SecureWay Policy Director Base -...

Tivoli®

SecureWay®

PolicyDirector BaseGuia de InstalaçãoVersão 3.8

Tivoli SecureWay Policy Director Base - Guia de Instalação

Aviso de Copyright

© Copyright IBM Corporation 2001. Todos os direitos reservados. Pode ser utilizado somente mediante um Contratode Licença de Software da Tivoli Systems, um Contrato de Licença de Software da IBM ou um Adendo paraProdutos Tivoli ao Contrato de Licença ou Cliente IBM. Nenhuma parte desta publicação poderá ser reproduzida,transmitida, transcrita, armazenada em um sistema de recuperação ou convertida em qualquer linguagem decomputador em hipótese alguma, seja por meio eletrônico, mecânico, magnético, ótico, químico, manual ou de outramaneira, sem permissão expressa, por escrito, da IBM Corporation. A IBM Corporation concede ao Clientepermissão limitada para fazer cópia impressa ou outras reproduções de qualquer documentação lida por máquinapara utilização própria, contanto que cada reprodução contenha o aviso de copyright da IBM Corporation. Não seráconcedido nenhum outro direito de copyright sem permissão prévia, por escrito, da IBM Corporation. O documentonão é destinado para uso de produção e é fornecido “no estado em que se encontra” sem garantia de nenhum tipo.Todas as garantias são, deste modo, renunciadas, incluindo as garantias de mercado e adequação a umdeterminado propósito.

Direitos Restritos para Usuários do Governo dos Estados Unidos—Uso, duplicação e divulgação restritos pelodocumento GSA ADP Schedule Contract com a IBM Corporation.

Marcas

IBM, Tivoli, o logotipo Tivoli, AIX, DB2, Domino, Lotus e SecureWay são marcas ou marcas registradas daInternational Business Machines Corporation ou Tivoli Systems Inc. nos Estados Unidos e/ou em outros países.

Java e todas as marcas e logotipos baseados em Java são marcas ou marcas registradas da Sun Microsystems Inc.nos Estados Unidos e outros países.

Lotus é uma marca registrada da Lotus Development Corporation.

Microsoft, Windows, Windows NT e o logotipo do Windows são marcas da Microsoft Corporation nos EstadosUnidos e/ou em outros países.

UNIX é marca registrada de The Open Group nos Estados Unidos e em outros países.

Outros nomes de companhia, produto e serviço podem ser marcas ou marcas de serviço de terceiros.

Observações

Referências nesta publicação a produtos, programas, ou serviços Tivoli Systems ou IBM não significam que a TivoliSystems ou a IBM pretendam torná-los disponíveis em todos os países em que operam. Qualquer referência a estesprodutos, programas ou serviços não significa que apenas os produtos, programas ou serviços Tivoli Systems ouIBM possam ser utilizados. Qualquer produto, programa ou serviço funcionalmente equivalente, que não infrinjanenhum direito de propriedade intelectual da Tivoli Systems ou da IBM ou outros direitos legalmente protegidos,poderá ser utilizado em substituição a este programa, produto ou serviço. A avaliação e verificação da operação emconjunto com outros produtos, exceto aqueles expressamente designados pela Tivoli Systems ou IBM, são de inteiraresponsabilidade do Cliente. A Tivoli Systems ou a IBM podem ter patentes ou solicitações de patentes relativas aassuntos tratados nesta publicação. O fornecimento desta publicação não garante ao Cliente nenhum direito sobre taispatentes. Pedidos de licença devem ser enviados, por escrito, para:

IBM Brasil - Gerência de Relações Comerciais e IndustriaisAv. Pasteur, 138-146 - BotafogoRio de Janeiro, RJCEP 22290-240

© Copyright International Business Machines Corporation 2001. Todos os direitosreservados.

Índice

Prefácio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ixQuem Deve Ler Este Guia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

O Que Este Guia Contém. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x

Publicações. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Biblioteca do Tivoli SecureWay Policy Director. . . . . . . . . . . . . . . . . . xi

Biblioteca do IBM SecureWay Directory. . . . . . . . . . . . . . . . . . . . . . . xii

Tivoli SecureWay Policy Director Web Portal Manager. . . . . . . . . . . . xiii

Acessando Publicações Online. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xiii

Solicitando Publicações. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv

Fornecendo Feedback sobre Publicações. . . . . . . . . . . . . . . . . . . . . . . xiv

Entrando em Contato com o Suporte ao Cliente. . . . . . . . . . . . . . . . . . . . . . xv

Convenções Utilizadas Neste Manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv

Convenções tipográficas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv

Variáveis e Caminhos Dependentes do Sistema Operacional. . . . . . . . xvi

Capítulo 1. Visão Geral da Instalação . . . . . . . . . . . . . . . . . . . . 1Definindo Requisitos de Segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Visão Geral do Domínio Seguro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Componentes de Instalação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

IBM Global Security Toolkit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Servidor LDAP Suportado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Cliente LDAP Suportado: IBM SecureWay Directory. . . . . . . . . . . . . . . 5

Runtime Environment. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Authorization Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Authorization Application Development Kit. . . . . . . . . . . . . . . . . . . . . . 6

Web Portal Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

iiiTivoli®

SecureWay®

Policy Director Base Guia de Instalação

Processo de Instalação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Opções de Instalação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Requisitos do Sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Sistemas Operacionais Suportados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Correções do Tivoli SecureWay Policy Director. . . . . . . . . . . . . . . . . . . 9

Servidores LDAP Suportados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

IBM SecureWay Directory, Versão 3.2.1. . . . . . . . . . . . . . . . . . . 10

Netscape iPlanet Directory Server, Versão 5.0. . . . . . . . . . . . . . . 12

LiveContent DIRECTORY, Release 8A.3. . . . . . . . . . . . . . . . . . . 13

Requisitos de Espaço em Disco e de Memória. . . . . . . . . . . . . . . . . . . 14

Opções de Configuração. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Configurando o IBM Global Security Toolkit. . . . . . . . . . . . . . . . . . . . 15

Configurando o IBM SecureWay Directory Server. . . . . . . . . . . . . . . . 15

Configurando o IBM SecureWay Directory Client. . . . . . . . . . . . . . . . 17

Configurando o Runtime Environment. . . . . . . . . . . . . . . . . . . . . . . . . 18

Configurando o Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . 19

Configurando o Authorization Server. . . . . . . . . . . . . . . . . . . . . . . . . . 21

Configurando o Authorization ADK. . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Portas Padrão. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Conteúdo do CD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Tivoli SecureWay Policy Director Base para AIX e Linux. . . . . . . . . . 23

Tivoli SecureWay Policy Director Base for Solaris and HP-UX. . . . . . 27

Tivoli SecureWay Policy Director Base para Windows. . . . . . . . . . . . . 30

Capítulo 2. Utilizando Instalação Fácil . . . . . . . . . . . . . . . . . . 33Considerações sobre Instalação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Arquivos da Instalação Fácil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Processo de Instalação Fácil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Capítulo 3. Utilizando Instalação Nativa . . . . . . . . . . . . . . . . 39

iv Versão 3.8

Considerações sobre Instalação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Processo de Instalação Nativa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Instalando o IBM Global Security Toolkit. . . . . . . . . . . . . . . . . . . . . . . . . . 42

Instalando o IBM Global Security Toolkit no AIX. . . . . . . . . . . . . . . . 43

Instalando o IBM Global Security Toolkit no HP-UX. . . . . . . . . . . . . . 43

Instalando o IBM Global Security Toolkit no Linux. . . . . . . . . . . . . . . 44

Instalando o IBM Global Security Toolkit no Solaris. . . . . . . . . . . . . . 44

Instalando o IBM Global Security Toolkit no Windows. . . . . . . . . . . . 45

Instalando o IBM SecureWay Directory Client. . . . . . . . . . . . . . . . . . . . . . . 45

Instalando o IBM SecureWay Directory Client no AIX. . . . . . . . . . . . . 46

Instalando o IBM SecureWay Directory Client no HP-UX. . . . . . . . . . 47

Instalando o IBM SecureWay Directory Client no Linux. . . . . . . . . . . 47

Instalando o IBM SecureWay Directory Client no Solaris. . . . . . . . . . . 48

Instalando o IBM SecureWay Directory Client no Windows. . . . . . . . . 49

Instalando e Configurando o Tivoli SecureWay Policy Director. . . . . . . . . . 52

Instalando o Tivoli SecureWay Policy Director no AIX. . . . . . . . . . . . 52

Instalando o Tivoli SecureWay Policy Director no HP-UX. . . . . . . . . . 53

Instalando o Tivoli SecureWay Policy Director no Linux. . . . . . . . . . . 54

Instalando o Tivoli SecureWay Policy Director no Solaris. . . . . . . . . . 54

Configurando o Tivoli SecureWay Policy Director no UNIX. . . . . . . . 55

Instalando o Tivoli SecureWay Policy Director no Windows. . . . . . . . . 56

Configurando o Tivoli SecureWay Policy Director no Windows. . . . . . 57

Capítulo 4. Utilizando Instalação Silenciosa . . . . . . . . . . . . 59Criando um Arquivo de Resposta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Instalando Componentes Utilizando um Arquivo de Resposta. . . . . . . . . . . . 60

Sintaxe do Arquivo de Resposta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Capítulo 5. Atualizando da Versão 3.7. x. . . . . . . . . . . . . . . . . 65

vTivoli®

SecureWay®


Visão Geral de Migração. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Considerações sobre Migração. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Atualizando o Management Server para a Versão 3.8. . . . . . . . . . . . . . . . . . 68

Atualizando Outros Sistemas para a Versão 3.8. . . . . . . . . . . . . . . . . . . . . . 72

Restaurando um Sistema para a Versão 3.7.x . . . . . . . . . . . . . . . . . . . . . . . . 77

Editando o Arquivo de Configuração de Migração. . . . . . . . . . . . . . . . . . . . 79

Fazendo Backup de Dados do Tivoli SecureWay Policy Director. . . . . . . . . 82

Restaurando Dados do Tivoli SecureWay Policy Director. . . . . . . . . . . . . . . 84

Capítulo 6. Desinstalando o Tivoli SecureWay PolicyDirector, Versão 3.8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Considerações sobre Desinstalação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Desinstalando o Tivoli SecureWay Policy Director no AIX. . . . . . . . . . . . . . 88

Desinstalando o Tivoli SecureWay Policy Director no HP-UX. . . . . . . . . . . 89

Desinstalando o Tivoli SecureWay Policy Director no Linux. . . . . . . . . . . . 90

Desinstalando o Tivoli SecureWay Policy Director no Solaris. . . . . . . . . . . . 90

Desconfigurando o Tivoli SecureWay Policy Director no UNIX. . . . . . . . . . 91

Desinstalando o Tivoli SecureWay Policy Director no Windows. . . . . . . . . . 92

Apêndice A. Configurando Servidores LDAP para oTivoli SecureWay Policy Director . . . . . . . . . . . . . . . . . . . . . . . . 95

Visão Geral da Configuração do Servidor LDAP. . . . . . . . . . . . . . . . . . . . . 95

Configurando o IBM SecureWay Directory Server. . . . . . . . . . . . . . . . . . . . 97

Configurando o iPlanet Directory Server. . . . . . . . . . . . . . . . . . . . . . . . . . 105

Configurando o LiveContent DIRECTORY. . . . . . . . . . . . . . . . . . . . . . . . 111

Carregando o Arquivo de Esquema do Tivoli SecureWay PolicyDirector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

Incluindo as Definições de Tipo de Objeto e Atributo. . . . . . . . . 112

vi Versão 3.8

Atualizando os Sufixos de Pesquisa do LiveContentDIRECTORY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Configurando a Porta DAP do LiveContent DIRECTORY. . . . . . . . . 116

Configurando o Sistema Host do Tivoli SecureWay Policy Director 117

Obtendo Arquivos do LiveContent DIRECTORY. . . . . . . . . . . . 117

Configurando e Verificando Ligações. . . . . . . . . . . . . . . . . . . . . 119

Atualizando Esquemas DAC do LiveContent DIRECTORY. . . . . . . . 120

Apêndice B. Ativando o SSL (Secure Sockets Layer) 123Configurando o IBM SecureWay Directory Server para Acesso SSL. . . . . . 124

Criando o Arquivo de Banco de Dados de Chave e o Certificado. . . . 125

Obtendo um Certificado Pessoal de uma Autoridade de Certificação 127

Criando e Extraindo um Certificado Auto-assinado. . . . . . . . . . . . . . . 127

Ativando o Acesso SSL no Servidor LDAP. . . . . . . . . . . . . . . . . . . . 129

Configurando o iPlanet Directory Server para Acesso SSL. . . . . . . . . . . . . 132

Obtendo um Certificado de Servidor. . . . . . . . . . . . . . . . . . . . . . . . . 133

Instalando o Certificado de Servidor. . . . . . . . . . . . . . . . . . . . . . . . . 134

Ativando Acesso SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

Configurando o Cliente do IBM SecureWay Directory para Acesso SSL 137

Criando um Arquivo de Banco de Dados de Chave. . . . . . . . . . . . . . 137

Incluindo um Certificado de Assinante. . . . . . . . . . . . . . . . . . . . . . . . 139

Testando o Acesso SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

Configurando Autenticação de Servidor e Cliente LDAP. . . . . . . . . . . . . . 141

Criando um Arquivo de Banco de Dados de Chave. . . . . . . . . . . . . . 142

Obtendo um Certificado Pessoal de uma Autoridade de Certificação 143

Criando e Extraindo um Certificado Auto-assinado. . . . . . . . . . . . . . . 144

Incluindo um Certificado de Assinante. . . . . . . . . . . . . . . . . . . . . . . . 146

Testando o Acesso SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Apêndice C. Utilitários de Migração . . . . . . . . . . . . . . . . . . . 151

viiTivoli®

SecureWay®


Sintaxe do migrate37 e do migrate38. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

Sintaxe do pdupgrade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

Utilitários de Backup e Restauração. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Utilizando o Comando db2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Usando o Utilitário DB2LDIF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Glossário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

viii Versão 3.8

Prefácio

O Tivoli® SecureWay® Policy Director é o software de basenecessário para executar aplicativos do conjunto de produtos doTivoli SecureWay Policy Director. Ele permite a integração deaplicativos do Tivoli SecureWay Policy Director que fornecem umagrande faixa de soluções de autorização e gerenciamento. Vendidoscomo uma solução integrada, esses produtos fornecem uma soluçãode gerenciamento de controle de acesso que centraliza o critério desegurança de rede e aplicativo para aplicativos de e-business.

O Tivoli SecureWay Policy Director Base - Guia de Instalaçãoexplica como instalar, configurar e atualizar o software TivoliSecureWay Policy Director.

Quem Deve Ler Este GuiaEste guia destina-se aos administradores de sistema responsáveis pelainstalação e implementação do Tivoli SecureWay Policy Director.

Os leitores devem estar familiarizados com o seguinte:

¶ Sistemas operacionais de PC e UNIX®

¶ Arquitetura e conceitos de banco de dados

¶ Gerenciamento de segurança

¶ Protocolos de Internet, incluindo HTTP, TCP/IP, FTP (filetransfer protocol) e telnet

¶ LDAP (Lightweight Directory Access Protocol) e serviços dediretório

¶ Autenticação e autorização

Se você estiver ativando a comunicação SSL (Secure Sockets Layer),também deverá estar familiarizado com o protocolo SSL, troca dechaves (pública e privada), assinaturas digitais, algoritmoscriptográficos e autoridades de certificação.

ixTivoli®

SecureWay®


O Que Este Guia ContémEste guia contém as seguintes seções:

¶ Visão Geral da Instalação

Descreve os componentes de instalação em um domínio seguro,fornece uma visão geral do processo de instalação e explica asopções de instalação e configuração. Este capítulo também listaos requisitos do sistema necessários para instalar e configurar oTivoli SecureWay Policy Director.

¶ Utilizando Instalação Fácil

Conduz você nas etapas da primeira instalação e configuração doTivoli SecureWay Policy Director. A instalação fácil é executadaatravés da utilização de scripts de shell para sistemas UNIX earquivos batch para sistemas Microsoft® Windows®. Vocêtambém pode utilizar a instalação fácil para incluir umcomponente ou configurar um novo sistema em um domínioseguro existente.

¶ Utilizando Instalação Nativa

Fornece instruções para instalar e configurar o Tivoli SecureWayPolicy Director com utilitários nativos do sistema operacional.Diferente dos scripts da instalação fácil, você deve instalarmanualmente cada componente e quaisquer correçõesnecessárias.

¶ Utilizando Instalação Silenciosa

Fornece instruções para utilizar arquivos de resposta para instalarvários componentes ao mesmo tempo.

¶ Atualizando da Versão 3.7.x

Explica como atualizar um domínio seguro existente no TivoliSecureWay Policy Director, Versão 3.7.x, para o TivoliSecureWay Policy Director, Versão 3.8. Este capítulo tambémexplica como restaurar um sistema novamente para a Versão3.7.x, se necessário.

¶ Desinstalando o Tivoli SecureWay Policy Director, Versão 3.8

Fornece instruções para desconfigurar e remover componentesdo Tivoli SecureWay Policy Director.

Prefácio

x Versão 3.8

¶ Configurando Servidores LDAP para o Tivoli SecureWay PolicyDirector

Descreve como configurar servidores LDAP suportados paraserem utilizados com o Tivoli SecureWay Policy Director.

¶ Ativando o SSL (Secure Sockets Layer)

Explica como ativar a criptografia de dados SSL paracomunicações seguras entre o servidor LDAP e os clientes IBMSecureWay Directory.

¶ Utilitários de Migração

Fornece informações de referência ao atualizar do TivoliSecureWay Policy Director, Versão 3.7.x, para a Versão 3.8.

PublicaçõesEsta seção lista as publicações da biblioteca do Tivoli SecureWayPolicy Director e quaisquer outros documentos relacionados.Descreve também como acessar as publicações do Tivoli online,como solicitar publicações do Tivoli e como fazer comentários sobreas publicações do Tivoli.

Biblioteca do Tivoli SecureWay Policy DirectorOs documentos a seguir estão disponíveis no diretório/doc do CDdo Tivoli SecureWay Policy Director Base para sua plataforma e nosite de Suporte ao Cliente Tivoli na Web. Para obter fontesadicionais de informações sobre o Tivoli SecureWay Policy Directore tópicos relacionados, incluindo infra-estruturas de LDAP e chavepública, consulte o seguinte site na Web:

http://www.ibm.com/redbooks

¶ Tivoli SecureWay Policy Director Notas sobre o Release,(pd38_relnotes.pdf)

Fornece as últimas informações, como limitações de software,soluções e disponibilidade de correções.

¶ Tivoli SecureWay Policy Director Base Administration Guide,GC32-0680 (pd38_admin.pdf)

Prefácio

xiTivoli®

SecureWay®


Descreve os conceitos e procedimentos para utilizar os serviçosdo Tivoli SecureWay Policy Director. Fornece instruções paraexecutar tarefas a partir da interface de linha de comandospdadmin.

A documentação complementar a seguir está disponível somente nosite do Suporte ao Cliente Tivoli na Web. Para obter informaçõessobre como acessar esse site na Web, consulte “AcessandoPublicações Online” na página xiii.

¶ Tivoli SecureWay Policy Director Base Administration APIDeveloper’s Reference

Fornece o material de referência sobre a utilização da API deadministração para ativar um aplicativo para executar tarefas deadministração do Tivoli SecureWay Policy Director. Essedocumento descreve as implementações Java™ e C da API deadministração.

¶ Tivoli SecureWay Policy Director Base Authorization ADKDeveloper’s Reference

Fornece o material de referência sobre a utilização deferramentas de desenvolvimento e API de autorização para ativarum aplicativo para utilizar a segurança do Tivoli SecureWayPolicy Director. Esse documento descreve as implementaçõesJava e C da API deautorização.

¶ Tivoli SecureWay Policy Director Base Capacity Planning Guide

Auxilia os planejadores na determinação do número deservidores WebSEAL, LDAP e Web de backend, necessáriospara alcançar uma carga de trabalho requerida.

¶ Tivoli SecureWay Policy Director Base Performance TuningGuide

Fornece informações de ajuste de desempenho para um ambienteque consiste nos componentes Tivoli SecureWay Policy Directore WebSEAL.

Biblioteca do IBM SecureWay DirectoryO IBM SecureWay Directory, Versão 3.2.1, é fornecido no CD doTivoli SecureWay Policy Director Base para a sua plataforma

Prefácio

xii Versão 3.8

específica. Se você pretende instalar o IBM SecureWay DirectoryServer, o seguinte documento está disponível no diretório/doc/Directory/ install_config_guide/platform:

¶ IBM SecureWay Directory Installation and Configuration Guide(aparent.htm)

Fornece informações sobre instalação, configuração e migraçãopara os componentes do IBM SecureWay Directory em sistemasoperacionais AIX, Solaris e Windows.

Para obter mais informações sobre o IBM SecureWay Directory,consulte o seguinte site na Web:

http://www.software.ibm.com/network/directory/library/

Tivoli SecureWay Policy Director Web Portal ManagerSe você recebeu um CD doTivoli SecureWay Policy Director WebPortal Managercom sua solução específica do Tivoli SecureWayPolicy Director, será possível instalar a interface do Web PortalManager. Esta GUI (interface gráfica com o usuário) permite quevocê execute as tarefas de administração do Tivoli SecureWay PolicyDirector. O Web Portal Manager substitui o console degerenciamento anteriormente fornecido com o Tivoli SecureWayPolicy Director.

O documento a seguir está localizado no diretório/doc:

¶ Tivoli SecureWay Policy Director Web Portal ManagerAdministration Guide, GC32-0736 (pdwpm38_admin.pdf)

Fornece informações sobre como instalar o Web Portal Managere administrar os servidores Tivoli SecureWay Policy Directordurante sua utilização.

Acessando Publicações OnlineVocê pode acessar várias publicações do Tivoli online no site doSuporte ao Cliente Tivoli na Web:

http://www.tivoli.com/support/documents/

Prefácio

xiiiTivoli®

SecureWay®


Essas publicações estão disponíveis no formato PDF ou HTML, ouambos. Para alguns produtos, estão disponíveis, também, documentostraduzidos.

Para acessar a maioria da documentação, é necessário ter um ID euma senha. Se necessário, você poderá obtê-los no seguinte site naWeb:

http://www.tivoli.com/support/getting/

Solicitando PublicaçõesVocê pode solicitar várias publicações do Tivoli online no seguintesite na Web:

http://www.ibm.com/shop/publications/order

Você também pode solicitar, por telefone, ligando para:

¶ No Brasil: 0800-787378

¶ Em outros países, consulte o seguinte site na Web para obteruma lista dos números de telefone:

http://www.tivoli.com/inside/store/lit_order.html

Fornecendo Feedback sobre PublicaçõesEstamos muito interessados em conhecer sua experiência com osprodutos e a documentação do Tivoli e receberemos suas sugestõespara melhorias com satisfação. Se você tiver comentários ousugestões sobre nossos produtos e nossa documentação, entre emcontato conosco por meio de uma das seguintes maneiras:

¶ Envie um e-mail para [email protected].

¶ Preencha nossa pesquisa de feedback do cliente no seguinte sitena Web:

http://www.tivoli.com/support/survey/

Prefácio

xiv Versão 3.8

Entrando em Contato com o Suporte ao ClienteSe você tiver um problema com qualquer produto Tivoli, poderáentrar em contato com o Suporte ao Cliente Tivoli. Consulte oTivoliCustomer Support Handbookno seguinte site na Web:

http://www.tivoli.com/support/handbook/

O manual fornece informações sobre como entrar em contato com oSuporte ao Cliente Tivoli, dependendo da gravidade do problema edas seguintes informações:

¶ Registro e elegibilidade

¶ Números de telefone e endereços de e-mail, dependendo do paísque você está

¶ Quais informações você deve recolher antes de contatar osuporte

Convenções Utilizadas Neste ManualEste manual utiliza várias convenções para termos e ações especiaise comandos e caminhos dependentes do sistema operacional.

Convenções tipográficasAs seguintes convenções de tipo de letra são utilizadas neste manual:

Negrito Comandos em letras minúsculas e letras misturadas,opções de comando e sinalizadores que aparecemdentro do texto serão apresentadosassim, emnegrito.

Elementos da interface gráfica com o usuário (excetotítulos de janelas e diálogos) e nomes de teclastambém aparecemassim, emnegrito.

Itálico Variáveis, valores que você deve fornecer, termosnovos, palavras e frases que são destacadosaparecemassim, em itálico.

Espaçamento fixoComandos, opções de comando e sinalizadores que

Prefácio

xvTivoli®

SecureWay®


aparecem em uma linha separada, exemplos decódigo, saída e texto de mensagem aparecemassim,em espaçamento fixo.

Nomes de arquivos e diretórios, cadeias de texto quevocê digita, quando aparecem em um texto, nomesde métodos e classes Java e marcações HTML eXML também aparecemassim, emespaçamentofixo.

Variáveis e Caminhos Dependentes do SistemaOperacional

Este manual utiliza a convenção do UNIX para especificar variáveisde ambiente e para notação de diretórios.

Ao utilizar a linha de comandos do Windows, substitua$variablepor %variable% para variáveis de ambiente e substitua cada barra(/) por uma barra invertida (\) nos caminhos de diretório.

Nota: Se você estiver utilizando o shell bash em um sistemaWindows, poderá utilizar as convenções do UNIX.

Prefácio

xvi Versão 3.8

Visão Geral da Instalação

Antes de começar a instalação do Tivoli SecureWay Policy Director,Versão 3.8, você deve familiarizar-se com os componentes e asdecisões de configuração que devem ser tomadas durante ainstalação.

Este capítulo fornece as seguintes seções:

¶ Definindo Requisitos de Segurança

¶ Visão Geral do Domínio Seguro

¶ Componentes de Instalação

¶ Processo de Instalação

¶ Opções de Instalação

¶ Requisitos do Sistema

¶ Opções de Configuração

¶ Conteúdo do CD

Definindo Requisitos de SegurançaAntes de implementar uma solução específica do Tivoli SecureWayPolicy Director, você deve determinar os recursos de segurança egerenciamento específicos que são necessários em sua rede.

A primeira etapa no planejamento da implementação de um ambientede segurança do Tivoli SecureWay Policy Director é definir os

1

1Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

requisitos de segurança para seu ambiente de computação. Definir osrequisitos de segurança significa determinar os critérios comerciaisque devem ser aplicados a usuários, programas e dados. Isso inclui adefinição do seguinte:

¶ Objetos a serem protegidos

¶ Ações permitidas em cada objeto

¶ Usuários com permissão para realizar as ações

Reforçar o critério de segurança requer compreensão do fluxo deacesso solicitado através de sua topologia de rede. Isto incluiidentificar funções apropriadas e localizações de firewalls, roteadorese sub-redes. A implementação de um ambiente de segurança doTivoli SecureWay Policy Director (chamado dedomínio seguro)também requer a identificação de pontos favoráveis dentro de suarede para instalar o software que avalia pedidos de acesso deusuário, e concede ou nega o acesso solicitado.

A implementação de um critério de segurança requer o conhecimentoda quantidade de usuários, dados, e rendimento que sua rede deveacomodar. Você também deve avaliar as características dedesempenho, escalabilidade e a necessidade de recursos de falhainversa. A integração de software pré-existente, bancos de dados eaplicativos com o software Tivoli SecureWay Policy Directortambém deve ser considerada.

Depois que você tiver um entendimento dos recursos a seremimplementados, será possível decidir quais componentes e aplicativosdo Tivoli SecureWay Policy Director podem ser combinados paraimplementar melhor o critério de segurança.

Visão Geral do Domínio SeguroA família de produtos Tivoli SecureWay Policy Director baseia-seem um modelo que combina um conjunto de servidores e bibliotecasruntime com um ou mais aplicativos, como o Tivoli SecureWayPolicy Director para Sistemas Operacionais. Os servidores e asbibliotecas runtime fornecem uma estrutura de segurança que incluibibliotecas de autenticação e autorização.

Definindo Requisitos de Segurança

2 Versão 3.8

O domínio seguro do Tivoli SecureWay Policy Director é umambiente de computação seguro no qual o Tivoli SecureWay PolicyDirector aplica os critérios de segurança para autenticação,autorização e controle de acesso. O gráfico a seguir representa asestações de trabalho em um típico domínio seguro. Para descriçõesdesses componentes, consulte “Componentes de Instalação” napágina 4.

Para fins ilustrativos, esse gráfico representa uma única estação detrabalho para cada tipo de configuração—servidor de gerenciamento,servidor de autorização e assim por diante. Isso facilita aidentificação de componentes requeridos quando você configura umdomínio seguro na sua própria topologia de rede.

Tenha em mente que você também pode instalar todo o softwarenecessário para configurar e utilizar um domínio seguro em umaestação de trabalho independente. Isso é útil ao criar um protótipo deuma implementação ou desenvolver e testar um aplicativo. Vocêtambém pode incluir sistemas em um domínio seguro existente,como um sistema de runtime ou um sistema de desenvolvimentocom o Authorization ADK (Application Development Kit).

Visão Geral do Domínio Seguro

3Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

Os componentes mínimos necessários para um sistema que hospedaum domínio seguro são os seguintes:

¶ Um servidor LDAP (Lightweight Directory Access Protocol)suportado

¶ IBM SecureWay Directory Client

¶ IBM GSKit (Global Security Toolkit)

¶ Runtime Environment

¶ Management Server

Componentes de InstalaçãoEsta seção fornece uma visão geral dos componentes de instalaçãoque constituem um domínio seguro. Para versões suportadas,informações do sistema operacional e requisitos de espaço em discoe memória, consulte “Requisitos do Sistema” na página 8.

IBM Global Security ToolkitO Tivoli SecureWay Policy Director fornece a criptografia de dadosatravés da utilização do IBM GSKit (Global Security Toolkit), umaimplementação do protocolo SSL (Secure Sockets Layer), Versão3.0. Você deve instalar o GSKit, Versão 4.0.3.168, antes de instalar oambiente de runtime do Tivoli SecureWay Policy Director.

O pacote GSKit também instala o utilitário de gerenciamento dechave iKeyman (gsk4ikm), que permite que você crie bancos dedados de chaves, pares de chaves pública-privada e pedidos decertificados.

Servidor LDAP SuportadoO Tivoli SecureWay Policy Director, Versão 3.8, suporta os seguintesservidores LDAP:

¶ IBM SecureWay Directory Server, Versão 3.2.1

¶ iPlanet Directory Server, Versão 5.0

¶ LiveContent DIRECTORY, Release 8A.3

Visão Geral do Domínio Seguro

4 Versão 3.8

Para sistemas operacionais suportados e software de pré-requisito,consulte “Requisitos do Sistema” na página 8.

Cliente LDAP Suportado: IBM SecureWay DirectoryO Tivoli SecureWay Policy Director suporta um cliente LDAP: IBMSecureWay Directory Client, Versão 3.2.1. Esse cliente é fornecidocom o IBM SecureWay Directory no CD do Tivoli SecureWayPolicy Director Base para sua plataforma específica.

