маркера аутентификации нет тайм-аута.


authTokenTimeout = 48


|

||||

||

|||||

|

|

|||

Глава 11. Конфигурирование дополнительных свойств

В этой главе приводится подробная информация о ключах и значениях свойств,

содержащихся в дополнительных файлах конфигурации Tivoli Identity Manager.


v “Что такое файлы свойств” на стр. 134

Ссылки на файлы свойств:

v “adhocreporting.properties” на стр. 135

v “crystal.properties” на стр. 138

v “DataBaseFunctions.conf” на стр. 139

v “enRoleAuthentication.properties” на стр. 140

v “enRoleDatabase.properties” на стр. 143

v “enRoleLDAPConnection.properties” на стр. 147

v “enRoleLogging.properties” на стр. 150

v “enRoleMail.properties” на стр. 154

v “enrolepolicies.properties” на стр. 156

v “enroleworkflow.properties” на стр. 158

v “fesiextensions.properties” на стр. 160

v “UI.properties” на стр. 163

v “CustomLabels.properties” на стр. 166

v “Дополнительные файлы свойств” на стр. 166


Что такое файлы свойств

Файлы свойств Java задают атрибуты, обеспечивающие возможности настройки и

контроля программных компонентов Java. Стандартные файлы системных свойств и

пользовательские файлы свойств позволяют сконфигурировать пользовательские

предпочтения и параметры настройки. В файлах свойств Java заданы значения

именованных ресурсов, которые определяют такие опции программ, как информация

для доступ к базам данных, параметры среды и специальные возможности и функции.

Файлы свойств задают именованные ресурсы в виде пар ключей и значений свойств:


имя_ключа_свойства - это идентификатор ресурса.значение - это имя реального

Java-объекта, содержащего этот ресурс.

В Tivoli Identity Manager используется ряд файлов свойств, которые управляют

функционированием программы и дают пользователям возможность настраивать

специальные функции.


adhocreporting.properties

Файл adhocreporting.properties обеспечивает поддержку пользовательского

модуля создания отчетов. Этот файл содержит следующее:

v Свойства конфигурации для пользовательских отчетов

v Атрибуты выводимых на экран меток для глобализации графического

пользовательского интерфейса Tivoli Identity Manager

Смотрите информацию о конфигурировании пользовательских отчетов в главе

″Отчеты″ публикации IBM Tivoli Identity Manager Policy and Organization Administration

Guide.

Свойства конфигурации для создания пользовательских отчетов описаны в

следующей таблице:

Генерирование отчетов

reportPageSize

Это свойство задает число строк, появляющихся на каждой странице отчета в формате

PDF. Максимальное число строк на странице не должное превышать 45.

Пример (по умолчанию, максимальное значение):

reportPageSize = 45

reportColWidth

Это свойство задает ширину (в сантиметрах - см) столбца отчета для отчета в формате

PDF. Изменив это значение, вы сможете отрегулировать размер всех столбцов.

Примечание: 2,54 см = 1 дюйм


reportColWidth = 20

Синхронизация данных не основе журнала изменений (Changelog)

changelogEnabled

Это свойство является обязательным, если вы конфигурируете Incremental Data

Synchronizer. Допустимые значения:

v true – Incremental Data Synchronizer конфигурируется

v false – Incremental Data Synchronizer не конфигурируется


changelogEnabled = false

changelogBaseDN

Это свойство задает DN в каталоге, в котором конфигурируется журнал изменений

(changelog).


changelogBaseDN = cn=changelog

changeLogFetchSize

Глава 11. Конфигурирование дополнительных свойств 135

|

||

|

||

|||

||

||

|

|||

|

|

|

|||

|

|

|

|

|

|

|||

|

|

|

|

|

|||

|

|

|

Это свойство задает число записей журнала изменений, которое можно одновременно

считывать с сервера каталога.

Значение, равное 0, или отрицательное значение указывает, что ограничения по

считыванию нет. Ограничение по считыванию полезно, если в течение какого-то

времени не следует допускать большой нагрузки на сервер каталога. Так, при

одновременном считывании 100000 записей журнала изменений возможна задержка

ответа сервера на несколько минут.


changeLogFetchSize = 200

maximumChangeLogsToSynchronize

Это свойство задает максимальное число записей журнала изменений, которое можно

синхронизировать при одном вызове утилиты Incremental Data Synchronizer.

Задавая значение этого свойства, учитывайте объем доступной системной памяти и

использование процессора другими процессами на хосте. Если задать значение, равное

нулю, или отрицательное значение, Incremental Data Synchronizer произведет

синхронизацию всех записей журнала изменений.


maximumChangeLogsToSynchronize = 10000

changeLogsToAnalyzeBeforeSynchronization

Это свойство указывает, сколько считанных записей журнала изменений нужно

проанализировать до синхронизации проанализированных записей с базой данных.

В качестве примера рассмотрим следующие значения:

changeLogFetchSize = 500

changeLogsToAnalyzeBeforeSynchronization = 20000

maximumChangeLogsToSynchronize = 100000

Один пакет - это 500 записей журнала изменений. После того, как будет

проанализировано 20000 записей журнала изменений (40 пакетов), будет произведена

синхронизация данных. Эта процедура будет повторяться до тех пор, пока не будет

проанализировано 100000 записей (5 синхронизаций).

Если задать значение, равное 0, или отрицательное значение, будет произведена

синхронизация всех считанных записей журнала изменений.


changeLogsToAnalyzeBeforeSynchronization = 5000

Применение ACI к генерируемым данным отчета

availableForNonAdministrators

Это свойство указывает, нужно ли синхронизировать информацию, связанную с ACI,

во время синхронизации данных.

Если вы хотите, чтобы пользователи ITIM, не являющиеся администраторами, смогли

выполнять отчеты, задайте для этого свойства значение ″true″.

Если задать значение ″false″, будут отключены все функции, связанные с выполнением

отчетов пользователями, не являющимися администраторами, например,

синхронизацию данных ACI и назначение ACI для пользовательских отчетов.


availableForNonAdministrators = true


|||

|||||

|

|

|

|||

||||

|

|

|

|||

|

|||

||||

||

|

|

|

|

|

|||

||

|||

|

|

|

Применение инкрементных схемпри использовании Incremental Data Synchronizer

enableDeltaSchemaEnforcer

Это свойство позволяет включить или выключить синхронизацию всех изменений схем

при создании пользовательских отчетов.

Изменения схем - это вновь созданные отображения и существующие отображения,

которые были удалены при помощи дизайнера схем.

Если задать значение ″true″, Incremental Data Synchronizer будет обрабатывать

атрибуты, которые были отображены (изменены) в дизайнере схем с момента

проведения последней полной синхронизации данных.

Если задать значение ″false″, Incremental Data Synchronizer не будет синхронизировать

атрибуты, которые были отображены (изменены) в дизайнере схем с момента

проведения последней полной синхронизации данных.


enableDeltaSchemaEnforcer = false

Параметры конфигурации для полной синхронизации данных

createIndex

Это свойство указывает, нужно ли создавать индексы базы данных для часто

используемых столбцов базы данных. Включив эту опцию, можно добиться

существенного повышения производительности генерирования отчетов. Чтобы

включить создание индексов, задайте для этого свойства значение ″true″.

Допустимые значения этого свойства:

v true – Создавать индексы для столбцов метаданных, используемых в

пользовательских отчетах. Учтите, что если вы включите эту опцию, синхронизация

данных может занять больше времени.

v false – Не создавать индексы при синхронизации данных. Если отключить создание

индексов, то генерирование отчетов может занимать больше времени.


createIndex = true

sqlBatchSize

Это свойство задает размер пакетных обновлений, обрабатываемых при

синхронизации данных. Если задать для этого свойства более высокое значение, можно

добиться существенного повышения производительности.

Однако на это значение влияют определенные параметры базы данных, определяющие

размер файла журнала транзакций (свойство базы данных), и если задать слишком

большое значение, синхронизация данных может завершиться неудачно. Всегда

используйте рекомендованное значение по умолчанию, равное 50, чтобы не допустить

ошибок синхронизации данных.


sqlBatchSize = 50

Если указать значение, равное 0, или отрицательное значение, все обновления SQL

будут обрабатываться как единый пакет.


|

|

|||

||

|||

|||

|

|

|

|

|

|||||

|

|||

||

|

|

|

||||

|||||

|

|

||||

crystal.properties

В файле crystal.properties хранятся глобальные свойства модуля plug-in Crystal

Reports для пользовательского модуля отчетов. Информацию о конфигурировании

Crystal Reports смотрите в главе ″Конфигурирование Crystal Reports″ в публикации

Руководство по конфигурированию IBM Tivoli Identity Manager (это данный документ).

crystalras

Задает имя сервера или IP-адрес компьютера, на котором установлен сервер Crystal

Report Application Server

Пример:

crystalras = 999.999.999.999

dsn

Для функции Crystal необходимо создать DSN на компьютере-сервере RAS. Это

свойство задает имя DSN.

Пример:

dsn = <строка>

база данных

Задает имя базы данных, на которую указывает DSN.

Пример:

database = <строка>


|

||||

||

|||

|

|

|

|||

|

|

|

||

|

|||

DataBaseFunctions.conf

Функция пользовательских отчетов в Tivoli Identity Manager дает возможность

использовать функции базы данных при создании пользовательских шаблонов

отчетов. Функции базы данных можно сделать доступными для использования

дизайнером отчетов - компонентом графического пользовательского интерфейса

Tivoli Identity Manager; для этого нужно задать эти функции в файле

DataBaseFunctions.conf.

Для заранее заданных функций базы данных в файле DataBaseFunctions.conf

используется следующий формат:

<имя_функции> - <набор_аргументов>

Пользователи баз данных могут также создавать и задавать функции для

специализированного использования. В Microsoft SQL и IBM DB2 такие настроенные

функции называются пользовательскими функциями. Для генерирования отчетов

также можно использовать функции, создаваемые в DB2 в виде хранимых процедур.

Эти функции должны создаваться при помощи утилиты баз данных,

предоставленных соответствующим поставщиком базы данных.

Для заданных пользователем функций базы данных в файле DataBaseFunctions.conf

используется следующий формат:

user:<имя_функции - <набор_аргументов>

В дизайнере отчетов Tivoli Identity Manager поддерживаются только функции с одним

аргументом. Если требуются более сложные функции, пользователям придется

воспользоваться средством Crystal Reports Designer.

Upper

Задает преобразование аргумента в верхний регистр.

Пример:

Upper - 1

Lower

Задает преобразование аргумента в нижний регистр.

Lower - 1

user:GetDN

Пользовательская функция. Получить имя-идентификатор (DN).

user:GetDN - 1


|

||||||

||

|

||||||

||

|

|||

||

||

|

|

|

||

|

|

||

|||

enRoleAuthentication.properties

В файле enRoleAuthentication задан способ, используемый системой Tivoli Identity

Manager для аутентификации пользователей, и указан Java-объект, обеспечивающий

заданный механизм аутентификации. Кроме того, этот файл задает объекты,

поддерживающие однократную регистрацию Tivoli Access Manager WebSEAL и

управление доступом Tivoli Identity Manager к удаленным управляемым службам.

