【導(dǎo)讀】配置PORTALLTPA方式使用WebSEAL認(rèn)證操作手冊(cè)Page2of49

　　

【正文】 進(jìn)行 tim 管理。 tim 主頁面，選擇主菜單“主頁”，選擇“管理帳戶”，選擇當(dāng)前登陸管理員（如： admin），點(diǎn) 擊“新建” 配置 PORTAL LTPA 方式使用 WebSEAL 認(rèn)證操作手冊(cè) Page 40 of 49 “ 繼續(xù)“， 輸入對(duì)應(yīng) admin 的信息，一定要與 admin 帳號(hào)名對(duì)應(yīng) 配置 PORTAL LTPA 方式使用 WebSEAL 認(rèn)證操作手冊(cè) Page 41 of 49 提交即可。 Junction 使用如下的命令建立 junction： pdadmin sec_master server task defaultwebsealdaq create t tcp h aq p 9080 j e utf8_uri c all /tim Created junction at /tim ACL 使用如下的命令添加 TIM 的認(rèn)證： pdadmin sec_master acl attach /WebSEAL/aqdefault/tim defaultwebseal 配置 PORTAL LTPA 方式使用 WebSEAL 認(rèn)證操作手冊(cè) Page 42 of 49 tim配置 在 tim 安裝目錄下找到 文件，如： D:\IBM\itim\data\，在 文件中查找 ，做如下設(shè)置： 配置完成后在 WAS 上重新啟動(dòng) enrole 工程。 配置 TIM到所有 account 的 口令 同步 TIM 到 TAM 以及所有 Account 的密碼同步由 selfcare 實(shí)現(xiàn)。不需要特殊配置。 訪問 tim/enrole，按照下圖選中“ Enable password editing”、“ Enable password synchronization”即可。 測(cè)試 訪問 配置 PORTAL LTPA 方式使用 WebSEAL 認(rèn)證操作手冊(cè) Page 43 of 49 當(dāng)正常完成口令修改的步驟后，用戶進(jìn)入到要訪問的頁面； 提示：在配置 TIM 單點(diǎn)登錄完成后，對(duì) TIM 的表單定制功能則不可用，會(huì)導(dǎo)致 applet不能正確初始化 ，所以對(duì)表單定制初始化工作要在單點(diǎn)登陸完成前做完。 WPM 系統(tǒng)單點(diǎn)登錄配置 配置文件 修改 wpm 配置文件D:\IBM\WebSphere\AppServer\installedApps\aq\\classes\ ,改變認(rèn)證方法為 SSO 方式： 重新啟動(dòng) was 重新啟動(dòng) was 服務(wù)以使改變后的配置生效。 配置 PORTAL LTPA 方式使用 WebSEAL 認(rèn)證操作手冊(cè) Page 44 of 49 創(chuàng)建 junction pdadmin sec_master server task defaultwebsealdaq create t tcp h aq p 9080 j s c all f /wpm 測(cè)試 通過測(cè)試 驗(yàn)證 sso WebSEAL Failover 功能配置 功能說明： Failover 主要應(yīng)用的場(chǎng)景是兩臺(tái)或兩臺(tái)以上的 WebSEAL 在一個(gè)負(fù)載均衡設(shè)備之后，當(dāng)一臺(tái) WebSEAL 出現(xiàn)故障時(shí)， 其它的 WebSEAL 能夠獲取用戶的身份信息，不再要求用戶登錄，繼續(xù)使用 的功能。 重點(diǎn)說明： Failover 功能主要是依靠各 WebSEAL 主機(jī)的域名和用戶訪問 WebSEAL 使用的域名進(jìn)行判斷和處理，因此，在配置 Failover 功能時(shí)，一定要確認(rèn) WebSEAL 主機(jī)名是一個(gè)完成得域名，并且與用戶訪問 WebSEAL 時(shí)使用的域名是同一個(gè)域的。如：主機(jī)名： access，訪問域名： b6. 。 配置修改 ： 1. 生成 Failover Key，該 key 用于 WebSEAL 加密用戶信息時(shí)使用。 cd D:\IBM\Tivoli\PDWebRTE\bin D:\IBM\Tivoli\PDWebRTE\bin 復(fù)制生成的 Key 文件到每個(gè)參與 Failover 功能的 WebSEAL 主機(jī)（同樣的目錄） 配置 PORTAL LTPA 方式使用 WebSEAL 認(rèn)證操作手冊(cè) Page 45 of 49 2. 修改 D:\IBM\Tivoli\PDWeb\etc\ 文件，按照下面紅色部分內(nèi)容進(jìn)行修改， [failover] FAILOVER Accept failover cookies One of , , both, none failoverauth = both Key file for failover cookie encryption The cdsso_key_gen utility must be used to create this file failovercookieskeyfile = failovercookieskeyfile = D:\IBM\Tivoli\PDWebRTE\bin\ Number of minutes that failover cookie contents are valid failovercookielifetime = 15 Enable the failover cookie for the domain This allows the cookie to send back to any server within the same domain as WebSEAL. enablefailovercookiefordomain = yes 配置 PORTAL LTPA 方式使用 WebSEAL 