test

Sun Java System Access Manager 7 2005Q4 管理指南

第 I 部分 Access Manager 配置

这是《 Sun Java System Access ManagerTM 7 2005Q4 管理指南》的第一部分。 本部分讨论安装 Access Manager 之后可以执行的配置选项。本部分包含以下各章:

第 1 章 Access Manager 7 2005Q4 配置脚本

本章介绍如何使用 amconfig 脚本和范例无提示模式输入文件 (amsamplesilent) 配置和部署 Sun JavaTM System Access Manager。包括以下主题:

Access Manager 7 2005Q4 安装概述

对于新的安装,应始终运行 Sun Java Enterprise System (Java ES) 安装程序来安装 Access Manager 7 2005Q4 的第一个实例。当运行安装程序时,可以选择 Access Manager 的以下两个选项之一:

注 –

如果作为 Access Manager Web 容器安装 BEA WebLogic 或 IBM WebSphere Application Server,则在安装 Access Manager 时必须选择“以后再配置”选项。有关详细信息,请参阅第 2 章,安装和配置第三方 Web 容器

有关安装程序的信息,请参阅《Sun Java Enterprise System 2005Q4 Installation Guide for UNIX》

Java Enterprise System 安装程序将 Access Manager 7 2005Q4 amconfig 脚本和范例无提示模式输入文件 (amsamplesilent) 安装在 Solaris 系统的 AccessManager-base/SUNWam/bin 目录中或 Linux 系统的 AccessManager-base/identity/bin 目录中。

AccessManager-base 代表 Access Manager 的基本安装目录。在 Solaris 系统中,默认的基本安装目录为 /opt, 在 Linux 系统中,默认基本安装目录为 /opt/sun。不过,如果愿意,您可以在运行安装程序时指定其他目录。

amconfig 脚本为顶级脚本,可根据需要调用其他脚本执行所请求的操作。有关详细信息,请参阅Access Manager amconfig 脚本

此范例配置脚本输入文件 (amsamplesilent) 是一个模板,您可以使用该模板来创建在无提示模式下运行 amconfig 脚本时必须指定的输入文件。

此范例配置脚本输入文件是包含 Access Manager 配置变量的 ASCII 文本文件。运行 amconfig 脚本之前,先复制(如果需要,可重命名)amsamplesilent 文件,然后根据系统环境编辑文件中的变量。配置变量采用以下格式:

variable-name=value

例如:

DEPLOY_LEVEL=1
 NEW_INSTANCE=true
 SERVER_HOST=ishost.example.com

有关可以在配置脚本输入文件中设置的变量列表,请参阅Access Manager 范例配置脚本输入文件

注意 – 注意 –

在无提示模式下运行 amconfig 脚本时,所使用的范例配置脚本输入文件的格式不遵循与 Java Enterprise System 无提示安装状态文件相同的格式,或没有必要使用与其相同的变量名。此文件包含敏感数据,如管理员密码。确保保护好此文件或适时地将其删除。

Access Manager amconfig 脚本操作

通过 Sun Java Enterprise System 安装程序安装 Access Manager 的第一个实例后,可以运行 amconfig 脚本来执行以下操作,具体取决于无提示模式输入文件中的变量值:

Access Manager 范例配置脚本输入文件

在运行 Java Enterprise System 安装程序后,Access Manager 范例配置脚本输入文件 (amsamplesilent) 在 Solaris 系统的 AccessManager-base/SUNWam/bin 目录中或在 Linux 系统的 AccessManager-base/identity/bin 目录中可用。

要设置配置变量,请首先复制并重命名 amsamplesilent 文件。然后为要执行的操作设置副本中的变量。有关此文件的示例,参见示例配置脚本输入文件

此范例无提示模式输入文件包含以下配置变量:

部署模式变量

本节介绍 DEPLOY_LEVEL 变量的值,这是必需的变量。此变量确定需要 amconfig 脚本执行的操作。

表 1–1 Access Manager DEPLOY_LEVEL 变量

操作 

DEPLOY_LEVEL 变量值和说明 

安装 

1 = 为新实例安装完整的 Access Manager(默认值) 

2 = 仅安装 Access Manager 控制台 

3 = 仅安装 Access Manager SDK  

4 = 仅安装 SDK 并配置容器 

5 = 仅安装“联合管理”模块 

6 = 仅安装服务器 

7= 安装 Access Manager 并配置容器以使用 Portal Server 部署。 

注意: DEPLOY_MODE=7 仅适用于使用 Portal Server 部署 Access Manager。

对于某些部署,您可能想使用不同的 Web 容器在单个主机服务器上仅安装控制台或仅安装服务器。首先,运行 Java ES 安装程序以通过“以后再配置”选项来安装所有 Access Manager 子组件。然后,运行 amconfig 脚本来配置控制台和服务器实例。

卸载(取消配置) 

11 = 完全卸载 

12 = 仅卸载控制台 

13 = 仅卸载 SDK 

14 = 仅卸载 SDK 并取消容器配置 

15 = 卸载“联合管理”模块 

16 = 仅卸载服务器 

使用 Portal Server 部署时,卸载 Access Manager 并取消配置容器。 

注意: DEPLOY_MODE=7 仅在使用 Portal Server 部署 Access Manager 时使用。

重新安装 

(也称为重新部署或重新配置) 

21 = 重新部署所有(控制台、密码、服务和通用属性)Web 应用程序。 

26 = 取消部署所有(控制台、密码、服务和通用属性) Web 应用程序。 

Access Manager 配置变量

本节介绍 Access Manager 配置变量。

表 1–2 Access Manager 配置变量

变量 

说明 

AM_REALM 

表示 Access Manager 模式: 

  • 已启用:具有 Access Manager 7 2005Q4 功能和控制台的 Access Manager 在“领域”模式下运行。

  • 已禁用:具有 Access Manager 6 2005Q1 功能和控制台的 Access Manager 在“传统”模式下运行。

默认值:已启用 

注意 – 注意 –

默认情况下启用 Access Manager 领域模式。如果使用 Portal Server、Messaging Server、Calendar Server、Delegated Administrator 或 Instant Messaging 部署 Access Manager,则必须在运行 amconfig 脚本之前选择“传统”模式(AM_REALM=已禁用)。