Свойства аутентификации заданы в виде пар ключей и значений свойств:


имя_ключа_свойства - это идентификатор механизма аутентификации или

ресурса.значение - это имя Java-объекта, предоставляющего службу аутентификации;

оно также выражается парой ″ключ-значение″.

factory = значение

Имя ключа factory обозначает специальную категорию поддержки аутентификации в

программе Tivoli Identity Manager.значение - это фактическое имя Java-объекта.

Например (вводится в виде одной строки):

enrole.authentication.provider.service =

factory = com.ibm.enrole.authentication.service.

ServiceAuthenticationProviderFactory

Способ аутентификации

enrole.authentication.requiredCredentials = {simple|certificate}

Позволяет задать метода обязательной аутентификации пользователей при входе в

систему Tivoli Identity Manager: либо simple (просто имя пользователя и пароль), либо

certificate (с использованием цифрового сертификата).

Системное значение по умолчанию - simple.

Например:

enrole.authentication.requiredCredentials = simple

В качестве альтернативы, можно задать пользовательский механизм аутентификации.

Смотрите раздел “Конфигурирование пользовательского механизма аутентификации”

на стр. 142.

Провайдеры аутентификации (фабрики)

enrole.authentication.provider.simple

Задает Java-объект, обрабатывающий аутентификацию на основе имени пользователя

и пароля.


enrole.authentication.provider.simple =

factory = com.ibm.enrole.authentication.simple.

SimpleAuthenticationProviderFactory

enrole.authentication.provider.certificate


Задает Java-объект, обрабатывающий аутентификацию с использованием цифровых

сертификатов.


enrole.authentication.provider.certificate =

factory = com.ibm.enrole.authentication.certificate.

CertificateAuthenticationProviderFactory

Провайдер службы аутентификации

enrole.authentication.provider.service

Задает Java-объект, который в прозрачном режиме обрабатывает доступ Tivoli Identity

Manager к удаленным управляемым службам и к управлению изменениями учетных

записей, сконфигурированных для доступа к этим удаленным службам.

В число таких изменений входят добавление, удаление, приостановка, восстановление и

изменение учетных записей для удаленных служб. Зарегистрировавшись в системе

Tivoli Identity Manager, вы сможете изменить информацию о регистрационном имени и

пароле для учетной записи, используемой для доступа к удаленной управляемой

службе.

Механизм ServiceAuthenticationProviderFactory работает с агентом для данной

удаленной службы и обрабатывает изменившуюся информацию.


enrole.authentication.provider.service =

factory = com.ibm.enrole.authentication.service.

ServiceAuthenticationProviderFactory

Однократная регистрация WebSEAL

enrole.authentication.provider.webseal

Задает Java-объект, обеспечивающих возможность однократной регистрации в среде

WebSEAL.


enrole.authentication.provider.webseal =

factory = com.ibm.enrole.authentication.webseal.WebsealProviderFactory

Смотрите раздел “Конфигурирование однократной регистрации при использовании

WebSEAL” на стр. 42.

enrole.authentication.idsEqual

Задает подходящий алгоритм для отображения ID пользователя Tivoli Access Manager

в ID пользователя Tivoli Identity Manager.

Если ID пользователя Tivoli Access Manager совпадает с ID пользователя Tivoli Identity

Manager (такой параметр используется по умолчанию):

enrole.authentication.idsEqual = true

Если ID пользователя Tivoli Access Manager НЕ совпадает с ID пользователя Tivoli

Identity Manager:

enrole.authentication.idsEqual = false

Внутренний алгоритм отображения идентификаторов нужен для того, чтобы

обеспечить успешное завершение процедуры однократной регистрации.

Смотрите раздел “Конфигурирование однократной регистрации при использовании

WebSEAL” на стр. 42.


Конфигурирование пользовательского механизма

аутентификации

В качестве альтернативы встроенным в Tivoli Identity Manager методам

аутентификации (на основе имени пользователя и пароля и на основе сертификатов)

можно при помощи ключа свойства enrole.authentication.requiredCredentials

задать пользовательский Java-объект, который будет вызывать пользовательский

механизм аутентификации.

Например, вам может потребоваться однократная регистрация в Tivoli Identity

Manager из зарегистрированного сеанса с сервером портала.

Создайте пользовательский Java-объект для аутентификации (для этого обратитесь

за помощью в службу поддержки заказчиков Tivoli) и введите имя этого объекта в

качестве значения ключа свойства enrole.authentication.requiredCredentials.

Файл enRoleAuthentication.properties позволяет использовать в Tivoli Identity

Manager только один тип метода аутентификации. Сконфигурировать несколько

параллельных механизмов аутентификации нельзя.


enRoleDatabase.properties

В файле enRoleDatabase.properties заданы атрибуты, обеспечивающие поддержку

реляционной базы данных, которую использует механизм рабочих потоков Tivoli

Identity Manager. Tivoli Identity Manager поддерживает три типа баз данных:

v DB2

v Oracle

v MS SQL Server

Значения ключей свойств, содержащиеся в этом файле, синхронизируются со

значениями в файле конфигурации соответствующего сервера приложений.

Большинство значений в этом файле вводятся при исходной установке Tivoli Identity

Manager и конфигурировании базы данных. Вы можете потом изменить некоторые

значения. Однако в этом случае необходимо с помощью утилиты runConfig

синхронизировать значения в этом файле свойств со значениями в файле

конфигурации сервера приложений.

Для доступа к реляционной базе данных Tivoli Identity Manager использует

технологию Java Database Connectivity (JDBC). Технология JDBC - это API, который

позволяет получить доступ практически ко всем табличным источникам данных при

помощи языка программирования Java.

Информация о базе данных

database.db.type

Не изменяйте ключ этого свойства. Это значение вводится во время исходной

установки Tivoli Identity Manager.

Задает тип базы данных, используемый механизмом рабочих потоков Tivoli Identity

Manager. Возможные значения:

v DB2

v Oracle

v MS SQL Server

Пример (DB2):

database.db.type = DB2

database.db.server

Это значение указывается при установке Tivoli Identity Manager и конфигурировании


Задает имя или локальный алиас удаленной базы данных.

Чтобы изменить это значение для новой базы данных, настройте базу данных с

помощью утилиты конфигурирования базы данных. Утилита конфигурирования базы

данных передаст в этот файл свойств имя новой базы данных.

Чтобы изменить это значение для другой существующей базы данных, передайте новое

имя базы данных в этот файл свойств с помощью утилиты runConfig.

Пример:

database.db.server = itimdb


database.db.owner

Не изменяйте ключ этого свойства. Это значение встроено в систему.

Задает для Tivoli Identity Manager имя владельца схемы базы данных.

Пример (встроенный):

database.db.owner = enrole

database.db.user

Не изменяйте ключ этого свойства. Это значение встроено в систему.

Задает для Tivoli Identity Manager пользователя базы данных по умолчанию.

Пример (встроенный):

database.db.user = enrole

database.db.password

Не изменяйте ключ этого свойства. Это значение указывается при конфигурировании


Задает пароль пользователя базы данных.


enrole.password.database.encypted в файле enrole.properties.

Значение пароля будет появляться на экране в виде простого текста, если вы не

активируете параметр шифрования с помощью утилиты runConfig.

Пример (нешифрованный текст):

database.db.password = secret

Свойства пула соединений

database.jdbc.connectionPool.initialCapacity

Не изменяйте значение этого ключа свойства путем редактирования файла вручную.


Задает исходное число физических соединений с базой данных, которое нужно создать

для пула соединений. Это значение должно быть меньше или равно значению

maxCapacity.


database.jdbc.connectionPool.initialCapacity = 5

database.jdbc.connectionPool.maxCapacity

Не изменяйте значение этого ключа свойства путем редактирования файла вручную.


Задает максимальное число физических соединений с базой данных, которое можно

создать. Это предельное значение обеспечивает соблюдение требований к настройке

производительности системы.


database.jdbc.connectionPool.maxCapacity = 50


database.jdbc.connectionPool.capacityIncrement

Вы можете изменить значение этого ключа свойства, отредактировав этот файл

вручную. Кроме того, вы должны будете с помощью утилиты runConfig

синхронизировать изменения с файлом конфигурации сервера приложений.

Задает число соединений, создаваемых при каждом расширении (приращении) пула

соединений для удовлетворения возросшего спроса.


database.jdbc.connectionPool.capacityIncrement = 1

database.jdbc.connectionPool.loginDelaySecs




Задает задержку (в секундах) перед созданием каждого соединения с базой данных.


database.jdbc.connectionPool.loginDelaySecs = 1

database.jdbc.connectionPool.ShrinkingEnabled




Указывает, можно ли уменьшить пул соединений до его исходной емкости (заданной

значением initialCapacity), если выяснится, что дополнительные соединения, созданные

в периоды повышенной интенсивности трафика, больше не используются. Допустимые

значения - ″true″ или ″false″.


database.jdbc.connectionPool.ShrinkingEnabled = true

database.jdbc.connectionPool.ShrinkPeriodMinutes




Задает время ожидания (в минутах), по истечении которого можно сократить пул

соединений, расширенный путем инкрементного приращения для удовлетворения

возросших потребностей. Чтобы программа сокращала пул соединений, свойству

ShrinkingEnabled следует присвоить значение ″true″.


database.jdbc.connectionPool.ShrinkPeriodMinutes = 15

database.jdbc.connectionPool.Targets

Не изменяйте значение ключа этого свойства. Это значение вводится во время

исходной установки Tivoli Identity Manager.

Задает пункт назначения в текущем домене, где следует развернуть данный пул

соединений. Как правило, в качестве этого значения выступает имя сервера

приложений или имя кластера.

Пример:

database.jdbc.connectionPool.Targets = myserver


database.jdbc.connectionPool.testTableName

Не изменяйте значение ключа этого свойства.

Задает имя таблицы, используемой при проверке наличия физического соединения с

базой данных. Для каждого типа базы данных требуется свое значение:

v DB2 – ″nextvalue″

v Oracle – ″dual″

v MS SQL Server – ″nextvalue″

Пример (Oracle):

database.jdbc.connectionPool.testTableName = dual

database.jdbc.connectionPool.refreshMinutes

Не изменяйте значение ключа этого свойства.

Задает интервал (в минутах) между проверками соединения с базой данных.


database.jdbc.connectionPool.refreshMinutes = 5

Драйвер JDBC

database.jdbc.driverURL

Не удаляйте и не изменяйте ключ и значение этого свойства.

Задает URL драйвера JDBC.

Пример (DB2):

database.jdbc.driverUrl = jdbc:db2:itimdb

database.jdbc.driver

Не удаляйте и не изменяйте ключ и значение этого свойства.

Задает имя драйвера JDBC.