O IBM SecureWay Directory Client suporta completamente qualquerum dos servidores LDAP listados em “Servidor LDAP Suportado”na página 4. Você deve instalar e configurar esse cliente LDAP emcada sistema que executa o Tivoli SecureWay Policy Director.

O pacote de instalação do cliente LDAP inclui duas GUIs (interfacesgráficas com o usuário). A interface de Administração do Servidorbaseada na Web permite que você execute tarefas do servidor e dobanco de dados. A DMT (Directory Management Tool) permite quevocê procure e edite informações no diretório, como definições deesquema, árvore de diretórios e entradas de dados. A documentaçãodetalhada para cada interface está disponível nos sistemas de ajudaonline.

Runtime EnvironmentO Runtime Environment contém bibliotecas runtime e arquivos desuporte que os aplicativos podem utilizar para acessar os servidoresTivoli SecureWay Policy Director. Você deve instalar o ambiente deruntime em todo sistema que faz parte do domínio seguro.

Management ServerO Management Server mantém o banco de dados mestre do critériode autorização para o domínio seguro. Este servidor é a chave para oprocessamento de controle de acesso, autenticação e pedidos deautorização. Ele atualiza também as réplicas de banco de dados deautorização e mantém informações de localização sobre outrosservidores Tivoli SecureWay Policy Director no domínio seguro.

Pode haver somente uma única ocorrência, por vez, do ManagementServer e seu banco de dados mestre de autorização em qualquer

Componentes de Instalação

5Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

domínio seguro. No entanto, você pode ter um segundo servidor nomodo de espera para fornecer capacidades de falha inversa a frio. OManagement Server replica seu banco de dados ACL (lista decontrole de acesso) para todos os outros servidores Tivoli SecureWayPolicy Director no domínio seguro.

Authorization ServerO Authorization Server descarrega as decisões de controle de acessoe de autorização do Management Server. Mantém uma réplica dobanco de dados de critério de autorização e funciona como oavaliador da tomada de decisões de autorização. Um AuthorizationServer separado também fornece acesso ao serviço de autorizaçãopara aplicativos de terceiros que utilizam a API de autorização doTivoli SecureWay Policy Director no modo de cache remoto. Essecomponente é opcional.

Authorization Application Development KitO Authorization ADK (Application Development Kit) fornece umambiente de desenvolvimento que permite que você codifiqueaplicativos de terceiros para consultar decisões de autorização doAuthorization Server. A API de autorização protege os aplicativosdas complexidades dos serviços de autorização, incluindo métodosde armazenamento, armazenamento em cache, replicação eautenticação. Esse componente é opcional.

Web Portal ManagerA GUI do Web Portal Manager permite que você execute tarefasadministrativas do servidor que podem ser executadas na interface delinha de comandospdadmin. As tarefas incluem gerenciarinformações do usuário, criar grupos, iniciar e parar servidores e etc.Essa interface com o usuário baseada na Web é fornecidaseparadamente no CDTivoli SecureWay Policy Director Web PortalManager. Esse componente é opcional.

Processo de InstalaçãoEsta seção lista as etapas necessárias para criar um domínio seguro.As etapas gerais são as seguintes:

Componentes de Instalação

6 Versão 3.8

1. Planeje a implementação do Tivoli SecureWay Policy Director.Certifique-se de compreender os requisitos de segurançacomerciais para os quais o Tivoli SecureWay Policy Director estásendo implementado. Decida qual combinação de componentesdo Tivoli SecureWay Policy Director você deseja instalar eassegure-se de atender os requisitos do sistema listados na página8. Para obter mais informações, consulte “Definindo Requisitosde Segurança” na página 1.

2. Escolha um método de instalação para instalar o TivoliSecureWay Policy Director, Versão 3.8, e siga as instruções deinstalação fornecidas. Para obter mais informações, consulte“Opções de Instalação” na página 7.

Opções de InstalaçãoO Tivoli SecureWay Policy Director oferece os seguintes métodos deinstalação. Selecione o método que melhor atenda às suasnecessidades.

Tabela 1. Opções de instalaçãoOpção Objetivo Etapas

Instalação fácil Utilize essa opção paraexpedir a instalação econfiguração de um novodomínio seguro. Vocêtambém pode utilizar essaopção para incluir umcomponente ou configurarnovos sistemas em umdomínio seguro existente.

Consultar “UtilizandoInstalação Fácil” napágina 33.

Instalação nativa Utilize essa opção se vocêdesejar executar a instalaçãoe configuração decomponentes do TivoliSecureWay Policy Directorutilizando procedimentos dosistema operacional nativo.

Consultar “UtilizandoInstalação Nativa” napágina 39.

Processo de Instalação

7Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

Tabela 1. Opções de instalação (continuação)Opção Objetivo Etapas

Instalação silenciosa Utilize essa opção se vocêdesejar criar um script parao processo de instalação.Essa opção é útil ao instalarvários componentes aomesmo tempo.

Consultar “UtilizandoInstalação Silenciosa”na página 59.

Migração Utilize essa opção se vocêestiver migrando do TivoliSecureWay Policy Director,Versão 3.7.x.

Se você estiver atualizandoda Versão 3.6, deveráprimeiro atualizar para aVersão 3.7.x. Consulte adocumentação do produto daVersão 3.7.x para obterinstruções de instalação.

Consultar“Atualizando daVersão 3.7.x” napágina 65.

Requisitos do SistemaO Tivoli SecureWay Policy Director possui pré-requisitos desoftware e de hardware específicos que devem ser atendidos antesque ele seja instalado e considerado completamente funcional. Essespré-requisitos incluem sistemas operacionais, plataformas dehardware, correções e etc. Os requisitos listados nas seções a seguirconstituem o ambiente recomendado para os componentes do TivoliSecureWay Policy Director na época da publicação. Para obter asinformações mais atuais, consulte oTivoli SecureWay Policy DirectorNotas sobre o Release, Versão 3.8no site de Suporte ao ClienteTivoli na Web.

Sistemas Operacionais SuportadosOs componentes do Tivoli SecureWay Policy Director, Versão 3.8,são suportados nos seguintes sistemas operacionais, exceto Linux,que suporta somente os componentes Runtime Environment eAuthorization ADK:

Opções de Instalação

8 Versão 3.8

¶ Hewlett-Packard HP-UX 11.0

¶ IBM AIX 4.3.3 com o seguinte:

v Correçãobos.rte.libpthreads no nível 4.3.3.51 ou superior

Nota: Você pode fazer download dessa correção no seguinteendereço da Web:

http://www-1.ibm.com/support/rs6000.html

¶ Microsoft Windows NT 4.0 com o seguinte:

v Service Pack 6a

v Sistema de arquivos NTFS (recomendado)

¶ Microsoft Windows 2000 Advanced Server com o seguinte:

v Service Pack 1

v Sistema de arquivos NTFS (recomendado)

¶ Red Hat Linux 7.1 com o seguinte:

v rpm-3.0.5-27mdk.i586.rpm ou superior a3.0.5-27

Nota: Você pode localizar esse pacote no seguinte endereçoda Web:http://www.redhat.com

v Linux Mandrake 7.2 Powerpacklibstdc++-2.95.2-12mdk.i586.rpm

Nota: Você pode localizar esse pacote no seguinte endereçoda Web:http://www.linux-mandrake.com

¶ Sun Solaris 2.7 e 2.8

Correções do Tivoli SecureWay Policy DirectorO CD do Tivoli SecureWay Policy Director Base contém osseguintes diretórios de correção.

Requisitos de Sistema

9Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

Nota: Para obter o caminho completo desses diretórios para seusistema operacional, consulte “Conteúdo do CD” na página23.

correções Contém as correções necessárias para a instalaçãodos componentes do Tivoli SecureWay PolicyDirector. Se as correções forem necessárias após ainstalação, siga as instruções de instalação noarquivoREADME fornecido no diretório. Se ascorreções não forem necessárias, esse diretório estarávazio.

ldap_efix4 ou Efix4Contém um caminho que deve ser instalado após ainstalação do IBM SecureWay Directory Client, doIBM SecureWay Directory Server, ou ambos. Essacorreção é necessária somente nas plataformas AIX,Solaris e Windows. Em sistemas AIX e Solaris, essacorreção está localizada no diretórioldap_efix4.Em sistemas Windows, essa correção está localizadaem Efix4.

Se você utilizar a instalação fácil para instalar oscomponentes do IBM SecureWay Directory, essecaminho será instalado automaticamente. Se vocêutilizar a instalação nativa, será necessário instalarmanualmente a correção, seguindo as instruções deinstalação fornecidas no arquivoREADME.

Servidores LDAP SuportadosO Tivoli SecureWay Policy Director, Versão 3.8, suporta osservidores LDAP a seguir. As seções a seguir listam seus sistemasoperacionais suportados, pré-requisitos necessários e notas sobre orelease conhecidos na época da publicação.

IBM SecureWay Directory, Versão 3.2.1O IBM SecureWay Directory Server é fornecido no CD do TivoliSecureWay Policy Director Base para as plataformas AIX

®

, Solaris eWindows. Esse servidor LDAP é suportado nos seguintes sistemasoperacionais:


10 Versão 3.8

¶ IBM AIX 4.3.3

¶ Microsoft Windows NT 4.0 com Service Pack 6a

¶ Microsoft Windows 2000 Advanced Server

¶ Sun Solaris 2.7 e Solaris 2.8

O software de pré-requisito para o IBM SecureWay Directory Serveré o seguinte.

Nota: A correçãoefix4 do IBM SecureWay Directory, o IBM DB2 eo servidor Web IBM HTTP são fornecidos no CD TivoliSecureWay Policy Director Base para os sistemas AIX,Solaris e Windows.

¶ Correçãoefix4 do IBM SecureWay Directory

¶ IBM DB2®

Universal Database Edition, Versão 6.1, com FixPak3

¶ Um dos seguintes servidores Web suportados:

v Apache Server 1.3.12

v IBM HTTP Server, Versão 1.3.12

v Servidor Web Lotus®

Domino™

Enterprise 5.0.2b

v Microsoft Internet Information Server 4.0

v Netscape Enterprise Server 3.6.3, 4.0

v Netscape FastTrack Server 3.01


11Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

Atenção:

¶ Se houver um IBM SecureWay Directory Server que você desejautilizar para o Tivoli SecureWay Policy Director, assegure-se deatualizar o servidor para o nível do IBM SecureWay Directory,Versão 3.2. Para instruções de migração, consulte oIBMSecureWay Directory Installation and Configuration Guide.

¶ Se você tiver uma versão pré-existente do LDAP de umfornecedor diferente da IBM, será necessário removê-la antes deinstalar o IBM SecureWay Directory. Se você tentar instalar oIBM SecureWay Directory sem remover a a versão do outrofornecedor, os conflitos de nome de arquivo resultantes podemimpedir o funcionamento de qualquer uma das versões.

¶ Em sistemas Windows, se vocênão utilizar a instalação fácilpara instalar o IBM SecureWay Directory Server, certifique-se deinstalar o IBM DB2 (um pré-requisito) a partir do seguintediretório:windows/Directory/ldap32_us/db2

Netscape iPlanet Directory Server, Versão 5.0O iPlanet Directory Server, Version 5.0, é suportado nos seguintessistemas operacionais:

¶ Hewlett-Packard HP-UX 11.0

¶ IBM AIX 4.3.3

¶ Microsoft Windows NT 4.0 com Service Pack 6a

¶ Microsoft Windows 2000 Advanced Server

¶ Red Hat Linux 7.1


Para obter informações de instalação, consulte a documentação doproduto que é fornecida com o servidor LDAP.


12 Versão 3.8

Atenção:

¶ Esse servidor LDAP requer a instalação do GSKit somente sevocê instalar o Runtime Environment na mesma estação detrabalho. O GSKit não é requerido para SSL porque o iPlanetDirectory Server possui capacidade interna de SSL.

¶ Se houver um Netscape ou iPlanet Directory Server que vocêdeseja utilizar para o Tivoli SecureWay Policy Director,assegure-se de atualizar o servidor para o nível do iPlanetDirectory Server, Versão 5.0. Para obter instruções de migração,consulte oiPlanet Directory Server, Version 5.0 InstallationGuideno seguinte endereço da Web:

http://docs.iplanet.com/docs/manuals/directory.html#dirserver50

LiveContent DIRECTORY, Release 8A.3O LiveContent DIRECTORY, Release 8A.3, é suportado nosseguintes sistemas operacionais:


¶ Microsoft Windows NT 4.0 com Service Pack 4 ou posterior

Para obter informações de instalação, consulte a documentação doproduto que é fornecida com o servidor LDAP.


13Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

Atenção:

¶ O LiveContent DIRECTORY não suporta SSL.

¶ Se você instalar o LiveContent DIRECTORY e o IBMSecureWay Directory Client no mesmo sistema, duas cópias dosutilitários LDAP serão instaladas no sistema. Assegure que oTivoli SecureWay Policy Director utilize a versão IBMSecureWay Directory Client. O Tivoli SecureWay PolicyDirector é incompatível com a versão dos utilitários LDAPfornecidos com o LiveContent DIRECTORY.

No entanto, se você estiver utilizando o Tivoli SecureWay PolicyDirector em um sistema Windows NT

®

e tiver instalado oLiveContent DIRECTORY para obter os binários necessáriospara manipular o esquema, assegure-se de que os utilitáriosLDAP corretos sejam chamados no sistema Windows. Emsistemas UNIX ou NT, utilize o seguinte comando para verificarqual produto do fornecedor está sendo utilizado:ldapsearch –X

Se o LiveContent DIRECTORY estiver no caminho padrão, essecomando exibirá o nome e a versão do fornecedor. Para o IBMSecureWay Directory Server, isso exibe a mensagem de ajuda docomando.

Requisitos de Espaço em Disco e de MemóriaA Tabela 2 lista o mínimo e o recomendado para o espaço em discoe a memória dos vários componentes que você pode instalar nodomínio seguro.

Tabela 2. Requisitos de espaço em disco e de memóriaSistema Espaço em Disco Memória

Runtime Environment, incluindoo seguinte:

¶ IBM SecureWay DirectoryClient

¶ GSKit

Mínimo: 65 MBcom 10 MBincluído para logsRecomendado: 70MB com 10 MBincluído para logs

Mínimo: 64 MBRecomendado: 128MB


14 Versão 3.8

Tabela 2. Requisitos de espaço em disco e dememória (continuação)Sistema Espaço em Disco Memória

Management Server Mínimo: 15 MBRecomendado: 25MB


Authorization Server Mínimo: 10 MBRecomendado: 20MB


Authorization ADK Mínimo: 10 MBRecomendado: 10MB

Não aplicável

Nota: Recomenda-se que você monitore cuidadosamente o uso deespaço dos diretórios/opt e /var em sistemas UNIX. Oscomponentes do Tivoli SecureWay Policy Director sãoinstalados no subdiretório/PolicyDirector desses diretóriosem sistemas UNIX. Os bancos de dados do Tivoli SecureWayPolicy Director também são armazenados no diretório/var.

Opções de ConfiguraçãoEsta seção lista as informações de configuração que são requeridasdurante os processos de instalação fácil e nativa. Recomenda-se quevocê identifique esses valores antes de serem solicitados durante ainstalação. Isso resulta em uma instalação sem problemas, porquevocê saberá quais informações deverão ser fornecidas e, se algumadas opções refletidas nas listas a seguir não estiver clara, serápossível pesquisá-la antes de começar o processo de instalação.

Configurando o IBM Global Security ToolkitApós a instalação do GSKit, nenhuma configuração será necessária.

Configurando o IBM SecureWay Directory ServerDurante a configuração do IBM SecureWay Directory Server e dosoftware pré-requisito, são solicitadas as seguintes informações:


15Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

¶ ID (DN) do Administrador LDAP —Especifica o nome distintodo administrador LDAP. O nome padrão écn=root.

¶ Senha do Administrador LDAP—Especifica a senha associadaao ID do administrador LDAP.

¶ DN do GSO (Sufixo)—Especifica o nome distinto dalocalização do banco de dados do Tivoli GSO (Global Sign-On),na DIT (árvore de informações de diretório) do servidor LDAP.Por exemplo:o=tivoli,c=us

Para obter mais informações sobre qual entrada de GSO deve serincluída, consulte “Visão Geral da Configuração do ServidorLDAP” na página 95.

¶ Porta do Servidor LDAP—Especifica o número da porta emque o servidor LDAP atende. O número da porta padrão é 636.

¶ Arquivos de Chaves do Cliente SSL do LDAP—Especifica onome completo do caminho no qual o arquivo de banco dedados de chaves do GSKit está localizado no ManagementServer. Você pode criar seu próprio arquivo de chaves de clientecom o utilitário de gerenciamento de chavegsk4ikm (instaladocom o GSKit). Se você estiver utilizando a instalação fácil, érecomendável gerar um novo arquivo de chaves antes deimplementar o Tivoli SecureWay Policy Director em sua estaçãode trabalho. Para obter informações sobre como gerar seupróprio arquivo de chaves, consulte “Ativando o SSL (SecureSockets Layer)” na página 123.

¶ Senha do Arquivo de Chaves do SSL—Especifica a senha doarquivo de banco de dados de chaves do GSKit do cliente. Oarquivopd_ldapkey.kdb, fornecido com a instalação fácil,possui a senha padrãogsk4ikm. Se você precisar alterar essasenha com o utilitáriogsk4ikm , deverá chamar novamente asenha padrão para alterá-la.

¶ Rótulo do Certificado do Cliente SSL (serequerido)—Especifica o rótulo do certificado de cliente, noarquivo de banco de dados de chaves do GSKit do cliente, a serenviado para o servidor, se o servidor estiver configurado para

Opções de Configuração

16 Versão 3.8

exigir a autenticação de cliente ao estabelecer uma sessão SSL.Geralmente, o servidor LDAP requer somente certificados dolado do servidor que foram especificados durante a criação docliente.kdb e essa opção não é obrigatória. A instalação fácilfornece um arquivopd_ldapkey.kdb padrão, que possui umrótulo PDLDAP. Para obter mais informações sobre o rótulo docertificado de cliente SSL, consulte “Configurando Autenticaçãode Servidor e Cliente LDAP” na página 141.

As opções de configuração doIBM HTTP Server são as seguintes:

¶ ID de administração—Especificaroot para sistemas UNIX.Para sistemas Windows, especifica o ID de administrador com oqual você iniciou sessão na estação de trabalho.

¶ Senha de administração—Especifica a senha do ID doadministrador.

¶ Porta HTTP—Especifica o número da porta utilizado peloservidor IBM HTTP. É importante observar que tanto oWebSEAL como o servidor IBM HTTP utilizam a porta padrão80. Recomenda-se que você altere o número da porta do servidorIBM HTTP para 8080, para que o servidor Web não interfira naporta 80.

As opções de configuração doIBM DB2 são as seguintes:

¶ Somente em sistemas Windows, a senha padrão (db2admin) parao ID de administrador é fornecida. Aceite essa senha. Se o IDde usuário não foradministrador , você deverá fornecer a senhado usuário.

Configurando o IBM SecureWay Directory ClientApós a instalação do IBM SecureWay Directory Client, nenhumaconfiguração é necessária. No entanto, se você não estiver utilizandoa instalação fácil, assegure-se de instalar a correçãoefix4 nossistemas AIX, Solaris e Windows. Para obter mais informações,consulte “Correções do Tivoli SecureWay Policy Director” na página9.


17Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

Configurando o Runtime EnvironmentDurante a configuração do Runtime Environment, são solicitadas asseguintes informações:

¶ Nome do Host do Servidor LDAP—Especifica o nomecompleto do host do servidor LDAP. Por exemplo:ldapserver.tivoli.com

¶ Porta do Servidor LDAP—Especifica o número da porta emque o servidor LDAP atende. O número da porta padrão é 636.

¶ Nome do Host do Management Server— Especifica o nomecompleto do host do Management Server. Por exemplo:pdmgr.tivoli.com

¶ Porta do Servidor SSL— Especifica o número da porta que oManagement Server utiliza para atender pedidos SSL. O númeroda porta padrão é 7135.

¶ Nome do Arquivo do Certificado CA do Policy Director—Sevocê especificou para ativar o download automático do arquivode autoridade de certificação SSL durante a configuração doManagement Server, deixe essa opção em branco. Essa opçãonão é necessária na configuração do Runtime Environment. Casocontrário, especifique o caminho e nome de arquivo completosdo arquivo de autoridade de certificação SSL. O arquivopd_ldapkey.kdb é criado durante a configuração doManagement Server. Esse arquivo deve ser copiado localmente.


18 Versão 3.8

Atenção:

v Se você não utilizar a instalação fácil para instalar o servidorLDAP, esse arquivo não funcionará.

v Não importa o nome do arquivo de chaves escolhido para serutilizado, a instalação fácil copia o arquivo de chaves paraum dos diretórios mencionados. Isso proporciona à instalaçãofácil uma maneira de referir-se ao arquivo e localizá-lo emuma data posterior. Observe que o arquivo de chaves originalnão é alterado.

v Recomenda-se que você gere um novo arquivo de chavesantes de implementar o Tivoli SecureWay Policy Director. Oarquivo de chaves SSL deve ser gerado com o utilitáriogsk4ikm.

v O IBM SecureWay Directory Server é configurado utilizandoo arquivopd_ldapkey.kdb com a senhagsk4ikm e umrótulo do lado do servidorPDLDAP.

Configurando o Management ServerDurante a configuração do Management Server, são solicitadas asseguintes informações:




¶ Senha Mestre de Segurança—Especifica a senha associada aoID de administrador principalsec_master. Será solicitado quevocê confirme essa senha.

¶ Ativar o SSL entre o PD e o LDAP—Especifica se o SSL deveser ativado (yes) ou não (no). Seyes for especificado, asinformações a seguir serão solicitadas.


19Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

Nota: Para obter informações sobre como ativar a comunicaçãoSSL entre os servidores LDAP e os clientes IBMSecureWay Directory que suportam o software TivoliSecureWay Policy Director, consulte o “Ativando o SSL(Secure Sockets Layer)” na página 123“Capítulo 6.Ativando o SSL (Secure Sockets Layer)”, na página 93.

v Arquivos de Chaves do Cliente SSL do LDAP—Especificao nome completo do caminho no qual o arquivo de banco dedados de chaves do GSKit está localizado no ManagementServer. Você deve copiar esse arquivo de sua localização noservidor LDAP.

v Rótulo do Certificado do Cliente SSL (serequerido)—Especifica o rótulo do certificado de cliente, noarquivo de banco de dados de chaves do GSKit do cliente, aser enviado para o servidor, se o servidor estiver configuradopara exigir a autenticação de cliente ao estabelecer umasessão SSL. Geralmente, o servidor LDAP requer somentecertificados do lado do servidor que foram especificadosdurante a criação do cliente.kbde essa opção não éobrigatória. Para obter mais informações sobre o rótulo docertificado de cliente SSL, consulte “ConfigurandoAutenticação de Servidor e Cliente LDAP” na página 141.

v Senha do Arquivo de Chaves do SSL—Especifica a senhado arquivo de banco de dados de chaves do GSKit do cliente.O arquivopd_ldapkey.kdb, fornecido com a instalação fácilpossui uma senha padrãogsk4ikm e um rótuloPDLDAP. Essespadrões poderão ser utilizados se você instalar e configurar oIBM SecureWay Directory Server utilizando o scriptezinstall_ldap_server. Se você precisar alterar essa senhacom o utilitáriogsk4ikm , deverá chamar novamente a senhapadrão para alterá-la.

v Porta SSL do Servidor LDAP—Especifica o número daporta que o servidor LDAP utiliza para atender pedidos SSL.O número da porta padrão é 636.

¶ DN do LDAP para Banco de Dados GSO—Especifica o nomedistinto da localização do banco de dados do Tivoli GSO


20 Versão 3.8

(Global Sign-On), na DIT (árvore de informações de diretório)do servidor LDAP. Por exemplo:o=tivoli,c=us

Para obter mais informações sobre qual entrada de GSO deve serincluída, consulte “Visão Geral da Configuração do ServidorLDAP” na página 95.

¶ Porta do Servidor SSL para o PD ManagementServer—Especifica o número da porta que o ManagementServer utiliza para atender pedidos SSL. O número da portapadrão é 7135.

¶ Duração do Certificado SSL do PDMgr— Especifica onúmero de dias durante os quais o arquivo de certificados SSL éválido. O número de dias padrão é 365.

¶ Ativar o Download de Certificados—Especifiqueyes paraativar o download automático do arquivo de autoridade decertificação SSL durante a configuração do Management Server.Se você especificarno, deverá especificar o caminho e nome dearquivo completos do arquivo de autoridade de certificação SSL(pdcacert.b64) durante a configuração do Tivoli SecureWayPolicy Director.

Configurando o Authorization ServerDurante a configuração do Authorization Server, serão solicitadas asseguintes informações:


¶ Porta do Servidor LDAP—Especifica o número da porta que oservidor LDAP utiliza para escuta de pedidos SSL. O número daporta padrão é 636.




21Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

¶ Ativar o SSL entre o PD e o LDAP—Especifica se o SSL deveser ativado (yes) ou não (no). Seyes for especificado, asinformações a seguir serão solicitadas.

Nota: Para obter informações sobre como ativar a comunicaçãoSSL entre os servidores LDAP e os clientes IBMSecureWay Directory que suportam o software TivoliSecureWay Policy Director, consulte o “Ativando o SSL(Secure Sockets Layer)” na página 123“Capítulo 6.Ativando o SSL (Secure Sockets Layer)”, na página 93.

v Arquivo de Chaves do Cliente SSL do LDAP—Especificao nome completo do caminho no qual o arquivo de banco dedados de chaves do GSKit está localizado no ManagementServer. Você deve copiar esse arquivo de sua localização noservidor LDAP.

v Rótulo do Certificado do Cliente SSL (serequerido)—Especifica o rótulo do certificado de cliente, noarquivo de banco de dados de chaves do GSKit do cliente, aser enviado para o servidor, se o servidor estiver configuradopara exigir a autenticação de cliente ao estabelecer umasessão SSL. Geralmente, o servidor LDAP requer somentecertificados do lado do servidor que foram especificadosdurante a criação do cliente.kbd e essa opção não éobrigatória. Para obter mais informações sobre o rótulo docertificado de cliente SSL, consulte “ConfigurandoAutenticação de Servidor e Cliente LDAP” na página 141.

v Senha do Arquivo de Chaves do SSL—Especifica a senhado arquivo de banco de dados de chaves do GSKit do cliente.O arquivopd_ldapkey.kdb fornecido com a instalação fácilpossui uma senha padrãogsk4ikm e um rótuloPDLDAP. Essespadrões poderão ser utilizados se você instalar e configurar oIBM SecureWay Directory Server utilizando o scriptezinstall_ldap_server. Se você precisar alterar essa senhacom o utilitáriogsk4ikm , deverá chamar novamente a senhapadrão para alterá-la.


22 Versão 3.8

v Porta SSL do Servidor LDAP—Especifica o número daporta que o servidor LDAP utiliza para escuta de pedidosSSL. O número da porta padrão é 636.

¶ Senha Mestre de Segurança—Especifica a senha associada aoID de administrador principalsec_master. Será solicitado quevocê confirme essa senha.

Configurando o Authorization ADKApós a instalação do Authorization ADK, nenhuma configuração énecessária.

Portas PadrãoOs números de porta padrão são os seguintes:

¶ Porta não-SSL do servidor LDAP: 389

¶ Porta SSL do servidor LDAP: 636

¶ Porta SSL do Management Server: 7135

¶ Porta do cliente SSL do servidor LDAP: 636

Conteúdo do CDAs tabelas a seguir listam o conteúdo de cada um dos seguintes CDsdo Tivoli SecureWay Policy Director Base:

¶ Tivoli SecureWay Policy Director Base para AIX e Linux, Versão3.8

¶ Tivoli SecureWay Policy Director Base para Solaris e HP-UX,Versão 3.8

¶ Tivoli SecureWay Policy Director Base para Windows, Versão3.8

Tivoli SecureWay Policy Director Base para AIX eLinux

O CD Tivoli SecureWay Policy Director Base para AIX e Linux,Versão 3.8contém os seguintes diretórios:


23Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

Diretório Descrição Conteúdo

/ Scripts da instalação fácil

Nota: O Linux suportasomenteezinstall_pdrte eezinstall_pdauthadk.

¶ Authorization ADK(ezinstall_pdauthadk)

¶ Management Server(ezinstall_pdmgr)

¶ IBM SecureWay DirectoryServer (ezinstall_ldap_server)

¶ Authorization Server(ezinstall_pdacld)

¶ Runtime Environment(ezinstall_pdrte)

/common Arquivos utilizados pelainstalação fácil

/doc Documentação do TivoliSecureWay PolicyDirector

¶ Tivoli SecureWay PolicyDirector Notas sobre oRelease (pd38_relnotes.pdf)

¶ Tivoli SecureWay PolicyDirector Base AdministrationGuide (pd38_admin.pdf)

¶ Tivoli SecureWay PolicyDirector Base Guia deInstalação (pd38_install.pdf)

/doc/Directory/install_config_guide/aix

Documentação do IBMSecureWay Directory paraAIX

IBM SecureWay DirectoryInstallation and ConfigurationGuide (aparent.htm)

Conteúdo do CD

24 Versão 3.8


/linux Pacotes instaláveis paraLinux

¶ GSKit (gsk4bas-4.0-3.168.i386.rpm)

¶ IBM SecureWay DirectoryClient (ldap-clientd-3.2-2.i386.rpm)

¶ Runtime Environment(PDRTE-PD-3.8.0-0.i386.rpm)

¶ Authorization ADK(PDAuthADK-PD-3.8.0-0.i386.rpm)

/linux/patches Correções de pré-requisitodo Tivoli SecureWayPolicy Director para Linux

/nls Arquivos de suporte aoidioma nacional utilizadospela instalação fácil

Conteúdo do CD

25Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação


/usr/sys/inst.images Pacotes instaláveis paraAIX, incluindo pacotes demensagens e dedocumentação para osidiomas suportados

¶ GSKit (gskit.rte)

¶ IBM SecureWay DirectoryServer (ldap.server eldap.max_crypto_server)

¶ IBM SecureWay DirectoryClient (ldap.client eldap.max_crypto_client)

¶ Runtime Environment(PD.RTE)

¶ Management Server (PD.Mgr)

¶ Authorization Server(PD.Acld)

¶ Authorization ADK(PD.AuthADK )

¶ Documentação do IBMSecureWay Directory(ldap.htm.language)

¶ Mensagens do IBMSecureWay Directory(ldap.msg.language)

¶ Conjunto de arquivos do IBMDB2 (db2*)

¶ Servidor IBM HTTPD (http* )

/usr/sys/inst.images/migrate

Arquivos utilizados paraatualizar da Versão 3.7.xno AIX

¶ migrate.conf

¶ migrate37

¶ migrate38

¶ pdupgrade

/usr/sys/inst.images/patches

Correções de pré-requisitodo Tivoli SecureWayPolicy Director para AIX

Conteúdo do CD

26 Versão 3.8


/usr/sys/ inst.images/patches/ldap_efix4

Correção e arquivoREADME do IBMSecureWay Directory paraAIX

Tivoli SecureWay Policy Director Base for Solaris andHP-UX

O CD Tivoli SecureWay Policy Director Base para Solaris e HP-UX,Versão 3.8contém os seguintes diretórios:


/ Scripts da instalação fácil

Nota: O HP-UX não suportaezinstall_ldap_server.

