Installation
Transcription
Installation
IBM® Security Access Manager for Enterprise Single Sign-On Version 8.2.1 Installation GI11-3236-04 IBM® Security Access Manager for Enterprise Single Sign-On Version 8.2.1 Installation GI11-3236-04 Hinweis Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die Informationen unter „Bemerkungen” auf Seite 227 gelesen werden. Impressum Anmerkung: Diese Ausgabe bezieht sich auf IBM Security Access Manager for Enterprise Single Sign-On Version 8.2.1 (Produktnummer 5724–V67) und alle nachfolgenden Releases und Modifikationen, bis dieser Hinweis in einer Neuausgabe geändert wird. Diese Veröffentlichung ist eine Übersetzung des Handbuchs IBM Security Access Manager for Enterprise Single Sign-On, Version 8.2.1, Installation Guide, IBM Form GI11-9309-04, herausgegeben von International Business Machines Corporation, USA © Copyright International Business Machines Corporation 2002, 2014 Informationen, die nur für bestimmte Länder Gültigkeit haben und für Deutschland, Österreich und die Schweiz nicht zutreffen, wurden in dieser Veröffentlichung im Originaltext übernommen. Möglicherweise sind nicht alle in dieser Übersetzung aufgeführten Produkte in Deutschland angekündigt und verfügbar; vor Entscheidungen empfiehlt sich der Kontakt mit der zuständigen IBM Geschäftsstelle. Änderung des Textes bleibt vorbehalten. Herausgegeben von: TSC Germany Kst. 2877 Mai 2014 Abbildungsverzeichnis 1. 2. 3. 4. Eigenständige Installation mit virtueller Einheit Installation eines eigenständigen Produktionsservers . . . . . . . . . . . . . . Stammzertifizierungsstelle und Schlüsselunterzeichner für WebSphere Application Server im Truststore durch neue Schlüsselgröße ersetzen . Beispiel für Hochverfügbarkeit: IBM Security Access Manager for Enterprise Single Sign-On in einem Netzimplementierungscluster mit zwei Knoten . . . . . . . . . . . . 48 60 5. Stammzertifizierungsstelle und Schlüsselunterzeichner für WebSphere Application Server im Truststore durch neue Schlüsselgröße ersetzen . 94 67 86 iii iv IBM® Security Access Manager for Enterprise Single Sign-On: Installation Inhalt Abbildungsverzeichnis . . . . . . . . iii Zu diesem Handbuch . . . . . . . . vii Zugriff auf Veröffentlichungen und Terminologie Behindertengerechte Bedienung . . . . . . . Technische Schulung . . . . . . . . . . Informationen zur Unterstützung . . . . . . Erklärung zu geeigneten Sicherheitsvorkehrungen vii . xi . xi . xi xii Kapitel 1. IMS Server installieren . . . . 1 IMS Server - Installationsroadmap . . . . . . . 1 Serverinstallation unter Verwendung einer virtuellen Einheit . . . . . . . . . . . . . . 2 Serverinstallation bei Wiederverwendung bestehender Middleware . . . . . . . . . . . 4 Serverneuinstallation bei eigenständigen Implementierungen (umfassend). . . . . . . . . 6 Serverneuinstallation in einer Clusterimplementierung (umfassend) . . . . . . . . . . 12 Erste Schritte . . . . . . . . . . . . . . 18 Datenbankserver vorbereiten . . . . . . . 18 WebSphere Application Server vorbereiten . . . 22 IBM HTTP Server vorbereiten . . . . . . . 30 Verzeichnisserver vorbereiten . . . . . . . 36 IMS Server mit dem Installationsprogramm von IMS Server installieren. . . . . . . . . . 41 Server mit virtueller Einheit einrichten . . . . . 47 Images für virtuelle Einheit vorbereiten . . . . 50 Virtuelle Einheit in VMware ESXi implementieren 51 Virtuelle Einheit aktivieren und konfigurieren . . 52 Virtuelle Einheit für Hochverfügbarkeit replizieren . . . . . . . . . . . . . . . . 58 Eigenständigen Produktionsserver einrichten . . . 60 Eigenständige Serverprofile erstellen und auswählen . . . . . . . . . . . . . . . 61 WebSphere Application Server konfigurieren . . 64 IBM HTTP Server-Plug-in konfigurieren (eigenständig) . . . . . . . . . . . . . . 71 IMS Server für eine eigenständige Implementierung konfigurieren . . . . . . . . . . . 78 Cluster einrichten (Netzimplementierung) . . . . 85 Profile für Netzimplementierungen erstellen und auswählen . . . . . . . . . . . . . . 87 WebSphere Application Server für einen Cluster konfigurieren . . . . . . . . . . . . . 98 IBM HTTP Server-Plug-in konfigurieren (Netzimplementierung) . . . . . . . . . . . 103 IMS Server für einen Cluster konfigurieren . . 108 Anwendungsserver zu einem Cluster hinzufügen . . . . . . . . . . . . . . . . 117 Kapitel 2. AccessAgent und AccessStudio installieren . . . . . . . . . 119 AccessAgent und AccessStudio - Roadmap zur Installation . . . . . . . . . . . . . . . 119 Installationspaket für die Installation auf mehreren PCs vorbereiten . . . . . . . . . . . . Methoden für ferne Softwareverteilung . . . . Konfiguration der unbeaufsichtigten Installation Vordefinierte Wallet vorbereiten und installieren Parameter der Antwortdatei ("SetupHlp.ini") Unterstützung für zusätzliche Sprachen hinzufügen . . . . . . . . . . . . . . . AccessAgent installieren . . . . . . . . . . AccessAgent installieren . . . . . . . . . AccessAgent unbeaufsichtigt installieren (Befehlszeile) . . . . . . . . . . . . . AccessAgent mithilfe von Tivoli Endpoint Manager installieren . . . . . . . . . . . AccessAgent mithilfe des Gruppenrichtlinienobjekts installieren . . . . . . . . . . . Methoden zum Festlegen der IMS Server-Position . . . . . . . . . . . . . . . . Dateien und Registry-Einträge prüfen . . . . ESSO Network Provider prüfen . . . . . . Unterstützung für die einmalige Anmeldung in Mozilla Firefox Extended Support Release aktivieren . . . . . . . . . . . . . . . AccessStudio installieren . . . . . . . . . AccessStudio installieren (Setup.exe). . . . . AccessStudio installieren (MSI-Paket) . . . . AccessStudio unbeaufsichtigt installieren (Befehlszeile) . . . . . . . . . . . . . 120 120 121 121 122 126 127 128 129 130 130 131 132 133 133 136 136 137 138 Kapitel 3. Upgrade durchführen . . . 141 IMS Server - Roadmap zum Upgrade . . . . . Upgrade für IMS Server 8.2 in einer eigenständigen Implementierung durchführen . . . . Upgrade für IMS Server 8.2 in einer Netzimplementierung (Cluster) durchführen . . . . . Upgrade für IMS Server 8.1 in einer eigenständigen Implementierung durchführen . . . . Upgrade für IMS Server 8.1 in einer Netzimplementierung (Cluster) durchführen . . . . . Upgrade für IMS Server 8.0.1 in einer eigenständigen Implementierung durchführen . . . . Upgrade für IMS Server 8.0.1 in einer Netzimplementierung (Cluster) durchführen . . . . Upgrade für IMS Server 3.6 oder 8.0 . . . . Upgrade auf Version 8.2.1 . . . . . . . . . IMS Server für ein Upgrade mit dem Installationsprogramm installieren . . . . . . . . Upgrade für Konfigurationen von Version 8.1 oder 8.2 auf Version 8.2.1 durchführen . . . . Upgrade für Konfigurationen von Version 8.0.1 auf Version 8.2.1 durchführen . . . . . . . SSL-Zertifikat nach einem Upgrade konfigurieren . . . . . . . . . . . . . . . . Upgrade für AccessAgent . . . . . . . . Upgrade für AccessStudio durchführen. . . . 141 141 143 145 146 148 152 156 156 156 160 161 162 163 163 v Erfolgreiche Durchführung eines Upgrades prüfen . . . . . . . . . . . . . . . . 164 IMS Server 8.2.1 in neue Umgebung migrieren . . 165 Kapitel 4. Deinstallation . . . . . . . 167 Deinstallation . . . . . . . . . . . . . IMS Server deinstallieren . . . . . . . . AccessAgent deinstallieren . . . . . . . . AccessStudio deinstallieren . . . . . . . . IMS Server erneut installieren oder rekonfigurieren IMS Server-Konfiguration in WebSphere Application Server bereinigen . . . . . . . . . Kapitel 5. Arbeitsblatt für die Planung 167 167 169 170 171 172 175 Kapitel 6. Datenbankschemas erstellen . . . . . . . . . . . . . . . . 187 Benutzer manuell erstellen . . . . . . . . . 188 Kapitel 7. Sonstige Installations- und Konfigurationstasks . . . . . . . . 191 IMS Server zur Verwendung von Verzeichnisservern konfigurieren . . . . . . . . . . . IMS Server für die Verwendung von Active Directory-Servern konfigurieren . . . . . . . IMS Server für die Verwendung von LDAP-Servern konfigurieren . . . . . . . . . . Anderen generischen LDAP-Verzeichnisserver als Tivoli Directory Server konfigurieren . . . Sichern und wiederherstellen . . . . . . . . WebSphere Application Server-Profile sichern (Befehl manageprofiles) . . . . . . . . . IMS Server-Konfiguration sichern (Export Configuration Utility) . . . . . . . . . . . Datenbank in DB2 9.7 sichern . . . . . . . Datenbank in DB2 10.1 sichern . . . . . . WebSphere Application Server-Profile wiederherstellen. . . . . . . . . . . . . . Datenbank in DB2 wiederherstellen . . . . . Komponenten stoppen und starten . . . . . . IBM HTTP Server unter Windows stoppen und starten. . . . . . . . . . . . . . . WebSphere Application Server unter Windows starten. . . . . . . . . . . . . . . WebSphere Application Server unter Windows stoppen . . . . . . . . . . . . . . IMS Server-Anwendungen stoppen und starten IMS Server manuell in WebSphere Application Server implementieren . . . . . . . . . . . Anwendungssicherheit in WebSphere Application Server aktivieren. . . . . . . . . . Ressourcenadapter Native Library Invoker installieren . . . . . . . . . . . . . . Umgebung für das Befehlszeilentool einrichten vi 191 EAR-Dateien von IMS Server manuell installieren . . . . . . . . . . . . . . . . EAR-Dateien von IMS Server installieren (Befehlszeile) . . . . . . . . . . . . . Knoten resynchronisieren . . . . . . . . Web-Server-Plug-in für WebSphere Application Server manuell installieren . . . . . . . . . . Datenbank in SQL Server manuell erstellen . . . Grundlegende Befehle für die Verwaltung von WebSphere Application Server-Profilen . . . . . Methoden zum Auflösen von Hosts und IP-Adressen . . . . . . . . . . . . . . . . . SSL-Zertifikat für IBM HTTP Server erneuern . . IMS-Stammzertifizierungsstelle dem Truststore hinzufügen . . . . . . . . . . . . . . . SSL-Zertifikat des Verzeichnisservers zu WebSphere Application Server hinzufügen . . . . . . . Name und Kennwort des IBM HTTP Server-Administrators abrufen . . . . . . . . . . . . Anwendung TAM E-SSO IMS in WebSphere Application Server deinstallieren . . . . . . . . . Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig aus WebSphere Application Server deinstallieren . . . . . . . . . . . . 215 216 217 217 219 220 221 222 223 224 225 226 226 192 Bemerkungen . . . . . . . . . . . 227 197 Glossar . . . . . . . . . . . . . . 231 200 200 201 202 202 203 204 205 205 206 208 210 212 212 A B C D E F G H I. J. K L M N O P R S T U V W Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 232 233 233 234 234 235 235 236 236 236 236 236 237 237 237 237 238 239 240 240 241 242 213 214 215 Index . . . . . . . . . . . . . . . 243 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Zu diesem Handbuch Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On - Installation finden Sie detaillierte Verfahren zur Installation, zum Upgrade oder zur Deinstallation von IBM® Security Access Manager for Enterprise Single Sign-On. Zugriff auf Veröffentlichungen und Terminologie Dieser Abschnitt enthält folgende Informationen: v Eine Liste der in „Bibliothek von IBM Security Access Manager for Enterprise Single Sign-On” aufgeführten Veröffentlichungen. v Links auf „Onlineveröffentlichungen” auf Seite x. v Einen Link zur „Website "IBM Terminology"” auf Seite x. Bibliothek von IBM Security Access Manager for Enterprise Single Sign-On In der Bibliothek von IBM Security Access Manager for Enterprise Single Sign-On sind die folgenden Dokumente verfügbar: v IBM Security Access Manager for Enterprise Single Sign-On - Leitfaden für den Schnelleinstieg, CF3T3ML Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On - Leitfaden für den Schnelleinstieg finden Sie einen Schnelleinstieg zu den wichtigsten Installations- und Konfigurationstasks, die ausgeführt werden müssen, um IBM Security Access Manager for Enterprise Single Sign-On zu implementieren und verwenden zu können. v IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide, IBM Form SC23-9952-06 Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide enthält Informationen zur Planung der Implementierung und Vorbereitung Ihrer Umgebung. Es bietet eine Übersicht über die Produktmerkmale und -komponenten, die erforderlichen Installations- und Konfigurationsschritte sowie die verschiedenen Implementierungsszenarios. Darüber hinaus wird darin auch beschrieben, wie Hochverfügbarkeit und Notfallwiederherstellung erreicht werden. Lesen Sie dieses Handbuch vor der Ausführung von Installations- und Konfigurationstasks. v IBM Security Access Manager for Enterprise Single Sign-On - Installation, IBM Form GI11-3236-04 Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On - Installation finden Sie detaillierte Verfahren zur Installation, zum Upgrade oder zur Deinstallation von IBM Security Access Manager for Enterprise Single Sign-On. Dieses Handbuch bietet Unterstützung bei der Installation der verschiedenen Produktkomponenten und der zugehörigen erforderlichen Middleware. Es beinhaltet außerdem die für die Produktimplementierung erforderlichen Erstkonfigurationen. Darin werden Prozeduren für die Verwendung der virtuellen Einheit und von WebSphere Application Server Base-Editionen sowie die Netzimplementierung beschrieben. vii v IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide, IBM Form GC23-9692-04 Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide finden Sie Informationen zur Konfiguration der IMS Server-Einstellungen, zur Benutzerschnittstelle für AccessAgent und deren Verhalten. v IBM Security Access Manager for Enterprise Single Sign-On - Administratorhandbuch, IBM Form SC43-0530-05 Dieses Handbuch ist für Administratoren vorgesehen. Es deckt die verschiedenen Administratorentasks ab. Das IBM Security Access Manager for Enterprise Single Sign-On - Administratorhandbuch enthält Prozeduren für die Erstellung und Zuordnung von Richtlinienschablonen, die Bearbeitung von Richtlinienwerten, die Generierung von Protokollen und Berichten sowie die Sicherung von IMS Server und der zugehörigen Datenbank. Verwenden Sie dieses Handbuch zusammen mit dem Dokument "IBM Security Access Manager for Enterprise Single Sign-On Policies Definition Guide". v IBM Security Access Manager for Enterprise Single Sign-On Policies Definition Guide, IBM Form SC23-9694-04 Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Policies Definition Guide enthält detaillierte Beschreibungen der verschiedenen Benutzer-, Maschinen- und Systemrichtlinien, die von Administratoren in AccessAdmin konfiguriert werden können. Verwenden Sie dieses Handbuch zusammen mit dem Dokument "IBM Security Access Manager for Enterprise Single Sign-On Administratorhandbuch". v IBM Security Access Manager for Enterprise Single Sign-On Help Desk Guide, IBM Form SC23-9953-04 Dieses Handbuch ist für Help-Desk-Beauftragte vorgesehen. Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Help Desk Guide werden Informationen für Help-Desk-Beauftragte zur Verwaltung von Abfragen und Anforderungen von Benutzern bereitgestellt, die sich in der Regel mit deren Authentifizierungsfaktoren befassen. Verwenden Sie dieses Handbuch zusammen mit dem Dokument "IBM Security Access Manager for Enterprise Single Sign-On Policies Definition Guide". v IBM Security Access Manager for Enterprise Single Sign-On - Benutzerhandbuch, IBM Form SC12-4979-05 Dieses Handbuch ist für Benutzer vorgesehen. Das IBM Security Access Manager for Enterprise Single Sign-On - Benutzerhandbuch enthält Anweisungen für die Verwendung von AccessAgent und Web Workplace. v IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide, IBM Form GC23-9693-03 Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide finden Sie Informationen zu Problemen, die bei der Installation, beim Upgrade und der Nutzung des Produkts auftreten können. Dieses Handbuch deckt die bekannten Probleme und Einschränkungen des Produkts ab. Es bietet Unterstützung beim Ermitteln der Symptome und der Fehlerumgehung für das jeweilige Problem. Darüber hinaus werden darin auch Informationen zu Fixes, Wissensbasen und Unterstützung angegeben. v IBM Security Access Manager for Enterprise Single Sign-On Error Message Reference Guide, IBM Form GC14-7624-02 Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Error Message Reference Guide werden alle Warnungen sowie Informations- und Fehlernachrichten in IBM Security Access Manager for Enterprise Single Sign-On beschrieben. viii IBM® Security Access Manager for Enterprise Single Sign-On: Installation v IBM Security Access Manager for Enterprise Single Sign-On AccessStudio Guide, IBM Form SC23-9956-05 Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On AccessStudio Guide enthält Informationen zur Erstellung und Verwendung von AccessProfiles. Dieses Handbuch enthält Prozeduren für die Erstellung und Bearbeitung standardmäßiger und erweiterter AccessProfiles für unterschiedliche Anwendungstypen. Darüber hinaus umfasst es auch Informationen zur Verwaltung von Authentifizierungsservices und Anwendungsobjekten sowie Informationen zu anderen Funktionen und Features von AccessStudio. v IBM Security Access Manager for Enterprise Single Sign-On - AccessProfile-Widgets, IBM Form SC12-4782-01 Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On - AccessProfile-Widgets enthält Informationen zur Erstellung und Verwendung von Widgets. v IBM Security Access Manager for Enterprise Single Sign-On Tivoli Endpoint Manager Integration Guide, IBM Form SC27-5620-00 Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Tivoli Endpoint Manager Integration Guide enthält Informationen darüber, wie Fixlets für die Installation, das Upgrade oder die Verwaltung der Programmkorrekturen für AccessAgent erstellt und implementiert werden. Es enthält außerdem Themen zur Verwendung und Anpassung des Dashboards, mit dem Informationen zur Implementierung von AccessAgent an den Endpunkten angezeigt werden können. v IBM Security Access Manager for Enterprise Single Sign-On Provisioning Integration Guide, IBM Form SC23-9957-04 Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Provisioning Integration Guide enthält Informationen zu den unterschiedlichen Java™- und SOAP-APIs für die Einrichtung. Darüber hinaus enthält es auch Prozeduren für die Installation und Konfiguration des Einrichtungsagenten. v IBM Security Access Manager for Enterprise Single Sign-On Web API for Credential Management Guide, IBM Form SC14-7646-01 Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Web API for Credential Management Guide enthält Informationen zur Installation und Konfiguration der Web-API für das Berechtigungsnachweismanagement. v IBM Security Access Manager for Enterprise Single Sign-On Serial ID SPI Guide, IBM Form SC14-7626-01 Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Serial ID SPI Guide wird beschrieben, wie Geräte mit Seriennummern eingebunden und als zweiter Authentifizierungsfaktor für AccessAgent verwendet werden können. v IBM Security Access Manager for Enterprise Single Sign-On Epic Integration Guide, IBM Form SC27-5623-00 Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Epic Integration Guide enthält Informationen über die Integration von IBM Security Access Manager for Enterprise Single Sign-On und Epic einschließlich der Informationen zu den unterstützten Workflows und Konfigurationen sowie zur Implementierung. v IBM Security Access Manager for Enterprise Single Sign-On Context Management Integration Guide, IBM Form SC23-9954-04 Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Context Management Integration Guide enthält Informationen zum Installieren, Konfigurieren und Testen der integrierten Kontextmanagementlösung auf den einzelnen Client-Workstations. Zu diesem Handbuch ix v IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Mobile Guide, IBM Form SC27-5621-01 Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Mobile Guide enthält Informationen zur Implementierung und Verwendung der einmaligen Anmeldung bei mobilen Endgeräten. v IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Virtual Desktop Infrastructure Guide, IBM Form SC27-5622-01 Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Virtual Desktop Infrastructure Guide enthält Informationen zur Einrichtung der Unterstützung für die einmalige Anmeldung in VDI (Virtual Desktop Infrastructure) und zu den unterschiedlichen Benutzerworkflows für den Zugriff auf das virtuelle Desktop. v IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Terminal Server and Citrix Server Guide, IBM Form SC27-5668-01 Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Terminal Server and Citrix Server Guide enthält Informationen zu den erforderlichen Konfigurationen und unterstützten Workflows auf den Terminalund Citrix-Servern. Onlineveröffentlichungen IBM stellt Veröffentlichungen zu Produkten bereit, wenn neue Produkte freigegeben werden und wenn die zugehörigen Veröffentlichungen aktualisiert werden. Die Veröffentlichungen werden auf den folgenden Websites zur Verfügung gestellt: Bibliothek von IBM Security Access Manager for Enterprise Single Sign-On Die Website für die Produktdokumentation (http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.itamesso.doc_8.2.1/kchomepage.html) zeigt die Begrüßungsseite und die Navigation für die Bibliothek an. IBM Security Systems Documentation Central Die Website IBM Security Systems Documentation Central enthält eine alphabetische Liste aller Produktbibliotheken von IBM Security Systems sowie Links zur versionsspezifischen Onlinedokumentation jedes Produkts. IBM Publications Center Im IBM Publications Center werden angepasste Suchfunktionen zur Verfügung gestellt, mit deren Hilfe Sie alle benötigten IBM Veröffentlichungen suchen können. Website "IBM Terminology" Die Website "IBM Terminology" bietet Ihnen eine zentrale Zugriffsmöglichkeit auf die Terminologie der Produktbibliotheken. Unter folgender Adresse können Sie auf diese Terminologiewebsite zugreifen: http://www.ibm.com/software/ globalization/terminology. x IBM® Security Access Manager for Enterprise Single Sign-On: Installation Behindertengerechte Bedienung Funktionen zur behindertengerechten Bedienung unterstützen Benutzer mit Körperbehinderung, wie eingeschränkter Beweglichkeit oder einer Sehbehinderung, bei der erfolgreichen Verwendung von Softwareprodukten. Bei diesem Produkt können Sie Technologien für die behindertengerechte Bedienung nutzen, um mithilfe akustischer Signale in der Schnittstelle zu navigieren. Außerdem können Sie alle Funktionen der grafischen Benutzerschnittstelle mit der Tastatur anstelle der Maus bedienen. Zusätzliche Informationen enthält der Abschnitt "Accessibility features" im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Technische Schulung Informationen zu technischen Schulungen finden Sie auf der folgenden IBM Schulungswebsite unter der Adresse http://www.ibm.com/software/tivoli/education. Informationen zur Unterstützung IBM Support bietet Ihnen Unterstützung bei codebezogenen Problemen und Routinen sowie bei kurzfristigen Fragen zur Installation und Nutzung. Unter der Adresse http://www.ibm.com/software/support/probsub.html können Sie direkt auf die Website von IBM Software Support zugreifen. Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide finden Sie ausführliche Informationen zu folgenden Themen: v Vor der Kontaktaufnahme zum IBM Support zu erfassende Informationen. v Verschiedene Vorgehensweisen zur Kontaktaufnahme mit dem IBM Support. v Vorgehensweise zur Verwendung von IBM Support Assistant. v Anweisungen und Informationsquellen zur Problembestimmung, die zur eigenständigen Isolierung und Behebung von Fehlern eingesetzt werden können. Anmerkung: Auf der Registerkarte Community and Support im Information Center des Produkts finden Sie weitere Unterstützungsressourcen. Zu diesem Handbuch xi Erklärung zu geeigneten Sicherheitsvorkehrungen Zur Sicherheit von IT-Systemen gehört der Schutz von Systemen und Informationen in Form von Vorbeugung, Erkennung und Reaktion auf unbefugten Zugriff innerhalb des Unternehmens und von außen. Unbefugter Zugriff kann dazu führen, dass Informationen geändert, gelöscht, veruntreut oder missbräuchlich verwendet werden. Ebenso können Ihre Systeme beschädigt oder missbräuchlich verwendet werden, einschließlich zum Zweck von Attacken. Kein IT-System oder Produkt kann umfassend als sicher betrachtet werden. Kein einzelnes Produkt, kein einzelner Service und keine einzelne Sicherheitsmaßnahme können eine unbefugte Verwendung oder einen unbefugten Zugriff mit vollständiger Wirksamkeit verhindern. IBM Systeme, Produkte und Services werden als Teil eines umfassenden Sicherheitskonzepts entwickelt, sodass die Einbeziehung zusätzlicher Betriebsprozesse erforderlich ist. IBM übernimmt keine Gewähr dafür, dass Systeme, Produkte oder Services vor zerstörerischen oder unzulässigen Handlungen Dritter geschützt sind oder dass Systeme, Produkte oder Services Ihr Unternehmen vor zerstörerischen oder unzulässigen Handlungen Dritter schützen. xii IBM® Security Access Manager for Enterprise Single Sign-On: Installation Kapitel 1. IMS Server installieren Die Installation von IMS Server für IBM Security Access Manager for Enterprise Single Sign-On hängt vom Typ der Serverimplementierung, der verfügbaren Middleware und den Anforderungen an die Verfügbarkeit ab. IMS Server - Installationsroadmap Sie können IMS Server für eine Neuinstallation installieren oder ein Upgrade für einen bestehenden Server von einer früheren Version des Produkts durchführen. Sie können den Server als virtuelle Einheit, als eigenständigen Server oder in einer Clusterumgebung implementieren. Anmerkung: Wenn Sie ein Upgrade von einer früheren Version von IMS Server durchführen wollen, lesen Sie die Informationen in „IMS Server - Roadmap zum Upgrade” auf Seite 141. Vorbereitungen Führen Sie vor der Installation des Servers folgenden Tasks aus: 1. Planen und bereiten Sie die Implementierung vor. Ermitteln Sie die Voraussetzungen, Implementierungsszenarios, Accounts und Sicherheitsanforderungen. Informationen dazu finden Sie unter „Planning for deployment” im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. 2. Stellen Sie sicher, dass Sie über die Administratorberechtigungen für die Ausführung der Installation verfügen. 3. Nutzen Sie die folgenden Roadmaps, um die geeignetste Vorgehensweise für die Installation des Servers in Ihrer Umgebung zu ermitteln: v „Serverinstallation unter Verwendung einer virtuellen Einheit” auf Seite 2 v „Serverinstallation bei Wiederverwendung bestehender Middleware” auf Seite 4 v „Serverneuinstallation bei eigenständigen Implementierungen (umfassend)” auf Seite 6 v „Serverneuinstallation in einer Clusterimplementierung (umfassend)” auf Seite 12 1 Serverinstallation unter Verwendung einer virtuellen Einheit Verwenden Sie die Roadmap als Referenz für die Implementierung einer virtuellen Einheit von IMS Server. Prozedur 1 Referenz Bereiten Sie den Datenbankserver vor. Fol- v Informationen zu den unterstützten gende Aktionen sind möglich: Datenbankservern und Versionen: Abv Sie können einen neuen schnitt „Hardware and software Datenbankserver installieren oder einen requirements” im Dokument IBM bestehenden Datenbankserver nutzen. Security Access Manager for Enterprise Single Sign-On Planning and Deployment v Sie können eine Datenbank von IBM Guide. DB2, Microsoft SQL Server oder Oracle Database verwenden. v „Datenbankserver vorbereiten” auf Seite 18. Dokumentation für IBM DB2 Version 9.7 v http://publib.boulder.ibm.com/ infocenter/db2luw/v9/ index.jsp?topic=/com.ibm.db2.udb.doc/ welcome.htm Dokumentation für IBM DB2 Version 10.1 v http://pic.dhe.ibm.com/infocenter/ db2luw/v10r1/index.jsp Dokumentation für Microsoft SQL Server: v Rufen Sie die Website von Microsoft unter der Adresse http:// www.microsoft.com auf und suchen Sie dort die Dokumentation für Ihr Produkt. Dokumentation für Oracle Database: v Rufen Sie die Website von Oracle unter der Adresse http://www.oracle.com auf und suchen Sie dort die Dokumentation für Ihr Produkt. Anmerkung: Dieses Handbuch enthält Informationen für die Konfiguration von Datenbanken für IMS Server. Die ausführlichen und aktuellen Installationsanweisungen finden Sie in der Produktdokumentation der verwendeten Datenbank. 2 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Prozedur 2 Referenz Bereiten Sie den Verzeichnisserver vor. Folgende Aktionen sind möglich: v Informationen zu den unterstützten Verzeichnisservern und Versionen: Abv Sie können einen neuen schnitt „Hardware and software Verzeichnisserver installieren oder einen requirements” im Dokument IBM bestehenden Verzeichnisserver nutzen. Security Access Manager for Enterprise Single Sign-On Planning and Deployment v Sie können einen Active Directory- oder Guide. einen LDAP-Server verwenden. v „Verzeichnisserver vorbereiten” auf Seite 36 v Informationen zur Active Directory-Installation finden Sie unter der Adresse http://technet.microsoft.com/en-us/ library/cc758107(v=WS.10).aspx. Anmerkung: Dieses Handbuch enthält Anweisungen zur Konfiguration von Verzeichnisservern. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Produktdokumentation des verwendeten Verzeichnisservers. 3 Implementieren Sie die virtuelle Einheit in „Virtuelle Einheit in VMware ESXi VMware ESXi. implementieren” auf Seite 51 4 Aktivieren und konfigurieren Sie die virtu- „Virtuelle Einheit aktivieren und elle Einheit. konfigurieren” auf Seite 52 5 Wenn für Ihre Verzeichnisserververbindungen SSL zum Einsatz kommt, fügen Sie die Verzeichnisserverzertifikate zu WebSphere Application Server hinzu. „SSL-Zertifikat des Verzeichnisservers zu WebSphere Application Server hinzufügen” auf Seite 224 6 Richten Sie den IMS Server-Administrator ein. „IMS Server-Administrator einrichten” auf Seite 82 7 Prüfen Sie die Konfiguration von IMS Ser- „Konfiguration von IMS Server prüfen” ver. auf Seite 84 Kapitel 1. IMS Server installieren 3 Serverinstallation bei Wiederverwendung bestehender Middleware Wenn Sie über eine bereits bestehende Installation mit der erforderlichen Middleware verfügen, können Sie diese wiederverwenden. Prozedur Referenz 1 Prüfen Sie die Middlewarevoraussetzungen, um Informationen dazu enthält der Abschnitt „Hardware and software requirements” im sicherzustellen, dass die bestehende Handbuch IBM Security Access Manager for Middleware die Voraussetzungen erfüllt. Enterprise Single Sign-On Planning and Bei bereits vorhandenen Implementierungen Deployment Guide. von WebSphere Application Server 7.0 müssen „IBM WebSphere Application Server Feature Sie WebSphere Web 2.0 and Mobile Feature Pack for Web 2.0 and Mobile installieren” auf Pack installieren, wenn dieses Feature-Pack Seite 30 nicht bereits installiert ist. 2 Konfigurieren Sie WebSphere Application Server. Bei eigenständigen Implementierungen: v „Eigenständige Serverprofile erstellen und auswählen” auf Seite 61 v „WebSphere Application Server konfigurieren” auf Seite 64 Bei Netzimplementierungen: v „Profile für Netzimplementierungen erstellen und auswählen” auf Seite 87 v „WebSphere Application Server für einen Cluster konfigurieren” auf Seite 98 Beispielanweisungen finden Sie in den folgenden Abschnitten: v „Größe des Heapspeichers für den Anwendungsserver konfigurieren” auf Seite 65 v „Windows-Dienst für WebSphere Application Server prüfen” auf Seite 66 v „Stammzertifizierungsstelle für WebSphere Application Server 7.0 erneut erstellen (eigenständig)” auf Seite 66 WebSphere Application Server Version 7.0-Dokumentation v http://publib.boulder.ibm.com/infocenter/ wasinfo/v7r0/index.jsp WebSphere Application Server Version 8.5-Dokumentation v http://publib.boulder.ibm.com/infocenter/ wasinfo/v8r5/index.jsp 3 Wenn für Ihre Verzeichnisserververbindungen SSL zum Einsatz kommt, fügen Sie die Verzeichnisserverzertifikate zu WebSphere Application Server hinzu. „SSL-Zertifikat des Verzeichnisservers zu WebSphere Application Server hinzufügen” auf Seite 224 4 Konfigurieren Sie IBM HTTP Server. v „IBM HTTP Server-Plug-in konfigurieren (eigenständig)” auf Seite 71 v „IBM HTTP Server-Plug-in konfigurieren (Netzimplementierung)” auf Seite 103 4 5 Implementieren Sie die IMS Server-Anwendungen in WebSphere Application Server. „IMS Server mit dem Installationsprogramm von IMS Server installieren” auf Seite 41 6 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server. „Implementierung von IMS Server in WebSphere Application Server überprüfen” auf Seite 44 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Prozedur Referenz 7 Nur für WebSphere Application Server Version 8.5: Konfigurieren Sie die IMS Server-Implementierung mit der Sun Reference Implementation 1.2-Implementierung. „JSF-Implementierung konfigurieren” auf Seite 45 8 Nur für WebSphere Application Server Version 7.0: Fügen Sie die gemeinsam genutzte JAX-RSBibliothek hinzu. „Gemeinsam genutzte JAX-RS-Bibliothek hinzufügen” auf Seite 46 9 Konfigurieren Sie IMS Server. v „IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten konfigurieren (eigenständig)” auf Seite 78 v „IMS Server zur Verwendung von Verzeichnisservern konfigurieren” auf Seite 191 v (Netzimplementierung) „Sitzungsmanagement für ISAMESSOIMS außer Kraft setzen” auf Seite 115 10 Richten Sie den IMS Server-Administrator ein. „IMS Server-Administrator einrichten” auf Seite 82 11 Aktualisieren Sie die Modulzuordnung für ISAMESSOIMS, um Verbindungsanforderungen weiterzuleiten. „Modulzuordnung für ISAMESSOIMS für die Weiterleitung von Verbindungsanforderungen aktualisieren” auf Seite 83 12 Prüfen Sie die Konfiguration von IMS Server. „Konfiguration von IMS Server prüfen” auf Seite 84 Kapitel 1. IMS Server installieren 5 Serverneuinstallation bei eigenständigen Implementierungen (umfassend) Verwenden Sie diese Roadmap als Referenz für die Installation eines eigenständigen Servers. 1 Prozedur Referenz Bereiten Sie den Datenbankserver vor. Folgende Aktionen sind möglich: Informationen zu den unterstützten Datenbankservern und Versionen: Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single SignOn Planning and Deployment Guide. v Sie können einen neuen Datenbankserver installieren oder einen bestehenden Datenbankserver nutzen. v Sie können eine Datenbank von IBM DB2, Microsoft SQL Server oder Oracle Database verwenden. Beispielanweisungen finden Sie in den folgenden Abschnitten: v „Datenbankserver vorbereiten” auf Seite 18 Dokumentation für IBM DB2 Version 9.7 v http://publib.boulder.ibm.com/ infocenter/db2luw/v9/ index.jsp?topic=/com.ibm.db2.udb.doc/ welcome.htm Dokumentation für IBM DB2 Version 10.1 v http://pic.dhe.ibm.com/infocenter/ db2luw/v10r1/index.jsp Dokumentation für Microsoft SQL Server: v Rufen Sie die Website von Microsoft unter der Adresse http:// www.microsoft.com auf und suchen Sie dort die Dokumentation für Ihr Produkt. Dokumentation für Oracle Database: v Rufen Sie die Website von Oracle unter der Adresse http://www.oracle.com auf und suchen Sie dort die Dokumentation für Ihr Produkt. Anmerkung: Dieses Handbuch enthält Informationen für die Konfiguration von Datenbanken für IMS Server. Die ausführlichen und aktuellen Installationsanweisungen finden Sie in der Produktdokumentation der verwendeten Datenbank. 6 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Prozedur 2 Referenz Bereiten Sie den Verzeichnisserver vor. Fol- Informationen zu den unterstützten Verzeichnisservern und Versionen: Abgende Aktionen sind möglich: schnitt „Hardware and software v Sie können einen neuen Verzeichnisserver installieren oder einen requirements” im Dokument IBM Security Access Manager for Enterprise Single Signbestehenden Verzeichnisserver nutzen. On Planning and Deployment Guide. v Sie können einen einzigen oder mehrere Verzeichnisserver verwenden. Beispielanweisungen finden Sie in den folgenden Abschnitten: v „Verzeichnisserver vorbereiten” auf Seite 36 Dokumentation für Microsoft Active Directory: v Rufen Sie die Website von Microsoft unter der Adresse http:// www.microsoft.com auf und suchen Sie dort die Dokumentation für Ihr Produkt. Anmerkung: Dieses Handbuch enthält Anweisungen zur Konfiguration von Verzeichnisservern. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Produktdokumentation des verwendeten Verzeichnisservers. Kapitel 1. IMS Server installieren 7 3 Prozedur Referenz Bereiten Sie WebSphere Application Server vor. Informationen zu den unterstützten Versionen von WebSphere Application Server: Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single SignOn Planning and Deployment Guide. Für WebSphere Application Server Version 7.0: v Installieren Sie WebSphere Application Server. v Installieren Sie WebSphere Update Installer. v Installieren Sie das WebSphere Application Server-Fixpack. v Installieren Sie WebSphere Application Server 7.0 Feature Pack for Web 2.0 and Mobile. Für WebSphere Application Server Version 8.5: v Installieren Sie IBM Installation Manager. v Installieren Sie WebSphere Application Server mit Fixpack 2. Beispielanweisungen finden Sie in den folgenden Abschnitten: v „WebSphere Application Server Version 7.0 installieren” auf Seite 26 v „WebSphere Update Installer installieren” auf Seite 27 v „WebSphere Application Server Version 7.0-Fixpacks installieren” auf Seite 28 v „IBM WebSphere Application Server Feature Pack for Web 2.0 and Mobile installieren” auf Seite 30 v „IBM Installation Manager installieren” auf Seite 23 v „WebSphere Application Server Version 8.5 installieren” auf Seite 24 WebSphere Application Server Version 7.0-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/index.jsp WebSphere Application Server Version 8.5-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v8r5/index.jsp Anmerkung: Dieses Handbuch enthält Anweisungen zur Vorbereitung von WebSphere Application Server für IMS Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für WebSphere Application Server. 8 IBM® Security Access Manager for Enterprise Single Sign-On: Installation 4 Prozedur Referenz Bereiten Sie IBM HTTP Server vor: Informationen zu den unterstützten Versionen von IBM HTTP Server: Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Für IBM HTTP Server Version 7.0: v Installieren Sie IBM HTTP Server. v Installieren Sie das IBM HTTP ServerFixpack unter Verwendung von WebSphere Application Server Update Installer. Für IBM HTTP Server Version 8.5: v Installieren Sie IBM HTTP Server mit Fixpack 2 über IBM Installation Manager. Beispielanweisungen finden Sie in den folgenden Abschnitten: v „IBM HTTP Server Version 7.0 installieren” auf Seite 32 v „IBM HTTP Server Version 7.0-Fixpacks installieren” auf Seite 34 v „IBM HTTP Server Version 8.5 installieren” auf Seite 30 IBM HTTP Server Version 7.0-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/ index.jsp?topic=/ com.ibm.websphere.ihs.doc/info/ihs/ ihs/tihs_installihs.html IBM HTTP Server Version 8.5-Dokumentation v http://pic.dhe.ibm.com/infocenter/ wasinfo/v8r5/topic/ com.ibm.websphere.ihs.doc/ihs/ tihs_installihs.html Anmerkung: Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM HTTP Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für IBM HTTP Server. 5 Erstellen Sie ein eigenständiges WebSphere „Eigenständige Serverprofile erstellen und auswählen” auf Seite 61 Application Server-Profil. Wichtig: Für WebSphere Application Server Version 8.5 darf der Profilverzeichnispfad keine Leerzeichen enthalten. Kapitel 1. IMS Server installieren 9 6 Prozedur Referenz Konfigurieren Sie WebSphere Application Server. Diese Tasks schützen die Implementierung und optimieren die Leistung der JVM (Java Virtual Machine). Beispielanweisungen finden Sie in den folgenden Abschnitten: v Konfigurieren Sie die Größe des JavaHeapspeichers. v Prüfen Sie den Windows-Dienst für WebSphere Application Server. v Optional: Erstellen Sie die 1024-BitStammzertifizierungsstelle erneut, wenn für Ihre Implementierung die größere Schlüsselgröße von 2048 Bit erforderlich ist. v „Größe des Heapspeichers für den Anwendungsserver konfigurieren” auf Seite 65 v „Windows-Dienst für WebSphere Application Server prüfen” auf Seite 66 v „Stammzertifizierungsstelle für WebSphere Application Server 7.0 erneut erstellen (eigenständig)” auf Seite 66 WebSphere Application Server Version 7.0-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/index.jsp WebSphere Application Server Version 8.5-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v8r5/index.jsp 7 Wenn für Ihre Verzeichnisserververbindungen SSL zum Einsatz kommt, fügen Sie die Verzeichnisserverzertifikate zu WebSphere Application Server hinzu. 8 Konfigurieren Sie IBM HTTP Server: „SSL-Zertifikat des Verzeichnisservers zu WebSphere Application Server hinzufügen” auf Seite 224 Beispielanweisungen finden Sie in den v Konfigurieren Sie das IBM HTTP Server- folgenden Abschnitten: v „IBM HTTP Server-Plug-in konfiguriePlug-in und schützen Sie die Verbinren (eigenständig)” auf Seite 71 dung. v Aktivieren Sie SSL-Direktiven in IBM HTTP Server. v „SSL-Direktiven in IBM HTTP Server aktivieren” auf Seite 74 v Optional: Erstellen Sie das SSL-Zertifikat v „Schlüsselgröße für das SSL-Zertifikat für IBM HTTP Server erhöhen” auf Seifür IBM HTTP Server erneut. te 76 IBM HTTP Server Version 7.0-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/ index.jsp?topic=/ com.ibm.websphere.ihs.doc/info/ihs/ ihs/tihs_installihs.html IBM HTTP Server Version 8.5-Dokumentation v http://pic.dhe.ibm.com/infocenter/ wasinfo/v8r5/topic/ com.ibm.websphere.ihs.doc/ihs/ tihs_installihs.html Anmerkung: Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM HTTP Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für IBM HTTP Server. 10 IBM® Security Access Manager for Enterprise Single Sign-On: Installation 9 Prozedur Referenz Installieren Sie IMS Server in WebSphere Application Server. „IMS Server mit dem Installationsprogramm von IMS Server installieren” auf Seite 41 10 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server. „Implementierung von IMS Server in WebSphere Application Server überprüfen” auf Seite 44 11 Nur für WebSphere Application Server Version 7.0: Fügen Sie die gemeinsam genutzte JAX-RS-Bibliothek hinzu. „Gemeinsam genutzte JAX-RS-Bibliothek hinzufügen” auf Seite 46 12 Nur für WebSphere Application Server „JSF-Implementierung konfigurieren” auf Version 8.5: Konfigurieren Sie die IMS Ser- Seite 45 ver-Implementierung mit der Sun Reference Implementation 1.2-Implementierung. 13 Konfigurieren Sie IMS Server. v „IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten konfigurieren (eigenständig)” auf Seite 78 v „IMS Server zur Verwendung von Verzeichnisservern konfigurieren” auf Seite 191 14 Richten Sie den IMS Server-Administrator ein. „IMS Server-Administrator einrichten” auf Seite 82 15 Aktualisieren Sie die Modulzuordnung für ISAMESSOIMS, um Verbindungsanforderungen weiterzuleiten. „Modulzuordnung für ISAMESSOIMS für die Weiterleitung von Verbindungsanforderungen aktualisieren” auf Seite 83 16 Prüfen Sie die Konfiguration von IMS Server. „Konfiguration von IMS Server prüfen” auf Seite 84 Kapitel 1. IMS Server installieren 11 Serverneuinstallation in einer Clusterimplementierung (umfassend) Verwenden Sie die Roadmap als Referenz für die Installation des Servers in einer Clusterumgebung. Prozedur 1 Referenz Bereiten Sie den Datenbankserver vor. Fol- Informationen zu den unterstützten Datenbankservern und Versionen: Abgende Aktionen sind möglich: schnitt „Hardware and software v Sie können einen neuen Datenbankserver installieren oder einen requirements” im Dokument IBM Security Access Manager for Enterprise Single Signbestehenden Datenbankserver nutzen. On Planning and Deployment Guide. v Sie können eine Datenbank von IBM DB2, Microsoft SQL Server oder Oracle Beispielanweisungen finden Sie in den folDatabase verwenden. genden Abschnitten: v „Datenbankserver vorbereiten” auf Seite 18 Dokumentation für IBM DB2 Version 9.7 v http://publib.boulder.ibm.com/ infocenter/db2luw/v9/ index.jsp?topic=/com.ibm.db2.udb.doc/ welcome.htm Dokumentation für IBM DB2 Version 10.1 v http://pic.dhe.ibm.com/infocenter/ db2luw/v10r1/index.jsp Dokumentation für Microsoft SQL Server: v Rufen Sie die Website von Microsoft unter der Adresse http:// www.microsoft.com auf und suchen Sie dort die Dokumentation für Ihr Produkt. Dokumentation für Oracle Database: v Rufen Sie die Website von Oracle unter der Adresse http://www.oracle.com auf und suchen Sie dort die Dokumentation für Ihr Produkt. Anmerkung: Dieses Handbuch enthält Informationen für die Konfiguration von Datenbanken für IMS Server. Die ausführlichen und aktuellen Installationsanweisungen finden Sie in der Produktdokumentation der verwendeten Datenbank. 12 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Prozedur 2 Referenz Informationen zu den unterstützten Verzeichnisservern und Versionen: Abschnitt „Hardware and software v Sie können einen neuen Verzeichnisserver installieren oder einen requirements” im Dokument IBM Security Access Manager for Enterprise Single Signbestehenden Verzeichnisserver nutzen. On Planning and Deployment Guide. v Sie können einen einzigen oder mehrere Verzeichnisserver verwenden. Beispielanweisungen finden Sie in den folBereiten Sie den Verzeichnisserver vor. Folgende Aktionen sind möglich: genden Abschnitten: v „Verzeichnisserver vorbereiten” auf Seite 36 Dokumentation für Microsoft Active Directory: v http://technet.microsoft.com/en-us/ library/cc758107(v=WS.10).aspx Anmerkung: Dieses Handbuch enthält Anweisungen zur Konfiguration von Verzeichnisservern. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Produktdokumentation des verwendeten Verzeichnisservers. Kapitel 1. IMS Server installieren 13 Prozedur 3 Referenz Informationen zu den unterstützten Versionen von WebSphere Application Server: Abschnitt „Hardware and software Für WebSphere Application Server Version requirements” im Dokument IBM Security 7.0: Access Manager for Enterprise Single SignOn Planning and Deployment Guide. v Installieren Sie WebSphere Application Server. Beispielanweisungen finden Sie in den folv Installieren Sie WebSphere Update Insgenden Abschnitten: taller. v „Cluster einrichten v Installieren Sie das WebSphere (Netzimplementierung)” auf Seite 85 Application Server-Fixpack. v „WebSphere Application Server Version v Installieren Sie WebSphere Application 7.0 installieren” auf Seite 26 Server Feature Pack for Web 2.0 and v „WebSphere Update Installer Mobile. installieren” auf Seite 27 Für WebSphere Application Server Version v „WebSphere Application Server Version 8.5: 7.0-Fixpacks installieren” auf Seite 28 v Installieren Sie IBM Installation Manav „IBM WebSphere Application Server ger. Feature Pack for Web 2.0 and Mobile v Installieren Sie WebSphere Application installieren” auf Seite 30 Server mit Fixpack 2. v „IBM Installation Manager installieren” auf Seite 23 Bereiten Sie auf Host B WebSphere Bereiten Sie auf Host A WebSphere Application Server vor: Application Server vor: v „WebSphere Application Server Version 8.5 installieren” auf Seite 24 Für WebSphere Application Server Version WebSphere Application Server Version 7.07.0: Dokumentation v Installieren Sie WebSphere Application Server. v Installieren Sie WebSphere Update Installer. v Installieren Sie das WebSphere Application Server-Fixpack. v Installieren Sie WebSphere Application Server Feature Pack for Web 2.0 and Mobile. v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/index.jsp WebSphere Application Server Version 8.5Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v8r5/index.jsp Anmerkung: Dieses Handbuch enthält Anweisungen zur Vorbereitung von WebFür WebSphere Application Server Version Sphere Application Server für IMS Server. 8.5: Ausführliche und aktuelle v Installieren Sie IBM Installation ManaInstallationsanweisungen finden Sie in der ger. Dokumentation für WebSphere Application Server. v Installieren Sie WebSphere Application Server mit Fixpack 2. 4 14 Optional: Erstellen Sie die 1024-BitStammzertifizierungsstelle erneut, wenn für Ihre Implementierung die größere Schlüsselgröße von 2048 Bit erforderlich ist. IBM® Security Access Manager for Enterprise Single Sign-On: Installation 5 Prozedur Referenz Bereiten Sie IBM HTTP Server vor: Informationen zu den unterstützten Versionen von IBM HTTP Server: Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Für IBM HTTP Server Version 7.0: v Installieren Sie IBM HTTP Server. v Installieren Sie das IBM HTTP ServerFixpack unter Verwendung von WebSphere Application Server Update Installer. Für IBM HTTP Server Version 8.5: v Installieren Sie IBM HTTP Server mit Fixpack 2 über IBM Installation Manager. Wichtig: Stellen Sie sicher, dass die erforderlichen Unterkomponenten, wie Java SDK, das Web-Server-Plug-in und WebSphere Customization Toolbox, sowie vorläufige Fixes installiert sind. Beispielanweisungen finden Sie in den folgenden Abschnitten: v „IBM HTTP Server Version 7.0 installieren” auf Seite 32 v „IBM HTTP Server Version 7.0-Fixpacks installieren” auf Seite 34 v „IBM HTTP Server Version 8.5 installieren” auf Seite 30 IBM HTTP Server Version 7.0-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/ index.jsp?topic=/ com.ibm.websphere.ihs.doc/info/ihs/ ihs/tihs_installihs.html IBM HTTP Server Version 8.5-Dokumentation v http://pic.dhe.ibm.com/infocenter/ wasinfo/v8r5/topic/ com.ibm.websphere.ihs.doc/ihs/ tihs_installihs.html Anmerkung: Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM HTTP Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für IBM HTTP Server. 