Пример (DB2):

database.jdbc.driver = COM.ibm.db2.jdbc.app.DB2Driver


|

enRoleLDAPConnection.properties

В файле enRoleLDAPConnections.properties содержатся стандартные параметры

конфигурации, обеспечивающие успешное взаимодействие Tivoli Identity Manager с

сервером каталога LDAP.

java.naming.factory.initial = com.sun.jndi.ldap.LdapCtxFactory


Задает встроенный файл классов Java, обеспечивающий интерфейс взаимодействия

между Tivoli Identity Manager и сервером каталога LDAP. Используется протокол JNDI

(Java Naming and Directory Interface).

Контекст LDAP: Context.INITIAL_CONTEXT_FACTORY

java.naming.provider.url

Задает местонахождение (URL) сервера каталога LDAP. Возможные варианты

местонахождения сервера LDAP:

v На локальном компьютере Tivoli Identity Manager

Укажите ″localhost″.

v На удаленном компьютере.

Укажите краткое или полное имя хоста или IP-адрес.

Значение этого ключа первоначально конфигурируется во время установки Tivoli

Identity Manager. Вы также можете задать это значение с помощью утилиты ldapconfig

или утилиты runConfig.

Пример:

java.naming.provider.url = ldap://localhost:389

Контекст LDAP: Context.PROVIDER_URL

java.naming.security.principal

Задает имя-идентификатор (Distinguished Name - DN) учетной записи администратора

LDAP на сервере каталога LDAP.




Пример:

java.naming.security.principal = cn = root

Контекст LDAP: Context.SECURITY_PRINCIPAL


java.naming.security.credentials

Задает пароль для учетной записи администратора LDAP на сервере каталога LDAP.





enrole.password.ldap.encypted в файле enrole.properties.

Тип шифрования первоначально конфигурируется во время установки Tivoli Identity

Manager при помощи переключателя Параметр шифрования.

Пример:

java.naming.security.credentials = ibmldap

Контекст LDAP: Context.SECURITY_CREDENTIALS

java.naming.security.protocol

В данном выпуске Tivoli Identity Manager ключ и значение этого свойства не

поддерживаются.


Задает протокол, обеспечивающий взаимодействие Tivoli Identity Manager с сервером

каталога LDAP.

Контекст LDAP: Context.SECURITY_PROTOCOL

java.naming.security.authentication


Задает тип аутентификации, используемый сервером каталога LDAP. Допустимые

значения:

v none (анонимно: пользователь становится членом неаутентифицированной группы)

v simple (требуется имя пользователя и пароль)

v strong (более строгий механизм аутентификации)

Пример:

java.naming.security.authentication = simple

Контекст LDAP: Context.SECURITY_AUTHENTICATION


java.naming.referral


В сценарии, когда несколько серверов каталога LDAP связаны друг с другом в среде

Tivoli Identity Manager, это свойство указывает, нужно ли использовать эти связи, когда

для выполнения требования о получении информации LDAP нужна ссылка.


v follow (разрешить использование ссылок)

v ignore (не использовать ссылки)

v throw (не использовать ссылки и возвратить сообщение об ошибке)

Пример:

java.naming.referral = follow

Контекст LDAP: Context.REFERRAL

java.naming.batchsize


Свойство JNDI, которое задает число элементов данных, возвращаемых одновременно

при выполнении требования (запроса), адресованного серверу каталога LDAP. Чем

больше это число, тем меньше число операций считывания LDAP, что позволяет

повысить производительность.

Значение, равное ″0″, блокирует управление со стороны клиента (Tivoli Identity

Manager) до тех пор, пока не будут возвращены все затребованные элементы.

Пример:

java.naming.batchsize = 100

Контекст LDAP: Context.BATCHSIZE

java.naming.ldap.attributes.binary


Задает атрибуты Tivoli Identity Manager, обрабатываемые как данные двоичного типа.

Если указано несколько значений атрибутов, их следует разделять одним пробелом.

Пример:

java.naming.ldap.attributes.binary = erPassword erHistoricalPassword

Контекст LDAP: attribute.binary


enRoleLogging.properties

В файле enRoleLogging.properties заданы атрибуты, управляющие работой

функции ведения журнала log4j и API трассировки, поставляемых вместе с Tivoli

Identity Manager.

Log4j - это популярный пакет функции ведения журналов для Java, распространяемый

по лицензии на программные средства Apache с открытым исходным кодом и

сертифицированные в рамках инициативы Open Source. Log4j позволяет записывать

сообщения в журнал в соответствии с типом и приоритетом сообщений, а также

управлять порядком форматирования и вывода этих сообщений во время

выполнения.

В пакет log4j включена отлично подготовленная документация. Ознакомьтесь с этой

информацией, чтобы получить полное представление о функциях log4j.

Включить/выключить traceExceptions

enrole.logprovider.traceexceptions

Это атрибут Tivoli Identity Manager (а не атрибут log4j). Он задает, нужно ли вносить в

журналы сообщений дополнительную подробную информацию об ошибках (стек

вызова). Допустимые значения:

v true - записывать в журнал подробную информацию

v false - не записывать в журнал подробную информацию

Значение по умолчанию - ″true″.

Пример:

enrole.logprovider.traceexceptions = true

Настройка иерархии категорий

Корневая категория:

log4j.rootCategory


Категории Log4j - это именованные объекты, которые позволяют связывать

компоненты системы с приоритетом записи в журнал. Корневая категория

соответствует всем системным компонентам (все компоненты являются дочерними

компонентами родительского корневого компонента).

Ключ свойства log4j.rootCategory задает системный приоритет по умолчанию для

записи в журнал и дополнительные идентификаторы (пункты назначения для вывода

информации), которые указывают типы пунктов назначения для выходной

информации.

Иерархия приоритетов:

1. FATAL

2. ERROR

3. WARN

4. INFO

5. DEBUG

Например, приоритет INFO, указывает, что в журнал нужно записывать все сообщения

уровней INFO (информация), WARN (предупреждение), ERROR (ошибка) и FATAL

(невосстановимая ошибка).

Пример (задать в качестве приоритета записи в журнал значение WARN с

дополнительным объектом под именем ″Logger″):

log4j.rootCategory = WARN, Logger


Категории компонентов:

log4j.category.com.ibm.itim.apps

log4j.category.com.ibm.itim.authentication

log4j.category.com.ibm.itim.authorization

log4j.category.com.ibm.itim.common

log4j.category.com.ibm.itim.fesiextensions

log4j.category.com.ibm.itim.logging

log4j.category.com.ibm.itim.mail

log4j.category.com.ibm.itim.messaging

log4j.category.com.ibm.itim.migration

log4j.category.com.ibm.itim.dataservices.model

log4j.category.com.ibm.itim.passworddelivery

log4j.category.com.ibm.itim.policy

log4j.category.com.ibm.itim.remoteservices

log4j.category.com.ibm.itim.report

log4j.category.com.ibm.itim.security

log4j.category.com.ibm.itim.scheduling

log4j.category.com.ibm.itim.systemConfig

log4j.category.com.ibm.itim.util

log4j.category.com.ibm.itim.webclient

log4j.category.com.ibm.itim.workflow

Эти категории соответствуют стандартным компонентам Tivoli Identity Manager. Вы

можете переопределить приоритет записи в журнал для корневой категории,

сконфигурировав каждый компонент по отдельности. Чтобы включить

конфигурирование записи в журнал для того или иного компонента, раскомментируйте

соответствующую строку.

Пример:

log4j.category.com.ibm.itim.policy = INFO

В приведенном выше примере заданное значение приоритета записи в журнал, INFO,

включает дополнительную запись в журнал сообщений компонента itim.policy (для

корневой категории в примере задан только уровень WARN).

Пункт назначения для вывода файла журнала (тип вывода)

log4j.appender.идентификатор_вывода

Идентификатор вывода задает тип пункта назначения для вывода информации файла

журнала. Существуют следующие типы:

v Один файл

v Файл с переходом записи

v Консоль (вывод на экран)

v Функции ведения журналов событий NT

Пример (в качестве объекта типа вывода ″Logger″ задан указанный ниже класс Java,

который обрабатывает файл с переходом записи):

log4j.appender.Logger = org.apache.log4j.RollingFileAppender

Пример свойств для RollingFileAppender:

log4j.appender.Logger.File = c:/temp/itim.log

log4j.appender.Logger.MaxFileSize = 2MB

log4j.appender.Logger.MaxBackupIndex = 10

Более подробную информацию смотрите в главе ″Message Logging″ (Запись сообщений

в журнал) публикации IBM Tivoli Identity Manager Problem Determination Guide.


||

Спецификация структуры файла журнала и шаблона преобразования

log4j.appender.идентификатор_вывода.layout

Спецификация структуры обеспечивает надлежащее форматирование требования.

Указывается класс Java, который производит операции со структурой, а также шаблон

преобразования.

Пример (здесь указан Java-класс шаблона схемы, используемый объектом вывода

″Logger″):

log4j.appender.Logger.layout = org.apache.log4j.PatternLayout

Пример шаблона преобразования для PatternLayout:

log4j.appender.Logger.layout.ConversionPattern = [%d:%t]<%p:%c>%m\n

Интерпретация вышеприведенного шаблона преобразования:

[дата:id_потока]<уровень_приоритета:категория>сообщение

перевод строки


enRoleMail.properties

В файле enRoleMail.properties содержатся атрибуты, которые задают

транспортный почтовый протокол, используемый API JavaMail, а также другие

свойства, связанные с приложением Tivoli Identity Manager.

Вы должны задать значения ключей свойств, связанных с данным приложением.

Для ключей свойств, связанных с JavaMail (включая почтового провайдера и

протокол по умолчанию) существуют значения по умолчанию. Если вы измените

значения по умолчанию для ключей свойств JavaMail, вы должны будете сами

обеспечить тестирование и проверку своего пользовательского протокола и

реализации.

Дополнительную информацию по использованию и сведения о провайдере смотрите

по следующему адресу URL:

http://java.sun.com/products/javamail/

Атрибуты почты для приложения Tivoli Identity Manager

mail.from

Обязательно.

Это значение указывается во время установки Tivoli Identity Manager. Вы также может

его задать с помощью утилиты runConfig.

Задает обратный адрес электронной почты текущего пользователя.

Пример (вводится пользователем):

mail.from = [email protected]

mail.baseurl


Задает базовый URL, используемый для составления URL регистрации в сообщениях

электронной почты, отправляемых новым пользователям Tivoli Identity Manager.


его задать с помощью утилиты runConfig.

Смотрите также раздел “Информация о Web-сервере” на стр. 11.


mail.baseurl = http://111.222.333.444:80

mail.title


Задать значение для этого ключа свойства можно только путем непосредственного

редактирования этого файла свойств.

Задает текстовую строку для использования в строке заголовка электронных

сообщений. Строка по умолчанию ″Уведомление ITIM″.


mail.title = ITIM notification


Атрибуты почты для встроенной почтовой службы Java

mail.host



задать это значение с помощью утилиты runConfig.