¶ Authorization ADK(ezinstall_pdauthadk)

¶ Management Server(ezinstall_pdmgr)

¶ IBM SecureWay DirectoryServer(ezinstall_ldap_server)

¶ Authorization Server(ezinstall_pdacld)

¶ Runtime Environment(ezinstall_pdrte)


/doc Documentação do TivoliSecureWay Policy Director



¶ Tivoli SecureWay PolicyDirector Base - Guia deInstalação (pd38_install.pdf)

Conteúdo do CD

27Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação


/doc/Directory/install_config_guide/solaris

Documentação do IBMSecureWay Directory paraSolaris


/hp Pacotes instaláveis paraHP-UX

¶ GSKit (gsk4bas)

¶ IBM SecureWay DirectoryClient (LDAP )

¶ Runtime Environment(PDRTE)

¶ Management Server(PDMgr )

¶ Authorization Server(PDAcld)

¶ Authorization ADK(PDAuthADK )

/hp/migrate Arquivos utilizados paraatualizar da Versão 3.7.x noHP-UX

¶ migrate.conf

¶ migrate37

¶ migrate38

¶ pdupgrade

/hp/patches Correções de pré-requisito doTivoli SecureWay PolicyDirector para HP-UX


Conteúdo do CD

28 Versão 3.8


/solaris Pacotes instaláveis paraSolaris

¶ GSKit (gsk4bas)

¶ IBM SecureWay DirectoryServer (IBMldaps )

¶ IBM SecureWay DirectoryClient (IBMldapc )

¶ Runtime Environment(PDRTE)

¶ Management Server(PDMgr )

¶ Authorization Server(PDAcld)

¶ Authorization ADK(PDAuthADK )

¶ Documentação do IBMSecureWay Directory(IBMldi language)

¶ Mensagens do IBMSecureWay Directory(IBMldm language)

¶ Conjunto de arquivos doIBM DB2 (db2*)

¶ Servidor IBM HTTPD(IBMH* )

/solaris/migrate Arquivos utilizados paraatualizar da Versão 3.7.x noSolaris

¶ migrate.conf

¶ migrate37

¶ migrate38

¶ pdupgrade

/solaris/patches Correções de pré-requisito doTivoli SecureWay PolicyDirector para Solaris

Conteúdo do CD

29Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação


/solaris/ patches/ldap_efix4

Correção e arquivo READMEdo IBM SecureWay Directorypara Solaris

Tivoli SecureWay Policy Director Base para WindowsO CD Tivoli SecureWay Policy Director Base para Windows, Versão3.8 contém os seguintes diretórios:


/ Arquivos batch dainstalação fácil

¶ IBM SecureWay DirectoryServer(ezinstall_ldap_server.bat)

¶ Authorization Server(ezinstall_pdacld.bat)

¶ Authorization ADK(ezinstall_pdauthadk.bat)

¶ Management Server(ezinstall_pdmgr.bat)

¶ Runtime Environment(ezinstall_pdrte.bat)


/doc Documentação do TivoliSecureWay Policy Director



¶ Tivoli SecureWay PolicyDirector Base - Guia deInstalação (pd38_install.pdf)

/doc/Directory/install_config_guide/windows

Documentação do IBMSecureWay Directory


Conteúdo do CD

30 Versão 3.8



/windows/migrate Arquivos utilizados paraatualizar da Versão 3.7.x

¶ migrate.conf

¶ pdupgrade.exe

¶ migrate37.exe

¶ migrate38.exe

/windows/PolicyDirector/DiskImages/Disk 1

Arquivos utilizados durantea instalação do TivoliSecureWay Policy Director

Se necessário, você podeinstalar cada pacote doTivoli SecureWay PolicyDirector separadamente,utilizando os arquivossetup.exenos subdiretóriosdo componente.

Contém o arquivoSetup.exeparainstalar os seguintes componentesdo Tivoli SecureWay PolicyDirector:



¶ Authorization Server

¶ Authorization ADK

/windows/Directory/ldap32_us

Arquivos utilizados durantea instalação do IBMSecureWay Directory

Se necessário, você podeinstalar cada pacote doIBM SecureWay Directoryseparadamente, utilizandoos arquivossetup.exenossubdiretórios docomponente.

Contém o arquivosetup.exeparainstalartodosos componentes esoftware de pré-requisito do IBMSecureWay Directory

/windows/Directory/Efix4

Correção e arquivoREADME do IBMSecureWay Directory

/windows/gskit IBM Global SecurityToolkit

Contém o arquivosetup.exeparainstalar o GSKit, Versão 4.0.3.168

Conteúdo do CD

31Tivoli®

SecureWay®


1.V

isãoG

eraldaInstalação

Conteúdo do CD

32 Versão 3.8

Utilizando Instalação Fácil

Este capítulo descreve como instalar o Tivoli SecureWay PolicyDirector, Versão 3.8, utilizando o método de instalação fácil. Essemétodo é recomendável se você estiver criando um domínio seguroou incluindo estações de trabalho ou componentes em um jáexistente.

A instalação é executada através da utilização de scripts de shell parasistemas UNIX e arquivos batch para sistemas Windows. Essesscripts e arquivos batch facilitam a instalação do Tivoli SecureWayPolicy Director instalando automaticamente os pré-requisitos desoftware ao mesmo tempo. Eles também permitem que você saibaquais componentes estão atualmente instalados e solicitaminformações de configuração. Depois que você fornece as opções deconfiguração necessárias, o script instala e configura os componentessem intervenção adicional. E se, alguma vez, for necessário instalaresses componentes novamente, você poderá executar o arquivo deresposta associado, que armazena automaticamente as informaçõesde configuração digitadas. Para obter mais informações sobre osarquivos de resposta, consulte “Utilizando Instalação Silenciosa” napágina 59.

Este capítulo contém as seguintes seções:

¶ Considerações sobre Instalação

¶ Arquivos da Instalação Fácil

¶ Processo de Instalação Fácil

2

33Tivoli®

SecureWay®


2.U

tilizandoInstalação

Fácil

Considerações sobre InstalaçãoAntes de começar a utilizar o processo de instalação fácil, revise asseguintes considerações sobre instalação:

¶ Você deve instalar e configurar pelo menos um ManagementServer para cada domínio seguro. As informações deconfiguração do Management Server são utilizadas paraconfigurar todos os componentes do Tivoli SecureWay PolicyDirector, exceto o Authorization ADK (Application DevelopmentKit). Para descrições das opções de configuração que você devefornecer durante a instalação fácil, consulte “Opções deConfiguração” na página 15.

¶ Depois de configurar o Management Server, você pode instalar econfigurar o Authorization Server ou o Authorization ADK, ouambos, em qualquer estação de trabalho no domínio seguro,incluindo a estação de trabalho que hospeda o ManagementServer.

¶ Somente em sistemas Linux, faça o seguinte:

v Antes de executar os scripts de instalação fácil, assegure queo ksh esteja instalado ou crie um link de software para obash, conforme mostrado:ln -s /bin/bash /bin/ksh

v Antes de instalar os componentes, remova o pacotenss_ldap-149.1, se estiver instalado. Caso contrário,ocorrerá uma falha de instalação.

¶ Se você pretende instalar o Management Server utilizando oscript ezinstall_pdmgr, ele não é necessário para executar oscript de runtimeezinstall_pdrte. O Runtime Environment éinstalado com o componente Management Server. Utilizeezinstall_pdrte somente se você desejar configurar um sistemade runtime sem o Management Server.

¶ O IBM SecureWay Directory Server não é suportado emsistemas Linux e HP-UX. Portanto,ezinstall_ldap_serverestádisponível somente em sistemas AIX, Solaris e Windows.

¶ Somente em sistemas Windows, observe o seguinte:


34 Versão 3.8

v Se você pretende instalar um servidor Web diferente doservidor IBM HTTP, não utilize o scriptezinstall_ldap_server. Siga as instruções noIBM SecureWayDirectory Installation and Configuration Guide.

v O scriptezinstall_ldap_serveré executado somente emsistemas NTFS (sistemas de arquivos do Windows NT). Sevocê tiver o FAT instalado, siga as instruções noIBMSecureWay Directory Installation and Configuration Guide.

¶ O scriptezinstall_ldap_serverinclui os sufixos obrigatórios e asentradas de diretório necessárias para a DIT (DirectoryInformation Tree) do IBM SecureWay Directory Server. Noentanto, dependendo de suas necessidades organizacionais, vocêpode optar por criar sufixos adicionais para definições de usuárioe de grupo. Para obter mais informações, consulte“Configurando Servidores LDAP para o Tivoli SecureWayPolicy Director” na página 95.

¶ Somente em sistemas UNIX, se você desejar ver os status emensagens em seu idioma nativo, será necessário instalarprimeiro seu pacote de idioma.

¶ O Runtime Environment não pode ser configurado até que oManagement Server esteja instalado. Se o Runtime Environmentjá estiver configurado, você deverá desconfigurá-lo, instalar oManagement Server e, em seguida, configurar ambos os pacotes.

¶ Se você pretende instalar o Web Portal Manager, também poderáutilizar a instalação fácil. O scriptezinstall_pdwpm estádisponível no CDTivoli SecureWay Policy Director Web PortalManager.

Arquivos da Instalação FácilOs seguintes arquivos da instalação fácil estão localizados nodiretório raiz do CD do Tivoli SecureWay Policy Director para suaplataforma específica.

ezinstall_ldap_server (IBM SecureWay Directory Server)Configura uma estação de trabalho em um domínioseguro com os seguintes pacotes de software:


35Tivoli®

SecureWay®


2.U


Fácil

¶ IBM DB2 Universal Database Edition, Versão6.1, com Fixpak 3

¶ IBM GSKit (Global Security Toolkit), Versão4.0.3.168

¶ IBM HTTP Server, Versão 1.3.12

¶ IBM SecureWay Directory Client, Versão 3.2.1

¶ IBM SecureWay Directory Server, Versão 3.2.1,com a correçãoefix4

ezinstall_pdrte (Runtime Environment)Configura uma estação de trabalho em um domínioseguro com os seguintes pacotes de software:


¶ IBM SecureWay Directory Client, Versão 3.2.1,com a correçãoefix4


ezinstall_pdmgr (Management Server)Configura uma estação de trabalho em um domínioseguro com os seguintes pacotes de software:





ezinstall_pdacld (Authorization Server)Configura uma estação de trabalho em um domínioseguro com os seguintes pacotes de software:


Arquivos da Instalação Fácil

36 Versão 3.8




ezinstall_authadk (Authorization ADK)Configura uma estação de trabalho em um domínioseguro com os seguintes pacotes de software:





Processo de Instalação FácilPara instalar e configurar um novo domínio seguro, siga estas etapasbásicas:

1. Decidase você deseja ou não ativar o SSL entre o servidorLDAP e os clientes do IBM SecureWay Directory. O script doIBM SecureWay Directory Server (ezinstall_ldap_server)conduz você no processo para ativar um SSL e, ao mesmotempo, instalar e configurar esse servidor LDAP e seuspré-requisitos.

Nota: Se você pretende utilizar o iPlanet Directory Server,também poderá ativar o SSL após a instalação desseservidor LDAP, seguindo as instruções em “Ativando oSSL (Secure Sockets Layer)” na página 123.

2. Instale um servidor LDAP suportado e execute a configuraçãobásica, procedendo de uma das seguintes maneiras:

¶ Instale e configure o IBM SecureWay Directory Server e ospré-requisitos necessários, utilizando o arquivoezinstall_ldap_server.

Arquivos da Instalação Fácil

37Tivoli®

SecureWay®


2.U


Fácil

¶ Instale e configure o iPlanet Directory Server ou oLiveContent DIRECTORY, consultando a documentação doproduto que foi fornecida com o servidor LDAP.

¶ Se um servidor LDAP suportado já existir em seu domínioseguro, consulte “Servidores LDAP Suportados” na página10 para obter mais informações.

Atenção:

¶ Para descrições dos valores de configuração que você devefornecer durante a instalação fácil, consulte “Opções deConfiguração” na página 15.

¶ Para os requisitos do sistema, consulte “Servidores LDAPSuportados” na página 10.

3. Depois de instalar um servidor LDAP suportado, configure umaestação de trabalho do Management Server no domínio seguro,executando o arquivoezinstall_pdmgr.

4. Opcionalmente, a instalação fácil permite que você configureestações de trabalho adicionais em seu domínio seguro. Porexemplo, você pode fazer o seguinte:

¶ Execute o scriptezinstall_pdrte para instalar uma ou maisestações de trabalho do cliente runtime (sem o ManagementServer).

¶ Execute o scriptezinstall_authADK para instalar umaestação de trabalho de desenvolvimento com o AuthorizationADK (Application Development Kit).

¶ Execute o scriptezinstall_pdacldpara configurar umaestação de trabalho do Authorization Server.

Processo de Instalação Fácil

38 Versão 3.8

Utilizando Instalação NativaEsta seção contém informações sobre como instalar e configurar oIBM SecureWay Directory e os componentes do Tivoli SecureWayPolicy Director utilizando procedimentos do sistema operacionalnativo. Diferente dos scripts automatizados utilizados na instalaçãofácil, você deve instalar manualmente cada componente e quaisquercorreções necessárias na ordem listada em “Processo de InstalaçãoNativa” na página 41.

Este capítulo contém as seguintes seções principais:

¶ Considerações sobre Instalação

¶ Processo de Instalação Nativa

¶ Instalando o IBM Global Security Toolkit

¶ Instalando o IBM SecureWay Directory Client

¶ Instalando e Configurando o Tivoli SecureWay Policy Director

Considerações sobre InstalaçãoAntes de começar a utilização do processo de instalação nativa,assegure-se de que as seguintes condições sejam atendidas:

¶ Você deve instalar o IBM GSKit (Global Security Toolkit) antesda instalação de qualquer componente do Tivoli SecureWayPolicy Director. O GSKit é um pré-requisito para o RuntimeEnvironment, que é requerido em todas as estações de trabalhono domínio seguro.

3

39Tivoli®

SecureWay®


3.U


Nativa

¶ O IBM SecureWay Directory Client é requerido em cada sistemaque executa o Tivoli SecureWay Policy Director.

¶ Você deve instalar a correçãoefix4 do IBM SecureWayDirectory em cada estação de trabalho na qual o cliente ouservidor IBM SecureWay Directory foi instalado (excetoplataformas HP-UX e Linux, que não requerem essa correção).Para obter mais informações, consulte “Correções do TivoliSecureWay Policy Director” na página 9.

¶ Você deve instalar e configurar pelo menos um ManagementServer para cada domínio seguro. As informações deconfiguração do Management Server são utilizadas paraconfigurar todos os componentes do Tivoli SecureWay PolicyDirector, exceto o Authorization ADK (Application DevelopmentKit).

¶ Se você estiver instalando o sistema do Management Server,deverá instalar o Runtime Environment antes de instalar ocomponente Management Server. No entanto, você não deveconfigurar o Runtime Environment até que o ManagementServer esteja instalado.

¶ Depois de configurar o Management Server, você pode instalar econfigurar o Authorization Server ou o Authorization ADK, ouambos, em qualquer estação de trabalho no domínio seguro,incluindo a estação de trabalho que hospeda o ManagementServer.

¶ Atualmente, os únicos componentes do Tivoli SecureWay PolicyDirector que você pode instalar no sistema operacional Linuxsão o Runtime Environment e o Authorization ADK.

¶ Se você estiver instalando o Authorization Server em um sistemahost diferente daquele do Management Server efazer downloaddo certificado não estiver ativadopara esse Management Server,será necessário obter o arquivo de certificado SSL do sistema doManagement Server. Para fazer isso, utilize um programa detransferência de arquivos, comoftp , para colocar uma cópia doarquivo em uma localização de sua escolha. No ManagementServer, o arquivo de certificados está no seguinte diretório:/var/PolicyDirector/keytab/pdacert.b64

Considerações sobre Instalação

40 Versão 3.8

Processo de Instalação NativaO procedimento a seguir mostra como instalartodosos componentesdo Tivoli SecureWay Policy Director, na ordem apropriada.Dependendo dos requisitos da estação de trabalho, selecione somenteos componentes que você precisa instalar. Por exemplo, se vocêestiver configurando um ambiente de desenvolvimento em umsistema Solaris, os componentes requeridos incluem o GSKit, oRuntime Environment, o IBM SecureWay Directory Client, acorreçãoefix4 do IBM SecureWay Directory e o Authorization ADK.

Para instalar componentes que utilizam procedimentos do sistemaoperacional nativo, siga estas etapas básicas:

1. Instale o IBM GSKit (Global Security Toolkit) antes de instalarqualquer outro componente do Tivoli SecureWay Policy Director.Para obter instruções, consulte “Instalando o IBM GlobalSecurity Toolkit” na página 42.

2. Instale um servidor LDAP suportado e execute a configuraçãobásica. Se um servidor LDAP suportado já existir no domínioseguro, consulte “Servidores LDAP Suportados” na página 10para obter mais informações.

Para instruções de instalação, proceda de uma das seguintesmaneiras:

¶ Para instalar e configurar o iPlanet Directory Server ou oLiveContent DIRECTORY, consulte a documentação doproduto que foi fornecida com o servidor LDAP.

¶ Para instalar e configurar o IBM SecureWay DirectoryServer, consulte oIBM SecureWay Installation andConfiguration Guide.

Atenção:

v O IBM SecureWay Directory Server não é suportado emsistemas HP-UX e Linux.

v Se você pretende instalar o IBM SecureWay DirectoryServer em um sistema Windows, será necessário instalar oservidor e cliente IBM SecureWay Directory ao mesmotempo.

Processo de Instalação Nativa

41Tivoli®

SecureWay®


3.U


Nativa

v Para evitar impactos de desempenho, não ative a funçãoAlterar Log conforme indicado nas instruções paraconfigurar o IBM SecureWay Directory Server.

3. Instale o IBM SecureWay Directory Client. Para obter instruções,consulte “Instalando o IBM SecureWay Directory Client” napágina 45.

4. Se você instalou o cliente ou servidor IBM SecureWay Directoryem um sistema AIX, Solaris ou Windows, certifique-se tambémde instalar a correçãoefix4 do IBM SecureWay Directory. Paraobter mais informações, consulte “Correções do TivoliSecureWay Policy Director” na página 9.

5. Configure o servidor LDAP para ser utilizado com o TivoliSecureWay Policy Director. Para obter instruções, consulte“Configurando Servidores LDAP para o Tivoli SecureWay PolicyDirector” na página 95.

6. Opcionalmente, você pode ativar a comunicação SSL entre oservidor LDAP e os clientes IBM SecureWay Directory. Paraobter mais informações, consulte “Ativando o SSL (SecureSockets Layer)” na página 123.

7. Dependendo do tipo de sistema do Tivoli SecureWay PolicyDirector que você está configurando, instale um ou mais dosseguintes componentes nesta ordem:





Nota: Para obter instruções de instalação, consulte “Instalando eConfigurando o Tivoli SecureWay Policy Director” napágina 52.

Instalando o IBM Global Security ToolkitAs seções a seguir mostram como instalar o GSKit nos sistemasoperacionais suportados.

Processo de Instalação Nativa

42 Versão 3.8

Nota: O Tivoli SecureWay Policy Director suporta o GSKit, Versão4.0.3.168, ou uma versão posterior. O GSKit, Versão 5, não écompatível com a Versão 4, mas essas versões podemcoexistir no mesmo sistema.

Instalando o IBM Global Security Toolkit no AIXPara instalar o GSKit em um sistema AIX, siga estas etapas:

1. Inicie sessão na estação de trabalho comoraiz.

2. Insira o CDTivoli SecureWay Policy Director Base para AIX eLinux, Versão 3.8ou mapeie o CD a partir de uma unidade emum sistema remoto.

3. No prompt de comandos, digite o seguinte:installp –c –a –g –X –d /dev/cd0 gskit.rte

Após a instalação do GSKit, nenhuma configuração é necessária.

Nota: O utilitário de gerenciamento de chave iKeyman (gsk4ikm) éinstalado com o pacote GSKit. Para que o iKeyman sejaexecutado corretamente, você deve definir a seguinte variáveldo AIX:export JAVA_HOME=path

em quepath é o caminho no qual o Java RuntimeEnvironment está instalado.

Instalando o IBM Global Security Toolkit no HP-UXPara instalar o GSKit em um sistema HP-UX, siga estas etapas:


2. Insira o CDTivoli SecureWay Policy Director Base para Solarise HP-UX, Versão 3.8ou mapeie o CD a partir de uma unidadeem um sistema remoto.

3. Inicie opfs_mountd e, em seguida, opfsd no segundo plano,caso não estejam em execução. Monte o CD com o comandopfs_mount. Por exemplo, digite o seguinte:# /usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom

Instalando o IBM Global Security Toolkit

43Tivoli®

SecureWay®


3.U


Nativa

em que/dev/dsk/c0t0d0 é o dispositivo de CD e/cd-rom é oponto de montagem.

4. No prompt de comandos, digite o seguinte:swinstall –s /cd-rom/hp gsk4bas

em que/cd-rom/hp é o diretório.

5. Assegure-se de definir e verificar se o seguinte caminho foidefinido no seu.profile:SHLIB_PATH=/usr/lib

Para definir esse caminho, digite o seguinte comando:export SHLIB_PATH=/usr/lib;$SHLIB_PATH


Instalando o IBM Global Security Toolkit no LinuxPara instalar o GSKit em um sistema Linux, siga estas etapas:



3. Altere para o diretório/mnt/cdrom/linux, em que/mnt/cdromé o ponto de montagem do CD.

4. Para instalar o GSKit na localização padrão, digite o seguinte:rpm –i gsk4bas-4.0-3.168.i386.rpm


Instalando o IBM Global Security Toolkit no SolarisPara instalar o GSKit em um sistema Solaris, siga estas etapas:



3. Para instalar o arquivo GSKit requerido, digite o seguinte:pkgadd –d /cdrom/cdrom0/solaris gsk4bas


44 Versão 3.8

4. Quando a instalação for concluída, digiteq para retornar aoprompt de comandos.


Instalando o IBM Global Security Toolkit no WindowsPara instalar o GSKit em um sistema Windows, siga estas etapas:

1. Inicie sessão na estação de trabalho como um usuário comprivilégios de administrador.

2. Insira o CDTivoli SecureWay Policy Director Base paraWindowsou mapeie o CD a partir de uma unidade em umsistema remoto.

3. Para executar o programasetup.exe, proceda de uma dasseguintes maneiras:

¶ Em sistemas Windows NT, altere para o diretóriowindows/gskit e digite o seguinte:setup.exe PolicyDirector

¶ Em sistemas Windows 2000, altere para o diretóriowindows/gskit e execute o programasetup.exe.

O diálogo Bem-vindo é exibido.

4. Clique emAvançar. O diálogo Escolher Localização de Destinoé exibido.

5. Aceite o diretório de destino padrão ou clique emProcurar paraselecionar um caminho para outro diretório no sistema local. Seo diretório não existir, é necessário confirmar que você desejaque ele seja criado, ou especificar um diretório existente.

Clique emAvançar para instalar o GSKit (também denominadoGSK4). O diálogo Configuração Concluída é exibido.

6. Clique emConcluir para sair do programa de instalação.


Instalando o IBM SecureWay Directory ClientAs seções a seguir mostram como instalar e configurar o IBMSecureWay Directory Client em sistemas operacionais suportados.


45Tivoli®

SecureWay®


3.U


Nativa

Nota: Nenhuma configuração é necessária. No entanto, assegure-sede instalar a correçãoefix4 do IBM SecureWay Directory nossistemas operacionais suportados, exceto HP-UX e Linux, quenão requerem essa correção. Para obter mais informações,consulte “Correções do Tivoli SecureWay Policy Director” napágina 9.

Instalando o IBM SecureWay Directory Client no AIXPara instalar o IBM SecureWay Directory Client em um sistemaAIX, siga estas etapas:

1. Assegure-se de ter instalado o GSKit, Versão 4.0.3.168. Paraobter instruções, consulte “Instalando o IBM Global SecurityToolkit no AIX” na página 43.



4. No prompt de comandos, digite o seguinte:installp –c –a –g –X –d /dev/cd0 ldap.clientldap.max_crypto_client ldap.html.languageldap.msg.language

em quelanguageé o código de país para a versão de idioma queestá sendo instalada e/dev/cd0 é o diretório. Por exemplo, ocomando para instalar o IBM SecureWay Directory Client com adocumentação e as mensagens em inglês é o seguinte:installp –c –a –g –X –d /dev/cd0 ldap.clientldap.max_crypto_client ldap.html.en_US ldap.msg.en_US

Nota: Os pacotesldap.htm.languageespecificam os pacotes dedocumentação do IBM SecureWay Directory e os pacotesldap.msg.llanguageespecificam os pacotes de mensagens.

5. Instale a correçãoefix4 do IBM SecureWay Directory. Para obterinformações, consulte “Correções do Tivoli SecureWay PolicyDirector” na página 9.

Após a instalação do IBM SecureWay Directory Client, nenhumaconfiguração é necessária.

Instalando o IBM SecureWay Directory Client

46 Versão 3.8

Instalando o IBM SecureWay Directory Client noHP-UX

Para instalar o IBM SecureWay Directory Client em um sistemaHP-UX, siga estas etapas:

1. Assegure-se de ter instalado o GSKit, Versão 4.0.3.168. Paraobter instruções, consulte “Instalando o IBM Global SecurityToolkit no HP-UX” na página 43.





5. No prompt de comandos, digite o seguinte:swinstall –s /cd-rom/hp LDAP

em que /cd-rom/hp é o diretório eLDAP é o nome do pacotedo IBM SecureWay Directory Client.


Instalando o IBM SecureWay Directory Client no LinuxPara instalar o IBM SecureWay Directory Client em um sistemaLinux, siga estas etapas.

Nota: Antes de instalar o IBM SecureWay Directory Client em umsistema Linux, remova o pacotenss_ldap-149.1, se estiverinstalado. Caso contrário, ocorrerá uma falha de instalação.


47Tivoli®

SecureWay®


3.U


Nativa

1. Assegure-se de ter instalado o GSKit, Versão 4.0.3.168. Paraobter instruções, consulte “Instalando o IBM Global SecurityToolkit no Linux” na página 44.



4. Para instalar o IBM SecureWay Directory Client na localizaçãopadrão, digite o seguinte:rpm –i ldap-clientd-3.2-2.i386.rpm


Instalando o IBM SecureWay Directory Client noSolaris

Para instalar o IBM SecureWay Directory Client em um sistemaSolaris, siga estas etapas:

1. Assegure-se de ter instalado o GSKit, Versão 4.0.3.168. Paraobter instruções, consulte “Instalando o IBM Global SecurityToolkit no Solaris” na página 44.



4. Para instalar o IBM SecureWay Directory Client, digite oseguinte:pkgadd –d /cdrom/cdrom0/solaris IBMldapc

Nota: Para suporte ao idioma, instale também o pacote demensagensIBMldm languagee o pacoteIBMldi languagepara a documentação do IBM SecureWay Directory.

5. Durante a instalação, será perguntado se você desejautilizar /opt como o diretório de base. Se o espaço permitir,


48 Versão 3.8

utilize /opt como o diretório de instalação de base. Para aceitar/opt como o diretório de base, pressioneEnter.

6. Quando a instalação estiver concluída, digiteq para retornar aoprompt de comandos.

7. Instale a correção do IBM SecureWay Directoryefix4. Para obterinformações, consulte “Correções do Tivoli SecureWay PolicyDirector” na página 9.


Instalando o IBM SecureWay Directory Client noWindows

Para instalar o IBM SecureWay Directory Client em um sistemaWindows, siga estas etapas:

1. Inicie sessão na estação de trabalho como um usuário comprivilégios de administrador.

2. Assegure-se de ter instalado o GSKit, Versão 4.0.3.168. Paraobter instruções, consulte “Instalando o IBM Global SecurityToolkit no Windows” na página 45.

3. Insira o CDTivoli SecureWay Policy Director Base paraWindows, Versão 3.8ou mapeie o CD a partir de uma unidadeem um sistema remoto.

4. Execute o arquivosetup.exe no seguinte diretório:windows\Directory\ldap32_us

O diálogo Escolher Idioma de Configuração é exibido.

5. Selecione o idioma que você deseja utilizar para a instalação eclique emOK . O diálogo Acordo de Licença de Software éexibido.

6. Leia o acordo de licença e clique emAceitar se você concordarcom os termos. O diálogo Bem-vindo é exibido.

7. Assegure-se de que você tenha fechado quaisquer programas doWindows em execução e clique emAvançar para continuar.Um diálogo semelhante ao mostrado a seguir é exibido. Ele


49Tivoli®

SecureWay®


3.U


Nativa

informa sobre os pacotes que já estão instalados, como o GSKit,Versão 4.0.3.168, que é uma versão mais recente do pacoteGSKit que é instalado com o IBM SecureWay Directory.

8. Clique emAvançar para manter as versões do produto queestão atualmente instaladas. O diálogo Componentes deInstalação é exibido.

9. Clique emExpressapara instalar o IBM SecureWay DirectoryClient. O SDK (software development kit) e a DMT (directorymanagement tool) clientes são instalados automaticamente como pacote do IBM SecureWay Directory Client.


50 Versão 3.8

10. No diálogo Instalação Expressa, selecione o IBM SecureWayDirectory Client, conforme mostrado:

Você pode pré-visualizar o espaço em disco necessário e alteraro diretório de destino. Para continuar, clique emAvançar. Odiálogo Selecionar Pasta de Programa é exibido.

11. Selecione uma pasta de programa e clique emAvançar.

12. Revise suas definições atuais e, em seguida, clique emAvançarpara começar a copiar os arquivos.

13. Após a instalação dos arquivos, é perguntado se você desejaexibir o arquivo README. Clique emSim ou Não. Depois defechar a janela do README, ou se você tiver selecionadoNão,o diálogo Instalação Concluída será exibido.

14. Selecione se você deseja reiniciar o sistema agora ou mais tardee clique emConcluir .

15. Instale a correçãoefix4 do IBM SecureWay Directory. Paraobter informações, consulte “Correções do Tivoli SecureWayPolicy Director” na página 9.



51Tivoli®

SecureWay®


3.U


Nativa

Instalando e Configurando o Tivoli SecureWay PolicyDirector

As seções a seguir mostram como instalar e configurar oscomponentes do Tivoli SecureWay Policy Director em sistemasoperacionais suportados. Para descrições desses componentes,consulte “Componentes de Instalação” na página 4.