BASEDIR 

Access Manager 软件包的基本安装目录。 

默认值:PLATFORM_DEFAULT 

对于 Solaris 系统,PLATFORM_DEFAULT 为 /opt

对于 Linux 系统,PLATFORM_DEFAULT 为 /opt/sun

SERVER_HOST 

Access Manager 在其中运行(或将要安装)的系统的全限定主机名。 

对于远程 SDK 安装,将此变量设置为安装(或将要安装)Access Manager 的主机,而不是远程客户机主机。 

此变量应与 Web 容器配置中对应的变量相匹配。例如,对于 Application Server 8,此变量应与 AS81_HOST 相匹配。 

SERVER_PORT 

Access Manager 端口号。默认值:58080 

对于远程 SDK 安装,将此变量设置为安装(或将要安装)Access Manager 的主机而不是远程客户机主机上的端口。 

此变量应与 Web 容器配置中对应的变量相匹配。例如,对于 Application Server 8,此变量应与 AS81_PORT 相匹配。 

SERVER_PROTOCOL 

服务器协议:http 或 https。默认值:http 

对于远程 SDK 安装,将此变量设置为安装(或将要安装)Access Manager 的主机而不是远程客户机主机上的协议。 

此变量应与 Web 容器配置中对应的变量相匹配。例如,对于 Application Server 8,此变量应与 AS81_PROTOCOL 相匹配。 

CONSOLE_HOST 

安装控制台的服务器的全限定主机名。 

默认值:为 Access Manager 主机提供的值 

CONSOLE_PORT 

控制台安装以及侦听连接所在 Web 容器的端口。 

默认值:为 Access Manager 端口提供的值 

CONSOLE_PROTOCOL 

控制台安装所在 Web 容器的协议。 

默认值:服务器协议 

CONSOLE_REMOTE 

如果控制台远离 Access Manager 服务,则将其设置为 true。否则,设置为 false。默认值:false 

DS_HOST 

Directory Server 的全限定主机名。 

DS_PORT 

Directory Server 端口。默认值:389。 

DS_DIRMGRDN 

目录管理员 DN:可以无限制地访问 Directory Server 的用户。 

默认值:"cn=Directory Manager"

DS_DIRMGRPASSWD 

目录管理员的密码 

请参阅Access Manager 配置变量的说明中有关特殊字符的注释。

ROOT_SUFFIX 

目录的开首或根后缀。必须确保此值在所使用的 Directory Server 中存在。 

请参阅Access Manager 配置变量的说明中有关特殊字符的注释。

ADMINPASSWD 

管理员的密码 (amadmin)。必须与 amldapuser 的密码不同。

注意:如果密码包含特殊字符,如斜线 (/) 或反斜线 (\\),则必须用单引号 (”) 将特殊字符引起来。例如:

ADMINPASSWD=’\\\\\\\\\\####///’

但是,密码中不能包含单引号。 

AMLDAPUSERPASSWD 

amldapuser 的密码。必须与 amadmin 的密码不同。

请参阅Access Manager 配置变量的说明中有关特殊字符的注释。

CONSOLE_DEPLOY_URI 

URI 前缀,用于访问与 Access Manager 管理控制台子组件相关联的 HTML 页面、类和 JAR 文件。 

默认值:/amconsole

SERVER_DEPLOY_URI 

URI 前缀,用于访问与身份管理和策略服务核心子组件相关联的 HTML 页面、类和 JAR 文件。 

默认值:/amserver

PASSWORD_DEPLOY_URI 

URI,用于确定运行 Access Manager 的 Web 容器要在您指定的字符串和对应的已部署应用程序之间使用的映射。 

默认值:/ampassword

COMMON_DEPLOY_URI 

用于访问 Web 容器中公共域服务的 URI 前缀。 

默认值:/amcommon

COOKIE_DOMAIN 

Access Manager 在向用户授予会话 ID 时返回到浏览器的可信赖 DNS 域的名称。至少应有一个值。一般而言,采用的格式是在服务器域名前加上一个英文句点。 

示例:.example.com

JAVA_HOME 

JDK 安装目录的路径。默认值:/usr/jdk/entsys-j2se。此变量提供命令行界面(如 amadmin)的可执行文件使用的 JDK。版本必须为 1.4.2 或更高版本。

AM_ENC_PWD 

密码加密密钥:Access Manager 用来加密用户密码的字符串。默认值:无。当此值被设置为 none 时,amconfig 将为用户生成密码加密密钥,因此将存在由用户指定或通过 amconfig 创建的用于安装的密码加密。

重要提示:如果部署 Access Manager 的多个实例或远程 SDK,则所有的实例必须使用相同的密码加密密钥。部署附加实例时,为第一个实例从 AMConfig.properties 文件中的 am.encryption.pwd 属性复制值。

PLATFORM_LOCALE 

平台的语言环境。默认值:en_US(美国英语)

NEW_OWNER 

安装后 Access Manager 文件的新拥有者。默认值:root

NEW_GROUP 

安装后 Access Manager 文件的新组。默认值:other

对于 Linux 安装,将 NEW_GROUP 设置为 root

PAM_SERVICE_NAME 

PAM 配置中 PAM 服务的名称或操作系统附带的并用于 Unix 验证模块的堆栈(通常,对于 Solaris 是 other,对于 Linux 是 password)。默认值:other

XML_ENCODING 

XML 编码。默认值:ISO-8859-1

NEW_INSTANCE 

指定配置脚本是否应将 Access Manager 部署到新的用户创建的 Web 容器实例中: 

  • true = 将 Access Manager 部署到新的用户创建的已存在实例以外的 Web 容器实例中。

  • false = 配置第一个实例或重新配置实例。

    默认值:false

SSL_PASSWORD 

在此版本中不使用。 

Web 容器配置变量

要指定 Access Manager 的 Web 容器,请设置无提示模式输入文件中的 WEB_CONTAINER 变量。有关 Access Manager 7 2005Q4 支持的 Web 容器的版本,请参阅《Sun Java System Access Manager 7 2005Q4 发行说明》

表 1–3 Access Manager WEB_CONTAINER 变量

值 

Web 容器 

WS6(默认值) 

Sun Java System Web Server 6.1 SP5

AS8 

Sun Java System Application Server 8.1

WL8 

BEA WebLogic Server 8.1

WAS5 

IBM WebSphere 5.1

Sun Java System Web Server 6.1 SP5

本节介绍无提示模式输入文件中 Web Server 6.1 2005Q4 SP5 的配置变量

表 1–4 Web Server 6.1 配置变量

变量 

说明 

WS61_INSTANCE 

将要在其中部署或取消部署 Access Manager 的 Web Server 实例的名称。 

默认值:https-web-server-instance-name

其中,web-server-instance-name 为此 Access Manager 的主机 (Access Manager 配置变量变量)

WS61_HOME 

Web Server 基本安装目录。 

默认值:/opt/SUNWwbsvr

WS61_PROTOCOL 

将要在其中部署 Access Manager 的Sun Java System Web Server 6.1 SP5变量设置的 Web Server 实例使用的协议:http 或 https。

默认值:Access Manager 协议(Access Manager 配置变量变量)

WS61_HOST 

Web Server 实例的全限定主机名(Sun Java System Web Server 6.1 SP5变量)。

默认值:Access Manager 主机实例(Access Manager 配置变量变量)

WS61_PORT 

Web Server 侦听连接时所用的端口。 

默认值:Access Manager 端口号(Access Manager 配置变量变量)

WS61_ADMINPORT 

“Web Server 管理服务器”侦听连接时所用的端口。 

默认值:8888 

WS61_ADMIN 

Web Server 管理员的用户 ID。 

默认值:"admin"

Sun Java System Application Server 8.1

本节介绍无提示模式输入文件中 Application Server 8.1 的配置变量

表 1–5 Application Server 8.1 配置变量

变量 

说明 

AS81_HOME 

Application Server 8.1 安装的目录的路径。 

默认值:/opt/SUNWappserver/appserver

AS81_PROTOCOL 

Application Server 实例使用的协议:http 或 https。 

默认值:Access Manager 协议(Access Manager 配置变量变量)

AS81_HOST 

Application Server 实例侦听连接时所用的全限定域名 (FQDN)。 

默认值:Access Manager 主机(Access Manager 配置变量变量)