6 Erstellen Sie für WebSphere Application Server den Deployment Manager und Knoten: Wichtig: Für WebSphere Application Server Version 8.5 darf der Profilverzeichnispfad keine Leerzeichen enthalten. v „Methoden zum Auflösen von Hosts und IP-Adressen” auf Seite 221 v „Profile für Netzimplementierungen erstellen und auswählen” auf Seite 87 1. Erstellen Sie auf Host A ein Deployment Manager-Profil sowie ein angepasstes Profil. Anmerkung: Stellen Sie vor dem Föderieren des angepassten Profils im Deployment Manager sicher, dass zwischen dem Deployment Manager und angepassten Knoten eine bidirektionale Namensauflösung besteht. 2. Erstellen Sie auf Host B ein angepasstes Profil. Kapitel 1. IMS Server installieren 15 7 Prozedur Referenz Konfigurieren Sie WebSphere Application Server: Beispielanweisungen finden Sie in den folgenden Abschnitten: v Erstellen Sie eine Clusterdefinition und fügen Sie dem Cluster Member hinzu. v Für WebSphere Application Server 7.0: v v Konfigurieren Sie die Größe des JavaHeapspeichers für den Deployment Ma- v nager. v v Konfigurieren Sie die Größe des JavaHeapspeichers für WebSphere Application Server. v v Erstellen Sie einen Windows-Dienst für den Knotenagenten. „WebSphere Application Server für einen Cluster konfigurieren” auf Seite 98 „Cluster definieren” auf Seite 99 „Größe des Heapspeichers für den Deployment Manager konfigurieren” auf Seite 100 „Größe des Heapspeichers für den Anwendungsserver konfigurieren” auf Seite 65 v „Windows-Dienst für den Knotenagenten erstellen” auf Seite 101 WebSphere Application Server Version 7.0Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/index.jsp WebSphere Application Server Version 8.5Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v8r5/index.jsp Anmerkung: Dieses Handbuch enthält Anweisungen zur Vorbereitung von WebSphere Application Server für IMS Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für WebSphere Application Server. 8 16 Wenn für Ihre Verzeichnisserververbindungen SSL zum Einsatz kommt, fügen Sie die Verzeichnisserverzertifikate zu WebSphere Application Server hinzu. IBM® Security Access Manager for Enterprise Single Sign-On: Installation „SSL-Zertifikat des Verzeichnisservers zu WebSphere Application Server hinzufügen” auf Seite 224 Prozedur 9 Referenz Beispielanweisungen finden Sie in den folgenden Abschnitten: v Konfigurieren Sie das IBM HTTP Server-Plug-in und schützen Sie die Verbin- v „IBM HTTP Server-Plug-in konfigurieren (Netzimplementierung)” auf Seite dung. 103 v Aktivieren Sie SSL-Direktiven in IBM Konfigurieren Sie IBM HTTP Server: v „SSL-Direktiven in IBM HTTP Server aktivieren” auf Seite 105 v Optional: Erstellen Sie das SSL-Zertifikat v „Schlüsselgröße für das SSL-Zertifikat für IBM HTTP Server erneut. für IBM HTTP Server erhöhen” auf Seite 107 HTTP Server. IBM HTTP Server Version 7.0-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/ index.jsp?topic=/ com.ibm.websphere.ihs.doc/info/ihs/ ihs/tihs_installihs.html IBM HTTP Server Version 8.5-Dokumentation v http://pic.dhe.ibm.com/infocenter/ wasinfo/v8r5/topic/ com.ibm.websphere.ihs.doc/ihs/ tihs_installihs.html Anmerkung: Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM HTTP Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für IBM HTTP Server. 10 Wenn Sie ein Programm für den Lastausgleich verwenden, müssen Sie sicherstellen, dass dieses für die Weiterleitung von Anforderungen an die eingerichteten Web-Server konfiguriert ist. Lesen Sie die Produktdokumentation Ihres Anbieters. 11 Installieren Sie IMS Server in WebSphere Application Server. „IMS Server mit dem Installationsprogramm von IMS Server installieren” auf Seite 41 12 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server. „Implementierung von IMS Server in WebSphere Application Server überprüfen” auf Seite 44 13 Nur für WebSphere Application Server Version 7.0: Fügen Sie die gemeinsam genutzte JAX-RS-Bibliothek hinzu. „Gemeinsam genutzte JAX-RS-Bibliothek hinzufügen” auf Seite 46 14 Nur für WebSphere Application Server „JSF-Implementierung konfigurieren” auf Version 8.5: Konfigurieren Sie die IMS Ser- Seite 45 ver-Implementierung mit der Sun Reference Implementation 1.2-Implementierung. Kapitel 1. IMS Server installieren 17 Prozedur 15 Konfigurieren Sie IMS Server. Referenz v „IMS Server mit dem IMSKonfigurationsassistenten konfigurieren (Netzimplementierung)” auf Seite 109 v „IMS Server zur Verwendung von Verzeichnisservern konfigurieren” auf Seite 191 16 Richten Sie den IMS Server-Administrator ein. „IMS Server-Administrator einrichten” auf Seite 112 17 Aktualisieren Sie die Modulzuordnung für „Modulzuordnung für ISAMESSOIMS für ISAMESSOIMS, um die Weiterleitung von Verbindungsanforderungen weiterzuleiten. Verbindungsanforderungen aktualisieren” auf Seite 113 18 Konfigurieren Sie das Sitzungsmanagement für ISAMESSOIMS. „Sitzungsmanagement für ISAMESSOIMS außer Kraft setzen” auf Seite 115 19 Prüfen Sie die Konfiguration von IMS Ser- „Konfiguration von IMS Server prüfen” ver. auf Seite 116 20 Optional: Fügen Sie einem Cluster weitere Anwendungsserver hinzu. 21 Optional: Implementieren Sie ISAMESSOIMS auf weiteren Knoten in einer Netzimplementierung. Erste Schritte Bereiten Sie die Middleware vor, bevor Sie die Komponente IMS Server für IBM Security Access Manager for Enterprise Single Sign-On installieren und konfigurieren. Anmerkung: Einige der Prozeduren enthalten Beispiele, Verweise oder Beispielwerte für Netzimplementierungen sowie für eigenständige Implementierungen. Wählen Sie nur die Beispiele aus, die für Ihre Umgebung geeignet sind. Weitere Informationen zu eigenständigen und Clusterszenarios (Netzimplementierungen) finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Datenbankserver vorbereiten Sie müssen einen Datenbankserver vorbereiten, um Berechtigungsnachweise für Benutzer und Wallets für die einmalige Anmeldung zu speichern. Sie können einen neuen Datenbankserver installieren oder einen bestehenden Datenbankserver nutzen. Sie können eine Datenbank von IBM DB2, Microsoft SQL Server oder Oracle Database verwenden. Informationen zu den unterstützten Datenbankservern und Versionen: Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Tipp: Sie können die folgenden Werte in Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175 erfassen: v Datenbankhostname 18 IBM® Security Access Manager for Enterprise Single Sign-On: Installation v Portnummer v Benutzeraccount des Datenbankadministrators Gehen Sie je nach Datenbankprodukt zur Vorbereitung der Datenbank für IMS Server wie folgt vor: IBM DB2 Sie müssen eine Datenbank erstellen, bevor Sie die Installation von IMS Server starten. Siehe „Datenbankserver mit DB2 vorbereiten”. Oracle-Datenbankserver Sie müssen Benutzername und Kennwort des Schemaeigners angeben. Siehe „Datenbankserver mit Oracle vorbereiten” auf Seite 21. Microsoft SQL Server Sie müssen Benutzername und Kennwort des SQL Server-Administrators angeben. Der IMS-Konfigurationsassistent kann für die automatische Erstellung der IMS Server-Datenbank verwendet werden. Alternativ dazu können Sie die Datenbank bei der Installation von IMS Server manuell erstellen und ihre Details angeben. Siehe „Datenbankserver mit SQL Server vorbereiten” auf Seite 21. Datenbankserver mit DB2 vorbereiten Wenn Sie DB2 als Datenbankserver einsetzen wollen, müssen Sie dieses Produkt installieren und eine Datenbank erstellen, bevor Sie IBM Security Access Manager for Enterprise Single Sign-On installieren. Der DB2-Datenbankserver speichert Wallets und Benutzerberechtigungsnachweise. IBM DB2 installieren: Wenn Sie über keinen unterstützten Datenbankserver verfügen, der für IBM Security Access Manager for Enterprise Single Sign-On installiert ist, können Sie IBM DB2 installieren. Vorbereitende Schritte v Informationen zu den unterstützten Datenbankservern und Versionen: Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. v Stellen Sie sicher, dass Ihr System die Installationsvoraussetzungen und den erforderlichen Speicherbedarf erfüllt sowie über die erforderliche Plattenspeicherkapazität verfügt. v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. Informationen zu diesem Vorgang Dieses Handbuch enthält Informationen für die Konfiguration von Datenbanken für IMS Server. Die ausführlichen und aktuellen Installationsanweisungen finden Sie in der Produktdokumentation der verwendeten Datenbank. Führen Sie die Anweisungen in der DB2-Dokumentation aus. v Version 9.7-Dokumentation: http://publib.boulder.ibm.com/infocenter/db2luw/ v9/index.jsp?topic=/com.ibm.db2.udb.doc/welcome.htm. v Version 10.1-Dokumentation: http://pic.dhe.ibm.com/infocenter/db2luw/v10r1/ index.jsp?topic=%2Fcom.ibm.db2.luw.welcome.doc%2Fdoc%2Fwelcome.html. Kapitel 1. IMS Server installieren 19 Verwenden Sie die Installationsmedien von DB2, die im Lieferumfang von IBM Security Access Manager for Enterprise Single Sign-On enthalten sind, um sicherzustellen. dass Sie mit der richtigen Version arbeiten. Zeichnen Sie die im Arbeitsblatt für die Planung verwendeten Werte auf. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. Vorgehensweise 1. Fordern Sie ein Installationspaket für das DB2-Datenbanksystem von IBM an. 2. Installieren Sie den DB2-Datenbankserver entsprechend der Anweisungen in der Dokumentation zum DB2-Datenbankserver. 3. Wenden Sie die aktuellen Fixpacks an. Die aktuellen Fixpacks zum Download finden Sie unter www.ibm.com/support/docview.wss?uid=swg27007053. Nächste Schritte Erstellen Sie eine Datenbank in DB2. Datenbank mit IBM DB2 erstellen: Für IBM DB2 müssen Sie die Datenbank für IBM Security Access Manager for Enterprise Single Sign-On erstellen. Vorgehensweise 1. Starten Sie den DB2-Befehlszeilenprozessor. 2. Geben Sie im DB2-Befehlszeilenprozessor die folgende Zeile ein: CREATE DATABASE <datenbankname> AUTOMATIC STORAGE YES ON <laufwerkbuchstabe> DBPATH ON <laufwerkbuchstabe> USING CODESET UTF-8 TERRITORY US COLLATE USING SYSTEM PAGESIZE 8192 Dabei sind die folgenden Parameter definiert: Default buffer pool and table space page size Sie müssen für die Pufferpool- und die Seitengröße 8192 als Äquivalent zu 8K angeben. Code set Geben Sie den codierten Zeichensatz UTF-8 an. Territory Geben Sie US als Territory an. Beispiel: CREATE DATABASE imsdb AUTOMATIC STORAGE YES ON 'C:\' DBPATH ON 'C:\' USING CODESET UTF-8 TERRITORY US COLLATE USING SYSTEM PAGESIZE 8192 Ergebnisse Sie haben eine Datenbank für IBM Security Access Manager for Enterprise Single Sign-On erstellt. Nächste Schritte Sie können WebSphere Application Server installieren und konfigurieren. v Version 8.5: „WebSphere Application Server Version 8.5 installieren” auf Seite 24. v Version 7.0: „WebSphere Application Server Version 7.0 installieren” auf Seite 26. 20 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Datenbankserver mit Oracle vorbereiten Installieren Sie den Oracle-Datenbankserver und konfigurieren Sie ihn auf der Basis der Voraussetzungen und Einstellungen für den IMS Server-Datenbankserver. Installation Informationen zu den unterstützten Datenbanken und Versionen finden Sie in Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Dieses Handbuch enthält Informationen für die Konfiguration von Datenbanken für IMS Server. Die ausführlichen und aktuellen Installationsanweisungen finden Sie in der Produktdokumentation der verwendeten Datenbank. 1. Bereiten Sie die Installationsmedien von Oracle vor. 2. Installieren Sie den Oracle-Datenbankserver und konfigurieren Sie ihn. 3. Installieren Sie die aktuellsten Service-Packs für den Oracle-Datenbankserver. Datenbankvoraussetzungen und -einstellungen Oracle erstellt die Datenbank automatisch. Stellen Sie sicher, dass die folgenden Voraussetzungen und Einstellungen erfüllt werden: Oracle-Datenbankvoraussetzungen v Sie müssen einen Datenbankinstanznamen besitzen. v Legen Sie Unicode (AL32UTF8) als Datenbankzeichensatz fest. v Legen Sie UTF8 - Unicode 3.0 UTF-8 Universal character set, CESU-8 compliant oder AL16UTF16 - Unicode UTF-16 Universal character set als nationalen Zeichensatz fest. Voraussetzungen für den Datenbankbenutzer v Legen Sie USERS als Standardtabellenbereich fest. v Legen Sie TEMP als temporären Tabellenbereich fest. v Ordnen Sie dem Benutzer die Rolle Connect and Resource zu. v Ordnen Sie dem Benutzer die folgenden Berechtigungen zu: – – – – Create Create Create Create Procedure Session Table View Datenbankserver mit SQL Server vorbereiten Installieren Sie Microsoft SQL Server und konfigurieren Sie dieses Produkt auf der Basis der Voraussetzungen und Einstellungen für den IMS Server-Datenbankserver. Installation Informationen zu den unterstützten Datenbankservern und Versionen finden Sie in Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Ausführliche und aktuelle Installationsanweisungen finden Sie in der jeweiligen Produktdokumentation. Kapitel 1. IMS Server installieren 21 1. Bereiten Sie die Installationsmedien von SQL Server vor. 2. Installieren Sie Microsoft SQL Server. 3. Installieren Sie die aktuellsten Sicherheits-Service-Packs für Microsoft SQL Server. Datenbankvoraussetzungen und -einstellungen Verwenden Sie den Konfigurationsassistenten von IMS Server für die automatische Erstellung einer IMS Server-Datenbank. Alternativ dazu können Sie die Datenbank bei der Installation von IMS Server manuell erstellen und ihre Details angeben. Stellen Sie sicher, dass die folgenden Datenbankvoraussetzungen und -einstellungen erfüllt werden: Datenbankvoraussetzungen v Sie müssen über den Benutzernamen und das Kennwort eines Systemadministrators (SA) verfügen. v Der Name der Sortierfolge muss SQL_Latin1_General_CP1_CS_AS lauten. v Inaktivieren Sie das Kontrollkästchen Enforce password policy. v Legen Sie als Namen der erstellten Datenbank die Standarddatenbank fest. Voraussetzungen für den Datenbankbenutzer v Sie müssen einen Anmeldenamen für einen Datenbankbenutzer besitzen. v Verwenden Sie den Anmeldenamen für Ihren Datenbankbenutzernamen und Ihren Schemanamen. v Legen Sie als Eigner der Datenbankrollen den Wert db_owner fest. v Führen Sie die SQL-Scripts mit einer Datenbankbenutzerberechtigung aus. Informationen zur Erstellung der IMS Server-Datenbank auf einem Microsoft SQL Server-Datenbankserver finden Sie in „Datenbank in SQL Server manuell erstellen” auf Seite 219. WebSphere Application Server vorbereiten IMS Server wird als WebSphere Application Server-Anwendung implementiert. Sie müssen vor der Installation von IMS Server WebSphere Application Server installieren und konfigurieren. Die folgenden Versionen von WebSphere Application Server werden unterstützt: v WebSphere Application Server Version 7.0 mit Fixpack 29 und höher. v WebSphere Application Server Version 8.5 mit Fixpack 2. Anmerkung: Die Installationsschritte für WebSphere Application Server Version 7.0 und 8.5 unterscheiden sich voneinander. Es ist daher wichtig, die Version des Anwendungsservers anzugeben, den Sie installieren möchten. WebSphere Application Server Version 8.5 vorbereiten Bereiten Sie WebSphere Application Server Version 8.5 mit den aktuellen Fixpacks für alle erforderlichen Komponenten vor. 22 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Für die WebSphere-Software der Version 8.5 müssen Sie Fixpack 2 für WebSphere Application Server sowie Java SDK installieren. IBM Installation Manager installieren: Rufen Sie mithilfe von IBM Installation Manager die erforderlichen Produktdateien für die WebSphere Application Server Version 8.5-Installation ab. Vorbereitende Schritte v Laden Sie zum Vermeiden von Problemen die aktuelle Version von Installation Manager auf der Unterstützungsseite herunter und verwenden Sie diese. v Stellen Sie sicher, dass Ihr System die Anforderungen erfüllt. Siehe Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. v Überprüfen Sie die Voraussetzungen, bevor Sie Installation Manager installieren. Detaillierte Anweisungen finden Sie in der Produktdokumentation für WebSphere Application Server Version 8.5. Suchen Sie dort nach installing Installation Manager and preparing to install the product. Informationen zu diesem Vorgang IBM Installation Manager ist ein Installationsprogramm, das ferne oder lokale Flachdatei-Softwarerepositorys für die Installation, Änderung oder Aktualisierung neuer WebSphere Application Server-Produkte verwendet. Es ermittelt und zeigt verfügbare Pakete, darunter Produkte, Fixpacks und vorläufige Fixes, prüft Voraussetzungen und gegenseitige Abhängigkeiten und installiert die ausgewählten Pakete. Mit Installation Manager wird die Installation und Wartung der folgenden WebSphere Application Server-Komponenten vereinfacht: v WebSphere Application Server-Fixpacks v IBM HTTP Server v IBM HTTP Server-Plug-in für WebSphere Weitere Informationen zur Verwendung von Installation Manager finden Sie im Information Center für IBM Installation Manager Version 1.6. Vorgehensweise 1. Wählen Sie eine der folgenden Optionen aus: v Greifen Sie auf die entsprechenden Medien für IBM WebSphere Application Server Network Deployment Version 8.5 für Ihr Betriebssystem zu. v Extrahieren Sie die Dateien aus der Archivdatei, die Sie von Passport Advantage heruntergeladen haben. Beispiel: CI6XDML.zip Anmerkung: Die Archivdatei kann einen anderen Namen aufweisen. Dieser hängt von der heruntergeladenen Verteilung ab. 2. Navigieren Sie zur Position, an der sich die Installation Manager-Installationsdateien befinden. 3. Führen Sie das Verwaltungsinstallationsprogramm für Installation Manager (install.exe) aus. 4. Stellen Sie sicher, dass das Paket 'Installation Manager' ausgewählt ist, und klicken Sie auf Next. Kapitel 1. IMS Server installieren 23 5. Führen Sie die Anweisungen im Installationsassistenten aus und klicken Sie so lange auf Next, bis der Bildschirm mit den Übersichtsinformationen angezeigt wird. 6. Überprüfen Sie die Informationen und klicken Sie auf Install. Nach erfolgreichem Abschluss des Installationsprozesses wird eine entsprechende Nachricht angezeigt. 7. Fügen Sie das Produktrepository für WebSphere Application Server Version 8.5 und ergänzende Komponenten, wie IBM HTTP Server und verschiedene Plugin, zu Ihren Installation Manager-Vorgaben hinzu. a. b. c. d. Klicken Sie in IBM Installation Manager auf File > Preferences. Wählen Sie Repositories aus. Klicken Sie auf Add Repository. Geben Sie die Position der Repositorydateien für WebSphere Application Server (<pfadangabe>\repository.config) an. Beispiel: E:\WAS_ND_V8.5\ repository.config e. Klicken Sie auf OK. f. Klicken Sie auf Add Repository. g. Geben Sie die Position der Ergänzungskomponenten für WebSphere Application Server an. Beispiel: E:\WAS_V85_SUPPL\repository.config h. Klicken Sie auf OK. Nächste Schritte Installieren Sie WebSphere Application Server Version 8.5. WebSphere Application Server Version 8.5 installieren: Die Anwendung IMS Server läuft in WebSphere Application Server. Installieren und konfigurieren Sie WebSphere Application Server, bevor Sie IMS Server installieren. Vorbereitende Schritte v Stellen Sie sicher, dass Sie IBM Installation Manager installiert und das Produktrepository konfiguriert haben. Siehe „IBM Installation Manager installieren” auf Seite 23. v Lesen Sie die Dokumentation zu WebSphere Application Server. v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. v Stellen Sie sicher, dass Ihr System die Anforderungen erfüllt. Weitere Informationen hierzu finden Sie im Abschnitt zu den Hardware- und Softwarevoraussetzungen. v Vergewissern Sie sich, dass alle erforderlichen Fixpacks für das Betriebssystem angewendet wurden. Weitere Informationen zum Optimieren der Betriebssysteme für WebSphere Application Server finden Sie in der WebSphere Application Server-Dokumentation. Suchen Sie dort nach tuning operating systems. Weitere Informationen zur Installation von WebSphere Application Server finden Sie in der Dokumentation zu WebSphere Application Server Version 8.5. Suchen Sie dort nach installing WebSphere Application Server. 24 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Informationen zu diesem Vorgang Zeichnen Sie die im Arbeitsblatt für die Planung verwendeten Werte auf. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. Sie können IBM Security Access Manager for Enterprise Single Sign-On in einer eigenständigen Konfiguration oder in einem Netzimplementierungscluster implementieren. Vorgehensweise 1. Starten Sie IBM Installation Manager. Beispiel: Klicken Sie auf Start > Alle Programme > IBM Installation Manager > IBM Installation Manager. 2. Stellen Sie sicher, dass Sie das Produktrepository konfiguriert haben. Weitere Informationen finden Sie unter „IBM Installation Manager installieren” auf Seite 23. 3. Klicken Sie auf Install. Es wird eine Liste der verfügbaren Pakete für die Installation angezeigt. 4. Wählen Sie das folgende Paket aus: v IBM WebSphere Application Server Network Deployment 5. Klicken Sie auf die Option zum Prüfen nach anderen Versionen, Fixes und Erweiterungen, um WebSphere Application Server Version 8.5.0.2 anzuzeigen. Tipp: Stellen Sie sicher, dass das Kontrollkästchen Show all versions aktiviert ist, damit alle verfügbaren Versionen angezeigt werden. 6. Wählen Sie das folgende Paket aus: v IBM WebSphere Application Server Network Deployment – Version 8.5.0.2 7. 8. 9. 10. 11. 12. Vorsicht: Wenn Sie ein anderes Paket als die soeben genannten Pakete auswählen, kann dies zu unerwünschten Ergebnissen führen. Klicken Sie auf Next. Wählen Sie den folgenden Fix aus und klicken Sie auf Next: v Für Windows-Betriebssysteme mit x86-Architektur: 8.5.0.0-WS-WASJavaSDKWinX32-IFPM91292 8.5.0.20130723_1400. v Für Windows-Betriebssysteme mit x64-Architektur: 8.5.0.0-WS-WASJavaSDKWinX64-IFPM91292 8.5.0.20130723_1359. Führen Sie die Anweisungen in Installation Manager aus und klicken Sie so lange auf Next, bis der Bildschirm mit den Übersichtsinformationen angezeigt wird. Überprüfen Sie die Installationszusammenfassung und stellen Sie sicher, dass das Paket für IBM WebSphere Application Server Network Deployment Version 8.5.0.2 ausgewählt ist. Wählen Sie das entsprechende Paket für Ihr Betriebssystem aus. Klicken Sie auf Install. Nach erfolgreichem Abschluss des Installationsprozesses wird eine entsprechende Nachricht angezeigt. Klicken Sie auf Finish. Nächste Schritte Installieren Sie IBM HTTP Server Version 8.5. Kapitel 1. IMS Server installieren 25 WebSphere Application Server Version 7.0 vorbereiten Bereiten Sie WebSphere Application Server Version 7.0 mit den aktuellen Fixpacks für alle erforderlichen Komponenten vor. Für die WebSphere-Software der Version 7.0 müssen Sie mindestens Fixpack 29 für WebSphere Application Server sowie die Unterkomponente Java SDK installieren. WebSphere Application Server Version 7.0 installieren: Installieren und konfigurieren Sie WebSphere Application Server, bevor Sie IMS Server installieren. Vorbereitende Schritte v Wenn WebSphere Application Server bereits installiert ist, müssen Sie sicherstellen, dass Sie über die erforderlichen Fixpacks verfügen. v Lesen Sie die Dokumentation zu WebSphere Application Server. Sie müssen über Kenntnisse in Implementierung und Verwaltung von WebSphere Application Server verfügen. v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. v Informationen zu den unterstützten Versionen von WebSphere Application Server: Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. v Stellen Sie sicher, dass Ihr System die Anforderungen erfüllt. Weitere Informationen hierzu finden Sie im Abschnitt zu den Hardware- und Softwarevoraussetzungen. v Vergewissern Sie sich, dass alle erforderlichen Fixpacks für das Betriebssystem angewendet wurden. Weitere Informationen zum Optimieren der Betriebssysteme für WebSphere Application Server finden Sie in der WebSphere Application Server-Dokumentation. Suchen Sie dort nach tuning operating systems. v Bei der Installation von WebSphere Application Server unter Windows Server 2008 R2 kann die Prüfung der Voraussetzungen fehlschlagen. Informationen zum Beheben dieses Problems finden Sie in diesem technischen Hinweis. Weitere Informationen zur Installation von WebSphere Application Server finden Sie in der Dokumentation zu WebSphere Application Server Version 7.0. Suchen Sie dort nach installing WebSphere Application Server. Informationen zu diesem Vorgang Verwenden Sie die Installationsmedien für WebSphere Application Server Network Deployment, die im Lieferumfang des Produkts enthalten sind, um sicherzustellen, dass Sie mit der richtigen Version arbeiten. Zeichnen Sie die im Arbeitsblatt für die Planung verwendeten Werte auf. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. Sie können IBM Security Access Manager for Enterprise Single Sign-On in einer eigenständigen Konfiguration oder in einem Netzimplementierungscluster implementieren. Anmerkung: Wenn WebSphere Application Server bereits implementiert ist, müssen Sie sicherstellen, dass Sie über die erforderlichen Fixpacks verfügen. Informati- 26 IBM® Security Access Manager for Enterprise Single Sign-On: Installation onen dazu können Sie dem Abschnitt zur Vorbereitung der erforderlichen Fixpacks im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide entnehmen. Vorgehensweise 1. Führen Sie eine der folgenden Aktionen aus: v Greifen Sie auf die Medien für IBM WebSphere Application Server Network Deployment Version 7.0 für Ihr Betriebssystem zu. v Extrahieren Sie die Dateien aus der Archivdatei, die Sie von Passport Advantage heruntergeladen haben. Beispiel: C1G2JML.zip Anmerkung: Die Archivdatei kann einen anderen Namen aufweisen. Dieser hängt von der heruntergeladenen Verteilung ab. 2. Führen Sie das WebSphere-Installationsprogramm (launchpad.exe) aus. 3. Klicken Sie auf Launch the installation wizard for WebSphere Application Server Network Deployment. 4. Führen Sie die Anweisungen im Installationsassistenten aus, bis Sie die Seite Installation Directory erreichen. 5. Akzeptieren Sie auf der Seite Installation Directory das Standardinstallationsverzeichnis oder ändern Sie diesen Wert. Beispiel: Die Standardinstallationsposition ist c:\Programme\IBM\WebSphere\AppServer. 6. Wählen Sie auf der Seite WebSphere Application Server Environments die Option None aus. Sie erstellen erforderliche Profile über das Profile Management Tool manuell. Anmerkung: Es wird eine Warnung angezeigt, wenn Sie das Profil nicht zum jetzigen Zeitpunkt erstellen. 7. Wenn Sie dazu aufgefordert werden, klicken Sie auf Yes, um die Installation ohne Profilerstellung fortzusetzen. 8. Klicken Sie auf der Seite Repository for Centralized Installation Managers auf Next. 9. Führen Sie die übrigen Anweisungen im Installationsassistenten aus. 10. Wenn die Seite Installation Results angezeigt wird, wählen Sie das Kontrollkästchen Create a new WebSphere Application Server profile using the Profile Management Tool ab. 11. Klicken Sie auf Finish. Nächste Schritte Installieren Sie WebSphere Update Installer, um die aktuellsten WebSphere Application Server-Fixpacks anzuwenden. WebSphere Update Installer installieren: Installieren von WebSphere Update Installer zur Anwendung von Wartungsfixpacks. Vorbereitende Schritte v Laden Sie zum Vermeiden von Problemen die aktuellste Version von Update Installer auf der Unterstützungsseite herunter und verwenden Sie diese. Siehe http://www.ibm.com/support/docview.wss?uid=swg24020448. Kapitel 1. IMS Server installieren 27 v Stellen Sie sicher, dass Ihr System die Anforderungen erfüllt. Siehe Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. v Überprüfen Sie die Voraussetzungen, bevor Sie Update Installer installieren. Die detaillierten Anweisungen finden Sie in der Dokumentation für WebSphere Application Server. Suchen Sie dort nach installing the Update Installer. Informationen zu diesem Vorgang Mit IBM WebSphere Update Installer wird die Wartung der folgenden WebSphere Application Server-Komponenten vereinfacht: v WebSphere Application Server v IBM HTTP Server v IBM HTTP Server-Plug-in für WebSphere Vorgehensweise 1. Kopieren und extrahieren Sie die komprimierte Datei von Update Installer auf eine beschreibbare Platte. Beispiel: 7.0.0.29-WS-UPDI-WinAMD64 2. Navigieren Sie zum extrahierten Verzeichnis UpdateInstaller. 3. Führen Sie install.exe aus, um den Installationsassistenten für Update Installer zu starten. 4. Führen Sie die Anweisungen im Installationsassistenten aus. 5. Wählen Sie vor dem Abschluss der Installation das Kontrollkästchen Launch IBM Update Installer for WebSphere software on exit ab. 6. Klicken Sie auf Finish. Nächste Schritte Wenden Sie die aktuellsten Fixpacks für WebSphere Application Server an. WebSphere Application Server Version 7.0-Fixpacks installieren: Sie müssen das aktuelle WebSphere Application Server Version 7.0-Fixpack anwenden, bevor Sie das Installationsprogramm von IMS Server ausführen. Vorbereitende Schritte v Wenn Sie bereits über einen installierten WebSphere Application Server Version 7.0 verfügen, müssen Sie sicherstellen, dass Sie den erforderlichen Fixpackstand einsetzen. Informationen dazu, wie Sie die mindestens erforderliche Fixpackversion für die Anwendung auf WebSphere Application Server Version 7.0 ermitteln können, können Sie dem Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide entnehmen. v Wenn Sie eine bestehende Instanz von WebSphere Application Server Version 7.0 mit bereits vorhandenen Profilen wiederverwenden, müssen Sie alle WebSphere Application Server-Profile stoppen, die ausgeführt werden. Geben Sie in eine Eingabeaufforderung <was-ausgangsverzeichnis>\profiles\ <profilname>\bin\stopServer.bat <servername> ein. Beispiel: C:\Programme\IBM\WebSphere\AppServer\profiles\AppSrv01\bin\stopServer.bat server1. 28 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Anmerkung: Überspringen Sie diesen Schritt, wenn Sie die Standardanweisungen für eine Neuinstallation ausführen und noch keine WebSphere Application Server-Profile erstellt haben. v Laden Sie stattdessen die aktuellste Version von IBM Update Installer von der Website für IBM Support und Downloads herunter: http://www.ibm.com/ support/docview.wss?uid=swg24020448. Informationen zu diesem Vorgang Dieses Handbuch enthält Anweisungen zur Vorbereitung von WebSphere Application Server für IMS Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für WebSphere Application Server. Siehe http:// publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp. Stellen Sie in einer Clusterimplementierung sicher, dass Sie das erforderliche WebSphere Application Server-Fixpack in jedem Knoten des Clusters installieren. Anmerkung: Verwenden Sie für WebSphere Application Server Version 7.0 Fixpack 29 oder höher. Vorgehensweise 1. Laden Sie die aktuellsten Fixpacks herunter. a. Rufen Sie die WebSphere Application Server-Unterstützungssite unter http://www.ibm.com/software/webservers/appserv/was/support/ auf. b. Klicken Sie auf den Link Downloads. c. Folgen Sie den Links und führen Sie die Anweisungen auf der Seite aus, um die herunterzuladenden Fixpacks zu ermitteln. d. Laden Sie Fixpacks für andere WebSphere Application Server-Komponenten herunter. Beispiel: v <architektur> AMD/Intel AppServer v <architektur> AMD/Intel IBM HTTP Server v <architektur> AMD/Intel Java SDK e. Optional: Kopieren Sie die heruntergeladenen Fixpacks in das Verzeichnis <updi-ausgangsverzeichnis>\maintenance. Beispiel: Kopieren Sie 7.0.0-WS-WAS-WinX64-FP0000029.pak in C:\Programme\IBM\WebSphere\ UpdateInstaller\maintenance. 2. Starten Sie IBM Update Installer. (Start > Alle Programme > IBM WebSphere > Update Installer for Websphere V7.0 Software > Update Installer) 3. Wählen Sie auf der Seite "Product Selection" das WebSphere-Installationsverzeichnis aus und klicken Sie dann auf Next. Beispiel: C:\Programme\IBM\ WebSphere\AppServer. 4. Wählen Sie Install Maintenance Package aus und klicken Sie dann auf Next. 5. Geben Sie im Verzeichnispfad die Position des Wartungspakets oder Fixpacks an. 6. Wählen Sie die Fixpacks für WebSphere Application Server aus. Wählen Sie die Komponenten WebSphere Application Server und SDK aus. 7. Klicken Sie auf Next. 8. Nachdem das Programm zur Prüfung von Voraussetzungen erfolgreich ausgeführt wurde, klicken Sie auf Next. Kapitel 1. IMS Server installieren 29 IBM WebSphere Application Server Feature Pack for Web 2.0 and Mobile installieren: Sie müssen das Feature Pack for Web 2.0 and Mobile unter WebSphere Application Server Version 7.0 installieren. Vorbereitende Schritte v Installieren und konfigurieren Sie WebSphere Application Server.. v Laden Sie IBM WebSphere Application Server Feature Pack for Web 2.0 and Mobile von Passport Advantage herunter. Informationen zu diesem Vorgang Diese Task ist nur für WebSphere Application Server Version 7.0 relevant. Vorgehensweise 1. Extrahieren Sie die Feature-Pack-Dateien unter einer Speicherposition auf dem Computer, auf dem sich WebSphere Application Server befindet. 2. Installieren Sie das Feature-Pack entsprechend der Installationsanweisungen, die dem Feature Pack for Web 2.0 and Mobile beigefügt sind. IBM HTTP Server vorbereiten Installieren Sie den Web-Server auf einem separaten Server oder auf WebSphere Application Server. Der Web-Server leitet Anforderungen von Client-Computern an WebSphere Application Server oder Knoten in einem Cluster weiter. Die folgenden Versionen von IBM HTTP Server werden unterstützt: v IBM HTTP Server Version 7.0 Fixpack 29 und höher. v IBM HTTP Server Version 8.5 Fixpack 2. Weitere Informationen zu den unterstützten Versionen von IBM HTTP Server finden Sie unterAbschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Anmerkung: Die Installationsschritte für IBM HTTP Server Version 7.0 und 8.5 unterscheiden sich voneinander. Es ist daher wichtig, die Version des Web-Servers anzugeben, den Sie installieren möchten. IBM HTTP Server Version 8.5 installieren IBM HTTP Server 8.5 muss mithilfe von IBM Installation Manager installiert werden. Vorbereitende Schritte v Stellen Sie sicher, dass Sie IBM Installation Manager installiert und das Produktrepository konfiguriert haben. Siehe „IBM Installation Manager installieren” auf Seite 23. v Stellen Sie sicher, dass Sie über zusätzliche Images im Repository verfügen. v Informationen zu den unterstützten Versionen von IBM HTTP Server: Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. v Stellen Sie sicher, dass kein Dienst an Port 80, 443 und 8008 empfangsbereit ist. 30 IBM® Security Access Manager for Enterprise Single Sign-On: Installation v Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM HTTP Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für IBM HTTP Server. Suchen Sie in der WebSphere Application Server Version 8.5-Produktdokumentation nach Installing IBM HTTP Server using the GUI. v Für IBM HTTP Server und die Web-Server-Plug-ins der Version 8.5 ist Microsoft Visual C++ 2008 Redistributable Package erforderlich. Bei Installationen auf x86Computern müssen Sie die x86-Version von Microsoft Visual C++ 2008 Redistributable Package installieren. Für die Installation auf x64-Computern müssen Sie die x86- sowie die x64-Version von Microsoft Visual C++ 2008 Redistributable Package installieren. Rufen Sie die Microsoft-Website auf und suchen Sie dort nach Microsoft Visual C++ 2008 Redistributable x64 x86. Informationen zu diesem Vorgang Verwenden Sie das Paket für IBM HTTP Server Version 8.5.0.2 in IBM Installation Manager für die Installation von IBM HTTP Server 8.5. Zeichnen Sie alle verwendeten Werte im Arbeitsblatt für die Planung auf. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. Serverübergreifende Installationen: Wenn Sie zum Erreichen von Hochverfügbarkeit einen Cluster mit HTTP-Servern installieren, müssen Sie ein Programm für den Lastausgleich verwenden, um Anforderungen an Server im Cluster zu verteilen. Wenn Sie ein Programm für den Lastausgleich einsetzen, zeichnen Sie dessen IP-Adresse oder Zielhostnamen in Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175 auf. Vorgehensweise 1. Starten Sie IBM Installation Manager. Beispiel: Klicken Sie auf Start > Alle Programme > IBM Installation Manager > IBM Installation Manager. 2. Stellen Sie sicher, dass Sie das Produktrepository konfiguriert haben. Weitere Informationen finden Sie unter „IBM Installation Manager installieren” auf Seite 23. 3. Klicken Sie auf Install. Es wird eine Liste der verfügbaren Pakete für die Installation angezeigt. 4. Wählen Sie die folgenden Pakete aus: v IBM HTTP Server for WebSphere Application Server v Web Server Plug-ins for IBM WebSphere Application Server v WebSphere Customization Toolbox Vorsicht: Wenn Sie ein anderes Paket als die soeben genannten Pakete auswählen, kann dies zu unerwünschten Ergebnissen führen. 5. Klicken Sie auf die Option zum Prüfen nach anderen Versionen, Fixes und Erweiterungen. Tipp: Stellen Sie sicher, dass das Kontrollkästchen Show all versions aktiviert ist, damit alle verfügbaren Versionen angezeigt werden. 6. Wählen Sie die folgenden Pakete aus: v IBM HTTP Server for WebSphere Application Server – Version 8.5.0.2 v Web Server Plug-ins for IBM WebSphere Application Server Kapitel 1. IMS Server installieren 31 – Version 8.5.0.2 v WebSphere Customization Toolbox – Version 8.5.0.2 7. 8. 9. 10. Vorsicht: Wenn Sie ein anderes Paket als die soeben genannten Pakete auswählen, kann dies zu unerwünschten Ergebnissen führen. Klicken Sie auf Next. Stellen Sie sicher, dass unter WebSphere Customization Toolbox 8.5.0.2 die Option Web Server Plug-ins Configuration Tool ausgewählt ist. Führen Sie die Anweisungen in Installation Manager und die nachfolgenden Schritte aus. Führen Sie im Fenster Web Server Configuration die folgenden Schritte aus und klicken Sie dann auf Next: a. Stellen Sie sicher, dass für HTTP Port der Wert '80' angegeben ist. b. Stellen Sie sicher, dass die Option Run IBM HTTP Server as a Windows Service ausgewählt ist. c. Wählen Sie Log on as a local system account aus. d. Wählen Sie in der Liste Startup type den Eintrag Automatic aus. 11. Überprüfen Sie die Installationszusammenfassung. 12. Klicken Sie auf Install, um die Installation zu starten. Nach erfolgreichem Abschluss des Installationsprozesses wird eine entsprechende Nachricht angezeigt. 13. Klicken Sie auf Finish. Nächste Schritte 1. Starten Sie den Dienst IBM HTTP Server. v Klicken Sie auf Start > Alle Programme > KIBM HTTP Server <version> > Start HTTP Server. 2. Stellen Sie sicher, dass Sie über einen Web-Browser auf den Web-Server zugreifen können. Beispiel: v Geben Sie für den Zugriff auf den Web-Server auf dem lokalen Computer die Adresse http://localhost oder http://mywebsvr1 ein. Dabei gilt Folgendes: mywebsvr1 ist Ihr Computername. v Geben für den fernen Zugriff auf den Web-Server die Adresse http://<vollständig_qualifizierter_hostname> ein, sofern ein Namensserver für die Auflösung von Hostnamen verfügbar ist. Beispiel: http:// mywebsvr1.example.com. IBM HTTP Server Version 7.0 installieren IBM HTTP Server Version 7.0 muss auf dem Server installiert werden, auf dem das IBM HTTP Server-Plug-in installiert ist. Vorbereitende Schritte v Informationen zu den unterstützten Versionen von IBM HTTP Server: Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. v Stellen Sie sicher, dass Ihr System die Anforderungen erfüllt. v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. 32 IBM® Security Access Manager for Enterprise Single Sign-On: Installation v Stellen Sie sicher, dass kein Dienst an Port 80, 443 und 8008 empfangsbereit ist. v Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM HTTP Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für IBM HTTP Server. Suchen Sie in der WebSphere Application Server Version 7.0-Produktdokumentation nach Installing the IBM HTTP Server. Informationen zu diesem Vorgang Verwenden Sie die Installationsmedien von IBM HTTP Server Version 7.0, die im Lieferumfang von IBM Security Access Manager for Enterprise Single Sign-On enthalten sind, um sicherzustellen, dass Sie mit der richtigen Version arbeiten. Zeichnen Sie alle verwendeten Werte im Arbeitsblatt für die Planung auf. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. Serverübergreifende Installationen: Wenn Sie zum Erreichen von Hochverfügbarkeit einen Cluster mit HTTP-Servern installieren, müssen Sie ein Programm für den Lastausgleich verwenden, um Anforderungen an Server im Cluster zu verteilen. Wenn Sie ein Programm für den Lastausgleich einsetzen, zeichnen Sie dessen IP-Adresse oder Zielhostnamen in Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175 auf. Vorgehensweise 1. Führen Sie eine der folgenden Aktionen aus: v Greifen Sie auf die WebSphere Application Server-Medien für das von Ihnen verwendete Betriebssystem zu. v Extrahieren Sie die Dateien aus der ergänzenden Archivdatei, die Sie von Passport Advantage heruntergeladen haben. Beispiel: C1G2KML.zip Anmerkung: Die Archivdatei kann einen anderen Namen aufweisen. Dieser hängt von der heruntergeladenen Verteilung ab. Navigieren Sie zum Verzeichnis /IHS. Beispiel: C:\Images\C1G2KML\IHS. 2. Führen Sie die Datei install.exe aus. 3. Führen Sie die Anweisungen im Installationsassistenten und in den folgenden Schritten aus. 4. Prüfen Sie im Fenster Port Values Assignment die folgenden Standardwerte: HTTP Port 80 HTTP Administration Port 8008 5. Führen Sie im Fenster Windows Service Definition die folgenden Schritte aus: a. Stellen Sie sicher, dass Run IBM HTTP Server as a Windows service ausgewählt ist. b. Stellen Sie sicher, dass Run IBM HTTP Administration as a Windows service ausgewählt ist. c. Wählen Sie das Kontrollkästchen Log on as a local system account aus. d. Geben Sie im Feld User Name einen lokalen Systemaccount an. Beispiel: administrator. e. Wählen Sie in der Liste Startup type den Eintrag Automatic aus. Kapitel 1. IMS Server installieren 33 6. Führen Sie im Fenster HTTP Administration Server Authentication die folgenden Schritte aus und klicken Sie dann auf Next: a. Wählen Sie das Kontrollkästchen Create a user ID for IBM HTTP Server adminstration server authentication aus. b. Geben Sie den HTTP-Administratoraccount und das zugehörige Kennwort an. Beispiel: ihsadmin. 7. Führen Sie im Fenster IBM HTTP Server Plug-in for WebSphere Application Server die folgenden Schritte aus: a. Stellen Sie sicher, dass das Kontrollkästchen Install the IBM HTTP Server Plug-in for IBM WebSphere Application Server ausgewählt ist, und klicken Sie dann auf Next. b. Ändern Sie in Web server definition den standardmäßigen Web-ServerDefinitionsnamen oder prüfen Sie diesen. Beispielsweise können Sie den Standardnamen webserver1 verwenden. Anmerkung: Wenn für Ihren serverübergreifenden Implementierungsplan die Einrichtung eines weiteren Web-Servers erforderlich ist, müssen Sie für jeden Web-Server einen eindeutigen Web-Server-Definitionsnamen angeben. Beispiel: webserver2. c. Geben Sie für Host name or IP address for the Application Server den Namen des Anwendungsservers an. Beispiel: appsvr1.example.com. d. Klicken Sie auf Next. 8. Überprüfen Sie die Installationszusammenfassung. 9. Klicken Sie auf Next, um die Installation von IBM HTTP Server zu starten. 10. Klicken Sie auf Finish. 11. Starten Sie den Dienst für IBM HTTP Server und den für den Verwaltungsserver (Admin Server). a. Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Start Admin Server. b. Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Start HTTP Server. 12. Stellen Sie sicher, dass Sie über einen Web-Browser auf den Web-Server zugreifen können. Beispiel: v Geben Sie für den Zugriff auf den Web-Server auf dem lokalen Computer die Adresse http://localhost oder http://mywebsvr1 ein. Dabei gilt Folgendes: mywebsvr1 ist Ihr Computername. v Geben für den fernen Zugriff auf den Web-Server die Adresse http://<vollständig_qualifizierter_hostname> ein, sofern ein Namensserver für die Auflösung von Hostnamen verfügbar ist. Beispiel: http:// mywebsvr1.example.com. Nächste Schritte Sie sind nun zur Anwendung der aktuellsten Fixpacks für IBM HTTP Server bereit. IBM HTTP Server Version 7.0-Fixpacks installieren Wenden Sie die aktuellsten Fixpacks für IBM HTTP Server an. 34 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Vorbereitende Schritte v Installieren Sie WebSphere Application Server Update Installer. v Laden Sie die Fixpacks herunter. Informationen zu diesem Vorgang Wenn Ihre Implementierung mehr als einen IBM HTTP Server der Version 7.0 umfasst, müssen Sie das Fixpack auf jedem Web-Server installieren. Vorgehensweise 1. Optional: Kopieren Sie das in das Verzeichnis <was-ausgangsverzeichnis>/ UpdateInstaller/maintenance heruntergeladene Fixpack. Beispiel: 7.0.0-WS-IHS-WinX64-FP0000029.pak für Windows x64-Plattformen. 2. Stoppen Sie IBM HTTP Server. Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Stop HTTP Server. 3. Stoppen Sie den Verwaltungsserver (Admin Server). Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Stop Admin Server. 4. Installieren Sie das Fixpack. a. Starten Sie den Assistenten für Update Installer. Klicken Sie auf Start > Alle Programme > IBM WebSphere > Update Installer for WebSphere V7.0 Software > Update Installer. b. Klicken Sie auf Next. c. Wählen Sie im Fenster Product Selection das Installationsverzeichnis für IBM HTTP Server aus und klicken Sie auf Next. Beispiel: C:\Programme\IBM\ HTTPServer. d. Wählen Sie im Fenster Maintenance Operation Selection die Option Install maintenance package aus und klicken Sie auf Next. e. Navigieren Sie auf der Seite Maintenance Package Directory Selection zum Verzeichnis <updi-ausgangsverzeichnis>\maintenance oder zu dem Pfad, in den Sie das Fixpack kopiert haben, und klicken Sie dann auf Next. Der Standardwert ist C:\Programme\IBM\WebSphere\UpdateInstaller\ maintenance. f. Klicken Sie im Fenster Available Maintenance Package to Install auf Select Recommended Updates. g. Wählen Sie die Zielaktualisierung aus und klicken Sie auf Next. h. Klicken Sie in der Anzeige Installation Summary auf Next. 5. Starten Sie IBM HTTP Server. Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Start HTTP Server. 6. Starten Sie Admin Server. Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Start Admin Server. Nächste Schritte Wenn das WebSphere-Plug-in für IBM HTTP Server bereits installiert ist, müssen Sie auch auf das Web-Server-Plug-in die aktuellsten Fixpacks anwenden. Fixpack für das IBM HTTP Server Version 7.0-Plug-in installieren Das aktuellste Fixpack für das WebSphere Application Server-Plug-in ist erforderlich. Verwenden Sie Update Installer für die Installation des Fixpacks für das WebSphere Application Server-Plug-in. Kapitel 1. IMS Server installieren 35 Vorbereitende Schritte v Installieren Sie WebSphere Application Server Update Installer. v Installieren Sie die WebSphere Application Server-Fixpacks. Vorgehensweise 1. Optional: Kopieren Sie die Fixpackdatei in das Verzeichnis <updiausgangsverzeichnis>/maintenance. Beispiel: 7.0.0-WS-PLG-WinX64FP0000029.pak für Windows (x64). 2. Stoppen Sie IBM HTTP Server. Beispiel: Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Stop HTTP Server. 3. Installieren Sie das Fixpack. a. Starten Sie den Assistenten für Update Installer. Klicken Sie auf Start > Alle Programme > IBM WebSphere > Update Installer For WebSphere v7.0 Software > Update Installer und klicken Sie dann auf Weiter. b. Wählen Sie im Fenster Product Selection das IBM HTTP Server-Verzeichnis Plugins aus und klicken Sie dann auf Next. Beispiel: Verzeichnis <ihsausgangsverzeichnis>/Plugins. c. Wählen Sie im Fenster Maintenance Operation Selection die Option Install maintenance package aus und klicken Sie auf Next. d. Navigieren Sie auf der Seite Maintenance Package Directory Selection zum Verzeichnis <updi-ausgangsverzeichnis>\maintenance oder zu dem Pfad, in den Sie das Fixpack kopiert haben, und klicken Sie dann auf Next. Der Standardwert ist C:\Programme\IBM\WebSphere\UpdateInstaller\ maintenance. e. Klicken Sie im Fenster Available Maintenance Package to install auf Select Recommended Updates. f. Wählen Sie die Zielaktualisierung aus und klicken Sie auf Next. g. Klicken Sie in der Anzeige Installation Summary auf Next, um die Installation des Fixpacks zu starten. h. Klicken Sie auf Finish. 