Задает IP-адрес компьютера, на котором находится почтовый сервер.


mail.host = 111.222.333.444

mail.protocol.host

Задает IP-адрес почтового сервера по умолчанию, связанного с данным протоколом.

Этот ключ свойства переопределяет ключ свойства mail.host.

По умолчанию, это свойство не является обязательным, и его значение отсутствует.

mail.transport.protocol

Задает транспортный протокол по умолчанию (транспортный протокол Sun SMTP).


mail.transport.protocol = SMTP

mail.protocol.class

Задает реализацию Java-класса почтового протокола Sun SMTP.


mail.SMTP.class = com.sun.mail.smtp.SMTPTransport

mail.store.protocol

Задает протокол доступа к сообщениям по умолчанию.


mail.user

Задает имя пользователя, используемое при аутентификации во время установления

соединения с почтовым сервером.

По умолчанию, это свойство не является обязательным, и его значение отсутствует. В

среде Tivoli Identity Manager почтовый сервер находится внутри границ брандмауэра,

что устраняет необходимость в этом уровне аутентификации.

mail.protocol.user

Задает имя пользователя, связанное с протоколом, которое используется при

аутентификации во время установления соединения с почтовым сервером. Этот ключ

свойства переопределяет ключ свойства mail.user.



enrolepolicies.properties

В файле enrolepolicies.properties содержатся стандартные и пользовательские

параметры, которые обеспечивают поддержку функций, связанных с политикой

предоставления доступа в Tivoli Identity Manager. В число функций, поддерживаемых

этим файлом свойств, входят функции, которые позволяют:

v Задать Java-классы для обработки конфликтов правил политики предоставления

доступа с использованием директив объединения

v Задать тайм-ауты (по умолчанию и заданных пользователем) кэширования

директив объединения

v Объявить атрибуты учетных записей, которые нужно игнорировать при проверке

их совместимости с правилами политики

Директива объединения - это набор правил, которые определяют порядок обработки

атрибутов, когда правила политики предоставления доступа вступают в конфликт

друг с другом. Директивы объединения обеспечивают разрешение таких конфликтов

на основе использования логических конструкций. Например, это комбинирование

всех атрибутов политики (слияние), использование только общих атрибутов

(пересечение) и устранение конфликтов с использованием логических операторов

″AND″/″OR″ (И/ИЛИ).

Существует всего 12 типов директив объединения, которые можно использовать в

Tivoli Identity Manager. Директивы объединения правил политики предоставления

доступа действуют, если для одного и того же пользователя (или группы

пользователей) задано более одного правила политики предоставления доступа,

применимого к одной и той же службе назначения, к одному и тому же экземпляру

службы или к одному и тому же типу службы.

Кроме того, можно задавать пользовательские директивы объединения; для этого

нужно создать пользовательский класс Java и добавить в этот файл пользовательский

ключ и значение свойства.

Классы директив объединения

provisioning.policy.join.PrecedenceSequence = com.ibm.enrole.policy.join.

PrecedenceSequence

provisioning.policy.join.Boolean = com.ibm.enrole.policy.join.Boolean

provisioning.policy.join.Bitwise = com.ibm.enrole.policy.join.Bitwise

provisioning.policy.join.Numeric = com.ibm.enrole.policy.join.Numeric

provisioning.policy.join.Textual = com.ibm.enrole.policy.join.Textual

provisioning.policy.join.Multivalued = com.ibm.enrole.policy.join.Multivalued


Каждый ключ свойства задает класс Java, который можно использовать для обработки

алгоритма директивы объединения, необходимой для разрешения конфликта правил

политики предоставления доступа.

Символы-разделители при добавлении

provisioning.policy.join.Textual.AppendSeparator

Задает символ, который используется классом Java текстовой директивы объединения,

чтобы отделять друг от друга значения атрибута с несколькими значениями.

Пример:

provisioning.policy.join.Textual.AppendSeparator = <<<>>>


Тайм-ауты кэширования директив объединения

provisioning.policy.join.defaultCacheTimeout

Задает тайм-аут между операциями обновления кэша, в котором хранятся значения по

умолчанию для директив объединения. Значение тайм-аута записывается в секундах.

(По умолчанию - 86400 сек = 24 часа).

Пример:

provisioning.policy.join.defaultCacheTimeout = 86400

provisioning.policy.join.overridingCacheTimeout

Задает тайм-аут между операциями обновления кэша, в котором хранятся

пользовательские значения для директив объединения. Значение тайм-аута

записывается в секундах.

(По умолчанию - 300 сек = 5 мин).

Пример:

provisioning.policy.join.overridingCacheTimeout = 300

Атрибуты учетных записей, игнорируемые при проверке совместимости правил политики

Исключенные общие атрибуты:

nonvalidateable.attribute.eraccountcompliance

nonvalidateable.attribute.eracl

nonvalidateable.attribute.eraccountstatus

nonvalidateable.attribute.erauthorizationowner

nonvalidateable.attribute.erglobalid

nonvalidateable.attribute.erhistoricalpassword

nonvalidateable.attribute.erisdeleted

nonvalidateable.attribute.erlastmodifiedtime

nonvalidateable.attribute.erlogontimes

nonvalidateable.attribute.ernumlogons

nonvalidateable.attribute.erparent

nonvalidateable.attribute.erpassword

nonvalidateable.attribute.erservice

nonvalidateable.attribute.eruid

nonvalidateable.attribute.objectclass

nonvalidateable.attribute.owner

Исключенные атрибуты Windows NT:

nonvalidateable.attribute.erntpasswordexpired

nonvalidateable.attribute.erntuserbadpwdcount

nonvalidateable.attribute.erntlockedout

Позволяет объявить атрибуты учетных записей, которые нужно игнорировать при

проверке их совместимости с правилами политики. Этот список исключений позволяет

уменьшить лишнюю нагрузку при проверке совместимости и понизить вероятность

системного сбоя в случае, если атрибуты не поддаются логическому разрешению при

проверке.


enroleworkflow.properties

В файле enroleworkflow.properties заданы отображения XML-файлов для

заданных системой рабочих потоков. В Tivoli Identity Manager рабочий поток - это

процесс, который определяет последовательность операций, включающих в себя

бизнес-службы и взаимодействия с сотрудниками. Схема рабочего потока задает

порядок обработки частной бизнес-логики. XML-файлы, указанные в файле

enroleworkflow.properties, обеспечивают реализацию схем рабочих потоков.

Системный рабочий поток идентифицируется уникальным ID типа и связанным с ним

XML-файлом. XML-файлы рабочих потоков находятся в каталоге:

ITIM_HOME\data\workflow_systemprocess

Обычно вам не нужно ни удалять, ни изменять ID типов системных рабочих потоков

по умолчанию и значения XML-файлов, содержащиеся в этом файле.

Если для вашей реализации Tivoli Identity Manager требуются новые или

переконфигурированные системные рабочие потоки для поддержки пользовательской

бизнес-логики, вы можете внести в данный файл соответствующие изменения:

v Новая бизнес-логика – в файл можно добавить новые ID типов и файлы

определений процессов в формате XML

v Модифицированная бизнес-логика – существующие файлы определений процессов

в формате XML можно заменить пользовательскими файлами

Чтобы произвести такие изменения, нужно располагать соответствующими

техническими и программными ресурсами.

Рабочий поток применения политики

enrole.workflow.PS = enforcepolicyforservice.xml

Рабочий поток управления выбором служб

enrole.workflow.SA = addserviceselectionpolicy.xml

enrole.workflow.SC = changeserviceselectionpolicy.xml

enrole.workflow.SD = removeserviceselectionpolicy.xml

Рабочий поток управления политикой предоставления доступа

#Добавить правило политики

enrole.workflow.PA = addpolicy.xml

#Изменить правило политики

enrole.workflow.PC = changepolicy.xml

#Удалить правило политики

enrole.workflow.PD = removepolicy.xml

Рабочий поток согласования

enrole.workflow.RC = reconciliation.xml

Рабочий поток изменения состояния нескольких пользователей

enrole.workflow.MS = multiusersuspend.xml

enrole.workflow.MR = multiuserrestore.xml

enrole.workflow.MD = multiuserdelete.xml

Рабочий поток изменения состояния нескольких учетных записей


enrole.workflow.LD = multiaccountdelete.xml

enrole.workflow.LS = multiaccountsuspend.xml

enrole.workflow.LR = multiaccountrestore.xml

enrole.workflow.LP = multiaccountpassword.xml

Рабочий поток динамических ролей

#Добавить динамическую роль

enrole.workflow.DA = adddynamicrole.xml

#Изменить динамическую роль

enrole.workflow.DC = changedynamicrole.xml

#Удалить динамическую роль

enrole.workflow.DD = removedynamicrole.xml


fesiextensions.properties

В файле fesiextensions.properties заданы встроенные и пользовательские

расширения FESI, необходимые для работы Tivoli Identity Manager. FESI - это

сокращение названия Free EcmaScript Interpreter, интерпретатора JavaScript,

написанного на языке Java. Интерпретатор FESI читает этот файл свойств во время

инициализации Tivoli Identity Manager, чтобы задавать расширения для необходимых

классов Java.

Расширения FESI соответствуют областям или ″привязкам″ в программе Tivoli

Identity Manager, в которых разрешается использование кода JavaScript для ввода

встроенной или пользовательской бизнес-логики. Расширения FESI заданы в виде пар

ключей и значений свойств:


значение - это полное имя файла класса Java.имя_ключа_свойства содержит

стандартный префикс (fesi.extension), контекст и (для пользовательских классов)

идентификатор (ID), обозначающий полное имя файла класса Java. Как правило, в

качестве идентификатора (ID) используется сокращенное неполное имя класса.

fesi.extension.контекст.ID_класса = полное_имя_класса

В число системных расширений FESI, используемых в Tivoli Identity Manager, входят

глобальный контекст и три частных варианта контекста.

Глобальный идентификатор контекста:

Enrole

Частные идентификаторы контекста:

IdentityPolicy

HostSelection

Workflow

Хотя вы и не должны изменять встроенные системные расширения FESI, вы можете

добавлять пользовательские расширения FESI, которые могут понадобиться для

каких-либо пользовательских программ. При добавлении пользовательских

расширений FESI в этот файл свойств вы должны использовать один из заранее

заданных глобальных или частных вариантов контекста.

В качестве значения укажите полное имя пользовательского файла класса Java и

введите уникальный идентификатор ключа свойства (ID) для пользовательского

класса.Примеры:

fesi.extension.IdentityPolicy.ID_пользовательского_класса =

полное_имя_пользовательского_класса

fesi.extension.HostSelection.ID_пользовательского_класса =


Встроенные расширения FESI

fesi.extension.Enrole = com.ibm.itim.fesiextensions.Enrole

fesi.extension.IdentityPolicy = com.ibm.itim.fesiextensions.IdentityPolicy

fesi.extension.HostSelection = com.ibm.itim.fesiextensions.ModelSelection

fesi.extension.Workflow = com.ibm.itim.workflow.fesiextensions.WorkflowExtension

fesi.extension.Workflow.OrgModelExtension = com.ibm.itim.fesiextensions.