AS81_PORT 

Application Server 实例侦听连接时所用的端口。 

默认值:Access Manager 端口号(Access Manager 配置变量变量)

AS81_ADMINPORT 

Application Server 管理服务器侦听连接时所用的端口。 

默认值:4849 

AS81_ADMIN 

Application Server 当前在其中显示的域的 Application Server 管理服务器管理员的用户名。 

默认值:admin

AS81_ADMINPASSWD 

Application Server 当前在其中显示的域的 Application Server 管理员的密码。 

请参阅Access Manager 配置变量的说明中有关特殊字符的注释。

AS81_INSTANCE 

将运行 Access Manager 的 Application Server 实例的名称。 

默认值:server

AS81_DOMAIN 

要在其中部署此 Access Manager 实例的域的 Application Server 目录的路径。 

默认值:domain1

AS81_INSTANCE_DIR 

Application Server 存储实例文件的目录的路径。 

默认值:/var/opt/SUNWappserver/domains/domain1

AS81_DOCS_DIR 

Application Server 用来存储内容文档的目录。 

默认值:/var/opt/SUNWappserver/domains/domain1/docroot

AS81_ADMIN_IS_SECURE 

指定 Application Server 管理实例是否正在使用 SSL: 

  • true:启用安全端口(HTTPS 协议)。

  • false:不启用安全端口(HTTP 协议)。

    默认值:true(已启用)

    ampsamplesilent 中的附加设置指定了应用服务器管理端口是否安全:

  • true:应用服务器管理端口安全(HTTPS 协议)。

  • false:应用服务器管理端口不安全(HTTP 协议)。

    默认值:True(已启用)。

BEA WebLogic Server 8.1

本节介绍无提示模式输入文件中 BEA WebLogic Server 8.1 的配置变量。

表 1–6 BEA WebLogic Server 8.1 配置变量

变量 

说明 

WL8_HOME 

WebLogic 起始目录。默认值:/usr/local/bea

WL8_PROJECT_DIR 

WebLogic 项目目录。默认值:user_projects

WL8_DOMAIN 

WebLogic 域名。默认值:mydomain

WL8_SERVER 

WebLogic 服务器名。默认值:myserver

WL8_INSTANCE 

WebLogic 实例名。默认值:/usr/local/bea/weblogic81 ($WL8_HOME/weblogic81)

WL8_PROTOCOL 

WebLogic 协议。默认值:http 

WL8_HOST 

WebLogic 主机名。默认值:服务器主机名 

WL8_PORT 

WebLogic 端口。默认值:7001 

WL8_SSLPORT 

WebLogic SSL 端口。默认值:7002 

WL8_ADMIN 

WebLogic 管理员。默认值:"weblogic"

WL8_PASSWORD 

WebLogic 管理员密码。 

请参阅Access Manager 配置变量的说明中有关特殊字符的注释。

WL8_JDK_HOME 

WebLogic JDK 起始目录。默认值:BEA WebLogic Server 8.1 /jdk142_04

WL8_CONFIG_LOCATION 

应设置为 WebLogic 启动脚本所在位置的父目录。 

IBM WebSphere 5.1

本节介绍无提示模式输入文件中 IBM WebSphere Server 5.1 的配置变量。

表 1–7 IBM WebSphere 5.1 配置变量

变量 

说明 

WAS51_HOME 

WebSphere 起始目录。默认值:/opt/WebSphere/AppServer

WAS51_JDK_HOME 

WebSphere JDK 起始目录。默认值:/opt/WebSphere/AppServer/java

WAS51_CELL 

WebSphere 单元。默认值:hostname 值 

WAS51_NODE 

WebSphere 节点名。默认值:WebSphere 安装服务器的主机名。默认值:hostname 值 

WAS51_INSTANCE 

WebSphere 实例名。默认值:server1

WAS51_PROTOCOL 

WebSphere 协议。默认值:http 

WAS51_HOST 

WebSphere 主机名。默认值:服务器主机名

WAS51_PORT 

WebSphere 端口。默认值:9080 

WAS51_SSLPORT 

WebSphere SSL 端口。默认值:9081 

WAS51_ADMIN 

WebSphere 管理员。默认值:"admin"

WAS51_ADMINPORT 

WebSphere 管理员端口。默认值:9090 

Directory Server 配置变量

有关 Access Manager 7 2005Q4 支持的 Directory Server 的版本,请参阅《Sun Java System Access Manager 7 2005Q4 发行说明》。本节介绍无提示模式输入文件中的 Directory Server 配置变量。

表 1–8 Directory Server 配置变量

变量 

说明 

DIRECTORY_MODE 

Directory Server 模式: 

1 = 用于新安装的“目录信息树”(DIT)。 

2 = 用于现有 DIT。命名属性和对象类是相同的,因此配置脚本会加载 installExisting.ldif 文件和 umsExisting.ldif 文件。

配置脚本还会用配置期间输入的实际值(例如,BASE_DIR、SERVER_HOST 和 ROOT_SUFFIX)来更新 LDIF 和属性文件。 

此更新也称为“标记交换”引用,因为配置脚本是以实际配置值替换文件中的占位符标记。 

3 = 在您想要进行手动加载时,用于现有的 DIT。命名属性和对象类不同,因此配置脚本不加载 installExisting.ldif 文件和 umsExisting.ldif 文件。脚本会执行标记交换(见模式 2 的描述)。

应先检查和修改(如果需要)LDIF 文件,然后再手动加载 LDIF 文件和服务。 

4 = 用于现有多服务器安装。配置脚本不加载 LDIF 文件和服务,因为此操作违背了现有的 Access Manager 安装。脚本仅执行标记交换(见模式 2 的描述)并在平台列表中添加一个服务器条目。 

5 = 用于现有升级。脚本仅执行标记交换(见模式 2 的描述)。 

默认值:1 

USER_NAMING_ATTR 

用户命名属性:用户或资源在其相对名称空间中的唯一标识符。默认值:uid

ORG_NAMING_ATTR 

用户所在公司或组织的命名属性。默认值:o

ORG_OBJECT_CLASS 

组织对象类。默认值:sunismanagedorganization

USER_OBJECT_CLASS 

用户对象类。默认值:inetorgperson

DEFAULT_ORGANIZATION 

默认组织名。默认值:无 

Access Manager amconfig 脚本

在运行 Java Enterprise System 安装程序后,amconfig 脚本在 Solaris 系统的 AccessManager-base/SUNWam/bin 目录中或在 Linux 系统的 AccessManager-base/identity/bin 目录中可用。

amconfig 脚本读取无提示配置输入文件,然后根据需要在无提示模式下调用其他脚本,以执行请求的操作。

要运行 amconfig 脚本,请使用以下语法:


amconfig -s
          input-file

其中:

-s 在无提示模式下运行 amconfig

input-file 为包含要执行的操作的配置变量的无提示配置输入文件。有关详细信息,请参阅Access Manager 范例配置脚本输入文件

运行 amconfig 脚本的几个注意事项:

注 –

在 Access Manager 7 2005Q4 版本中,不支持以下脚本:

同样,默认情况下 amserver 启动仅启动验证 amsecuriddamunixd 帮助器。amsecuridd 帮助器仅在 Solaris OS SPARC 平台上可用。