4. Starten Sie IBM HTTP Server. Beispiel: Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Start HTTP Server. Ergebnisse Sie haben das Fixpack für das IBM HTTP Server-Plug-in angewendet. Verzeichnisserver vorbereiten Installieren Sie den Verzeichnisserver und richten Sie ihn so ein, dass IBM Security Access Manager for Enterprise Single Sign-On mit ihm kommunizieren kann. Als Verzeichnisserver kann Microsoft Active Directory, Tivoli Directory Server oder ein LDAP-kompatibler Host verwendet werden. Ein Verzeichnisservice oder eine Benutzerregistry bietet Benutzerauthentifizierung und Zugriffssteuerung. IBM Security Access Manager for Enterprise Single Sign-On kann mit Ihrem bestehenden unterstützten Verzeichnisserver zusammenarbeiten, wenn Sie für die Authentifizierung und Verwaltung von Benutzeraccounts in einem Repository bereits einen Verzeichnisservice verwenden. Wichtig: Für IBM Security Access Manager for Enterprise Single Sign-On ist kein Unternehmensverzeichnisservice zum Abrufen oder Speichern von Details zur Benutzerauthentifizierung erforderlich. 36 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Die Integration mit einem Verzeichnisserver ist keine Voraussetzung für die Installation. IBM Security Access Manager for Enterprise Single Sign-On funktioniert auch in Unternehmensumgebungen, in denen kein Verzeichnisservice verwendet wird. Weitere Hinweise zur Implementierung mit einem Verzeichnisserver finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Sie können in Konfigurationen mit einem einzigen Verzeichnisserver oder einem föderierten Repository arbeiten. IBM Security Access Manager for Enterprise Single Sign-On verwendet die Komponente Virtual Member Manager in WebSphere Application Server zur Unterstützung der Authentifizierung auf Verzeichnisservern. Prüfen Sie vor dem Kombinieren mehrerer Active Directory-Server oder -Benutzerregistrys die folgenden Hinweise: v Definierte Namen müssen für einen Benutzerverbund oder Gruppen auf allen Verzeichnisservern eindeutig sein. Beispiel: Wenn cn=imsadmin,dc=ibm auf ADLDAP1 vorhanden ist, darf diese Angabe nicht auf AD-LDAP2 und auf ADLDAP3 vorhanden sein. v Nur bei LDAP: Der Kurzname, z. B. imsadmin, muss für einen Realm in allen Registrys eindeutig sein. v Die Basis-DNs für alle Registrys, die in einem Realm verwendet werden, dürfen sich nicht überschneiden. Beispiel: Wenn AD-LDAP1 den Wert cn=users,dc=ibm aufweist, darf AD-LDAP2 nicht den Wert dc=ibm aufweisen. Weitere Informationen zur Komponente Virtual Member Manager in WebSphere Application Server finden Sie in der folgenden Dokumentation: v Dokumentation für WebSphere Application Server Version 7.0: http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp. v Dokumentation für WebSphere Application Server Version 8.5: http://pic.dhe.ibm.com/infocenter/wasinfo/v8r5/index.jsp. Vor der Installation von IBM Security Access Manager for Enterprise Single SignOn können Sie ein Unternehmensverzeichnis auswählen. Vollständige Anweisungen zur Vorbereitung und Einrichtung eines bestehenden Verzeichnisservers finden Sie in der Dokumentation Ihres Verzeichnisserveranbieters. Wenn Sie einen Verzeichnisserver verwenden wollen, müssen Sie die folgenden Hinweise zur Implementierung beachten: v Bereiten Sie sich darauf vor, die erforderlichen Werte für Hostname, Domänenname, Portnummer, erforderlichen Benutzer für die Suche, definierte Namen für die Bindung und Basis-DNs des Verzeichnisservers anzugeben. Diese Werte müssen bereitgestellt werden, wenn Sie sich für die Konfiguration von IMS Server mit einem Verzeichnisserver entscheiden. Sie können die erforderlichen Werte im Arbeitsblatt für die Planung aktualisieren. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. v IBM Security Access Manager for Enterprise Single Sign-On funktioniert mit LDAP-Verzeichnisservern wie IBM Tivoli Directory Server oder mit Active Directory. v Gehen Sie wie folgt vor, um das Zurücksetzen von Kennwörtern mit AccessAssistant oder Web Workplace zu unterstützen: Kapitel 1. IMS Server installieren 37 – Auf einem Active Directory-Server mit Nicht-SSL-Verbindungen müssen Sie Tivoli Identity Manager Active Directory Adapter in derselben Domäne installieren. – Auf einem Active Directory-Server mit einer SSL-Verbindung sind keine weiteren Konfigurationen für den Verzeichnisserver erforderlich. – Bereiten Sie einen Verzeichnisbenutzer mit Administratorberechtigungen vor. Darüber hinaus können Sie auch einen festgelegten Verzeichnisbenutzeraccount mit Berechtigungen für das Zurücksetzen von Kennwörtern auf dem Verzeichnisserver vorbereiten. v Wenn Sie eine Implementierung mit einer virtuellen Einheit vorbereiten, fügen Sie die Angabe <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> nicht auf dem Verzeichnisserver hinzu. Der Berechtigungsnachweis <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> darf nicht auf dem Verzeichnisserver vorhanden sein. Unterstützte Verzeichnisserver Gehen Sie wie folgt vor, um eine Liste mit unterstützten Verzeichnisservern für WebSphere Application Server 7.0 anzuzeigen: 1. Rufen Sie die Seite http://www-01.ibm.com/support/docview.wss?rs=180 &uid=swg27012369 auf. 2. Wählen Sie das Zielbetriebssystem aus. Beispiel: Windows. 3. Suchen Sie den Abschnitt LDAP Server using Federated Repository Configuration, um die Liste mit den unterstützten Verzeichnisservern anzuzeigen. Verzeichnisserverressourcen Die folgenden Ressourcen bieten Unterstützung bei der Vorbereitung eines unterstützten Verzeichnisservers und der Aktivierung der Sicherheitseinstellungen. Tivoli Directory Server v Übersicht und Installationsanweisungen http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/ com.ibm.IBMDS.doc/install27.htm v Anweisungen zur Aktivierung der SSL-Sicherheitseinstellungen http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?toc=/ com.ibm.IBMDS.doc/toc.xml Anmerkung: Geben Sie in das Suchfeld den Wert Configuring IBM Tivoli Directory Server for SSL access ein. Microsoft Active Directory v Übersicht und Installationsanweisungen Rufen Sie die Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach „Active Directory installation overview”. v Anweisungen zur Aktivierung der SSL-Sicherheitseinstellungen Rufen Sie die Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach „Active Directory SSL enabling”. Active Directory-Server vorbereiten Installieren Sie den Verzeichnisserver und richten Sie ihn so ein, dass Active Directory mit IBM Security Access Manager for Enterprise Single Sign-On kommuniziert. 38 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Sie können einen Active Directory-Server vorbereiten, wenn Sie Active Directory als Verzeichnisserver verwenden wollen. Hinweise zur Verwendung eines Verzeichnisservers mit IBM Security Access Manager for Enterprise Single Sign-On sind im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide enthalten. Für das programmgesteuerte Einrichten und Ändern von Kennwörtern beim Anmelden und bei der Benutzererstellung in Active Directory ist SSL erforderlich. Aktivieren Sie SSL in Active Directory, damit Clients auf sichere Weise mit den Active Directory-Servern kommunizieren können. Wichtig: Wenn Sie in AccessAssistant oder Web Workplace das Zurücksetzen von Kennwörtern, nicht aber Active Directory über SSL verwenden wollen, müssen Sie IBM Security Identity Manager Active Directory Adapter installieren. Siehe „Active Directory Adapter vorbereiten”. 1. Prüfen Sie die Implementierungsvoraussetzungen für die Active Directory-Konfiguration. Gehen Sie wie folgt vor, um die für Active Directory auszuführenden Schritte zu ermitteln: v Wenn SSL erforderlich, aber noch nicht aktiviert ist, können Sie der Dokumentation des Anbieters Informationen zum Aktivieren von SSL für Ihre Version von Active Directory entnehmen. v Wenn SSL erforderlich und aktiviert ist, müssen Sie sicherstellen, dass die SSL-Portnummern den Anforderungen entsprechen. v Wenn SSL in Ihrer Implementierung nicht erforderlich ist, finden Sie unter „Active Directory Adapter vorbereiten” Informationen. 2. Optional: Erstellen Sie einen Benutzer für die Suche in Active Directory für IBM Security Access Manager for Enterprise Single Sign-On-Verzeichnissuchvorgänge. Zur Unterstützung des Zurücksetzens von Kennwörtern in AccessAssistant und Web Workplace müssen Sie einen Verzeichnisbenutzer mit Berechtigungen für das Zurücksetzen von Kennwörtern vorbereiten. Stellen Sie für den Benutzer Folgendes sicher: v Er ist aktiv und nicht als zu inaktivieren definiert. v Er ist nicht als abgelaufen definiert. Anmerkung: Vermeiden Sie die Erstellung eines Benutzers mit Verwaltungsaufgaben mit demselben Benutzernamen wie der WebSphere-Administrator. Active Directory Adapter vorbereiten: Installieren Sie IBM Security Identity Manager Active Directory Adapter, wenn Sie Active Directory ohne SSL verwenden und das Zurücksetzen von Kennwörtern in AccessAssistant und Web Workplace unterstützt werden soll. Vorbereitende Schritte Bereiten Sie auf dem Verzeichnisserver einen Benutzeraccount mit Domänenadministratorberechtigungen vor. Beispiel: tadadmin. Kapitel 1. IMS Server installieren 39 Informationen zu diesem Vorgang Detaillierte Anweisungen zur Installation und Konfiguration von IBM Security Identity Manager Active Directory Adapter können Sie der Adapterdokumentation für IBM Security Identity Manager entnehmen. Verwenden Sie IBM Security Identity Manager Active Directory Adapter für die Verwaltung von Benutzeraccounts für IBM Security Access Manager for Enterprise Single Sign-On in einer Active Directory-Domäne. Active Directory Adapter wird auf dem Domänencontroller oder einer Nicht-Domänencontroller-Workstation installiert. Die Dokumentation für IBM Security Access Manager for Enterprise Single SignOn enthält keine Anweisungen zur Installation, Verwendung oder Konfiguration des Adapters mit Active Directory. Active Directory Lightweight Directory Services unter Windows vorbereiten Wenn Sie Active Directory Lightweight Directory Services als Benutzerregistry verwenden wollen, müssen Sie Active Directory Lightweight Directory Services für die Kommunikation mit IBM Security Access Manager for Enterprise Single SignOn vorbereiten. Active Directory Lightweight Directory Services (AD LDS) - zuvor als Active Directory Application Mode (ADAM) bezeichnet - bietet Unterstützung für verzeichnisfähige Anwendungen. Mithilfe der folgenden allgemeinen Schritte können Sie AD LDS oder ADAM vorbereiten. Hinweise zur Verwendung eines Verzeichnisservers mit IBM Security Access Manager for Enterprise Single Sign-On sind im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide enthalten. 1. Prüfen Sie die Implementierungsvoraussetzungen für AD LDS oder ADAM. Eine vollständige Dokumentation zur Konfiguration von ADAM oder AD LDS finden Sie auf der Website von Microsoft unter der Adresse www.microsoft.com. Suchen Sie dort nach „Active Directory Lightweight Directory Services overview”. Anmerkung: Standardmäßig benötigt Active Directory Lightweight Directory Services die Aktivierung von SSL zur Kennwortzurücksetzung in AccessAssistant und Web Workplace. Wenn keine SSL-Verbindung vorhanden ist, ist eine Instanz von IBM Security Identity Manager Active Directory Adapter erforderlich. Siehe „Active Directory Adapter vorbereiten” auf Seite 39. 2. Erstellen Sie einen designierten IBM Security Access Manager for Enterprise Single Sign-On-Benutzer für die Suche. Beispiel: lookupusr. Für die Unterstützung des Zurücksetzens von Kennwörtern können Sie einen Benutzer mit Verwaltungsaufgaben oder einen designierten Benutzer mit Berechtigungen zum Zurücksetzen von Kennwörtern erstellen. Beispiel: myresetuser. Stellen Sie für den Benutzeraccount Folgendes sicher: v Er ist aktiv und nicht als zu inaktivieren definiert. v Er ist nicht so definiert, dass seine Gültigkeit abläuft. 40 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Tivoli Directory Server vorbereiten Wenn Sie IBM Tivoli Directory Server als LDAP-Unternehmensverzeichnis verwenden wollen, müssen Sie den Server so vorbereiten, dass er mit IBM Security Access Manager for Enterprise Single Sign-On kommuniziert. Hinweise zur Verwendung eines Verzeichnisservers mit IBM Security Access Manager for Enterprise Single Sign-On sind im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide enthalten. 1. Prüfen Sie die Konfiguration von Tivoli Directory Server. Ausführliche Anweisungen zum Abrufen von Informationen zu Ihrer Implementierung finden Sie in der jeweiligen Produktdokumentation. Anmerkung: Eine Einschränkung von Tivoli Directory Server besteht darin, dass im DN von Benutzern oder Gruppen nicht das großgeschriebene I mit Punkt oder das kleingeschriebene i mit Punkt aus dem türkischen Alphabet enthalten sein dürfen. Durch diese Zeichen wird das korrekte Abrufen des betreffenden Benutzers bzw. der betreffenden Gruppe verhindert. 2. Erstellen Sie den IBM Security Access Manager for Enterprise Single Sign-OnBenutzer für die Suche. IMS Server mit dem Installationsprogramm von IMS Server installieren Installieren und implementieren Sie IMS Server in WebSphere Application Server und verwenden Sie dazu das Installationsprogramm von IMS Server. Vorbereitende Schritte v Überprüfen Sie die Hinweise für die Installationsvorbereitung. Informationen dazu finden Sie unter "Planning for installation" im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. v Führen Sie die Installation und die Konfiguration der Middleware aus: – Erstellen Sie das WebSphere Application Server-Profil (für eigenständige Implementierungen) oder das Deployment Manager-Profil (für Netzimplementierungen). – Stellen Sie sicher, dass das WebSphere Application Server-Profil (für eigenständige Implementierungen) oder das Deployment Manager-Profil (für Netzimplementierungen) gestartet ist. – Bereiten Sie den Verzeichnisserver vor. – Bereiten Sie den Datenbankserver vor. – Bereiten Sie IBM HTTP Server vor. – Für eigenständige WebSphere Application Server-Implementierungen: - Stellen Sie sicher, dass das Serverprofil gestartet ist. - Prüfen Sie die WebSphere Application Server-Konfiguration für eigenständige Implementierungen. - Prüfen Sie die IBM HTTP Server-Konfiguration. – Für WebSphere Application Server Network Deployment: - Stellen Sie sicher, dass das Deployment Manager-Profil gestartet ist. - Prüfen Sie die WebSphere Application Server-Konfiguration auf einen Cluster. - Prüfen Sie die IBM HTTP Server-Konfiguration. Kapitel 1. IMS Server installieren 41 v Entnehmen Sie dem Arbeitsblatt für die Planung die verschiedenen Daten, die für die Ausführung der Installation erforderlich sind. Informationen zu diesem Vorgang Beim Installationsprozess von IMS Server werden zwei Anwendungen in WebSphere Application Server implementiert: Anwendungsname EAR-Dateiname Inhalt ISAMESSOIMS com.ibm.tamesso.imsdelhi.deploy.isamessoIms.ear v AccessAdmin v AccessAssistant und Web Workplace v Laufzeit-Web-Service für IMS Server ISAMESSOIMSConfig com.ibm.tamesso.imsdelhi.deploy.isamessoImsConfig.ear v IMS-Konfigurationsassistent v IMS-Konfigurationsdienstprogramm Vorgehensweise 1. Führen Sie die Datei imsinstaller.exe aus, um den Installationsassistenten von IMS Server zu starten. 2. Akzeptieren Sie die Standardsprache oder wählen Sie eine andere Sprache aus. 3. Klicken Sie auf OK. 4. Wählen Sie das Produkt aus, für dessen Installation Sie über eine Lizenz verfügen. v IBM Security Access Manager for Enterprise Single Sign-On Standard Dieses Paket bietet strikte Authentifizierung, Sitzungsmanagement, zentrale Protokollierung und Berichterstellung sowie einmalige Anmeldung. v IBM Security Access Manager for Enterprise Single Sign-On Suite Dieses Paket bietet neben den Merkmalen des Pakets "Standard" OTP-Unterstützung, AccessAgent-Plug-ins, einmalige Anmeldung im Web und Fernzugriff über Web Workplace, angepasste Überwachungsfunktionen sowie IAM-Integration. 5. Klicken Sie auf Weiter. 6. Wählen Sie Ich akzeptiere die Bedingungen der Lizenzvereinbarung aus. 7. Klicken Sie auf Weiter. 8. Akzeptieren Sie das Standardinstallationsverzeichnis oder geben Sie ein neues Verzeichnis an. Standardmäßig wird IMS Server im Verzeichnis C:\Programme\IBM\ISAM ESSO\IMS Server installiert. 9. Klicken Sie auf Weiter. 10. Wählen Sie Ja aus, damit IMS Server automatisch in WebSphere Application Server implementiert wird. v Klicken Sie für die manuelle Implementierung von WebSphere Application Server auf Nein. Siehe „IMS Server manuell in WebSphere Application Server implementieren” auf Seite 212. 11. Klicken Sie auf Ja, um anzugeben, dass die WebSphere Application ServerSicherheit aktiviert wird. Wenn Sie auf Nein klicken, müssen Sie den SOAPPort angeben. Typische SOAP-Ports: 42 IBM® Security Access Manager for Enterprise Single Sign-On: Installation v Eigenständige Implementierung: 8880 v Netzimplementierung (Deployment Manager-Knoten): 8879 Anmerkung: Geben Sie die korrekten Details zur Anwendungssicherheit an, bevor Sie fortfahren. Wenn die Sicherheitsprüfung für WebSphere Application Server fehlschlägt, haben Sie falsche Informationen eingegeben. In diesem Fall können Sie das Installationsprogramm erneut starten. 12. Klicken Sie auf Weiter. 13. Konfigurieren Sie die Einstellungen der Administrationssicherheit von WebSphere Application Server. Anmerkung: Wenn bidirektionales SSL für WebSphere Application Server aktiviert ist, sind die SSL-Java-Schlüsselspeicherdatei und das zugehörige Kennwort erforderlich. a. Geben Sie den Namen des WebSphere-Benutzers mit Verwaltungsaufgaben sowie das zugehörige Kennwort an, die Sie während der Profilerstellung bereitgestellt haben. Beispiel: wasadmin und kennwort. b. Geben Sie die vertrauenswürdige SSL-Java-Schlüsselspeicherdatei (trust.p12) sowie deren Position an. Beispiel: v Für WebSphere Application Server (eigenständig): <was-ausgangsverzeichnis>\profiles\<anwendungsserver-profilname>\ config\cells\<zellenname>\nodes\<knotenname>\trust.p12 Beispiel: C:\IBM\WebSphere\AppServer\profiles\AppSrv01\config\cells\ ibmusvr1Node01Cell\nodes\ibmusvr1Node01\trust.p12 v Für WebSphere Application Server Network Deployment: <was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config\ cells\<zellenname>\trust.p12 Beispiel: C:\IBM\WebSphere\AppServer\Profiles\Dmgr01\config\cells\ibmsvr1Cell01\trust.p12 c. Geben Sie das Kennwort für den vertrauenswürdigen SSL-Schlüsselspeicher an. Das standardmäßige Kennwort für den vertrauenswürdigen SSL-Schlüsselspeicher lautet WebAS. d. Optional: Geben Sie die SSL-Java-Schlüsselspeicherdatei (key.p12) sowie deren Position an. Beispiel: v Für WebSphere Application Server (eigenständig): <was-ausgangsverzeichnis>\profiles\<anwendungsserver-profilname>\ config\cells\<zellenname>\nodes\<knotenname>\key.p12 Kapitel 1. IMS Server installieren 43 Beispiel: C:\IBM\WebSphere\AppServer\profiles\AppSrv01\config\cells\ ibmusvr1Node01Cell\nodes\ibmusvr1Node01\key.p12 v Für WebSphere Application Server Network Deployment: <was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config\ cells\<zellenname>\key.p12 Beispiel: C:\IBM\WebSphere\AppServer\Profiles\Dmgr01\config\cells\ibmsvr1Cell01\key.p12 Anmerkung: Wenn Sie die SSL-Java-Schlüsselspeicherdatei angeben, müssen Sie im Feld SSL keystore password das Schlüsselspeicherkennwort angeben. Siehe Schritt e. e. Wenn Sie die SSL-Java-Schlüsselspeicherdatei angegeben haben, geben Sie das SSL-Java-Schlüsselspeicherkennwort an. Das standardmäßige SSL-Java-Schlüsselspeicherkennwort lautet WebAS. 14. Akzeptieren Sie den standardmäßigen SOAP-Connector-Port von WebSphere Application Server oder geben Sie einen anderen SOAP-Connector-Port an. Anmerkung: Sie können die korrekte Portnummer im folgenden Verzeichnis für jedes Profil ermitteln. Beispiel: Eigenständig: <was-ausgangsverzeichnis>/profiles/ <anwendungsserverprofilname>/logs/AboutThisProfile.txt Netzimplementierung: <was-ausgangsverzeichnis>/profiles/<dmgrprofilname>/logs/AboutThisProfile.txt Beispiel: v Für den eigenständigen WebSphere Application Server ist der standardmäßige SOAP-Port für den Anwendungsserver Port 8880. v Für WebSphere Application Server Network Deployment ist der standardmäßige SOAP-Port für den Deployment Manager Port 8879. 15. Klicken Sie auf Weiter. 16. Klicken Sie auf Installieren. 17. Klicken Sie im Fenster Installation abgeschlossen auf Fertig. Nächste Schritte Prüfen Sie vor dem Einrichten von IMS Server mit dem IMS-Konfigurationsassistenten die Implementierung von IMS Server in WebSphere Application Server. Siehe „Implementierung von IMS Server in WebSphere Application Server überprüfen”. Wenn bei der Installation von IMS Server Fehler aufgetreten sind, müssen Sie diese vor der Konfiguration von IMS Server beheben. Entnehmen Sie der Datei <ims-ausgangsverzeichnis>/ISAM_ESSO_IMS_Server_InstallLog.log kritische Installationsfehler für IMS Server, die behoben werden müssen. Implementierung von IMS Server in WebSphere Application Server überprüfen Prüfen Sie Integrated Solutions Console, um festzustellen, ob IMS Server erfolgreich in WebSphere Application Server implementiert ist. 44 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Vorbereitende Schritte v (Netzimplementierung) Stellen Sie sicher, dass der Deployment Manager gestartet ist. v (Eigenständig) Stellen Sie sicher, dass der Anwendungsserver gestartet ist. v Installieren Sie IMS Server. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. Dabei steht <profilname> für Folgendes: v Für den Deployment Manager für eine Netzimplementierung. Beispiel: Dmgr01. v Für die Instanz des eigenständigen Anwendungsservers. Beispiel: AppSrv01. 2. Melden Sie sich mit den Berechtigungsnachweisen des WebSphere-Administrators bei Integrated Solutions Console an. Beispiel: wasadmin. 3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Applications > Application Types > WebSphere Enterprise Applications aus. 4. Stellen Sie sicher, dass die folgenden IMS Server-Anwendungen in der Liste aufgeführt sind: Anwendung Status ISAMESSOIMS Gestoppt. ISAMESSOIMSConfig Gestartet. Anmerkung: Die Anwendung ISAMESSOIMS kann gestoppt bleiben. ISAMESSOIMSConfig wird mit dem Deployment Manager gestartet und ISAMESSOIMS mit dem Cluster. Nächste Schritte Nachdem Sie geprüft haben, ob die WebSphere-Anwendungen von IMS Server implementiert sind, konfigurieren Sie die ISAMESSOIMSConfig-Anwendung für die Verwendung der JavaServer Faces-Implementierung. v „JSF-Implementierung konfigurieren” v „IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten konfigurieren (eigenständig)” auf Seite 78 v „IMS Server mit dem IMS-Konfigurationsassistenten konfigurieren (Netzimplementierung)” auf Seite 109 JSF-Implementierung konfigurieren Bevor Sie IMS Server für WebSphere Application Server Version 8.5 konfigurieren, müssen Sie die IMS Server-Implementierung so konfigurieren, dass sie Sun Reference Implementation 1.2 verwendet. Vorbereitende Schritte Installieren Sie IMS Server. Informationen zu diesem Vorgang Führen Sie in der WebSphere Application Server-Administrationskonsole die folgenden Schritte durch, um die JSF-Implementierung der Anwendungen ISAKapitel 1. IMS Server installieren 45 MESSOIMSConfig und ISAMESSOIMS zu konfigurieren. Vorgehensweise 1. Klicken Sie in der Administrationskonsole auf Applications > Application Types > WebSphere Enterprise Applications. 2. Führen Sie die folgenden Schritte für ISAMESSOIMSConfig und ISAMESSOIMS aus. a. Wählen Sie die Anwendung aus. b. Klicken Sie unter Web Module Properties auf JSP and JSF Options. c. Wählen Sie für JSF Implementation den Eintrag SunRI1.2 aus. d. Speichern Sie die Änderungen an der Hauptkonfiguration. e. Starten Sie das WebSphere Application Server-Profil neu. Synchronisieren Sie bei Clusterimplementierungen den Knoten und starten Sie ihn erneut. Nächste Schritte Konfigurieren Sie nach der Auswahl der JSF-Implementierung für die Anwendungen ISAMESSOIMSConfig und ISAMESSOIMS IMS Server mithilfe des IMS-Konfigurationsassistenten. Gemeinsam genutzte JAX-RS-Bibliothek hinzufügen Definieren Sie eine containerweite, gemeinsam genutzte Bibliothek in WebSphere Application Server, die von der implementierten ISAMESSOIMS-Anwendung genutzt werden kann. Vorbereitende Schritte v Installieren Sie das WebSphere Application Server 7.0 Feature Pack for Web 2.0 and Mobile. v Dazu müssen Sie über Administratorberechtigungsnachweise für WebSphere Application Server verfügen. Informationen zu diesem Vorgang Führen Sie diese Task für WebSphere Application Server aus. Anmerkung: Diese Task ist nur für WebSphere Application Server Version 7.0 relevant. In Clusterimplementierungen müssen Sie diese Task im Deployment Manager ausführen. Vorgehensweise 1. Melden Sie sich mit Administratorberechtigungen bei der WebSphere Application Server-Administrationskonsole an. 2. Klicken Sie im Navigationsfenster auf Environment > Shared libraries (gemeinsam genutzte Bibliotheken). 3. Wählen Sie im Bereich Scope einen Zellenbereich aus. Beispiel: Cell=HostNameNode01Cell. 4. Klicken Sie auf New. 5. Geben Sie im Feld Name die Zeichenfolge jaxrslib ein. 6. Machen Sie im Feld Classpath folgende weitere Angaben: 46 IBM® Security Access Manager for Enterprise Single Sign-On: Installation ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/commons-codec.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/commons-lang.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/httpclient.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/httpcore.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/ibm-wink-jaxrs.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/jcl-over-slf4j.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/jsr311-api.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/slf4j-api.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/slf4j-jdk14.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/jackson/jackson-core-asl.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/jackson/jackson-jaxrs.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/jackson/jackson-mapper-asl.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/jackson/jackson-xc.jar ${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/webdav/wink-jaxrs-webdav.jar Dabei gilt Folgendes: ${was_installationsstammverzeichnis} ist eine Umgebungsvariable von WebSphere zur Speicherposition des WebSphere Application Server-Verzeichnisses. Beispiel: C:\Programme\IBM\WebSphere\AppServer. 7. Klicken Sie auf OK. 8. Klicken Sie auf Speichern. 9. Ordnen Sie die Anwendung ISAMESSOIMS der gemeinsam genutzten Bibliothek zu. a. Klicken Sie im Navigationsfenster auf Applications > Application Types > WebSphere enterprise applications. b. Klicken Sie auf der Seite Enterprise Applications auf ISAMESSOIMS. c. Klicken Sie auf der Seite Configuration unter References, auf Shared library references. d. Wählen Sie ISAMESSOIMS aus. e. Klicken Sie auf Reference shared libraries. f. Wählen Sie in der Liste der verfügbaren Bibliotheken (Available) die Bibliothek jaxrslib aus. g. Verschieben Sie die Bibliothek jaxrslib in die Liste Selected (Ausgewählt), indem Sie auf >> klicken. h. Klicken Sie zweimal auf OK. 10. Speichern Sie die Änderungen in WebSphere Application Server. 11. Synchronisieren Sie bei Clusterimplementierungen alle Knoten. 12. Führen Sie einen Neustart der Anwendung ISAMESSOIMS durch. a. Rufen Sie im Navigationsfenster Applications > Application Types > WebSphere Enterprise Applications auf. b. Wählen Sie ISAMESSOIMS aus. c. Klicken Sie auf Stop. d. Klicken Sie auf Start. Die Anwendung ISAMESSOIMS wird erneut gestartet. Server mit virtueller Einheit einrichten Sie können eine ausführungsbereite virtuelle Servereinheit in VMware ESX und ESXi für schnellere Implementierungen implementieren. Implementieren Sie virtuelle Servereinheiten in eigenständigen oder Hochverfügbarkeitskonfigurationen. Im Unterschied zur manuellen Installation des Serverprodukts enthält eine virtuelle Einheit konfigurierte Softwarevoraussetzungen mit IMS Server in einem einzigen virtuellen Image. Kapitel 1. IMS Server installieren 47 Virtuelle Einheit ISAM ESSO AccessAgent Web-Browser (Client) Anwendungsschicht, Webschicht Datenschicht Anwendungsserver Web-Server Plug-in ISAM ESSO IMS Server Anwendungsdaten ISAM ESSO IMSKonfigurationsdienstprogramm Abbildung 1. Eigenständige Installation mit virtueller Einheit Weitere Informationen zu Planung und Implementierung beim Einrichten eines Servers mit virtueller Einheit finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Roadmap Die virtuelle Einheit von IBM Security Access Manager for Enterprise Single SignOn ist ein unabhängiges virtuelles Image. Das virtuelle Image enthält SUSE Linux Enterprise Server, WebSphere Application Server Hypervisor Edition, Tivoli Common Reporting, IBM HTTP Server und die Anwendung IMS Server. Führen Sie das virtuelle Image in VMware ESX- oder ESXi-Hypervisors aus. Bevor Sie die virtuelle Einheit installieren, müssen Sie sicherstellen, dass Ihre Virtualisierungsplattform die Voraussetzungen erfüllt. Es ist einfacher, eine Implementierung als virtuelle Einheit durchzuführen, weil das Betriebssystem und die Anwendungen bereits installiert und teilweise konfiguriert sind. Führen Sie folgenden Tasks aus: 1. Bereiten Sie den Datenbankserver vor. 2. Bereiten Sie den Verzeichnisserver vor. 3. Implementieren Sie die virtuelle Einheit. 4. Aktivieren und konfigurieren Sie die virtuelle Einheit. Die virtuelle Einheit implementiert eine funktionsfähige IBM Security Access Manager for Enterprise Single Sign-On-Serverunternehmensanwendung in WebSphere Hypervisor. Sie können die virtuelle Einheit als Pilot- oder Testsystem verwenden. Eine einzige virtuelle Einheit kann auch als einzelnes Produktionssystem für eine kleine Abteilung dienen. Für Produktions- oder Hochverfügbarkeitsumgebungen können Sie weitere virtuelle Einheiten als Replikate implementieren. Ein Replikat einer virtuellen Einheit bezieht sich auf eine Reihe virtueller Einheiten, die auf dieselbe Weise konfiguriert sind. Zum Vereinfachen des Prozesses, bei dem Konfigurationen mit mehreren virtuellen Einheiten repliziert werden, können Sie die IMS Server-Konfiguration in eine Datei exportieren. Siehe „Virtuelle Einheit für Hochverfügbarkeit replizieren” auf Seite 58. Anmerkung: Wenn die IMS Server-Konfigurationen geändert werden, müssen Sie das Tool für den Export und Import von Konfigurationen für die manuelle Synchronisation der Konfiguration mit anderen Replikaten verwenden. Wenn die Zahl der Replikate zunimmt, steigt auch der Aufwand für die Synchronisation der IMS Server- 48 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Konfiguration. Informationen zum Management mehrerer IMS Server-Knoten finden Sie in der Methode für WebSphere Application Server Network Deployment (Cluster). Weitere Informationen zur Hochverfügbarkeit für virtuelle Einheiten in einer replizierten Konfiguration finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Informationen zur Verwendung des Tools für den Export und Import von Konfigurationen von IMS Server für die Replikation von Konfigurationen finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide. Lieferumfang der virtuellen Einheit Die virtuelle Einheit enthält die folgenden vorinstallierten Komponenten: WebSphere Application Server WebSphere Application Server Hypervisor Edition stellt eine zentrale Anwendungsverwaltungsplattform dar, die die die Funktionalität eines WebServers zur Bearbeitung von Webanwendungsanforderungen erweitert. Die IBM Security Access Manager for Enterprise Single Sign-On-Komponente IMS Server ist eine WebSphere-Anwendung, die den Anwendungsserver nutzt. IBM HTTP Server IBM HTTP Server für WebSphere Application Server Hypervisor Edition ist ein dedizierter HTTP-Server, der für die Arbeit mit dem Anwendungsserver konfiguriert ist. Tivoli Common Reporting Tivoli Common Reporting ist eine optionale Berichtskomponente, die erweiterte Berichtsmanagementfunktionen bietet. IBM Security Access Manager for Enterprise Single Sign-On IMS Server IMS Server ist eine Webanwendung in WebSphere Application Server, mit der Administratoren Einstellungen für das Identitätsmanagement und die einmalige Anmeldung konfigurieren können. Anmerkung: Die Verteilung der virtuellen Einheit umfasst eine Reihe optionaler Dienstprogramme für deren Verwaltung. Weitere Informationen dazu finden Sie im Abschnitt zu Befehlszeilentools im Dokument IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide. Nicht im Lieferumfang der virtuellen Einheit enthaltene Komponenten Die virtuelle Einheit enthält nicht die folgenden Komponenten: Datenbankserver Installieren Sie den Datenbankserver separat. Allerdings umfasst die standardmäßige Softwareverteilung von IBM Security Access Manager for Enterprise Single Sign-On, die nicht die virtuelle Einheit umfasst, eine Edition mit Nutzungsbegrenzung von IBM DB2. Sie müssen den Datenbankserver auf einem separaten Server installieren, bevor Sie die virtuelle Einheit installieren. Verzeichnisserver Wenn Sie mit einem LDAP-Server arbeiten, können Sie die virtuelle Einheit Kapitel 1. IMS Server installieren 49 so konfigurieren, dass sie mit einem neuen Verzeichnisserver oder einem bereits bestehenden Server zusammenarbeitet. Installieren Sie bei Active Directory-Servern ohne SSL mit Anforderungen bezüglich des Zurücksetzens von Kennwörtern mit AccessAssistant oder Web Workplace die Komponente Active Directory Adapter. Sie können den Adapter auf dem Domänencontroller oder einem separaten Host installieren. Bereiten Sie den Verzeichnisserver auf einem separaten Host vor, bevor Sie die virtuelle Einheit konfigurieren. Wichtig: Die Fingerabdruckauthentifizierung wird in der virtuellen Einheit nicht unterstützt. Datenbankserver vorbereiten Sie können entweder einen Datenbankserver installieren oder einen bereits bestehenden Datenbankserver wiederverwenden, bevor Sie IMS Server installieren, weil die virtuelle Einheit keinen Datenbankserver umfasst. Siehe „Datenbankserver vorbereiten” auf Seite 18. Verzeichnisserver vorbereiten Die virtuelle Einheit enthält keinen Verzeichnisserver. Wenn Sie einen Verzeichnisserver für Benutzerauthentifizierungsservices verwenden wollen, können Sie einen neuen Verzeichnisserver vorbereiten oder einen bereits bestehenden Verzeichnisserver wiederverwenden, bevor Sie IMS Server installieren. Sie können einen erforderlichen Benutzer für die Suche mit mit Verzeichnissuchberechtigungen vorbereiten. Siehe „Verzeichnisserver vorbereiten” auf Seite 36. Konfiguration von IMS Server und Web-Server für IBM Security Access Manager for Enterprise Single Sign-On Das Image enthält IBM HTTP Server für WebSphere Application Server Hypervisor Edition und Web-Server-Plug-ins, die für den Benutzer installiert und konfiguriert werden. Der größte Teil der Umgebung ist vorkonfiguriert. Für den Basisbetrieb sind keine weiteren Web-Server-Konfigurationsschritte erforderlich. Sie können IBM HTTP Server und den IBM Security Access Manager for Enterprise Single Sign-On-Server in der Administrationskonsole stoppen und starten. Images für virtuelle Einheit vorbereiten Die virtuelle Einheit für IBM Security Access Manager for Enterprise Single SignOn wird auf DVDs verteilt oder sie wird in Form von Images bereitgestellt, die von Passport Advantage heruntergeladen werden können. Unabhängig vom gewählten Medium müssen Sie die Dateien in einer komprimierten Datei zusammenführen, bevor Sie die Images für die virtuelle Einheit benutzen können. Vorgehensweise 1. Führen Sie eine der folgenden Aktionen aus: v Fordern Sie die Installationsmedien für die virtuelle Einheit an. v Laden Sie die Images für die virtuelle Einheit von Passport Advantage herunter. Das Paket mit der virtuellen Einheit von IMS Server besteht aus komprimierten Dateien, die in mehrere Teile aufgeteilt sind. 50 IBM® Security Access Manager for Enterprise Single Sign-On: Installation 2. Kopieren Sie die Dateien der virtuellen Einheit in denselben Ordner auf Ihrem Computer. 3. Navigieren Sie in einer Eingabeaufforderung zu dem Ordner, in den Sie die Dateien kopiert haben. 4. Führen Sie die Teildateien zu einem einzigen Archiv zusammen. Geben Sie einen der folgenden Befehle ohne Zeilenumbrüche ein: Windows copy /b ISAMESSO_IMS_VA_<version>.zip.001+ ISAMESSO_IMS_VA_<version>.zip.002+ ISAMESSO_IMS_VA_<version>.zip.003 ISAMESSO_IMS_VA_<version>_FULL.zip Linux cat ISAMESSO_IMS_VA_<version>.zip.001 ISAMESSO_IMS_VA_<version>.zip.002 ISAMESSO_IMS_VA_<version>.zip.003 > ISAMESSO_IMS_VA_<version>_FULL.zip 5. Extrahieren Sie das vollständige Archiv (ISAMESSO_IMS_VA_<version>_FULL.zip) an eine Position auf dem Computer. Anmerkung: Sie können zum Extrahieren der komprimierten Dateien auch ein Dienstprogramm zur Dekomprimierung eines anderen Anbieters verwenden. Beispiel: 7zip. 6. Stellen Sie sicher, dass die folgenden Dateien an der Extraktionsposition vorhanden sind: Diese Dateien weisen die Dateierweiterungen .OVF, .MF und .VMDK auf. v ISAMESSO_IMS_VA_<version>-disk1.vmdk v ISAMESSO_IMS_VA_<version>-disk2.vmdk v ISAMESSO_IMS_VA_<version>-disk3.vmdk v ISAMESSO_IMS_VA_<version>-disk4.vmdk v ISAMESSO_IMS_VA_<version>.mf v ISAMESSO_IMS_VA_<version>.ovf Nächste Schritte Implementieren Sie die virtuelle Einheit von IMS Server. Virtuelle Einheit in VMware ESXi implementieren Starten Sie das virtuelle Image des IBM Security Access Manager for Enterprise Single Sign-On-Servers und verwenden Sie den VMware ESXi-Hypervisor für die Konfiguration des Betriebssystems und des Produkts. Vorbereitende Schritte v Installieren Sie VMware vSphere Client auf dem Computer. v Stellen Sie sicher, dass Sie über einen Account für die Anmeldung beim VMware ESXi-Host mit Berechtigungen für die Erstellung und Implementierung virtueller Maschinen verfügen. v Bereiten Sie das Image der virtuellen Einheit vor und extrahieren Sie es. Informationen zu diesem Vorgang Verwenden Sie Deploy OVF Wizard aus vSphere Client für die Implementierung der virtuellen Einheit von IBM Security Access Manager for Enterprise Single SignOn auf einer virtuellen Maschine. vSphere Client ist die Clientanwendung, mit der Kapitel 1. IMS Server installieren 51 Sie virtuelle Maschinen auf dem VMware ESXi-Hypervisor starten und ausführen können. Vorgehensweise 1. Klicken Sie unter Microsoft Windows auf Start > Alle Programme > VMware > VMware vSphere Client. 2. Melden Sie sich bei VMware vSphere Client an. 3. Klicken Sie in VMware vSphere Client auf File > Deploy OVF Template. 4. Klicken Sie auf Deploy from File und wählen Sie die Datei ISAMESSO_IMS_VA_<version>.ovf aus. 5. Klicken Sie auf Next. 6. Prüfen Sie die Schablonendetails und klicken Sie dann auf Next. 7. Vergeben Sie für die virtuelle Einheit im ESXi-Inventarordner einen Namen. Beispiel: ISAMESSO_IMS_VA_821 8. Klicken Sie auf Next. 9. Geben Sie eine Position für die Speicherung der Dateien für die virtuelle Einheit an und klicken Sie dann auf Next. 10. Prüfen Sie die Installationszusammenfassung und klicken Sie dann auf Finish. Der Implementierungsprozess startet das Hochladen der virtuellen Einheit auf den VMware ESXi-Host. 11. Klicken Sie auf Close. Ergebnisse Sie haben die virtuelle Einheit von IBM Security Access Manager for Enterprise Single Sign-On auf dem VMware ESXi-Hypervisor implementiert. Die virtuelle Einheit ist für die Aktivierung bereit. Nächste Schritte Führen Sie die entsprechende Task aus: v Wenn kein Datenbankserver installiert ist, müssen Sie einen Datenbankserver auf einem separaten Host installieren und konfigurieren, bevor Sie die virtuelle Einheit aktivieren. Siehe „Datenbankserver vorbereiten” auf Seite 18. v Wenn ein Datenbankserver installiert ist, müssen Sie die virtuelle Einheit aktivieren und konfigurieren. Siehe „Virtuelle Einheit aktivieren und konfigurieren”. Virtuelle Einheit aktivieren und konfigurieren Sie können die virtuelle Einheit aktivieren und IMS Server konfigurieren. Vorbereitende Schritte v „Verzeichnisserver vorbereiten” auf Seite 36. v „Datenbankserver vorbereiten” auf Seite 18. v Stellen Sie sicher, dass Sie die folgenden Informationen angeben können: 52 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Typ der Information Werte Netzinformationen v Hostname v Domänenname v (Nur statisch) IP-Adresse v (Nur statisch) Netzmaske v (Nur statisch) Gateway-Adresse Datenbankinformationen v Datenbank für IMS Server v Host oder IP-Adresse der Datenbank v Berechtigungsnachweise des Datenbankadministrators Informationen für Unternehmensverzeichnis oder Repository v Vollständig qualifizierter Domänenname des Repositorys v Domänenname des Repositorys v Basis-DN v Definierter Name für Bindung Anmerkung: Es wird nicht angegeben, ob die IP-Adresse der virtuellen Einheit im Netz doppelt vorhanden ist. Daher kann es zu einem Konflikt mit IP-Adressen kommen, der zu einer Zeitlimitüberschreitung bei der Konfiguration von IMS Server führen kann. Hinweis: Um sicherzustellen, dass Clients in einer Domäne eine Verbindung zu IMS Server herstellen können, müssen Sie einen DNS-Eintrag für die IP-Adresse der virtuellen Einheit hinzufügen. Stellen Sie in der virtuellen Einheit sicher, dass in der Datei "hosts" ein Eintrag für den Domänencontroller vorhanden ist. Informationen zu diesem Vorgang Aktivieren Sie die virtuelle Einheit und konfigurieren Sie die Berechtigungsnachweise für zwei Benutzeraccounts: v Account des Rootbenutzers: root. v Account des Benutzers ohne Rootberechtigung: <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit>. Standardeinstellung: virtuser. Der Benutzer mit der Berechtigung root verfügt über Administratorberechtigungen. <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> wird nach dem Abschluss des Aktivierungsprozesses zur Anmeldung beim Gastbetriebssystem verwendet. Darüber hinaus wird der Berechtigungsnachweis von <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> für die Konfiguration von IMS Server eingesetzt. Im Konfigurationsprozess wird <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> als Administratorberechtigungsnachweis für folgende Produkte und Tasks verwendet: v IBM HTTP Server v WebSphere Application Server v Tivoli Common Reporting v Konfiguration von IMS Server Kapitel 1. IMS Server installieren 53 Wichtig: Wenn Sie mit IMS Server Verzeichnisserver verwenden, fügen Sie den Verzeichnisservern nicht <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> hinzu. Stellen Sie sicher, dass der Account des Benutzers ohne Rootberechtigung nicht auf dem Verzeichnisserver vorhanden ist. Anmerkung: v Die folgenden Tasks betreffen die Konfiguration und Aktivierung der virtuellen Einheit auf vSphere Client. v Gehen Sie wie folgt vor, um durch die Anzeigen der Startkonsole für die virtuelle Einheit zu navigieren: – Drücken Sie die Leertaste, um eine Option auszuwählen. – Drücken Sie die Eingabetaste, um die Auswahl zu bestätigen oder anzuwenden. – Drücken Sie die Tabulatortaste, um den Fokus von einem Steuerelement zu einem anderen auf der Seite zu verschieben. Vorgehensweise 1. Blenden Sie in vSphere Client den Knoten Virtual Appliance ein und wählen Sie dann die virtuelle Einheit aus. Beispiel: ISAMESSO_IMS_82. 2. Klicken Sie mit der rechten Maustaste auf die virtuelle Einheit und danach auf Power on. Die virtuelle Einheit wird eingeschaltet. 3. Öffnen Sie die Konsole. Tipp: Klicken Sie zum Öffnen der Konsole in der Symbolleiste auf den Befehl Launch Virtual Machine Console. 4. Konfigurieren Sie die Einstellungen für Primär- und Sekundärsprache. Das Betriebssystem kann zwar Unterstützung für weitere Sprachen bieten, die Installationsanzeigen sind aber nur in den Sprachen verfügbar, die von WebSphere Application Server Hypervisor Edition unterstützt werden. Tipp: Drücken Sie zum Akzeptieren der Standardeinstellungen für Primärund Sekundärsprache die Taste F10. 5. Lesen Sie alle Lizenzanweisungen und -vereinbarungen und akzeptieren Sie diese. Beispiel: Betriebssystem, VMware und IBM WebSphere Application Server. 6. Geben Sie im Feld Network Configuration das Netzprotokoll "Static" oder "DHCP" an. v Wenn Sie DHCP angegeben haben, geben Sie danach folgende Werte ein: Hostname Geben Sie den Hostnamen des Computers an. Beispiel: ibm-sso1. Domäne Geben Sie die Domäne an. Beispiel: example.com. Netzmaske (Optional) Geben Sie die Teilnetzmaskennummer an. Beispiel: 255.255.255.0 v Wenn Sie die Angabe Static ausgewählt haben, geben Sie folgende Werte ein: 54 IBM® Security Access Manager for Enterprise Single Sign-On: Installation IP-Adresse Geben Sie die statische IP-Adresse des Computers im Netz an, die vom Netzadministrator zugewiesen wurde. Netzmaske Geben Sie die Teilnetzmaskennummer an. Beispiel: 255.255.255.0 Gateway-Adresse Die IP-Adresse eines Gateway-Routers. DNS Geben Sie die IP-Adresse des primären DNS- oder Namensservers an, um Netzadressen aufzulösen. Hostname Geben Sie den Hostnamen des Computers an. Beispiel: ibm-sso1. Domäne Wenn der Computer in einer Domäne enthalten ist, müssen Sie diese angeben. Beispiel: example.com. 7. Konfigurieren Sie die Berechtigungsnachweise für die Accounts von root und des Benutzers ohne Rootberechtigung. a. Geben Sie für den Benutzer mit der Berechtigung root ein neues Kennwort ein. b. Drücken Sie die Eingabetaste. c. Geben Sie das Kennwort für den Benutzer mit der Berechtigung root erneut ein. d. Drücken Sie die Eingabetaste. e. Akzeptieren Sie die Standard-ID des Benutzers ohne Rootberechtigung oder geben Sie einen neuen Namen an. Beispiel: virtuser f. Drücken Sie die Eingabetaste. g. Geben Sie für die Berechtigungsnachweise des Benutzers ohne Rootberechtigung ein neues Kennwort ein. h. Drücken Sie die Eingabetaste. i. Geben Sie das Kennwort des Benutzers ohne Rootberechtigung erneut ein. Anmerkung: Sie müssen die Berechtigungsnachweise des Benutzers ohne Rootberechtigung für die Anmeldung beim Gastbetriebssystem angeben, wenn der Aktivierungsprozess abgeschlossen ist. j. Drücken Sie die Eingabetaste. 8. Konfigurieren Sie die Einstellungen für Systemzeit und Zeitzone des Hosts. Sie können die folgenden Schritte ausführen: v Drücken Sie die Eingabetaste, um eine Region auszuwählen. v Drücken Sie die Tabulatortaste, um den Fokus zwischen den einzelnen Fenstern der Seite weiter zu bewegen. v Setzen Sie die Uhrzeit manuell oder definieren Sie die Systemzeit so, dass sie mit der eines NTP-Servers (Network Time Protocol) synchronisiert wird. Die Einstellungen für Region und Systemzeit werden gespeichert. 9. Wählen Sie den Lizenztyp des IBM Security Access Manager for Enterprise Single Sign-On-Servers aus und drücken Sie dann die Eingabetaste. v Drücken Sie zum Auswählen von IBM Security Access Manager for Enterprise Single Sign-On Standard die Taste 1. Kapitel 1. IMS Server installieren 55 Dieses Paket bietet strikte Authentifizierung, Sitzungsmanagement, zentrale Protokollierung und Berichterstellung sowie einmalige Anmeldung. v Drücken Sie zum Auswählen von IBM Security Access Manager for Enterprise Single Sign-On Suite die Taste 2. Neben den Funktionen des Pakets "Standard" bietet dieses Paket OTP-Unterstützung, AccessAgent-Plug-ins, einmalige Anmeldung im Web, Fernzugriff über Web Workplace, angepasste Überwachungsfunktionen sowie IAM-Integration. 10. Lesen Sie die Lizenzvereinbarung für IMS Server und drücken Sie zum Akzeptieren die Eingabetaste. 11. Optional: Installieren Sie die Komponente Tivoli Common Reporting. a. Wählen Sie im Menü Install Tivoli Common Reporting for IMS die Option Install TCR aus. b. Klicken Sie auf Next. c. Klicken Sie auf Yes, um den Vorgang zu bestätigen. d. Akzeptieren Sie die Tivoli Common Reporting-Lizenz, um die Installation der Komponente Tivoli Common Reporting auszuführen. Der Serveraktivierungsprozess wird nun gestartet. Anmerkung: Die Installation von Tivoli Common Reporting kann bis zu einer Stunde dauern. Nach dem Abschluss des Aktivierungsprozesses wird die Anmeldeanzeige aufgerufen. 12. Melden Sie sich in der Anmeldeanzeige für das Gastbetriebssystem mit den Berechtigungsnachweisen für <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> an. Beispiel: virtuser. a. Geben Sie Berechtigungsnachweise für <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> ein. b. Geben Sie das Kennwort für <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> an. 13. Stellen Sie sicher, dass die Netzverbindung zu den fernen Servern von der virtuellen Einheit aus aufgelöst werden kann. Testen Sie folgende Verbindungen: v Datenbankserver v Verzeichnisserver 14. Starten Sie den IMS-Konfigurationsassistenten von IBM Security Access Manager for Enterprise Single Sign-On. a. Wählen Sie auf dem Desktop des Gastbetriebssystems die Verknüpfung ISAM ESSO IMS Server-Konfiguration aus. b. Drücken Sie die Eingabetaste. c. Klicken Sie in der Eingabeaufforderung mit der Sicherheitswarnung auf Ich kenne die Risiken. d. Klicken Sie auf Ausnahmebedingung hinzufügen. e. Klicken Sie auf Sicherheitsausnahmebedingung bestätigen. 