OrganizationModelExtension


Значение ключа каждого системного свойства - это полное имя файла встроенного

класса Java.

Не удаляйте и не изменяйте информацию в этом разделе.


Пользовательские расширения FESI

Пример:

fesi.extension.enRole.ID_пользовательского_класса =


Вы можете модифицировать файлы fesiextensions.properties, включив в них

дополнительные расширения FESI для необходимых пользовательских объектов и

методов.

Значение ключа каждого пользовательского свойства - это полное имя

пользовательского файла класса Java.

Каждое имя ключа свойства должно быть уникальным.


UI.properties

В файле UI.properties заданы атрибуты, определяющие порядок работы и

отображения на экране графического пользовательского интерфейса Tivoli Identity

Manager. Кроме того, там есть два раздела, в которых содержатся атрибуты, не

относящиеся к графическому пользовательском интерфейсу Tivoli Identity Manager.

Параметры конфигурации графического пользовательского интерфейса Tivoli Identity Manager

enrole.ui.errorPage.verbosity

Указывает, нужно ли выводить вместе с сообщением об ошибке подробную

информацию (или трассировку стека). Допустимые значения:

v 0 – - подробная информация не выводится

v 1 – - выводится подробная информация

Значение по умолчанию - ″0″.

Пример:

enrole.ui.errorPage.verbosity = 0

enrole.ui.customerLogo.image

Задает имя файла рисунка, который появляется справа от строки заголовка

графического пользовательского интерфейса Tivoli Identity Manager. Обычно, это

логотип компании. Чтобы рисунок передавался по сети в Web-браузер, этот файл

должен быть представлен в формате .gif или .jpeg. Реальный файл с рисунком

должен находиться в следующих каталогах:

WebSphere:

...WebSphere/AppServer/installedApps/имя_домена/enRole.ear/app_web.war/

images

WebLogic:

...bea/user_projects/имя_домена/applications/enrole/images

Пример:

enrole.ui.customerLogo.image = ibm_banner.gif

enrole.ui.customerLogo.url

Задает ссылку на URL, которая активируется, когда вы щелкнете по

пользовательскому изображению (логотипу компании) в правой части строки

заголовка графического пользовательского интерфейса Tivoli Identity Manager.

Пример:

enrole.ui.customerLogo.url = www.ibm.com

enrole.ui.pageSize

Задает число пунктов списка, которое первоначально появится на экране. Если в списке

окажется больше пунктов, в нижней части просмотра списка будет показана ссылка,

позволяющая активировать продолжение списка (например, Стр. 2, Стр. 3, Стр. 4).

Пример:

enrole.ui.pageSize = 10


enrole.ui.pageLinkMax

Задает число ссылок на страницы, появляющихся при выводе длинных списков

(смотрите описание свойства enrole.ui.pageSize). Если для списка потребуется

больше ссылок, чем задано этим ключом свойства, добавляется ссылка ″Далее″.

Пример:

enrole.ui.pageLinkMax = 10

enrole.ui.maxSearchResults

Задает число элементов, возвращаемых при поиске. Значение этого ключа свойства

позволяет контролировать возможное снижение производительности системы при

большом числе обнаруженных элементов.

Пример:

enrole.ui.maxSearchResults = 1000

Свойства апплетов WfDesigner и FormDesigner

enrole.build.version

enrole.java.plugin

enrole.java.plugin.classid

enrole.java.plugin.jpi-version

enrole.java.pluginspage

enrole.ui.logoffURL

enrole.ui.timeoutURL

Не изменяйте и не удаляйте никакую информацию в этом разделе.

Эти пары ключей и значений свойств обеспечивают необходимую поддержку

Java-апплетов для Web-браузера, в котором выполняется графический

пользовательский интерфейс Tivoli Identity Manager.

Свойства меню отчетов

enrole.ui.reconReport.maxFileSize

Отчет о согласовании может генерироваться в следующих форматах:

v PDF

v HTML

v CVS (файл, разделенный запятыми)

Ключ и значение этого свойства задают предельный размер отчета (в байтах),

позволяя сделать доступной опцию вывода отчета в формате PDF. Если размер отчета

превышает 0,5 Мб, опция вывода в формате PDF станет недоступной.

Пример:

enrole.ui.reconReport.maxFileSize = 500000

enrole.ui.accountReport.maxPeopleInReport

Задает максимальное число сотрудников, которое разрешается включить в отчет об

учетных записях.

Пример:

enrole.ui.accountReport.maxPeopleInReport = 500


enrole.ui.report.maxRecordsInReport

Задает максимальное число записей, которое должно появляться в отчетах об

операциях, пользователях, службах и отказах.

Пример:

enrole.ui.report.maxRecordsInReport=5000

Включить/выключить поддержку однократной регистрации WebSEAL

enrole.ui.ssoEnabled

Ключ и значение свойства, описанного в этом разделе, не относятся к графическому

пользовательскому интерфейсу Tivoli Identity Manager.

Позволяет включить или выключить функцию однократной регистрации WebSEAL.


v true (включить)

v false (отключить)

Значение по умолчанию - ″false″.

Пример:

enrole.ui.ssoEnabled = false

Для поддержки функции однократной регистрации WebSEAL требуется

дополнительное конфигурирование. Смотрите раздел “Конфигурирование

однократной регистрации при использовании WebSEAL” на стр. 42.

Отображение класса поиска для ObjectProfileCategory

Ключ и значение свойства, описанного в этом разделе, не относятся к графическому

пользовательскому интерфейсу Tivoli Identity Manager, и их нельзя ни изменять, ни

удалять.


CustomLabels.properties

Пары ключа и значения свойства в файле CustomLabels.properties используются

графическим пользовательским интерфейсом Tivoli Identity Manager для вывода

текста меток в формах.

Для каждого языка, поддерживаемого продуктом Tivoli Identity Manager, существует

отдельный файл CustomLabels.properties.

Из этого файла берутся локализованные версии элементов графического

пользовательского интерфейса при установке Tivoli Identity Manager в

интернационализированных средах (средах с несколькими языками).

Расширение имени указывает язык. Например:

CustomLabels_RU.properties — русский язык

CustomLabels_EN.properties — английский язык

Дополнительные файлы свойств

В приведенной ниже таблице указаны остальные файлы свойств, которые

используются продуктом Tivoli Identity Manager. Эти файлы не подлежат

конфигурированию ни в каких случаях, и вносить в них изменения нельзя.

ConfigErrorMessages.properties

Этот файл используется утилитой runConfig и содержит сообщения об ошибках

конфигурации на русском языке.

Этот файл не подлежит конфигурированию, и вносить в него изменения нельзя.

ConfigLabels.properties

Этот файл используется утилитой runConfig и содержит метки, появляющиеся в графическом

пользовательском интерфейсе Tivoli Identity Manager на русском языке.


ConfigMessages.properties

Этот файл используется утилитой runConfig и содержит инструкции по конфигурированию и

обычные сообщения на русском языке.


Dsml2RootDSE.properties

Этот файл используется для выполнения корневого поиска DSE (LDAP) и позволяет

возвратить набор атрибутов сервера Tivoli Identity Manager.


Dsml2Schema.properties


|

|||

||

||

|

|

|

||

|

|

|

||

|

|

|

||

|

|

|

Этот файл используется для поиска схем (LDAP) и позволяет возвратить классы объектов и

атрибуты, указанные в этом файле.


enRole2ldif.properties

Этот файл теперь считается устаревшим; он использовался для перехода от enRole 3.x к 4.4.

enRoleEntityHiddenAttributes

Этот файл используется в качестве фильтра для отбора доступных для отображения

атрибутов LDAP для каждого типа объектов (например, Организация, Организация

бизнес-партнера, Сотрудник, Сотрудник бизнес-партнера).

В графическом пользовательском интерфейсе Tivoli Identity Manager действительные типы

объектов ITIM перечислены в меню Конфигурация на вкладке Объекты. Гибкое отображение

дает пользователю возможность отобразить пользовательский объект LDAP в тип объектов

ITIM. Так, если вы сохраняете информацию о сотруднике не в объекте inetOrgPerson, а в

каком-либо другом объекте, обозначающем сотрудника, вы должны отобразить все

необходимые атрибуты ITIM в атрибуты пользовательского объекта-сотрудника.

enRoleFonts.properties


enRoleHelp.properties


enRoleHiddenAttributes.properties

В этом файле содержатся атрибуты для всех классов объектов (например, для классов

Сотрудник, Служба, Учетная запись, Подразделение организации), которые нельзя увидеть в

графическом пользовательском интерфейсе Tivoli Identity Manager на вкладке Конфигурация >

Настройка пользовательского интерфейса. В этом списке скрытых атрибутов в основном

находятся атрибуты, используемые системой.

enRoleHiddenSearchAttributes.properties

Этот файл используется функциями, относящимися к поиску. Атрибуты, содержащиеся в

этом списке, не появляются в списке классов объектов при выполнении поиска.

Не удаляйте никакие существующие записи из этого файла, в противном случае поиск на

основе этих атрибутов завершится неудачно.

enRoleLastaccessdate.properties

Этот файл предназначен для внутреннего использования в Tivoli Identity Manager для

генерирования отчетов о бездействии.


enRoleStartup.properties


||

|

|

|

|

|

|

|||

||||||

|

|

|

|

|

|

|

|

|||||

|

|

||

||

|

|

||

|

|

|

Вносить изменения в этот файл можно только при конфигурировании функционального

кластера Tivoli Identity Manager в WebSphere. Если вы вносите изменения в установку

функционального кластера Tivoli Identity Manager, следуйте инструкциям, содержащимся в

файле свойств.

enRoleUnchangedAttributes.properties

Этот файл используется утилитой обновления сервера каталога.


enRoleValidateAttributes.properties

Этот файл предназначен для внутреннего использования на сервере Tivoli Identity Manager для

отображения атрибутов схем объектов.


ErrorMessages.properties

Этот файл содержит все сообщения об ошибках.


ibmschemaSyntax.properties

Этот файл используется программой конфигурирования LDAP во время установки Tivoli

Identity Manager.


iplanetSchemaSyntax.properties

Этот файл используется программой конфигурирования LDAP во время установки Tivoli

Identity Manager.


itiminstaller.properties

Этот файл используется программой установки Tivoli Identity Manager и утилитой обновления

сервера каталога.


Labels.properties

Этот файл содержит метки на русском языке для отображения пользовательского

интерфейса.


Messages.properties

В этом файле содержатся все обычные сообщения, которые используются в Tivoli Identity

Manager для взаимодействия с пользователями.



||||

|

|

|

|

|

|

||

|

|

|

|

|

|

|

||

|

|

|

||

|

|

|

||

|

|

|

||

|

|

|

||

|

passwordrules.properties

Этот файл позволяет задать пользовательский класс для генерирования паролей. В Tivoli

Identity Manager 4.5.1 есть функция генерирования паролей по умолчанию и пример

генератора паролей на основе словаря.