Access Manager 部署方案

使用 Java Enterprise System 安装程序安装 Access Manager 的第一个实例后,可以通过编辑无提示配置输入文件中的配置变量,然后运行 amconfig 脚本来部署和配置附加 Access Manager 实例。

本节介绍以下方案:

部署 Access Manager 的附加实例

在部署新的 Access Manager 实例之前,必须先使用 Web 容器的管理工具创建并启动新的 Web 容器实例。有关信息,请参阅特定 Web 容器文档:

本节介绍的步骤仅应用于使用“立即配置”选项安装的 Access Manager 实例。如果您计划将 WebLogic 或 WebSphere 用作 Web 容器, 则必须在安装 Access Manager 时使用“以后再配置”选项。有关详细信息,请参阅第 2 章,安装和配置第三方 Web 容器

部署附加的 Access Manager 实例

本节介绍如何在不同的主机服务器上部署附加的 Access Manager 实例以及更新“平台服务器列表”。

Procedure部署附加的 Access Manager 实例

步骤

  1. 以管理员身份登录,具体取决于实例的 Web 容器。例如,如果新实例的 Web 容器将是 Web Server 6.1,则以超级用户 (root) 身份或以“Web Server 管理服务器”的用户帐户登录均可。

  2. amsamplesilent 文件复制到可写的目录,并将此目录作为当前目录。例如,可以创建名为 /newinstances 的目录。

    提示:重命名 amsamplesilent 文件的副本以描述要部署的新实例。例如,以下步骤使用名为 amnewws6instance 的输入文件为 Web Server 6.1 安装新实例。

  3. 在新的 amnewws6instance 文件中设置以下变量:


    DEPLOY_LEVEL=1
 NEW_INSTANCE=true

    根据所要创建的新实例的需要设置 amnewws6instance 文件中的其他变量。有关这些变量的描述,请参阅以下各节中的表格:

  4. 运行 amconfig,指定新的 amnewws6instance 文件。例如,在 Solaris 系统中:


    # cd opt/SUNWam/bin/
 # ./amconfig -s ./newinstances/amnewws6instance

    -s 选项在无提示模式下运行 amconfig 脚本。

    amconfig 脚本根据需要调用其他配置脚本,使用 amnewws6instance 文件中的变量部署新实例。

Procedure更新“平台服务器列表”

创建附加容器实例时,必须更新“Access Manager 平台服务器列表”以反映容器的附加内容。

步骤

  1. 以顶级管理员身份登录到 Access Manager 控制台。

  2. 单击“服务配置”选项卡。

  3. 单击“平台”服务。

  4. 为“服务器列表”中的新实例输入以下信息:

    protocol:// fqdn:port|instance-number

    实例编号应为下一个尚未使用的可用编号。

  5. 单击“添加”。

  6. 单击“保存”。

配置和重新配置 Access Manager 的实例

通过运行 amconfig 脚本,可以配置使用 Java Enterprise System 安装程序中的“以后再配置”选项安装的某个 Access Manager 实例,或者重新配置使用“立即配置”选项安装的第一个实例。

例如,可能要重新配置实例以更改 Access Manager 拥有者和组。

Procedure配置或重新配置 Access Manager 的实例

步骤

  1. 以管理员身份登录,具体取决于实例的 Web 容器。例如,如果 Web 容器为 Web Server 6.1,则以超级用户 (root) 身份或以“Web Server 管理服务器”的用户帐户登录均可。

  2. 将用来部署实例的无提示配置输入文件复制到可写的目录,并将此目录作为当前目录。例如,要重新配置 Web Server 6.1 的实例,以下步骤使用 /reconfig 目录中的名为 amnewinstanceforWS61 的输入文件。

  3. amnewinstanceforWS61 文件中,将 DEPLOY_LEVEL 变量设置为描述部署模式变量操作的值中的一个值。例如,设置 DEPLOY_LEVEL=21 可对完全安装进行重新配置。

  4. amnewinstanceforWS61 文件中,将 NEW_INSTANCE 变量设置为 false:


    NEW_INSTANCE=false

  5. 设置 amnewinstanceforWS61 文件中的其他变量以重新配置实例。例如,要更改实例的所有者和组,请将 NEW_OWNER 和 NEW_GROUP 变量设置为各自的新值。

    有关其他变量的描述,请参阅以下各节中的表格:

  6. 运行 amconfig 脚本,指定所编辑的输入文件。例如,在 Solaris 系统中:


    # cd opt/SUNWam/bin/
 # ./amconfig -s ./reconfig/amnewinstanceforWS61

    -s 选项在无提示模式下运行此脚本。amconfig 脚本根据需要调用其他配置脚本,使用 amnewinstanceforWS61 文件中的变量重新配置实例。

卸载 Access Manager

通过运行 amconfig 脚本,可以卸载以前安装的 Access Manager 实例。也可以临时取消配置 Access Manager 的实例,除非删除 Web 容器实例,否则它仍可用于以后重新部署其他的 Access Manager 实例。

Procedure卸载 Access Manager 的实例

步骤

  1. 以管理员身份登录,具体取决于实例的 Web 容器。例如,如果 Web 容器为 Web Server 6.1,则以超级用户 (root) 身份或以“Web Server 管理服务器”的用户帐户登录均可。

  2. 将用来部署实例的无提示配置输入文件复制到可写的目录,并将此目录作为当前目录。例如,要取消配置 Web Server 6.1 的实例,以下步骤将使用 /unconfigure 目录中的名为 amnewinstanceforWS61 的输入文件。

  3. amnewinstanceforWS61 文件中,将 DEPLOY_LEVEL 变量设置为描述部署模式变量操作的值中的一个值。例如,设置 DEPLOY_LEVEL=11 可对完全安装进行卸载(或取消配置)。

  4. 运行 amconfig 脚本,指定所编辑的输入文件。例如,在 Solaris 系统中:


    # cd opt/SUNWam/bin/
 # ./amconfig -s ./unconfigure/aminstanceforWS61

    -s 选项在无提示模式下运行此脚本。amconfig 脚本读取 amnewinstanceforWS61 文件,然后卸载此实例。

    如果您以后想要使用 Web 容器实例来重新部署其他 Access Manager 实例,该 Web 容器实例将仍然可用。

卸载所有的 Access Manager 实例

此方案会彻底删除系统中的 Access Manager 7 2005Q4 实例和软件包。

Procedure彻底删除系统中的 Access Manager 7 2005Q4

步骤

  1. 以超级用户 (root) 身份登录或成为超级用户。

  2. 在用来部署此实例的输入文件中,将 DEPLOY_LEVEL 变量设置为描述部署模式变量操作的值中的一个值。例如,设置 DEPLOY_LEVEL=11 可对完全安装进行卸载(或取消配置)。

  3. 使用在卸载所有的 Access Manager 实例中编辑的文件运行 amconfig 脚本。例如,在 Solaris 系统中:


    # cd opt/SUNWam/bin/ 
# ./amconfig -s ./newinstances/amnewws6instance

    以无提示模式运行 amconfig 脚本来卸载实例。

    为要卸载的任何其他 Access Manager 实例重复这些步骤,使用 Java Enterprise System 安装程序安装的第一个实例除外。

  4. 要从系统中卸载第一个实例和删除所有的 Access Manager 软件包,请运行 Java Enterprise System 卸载程序。有关卸载程序的信息,请参阅《Sun Java Enterprise System 2005Q4 Installation Guide for UNIX》