15. Wenn die Datenbank automatisch erstellt werden soll, wählen Sie das Kontrollkästchen IMS Server-Datenbankschema erstellen aus. 16. Klicken Sie auf Weiter. 17. Wenn Sie das IMS Server-Schema automatisch erstellen, müssen Sie den Datenbanktyp auswählen, für das es erstellt werden soll. Beispiel: DB2. 18. Geben Sie die entsprechenden Optionen für Ihre Umgebung an. 56 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Für Microsoft SQL Server a. Wählen Sie auf der Seite Neue Datenbank erstellen das Kontrollkästchen Neue Datenbank erstellen aus. b. Klicken Sie auf Weiter. Für DB2 und Oracle Stellen Sie vor Beginn dieser Schritte sicher, dass Sie die IBM Security Access Manager for Enterprise Single Sign-On-Datenbank manuell auf dem Datenbankserver erstellt haben. 19. Geben Sie die Datenbankverbindungskonfiguration an. Hostname Geben Sie den Computer an, der als Host für die Datenbank dient. Beispiel: ibm-db.example.com. Port Der Standardport für jeden Datenbanktyp wurde bereits angegeben. Wenn Sie jedoch mit angepassten Portnummern für per Hosting bereitgestellte Datenbankservices arbeiten, müssen Sie die Portnummer angeben. Datenbankname Geben Sie den Datenbanknamen an. Beispiel: imsdb. Benutzername Geben Sie einen Datenbankbenutzernamen mit Administratorberechtigungen für die Erstellung und Konfiguration der Datenbank an. Beispiel: db2admin. Benutzerkennwort Geben Sie das Kennwort für den Datenbankbenutzernamen an. 20. Klicken Sie auf Weiter. 21. Wenn die Seite IMS Server-URL eingeben angezeigt wird, müssen Sie die Ziel-URL angeben. Client-Computer mit AccessAgent verwenden die Ziel-URL zum Herstellen einer Verbindung zu IMS Server. v Bei einer Einzelserverinstallation ist der Hostname der virtuellen Einheit bereits vorab angegeben. Beispiel: ibm1.example.com v Wenn Sie ein Programm für den Lastausgleich verwenden, müssen Sie dessen vollständig qualifizierten Domänennamen angeben. 22. 23. 24. 25. Klicken Sie auf Weiter. Konfigurieren Sie das Unternehmensverzeichnis. Prüfen Sie die anzuwendenden Einstellungen. Klicken Sie auf Speichern, um die Konfiguration von IMS Server und der Datenbank zu starten. Anmerkung: Wenn Tivoli Common Reporting installiert ist, wird nach der Anzeige der Seite IMS konfiguriert die Konfiguration von Tivoli Common Reporting gestartet. 26. Starten Sie WebSphere Application Server nach dem Ausführen der Konfiguration erneut. Sie können die Befehlsverknüpfungen auf dem Desktop für den Neustart von WebSphere Application Server verwenden. Ergebnisse Sie haben die Aktivierung der virtuellen Einheit und den Konfigurationsprozess für IMS Server ausgeführt. Der IBM Security Access Manager for Enterprise Single Sign-On-Server ist nun aktiviert, konfiguriert und einsatzbereit. Kapitel 1. IMS Server installieren 57 Nächste Schritte Klicken Sie auf die Verknüpfung für die WebSphere-Administrationskonsole auf dem Desktop, um diese zu öffnen. Melden Sie sich mit dem Namen und dem Kennwort des Benutzers ohne Rootberechtigung an. Informationen enthalten die folgenden Tasks: v „IMS Server-Administrator einrichten” auf Seite 82 v „Konfiguration von IMS Server prüfen” auf Seite 84 Virtuelle Einheit für Hochverfügbarkeit replizieren Sie können mehrere Replikate einer virtuellen Einheit einrichten, um eine Hochverfügbarkeitsimplementierung von virtuellen Einheiten zu erreichen. Vorbereitende Schritte v Sie müssen über mindestens zwei virtuelle Einheiten verfügen. Beispiel: VA_1 und VA_2. Dabei gilt Folgendes: VA_1 Gibt einen Quellenhost mit einer aktivierten und konfigurierten Instanz der virtuellen Einheit (Virtual Appliance, VA) von IMS Server an. VA_2 Gibt das Zielreplikat mit einer aktivierten Instanz der virtuellen Einheit von IMS Server an. v Stellen Sie sicher, dass alle fernen Server in Ihrer Implementierung, wie Verzeichnis- oder Datenbankserver, entweder über DNS oder über die Datei "hosts" aufgelöst werden können. Informationen zu diesem Vorgang Sie können Hochverfügbarkeit erreichen, indem Sie mit dem Tool für den Export und Import von Konfigurationen mindestens zwei Replikate der virtuellen Einheit einrichten. Bei Verwendung der virtuellen Einheit von IMS Server in einer replizierten Konfiguration müssen Sie alle IMS Server-Konfigurationsänderungen manuell auf den Servern synchronisieren. Vornehmen folgender Änderungen zwischen VA_1 und VA_2: Folgende Tasks müssen dann ausgeführt werden: v IMS Server-Konfigurationsänderungen: 1. Exportieren Sie die IMS Server-Konfiguration aus VA_1. 2. Importieren Sie die geänderte IMS Server-Konfiguration wieder in VA_2. Unter anderem gibt es folgende IMS Server-Konfigurationsänderungen: v JDBC-Einstellungen. v IMS Server-Zertifikat. Beispiel: IMS Server-Schlüssel, Zertifikate und der Schlüssel der WebSphere Application Server-Stammzertifizierungsstelle. v IBM HTTP Server-Zertifikate. v Konfigurationsdateien im Konfigurationsrepository: <profilstammverzeichnis>/ config/tamesso. v SOAP-Service-URL von IMS Server. v Konfigurationen des Virtual Member Manager-Unternehmensverzeichnisses. 58 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Die folgenden Elemente werden nicht vom Tool für den Export und Import von Konfigurationen von IMS Server exportiert: v Manuelle Konfigurationsänderungen am Profil: Dies betrifft z. B. Änderungen an Werten für die Größe des Heapspeichers und an Werten, mit denen das Sitzungsmanagement außer Kraft gesetzt wird. Mit dem Tool für den Export und Import von Konfigurationen können Sie eine bestehende, funktionierende IMS Server-Konfiguration sichern. Verwenden Sie die gesicherte Konfiguration für weitere IMS Server-Replikate, die Sie implementieren wollen. Beachten Sie die folgenden Hinweise: v Vom Tool für den Export und Import von Konfigurationen werden keine Tivoli Common Reporting-Konfigurationen importiert. Wenn Sie die Tivoli Common Reporting-Konfiguration von VA_1 auf VA_2 replizieren wollen, müssen Sie Tivoli Common Reporting manuell in VA_2 installieren und konfigurieren. v Das Tool für den Export and Import von Konfigurationen exportiert nur IMS ServerKonfigurationen. WebSphere Application Server-spezifische Konfigurationsänderungen werden nicht importiert oder exportiert. Die folgenden Schritte beschreiben die Tasks für die Einrichtung einer Hochverfügbarkeitsimplementierung von virtuellen Einheiten. Wiederholen Sie diese Schritte je nach der Anzahl der Replikate der virtuellen Einheit, die Sie einrichten wollen. Detaillierte Prozeduren zum Exportieren und Importieren der IMS Server-Konfiguration können Sie dem Dokument IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide entnehmen. Vorgehensweise 1. Implementieren Sie die virtuelle Einheit VA_1. 2. Aktivieren und konfigurieren Sie die virtuelle Einheit VA_1. 3. Wiederholen Sie die folgenden Schritte für jedes Replikat: a. Implementieren Sie die virtuelle Einheit VA_2. b. Aktivieren Sie die virtuelle Einheit VA_2. c. Melden Sie sich bei VA_2 mit dem Account des Benutzers ohne Rootberechtigung (<id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit>) an. Beispiel: virtuser. d. Melden Sie sich von VA_2 aus beim IMS-Konfigurationsdienstprogramm von VA_1 an. Beispiel: https://VA_1:9043/webconf e. Exportieren Sie die IMS Server-Konfiguration. f. Melden Sie sich von VA_2 aus beim IMS-Konfigurationsdienstprogramm von VA_2 an. Beispiel: https://VA_2:9043/webconf. g. Importieren Sie die IMS Server-Konfiguration. 4. Richten Sie das Programm für den Lastausgleich ein. 5. Wenn die IMS Server-Konfiguration geändert wird, exportieren und importieren Sie sie dann erneut. Kapitel 1. IMS Server installieren 59 Eigenständigen Produktionsserver einrichten Richten Sie eine eigenständige Produktionsumgebung ein, wenn Sie keine leistungsfähige Clusterumgebung benötigen. Eine eigenständige Produktionsimplementierung wird in der Regel von Sites mit kleinerer bis mittlerer Größe verwendet. Eine eigenständige Serverimplementierung kann für Demonstrations- und Produktionskonfigurationen implementiert werden. Host ISAM ESSO AccessAgent Web-Browser (Client) Anwendungsschicht, Webschicht Datenschicht Anwendungsserver Web-Server Plug-in ISAM ESSO IMS Server Anwendungsdaten ISAM ESSO IMSKonfigurationsdienstprogramm Abbildung 2. Installation eines eigenständigen Produktionsservers Weitere Informationen zu Planung und Implementierung beim Einrichten eines eigenständigen Produktionsservers finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Roadmap Die folgenden Schritte stellen lediglich ein Beispiel dafür dar, wie Sie eine Middlewareumgebung für Neuinstallationen vorbereiten können. Installieren und bereiten Sie die folgende Middleware vor, bevor Sie die Installation von IMS Server ausführen: 1. 2. 3. 4. 5. Bereiten Sie den Datenbankserver vor. Bereiten Sie WebSphere Application Server vor. Bereiten Sie IBM HTTP Server vor. Bereiten Sie den Verzeichnisserver vor. Optional: Installieren Sie IBM Tivoli Common Reporting oder die Berichtskomponenten von IBM Cognos Business Intelligence. Sie müssen die folgenden Middlewarekomponenten für die Verwendung mit IBM Security Access Manager for Enterprise Single Sign-On vorbereiten: Datenbankserver Der Datenbankserver dient als Host für SSO-Benutzeridentitäten und -Wallets. Sie können eine neue Instanz eines Datenbankservers installieren oder eine bestehende Instanz verwenden. WebSphere Application Server WebSphere Application Server stellt eine zentrale Anwendungsverwaltungsplattform dar, die die die Funktionalität eines Web-Servers zur Bearbeitung von Webanwendungsanforderungen erweitert. IBM Security Access Manager for Enterprise Single Sign-On IMS Server ist eine WebSphere-Anwendung. Zur Verwendung eines bestehenden Anwendungsservers müssen Sie diesen manuell installieren und konfigurieren. IBM HTTP Server IBM HTTP Server ist ein separater, dedizierter Web-Server, der für die Arbeit mit dem Anwendungsserver konfiguriert ist. 60 IBM® Security Access Manager for Enterprise Single Sign-On: Installation IBM Tivoli Common Reporting oder Berichtskomponenten von IBM Cognos Business Intelligence Installieren Sie IBM Tivoli Common Reporting oder Berichtskomponenten von IBM Cognos Business Intelligence, falls Sie Berichte von IBM Security Access Manager for Enterprise Single Sign-On erstellen wollen. Siehe hierzu IBM Security Access Manager for Enterprise Single Sign-On - Administratorhandbuch. Anmerkung: IBM Tivoli Common Reporting wird derzeit unterstützt, jedoch läuft der Support aus. Verwenden Sie als Best Practice das IBM Cognos-Berichtsframework für die Berichterstellung. Verzeichnisserver Ein Verzeichnisserver oder LDAP-Repository authentifiziert Benutzer und ruft Informationen über Benutzer und Gruppen ab, um sicherheitsrelevante Funktionen, wie Authentifizierung und Autorisierung, auszuführen. Sie können eine neue Instanz eines Verzeichnisservers installieren oder eine bestehende Instanz wiederverwenden. Wenn Sie bereits bestehende Middleware wiederverwenden, die zu einem früheren Zeitpunkt implementiert wurde, müssen Sie die Mindestmenge an unterstützten Fixpacks anwenden, bevor Sie den IBM Security Access Manager for Enterprise Single Sign-On-Server installieren. Eigenständige Serverprofile erstellen und auswählen Ein WebSphere Application Server-Profil definiert die Laufzeitumgebung. Mithilfe von Profilen können Sie unterschiedliche Typen von WebSphere Application Server-Umgebungen auf einem einzigen System definieren, ohne dass Sie dazu mehrere Exemplare von WebSphere Application Server installieren müssen. Erstellen Sie für eine eigenständige oder Einzelserverumgebung ein eigenständiges Anwendungsserverprofil. Wichtig: Für WebSphere Application Server Version 8.5 darf der Profilverzeichnispfad keine Leerzeichen enthalten. Die Portnummern und Einstellungen für die einzelnen erstellen Profile werden stets in der Datei AboutThisProfile.txt gespeichert. Diese Datei befindet sich im Verzeichnis <was-ausgangsverzeichnis>/profiles/<profilname>/logs. Diese Datei ist hilfreich, wenn Sie die korrekte Portnummer für ein Profil ermitteln müssen. Eigenständige Profile Verwenden Sie für eigenständige oder Einzelserverumgebungen das eigenständige Anwendungsserverprofil. Wichtig: Der als WebSphere-Administrator angegebene Name des Benutzers mit Verwaltungsaufgaben darf auf dem Verzeichnisserver nicht vorhanden sein. Wenn beispielsweise der WebSphere-Administrator, den Sie angeben, den Namen wasadmin hat, darf der Benutzer wasadmin nicht im Unternehmensverzeichnis vorhanden sein. Verwenden Sie keinesfalls den Namen „administrator” als WebSphere Application Server-Administrator. Wählen Sie einen Benutzernamen aus, für den die Chancen möglichst gering sind, dass er zu Konflikten mit möglichen bestehenden Benutzern des Unternehmensverzeichnisses führt. Kapitel 1. IMS Server installieren 61 Verwenden Sie zum Erstellen eines Profils die folgende Methode: v „Eigenständige Profile (Profile Management Tool) erstellen” Eigenständige Profile (Profile Management Tool) erstellen Für eine eigenständige oder Einzelserverumgebung können Sie mit dem interaktiven Profile Management Tool ein eigenständiges WebSphere Application ServerProfil erstellen. Vorbereitende Schritte v Melden Sie sich als Benutzer mit Administratorberechtigungen beim System an. v Bereiten Sie WebSphere Application Server vor. Informationen zu diesem Vorgang Vollständige Informationen zum Erstellen von Profilen finden Sie in der WebSphere Application Server-Dokumentation. Vorgehensweise 1. Öffnen Sie das Profile Management Tool. Beispiel: WebSphere Application Server Version 7.0 Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server Network Deployment V7.0 > Profile Management Tool. WebSphere Application Server Version 8.5 Klicken Sie auf Start > Alle Programme > IBM WebSphere > IBM Websphere Application Server > Tools > Profile Management Tool. 2. Prüfen Sie auf der Seite Welcome to the Profile Management Tool die Informationen. 3. Klicken Sie auf Launch Profile Management Tool. 4. 5. 6. 7. Klicken Sie im Fenster Profiles auf Create, um ein Profil zu erstellen. Klicken Sie auf der Seite Environment Selection auf Application server. Klicken Sie auf Next. Wählen Sie im Fenster Profile Creation Options den Profilerstellungsprozess aus. Für WebSphere Application Server Version 7.0: a. Klicken Sie auf Typical profile creation. b. Klicken Sie auf Next. c. Geben Sie den Namen des WebSphere-Benutzers mit Administratorberechtigung sowie das zugehörige Kennwort ein.Beispiel: wasadmin. Wichtig: Der als WebSphere-Administrator angegebene Name des Benutzers mit Verwaltungsaufgaben darf auf keinem der Verzeichnisserver vorhanden sein, die Sie konfigurieren wollen. Wenn beispielsweise der WebSphere-Administrator, den Sie angeben, den Namen wasadmin hat, darf der Benutzer wasadmin nicht in einem der Unternehmensverzeichnisse vorhanden sein. Verwenden Sie keinesfalls den Namen „administrator” als WebSphere Application Server-Administrator. Wählen Sie einen Benutzernamen aus, für 62 IBM® Security Access Manager for Enterprise Single Sign-On: Installation den die Chancen möglichst gering sind, dass er zu Konflikten mit möglichen bestehenden Benutzern des Unternehmensverzeichnisses führt. d. Klicken Sie auf Next. Für WebSphere Application Server Version 8.5: a. Klicken Sie auf Advanced profile creation und anschließend auf Next. b. Wählen Sie das Kontrollkästchen Deploy the default application ab und klicken Sie auf Next. c. Geben Sie im Fenster Profile name and location einen Namen für das Profil und den Verzeichnispfad für das Profilverzeichnis an. Wichtig: Der Profilverzeichnispfad darf keine Leerzeichen enthalten. Beispiel: v Ungültiger Pfad:c:\Programme (x86)\IBM\WebSphere\AppServer\ AppSrv01 v Gültiger Pfad:c:\was\profiles\AppSrv01 d. Geben Sie den Namen des WebSphere-Benutzers mit Administratorberechtigung sowie das zugehörige Kennwort ein.Beispiel: wasadmin. Wichtig: Der als WebSphere-Administrator angegebene Name des Benutzers mit Verwaltungsaufgaben darf auf keinem der Verzeichnisserver vorhanden sein, die Sie konfigurieren wollen. Wenn beispielsweise der WebSphere-Administrator, den Sie angeben, den Namen wasadmin hat, darf der Benutzer wasadmin nicht in einem der Unternehmensverzeichnisse vorhanden sein. Verwenden Sie keinesfalls den Namen „administrator” als WebSphere Application Server-Administrator. Wählen Sie einen Benutzernamen aus, für den die Chancen möglichst gering sind, dass er zu Konflikten mit möglichen bestehenden Benutzern des Unternehmensverzeichnisses führt. e. Klicken Sie auf Next. 8. Behalten Sie in den nachfolgenden Fenstern die Standardwerte bei und klicken Sie so lange auf Next, bis Sie das Fenster Profile Creation Summary erreichen. Anmerkung: Auf der Seite Profile Creation Summary können Sie die zu verwendenden Werte für Servername, Hostname und Portnummern aufzeichnen. Außerdem wird automatisch ein Windows-Dienst für den Server erstellt. 9. Klicken Sie auf Create, um die Erstellung des Serverprofils zu starten. 10. Stellen Sie nach der Profilerstellung sicher, dass das Kontrollkästchen Launch the First Steps console ausgewählt ist. 11. Klicken Sie auf Finish, um die Konsole First Steps zu starten. Tipp: Falls der Assistent nicht automatisch gestartet wird, führen Sie die folgenden Schritte aus, um den Assistenten manuell zu starten: Für WebSphere Application Server Version 7.0: Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > First steps. Kapitel 1. IMS Server installieren 63 Für WebSphere Application Server Version 8.5: Klicken Sie auf Start > Alle Programme > IBM WebSphere > IBM WebSphere Application Server > Profiles > <profilname> > First steps. 12. Klicken Sie auf den Link Installation verification. Beim Prüfen der Installation wird der eigenständige Serverprozess automatisch gestartet. Wenn der Server erfolgreich gestartet wird, steht im unteren Bereich des Fensters "First steps output" die folgende Beispielausgabe: ADMU3200I: Server launched. Waiting for initialization status. ADMU3000I: Server server1 open for e-business; process id is 236 Ergebnisse Sie haben ein eigenständiges Anwendungsserverprofil erstellt und sichergestellt, dass es funktioniert. Der eigenständige Server läuft. Nächste Schritte Stellen Sie sicher, dass Sie sich bei der Administrationskonsole anmelden können. Melden Sie sich mit Ihrem WebSphere-Benutzernamen mit Verwaltungsaufgaben und dem zugehörigen Kennwort an. Beispiel: wasadmin. Starten Sie die Administrationskonsole mit einer der folgenden Methoden: v Klicken Sie in der Konsole First Steps auf Administrative console. v Klicken Sie für WebSphere Application Server Version 7.0 auf Start > Alle Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console. v Klicken Sie für WebSphere Application Server Version 8.5 auf Start > Alle Programme > IBM WebSphere > IBM WebSphere Application Server > Profiles > <profilname> > Administrative console. v Rufen Sie in einem Web-Browser die Adresse https://<was-hostname>:<adminssl-port>/ibm/console auf. Beispiel: https://localhost:9043/ibm/console. WebSphere Application Server konfigurieren Sie müssen die eigenständige Umgebung von WebSphere Application Server konfigurieren, bevor Sie IMS Server installieren. Informationen zu diesem Vorgang Sie müssen WebSphere Application Server für eine eigenständige Implementierung konfigurieren, bevor Sie IMS Server installieren. Zur Konfiguration von WebSphere Application Server gehören das Schützen der Implementierung und die Optimierung der Java Virtual Machine (JVM). Führen Sie die folgenden Schritte für optionale oder erforderliche Konfigurationen aus, bevor Sie IMS Server installieren. 1. Schützen Sie die WebSphere Application Server-Implementierung. v Optional: (Nur für WebSphere Application Server Version 7.0) Erstellen Sie die Schlüsselgröße der Stammzertifizierungsstelle erneut. 64 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Wenn für Ihre Implementierung eine spezielle Mindestschlüsselgröße oder hohe Sicherheitsanforderungen nötig sind, können Sie die standardmäßige Schlüsselgröße der Stammzertifizierungsstelle von 1024 Bit auf 2048 Bit erhöhen. 2. Konfigurieren Sie die Größe des Heapspeichers der JVM. 3. Prüfen Sie die Windows-Dienste für WebSphere Application Server. Größe des Heapspeichers für den Anwendungsserver konfigurieren Sie können die minimale und maximale Größe des JVM-Heapspeichers (Java Virtual Machine) in WebSphere Application Server erhöhen. Durch Erhöhen der Größe des Heapspeichers wird der Start verbessert, werden Fehler aufgrund abnormaler Speicherbedingungen vermieden und wird die Plattenauslagerung verringert. Vorbereitende Schritte Bevor Sie die Größe des Java-Heapspeichers ändern, müssen Sie sicherstellen, dass der Host über ausreichenden physischen Speicher verfügt, um eine JVM mit 3,0 GB ohne Auslagern zu unterstützen. Wenn der physische Speicher des Hostsystems größer als 3 GB ist, können Sie die maximale Größe des Heapspeichers erhöhen. Wenn aber für die Größe des Heapspeichers ein zu hoher Wert gewählt wird, verfügt das System nicht über ausreichenden physischen Speicher und weist für die Speicherung der Daten virtuellen Speicher zu. Informationen zu diesem Vorgang Passen Sie die Größe des Java-Heapspeichers mit den folgenden Richtlinien an, bevor Sie die IBM Security Access Manager for Enterprise Single Sign-On-Komponente IMS Server installieren. Weitere Informationen finden Sie im Abschnitt Java virtual machine settings heap tuning in der folgenden Dokumentation: Dokumentation für WebSphere Application Server Version 7.0: http:// pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp. v Dokumentation für WebSphere Application Server Version 8.5: http:// pic.dhe.ibm.com/infocenter/wasinfo/v8r5/index.jsp. v Wenn Sie über mehrere Server verfügen, müssen Sie diese Prozedur für jeden Server im Cluster wiederholen. Vorgehensweise 1. Melden Sie sich auf dem WebSphere Application Server-Host, auf dem Sie IMS Server installieren, bei der Administrationskonsole an. Beispiel: https:// localhost:9043/ibm/console/. 2. Navigieren Sie zu den Einstellungen der Java Virtual Machine. a. Blenden Sie Servers > Server Types ein und wählen Sie WebSphere application servers aus. b. Klicken Sie auf den Namen des Servers. Beispiel: server1. c. Klicken Sie unter der Gruppe Server Infrastructure, um Java and Process Management einzublenden. d. Klicken Sie auf Process Definition. e. Klicken Sie unter der Gruppe Additional Properties auf Java Virtual Machine. 3. Verwenden Sie die folgenden Einstellungen (für einen Host mit Einzelserverinstanz und 3 GB): Kapitel 1. IMS Server installieren 65 v Initial Heap Size: 1024 v Maximum Heap Size: 1280 4. Klicken Sie auf OK. 5. Klicken Sie im Nachrichtenfenster auf Save. 6. Klicken Sie auf OK. 7. Klicken Sie im Nachrichtenfenster auf Save. 8. Starten Sie WebSphere Application Server erneut. Windows-Dienst für WebSphere Application Server prüfen Stellen Sie sicher, dass ein Windows-Dienst für WebSphere Application Server erstellt wurde. Vorgehensweise 1. Öffnen Sie die Windows-Managementkonsole für Dienste. a. Klicken Sie auf Start > Ausführen. b. Geben Sie services.msc ein. 2. Stellen Sie sicher, dass der Dienst in der Liste der Dienste enthalten ist: IBM WebSphere Application Server <version> - <knotenname>. Beispiel: v IBM WebSphere Application Server v7.0 - ibm-svr1Node01 v IBM WebSphere Application Server v8.5 - ibm-svr1Node01 Ergebnisse Sie haben erfolgreich sichergestellt, dass ein Windows-Serverdienst für den WebSphere Application Server-Prozess vorhanden ist. Stammzertifizierungsstelle für WebSphere Application Server 7.0 erneut erstellen (eigenständig) Die Stammzertifizierungsstelle für WebSphere Application Server weist eine standardmäßige Schlüsselgröße von 1024 Bit auf. Ändern Sie die Schlüsselgröße der Stammzertifizierungsstelle in die größere Schlüsselgröße von 2048 Bit, um so eine höhere Sicherheitsstufe zu bieten. Diese Task ist optional. Vorbereitende Schritte v Stellen Sie sicher, dass Ihre Hostnamen ordnungsgemäß aufgelöst werden. v Stellen Sie sicher, dass WebSphere Application Server gestartet ist. Informationen zu diesem Vorgang Diese optionale Task betrifft nur Neuinstallationen von IMS Server. Wenn Sie die Schlüsselgröße der Stammzertifizierungsstelle in 2048 Bit ändern möchten, führen Sie die folgenden Schritte aus, bevor Sie den IMS-Konfigurationsassistenten ausführen. Das Zertifikat der Stammzertifizierungsstelle signiert die Standardzertifikate im Schlüsselspeicher. Die Zertifikate schützen die interne Kommunikation von WebSphere Application Server. 66 IBM® Security Access Manager for Enterprise Single Sign-On: Installation rootkey.p12 Rootstore Truststore Selbst signierte Stammzertifizierungsstelle Unterzeichner des Stammzertifikats <root> <root> trust.p12 Schlüsselspeicher Verkettetes persönliches Zertifikat <standard> key.p12 Abbildung 3. Stammzertifizierungsstelle und Schlüsselunterzeichner für WebSphere Application Server im Truststore durch neue Schlüsselgröße ersetzen Dieser Prozess umfasst die folgenden Schritte: 1. Erstellen Sie eine selbst signierte Stammzertifizierungsstelle mit 2048 Bit im Rootstore, ersetzen Sie die bereits vorhandene Version und extrahieren Sie sie. Siehe Schritt 1 bis Schritt 8 auf Seite 68. 2. Erstellen Sie ein verkettetes persönliches Zertifikat mit 2048 Bit im Schlüsselspeicher und ersetzen Sie die bereits vorhandene Version. Siehe Schritt 10 auf Seite 69. 3. Exportieren Sie das persönliche Zertifikat in den Truststore. Siehe Schritt 11 auf Seite 70. 4. Verwenden Sie das Dienstprogramm ikeyman zum Hinzufügen der Stammzertifizierungsstelle zum Truststore. Siehe Schritt 12 auf Seite 70. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. 2. Melden Sie sich bei IBM Integrated Solutions Console an. 3. Wählen Sie im Navigationsfenster von Integrated Solutions Console Security > SSL certificate and key management aus. 4. Klicken Sie in Related items auf Key stores and certificates. 5. Erstellen Sie im Standardrootstore eine temporäre selbst signierte Stammzertifizierungsstelle. Das temporäre Stammzertifikat dient zum Ersetzen des älteren Zertifikats (root). Das temporäre Stammzertifikat wird dann durch ein neues 2048-BitStammzertifikat ersetzt. a. Wählen Sie aus der Liste Keystore usages den Eintrag Root certificates keystore aus. b. c. d. e. Klicken Sie auf NodeDefaultRootStore. Klicken Sie unter Additional Properties auf Personal certificates. Klicken Sie auf Create > Self-signed Certificate. Geben Sie in Alias einen neuen Aliasnamen ein. Beispiel: root2. Kapitel 1. IMS Server installieren 67 f. Geben Sie in das Feld Common name den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server installiert ist. Beispiel: ibm-svr1.example.com. g. Klicken Sie auf OK. h. Klicken Sie auf Save. 6. Ersetzen Sie die alte Stammzertifizierungsstelle durch die neue Stammzertifizierungsstelle: root2. Ersetzen Sie das alte Zertifikat (root) durch das temporäre Zertifikat (root2). a. Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen für das ältere Stammzertifikat (root) aus. b. Klicken Sie auf Replace. c. Wählen Sie aus der Liste Replace with den Aliasnamen des erstellten Zertifikats aus. d. Wählen Sie Delete old certificate after replacement aus. Details zum Ersetzen eines Zertifikats finden Sie in der Produktdokumentation zu WebSphere Application Server: http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/ index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/ tsec_sslreplaceselfsigncert.html e. Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt ist. f. Klicken Sie auf OK. g. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden. 7. Erstellen Sie die Stammzertifizierungsstelle mit 2048 Bit. Dieses Stammzertifikat ist das 2048-Bit-Zertifikat, das Sie beibehalten werden. a. Klicken Sie auf Create > Self-signed Certificate. b. Geben Sie in Alias den Wert root ein. Wichtig: Sie müssen als Aliasname für dieses 2048-Bit-Zertifikat den Wert root angeben. c. Wählen Sie aus der Liste Key size den Wert 2048 aus. d. Geben Sie in das Feld Common name den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server installiert ist. Beispiel: ibm-svr1.example.com. e. Geben Sie in das Feld Validity period den Gültigkeitszeitraum des Zertifikats ein. Beispiel: Ein Stammzertifikat wird in der Regel 7300 Tage lang verwendet, also ca. 20 Jahre. f. Optional: Vervollständigen Sie das Zertifikat durch optionale Identifikationsdetails. g. Klicken Sie auf OK. h. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden. 8. Ersetzen Sie das temporäre Stammzertifikat durch das neue 2048-Bit-Stammzertifikat, das Sie beibehalten werden. a. Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen für das temporäre Stammzertifikat (root2) aus. b. Klicken Sie auf Replace. c. Wählen Sie aus der Liste Replace with das neue 2048-Bit-Zertifikat aus, das Sie erstellt haben (root). 68 IBM® Security Access Manager for Enterprise Single Sign-On: Installation d. Wählen Sie Delete old certificate after replacement aus. e. Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt ist. Wichtig: Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt ist. f. Klicken Sie auf OK. g. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden. Sie haben das ursprüngliche 1024-Bit-Stammzertifikat erfolgreich durch ein neues 2048-Bit-Stammzertifikat ersetzt. 9. Extrahieren Sie die neue Stammzertifizierungsstelle in eine Datei. a. Wählen Sie auf der Seite Personal Certificates den Eintrag Root aus. b. Klicken Sie auf Extract. c. Geben Sie in Certificate file name den vollständig qualifizierten Pfad zu dem zu extrahierenden Zertifikat ein. Beispiel: C:\root2048.cer. d. Klicken Sie auf OK. 10. Erstellen Sie im Schlüsselspeicher ein verkettetes persönliches Zertifikat. Wichtig: Stellen Sie vor Beginn der Task sicher, dass Ihre Hostnamen ordnungsgemäß aufgelöst werden. a. Öffnen Sie auf der Seite Key stores and certificates den Schlüsselspeicher. b. Klicken Sie auf NodeDefaultKeyStore. c. Klicken Sie in Additional Properties auf Personal certificates. d. Klicken Sie auf Create > Chained certificate, um ein persönliches Zertifikat zu erstellen, das das alte persönliche Zertifikat ersetzt. e. Geben Sie in das Feld Alias einen neuen Aliasnamen ein. Beispiel: default2. f. Wählen Sie im Feld Root certificate used to sign the certificate den Aliasnamen der neu erstellten Stammzertifizierungsstelle aus. g. Wählen Sie im Feld Key size den Wert 2048 aus. h. Geben Sie in das Feld Common name den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server installiert ist. Beispiel: ibm-svr1.example.com i. Geben Sie in das Feld Validity period den Gültigkeitszeitraum des Zertifikats ein. Beispiel: 365 Tage. j. Geben Sie in das Feld Organization den Organisationsteil des definierten Namens ein. Anmerkung: Die Angabe des Organisationsteils des definierten Namens ist wichtig. k. Geben Sie in das Feld Country or Region den Landesteil des definierten Namens ein. Anmerkung: Die Angabe des Landesteils des definierten Namens ist wichtig. l. Optional: Geben Sie in die übrigen optionalen Felder Informationen ein. m. Klicken Sie auf OK. n. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden. Kapitel 1. IMS Server installieren 69 o. Ersetzen Sie das alte standardmäßige persönliche Zertifikat durch das neue. 1) Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen default aus. 2) Klicken Sie auf Replace. 3) Wählen Sie aus der Liste Replace with den Aliasnamen des erstellten Zertifikats aus. Beispiel: default2. 4) Wählen Sie Delete old certificate after replacement aus. Wichtig: Stellen Sie sicher, dass das Kontrollkästchen Delete old signers abgewählt ist. 5) Klicken Sie auf OK. 6) Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden. Anmerkung: Wenn Sie vom Web-Browser darüber informiert werden, dass ein Zertifikat widerrufen wurde und ein neues Zertifikat verfügbar ist, klicken Sie zum Fortfahren auf Ja. 11. Exportieren Sie das persönliche Zertifikat in den Schlüsselspeicher: <wasausgangsverzeichnis>\profiles\<profilname>\etc\key.p12. a. Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen für das persönliche Zertifikat aus. Beispiel: default2. b. Klicken Sie auf Export. c. Geben Sie in Key store password das Kennwort für den Schlüsselspeicher ein. Beispiel: WebAS. Anmerkung: Das standardmäßige Kennwort für den Schlüsselspeicher ist in der Produktdokumentation zu WebSphere Application Server vermerkt. d. Wählen Sie Key store file aus. e. Geben Sie in Key store file die Position des Schlüsselspeichers an. Beispiel: <was-ausgangsverzeichnis>\profiles\<profilname>\etc\key.p12. f. Stellen Sie in Type sicher, dass der Standardwert PKCS12 ausgewählt ist. g. Geben Sie in Key file password das Kennwort ein. Beispiel: WebAS. h. Klicken Sie auf OK. Sie haben das persönliche Zertifikat und den privaten Schlüssel erfolgreich in einen Schlüsselspeicher exportiert. 12. Verwenden Sie das IBM Dienstprogramm für das Schlüsselmanagement (ikeyman) zum Hinzufügen der extrahierten Stammzertifizierungsstelle zum Truststore. a. Starten Sie das Dienstprogramm ikeyman. Suchen Sie das Dienstprogramm in der Datei <was-ausgangsverzeichnis>\profiles\<profilname>\bin\ ikeyman.bat. b. Öffnen Sie den Truststore. Klicken Sie auf Key Database File > Open. Wählen Sie in Key database type den Eintrag PKCS12 aus. c. Klicken Sie auf Browse, um den Truststore zu suchen. Der Truststore befindet sich in der Datei <was-ausgangsverzeichnis>\profiles\<profilname>\ etc\trust.p12. d. Geben Sie das Truststore-Kennwort ein. Beispiel: WebAS. e. Fügen Sie dem Truststore die extrahierte Stammzertifizierungsstelle hinzu. 70 IBM® Security Access Manager for Enterprise Single Sign-On: Installation 1) Wählen Sie im Bereich Key database content die Option Signer Certificates aus. 2) Klicken Sie auf Add. 3) Geben Sie die Position der extrahierten Stammzertifizierungsstelle an. Beispiel: C:\root2048.cer. 4) Geben Sie eine Bezeichnung für die Stammzertifizierungsstelle im Truststore an. Beispiel: root2048_signer. Die Stammzertifizierungsstelle wird dem Truststore hinzugefügt und gespeichert. 13. Stoppen und starten Sie den Server. Ergebnisse Sie haben für die Schlüsselgröße der Stammzertifizierungsstelle und der persönlichen Zertifikate erfolgreich ein Upgrade auf 2048 Bit durchgeführt. Nächste Schritte Stellen Sie sicher, dass für die Zertifikate ein Upgrade durchgeführt wurde. Wenn das frühere Administratorkonsolenfenster noch geöffnet ist, schließen Sie den WebBrowser. 1. Öffnen Sie die WebSphere Application Server-Administratorkonsole in einer neuen Instanz des Web-Browsers. 2. Melden Sie sich mit den Berechtigungsnachweisen des WebSphere-Administrators bei der Administrationskonsole an. 3. Wenn im Web-Browser die Sicherheitseingabeaufforderung angezeigt wird, zeigen Sie die Details des Zertifikats an. 4. Stellen Sie sicher, dass die Schlüsselgröße des erneut ausgegebenen Zertifikats 2048 Bit ist. Aktualisieren Sie das Arbeitsblatt für die Planung mit den neuen Aliasnamen, die für die Aliasnamen der Root- und der Standardzertifikate verwendet wurden. Sie müssen die Aliasnamen zu einem späteren Zeitpunkt angeben, wenn Sie einen neuen IMS Server im IMS-Konfigurationsassistenten einrichten wollen. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. IBM HTTP Server-Plug-in konfigurieren (eigenständig) Implementieren Sie das IBM HTTP Server-Plug-in und konfigurieren Sie Verbindungsanforderungen zum Weiterleiten von Verbindungen über SSL an WebSphere Application Server. Vorbereitende Schritte v Wenn der Server auf einem Computer ohne frühere Serverversionen neu installiert wird, können Sie für die Ports die Standardwerte verwenden. Prüfen Sie mithilfe eines Dienstprogramms wie netstat, ob ein Port bereits belegt ist. Beispiel: netstat -na -p tcp -o. v Wenn andere Anwendungen an Port 80 empfangsbereit sind, müssen Sie diese beenden, bevor Sie IBM HTTP Server installieren. v Stellen Sie sicher, dass die folgende Software gestartet ist: – IBM HTTP Server – IBM HTTP Server-Verwaltungsserver Kapitel 1. IMS Server installieren 71 Gilt nur für IBM HTTP Server Version 7.0. – WebSphere Application Server v Entnehmen Sie dem Arbeitsblatt für die Planung die Konfigurationseinstellungen. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. Informationen zu diesem Vorgang Die Konfiguration von IBM HTTP Server ist ein aus drei Phasen bestehender Prozess. 1. Vergeben Sie an die IBM HTTP Server-Konfiguration Rechte für die Serverfernverwaltung, um die Web-Server-Verwaltung über die WebSphere-Administrationskonsole zu erleichtern. 2. Schützen Sie die Verbindung zwischen IBM HTTP Server und WebSphere Application Server mit einer vertrauenswürdigen SSL-Verbindung. 3. Zentralisieren Sie die Verbindungspunkte für jeden Web-Server. Die folgenden Beispielschritte beziehen sich auf IBM HTTP Server Version 7.0. In der Produktdokumentation zu IBM HTTP Server Version 8.5 finden Sie im Abschnitt zum Implementieren eines Web-Server-Plug-in die Schritte, die sich auf IBM HTTP Server Version 8.5 beziehen. Vorgehensweise 1. Definieren Sie die Web-Server-Konfiguration für WebSphere Application Server. Wenn IBM HTTP Server und WebSphere Application Server auf demselben Computer installiert sind: a. Melden Sie sich bei der WebSphere-Administrationskonsole an, z. B. unter der Adresse https://localhost:9043/ibm/console. b. Klicken Sie im Navigationsfenster auf Servers > Server types > Web servers. c. Klicken Sie auf New. d. Führen Sie die Anweisungen im Assistenten aus, um eine Definition des Web-Servers zu erstellen. Tipp: Weitere Informationen zu den einzelnen Feldern auf der Seite finden Sie in den zugehörigen Beschreibungen im Fenster Help. Betrachten Sie die folgenden Hinweise als Richtlinien: v Geben Sie im Feld Server name den Namen eines Web-ServerEintrags an, der innerhalb des Knotens für den Web-Server eindeutig ist. Beispiel: webserver1. v v v v 72 Tipp: Der Servername ist nicht der Hostname des Web-Servers. Geben Sie im Feld Type den Typ des vorbereiteten Web-Servers an. Beispiel: IBM HTTP Server. Geben Sie im Feld Host name den Hostnamen des Web-Servers an. Geben Sie in Step 3 des Assistenten im Abschnitt Administration server properties die Benutzerberechtigungsnachweise für die IBM HTTP Server-Verwaltung an. Beispiel: ihsadmin. Stellen Sie sicher, dass das Kontrollkästchen Use SSL abgewählt ist. IBM® Security Access Manager for Enterprise Single Sign-On: Installation v Klicken Sie im Fenster Messages auf Save. Der Web-Server-Status ist gestartet. Wenn IBM HTTP Server und WebSphere Application Server nicht auf demselben Computer installiert sind, müssen Sie das Konfigurationsscript für das Web-Server-Plug-in ausführen. a. Kopieren Sie aus dem Verzeichnis <ihs-ausgangsverzeichnis>\ Plugins\bin auf dem IBM HTTP Server-Host die Datei configure<web-server-definitionsname>.bat. Beispiel: configurewebserver1.bat. b. Fügen Sie auf dem Anwendungsserver die Datei configure<web-server-definitionsname>.bat in den Ordner <was-ausgangsverzeichnis>\bin ein. Beispiel: C:\Programme\IBM\ WebSphere\AppServer\bin c. Führen Sie in einer Eingabeaufforderung auf dem Anwendungsserver den folgenden Befehl aus: configure<web-server-definitionsname>.bat -profileName <profilname> -user <was-admin-name> -password <was-admin-kennwort> Beispiel: configurewebserver1.bat -profileName AppSrv01 -user wasadmin -password p@ssw0rd d. Schließen Sie die Eingabeaufforderung, nachdem der Befehl mit folgender Zeile abgeschlossen wurde: Configuration save is complete. Sie haben in der WebSphere-Administrationskonsole erfolgreich eine Web-Server-Definition konfiguriert. Beispiel: webserver1. 2. Klicken Sie in der WebSphere-Administrationskonsole auf Servers > Server Types > Web servers. Stellen Sie sicher, dass die Web-Server-Definition angezeigt wird. Beispiel: webserver1. 3. Vergeben Sie an den WebSphere Application Server-Administrator die Verwaltungsrechte für den fernen Server, indem Sie den IBM HTTP Server-Administratoraccount angeben. a. Klicken Sie in der Administratorkonsole auf Servers > Server Types > Web servers. b. Klicken Sie auf <web-server-name>. Beispiel: webserver1. c. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Remote Web Server Management. d. Geben Sie die Benutzer-ID und das Kennwort für die Authentifizierung beim IBM HTTP Server-Verwaltungsserver an. Beispiel: ihsadmin. e. Wählen Sie das Kontrollkästchen Use SSL ab. f. Klicken Sie auf OK. g. Klicken Sie im Fenster Messages auf Save. 4. (Führen Sie diesen Schritt nur dann aus, wenn IBM HTTP Server und WebSphere Application Server nicht auf demselben Computer installiert sind oder wenn Sie mit einem Programm für den Lastausgleich arbeiten.) Richten Sie die SSL-Zertifikate ein, die von der WebSphere Application Server-Zertifizierungsstelle signiert wurden. Kapitel 1. IMS Server installieren 73 Anmerkung: Das Zertifikat verwendet den IBM HTTP Server-Computernamen als Angabe für CN (Common Name, allgemeiner Name). Hierdurch wird die Kommunikation zwischen Client und IBM HTTP Server erleichtert. a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Security > SSL certificate and key management > Key stores and certificates > CMSKeyStore > Personal certificates. b. Wählen Sie das Standardzertifikat (default) aus. c. Klicken Sie auf Delete. d. Klicken Sie auf Create > Chained Certificate. e. Geben Sie default als Aliasnamen für das Zertifikat an. f. Geben Sie im Feld Key size die Größe des Zertifikatsschlüssels an. Wenn die Stammzertifizierungsstelle für WebSphere Application Server ein 2048-BitZertifikat ist, können Sie die Schlüsselgröße 2048 Bit angeben. Standardmäßig wird als Wert 1024 Bit verwendet. Wichtig: Wählen Sie nicht 2048 Bit aus, wenn Sie die Stammzertifizierungsstelle nicht mit der Schlüsselgröße 2048 Bit erneut erstellt haben. g. In das Feld Common Name können Sie einen der folgenden Namen eingeben: Der vollständig qualifizierte Domänenname des Computers, auf dem IBM HTTP Server installiert ist. Beispiel: webserver1.example.com. v Der vollständig qualifizierte Hostname des Programms für den Lastausgleich, falls ein solches Programm verwendet wird. h. Optional: Geben Sie die übrigen optionalen Informationen ein. i. Klicken Sie auf OK. v j. Klicken Sie im Fenster Messages auf Save. k. Wenn Sie über mehr als einen IBM HTTP Server verfügen, wiederholen Sie für jeden IBM HTTP Server die Schritte a bis j. Das neue Zertifikat wird im Abschnitt Personal Certificates angezeigt. 5. Synchronisieren Sie den Schlüsselspeicher von WebSphere Application Server mit dem Schlüsselspeicher von IBM HTTP Server. a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Servers > Server Types > Web servers. b. Klicken Sie auf <web-server-name>. Beispiel: webserver1. c. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties. d. Klicken Sie auf Copy to Web Server key store directory. e. Klicken Sie auf OK. f. Klicken Sie im Fenster Messages auf Save. Ergebnisse Sie haben in der WebSphere Application Server-Konfiguration einen Web-Server definiert. Der Web-Server leitet Anforderungen, die von Client-Workstations empfangen werden, an den Anwendungsserver weiter. SSL-Direktiven in IBM HTTP Server aktivieren Sie müssen die SSL-Direktiven aktivieren, um die Verschlüsselung des Datenverkehrs von und zu IBM HTTP Server über SSL zu ermöglichen. 74 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Informationen zu diesem Vorgang Standardmäßig ist die SSL-Kommunikation in IBM HTTP Server inaktiviert. Zur Aktivierung von SSL müssen Sie der Datei httpd.conf die SSL-Apache-Direktive hinzufügen. Führen Sie diese Prozedur für jeden Web-Server aus. Vorgehensweise 1. Klicken Sie in IBM Integrated Solutions Console auf Servers > Server Types > Web servers. 2. Klicken Sie auf <web-server-name>. Beispiel: webserver1 3. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Configuration File. Wenn die Konfigurationsdatei nicht geöffnet werden kann, finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide weitere Informationen. 4. Fügen Sie die folgenden Zeilen am Ende der Konfigurationsdatei hinzu: LoadModule ibm_ssl_module modules/mod_ibm_ssl.so Listen 0.0.0.0:443 ## IPv6 support: #Listen [::]:443 <VirtualHost *:443> SSLEnable SSLProtocolDisable SSLv2 SSLServerCert default </VirtualHost> KeyFile "<ihs-ausgangsverzeichnis>\Plugins\config\<web-server-definition>\ plugin-key.kdb" SSLDisable Dabei gilt Folgendes: default Gibt den Aliasnamen des standardmäßigen SSL-Zertifikats an. Tipp: Führen Sie zum Ermitteln des Aliasnamens des standardmäßigen SSL-Zertifikats die folgenden Schritte aus: a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Security > SSL certificate and key management. b. Klicken Sie unter Related Items auf Key stores and certificates. c. Klicken Sie auf CMSKeyStore. d. Klicken Sie unter Additional Properties auf Personal certificates. <ihs-ausgangsverzeichnis>\Plugins\config\<web-server-definition>\ plugin-key.kdb Gibt den Pfad zur Schlüsselspeicherdatei des Plug-ins (plugin-key.kdb) an. Beispiel: C:\Programme\IBM\HTTPServer\Plugins\config\webserver1\ plugin-key.kdb. 5. 6. 7. 8. 9. Klicken Sie auf Apply. Klicken Sie auf OK. Wählen Sie General Properties > Apply aus. Klicken Sie im Fenster Messages auf Save. Starten Sie IBM HTTP Server erneut. Kapitel 1. IMS Server installieren 75 a. Klicken Sie in IBM Integrated Solutions Console auf Servers > Server Types > Web servers. b. Wählen Sie das Kontrollkästchen des entsprechenden Web-Servers aus. Beispiel: webserver1. c. Klicken Sie auf Stop. d. Wählen Sie das Kontrollkästchen des Web-Servers erneut aus. e. Klicken Sie auf Start. 10. Stellen Sie sicher, dass die SSL-Direktiven korrekt aktiviert wurden. Geben Sie die folgende HTTPS-Adresse in einem Web-Browser ein. Beispiel: v https://<ihs-host> Beispiel: https://mywebsvr.example.com. Unter Umständen wird eine Sicherheitseingabeaufforderung des Web-Browsers angezeigt, weil Sie über das sichere HTTPS-Protokoll auf eine Seite zugreifen. Führen Sie die Anweisungen im Dialogfenster aus, um das Sicherheitszertifikat zu akzeptieren und die Seite anzuzeigen. v http://<ihs-host> Beispiel: http://mywebsvr.example.com. Sie können auch sicherstellen, dass noch immer auf Seiten zugegriffen werden kann, für die nicht das HTTPS-Protokoll genutzt wird. Tipp: Wenn die Prüfung fehlschlägt, müssen Sie feststellen, ob die in Schritt 4 auf Seite 75 angegebenen angepassten Variablen korrekt hinzugefügt und ersetzt wurden. Weitere Tipps zur Fehlerbehebung sind im Dokument IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide enthalten. Ergebnisse Sie haben SSL in IBM HTTP Server aktiviert. Darüber hinaus haben Sie Seiten über das sichere HTTPS-Protokoll geprüft. Schlüsselgröße für das SSL-Zertifikat für IBM HTTP Server erhöhen Sie können das SSL-Zertifikat erneut erstellen, um die Schlüsselgröße für das SSLZertifikat für IBM HTTP Server von 1024 Bit auf 2048 Bit zu erhöhen. Diese Task ist optional. Vorbereitende Schritte Stellen Sie sicher, dass für die Stammzertifizierungsstelle von WebSphere Application Server bereits ein Upgrade auf 2048 Bit durchgeführt wurde. Siehe dazu eines der folgenden Themen: v Für WebSphere Application Server in einer eigenständigen Implementierung siehe „Stammzertifizierungsstelle für WebSphere Application Server 7.0 erneut erstellen (eigenständig)” auf Seite 66. v Für WebSphere Application Server in einem Cluster siehe „Stammzertifizierungsstelle für WebSphere Application Server 7.0 vor dem Erstellen von Memberknoten erneut auf dem Deployment Manager erstellen” auf Seite 93. 76 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Informationen zu diesem Vorgang Diese Task ist optional und betrifft nur Neuinstallationen von IMS Server. Wenn Sie für das standardmäßige SSL-Zertifikat für IBM HTTP Server ein Upgrade auf 2048 Bit durchführen müssen, führen Sie diese Task aus, bevor Sie IMS Server installieren. Wenn Sie mit mehreren Web-Servern arbeiten, führen Sie die folgenden Schritte für jeden CMSKeyStore-Schlüsselspeicher in der Administrationskonsole aus. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. 2. Melden Sie sich bei IBM Integrated Solutions Console an. 3. Wählen Sie im Navigationsfenster von Integrated Solutions Console Security > SSL certificate and key management aus. 4. Klicken Sie unter Related items auf Key stores and certificates. 5. Klicken Sie auf CMSKeyStore. 6. Klicken Sie unter Additional Properties auf Personal certificates. 7. Wählen Sie das Standardzertifikat (default) aus. 8. Klicken Sie auf Delete. 9. Klicken Sie auf Create > Chained Certificate. 10. Geben Sie in das Feld Alias einen neuen Aliasnamen ein. Beispiel: default. 