認(rèn)證操作手冊(cè) Page 46 of 49 Specify if UTF8 encoding should be used in the strings within the failover cookie. UTF8 should be used when user names or credential attributes in the cookie are not encoded in the same code page as the WebSEAL server is using. Set to no if your cookies need to interoperate with legacy environments which use local code page. …… …… …… Failover failoverpassword = failoverpasswordlibrary failovertokencard = failovertokencardlibrary failovercertificate = failovercertificatelibrary failoverrequest = failoverrequestlibrary failovercdsso = failovercdssolibrary failoverkerberosv5 = failoverkerberosv5library failoverpassword = 配置說明： failoverauth = both 配置 PORTAL LTPA 方式使用 WebSEAL 認(rèn)證操作手冊(cè) Page 47 of 49 Enable Failover 功能，并配置為 HTTP 和 HTTPS 兩個(gè)協(xié)議都支持 Failover 功能。 failovercookieskeyfile = D:\IBM\Tivoli\PDWebRTE\bin\ 配置 Failover 使用的 Key File，每個(gè) WebSEAL 需要使用相同的 Key，該 Key 用于加密用戶身份信息，并存儲(chǔ)在瀏覽器的 Cookie 中。 failovercookielifetime = 15 配置 Failover cookie 有效的周期為 15 分鐘，該時(shí)間應(yīng)該與 WebSEAL timeout 時(shí)間一直。 enablefailovercookiefordomain = yes Enable 在相 同域名下提供 Failover 的功能，該配置能夠保障用戶在訪問相同域名的WebSEAL 時(shí)，系統(tǒng)能夠自動(dòng)完成 Failover cookie 的校驗(yàn)和身份確認(rèn)，能夠保障用戶在cookie 不超期的情況下，不需要認(rèn)證繼續(xù)使用。 failoverpassword = 配置 Failover Password 使用的庫文件，輸入系統(tǒng)提供的文件 即可。 該配置需要重新啟動(dòng) WebSEAL 服務(wù)，參與 Failover 功能的各 WebSEAL 都需要重新啟動(dòng)，啟動(dòng)完 成后，可使用瀏覽器進(jìn)行訪問和測(cè)試， 確認(rèn)訪問 WebSEAL 時(shí)使用了與WebSEAL 主機(jī)一樣的域名！??！ 配置 PORTAL LTPA 方式使用 WebSEAL 認(rèn)證操作手冊(cè) Page 48 of 49 正式環(huán)境中配置 portal1與 portal2的 Junction 創(chuàng)建 Stateful junction example: v WebSEAL1 instance is called Host name is access v WebSEAL2 instance is called Host name is access v portal server 1 is called v portal server 2 is called pdadmin sec_master server task create –t tcp h n p 9081 s A F D:\IBM\tivoli\PDWeb\default\certs\ Z password f /portal pdadmin sec_master server task add h p 9081 /portal pdadmin server task show /portal UUID1:5d07dd50198a11dc923400145e2b99e0 UUID2:d776deb4198b11dc923400145e2b99e0 (output of this mand reveals UUID1 and UUID2) 配置 PORTAL LTPA 方式使用 WebSEAL 認(rèn)證操作手冊(cè) Page 49 of 49 pdadmin sec_master server task create –t tcp h p 9081 u UUID1 s A F D:\IBM\tivoli\PDWeb\default\certs\ Z password f /portal pdadmin server task add h p 9081 u UUID2 /portal 當(dāng)一個(gè)客戶端連接到 server 2 時(shí)， 客戶端在 cookie 中保存 server 2 的 UUID2。上邊的設(shè)置確?？蛻舳丝偸沁B接到 server 2，不管后續(xù)的請(qǐng)求是通過 WebSEAL1 或 WebSEAL2，連接總是指向 server 2。 異常情況處理配置 ： 修改 D:\IBM\Tivoli\PDWeb\etc\ 文件 For example: [junction] usenewstatefulonerror = yes 該配置需要重新啟動(dòng) WebSEAL 服務(wù)，參與 Failover 功能的各 WebSEAL 都需要重新啟動(dòng)，啟動(dòng)完成后，可使用瀏覽 器進(jìn)行訪問和測(cè)試， 確認(rèn)訪問 WebSEAL 時(shí)使用了與WebSEAL 主機(jī)一樣的域名?。?！