示例配置脚本输入文件

下面一节包含使用 WebLogic 8.1 部署的 Access Manager 配置脚本输入文件的示例。


DEPLOY_LEVEL=1
BASEDIR=/opt
SERVER_HOST=ide-56.example.company.com
SERVER_PORT=7001
SERVER_PROTOCOL=http
CONSOLE_HOST=$SERVER_HOST
CONSOLE_PORT=$SERVER_PORT
CONSOLE_PROTOCOL=$SERVER_PROTOCOL
CONSOLE_REMOTE=false
DS_HOST=ide-56.example.company.com
DS_PORT=389
DS_DIRMGRDN=”cn=Directory Manager”
DS_DIRMGRPASSWD=11111111
ROOT_SUFFIX=”dc=company,dc=com”
ADMINPASSWD=11111111
AMLDAPUSERPASSWD=00000000
CONSOLE_DEPLOY_URI=/amconsole
SERVER_DEPLOY_URI=/amserver
PASSWORD_DEPLOY_URI=/ampassword
COMMON_DEPLOY_URI=/amcommon
COOKIE_DOMAIN=.iplanet.com
JAVA_HOME=/usr/jdk/entsys-j2se
AM_ENC_PWD=””
PLATFORM_LOCALE=en_US
NEW_OWNER=root
NEW_GROUP=other
XML_ENCODING=ISO-8859-1
NEW_INSTANCE=false
WEB_CONTAINER=WL8
WL8_HOME=/export/bea8
WL8_PROJECT_DIR=user_projects
WL8_DOMAIN=mydomain
WL8_CONFIG_LOCATION=$WL8_HOME/$WL8_PROJECT_DIR/domains
WL8_SERVER=myserver
WL8_INSTANCE=/export/bea8/weblogic81
WL8_PROTOCOL=http
WL8_HOST=ide-56.example.company.com
WL8_PORT=7001
WL8_SSLPORT=7002
WL8_ADMIN=”weblogic”
WL8_PASSWORD=”11111111”
WL8_JDK_HOME=$WL8_HOME/jdk142_04
DIRECTORY_MODE=1
USER_NAMING_ATTR=uid
ORG_NAMING_ATTR=o
ORG_OBJECT_CLASS=examplemanagedorganization
USER_OBJECT_CLASS=inetorgperson
DEFAULT_ORGANIZATION=
Sample Configuration Script Input File for WebLogic 8.1.x

第 2 章 安装和配置第三方 Web 容器

本章介绍安装和配置用 Sun Java™ System Access Manager 部署的第三方 Web 容器的步骤。对于此版本,Access Manager 支持 BEA WebLogic 8.1(及其最新的修补程序)和 IBM WebSphere 5.1(及其最新的修补程序)。

WebLogic 和 WebSphere 不是 Java Enterprise System 的一部分,因此不能使用 Java ES 安装程序进行安装和配置。大体步骤如下:

安装和配置 BEA WebLogic 8.1

安装 WebLogic 之前,请确保主机域名已在 DNS 中注册。另外,检查安装的 WebLogic 软件的版本是否正确。有关详细信息,请转至 BEA 产品站点:http://commerce.bea.com/index.jsp。

Procedure安装和配置 WebLogic 8.1

步骤

  1. 将下载的 .zip 格式或 .gz 格式的软件映像解压缩。请确保所用的 zip/gzip 实用程序适用于当前平台,否则在解压缩期间将接收到校验和错误。

  2. 从目标系统的 shell 窗口运行安装程序。

    请遵循 WebLogic 安装实用程序(详细的安装说明位于 http://e-docs.bea.com/wls/docs81/)提供的步骤。

    在安装过程中,请确保记录以下信息以便以后在 Access Manager 配置中使用:

    • FQDN(在 WL8_HOST 参数中使用)

      • 安装位置

      • 端口号

  3. 安装完成后,运行 WebLogic 配置工具,配置以下位置的域和服务器实例:

    WebLogic-base/WebLogic-instance/common/bin/quickstart.sh

    默认情况下,WebLogic 将服务器实例定义为 myserver,将域定义为 mydomain。您不太可能会选择使用这些默认值。如要创建新的域和实例,请确保记录有关 Access Manager 配置和部署的信息。有关说明,请参阅 WebLogic 8.1 文档。

  4. 如要在管理实例上安装,请使用以下位置的 startWebLogic.sh 实用程序启动 WebLogic:

    WebLogic-base/WebLogic-Userhome /domains/ WebLogic-domain/startWebLogic.sh

    如要在受管实例上安装,请使用以下命令启动 WebLogic:

    WebLogic-base /WebLogic-Userhome/domains/ WebLogic-domain /startManagedWebLogic WebLogic-managed-instancename admin-url

安装和配置 IBM WebSphere 5.1

安装 WebSphere 之前,请确保主机域名已在 DNS 中注册,并检查要安装的 WebSphere 软件的版本是否适用于当前平台。有关详细信息,请转至 IBM 产品支持网站:http://www-306.ibm.com/software/websphere/support/。

Procedure安装和配置 WebSphere 5.1

步骤

  1. 将下载的 .zip 格式或 .gz 格式的软件映像解压缩。请确保所用的 zip/gzip 实用程序适用于当前平台,否则在解压缩期间将接收到校验和错误。

  2. 从目标系统的 shell 窗口运行安装程序。如果计划安装修补程序,请先安装 5.1 版本,然后再安装修补程序。详细的安装说明位于 http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp。

    在安装过程中,请确保记录以下信息以便以后在 Access Manager 配置中使用:

    • 主机名

      • 域名

      • 单元名称

      • 节点名

      • 端口号

      • 安装目录

      • WebSphere 实例名

      • 管理端口

        默认情况下,WebSphere 将服务器实例定义为 server1,尽管您未必会使用默认值。如果要创建新的实例,请确保记录有关 Access Manager 配置和部署的信息。有关说明,请参阅 WebSphere 5.1 文档。

  3. 检验安装是否成功。

    1. 确保 server.xml 文件在以下目录中:

      /opt/WebSphere/AppServer/config/cells/cell-name/noes/

      node-name/servers/server1

    2. 使用 startServer.sh 命令启动服务器,例如:

      /opt/WebSphere/AppServer/bin/startServer.sh server1

    3. 在 Web 浏览器中,输入以下格式的相应 URL 以查看范例 Web 应用程序:

      http:// fqdn:portnumber/snoop

  4. 证实安装成功后,使用 stopServer.sh 实用程序关闭服务器。例如:

    opt/WebSphere/AppServer/bin/stopServer.sh server1

  5. 如要安装 WebSphere 5.1 修补程序,则使用 updateWizard.sh 命令行实用程序在原始 5.1 实例上安装修补程序。

  6. 重新启动 WebSphere 并检查安装是否成功。

使用 Java ES 安装 Directory Server 和 Access Manager

Access Manager 安装包括两次对 Java Enterprise System (Java ES) 安装程序的单独调用。

Procedure安装 Directory Server

步骤

  1. 运行第一次 Java ES 调用并用“立即配置”选项安装 Directory Server(本地或远程)。“立即配置”选项允许在安装期间根据所作的选择(或默认值)配置第一个实例。