Observe que os procedimentos a seguir listamtodosos componentesdo Tivoli SecureWay Policy Director. Dependendo dos requisitos desua estação de trabalho, selecione somente os componentes que vocêprecisa instalar. Por exemplo, se você estiver configurando umaestação de trabalho para o Management Server, serão necessáriossomente os componentes Runtime Environment e ManagementServer para completar a configuração de sua estação de trabalho. OGSKit, o servidor LDAP, o IBM SecureWay Directory Client equaisquer correções necessárias já devem estar instalados.

Instalando o Tivoli SecureWay Policy Director no AIXPara instalar o Tivoli SecureWay Policy Director no AIX, siga estasetapas:



3. No prompt de comandos, digite o seguinte:installp –c –a –g –X –d /dev/cd0 package

em que/dev/cd0 é o diretório epackageé um ou mais dosseguintes:

PD.RTE Indica o Runtime Environment.

PD.Mgr Indica o Management Server.

PD.AuthADK Indica o Authorization ADK.

PD.Acld Indica o Authorization Server.

Instalando e Configurando o Tivoli SecureWay Policy Director

52 Versão 3.8

4. Para configurar os pacotes instalados, consulte “Configurando oTivoli SecureWay Policy Director no UNIX” na página 55.

Instalando o Tivoli SecureWay Policy Director noHP-UX

Para instalar o Tivoli SecureWay Policy Director no HP-UX, sigaestas etapas:





4. No prompt de comandos, digite o seguinte:swinstall –s /cd-rom/hp package

em que/cd-rom/hp é o diretório epackageé um ou mais dosseguintes:

PDRTE Indica o Runtime Environment.

PDMgr Indica o Management Server.

PDAuthADK Indica o Authorization ADK.

PDAcld Indica o Authorization Server.

5. Para configurar os componentes instalados, consulte“Configurando o Tivoli SecureWay Policy Director no UNIX” napágina 55.


53Tivoli®

SecureWay®


3.U


Nativa

Instalando o Tivoli SecureWay Policy Director noLinux

Para instalar componentes do Tivoli SecureWay Policy Director noLinux, siga estas etapas:



3. Para instalar os componentes na localização padrão, digite oseguinte:rpm –i package

em quepackageé um dos seguintes:

PDRTE-PD-3.8.0-0.i386.rpmIndica o Runtime Environment.

PDAuthADK-PD-3.8.0-0.i386.rpmIndica o Authorization ADK.


Instalando o Tivoli SecureWay Policy Director noSolaris

Para instalar o Tivoli SecureWay Policy Director no Solaris, sigaestas etapas:


2. Se você não estiver instalando o Tivoli SecureWay PolicyDirector a partir de um sistema de arquivos remoto, insira o CDTivoli SecureWay Policy Director Base para Solaris e HP-UX,Versão 3.8.

3. Para iniciar o utilitário de instalação, digite o seguinte comando:pkgadd –d /cdrom/cdrom0/solaris –a /cdrom/cdrom0/solaris /pddefault package


54 Versão 3.8

em que–d /cdrom/cdrom0/solaris especifica a localização dopacote e–a /cdrom/cdrom0/solaris/ pddefault especifica alocalização do script de administração da instalação, no CD ouno sistema de arquivos remoto.

Os pacotes instaláveis são mostrados a seguir. Você deve instalarum ou mais destes pacotes na seguinte ordem:




PDAcld Indica o Authorization Server.

Quando o processo de instalação estiver concluído para cadapacote, a seguinte mensagem será exibida:A instalação do pacote obteve êxito.


Configurando o Tivoli SecureWay Policy Director noUNIX

Antes de configurar um componente do Tivoli SecureWay PolicyDirector, você deve instalá-lo. Para instruções de instalação, consulteas instruções em “Instalando e Configurando o Tivoli SecureWayPolicy Director” na página 52 para a sua plataforma específica.

Você deve configurar cada pacote do Tivoli SecureWay PolicyDirector que foi instalado, exceto o Authorization ADK, no qual aconfiguração não é necessária. Você também deve configurar oRuntime Environment antes de configurar qualquer outro pacote.

Para configurar os componentes do Tivoli SecureWay PolicyDirector em um sistema UNIX, siga estas etapas:

1. Para iniciar o utilitário de configuração, digite o seguintecomando:/opt/PolicyDirector/bin/pdconfig


55Tivoli®

SecureWay®


3.U


Nativa

O Menu de Configuração do Policy Directoré exibido.

2. Digite o número do menu paraConfigurar Pacote. O Menu deConfiguração do Policy Director é exibido. A lista de pacotesdo Tivoli SecureWay Policy Director instalados é exibida.

3. Selecione o componente que você deseja configurar, um por vez.

Dependendo do componente selecionado, será solicitado quevocê forneça opções de configuração. Para obter assistência paraessas opções de configuração, consulte a página 15.

4. Quando aparecer uma mensagem indicando que um pacote foiconfigurado com êxito, pressioneEnter para configurar outrocomponente ou selecione duas vezes a opçãox para fechar outilitário de configuração.

Instalando o Tivoli SecureWay Policy Director noWindows

Para instalar o Tivoli SecureWay Policy Director no Windows, sigaestas etapas:

1. Inicie sessão no domínio do Windows como um usuário comprivilégios de administrador do Windows.

2. Insira o CDTivoli SecureWay Policy Director Base paraWindows, Versão 3.8ou mapeie o CD a partir de uma unidadeem um sistema remoto.

3. Execute o arquivosetup.exe no seguinte diretório:windows\PolicyDirector\Disk Images\Disk1

O diálogo Escolher Idioma de Configuração é exibido.

4. Selecione o idioma que você deseja utilizar para a instalação eclique emOK . O diálogo Bem-vindo é exibido.

5. Clique emAvançar. O diálogo Acordo de Licença é exibido.

6. Leia o acordo de licença e clique emSim se você concordar comos termos. O diálogo Selecionar Pacotes é exibido.

7. Selecione os pacotes que você deseja instalar na estação detrabalho e clique emAvançar. Se você tiver selecionado parainstalar o Runtime Environment, o diálogo Configuração do


56 Versão 3.8

Policy Director Runtime será exibido. Escolha uma pasta dedestino na qual você deseja instalar os arquivos de configuraçãode runtime e clique emAvançar.

8. Quando a instalação estiver concluída, o diálogo Instalação doPolicy Director Concluída será exibido. Selecione se você desejareiniciar o sistema agora ou mais tarde e clique emOK .

Nota: Você deve reiniciar o sistema para que as alterações sejamefetivadas.

9. Para configurar os componentes instalados, consulte“Configurando o Tivoli SecureWay Policy Director no Windows”na página 57.

Configurando o Tivoli SecureWay Policy Director noWindows

Antes de configurar um componente do Tivoli SecureWay PolicyDirector, você deve instalá-lo. Para instruções de instalação, consulte“Instalando o Tivoli SecureWay Policy Director no Windows” napágina 56.

Você deve configurar cada pacote do Tivoli SecureWay PolicyDirector que foi instalado, exceto o Authorization ADK no qual aconfiguração não é necessária. Você também deve configurar oRuntime Environment antes de configurar qualquer outro pacote.

Para configurar os componentes do Tivoli SecureWay PolicyDirector em um sistema Windows, siga estas etapas:

1. Depois de reiniciar o sistema, selecioneIniciar → Programas →Policy Director → Configuração. O diálogo Configuração do


57Tivoli®

SecureWay®


3.U


Nativa

Policy Director é exibido:

2. Selecione um componente para configurar e clique emConfigurar . Você deve configurar cada componenteseparadamente.

3. Dependendo do componente selecionado, será solicitado quevocê forneça opções de configuração. Para obter assistência paraessas opções de configuração, consulte a página 15. Após aconclusão da configuração, a janela Configuração do PolicyDirector é exibida novamente.

4. Revise suas seleções e clique emConcluir . A janelaConfiguração do Policy Director é exibida. Selecione um outrocomponente na lista para configurar ou clique emFechar parasair da ferramenta.


58 Versão 3.8

Utilizando Instalação Silenciosa

O Tivoli SecureWay Policy Director permite criar arquivos deresposta para otimizar a instalação e configuração do TivoliSecureWay Policy Director. Umarquivo de respostaé um arquivo detexto que contém informações do produto e do sistema necessáriaspara instalar e configurar componentes. É útil para executarinstalações (silenciosas) não-assistidas. O processo de instalação lêas informações do arquivo de resposta em vez de solicitar a vocêpara preencher os espaços em branco. Você também pode reutilizarum arquivo de resposta para instalações futuras, utilizando um editorde texto para incluir componentes ou personalizar opções deinstalação e configuração.


¶ Criando um Arquivo de Resposta

¶ Instalando Componentes Utilizando um Arquivo de Resposta

¶ Sintaxe do Arquivo de Resposta

Nota: As considerações sobre a instalação silenciosa são idênticasàquelas da instalação fácil. Para obter mais informações,consulte “Considerações sobre Instalação” na página 34.

Criando um Arquivo de RespostaVocê pode criar um arquivo de resposta de uma das seguintesmaneiras:

4

59Tivoli®

SecureWay®


4.U


Silenciosa

¶ Quando você instala o Tivoli SecureWay Policy Directorutilizando a instalação fácil, o arquivo de resposta é geradoautomaticamente com base nas respostas fornecidas durante ainstalação.

¶ A partir de um rascunho, utilizando qualquer editor de texto.

Em sistemas UNIX, o arquivo de resposta é nomeado com base nopacote instalado e configurado. Por exemplo, se você executar oscript ezinstall_pdrte, o arquivo de resposta gerado será nomeadoezinstall_pdrte.rsp. Os arquivos de resposta para cada pacote quevocê executa são armazenados no diretório/var/tmp em sistemasUNIX.

Em sistemas Windows, o arquivo de resposta é sempre nomeadoezinstall.rsp, independentemente do arquivo batch executado. Oarquivo de resposta reside no diretório\temp em sistemas Windows.

A instalação silenciosa permite instalar e configurar os seguintescomponentes:

¶ IBM SecureWay Directory Server

¶ Tivoli SecureWay Policy Director Runtime Environment

¶ Tivoli SecureWay Policy Director Management Server

¶ Tivoli SecureWay Policy Director Authorization Server

¶ Tivoli SecureWay Policy Director Authorization ADK

Instalando Componentes Utilizando um Arquivo deResposta

Para utilizar um arquivo de resposta para instalar os componentes doTivoli SecureWay Policy Director, siga estas etapas básicas:

1. Edite o arquivo de resposta para verificar sua sintaxe e assegurarque as informações estejam corretas. Você pode fornecer assenhas vigentes para os valores agora ou aguardar até que assenhas sejam solicitadas na execução do arquivo de resposta.

Criando um Arquivo de Resposta

60 Versão 3.8

2. Execute o arquivo de resposta para instalar os componentesespecificados. Para executar o arquivo de resposta, execute oscript de instalação fácil especificando o arquivo de resposta:

¶ Para sistemas UNIX, digite o seguinte:ezinstall_pdrte response_filename

em queresponse_filenameé o nome completo do arquivo deresposta. Por exemplo:ezinstall_pdrte /var/tmp/ezinstall_pdrte.rsp

¶ Para sistemas Windows, digite o seguinte:ezinstall_pdrte.bat c:\temp\ezinstall.rsp

Sintaxe do Arquivo de RespostaSegue um exemplo de arquivos de resposta gerados a partir dainstalação fácil. Observe que, neste exemplo, as senhas são deixadasem branco. A instalação fácil faz uma pausa para permitir que vocêespecifique os valores ausentes.

Um arquivo de resposta contém sub-rotinas de paresatributo=valor. Uma sub-rotina começa com uma linha quecontém o nome da sub-rotina entre colchetes, por exemplo,[LDAPS],e termina quando uma outra linha começa com outro nome desub-rotina entre colchetes ou quando o fim do arquivo éalcançado.Cada sub-rotina contém zero ou mais paresatributo=valor. Um nome de sub-rotina não pode ser repetidomais de uma vez em um arquivo de resposta. Os comentários podemser incluídos em um arquivo de resposta, utilizando o caractere #antes do comentário.

Para descrições desses atributos, consulte “Opções de Configuração”na página 15. Observe que a senha do arquivo de chaves padrão parao IBM SecureWay Directory Client égsk4ikm.[PDRTE]registry-type=ldapldap-server=ldapserv.tivoli.comldap-port=389ldap-ssl-port=636pdmgr-host=pdmgr.tivoli.com

Instalando Componentes Utilizando um Arquivo de Resposta

61Tivoli®

SecureWay®


4.U


Silenciosa

cacert=enable-ssl=Yssl-client-keyfile=c:\keytabs\pd_ldapkey.kdbssl-client-keyfile-dn=suffix=o=tivoli,c=uspdmgr_ssl_port=7135pdc_dir=C:\Program Files\Tivoli\Policy Directorssl-client-keyfile-pwd=

[PDMGR]ldap-admin-id=cn=rootldap-admin-pwd=ssl-port=7135cert-life=365enable-cert-download=Ysec-master-pwd=

[DB2]admin-pwd=install_dir=C:\SQLDIR

[HTTPD]admin-id=administratoradmin-pwd=port=80install_dir=C:\Program Files\IBM HTTP Server

[LDAPS]admin-id=cn=rootadmin-pwd=hostname=ldapserv.tivoli.comserver-port=389suffix=dc=whateverssl-client-keyfile=c:\keytabs\pd_ldapkey.kdbssl-client-keyfile-pwd=label=PDLDAP

[PDACLD]admin-id=cn=rootadmin-pwd=sec-master-pwd=

[LDAP]install_dir=C:\Program Files\IBM\LDAP

A seguir, um exemplo do arquivo de resposta do UNIX. Observe queos nomes de sub-rotina aparecem aqui somente para legibilidade.Neste exemplo, as senhas foram preenchidas com valores.

Sintaxe do Arquivo de Resposta

62 Versão 3.8

[HTTPD]http-admin-id = roothttp-admin-pwd = secrethttp-port = 80

[LDAPS]ldap-adminid = cn=rootldap-password = secretsuffix = o=tivoli,c=ushost = ldapserv.tivoli.comport = 389ldap-ssl-client-keyfile = /cdrom/common/pd_ldapkey.kdbldap-ssl-client-keyfile-pwd = gsk4ikmldap-label = PDLDAP

[PDRTE]ldap-or-domino = 1host = ldapserv.tivoli.comport = 389ldap-server-ssl-port = 636master-host = pdmgr.tivoli.compd-cacert =enable-ssl = Yssl-client-keyfile = /var/ldap/keytab/pd_ldapkey.kdbssl-keyfile-pwd = gsk4ikmssl-port = 7135

[PDMGR]ldap-adminid = cn=rootldap-password = secretssl-life = 365ssl-port = 7135sec-master-pwd = secretenable-cert-download = Yprompt-languages = N


63Tivoli®

SecureWay®


4.U


Silenciosa


64 Versão 3.8

Atualizando da Versão 3.7. x

Este capítulo descreve como atualizar de um sistema atualmenteinstalado com o Tivoli SecureWay Policy Director, Versão 3.7.x, paraa Versão 3.8. Se você estiver tentando atualizar o domínio seguro deuma versão do produto anterior à 3.7, deverá atualizar para o nívelda Versão 3.7.x antes de atualizar para a Versão 3.8.


¶ Visão Geral de Migração

¶ Considerações sobre Migração

¶ Atualizando o Management Server para a Versão 3.8

¶ Atualizando Outros Sistemas para a Versão 3.8

¶ Restaurando um Sistema para a Versão 3.7.x

¶ Editando o Arquivo de Configuração de Migração

¶ Fazendo Backup de Dados do Tivoli SecureWay Policy Director

¶ Restaurando Dados do Tivoli SecureWay Policy Director

Nota: Para obter informações de referência, consulte “Utilitários deMigração” na página 151.

Visão Geral de MigraçãoUse os utilitáriosmigrate37 e migrate38 para fazer backup deusuários e grupos do DCE e restaurá-los em um registro do LDAP.

5

65Tivoli®

SecureWay®


5.A

tualizandoda

Versão

3.7. x

O utilitário migrate37 extrai informações do Tivoli SecureWayPolicy Director (ACLs, o espaço de objeto e etc) a partir dainstalação da Versão 3.7.x e armazena os dados em arquivos de saídade formato XML (um arquivo para cada tipo de dados).Sucessivamente, o utilitáriomigrate38 extrai os dados dessesarquivos de saída e restaura os dados para a instalação da Versão3.8. Observe que se você estiver migrando entradas do registro doDCE, será necessário editar esses arquivos de saída para incluirsenhas do usuário DCE.

O processo de atualização também ativa o log de erros. Você deveavaliar os erros, corrigir as condições que causaram os erros e repetira restauração somente com o elementos que causaram os erros. Apósesse processo, o arquivo de erros torna-se o arquivo de entrada emcada rodada interativa da validação de erros, até que a restauraçãoseja bem-sucedida e executada sem erros. Para obter informações dereferência sobre esses utilitários, consulte “Sintaxe do migrate37 edo migrate38” na página 152.

Considerações sobre MigraçãoAntes de atualizar sistemas em um domínio seguro, revise asseguintes considerações:

¶ Como uma precaução padrão ao atualizar entre as versões, façabackup de todos os servidores do Tivoli SecureWay PolicyDirector, antes de começar.

¶ Verifique se o Tivoli SecureWay Policy Director, Versão 3.7.x, oLDAP (Lightweight Directory Access Protocol) e o DCE(Distributed Computing Environment) estão instaladoscorretamente e funcionando.

¶ Em sistemas UNIX, todos os comandos são executados comousuárioraiz. Em plataformas Windows, os comandos sãoexecutados por um usuário incluído no grupo de Administrador.

¶ Não é necessário atualizar o servidor LDAP durante o processode atualização; no entanto, você deve atualizar o cliente LDAPpara o IBM SecureWay Directory, Versão 3.2.1.

Visão Geral de Migração

66 Versão 3.8

¶ O caminho de instalação é/opt/PolicyDirector e/var/PolicyDirector em plataformas UNIX. No Windows, ocaminho de instalação varia e depende do diretório especificadodurante a instalação do Tivoli SecureWay Policy Director, Versão3.7.x.

¶ Em sistemas UNIX, o diretório temporário é/tmp. Em sistemasWindows, o diretório temporário é o valor especificado pelavariável%TMP% . Se a variável%TMP% não existir, o valorespecificado pela variável%TEMP% será utilizado. Senenhuma dessas variáveis estiver definida, o diretóriosystemserá o diretório temporário.

¶ Se você estiver atualizando um sistema com um aplicativoexistente no Tivoli SecureWay Policy Director, tal como o TivoliSecureWay Policy Director para Sistemas Operacionais, consultea documentação do aplicativo publicada no site de Suporte doTivoli na Web para obter os requisitos e recomendaçõesadicionais durante o processo de atualização.

¶ Recomenda-se que você use os utilitários do LDAP para fazerbackup e, posteriormente, restaurar os dados LDAP. Porexemplo, se você estiver utilizando um IBM SecureWayDirectory Server para o servidor LDAP, consulte “Utilitários deMigração” na página 151 para obter informações sobre osmecanismos de backup e restauração.

¶ Se você estiver atualizando de um registro do DCE para umregistro do LDAP, as senhas de usuário DCE não serão migradaspara o LDAP. Você deve atribuir novas senhas do LDAP paracada usuário, após a migração.

¶ Não reinicialize os sistemas Solaris durante o processo demigração.

¶ Para não ter que executar várias iterações da migração,assegure-se de que a conta administrativa do usuário do TivoliSecureWay Policy Director (por exemplo,sec_master) tenhapermissão sobre todas as ACLs, antes de executar o utilitáriomigrate37.

Considerações sobre Migração

67Tivoli®

SecureWay®


5.A

tualizandoda

Versão

3.7. x

¶ Os dados de ACL e POP devem ser restaurados por último. Casocontrário, você pode remover a permissãosec_masterpara criarobjetos em determinadas localizações. Além disso, as ACLs nãoserão restauradas corretamente se os usuários e grupos aos quaiselas se referem não existirem no ambiente de destino darestauração.

¶ O Tivoli SecureWay Policy Director NetSEAT, o TivoliSecureWay Policy Director NetSEALTrap e o DCE não são maisnecessários para executar o Tivoli SecureWay Policy Director.Após uma migração bem-sucedida, se nenhum outro aplicativoutilizar esses pacotes, você poderá desinstalá-los. Além disso, emsistemas AIX, o pacotePD.smit não é mais necessário.

Atualizando o Management Server para a Versão 3.8Siga estas etapas para migrar o Management Server para o TivoliSecureWay Policy Director, Versão 3.8, com um registro do LDAP:

1. Se você estiver migrando somente de um registro do DCE,instale e configure um servidor LDAP suportado para serutilizado como o registro do usuário do Tivoli SecureWayPolicy Director, Versão 3.8.

Para obter informações sobre quais servidores LDAP sãosuportados, consulte “Servidores LDAP Suportados” na página10. Para instalar o IBM SecureWay Directory Server, consulte“Utilizando Instalação Fácil” na página 33.

2. No CD do Tivoli SecureWay Policy Director Base para suaplataforma específica, copie os seguintes arquivos do diretórioplatform/migrate para o diretório temporário no sistema doManagement Server:

¶ migrate.conf

¶ migrate37

¶ migrate38

Nota: Se você estiver instalando em um sistema UNIX,também deverá copiar o arquivopdupgrade no diretório/tmp.

Considerações sobre Migração

68 Versão 3.8

3. Edite o arquivomigrate.conf no sistema para configurar oTivoli SecureWay Policy Director para seu ambiente específico.Esse arquivo é necessário para executar os utilitáriosmigrate37, migrate38 e pdupdgrade. Para obter instruções,consulte “Editando o Arquivo de Configuração de Migração” napágina 79.

4. Pare os aplicativos do Tivoli SecureWay Policy Director emexecução no sistema e execute as instruções específicas paracada aplicativo do Policy Director instalado no sistema. Noentanto, não pare o seguinte:

¶ Serviços de base do Tivoli SecureWay Policy Director,como o Management Server ou o Authorization Server.Esses componentes são requeridos pelo utilitário demigração.

¶ Se o WebSEAL estiver instalado, esse aplicativo deveráestar em execução durante o uso do utilitáriomigrate37para fazer backup dos dados dos campos de junção.

5. Utilize o comandodce_loginpara iniciar sessão como o usuárioadministrativo do DCE (cell_admin).

6. Faça backup das informações críticas do Tivoli SecureWayPolicy Director usando o utilitáriomigrate37. Para obterinstruções, consulte “Fazendo Backup de Dados do TivoliSecureWay Policy Director” na página 82.

Nota: Se as informações não puderem ser acessadas por umúnico usuário, pode ser necessário executar o utilitáriomigrate37 várias vezes com usuários diferentes.

7. Somente em sistemas HP-UX e Solaris, digite o seguintecomando para fazer backup de informações de configuração nodiretório /tmp/PolicyDirector:/tmp/pdupgrade –export

Em outros sistemas operacionais, esse comando é emitidoautomaticamente pelo programa de instalação. Para obter maisinformações sobre o utilitáriopdupgrade, consulte “Sintaxe dopdupgrade” na página 159.

Atualizando o Management Server para a Versão 3.8

69Tivoli®

SecureWay®


5.A

tualizandoda

Versão

3.7. x

8. Para parar todos os daemons e serviços do Tivoli SecureWayPolicy Director, proceda de uma das seguintes maneiras:

¶ Em sistemas Windows, selecioneIniciar → Configurações→ Painel de Controlee, em seguida, dê um clique duplo noíconeServiços. Pare todos os serviços do Tivoli SecureWayPolicy Director em execução na máquina local, incluindoaplicativos, como o Tivoli SecureWay Policy DirectorWebSEAL.

¶ Em sistemas UNIX, utilize o scriptiv instalado com oTivoli SecureWay Policy Director, Versão 3.7.x.

Para sistemas AIX, digite o seguinte:/etc/iv/iv stop

Para sistemas HP-UX, digite o seguinte:/sbin/init.d/iv stop

Para sistemas Solaris, digite o seguinte:/etc/init.d/iv stop

Nota: Para assegurar que todos os serviços e aplicativos doTivoli SecureWay Policy Director sejam parados, emita ocomandops. Se algum serviço ou aplicativo do TivoliSecureWay Policy Director ainda estiver em execução,emita o comandokill .

9. Atualize para o IBM Global Security Toolkit, Versão 4.0.3.168,e o IBM SecureWay Directory Client, Versão 3.2.1, com acorreçãoefix4 do IBM SecureWay Directory.

Notas

¶ Para instruções de remoção, consulte a documentação que éfornecida com o Tivoli SecureWay Policy Director, Versão3.7.x. Para instruções de instalação, consulte “UtilizandoInstalação Nativa” na página 39.

¶ Em sistemas AIX e Windows, não é necessário desinstalar oGSKit e o IBM SecureWay Directory Client se vocêpretende instalar a Versão 4.0.3.168 no mesmo diretório.


70 Versão 3.8

¶ Se você estiver atualizando em um sistema que possui oservidor LDAP instalado, também pode ser necessárioatualizar o servidor LDAP.

10. Somente em sistemas HP-UX e Solaris, se você estivermigrando de um registro do LDAP, remova o Tivoli SecureWayPolicy Director, Versão 3.7.x. Não desconfigure os componentesprimeiro.

Nota: Para obter instruções sobre como desconfigurar eremover os componentes da Versão 3.7.x, consulte adocumentação do produto que foi fornecida com o TivoliSecureWay Policy Director, Versão 3.7.x.

Atenção:

¶ Somente no HP-UX, você deve executar os seguintescomandos antes de remover quaisquer componentes:rm –f /opt/PolicyDirector/.configure/*swremove –x enforce_dependencies=false pkg_name

Esta etapa é requerida somente durante o processo deatualização.

¶ Somente em sistemas Solaris, o comandopkgrm perguntase você deseja continuar removendo o componente mesmoque ainda esteja configurado. Digiteyes para continuar. Sehouver dependências instaladas, como o Tivoli SecureWayPolicy Director WebSEAL, também será perguntado se vocêdeseja desinstalar o componente mesmo que existamaplicativos dependentes dele. Digiteyes para continuar.

11. Proceda de uma das seguintes maneiras:

¶ Somente em sistemas HP-UX e Solaris, digite o seguintecomando para assegurar que o Tivoli SecureWay PolicyDirector, Versão 3.7.x, esteja desinstalado:rm –fR /opt/PolicyDirector

¶ Em sistemas AIX somente com um registro do DCE, digiteo seguinte:rm –f /opt/PolicyDirector/.configure/*


71Tivoli®

SecureWay®


5.A

tualizandoda

Versão

3.7. x

¶ Em sistemas Windows somente com um registro do DCE,digite o seguinte:erase install_dir/.configure/*

12. Instale o Tivoli SecureWay Policy Director, Versão 3.8. Paraobter instruções, consulte “Utilizando Instalação Nativa” napágina 39.

Notas

¶ Não é possível utilizar scripts da instalação fácil paraatualizar para a Versão 3.8.

¶ Somente em sistemas Windows, reinicialize o sistema apósa instalação do Tivoli SecureWay Policy Director, Versão3.8.

13. Se você estiver utilizando um registro do DCE, será necessárioconfigurar o Tivoli SecureWay Policy Director, Versão 3.8.

14. Restaure as informações que você fez backup anteriormente.Para obter instruções, consulte “Restaurando Dados do TivoliSecureWay Policy Director” na página 84.

15. Inicie quaisquer aplicativos do Tivoli SecureWay PolicyDirector e execute as tarefas específicas para eles.

Nota: As senhas do usuário DCE não são migradas para o registrodo usuário LDAP. Assegure-se de redefinir as senhas deusuário.

Atualizando Outros Sistemas para a Versão 3.8Siga estas etapas para migrar os sistemas do Tivoli SecureWayPolicy Director (que não sejam do Management Server) para aVersão 3.8, utilizando um registro do LDAP:

1. Se você estiver migrando somente de um registro do DCE,instale e configure um servidor LDAP suportado para serutilizado como o registro do usuário para o Tivoli SecureWayPolicy Director, Versão 3.8.

Para obter informações sobre quais servidores LDAP sãosuportados, consulte “Servidores LDAP Suportados” na página


72 Versão 3.8

10. Para instalar o IBM SecureWay Directory Server, fornecidocom o IBM SecureWay Policy Director, consulte “UtilizandoInstalação Fácil” na página 33.

2. No CD do Tivoli SecureWay Policy Director Base para suaplataforma específica, copie o seguinte arquivo do diretórioplatform/migrate para o diretório temporário no sistema doManagement Server:

¶ migrate.conf

Nota: Se você estiver instalando em um sistema UNIX,também deverá copiar o arquivopdupgrade no diretório/tmp.

3. Edite o arquivomigrate.conf no sistema para configurar oTivoli SecureWay Policy Director para seu ambiente específico.Para obter instruções, consulte “Editando o Arquivo deConfiguração de Migração” na página 79.

4. Pare os aplicativos do Tivoli SecureWay Policy Director emexecução no sistema e execute quaisquer instruções específicaspara cada aplicativo do Policy Director instalado no sistema. Noentanto, não pare o seguinte:

¶ Serviços de base do Tivoli SecureWay Policy Director,como o Management Server ou o Authorization Server.Esses componentes são requeridos pelo utilitário demigração.

¶ Se o WebSEAL estiver instalado, esse aplicativo deveráestar em execução durante o uso do utilitáriomigrate37para fazer backup dos dados dos campos de junção.

5. Utilize o comandodce_loginpara iniciar sessão como o usuárioadministrativo do DCE (cell_admin).

6. Somente em sistemas HP-UX e Solaris, se você estivermigrando de um registro do LDAP, remova o Tivoli SecureWayPolicy Director, Versão 3.7.x. Não desconfigure os componentesprimeiro.

Atualizando Outros Sistemas para a Versão 3.8

73Tivoli®

SecureWay®


5.A

tualizandoda

Versão

3.7. x

Nota: Para obter instruções sobre como desconfigurar eremover os componentes da Versão 3.7.x, consulte adocumentação do produto que foi fornecida com o TivoliSecureWay Policy Director, Versão 3.7.x.

Atenção:

¶ Somente no HP-UX, você deve executar os seguintescomandos antes de remover quaisquer componentes:rm –f /opt/PolicyDirector/.configure/*swremove –x enforce_dependencies=false pkg_name


¶ Somente em sistemas Solaris, o comandopkgrm perguntase você deseja continuar removendo o componente mesmoque ainda esteja configurado. Digiteyes para continuar. Sehouver dependências instaladas, como o Tivoli SecureWayPolicy Director WebSEAL, também será perguntado se vocêdeseja desinstalar o componente mesmo que existamaplicativos dependentes dele. Digiteyes para continuar.

7. Para parar todos os daemons e serviços do Tivoli SecureWayPolicy Director, proceda de uma das seguintes maneiras:

¶ Em sistemas Windows, selecioneIniciar → Configurações→ Painel de Controlee, em seguida, dê um clique duplo noíconeServiços. Pare todos os serviços do Tivoli SecureWayPolicy Director em execução na máquina local, incluindoaplicativos, como o Tivoli SecureWay Policy DirectorWebSEAL.

