IBM Tivoli Access Manager和IBM WebSphere Portal配置单点登录

Tivoli Access Manager WebSphere Portal 配置单点登录

- 1 -

目录 一、前言 ............................................................................................................................................. 4

1.1、安全术语 ............................................................................................................................ 4 1.2、理解用户请求流 ................................................................................................................ 5 二、安装基本产品 ............................................................................................................................. 6

步骤1、安装WebSphere Application Server与IBM Http Server ................................. 6

1.1、安装WebSphere Application Server .................................................................... 6 1.2、安装IBM Http Server ................................................................................................ 8 1.3、升级WebSphere Application Server ................................................................... 12 步骤2、安装jdk1.42,DB2,IBM LDAP ................................................................................... 13

2.1、安装jdk1.42 ............................................................................................................. 13 2.2、安装IBM LDAP ...................................................................................................... 14 2.3、安装LDAP补丁包 ................................................................................................. 19 步骤3、安装TAM 与安全组件 ............................................................................................... 21

3.1、安装Ammgr ............................................................................................................ 21 3.2、安装amacld ............................................................................................................. 26 3.3、安装amadk .............................................................................................................. 29 3.4、安装amjrte ............................................................................................................... 30 3.5、安装amproxy ........................................................................................................... 31 3.6、安装amrte ................................................................................................................ 32 3.7、安装amwpm ............................................................................................................ 33 3.8、安装amwebar .......................................................................................................... 37 3.9、安装amwpi .............................................................................................................. 40 3.10、安装Amwebadk .................................................................................................... 42 3.11、安装TAM安全组件amweb ................................................................................. 44

四、配置配置基本产品 ................................................................................................................... 50

步骤1、安装配置ldap Web管理程序 .................................................................................. 50

1.1、登陆was管理台 ...................................................................................................... 50 1.2、启动IDSWebApp_War ............................................................................................ 56 1.3、配置LDAP管理程序.............................................................................................. 56 1.4、通过命令导入初始化用户 ...................................................................................... 58 1.5、添加各个系统之间的Link管理员组：Superman ................................................ 59 步骤2、配置WebShere Portal 单点登录 ........................................................................... 65

1.1、禁用LDAP安全性 ................................................................................................. 65 1.2、启用LDAP安全性 ................................................................................................. 68 1.3、配置Portal WAS ...................................................................................................... 73 1.4、配置 Tivoli Access Manager ................................................................................... 75 步骤3、配置信息发布单点登录 ............................................................................................ 77

1.1、建立GSO资源 ........................................................................................................ 77 1.2、配置WebSEAL ........................................................................................................ 77 步骤4、对Portal的 Portlet应用配置WebSEAL ................................................................. 79

1.1、配置WebSEAL ........................................................................................................ 79 步骤5、修改Portal与TAM相关页面 .................................................................................. 80

- 2 -

1.1、 Portal相关HTML页面修改 ............................................................................ 80 1.2、TAM相关HTML页面修改 ........................................................................................ 80

- 3 -

一、前言

IBM WebSphere Portal 作为一个应用程序在 IBM WebSphere Application Server 上运行，提供内容、应用、流程、个性化和其它服务的集合体。WebSphere Application Server 和 WebSphere Portal 可以和外部安全管理产品集成，例如 IBM Tivoli Access Manager .

Tivoli Access Manager（以下称为 Access Manager）中有一个名为 WebSEAL 的逆向代理安全服务器组件。在企业电子商务基础结构中，WebSEAL 可以作为任何 Web 应用服务器或 Web 服务器的前端系统。当 WebSphere Application Server （以下称为 Application Server）和 WebSphere Portal 通过 WebSEAL 实现时，通常需要为终端用户提供一个单点登录 (SSO)。为了获得 SSO，需要将 Application Server 配置为\信任\服务器，使得如果 WebSEAL 已经认证了一个用户，Application Server 不会向用户再次要求认证。

Application Server 提供了您为第三方安全服务器配置的 Web 信任关联架构。每种类型的安全服务器都需要实现信任关联拦截器 (TAI)。Application Server 和 TAI 一起用于配置 Access Manager。在建立信任的基础上，Application Server 可以将 WebSeal 的结果证书映射为一个有效的 Application Server 证书。

1.1版本

V6.0

1.2安全术语

术语 认证和 授权 定义 认证是验证用户身份的过程。授权是验证是否允许用户做他或她所请求的那些事情的过程。 LDAP 用户注册中心 一种支持小型目录访问协议 (Lightweight Directory Access Protocol，LDAP) 的服务器，其中包含了关于用户和组的数据库，由 WebSphere Portal 和 Access Manager 共享。 Policy Server（以前称Access Manager 的一个组件，为 Access Manager 安全域维护主授权数据库。该为 Management Server） WebSEAL 一个 Web 逆向代理安全服务器。在产品配置中，该服务器位于 DMZ（非保护区）内部。所有的内部请求都必须通过 WebSEAL。 Web Portal Manager 一个基于 Web 的图形用户界面，用于 Access Manager 管理。与 Access Manager V4 一起打包，需要 WebSphere Application Server，单服务器版本，带 Fixpack 2 的版本 4，或者上述那些。同样，与 Access Manager V5.1 一起打包，则需要 WebSphere Application Server V5.0.2。我们在 Application Server V5.0.2 上安装该 Web 应用程序。 WebSEAL 连接 WebSEAL 服务器与终端 Web 服务器以及 Application Server 间的连接。终端服服务器处理访问控制、认证和授权请求。 - 4 -