  2. 运行第二次 Java ES 调用并用“以后再配置”选项安装 Access Manager。此选项将安装 Access Manager 2005Q4 组件。安装之后,必须配置 Access Manager。

    WebLogic 和 WebSphere 的安装独立于 Java ES,因此安装程序不包含自动部署容器所需要的配置数据。为此,在安装 Access Manager 时必须选择“以后再配置”选项。此选项将使 Access Manager 部署处于以下状态:

    • 活动的 Directory Server(本地或远程)不加载 Access Manager DIT 数据。

      • 不自动加载 Access Manager 配置文件。

      • 不生成 Access Manager Web 应用程序 .war 文件。

      • 不自动启动并运行 Access Manager 部署和安装后配置进程。

        有关详细的安装说明,请参阅 http://download.oracle.com/819-0810 上的 Sun Java Enterprise System 安装指南。

配置 Access Manager

在目标系统的本地驱动器上完成 Access Manager 的安装之后,需要使用 WebLogic 8.1 或 WebSphere 5.1 手动配置 Access Manager。该过程分为三个步骤:

Procedure配置 Access Manager

步骤

  1. 编辑配置脚本输入文件

  2. 运行配置脚本

  3. 重新启动 Web 容器

创建配置脚本输入文件

Access Manager 配置脚本输入文件包含所有的部署级别、Access Manager、Web 容器和 Directory Server 变量的定义。Access Manager 包含一个范例配置脚本输入文件模板 (amsamplesilent), 它位于 Solaris 系统的 AccessManager-base /SUNWam/bin 目录中或在 Linux 系统的 AccessManager-base /identity/bin 目录中。

可以使用 amsamplesilent 模板构建配置脚本输入文件。Access Manager 范例配置脚本输入文件中介绍了编辑文件以及变量定义的说明。

在编辑文件之前,请确保 Web 容器安装中的以下信息可用:

BEA WebLogic 和 IBM WebSphere

仅 BEA WebLogic

仅 IBM WebSphere

运行配置脚本

保存配置脚本输入文件之后,运行 amconfig 脚本以完成配置过程。例如:

AccessManager-base/SUMWam/bin/amconfig -s silentfile

silentfile 应为配置输入文件的绝对路径。

运行此脚本可执行以下功能:

  1. 将 Access Manager 模式载入活动的 Directory Server 实例。

  2. 将 Access Manager 服务数据载入 Directory Server 实例。

  3. 生成活动的 Access Manager 实例所用的 Access Manager 配置文件。

  4. 将 Access Manager Web 应用程序数据部署到 Web 容器。

  5. 自定义 Web 容器配置以符合 Access Manager 的要求。

重新启动 Web 容器

在完成配置过程之后,必须重新启动 Web 容器。有关说明,请参阅产品文档。

有关 BEA WebLogic 8.1 的信息,请参阅 http://e-docs.bea.com/wls/docs81。

有关 IBM WebSphere 5.1 的信息,请参阅 http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp。

第 3 章 在 SSL 模式下配置 Access Manager

将安全套接字层 (SSL) 和简单验证结合使用可以保证数据的保密性和完整性。要在 SSL 模式下启用 Access Manager,通常要执行以下操作:

使用安全 Sun Java Enterprise System Web Server 配置 Access Manager

要使用 Web Server 在 SSL 模式下配置 Access Manager,请参见以下步骤:

Procedure配置安全的 Web Server

步骤

  1. 在 Access Manager 控制台中,转至“服务配置”模块并选择“平台”服务。在“服务器列表”属性中,删除 http:// 协议,然后添加 https:// 协议。单击“保存”。

    注 –

    请务必单击“保存”。如果您没有单击“保存”,仍可以继续进行以下步骤,但是将丢失对配置所进行的全部更改,并且您将不能作为管理员登录来进行恢复。

    步骤 2 到 24 介绍了 Web Server。

  2. 登录 Web Server 控制台。默认端口为 8888。

  3. 选择在其上运行 Access Manager 的 Web Server 实例并单击“管理”。

    将显示一个弹出窗口,说明配置已更改。单击 “确定” 。

  4. 单击屏幕右上角的“应用”按钮。

  5. 单击“应用更改”。

    Web Server 应当会自动重新启动。单击“确定”继续。

  6. 停止选定的 Web Server 实例。

  7. 单击“安全”选项卡。

  8. 单击“创建数据库”。

  9. 输入新的数据库密码并单击“确定”。

    请务必将数据库密码记下来,以备将来使用。

  10. 创建“证书数据库”后,单击“请求证书”。

  11. 在屏幕上的字段中输入数据。

    “密钥对字段密码”字段与在步骤 9 中输入的字段相同。在位置字段中,您需要完整写出位置。不能输入缩写(例如 CA)。必须定义所有字段。在“公共名称”字段中,输入您的 Web Server 的主机名。

  12. 提交表单后,您将看到如下消息:


    --BEGIN CERTIFICATE REQUEST---

afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf

alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl

--END CERTIFICATE REQUEST--

  13. 复制并为证书请求提交该文本。

    确保您获取的是根 CA 证书。

  14. 您将收到一个包含证书的证书响应,例如:


    --BEGIN CERTIFICATE---

afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf

alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl

--END CERTIFICATE---

  15. 将这些文本复制到剪贴板或保存到文件中。

  16. 转至 Web Server 控制台并单击“安装证书”。

  17. 单击该服务器的“证书”。

  18. 在“密钥对文件密码”字段中,输入“证书数据库”密码。

  19. 将证书粘贴到提供的文本字段中或选中单选按钮,并在文本框中输入文件名。单击“提交”。

    浏览器将显示证书,并提供用于添加证书的按钮。

  20. 单击“安装证书”。

  21. 单击“可信赖证书授权机构的证书”。

  22. 按照步骤 16 到 21 中所述的相同方式安装“根 CA 证书”。

  23. 安装完这两种证书后,单击 Web Server 控制台中的“首选项”选项卡。

  24. 如果要在其他端口上启用 SSL,请选择“添加侦听套接字”。然后,选择“编辑侦听套接字”。

  25. 将安全状态从“已禁用”更改为“已启用”,单击“确定”提交更改,然后单击“应用”和“应用更改”。

    步骤 26 – 29 适用于 Access Manager。

  26. 打开 AMConfig.properties 文件。默认情况下,该文件的位置为 etc/opt/SUNWam/config

  27. 将所有出现的 http:// 协议替换为 https://,Web Server 实例目录使用的协议除外。这也在 AMConfig.properties 中指定,但必须保持相同。

  28. 保存 AMConfig.properties 文件。

  29. 在 Web Server 控制台中,单击 Access Manager 主机的 Web 服务器实例的“开/关”按钮。

    Web Server 将在“启动/停止”页面中显示一个文本框。

  30. 在文本字段中输入“证书数据库”密码并选择“启动”。

使用安全 Sun Java System Application Server 配置 Access Manager

设置 Access Manager 以在启用了 SSL 的应用程序服务器上运行分为两个步骤。首先,将 Application Server 实例配置为安全实例,绑定到已安装的 Access Manager,然后配置 Access Manager。