¶ Em sistemas UNIX, utilize o scriptiv instalado com oTivoli SecureWay Policy Director, Versão 3.7.x.

Para sistemas AIX, digite o seguinte:/etc/iv/iv stop

Para sistemas HP-UX, digite o seguinte:/sbin/init.d/iv stop


74 Versão 3.8

Para sistemas Solaris, digite o seguinte:/etc/init.d/iv stop

Nota: Para assegurar que todos os serviços e aplicativos doTivoli SecureWay Policy Director sejam parados, emita ocomandops. Se algum serviço ou aplicativo do TivoliSecureWay Policy Director ainda estiver em execução,emita o comandokill .

8. Atualize para o IBM Global Security Toolkit, Versão 4.0.3.168,e o IBM SecureWay Directory Client, Versão 3.2.1.

Notas

¶ Para obter instruções de remoção, consulte a documentaçãoque foi fornecida com o Tivoli SecureWay Policy Director,Versão 3.7.x. Para obter instruções de instalação, consulte“Utilizando Instalação Nativa” na página 39.

¶ Em sistemas AIX e Windows, não é necessário desinstalar oGSKit se você pretende instalar a Versão 4.0.3.168 nomesmo diretório.

¶ Se você estiver atualizando em um sistema que possui oservidor LDAP instalado, também pode ser necessárioatualizar o servidor LDAP.

9. Somente em sistemas HP-UX e Solaris, você deve desinstalar oTivoli SecureWay Policy Director, Versão 3.7.x. Para fazer isso,proceda de uma das seguintes maneiras:

¶ Somente em sistemas HP-UX, execute os seguintescomandos:rm –f/opt/PolicyDirector/.configure/*swremove –x enforce_dependencies=false pkg_name


¶ Somente em sistemas Solaris, o comandopkgrm perguntase você deseja continuar removendo o componente mesmoque ainda esteja configurado. Digiteyes para continuar. Sehouver dependências instaladas, como o Tivoli SecureWay


75Tivoli®

SecureWay®


5.A

tualizandoda

Versão

3.7. x

Policy Director WebSEAL, também será perguntado se vocêdeseja desinstalar o componente mesmo que existamaplicativos dependentes dele. Digiteyes para continuar.


¶ Somente em sistemas HP-UX e Solaris, digite o seguintecomando para assegurar que o Tivoli SecureWay PolicyDirector, Versão 3.7.x, esteja desinstalado:rm –fR /opt/PolicyDirector

¶ Em sistemas AIX somente com um registro do DCE, digiteo seguinte:rm –f /opt/PolicyDirector/.configure/*

¶ Em sistemas Windows somente com um registro do DCE,digite o seguinte:erase install_dir/.configure/*

11. Instale o Tivoli SecureWay Policy Director, Versão 3.8. Paraobter instruções, consulte “Utilizando Instalação Nativa” napágina 39.

Notas

¶ Não é possível utilizar scripts da instalação fácil paraatualizar para a Versão 3.8.

¶ Somente em sistemas Windows, reinicialize o sistema apósa instalação do Tivoli SecureWay Policy Director, Versão3.8.

12. Se você estiver utilizando um registro do DCE, será necessárioconfigurar o Tivoli SecureWay Policy Director, Versão 3.8.

13. Restaure as informações que você fez backup anteriormente.Para obter instruções, consulte “Restaurando Dados do TivoliSecureWay Policy Director” na página 84.

14. Inicie quaisquer aplicativos do Tivoli SecurWay Policy Directore execute as tarefas específicas para eles.

Nota: As senhas do usuário DCE não são migradas para o registrodo usuário LDAP. Portanto, você deve redefinir as senhas deusuário.


76 Versão 3.8

Restaurando um Sistema para a Versão 3.7. xSe você encontrar um problema ao migrar para a Versão 3.8, podeser necessário restaurar o sistema para a Versão 3.7.x.

Para restaurar um sistema com a Versão 3.8 para a versão do TivoliSecureWay Policy Director que foi instalada anteriormente, siga estasetapas.

Nota: Se você encontrar um problema durante o backup dos dadosexistentes, entre em contato com o Suporte do Tivoli paraobter assistência, antes de continuar com o processo deatualização. Para obter mais informações, consulte “Entrandoem Contato com o Suporte ao Cliente” na página xv.

1. Assegure-se de que todos os aplicativos do Tivoli SecureWayPolicy Director, como o WebSEAL, sejam parados.

2. Assegure-se de que todos os serviços de base do TivoliSecureWay Policy Director sejam parados.

3. Se o diretórioPolicyDirector e o utilitário pdupgrade nãoestiverem no diretório temporário, proceda de uma das seguintesmaneiras para copiar os dados salvos e o arquivopdupgradepara o diretório temporário:

¶ Em sistemas UNIX, copie/var/PolicyDirector/save37em /tmp/PolicyDirector. Em seguida, copie/opt/PolicyDirector/sbin/pdupgrade em /tmp.

¶ Em sistemas Windows, copieinstall_path\save37 em%TMP% \PolicyDirector . Em seguida, copieinstall_path\bin\pdupgrade em %TMP% .

4. Para remover o Tivoli SecureWay Policy Director, Versão 3.8, dosistema, proceda de uma das seguintes maneiras:

¶ Em sistemas AIX, digite os seguintes comandos:rm -fR /opt/PolicyDirectorrm -fR /var/PolicyDirector

¶ Em sistemas Solaris, digite os seguintes comandos:pkgrm pkg_name –fR /opt/PolicyDirector

pkgrm pkg_name –fR /var/PolicyDirector

Restaurando um Sistema para a Versão 3.7.x

77Tivoli®

SecureWay®


5.A

tualizandoda

Versão

3.7. x

O comandopkgrm pergunta se você deseja continuarremovendo o componente mesmo que ainda estejaconfigurado. Digiteyes para continuar. Se houverdependências instaladas, como o Tivoli SecureWay PolicyDirector WebSEAL, também será perguntado se você desejadesinstalar o componente mesmo que existam aplicativosdependentes dele. Digiteyes para continuar.

¶ Em sistemas HP-UX, digite os seguintes comandos nestaordem:rm -f /opt/PolicyDirector/.configure/*swremove -x enforce_dependencies=false pkg_namerm -fR /opt/PolicyDirectorrm -fR /var/PolicyDirector

¶ Em sistemas Windows, siga estas etapas:

a. Inicie sessão como um usuário do Windows comprivilégio de administrador.

b. SelecioneIniciar → Configurações→ Painel de Controlee, em seguida, clique no íconeAdicionar ou RemoverProgramas.

c. Utilize o botãoAdicionar/Remover para remover ospacotes de base do Tivoli SecureWay Policy Director.

5. Instale o Tivoli SecureWay Policy Director, Versão 3.7.x. Paraobter instruções, consulte o Tivoli SecureWay Policy DirectorBase - Guia de Instalação, Versão 3.7.x.

Nota: Em sistemas AIX, você deve emitir o comandoinstallpcom a opção–F. Ou, se você estiver utilizando a SMITpara instalar pacotes da Versão 3.7.x, respondayes para oaviso que pergunta se versões iguais ou mais recentesdevem ser sobrepostas eno para o aviso que pergunta seo software de pré-requisito deve ser instaladoautomaticamente.

6. Aplique quaisquer correções do Tivoli SecureWay PolicyDirector que estavam no sistema antes da atualização para aVersão 3.8.


78 Versão 3.8

7. Para restaurar os dados anteriores, altere para o diretóriotemporário e digite o seguinte comando:pdupgrade -restore

Editando o Arquivo de Configuração de MigraçãoO Tivoli SecureWay Policy Director fornece um gabarito do arquivode configuração, localizado no diretórioplatform/migrate no CDdo Tivoli SecureWay Policy Director, para sua plataforma específica.Esse arquivo, denominadomigrate.conf, serve como umaorientação para o formato e conteúdo dos itens de configuraçãorequeridos.

Você deve copiar esse arquivo no sistema e editá-lo apropriadamenteem seu próprio domínio seguro. Segue um exemplo do arquivo deconfiguração da instalação típica:## arquivo de configuração da ferramenta de migração#[ldap]domain = o=tivoli,c=usadmin-dn = cn=useradmin-pwd = userpdadmin-login = sec_masterpdadmin-pwd = TivoliSystemsdce-admin-name = cell_admindce-admin-pwd = celluser-reg-host = foo.bar.comuser-reg-hostport = 389user-reg-hostsslport = 7139ssl-enabled = yesssl-keyfile = /opt/ibm/gsk4/bin/ldap.kdbssl-keyfile-dn = cn=tivolissl-keyfile-pwd = password

### HISTORY# $Log: $## $EndLog$

onde:

domínio Fornece o domínio de base sob o qual todos osusuários e grupos migrados residem. O TivoliSecureWay Policy Director utiliza esse valor de


79Tivoli®

SecureWay®


5.A

tualizandoda

Versão

3.7. x

domínio na construção de nomes distintos paraentradas de usuário e de grupo. Essa entrada éobrigatória.

Para o DCE, esse sufixo é aquele sob o qual osusuários DCE do Tivoli SecureWay Policy Director,Versão 3.7.x, foram incluídos ao migrar de umregistro do DCE e restaurar para um registro doLDAP.

Para usuários com o LDAP migrado, o utilitáriomigrate37 manuseia vários sufixos para os dados.Ao migrar de um registro do LDAP e restaurar paraum registro do LDAP, você não precisa especificaros vários sufixos.

admin-dn Fornece o nome distinto do administrador de bancode dados LDAP. Este é o mesmo nome que foiespecificado durante a instalação do servidor LDAP.Geralmente, o nome distinto do administrador écn=root para instalações do Tivoli SecureWay PolicyDirector. Essa entrada é obrigatória.

admin-pwd Especifica a senha do administrador de banco dedados LDAP. Esse arquivo de texto corrido contendoa senha deve estar protegido e disponível somentepara usuários e grupos apropriados. Essa entrada éobrigatória.

pdadmin-loginEspecifica a conta administrativa do usuário para oTivoli SecureWay Policy Director, por exemplo,sec_master. Essa entrada é obrigatória.

Atenção: Você deve assegurar que essa conta deusuário tenha permissão de controle sobre todas asACLs. Caso contrário, o utilitário de migração nãoterá permissão para fazer backup com êxito de todasas informações do Tivoli SecureWay Policy Director.

Editando o Arquivo de Configuração de Migração

80 Versão 3.8

pdadmin-pwd Especifica a senha da conta administrativa do usuáriopara o Tivoli SecureWay Policy Director. Essaentrada é obrigatória.

dce-admin-nameEspecifica o administrador DCE para a instalaçãoque está sendo migrada. O usuário administrativoDCE é um tipo especial de usuário que o TivoliSecureWay Policy Director utiliza somente emdeterminadas funções administrativas. Não migreesse tipo de usuário do registro do DCE para oregistro do LDAP.

Como o utilitáriomigrate38 não pode determinarqual usuário é o usuário administrativo semassistência, você deve alterar o nome padrão,cell_admin, para corresponder ao usuárioadministrativo real da instalação que está sendomigrada. Essa entrada é obrigatória.

dce-admin-pwdEspecifica a senha do administrador DCE. Essaentrada é obrigatória.

user-reg-host Especifica o servidor LDAP utilizado pelo TivoliSecureWay Policy Director, Versão 3.8. Essa entradaé obrigatória.

user-reg-hostportEspecifica a porta do servidor LDAP. Essa entrada éobrigatória.

user-reg-hostsslportEspecifica a porta SSL do servidor LDAP. Essaentrada é obrigatória.

ssl-enabled Especifica se as comunicações SSL (Secure SocketsLayer) estão ativadas (yes) ou desativadas (no) nestesistema. Se o SSL estiver ativado, você tambémpoderá especificar as seguintes opções:


81Tivoli®

SecureWay®


5.A

tualizandoda

Versão

3.7. x

ssl-keyfileEspecifica o arquivo de chaves do clienteLDAP. Essa entrada é obrigatória.

ssl-keyfile-dnEspecifica o nome distinto no arquivo dechaves.

ssl-keyfile-pwdEspecifica a senha para o arquivo de chaves.Essa entrada é obrigatória.

Fazendo Backup de Dados do Tivoli SecureWayPolicy Director

Antes de começar a fazer backup dos dados do Tivoli PolicyDirector, assegure-se de que as seguintes condições sejam atendidas:

¶ Assegure-se de que a conta administrativa do usuário para oTivoli SecureWay Policy Director (por exemplo,sec_master)tenha permissão para todas as ACLs, antes de executar outilitário migrate37. Caso contrário, esse utilitário não terápermissão para fazer backup com êxito de todas as informaçõesdo Tivoli SecureWay Policy Director.

¶ Execute o utilitáriomigrate37 no diretório temporário dosistema do Management Server.

¶ Somente em sistemas Windows, assegure-se de especificartambém a opção–r ao fazer backup das informações do TivoliSecureWay Policy Director. Por exemplo, inclua o seguinte:–r "C:\Program Files\Tivoli\Policy Director\ivmgrd\lib\ivmgrd.conf"

em queC:\Program Files\Tivoli\PolicyDirector\ivmgrd\lib é o caminho especificado durante ainstalação do Tivoli SecureWay Policy Director, Versão 3.7.x.Para obter informações de referência, consulte “Sintaxe domigrate37 e do migrate38” na página 152.

¶ Se você estiver atualizando somente de um registro do LDAP,também deverá especificar a opção–d ldap.


82 Versão 3.8

Para fazer backup dos dados a partir de um sistema com o TivoliSecureWay Policy Director, Versão 3.7.x, instalado, siga estas etapas:

1. Para fazer backup dos dados da lista de controle de acesso,incluindo ações de permissão e grupos de ação, e dasinformações de POP (protected object policy), digite o seguintecomando:migrate37 –t backup –s acls –f acls.xml

em queacls.xml é o nome do arquivo no qual as informações dalista de controle de acesso são armazenadas.

2. Para fazer backup das informações de usuário e de grupo a partirde um registro do DCE, digite o seguinte comando:migrate37 –t backup –s user –f user.xml

em queuser.xml é o nome do arquivo no qual as informações deusuário e de grupo estão armazenadas.

Notas

¶ Se você pretende utilizar um servidor LDAP existente para ainstalação da Versão 3.8, não é necessário fazer backup deusuários e grupos. Os dados da senha do usuário também sãopreservados.

¶ Se você pretende instalar um novo servidor LDAP, deveráusar os utilitários do LDAP (não o utilitáriomigrate37) parafazer backup das informações de usuário e de grupo.

3. Para fazer backup dos espaços de objetos e os objetos que elescontêm, digite o seguinte comando:migrate37 –t backup –s obj –f object.xml

em queobject.xml é o nome do arquivo no qual todos os objetosnão-padrão (criados pelo usuário) são armazenados.

4. Para fazer backup dos dados do servidor para cada servidorconfigurado, digite o seguinte comando:migrate37 –t backup –s server –f server.xml

Fazendo Backup de Dados do Tivoli SecureWay Policy Director

83Tivoli®

SecureWay®


5.A

tualizandoda

Versão

3.7. x

em queserver.xml é o nome do arquivo no qual os dados doservidor estão armazenados.

5. Somente para instalações do produto WebSEAL, digite o seguintepara fazer backup dos dados dos campos de junção doWebSEAL:migrate37 –t backup –s webseal –f temp_dir/jct_backup.xml

em quetemp_diré o diretório temporário no sistemae jct_backup.xml é o arquivo no qual as informações decampos de junção são armazenadas.

Nota: As informações de campos de junção do WebSEAL sãorestauradas automaticamente pelo processo de atualização(restauração) do WebSEAL. O processo do WebSEALprocura especificamente por um arquivojct_backup nodiretório temporário do sistema. Para obter maisinformações, consulte oTivoli SecureWay Policy DirectorWebSEAL Installation Guide, Versão 3.8.

Restaurando Dados do Tivoli SecureWay PolicyDirector

Antes de começar a restaurar os dados do Tivoli Policy Director,assegure-se de que as seguintes condições sejam atendidas:

¶ Antes de restaurar as informações armazenadas, certifique-se deinstalar o Tivoli SecureWay Policy Director, Versão 3.8.

¶ Assegure-se de restaurar dados de registro do usuário e do grupoantes de qualquer outra restauração de dados.

¶ Assegure-se de que os dados de ACL e POP sejam restauradospor último. Caso contrário, você pode remover a permissão dosec_masterpara criar objetos em determinadas localizações.Além disso, as ACLs não serão restauradas corretamente se osusuários e grupos aos quais elas se referem não existirem noambiente de destino da restauração.

¶ Execute o utilitáriomigrate38 no diretório temporário dosistema do Management Server.

Fazendo Backup de Dados do Tivoli SecureWay Policy Director

84 Versão 3.8

¶ As informações não são anexadas aos arquivos de erros(especificados com a opção–e). Portanto, cada nome de arquivode erros deve ser exclusivo.

¶ Somente em sistemas Windows, assegure-se de incluir a opção–r com as opções especificadas no procedimento seguinte. Aopção–r especifica o nome completo do caminho do arquivoivmgrd.conf da sua instalação atual da Versão 3.8. Porexemplo:–r "C:\Program Files\Tivoli\Policy Director\etc\ivmgrd.conf"

Para obter informações de referência sobre esta e outras opções,consulte “Sintaxe do migrate37 e do migrate38” na página 152.

¶ Os dados não são gravados no arquivo de erros ao restaurar asinformações de objeto e de usuário. Você deve especificar aopção–a para registrar erros no arquivo de log. O arquivo delog padrão émigration.log.

Para restaurar dados do Tivoli SecureWay Policy Director, siga estasetapas:

1. Para restaurar as informações de usuário e de grupo, digite oseguinte comando:migrate38 –t restore –s user –f user.xml –e obj_error.xml

em queuser.xml é o nome do arquivo no qual as informações deusuário e de grupo são armazenadas emigration.log é o nomedo arquivo de log padrão que grava as operações que falharam.

Nota: Atualmente, você deve especificar a opção–e, embora oserros não sejam registrados nesse arquivo.

2. Para restaurar espaços de objetos e os objetos que eles contêm,digite o seguinte:migrate38 –t restore –s obj –f object.xml –e obj_error.xml

em queobject.xml é o nome do arquivo no qual todas asinformações de objetos não padrão (criadas pelo usuário) são

Restaurando Dados do Tivoli SecureWay Policy Director

85Tivoli®

SecureWay®


5.A

tualizandoda

Versão

3.7. x

armazenadas emigration.log é o nome do arquivo de logpadrão que grava as operações que falharam.

Nota: Atualmente, você deve especificar a opção–e, embora oserros não sejam registrados nesse arquivo.

3. Para restaurar as informações do servidor e configurar cadaservidor com os parâmetros armazenados no arquivo XMLdurante a operação de backup, digite o seguinte:migrate38 –t restore –s server –f server.xml –e server_error.xml

em queserver.xml é o nome do arquivo no qual as informaçõesdo servidor são armazenadas eserver_error.xml é o nome doarquivo de erros que grava as operações que falharam.

4. Para restaurar ações, grupos de ações, listas de controles deacesso e informações de POP, digite o seguinte:migrate38 –t restore –s acls –f acls.xml –e acls_error.xml

em queacls.xml é o nome do arquivo no qual as informações deACL e POP são armazenadas eacls_error.xml é o nome doarquivo de erros que grava as operações que falharam.

5. Avalie os erros nos arquivos de erros, corrija as condições quecausaram os erros e, em seguida, utilize o comandomigrate38–s para repetir a restauração somente dos elementos quecausaram os erros. Siga essa rotina até que a restauração sejabem-sucedida e execute sem erros.

Restaurando Dados do Tivoli SecureWay Policy Director

86 Versão 3.8

Desinstalando o TivoliSecureWay Policy Director,Versão 3.8

A desinstalação do Tivoli SecureWay Policy Director, Versão 3.8, éum processo de duas partes. Você deve desconfigurar oscomponentes e, em seguida, removê-los, a menos que seja instruídode outra maneira, tal como ao atualizar para a Versão 3.8 a partir deum registro do LDAP.

Este capítulo contém as seguintes seções principais:

¶ Considerações sobre Desinstalação

¶ Desinstalando o Tivoli SecureWay Policy Director no AIX

¶ Desinstalando o Tivoli SecureWay Policy Director no HP-UX

¶ Desinstalando o Tivoli SecureWay Policy Director no Linux

¶ Desinstalando o Tivoli SecureWay Policy Director no Solaris

¶ Desinstalando o Tivoli SecureWay Policy Director no Windows

Considerações sobre DesinstalaçãoAntes de começar o processo de desinstalação, assegure que asseguintes condições sejam atendidas:

¶ Pare todos os serviços e aplicativos do Tivoli SecureWay PolicyDirector antes de desinstalar os componentes.

6

87Tivoli®

SecureWay®


6.D

esinstalandoo

TivoliS

ecureWay

Policy

Director

¶ Desconfigure e remova o Management Server por último.

¶ Desconfigure quaisquer outros aplicativos do Tivoli SecureWayPolicy Director, como o Tivoli SecureWay Policy DirectorWebSEAL, antes de desconfigurar o Management Server e oRuntime Environment.

¶ Não é necessário desconfigurar o Authorization ADK antes deremovê-lo.

Desinstalando o Tivoli SecureWay Policy Director noAIX

Para desconfigurar e remover componentes de um sistema AIX, sigaestas etapas:

1. Para desconfigurar componentes, siga as instruções em“Desconfigurando o Tivoli SecureWay Policy Director no UNIX”na página 91.

2. Para remover um ou mais pacotes, digite o seguinte:installp –u –g package

em quelanguageé o código de país da versão de idioma queestá sendo desinstalada e package é um dos seguintes pacotes:

PD.AuthADK Indica o Authorization ADK.

PD.Mgr Indica o Management Server.

PD.Acld Indica o Authorization ADK.

PD.RTE Indica o Runtime Environment.

ldap.msg.languageIndica as mensagens do IBM SecureWayDirectory em seu idioma.

ldap.htm.languageIndica as mensagens do IBM SecureWayDirectory em seu idioma.

ldap.client and ldap.max_crypto_clientIndica o IBM SecureWay Directory Client.

Desinstalando o Tivoli SecureWay Policy Director

88 Versão 3.8

gskit.rte Indica o GSKit.

Por exemplo, o comando para desinstalar o IBM SecureWayDirectory Client com a documentação e as mensagens em inglêsé o seguinte:installp –u –g ldap.html.en_US ldap.msg.en_US ldap.clientldap.max_crypto_client

Desinstalando o Tivoli SecureWay Policy Director noHP-UX

Para desconfigurar e remover componentes de um sistema HP-UX,siga estas etapas:


2. Para remover um ou mais pacotes, digite o seguinte:swremove package

em quepackageé um ou mais dos seguintes:



PDAcld Indica o Authorization ADK.


LDAP Indica o IBM SecureWay Directory Client.

gsk4bas Indica o GSKit.

¶ É exibido um aviso indicando que o script de pré-remoçãoestá sendo executado.

¶ Cada arquivo é listado à medida que é removido.

¶ É exibido um aviso indicando que o script de pós-remoçãoestá sendo executado.

3. Reinicialize quando a desinstalação estiver concluída.


89Tivoli®

SecureWay®


6.D

esinstalandoo

TivoliS

ecureWay

Policy

Director

Desinstalando o Tivoli SecureWay Policy Director noLinux

Para desconfigurar e remover componentes de um sistema Linux,siga estas etapas:


2. Para remover um ou mais pacotes, digite o seguinte:rpm -e package


PDAuthADK-PD Indica o Authorization ADK.

PDRTE-PD Indica o Runtime Environment.

ldap_clientd Indica o IBM SecureWayDirectory Client.


A remoção do pacote é concluída silenciosamente. O prompt delinha de comandos do Linux retorna após a conclusão bem-sucedida.

Uma mensagem é exibida indicando que a remoção do pacote desoftware obteve êxito.

Desinstalando o Tivoli SecureWay Policy Director noSolaris

Para desconfigurar e remover componentes de um sistema Solaris,siga estas etapas:


2. Para remover um ou mais pacotes, digite o seguinte:pkgrm package


90 Versão 3.8




PDAcld Indica o Authorization ADK.


ldap.msg.languageIndica as mensagens do IBM SecureWayDirectory em seu idioma.

ldap.htm.languageIndica as mensagens do IBM SecureWayDirectory em seu idioma.

IBMldapc Indica o IBM SecureWay Directory Client.


3. Quando aparecer um aviso para você confirmar a remoção dessescomponentes, digitey.

¶ É exibido um aviso indicando que o script de pré-remoçãoestá sendo executado.

¶ Cada arquivo é listado como removido.

¶ É exibido um aviso indicando que o script de pós-remoçãoestá sendo executado.

Uma mensagem é exibida indicando que a remoção do pacote desoftware obteve êxito.

Desconfigurando o Tivoli SecureWay Policy Directorno UNIX

Antes de remover os pacotes do Tivoli SecureWay Policy Directorde um sistema UNIX, você deve desconfigurar os componentes. Parafazer isso, siga estas etapas:

1. Inicie sessão comoraiz.

2. Altere para o seguinte diretório:


91Tivoli®

SecureWay®


6.D

esinstalandoo

TivoliS

ecureWay

Policy

Director

cd /opt/PolicyDirector/bin

3. Inicie o utilitário de configuração do Tivoli SecureWay PolicyDirector:pdconfig

O Menu de Configuração do Policy Directoré exibido.

4. Digite o número do item de menu para o componente do TivoliSecureWay Policy Director que você deseja desconfigurar.

5. Repita esse procedimento para cada pacote que você desejadesconfigurar.

Se você estiver desconfigurando um servidor, será exibido umaviso solicitando o nome distinto e a senha do usuárioadministrativo LDAP.

Nota: Desconfigurar o Management Server remove todas asinformações de configuração e autorização do domínioseguro. Isso inclui as informações utilizadas pelosaplicativos do Tivoli SecureWay Policy Director, como oTivoli SecureWay Policy Director WebSEAL. Paracontinuar, digitey.

Desinstalando o Tivoli SecureWay Policy Director noWindows

A remoção do Tivoli SecureWay Policy Director é um processo deduas partes. A primeira parte é desconfigurar cada componente queserá removido. A segunda parte é remover os arquivos de cadacomponente.

Para desconfigurar os componentes do Tivoli SecureWay PolicyDirector em um sistema Windows, siga estas etapas.

Nota: Se você já tiver desconfigurado um componente do TivoliSecureWay Policy Director, não será necessário fornecer asinformações de nome de administrador e senha durante o


92 Versão 3.8

processo de desconfiguração. O utilitário de configuração doTivoli SecureWay Policy Director armazena essas informaçõesem cache.

1. Inicie sessão como um usuário do Windows com privilégio deadministrador.

2. Inicie os serviços IBM SecureWay Directory e Policy DirectorManagement Server. Para fazer isso, selecioneIniciar →Configurações→ Painel de Controlee clique emServiços. Emseguida, selecione o serviçoIBM SecureWay Directory V3.2 eclique emIniciar . Depois que o servidor for iniciado, repita essaetapa para o serviço Policy Director Management Server.

3. SelecioneIniciar → Programas → Policy Director →Configuração.

4. No diálogo Configuração do Policy Director, clique em um doscomponentes do Tivoli SecureWay Policy Director listados. Oscomponentes devem ser desconfigurados na seguinte ordem:

¶ Policy Director Authorization Server (PDAcld)

¶ Policy Director Management Server (PDMgr)

¶ Policy Director Runtime Environment (PDRTE)

5. Clique emDesconfigurar.

6. Se você selecionou para desconfigurar o Authorization Server,especifique a senha para o administrador do Tivoli SecureWayPolicy Director (sec_master).

7. Se você selecionou para desconfigurar o Management Server,digite o nome do administrador LDAP (por exemplo,cn=root) ea senha apropriada. É exibida uma mensagem de avisoinformando que a desconfiguração desse pacote removerá asinformações de configuração e autorização de todos os servidoresTivoli SecureWay Policy Director no domínio seguro. Clique emSim para remover; clique emNão para sair dessa tarefa.

8. Para desconfigurar outro componente, sigas as etapas de 4 à 7.

Para remover os componentes de um sistema Windows, siga estasetapas:


93Tivoli®

SecureWay®


6.D

esinstalandoo

TivoliS

ecureWay

Policy

Director

1. Inicie sessão como um usuário do Windows com privilégio deadministrador.

2. SelecioneIniciar → Configurações→ Painel de Controlee, emseguida, clique no íconeAdicionar ou Remover Programas.

3. Selecione um dos seguintes componentes e, em seguida, cliqueem Adicionar/Remover:

¶ Policy Director Authorization Server

¶ Policy Director Authorization Toolkit

¶ Policy Director Management Server

¶ Policy Director Runtime

O diálogoEscolher Idioma de Configuraçãoé exibido.

4. Selecione o idioma que você deseja utilizar para o processo deremoção e clique emOK .

5. Na caixa de mensagemConfirmar Remoção do Componente,clique emSim.

O componente Tivoli SecureWay Policy Director é removido.

6. Selecione um outro componente da lista.

7. Clique emOK para sair do programa.


94 Versão 3.8

Configurando Servidores LDAPpara o Tivoli SecureWay PolicyDirector

As seções a seguir mostram como incluir dados do Tivoli SecureWayPolicy Director no seu servidor LDAP específico. Se você utilizou ainstalação fácil para instalar o IBM SecureWay Directory Server,ignore as instruções neste apêndice. O servidor LDAP já estáconfigurado para o Tivoli SecureWay Policy Director.

Observe que não é mais necessário atualizar o esquema do servidorLDAP para o IBM SecureWay Directory Server ou para o iPlanetDirectory Server utilizando os arquivos de definição do esquema doTivoli SecureWay Policy Director. O esquema é incluído ouatualizado automaticamente quando você configura o servidor degerenciamento.

Visão Geral da Configuração do Servidor LDAPOs dados são armazenados no servidor LDAP em uma estrutura deárvore hierárquica denominada DIT (árvore de informações dediretório). O topo da árvore é denominadosufixo (também chamadode contexto de nomenclatura ou raiz). Um servidor LDAP podeconter vários sufixos para organizar a árvore de dados emramificações lógicas ou unidades organizacionais.

A

95Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

As seções a seguir mostram como criar sufixos do Tivoli SecureWayPolicy Director para seu servidor LDAP específico. Durante oprocesso de configuração, o Tivoli SecureWay Policy Director tentaincluir automaticamente as ACLs (listas de controle de acesso)apropriadas para cada sufixo existente atualmente no servidor LDAP.Isso é necessário para fornecer ao Tivoli SecureWay Policy Directora permissão requerida para gerenciar usuários e grupos definidosdentro desses sufixos. Se você incluir sufixosapósa configuraçãoinicial do Tivoli SecureWay Policy Director, as ACLs apropriadasdeverão ser incluídas manualmente. Para obter mais informações,consulte oTivoli SecureWay Policy Director Base AdministrationGuide.