11. Wählen Sie aus der Liste Root certificate used to sign the certificate den Aliasnamen der neu erstellten Stammzertifizierungsstelle aus. Beispiel: root 12. Wählen Sie aus der Liste Key size den Wert 2048 aus. 13. Verwenden Sie im Feld Common Name einen der folgenden Einträge: v Wenn Sie kein Programm für den Lastausgleich verwenden, geben Sie den vollständig qualifizierten Namen des Hosts an, auf dem IBM HTTP Server installiert ist. Beispiel: httpsvr1.example.com. v Wenn Sie ein Programm für den Lastausgleich verwenden, müssen Sie dessen vollständig qualifizierten Namen angeben. Anmerkung: Sie müssen für das Feld Common Name einen Wert angeben. 14. Geben Sie in das Feld Validity period den Gültigkeitszeitraum des Zertifikats ein. Beispiel: 365 Tage. 15. Optional: Geben Sie in den folgenden Feldern Informationen ein: v Organization v Organization Unit v Locality v State/Province v Zip Code v Country or Region 16. Klicken Sie auf OK. 17. Klicken Sie im Fenster Messages auf Save. 18. Synchronisieren Sie den Schlüsselspeicher von WebSphere Application Server mit dem Schlüsselspeicher von IBM HTTP Server. a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Servers > Server Types > Web servers. Kapitel 1. IMS Server installieren 77 b. Klicken Sie auf <web-server-name>. Beispiel: webserver1. c. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties. d. Klicken Sie auf Copy to Web Server key store directory. e. Klicken Sie auf OK. f. Klicken Sie im Fenster Messages auf Save. 19. Resynchronisieren Sie die Knoten. a. Klicken Sie auf System administration > Nodes. b. Wählen Sie das Kontrollkästchen für jeden entsprechenden Knoten aus. c. Klicken Sie auf Full Resynchronize. 20. Starten Sie IBM HTTP Server erneut. IMS Server für eine eigenständige Implementierung konfigurieren Sie können IMS Server mithilfe des Installationsprogramms für IMS Server oder durch manuelles Implementieren der EAR-Dateien von IMS Server in WebSphere installieren. 1. Lesen Sie die Releaseinformationen. 2. Extrahieren und installieren Sie IMS Server. Wählen Sie dazu eine der folgenden Methoden: v Installieren Sie IMS Server interaktiv mit dem Installationsprogramm. v Implementieren Sie IMS Server auf WebSphere Application Server manuell. 3. Prüfen Sie die Implementierung von IMS Server. 4. Richten Sie IMS Server ein und konfigurieren Sie das Programm. v Richten Sie mithilfe des IMS-Konfigurationsassistenten Datenquelle, Zertifikate, Ziel-URL und Verzeichnisservices ein. v Richten Sie einen IMS Server-Administrator ein. Sie können die Berechtigungsnachweise des IMS Server-Administrators für den Zugriff auf und die Verwaltung von Ressourcen für die einmalige Anmeldung verwenden. 5. Aktualisieren Sie die Anwendungszuordnungen für die Anwendung ISAMESSOIMS. Durch die Zuordnung wird sichergestellt, dass alle Clientverbindungsanforderungen aus der Webschicht oder vom Front-End des Programms für den Lastausgleich ordnungsgemäß an WebSphere Application Server und an die Anwendung IMS Server weitergeleitet werden. 6. Prüfen Sie die Konfiguration von IMS Server. IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten konfigurieren (eigenständig) Konfigurieren Sie IMS Server, um die Installation von IMS Server abzuschließen. Vorbereitende Schritte v Wenn Sie WebSphere Application Server Version 8.5 verwenden, konfigurieren Sie die JavaServer Faces-Implementierung. v Stellen Sie sicher, dass WebSphere Application Server gestartet ist. v Stellen Sie sicher, dass die IMS Server-Anwendungen folgenden Status aufweisen: – ISAMESSOIMSConfig ist gestartet. 78 IBM® Security Access Manager for Enterprise Single Sign-On: Installation – ISAMESSOIMS ist gestoppt. v Bereiten Sie den Verzeichnisserver vor. v Bereiten Sie den Datenbankserver vor. v Entnehmen Sie dem Arbeitsblatt für die Planung Beispielwerte. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. Informationen zu diesem Vorgang Für die Konfiguration von IMS Server bietet der IMS-Konfigurationsassistent Unterstützung beim Ausführen der folgenden Tasks: 1. Einrichten der Datenquellen. 2. Aktualisieren von Zertifikaten. 3. Einrichten der IMS Server-URL. 4. Konfigurieren von IMS Server für Verzeichnisserver. Anmerkung: Verwenden Sie für WebSphere Application Server Version 7.0 Fixpack 29 oder höher. Für WebSphere Application Server Version 8.5 verwenden Sie Fixpack 2. Vorgehensweise 1. Öffnen Sie den IMS-Konfigurationsassistenten. Die URL wird in folgendem Format angegeben: https://<dmgr-hostname>:<admin-ssl-port>/front Beispiel: https://localhost:9043/front. 2. Wenn Sie im IMS-Konfigurationsassistenten zu einer anderen Sprache wechseln wollen, wählen Sie die gewünschte Sprache im Menü Sprache aus. 3. Wählen Sie auf der Seite Servereinrichtung die Option Neuen IMS Server einrichten aus. 4. Klicken Sie auf Beginnen. 5. Akzeptieren Sie unter Informationen zur Datenquelle eingeben die Standardwerte oder passen Sie die Felder für die Datenquelle an. 6. Klicken Sie auf Weiter. 7. Zur Verwendung der Standardoption für die Erstellung eines Datenbankschemas über den IMS-Konfigurationsassistenten müssen Sie sicherstellen, dass das Kontrollkästchen IMS Server-Datenbankschema erstellen ausgewählt ist. Anmerkung: Alternativ dazu können Sie das Datenbankschema manuell erstellen. Siehe Kapitel 6, „Datenbankschemas erstellen”, auf Seite 187. 8. Klicken Sie auf Weiter. 9. Wählen Sie den Datenbanktyp für IMS Server aus. Anmerkung: Wenn Sie eine Microsoft SQL Server-Datenbank verwenden, haben Sie folgende Auswahlmöglichkeiten: v Standardeinstellung: Erstellen Sie eine Datenbank mit dem Konfigurationsassistenten. Wählen Sie Neue Datenbank erstellen aus. v Verwenden Sie eine bereits vorhandene Datenbank. Wählen Sie das Kontrollkästchen Neue Datenbank erstellen ab. Klicken Sie auf Weiter. 10. Klicken Sie auf Weiter. 11. Geben Sie in Datenbankkonfiguration -<datenbanktyp> die Verbindungsinformationen zum Datenbanktyp an. Führen Sie die Anweisungen im Assistenten aus, um die Details zur Datenbankverbindung anzugeben. Zum ausgeKapitel 1. IMS Server installieren 79 wählten Datenbanktyp kann ein anderer Satz Felder gehören. Eine Anleitung dazu finden Sie in den Hilfebeschreibungen auf der Seite. Tipp: Weitere Hilfeinformationen für die einzelnen Elemente können Sie anzeigen, indem Sie den Cursor über die Elemente bewegen. Die folgenden Felder sind für DB2 spezifisch. Sie können die folgenden Beschreibungen als weitere Hilfestellung verwenden: Hostname Geben Sie den Datenbankhostnamen an. Beispiel: mydbsvr. Port Die Portnummer für die Datenbankverbindung ist bereits vorab angegeben. Prüfen Sie, ob der Standardportwert korrekt ist. Beispiel: v Der Standardwert für DB2 ist 50000. v Der Standardwert für SQL Server ist 1433. v Der Standardwert für Oracle ist 1521. Anmerkung: Informationen zum Ermitteln der korrekten Portnummernwerte für die Datenbankverbindung des jeweils verwendeten Datenbankserver können Sie der Dokumentation Ihres Datenbankanbieters entnehmen. Datenbankname Geben Sie den Namen der Datenbank an. Beispiel: imsdb. Benutzername Geben Sie den vorbereiteten Datenbankbenutzer an. Beispiel: db2admin. Benutzerkennwort Geben Sie das Kennwort für den Datenbankbenutzer an. 12. Klicken Sie auf Weiter. 13. Prüfen Sie in Details zur Stammzertifizierungsstelle (Root CA) eingeben die Standardwerte. Prüfen Sie den Schlüsselspeichernamen, das Schlüsselspeicherkennwort und den Zertifikatsaliasnamen der Root- bzw. Stammzertifizierungsstelle, die zum Signieren der Zertifizierungszwischenstelle von IMS Server verwendet wird. Wichtig: Wenn Sie die Schlüsselgröße für die Stammzertifizierungsstelle erneut erstellt oder dafür ein Upgrade durchgeführt haben, kann dies zu einer Änderung des Aliasnamens der Stammzertifizierungsstelle führen. Stellen Sie sicher, dass Sie den korrekten Aliasnamen angeben. Die folgenden Beschreibungen enthalten weitere Informationen dazu: Tipp: Verwenden Sie das Arbeitsblatt für die Planung, um die verwendeten angepassten Werte zu prüfen. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. Schlüsselspeichername Gibt den Namen des Rootschlüsselspeichers an. Der Rootschlüsselspeicher ist eine Schlüsseldatenbank, die sowohl öffentliche als auch private Schlüssel für die sichere Kommunikation enthält. In der Regel können Sie den Standardwert verwenden. 80 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Schlüsselspeichergeltungsbereich Gibt die Ebene an, auf der der Schlüsselspeicher auf Zellen- oder Knotenebene sichtbar ist. In der Regel können Sie den Standardwert verwenden. Schlüsselspeicherkennwort Gibt das Kennwort für den Schlüsselspeicher des Stammzertifikats an. In der Regel können Sie den Standardwert verwenden. Aliasname für Stammzertifizierungsstelle Akzeptieren Sie den Standardwert für den Rootaliasnamen, wenn der Aliasname der Stammzertifizierungsstelle nicht bereits geändert wurde. 14. Klicken Sie auf Weiter. Die Zertifikatberechtigungsnachweise für den Schlüsselspeicher und den Rootaliasnamen wurden geprüft. 15. Geben Sie in IMS-Service-URL konfigurieren den Namen und die Portnummer von IBM HTTP Server oder des Programms für den Lastausgleich an oder akzeptieren Sie die Standardwerte. Anmerkung: Für den Namen von IBM HTTP Server oder des Programms für den Lastausgleich gilt Folgendes: v Er ist der vollständig qualifizierte Name von IBM HTTP Server oder des Programms für den Lastausgleich, der bzw. das eine Schnittstelle zu WebSphere Application Server bildet. v Er muss mit dem Attribut CN des SSL-Zertifikats übereinstimmen, das von IBM HTTP Server verwendet wird. 16. Klicken Sie auf Weiter. 17. Konfigurieren Sie IMS Server für die Arbeit mit einem Verzeichnisserver. Anmerkung: v Wenn Sie Verzeichnisserver zu einem späteren Zeitpunkt konfigurieren wollen, müssen Sie die Einrichtung der Verzeichnisserver vor Verwendung des IMS-Konfigurationsdienstprogramms ausführen. 18. 19. 20. 21. v Wenn Sie einen Verzeichnisserver verwenden wollen, müssen Sie IMS Server für die Arbeit mit einem Verzeichnisserver konfigurieren, bevor Sie einen Administratoraccount für IMS Server einrichten. Klicken Sie auf Weiter. Überprüfen Sie die Einstellungen. Klicken Sie auf Speichern. Führen Sie zum Abschließen der Konfiguration von IMS Server eine der folgenden Optionen aus: Option Bezeichnung Wenn Unternehmensverzeichnisse konfigu- (Netzimplementierung) Starten Sie den riert wurden: Deployment Manager-Knoten erneut. (Eigenständige Implementierung) Starten Sie den Anwendungsserver erneut. Kapitel 1. IMS Server installieren 81 Option Bezeichnung Wenn keine Unternehmensverzeichnisse konfiguriert wurden: Starten Sie ISAMESSOIMSConfig neu. (Netzimplementierung) Starten Sie den Deployment Manager-Knoten erneut. (Eigenständige Implementierung) Starten Sie den Anwendungsserver erneut. Ergebnisse Sie haben IMS Server erfolgreich eingerichtet. Nächste Schritte Wenn Sie das Unternehmensverzeichnis konfiguriert haben, können Sie den Administratoraccount für IMS Server einrichten. Wenn Sie das Unternehmensverzeichnis noch nicht konfiguriert haben, tun Sie dies über das IMS-Konfigurationsdienstprogramm. Informationen hierzu finden Sie im Abschnitt zum Konfigurieren von IMS Server zur Verwendung des Verzeichnisservers in der Veröffentlichung IBM Security Access Manager for Enterprise Single SignOn Configuration Guide. IMS Server-Administrator einrichten Für Neuinstallationen können Sie einen Administratoraccount für IMS Server einrichten. Vorbereitende Schritte v Stellen Sie sicher, dass der Deployment Manager gestartet ist. v Stellen Sie sicher, dass ISAMESSOIMSConfig gestartet ist. v Stellen Sie sicher, dass der Cluster gestoppt ist. v Bereiten Sie den Verzeichnisserver vor. – Wenn für Ihre Implementierung ein Verzeichnisserver mit IMS Server erforderlich ist, müssen Sie diesen Verzeichnisserver zunächst konfigurieren. Siehe IMS Server für Verzeichnisserver konfigurieren. – Stellen Sie sicher, dass die Benutzernamen für den IMS Server-Administrator oder den WebSphere-Administrator eindeutig und nicht bereits auf dem Verzeichnisserver vorhanden sind, auf dem Sie den Account einrichten. – Erstellen Sie auf dem Active Directory- oder LDAP-Server einen IMS ServerAdministratoraccount. Beispiel: imsadmin. – Starten Sie den Verzeichnisserver und stellen Sie sicher, dass er verfügbar ist. Informationen zu diesem Vorgang Hinweise für die Einrichtung eines Administrators: Wenn keine Unternehmensverzeichnisse konfiguriert sind Der eingerichtete IMS Server-Administratoraccount wird in der IMS ServerDatenbank erstellt und gespeichert. Wenn Sie sich mit den Berechtigungsnachweisen des IMS Server-Administrators anmelden, werden diese anhand der IMS Server-Datenbank authentifiziert. Dieser Account in der Datenbank wird auch als Basis-Connector-Benutzeraccount bezeichnet. 82 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Wenn Unternehmensverzeichnisse konfiguriert sind Der eingerichtete IMS Server-Administratoraccount wird mit einem ähnlichen Account im Unternehmensverzeichnis synchronisiert und authentifiziert. Vorgehensweise 1. Starten Sie in einem Browser das IMS-Konfigurationsdienstprogramm. Beispiel: Geben Sie https://localhost:9043/webconf ein. 2. Melden Sie sich mit den Berechtigungsnachweisen des WebSphere-Administrators an. 3. Klicken Sie im Bereich "Konfigurationsassistenten" auf IMS-Administrator einrichten. 4. Geben Sie die Berechtigungsnachweise eines gültigen Benutzers für den einzurichtenden IMS Server-Administrator ein. Beispiel: imsadmin. Wenn Sie mit einem Verzeichnisserver arbeiten, geben Sie die Berechtigungsnachweise für einen gültigen Benutzer des Unternehmensverzeichnisses ein. Wenn Sie keinen bestimmten IMS Server-Administrator erstellt haben, können Sie einen bestehenden Benutzer auf dem Verzeichnisserver angeben. Anmerkung: Wenn mehrere Unternehmensverzeichnisse vorhanden sind, müssen Sie die Domäne auswählen, in der der Benutzer vorhanden ist. Ergebnisse Sie haben einen IMS Server-Administratoraccount eingerichtet. Nächste Schritte Fahren Sie mit weiteren Konfigurationsschritten nach der Installation von IMS Server fort. Aktualisieren Sie die Anwendungszuordnungen für die Anwendung ISAMESSOIMS. Modulzuordnung für ISAMESSOIMS für die Weiterleitung von Verbindungsanforderungen aktualisieren Aktualisieren Sie die Anwendungszuordnungen für ISAMESSOIMS zu den Hosts der Web- und der Anwendungsschicht mit den neuen IMS Server-Anwendungszuordnungen. Vorbereitende Schritte Stellen Sie sicher, dass die folgenden Komponenten und Anwendungen gestartet sind: v ISAMESSOIMSConfig v IBM HTTP Server-Verwaltungsserver v WebSphere Application Server (eigenständig) oder Deployment Manager (Netzimplementierung) v (Netzimplementierung) Knotenagenten Stellen Sie sicher, dass die folgenden Komponenten und Anwendungen gestoppt sind: v ISAMESSOIMS v IBM HTTP Server v Cluster Kapitel 1. IMS Server installieren 83 Informationen zu diesem Vorgang Sie müssen die Anwendung ISAMESSOIMS den Hosts der Web- und der Anwendungsschicht zuordnen, nachdem Sie IMS Server mit dem Installationsprogramm von IMS Server installiert haben. Sie müssen die Anwendungszuordnungen für ISAMESSOIMS manuell aktualisieren, wenn Sie einem Cluster weitere Knoten hinzufügen. Vorgehensweise 1. Klicken Sie im Navigationsfenster der WebSphere-Administrationskonsole auf Applications > Application types > WebSphere enterprise applications. 2. Klicken Sie auf ISAMESSOIMS. 3. Klicken Sie unter Modules auf Manage Modules. Die Seite "Manage Modules" wird angezeigt. 4. Wählen Sie das Kontrollkästchen für alle Module aus. 5. Wählen Sie im Feld Clusters and servers jeden der Ziel-Web-Server, -Cluster und -Anwendungsserver in Ihrer Implementierung aus. Tipp: Drücken Sie zum Auswählen mehrerer Server die Umschalttaste und klicken Sie dann, um mehrere Web-Server, Cluster oder Anwendungsserver auszuwählen. 6. Klicken Sie auf Apply. 7. Klicken Sie auf OK. 8. Klicken Sie im Fenster Messages auf Save. 9. Synchronisieren Sie die Knoten vollständig. Siehe „Knoten resynchronisieren” auf Seite 217. Ergebnisse Die Verbindungsanforderungen der IMS Server-Anwendungs-URLs werden nun ordnungsgemäß von IBM HTTP Server an die Anwendung ISAMESSOIMS weitergeleitet. Konfiguration von IMS Server prüfen Stellen Sie sicher, dass die Installation und die Konfiguration von IMS Server funktionieren. Vorbereitende Schritte Stellen Sie sicher, dass die folgenden Anwendungen und Komponenten gestartet sind: v ISAMESSOIMS v ISAMESSOIMSConfig v WebSphere Application Server v IBM HTTP Server v Datenbankserver v Verzeichnisserver Vorgehensweise 1. Stellen Sie sicher, dass Sie auf AccessAdmin zugreifen können. a. Rufen Sie in einem Browser die URL für AccessAdmin auf. Beispiel: v https://<ihs-host>/admin 84 IBM® Security Access Manager for Enterprise Single Sign-On: Installation v https://<host_des_programms_für_den_lastausgleich>/admin b. Melden Sie sich mit dem eingerichteten Administratoraccount von IMS Server bei AccessAdmin an. Beispiel: imsadmin. c. Klicken Sie auf Einrichtungsassistent. d. Sie können die Anweisungen für die Konfiguration von Authentifizierungsfaktoren zu einem späteren Zeitpunkt lesen. Schließen Sie den Browser. Sie haben erfolgreich sichergestellt, dass Sie auf AccessAdmin zugreifen können. 2. Stellen Sie sicher, dass Sie auf Web Workplace zugreifen können. a. Rufen Sie in einem Browser die URL für Web Workplace auf. Beispiel: v https://<ihs-host>/aawwp?isWwp=true v https://<host_des_programms_für_den_lastausgleich>/aawwp?isWwp=true b. Melden Sie sich mit dem eingerichteten Administratoraccount von IMS Server bei Web Workplace an. Beispiel: imsadmin. 3. Stellen Sie sicher, dass Sie auf AccessAssistant zugreifen können. a. Rufen Sie in einem Browser die URL für AccessAssistant auf. Beispiel: v https://<ihs-host>/aawwp v https://<host_des_programms_für_den_lastausgleich>/aawwp b. Melden Sie sich mit dem eingerichteten Administratoraccount von IMS Server bei AccessAssistant an. Beispiel: imsadmin. Ergebnisse Sie haben IMS Server erfolgreich installiert und sichergestellt, dass das Programm funktioniert. Außerdem haben Sie sichergestellt, dass die URLs für den Zugriff auf die Verwaltungskomponenten funktionieren. Nächste Schritte Informationen zur Erstellung weiterer Serverkonfigurationen für Ihre jeweilige Implementierung, z. B. zum Hinzufügen von Authentifizierungsfaktoren, finden Sie im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide. Sie können nun die AccessAgent- oder AccessStudio-Clients auf Client-Workstations installieren. Tipp: Um Zeit zu sparen und den Zugriff zu vereinfachen, können Sie für die Verwaltungs-URLs in Ihrem Web-Browser Lesezeichen setzen. Cluster einrichten (Netzimplementierung) Mithilfe von Clustern können Sie Ihre IBM Security Access Manager for Enterprise Single Sign-On-Konfiguration skalieren. Cluster ermöglichen die Hochverfügbarkeit von Unternehmensanwendungen, weil Anforderungen bei Fehlern automatisch an die aktiven Server weitergeleitet werden. Eine Clusterimplementierung wird in der Regel in Produktionsumgebungen von Unternehmen verwendet. Kapitel 1. IMS Server installieren 85 Host A Anwendungsschicht, Webschicht Deployment Manager ISAM ESSO IMSKonfigurationsdienstprogramm Knotenagent Web-Server Plug-in Clientschicht Anwendungsserver 1 Verwalteter Knoten ISAM ESSO IMS Server ISAM ESSO AccessAgent Programm für den Lastausgleich Web-Browser (Client) Host B Zelle Anwendungsschicht, Webschicht Datenschicht Anwendungsdaten Web-Server Plug-in Knotenagent Anwendungsserver 2 Verwalteter Knoten ISAM ESSO IMS Server Abbildung 4. Beispiel für Hochverfügbarkeit: IBM Security Access Manager for Enterprise Single Sign-On in einem Netzimplementierungscluster mit zwei Knoten Weitere Informationen zu Planung und Implementierung beim Einrichten eines Clusters finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Roadmap Installieren und bereiten Sie die folgende Middleware vor, bevor Sie die Installation von IMS Server ausführen: 1. 2. 3. 4. 5. Bereiten Sie den Datenbankserver vor. Bereiten Sie den Verzeichnisserver vor. Bereiten Sie WebSphere Application Server vor. Bereiten Sie IBM HTTP Server vor. Optional: Installieren Sie IBM Tivoli Common Reporting oder die Berichtskomponenten von IBM Cognos Business Intelligence. Sie müssen die folgenden Middlewarekomponenten für die Verwendung mit IBM Security Access Manager for Enterprise Single Sign-On vorbereiten: Datenbankserver Der Datenbankserver dient als Host für SSO-Benutzeridentitäten und -Wallets. Sie können eine neue Instanz eines Datenbankservers installieren oder eine bestehende Instanz wiederverwenden. WebSphere Application Server WebSphere Application Server stellt eine zentrale Anwendungsverwaltungsplattform dar, die die die Funktionalität eines Web-Servers zur Bearbeitung von Webanwendungsanforderungen erweitert. IBM Security Access 86 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Manager for Enterprise Single Sign-On IMS Server ist eine WebSphere-Anwendung. Zur Wiederverwendung eines bestehenden Anwendungsservers müssen Sie diesen manuell installieren und konfigurieren. IBM HTTP Server IBM HTTP Server ist ein separater, dedizierter Web-Server, der für die Arbeit mit dem Anwendungsserver konfiguriert ist. IBM Tivoli Common Reporting oder Berichtskomponenten von IBM Cognos Business Intelligence Installieren Sie IBM Tivoli Common Reporting oder Berichtskomponenten von IBM Cognos Business Intelligence, falls Sie Berichte von IBM Security Access Manager for Enterprise Single Sign-On erstellen wollen. Siehe hierzu IBM Security Access Manager for Enterprise Single Sign-On - Administratorhandbuch. Anmerkung: IBM Tivoli Common Reporting wird derzeit unterstützt, jedoch läuft der Support aus. Verwenden Sie als Best Practice das IBM Cognos-Berichtsframework für die Berichterstellung. Verzeichnisserver Ein Verzeichnisserver oder LDAP-Repository authentifiziert Benutzer und ruft Informationen über Benutzer und Gruppen ab, um sicherheitsrelevante Funktionen, wie Authentifizierung und Autorisierung, auszuführen. Sie können eine neue Instanz eines Verzeichnisservers installieren oder eine bestehende Instanz wiederverwenden. Wenn Sie bereits bestehende Middleware wiederverwenden, die zu einem früheren Zeitpunkt implementiert wurde, müssen Sie die Mindestmenge an unterstützten Fixpacks anwenden, bevor Sie IMS Server installieren. Profile für Netzimplementierungen erstellen und auswählen Ein WebSphere Application Server-Profil definiert die Laufzeitumgebung. Für Anwendungsservingumgebungen mit Hochverfügbarkeit sind mehrere Profile erforderlich, um so die Komplexität des Systems zu verwalten. Mithilfe von Profilen können Sie unterschiedliche Typen von WebSphere Application Server-Umgebungen auf einem einzigen System definieren, ohne dass Sie dazu mehrere Kopien von WebSphere Application Server installieren müssen. Zur Erstellung von Profilen für WebSphere Application Server können Sie das grafische Profile Management Tool verwenden. Für WebSphere Application Server Version 8.5 dürfen in den Ordnernamen für den Profilverzeichnispfad keine Leerzeichen enthalten sein. Diese Voraussetzung ist für Deployment Manager, Anwendungsserver und angepasste Knotenprofile gültig. Führen Sie für eine Netzimplementierungsumgebung die folgenden Schritte aus: 1. Erstellen Sie ein Deployment Manager-Profil, bevor Sie die anderen Profile erstellen. Anmerkung: Nur wenn für den Implementierungsplan Sicherheitszertifikate mit höherer Schlüsselgröße erforderlich sind, müssen Sie sicherstellen, dass Sie das Stammzertifikat vor dem Fortfahren erneut erstellen. 2. Erstellen Sie für jeden verwalteten Knoten ein angepasstes Profil. Kapitel 1. IMS Server installieren 87 Erstellen Sie für eine Netzimplementierung die folgenden WebSphere Application Server-Profile. WebSphere Application Server-Profile Nutzung Deployment Manager: Profil management Erstellen Sie für eine Netzimplementierungsumgebung zunächst dieses Profil. Verwaltete Memberknoten: Profil custom Erstellen Sie für eine Netzimplementierungsumgebung angepasste Knoten. Dann können Sie über die Administrationskonsole die Anwendung ISAMESSOIMS in dem Cluster installieren, der mit den angepassten Knoten erstellt wurde. Anmerkung: Wenn der Server auf einem Computer ohne frühere Serverversionen neu installiert wird, können Sie für die Ports die Standardwerte verwenden. Prüfen Sie mithilfe eines Dienstprogramms wie netstat, ob ein Port bereits belegt ist. Die Änderung der Standardports wird in der Regel von einem erfahrenen WebSphere Application Server-Administrator ausgeführt. Die Portnummern und Einstellungen für die einzelnen erstellen Profile werden stets in der Datei AboutThisProfile.txt gespeichert. Diese Datei befindet sich im Verzeichnis <was-ausgangsverzeichnis>/profiles/<profilname>/logs/. Diese Datei ist hilfreich, wenn Sie die korrekte Portnummer für ein eigenständiges Profil, ein angepasstes Knotenprofil oder ein Deployment Manager-Profil ermitteln müssen. Deployment Manager-Profile Ein Deployment Manager ist ein Server, über den Operationen für eine logische Gruppe oder Zelle aus anderen Servern verwaltet werden. In einer Netzimplementierung können Sie eine Gruppe von Servern für Lastausgleich und Failover verwenden. Der Deployment Manager ist die zentrale Position für die Verwaltung der Server und Cluster in der Zelle. Bei der Erstellung einer Netzimplementierungsumgebung ist das Deployment Manager-Profil das erste Profil, das Sie erstellen. Wichtig: v Stellen Sie sicher, dass der als WebSphere-Administrator angegebene Name des Benutzers mit Verwaltungsaufgaben nicht auf den Verzeichnisservern vorhanden ist, die für IMS Server verwendet werden sollen. Wenn beispielsweise der WebSphere-Administrator, den Sie angeben, den Namen wasadmin hat, darf der Benutzer wasadmin nicht im Unternehmensverzeichnis vorhanden sein. v Verwenden Sie keinesfalls einen gängigen Benutzernamen wie „administrator” als WebSphere Application Server-Administrator. v Wählen Sie einen Benutzernamen aus, für den die Chancen möglichst gering sind, dass er zu Konflikten mit möglichen Benutzern des Unternehmensverzeichnisses führt. Angepasste Profile Erstellen Sie für die Konfiguration einer Netzimplementierungsumgebung angepasste Knoten und föderieren Sie diese im Deployment Manager. Zu einem späte- 88 IBM® Security Access Manager for Enterprise Single Sign-On: Installation ren Zeitpunkt können Sie dann mithilfe der WebSphere Application Server-Administrationskonsole die Anwendung IMS Server auf den verschiedenen Memberknoten installieren. Im Unterschied zu eigenständigen Profilen ist ein angepasstes Profil ein leerer Knoten, der nicht den Standardserver enthält, der im eigenständigen Profil enthalten ist. Nachdem das angepasste Profil im Deployment Manager föderiert wurde, wird aus dem Knoten ein verwalteter Knoten. Ein verwalteter Knoten, der einen Knotenagenten enthält, wird von einem Deployment Manager verwaltet. Netzimplementierungsprofile erstellen (Profile Management Tool) Verwenden Sie das Profile Management Tool für die Erstellung eines Deployment Manager-Profils sowie eines angepassten Profils für eine Netzimplementierung. Vorbereitende Schritte v Melden Sie sich als Benutzer mit Administratorberechtigungen beim System an. v Bereiten Sie WebSphere Application Server vor. v Installieren Sie die WebSphere Application Server-Fixpacks. v Stellen Sie sicher, dass bidirektionale Hostnamensauflösung zwischen dem Deployment Manager, den Knoten und allen anderen Knoten eingerichtet ist. Sie können die Einträge einem DNS-Host oder der Datei "hosts" hinzufügen. Informationen zu diesem Vorgang Dieses Handbuch enthält Anweisungen zur Vorbereitung von WebSphere Application Server für IMS Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für WebSphere Application Server. Informationen finden Sie in der folgenden WebSphere Application Server-Dokumentation: v Dokumentation für Version 7.0: http://pic.dhe.ibm.com/infocenter/wasinfo/ v7r0/index.jsp. v Dokumentation für Version 8.5: http://pic.dhe.ibm.com/infocenter/wasinfo/ v8r5/index.jsp. Das Profile Management Tool weist Portnummern zu, die Sie während der Konfiguration und Verwaltung von IMS Server verwenden müssen. Diese Informationen werden in der Datei AboutThisProfile.txt im Verzeichnis <wasausgangsverzeichnis>/profiles/<profilname>/logs aufgezeichnet. Führen Sie für eine Netzimplementierungsumgebung die folgenden Schritte aus: v Erstellen Sie ein Deployment Manager-Profil, bevor Sie die anderen Profile erstellen. v Optional: Führen Sie ein Upgrade für das Deployment Manager-Stammzertifikat von 1024 Bit auf 2048 Bit durch. v Erstellen Sie für jeden Knoten, den Sie dem Server-Cluster hinzufügen wollen, ein angepasstes Profil. Beim Profilerstellungsprozess werden Standardkopien des WebSphere-Truststores und -Schlüsselspeichers erstellt. Wenn Sie die Komponente IMS Server installieren, müssen Sie die Position des WebSphere-Truststores und -Schlüsselspeichers ange- Kapitel 1. IMS Server installieren 89 ben. Wenn Sie die Standarddateien verwenden, müssen Sie die Dateipfade angeben, die vom Profile Management Tool erstellt werden. Beispielsweise lautet die Standardposition des Truststores für den Deployment Manager auf einem Host mit dem Namen mySvr1 wie folgt: <was-ausgangsverzeichnis>/profiles/<dmgr-profilname>/config/cells/mySvr1Node01Cell/trust.p12 Auf demselben Host lautet der Standardschlüsselspeicher wie folgt: <was-ausgangsverzeichnis>/profiles/<dmgr-profilname>/config/cells/mySvr1Node01Cell/key.p12 Tipp: Informationen zur Ausführung grundlegender Profilmanagementtasks, wie Löschen und Auflisten von Profilen in WebSphere Application Server, finden Sie unter „Grundlegende Befehle für die Verwaltung von WebSphere Application Server-Profilen” auf Seite 220. Vorgehensweise 1. Öffnen Sie das Profile Management Tool. Beispiel: WebSphere Application Server Version 7.0 Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server Network Deployment V7.0 > Profile Management Tool. WebSphere Application Server Version 8.5 Klicken Sie auf Start > Alle Programme > IBM WebSphere > IBM Websphere Application Server > Tools > Profile Management Tool. 2. Führen Sie folgende Schritte aus, um ein Deployment Manager-Profil zu erstellen: a. Klicken Sie auf Launch Profile Management Tool. b. Klicken Sie auf Create. c. Klicken Sie auf der Seite Environment selection auf Management. d. Klicken Sie auf Next. e. Wählen Sie auf der Seite Server Type Selection die Option Deployment manager aus. f. Klicken Sie auf Next. g. Wählen Sie auf der Seite Profile Creation Options die Option Advanced profile creation aus. h. Klicken Sie auf Next. i. Geben Sie auf der Seite Profile name and location einen Namen für das Profil und den Verzeichnispfad für das Profilverzeichnis an. Wichtig: Für WebSphere Application Server Version 8.5 darf der Profilverzeichnispfad keine Leerzeichen enthalten. j. Klicken Sie auf Next. k. Stellen Sie auf der Seite Administrative Security sicher, dass das Kontrollkästchen Enable administrative security ausgewählt ist. l. Geben Sie einen WebSphere-Benutzernamen und das zugehörige Kennwort an. Beispiel: wasadmin. Wichtig: Der als WebSphere-Administrator angegebene Name des Benutzers mit Verwaltungsaufgaben muss eindeutig sein und darf auf dem Verzeichnisserver nicht vorhanden sein. Wenn beispielsweise der WebSphere-Administrator, den Sie angeben, den Namen wasadmin hat, darf der Benutzer wasadmin nicht im Unternehmensverzeichnis vorhanden sein. 90 IBM® Security Access Manager for Enterprise Single Sign-On: Installation m. Klicken Sie auf Next. n. Prüfen Sie die Einstellungen auf der Seite Profile Creation Summary. Alternativ dazu können Sie die Werte in Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175 aufzeichnen. Beispiel: v Position (C:\WAS\profiles\Dmgr01) v Profilname (Standardeinstellung ist Dmgr01) v Zellenname v Knotenname v Hostname v Port der Administrationskonsole: (Standardeinstellung ist 9060) v Sicherer Port der Administrationskonsole (Standardeinstellung ist 9043) v Deployment Manager-Bootstrap-Port (Standardeinstellung ist 9809) v Deployment Manager-SOAP-Connector-Port (Standardeinstellung ist 8879) o. Klicken Sie auf Create. Der Erstellungsprozess für das Deployment Manager-Profil wird gestartet. p. Stellen Sie sicher, dass das Kontrollkästchen Launch the First Steps console ausgewählt ist. q. Klicken Sie auf Finish. Das Fenster "WebSphere Application Server - First Steps" wird angezeigt. r. Klicken Sie auf den Link Installation verification. Die letzten beiden Zeilen werden angezeigt. Der Deployment Manager ist gestartet. IVTL0070I: The Installation Verification Tool verification succeeded. IVTL0080I: The installation verification is complete. s. Stellen Sie sicher, dass Sie auf die Administrationskonsole zugreifen können. Beispiel: Rufen Sie https://localhost:9043/ibm/console auf. t. Schließen Sie das Ausgabefenster und den Browser. 3. Optional: (Nur für Implementierungen mit der Anforderung, dass ein 2048-BitZertifikat der Stammzertifizierungsstelle verwendet wird) Erstellen Sie die Stammzertifizierungsstelle im Deployment Manager-Knoten erneut. Siehe „Stammzertifizierungsstelle für WebSphere Application Server 7.0 vor dem Erstellen von Memberknoten erneut auf dem Deployment Manager erstellen” auf Seite 93. Anmerkung: Wenn Sie die Schlüsselgröße der Stammzertifizierungsstelle für eine Implementierung mit höherem Sicherheitsniveau auf 2048 Bit erhöhen müssen, erstellen Sie die Stammzertifizierungsstelle im Deployment ManagerKnoten vor dem Föderieren von Knoten erneut. 4. Führen Sie für jeden WebSphere Application Server-Knoten, den Sie in einem Deployment Manager föderieren wollen, die folgenden Schritte aus: a. Klicken Sie auf Launch Profile Management Tool. Das Profile Management Tool wird angezeigt. b. Klicken Sie auf Create. c. Klicken Sie auf der Seite Environment selection auf Custom profile. d. Klicken Sie auf Next. e. Klicken Sie auf Advanced profile creation. f. Klicken Sie auf Next. Kapitel 1. IMS Server installieren 91 g. Geben Sie auf der Seite Profile name and location einen Namen für das Profil und den Verzeichnispfad für das Profilverzeichnis an. Wichtig: Für WebSphere Application Server Version 8.5 darf der Profilverzeichnispfad keine Leerzeichen enthalten. h. Geben Sie auf der Seite Federation die Verbindungswerte für den Deployment Manager-Host an. Anmerkung: Die Werte für Ihre Umgebung können Sie dem Arbeitsblatt für die Planung entnehmen. Hostname oder IP-Adresse des Deployment Manager: Geben Sie den vollständig qualifizierten Domänennamen des Deployment Manager-Hosts an. Beispiel: appsvr1.example.com. Tipp: Um sicherzustellen, dass die Föderation erfolgreich verläuft, müssen Sie sich in einer Standardinstallation vergewissern, dass Sie den korrekten Deployment Manager-Hostnamen verwenden. Stellen Sie sicher, dass der Knoten den vollständig qualifizierten Domänennamen des Deployment Manager-Hosts auflösen kann. SOAP-Portnummer des Deployment Manager (Standardeinstellung 8879) Akzeptieren Sie den Standardwert oder ändern Sie den Wert in eine andere Portnummer. Benutzername Geben Sie den Namen des Benutzers mit Administratorberechtigung für den Deployment Manager an. Beispiel: wasadmin. Kennwort Geben Sie das Kennwort des Benutzers mit Administratorberechtigung für den Deployment Manager an. i. Klicken Sie auf Next. j. Überprüfen Sie die Zusammenfassung für die Profilerstellung. Alternativ dazu können Sie die Werte im Arbeitsblatt für die Planung aufzeichnen. v Profilname (Standardeinstellung: Custom01) v Position (C:\WAS\profiles\Custom01) k. Klicken Sie auf Create, um die Profilerstellung zu starten. l. Wählen Sie das Kontrollkästchen Launch the First steps console ab. m. Klicken Sie auf Finish. Wenn die Föderation fehlschlägt, finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide weitere Informationen. Ergebnisse Sie haben für einen WebSphere Application Server-Cluster einen Deployment Manager-Host installiert und angepasste Serverknoten erstellt. Nächste Schritte Konfigurieren Sie WebSphere Application Server. 92 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Stammzertifizierungsstelle für WebSphere Application Server 7.0 vor dem Erstellen von Memberknoten erneut auf dem Deployment Manager erstellen Die Stammzertifizierungsstelle für WebSphere Application Server weist eine standardmäßige Schlüsselgröße von 1024 Bit auf. Ändern Sie die Schlüsselgröße der Stammzertifizierungsstelle im Deployment Manager-Knoten in 2048 Bit, bevor Sie föderierte Knoten erstellen. Verwenden Sie die Schlüsselgröße 2048 Bit, um so eine höhere Sicherheitsstufe zu bieten. Vorbereitende Schritte v v v v Erstellen Sie den Deployment Manager-Knoten. Stellen Sie sicher, dass der Deployment Manager gestartet ist. Stellen Sie sicher, dass die Knoten föderiert sind. Stellen Sie sicher, dass Ihre Hostnamen ordnungsgemäß aufgelöst werden. Informationen zu diesem Vorgang Diese Task ist optional. Sie gilt für folgende Fälle: v Neuinstallationen von IMS Server, bei denen für die standardmäßige Schlüsselgröße des Stammzertifikats von 1024 Bit ein Upgrade auf 2048 Bit durchgeführt werden muss v Neuer Cluster, bei dem nur der Deployment Manager-Knoten erstellt wird Angepasste WebSphere Application Server-Profile oder Memberknoten des Clusters sind noch nicht erstellt oder föderiert. Bei dieser Methode wird für die Schlüsselgröße der Stammzertifizierungsstelle ein Upgrade auf ein 2048-Bit-Stammzertifikat (root) durchgeführt, bevor Memberknoten im Cluster erstellt werden. Führen Sie diese Task aus, um nicht für das Zertifikat jedes Knotens einzeln ein Upgrade durchführen zu müssen. Führen Sie nach der Deployment Manager-Erstellung die folgenden Schritte aus. Das Zertifikat der Stammzertifizierungsstelle signiert die Standardzertifikate im Schlüsselspeicher. Die Zertifikate schützen die interne Kommunikation von WebSphere Application Server. Kapitel 1. IMS Server installieren 93 rootkey.p12 Rootstore Truststore Selbst signierte Stammzertifizierungsstelle Unterzeichner des Stammzertifikats <root> <root> trust.p12 Schlüsselspeicher Verkettetes persönliches Zertifikat <standard> key.p12 Abbildung 5. Stammzertifizierungsstelle und Schlüsselunterzeichner für WebSphere Application Server im Truststore durch neue Schlüsselgröße ersetzen Dieser Prozess umfasst die folgenden Schritte: 1. Ersetzen Sie das standardmäßige Stammzertifikat (root) mit 1024 Bit durch ein neues Stammzertifikat mit 2048 Bit und extrahieren Sie dieses dann. Siehe Schritt 1 bis Schritt 9 auf Seite 96. 2. Erstellen Sie ein verkettetes persönliches 2048-Bit-Zertifikat im Schlüsselspeicher, ersetzen Sie die ältere Version und exportieren Sie das persönliche Zertifikat dann in einen Schlüsselspeicher. Siehe Schritt 10 auf Seite 96 bis Schritt 11 auf Seite 97. 3. Verwenden Sie das Dienstprogramm ikeyman zum Hinzufügen der extrahierten Stammzertifizierungsstelle zum Truststore. Siehe Schritt 12 auf Seite 97. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <dmgr-profilname> > Administrative console aus. 2. Melden Sie sich bei IBM Integrated Solutions Console an. 3. Wählen Sie im Navigationsfenster von Integrated Solutions Console Security > SSL certificate and key management aus. 4. Klicken Sie in Related items auf Key stores and certificates. 5. Erstellen Sie im Standardrootstore eine temporäre selbst signierte Stammzertifizierungsstelle. Das temporäre Stammzertifikat dient zum Ersetzen des älteren Zertifikats (root). Das temporäre Stammzertifikat wird dann durch ein neues 2048-BitStammzertifikat ersetzt. a. Wählen Sie aus der Liste Keystore usages den Eintrag Root certificates keystore aus. b. Klicken Sie auf DmgrDefaultRootStore. c. Klicken Sie unter Additional Properties auf Personal certificates. d. Klicken Sie auf Create > Self-signed Certificate. e. Geben Sie in Alias einen neuen Aliasnamen ein. Beispiel: root2. f. Geben Sie in das Feld Common name den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server installiert ist. Beispiel: ibm-svr1.example.com. 94 IBM® Security Access Manager for Enterprise Single Sign-On: Installation g. Klicken Sie auf OK. h. Klicken Sie auf Save. 6. Ersetzen Sie die alte Stammzertifizierungsstelle durch die neue Stammzertifizierungsstelle: root2. Ersetzen Sie das alte Zertifikat (root) durch das temporäre Zertifikat (root2). a. Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen für das ältere Stammzertifikat (root) aus. b. Klicken Sie auf Replace. c. Wählen Sie aus der Liste Replace with den Aliasnamen des erstellten Zertifikats aus. d. Wählen Sie Delete old certificate after replacement aus. Wichtig: Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt ist. Details zum Ersetzen eines Zertifikats finden Sie in der Produktdokumentation zu WebSphere Application Server: http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=/ com.ibm.websphere.nd.doc/info/ae/ae/tsec_sslreplaceselfsigncert.html e. Klicken Sie auf OK. f. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden. 7. Erstellen Sie die Stammzertifizierungsstelle mit 2048 Bit. Dieses Stammzertifikat ist das 2048-Bit-Zertifikat, das Sie beibehalten werden. a. Klicken Sie auf Create > Self-signed Certificate. b. Geben Sie in Alias den Wert root ein. Wichtig: Sie müssen als Aliasname für dieses 2048-Bit-Zertifikat den Wert root angeben. c. Wählen Sie aus der Liste Key size den Wert 2048 aus. d. Geben Sie in das Feld Common name den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server installiert ist. Beispiel: ibm-svr1.example.com. e. Geben Sie in das Feld Validity period den Gültigkeitszeitraum des Zertifikats ein. Beispiel: Ein Stammzertifikat wird in der Regel 7300 Tage lang verwendet, also ca. 20 Jahre. f. Optional: Vervollständigen Sie das Zertifikat durch optionale Identifikationsdetails. g. Klicken Sie auf OK. h. Klicken Sie auf Save. 8. Ersetzen Sie das temporäre Stammzertifikat durch das neue 2048-Bit-Stammzertifikat, das Sie beibehalten werden. a. Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen für das temporäre Stammzertifikat (root2) aus. b. Klicken Sie auf Replace. c. Wählen Sie aus der Liste Replace with das neue 2048-Bit-Zertifikat aus, das Sie erstellt haben (root). d. Wählen Sie Delete old certificate after replacement aus. e. Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt ist. Kapitel 1. IMS Server installieren 95 Wichtig: Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt ist. f. Klicken Sie auf OK. g. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden. Sie haben das ursprüngliche 1024-Bit-Stammzertifikat erfolgreich durch ein neues 2048-Bit-Stammzertifikat ersetzt. 9. Extrahieren Sie die neue Stammzertifizierungsstelle in eine Datei. a. Wählen Sie auf der Seite Personal Certificates den Eintrag Root aus. b. Klicken Sie auf Extract. c. Geben Sie in Certificate file name den vollständig qualifizierten Pfad zu dem zu extrahierenden Zertifikat ein. Beispiel: C:\root2048.cer. d. Stellen Sie sicher, dass für Data type die Option Base64-encoded ASCII data angegeben wird. e. Klicken Sie auf OK. 10. Erstellen Sie im Schlüsselspeicher der Standardzelle ein verkettetes persönliches Zertifikat: CellDefaultKeystore. a. Klicken Sie auf der Seite Key stores and certificates auf CellDefaultKeyStore. b. Klicken Sie in Additional Properties auf Personal certificates. c. Klicken Sie auf das Standardzertifikat (default). Der definierte Name für das Standardzertifikat in CellDefaultKeystore muss das folgende Format aufweisen: CN=<CN>,OU=<OU>,O=<Organisation>,C=<Land>. Beispiel: CN=ibmsvr1.example.com, OU=Root Certificate, OU=ibmsvr1Cell01, OU=ibmsvr1CellManager01, O=IBM, C=US . d. Klicken Sie auf Back. e. Klicken Sie auf Create > Chained certificate. f. Geben Sie in das Feld Alias einen neuen Aliasnamen für das persönliche Zertifikat ein. Beispiel: default2. g. Wählen Sie im Feld Root certificate used to sign the certificate den Aliasnamen root aus. Dieses Stammzertifikat ist das neue Stammzertifikat mit 2048 Bit. h. Wählen Sie im Feld Key size den Wert 2048 aus. i. Geben Sie in das Feld Common name den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server installiert ist. j. Geben Sie in das Feld Validity period den Gültigkeitszeitraum des Zertifikats ein. Beispiel: Ein typischer Standardwert für ein persönliches Zertifikat ist 365 Tage. k. Erforderlich: Geben Sie im Feld Organization den Organisationsteil des definierten Namens an. Wichtig: Der Organisationsteil des definierten Namens muss angegeben werden. l. Erforderlich: Geben Sie im Feld Country or region den Landesteil des definierten Namens an. Wichtig: Der Landesteil des definierten Namens muss angegeben werden. m. Optional: Geben Sie in die optionalen Felder zusätzliche Informationen für die Identifikation des Zertifikats ein. 96 IBM® Security Access Manager for Enterprise Single Sign-On: Installation n. Klicken Sie auf OK. o. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden. p. Ersetzen Sie das alte standardmäßige persönliche Zertifikat durch das neue. 1) Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen default aus. 2) Klicken Sie auf Replace. 3) Wählen Sie aus der Liste Replace with den Aliasnamen des erstellten Zertifikats aus. Beispiel: default2. 4) Wählen Sie Delete old certificate after replacement aus. 5) Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt ist. Wichtig: Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt ist. 6) Klicken Sie auf OK. 7) Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden. Anmerkung: Wenn Sie vom Web-Browser darüber informiert werden, dass ein Zertifikat widerrufen wurde und ein neues Zertifikat verfügbar ist, klicken Sie zum Fortfahren auf Ja. Führen Sie die Anweisungen auf dem Bildschirm aus, um alle zusätzlichen Sicherheitseingabeaufforderungen des neuen Sicherheitszertifikats zu akzeptieren. 11. Exportieren Sie das persönliche Zertifikat in den Schlüsselspeicher, z. B.: <wasausgangsverzeichnis>\profiles\<dmgr-profilname>\etc\key.p12. a. Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen für das persönliche Zertifikat aus. Beispiel: default2. b. Klicken Sie auf Export. c. Geben Sie in Key store password das Kennwort für den Schlüsselspeicher ein. Beispiel: WebAS. d. e. f. g. h. Anmerkung: Das standardmäßige Kennwort für den Schlüsselspeicher ist in der Produktdokumentation zu WebSphere Application Server vermerkt. Wählen Sie Key store file aus. Geben Sie in Key store file die Position des Schlüsselspeichers an. Beispiel: <was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\etc\key.p12 Stellen Sie in Type sicher, dass der Standardwert PKCS12 ausgewählt ist. Geben Sie in Key file password das Kennwort ein. Beispiel: WebAS. Klicken Sie auf OK. Sie haben das persönliche Zertifikat und den privaten Schlüssel erfolgreich in einen Schlüsselspeicher exportiert. 12. Verwenden Sie das IBM Dienstprogramm für das Schlüsselmanagement (ikeyman) zum Hinzufügen der extrahierten Stammzertifizierungsstelle zum Deployment Manager-Truststore. a. Starten Sie das Dienstprogramm ikeyman. Das Dienstprogramm befindet sich beispielsweise an folgender Position: <was-ausgangsverzeichnis>\profiles\<dmgr-profil>\bin\ikeyman.bat. b. Klicken Sie auf Key Database File > Open. Kapitel 1. IMS Server installieren 97 c. Wählen Sie in Key database type den Eintrag PKCS12 aus. d. Klicken Sie auf Browse, um den Truststore zu suchen. Der Truststore befindet sich in der Datei <was-ausgangsverzeichnis>\profiles\<dmgr-profil>\ etc\trust.p12. e. Geben Sie das Truststore-Kennwort ein. Beispiel: WebAS. f. Fügen Sie dem Truststore die extrahierte Stammzertifizierungsstelle hinzu. 1) Wählen Sie im Bereich Key database content die Option Signer Certificates aus. 2) Klicken Sie auf Add. 3) Geben Sie die Position der extrahierten Stammzertifizierungsstelle an. Beispiel: C:\root2048.cer. 4) Geben Sie eine Bezeichnung für die extrahierte Stammzertifizierungsstelle im Truststore an. Beispiel: root2048_signer. Die Stammzertifizierungsstelle wird gespeichert und dem Truststore hinzugefügt. 13. Stellen Sie sicher, dass für die Zertifikate ein Upgrade durchgeführt wurde. a. Melden Sie sich von der Administratorkonsole ab und melden Sie sich dann erneut an. b. Wenn im Web-Browser die Sicherheitseingabeaufforderung angezeigt wird, zeigen Sie die Details des Zertifikats an. c. Stellen Sie sicher, dass die Schlüsselgröße des erneut ausgegebenen Zertifikats 2048 Bit ist. 14. Starten Sie den Deployment Manager erneut. Ergebnisse Sie haben für die Schlüsselgröße der Stammzertifizierungsstelle und der persönlichen Zertifikate erfolgreich ein Upgrade auf 2048 Bit durchgeführt. Nächste Schritte Fahren Sie mit dem Erstellungsprozess für angepasste Profile für die übrigen Memberknoten eines Clusters in WebSphere Application Server fort. Siehe „Profile für Netzimplementierungen erstellen und auswählen” auf Seite 87. Sie können das Arbeitsblatt für die Planung mit den Aliasnamen aktualisieren, die für die Aliasnamen der Root- und der Standardzertifikate verwendet wurden. Sie müssen die Aliasnamen im IMS-Konfigurationsassistenten angeben. WebSphere Application Server für einen Cluster konfigurieren Definieren Sie den Cluster und wenden Sie alle erforderlichen Sicherheitseinstellungen für WebSphere Application Server an, bevor Sie IMS Server in einem Cluster installieren. Vorbereitende Schritte v Stellen Sie sicher, dass der Deployment Manager gestartet ist. v Erstellen Sie Profile für Memberknoten im Cluster. 