В примере файла passwordrules.properties в первой строке содержится имя класса. Во

второй строке задан ввод, который требуется для класса, заданного в строке 1.

platformcontext.properties


Properties.properties

Этот файл представляет собой файл свойств верхнего уровня; в нем указан путь реального

файла свойств.


tenant.properties

Этот файл используется для создания нового арендатора.



|

|

|||

||

|

|

|

|

|

||

|

|

|

|

|||

Часть 5. Приложения


Приложение. Замечания

Эта информация относится к продуктам и услугам, предоставляемым в США. IBM

может не предоставлять в других странах продукты, услуги и аппаратные средства,

описанные в данном документе. За информацией о продуктах и услугах,

предоставляемых в вашей стране, обращайтесь к местному представителю IBM.

Подобные ссылки не означают и не подразумевают, что можно использовать только

указанные продукты, программы или услуги IBM. Разрешается использовать любые

функционально эквивалентные продукты, программы или услуги, если при этом не

нарушаются права IBM на интеллектуальную собственность. Однако

ответственность за оценку и проверку работы любых продуктов, программ и услуг

других фирм лежит на пользователе.

IBM может располагать патентами или рассматриваемыми заявками на патенты,

относящимися к предмету данной публикации. Получение данного документа не

означает предоставления каких-либо лицензий на эти патенты. С запросами по

поводу лицензий обращайтесь в письменной форме по адресу:

IBM Director of Licensing

IBM Corporation

North Castle Drive

Armonk, NY 10504-1785

U.S.A.

По поводу лицензий, связанных с использованием наборов двухбайтных символов

(DBCS), обращайтесь в отдел интеллектуальной собственности IBM в вашей стране

или направьте запрос в письменной форме по адресу:

IBM World Trade Asia Corporation

Licensing

2-31 Roppongi 3-chome, Minato-ku

Tokyo 106-0032, Japan

Следующий абзац неприменим в Великобритании или в любой другой стране, где

подобные оговорки противоречат местному законодательству: INTERNATIONAL

BUSINESS MACHINES CORPORATION ПРЕДОСТАВЛЯЕТ ДАННУЮ

ПУБЛИКАЦИЮ “AS IS”, БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ, ЯВНЫХ ИЛИ

ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ (НО НЕ ОГРАНИЧИВАЯСЬ ТАКОВЫМИ)

ПРЕДПОЛАГАЕМЫЕ ГАРАНТИИ СОБЛЮДЕНИЯ АВТОРСКИХ ПРАВ,

РЫНОЧНОЙ ПРИГОДНОСТИ ИЛИ СООТВЕТСТВИЯ ОПРЕДЕЛЕННОЙ

ЦЕЛИ. В некоторых странах для ряда сделок не допускается отказ от явных или

предполагаемых гарантий; в таком случае данное положение к вам не относится.

В приведенной здесь информации могут встретиться технические неточности или

типографские опечатки. В публикацию время от времени вносятся изменения,

которые будут отражены в следующих изданиях. IBM может в любой момент без

какого-либо предварительного уведомления внести изменения в продукты и/или

программы, которые описаны в данной публикации.

Ссылки на Web-сайты не-IBM приводятся только для вашего удобства и ни в коей

мере не должны рассматриваться как рекомендации пользоваться этими

Web-сайтами. Материалы на этих Web-сайтах не входят в число материалов по

данному продукту IBM, и весь риск пользования этими Web-сайтами несете вы сами.


IBM оставляет за собой право на использование и распространение любой

предоставленной вами информации любыми способами, какие сочтет приемлемыми,

не принимая на себя никаких обязательств перед вами.

Если обладателю лицензии на данную программу понадобятся сведения о

возможности: (i) обмена данными между независимо разработанными программами

и другими программами (включая данную) и (ii) совместного использования таких

данных, он может обратиться по адресу:

IBM Corporation

2ZA4/101

11400 Burnet Road

Austin, TX 78758

U.S.A.

Такая информация может быть предоставлена при соблюдении определенных

положений и условий и, возможно, за определенную плату.

Описанную здесь лицензионную программу и все прилагаемые к ней лицензионные

материалы IBM представляет на основе положений Соглашения между IBM и

Покупателем, Международного Соглашения о Лицензиях на Программы IBM или

любого эквивалентного соглашения между IBM и покупателем.

Проводимые здесь данные о производительность получены в контролируемой среде.

Результаты, полученные в других средах, могут значительно отличаться от них.

Некоторые измерения производились на системах разработчиков, и нет никаких

гарантий, что результаты будут такими же на обычно используемых системах. Более

того, некоторые показатели могли быть получены путем экстраполяции. Реальные

результаты могут быть другими. Пользователи должны проверить данные в своей

собственной среде.

Информация, касающаяся продуктов других компаний (не IBM) была получена от

поставщиков этих продуктов, из опубликованных ими заявлений или из прочих

общедоступных источников. IBM не производила тестирование этих продуктов и

никак не может подтвердить информацию о их точности работы и совместимости, а

также прочие заявления относительно продуктов других компаний (не IBM). Вопросы

о возможностях продуктов других фирм следует направлять поставщикам этих

продуктов.

Товарные знаки

Перечисленные ниже термины являются товарными знаками или

зарегистрированными товарными знаками International Business Machines Corporation

в США и/или других странах:

AIX

DB2

IBM

Логотип IBM

SecureWay

Tivoli

Логотип Tivoli

Universal Database

WebSphere

Lotus - зарегистрированный товарный знак Lotus Development Corporation и/или IBM

Corporation.


Domino - товарный знак International Business Machines Corporation и Lotus

Development Corporation в США и/или других странах.

Microsoft, Windows, Windows NT и логотип Windows - товарные знаки Microsoft

Corporation в Соединенных Штатах и в других странах.

UNIX - зарегистрированный товарный знак The Open Group в США и других странах.

Java и все основанные на Java товарные знаки и логотипы -

товарные знаки или зарегистрированные товарные знаки Sun

Microsystems, Inc. в США и других странах.

Прочие названия фирм, продуктов или услуг могут являться товарными знаками или

марками сервиса других фирм.

Приложение. Замечания 175

Глоссарий

D

Directory Services Markup Language (DSML).

Реализация XML, обеспечивающая общий формат для

описания и совместного использования информации

службы каталога различными системами каталогов.

S

secure socket layer (SSL). Протокол для передачи

конфиденциальных документов через Интернет. В

протоколе SSL используется секретный ключ, при

помощи которого данные, передаваемые через

соединение SSL, шифруются.

А

авторизация (authorization). В компьютерной защите:

предоставляемые пользователю права на взаимодействие

с вычислительной системой или на пользование такой

системой. Процесс предоставления пользователю

полного или ограниченного доступа к объектам,

ресурсам или функциям.

В большинстве систем компьютерной защиты

используется двухстадийный процесс. Первая стадия -

аутентификация, которая позволят удостоверить, что

данный пользователь является тем, за кого себя выдает.

Вторая стадия - авторизация, в ходе которой

пользователю предоставляются права доступа к

различным ресурсам; авторизация основана на

идентификаторе пользователя.

агент Tivoli Identity Manager (Tivoli Identity Manager

Agent). Логический интерфейс между целевой

управляемой системой и сервером Tivoli Identity Manager.

Этот интерфейс действует как доверенный виртуальный

администратор и представляет собой критически важный

компонент, который транслирует требования

пользователей и обеспечивает защищенный доступ к

различным системам назначения.

административный домен (admin domain).

Бизнес-подразделение, которое позволяет логически

распределять обязанности внутри организации и

управлять правами доступа.

администратор домена (domain administrator).

Администратор, который может задавать в системе

предоставления доступа объекты, правила политики,

службы, определения рабочих потоков, роли и

пользователей, а также управлять ими в

административном домене, к которому они относятся

(но только если административный домен является

собственном доменом этого администратора).

адресат (requestee). Сотрудник, для которого

передается требование.

активная учетная запись (active account). Существующая

учетная запись, которая используется владельцем для

получения доступа к ресурсам.

алиас (alias). Идентификатор пользователя, обычно

называемый ID пользователя. У сотрудника может быть

несколько алиасов (например, GSmith и GWSmith).

аутентификация (authentication). Процесс

идентификации отдельного пользователя, обычно

основанный на использовании имени пользователя и

пароля. В системах защиты аутентификацию следует

отличать от авторизации; авторизация - это

предоставление пользователям доступа к системным

объектам на основе идентификаторов пользователей.

Аутентификация всего лишь удостоверяет личность

пользователя, но не позволяет ничего сказать о правах

доступа этого пользователя.

Б

бизнес-подразделение (business unit). Дочерний объект


В

ветвь (branch). Каждый уровень в дереве организаций

называется ветвью. Каждый тип ветви в дереве

обозначается особым значком. Содержание ветви и

входящих в нее блоков можно посмотреть, щелкнув по

значку плюс (+) рядом с ветвью.

владелец (owner). Сотрудник в системе Tivoli Identity

Manager, которому принадлежит учетная запись или

служба.

владелец авторизации (authorization owner). Группа

пользователей, которые могут создавать определения

элементов управления доступом (ACI) в контексте

подразделения организации, к которому они относятся.

вопрос-ответ (challenge response). Метод

аутентификации, при котором пользователь должен

ввести секретную информацию в ответ на подсказку,

чтобы подтвердить свою личность при входе в сеть.

восстановить (restore). Снова активировать

приостановленную учетную запись.

выполненные требования (completed requests).

Требования, которые были переданы в систему и

выполнены системой.


Г

группа ITIM (ITIM group). Группа пользователей на

сервере Tivoli Identity Manager.

Доступ к системе и администрирование системы можно

структурировать при помощи групп ITIM. Однако,

прежде чем включить сотрудника в группу ITIM, ему

нужно предоставить учетную запись ITIM. После этого

сотрудник станет пользователем ITIM, и его можно

будет добавить в группу ITIM.

Д

дерево организаций (organization tree). Иерархическая

структура организации, которая обеспечивает логическое

пространство для создания и хранения информации об

организациях, а также осуществления доступа к этой

информации.

директива объединения (join directive). Набор правил,

задающих порядок обработки атрибутов в случае

возникновения конфликта между двумя или несколькими

правилами политики предоставления доступа.

доступ (access). Полномочия на использование

информации или данных, хранящихся в вычислительных

системах.

Ж

журнал аудита (audit trail). Запись транзакций для

вычислительной системы за определенный период

времени.

З

загрузка идентификаторов DSML (DSML identity feed).

Один из трех типов служб по умолчанию в Tivoli Identity

Manager.

Служба загрузки идентификаторов DSML импортирует

данные пользователей из базы данных отдела кадров или

файла и загружает информацию в каталог Tivoli Identity

Manager. Эта служба может получать информацию

одним из двух способов: посредством согласования или

посредством незапрошенного уведомления.

загрузка информации о кадрах (HR feed).