O Tivoli SecureWay Policy Director requer que você crie um sufixodenominadosecAuthority=Default, que mantém o metadados doTivoli SecureWay Policy Director. Você deve incluir esse sufixosomente uma vez—quando o servidor LDAP é configurado pelaprimeira vez. Esse sufixo permite que o Tivoli SecureWay PolicyDirector localize e gerencie facilmente os dados. Também protege oacesso aos dados, evitando problemas de integridade ou danos.

Adicionalmente, é solicitado que você informe o DN (nome distinto)da GSO (Global Sign-on) durante a configuração do servidor degerenciamento. Para armazenar os metadados de GSO, você podecriar um sufixo ou especificar o nome distinto de uma localização deDIT do LDAP. Você pode armazenar os metadados de GSO emqualquer lugar escolhido na DIT do LDAP, mas a localização jádeve existir. Se você optar por criar um sufixo, poderá considerar oarmazenamento de metadados de GSO e de definições de usuário emum único sufixo. Por exemplo, as seguintes seções utilizamo=tivoli,c=us como um exemplo para armazenar metadados deGSO e definições de usuário. Observe que você também pode criarsufixos adicionais para manter definições de usuário e grupo.

Depois de criar sufixos, você também deve criar entradas dediretório para cada sufixo. Isso é necessário para instanciar o sufixo.Caso contrário, o Tivoli SecureWay Policy Director não poderáanexar ACLs quando ele estiver sendo configurado. As ACLs

Visão Geral da Configuração do Servidor LDAP

96 Versão 3.8

fornecem ao Tivoli SecureWay Policy Director a permissãonecessária para gerenciar usuários e grupos definidos dentro dessessufixos.

Nota: Para obter instruções completas sobre a criação de sufixos,consulte a documentação incluída com o servidor LDAPespecífico. As instruções a seguir servem como umaorientação geral na criação de sufixos. Recomenda-se quevocê crie sufixos que espelhem sua estrutura organizacional.

Configurando o IBM SecureWay Directory ServerPara configurar o IBM SecureWay Directory Server para o TivoliSecureWay Policy Director, siga estas etapas:

1. Assegure que o IBM SecureWay Directory Server estejainstalado. Para obter instruções, consulte “Instalando o IBMSecureWay Directory Client” na página 45.

2. Utilizando um navegador da Web, acesse a ferramenta deAdministração da Web do IBM SecureWay Directory Server, noseguinte endereço:

http://nome do servidor:porta/ldap/index.html em queservernameé o nome do servidor LDAP eport é o número daporta listado no arquivohttpd.conf.

É importante observar que tanto o Tivoli SecureWay PolicyDirector WebSEAL como o servidor IBM HTTP utilizam aporta padrão 80. Recomenda-se que você altere o número daporta do servidor IBM HTTP para 8080, para que o servidorWeb não interfira na porta 80.

Para alterar o número da porta padrão no sistema, edite oarquivohttpd.conf no sistema e altere o número da portaconforme mostrado:# Port: A porta de atendimento independente.Porta 8080

Visão Geral da Configuração do Servidor LDAP

97Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

3. Digite o nome e a senha do administrador LDAP e, em seguida,clique emIniciar Sessão, conforme mostrado:

A página da Web de Administração do IBM SecureWayDirectory Server é exibida.

4. Para assegurar que o IBM SecureWay Directory Server sejainiciado, clique na seta à esquerda deEstado atual no painel denavegação e, em seguida, clique emStatus do servidor. Uma

Configurando o IBM SecureWay Directory Server

98 Versão 3.8

janela semelhante à seguinte é exibida:

5. Se o servidor estiver parado, clique emIniciar/Parar e, emseguida, clique emIniciar para iniciar o servidor. Umamensagem é exibida quando o servidor inicia ou pára comêxito.

6. Para criar um sufixo, selecioneDefinições→ Sufixos no painelde navegação esquerdo. O quadroSufixos é exibido.

7. Para criar o sufixo no qual o Tivoli SecureWay Policy Directormantém seus metadados, digite o seguinte sufixo obrigatório,conforme mostrado:secAuthority=Default

Nota: O nome distinto do sufixo não faz distinção entremaiúsculas e minúsculas.

8. Clique emAtualizar . O quadroSufixos é exibido. Os novossufixos são exibidos na tabelaSufixos atuais do servidor.

9. Se você optar por criar um sufixo para o metadados de GSO,digite o nome distinto do novo sufixo no campoDN do Sufixo.Por exemplo, você poderia digitaro=tivoli,c=us, conforme


99Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

mostrado:

É solicitado que você forneça o sufixo de GSO quandoconfigura os componentes do Tivoli SecureWay Policy Director.Para obter informações sobre a razão de um sufixo de GSO serobrigatório, consulte “Visão Geral da Configuração do ServidorLDAP” na página 95.

10. Clique emAtualizar . O quadroSufixos é exibido novamente.Nesse ponto, você pode criar sufixos adicionais para manterdefinições de usuário e de grupo.

Nota: Para obter mais informações sobre como incluir sufixos,clique no íconeAuxílio na parte superior direita dajanela.

11. Quando concluir a inclusão de sufixos, clique emreinicializaro servidor na mensagem localizada na parte superior do quadro,


100 Versão 3.8

conforme mostrado:

A seguinte mensagem é exibida após alguns minutos:O servidor de diretórios está sendo executado.

Se a mensagem não for exibida, selecioneIniciar → Definições→ Painel de Controlee clique emServiços. Selecione o serviçodo IBM SecureWay Directory e clique emIniciar para reiniciaro servidor LDAP.


¶ Se você não incluiu sufixos diferentes desecAuthority=Default, ignore as etapas de 13 à 19. Umaentrada de diretório parasecAuthority=Default é incluídaautomaticamente quando o servidor de gerenciamento éconfigurado.

¶ Se você incluiu sufixos diferentes desecAuthority=Default, continue com a etapa 13 para criarentradas de diretório para cada sufixo.

13. Para criar entradas de diretório, digitedmt em um prompt decomandos para iniciar a DMT (Directory Management Tool). A


101Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

seguinte janela é exibida:

14. Clique emIncluir Servidor na parte inferior do quadro. Umajanela semelhante à seguinte é exibida:


¶ Para utilizar o SSL entre a DMT e o servidor LDAP, sigaestas etapas:


102 Versão 3.8

a. SelecioneSimplesno campoTipo de autenticação.

b. No campoNome do servidor, digite o nome doservidor LDAP, por exemplo,dliburd2.tivoli.com.Você pode utilizar o endereço IP ou o nome de domínio.

c. No campoDN do Usuário, digite o ID do administradorLDAP utilizado para conectar-se ao servidor, porexemplo:cn=root

d. No campoSenha do Usuário, digite a senha doadministrador LDAP.

e. Selecione a caixa de entradaUtilizar SSL .

f. No campoPorta, digite o número da porta SSL.

g. Preencha os camposNome do arquivo da classe dechavese Senha do arquivo da classe de chaves. Onome do certificado é opcional com base no modocomo você configura o servidor LDAP e o arquivokdb.

h. Clique emOK .

¶ Para não utilizar o SSL entre a DMT e o servidor LDAP,siga estas etapas:

a. SelecioneSimplesno campoTipo de autenticação.

b. No campoNome do servidor, digite o nome doservidor LDAP, por exemplo,dliburd2.tivoli.com.Você pode utilizar o endereço IP ou o nome de domínio.

c. No campoDN do Usuário, digite o ID do administradorLDAP utilizado para conectar-se ao servidor, porexemplo:cn=root

d. No campoSenha do Usuário, digite a senha doadministrador LDAP.

e. Clique emOK .

16. SelecioneProcurar Árvore no quadro esquerdo. Mensagens deaviso são exibidas indicando que os sufixos criados não contêm


103Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

dados. Clique emOK para descartar essas mensagens. Umajanela semelhante à seguinte é exibida:

17. Selecione o nome do host na lista à direita e clique emIncluir .Por exemplo, o nome do host éldap://dliburd2.tivoli.com:389no exemplo anterior.

18. Na janela Incluir uma Entrada LDAP, preencha os campos eclique emOK . Por exemplo, se você estiver incluindo umaentrada de diretório para o sufixo de GSO, uma janelasemelhante à seguinte será exibida:

19. Digite valores para os atributos e, em seguida, clique emIncluir . Por exemplo, o exemplo do sufixo de GSO aparece


104 Versão 3.8

conforme mostrado:

20. Depois de concluir a inclusão de entradas de diretório para ossufixos criados, clique emSair para fechar a janela IBMFerramenta de Gerenciamento do SecureWay Directory.

Configurando o iPlanet Directory ServerAntes de começar, assegure que você tenha concluído a instalação econfiguração básicas do servidor, conforme descrito nadocumentação do produto iPlanet Directory Server. Para obter maisinformações, consulte a documentação do iPlanet Directory Serverno seguinte endereço da Web:

http://docs.iplanet.com/docs/manuals/directory.html

Para configurar o iPlanet Directory Server para o Tivoli SecureWayPolicy Director, siga estas etapas:

1. Para assegurar que o daemon do servidor de diretórios(slapd-serverID) e o daemon do servidor administrativo(admin-serv) estejam sendo executados, proceda de uma dasseguintes maneiras:

¶ Em sistemas UNIX, digite os seguintes comandos:# /usr/iplanet/servers/slapd-serverID/start-slapd


105Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

# /usr/iplanet/servers/start-admin

¶ Nos sistemas Windows, selecioneIniciar → Definições→Painel de Controlee, em seguida, clique no íconeServiços. Selecione os serviços iPlanet AdministrationServer 5.0 e iPlanet Directory Server 5 e, em seguida,clique emIniciar .

2. Para iniciar o Console do iPlanet, digite um dos seguintes:

¶ Em sistemas UNIX, digite o seguinte:% /usr/iplanet/servers/startconsole

¶ Em sistemas Windows, selecioneIniciar → Programas →Produtos do Servidor iPlanet→ iPlanet Console 5.0.

A janela de Console Login (Início de sessão do Console) éexibida, a menos que seu diretório de configuração (diretórioo=NetscapeRoot) esteja armazenado em uma ocorrênciaseparada do Servidor de Diretórios. Nesse caso, é exibida umajanela que solicita o User ID (ID de Usuário) de administrador,o Password (Senha) e o endereço da Web do servidoradministrativo para esse servidor de diretórios.

3. Inicie sessão utilizando o User ID (ID de Usuário) e Password(Senha) do administrador LDAP. Por exemplo, digitecn=Directory Manager e a senha apropriada, conformemostrado:

O iPlanet Console (Console do iPlanet) é exibido.

4. Na guiaTopology (Topologia), clique no íconeDirectoryServer (Servidor de Diretórios). O Directory Server Console(Console do Servidor de Diretórios) é exibido.

5. No Console do Servidor de Diretórios, selecione a guiaConfiguration (Configuração).

Configurando o iPlanet Directory Server

106 Versão 3.8

6. Clique com o botão direito do mouse emData (Dados)nopainel de navegação esquerdo e, em seguida, selecioneNewRoot Suffix (Novo Sufixo de Raiz). Você também pode criarum novo sufixo, selecionandoData (Dados)e, em seguida,selecionandoObject (Objeto) → Suffix (Sufixo) na barra demenus, conforme mostrado:

Uma janela popup é exibida e solicita o novo sufixo e um nomede banco de dados.

7. Para criar o sufixo que mantém os dados do Tivoli SecureWayPolicy Director, digitesecAuthority=Default no campoNewSuffix (Novo sufixo). Em seguida, digite um nome exclusivopara o novo banco de dados e, depois, clique emOK conformemostrado:


107Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

Nota: A caixa de entradaCreate associated databaseautomatically (Criar banco de dados associadoautomaticamente)está pré-selecionada. Isso énecessário para que um banco de dados seja criado aomesmo tempo que novo sufixo de raiz. O novo sufixo deraiz fica desativado até que você crie um banco dedados.

8. Se você optou por criar um sufixo para manter dados de GSO,digite o nome distinto do sufixo no campoNew Suffix (Novosufixo) e digite um nome de banco de dados exclusivo. Porexemplo, você poderia digitaro=tivoli,c=us e, em seguida,clicar emOK , conforme mostrado:

É solicitado que você forneça o sufixo de GSO quandoconfigura o Tivoli SecureWay Policy Director. Para obter maisinformações sobre GSO, consulte “Visão Geral da Configuraçãodo Servidor LDAP” na página 95.


¶ Se você não incluiu sufixos diferentes desecAuthority=Default, ignore as etapas de 10 à 13. Umaentrada de diretório parasecAuthority=Default é incluídaautomaticamente quando o servidor de gerenciamento éconfigurado.

¶ Se você incluiu sufixos diferentes desecAuthority=Default, siga as etapas de 10 à 13 paracriar entradas de diretório para cada sufixo.

10. Clique na guiaDirectory (Diretório) e destaque o nome doservidor no topo do painel esquerdo.


108 Versão 3.8

11. SelecioneObject (Objeto) → New Root Object (Novo ObjetoRaiz). Uma lista de novos sufixos para os quais ainda nãoexistem entradas é exibida, conforme mostrado:

12. Para cada novo sufixo (diferente desecAuthority=Default),selecione o novo sufixo. O painelNew Object (Novo Objeto)éexibido. Role para baixo para encontrar o tipo de entrada quecorresponde ao sufixo que está sendo criado. Por exemplo, vocêpoderia selecionarorganization para um sufixo nomeadoo=tivoli,c=us. Destaque o tipo de entrada e clique emOK ,


109Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

conforme mostrado:

13. Na janelaProperty Editor (Editor de Propriedades), digiteum valor para a entrada. Para o exemploo=tivoli,c=us, digitetivoli como o valor paraorganization e, em seguida, clique emOK , conforme mostrado:

14. Depois de criar as entradas de cada sufixo que você incluiu,selecioneConsole→ Exit (Sair) para fechar o console.


110 Versão 3.8

Configurando o LiveContent DIRECTORYAntes de começar, assegure que você tenha concluído a instalação econfiguração básicas do servidor, conforme descrito nadocumentação do produto LiveContent DIRECTORY.

Esta seção contém os seguintes tópicos:

¶ Carregando o Arquivo de Esquema do Tivoli SecureWay PolicyDirector

v Incluindo as Definições de Tipo de Objeto e Atributo

v Atualizando os Sufixos de Pesquisa do LiveContentDIRECTORY

¶ Configurando a Porta DAP do LiveContent DIRECTORY

¶ Configurando o Sistema Host do Tivoli SecureWay PolicyDirector

v Obtendo Arquivos do LiveContent DIRECTORY

v Configurando e Verificando Ligações

¶ Atualizando Esquemas DAC do LiveContent DIRECTORY

Nota: As instruções pressupõem que você esteja familiarizado coma configuração e administração do LiveContent DIRECTORY.

Para configurar o LiveContent DIRECTORY para o TivoliSecureWay Policy Director, siga estas etapas:

1. Utilize a ferramenta de gerenciamento de diretório iCon paracriar um diretório (DSA), se ainda não existir algum. Para obterinstruções, consulte o manual do LiveContent DIRECTORY.

2. O Tivoli SecureWay Policy Director assume que a porta LDAPseja um número maior que a porta DAP. Se não, utilize avariável de ambiente I500_DAP-PORT para definir a porta DAP.

3. Utilize o servidor iCon para verificar a existência de uma entradaorganization na DIT. Se uma entrada organization não existir, useo utilitário DAC (Directory Administration Center) para criaruma.

Configurando o LiveContent DIRECTORY

111Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

O utilitário do DAC pode ser instalado em qualquer sistemaWindows NT na rede. Para obter instruções sobre como usar outilitário DAC, consulte o manual do LiveContent DIRECTORY.

Carregando o Arquivo de Esquema do TivoliSecureWay Policy Director

Para carregar o arquivo de esquema do Tivoli SecureWay PolicyDirector, execute as instruções das seções a seguir:

¶ Incluindo as Definições de Tipo de Objeto e Atributo

¶ Atualizando os Sufixos de Pesquisa do LiveContentDIRECTORY

Incluindo as Definições de Tipo de Objeto e AtributoUtilize a ferramenta iCon para carregar os arquivos de esquema earquivos de configuração do Tivoli SecureWay Policy Director. Osarquivos estão localizados no seguinte diretório:/opt/PolicyDirector/i500/lib

Para incluir definições de tipo de objeto e atributo, siga estas etapas:

1. Utilize um editor de texto para exibir o conteúdo do arquivopd_i500_attributes.cfg do Tivoli SecureWay PolicyDirector.

2. Utilizando a ferramenta iCon, clique emSchema (Esquema)e,em seguida, recorte e cole o conteúdo do arquivopid_i500_attributes.cfg no campoNew attributes inLDAP v3 format (Novos atributos no formato LDAP v3),


112 Versão 3.8

conforme mostrado:

3. Clique emSchema import (Importação de esquema). Oarquivo de esquema é importado conforme mostrado:

4. SelecioneSchema (Esquema)→ Utilities (Utilitários) .

5. Clique emReload Schema (Recarregar Esquema).


113Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

6. Utilize o editor de texto para exibir o conteúdo do arquivopd_i500_objectclasses.cfg.

7. Corte e cole o conteúdo depid_i500_objectclasses.cfg najanela da iCon:

Esquema→ importação de esquema:Novas classes de objetono formato LDAP v3

8. Clique emSchema import (Importação de esquema).

9. Exiba o conteúdo do arquivopd_i500_objectclasses_ext_1.cfg.

10. Clique emSchema (Esquema)e, em seguida, recorte e cole oconteúdo depid_i500_objectclasses_ext_1.cfg na janelaNew objectclasses in LDAP v3 format (Novas classes deobjeto no formato LDAP v3).

11. Clique emSchema import (Importação de esquema). Asnovas classes de objeto são importadas conforme mostrado:

12. Exiba o conteúdo do arquivopd_i500_objectclasses_ext_2.cfg.


114 Versão 3.8

13. Clique emSchema (Esquema)e, em seguida, recorte e cole oconteúdo depid_i500_objectclasses_ext_2.cfg no campoNew objectclasses in LDAP v3 format (Novas classes deobjetos no formato LDAP v3).

14. Clique emSchema import (Importação de esquema).

15. SelecioneSchema (Esquema)→ Utilities (Utilitários) .


17. Clique emCheck schema (Verificar esquema)e verifique se oesquema está consistente, conforme mostrado:

O esquema está carregado.

Atualizando os Sufixos de Pesquisa do LiveContentDIRECTORY

Você deve atualizar os sufixos de domínio do Tivoli SecureWayPolicy Director no arquivo de configuração do LiveContentDIRECTORY no sistema LiveContent DIRECTORY.

Para atualizar os sufixos de pesquisa do LiveContent DIRECTORY,siga estas etapas:

1. Na parte inferior do arquivo a seguir, localize a seção rotuladaNamingContext:


115Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

install-dir/icon/dsaname/i500ldap/serverconfig.cfg

em queinstall-dir indica o diretório de instalação do LiveContentDIRECTORY e o diretóriodsanamerefere-se ao DSA atual queestá sendo utilizado.

2. Verifique se essa seção já contém a entradac=country. Porexemplo:c=us

3. Para criar o sufixo no qual o Tivoli SecureWay Policy Directormantém seus metadados, digite o seguinte sufixo obrigatório,conforme mostrado:secAuthority=Default

Nota: O nome distinto do sufixo não faz distinção entremaiúsculas e minúsculas.

Por exemplo, a seçãoNamingContext do arquivoserverconfig.cfg atual do DSA pode ser semelhante aoseguinte:[NamingContext]

c=us

secAuthority=Default

4. Utilize a ferramenta iCon para parar e, em seguida, reiniciar oLiveContent DIRECTORY, para que as alterações sejamefetivadas.

Configurando a Porta DAP do LiveContentDIRECTORY

Para determinar a porta DAP do LiveContent DIRECTORYutilizando a ferramenta iCon, clique emPrincipal → dsa_name→Comms. Uma lista de protocolos é exibida.

¶ Em sistemas UNIX, a porta DAP é o número de porta listadocontra o protocolo DAP/DSP.

¶ No Windows NT, a porta DAP é o número TSEL (seletor detransporte) listado contra o protocolo DAP/DSP.


116 Versão 3.8

Se a porta DAP for menor que o número de porta LDAP exibidonessa página, não será necessário executar qualquer outra ação. Esseé o valor padrão determinado pelo Tivoli SecureWay Policy Director.Caso contrário, se você estiver instalando o Tivoli SecureWay PolicyDirector em um sistema UNIX, defina o seguinte parâmetro deambiente:I500_DAP_PORT=DAP_port

Em um sistema Windows NT, no menuIniciar , selecioneIniciar →Definições→ Painel de Controlee, em seguida, clique no íconeSistema. No diálogo Propriedades do Sistema, clique na guiaAmbiente. No campoVariável, digite i500_DAP_PORT; no campoValor , digite DAP_port e, em seguida, clique emOK .

Configurando o Sistema Host do Tivoli SecureWayPolicy Director

Para configurar o sistema host do Tivoli SecureWay Policy Director,execute as instruções das seções a seguir:

¶ Obtendo Arquivos do LiveContent DIRECTORY

¶ Configurando e Verificando Ligações

Obtendo Arquivos do LiveContent DIRECTORYO Tivoli SecureWay Policy Director não requer a instalação docliente InJoin Directory, mas requer vários arquivos da distribuiçãodo software LiveContent DIRECTORY.

Se o Tivoli SecureWay Policy Director estiver sendo executado nomesmo sistema que o LiveContent DIRECTORY, os arquivosdeverão estar presentes.

Se o Tivoli SecureWay Policy Director não estiver sendo executadono mesmo sistema que o LiveContent DIRECTORY, você deverácopiar os arquivos do sistema do LiveContent DIRECTORY para oTivoli SecureWay Policy Director.

O Tivoli SecureWay Policy Director suporta o LiveContentDIRECTORY nas plataformas Solaris e Windows NT. Se o TivoliSecureWay Policy Director estiver sendo executado no Windows NT,


117Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

não será possível copiar os binários do Solaris para o sistemaWindows. Em vez disso, você deverá obter os binários de umsistema Windows NT que possui o LiveContent DIRECTORY.

Se não houver outro sistema Windows NT para instalar oLiveContent DIRECTORY, você deverá instalá-lo no sistemaWindows NT do Tivoli SecureWay Policy Director, apenas com afinalidade de obter os arquivos necessários.

Os seguintes arquivos devem ser copiados da instalação doLiveContent DIRECTORY para o sistema do Tivoli SecureWayPolicy Director:

¶ $ODSRELEASE/bin/odsdua

¶ $ODSRELEASE/scripts/dslib

¶ $ODSRELEASE/scripts/dulib

¶ $ODSRELEASE/scripts/oids

¶ $ODSRELEASE/perl (se já não estiver no caminho)

1. Crie um diretório para colocar os arquivos listados acima.

2. Defina a variável de ambiente ODSRELEASE para o diretórioque você criou na etapa anterior. Por exemplo:export ODSRELEASE=install_directory

3. Crie os subdiretórios necessários:

¶ bin

¶ scripts

¶ perl/bin

4. Assegure que$ODSRELEASE/bin e $ODSRELEASE/perl/binestejam no mesmo caminho do sistema.

Isso permite que os utilitáriosodsduae perl sejam executados.

Nota: Se o seu sistema tiver outras versões do Perl, certifique-sede que$ODSRELEASE/perl/bin esteja no caminho dosistema antes de quaisquer outros diretórios quecontenham um binário do Perl.


118 Versão 3.8

5. Copie o arquivo$ODSRELEASE/dsa_name/oidslocal do sistemaLiveContent DIRECTORY para o diretório$ODSRELEASE\scripts no sistema do Tivoli SecureWay Policy Director.

Configurando e Verificando Ligações1. Altere para o diretório/opt/PolicyDirector/i500/bin.

2. Digite o seguinte comando:perl secschema –D manager_dn –w password –h i500_host–p LDAP_port –P DAP_port

Esse script configura as ligações de nomes para os objetos deesquemas de segurança.

3. Para configurar as ligações de nomes para os objetos deesquemas de GSO, digite o seguinte comando:perl gsoschema –D manager_dn –w password –h i500_host–p LDAP_ port –P DAP_port

4. Inicie a ferramenta iCon para recarregar o esquema e verifique seos scripts Perl atualizaram corretamente o esquema. Inicie oiCon.

5. SelecioneEsquema→ Utilitários .



119Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

7. Verifique se as ligaçõessecAuthority, secUser e eGSOuserexistem no esquema, conforme mostrado:

Atualizando Esquemas DAC do LiveContentDIRECTORY

O LiveContent DIRECTORY mantém várias cópias do arquivo deesquema que contém definições de tipo de objeto e definições detipo de atributo. Cada um dos programas a seguir mantêm uma cópiado esquema:

¶ LiveContent DIRECTORY

¶ O servidor LDAP

¶ O utilitário do Directory Administration Center (DAC)

Para usar o utilitário DAC com o esquema do Tivoli SecureWayPolicy Director, os próprios arquivos de definição de esquema doDAC precisam ser atualizados. Os arquivos obrigatórios sãofornecidos no diretórioi500/lib do Tivoli SecureWay PolicyDirector.

Para sincronizar os arquivos, é necessário anexar os dados de váriosarquivos do Tivoli SecureWay Policy Director aos arquivos


120 Versão 3.8

apropriados do LiveContent DIRECTORY. Você pode abrir cadaarquivo do Tivoli SecureWay Policy Director, copiar o conteúdo ecolá-los no arquivo especificado do LiveContent DIRECTORY.

Os arquivos do Tivoli SecureWay Policy Director estão no diretórioi500/lib, localizado diretamente sob o diretório de instalação doTivoli SecureWay Policy Director. Por exemplo, no Solaris, odiretório é o seguinte:/opt/PolicyDirector/i500/lib

Os arquivos do LiveContent DIRECTORY estão localizados nodiretório i500DAC, localizado diretamente sob o diretório deinstalação do cliente DAC do LiveContent DIRECTORY.

Copie o conteúdo de cada arquivolib do Tivoli SecureWay PolicyDirector para o arquivo correto do DAC do LiveContentDIRECTORY, conforme especificado na lista a seguir:

1. Anexe o conteúdo dei500/lib/attfile ao final do seguintearquivo:DAC_installation_directory/i500DAC/attfile

2. Anexe o conteúdo dei500/lib/Etypes ao final do seguintearquivo:DAC_installation_directory/i500DAC/Etypes

3. Use o utilitário DAC para conectar-se ao servidor i500.


121Tivoli®

SecureWay®


A.

Configurando

oLD

AP

parao

Policy

Director

4. Verifique se a entradasecAuthority está na árvore e se possui adata e hora de criação corretas, conforme mostrado:


122 Versão 3.8

Ativando o SSL (Secure SocketsLayer)

Recomenda-se que você ative a comunicação SSL (Secure SocketsLayer) entre o servidor LDAP (Lightweight Directory AccessProtocol) e os clientes IBM SecureWay Directory que suportam osoftware Tivoli SecureWay Policy Director. Essa opção estarádisponível se você tiver instalado o IBM SecureWay DirectoryServer ou o iPlanet Directory Server. O LiveContent DIRECTORYnão suporta SSL.

Você deve primeiro configurar SSL no servidor LDAP e, emseguida, configurar SSL no cliente LDAP. Durante a configuração deSSL, é solicitado que você escolha um dos seguintes tipos deautenticação:

Autenticação de servidorO servidor envia seu certificado para o cliente e o clienteautentica o servidor.

Autenticação de servidor e clienteDepois que o servidor tiver enviado seu certificado para ocliente e tiver sido autenticado pelo cliente, o servidorsolicita o certificado do cliente. Nesse caso, um certificadoprecisa ser estabelecido para a estação de trabalho do clientee também para o servidor.

Se você optar por implementar somente a autenticação de servidor,deverá configurar o servidor LDAP e os clientes IBM SecureWay

B

123Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

Directory para acesso SSL. No entanto, se você optar porimplementar a autenticação de servidor e cliente, deverá configurar oSSL no servidor e no cliente e, em seguida, seguir as instruções em“Configurando Autenticação de Servidor e Cliente LDAP” napágina 141.

Este apêndice contém as seguintes seções principais:

¶ Configurando o IBM SecureWay Directory Server para AcessoSSL

¶ Configurando o iPlanet Directory Server para Acesso SSL

¶ Configurando o Cliente do IBM SecureWay Directory paraAcesso SSL

¶ Configurando Autenticação de Servidor e Cliente LDAP

Configurando o IBM SecureWay Directory Serverpara Acesso SSL

Você pode ativar a utilização de SSL para proteger a comunicaçãoentre os servidores Tivoli SecureWay Policy Director e o servidorLDAP. Esta etapa precisa ser executada somente na primeira vez quea comunicação SSL é configurada entre o servidor LDAP e o IBMSecureWay Directory Client.

Se você ativou anteriormente o acesso SSL para o servidor LDAPdurante a configuração do servidor LDAP, deverá copiar um par deconjuntos de chaves do cliente e do servidor em cada sistema TivoliSecureWay Policy Director que utilize o acesso SSL.

Se o acesso SSL for requerido pelo servidor LDAP, utilize o GSKitpara executar o gerenciamento de chaves SSL. O GSKit fornece umutilitário gráfico de de gerenciamento de chaves denominadogsk4ikm.

Nota: Para obter instruções completas sobre como ativar o SSL eusar o utilitáriogsk4ikm, consulte oIBM SecureWayInstallation and Configuration Guide.

Ativando o SSL (Secure Sockets Layer)

124 Versão 3.8

Para ativar o acesso SSL no IBM SecureWay Directory Server, sigaas instruções nas seguintes seções:

¶ “Criando o Arquivo de Banco de Dados de Chave e oCertificado” na página 125

¶ “Obtendo um Certificado Pessoal de uma Autoridade deCertificação” na página 127 ou “Criando e Extraindo umCertificado Auto-assinado” na página 127

¶ “Ativando o Acesso SSL no Servidor LDAP” na página 129

Criando o Arquivo de Banco de Dados de Chave e oCertificado

Para ativar o suporte SSL no servidor LDAP, o servidor deve ter umcertificado que o identifique e que possa ser utilizado como umcertificado pessoal. Este certificado pessoal é o certificado que oservidor envia para o cliente para permitir ao cliente autenticar oservidor. Os certificados e os pares de chaves privadas e públicas sãoarmazenados em um arquivo de banco de dados de chave. Umusuário geralmente adquire um certificado assinado de umaautoridade de certificação, tal como a VeriSign.

Alternativamente, um usuário pode utilizar um certificadoauto-assinado. Se o usuário estiver utilizando um certificadoauto-assinado, a máquina na qual o certificado é gerado torna-se aautoridade de certificação.

Use o utilitáriogsk4ikm para criar o arquivo de banco de dados dechaves e o certificado. Para criar o arquivo de banco de dados dechaves e o certificado (auto-assinado ou assinado), siga estas etapas:

1. Assegure que o GSKit, Versão 4.0.3.168, e ogsk4ikm estejaminstalados no servidor LDAP e em quaisquer clientes LDAP queutilizarão o SSL.