98 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Informationen zu diesem Vorgang Konfigurieren Sie WebSphere Application Server für einen Cluster, bevor Sie IMS Server installieren. Zur Konfiguration von WebSphere Application Server für einen Cluster gehören die folgenden Tasks: 1. Definieren Sie einen WebSphere Application Server-Cluster. 2. Konfigurieren Sie die Größe des Heapspeichers für den Deployment Manager. 3. Konfigurieren Sie die Größe des Heapspeichers für WebSphere Application Server. 4. Erstellen Sie einen Windows-Dienst für den Knotenagenten. Cluster definieren Erstellen Sie vor der Installation von IMS Server eine Clusterdefinition und fügen Sie dem Cluster Member hinzu. Vorgehensweise 1. Öffnen Sie die Administrationskonsole und melden Sie sich mit Administratorberechtigungen beim Deployment Manager an. a. Beispiel: Geben Sie in einem Web-Browser die Adresse https:// localhost:9043/ibm/console ein. b. Melden Sie sich mit dem WebSphere-Administratoraccount an. Beispiel: wasadmin 2. Definieren Sie einen neuen Cluster. a. Blenden Sie den Link Servers ein und wählen Sie Clusters > WebSphere application server clusters aus. b. Klicken Sie auf New. c. Geben Sie in das Feld Cluster name den Namen des Clusters ein. Beispiel: Geben Sie cluster1 ein. d. Wählen Sie das Kontrollkästchen Configure HTTP session memory-to-memory replication aus und klicken Sie dann auf Next. e. Geben Sie in das Feld Member name den Namen des ersten Members des Clusters ein. Beispiel: server1. f. Wählen Sie in Select Node den Knoten aus, den Sie dem Cluster hinzufügen wollen. g. Stellen Sie sicher, dass Create the member using an application server template auf den Wert default gesetzt ist und klicken Sie dann auf Next. Sie haben dem Cluster ein Member des Knotens hinzugefügt. h. Führen Sie einen der folgenden Schritte aus: v Wenn Sie keine weiteren Cluster-Member mehr hinzufügen wollen, klicken Sie auf Next. v Gehen Sie wie folgt vor, wenn Sie weitere Cluster-Member hinzufügen wollen: 1) Geben Sie einen Wert für <server_member_name> ein. Beispiel: server01. 2) Wählen Sie den korrekten Knoten aus. 3) Klicken Sie auf Add member. 4) Geben Sie weitere Cluster-Member an, bevor Sie auf Next klicken. i. Klicken Sie auf Finish. Sie haben einen Cluster erstellt und diesem Member hinzugefügt. Kapitel 1. IMS Server installieren 99 j. Klicken Sie im Fenster Messages auf Save. Der Clusterstatus gibt an, dass der Cluster nicht gestartet ist. Ergebnisse Sie haben einen WebSphere Application Server-Cluster vorbereitet und diesem Memberknoten hinzugefügt. Der Cluster und die Knoten können über die WebSphere-Administratorkonsole verwaltet werden. Nächste Schritte Stellen Sie fest, ob es für den Cluster noch weitere implementierungsspezifische Konfigurationsvoraussetzungen für WebSphere Application Server gibt. Stellen Sie zum Fortsetzen der WebSphere Application Server-Konfiguration sicher, dass der Cluster in der WebSphere-Administrationskonsole nicht gestoppt ist. Größe des Heapspeichers für den Deployment Manager konfigurieren Aktualisieren Sie die Größe des Heapspeichers im Hauptspeicher, der vom Deployment Manager in einer Clusterimplementierung verwendet wird. Aktualisieren Sie den reservierten Hauptspeicher, um sicherzustellen, dass für den Deployment Manager ausreichend Hauptspeicher zur Verfügung steht. Ausreichend Hauptspeicher ist erforderlich, wenn Sie viele Active Directory-Repositorys für IMS Server konfigurieren müssen. Vorbereitende Schritte Bevor Sie die Größe des Java-Heapspeichers ändern, müssen Sie sicherstellen, dass der Host über ausreichenden physischen Speicher verfügt, um eine JVM mit 3,0 GB ohne Auslagern zu unterstützen. Wenn der physische Speicher des Hostsystems größer als 3 GB ist, können Sie die maximale Größe des Heapspeichers erhöhen. Wenn aber für die Größe des Heapspeichers ein zu hoher Wert gewählt wird, verfügt das System nicht über ausreichenden physischen Speicher und weist für die Speicherung der Daten virtuellen Speicher zu. Vorgehensweise 1. Klicken Sie im Navigationsfenster auf System administration > Deployment manager > Java and Process Management > Process Definition. 2. 3. 4. 5. 6. Klicken Sie unter Additional Properties auf Java Virtual Machine. Geben Sie in das Feld Initial heap size den Wert 512 ein. Geben Sie in das Feld Maximum heap size den Wert 1024 ein. Klicken Sie auf OK. Klicken Sie im Fenster Messages auf Save. 7. Starten Sie den Deployment Manager erneut. Größe des Heapspeichers für den Anwendungsserver konfigurieren Sie können die minimale und maximale Größe des JVM-Heapspeichers (Java Virtual Machine) in WebSphere Application Server erhöhen. Durch Erhöhen der Größe des Heapspeichers wird der Start verbessert, werden Fehler aufgrund abnormaler Speicherbedingungen vermieden und wird die Plattenauslagerung verringert. 100 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Vorbereitende Schritte Bevor Sie die Größe des Java-Heapspeichers ändern, müssen Sie sicherstellen, dass der Host über ausreichenden physischen Speicher verfügt, um eine JVM mit 3,0 GB ohne Auslagern zu unterstützen. Wenn der physische Speicher des Hostsystems größer als 3 GB ist, können Sie die maximale Größe des Heapspeichers erhöhen. Wenn aber für die Größe des Heapspeichers ein zu hoher Wert gewählt wird, verfügt das System nicht über ausreichenden physischen Speicher und weist für die Speicherung der Daten virtuellen Speicher zu. Informationen zu diesem Vorgang Passen Sie die Größe des Java-Heapspeichers mit den folgenden Richtlinien an, bevor Sie die IBM Security Access Manager for Enterprise Single Sign-On-Komponente IMS Server installieren. Weitere Informationen finden Sie im Abschnitt Java virtual machine settings heap tuning in der folgenden Dokumentation: v Dokumentation für WebSphere Application Server Version 7.0: http:// pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp. v Dokumentation für WebSphere Application Server Version 8.5: http:// pic.dhe.ibm.com/infocenter/wasinfo/v8r5/index.jsp. Wenn Sie über mehrere Server verfügen, müssen Sie diese Prozedur für jeden Server im Cluster wiederholen. Vorgehensweise 1. Melden Sie sich auf dem WebSphere Application Server-Host, auf dem Sie IMS Server installieren, bei der Administrationskonsole an. Beispiel: https:// localhost:9043/ibm/console/. 2. Navigieren Sie zu den Einstellungen der Java Virtual Machine. a. Blenden Sie Servers > Server Types ein und wählen Sie WebSphere application servers aus. b. Klicken Sie auf den Namen des Servers. Beispiel: server1. c. Klicken Sie unter der Gruppe Server Infrastructure, um Java and Process Management einzublenden. d. Klicken Sie auf Process Definition. e. Klicken Sie unter der Gruppe Additional Properties auf Java Virtual Machine. 3. Verwenden Sie die folgenden Einstellungen (für einen Host mit Einzelserverinstanz und 3 GB): v Initial Heap Size: 1024 v Maximum Heap Size: 1280 4. 5. 6. 7. 8. Klicken Sie auf OK. Klicken Sie im Nachrichtenfenster auf Save. Klicken Sie auf OK. Klicken Sie im Nachrichtenfenster auf Save. Starten Sie WebSphere Application Server erneut. Windows-Dienst für den Knotenagenten erstellen In einer Netzimplementierungskonfiguration können Sie den Knotenagenten als Windows-Dienst erstellen, damit WebSphere Application Server-Knoten einfacher gestartet und verwaltet werden können. Kapitel 1. IMS Server installieren 101 Informationen zu diesem Vorgang Erstellen Sie den Knotenagenten als Windows-Dienst, damit er automatisch gestartet wird, wenn für den Server ein Warmstart durchgeführt wird. Ein aktivierter Knotenagent kommuniziert mit dem Deployment Manager der Zelle, um die Gruppe der Server im Knoten zu verwalten. Wenn Sie den Knotenagenten nicht als Dienst erstellen, müssen Sie den Befehl startNode manuell ausführen. Beispiel: <was-ausgangsverzeichnis>/profiles/ <profilname>/startNode.bat. Vorgehensweise 1. Öffnen Sie ein Fenster mit Eingabeaufforderung. 2. Wechseln Sie in das Verzeichnis <was-ausgangsverzeichnis>\bin. Beispiel: Geben Sie cd c:\Programme\IBM\WebSphere\AppServer\bin ein. 3. Geben Sie den Befehl WASService mit den folgenden Parametern ein (Groß-/ Kleinschreibung beachten, keine Zeilenumbrüche verwenden): WASService -add <profilname>_nodeagent -serverName nodeagent -profilePath "<was-ausgangsverzeichnis>\profiles\<profilname>" -wasHome "<was-ausgangsverzeichnis>" -logRoot "<was-ausgangsverzeichnis>\profiles\<profilname>\logs\nodeagent" -logFile "<was-ausgangsverzeichnis>\profiles\<profilname>\logs\nodeagent\startServer.log" -restart true -startType automatic Dabei gilt Folgendes: <was-ausgangsverzeichnis> Gibt das Verzeichnis an, in dem WebSphere Application Server installiert ist. Beispiel: C:\Programme\IBM\WebSphere\AppServer <profilname> Gibt den Namen des angepassten Knotenprofils im Windows-Dienst an. Beispiel: Custom01. Beispiel (mit Beispielwerten) WASService -add Custom01_nodeagent -serverName nodeagent -profilePath "c:\Programme\IBM\WebSphere\AppServer\profiles\Custom01" -wasHome "c:\ Programme\IBM\WebSphere\AppServer" -logRoot "C:\Programme\IBM\WebSphere\ AppServer\profiles\Custom01\logs\nodeagent" -logFile "C:\Programme\IBM\ WebSphere\AppServer\profiles\Custom01\logs\nodeagent\startServer.log" -restart true -startType automatic 4. Drücken Sie die Eingabetaste. Beispiel: Die letzte Zeile der Anzeige wird dargestellt. IBM WebSphere Application Server V7.0 - Custom01_nodeagent service successfully added. 5. Schließen Sie die Eingabeaufforderung. 6. Stellen Sie sicher, dass der Dienst zu den Windows-Diensten hinzugefügt wurde. a. Klicken Sie auf Start > Ausführen. Geben Sie services.msc ein. b. Stellen Sie sicher, dass der Dienst für den Knotenagenten angezeigt wird. Beispiel: IBM WebSphere Application Server v7.0 - Custom01_nodeagent. 7. Optional: Wenn Sie über weitere Knoten verfügen, wiederholen Sie diese Task für diese Knoten im Cluster. Beispiel: Custom02. 102 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Ergebnisse Sie haben der Liste mit Windows-Diensten den Dienst für den Knotenagenten hinzugefügt. IBM HTTP Server-Plug-in konfigurieren (Netzimplementierung) Implementieren Sie das IBM HTTP Server-Plug-in und konfigurieren Sie Verbindungsanforderungen zum Weiterleiten von Verbindungen über SSL an WebSphere Application Server. Vorbereitende Schritte v Stellen Sie sicher, dass die folgende Software gestartet ist: – IBM HTTP Server – IBM HTTP Server-Verwaltungsserver – Deployment Manager – Knotenagent auf dem verwalteten Knoten v Entnehmen Sie dem Arbeitsblatt für die Planung die Konfigurationseinstellungen. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. Informationen zu diesem Vorgang Die Konfiguration von IBM HTTP Server ist ein aus drei Phasen bestehender Prozess. 1. Konfigurieren Sie das IBM HTTP Server-Plug-in für WebSphere Application Server. Wenn IBM HTTP Server und WebSphere Application Server nicht auf demselben Computer installiert sind, müssen Sie eine vertrauenswürdige SSLVerbindung einrichten. 2. Synchronisieren Sie IBM HTTP Server und die WebSphere Application ServerSchlüsselspeicher. 3. Generieren Sie die Konfiguration des Web-Server-Plug-ins neu und geben Sie sie weiter, um die Verbindungspunkte für jeden Web-Server zu zentralisieren. Die folgenden Beispielschritte beziehen sich auf IBM HTTP Server Version 7.0. In der Produktdokumentation zu IBM HTTP Server Version 8.5 finden Sie im Abschnitt zum Implementieren eines Web-Server-Plug-in die Schritte, die sich auf IBM HTTP Server Version 8.5 beziehen. Wiederholen Sie diese Prozedur für jeden Web-Server, der hinzugefügt werden soll. Vorgehensweise 1. Führen Sie das Konfigurationsscript für das Web-Server-Plug-in aus. a. Kopieren Sie aus dem Verzeichnis <ihs-ausgangsverzeichnis>\Plugins\bin auf dem IBM HTTP Server-Host die Datei configure<web-serverdefinitionsname>.bat. Beispiel: configurewebserver1.bat b. Fügen Sie im Deployment Manager die Datei configure<web-serverdefinitionsname>.bat in den Ordner <was-ausgangsverzeichnis>\bin ein. Beispiel: C:\Programme\IBM\WebSphere\AppServer\bin c. Öffnen Sie die Eingabeaufforderung. d. Navigieren Sie zum Verzeichnis <was-ausgangsverzeichnis>\bin. e. Führen Sie folgenden Befehl aus (ohne Zeilenumbrüche): Kapitel 1. IMS Server installieren 103 configure<web-server-definitionsname>.bat -profileName <dmgr-profilnname> -user <dmgr-admin-name> -password <dmgr-admin-kennwort> Beispiel:configurewebserver1.bat -profileName Dmgr01 -user wasadmin -password p@ssw0rd f. Schließen Sie die Eingabeaufforderung, nachdem der Befehl mit folgender Zeile abgeschlossen wurde: Configuration save is complete. Durch Ausführen des Script-Plug-ins wurde eine Web-Server-Definition in der WebSphere-Administrationskonsole hinzugefügt und konfiguriert (Servers > Server types > Web servers). Beispiel: webserver1. 2. (Führen Sie diesen Schritt nur dann aus, wenn IBM HTTP Server und WebSphere Application Server nicht auf demselben Computer installiert sind oder wenn Sie mit einem Programm für den Lastausgleich arbeiten.) Richten Sie SSL-Zertifikate ein, die von der WebSphere Application Server-Zertifizierungsstelle signiert wurden. Anmerkung: Das Zertifikat verwendet den IBM HTTP Server-Computernamen als Angabe für CN (Common Name, allgemeiner Name). Hierdurch wird die Kommunikation zwischen Client und IBM HTTP Server erleichtert. a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Security > SSL certificate and key management > Key stores and certificates > CMSKeyStore > Personal certificates. b. c. d. e. f. Wählen Sie das Standardzertifikat (default) aus. Klicken Sie auf Delete. Klicken Sie auf Create > Chained Certificate. Geben Sie default als Aliasnamen für das Zertifikat an. Optional: Geben Sie im Feld Key size die Größe des Zertifikatsschlüssels an. Wenn die Stammzertifizierungsstelle für WebSphere Application Server ein 2048-Bit-Zertifikat ist, können Sie die Schlüsselgröße 2048 Bit angeben. Standardmäßig wird als Wert 1024 Bit verwendet. Wichtig: Wählen Sie nicht 2048 Bit aus, wenn Sie die Stammzertifizierungsstelle nicht mit der Schlüsselgröße 2048 Bit erneut erstellt haben. g. In das Feld Common Name können Sie einen der folgenden Namen eingeben: Den vollständig qualifizierten Domänennamen des Computers, auf dem IBM HTTP Server installiert ist. Beispiel: ibm-svr1.example.com. v Den vollständig qualifizierten Hostnamen des Programms für den Lastausgleich (falls ein solches Programm verwendet wird). v h. Optional: Geben Sie die übrigen optionalen Informationen ein. i. Klicken Sie auf OK. j. Klicken Sie auf den Link Save im Feld Messages. Das neue Zertifikat wird im Abschnitt Personal Certificates angezeigt. 3. Synchronisieren Sie den Schlüsselspeicher von WebSphere Application Server mit dem Schlüsselspeicher von IBM HTTP Server. a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Servers > Server Types > Web servers. 104 IBM® Security Access Manager for Enterprise Single Sign-On: Installation b. Klicken Sie auf <web-server-name>. Beispiel: webserver1. c. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties. d. Klicken Sie auf Copy to Web Server key store directory. e. Klicken Sie auf OK. f. Klicken Sie im Fenster Messages auf Save. 4. Erforderlich: Wenn Sie über mehrere Web-Server verfügen, wiederholen Sie die Schritte 1 auf Seite 103 bis 3 auf Seite 104. 5. Generieren Sie die Konfiguration des Web-Server-Plug-ins neu und geben Sie sie weiter. Anmerkung: In einer Clusterumgebung sollen alle Anforderungen über einen einzigen zentralen Verbindungspunkt eingehen, so dass eine einzige ServerURL verwendet wird. Für die Definition eines zentralen Verbindungspunkts müssen Sie die Konfiguration des WebSphere Application Server-Plug-ins für jeden Web-Server neu generieren und weitergeben. a. Klicken Sie auf Servers > Server Types > Web Servers. b. Wählen Sie den Web-Server aus der Liste aus. Beispiel: webserver1. c. Klicken Sie auf Generate Plug-in. d. Wählen Sie den Web-Server aus der Liste aus. Beispiel: webserver1. e. Klicken Sie auf Propagate Plug-in. 6. Synchronisieren Sie die Knoten mit dem Deployment Manager. Ergebnisse Sie haben einen Web-Server in der WebSphere Application Server-Konfiguration definiert, der Anforderungen von Client-Workstations an den Anwendungsserver weiterleiten kann. SSL-Direktiven in IBM HTTP Server aktivieren Sie müssen die SSL-Direktiven aktivieren, um die Verschlüsselung des Datenverkehrs von und zu IBM HTTP Server über SSL zu ermöglichen. Informationen zu diesem Vorgang Standardmäßig ist die SSL-Kommunikation in IBM HTTP Server inaktiviert. Zur Aktivierung von SSL müssen Sie der Datei httpd.conf die SSL-Apache-Direktive hinzufügen. Führen Sie diese Prozedur für jeden Web-Server aus. Vorgehensweise 1. Klicken Sie in IBM Integrated Solutions Console auf Servers > Server Types > Web servers. 2. Klicken Sie auf <web-server-name>. Beispiel: webserver1 3. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Configuration File. Wenn die Konfigurationsdatei nicht geöffnet werden kann, finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide weitere Informationen. 4. Fügen Sie die folgenden Zeilen am Ende der Konfigurationsdatei hinzu: Kapitel 1. IMS Server installieren 105 LoadModule ibm_ssl_module modules/mod_ibm_ssl.so Listen 0.0.0.0:443 ## IPv6 support: #Listen [::]:443 <VirtualHost *:443> SSLEnable SSLProtocolDisable SSLv2 SSLServerCert default </VirtualHost> KeyFile "<ihs-ausgangsverzeichnis>\Plugins\config\<web-server-definition>\plugin-key.kdb" SSLDisable Dabei gilt Folgendes: default Gibt den Aliasnamen des standardmäßigen SSL-Zertifikats an. Tipp: Führen Sie zum Ermitteln des Aliasnamens des standardmäßigen SSL-Zertifikats die folgenden Schritte aus: a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Security > SSL certificate and key management. b. Klicken Sie unter Related Items auf Key stores and certificates. c. Klicken Sie auf CMSKeyStore. d. Klicken Sie unter Additional Properties auf Personal certificates. <ihs-ausgangsverzeichnis>\Plugins\config\<web-server-definition>\ plugin-key.kdb Gibt den Pfad zur Schlüsselspeicherdatei des Plug-ins (plugin-key.kdb) an. Beispiel: C:\Programme\IBM\HTTPServer\Plugins\config\webserver1\ plugin-key.kdb. 5. 6. 7. 8. 9. Klicken Sie auf Apply. Klicken Sie auf OK. Wählen Sie General Properties > Apply aus. Klicken Sie im Fenster Messages auf Save. Starten Sie IBM HTTP Server erneut. a. Klicken Sie in IBM Integrated Solutions Console auf Servers > Server Types > Web servers. b. Wählen Sie das Kontrollkästchen des entsprechenden Web-Servers aus. Beispiel: webserver1. c. Klicken Sie auf Stop. d. Wählen Sie das Kontrollkästchen des Web-Servers erneut aus. e. Klicken Sie auf Start. 10. Stellen Sie sicher, dass die SSL-Direktiven korrekt aktiviert wurden. Geben Sie die folgende HTTPS-Adresse in einem Web-Browser ein. Beispiel: v https://<ihs-host> Beispiel: https://mywebsvr.example.com. Unter Umständen wird eine Sicherheitseingabeaufforderung des Web-Browsers angezeigt, weil Sie über das sichere HTTPS-Protokoll auf eine Seite zugreifen. Führen Sie die Anweisungen im Dialogfenster aus, um das Sicherheitszertifikat zu akzeptieren und die Seite anzuzeigen. v http://<ihs-host> Beispiel: http://mywebsvr.example.com. 106 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Sie können auch sicherstellen, dass noch immer auf Seiten zugegriffen werden kann, für die nicht das HTTPS-Protokoll genutzt wird. Tipp: Wenn die Prüfung fehlschlägt, müssen Sie feststellen, ob die in Schritt 4 auf Seite 105 angegebenen angepassten Variablen korrekt hinzugefügt und ersetzt wurden. Weitere Tipps zur Fehlerbehebung sind im Dokument IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide enthalten. Ergebnisse Sie haben SSL in IBM HTTP Server aktiviert. Darüber hinaus haben Sie Seiten über das sichere HTTPS-Protokoll geprüft. Schlüsselgröße für das SSL-Zertifikat für IBM HTTP Server erhöhen Sie können das SSL-Zertifikat erneut erstellen, um die Schlüsselgröße für das SSLZertifikat für IBM HTTP Server von 1024 Bit auf 2048 Bit zu erhöhen. Diese Task ist optional. Vorbereitende Schritte Stellen Sie sicher, dass für die Stammzertifizierungsstelle von WebSphere Application Server bereits ein Upgrade auf 2048 Bit durchgeführt wurde. Siehe dazu eines der folgenden Themen: v Für WebSphere Application Server in einer eigenständigen Implementierung siehe „Stammzertifizierungsstelle für WebSphere Application Server 7.0 erneut erstellen (eigenständig)” auf Seite 66. v Für WebSphere Application Server in einem Cluster siehe „Stammzertifizierungsstelle für WebSphere Application Server 7.0 vor dem Erstellen von Memberknoten erneut auf dem Deployment Manager erstellen” auf Seite 93. Informationen zu diesem Vorgang Diese Task ist optional und betrifft nur Neuinstallationen von IMS Server. Wenn Sie für das standardmäßige SSL-Zertifikat für IBM HTTP Server ein Upgrade auf 2048 Bit durchführen müssen, führen Sie diese Task aus, bevor Sie IMS Server installieren. Wenn Sie mit mehreren Web-Servern arbeiten, führen Sie die folgenden Schritte für jeden CMSKeyStore-Schlüsselspeicher in der Administrationskonsole aus. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. 2. Melden Sie sich bei IBM Integrated Solutions Console an. 3. Wählen Sie im Navigationsfenster von Integrated Solutions Console Security > SSL certificate and key management aus. 4. Klicken Sie unter Related items auf Key stores and certificates. 5. Klicken Sie auf CMSKeyStore. 6. Klicken Sie unter Additional Properties auf Personal certificates. 7. Wählen Sie das Standardzertifikat (default) aus. 8. Klicken Sie auf Delete. Kapitel 1. IMS Server installieren 107 9. Klicken Sie auf Create > Chained Certificate. 10. Geben Sie in das Feld Alias einen neuen Aliasnamen ein. Beispiel: default. 11. Wählen Sie aus der Liste Root certificate used to sign the certificate den Aliasnamen der neu erstellten Stammzertifizierungsstelle aus. Beispiel: root 12. Wählen Sie aus der Liste Key size den Wert 2048 aus. 13. Verwenden Sie im Feld Common Name einen der folgenden Einträge: v Wenn Sie kein Programm für den Lastausgleich verwenden, geben Sie den vollständig qualifizierten Namen des Hosts an, auf dem IBM HTTP Server installiert ist. Beispiel: httpsvr1.example.com. v Wenn Sie ein Programm für den Lastausgleich verwenden, müssen Sie dessen vollständig qualifizierten Namen angeben. Anmerkung: Sie müssen für das Feld Common Name einen Wert angeben. 14. Geben Sie in das Feld Validity period den Gültigkeitszeitraum des Zertifikats ein. Beispiel: 365 Tage. 15. Optional: Geben Sie in den folgenden Feldern Informationen ein: v v v v v Organization Organization Unit Locality State/Province Zip Code v Country or Region 16. Klicken Sie auf OK. 17. Klicken Sie im Fenster Messages auf Save. 18. Synchronisieren Sie den Schlüsselspeicher von WebSphere Application Server mit dem Schlüsselspeicher von IBM HTTP Server. a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Servers > Server Types > Web servers. b. Klicken Sie auf <web-server-name>. Beispiel: webserver1. c. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties. d. Klicken Sie auf Copy to Web Server key store directory. e. Klicken Sie auf OK. f. Klicken Sie im Fenster Messages auf Save. 19. Resynchronisieren Sie die Knoten. a. Klicken Sie auf System administration > Nodes. b. Wählen Sie das Kontrollkästchen für jeden entsprechenden Knoten aus. c. Klicken Sie auf Full Resynchronize. 20. Starten Sie IBM HTTP Server erneut. IMS Server für einen Cluster konfigurieren Sie können IMS Server mithilfe des Installationsprogramms für IMS Server oder durch manuelles Implementieren der EAR-Dateien von IMS Server in WebSphere installieren. 1. Lesen Sie die Releaseinformationen. 2. Extrahieren und installieren Sie IMS Server. Wählen Sie dazu eine der folgenden Methoden: 108 IBM® Security Access Manager for Enterprise Single Sign-On: Installation v Installieren Sie IMS Server interaktiv mit dem Installationsprogramm von IMS Server. v Implementieren Sie IMS Server unter WebSphere Application Server manuell. 3. Überprüfen Sie die Implementierung von IMS Server. 4. Richten Sie IMS Server ein und konfigurieren Sie das Programm. v Konfigurieren Sie IMS Server mit dem IMS-Konfigurationsassistenten. Richten Sie Datenquelle, Zertifikate, Ziel-URL und Verzeichnisservices ein. v Richten Sie einen IMS Server-Administrator ein. Sie können die Berechtigungsnachweise des IMS Server-Administrators für den Zugriff auf und die Verwaltung von Ressourcen für die einmalige Anmeldung verwenden. 5. Aktualisieren Sie die Anwendungszuordnungen für die Anwendung ISAMESSOIMS. Durch die Zuordnung wird sichergestellt, dass alle Clientverbindungsanforderungen aus der Webschicht oder dem Programm für den Lastausgleich ordnungsgemäß an WebSphere Application Server und an die Anwendung IMS Server weitergeleitet werden. 6. Konfigurieren Sie das Sitzungsmanagement. 7. Prüfen Sie die Konfiguration. IMS Server mit dem IMS-Konfigurationsassistenten konfigurieren (Netzimplementierung) Führen Sie die Installation von IMS Server mit einigen erforderlichen einleitenden Konfigurationsschritten aus. Vorbereitende Schritte v Bereiten Sie den Verzeichnisserver vor. v Bereiten Sie den Datenbankserver vor. Stellen Sie sicher, dass der Cluster gestoppt ist. Stellen Sie sicher, dass die verwalteten Knoten im Cluster gestoppt sind. Stellen Sie sicher, dass der Deployment Manager gestartet ist. Stellen Sie sicher, dass die IMS Server-Anwendung ISAMESSOIMSConfig gestartet ist. v Entnehmen Sie dem Arbeitsblatt für die Planung Beispielwerte. v v v v Informationen zu diesem Vorgang Für die Konfiguration von IMS Server bietet der IMS-Konfigurationsassistent Unterstützung beim Ausführen der folgenden Tasks: v Einrichten der Datenquelle v Aktualisieren von Zertifikaten v Einrichten der IMS Server-URL v Konfigurieren von IMS Server für Unternehmensverzeichnisse Vorgehensweise 1. Öffnen Sie den IMS-Konfigurationsassistenten. Die URL wird in folgendem Format angegeben: https://<dmgr-hostname>:<admin-ssl-port>/front Beispiel: https://localhost:9043/front. 2. Wenn Sie im IMS-Konfigurationsassistenten zu einer anderen Sprache wechseln wollen, wählen Sie die gewünschte Sprache im Menü Sprache aus. Kapitel 1. IMS Server installieren 109 3. Wählen Sie auf der Seite Servereinrichtung die Option Neuen IMS Server einrichten aus. 4. Klicken Sie auf Beginnen. 5. Akzeptieren Sie unter Informationen zur Datenquelle eingeben die Standardwerte oder passen Sie die Felder für die Datenquelle an. 6. Klicken Sie auf Weiter. 7. Zur Verwendung der Standardoption für die Erstellung eines Datenbankschemas über den IMS-Konfigurationsassistenten müssen Sie sicherstellen, dass das Kontrollkästchen IMS Server-Datenbankschema erstellen ausgewählt ist. Anmerkung: Alternativ dazu können Sie das Datenbankschema manuell erstellen. Siehe Kapitel 6, „Datenbankschemas erstellen”, auf Seite 187. 8. Klicken Sie auf Weiter. 9. Wählen Sie den Datenbanktyp für IMS Server aus. Anmerkung: Wenn Sie eine Microsoft SQL Server-Datenbank verwenden, haben Sie folgende Auswahlmöglichkeiten: v Standardeinstellung: Erstellen Sie eine Datenbank mit dem Konfigurationsassistenten. Wählen Sie Neue Datenbank erstellen aus. v Verwenden Sie eine bereits vorhandene Datenbank. Wählen Sie das Kontrollkästchen Neue Datenbank erstellen ab. Klicken Sie auf Weiter. 10. Klicken Sie auf Weiter. 11. Geben Sie in Datenbankkonfiguration -<datenbanktyp> die Verbindungsinformationen zum Datenbanktyp an. Führen Sie die Anweisungen im Assistenten aus, um die Details zur Datenbankverbindung anzugeben. Zum ausgewählten Datenbanktyp kann ein anderer Satz Felder gehören. Eine Anleitung dazu finden Sie in den Hilfebeschreibungen auf der Seite. Tipp: Weitere Hilfeinformationen für die einzelnen Elemente können Sie anzeigen, indem Sie den Cursor über die Elemente bewegen. Die folgenden Felder sind für DB2 spezifisch. Sie können die folgenden Beschreibungen als weitere Hilfestellung verwenden: Hostname Geben Sie den Datenbankhostnamen an. Beispiel: mydbsvr. Port Die Portnummer für die Datenbankverbindung ist bereits vorab angegeben. Prüfen Sie, ob der Standardportwert korrekt ist. Beispiel: v Der Standardwert für DB2 ist 50000. v Der Standardwert für SQL Server ist 1433. v Der Standardwert für Oracle ist 1521. Anmerkung: Informationen zum Ermitteln der korrekten Portnummernwerte für die Datenbankverbindung des jeweils verwendeten Datenbankserver können Sie der Dokumentation Ihres Datenbankanbieters entnehmen. Datenbankname Geben Sie den Namen der Datenbank an. Beispiel: imsdb. 110 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Benutzername Geben Sie den vorbereiteten Datenbankbenutzer an. Beispiel: db2admin. Benutzerkennwort Geben Sie das Kennwort für den Datenbankbenutzer an. 12. Klicken Sie auf Weiter. 13. Prüfen Sie in Details zur Stammzertifizierungsstelle (Root CA) eingeben die Standardwerte. Prüfen Sie den Schlüsselspeichernamen, das Schlüsselspeicherkennwort und den Zertifikatsaliasnamen der Root- bzw. Stammzertifizierungsstelle, die zum Signieren der Zertifizierungszwischenstelle von IMS Server verwendet wird. Wichtig: Wenn Sie die Schlüsselgröße für die Stammzertifizierungsstelle erneut erstellt oder dafür ein Upgrade durchgeführt haben, kann dies zu einer Änderung des Aliasnamens der Stammzertifizierungsstelle führen. Stellen Sie sicher, dass Sie den korrekten Aliasnamen angeben. Die folgenden Beschreibungen enthalten weitere Informationen dazu: Tipp: Verwenden Sie das Arbeitsblatt für die Planung, um die verwendeten angepassten Werte zu prüfen. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. Schlüsselspeichername Gibt den Namen des Rootschlüsselspeichers an. Der Rootschlüsselspeicher ist eine Schlüsseldatenbank, die sowohl öffentliche als auch private Schlüssel für die sichere Kommunikation enthält. In der Regel können Sie den Standardwert verwenden. Schlüsselspeichergeltungsbereich Gibt die Ebene an, auf der der Schlüsselspeicher auf Zellen- oder Knotenebene sichtbar ist. In der Regel können Sie den Standardwert verwenden. Schlüsselspeicherkennwort Gibt das Kennwort für den Schlüsselspeicher des Stammzertifikats an. In der Regel können Sie den Standardwert verwenden. Aliasname für Stammzertifizierungsstelle Akzeptieren Sie den Standardwert für den Rootaliasnamen, wenn der Aliasname der Stammzertifizierungsstelle nicht bereits geändert wurde. 14. Klicken Sie auf Weiter. Die Zertifikatberechtigungsnachweise für den Schlüsselspeicher und den Rootaliasnamen wurden geprüft. 15. Geben Sie in IMS-Service-URL konfigurieren den Namen und die Portnummer von IBM HTTP Server oder des Programms für den Lastausgleich an oder akzeptieren Sie die Standardwerte. Anmerkung: Für den Namen von IBM HTTP Server oder des Programms für den Lastausgleich gilt Folgendes: v Er ist der vollständig qualifizierte Name von IBM HTTP Server oder des Programms für den Lastausgleich, der bzw. das eine Schnittstelle zu WebSphere Application Server bildet. v Er muss mit dem Attribut CN des SSL-Zertifikats übereinstimmen, das von IBM HTTP Server verwendet wird. 16. Klicken Sie auf Weiter. Kapitel 1. IMS Server installieren 111 17. Konfigurieren Sie IMS Server für die Arbeit mit einem Verzeichnisserver. Anmerkung: v Wenn Sie Verzeichnisserver zu einem späteren Zeitpunkt konfigurieren wollen, müssen Sie die Einrichtung der Verzeichnisserver vor Verwendung des IMS-Konfigurationsdienstprogramms ausführen. v Wenn Sie einen Verzeichnisserver verwenden wollen, müssen Sie IMS Server für die Arbeit mit einem Verzeichnisserver konfigurieren, bevor Sie einen Administratoraccount für IMS Server einrichten. 18. 19. 20. 21. Klicken Sie auf Weiter. Überprüfen Sie die Einstellungen. Klicken Sie auf Speichern. Führen Sie zum Abschließen der Konfiguration von IMS Server eine der folgenden Optionen aus: Option Bezeichnung Wenn Unternehmensverzeichnisse konfigu- (Netzimplementierung) Starten Sie den riert wurden: Deployment Manager-Knoten erneut. (Eigenständige Implementierung) Starten Sie den Anwendungsserver erneut. Wenn keine Unternehmensverzeichnisse konfiguriert wurden: Starten Sie ISAMESSOIMSConfig neu. (Netzimplementierung) Starten Sie den Deployment Manager-Knoten erneut. (Eigenständige Implementierung) Starten Sie den Anwendungsserver erneut. Ergebnisse Sie haben IMS Server erfolgreich eingerichtet. Nächste Schritte Sie sind nun für die Einrichtung des Administratoraccounts für IMS Server bereit. IMS Server-Administrator einrichten Für Neuinstallationen können Sie einen Administratoraccount für IMS Server einrichten. Vorbereitende Schritte v Stellen Sie sicher, dass der Deployment Manager gestartet ist. v Stellen Sie sicher, dass ISAMESSOIMSConfig gestartet ist. v Stellen Sie sicher, dass der Cluster gestoppt ist. v Bereiten Sie den Verzeichnisserver vor. – Wenn für Ihre Implementierung ein Verzeichnisserver mit IMS Server erforderlich ist, müssen Sie diesen Verzeichnisserver zunächst konfigurieren. Siehe IMS Server für Verzeichnisserver konfigurieren. – Stellen Sie sicher, dass die Benutzernamen für den IMS Server-Administrator oder den WebSphere-Administrator eindeutig und nicht bereits auf dem Verzeichnisserver vorhanden sind, auf dem Sie den Account einrichten. 112 IBM® Security Access Manager for Enterprise Single Sign-On: Installation – Erstellen Sie auf dem Active Directory- oder LDAP-Server einen IMS ServerAdministratoraccount. Beispiel: imsadmin. – Starten Sie den Verzeichnisserver und stellen Sie sicher, dass er verfügbar ist. Informationen zu diesem Vorgang Hinweise für die Einrichtung eines Administrators: Wenn keine Unternehmensverzeichnisse konfiguriert sind Der eingerichtete IMS Server-Administratoraccount wird in der IMS ServerDatenbank erstellt und gespeichert. Wenn Sie sich mit den Berechtigungsnachweisen des IMS Server-Administrators anmelden, werden diese anhand der IMS Server-Datenbank authentifiziert. Dieser Account in der Datenbank wird auch als Basis-Connector-Benutzeraccount bezeichnet. Wenn Unternehmensverzeichnisse konfiguriert sind Der eingerichtete IMS Server-Administratoraccount wird mit einem ähnlichen Account im Unternehmensverzeichnis synchronisiert und authentifiziert. Vorgehensweise 1. Starten Sie in einem Browser das IMS-Konfigurationsdienstprogramm. Beispiel: Geben Sie https://localhost:9043/webconf ein. 2. Melden Sie sich mit den Berechtigungsnachweisen des WebSphere-Administrators an. 3. Klicken Sie im Bereich "Konfigurationsassistenten" auf IMS-Administrator einrichten. 4. Geben Sie die Berechtigungsnachweise eines gültigen Benutzers für den einzurichtenden IMS Server-Administrator ein. Beispiel: imsadmin. Wenn Sie mit einem Verzeichnisserver arbeiten, geben Sie die Berechtigungsnachweise für einen gültigen Benutzer des Unternehmensverzeichnisses ein. Wenn Sie keinen bestimmten IMS Server-Administrator erstellt haben, können Sie einen bestehenden Benutzer auf dem Verzeichnisserver angeben. Anmerkung: Wenn mehrere Unternehmensverzeichnisse vorhanden sind, müssen Sie die Domäne auswählen, in der der Benutzer vorhanden ist. Ergebnisse Sie haben einen IMS Server-Administratoraccount eingerichtet. Nächste Schritte Fahren Sie mit weiteren Konfigurationsschritten nach der Installation von IMS Server fort. Aktualisieren Sie die Anwendungszuordnungen für die Anwendung ISAMESSOIMS. Modulzuordnung für ISAMESSOIMS für die Weiterleitung von Verbindungsanforderungen aktualisieren Aktualisieren Sie die Anwendungszuordnungen für ISAMESSOIMS zu den Hosts der Web- und der Anwendungsschicht mit den neuen IMS Server-Anwendungszuordnungen. Kapitel 1. IMS Server installieren 113 Vorbereitende Schritte Stellen Sie sicher, dass die folgenden Komponenten und Anwendungen gestartet sind: v ISAMESSOIMSConfig v IBM HTTP Server-Verwaltungsserver v WebSphere Application Server (eigenständig) oder Deployment Manager (Netzimplementierung) v (Netzimplementierung) Knotenagenten Stellen Sie sicher, dass die folgenden Komponenten und Anwendungen gestoppt sind: v ISAMESSOIMS v IBM HTTP Server v Cluster Informationen zu diesem Vorgang Sie müssen die Anwendung ISAMESSOIMS den Hosts der Web- und der Anwendungsschicht zuordnen, nachdem Sie IMS Server mit dem Installationsprogramm von IMS Server installiert haben. Sie müssen die Anwendungszuordnungen für ISAMESSOIMS manuell aktualisieren, wenn Sie einem Cluster weitere Knoten hinzufügen. Vorgehensweise 1. Klicken Sie im Navigationsfenster der WebSphere-Administrationskonsole auf Applications > Application types > WebSphere enterprise applications. 2. Klicken Sie auf ISAMESSOIMS. 3. Klicken Sie unter Modules auf Manage Modules. Die Seite "Manage Modules" wird angezeigt. 4. Wählen Sie das Kontrollkästchen für alle Module aus. 5. Wählen Sie im Feld Clusters and servers jeden der Ziel-Web-Server, -Cluster und -Anwendungsserver in Ihrer Implementierung aus. Tipp: Drücken Sie zum Auswählen mehrerer Server die Umschalttaste und klicken Sie dann, um mehrere Web-Server, Cluster oder Anwendungsserver auszuwählen. 6. Klicken Sie auf Apply. 7. Klicken Sie auf OK. 8. Klicken Sie im Fenster Messages auf Save. 9. Synchronisieren Sie die Knoten vollständig. Siehe „Knoten resynchronisieren” auf Seite 217. Ergebnisse Die Verbindungsanforderungen der IMS Server-Anwendungs-URLs werden nun ordnungsgemäß von IBM HTTP Server an die Anwendung ISAMESSOIMS weitergeleitet. 114 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Sitzungsmanagement für ISAMESSOIMS außer Kraft setzen Sie müssen das Sitzungsmanagement außer Kraft setzen, um sicherzustellen, dass die Anwendung ISAMESSOIMS alle aus dem übergeordneten Objekt übernommenen Einstellungen für das Sitzungsmanagement überschreiben kann. Vorbereitende Schritte Stellen Sie sicher, dass die ISAMESSOIMS-Zuordnung aktualisiert wird. Informationen zu diesem Vorgang ISAMESSOIMS ist eine Webanwendung. Das Sitzungsmanagement stellt einen Mechanismus dar, mit dem ISAMESSOIMS den Status von Informationen für einen Benutzer über einen bestimmten Zeitraum hinweg für eine Reihe von Webseiten speichern kann, mit denen dieser Benutzer interagiert. Vorgehensweise 1. Klicken Sie im Navigationsfenster der WebSphere-Administrationskonsole auf Applications > Application types > WebSphere enterprise applications. 2. Klicken Sie auf ISAMESSOIMS. 3. Klicken Sie unter Web Module Properties auf Session management. 4. Wählen Sie unter General Properties das Kontrollkästchen Override session management aus. 5. Klicken Sie auf Apply. 6. Klicken Sie im Fenster Messages auf Save. Die Anwendung ISAMESSOIMS wird gestoppt. 7. Konfigurieren Sie das System so, dass das Sitzungsmanagement für AccessAdmin außer Kraft gesetzt wird. a. Klicken Sie auf der Seite Enterprise Applications auf ISAMESSOIMS. b. Klicken Sie unter Modules auf Manage Modules. c. Klicken Sie auf den Link ISAM ESSO IMS Server AccessAdmin <versionsnummer>. d. Klicken Sie unter Additional Properties auf Session management. e. Wählen Sie das Kontrollkästchen Override session management aus. f. Klicken Sie auf OK. g. Klicken Sie auf Save. 8. Resynchronisieren Sie die Knoten. a. Klicken Sie auf System administration > Nodes. b. Wählen Sie das Kontrollkästchen für jeden entsprechenden Knoten aus. c. Klicken Sie auf Full Resynchronize. 9. Starten Sie den Cluster. a. Klicken Sie auf Servers > Clusters > WebSphere application server clusters. b. Wählen Sie das Kontrollkästchen für den Cluster aus. c. Klicken Sie auf Stop. d. Klicken Sie auf Start. Anmerkung: Das Starten des Clusters kann eine gewisse Zeit dauern, da jeder Memberknoten im Cluster gestartet wird. Kapitel 1. IMS Server installieren 115 Tipp: Sie können in der Spalte Status auf den Befehl Refresh klicken, um festzustellen, ob der Clusterstatus aktualisiert wurde. Ergebnisse Sie haben die folgenden Komponenten gestartet: v Cluster v Verwaltete Memberknoten v Anwendung ISAMESSOIMS v Anwendung ISAMESSOIMSConfig Konfiguration von IMS Server prüfen Stellen Sie sicher, dass die Installation und die Konfiguration von IMS Server funktionieren. Vorbereitende Schritte Stellen Sie sicher, dass die folgenden Anwendungen und Komponenten gestartet sind: v v v v v ISAMESSOIMS ISAMESSOIMSConfig WebSphere Application Server IBM HTTP Server Datenbankserver v Verzeichnisserver Vorgehensweise 1. Stellen Sie sicher, dass Sie auf AccessAdmin zugreifen können. a. Rufen Sie in einem Browser die URL für AccessAdmin auf. Beispiel: v https://<ihs-host>/admin v https://<host_des_programms_für_den_lastausgleich>/admin b. Melden Sie sich mit dem eingerichteten Administratoraccount von IMS Server bei AccessAdmin an. Beispiel: imsadmin. c. Klicken Sie auf Einrichtungsassistent. d. Sie können die Anweisungen für die Konfiguration von Authentifizierungsfaktoren zu einem späteren Zeitpunkt lesen. Schließen Sie den Browser. Sie haben erfolgreich sichergestellt, dass Sie auf AccessAdmin zugreifen können. 2. Stellen Sie sicher, dass Sie auf Web Workplace zugreifen können. a. Rufen Sie in einem Browser die URL für Web Workplace auf. Beispiel: v https://<ihs-host>/aawwp?isWwp=true v https://<host_des_programms_für_den_lastausgleich>/aawwp?isWwp=true b. Melden Sie sich mit dem eingerichteten Administratoraccount von IMS Server bei Web Workplace an. Beispiel: imsadmin. 3. Stellen Sie sicher, dass Sie auf AccessAssistant zugreifen können. a. Rufen Sie in einem Browser die URL für AccessAssistant auf. Beispiel: v https://<ihs-host>/aawwp v https://<host_des_programms_für_den_lastausgleich>/aawwp 116 IBM® Security Access Manager for Enterprise Single Sign-On: Installation b. Melden Sie sich mit dem eingerichteten Administratoraccount von IMS Server bei AccessAssistant an. Beispiel: imsadmin. Ergebnisse Sie haben IMS Server erfolgreich installiert und sichergestellt, dass das Programm funktioniert. Außerdem haben Sie sichergestellt, dass die URLs für den Zugriff auf die Verwaltungskomponenten funktionieren. Nächste Schritte Informationen zur Erstellung weiterer Serverkonfigurationen für Ihre jeweilige Implementierung, z. B. zum Hinzufügen von Authentifizierungsfaktoren, finden Sie im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide. Sie können nun die AccessAgent- oder AccessStudio-Clients auf Client-Workstations installieren. Tipp: Um Zeit zu sparen und den Zugriff zu vereinfachen, können Sie für die Verwaltungs-URLs in Ihrem Web-Browser Lesezeichen setzen. Anwendungsserver zu einem Cluster hinzufügen Sie können einen zusätzlichen Cluster-Member-Knoten von IBM Security Access Manager for Enterprise Single Sign-On zu einem WebSphere Application ServerCluster hinzufügen. Informationen zu diesem Vorgang Erstellen Sie für den Knoten ein angepasstes Profil. Fügen Sie den Knoten dann einem bestehenden WebSphere Application Server-Cluster hinzu. Implementieren Sie nach dem Hinzufügen des Knotens die Anwendung ISAMESSOIMS im Knoten. In einer Netzimplementierung Implementieren Im Deployment Manager-Knoten v ISAMESSOIMS v ISAMESSOIMSConfig In jedem Knoten des Clusters ISAMESSOIMS Vorgehensweise 1. Erstellen Sie mithilfe des Profile Management Tool von WebSphere Application Server oder mit einem Befehlszeilentool ein angepasstes Profil. 2. Fügen Sie in der WebSphere Application Server-Administrationskonsole den neu erstellten Server dem WebSphere Application Server-Cluster hinzu. Tipp: Beim Hinzufügen von Cluster-Membern müssen Sie sicherstellen, dass Sie in der Konsolennavigationsstruktur den Cluster auswählen und auf der Seite Cluster members Member hinzufügen. Beispiel: Klicken Sie auf Servers > Clusters > WebSphere application server clusters. Wählen Sie den Cluster aus. Klicken Sie auf Cluster members. Klicken Sie auf New. 3. Optional: Erstellen Sie für den zusätzlichen Knotenagenten und Serverknoten einen Windows-Dienst. Kapitel 1. IMS Server installieren 117 Beispiel (Groß-/Kleinschreibung beachten, keine Zeilenumbrüche verwenden): wasservice -add Custom02_nodeagent -serverName nodeagent -profilePath "C:\Program Files\IBM\WebSphere\AppServer\profiles\Custom02" -wasHome "C:\Program Files\IBM\WebSphere\AppServer" -logRoot "C:\Program Files\IBM\WebSphere\AppServer\profiles\Custom02\logs\nodeagent" -logFile "C:\Program Files\IBM\WebSphere\AppServer\profiles\Custom02\logs\nodeagent\startServer.log" -restart true -startType automatic 4. Optional: Installieren Sie den Ressourcenadapter Native Library Invoker im neuen Knoten. 5. Generieren Sie das Web-Server-Plug-in und geben Sie es weiter. 6. Starten Sie IBM HTTP Server erneut. 7. Implementieren Sie die Anwendung ISAMESSOIMS. a. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Applications > Application Types > WebSphere Enterprise Applications aus. b. Klicken Sie auf ISAMESSOIMS. c. Klicken Sie unter Modules auf Manage Modules. d. Wählen Sie das Kontrollkästchen für alle Anwendungen aus. e. Wählen Sie in Clusters and servers den Web-Server und den Cluster aus. f. Klicken Sie auf Apply. g. Speichern Sie die Änderungen an der Hauptkonfiguration. 8. Synchronisieren Sie alle Knoten erneut. 9. Starten Sie den Cluster. 10. Starten Sie die Anwendung ISAMESSOIMS. 118 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Kapitel 2. AccessAgent und AccessStudio installieren Wenn Sie die einmalige Anmeldung für Windows-Workstations bereitstellen wollen, müssen Sie die AccessAgent-Clientkomponente installieren. Wenn Sie die Unterstützung für die einmalige Anmeldung für Anwendungen mit AccessProfiles erweitern wollen, müssen Sie AccessStudio installieren. AccessAgent und AccessStudio - Roadmap zur Installation Die Installationsroadmap für AccessAgent und AccessStudio enthält die allgemeinen Tasks, die für die Installation und Einrichtung dieser clientseitigen Komponenten erforderlich sind. Vorbereitungen: v Lesen Sie das Dokument IBM Security Access Manager for Enterprise Single SignOn Planning and Deployment Guide. Dieses Handbuch bietet Unterstützung bei der Planung der Implementierung sowie der Vorbereitung der Umgebung. v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. v Installieren und konfigurieren Sie IMS Server. Führen Sie diese Tasks in der angegebenen Reihenfolge aus, wenn Sie AccessAgent und AccessStudio implementieren. Die detaillierten Prozeduren können Sie über den zugehörigen Referenzlink erfahren. Prozedur Referenz Ausführliche und aktuelle 1 Optional: Wenn Sie die Zwei-FaktorAuthentifizierung umsetzen wollen, müsInstallationsanweisungen finden Sie in der sen Sie die erforderlichen Treiber und jeweiligen Produktdokumentation. Software-Development-Kits anderer Anbieter installieren. „AccessAgent installieren” auf Seite 127 2 Installieren Sie AccessAgent auf allen Client-Workstations der Mitarbeiter sowie auf Citrix-/Terminal-Servern, für die Services für die einmalige Anmeldung erforderlich sind. Bei Unternehmensimplementierungen können Sie AccessAgent über eine Softwareimplementierungslösung auf Windows-Workstations implementieren. Beispiel: Tivoli Endpoint Manager, Active Directory Group Policy Object (AD GPO) oder Tivoli Provisioning Manager. 3 Diese Task ist nur für Administratoren vorgesehen. Installieren Sie vor der Installation von AccessStudio das Paket Microsoft .NET Framework Version 2.0 Redistributable. Rufen Sie die Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach „.NET Framework 2.0 download”. 119 Prozedur Referenz 4 Diese Task ist nur für Administratoren vor- „AccessStudio installieren” auf Seite 136 gesehen. Installieren Sie für die Verwaltung von Profilen für die einmalige Anmeldung AccessStudio auf einer Administratorworkstation. Verwenden Sie zur Vorbereitung Ihrer Anwendungen für die einmalige Anmeldung AccessStudio, um mehrere AccessProfiles für unterstützte Authentifizierungsservices und -anwendungen zu erstellen und hochzuladen. 