Автоматический процесс импорта системой Tivoli Identity

Manager данных о пользователях из базы данных отдела

кадров или файла. Смотрите также: загрузка

идентификаторов DSML.

запрещающее действие (disallowed action). Набор

параметров для согласования, который указывает, какие

действия должен предпринимать сервер Tivoli Identity

Manager при обнаружении учетных записей

пользователей, которым не разрешено иметь учетные

записи для пользования выбранной службой. Этот

параметр допустим, только если выбран переключатель

Проверять политику.

запрос (query). Способ ограничения размера

возвращаемых пакетов при согласовании.

И

имя пользователя (user name). ID, используемый

пользователем для получения доступа к системе. Кроме

того, этот ID идентифицирует пользователя в системе и

дает системе возможность определить права доступа

пользователя на основе принадлежности пользователя к

различным ролям в организации и группам ITIM.

информация управления доступом (access control

information - ACI). Данные, которые определяют права

доступа для группы или принципала. Смотрите также:

управление доступом.

источник ACI (ACI origin). Ветвь в дереве организаций,

в которой создана информация ACI.

К

класс пользователей (user class). Класс LDAP

(например, inetorgperson или BPPerson).

ключевое слово (keyword). Индексная запись,

определяющая правила поиска.

Л

личная информация (personal information). Данные,

описывающие пользователя. Эта информация может

включать в себя фамилию, имя, домашний адрес, номер

телефона, адрес E-mail, номер офиса, имя супервизора и

пр.

Н

неактивная учетная запись (inactive account). Учетная

запись, которая существует в системе, но не используется

владельцем учетной записи.

несвязанный - несвязанные учетные записи (orphan -

orphan accounts). Учетная запись на удаленном ресурсе,

для которой в системе Tivoli Identity Manager невозможно

установить владельца.

О

область действия (scope). Область, на которую

распространяются правила политики.

Обычно область задается как Только в том же или В

поддереве. Если в качестве области задано Только в том

же, правило политики применяется только к объектам,

расположенным в той же ветви, где задано правило


политики. Если в качестве области действия указано ″В

поддереве″, правило политики применяется к ветви, где

задано это правило, и ко всем ветвям низших порядков,

отходящих от ветви, где задано это правило.

общий секретный пароль (shared secret). Зашифрованное

значение, которое дает пользователю возможность

получить начальный пароль для доступа к системе Tivoli

Identity Manager. Это значение задается при

первоначальной загрузке в систему личной информации

пользователя.

объект (entity). 1) Сотрудник или объект, для которых

сохраняется информация.

2) Один из перечисленных ниже классов, на которые

ссылается система Tivoli Identity Manager:

v Сотрудник

v Сотрудник бизнес-партнера

v Организация

v Организация бизнес-партнера

объект назначения ACI (ACI target). Набор объектов,

которыми управляет ACI.

ограничение (constraint). Ограничение параметра или

правил политики.

организация (organization). В применении к управлению

идентификационной информацией: Относительно

независимая совокупность пользователей и ресурсов.

Хотя совместное использование ресурсов организациями

в принципе возможно, уровень интеграции разных

организаций относительно невысок. Обычно

организация представляет собой компанию.

организация бизнес-партнера (business partner

organization). Класс сотрудников, которые на являются

непосредственными сотрудниками компании или

организации, но которым может понадобиться доступ к

ресурсам компании.

отложенные требования (pending requests). Требования,

которые переданы в систему, но выполнение которых

еще не завершено.

отмена предоставления доступа (de-provision).

Позволяет удалить службу или компонент. Например,

отмена предоставления учетной записи означает

удаление учетной записи с ресурса.

отчет о пользователе (user report). Отчет, в котором

перечислены все операции Tivoli Identity Manager с

указанием даты, реквестера, который запросил

операцию, и адресата, для которого запрашивалась

операция.

отчет о согласовании (reconciliation report). Отчет, в

котором перечислены несвязанные учетные записи,

обнаруженные после выполнения последнего

согласования.

отчет об операциях (operation report). Отчет, в котором

перечислены требования о выполнении операций в Tivoli

Identity Manager с указанием типа операции, даты,

реквестера, который затребовал операцию, и адресата,

для которого затребована операция.

отчет об отказах (rejected report). Отчет, в котором

перечислены отказы в выполнении требований с

указанием даты, реквестера, который затребовал

операцию, и адресата, для которого затребована

операция.

отчет об учетных записях (account report). Отчет, в

котором перечислены имена сотрудников и

соответствующие им учетные записи; в нем указано,

удовлетворяет ли учетная запись текущим правилам

политики.

П

пароль (password). В компьютерной и сетевой защите:

специальная строка символов, которая вводится

пользователем и аутентифицируется системой, после

чего пользователю разрешается доступ к системе и к

хранящейся в ней информации.

подпроцесс (subprocess). Схема рабочего потока,

которая запускается как часть другой схемы рабочего

потока.

подразделение организации (organizational unit).

Совокупность пользователей и ресурсов внутри системы;

эта совокупность создается для того, чтобы разделить

организацию на группы, которыми будет легче

управлять. Пользователя приписывают только к одному

подразделению организации. Ресурс также приписывают

только к одному подразделению организации за

исключением случаев, когда ресурс задан как глобальный

ресурс организации.

политика (policy). В Tivoli: набор правил, который

применяется к управляемым ресурсам. Например,

политику можно применять к паролям или к ресурсам, к

которым пользователь пытается получить доступ.

политика выбора служб (service selection policy). Фильтр

JavaScript, который определяет, какая служба

используется в правиле политики предоставления

доступа.

политика идентификации (identity policy). Правила, в

соответствии с которыми система Tivoli Identity Manager

определяет порядок создания ID пользователей.

политика паролей (password policy). Правила, задающие

набор параметров, которому должны соответствовать

все пароли (например, длина пароля и символы, которые

можно или нельзя использовать в пароле).

политика предоставления доступа (provisioning policy).

Правила, которые определяют возможность доступа к

различным типам управляемых служб, например, к Tivoli

Глоссарий 179

Identity Manager или операционным системам. Доступ

предоставляется всем сотрудникам или каждому

сотруднику в отдельности в зависимости от его роли в

организации. Также можно предоставлять доступ тем

сотрудникам, которым не назначены никакие роли в


пользователь (user). Любое лицо, взаимодействующее с

системой.

пользовательский интерфейс (user interface - UI). Способ

представления информации на экране, посредством

которого пользователь взаимодействует с системой.

право подписи (signature authority). Право на

утверждение и отклонение требований, передаваемых

механизму рабочих потоков. Пользователь или группа

пользователей получают право подписи, если они

обозначены в схеме рабочих потоков как участники или

как участники эскалации.

предельное время ответа (escalation limit). Время (в днях,

часах, минутах или секундах), в течение которого

участник должен ответить на требование; если до

истечения этого срока участник не даст ответ, требование

будет эскалировано.

предоставление доступа (provision). Позволяет

настроить доступ пользователя к системе и управлять его

правами доступа в организации.

предоставляемое право (entitlement). В управлении

защитой: структура данных, служба или список

атрибутов, содержащие информацию о политике.

применение атрибутов (attribute enforcement). Процесс,

посредством которого системные администраторы

задают необходимые атрибуты для учетной записи, а

также допустимые значения для этих атрибутов.

применение политики (policy enforcement). Способ, в

соответствии с которым Tivoli Identity Manager

разрешает или запрещает использование учетных

записей, нарушающих правила политики предоставления

доступа.

приостановить (suspend). Действие по деактивации

учетной записи, в результате которого владелец учетной

записи утрачивает возможность регистрироваться для

доступа к ресурсу.

Р

рабочий поток (workflow). Последовательность

действий, выполняемых в соответствии с

бизнес-процессами предприятия.

реквестер (requestor). Сотрудник, который передает

требование.

ресурс (resource). Аппаратный компонент, программа

или объект данных, управляемые программой Tivoli.

Смотрите также: управляемый ресурс.

роль в организации (organizational role). В применении к

управлению идентификационной информацией: Атрибут,

который определяет членство в правилах политики,

обеспечивающих доступ к различным управляемым

ресурсам.

С

сервер Tivoli Identity Manager (Tivoli Identity Manager

Server). Пакет программных средств и служб,

предназначенный для внедрения решений о

предоставлении доступа на основе правил политики.

сертификатор (Certificate Authority - CA). Организация,

выпускающая сертификаты. Сертификатор

аутентифицирует личность владельца сертификата и

службы, которые владелец сертификата имеет право

использовать, выпускает новые сертификаты, обновляет

существующие сертификаты и аннулирует сертификаты,

принадлежащие пользователям, которые утратили право

на использование соответствующих сертификатов.

системный администратор (system administrator).

Сотрудник, имеющий доступ ко всем областям системы.

В системе Tivoli Identity Manager есть заранее

сконфигурированная группа ITIM. Членам этой группы

ITIM предоставлен максимально широкий доступ к

системе. Пользователи, которые являются членами

группы администраторов ITIM, имеют доступ ко всем

функциям и данным в системе.

служба (service). Программа, которая выполняет

основную функцию на сервере или в связанной

программе.

согласование (reconciliation). В применении к

управлению идентификационной информацией: Процесс

синхронизации учетных записей и сопутствующих

данных в централизованном репозитории данных с

учетными записями и сопутствующими данными на

управляемом ресурсе.

сотрудник бизнес-партнера (business partner person).

Сотрудник, работающий в организации бизнес-партнера.

список действий (to do list). Список действий, которые

должен выполнить пользователь.

срок действия пароля (password expiration period).

Время, в течение которого пользователь может

использовать пароль; по истечении этого времени

пользователь обязан изменить пароль.

статическая роль в организации (static organizational

role). Роль в организации, которую можно назначить

только вручную.

супервизор (supervisor). Лицо в системе Tivoli Identity

Manager, которое назначено владельцем

бизнес-подразделения.


Т

тип элемента управления (control type). Экземпляр

класса типа Java, соответствующий типу пол я в

пользовательском интерфейсе.

требование (request). Действие в системе Tivoli Identity

Manager, позволяющее запросить утверждение или

информацию.

требование о предоставлении информации (request for

information - RFI). В управлении идентификационной

информацией: элемент действий, который позволяет

запросить у того или иного участника дополнительную

информацию и который является обязательным шагом в

рабочем потоке.

У

удостоверение (credential). ID и пароль пользователя,

которые позволяют получить доступ к учетной записи.

уполномоченный (delegate). Пользователь, назначенный

ответственным за утверждение требований или

предоставление информации, необходимой, чтобы

выполнять требования для другого пользователя.

управление предоставлением доступа к ресурсам (resource

provisioning management - RPM). Принцип управления,

который объединяет три ключевых элемента -

бизнес-логику, управление рабочим потоком и агентов

распределения - которые совместно обеспечивают

централизованное управление предоставлением

пользователям доступа к информации и бизнес-ресурсам.

участник (participant). В применении к управлению

идентификационной информацией: Сотрудник, которому

предоставлено разрешение ответить на требование,

переданное через механизм рабочего потока. Участника

можно задать, указав отдельного сотрудника, набор

ролей или пользовательский сценарий JavaScript.