2. Inicie o utilitáriogsk4ikm, que está localizado em um dosseguintes diretórios:

Configurando o IBM SecureWay Directory Server para Acesso SSL

125Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

Sistema Caminho

Windows C:\Program Files\IBM\GSK4\bin\GSK4ikm.exe

Solaris /opt/IBM/GSK4/bin/gsk4ikm

AIX /usr/lpp/ibm/gsk4/bin/gsk4ikm

Linux /usr/local/ibm/gsk4/bin/gsk4ikm

HP-UX /opt/ibm/gsk4/bin/gsk4ikm

3. Para criar um novo arquivo de banco de dados de chaves,selecioneArquivo de Banco de Dados de Chaves→ Novo.

4. Assegure que oarquivo-chave de banco de dados CMSseja oarquivo-chave de banco de dados selecionado.

5. Digite as informações nos camposNome do Arquivo eLocalizaçãopara especificar onde você deseja que o arquivo debanco de dados de chaves esteja localizado. A extensão de umarquivo de banco de dados de chaves é.kdb.

6. Clique emOK .

7. Digite a senha do arquivo-chave de banco de dados econfirme-a. Lembre-se desta senha porque ela será solicitadaquando o arquivo de banco de dados de chave for editado.

8. Aceite a hora de expiração ou altere-a para atender asnecessidades de sua empresa.

9. Se você desejar que a senha seja mascarada e armazenada emum arquivo stash, selecioneOcultar a senha em um arquivo.

Um arquivo stash pode ser utilizado por alguns aplicativos paraque o aplicativo não tenha que saber a senha para utilizar oarquivo-chave de banco de dados. O arquivo stash possui amesma localização e nome que o arquivo de banco de dados dechaves e possui uma extensão.sth.

10. Clique emOK . Isto conclui a criação do arquivo de banco dedados de chave. Há um conjunto de certificados de assinantespadrão. Esses certificados de assinantes são as autoridades decertificação padrão que são reconhecidas.


126 Versão 3.8

Obtendo um Certificado Pessoal de uma Autoridadede Certificação

Se você pretende utilizar um certificado de uma autoridade decertificação em vez de um certificado auto-assinado, será necessáriosolicitar o certificado da autoridade de certificação e, em seguida,recebê-lo depois que for preenchido.

Se você planejar utilizar um certificado auto-assinado, desconsidereesta seção e vá para a seção “Criando e Extraindo um CertificadoAuto-assinado”.

Para solicitar e receber um certificado, siga estas etapas:

1. Utilize gsk4ikm para solicitar um certificado de uma autoridadede certificação e, em seguida, receber o novo certificado noarquivo de banco de dados de chaves.

2. Clique na seçãoSolicitações de Certificados Pessoaisdoarquivo de banco de dados de chaves.

3. Clique emNovo.

4. Para produzir um pedido que possa ser enviado para a autoridadede certificação, complete as informações e, em seguida, cliqueem OK .

5. Para instalar o certificado no arquivo de banco de dados dechaves, depois de retornado pela autoridade de certificação,clique na seçãoCertificados Pessoaise, em seguida, clique emReceber.

6. Depois que o certificado do servidor LDAP estiver no arquivo debanco de dados de chaves, configure o servidor LDAP paraativar o SSL.

Continue para a seção “Ativando o Acesso SSL no Servidor LDAP”na página 129.

Criando e Extraindo um Certificado Auto-assinadoSe você obteve um certificado de uma autoridade de certificaçãoconhecida, conforme descrito na seção anterior “Obtendo um


127Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

Certificado Pessoal de uma Autoridade de Certificação” napágina 127 , salte esta seção e vá para “Ativando o Acesso SSL noServidor LDAP” na página 129.

Para criar um novo certificado auto-assinado e armazená-lo noarquivo de banco de dados de chaves, siga estas etapas:

1. SelecioneCriar → Novo Certificado Auto-Assinado.

2. Digite um nome no campoRótulo da Chaveque o GSKit podeutilizar para identificar esse novo certificado no banco de dadosde chaves. Por exemplo, o rótulo pode ser o nome da máquinado servidor LDAP.

3. Aceite os padrões para o campoVersão (X509 V3) e para ocampoTamanho da Chave.

4. Aceite o nome da máquina padrão ou digite um nome distintodiferente no campoNome Comumpara esse certificado.

5. Digite um nome de empresa no campoEmpresa.

6. Preencha quaisquer campos opcionais ou deixe-os em branco.

7. Aceite os padrões para o campoPaíse 365 para o campoPeríodo de Validadeou altere-os de acordo com asnecessidades de sua organização.

8. Clique emOK . O GSKit gera um novo par de chaves públicase privadas e cria o certificado.

Se você tiver mais de um certificado pessoal no arquivo debanco de dados de chave, o GSKit vai pesquisar se você desejaque esta chave seja a chave padrão no banco de dados. Vocêpode aceitar um deles como o padrão. O certificado padrão éutilizado no runtime quando um rótulo não é fornecido paraselecionar qual certificado utilizar.

Isto conclui a criação do certificado pessoal do servidor LDAP.Ele é exibido na seção Certificados Pessoais do arquivo debanco de dados de chaves. Utilize a barra central do utilitáriode gerenciamento de chaves para selecionar entre os tipos decertificados mantidos no arquivo de banco de dados de chaves.


128 Versão 3.8

O certificado também é exibido na seção Certificados deAssinante do arquivo de banco de dados de chaves. Quandovocê estiver na seção Certificados de Assinante do banco dedados de chaves, verifique se ela contém o novo certificado.

Depois, você deve extrair o certificado do seu servidor LDAPpara um arquivo de dados ASCII codificado em Base64.

9. Utilize gsk4ikm para extrair o certificado do seu servidorLDAP para um arquivo de dados ASCII codificado em Base64.Esse arquivo é utilizado em “Incluindo um Certificado deAssinante” na página 139.

10. Destaque o certificado auto-assinado que você acabou de criar.

11. Clique emCertificado de Extração.

12. Clique emDados ASCII codificados em Base64como o tipode dados.

13. Digite um nome de arquivo de certificado para o certificadorecém-extraído. A extensão do arquivo de certificado égeralmente.arm.

14. Digite a localização em que deseja armazenar o certificadoextraído.

15. Clique emOK .

16. Copie este certificado para a máquina do cliente LDAP.

Agora você pode configurar o servidor LDAP para ativar o acessoSSL. Continue para a seção “Ativando o Acesso SSL no ServidorLDAP”.

Ativando o Acesso SSL no Servidor LDAPPara configurar o servidor LDAP para ativar o SSL, siga estasetapas:

1. Certifique-se de que o servidor LDAP esteja instalado e sendoexecutado.

2. Utilize a ferramenta de administração LDAP baseada na Webcom o seguinte endereço da Web:

http://servername/ldap


129Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

em queservernameé o nome da máquina do servidor LDAP.

3. Inicie sessão como administrador LDAP (por exemplo,cn=root) caso você ainda não tenha iniciado sessão.

4. SelecioneSegurança→ SSL → Definições.

5. Clique emSSL Ativado, que ativa o SSL, ou clique emSSLApenaspara o status de SSL que você deseja definir. Porexemplo:

6. Escolha um dos seguintes métodos de autenticação:

¶ Autenticação de Servidor

Para autenticação de servidor, o servidor envia seucertificado para o cliente e o cliente autentica o servidor.

¶ Autenticação de Servidor e Cliente


130 Versão 3.8

Para autenticação de servidor e cliente, depois que oservidor tiver enviado seu certificado para o cliente e tiversido autenticado pelo cliente, o servidor solicitará ocertificado do cliente. Neste caso, um certificado precisa serestabelecido para a máquina do cliente também.

Você deve estabelecer o certificado para o cliente ao ativaro acesso SSL para o cliente em “Configurando Autenticaçãode Servidor e Cliente LDAP” na página 141.

7. Digite um número de porta ou aceite o número de porta padrãode 636.

8. Digite o caminho e nome de arquivo do banco de dados dechaves que você especificou em “Criando o Arquivo de Bancode Dados de Chave e o Certificado” na página 125.

A extensão do arquivo de banco de dados de chaves é.kdb.

9. Digite o nome no campoRótulo da Chaveque você utilizoupara identificá-lo quando armazenou o certificado do servidorLDAP no banco de dados de chaves. Por exemplo, o rótulopode ser o nome da máquina do servidor LDAP.

10. Digite a senha do arquivo de banco de dados de chave econfirme-a. Você pode deixar o campo de senha em branco sedesejar que o servidor LDAP utilize o arquivo stash.

11. Clique emAplicar .

12. Clique no linkreiniciar o servidor para reiniciar o servidorLDAP e permitir que esta alteração tenha efeito.

Par testar se o SSL foi ativado, digite o seguinte comando de umalinha de comando do servidor LDAP:ldapsearch -h servername -Z -K keyfile -P key_pw -b ""-s base objectclass=*

As variáveis do comando são as seguintes:

Variável Descrição

servername O nome de host DNS do servidor LDAP.


131Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)


keyfile O nome completo do caminho doconjunto de chaves gerado.

key_pw A senha do conjunto de chaves gerado.

Este comando retorna as informações de base de LDAP, incluindo ossufixos no servidor LDAP.

Agora, a configuração de SSL do servidor LDAP está concluída.

Em seguida, configure o cliente LDAP para acesso SSL. Continuepara a seção “Configurando o Cliente do IBM SecureWay Directorypara Acesso SSL” na página 137.

Configurando o iPlanet Directory Server para AcessoSSL

O SSL permite que os dados transmitidos entre os serviços do TivoliSecureWay Policy Director e o iPlanet Directory Server sejamcriptografados para oferecer privacidade e integridade dos dados.Recomendamos que os administradores ativem SSL para protegerinformações como senhas de usuários e dados particulares. Noentanto, o SSL não é obrigatório para a operação do TivoliSecureWay Policy Director.

Esse procedimento precisa ser feito somente na primeira vez que acomunicação SSL é configurada entre iPlanet Directory Server e osclientes do IBM SecureWay Directory (clientes LDAP). Para ativar acomunicação SSL, o iPlanet Directory Server e os clientes LDAPdevem ser configurados.

Para obter informações completas sobre como ativar o acesso SSLno iPlanet Directory Server, consulte a documentação do iPlanetDirectory Server.

Conclua as instruções nas seguintes seções:

¶ “Obtendo um Certificado de Servidor” na página 133


132 Versão 3.8

¶ “Instalando o Certificado de Servidor” na página 134

¶ “Ativando Acesso SSL” na página 135

Obtendo um Certificado de ServidorPara ativar o suporte SSL, o iPlanet Directory Server requer umcertificado que prove sua identidade para os sistemas clientes. Oservidor envia o certificado para o cliente para permitir que o clienteautentique com o servidor. Este certificado é denominadoServer-Cert.

Utilize o iPlanet Console 5.0 e o Assistente para Configuração deCertificado para estabelecer o Server-Cert:

1. Inicie o iPlanet Console 5.0.

2. Digite o ID do usuário do administrador LDAP.

3. Digite a senha.

4. Digite o endereço de administração da Web.

5. Selecione o domínio a ser utilizado pelo Tivoli SecureWayPolicy Director.

6. Expanda o nome do servidor.

7. ExpandaGrupo de servidores.

8. Selecione a entrada denominadaDirectory Server.

Informações de configuração sobre o iPlanet Directory Serversão exibidas.

9. Clique emAbrir . O iPlanet Directory Server é acessado.

10. Clique na guiaConfiguração.

11. Clique na guiaCriptografia .

12. Verifique se a caixa de entradaAtivar SSL para este servidornão está selecionada.

13. Clique na guiaTarefas e, em seguida, clique emGerenciarCertificados.

Configurando o iPlanet Directory Server para Acesso SSL

133Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

Nota: A chave privada para o certificado é armazenada em umdispositivo de segurança interno denominadotoken, queé protegido por senha. Na primeira vez que você clica nobotãoGerenciar Certificados, é solicitada a criação deuma senha para esse token.

14. Digite a senha de Segurança duas vezes e, em seguida, cliqueem OK . A janelaGerenciar Certificados é exibida.

15. No menu de opções Segurança, assegure queinterno(software) esteja selecionado e que a guiaCerts de Servidoresteja selecionada.

16. Clique no botãoSolicitar na parte inferior da janela. O painelAssistente para Pedido de Certificado é exibido.

17. Assegure que o botãoSolicitar certificado manualmente estejaselecionado e clique emAvançar.

18. Digite as informações do solicitante e, em seguida, clique emAvançar. Certifique-se de preenchertodosos campos. Quandoperguntado de deseja continuar, clique emSim.

19. Assegure que o campoToken de Criptografia Ativaespecifiqueinterno (software).

20. Digite a senha do dispositivo de segurança e, em seguida, cliqueem Avançar.

21. Para salvar o pedido de certificado em um arquivo, clique emSalvar em Arquivo. Para copiar o pedido para a área detransferência, clique emiPlanet Directory Server. Em seguida,clique emConcluído para concluir o pedido.

22. Envie seu pedido por e-mail ou anexe o arquivo salvo e envie opedido para o administrador da autoridade de certificação.

Instalando o Certificado de ServidorDepois de ter recebido o certificado da autoridade de certificação,instale-o executando as seguintes etapas:

1. Abra o Console do iPlanet Directory Server.

2. Clique na guiaTarefas e, em seguida, clique emGerenciarCertificados.


134 Versão 3.8

3. Assegure queCertificados de Servidor esteja selecionado e, emseguida, clique emInstalar .


¶ Para instalar o certificado a partir de um arquivo, selecioneNeste arquivo local.

¶ Para colar o texto na janela, selecioneNo seguinte bloco detexto codificado, copie o texto do certificado e, em seguida,clique emColar da Área de Transferência.

5. Clique emAvançar.

6. Verifique se as informações do certificado estão corretas e cliqueem Avançar.

7. No campoEste certificado será nomeado, digite um nome decertificado ou aceite o nome padrão,server-cert e, em seguida,clique emAvançar.

8. Digite a senha do token e, em seguida, clique emConcluído. Seo processo for bem-sucedido, o painel Gerenciar Certificado seráexibido e o nome do certificado de servidor será listado na guiaCerts de Servidor.

9. Continue para a seção “Ativando Acesso SSL”.

Ativando Acesso SSLDepois de sair do Assistente para Configuração de Certificado, vocêserá retornado à guiaEncryption (Criptografia) no iPlanet Console


135Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

5.0, conforme mostrado:

1. SelecioneEnable SSL (Ativar SSL).

2. SelecioneRSA Cipher Family.

3. Se você não planeja solicitar autenticação de cliente com baseem certificado, selecioneDo not allow client authentication(Não permitir autenticação de cliente).

4. Clique emSave (Salvar).

5. Reinicie o o iPlanet Directory Server para que as alteraçõessejam efetivadas.

Nota: É necessário digitar a senha do banco de dados confiáveltoda vez que o servidor é iniciado.

O SSL está agora ativado no iPlanet Directory Server. Depoisdisso, você precisa ativar o SSL nos sistemas clientes do IBMSecureWay Directory que funcionarão como clientes LDAP parao iPlanet Directory Server.

Consultar “Configurando o Cliente do IBM SecureWay Directorypara Acesso SSL” na página 137.


136 Versão 3.8

Configurando o Cliente do IBM SecureWay Directorypara Acesso SSL

Você deve primeiro configurar o servidor LDAP para acesso SSLantes de configurar o cliente LDAP para acesso SSL. Se você aindanão configurou o servidor LDAP para acesso SSL, vá para a seção“Configurando o IBM SecureWay Directory Server para AcessoSSL” na página 124.

Se o acesso SSL for requerido pelo cliente LDAP, utilize o IBMGSKit (Global Security Toolkit) para executar o gerenciamento dechaves SSL.

O GSKit fornece um utilitário gráfico de gerenciamento de chavesdenominadogsk4ikm.

Nota: Instruções completas sobre como usar o utilitáriogsk4ikmpodem ser encontradas na documentação do LDAP.

Para configurar o cliente LDAP para acesso SSL para o servidorLDAP, conclua as instruções nas seguintes seções:

¶ “Criando um Arquivo de Banco de Dados de Chave” na página137

¶ “Incluindo um Certificado de Assinante” na página 139

¶ “Testando o Acesso SSL” na página 140

Criando um Arquivo de Banco de Dados de ChaveUse o utilitáriogsk4ikm para criar o arquivo de banco de dados dechaves e o certificado. Para criar o arquivo de banco de dados dechaves e o certificado (auto-assinado ou assinado), siga estas etapas:

1. Assegure que o GSKit, Versão 4.0.3.168, e o utilitáriogsk4ikmestejam instalados no servidor LDAP e em quaisquer clientesLDAP que utilizarão o SSL.


Configurando o Cliente do IBM SecureWay Directory para Acesso SSL

137Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

Sistema Caminho






3. Para criar um novo arquivo de banco de dados de chaves,selecioneArquivo de Banco de Dados de Chaves→ Novo.

4. Assegure que oarquivo de banco de dados de chaves CMSseja o arquivo de banco de dados de chaves selecionado.

5. Digite as informações nos camposNome do Arquivo eLocalizaçãopara especificar onde você deseja que o arquivo debanco de dados de chaves esteja localizado. A extensão de umarquivo de banco de dados de chaves é.kdb.

6. Clique emOK .

7. Digite a senha do arquivo-chave de banco de dados econfirme-a.

Lembre-se desta senha porque ela será solicitada quando oarquivo de banco de dados de chave for editado.




10. Clique emOK . Isto conclui a criação do arquivo de banco dedados de chave. Há um conjunto de certificados de assinantes


138 Versão 3.8

padrão. Esses certificados de assinantes são as autoridades decertificação padrão que são reconhecidas.

Para que o cliente possa autenticar o servidor LDAP, ele devereconhecer a autoridade de certificação (assinante) que criou ocertificado do servidor LDAP. Se o servidor LDAP estiverutilizando um certificado auto-assinado, o cliente deverá serativado para reconhecer a máquina que gerou o certificado doservidor LDAP como uma raiz confiável (autoridade decertificação).

11. Depois de criar o arquivo de banco de dados de chaves, altere apropriedade desse arquivo paraivmgr . Utilize o comandoapropriado do sistema operacional para alterar a propriedade doarquivo. Por exemplo, em sistemas UNIX, digite o seguinte:# chown ivmgr keyfile

Incluindo um Certificado de AssinantePara incluir um certificado de assinante após a criação do arquivo debanco de dados de chaves, siga estas etapas:

1. Se você estiver utilizando um certificado auto-assinado para oservidor LDAP, assegure que o certificado que foi extraído doarquivo de banco de dados de chaves, em “Criando e Extraindoum Certificado Auto-assinado” na página 127, tenha sidocopiado para a máquina do cliente. Se ele não tiver sidocopiado, copie-o agora. Caso contrário, assegure que você tenhao certificado da autoridade de certificação que criou ocertificado do servidor LDAP.

2. Clique na seçãoCertificados de Assinantedo arquivo de bancode dados de chave CMS.

3. Clique emIncluir .

4. Clique emDados ASCII codificados em Base64para definir otipo de dados.

5. Indique o nome do arquivo do certificado e sua localização. Aextensão do arquivo de certificado é geralmente.arm.

6. Clique emOK .


139Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

7. Digite um rótulo para o certificado de assinante que você estáincluindo. Por exemplo, você pode utilizar o nome da máquinado servidor LDAP para o rótulo. Se o certificado do servidorLDAP tiver sido criado por uma autoridade de certificação,você poderá utilizar o nome da autoridade de certificação comoo rótulo.

8. Clique emOK . O certificado é exibido no banco de dados dechaves do cliente como um certificado de assinante.

9. Destaque o certificado de assinante recentemente incluído eclique emExibir/Editar .

10. Assegure queDefinir o certificado como uma raiz confiávelesteja selecionado para que o certificado seja marcado comoraiz confiável.

Se o certificado do servidor LDAP tiver sido gerado por umaautoridade de certificação regular, assegure-se de que aautoridade de certificação esteja listada como um certificado deassinante e marcada como uma raiz confiável. Se não estiver,inclua o certificado da autoridade de certificação como umcertificado de assinante e indique que é uma raiz confiável.

Agora, o cliente estará apto a estabelecer uma conexão SSL com oservidor LDAP.

Testando o Acesso SSLPara testar se o acesso SSL foi ativado, digite o seguinte comandono cliente LDAP:ldapsearch -h servername -Z -K client_keyfile -P key_pw-b "" -s base objectclass=*




client_keyfile O nome completo do caminho doconjunto de chaves de cliente gerado.



140 Versão 3.8

Este comando retorna as informações de base de LDAP, incluindo ossufixos no servidor LDAP.

Durante a configuração do servidor LDAP em “Configurando o IBMSecureWay Directory Server para Acesso SSL” na página 124, vocêescolheu o método de autenticaçãoAutenticação de ServidorouAutenticação de Servidor e Cliente.

¶ Se você escolheuAutenticação de Servidor, a configuração doSSL está concluída.

¶ Se você escolheuAutenticação de Servidor e Cliente, vá paraa seção “Configurando Autenticação de Servidor e ClienteLDAP”.

Configurando Autenticação de Servidor e ClienteLDAP

Durante a configuração do servidor LDAP para ativar o acesso SSL,conforme descrito na seção “Ativando o Acesso SSL no ServidorLDAP” na página 129, foi solicitado a você escolherAutenticaçãode Servidor ou Autenticação de Servidor e Cliente.

Se você escolheuAutenticação de Servidor, a configuração do SSLestá concluída.

Se você escolheuAutenticação de Servidor e Cliente, agora vocêdeve estabelecer um certificado para a máquina do cliente. Nessemodo de autenticação, o servidor solicita o certificado do cliente e outiliza para autenticar a identidade do cliente.

Para estabelecer um certificado para a máquina do cliente, concluaas instruções das seguintes seções:

¶ “Criando um Arquivo de Banco de Dados de Chave” na página142

¶ “Obtendo um Certificado Pessoal de uma Autoridade deCertificação” na página 143


141Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

¶ “Criando e Extraindo um Certificado Auto-assinado” napágina 144

¶ “Incluindo um Certificado de Assinante” na página 146

¶ “Testando o Acesso SSL” na página 148

Criando um Arquivo de Banco de Dados de ChaveSe você ainda não tiver criado um arquivo de banco de dados dechaves, use o utilitáriogsk4ikm para criar o arquivo de banco dedados de chaves e o certificado. Se você já tiver criado um arquivode banco de dados de chaves, vá para″“Obtendo um CertificadoPessoal de uma Autoridade de Certificação” na página 143.

Para criar o arquivo de banco de dados de chaves e o certificado(auto-assinado ou assinado), siga estas etapas:

1. Assegure que o IBM GSKit (Global Security Toolkit) SSLRuntime Toolkit, Versão 4.0.3.168, e ogsk4ikm estejaminstalados no servidor LDAP e em quaisquer clientes LDAP queutilizarão o SSL.

2. Inicie o utilitáriogsk4ikm, que está localizado em um dosseguinte diretórios:

Sistema Caminho






3. SelecioneArquivo de Banco de Dados de Chaves→ Novo.

4. Assegure que oarquivo-chave de banco de dados CMSseja oarquivo-chave de banco de dados selecionado.

5. Digite as informações nos camposNome do Arquivo eLocalizaçãopara especificar onde você deseja que o arquivo de

Configurando a Autenticação de Servidor e Cliente LDAP

142 Versão 3.8

banco de dados esteja localizado. A extensão de um arquivo debanco de dados de chaves é.kdb.

6. Clique emOK .

7. Digite a senha do arquivo-chave de banco de dados econfirme-a. Lembre-se desta senha porque ela será solicitadaquando o arquivo de banco de dados de chave for editado.




10. Clique emOK .

Isto conclui a criação do arquivo de banco de dados de chave.Há um conjunto de certificados de assinantes padrão. Essescertificados de assinantes são as autoridades de certificaçãopadrão que são reconhecidas.

11. Depois de criar o arquivo de banco de dados de chaves, altere apropriedade desse arquivo para para ivmgr. Utilize o comandoapropriado do sistema operacional para alterar a propriedade doarquivo. Por exemplo, em sistemas UNIX, digite o seguinte:# chown ivmgr keyfile

Obtendo um Certificado Pessoal de uma Autoridadede Certificação

Se você pretende utilizar um certificado de uma autoridade decertificação (como a VeriSign), em vez de um certificadoauto-assinado, deverá solicitar o certificado da autoridade decertificação e recebê-lo depois que estiver concluído.


143Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

Se você planejar utilizar um certificado auto-assinado, desconsidereesta seção e vá para a seção “Criando e Extraindo um CertificadoAuto-assinado”.

Para solicitar e receber um certificado, siga estas etapas:

1. Utilize gsk4ikm para solicitar um certificado de uma autoridadede certificação e, em seguida, receber o novo certificado noarquivo de banco de dados de chaves.

2. Clique na seçãoSolicitações de Certificados Pessoaisdoarquivo de banco de dados de chave.

3. Clique emNovo.

4. Para produzir um pedido que possa ser enviado para a autoridadede certificação, complete as informações e, em seguida, cliqueem OK .

5. Para instalar o certificado no arquivo de banco de dados dechave, depois de retornado pela autoridade de certificação, cliquena seçãoCertificados Pessoaise, em seguida, clique emReceber.

6. Depois que o certificado do cliente LDAP estiver no arquivo debanco de dados de chaves, você poderá incluir o certificado daautoridade de certificação que criou o certificado do cliente noservidor LDAP.

7. Continue com a seção “Incluindo um Certificado de Assinante”na página 146.

Criando e Extraindo um Certificado Auto-assinadoSe você obteve um certificado de uma autoridade de certificação,conforme descrito em “Obtendo um Certificado Pessoal de umaAutoridade de Certificação” na página 143, salte esta seção e vá para“Incluindo um Certificado de Assinante” na página 146.

Para criar um novo certificado auto-assinado e armazená-lo noarquivo de banco de dados de chaves, siga estas etapas:



144 Versão 3.8

Sistema Caminho






2. SelecioneCriar → Novo Certificado Auto-Assinado.

3. Digite um nome no campoRótulo da Chaveque o GSKit podeutilizar para identificar esse novo certificado no banco de dadosde chaves.

Por exemplo, o rótulo pode ser o nome da máquina do clienteLDAP.

4. Aceite os padrões para o campoVersão (X509 V3) e para ocampoTamanho da Chave.

5. Aceite o nome da máquina padrão ou digite um nome distintodiferente no campoNome Comumpara esse certificado.

6. Digite um nome de empresa no campoEmpresa.

7. Preencha quaisquer campos opcionais ou deixe-os em branco.

8. Aceite os padrões para o campoPaíse 365 para o campoPeríodo de Validadeou altere-os de acordo com asnecessidades de sua organização.

9. Clique emOK . O GSKit gera um novo par de chaves públicase privadas e cria o certificado.

Se você tiver mais de um certificado pessoal no arquivo debanco de dados de chave, o GSKit vai pesquisar se você desejaque esta chave seja a chave padrão no banco de dados. Vocêpode aceitar um deles como o padrão. O certificado padrão éutilizado no runtime quando um rótulo não é fornecido paraselecionar qual certificado utilizar.

Isso conclui a criação do certificado pessoal do cliente LDAP.Ele é exibido na seção Certificados Pessoais do arquivo de


145Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

banco de dados de chaves. Utilize a barra central do utilitáriode gerenciamento de chaves para selecionar entre os tipos decertificados mantidos no arquivo de banco de dados de chaves.

O certificado também é exibido na seção Certificados deAssinante do arquivo de banco de dados de chaves. Quandovocê estiver na seção Certificados de Assinante do banco dedados de chaves, verifique se ela contém o novo certificado.

Depois, você deve extrair o certificado do seu servidor LDAPpara um arquivo de dados ASCII codificado em Base64.

10. Utilize gsk4ikm para extrair o certificado do seu servidorLDAP para um arquivo de dados ASCII codificado em Base64.

11. Destaque o certificado auto-assinado que você acabou de criar.

12. Clique emCertificado de Extração.

13. Clique emDados ASCII codificados em Base64como o tipode dados.

14. Digite um nome de arquivo de certificado para o certificadorecém-extraído. A extensão do arquivo de certificado égeralmente.arm.

15. Digite a localização na qual você deseja armazenar o certificadoextraído e, em seguida, clique emOK .

16. Copie este certificado para a máquina do servidor LDAP.

No servidor LDAP, após a criação e inclusão do certificado pessoaldo cliente no banco de dados de chaves do cliente, a autoridade decertificação que criou esse certificado de cliente deve serreconhecida como um certificado de assinante (raiz confiável).

Incluindo um Certificado de AssinanteVocê deve executar esta etapa no servidor LDAP.

Para incluir um certificado de assinante após a criação do arquivo debanco de dados de chaves, siga estas etapas:



146 Versão 3.8

¶ Se você estiver utilizando um certificado auto-assinado parao cliente, assegure que o certificado que foi extraído doarquivo banco de dados de chaves, em “Criando eExtraindo um Certificado Auto-assinado” na página 144,tenha sido copiado para a máquina do servidor. Se isso nãotiver sido feito, copie-o agora e salte as etapas seguintes.

¶ Se o certificado de cliente tiver sido criado por umaautoridade de certificação, inclua o certificado da autoridadede certificação como um assinante confiável, executando asseguintes etapas.

2. Clique na seçãoCertificados de Assinantedo arquivo de bancode dados de chave CMS.

3. Clique emIncluir .

4. Clique emDados ASCII codificados em Base64para definir otipo de dados.

5. Indique o nome do arquivo do certificado e sua localização. Aextensão do arquivo de certificado é geralmente.arm.

6. Clique emOK .

7. Digite um rótulo para o certificado de assinante que você estáincluindo. Por exemplo, você pode utilizar o nome da máquinado cliente LDAP para o rótulo ou o nome da autoridade decertificação que gerou o certificado do cliente.

8. Clique emOK . O certificado auto-assinado é exibido no bancode dados de chaves do cliente como um certificado deassinante.

9. Destaque o certificado de assinante recentemente incluído eclique emExibir/Editar .

10. Assegure queDefinir o certificado como uma raiz confiávelesteja selecionado para que o certificado seja marcado comouma raiz confiável.

Se o certificado do cliente LDAP tiver sido gerado por umaautoridade de certificação regular, assegure-se de que aautoridade de certificação esteja listada como um certificado deassinante e marcada como uma raiz confiável. Se não estiver,


147Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

inclua o certificado da autoridade de certificação como umcertificado de assinante e indique que é uma raiz confiável.

Agora, o servidor está apto a estabelecer uma sessão SSL com ocliente LDAP.

11. Continue com a seção “Testando o Acesso SSL”.

Testando o Acesso SSLDepois que o servidor LDAP reconhecer a autoridade de certificaçãoque criou o certificado pessoal do cliente, teste o acesso SSLutilizando o seguinte comando no cliente LDAP:ldapsearch -h servername -Z -K client_keyfile -P key_pw -N \client_label -b "" -s base objectclass=*




client_keyfile O nome completo do caminho doconjunto de chaves de cliente gerado.


client_label O rótulo associado à chave, se houver.Este campo é opcional e é necessárioapenas se o servidor LDAP estiverconfigurado para executar autenticação deservidor e cliente.