5 Prüfen Sie die Dateien und Registry-Einträ- „Dateien und Registry-Einträge prüfen” ge, um sicherzustellen, dass die Installation auf Seite 132 erfolgreich verlief. Installationspaket für die Installation auf mehreren PCs vorbereiten Bevor Sie die Pakete auf mehrere Workstations verteilen, können Sie bestimmte Implementierungsattribute für jeden Client anpassen und vorkonfigurieren. Sie können die Installationsprogramme so anpassen, dass eine ferne Implementierung von AccessAgent und AccessStudio auf mehreren Computern ausgeführt wird. Die Attribute des Implementierungspakets können über folgende Schritte angepasst werden: v „Vordefinierte Wallet vorbereiten und installieren” auf Seite 121. v „IMS Server-Position manuell festlegen (Antwortdatei)” auf Seite 132. Die folgenden Themen enthalten Informationen zu Attributen der Antwortdatei und den verschiedenen Methoden zur Angabe der Position von IMS Server: v „Parameter der Antwortdatei ("SetupHlp.ini")” auf Seite 122. v „Methoden zum Festlegen der IMS Server-Position” auf Seite 131. Weitere Funktionen von AccessAgent, die Sie für Ihre Organisation anpassen können, sind im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide enthalten. Methoden für ferne Softwareverteilung Sie können eine Push-Installation der MSI-Pakete für AccessAgent und AccessStudio auf Windows-Zielworkstations ausführen. Zu typischen Softwareverteilungssystemen gehören u. a. Microsoft Active Directory Group Policy Object (AD GPO), Tivoli Endpoint Manager und Anwendungseinrichtungssoftware wie Tivoli Provisioning Manager. Gehen Sie wie folgt vor, um die Client-Software auf mehreren Workstations zu verteilen (je nach der verwendeten Software): v Tivoli Endpoint Manager: Siehe Handbuch IBM Security Access Manager for Enterprise Single Sign-On Tivoli Endpoint Manager Integration Guide. 120 IBM® Security Access Manager for Enterprise Single Sign-On: Installation v Active Directory Group Policy Object: Siehe die Microsoft-Website unter der Adresse http://www.microsoft.com. Suchen Sie dort nach Group Policy install software remotely. v Anwendungseinrichtungssoftware: Informationen sind in der vom Anbieter bereitgestellten Dokumentation enthalten. Konfiguration der unbeaufsichtigten Installation Sie können das Standardverhalten der AccessAgent-Installation anpassen, indem Sie in der Datei SetupHlp.ini Parameter angeben. Über die Datei SetupHlp.ini können Administratoren zudem die Parameter vordefinieren, die von der Datei ISAM ESSO AccessAgent.msi für eine unbeaufsichtigte Installation verwendet werden können. Durch Vordefinieren der Attribute können Administratoren umfangreiche Clientimplementierungen vereinfachen und mögliche Implementierungsprobleme vermeiden, indem sie die korrekten Hostnamensverbindungen angeben. Weitere Informationen finden Sie unter „Parameter der Antwortdatei ("SetupHlp.ini")” auf Seite 122. Vordefinierte Wallet vorbereiten und installieren Bevor Sie AccessAgent auf mehreren Computern installieren, können Sie zunächst eine Wallet vordefinieren. Das Vordefinieren einer Wallet kann die Last für IMS Server reduzieren, wenn in umfangreichen Implementierungen gleichzeitig neue Wallets von Clients heruntergeladen werden. Vorbereitende Schritte v Bereiten Sie einen Client-Computer für die Installation von AccessAgent vor. Dieser Client-Computer ist die Staging-Workstation. v Stellen Sie sicher, dass IMS Server installiert und konfiguriert ist. Informationen zu diesem Vorgang Die Konfiguration einer vordefinierten Wallet ist bei umfangreichen Implementierungen von AccessAgent nützlich. Wenn AccessAgent auf einer neuen Workstation ohne zwischengespeicherte Wallets auf dem Computer installiert wird, lädt AccessAgent eine neue Systemwallet von IMS Server herunter. Wenn eine vordefinierte Wallet in das Paket aufgenommen wird, führt dies dazu, dass AccessAgent nur schrittweise Aktualisierungen von IMS Server herunterlädt, anstatt eine neue Systemwallet herunterzuladen. Vorgehensweise 1. Bereiten Sie die vordefinierten Wallets auf der Staging-Workstation vor. a. Installieren Sie AccessAgent auf dem Client-Computer. Dieser Client-Computer ist die Staging-Workstation. Anmerkung: Stellen Sie sicher, dass keine frühere Version von AccessAgent installiert ist. b. Stellen Sie sicher, dass AccessAgent eine Verbindung zum IMS Server-Produktionsserver herstellt. Der AccessAgent-Client lädt die Systemdaten von IMS Server herunter. Die Systemwallet wird erstellt. Kapitel 2. AccessAgent und AccessStudio installieren 121 2. Kopieren Sie die generierte Walletdatei in das Installationsprogramm von AccessAgent. Kopieren Sie auf der Staging-Workstation die Walletdateien aus folgender Position: In das Installationsprogramm von AccessAgent Version 8.2.1: <AccessAgent-installationspfad>\ Cryptoboxes\Wallets Beispiel: <AccessAgent_installationsprogrammspeicherposition>\ <aa_versionsnummer>\ <aa_paket_guid>\Config\Cryptoboxes\ Wallets C:\Programme\IBM\ISAM ESSO\Cryptoboxes\ Wallets Sie müssen die Ordner mit der Bezeichnung Cryptoboxes\Wallets manuell erstellen. Beispiel: Für 32 Bit c:\<AccessAgent_ installationsprogrammspeicherposition>\aa-<versionsnummer>\ {9713108D-08D5-474E-92A309CD7B63DB34}\Config\ Cryptoboxes\Wallets Für 64 Bit c:\<AccessAgent_ installationsprogrammspeicherposition>\aa<versionsnummer>_x64\{E72C402845BB-4EE6-8563-3066EEB39A84}\ Config\Cryptoboxes\Wallets 3. Installieren Sie das neue Installationsprogramm von AccessAgent auf allen anderen Client-Computern. Anmerkung: Wenn der Zielcomputer ältere Versionen von AccessAgent aufweist, wird die vordefinierte Wallet nicht angewendet. Die Wallet aus der älteren Installation wird in die neue Installation kopiert. Wichtig: Wenn Sie eine vordefinierte Wallet auf einem Computer installieren, der zuvor unter IMS Server registriert war, dann müssen Sie nach der Installation die Maschinenrichtlinienschablone erneut anwenden. Alternativ hierzu können Sie den Maschineneintrag aus AccessAdmin löschen. Ergebnisse Sie haben eine Wallet mit dem Installationsprogramm von AccessAgent vordefiniert. Parameter der Antwortdatei ("SetupHlp.ini") Sie können die installierten Funktionen, Installationsverzeichnisse, den Zielserver und Optionen für die einmalige Anmeldung in der Antwortdatei Setuphlp.ini angeben. Dieser Abschnitt enthält weitere Informationen über den Inhalt der Datei Setuphlp.ini. Die Optionen in der Datei SetupHlp.ini sind in folgende Kategorien unterteilt: Nur bei der Installation zu verwendende Optionen Dieser Abschnitt enthält eine Liste mit Optionen, die nach der Installation nicht geändert werden können. 122 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Bei der Installation und während der Laufzeit zu verwendende Optionen, die jeweils mehreren Registrywerten zugeordnet sind Dieser Abschnitt enthält eine Liste mit Optionen, die nach der Installation durch Modifizieren von Registrywerten geändert werden können. Jede Option ist mehreren Registrywerten zugeordnet. Bei der Installation und während der Laufzeit zu verwendende Optionen, die jeweils nur einem einzigen Registrywert zugeordnet sind Dieser Abschnitt enthält eine Liste mit Optionen, die nach der Installation durch Modifizieren von Registrywerten geändert werden können. Jede Option ist einem einzigen Registrywert zugeordnet. Abhängigkeits-URLs Sie werden vom Installationsprogramm an diese URL-Adressen weitergeleitet, falls die erforderlichen Installationskomponenten fehlen. Die Liste der aufgeführten URL-Adressen sind in der Antwortdatei in Ihrem Installationspaket enthalten. Nur bei der Installation zu verwendende Optionen Dieser Abschnitt enthält eine Liste mit Optionen, die nach der Installation nicht geändert werden können. Optionsname Wert Beschreibung AAInstallDir AAInstallDir =C:\Programme\IBM\ISAM ESSO\AA Gibt Installationsverzeichnisse an. FirstSyncMaxRetries Standardwert: 1 Gibt die Anzahl der Versuche an, falls die erste Synchronisation bei der Installation fehlschlägt. FirstSyncRetryIntervalMins Standardwert: 1 Zeitintervall in Minuten zwischen den einzelnen Versuchen bei der Installation. GinaWhiteList msgina, engina.dll, nwgina.dll Die Liste der GINAs, die momentan von IBM Security Access Manager for Enterprise Single Sign-On unterstützt werden. AccessAgent wird nicht installiert, wenn Sie eine GINA verwenden, die nicht in dieser Liste enthalten ist. Im Verlauf der Installation wird eine Eingabeaufforderung angezeigt, in der ermittelt wird, ob Sie die GINA in dieser Liste ersetzen wollen. Bei einer unbeaufsichtigten Installation müssen Sie die Option EnginaEnabled konfigurieren. Anmerkung: v Wenn Sie eine GINA verwenden möchten, die nicht in der Liste enthalten ist, müssen Sie die neue GINA für die Verwendung mit AccessAgent testen. Fügen Sie dieser Liste dann die neue .DLL-Datei hinzu. v Trennen Sie die Werte durch Kommas voneinander. EnginaEnabled 1 | 0 (Standardwert: 1) Geben Sie an, ob das zurzeit verwendete Produkt GINA durch EnGINA ersetzt werden soll. Anmerkung: v Für AccessAgent ab Version 3.3.0.0 ist die Funktionsweise dieser Option für Workstations, Terminal-Server und Citrix-Server konsistent. v Verwenden Sie für Citrix-Server den Wert 0. Kapitel 2. AccessAgent und AccessStudio installieren 123 Optionsname Wert Beschreibung PriceLevel Standard | Suite Gibt den Produktlizenzstand an. RebootEnabled 1 | 0 (Standardwert: 1) Geben Sie an, ob nach der Installation ein Neustart des Computers ausgelöst werden soll. RebootConfirmationEnabled 1 | 0 (Standardwert: 1) Geben Sie an, ob der Benutzer einen Neustart bestätigen soll. Nur wirksam, wenn RebootEnabled=1 festgelegt ist. EnginaConflictPromptEnabled 1 | 0 (Standardwert: 1) Gibt an, ob im Fall eines GINA-Konflikts eine Eingabeaufforderung angezeigt wird. UsbKeyPromptEnabled 1 | 0 (Standardwert: 1) Geben Sie an, ob der Benutzer zu Einstecken eines USB-Sticks aufgefordert werden soll, falls dieser Vorgang nicht bereits bei der Installation erfolgt ist. ImsConfigurationEnabled 1 | 0 (Standardwert: 1) Geben Sie an, ob die Standardeinstellungen von IMS Server konfiguriert und während der Installation Zertifikate aus IMS Server installiert werden sollen. ImsConfigurationPromptEnabled 1 | 0 (Standardwert: 0) Geben Sie an, ob der Benutzer zur Eingabe des IMS Server-Standardeintrags aufgefordert werden soll, auch wenn dieser bereits korrekt konfiguriert ist. Nur wirksam, wenn ImsConfigurationEnabled=1 festgelegt ist. InstallTypeGpo 1 | 0 (Standardwert: 0) Geben Sie an, ob alle Systemanfragen unterdrückt und in ein Protokoll geschrieben werden sollen. Für die AD GPO-Installation erforderlich. EncentuateNetworkProviderEnabled 1 | 0 (Standardwert: 0) Geben Sie an, ob Encentuate Network Provider während einer AccessAgent-Installation aktiviert werden soll. EncentuateCredentialProviderEnabled 1 | 0 (Standardwert: 1) Geben Sie an, ob IBM Security Access Manager for Enterprise Single Sign-On Credential Provider for Windows 7 installiert werden soll. ConsoleAppSupportEnabled 1 | 0 (Standardwert: 0) Geben Sie an, ob IBM Security Access Manager for Enterprise Single Sign-On Console Hook Loader aktiviert werden soll. . Anmerkung: v Console Hook Loader ist standardmäßig inaktiviert. v Geben Sie den Wert 1 an, um die Konsolanwendungsunterstützung zu aktivieren. v Alternativ dazu können Sie auch die Datei InstallConsoleSupport.vbs, die sich im Verzeichnis <AccessAgent-installationsverzeichnis> befindet, nach der Installation ausführen. ResetBioAPIPermissions 1 | 0 (Standardwert: 0) Geben Sie an, ob BioAPI-Berechtigungen zurückgesetzt werden sollen. DisableWin7CAD 1|0 Wenn dieser Wert auf 0 gesetzt wird, werden an der Richtlinie DisableCAD keine Änderungen vorgenommen. (Standardwert: 1) Wenn dieser Wert auf 1 gesetzt wird, wird die Richtlinie DisableCAD auf 1 gesetzt. Wenn die Richtlinie DisableCAD auf 1 gesetzt wird, wird die Anzeige zur Sicherheitsabfrage (Strg-AltEntf) nicht angezeigt. RemoveWallet 1|0 Geben Sie an, ob die Wallet während der Deinstallation entfernt werden soll. (Standardwert: nicht definiert) Bei der unbeaufsichtigten Deinstallation müssen Sie den Parameter RemoveWallet=1 definieren, falls er nicht bereits konfiguriert ist. 124 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Optionsname Wert Beschreibung JVMInstallationDirectories <jvm-verzeichnis_1> | <jvmverzeichnis_2> | <jvm-verzeichnis_3> | JVM-Verzeichnisse, für die die Java-Unterstützung für die automatische Anmeldung aktiviert werden soll. Die einzelnen Verzeichnisse müssen durch vertikale Balken voneinander getrennt sein. Zwischen zwei JVM-Verzeichnissen darf kein Leerzeichen enthalten sein. Beispiel: v C:\Programme\Java\jre1.5.0_11 v C:\TAM E-SSO\j2re1.4.1 Speziell für JVM Version 1.2 oder höher. OldJVMInstallationDirectories <jvm-verzeichnis_1> | <jvmverzeichnis_2> | <jvm-verzeichnis_3> | JVM-Verzeichnisse, für die die Java-Unterstützung für die automatische Anmeldung aktiviert werden soll. Die einzelnen Verzeichnisse müssen durch vertikale Balken voneinander getrennt sein. Zwischen zwei JVM-Verzeichnissen darf kein Leerzeichen enthalten sein. Beispiel: v C:\Programme\Java\jre1.5.0_11 v C:\TAM E-SSO\j2re1.4.1 Speziell für JVM Version 1.1 CitrixVirtualChannelConnectorMode 0|1|2|3|4 Moduskonfiguration für AccessAgent Connector für virtuelle Citrix-Kanäle (Standardwert: nicht definiert) v Auf 0 setzen, wenn Connector für virtuelle Kanäle nicht aktiviert werden soll. v Auf 1 setzen, wenn Connector für virtuelle Kanäle auf dem Client-Computer aktiviert werden soll. v Auf 2 setzen, wenn Connector für virtuelle Kanäle über den Server aktiviert und AccessAgent im Standardmodus ausgeführt werden soll. v Auf 3 setzen, wenn Connector für virtuelle Kanäle über den Server aktiviert und AccessAgent im einfachen Modus ausgeführt werden soll. v Auf 4 setzen, wenn Connector für virtuelle Kanäle über den Server aktiviert und AccessAgent im erzwungenen einfachen Modus ausgeführt werden soll. ICAClientInstallDir <Citrix ICA Clientinstallationsverzeichnis> Geben Sie das Installationsverzeichnis für Citrix ICA Client an. Dies ist für Connector für virtuelle Citrix-Kanäle für den Client erforderlich. Bei der Installation und während der Laufzeit zu verwendende Optionen, die jeweils mehreren Registrywerten zugeordnet sind Dieser Abschnitt enthält eine Liste mit Optionen, die nach der Installation durch Modifizieren von Registrywerten geändert werden können. Jede Option ist mehreren Registrywerten zugeordnet. Optionsname Wert Beschreibung ImsSecurePortDefault Standardwert: 443 Nummer des standardmäßig verwendeten sicheren Ports für den standardmäßig verwendeten IMS Server. Kapitel 2. AccessAgent und AccessStudio installieren 125 Optionsname Wert Beschreibung ImsDownloadPortDefault Standardwert: 80 Nummer des standardmäßig verwendeten Downloadports für den standardmäßig verwendeten IMS Server. Dieser Port wird nur zum Herunterladen von IMS Server-Zertifikaten verwendet. ImsDownloadProtocolDefault Standardeinstellung: http:// Standarddownloadprotokoll zum Herunterladen von IMS Server-Zertifikaten. Bei der Installation und während der Laufzeit zu verwendende Optionen, die jeweils nur einem einzigen Registrywert zugeordnet sind Dieser Abschnitt enthält eine Liste mit Optionen, die nach der Installation nicht geändert werden können. Optionsname Wert Beschreibung WalletTypeSupported 0 | 1 | 2 (Standardwert: 0) Unterstützte Wallettypen. v 0 - Nur IMS Server v 1 - Nur Nicht-IMS Server v 2 - Sowohl IMS Server als auch Nicht-IMS Server ImsAddressPromptEnabled 1 | 0 (Standardwert: 0) Geben Sie an, ob der Benutzer während der Subskription zur Eingabe einer Adresse für IMS Server aufgefordert werden soll, auch wenn die in ImsServerName angegebene Adresse für IMS Server korrekt ist. ImsServerName <SAM ESSO IMS Server> Tatsächlicher Hostname von IMS Server. Unterstützung für zusätzliche Sprachen hinzufügen Sie können vor Beginn der Installation Unterstützung für zusätzliche Sprachen hinzufügen. Wenden Sie zum Hinzufügen von Sprachunterstützung Sprachumsetzungen auf die Datei ISAM ESSO AccessStudio.msi an. Verwenden Sie die Optionen für Gruppenrichtlinienobjekte von Active Directory (Active Directory Group Policy Object) für die Anwendung von Sprachumsetzungen. Die Komponente AccessStudio wird mit Umsetzungsdateien in jedem Komponentenordner für das Installationsprogramm geliefert. Umsetzungen weisen die Dateierweiterung .mst auf. Wählen Sie die Sprachumsetzungsdatei (.mst) auf der Basis der nachfolgend aufgeführten LändereinstellungsID- oder LCID-Werte aus. Die Umsetzungsdatei verwendet das Dezimalformat der LCID. 126 Beschreibung der Ländereinstellung Sprachumsetzung LCID RFC1766Kurzzeichenfolge Arabisch 1025.mst 0x0401 ar-sa Portugiesisch (Brasili- 1046.mst en) 0x0416 pt-br Chinesisch - vereinfachtes Chinesisch 2052.mst 0x0804 zh-cn Chinesisch - traditionelles Chinesisch 1028.mst 0x0404 zh-tw IBM® Security Access Manager for Enterprise Single Sign-On: Installation Beschreibung der Ländereinstellung Sprachumsetzung LCID RFC1766Kurzzeichenfolge Tschechisch 1029.mst 0x0405 cs Dänisch 1030.mst 0x0406 da Niederländisch - Nie- 1043.mst derlande 0x0413 nl Englisch - USA 1033.mst 0x0409 en-us Finnisch 1035.mst 0x040b fi Französisch - Frankreich 1036.mst 0x040c fr Deutsch - Deutschland 1031.mst 0x0407 de Hebräisch 1037.mst 0x040d he Ungarisch 1038.mst 0x040e hu Italienisch - Italien 1040.mst 0x0410 it Japanisch 1041.mst 0x0411 ja Koreanisch 1042.mst 0x0412 ko Polnisch 1045.mst 0x0415 po Russisch 1049.mst 0x0419 ru Spanisch - Spanien 1034.mst 0x040a es AccessAgent installieren AccessAgent kann interaktiv oder unbeaufsichtigt installiert werden. Bei der interaktiven Installationsmethode werden Sie durch die Installation geführt. Die unbeaufsichtigte Installation ermöglicht standardisierte, wiederholbare Installationen für viele Client-Computer. Vorbereitungen Wenn Sie in Ihrer IMS Server-Installation ein Programm für den Lastausgleich einsetzen, geben Sie dessen URL als Ziel-URL für jede Implementierung von AccessAgent an. Wenn Sie kein Programm für den Lastausgleich verwenden, geben Sie die URL des IBM HTTP Server-Systems an, das die Verbindungsanforderung an IMS Server weiterleitet. Wenn Sie mit einem fernen Web-Server arbeiten, müssen Sie sicherstellen, dass die URL des Web-Servers erreichbar ist. Hinweis: v Installieren Sie bei Implementierungen in der Produktionsumgebung den AccessAgent-Client keinesfalls auf dem IMS Server-Host. Implementieren Sie AccessAgent separat auf Client-Workstations, die eine einmalige Anmeldung erfordern. v Antivirensoftware kann mit AccessAgent oder IMS Server kollidieren. Weitere Informationen finden Sie im Abschnitt "Known issues and solutions" im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide. Weitere Informationen finden Sie in den folgenden Themen: Kapitel 2. AccessAgent und AccessStudio installieren 127 v Systemvoraussetzungen. Siehe Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. v v v v v v „AccessAgent installieren” „AccessAgent unbeaufsichtigt installieren (Befehlszeile)” auf Seite 129 „AccessAgent mithilfe des Gruppenrichtlinienobjekts installieren” auf Seite 130 „Dateien und Registry-Einträge prüfen” auf Seite 132 „ESSO Network Provider prüfen” auf Seite 133 „Unterstützung für die einmalige Anmeldung in Mozilla Firefox Extended Support Release aktivieren” auf Seite 133 AccessAgent installieren Verwenden Sie die Datei Setup.exe zur Installation des vollständigen AccessAgentPakets auf dem Computer des Benutzers. Vorbereitende Schritte v Beachten Sie die Produktbeschreibung oder den Namen auf der Passport Advantage-Seite „Find downloads & media”. v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. v Unterstützung für die einmalige Anmeldung bei Anwendungen, die mit dem Browser Mozilla Firefox aufgerufen werden, finden Sie in „Unterstützung für die einmalige Anmeldung in Mozilla Firefox Extended Support Release aktivieren” auf Seite 133. Informationen zu diesem Vorgang Die Datei Setup.exe installiert während der Installation von AccessAgent automatisch folgende Softwareabhängigkeiten: v MSXML 4.0 SP3 v MSXML 6.0 SP1 v Microsoft Visual C++ 2008 SP1 Vorgehensweise 1. Führen Sie im AccessAgent-Installationsprogrammpaket einen Doppelklick auf Setup.exe aus, um den InstallShield-Assistenten zu starten. 2. Wählen Sie entsprechend Ihrer Lizenz eine Produktpaketversion aus und klicken Sie auf Weiter. v IBM Security Access Manager for Enterprise Single Sign-On Standard Dieses Paket bietet einmalige Anmeldung, strikte Authentifizierung, Sitzungsmanagement, zentrale Protokollierung und Berichterstellung. v IBM Security Access Manager for Enterprise Single Sign-On Suite Dieses Paket bietet neben den Merkmalen des Pakets "Standard" OTP-Unterstützung, AccessAgent-Plug-ins, einmalige Anmeldung im Web und Fernzugriff über Web Workplace, angepasste Überwachungsfunktionen sowie IAMIntegration. 3. Wählen Sie Ich akzeptiere die Bedingungen der Lizenzvereinbarung aus und klicken Sie auf Weiter. 4. Geben Sie in das Feld Server den Namen für IMS Server ein und klicken Sie auf Weiter. Die Standardporteinstellung ist 80. Das Installationsverzeichnis 128 IBM® Security Access Manager for Enterprise Single Sign-On: Installation wird angezeigt. Standardmäßig wird AccessAgent im Verzeichnis C:\Programme\IBM\ISAM ESSO\AA installiert. Anmerkung: Klicken Sie auf Ändern und wählen Sie einen anderen Ordner aus, wenn das Programm an einer anderen Position installiert werden soll. Wenn Sie einen zu langen Installationspfad angeben, wird dieser unter Umständen abgeschnitten dargestellt. Diese Abschneidung wirkt sich jedoch nicht auf die tatsächliche Installationsposition aus. 5. Klicken Sie auf Installieren. 6. Klicken Sie auf Fertigstellen. Sie werden dazu aufgefordert, den Computer erneut zu starten. 7. Klicken Sie auf Ja. Ergebnisse Sie erhalten eine Benachrichtigung, dass die Installation ausgeführt wurde. Nächste Schritte Nach dem Neustart des Computers und beim Anzeigen der Anmeldeanzeige müssen Sie sicherstellen, dass Sie sich anmelden können. Sie können auch die Dateien und Registry-Einträge prüfen, um sicherzustellen, dass die Installation erfolgreich verlief. AccessAgent unbeaufsichtigt installieren (Befehlszeile) Verwenden Sie zur Ausführung einer unbeaufsichtigten Installation den Befehl Setup.exe mit dem Parameter /silent. Vorgehensweise 1. Öffnen Sie die Antwortdatei SetupHlp.ini im Verzeichnis <AccessAgent_installationspaketpfad>\<AccessAgent_installationspfad>\ Config. Beispiel: Für 32 Bit aa-8.2.1.0100\{9713108D-08D5-474E-92A3-09CD7B63DB34}\Config Für 64 Bit aa-8.2.1.0100_x64\{E72C4028-45BB-4EE6-8563-3066EEB39A84}\Config 2. Geben Sie in der Antwortdatei SetupHlp.ini die folgenden erforderlichen Parameter für eine unbeaufsichtigte Installation an: InstallTypeGPO Stellen Sie sicher, dass der Wert des Parameters InstallTypeGPO 1 ist. ImsConfigurationPromptEnabled Stellen Sie sicher, dass für den Parameter ImsConfigurationPromptEnabled der Wert 1 verwendet wird. Der Standardwert ist 0. Anmerkung: Wenn der Wert des Parameters ImsConfigurationPromptEnabled auf 1 gesetzt wird, läuft die Installation nicht unbeaufsichtigt ab. Die Konfigurationseingabeaufforderung von IMS Server wird angezeigt, auch wenn Sie den Parameter /silent angeben. Parameter in der Antwortdatei haben stets Vorrang gegenüber allen Parametern, die in der Befehlszeilenschnittstelle angegeben werden. Kapitel 2. AccessAgent und AccessStudio installieren 129 PriceLevel Geben Sie die lizenzierte Produktedition mit dem Parameter PriceLevel an. Beispiel: Suite oder Standard. ImsServerName Geben Sie die Position von IMS Server an. Beispiel: IMSServerName = IMSServer.example.com. 3. Speichern Sie die Datei. 4. Öffnen Sie das Fenster mit der Eingabeaufforderung. 5. Geben Sie im Fenster mit der Eingabeaufforderung den Befehl Setup.exe /silent /language:LCID ein. Dabei gilt Folgendes: Setup.exe Installiert AccessAgent. /silent Gibt eine unbeaufsichtigte Installation an. /language:LCID Gibt an, dass die Installation in einer bestimmten Sprache ausgeführt wird. Eine Liste der Ländereinstellungs-IDs (LCIDs = Locale IDs) für die verschiedenen Sprachen finden Sie auf der Microsoft-Website unter www.microsoft.com. Suchen Sie dort nach Locale IDs assigned by Microsoft. Wenn Sie eine Ländereinstellungs-ID angeben, die von der Installation nicht unterstützt wird, dann wird der Parameter ignoriert. Ergebnisse Sie haben AccessAgent unbeaufsichtigt als Hintergrundprozess installiert. Standardmäßig wurde während des Installationsprozesses in der Datei %temp%\AAInstaller.log eine Protokolldatei erstellt. AccessAgent mithilfe von Tivoli Endpoint Manager installieren IBM Security Access Manager for Enterprise Single Sign-On wird mit IBM Tivoli Endpoint Manager 8.2 zur automatischen Implementierung von AccessAgent auf Client-Computern integriert. Weitere Informationen finden Sie im Abschnitt zum Fixlet für die Installation und das Upgrade von AccessAgent im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Tivoli Endpoint Manager Integration Guide. AccessAgent mithilfe des Gruppenrichtlinienobjekts installieren Bei großen AccessAgent-Implementierungen können Sie AccessAgent auf mehreren Workstations mithilfe des Microsoft Active Directory Group Policy Object (Gruppenrichtlinienobjekt) installieren. Informationen zu diesem Vorgang Weitere Informationen zum Startscript finden Sie auf der Microsoft-Website unter http://www.microsoft.com. Suchen Sie dort nach Assign computer startup scripts GPO. 130 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Vorgehensweise 1. Geben Sie in der Antwortdatei SetupHlp.ini folgende erforderlichen Parameter an: InstallTypeGPO Überprüfen Sie, ob der Wert des Parameters InstallTypeGPO 1 ist. ImsConfigurationPromptEnabled Überprüfen Sie, ob der Wert des Parameters ImsConfigurationPromptEnabled 1 ist. PriceLevel Geben Sie die lizenzierte Produktedition mit dem Parameter PriceLevel an. Beispiel: Suite oder Standard. ImsServerName Geben Sie die Position von IMS Server an. Beispiel: IMSServerName = IMSServer.example.com. 2. Speichern Sie das AccessAgent-Installationsprogrammpaket in einem gemeinsam genutzten Ordner, auf den alle Ziel-Client-Computer Zugriff haben. 3. Navigieren Sie zu Gruppenrichtlinienobjekt > Computerkonfiguration > Windows-Einstellungen > Skripts > Start. 4. Führen Sie folgendes Installationsstapelscript aus. echo AA Suite Installation starts on %DATE% at %TIME% > %temp%\AASuiteInstall.log <AccessAgent-Installationsprogrammpaket>\setup.exe /silent echo AA Suite Installation ends on %DATE% at %TIME% >> %temp%\AASuiteInstall.log Methoden zum Festlegen der IMS Server-Position Es gibt verschiedene Methoden zum manuellen Festlegen der IMS Server-Position für AccessAgent. Prüfen Sie die Hostverbindungen, um häufige Verbindungsprobleme zwischen dem AccessAgent-Client und IMS Server zu vermeiden. Stellen Sie mit dem Befehl ping sicher, dass die Verbindungen zwischen Hosts aufgelöst werden können. Stellen Sie sicher, dass Sie die folgenden Tasks ausführen, bevor Sie die IMS Server-Position festlegen: v IBM HTTP Server wird konfiguriert und gestartet. v WebSphere Application Server wird konfiguriert und gestartet. v Die Anwendung IMS Server in WebSphere Application Server wird gestartet. v Der Datenbankserver wird gestartet. v Der Verzeichnisserver wird gestartet. Wichtig: Wenn Sie die IMS Server-Position ändern, müssen Sie den Ordner Cryptoboxes im Verzeichnis C:\Programme\IBM\ISAM ESSO\AA\ löschen. Löschen Sie den Ordner, damit nicht Richtlinien aus verschiedenen Instanzen von IMS Server miteinander vermischt werden. Der Ordner kann vor dem Löschen auch gesichert werden. Wählen Sie zum Festlegen oder Ändern des IMS Server-Hosts für AccessAgent eine der folgenden Methoden aus: v „IMS Server-Position manuell festlegen (Antwortdatei)” auf Seite 132 v „IMS Server-Position manuell festlegen (Menüverknüpfung)” auf Seite 132 Kapitel 2. AccessAgent und AccessStudio installieren 131 IMS Server-Position manuell festlegen (Antwortdatei) Geben Sie zum Vorbereiten von AccessAgent für eine unbeaufsichtigte Installation den IMS Server-Host in der Antwortdatei SetupHlp.ini an. Vorgehensweise Öffnen Sie den Ordner Config. Beispiel: c:\Programme\IBM\ISAM ESSO\ Klicken Sie doppelt auf die Datei SetupHlp.ini, um die Datei zu öffnen. Suchen Sie nach IMSServerName = <ISAM ESSO IMS Server>. Ersetzen Sie <SAM E-SSO IMS Server> durch den Namen Ihres IMS Server. Beispiel: IMSServerName = IMSServer.example.com. 5. Speichern Sie die Datei. 6. Starten Sie den Computer erneut. 1. 2. 3. 4. IMS Server-Position manuell festlegen (Menüverknüpfung) Verwenden Sie die Verknüpfungen für installierte Programme im Startmenü, um die IMS Server-Position für AccessAgent festzulegen. Vorgehensweise 1. Klicken Sie auf Start > Alle Programme > ISAM ESSO AccessAgent > IMS Server-Position festlegen. 2. 3. 4. 5. Geben Sie den Hostnamen von IMS Server an. Beispiel: imssvr.example.com Geben Sie die HTTP-Portnummer an. Beispiel: 80 Klicken Sie auf OK, um den Vorgang zu beenden. Starten Sie den Computer erneut. Dateien und Registry-Einträge prüfen Nach der Installation von AccessAgent und AccessStudio müssen Sie sicherstellen, dass alle Programmdateien und Registry-Einträge erfolgreich auf dem Computer installiert wurden. Programmdateien von AccessAgent und AccessStudio Standardmäßig werden die Programmdateien von AccessAgent und AccessStudio im Verzeichnis C:\Programme\IBM\ISAM ESSO\AA gespeichert. Die folgenden Unterordner und Dateien werden nach der Installation von AccessAgent und AccessStudio erstellt: v v v v v C:\Programme\IBM\ISAM C:\Programme\IBM\ISAM C:\Programme\IBM\ISAM C:\Programme\IBM\ISAM C:\Programme\IBM\ISAM ESSO\AA\AccessAgent ESSO\AA\ECSS\AccessStudio ESSO\AA\Cryptoboxes ESSO\AA\Data ESSO\AA\ECSS v C:\Programme\IBM\ISAM ESSO\AA\ECSS\Firefox_ext v C:\Programme\IBM\ISAM ESSO\AA\ECSS\Firefox_xpcom v v v v v C:\Programme\IBM\ISAM C:\Programme\IBM\ISAM C:\Programme\IBM\ISAM C:\Programme\IBM\ISAM C:\Programme\IBM\ISAM ESSO\AA\GSKit ESSO\AA\License ESSO\AA\ECSS\JavaSupport ESSO\AA\Logs ESSO\AA\ECSS\SimpleToStateSupport v C:\Programme\IBM\ISAM ESSO\AA\TSSDK 132 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Registry-Einträge von AccessAgent und AccessStudio Registry-Einträge von AccessAgent und AccessStudio werden im Schlüssel [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO] gespeichert. Standardregistrywerte werden bei der Installation automatisch eingetragen. v v v v v v v [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO\AccessStudio] ESSO\ECSS] ESSO\ECSS\DeploymentOptions] ESSO\ECSS\Temp] ESSO\DeploymentOptions] ESSO\IMSService\DefaultIMSSettings] ESSO\IMSService\GlobalIMSSettings] v v v v v [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO\AccessAgent\Integration] ESSO\Internal] ESSO\LastLogin] ESSO\SOCIAccess] ESSO\Temp] ESSO Network Provider prüfen ESSO Network Provider erfasst die Benutzerberechtigungsnachweise, die in Microsoft GINA eingegeben werden. ESSO Network Provider verwendet diese Berechtigungsnachweise für die Anmeldung des jeweiligen Benutzers bei IBM Security Access Manager for Enterprise Single Sign-On. Stellen Sie sicher, dass ESSO Network Provider funktioniert. ESSO Network Provider ist installiert und funktioniert in folgenden Fällen: v Wenn [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ EnNetworkProvider] vorhanden ist. v Wenn der Registry-Schlüssel ProviderOrder in [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\NetworkProvider\Order] den Wert EnNetworkProvider enthält. Wenn dieser Wert noch nicht im Feld Wertdaten enthalten ist, fügen Sie ihn hinzu. Anmerkung: Geben Sie kein Komma an, wenn keine voranstehenden Einträge vorhanden sind. v Die Datei EnNetworkProvider.dll ist im Produktinstallationsverzeichnis enthalten. Unterstützung für die einmalige Anmeldung in Mozilla Firefox Extended Support Release aktivieren Um die einmalige Anmeldung (Single Sign-on) und die Automatisierung für Webanwendungen zu aktivieren, auf die über Mozilla Firefox Extended Support Release zugegriffen wird, müssen Sie die AccessAgent-Erweiterung für Mozilla Firefox Extended Support Release herunterladen und installieren. AccessAgent ist noch nicht installiert Sie können die Unterstützung für die einmalige Anmeldung in Mozilla Firefox Extended Support Release aktivieren, selbst wenn AccessAgent noch nicht installiert ist. Kapitel 2. AccessAgent und AccessStudio installieren 133 Vorbereitende Schritte Laden Sie die AccessAgent-Erweiterung für Mozilla Firefox Extended Support Release über die technischen Hinweise "IBM Security Access Manager for Enterprise Single Sign-On Support for Mozilla Firefox Extended Support Release" unter http://www.ibm.com/support/docview.wss?uid=swg21660003 herunter. Stellen Sie Folgendes sicher: v Verwenden Sie Mozilla Firefox Extended Support Release. v Arbeiten Sie mit Administratorberechtigungen. Informationen zu diesem Vorgang Führen Sie diese Task nur dann aus, wenn Sie bereits Mozilla Firefox Extended Support Release installiert haben, AccessAgent aber noch nicht installiert ist. Vorgehensweise 1. Extrahieren Sie die heruntergeladene Datei ESSOFirefox<version>Extension.zip in einen beliebigen Ordner. Beispiel: C:\temp\. 2. Führen Sie das Script InstallFirefoxExt.vbs mit Administratorberechtigungen über die Befehlszeile aus. 3. Installieren Sie AccessAgent. Weitere Informationen hierzu finden Sie im Abschnitt zur Installation von AccessAgent im Handbuch IBM Security Access Manager for Enterprise Single Sign-On - Installation. 4. Starten Sie den Browser Mozilla Firefox Extended Support Release. Möglicherweise werden Sie zum Aktivieren der AccessAgent-Erweiterung aufgefordert. Ergebnisse Vom Script wird automatisch folgender Registry-Eintrag an folgenden Positionen erstellt: Typ Schlüssel String (REG_SZ) Für 32 Bit [HKEY_LOCAL_MACHINE\SOFTWARE\ Mozilla\Firefox\extensions] Für 64 Bit [HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Mozilla\Firefox\ Extensions] Name isamesso@ibm.com Wert <AA-installationspfad>\ECSS\ Firefox17Extension Nächste Schritte Prüfen Sie, ob die Mozilla Firefox-Erweiterungsdatei für IBM Security Access Manager for Enterprise Single Sign-On in Mozilla Firefox > Extras > Add-ons > Erweiterungen angezeigt wird und aktiviert ist. 134 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Bei Problemen finden Sie Informationen in der Protokolldatei im Installationsordner von AccessAgent. Beispiel: C:\Program Files\IBM\ISAM ESSO\AA\logs\ AAInstaller.log. AccessAgent ist installiert Sie können die Unterstützung für die einmalige Anmeldung in Mozilla Firefox Extended Support Release nach der Installation von AccessAgent aktivieren. Vorbereitende Schritte Laden Sie die AccessAgent-Erweiterung für Mozilla Firefox Extended Support Release über die technischen Hinweise "IBM Security Access Manager for Enterprise Single Sign-On Support for Mozilla Firefox Extended Support Release" unter http://www.ibm.com/support/docview.wss?uid=swg21660003 herunter. Stellen Sie Folgendes sicher: v Verwenden Sie Mozilla Firefox Extended Support Release. v Arbeiten Sie mit Administratorberechtigungen. Informationen zu diesem Vorgang Führen Sie diese Task nur aus, wenn AccessAgent bereits installiert ist. Vorgehensweise 1. Extrahieren Sie die heruntergeladene Datei ESSOFirefox<version>Extension.zip in einen beliebigen Ordner. Beispiel: C:\temp\. 2. Führen Sie das Script InstallFirefoxExt.vbs mit Administratorberechtigungen über die Befehlszeile aus. 3. Starten Sie den Browser Mozilla Firefox Extended Support Release. Möglicherweise werden Sie zum Aktivieren der AccessAgent-Erweiterung aufgefordert. Ergebnisse Vom Script wird automatisch folgender Registry-Eintrag an folgenden Positionen erstellt: Typ Schlüssel String (REG_SZ) Für 32 Bit [HKEY_LOCAL_MACHINE\SOFTWARE\ Mozilla\Firefox\extensions] Für 64 Bit [HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Mozilla\Firefox\ Extensions] Name isamesso@ibm.com Wert <AA-installationspfad>\ECSS\ Firefox<version>Extension Nächste Schritte Prüfen Sie, ob die Mozilla Firefox-Erweiterungsdatei für IBM Security Access Manager for Enterprise Single Sign-On in Mozilla Firefox > Extras > Add-ons > Erweiterungen angezeigt wird und aktiviert ist. Kapitel 2. AccessAgent und AccessStudio installieren 135 Bei Problemen finden Sie Informationen in der Protokolldatei im Installationsordner von AccessAgent. Beispiel: C:\Program Files\IBM\ISAM ESSO\AA\logs\ AAInstaller.log. AccessStudio installieren Installieren Sie AccessStudio auf einem einzigen Computer oder konfigurieren Sie eine unbeaufsichtigte Implementierung für mehrere Client-Computer. Weitere Informationen finden Sie in den folgenden Themen: v Voraussetzungen für AccessStudio. Siehe Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single SignOn Planning and Deployment Guide. v „AccessStudio installieren (Setup.exe)” v „AccessStudio installieren (MSI-Paket)” auf Seite 137 v „AccessStudio unbeaufsichtigt installieren (Befehlszeile)” auf Seite 138 AccessStudio installieren (Setup.exe) Sie können AccessStudio auf festgelegten Client-Computern installieren, um zusätzliche AccessProfiles zu erstellen. Verwenden Sie bei einzelnen Implementierungen die Datei Setup.exe für die Installation von AccessStudio auf dem Benutzercomputer. Vorbereitende Schritte v Beachten Sie die Produktbeschreibung oder den Namen auf der Passport Advantage-Seite "Find downloads & media". v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. v Nur unter Windows XP Professional: Stellen Sie sicher, dass Microsoft .NET Framework Version 2.0 installiert ist. Rufen Sie zum Herunterladen dieser Software die Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach „.NET Framework 2.0 download”. v Installieren Sie AccessAgent. Informationen zu diesem Vorgang Wenn Sie die Datei Setup.exe für die Installation von AccessStudio verwenden, können Sie die gewünschte Einrichtungssprache auswählen. Vorgehensweise 1. Doppelklicken Sie die Datei setup.exe aus dem Installationspaket. 2. Wählen Sie aus der Liste eine Sprache aus. Das Fenster "Prüfung der Produktlizenz" wird angezeigt. 3. Klicken Sie auf OK. 4. Wählen Sie entsprechend Ihrer Lizenz eine Produktpaketversion aus und klicken Sie auf Weiter. v IBM Security Access Manager for Enterprise Single Sign-On Standard Dieses Paket bietet einmalige Anmeldung, strikte Authentifizierung, Sitzungsmanagement, zentrale Protokollierung und Berichterstellung. v IBM Security Access Manager for Enterprise Single Sign-On Suite 136 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Dieses Paket bietet neben den Merkmalen des Pakets "Standard" OTP-Unterstützung, AccessAgent-Plug-ins, einmalige Anmeldung im Web und Fernzugriff über Web Workplace, angepasste Überwachungsfunktionen sowie IAM-Integration. 5. Wählen Sie das Produkt aus, für dessen Installation Sie über eine Lizenz verfügen. v IBM Security Access Manager for Enterprise Single Sign-On Standard Dieses Paket bietet strikte Authentifizierung, Sitzungsmanagement, zentrale Protokollierung und Berichterstellung sowie einmalige Anmeldung. v IBM Security Access Manager for Enterprise Single Sign-On Suite Dieses Paket bietet neben den Merkmalen des Pakets "Standard" OTP-Unterstützung, AccessAgent-Plug-ins, einmalige Anmeldung im Web und Fernzugriff über Web Workplace, angepasste Überwachungsfunktionen sowie IAM-Integration. 6. Klicken Sie auf Weiter. 7. Wählen Sie Ich akzeptiere die Bedingungen der Lizenzvereinbarung aus. 8. Klicken Sie auf Weiter. Das Installationsverzeichnis wird angezeigt. v Auf 64-Bit-Plattformen von Windows wird als Standardinstallationsverzeichnis von AccessStudio das Verzeichnis C:\Programme (x86)\IBM\ISAM ESSO\AA\ECSS verwendet. v Auf 32-Bit-Plattformen von Windows wird als Standardinstallationsverzeichnis von AccessStudio das Verzeichnis C:\Programme\IBM\ISAM ESSO\AA\ECSS\AccessStudio verwendet. Anmerkung: Klicken Sie auf Durchsuchen und wählen Sie einen anderen Ordner aus, wenn das Programm an einer anderen Position installiert werden soll. 9. Klicken Sie auf Weiter. AccessStudio wird erfolgreich installiert. 10. Klicken Sie auf Fertigstellen. Ergebnisse Sie haben AccessStudio erfolgreich installiert. Nächste Schritte Stellen Sie sicher, dass Sie AccessStudio starten sowie ein AccessProfile auf dem IMS Server-Host erstellen und implementieren können. Siehe IBM Security Access Manager for Enterprise Single Sign-On AccessStudio Guide. Prüfen Sie die Dateien und Registry-Einträge für AccessStudio. AccessStudio installieren (MSI-Paket) Mit der MSI-Paketdatei können Sie AccessStudio auf festgelegten Client-Computern installieren, um zusätzliche AccessProfiles zu erstellen. Verwenden Sie bei umfangreichen Implementierungen das MSI-Paket für die gleichzeitige Installation von AccessStudio auf mehreren Computern. Dieser Abschnitt enthält Informationen zu den Voraussetzungen und der Prozedur für die Installation von AccessStudio über die MSI-Paketdatei. Kapitel 2. AccessAgent und AccessStudio installieren 137 Vorbereitende Schritte v Nur unter Windows XP: Stellen Sie sicher, dass Microsoft .NET Framework Version 2.0 installiert ist. Rufen Sie zum Herunterladen dieser Software die Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach „.NET Framework 2.0 download”. v „IMS Server für einen Cluster konfigurieren” auf Seite 108. v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. Anmerkung: Informationen zum Anpassen des .msi-Implementierungspakets finden Sie in „Installationspaket für die Installation auf mehreren PCs vorbereiten” auf Seite 120. Vorgehensweise 1. Doppelklicken Sie auf die Datei ISAM ESSO AccessStudio.msi aus dem Installationspaket. Sie werden dazu aufgefordert, zu bestätigen, ob die Datei ausgeführt werden soll. 2. Klicken Sie auf Ausführen. Der Assistent des Installationsprogramms von IBM Security Access Manager for Enterprise Single Sign-On AccessStudio wird gestartet. 3. Wählen Sie Ich akzeptiere die Bedingungen der Lizenzvereinbarung aus. 4. Klicken Sie auf Weiter. AccessStudio wird erfolgreich installiert. 5. Klicken Sie auf Fertigstellen. Ergebnisse Sie haben AccessStudio erfolgreich installiert. Nächste Schritte Stellen Sie sicher, dass Sie AccessStudio starten sowie ein AccessProfile auf dem IMS Server-Host erstellen und implementieren können. Siehe IBM Security Access Manager for Enterprise Single Sign-On AccessStudio Guide. Prüfen Sie die Dateien und Registry-Einträge für AccessStudio. AccessStudio unbeaufsichtigt installieren (Befehlszeile) Verwenden Sie zur Ausführung einer unbeaufsichtigten Installation den Befehl msiexec mit dem Parameter /quiet. Dies bedeutet, dass Sie AccessStudio ohne Interaktion auf einem Computer installieren können. Informationen zu diesem Vorgang Im Befehl msiexec werden Parameter verwendet, um dem MSI-basierten Installationsprogramm einen Teil oder sämtliche Informationen zur Verfügung zu stellen, die normalerweise interaktiv in einem Installationsprogramm angegeben werden. Sie können in der Befehlszeilenschnittstelle Parameter zur Anwendung einer bestimmten Sprachumsetzung angeben. Anmerkung: Rufen Sie die Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach msiexec command-line options, um weitere Informationen zum Befehlszeilentool msiexec zu erhalten. 138 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Vorgehensweise 1. Öffnen Sie die Eingabeaufforderung im Administratormodus. 2. Geben Sie im Fenster mit Eingabeaufforderung den Befehl msiexec mit den folgenden Parametern ein (ohne Zeilenumbrüche). msiexec /i "<pfad>\ISAM ESSO AccessStudio.msi" /quiet TRANSFORMS=<sprachenpaket_für_ sprachenpaket> PRICE_LEVEL=<lizenz_ typ> Dabei gilt Folgendes: /i "<pfad>\ISAM ESSO AccessStudio.msi" Installiert AccessStudio über die angegebene .msi-Datei. Dies ist ein erforderlicher Parameter. /quiet Gibt eine unbeaufsichtigte Installation an. Dies ist ein erforderlicher Parameter. TRANSFORMS="<sprachenpaket_für_installation>" Gibt das Sprachenpaket an, das für die Installation verwendet werden soll. Verwenden Sie TRANSFORMS="1033.mst", um AccessStudio mit dem englischen Sprachenpaket zu installieren. Dies ist ein optionaler Parameter. Wenn Sie den Parameter TRANSFORMS nicht angeben, wird als Standardsprache Englisch (US) verwendet. Informationen zum Anwenden einer anderen Sprachumsetzung (.mst-Datei) für das Paket finden Sie unter „Unterstützung für zusätzliche Sprachen hinzufügen” auf Seite 126. PRICE_LEVEL="<lizenz_typ>" Gibt die lizenzierte Edition von AccessStudio an. Dies ist ein erforderlicher Parameter. Geben Sie zur Installation der Standard Edition "Standard" ein. Geben Sie für die Installation der Edition "Suite" den Wert "Suite" ein. Beispiel: Wenn Sie AccessStudio in Englisch mit der Standardlizenz installieren wollen, dann verwenden Sie den folgenden Befehl: msiexec /i "<pfad>\ISAM ESSO AccessStudio.msi" /quiet TRANSFORMS="1033.mst" PRICE_LEVEL="Standard" Ergebnisse Sie haben AccessStudio unbeaufsichtigt als Hintergrundprozess installiert. Standardmäßig wurde während des Installationsprozesses in der Datei c:\AAInstaller.log eine Protokolldatei erstellt. Kapitel 2. AccessAgent und AccessStudio installieren 139 140 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Kapitel 3. Upgrade durchführen Sie können für IBM Security Access Manager for Enterprise Single Sign-On ein Upgrade von einer früheren Version durchführen. IMS Server - Roadmap zum Upgrade Die Roadmap zum Upgrade für IMS Server enthält die entsprechenden Prozeduren für jedes Upgradeszenario. Wählen Sie die Roadmap aus, die für Ihre IMS ServerImplementierung gilt. Wichtig: Die Bereitstellungs-API funktioniert nach einem Upgrade von IMS Server Version 3.6, 8.0 oder 8.0.1 nicht. Sie müssen den Native Library Invoker-Ressourcenadapter in einer 32-Bit-Umgebung von WebSphere Application Server installieren, die den Bereitstellungs-API-Service ausführt. Siehe „Ressourcenadapter Native Library Invoker installieren” auf Seite 214. Die für die Bereitstellungs-API erforderliche Funktionalität des Native Library Invoker-Ressourcenadapters ist nur in einer 32-Bit-Umgebung von WebSphere Application Server funktionsfähig. Die folgenden Abschnitte enthalten die Roadmaps zum Upgrade von IMS Server: v „Upgrade für durchführen” v „Upgrade für durchführen” v „Upgrade für durchführen” v „Upgrade für durchführen” v „Upgrade für IMS Server 8.0.1 in einer eigenständigen Implementierung auf Seite 148 IMS Server 8.0.1 in einer Netzimplementierung (Cluster) auf Seite 152 IMS Server 8.1 in einer eigenständigen Implementierung auf Seite 145 IMS Server 8.1 in einer Netzimplementierung (Cluster) auf Seite 146 IMS Server 3.6 oder 8.0” auf Seite 156 Upgrade für IMS Server 8.2 in einer eigenständigen Implementierung durchführen Verwenden Sie die Roadmap zum Upgrade für IMS Server, um Unklarheiten bezüglich der Themen und Prozeduren zu vermeiden, die Sie ausführen müssen, um das Upgrade auf ein eigenständiges IMS Server-System der Version 8.2.1 durchzuführen. Prozedur Referenz 1 Stellen Sie Folgendes sicher: IMS Server 8.2 ist installiert und arbeitet ordnungsgemäß. 2 Stoppen Sie die Anwendungen „IMS Server-Anwendungen stoppen und ISAMESSOIMS und ISAMESSOIMSConfig starten” auf Seite 212 in WebSphere Application Server. 141 Prozedur Referenz 3 Deinstallieren Sie die Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig aus der WebSphere Application ServerAdministrationskonsole. Anmerkung: Führen Sie diese Task so aus, dass Sie das WebSphere Application Server-Profil sichern können. „Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig aus WebSphere Application Server deinstallieren” auf Seite 226 4 Stoppen Sie das eigenständige Profil, in dem IMS Server installiert ist. „WebSphere Application Server unter Windows stoppen” auf Seite 210 5 Stoppen Sie IBM HTTP Server. „IBM HTTP Server unter Windows stoppen und starten” auf Seite 206 6 Installieren Sie die Fixpacks für Webv „WebSphere Application Server Version Sphere Application Server, IBM HTTP Ser7.0-Fixpacks installieren” auf Seite 28 ver, die IBM HTTP Server-Plug-ins und v „WebSphere Application Server Version Java SDK. 8.5 installieren” auf Seite 24 Anmerkung: Verwenden Sie für Webv „IBM HTTP Server Version 8.5 Sphere Application Server Version 7.0 installieren” auf Seite 30 Fixpack 29 oder höher. Für WebSphere Application Server Version 8.5 verwenden Sie nur Fixpack 2. 