участник эскалации (escalation participant). В

применении к управлению идентификационной

информацией: Сотрудник, которому предоставлено

разрешение отвечать на требования, на которые

исходный участник не ответил за заданное время

эскалации. Чтобы задать участника эскалации, можно

указать отдельного сотрудника, роли или

пользовательский сценарий JavaScript.

участок (location). Один из типов дополнительных

объектов, которые можно добавить в организацию. Как

правило, участки нужны для того, чтобы обеспечить

логическое разделение географически разобщенных

объектов при управлении организацией.

учетная запись (account). Набор параметров, которые

задают информацию для входа в систему, а также

информацию об управлении доступом для пользователя.

Ц

централизованный репозиторий данных (central data

repository). База данных, которая используется для

записи и хранения данных о полномочиях всех

зарегистрированных пользователей и их правах доступа,

включая записи о транзакциях и обслуживании.

цифровой сертификат (digital certificate).

Присоединяемый к электронному сообщению

компонент, используемый для защиты.

Э

электронные формы (electronic forms). Электронные

формы служат шаблоном, который используется, когда

нужно задать запрашиваемые права доступа.

Глоссарий 181

Индекс

Aadhocreporting.properties, файл 135

CCA (Certificate Authority - сертификатор) 29

CertTool 36, 37, 38

changelog 57

Crystal Reports 73

RAS (Report Application Server) 75

конфигурирование 75

поток процессов 74

crystal.properties, файл 138

CSR (Certificate Signing Request - требование о выдаче

подписанного сертификата) 29

CustomLabels.properties, файл 166

DDataBaseFunctions.conf, файл 139

EenRole.properties, файл 97

арендатор по умолчанию, информация 109

информация XML и DTD 117

информация для службы сообщений 112

информация о кэше 111

информация о пуле соединений LDAP 118

информация о сервере LDAP 110

информация о сервере приложений 107

информация о шифровании 119

конфигурация почтовых служб 125

конфигурация рабочих потоков, информация 121

параметры конфигурации, связанные с WebLogic 99

параметры конфигурации, связанные с WebSphere 103

параметры монитора транзакций паролей 116

планирование, информация 115

пользовательский интерфейс управления требованиями,

конфигурация 130

программа конфигурирования системы 120

Свойства двусторонней аутентификации SSL 129

согласование, информация 126

требования приложения-клиента, конфигурация 131

хэширование общего секретного пароля 128

enRoleAuthentication.properties, файл 140

конфигурирование пользовательского механизма

аутентификации 142

enRoleDatabase.properties, файл 143

enRoleLDAPConnection.properties, файл 147

enRoleLogging.properties, файл 150

enRoleMail.properties, файл 154

enrolepolicies.properties, файл 156

enroleworkflow.properties, файл 158

Ffesiextensions.properties, файл 160

GGSKit (IBM Global Security Toolkit) 27

IIBM Directory Integrator (IDI) 38

IBM Global Security Toolkit (GSKit) 27

IDI (IBM Directory Integrator) 38

iKeyman 38

iKeyman, утилита 29

Incremental Data Synchronizerбазовая информация 56

журнал изменений сервера каталога 57

запуск (графический режим) 68

запуск (режим командной строки) 70

использование 55

настройка (adhocreporting.properties) 71

роль журнала изменений ACI 57

установка 55

установка в WebSphere/Windows 60

установка в системе WebLogic/UNIX 63

установка в системе WebLogic/Windows 65

установка в системе WebSphere/UNIX 57

LLog4j 150

OOpen SSL 27

RRAS (Report Application Server) 75

Report Application Server (RAS) 75

RSA SSL-C 27

RSA SSL-J 27

runConfig, утилитавкладка UI 12

логотип заказчика 12

Размер страницы списка 12

Вкладка База данных 8

Информация о пуле баз данных 9

Общая информация о базе данных 9

вкладка Запись в журнал 10

Трассировка исключений 10

Уровень записи в журнал 10

вкладка Защита 13

Вкладка Защитапараметры шифрования 13

управление пользователями сервера приложений 13

Вкладка Каталог 7

Информация о соединении с сервером каталога 8

пул соединений LDAP 8

вкладка Общие 6

информация для планирования 7


Вкладка Почта 10


runConfig, утилита (продолжение)информация о Web-сервере 11

Информация о почте 12

информация о хосте 12

запуск 5

изменение системных свойств 4

описание 4

SSSL

iKeyman, утилита 29

конфигурирование сертификатов 25

конфигурирование сертификатов агента 37

обзор 25

сводная информация по конфигурированию 28

связь SSL между браузером и Web-сервером (WebLogic) 33

связь SSL между браузером и Web-сервером (WebSphere) 29

связь SSL между сервером и агентом 35

CertTool 36, 37

односторонняя аутентификация SSL 36

связь SSL, инициируемая агентом 38

агент на основе ADK 38

агент на основе IDI 38

загрузка JNDI 38

секретные ключи и цифровые сертификаты 26

сертификатор (Certificate Authority - CA) 29

типы реализации SSL 27

требование о выдаче подписанного сертификата (Certificate

Signing Request - CSR) 29

форматы ключей 27

SSO (Single Sign-On - однократная регистрация)как задать URL 51

конфигурирование при использовании WebSEAL 42

конфигурирование серверов plug-in 44

обзор 41

процедура конфигурирования 43

создание ответвления WebSEAL 44

TCP, ответвление 45

ответвление SSL 48

требования, предупреждения и обходные способы 42

UUI.properties, файл 163

WWebSEAL, конфигурирование SSO 42

WebSEAL, ответвление 44

Аарендатор по умолчанию, информация 109

аудитория, для кого предназначена данная книга vii

Ввывод списков, конфигурирование пользовательского 16

Гграфический пользовательский интерфейс

настройка вывода списков 16

графический пользовательский интерфейс (продолжение)пользовательские атрибуты дисплея 16

пользовательский логотип 15

графический пользовательский интерфейс Tivoli Identity Managerконфигурирование свойств 14

Ддисплей, конфигурирование пользовательских атрибутов 16

документация, библиотека Tivoli Identity Manager vii

как получить доступ к публикациям по электронной сети ix

прочая документация ix

дополнительные свойства 133

adhocreporting.properties, файл 135

crystal.properties, файл 138

CustomLabels.properties, файл 166

DataBaseFunctions.conf, файл 139

enRoleAuthentication.properties, файл 140

enRoleDatabase.properties, файл 143

enRoleLDAPConnection.properties, файл 147

enRoleLogging.properties, файл 150

enRoleMail.properties, файл 154

enrolepolicies.properties, файл 156

enroleworkflow.properties, файл 158

fesiextensions.properties, файл 160

UI.properties, файл 163

Ззаявление о специальных возможностях пользования

документацией x

Иинформация XML и DTD 117







Ккак обратиться в службу поддержки программ x




конфигурирование пользовательского механизма

аутентификации 142

Ллоготип, конфигурирование пользовательского 15

Ммеханизм аутентификации, конфигурирование

пользовательского 142

Ннедопустимые пароли, как задать 20


Ооднократная регистрация (Single Sign-On - SSO)

как задать URL 51

конфигурирование при использовании WebSEAL 42

конфигурирование серверов plug-in 44

обзор 41

процедура конфигурирования 43

создание ответвления WebSEAL 44

TCP, ответвление 45

ответвление SSL 48

требования, предупреждения и обходные способы 42

ответвление WebSEAL 44

отчеты Crystalпримеры отчетов 85

разработка условий фильтров отчетов 83

учебник по фильтрам отчетов 83

Ппараметры конфигурации, связанные с WebLogic 99



пароликак задать недопустимый тип 20

словарь паролей 20


поддержка программ, как обратиться x

пользовательские атрибуты дисплея, конфигурирование 16

пользовательские отчетыпримеры отчетов 91

разработка условий фильтров отчетов 89


пользовательский вывод списков, конфигурирование 16



пользовательский логотип, конфигурирование 15

пользовательский механизм аутентификации,



программы, как обратиться в службу поддержки x

публикации, библиотека Tivoli Identity Manager vii


прочая документация ix


ССвойства двусторонней аутентификации SSL 129

свойства, конфигурирование при помощи графического

пользовательского интерфейса 14


сертификаты (SSL)iKeyman, утилита 29


конфигурирование сертификатов агента 37

обзор 25

сводная информация по конфигурированию 28

связь SSL между браузером и Web-сервером (WebLogic) 33

связь SSL между браузером и Web-сервером (WebSphere) 29

связь SSL между сервером и агентом 35

CertTool 36, 37

односторонняя аутентификация SSL 36

связь SSL, инициируемая агентом 38

агент на основе ADK 38

агент на основе IDI 38

загрузка JNDI 38

сертификаты (SSL) (продолжение)секретные ключи и цифровые сертификаты 26


типы реализации SSL 27

требование о выдаче подписанного сертификата (Certificate


форматы ключей 27

системные свойстваenRole.properties, файл 97

арендатор по умолчанию, информация 109

информация XML и DTD 117









параметры конфигурации, связанные с WebLogic 99







Свойства двусторонней аутентификации SSL 129



хэширование общего секретного пароля 128

что такое файлы свойств 98, 134

словарь паролей 20

согласованиеисключение учетных записей 21


средство конфигурирования системывкладка UI 12

логотип заказчика 12

Размер страницы списка 12

вкладка База данных 8

Информация о пуле баз данных 9

Общая информация о базе данных 9

вкладка Запись в журнал 10

Трассировка исключений 10

Уровень записи в журнал 10

вкладка Защита 13

параметры шифрования 13

управление пользователями сервера приложений 13

вкладка Каталог 7

Вкладка КаталогИнформация о соединении с сервером каталога 8


вкладка Общие 6

информация для планирования 7


Вкладка Почта 10

информация о Web-сервере 11

Информация о почте 12

информация о хосте 12

запуск 5

изменение системных свойств 4

описание 4

срок хранения в корзине (в днях) 7

Индекс 185

Ттребование о выдаче подписанного сертификата (Certificate



Уусловия фильтров отчетов

отчеты Crystal 83

примеры отчетов 85


пользовательские отчеты 89

примеры отчетов 91


условные обозначения, используемые в данном документе x

Ффайлы свойств 5

adhocreporting.properties 135

crystal.properties 138

CustomLabels.properties 166

DataBaseFunctions.conf 139

enRole.properties, файл 97

enRoleAuthentication.properties 140

enRoleDatabase.properties 143

enRoleLDAPConnection.properties 147

enRoleLogging.properties 150

enRoleMail.properties 154

enrolepolicies.properties 156

enroleworkflow.properties 158

fesiextensions.properties 160

UI.properties 163

дополнительные свойства 133

Ххэширование общего секретного пароля 128

Ччастота 7

Шшаблон электронной почты 21


��

Номер программы: 5724–C34

Напечатано в Дании

SC43-0425-00

Руководство по...

Documents