Este comando retorna as informações de base de LDAP, incluindo ossufixos no servidor LDAP. Observe que o parâmetro–N indica orótulo que foi especificado quando o certificado pessoal do clientefoi incluído no arquivo de banco de dados de chaves do cliente.

Nota: Não especifique o rótulo do certificado de assinante doservidor LDAP.A opção–N indica para o GSKit qualcertificado de cliente é enviado para o servidor quandosolicitado. Se nenhum rótulo for especificado, o certificadopessoal será enviado quando o servidor solicitar o certificadodo cliente.


148 Versão 3.8

A configuração do SSL foi concluída.

149Tivoli®

SecureWay®


B.

Ativando

oS

SL

(Secure

Sockets

Layer)

150 Versão 3.8

Utilitários de Migração

Este apêndice fornece informações de referência (sintaxe, opções eexemplos) para os seguintes utilitários de migração:

migrate37 Faz backup dos dados críticos do sistema para seremutilizados no processo de atualização.

migrate38 Restaura os dados críticos do sistema para seremutilizados no processo de atualização.

pdupgrade Configura automaticamente o Tivoli SecureWayPolicy Director, Versão 3.8. Utilizado também pararestaurar o ambiente do Tivoli SecureWay PolicyDirector, Versão 3.7.x, se necessário.

Este apêndice também explica como utilizar o comandodb2 e outilitário DB2LDIF para fazer backup e restaurar dados LDAP(Lightweight Directory Access Protocol) em um IBM SecureWayDirectory Server. Esses utilitários são úteis se você desejar utilizarum meio secundário para fazer backup e restaurar informaçõesdurante o processo de atualização.

C

151Tivoli®

SecureWay®


C.

Utilitários

deM

igração

Sintaxe do migrate37 e do migrate38

Dois utilitários de migração estão localizados no diretórioplatform/migrate no CD do Tivoli SecureWay Policy Director Basepara sua plataforma específica:migrate37 e migrate38. Use outilitário migrate37 para fazer backup das informações do TivoliSecureWay Policy Director e utilize omigrate38 para restaurá-las.Você deve copiar esses arquivos no diretório temporário de seusistema, antes de iniciar o processo de atualização. Para obterinstruções sobre como usar esses utilitários, consulte “Atualizando oManagement Server para a Versão 3.8” na página 68.

Notas

¶ Assegure-se de que a conta administrativa do usuário para oTivoli SecureWay Policy Director (por exemplo,sec_master)tenha permissão para todas as ACLs, antes de executar outilitário migrate37. Caso contrário, esse utilitário não terápermissão para fazer backup com êxito de todas as informaçõesdo Tivoli SecureWay Policy Director.

Sintaxemigrate37 [–a { filename.log}] [ –d { dce | ldap}] –f { filename.xml}[–l path filename.conf] –r { pathname} –s suboption–t backup [–v]

migrate38 [–a { filename.log}] –e filename.xml –f { filename.xml}[–l path filename.conf] –r { pathname} –s suboption–t restore [–v]

Opções–a {filename.log}

Especifica o nome do arquivo de log que registratodas as operações que obtiveram êxito e as quefalharam. O arquivo de log padrão é denominadomigration.log.

–d {dce | ldap}Especifica o banco de dados no qual as informaçõesdo usuário estão atualmente armazenadas. As opçõesincluem os dados de registro do usuário do


152 Versão 3.8

Distributed Computing Environment (dce) ouLightweight Directory Access Protocol (ldap). Ovalor padrão édce.

Nota: Não é necessário especificar essa opção narestauração de informações com o utilitáriomigrate38.

–e filename.xmlEspecifica o nome de um arquivo de erros definidopelo usuário. O Tivoli SecureWay Policy Directorrequer essa opção somente na restauração de ACLs einformações do servidor com o utilitáriomigrate38.Esse arquivo de formato XML captura um registrode operações que falham na restauração, bem comoquaisquer operações dependentes.

Você deve editar esse arquivo de erros, corrigir ascondições que causaram os erros e utilizar o arquivocomo entrada para o utilitáriomigrate38. Porexemplo, suponha que você tente restaurarinformações de ACL e algumas das operações quefalharam (especificadas no arquivo de erros). Vocêdeve corrigir os erros no arquivo de erros e utilizá-locomo entrada para a opção–s aclsquando executaro utilitário migrate38. O arquivo de erros torna-se oarquivo de entrada em cada rodada iterativa davalidação de erros, até que a restauração sejabem-sucedida e executada sem erros.

Notas

¶ Na restauração de informações do objeto e dousuário, as informações de erro são registradasno arquivo de log, não no arquivo de erros. Oarquivo de log padrão émigration.log. Noentanto, você ainda deve especificar a opção–epara que o processo de restauração funcionecorretamente.


153Tivoli®

SecureWay®


C.

Utilitários

deM

igração

¶ O nome do arquivo de erros deve ser exclusivopara cada operação de restauração executada. Sevocê utilizar o mesmo nome de arquivo de erros,as informações de erro anteriores serãoexcluídas, e não serão anexadas ao arquivo.

–f filename.xmlEspecifica o nome do arquivo de saída intermediáriode formato XML. Essa opção é obrigatória.

–l path filename.confEspecifica o caminho e o nome do arquivo deconfiguração da migração. Utilize essa opçãosomente se você alterar o nome do arquivo deconfiguração padrão,migrate.conf, ou colocá-loem um diretório que não seja o diretório temporárioem seu sistema.

–r {pathname} Somente para Windows, especifica o nome completodo caminho do arquivo de configuraçãoivmgrd.conf. Essa opção é obrigatória. O nome docaminho deve ser colocado entre aspas.

Observe que o nome do caminho doarquivo ivmgrd.conf foi alterado na Versão 3.8.Portanto, ao fazer backup dos dados em um sistemada Versão 3.7.x, especifique o caminho no qual oarquivo da instalação da Versão 3.7.x existente estálocalizado. Por exemplo, o caminho padrão doarquivo para a Versão 3.7.x é o seguinte:–r "C:\Program Files\Tivoli\Policy Director\ivmgrd\lib\ivmgrd.conf"

em queC:\Program Files\Tivoli\PolicyDirector\ivmgrd\lib é o caminho especificadodurante a instalação do Tivoli SecureWay PolicyDirector, Versão 3.7.x.

Ao restaurar os dados em um sistema da Versão 3.8,especifique o caminho padrão da Versão 3.8, daseguinte maneira:


154 Versão 3.8

–r "C:\Program Files\Tivoli\Policy Director\etc\ivmgrd.conf"

–s {suboption} Especifica o tipo da migração. Essa opção éobrigatória. Escolha uma das seguintes subopções:

acls Indica para fazer backup ou restaurar açõesPOP (protected object policy), grupos deações, e ACLs (listas de controle de acesso)que são configuradas.

Os dados para cada ACL incluem o nome, adescrição, a lista de entradas e os pontos deconexão no espaço do objeto. Os dadostambém são armazenados para cada entradada ACL, incluindo o conjunto de permissõese o usuário ou grupo ao qual a entrada éaplicável.

Nota: Dados de ACL e POP devem serrestaurados por último. Casocontrário, você pode remover apermissão dosec_masterpara criarobjetos em determinadas localizações.Além disso, as ACLs não serãorestauradas corretamente se osusuários e grupos aos quais elas sereferem não existirem no ambiente dedestino da restauração.

obj Indica para fazer backup ou restaurar espaçosde objetos e os objetos que eles contêm.

Nota: Quando essa subopção é especificada,os erros são registrados somente noarquivomigration.log. A saída deerros não é armazenada no arquivoXML de erros que você especificoucom a opção–e.

servidorIndica para fazer backup ou restaurar


155Tivoli®

SecureWay®


C.

Utilitários

deM

igração

informações sobre os servidores TivoliSecureWay Policy Director que estãoatualmente configurados em seu domínioseguro. Por exemplo, essa opção armazenainformações sobre o servidor degerenciamento, o servidor de autorização, oTivoli SecureWay Policy Director WebSEALe etc. As informações armazenadas incluemo nome do servidor, o nome do host no qualele está sendo executado, a porta de escutado servidor e o modo em que o servidor estáoperando (local ou remoto).

user Indica para fazer backup ou restaurar dadosdo usuário e do grupo somente a partir deum registro do DCE.

Notas

¶ Não é necessário fazer backup dosusuários se você estiver migrando doTivoli SecureWay Policy Director,Versão 3.7.x, com registro do LDAP epretender utilizar o mesmo servidor.

¶ Quando essa subopção é especificada, oserros são registrados somente no arquivomigration.log. A saída de erros não éarmazenada em um arquivo XML deerros que você especificou com a opção–e.

–t {backup | restore}Especifica o tipo de operação que você desejaexecutar. Especifique a opçãobackup para outilitário migrate37; especifique a opçãorestorepara o utilitáriomigrate38. Essa opção é obrigatória.

–v Imprime a versão de construção do utilitário migratee a data em que ele foi construído.


156 Versão 3.8

Exemplos1. O exemplo a seguir faz backup de todas as informações de ACL

e POP em um sistema Windows. As informações sãoarmazenadas no arquivoaclspop.xml. As informações de errosão armazenadas no arquivomigration.log.migrate37 –t backup –s acls –f aclspop.xml –rC:\Program Files\Tivoli\Policy Director\ivmgrd\lib\ivmgrd.conf –d dce

2. O exemplo a seguir restaura informações de ACL e POParmazenadas no arquivoaclspop.xml em um sistema Windows:migrate38 –t restore –s acls –f aclspop.xml–r C:\Program Files\Tivoli\Policy Director\etc\ivmgrd.conf –e acls_error.xml

Depois de restaurar as informações, edite o arquivo de errosacls_error.xml para avaliar e corrigir quaisquer elementos cujarestauração falhou. Por exemplo, suponha que o arquivo de erroscontinha as seguintes informações:<IVMIG REGISTRY="LDAP" DATE="Jul 30 2001"><POPLIST><POPDATA><POPNAME>testpop</POPNAME><POPDESCRIPTION></POPDESCRIPTION><AUDITLEVEL>0</AUDITLEVEL><POPQOP>0</POPQOP><DAYS>127</DAYS><TODSTART>0</TODSTART><TODEND>0</TODEND><TODREFERENCE>0</TODREFERENCE><ANYOTHERNW>0</ANYOTHERNW><IPAUTHLIST></IPAUTHLIST><POPATTACHED>/foo</POPATTACHED></POPDATA></POPLIST></IVMIG>

No exemplo anterior, o utilitáriomigrate38 não pôde restaurartestpop porque existia um outro POP com o mesmo nome. Vocêpoderia substituir a entrada<POPNAME> por um novo nome, comonewpop, conforme mostrado no exemplo a seguir:


157Tivoli®

SecureWay®


C.

Utilitários

deM

igração

<IVMIG REGISTRY="LDAP" DATE="Jul 30 2001"><POPLIST><POPDATA><POPNAME>newpop</POPNAME><POPDESCRIPTION></POPDESCRIPTION><AUDITLEVEL>0</AUDITLEVEL><POPQOP>0</POPQOP><DAYS>127</DAYS><TODSTART>0</TODSTART><TODEND>0</TODEND><TODREFERENCE>0</TODREFERENCE><ANYOTHERNW>0</ANYOTHERNW><IPAUTHLIST></IPAUTHLIST><POPATTACHED>/blah</POPATTACHED></POPDATA></POPLIST></IVMIG>

Sucessivamente, utilize o arquivo de erros como entrada noutilitário migrate38 e escolha um nome diferente para o novoarquivo de erros, por exemplo,pass2_error.xml, conformemostrado:migrate38 –t restore –s acls –f aclspop_error.xml–r C:\Program Files\Tivoli\Policy Director\etc\ivmgrd.conf –e pass2_error.xml


158 Versão 3.8

Sintaxe do pdupgrade

Exporta, importa e restaura informações do Tivoli SecureWay PolicyDirector. Em sistemas Windows, esse utilitário é chamadoautomaticamente pelo InstallShield. Em sistemas UNIX, você sóprecisa utilizar as opções–export e –restore, quando necessárias.

Sintaxepdupgrade { –export | –import | –restore}

Opções–export Somente em sistemas UNIX, copie os arquivos da

instalação do Tivoli SecureWay Policy Director,Versão 3.7.x, que são necessários para atualizar paraa Versão 3.8. As informações do usuário, incluindoarquivos de configuração, chaves de registro e logsde auditoria, são copiadas para o diretório/tmp/PolicyDirector.

–import Copia e converte os dados do usuário armazenadospreviamente no diretório temporário (utilizando aopção–export) em um dos seguintes diretórios dearchive:

¶ Em sistemas UNIX:/var/PolicyDirector/save37

¶ Em sistemas Windows: \install_path\save37 emque install_pathespecifica o diretório no qual oTivoli SecureWay Policy Director, Versão 3.8,está instalado.

–restore Especifica para restaurar o ambiente do TivoliSecureWay Policy Director, Versão 3.7.x, no caso deuma falha na instalação do Versão 3.8. Depois deutilizar essa opção, você deve reinstalar o TivoliSecureWay Policy Director, Versão 3.7.x. Emsistemas Windows, as informações do registrotambém são restauradas. Em sistemas UNIX, os linkssimbólicos apropriados são restaurados. Para obter


159Tivoli®

SecureWay®


C.

Utilitários

deM

igração

mais informações, consulte “Restaurando um Sistemapara a Versão 3.7.x” na página 77.

Utilitários de Backup e RestauraçãoNormalmente, não é necessário migrar as informações de GSO(Global Sign-On) ou de registro do LDAP porque esses dadosresidem no servidor LDAP. No entanto, se você precisar reinstalar oLDAP, faça backup e restaure os dados do registro com os utilitáriosdescritos nas seções seguintes.

Nota: O LDAP fornece o utilitárioDB2LDIF como parte dainstalação do IBM SecureWay Directory Server.

Utilizando o Comando db2Você pode utilizar o comandodb2 backup para fazer backup erestaurar dados do LDAP em um IBM SecureWay Directory Server.Para fazer backup dos dados, siga estas etapas:

1. Pare o IBM SecureWay Directory Server e digite o seguinte:db2 backup database dbname to directory_or_device

em quedbnameé o nome do banco de dados. Para o LDAP,ldapdb2 é o nome padrão do banco de dados.

2. Faça backup dos arquivos de configuração do LDAP. Essesarquivos estão incluídos no subdiretório/etc do caminho deinstalação. Por exemplo:

¶ Em sistemas AIX:/usr/ldap/etc

¶ Em sistemas Solaris:/opt/IBMldaps/etc

¶ Em sistemas Windows:C:\Program Files\IBM\ LDAP\etc

Para restaurar os dados utilizando o comandodb2 restore, siga estasetapas:

1. Pare o IBM SecureWay Directory Server e digite o seguinte:db2 restore database dbname from directory_or_device


160 Versão 3.8

em quedbnameé o nome do banco de dados. Para o LDAP,ldapdb2 é o nome padrão do banco de dados.

2. Compare as diferentes versões de seus arquivos de configuraçãodo LDAP e restaure-as conforme necessário. Esses arquivos estãoincluídos no diretório/etc do caminho de instalação. Porexemplo:




3. Reinicie o servidor LDAP.

Usando o Utilitário DB2LDIFVocê pode usar o utilitárioDB2LDIF para fazer backup e restaurardados do LDAP em um IBM SecureWay Directory Server. Parafazer backup dos dados do LDAP, siga estas etapas:

1. No sistema do IBM SecureWay Directory Server, altere para umdos seguintes diretórios:

¶ Em sistemas AIX:/usr/ldap/sbin

¶ Em sistemas Solaris:/opt/IBMldaps/sbin

¶ Em sistemas Windows:C:\Program Files\IBM\ LDAP\bin

2. Digite o seguinte:db2ldif –o ldapv32_backup

em queldapv32_backupé o nome do arquivo de saída no qual asinformações do LDAP são salvas. Esse arquivo é utilizadoposteriormente no processo de restauração.

3. Faça backup dos arquivos de configuração do LDAP. Essesarquivos estão incluídos no subdiretório/etc do caminho deinstalação. Por exemplo:




Utilizando o Comando db2

161Tivoli®

SecureWay®


C.

Utilitários

deM

igração

Para restaurar os dados do LDAP com o utilitárioDB2LDIF , sigaestas etapas:

1. No sistema do IBM SecureWay Directory Server, altere para umdos seguintes diretórios:

¶ Em sistemas AIX:/usr/ldap/sbin

¶ Em sistemas Solaris:/opt/IBMldaps/sbin

¶ Em sistemas Windows:C:\Program Files\IBM\ LDAP\bin

2. Digite o seguinte:ldif2db –i ldapv32_backup

em queldapv32_backupé o nome do arquivo de entrada.

3. Compare as diferentes versões de seus arquivos de configuraçãodo LDAP e restaure-as conforme necessário. Esses arquivos estãoincluídos no diretório/etc do caminho de instalação. Porexemplo:




4. Reinicie o IBM SecureWay Directory Server.

Usando o Utilitário DB2LDIF

162 Versão 3.8

Glossário

A

ACLConsultelista de controle de acesso.

açõesatributos de permissão da ACL.

arquivo de banco de dados de chavesConsulteconjunto de chaves.

arquivo de chavesConsulteconjunto de chaves.

arquivo de respostaUm arquivo que contém um conjunto de respostas predefinidas às perguntas feitaspor um programa e que é utilizado no lugar do diálogo do usuário.

assinatura digitalDados que são anexados a, ou são uma transformação criptográfica de, uma unidadede dados e que permitem que o destinatário da unidade de dados verifique a origeme a integridade da unidade e reconheça uma possível falsificação.

autenticação(1) Em segurança de computadores, a verificação da identidade de um usuário ousua elegibilidade para acessar um objeto. (2) Em segurança de computadores averificação de que uma mensagem não foi alterada ou corrompida. (3) Emsegurança de computadores, um processo utilizado para verificar o usuário de umsistema de informações ou de recursos protegidos.

autoridade de certificaçãoNo e-commerce, uma organização que emite certificados. A autoridade decertificação autentica a identidade do proprietário do certificado e os serviços que oproprietário está autorizado a utilizar, emite novos certificados, renova oscertificados existentes e revoga os certificados pertencentes aos usuários que nãoestão mais autorizados a utilizá-los.

autorização(1) Em segurança de computadores, o direito concedido ao usuário para secomunicar com ou fazer uso de um sistema de computadores. (2) Um direito deacesso. (3) O processo de conceder a um usuário acesso completo ou restrito a umobjeto, recurso ou função.

163Tivoli®

SecureWay®


Glossário

C

certificadoNo e-commerce, um documento digital que liga uma chave pública à identidade doproprietário do certificado, permitindo que o proprietário do certificado sejaautenticado. Um certificado é emitido por um autoridade de certificação.

chaveUma seqüência de símbolos que é utilizada com um algoritmo criptográfico paracriptografar ou descriptografar dados. Consultechave privadae chave pública.

chave privadaUma chave que é conhecida somente por seu proprietário. Compare comchavepública.

chave pública

cifradoDados criptografados que são ilegíveis até que sejam convertidos em dados comuns(descriptografados) com uma chave.

conexão(1) Em comunicação de dados, uma associação estabelecida entre unidadesfuncionais para transportar informações. (2) Em TCP/IP, o caminho entre doisaplicativos de protocolo que fornece serviço de entrega de fluxo de dados confiável.Na Internet, uma conexão se estende um aplicativo TCP em um sistema a umaplicativo TCP em outro sistema. (3) Em comunicações de sistemas, uma linhaatravés da qual os dados podem ser passados entre dois sistemas ou entre umsistema e um dispositivo.

configuração(1) A maneira pela qual o hardware e o software de um sistema de processamentode informações são organizados e interconectados. (2) Os dispositivos e programasque constituem um sistema, subsistema ou rede

conjunto de chavesUm arquivo que contém chaves públicas, chaves privadas, raízes confiáveis ecertificados.

Conjunto de protocolos de InternetUm conjunto de protocolos desenvolvidos para serem utilizados na Internet epublicados como RFCs (Requests for Comments) através da IETF (InternetEngineering Task Force).

Glossário

164 Versão 3.8

controle de acessoEm segurança de computadores, o processo de assegurar que os recursos de umsistema de computador possam ser acessados somente pelos usuários autorizados, demaneiras autorizadas.

criptografiaO processo de transformar dados em uma forma ininteligível de modo que os dadosoriginais não possam ser obtidos ou possam ser obtidos somente através de umprocesso de descriptografia.

D

dados da políticaIncluem dados de política de durabilidade da senha e dados de início de sessão.

dados dos campos de junçãoDados dos campos de junção do WebSEAL

daemonUm programa que é executado independentemente para realizar um serviço padrão.Alguns daemons são ativados automaticamente para realizar suas tarefas; outrosoperam periodicamente.

DCEConsultedistributed computing environment.

definições de classe de objetoToda entrada contém um atributoobjectClass que identifica qual tipo deinformação a entrada contém. De fato, a classe de objeto determina quais outrosatributos podem estar presentes em uma entrada. O esquema de diretório define ostipos de atributo e classes de objeto válidos que podem aparecer no diretório. Asdefinições de tipo de atributo definem o comprimento máximo e a sintaxe de seusvalores. As definições de classe de objeto especificam quais atributosdevemestarpresentes em um objeto dessa classe, bem como atributos que podem estarpresentes.

distributed computing environmentA especificação da Open Software Foundation (ou um produto derivado dessaespecificação) que auxilia as redes. O distributed computing environment fornecefunções como, por exemplo, autenticação, serviço de diretório e chamada deprocedimento remoto.

domínio(1) A parte de uma rede de computadores na qual os recursos de processamento dedados estão sob controle comum. (2) Em um banco de dados, todos os valorespossíveis de um atributo ou um elemento de dados. (3) Consultedomínioadministrativoe nome de domínio.

Glossário

165Tivoli®

SecureWay®


Glossário

E

esquemaO conjunto de instruções, expressas em uma linguagem de definição de dados, quedescrevem completamente a estrutura de um banco de dados.

esquema de diretórioAs entradas em um diretório são constituídas de uma coleção de atributos e seusvalores associados. Os atributos podem ter um ou vários valores. Para identificar umvalor específico em uma entrada, o nome do tipo de atributo é especificadojuntamente com o valor, como emcn=John Doe. Isso é chamado de paratributo:valor. Cada entrada contém um atributoobjectClass que identifica qualtipo de informação a entrada contém. De fato, a classe de objeto determina quaisoutros atributos podem estar presentes em uma entrada. O esquema de diretóriodefine os tipos de atributo e classes de objeto válidos que podem aparecer nodiretório. As definições de tipo de atributo definem o comprimento máximo e asintaxe de seus valores. As definições de classe de objeto especificam quaisatributosdevemestar presentes em um objeto dessa classe, bem como atributos quepodem estar presentes.

F

FTP (File Transfer Protocol)No conjunto de protocolos de Internet, um protocolo da camada de aplicativo queutiliza os serviços TCP e Telnet para transferir arquivos de dados em massa entremáquinas ou hosts.

G

gerenciamento de segurançaA disciplina de gerenciamento do Tivoli que trata da capacidade da organização paracontrolar o acesso a aplicativos e dados que são críticos para seu sucesso.

grupos de controle de acessoGrupos a serem utilizados para controle de acesso. Cada grupo contém um atributomultivalor consistindo em nomes distintos de membros. Os grupos de controle deacesso possuem uma classe de objetoAccessGroup.

H

hostUm computador que é conectado a uma rede (como uma rede Internet ou SNA) efornece um ponto de acesso para aquela rede. Também, dependendo do ambiente, ohost pode fornecer controle centralizado da rede. O host pode ser um cliente, umservidor ou um cliente e um servidor ao mesmo tempo.

Glossário

166 Versão 3.8

HTTP (Hypertext Transfer Protocol)No conjunto de protocolos da Internet, o protocolo que é utilizado para transferir eexibir documentos de hipertexto.

I

instalação silenciosaUma instalação que não envia mensagens para o console, mas, em vez disso,armazena as mensagens e os erros nos arquivos de log. Pode significar também quea instalação utiliza arquivos de resposta em vez de diálogos do usuário.

Internet ProtocolNo conjunto de protocolos da Internet, um protocolo sem conexão que direcionadados através de uma rede ou de redes interconectadas e age como um intermediárioentre as camadas de protocolos mais altas e a rede física.

L

LDAPConsulteLightweight Directory Access Protocol.

LDAP (Lightweight Directory Access Protocol)Um protocolo aberto que (a) utiliza o TCP/IP para fornecer acesso aos diretóriosque suportam um modelo X.500 e (b) não fica sujeito aos requisitos de recursos doX.500 DAP (Directory Access Protocol) mais complexo. Os aplicativos que utilizamo LDAP (conhecidos como aplicativos habilitados para diretório) podem utilizar odiretório como um armazenamento de dados comum e para recuperar informaçõessobre pessoas ou serviços, como endereços de e-mail, chaves públicas ou parâmetrosde configuração específicos do serviço. O LDAP foi especificado originalmente noRFC 1777. O LDAP versão 3 está especificado no RFC 2251 e a IETF continua atrabalhar em funções padrão adicionais. Alguns dos esquemas padrão definidos peloIETF para LDAP são encontrados no RFC 2256.

ldif2dbEsse programa é utilizado para carregar as entradas especificadas no LDIF (LDAPDirectory Interchange Format) do texto em um diretório armazenado em um bancode dados relacional. O banco de dados deve já existir. O ldif2db pode ser utilizadopara incluir entradas em um banco de dados de diretório vazio ou em um banco dedados que já contém entradas.

ligarRelacionar um identificador a outro objeto em um programa; por exemplo,relacionar um identificador a um valor, endereço ou outro identificador, ou associaros parâmetros formais e parâmetros reais.

Glossário

167Tivoli®

SecureWay®


Glossário

lista de controle de acesso(1) Em segurança de computadores, uma coleção de todos os direitos de acesso paraum objeto. (2) Em segurança de computadores, uma lista associada a um objeto queidentifica todas as pessoas que podem acessar o objeto e seus direitos de acesso; porexemplo, uma lista associada a um arquivo que identifica os usuários que podemacessar o arquivo e identifica seus direitos de acesso para esse arquivo.

M

metadadosDados que descrevem as características dos dados armazenados; dados descritivos.

migraçãoA instalação de uma nova versão ou release de um programa para substituir umaversão ou release anterior.

N

nome de domínioNo conjunto de protocolos da Internet, um nome de um sistema host. Um nome dedomínio consiste em uma seqüência de subnomes separados por um caracteredelimitador. Por exemplo, se o FQDN (nome de domínio completo) de um sistemahost for ralvm7.vnet.ibm.com, cada um dos itens a seguir será um nome dedomínio:

¶ ralvm7.vnet.ibm.com

¶ vnet.ibm.com

¶ ibm.com

nome distintoCada entrada em um diretório possui um nome distinto. O nome distinto é o nomeque identifica exclusivamente uma entrada no diretório. Um nome distinto éconstituído de pares atributo:valor, separados por vírgulas.

P

pares de chavesUma chave pública e uma chave privada. Quando o par de chaves é utilizado paracriptografia, o emissor utiliza a chave pública para criptografar a mensagem e odestinatário utiliza a chave privada para descriptografar a mensagem. Quando o parde chaves é utilizado para assinatura, o signatário utiliza a chave privada paracriptografar uma representação da mensagem e o destinatário utiliza a chave públicapara descriptografar a representação da mensagem para verificação de assinatura.Consulteassinatura digital.

Glossário

168 Versão 3.8

permissões de acessoPermissões que se aplicam ao objeto inteiro ou permissões que se aplicam às classesde acesso do atributo.

políticaConjunto de regras aplicadas a recursos gerenciados.

POPConsulteprotected object policy.

protected object policyRegras que definem restrições de acesso com base nos atributos dos objetos.Umachave que fica disponível para todo mundo. Compare comchave privada.

R

registroEm um sistema operacional Microsoft Windows, um banco de dados que contéminformações de configuração do sistema sobre o usuário, o hardware e os programase aplicativos que são instalados. Os sistemas operacionais Windows fazemreferência ao registro durante a operação.

réplicaUma réplica é um servidor que executa uma cópia do diretório. Esse servidorreplicado pode manter uma cópia do diretório inteiro ou apenas uma árvore dessediretório. Qualquer atualização feita em um servidor réplica é referido comoservidor master. Se o servidor master falhar, você sempre terá uma cópia das árvoresde diretórios no servidor réplica. Utilizar o servidor réplica também melhora otempo de resposta.

RSAUm sistema de criptografia de chave pública utilizado para criptografia eautenticação. Ele foi inventado em 1977 por Ron Rivest, Adi Shamir e LeonardAdleman. A segurança do sistema depende da dificuldade de fatorar o produto dedois números primos grandes.

runtimeO período de tempo durante o qual um programa de computador é executado. ORuntime Environment é um ambiente de execução.

S

seletor de transporteO equivalente de números de porta da OSI (Open Systems Interconnection) noTCP/IP. Também chamado de número TSEL.

Glossário

169Tivoli®

SecureWay®


Glossário

serviçoTrabalho executado por um servidor. Isso pode significar atender pedidos simples deenvio e armazenamento de dados (como em servidores de arquivos, servidoresHTTP, servidores de e-mail e serviços de finger) ou pode ser um trabalho maiscomplexo, como por exemplo, em servidores de impressão ou servidores deprocesso.

símbolo(1) Em uma rede local, o símbolo de autoridade passado sucessivamente de umaestação de dados para outra, para indicar a estação temporariamente no controle domeio de transmissão. Cada estação de dados tem uma oportunidade de obter eutilizar o símbolo para controlar o meio. Um símbolo é um padrão específico de bitou mensagem que significa permissão para transmitir. (2) Em LANs, uma seqüênciade bits passados de um dispositivo para outro pelo meio de transmissão. Quando osímbolo tem dados anexados a ele, ele torna-se um quadro.

SSL (Secure Sockets Layer)Um protocolo de segurança que fornece privacidade de comunicação. O SSLpermite que os aplicativos cliente /servidor se comuniquem de uma maneira queimpeça a escuta clandestina, a violação e a falsificação de mensagens. O SSL foidesenvolvido pela Netscape Communications Corp. e pela RSA Data Security, Inc.

sufixosUm sufixo é um nome distinto que identifica a primeira entrada em uma hierarquiade diretórios armazenada localmente. Em razão do esquema de nomenclaturarelativa utilizado no LDAP (Lightweight Directory Access Protocol), esse nomedistinto também é o sufixo de todas as outras entradas na hierarquia de diretórios.Um servidor de diretório pode ter vários sufixos, cada um identificando umahierarquia de diretórios armazenada localmente.

T

TSELConsulteseletor de transporte.

U

usuárioQualquer pessoa, organização, processo, dispositivo, programa, protocolo ou sistemaque utiliza um serviço fornecido por outros.

Glossário

170 Versão 3.8

Impresso em Brazil

SecureWay Policy Director Base -...

Documents

Transcript of SecureWay Policy Director Base -...