务器可以是另一台 WebSEAL 服务器，或者，更常见的是一台 Web 应用服务器。 加密 (SSL) 连接和 不加密连接 利用 WebSEAL 连接创建命令的传输选项 ( -t )，可以将连接配置为加密或不加密： -t SSL 创建加密连接 ? -t tcp 创建不加密连接 ? 在加密连接中，WebSEAL 和联接终端服务器间的信息流被加密了。 信任关联拦截器 (TAI) 一个能够集成 Application Server 认证和安全服务器的 Application Server 组件，例如 Tivoli WebSEAL。必须将 Application Server 配置为了解并且信任安全服务器。TAI 在 Application Server 和认证服务器（例如，WebSEAL）间建立信任。这是安全服 1.3理解用户请求流

首先，看一下当用认证代理（例如 WebSEAL）配置 Application Server 时，对 Application Server 的用户请求流，图 1 显示了一个样本流。

图 1. 从 WebSEAL 到 Application Server 的用户请求流

图 1 中的数字涉及到下面这些流步骤：

- 5 -

1. 用户请求受 WebSEAL 保护的资源，这个资源充当代理并拦截所有的请求。为了获得证书，

WebSEAL 对用户进行提问，用户回答这些问题。

2. WebSEAL 通过与它的 LDAP 用户注册中心进行协商来对用户进行认证。它还决定用户能否访问

（也就是说，授权是否开放）请求的 URL。

3. 如果认证成功，WebSEAL 利用已经为它配置好的连接将请求传送给 IBM HTTP Server。将从

WebSEAL 到 IBM HTTP Server 的连接配置为传递 HTTP 消息头中的 iv-user,

iv-groups 信息。终端用户的身份必须传递给一个名为 iv-user 的消息头中的 TAI，该消息

头是 WebSEAL 插到 HTTP 请求消息头中的，HTTP 请求消息头是 WebSEAL 发送给 Application Server 的。虽然可以将 WebSEAL 配置为用其它的方法传递终端用户身份，但

iv-user 消息头是 TAI 支持的唯一消息头。终端用户的密码不在 HTTP 消息头中传送。

4. Application Server 插件文件检查请求的 URL 的上下文根，确定目标 Application Server 或者进

行复制，为完成任务继续执行请求。

5. Application Server 中的 TAI（该 Application Server 必须启用 TAI）处理请求。TAI 处理成功后，

Application Server 创建了一个名为 LTPA 令牌的加密用户认证 cookie。这个 cookie 存活的时间比较长（通常是两个小时），一直持续到用户会话结束，而且对每个用户的每次会话都是唯一的（也就是说，如果同一用户多次登录，每次他都能看见创建了不同的 cookie）。因此，TAI 不需要对每个用户请求进行处理。

6. TAI 接受了终端用户身份，并创建了 LTPA 令牌之后，WebSphere Portal 依靠 LDAP 执行额外

的查询，例如查询组信息。它从数据库中查询资源映射，然后显示门户页面。

二、安装基本产品

步骤1、安装WebSphere Application Server与IBM Http Server

1.1、安装WebSphere Application Server

- 6 -

- 7 -

下一步 选择完全安装

1.2、安装IBM Http Server

- 8 -

插件安装

- 9 -

- 10 -

- 11 -

安装完毕

1.3、升级WebSphere Application Server

拷贝 updateinstaller D:\\IBM\\WebSphere\\AppServer

- 12 -

安装停掉was服务

提示 重启向导 然后退出

步骤2、安装jdk1.42,DB2,IBM LDAP

2.1、安装jdk1.42

IDTS

- 13 -

2.2、安装IBM LDAP

- 14 -

- 15 -

- 16 -

SSL密匙文件密码：sundun

- 17 -

- 18 -

2.3、安装LDAP补丁包

- 19 -

记得选择“Web管理工具 6.0”

- 20 -

步骤3、安装TAM 与安全组件

3.1、安装Ammgr

（先要启动服务 IBM Tivoli Directory Server Instance V6.0 - db2admin）

- 21 -

- 22 -

- 23 -

- 24 -

- 25 -

注意装完这个要启动ldap服务器,在重起前 3.2、安装amacld

- 26 -

- 27 -

- 28 -

3.3、安装amadk

- 29 -

3.4、安装amjrte

- 30 -

- 41 -

重启，继续安装。安装完毕后提示出错， 不要理会，直接进入系统 开始，运行，输入 pdconfig 打开TAM管理器，查看已安装的组建

看到最后一个插件配置状态为no 不用再对其配置，直接关掉该管理器即可，截下来开始下一步的安装工作。 3.10、安装Amwebadk

- 42 -

- 43 -

3.11、安装TAM安全组件amweb 启动以下服务:

Access Manager Policy Server

IBM Tivoli Directory Server Instance V6.0 - db2admin

- 44 -

- 45 -

本文来源：https://www.bwwdw.com/article/4eqa.html