以 SSL 设置 Application Server 6.2

本节描述了在 SSL 模式下设置 Application Server 6.2 的步骤。

Procedure保证 Application Server 实例的安全

步骤

  1. 通过在浏览器中输入以下地址以管理员身份登录到 Sun Java System Application Server 控制台:

    http://fullservername:port

    默认端口为 4848。

  2. 输入在安装过程中输入的用户名和密码。

  3. 选择已在其中安装(或将要安装)Access Manager 的 Application Server 实例。右侧框中显示配置已更改。

  4. 单击“应用更改”。

  5. 单击“重新启动”。Application Server 将自动重新启动。

  6. 在左侧框中,单击“安全”。

  7. 单击“管理数据库”选项卡。

  8. 如果未选择数据库,则单击“创建数据库”。

  9. 输入新数据库密码并予以确认,然后单击“确定”按钮。 请确保记下数据库密码,以备将来使用。

  10. 创建“证书数据库”之后,单击“证书管理”选项卡。

  11. 如果未选择证书,则单击“请求”链接。

  12. 输入证书所需的以下“请求”数据

    1. 如果该证书为新证书或证书更新,则选择该证书。许多证书在经过特定的一段时间之后会过期,一些证书授权机构 (CA) 会自动给您发送更新通知。

    2. 指定您要提交证书请求的方式。

      如果 CA 要求接收电子邮件形式的请求,请查看 CA 电子邮件,然后输入 CA 的电子邮件地址。要查看 CA 的列表,请单击“可用的证书授权机构列表”。

      如果要从正在使用 Certificate Server 的内部 CA 申请证书,则单击 CA URL 并输入 Certificate Server 的 URL。 此 URL 应指向处理证书请求的证书服务器的程序。

    3. 输入密钥对文件的密码(这是在步骤 9 中指定的密码)。

    4. 输入以下标识信息:

      公共名称。 服务器的全名,包括端口号。

      请求者名称。 请求者的名称。

      电话号码。 请求者的电话号码

      公共名称。 将在其上安装数字证书的 Sun Java System Application Server 的全限定名称。

      电子邮件地址。管理员的电子邮件地址。

      组织名称。 您所在组织的名称。 证书授权机构可能要求该属性中输入的所有主机名都属于某个已注册到该组织的域。

      组织单位名称。 组织的部门或其他运作单位的名称。

      位置名称(城市)。 城市或城镇的名称。

      州名。 如果您的组织位于美国或加拿大,则分别指组织所在的州或省的名称。请不要使用缩写。

      国家/地区代码。 您所在国家/地区的两个字母的 ISO 代码。例如,美国的代码是 US

  13. 单击“确定”按钮。系统将显示一条消息,例如:


    --BEGIN NEW CERTIFICATE REQUEST---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdfla
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END NEW CERTIFICATE REQUEST--

  14. 将该文本的所有内容复制到一个文件,然后单击“确定”。确保您获取的是根 CA 证书。

  15. 选择一个 CA,然后按照该机构的 Web 站点上的说明获取数字证书。您可以从 CMS、Verisign 或 Entrust.net 获取证书。

  16. 收到来自证书授权机构的数字证书后,您可以将文本复制到剪贴板或保存到文件中。

  17. 转到 Application Server 控制台并单击“安装”链接。

  18. 选择“此服务器的证书”。

  19. 在“密钥对文件密码”字段中,输入“证书数据库”密码。

  20. 将证书粘贴到所提供的“消息文本(带标题)”文本字段中,或在该文件文本框中的“消息”字段中输入文件名。选择相应的单选按钮。

  21. 单击“确定”按钮。浏览器将显示证书,并提供用于添加证书的按钮。

  22. 单击“添加服务器证书”。

  23. 按与上述相同的方式安装“根 CA 证书”。但要选择“可信赖证书授权机构的证书”。

  24. 证书安装都完成后,请展开左侧框中的“HTTP 服务器”节点。

  25. 选择“HTTP 服务器”下的“HTTP 侦听器”。

  26. 选择 http-listener-1。浏览器将显示套接字信息。

  27. http-listener-1 使用的端口值从安装 Application Server 时输入的值更改为一个更合适的值,如 443。

  28. 选择“启用 SSL/TLS”。

  29. 选择“证书昵称”。

  30. 指定返回服务器。该名称应与在步骤 12 中指定的公共名称匹配。

  31. 单击“保存”。

  32. 选择将在其上安装 Access Manager 软件的 Application Server 实例。 右侧框中显示配置已更改。

  33. 单击“应用更改”。

  34. 单击“重新启动”。应用服务器会自动重新启动。

以 SSL 配置 Application Server 8.1

以 SSL 配置 Application Server 8.1 的基本步骤如下。有关详细的说明,参见 Application Server 8.1 文档。

  1. 通过 Application Server 管理控制台在 Application Server 上创建安全端口。有关详细信息,请参见位于以下地址的 Sun Java System Application Server Enterprise Edition 8.1 管理指南中的“配置安全性”:

    http://docs.sun.com/app/docs/coll/1310.1http://docs.sun.com/app/docs/coll/1386.1

  2. 确认信任服务器证书的证书授权机构 (CA) 存在于 Web 容器的信任数据库中。然后,获取并安装该 Web 容器的服务器证书。有关详细信息,请参见位于以下地址的 Sun Java System Application Server Enterprise Edition 8.1 管理指南中的“使用证书和 SSL”:

    http://docs.sun.com/app/docs/coll/1310.1http://docs.sun.com/app/docs/coll/1386.1

  3. 重新启动 Web 容器。

在 SSL 模式下配置 Access Manager

本节介绍在 SSL 模式下配置 Access Manager 的步骤。在设置 Access Manager 的 SSL 之前,请确保已为部署配置了 Web 容器。

Procedure在 SSL 模式下配置 Access Manager

步骤

  1. 在 Access Manager 控制台中,转至“服务配置”模块并选择“平台”服务。在“服务器列表”属性中,添加 HTTPS 协议格式的相同 URL 和启用 SSL 的端口号。单击“保存”。

    注 –

    如果有一个 Access Manager 实例正在侦听两个端口(其中一个为 HTTP 模式,另一个为 HTTPS 模式),当您试图利用迟延的 Cookie 访问 Access Manager 时,Access Manager 将转为无响应状态。不支持此配置。

  2. 从以下默认位置打开 AMConfig.properties 文件:


    /etc/opt/SUNWam/config。

  3. 将所有出现的 http:// 协议替换为 https://,并将端口号更改为已启用 SSL 的端口号。

  4. 保存 AMConfig.properties 文件。

  5. 重新启动 Application Server。

使用安全 BEA WebLogic Server 配置 AMSDK

在 SSL 模式下使用 AMSDK 配置 BEA WebLogic Server 之前,必须首先安装此服务器并将其作为 Web 容器进行配置。有关安装说明,请参阅 BEA WebLogic 服务器文档。要将 WebLogic 配置为 Access Manager 的 Web 容器,请参阅第 1 章,Access Manager 7 2005Q4 配置脚本

Procedure配置安全 WebLogic 实例

步骤

  1. 使用快速启动菜单创建域

  2. 转至 WebLogic 安装目录并生成证书请求。

  3. 通过将 CSR 文本文件用于 CA 来申请服务器证书。

  4. 将批准的证书保存到文本文件中。例如,approvedcert.txt 文件。

  5. 使用以下命令在 cacerts 中加载根 CA:

    cd jdk141_03/jre/lib/security/

    jdk141_03/jre/bin/keytool -keystore cacerts -keyalg RSA -import -trustcacerts -alias "<alias name>" -storepass changeit -file /opt/bea81/cacert.txt

  6. 使用以下命令加载服务器证书:

    jdk141_03/jre/bin/keytool -import -keystore <keystorename> -keyalg RSA -import -trustcacerts -file approvedcert.txt -alias "mykey"

  7. 使用您的用户名和密码登录 WebLogic 控制台。

  8. 浏览到以下位置:

    “yourdomain”>“服务器”>“myserver”>“配置密钥库”

  9. 选择“自定义身份”,然后选择“Java 标准信任”。

  10. 输入密钥库的位置。例如,/opt/bea81/keystore

  11. 输入密钥库密码和密钥库密码短语。例如:

    密钥库密码:JKS/Java Standard Trust(对于 WL 8.1,此密码仅为 JKS)

    密钥库密码短语:changeit

  12. 检查 SSL 专用密钥设置、专用密钥别名和密码。

    注 –

    必须使用全强度 SSL 许可证,否则 SSL 启动将会失败。

  13. 在 Access Manager 中,AmConfig.properties 中的以下参数在安装期间自动配置。如果未配置,可以进行适当的编辑:


    com.sun.identity.jss.donotInstallAtHighestPriority=true [ this is not
 required for AM 6.3 and above]
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImpl
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.JSSESocketFactory
com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption

    如果 JDK 路径如下:


    com.iplanet.am.jdk.path=/usr/jdk/entsys-j2se

    则使用 keytool 实用程序导入证书数据库中的根 CA。例如:


    /usr/jdk/entsys-j2se/jre/lib/security
/usr/jdk/entsys-j2se/jre/bin/keytool -keystore cacerts  
-keyalg RSA -import -trustcacerts -alias "machinename" -storepass changeit -file
/opt/bea81/cacert.txt

    keytool 实用程序位于以下目录:


    /usr/jdk/entsys-j2se/jre/bin/keytool

  14. 从 Access Manager amadmin 命令行实用程序中删除 -D"java.protocol.handler.pkgs=com.iplanet.services.comm"

  15. 在 SSL 模式下配置 Access Manager。有关详细信息,请参阅在 SSL 模式下配置 Access Manager

使用安全 IBM WebSphere Application Server 配置 AMSDK

在 SSL 模式下使用 AMSDK 配置 IBM WebSphere Server 之前,必须首先安装此服务器并将其作为 Web 容器进行配置。有关安装说明,请参阅 WebSphere 服务器文档。要将 WebLogic 配置为 Access Manager 的 Web 容器,请参阅第 1 章,Access Manager 7 2005Q4 配置脚本

Procedure配置安全 WebSphere 实例

步骤

  1. 启动 Websphere /bin 目录中的 ikeyman.sh

  2. 从“签名者”菜单导入证书授权机构 (CA) 的证书。

  3. 从“个人证书”菜单生成 CSR。

  4. 检索上一步骤中创建的证书。

  5. 选择“个人证书”并导入服务器证书。

  6. 从 WebSphere 控制台更改默认的 SSL 设置并选择密码。

  7. 设置默认的 IBM JSSE SSL 提供者。

  8. 要从应用服务器 JVM 密钥库中刚创建的文件导入根 CA 证书,输入以下命令:


    $ appserver_root-dir/java/bin/ keytool -import -trustcacerts -alias cmscacert 
-keystore ../jre/lib/security/cacerts -file 
/full_path_cacert_filename.txt

    app-server-root-dir 为应用服务器的根目录,full_path_cacert_filename.txt 为包含此证书的文件的完整路径。

  9. 在 Access Manager 中更新 AmConfig.properties 中的以下参数以使用 JSSE:


    com.sun.identity.jss.donotInstallAtHighestPriority=true
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.
am.util.SecureRandomFactoryImpl
com.iplanet.security.SSLSocketFactorImpl=netscape.ldap.factory.
JSSESocketFactory
com.iplanet.security.encyptor=com.iplanet.services.unil.JCEEncryption

  10. 在 SSL 模式下配置 Access Manager。有关详细信息,请参阅在 SSL 模式下配置 Access Manager

在 SSL 模式下将 Access Manager 配置到 Directory Server

为确保通过网络提供安全通信,Access Manager 包括 LDAPS 通信协议。LDAPS 是标准的 LDAP 协议,但它在“安全套接字层”(SSL) 上运行。为了启用 SSL 通信,必须首先在 SSL 模式下配置 Directory Server,然后将 Access Manager 连接至 Directory Server。基本步骤如下:

  1. 获得并安装 Directory Server 的证书,然后配置 Directory Server,以信赖证书授权机构 (CA) 的证书。

  2. 打开目录中的 SSL。

  3. 配置验证、策略和平台服务,以连接到启用 SSL 的 Directory Server。

  4. 配置 Access Manager,以安全地连接至 Directory Server 后端。

在 SSL 模式下配置 Directory Server

要在 SSL 模式下配置 Directory Server,必须获取并安装服务器证书、配置 Directory Server 以信赖 CA 的证书并启用 SSL。有关如何完成这些任务的详细说明,请参阅 Directory Server 管理指南的第 11 章,“管理验证和加密”。可在以下位置找到此文档:

http://docs.sun.com/coll/DirectoryServer_04q2 及 http://docs.sun.com/coll/DirectoryServer_04q2_zh

如果 Directory Server 已经启用了 SSL,则转至下一节,以了解有关将 Access Manager 连接至 Directory Server 的详细信息。

将 Access Manager 连接至已启用 SSL 的 Directory Server

在 SSL 模式下配置完 Directory Server 后,需要将 Access Manager 安全地连接至 Directory Server 后端。

Procedure将 Access Manager 连接到 Directory Server

步骤

  1. 在 Access Manager 控制台中,转至“服务配置”模块中的“LDAP 验证”服务。

    1. 将 Directory Server 端口更改为 SSL 端口。

    2. 选择“对 LDAP 服务器启用 SSL 访问”属性。

  2. 转到“服务配置”模块中的“成员资格验证”服务。

    1. 将 Directory Server 端口更改为 SSL 端口。

    2. 选择“对 LDAP 服务器启用 SSL 访问”属性。

  3. 转至“服务配置”中的“策略配置”服务。

    1. 将 Directory Server 端口更改为 SSL 端口。

    2. 选择“启用 LDAP SSL”属性。

  4. 在文本编辑器中打开 serverconfig.xml。该文件位于:

    /etc/opt/SUNWam/config

    1. <服务> 元素中,更改以下值:

      port - 输入 Access Manager 侦听的安全端口的端口号(默认值为 636)。

      type - 将“SIMPLE”更改为“SSL”。

    2. 保存并关闭 serverconfig.xml

  5. 从以下默认位置打开 AMConfig.properties 文件:

    /etc/opt/ SUNWam/config

    更改以下属性:

    1. com.iplanet.am.directory.port = 636(如果使用默认值)

    2. ssl.enabed = true

    3. 保存 AMConfig.properties

  6. 重新启动服务器