7 Führen Sie die folgenden Sicherungen durch: v Sichern Sie Ihr WebSphere Application Server-Profil mit dem Befehl manageprofiles. v „WebSphere Application Server-Profile sichern (Befehl manageprofiles)” auf Seite 201 v „Datenbank in DB2 9.7 sichern” auf Seite 202 v Sichern Sie die IMS Server-Datenbank. Anmerkung: Informationen zum Sichern anderer unterstützter Datenbanken finden Sie in der zugehörigen Dokumentation. v „Datenbank in DB2 10.1 sichern” auf Seite 203 8 Starten Sie das eigenständige Profil von WebSphere Application Server. „WebSphere Application Server unter Windows starten” auf Seite 208 9 Installieren und implementieren Sie die IMS Server-Anwendungen in WebSphere Application Server. „IMS Server für ein Upgrade mit dem Installationsprogramm installieren” auf Seite 156 10 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server. „Implementierung von IMS Server in WebSphere Application Server überprüfen” auf Seite 44 11 Installieren Sie das neueste IMS ServerFixpack. Anmerkung: Laden Sie die neuesten Programmkorrekturen und Updates für IMS Server von Fix Central herunter. Readme-Datei zum IMS Server-Fixpack, die im Fixpackpaket enthalten ist. 12 Führen Sie für die Einstellungen von IMS Server ein Upgrade durch. „Upgrade für Konfigurationen von Version 8.1 oder 8.2 auf Version 8.2.1 durchführen” auf Seite 160 13 Starten Sie WebSphere Application Server erneut. „WebSphere Application Server unter Windows stoppen” auf Seite 210 „WebSphere Application Server unter Windows starten” auf Seite 208 142 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Prozedur Referenz 14 Aktualisieren Sie die Modulzuordnung für „Modulzuordnung für ISAMESSOIMS für ISAMESSOIMS, um die Weiterleitung von Verbindungsanforderungen weiterzuleiten. Verbindungsanforderungen aktualisieren” auf Seite 83 15 Führen Sie einen Neustart der Anwendung ISAMESSOIMS durch. „IMS Server-Anwendungen stoppen und starten” auf Seite 212 16 Prüfen Sie, ob das Upgrade erfolgreich verlief. „Erfolgreiche Durchführung eines Upgrades prüfen” auf Seite 164 Informationen zum Durchführen eines Upgrades für die AccessAgent-Clients auf Version 8.2.1 finden Sie unter „Upgrade für AccessAgent” auf Seite 163. Informationen zum Durchführen eines Upgrades für die AccessStudio-Clients auf Version 8.2.1 finden Sie unter „Upgrade für AccessStudio durchführen” auf Seite 163. Upgrade für IMS Server 8.2 in einer Netzimplementierung (Cluster) durchführen Nutzen Sie die Roadmap zum Upgrade von IMS Server, um die Tasks zu ermitteln, die zur Durchführung eines Upgrades auf eine Clusterumgebung von IMS Server Version 8.2.1 erforderlich sind. Prozedur Referenz 1 Stellen Sie Folgendes sicher: IMS Server 8.2 ist installiert und arbeitet ordnungsgemäß. 2 Stoppen Sie die Anwendungen „IMS Server-Anwendungen stoppen und ISAMESSOIMS und ISAMESSOIMSConfig starten” auf Seite 212 in WebSphere Application Server. 3 Deinstallieren Sie die Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig aus der WebSphere Application ServerAdministrationskonsole. Anmerkung: Führen Sie diese Task so aus, dass Sie das WebSphere Application Server-Profil sichern können. „Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig aus WebSphere Application Server deinstallieren” auf Seite 226 4 Stoppen Sie die angepassten Knoten und den Deployment Manager. „WebSphere Application Server unter Windows stoppen” auf Seite 210 5 Stoppen Sie IBM HTTP Server. „IBM HTTP Server unter Windows stoppen und starten” auf Seite 206 6 Installieren Sie die Fixpacks für Webv „WebSphere Application Server Version Sphere Application Server, IBM HTTP Ser7.0-Fixpacks installieren” auf Seite 28 ver, die IBM HTTP Server-Plug-ins und v „WebSphere Application Server Version Java SDK. 8.5 installieren” auf Seite 24 Anmerkung: Verwenden Sie für Webv „IBM HTTP Server Version 8.5 Sphere Application Server Version 7.0 installieren” auf Seite 30 Fixpack 29 oder höher. Für WebSphere Application Server Version 8.5 verwenden Sie nur Fixpack 2. Kapitel 3. Upgrade durchführen 143 Prozedur 7 Referenz Sichern Sie IMS Server und die zugehörige v „WebSphere Application Server-Profile Datenbank: sichern (Befehl manageprofiles)” auf v Sichern Sie Ihr Deployment ManagerSeite 201 Profil von WebSphere Application Serv „Datenbank in DB2 9.7 sichern” auf Seiver mit dem Befehl manageprofiles. te 202 v Sichern Sie die IMS Server-Datenbank. Anmerkung: Informationen zum Sichern anderer unterstützter Datenbanken finden Sie in der zugehörigen Dokumentation. v „Datenbank in DB2 10.1 sichern” auf Seite 203 8 Starten Sie den Deployment Manager von WebSphere Application Server. „WebSphere Application Server unter Windows starten” auf Seite 208 9 Konfigurieren Sie die Größe des Java„Größe des Heapspeichers für den Heapspeichers für den Deployment Mana- Deployment Manager konfigurieren” auf ger. Seite 100 10 Installieren Sie IMS Server im Deployment „IMS Server für ein Upgrade mit dem Manager. Installationsprogramm installieren” auf Seite 156 11 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server. „Implementierung von IMS Server in WebSphere Application Server überprüfen” auf Seite 44 12 Stellen Sie sicher, dass die Knotenagenten gestoppt sind. „WebSphere Application Server unter Windows stoppen” auf Seite 210 13 Installieren Sie das neueste IMS ServerFixpack. Anmerkung: Laden Sie die neuesten Programmkorrekturen und Updates für IMS Server von Fix Central herunter. Readme-Datei zum IMS Server-Fixpack, die im Fixpackpaket enthalten ist. 14 Führen Sie für die Einstellungen von IMS Server ein Upgrade durch. „Upgrade für Konfigurationen von Version 8.1 oder 8.2 auf Version 8.2.1 durchführen” auf Seite 160 15 Starten Sie den Deployment Manager erneut. „WebSphere Application Server unter Windows stoppen” auf Seite 210 „WebSphere Application Server unter Windows starten” auf Seite 208 16 Aktualisieren Sie die Modulzuordnung für „Modulzuordnung für ISAMESSOIMS für ISAMESSOIMS, um die Weiterleitung von Verbindungsanforderungen weiterzuleiten. Verbindungsanforderungen aktualisieren” auf Seite 83 144 17 Setzen Sie das Sitzungsmanagement für die Anwendung ISAMESSOIMS außer Kraft. „Sitzungsmanagement für ISAMESSOIMS außer Kraft setzen” auf Seite 115 18 Starten Sie die Knoten. „WebSphere Application Server unter Windows starten” auf Seite 208 19 Synchronisieren Sie die Knoten. „Knoten resynchronisieren” auf Seite 217 20 Starten Sie den Cluster. „WebSphere Application Server unter Windows starten” auf Seite 208 21 Prüfen Sie, ob das Upgrade erfolgreich verlief. „Erfolgreiche Durchführung eines Upgrades prüfen” auf Seite 164 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Upgrade für IMS Server 8.1 in einer eigenständigen Implementierung durchführen Verwenden Sie die Roadmap zum Upgrade für IMS Server, um Unklarheiten bezüglich der Themen und Prozeduren zu vermeiden, die Sie ausführen müssen, um das Upgrade auf ein eigenständiges IMS Server-System der Version 8.2.1 durchzuführen. Prozedur Referenz 1 Stellen Sie Folgendes sicher: IMS Server 8.1 ist installiert und funktioniert. 2 Stoppen Sie die Anwendung TAM E-SSO „IMS Server-Anwendungen stoppen und IMS Server in WebSphere Application Ser- starten” auf Seite 212 ver. 3 Deinstallieren Sie die Anwendung TAM E-SSO IMS Server in der WebSphere Application ServerAdministrationskonsole. Anmerkung: Führen Sie diese Task so aus, dass Sie das WebSphere Application Server-Profil sichern können. „Anwendung TAM E-SSO IMS in WebSphere Application Server deinstallieren” auf Seite 226 4 Stoppen Sie das eigenständige Profil, in dem IMS Server installiert ist. „WebSphere Application Server unter Windows stoppen” auf Seite 210 5 Stoppen Sie IBM HTTP Server. „IBM HTTP Server unter Windows stoppen und starten” auf Seite 206 6 Installieren Sie die Fixpacks für Webv „WebSphere Application Server Version Sphere Application Server, IBM HTTP Ser7.0-Fixpacks installieren” auf Seite 28 ver, die IBM HTTP Server-Plug-ins und v „WebSphere Application Server Version Java SDK. 8.5 installieren” auf Seite 24 Anmerkung: Verwenden Sie für Webv „IBM HTTP Server Version 8.5 Sphere Application Server Version 7.0 installieren” auf Seite 30 Fixpack 29 oder höher. Für WebSphere Application Server Version 8.5 verwenden Sie nur Fixpack 2. 7 Führen Sie die folgenden Sicherungen durch: v Sichern Sie Ihr WebSphere Application Server-Profil mit dem Befehl manageprofiles. v „WebSphere Application Server-Profile sichern (Befehl manageprofiles)” auf Seite 201 v „Datenbank in DB2 9.7 sichern” auf Seite 202 v Sichern Sie die IMS Server-Datenbank. Anmerkung: Informationen zum Sichern anderer unterstützter Datenbanken finden Sie in der zugehörigen Dokumentation. 8 Starten Sie das eigenständige Profil von WebSphere Application Server. „WebSphere Application Server unter Windows starten” auf Seite 208 9 Installieren und implementieren Sie die IMS Server-Anwendungen in WebSphere Application Server. „IMS Server für ein Upgrade mit dem Installationsprogramm installieren” auf Seite 156 10 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server. „Implementierung von IMS Server in WebSphere Application Server überprüfen” auf Seite 44 Kapitel 3. Upgrade durchführen 145 Prozedur Referenz 11 Installieren Sie das neueste IMS ServerFixpack. Anmerkung: Laden Sie die neuesten Programmkorrekturen und Updates für IMS Server von Fix Central herunter. Readme-Datei zum IMS Server-Fixpack, die im Fixpackpaket enthalten ist. 12 Führen Sie für die Einstellungen von IMS Server ein Upgrade durch. „Upgrade für Konfigurationen von Version 8.1 oder 8.2 auf Version 8.2.1 durchführen” auf Seite 160 13 Starten Sie WebSphere Application Server erneut. „WebSphere Application Server unter Windows stoppen” auf Seite 210 „WebSphere Application Server unter Windows starten” auf Seite 208 14 Aktualisieren Sie die Modulzuordnung für „Modulzuordnung für ISAMESSOIMS für ISAMESSOIMS, um die Weiterleitung von Verbindungsanforderungen weiterzuleiten. Verbindungsanforderungen aktualisieren” auf Seite 83 15 Führen Sie einen Neustart der Anwendung ISAMESSOIMS durch. „IMS Server-Anwendungen stoppen und starten” auf Seite 212 16 Prüfen Sie, ob das Upgrade erfolgreich verlief. „Erfolgreiche Durchführung eines Upgrades prüfen” auf Seite 164 Informationen zum Durchführen eines Upgrades für die AccessAgent-Clients auf Version 8.2.1 finden Sie unter „Upgrade für AccessAgent” auf Seite 163. Informationen zum Durchführen eines Upgrades für die AccessStudio-Clients auf Version 8.2.1 finden Sie unter „Upgrade für AccessStudio durchführen” auf Seite 163. Upgrade für IMS Server 8.1 in einer Netzimplementierung (Cluster) durchführen Nutzen Sie die Roadmap zum Upgrade von IMS Server, um die Tasks zu ermitteln, die zur Durchführung eines Upgrades auf eine Clusterumgebung von IMS Server Version 8.2.1 erforderlich sind. Prozedur 146 Referenz 1 Stellen Sie Folgendes sicher: IMS Server 8.1 ist installiert und funktioniert. 2 Stoppen Sie die Anwendung TAM E-SSO „IMS Server-Anwendungen stoppen und IMS Server in WebSphere Application Ser- starten” auf Seite 212 ver. 3 Deinstallieren Sie die Anwendung TAM E-SSO IMS Server in der WebSphere Application ServerAdministrationskonsole. Anmerkung: Führen Sie diese Task so aus, dass Sie das WebSphere Application Server-Profil sichern können. „Anwendung TAM E-SSO IMS in WebSphere Application Server deinstallieren” auf Seite 226 4 Stoppen Sie die angepassten Knoten und den Deployment Manager. „WebSphere Application Server unter Windows stoppen” auf Seite 210 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Prozedur Referenz 5 Stoppen Sie IBM HTTP Server. „IBM HTTP Server unter Windows stoppen und starten” auf Seite 206 6 Installieren Sie die Fixpacks für Webv „WebSphere Application Server Version Sphere Application Server, IBM HTTP Ser7.0-Fixpacks installieren” auf Seite 28 ver, die IBM HTTP Server-Plug-ins und v „WebSphere Application Server Version Java SDK. 8.5 installieren” auf Seite 24 Anmerkung: Verwenden Sie für Webv „IBM HTTP Server Version 8.5 Sphere Application Server Version 7.0 installieren” auf Seite 30 Fixpack 29 oder höher. Für WebSphere Application Server Version 8.5 verwenden Sie nur Fixpack 2. 7 Sichern Sie IMS Server und die zugehörige „WebSphere Application Server-Profile sichern (Befehl manageprofiles)” auf Seite Datenbank: 201 v Sichern Sie Ihr Deployment ManagerProfil von WebSphere Application Server mit dem Befehl manageprofiles. v Sichern Sie die IMS Server-Datenbank. Anmerkung: Informationen zum Sichern anderer unterstützter Datenbanken finden Sie in der zugehörigen Dokumentation. „Datenbank in DB2 9.7 sichern” auf Seite 202 8 Starten Sie den Deployment Manager von WebSphere Application Server. 9 „Größe des Heapspeichers für den Konfigurieren Sie die Größe des JavaHeapspeichers für den Deployment Mana- Deployment Manager konfigurieren” auf Seite 100 ger. „WebSphere Application Server unter Windows starten” auf Seite 208 10 Installieren Sie IMS Server im Deployment „IMS Server für ein Upgrade mit dem Manager. Installationsprogramm installieren” auf Seite 156 11 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server. „Implementierung von IMS Server in WebSphere Application Server überprüfen” auf Seite 44 12 Stellen Sie sicher, dass die Knotenagenten gestoppt sind. „WebSphere Application Server unter Windows stoppen” auf Seite 210 13 Installieren Sie das neueste IMS ServerFixpack. Anmerkung: Laden Sie die neuesten Programmkorrekturen und Updates für IMS Server von Fix Central herunter. Readme-Datei zum IMS Server-Fixpack, die im Fixpackpaket enthalten ist. 14 Führen Sie für die Einstellungen von IMS Server ein Upgrade durch. „Upgrade für Konfigurationen von Version 8.1 oder 8.2 auf Version 8.2.1 durchführen” auf Seite 160 15 Starten Sie den Deployment Manager erneut. „WebSphere Application Server unter Windows stoppen” auf Seite 210 „WebSphere Application Server unter Windows starten” auf Seite 208 16 Aktualisieren Sie die Modulzuordnung für „Modulzuordnung für ISAMESSOIMS für ISAMESSOIMS, um die Weiterleitung von Verbindungsanforderungen weiterzuleiten. Verbindungsanforderungen aktualisieren” auf Seite 83 17 Setzen Sie das Sitzungsmanagement für die Anwendung ISAMESSOIMS außer Kraft. „Sitzungsmanagement für ISAMESSOIMS außer Kraft setzen” auf Seite 115 Kapitel 3. Upgrade durchführen 147 Prozedur Referenz 18 Starten Sie die Knoten. „WebSphere Application Server unter Windows starten” auf Seite 208 19 Synchronisieren Sie die Knoten. „Knoten resynchronisieren” auf Seite 217 20 Starten Sie den Cluster. „WebSphere Application Server unter Windows starten” auf Seite 208 21 Prüfen Sie, ob das Upgrade erfolgreich verlief. „Erfolgreiche Durchführung eines Upgrades prüfen” auf Seite 164 Upgrade für IMS Server 8.0.1 in einer eigenständigen Implementierung durchführen Zu Upgrades für einen eigenständigen IMS Server Version 8.0.1 auf IMS Server Version 8.2.1 gehören die Installation und Konfiguration weiterer Middleware. Verwenden Sie die Roadmap zum Upgrade für IMS Server, um Unklarheiten bezüglich der Themen und Prozeduren zu vermeiden, die Sie ausführen müssen, um das Upgrade auf Version 8.2.1 durchzuführen. Prozedur 1 Stellen Sie Folgendes sicher: IMS Server 8.0.1 ist installiert und funktioniert. 2 Vorbereitungen für das Upgrade: Referenz 1. Stoppen Sie IMS Server 8.0.1. 2. Setzen Sie in der Managementkonsole für Windows-Dienste für IMS Server 8.0.1 den Starttyp des WindowsServerdiensts auf Manuell. 3 Sichern Sie IMS Server und die zugehörige „Datenbank in DB2 9.7 sichern” auf Seite 202 Datenbank. v Sichern Sie Ihren Installationsordner für IMS Server 8.0.1. v Sichern Sie die IMS Server-Datenbank. Anmerkung: Informationen zum Sichern anderer unterstützter Datenbanken finden Sie in der zugehörigen Dokumentation. 148 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Prozedur 4 Referenz Informationen zu den unterstützten Versionen von WebSphere Application Server: v Für WebSphere Application Server Versi- Abschnitt „Hardware and software requirements” im Dokument IBM Security on 7.0: Access Manager for Enterprise Single Sign– Installieren Sie WebSphere On Planning and Deployment Guide. Application Server. Bereiten Sie WebSphere Application Server vor: – Installieren Sie WebSphere Update Installer. Beispielanweisungen finden Sie in den folgenden Abschnitten: – Installieren Sie das WebSphere Application Server-Fixpack. v „WebSphere Application Server Version 7.0 installieren” auf Seite 26 – Installieren Sie das SoftwareDevelopment-Kit von WebSphere Application Server. v „WebSphere Update Installer installieren” auf Seite 27 Anmerkung: Verwenden Sie WebSphere Application Server Version 7.0 Fixpack 29 oder höher. v „WebSphere Application Server Version 7.0-Fixpacks installieren” auf Seite 28 v „IBM Installation Manager installieren” auf Seite 23 v Für WebSphere Application Server Versi- v „WebSphere Application Server Version 8.5 installieren” auf Seite 24 on 8.5: – Installieren Sie IBM Installation Manager. – Installieren Sie WebSphere Application Server. Anmerkung: Stellen Sie sicher, dass Sie WebSphere Application Server Version 8.5 Fixpack 2 verwenden. WebSphere Application Server Version 7.0-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/index.jsp WebSphere Application Server Version 8.5-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v8r5/index.jsp Wichtig: Dieses Handbuch enthält Anweisungen zur Vorbereitung von WebSphere Application Server für IMS Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für WebSphere Application Server. Kapitel 3. Upgrade durchführen 149 5 Prozedur Referenz Bereiten Sie IBM HTTP Server vor: Informationen zu den unterstützten Versionen von IBM HTTP Server: Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. v Installieren Sie IBM HTTP Server. v Installieren Sie das IBM HTTP ServerFixpack unter Verwendung von WebSphere Update Installer. (Gilt nur für IBM HTTP Server Version 7.0.) v Installieren Sie das IBM HTTP ServerPlug-in und das Software-DevelopmentKit. Beispielanweisungen finden Sie in den folgenden Abschnitten: v „IBM HTTP Server Version 7.0 installieren” auf Seite 32 v „IBM HTTP Server Version 7.0-Fixpacks installieren” auf Seite 34 v „IBM HTTP Server Version 8.5 installieren” auf Seite 30 IBM HTTP Server Version 7.0-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/ index.jsp?topic=/ com.ibm.websphere.ihs.doc/info/ihs/ ihs/tihs_installihs.html IBM HTTP Server Version 8.5-Dokumentation v http://pic.dhe.ibm.com/infocenter/ wasinfo/v8r5/topic/ com.ibm.websphere.ihs.doc/ihs/ tihs_installihs.html Wichtig: Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM HTTP Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für IBM HTTP Server. 6 150 Erstellen Sie ein eigenständiges WebSphere „Eigenständige Profile (Profile Management Tool) erstellen” auf Seite 62 Application Server-Profil. Anmerkung: Stellen Sie sicher, dass das eigenständige WebSphere Application Server-Profil gestartet ist. IBM® Security Access Manager for Enterprise Single Sign-On: Installation 7 Prozedur Referenz Konfigurieren Sie WebSphere Application Server. Beispielanweisungen finden Sie in den folgenden Abschnitten: v Konfigurieren Sie die Größe des JavaHeapspeichers. v „Größe des Heapspeichers für den Anwendungsserver konfigurieren” auf Seite 65 v Prüfen Sie den Windows-Dienst. v „Windows-Dienst für WebSphere Application Server prüfen” auf Seite 66 WebSphere Application Server Version 7.0-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/index.jsp WebSphere Application Server Version 8.5-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v8r5/index.jsp 8 Beispielanweisungen finden Sie in den Konfigurieren Sie IBM HTTP Server: v Konfigurieren Sie das IBM HTTP Server- folgenden Abschnitten: v „IBM HTTP Server-Plug-in konfiguriePlug-in und schützen Sie die Verbinren (eigenständig)” auf Seite 71 dung. v Aktivieren Sie SSL-Direktiven für IBM HTTP Server. v „SSL-Direktiven in IBM HTTP Server aktivieren” auf Seite 74 IBM HTTP Server Version 7.0-Dokumentation v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/ index.jsp?topic=/ com.ibm.websphere.ihs.doc/info/ihs/ ihs/tihs_installihs.html IBM HTTP Server Version 8.5-Dokumentation v http://pic.dhe.ibm.com/infocenter/ wasinfo/v8r5/topic/ com.ibm.websphere.ihs.doc/ihs/ tihs_installihs.html Wichtig: Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM HTTP Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für IBM HTTP Server. 9 Installieren Sie IMS Server in WebSphere Application Server. „IMS Server für ein Upgrade mit dem Installationsprogramm installieren” auf Seite 156 10 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server. „Implementierung von IMS Server in WebSphere Application Server überprüfen” auf Seite 44 11 Führen Sie für die Einstellungen von IMS Server ein Upgrade durch. „Upgrade für Konfigurationen von Version 8.0.1 auf Version 8.2.1 durchführen” auf Seite 161 Kapitel 3. Upgrade durchführen 151 Prozedur 12 Starten Sie WebSphere Application Server erneut. Referenz „WebSphere Application Server unter Windows stoppen” auf Seite 210 „WebSphere Application Server unter Windows starten” auf Seite 208 13 Aktualisieren Sie die Modulzuordnung für ISAMESSOIMS, um Verbindungsanforderungen weiterzuleiten. „Modulzuordnung für ISAMESSOIMS für die Weiterleitung von Verbindungsanforderungen aktualisieren” auf Seite 83 14 Konfigurieren Sie IBM HTTP Server so, „SSL-Zertifikat nach einem Upgrade dass die alten SSL-Zertifikate von IMS Ser- konfigurieren” auf Seite 162 ver verwendet werden. 15 Starten Sie WebSphere Application Server erneut. Beispielschritte sind in folgenden Abschnitten enthalten: v „WebSphere Application Server unter Windows starten” auf Seite 208 v „WebSphere Application Server unter Windows stoppen” auf Seite 210 16 Prüfen Sie, ob das Upgrade erfolgreich ver- „Erfolgreiche Durchführung eines lief. Upgrades prüfen” auf Seite 164 Informationen zum Durchführen eines Upgrades für die AccessAgent-Clients auf Version 8.2.1 finden Sie unter „Upgrade für AccessAgent” auf Seite 163. Informationen zum Durchführen eines Upgrades für die AccessStudio-Clients auf Version 8.2.1 finden Sie unter „Upgrade für AccessStudio durchführen” auf Seite 163. Upgrade für IMS Server 8.0.1 in einer Netzimplementierung (Cluster) durchführen Zu Upgrades für einen IMS Server-Cluster der Version 8.0.1 auf IMS Server Version 8.2 gehören die Installation und Konfiguration weiterer Middleware. Verwenden Sie die Roadmap zum Upgrade für IMS Server, um Unklarheiten bezüglich der Themen und Prozeduren zu vermeiden, die Sie ausführen müssen, um das Upgrade auf Version 8.2.1 durchzuführen. Prozedur 1 Stellen Sie Folgendes sicher: IMS Server 8.0.1 ist installiert und funktioniert. 2 Vorbereitungen für das Upgrade: 1. Stoppen Sie IMS Server 8.0.1. 2. Setzen Sie in der Managementkonsole für Windows-Dienste für IMS Server 8.0.1 den Starttyp des WindowsServerdiensts auf Manuell. 152 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Referenz Prozedur 3 Referenz Sichern Sie IMS Server und die zugehörige „Datenbank in DB2 9.7 sichern” auf Seite 202 Datenbank. v Sichern Sie Ihren Installationsordner für IMS Server 8.0.1. v Sichern Sie die IMS Server-Datenbank. Anmerkung: Informationen zum Sichern anderer unterstützter Datenbanken finden Sie in der zugehörigen Dokumentation. 4 Bereiten Sie WebSphere Application Server Informationen zu den unterstützten Versivor: onen von WebSphere Application Server: v Für WebSphere Application Server Ver- Abschnitt „Hardware and software requirements” im Dokument IBM Security sion 7.0: Access Manager for Enterprise Single Sign– Installieren Sie WebSphere On Planning and Deployment Guide. Application Server. – Installieren Sie WebSphere Update Installer. Beispielanweisungen finden Sie in den folgenden Abschnitten: – Installieren Sie das WebSphere Application Server-Fixpack. v „WebSphere Application Server Version 7.0 installieren” auf Seite 26 – Installieren Sie das SoftwareDevelopment-Kit von WebSphere Application Server. v „WebSphere Update Installer installieren” auf Seite 27 v „WebSphere Application Server Version 7.0-Fixpacks installieren” auf Seite 28 Anmerkung: Verwenden Sie WebSphere Application Server Version 7.0 Fixpack 29 oder höher. v „IBM Installation Manager installieren” auf Seite 23 v Für WebSphere Application Server Version 8.5: v „WebSphere Application Server Version 8.5 installieren” auf Seite 24 – Installieren Sie IBM Installation Manager. – Installieren Sie WebSphere Application Server. Anmerkung: Stellen Sie sicher, dass Sie WebSphere Application Server Version 8.5 Fixpack 2 verwenden. Dokumentation für WebSphere Application Server: v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/index.jsp Wichtig: Dieses Handbuch enthält Anweisungen zur Vorbereitung von WebSphere Application Server für IMS Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für WebSphere Application Server. Kapitel 3. Upgrade durchführen 153 5 Prozedur Referenz Bereiten Sie IBM HTTP Server vor: Informationen zu den unterstützten Versionen von IBM HTTP Server: Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. v Installieren Sie IBM HTTP Server. v Installieren Sie das IBM HTTP ServerFixpack unter Verwendung von WebSphere Update Installer. (Gilt nur für IBM HTTP Server Version 7.0.) Beispielanweisungen finden Sie in den folv Installieren Sie das IBM HTTP ServerPlug-in und das Software-Development- genden Abschnitten: Kit. v „IBM HTTP Server Version 7.0 installieren” auf Seite 32 v „IBM HTTP Server Version 7.0-Fixpacks installieren” auf Seite 34 v „IBM HTTP Server Version 8.5 installieren” auf Seite 30 Dokumentation für IBM HTTP Server: v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/ index.jsp?topic=/ com.ibm.websphere.ihs.doc/info/ihs/ ihs/tihs_installihs.html Wichtig: Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM HTTP Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für IBM HTTP Server. 6 1. Erstellen Sie das Deployment Manager- „Netzimplementierungsprofile erstellen Profil von WebSphere Application Ser- (Profile Management Tool)” auf Seite 89 ver. „WebSphere Application Server unter 2. Starten Sie den Deployment Manager Windows starten” auf Seite 208 von WebSphere Application Server. 3. Erstellen Sie angepasste Knotenprofile. 7 Konfigurieren Sie WebSphere Application Server für einen Cluster. „Cluster definieren” auf Seite 99 8 Konfigurieren Sie WebSphere Application Server: Beispielanweisungen finden Sie in den folgenden Abschnitten: v „Größe des Heapspeichers für den v Konfigurieren Sie die Größe des JavaDeployment Manager konfigurieren” Heapspeichers für den Deployment Maauf Seite 100 nager. v „Größe des Heapspeichers für den v Konfigurieren Sie die Größe des JavaAnwendungsserver konfigurieren” auf Heapspeichers für WebSphere Seite 65 Application Server. Wiederholen Sie diese Task für jeden Server. v „SSL-Zertifikat des Verzeichnisservers zu WebSphere Application Server v Fügen Sie für SSLhinzufügen” auf Seite 224 Verzeichnisserververbindungen das SSLZertifikat zu WebSphere Application Dokumentation für WebSphere Server hinzu. Application Server: v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/index.jsp 154 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Prozedur 9 Referenz Beispielanweisungen finden Sie in den folgenden Abschnitten: v Konfigurieren Sie das IBM HTTP Server-Plug-in und schützen Sie die Verbin- v „SSL-Direktiven in IBM HTTP Server aktivieren” auf Seite 74 dung. Konfigurieren Sie IBM HTTP Server: v Aktivieren Sie SSL-Direktiven für IBM HTTP Server. Anmerkung: Wiederholen Sie diese Task für jeden Web-Server. v „IBM HTTP Server-Plug-in konfigurieren (Netzimplementierung)” auf Seite 103 Dokumentation für IBM HTTP Server: v http://publib.boulder.ibm.com/ infocenter/wasinfo/v7r0/ index.jsp?topic=/ com.ibm.websphere.ihs.doc/info/ihs/ ihs/tihs_installihs.html 10 Installieren Sie IMS Server im Deployment „IMS Server für ein Upgrade mit dem Manager. Installationsprogramm installieren” auf Seite 156 11 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server. „Implementierung von IMS Server in WebSphere Application Server überprüfen” auf Seite 44 12 Stellen Sie sicher, dass die Knotenagenten gestoppt sind. „WebSphere Application Server unter Windows stoppen” auf Seite 210 13 Führen Sie für die Einstellungen von IMS Server ein Upgrade durch. „Upgrade für Konfigurationen von Version 8.0.1 auf Version 8.2.1 durchführen” auf Seite 161 14 Starten Sie den Deployment Manager erneut. „WebSphere Application Server unter Windows stoppen” auf Seite 210 „WebSphere Application Server unter Windows starten” auf Seite 208 15 Aktualisieren Sie die Modulzuordnung für „Modulzuordnung für ISAMESSOIMS für die Weiterleitung von ISAMESSOIMS, um Verbindungsanforderungen weiterzuleiten. Verbindungsanforderungen aktualisieren” auf Seite 83 16 Setzen Sie das Sitzungsmanagement für die Anwendung ISAMESSOIMS außer Kraft. „Sitzungsmanagement für ISAMESSOIMS außer Kraft setzen” auf Seite 115 17 Konfigurieren Sie IBM HTTP Server so, „SSL-Zertifikat nach einem Upgrade dass die alten SSL-Zertifikate von IMS Ser- konfigurieren” auf Seite 162 ver verwendet werden. 18 Starten Sie WebSphere Application Server erneut: Beispielschritte sind in folgenden Abschnitten enthalten: 1. Starten Sie den Deployment Manager erneut. v „WebSphere Application Server unter Windows stoppen” auf Seite 210 2. Starten Sie die Knoten. v „WebSphere Application Server unter Windows starten” auf Seite 208 3. Resynchronisieren Sie die Knoten vollständig. 4. Starten Sie den Cluster. 19 Prüfen Sie, ob das Upgrade erfolgreich verlief. v „Knoten resynchronisieren” auf Seite 217 „Erfolgreiche Durchführung eines Upgrades prüfen” auf Seite 164 Kapitel 3. Upgrade durchführen 155 Upgrade für IMS Server 3.6 oder 8.0 Sie können für IMS Server Version 3.6 oder 8.0 ein Upgrade auf IMS Server Version 8.2.1 durchführen. Zu dieser Task Wenn Sie ein Upgrade von IMS Server Version 3.6 oder Version 8.0 durchgeführt haben, erhalten Sie von IBM Services Informationen zu einem Upgrade auf Version 8.2.1. Prozedur 1. Upgrade von IMS Server 3.6 oder 8.0 auf 8.2. Informationen zu diesen Thema finden Sie im Handbuch IBM Security Access Manager for Enterprise Single Sign-On - Installation in der Produktdokumentation zu IBM Security Access Manager for Enterprise Single Sign-On 8.2. 2. Upgrade von IMS Server 8.2 auf 8.2.1. Siehe „Upgrade für IMS Server 8.2 in einer eigenständigen Implementierung durchführen” auf Seite 141 oder „Upgrade für IMS Server 8.2 in einer Netzimplementierung (Cluster) durchführen” auf Seite 143. Upgrade auf Version 8.2.1 Um ein Upgrade Ihrer aktuellen IBM Security Access Manager for Enterprise Single Sign-On-Version auf Version 8.2.1 durchzuführen, müssen Sie die einzelnen Produktkomponenten aktualisieren. Eine Übersicht und Hinweise für Upgrades auf Version 8.2.1 finden Sie unter "Planning for an upgrade" im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. Führen Sie für die Durchführung eines Upgrades die folgenden Tasks in der angegebenen Reihenfolge aus: 1. Führen Sie ein Upgrade für IMS Server durch. 2. Führen Sie ein Upgrade für die implementierten AccessAgent-Clients durch. 3. Führen Sie ein Upgrade für die implementierten AccessStudio-Clients durch. Die Upgradeprozedur variiert je nach Komponente und Szenario. v Informationen zum IMS Server-Upgrade finden Sie in „IMS Server - Roadmap zum Upgrade” auf Seite 141. v Informationen zum AccessAgent-Upgrade finden Sie unter „Upgrade für AccessAgent” auf Seite 163. v Informationen zum AccessStudio-Upgrade finden Sie unter „Upgrade für AccessStudio durchführen” auf Seite 163. IMS Server für ein Upgrade mit dem Installationsprogramm installieren Führen Sie für IMS Server ein Upgrade durch, implementieren Sie dieses Produkt in WebSphere Application Server und verwenden Sie dazu das Installationsprogramm von IMS Server. 156 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Vorbereitende Schritte v Stoppen Sie IMS Server und sichern Sie anschließend die Datenbank. v Stoppen Sie für IMS Server 8.0.1 den IMS Server-Dienst. v Stoppen Sie für IMS Server 8.1 die Anwendung TAM E-SSO IMS Server. Anmerkung: – Wenn Sie die Anwendung TAM E-SSO IMS Server nicht deinstallieren, entfernt das Installationsprogramm von IMS Server ältere Versionen der Anwendung TAM E-SSO IMS Server und installiert die neue Version von IMS Server. – Deinstallieren Sie die Anwendung TAM E-SSO IMS Server über die WebSphere-Administrationskonsole. Wichtig: Führen Sie nicht das Deinstallationsprogramm von IMS Server aus. v In IMS Server 8.2 müssen Sie die Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig stoppen. v Führen Sie für IMS Server 8.0.1 die Installation der Middleware aus. v Für eigenständige WebSphere Application Server-Implementierungen: – Stellen Sie sicher, dass WebSphere Application Server gestartet ist. – Prüfen Sie die WebSphere Application Server-Konfiguration für eigenständige Implementierungen. – Prüfen Sie die IBM HTTP Server-Konfiguration. v Für WebSphere Application Server Network Deployment: – Stellen Sie sicher, dass das Deployment Manager-Profil gestartet ist. – Prüfen Sie die WebSphere Application Server-Konfiguration auf ein Cluster. – Prüfen Sie die IBM HTTP Server-Konfiguration. v Entnehmen Sie dem Arbeitsblatt für die Planung die erforderlichen Werte für die Ausführung der Installation. Informationen zu diesem Vorgang Beim Installationsprozess von IMS Server werden zwei Anwendungen in WebSphere Application Server implementiert: Anwendungsname EAR-Dateiname Inhalt ISAMESSOIMS com.ibm.tamesso.imsdelhi.deploy.isamessoIms.ear v AccessAdmin v AccessAssistant und Web Workplace v Laufzeit-Web-Service für IMS Server ISAMESSOIMSConfig com.ibm.tamesso.imsdelhi.deploy.isamessoImsConfig.ear v IMS-Konfigurationsassistent v IMS-Konfigurationsdienstprogramm Vorgehensweise 1. Führen Sie die Datei imsinstaller.exe aus. Der Assistent des Installationsprogramms von IMS Server wird gestartet. 2. Wählen Sie aus der Liste eine Sprache aus. 3. Klicken Sie auf OK. Das Fenster Prüfung der Produktlizenz wird angezeigt. Kapitel 3. Upgrade durchführen 157 4. Wählen Sie entsprechend Ihrer Lizenz eine Produktpaketversion aus und klicken Sie auf Weiter. v IBM Security Access Manager for Enterprise Single Sign-On Standard Dieses Paket bietet einmalige Anmeldung, strikte Authentifizierung, Sitzungsmanagement, zentrale Protokollierung und Berichterstellung. v IBM Security Access Manager for Enterprise Single Sign-On Suite Dieses Paket bietet neben den Merkmalen des Pakets "Standard" OTP-Unterstützung, AccessAgent-Plug-ins, einmalige Anmeldung im Web und Fernzugriff über Web Workplace, angepasste Überwachungsfunktionen sowie IAM-Integration. 5. Klicken Sie auf Weiter. Die Softwarelizenzvereinbarung wird angezeigt. 6. Wählen Sie Ich akzeptiere die Bedingungen der Lizenzvereinbarung aus. 7. Klicken Sie auf Weiter. Das Installationsverzeichnis wird angezeigt. 8. Geben Sie ein neues Verzeichnis für die Installation von IMS Server 8.2.1 an. Standardmäßig wird IMS Server im Verzeichnis C:\Programme\IBM\ISAM ESSO\IMS Server installiert. Überschreiben Sie IMS Server 8.2 nicht. 9. Klicken Sie auf Weiter. 10. Wählen Sie Ja aus, damit IMS Server automatisch in WebSphere Application Server implementiert wird. v Klicken Sie für die manuelle Implementierung von WebSphere Application Server auf Nein. Siehe „IMS Server manuell in WebSphere Application Server implementieren” auf Seite 212. 11. Klicken Sie auf Ja, um anzugeben, dass die WebSphere Application ServerSicherheit aktiviert wird, und klicken Sie dann auf Weiter. Wenn Sie auf Nein klicken, müssen Sie den SOAP-Port angeben. Beispiel: v Für den eigenständigen WebSphere Application Server ist der standardmäßige SOAP-Port für den Anwendungsserver Port 8880. v Für WebSphere Application Server Network Deployment ist der standardmäßige SOAP-Port für den Deployment Manager Port 8879. 12. Konfigurieren Sie die Einstellungen der Administrationssicherheit von WebSphere Application Server. Anmerkung: Wenn bidirektionales SSL für WebSphere Application Server aktiviert ist, sind die SSL-Java-Schlüsselspeicherdatei und das zugehörige Kennwort erforderlich. a. Geben Sie den Namen des WebSphere-Benutzers mit Verwaltungsaufgaben und das zugehörige Kennwort an. Beispiel: wasadmin und Kennwort. b. Geben Sie die vertrauenswürdige SSL-Java-Schlüsselspeicherdatei (trust.p12) sowie deren Position an. Beispiel: v Für WebSphere Application Server (eigenständig): <was-ausgangsverzeichnis>\profiles\<anwendungsserver-profilname>\ config\cells\<zellenname>\nodes\<knotenname>\trust.p12 Beispiel: C:\Programme\IBM\WebSphere\AppServer\profiles\AppSrv01\config\ cells\ibmusvr1Node01Cell\nodes\ibmusvr1Node01\trust.p12 v Für WebSphere Application Server Network Deployment: <was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config\ cells\<zellenname>\trust.p12 158 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Beispiel: C:\Programme\IBM\WebSphere\AppServer\Profiles\Dmgr01\config\ cells\ibm-svr1Cell01\trust.p12 c. Geben Sie das Kennwort für den vertrauenswürdigen SSL-Schlüsselspeicher an. Das standardmäßige Kennwort für den vertrauenswürdigen SSL-Schlüsselspeicher lautet WebAS. d. Optional: Geben Sie die SSL-Java-Schlüsselspeicherdatei (key.p12) sowie deren Position an. Beispiel: v Für WebSphere Application Server (eigenständig): <was-ausgangsverzeichnis>\profiles\<anwendungsserver-profilname>\ config\cells\<zellenname>\nodes\<knotenname>\key.p12 Beispiel: C:\Programme\IBM\WebSphere\AppServer\profiles\AppSrv01\config\ cells\ibmusvr1Node01Cell\nodes\ibmusvr1Node01\key.p12 v Für WebSphere Application Server Network Deployment: <was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config\ cells\<zellenname>\key.p12 Beispiel: C:\Programme\IBM\WebSphere\AppServer\Profiles\Dmgr01\config\ cells\ibm-svr1Cell01\key.p12 e. Optional: Wenn Sie die SSL-Java-Schlüsselspeicherdatei angegeben haben, geben Sie das SSL-Java-Schlüsselspeicherkennwort an. Das standardmäßige SSL-Java-Schlüsselspeicherkennwort lautet WebAS. 13. Akzeptieren Sie den standardmäßigen SOAP-Connector-Port von WebSphere Application Server oder geben Sie einen anderen SOAP-Connector-Port an. Anmerkung: Sie definieren den SOAP-Connector-Port, wenn Sie ein WebSphere Application Server-Profil erstellen. Sie können die korrekte Portnummer im folgenden Verzeichnis für jedes Profil ermitteln. Eigenständige Implementierung: <was-ausgangsverzeichnis>/profiles/ <anwendungsserverprofilname>/logs/AboutThisProfile.txt Netzimplementierung: <was-ausgangsverzeichnis>/profiles/<dmgrprofilname>/logs/AboutThisProfile.txt Beispiel: v Für den eigenständigen WebSphere Application Server ist der SOAP-Port für den Anwendungsserver Port 8880. v Für WebSphere Application Server Network Deployment ist der SOAP-Port für den Deployment Manager Port 8879. 14. Klicken Sie auf Weiter. Die Seite Zusammenfassung vor der Installation wird angezeigt. 15. Klicken Sie auf Installieren. 16. Klicken Sie im Fenster Installation abgeschlossen auf Fertig. Kapitel 3. Upgrade durchführen 159 Nächste Schritte Prüfen Sie vor dem Einrichten von IMS Server mit dem IMS-Konfigurationsassistenten die Implementierung von IMS Server in WebSphere Application Server. Siehe „Implementierung von IMS Server in WebSphere Application Server überprüfen” auf Seite 44. Upgrade für Konfigurationen von Version 8.1 oder 8.2 auf Version 8.2.1 durchführen Führen Sie den IMS-Konfigurationsassistenten aus, um für die Einstellungen von IMS Server ein Upgrade durchzuführen. Vorbereitende Schritte v Stellen Sie sicher, dass IMS Server 8.2.1 installiert ist. v Stellen Sie sicher, dass ISAMESSOIMSConfig gestartet ist. v Stellen Sie bei einer eigenständigen Implementierung von WebSphere Application Server sicher, dass die Server gestoppt sind. v Stellen Sie bei einer Netzimplementierung von WebSphere Application Server sicher, dass die Cluster und Knotenagenten gestoppt sind. v Entnehmen Sie der Datei <ims-ausgangsverzeichnis>/ ISAM_ESSO_IMS_Server_InstallLog.log kritische Fehler, die bei der Installation von IMS Server aufgetreten sind. Wenn Fehler aufgetreten sind, müssen Sie diese vor der Konfiguration von IMS Server beheben. Vorgehensweise 1. Öffnen Sie den IMS-Konfigurationsassistenten. Beispiel: https://localhost:9043/front. Die Seite für den Konfigurationsassistenten für Upgrades wird angezeigt. 2. Klicken Sie auf Beginnen. Anmerkung: Wenn es beim bestehenden Repository Probleme gibt, kann dafür kein Upgrade durchgeführt werden. Sie werden zur Seite für die Konfiguration des Unternehmensverzeichnisses weitergeleitet, um alle fehlenden oder falschen Werte zu bearbeiten. Informationen zu den Verzeichnisserverfeldern finden Sie unter „IMS Server zur Verwendung von Verzeichnisservern konfigurieren” auf Seite 191. 3. Überprüfen Sie die Einstellungen in Einstellungen bestätigen. 4. Klicken Sie auf Speichern. Die Seite Einrichtung der Datenquelle, des Zertifikatsspeichers und des Unternehmensverzeichnisses abgeschlossen wird angezeigt. Nächste Schritte Informationen zur Fortsetzung des Upgrades finden Sie in der zutreffenden Roadmap: v „Upgrade für IMS Server 8.1 in einer eigenständigen Implementierung durchführen” auf Seite 145. v „Upgrade für IMS Server 8.1 in einer Netzimplementierung (Cluster) durchführen” auf Seite 146. 160 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Upgrade für Konfigurationen von Version 8.0.1 auf Version 8.2.1 durchführen Führen Sie den IMS-Konfigurationsassistenten aus, um für die Einstellungen von IMS Server ein Upgrade durchzuführen. Vorbereitende Schritte v Stellen Sie sicher, dass IMS Server 8.2.1 installiert ist. v Stellen Sie sicher, dass ISAMESSOIMSConfig gestartet ist. v Stellen Sie bei einer eigenständigen Implementierung von WebSphere Application Server sicher, dass die Server gestoppt sind. v Stellen Sie bei einer Netzimplementierung von WebSphere Application Server sicher, dass die Cluster und Knotenagenten gestoppt sind. v Entnehmen Sie der Datei <ims-ausgangsverzeichnis>/ ISAM_ESSO_IMS_Server_InstallLog.log kritische Fehler, die bei der Installation von IMS Server aufgetreten sind. Wenn Fehler aufgetreten sind, müssen Sie diese vor der Konfiguration von IMS Server beheben. Vorgehensweise 1. Öffnen Sie den IMS-Konfigurationsassistenten. Beispiel: https://localhost:9043/front. Die Seite für den Konfigurationsassistenten für Upgrades wird angezeigt. 2. Öffnen Sie den IMS-Konfigurationsassistenten. Beispiel:https://localhost:9043/front Die Seite für den Konfigurationsassistenten für Upgrades wird angezeigt. 3. Wählen Sie in Servereinrichtung die Option Upgrade von der früheren Version 8.0.1 durchführen aus. 4. Klicken Sie auf Beginnen. 5. In Informationen zur Datenquelle eingeben sind die Konfigurationswerte für die Datenquelle bereits vorab eingegeben. Akzeptieren Sie die Standardwerte, wenn es keine Änderungen gibt. 6. Klicken Sie auf Weiter. 7. Geben Sie auf der Seite Alte Konfiguration den Installationspfad der alten Version von IMS Server an. Beispiel: C:\Encentuate\IMSServer8.0.1.0.10. 8. Klicken Sie auf Weiter. 9. Geben Sie in IMS-Service-URL konfigurieren den vollständig qualifizierten Web-Server-Namen und HTTP-Servernamen mit Portnummer an. Anmerkung: v Der IBM HTTP Server-Name ist der vollständig qualifizierte Name für die Instanz von IBM HTTP Server, die die Schnittstelle zu WebSphere Application Server bildet. v Der IBM HTTP Server-Name muss mit dem Attribut CN des SSL-Zertifikats übereinstimmen, das IBM HTTP Server verwendet. v Üblicherweise wird der Port 443 als Standardportnummer verwendet. 10. Klicken Sie auf Weiter. Anmerkung: Wenn es beim bestehenden Repository Probleme gibt, kann dieses nicht importiert werden. Sie werden zur Seite für die Konfiguration des Unternehmensverzeichnisses weitergeleitet, um alle fehlenden oder falschen Kapitel 3. Upgrade durchführen 161 Werte zu korrigieren. Informationen zu den Verzeichnisserverfeldern finden Sie unter „IMS Server zur Verwendung von Verzeichnisservern konfigurieren” auf Seite 191. 11. Überprüfen Sie die Einstellungen in Einstellungen bestätigen. 12. Klicken Sie auf Speichern. Die Seite Einrichtung der Datenquelle, des Zertifikatsspeichers und des Unternehmensverzeichnisses abgeschlossen wird angezeigt. Nächste Schritte Informationen zur Fortsetzung des Upgrades finden Sie in der zutreffenden Roadmap: v „Upgrade für IMS Server 8.0.1 in einer eigenständigen Implementierung durchführen” auf Seite 148. v „Upgrade für IMS Server 8.0.1 in einer Netzimplementierung (Cluster) durchführen” auf Seite 152. SSL-Zertifikat nach einem Upgrade konfigurieren Legen Sie für IBM HTTP Server fest, dass die alten SSL-Zertifikate von IMS Server verwendet werden. Informationen zu diesem Vorgang Diese Task gilt nur für IMS Server-Upgrades von Version 8.0.1 auf Version 8.2.1. Verwenden Sie das alte SSL-Zertifikat von IMS Server, damit der bestehende AccessAgent weiterhin mit dem IMS Server funktioniert, für den ein Upgrade durchgeführt wurde. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. 2. Melden Sie sich bei IBM Integrated Solutions Console an. 3. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Servers > Server Types > Web servers. 4. Klicken Sie auf <web-server-name>. Beispiel: webserver1. 5. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties. 6. 7. 8. 9. 10. Klicken Sie auf Manage key and certificates. Klicken Sie unter Additional Properties auf Personal Certificates. Wählen Sie das Standardzertifikat (default) aus. Klicken Sie auf Delete. Klicken Sie auf Save. 11. Klicken Sie auf Import. 12. Wählen Sie unter Managed Key Store aus der Liste Key store den Eintrag TAMESSOIMSKeystore aus. 13. Geben Sie changeit als Schlüsselspeicherkennwort an. 14. Kicken Sie auf Get key store alias. 15. Wählen Sie aus der Liste Certificate aliases to import den Eintrag imsscrcert aus. 162 IBM® Security Access Manager for Enterprise Single Sign-On: Installation 16. 17. 18. 19. 20. 21. 22. 23. 24. Geben Sie default in das Feld Imported certificate alias ein. Klicken Sie auf OK. Klicken Sie im Fenster Messages auf Save. Wählen Sie Servers > Server types > Web servers aus. Klicken Sie auf den entsprechenden Eintrag für <web-server-name>. Beispiel: webserver1. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties. Klicken Sie auf Copy to Web server key store directory. Klicken Sie auf Apply. Klicken Sie im Fenster Messages auf Save. 25. Optional: Führen Sie diesen Schritt nur dann aus, wenn für WebSphere Application Server ein nicht standardmäßiger Truststore verwendet wird. Siehe „IMS-Stammzertifizierungsstelle dem Truststore hinzufügen” auf Seite 223. 26. Führen Sie einen Neustart des Web-Servers über IBM Integrated Solutions Console durch. Upgrade für AccessAgent Sie können für AccessAgent 8.x oder 8.x.x ein direktes Upgrade auf Version 8.2.1 durchführen. Während des Upgrades können Sie ein AccessAgent-Installationsprogramm mit der vordefinierten Wallet verwenden. Allerdings ist dabei zu beachten, dass AccessAgent nach dem Upgrade weiterhin die alte Wallet verwendet. Für das Upgrade von AccessAgent auf Version 8.2.1 führen Sie folgende Schritte aus: 1. Stellen Sie sicher, dass AccessAgent 8.x installiert ist und richtig funktioniert. 2. Installieren Sie AccessAgent Version 8.2.1. Siehe „AccessAgent installieren” auf Seite 127. Wenn Sie ein Upgrade durchführen, deinstalliert das Installationsprogramm von AccessAgent 8.2.1 automatisch die bestehende Version von AccessAgent und die neue Version wird im Verzeichnis <%PROGRAMFILES%>\IBM\ISAM ESSO\AA installiert. Wichtig: Upgrades von AccessAgent 8.1 (x86) auf einer 64-Bit-Plattform auf AccessAgent 8.2.1 (x64) werden nicht unterstützt. Für ein Upgrade müssen Sie AccessAgent 8.1 (x86) manuell deinstallieren und danach AccessAgent 8.2.1 (x64) installieren. Anmerkung: Wenn Sie AccessAgent 8.1 (x86) deinstallieren, werden die bestehenden Wallets entfernt. Upgrade für AccessStudio durchführen Bevor Sie AccessStudio aktualisieren, müssen Sie die vorhandene AccessStudio Version 8.0.1, 8.1 oder 8.2 deinstallieren. Für das Upgrade von AccessStudio auf Version 8.2.1 führen Sie folgende Schritte aus: 1. Deinstallieren Sie die vorhandene Version AccessStudio 8.x. 2. Installieren Sie AccessStudio Version 8.2.1. Kapitel 3. Upgrade durchführen 163 Erfolgreiche Durchführung eines Upgrades prüfen Nach dem Durchführen des Upgrades müssen Sie alle Server- und Clientkomponenten prüfen, um sicherzustellen, dass das Upgrade vollständig ist und funktioniert. Vorbereitende Schritte v Starten Sie für eine eigenständige Implementierung WebSphere Application Server. v Starten Sie für eine Netzimplementierung den Deployment Manager von WebSphere Application Server. v Führen Sie ein Upgrade für IMS Server durch. v Führen Sie ein Upgrade für AccessAgent durch. v Führen Sie ein Upgrade für AccessStudio durch. Vorgehensweise 1. Prüfen Sie das Serverupgrade. v Melden Sie sich bei AccessAdmin an. Prüfen Sie die Versionsnummer, die Benutzer und die Einstellungen des Servers, für den das Upgrade durchgeführt wurde. Beispiel: – https://<ihs-host>/admin – https://<host_des_programms_für_den_lastausgleich>/admin 2. Prüfen Sie die Client-Workstations und die Konfiguration, für die das Upgrade durchgeführt wurde. a. Prüfen Sie auf einer Client-Workstation die Version des AccessAgent-Clients. Sie können auch die folgenden gängigen Prüftasks für Clients ausführen: v Benutzer subskribieren v Benutzer anmelden v Benutzer sperren und entsperren b. Stellen Sie sicher, dass Sie eine Verbindung zum Server herstellen können. c. Wenn Sie AccessStudio verwenden, müssen Sie die Version des AccessStudio-Clients prüfen. d. Wenn Sie einen zweiten Authentifizierungsfaktor (z. B. Smartcards oder Fingerabdruckleser) verwenden, müssen Sie sicherstellen, dass die Authentifizierungsgeräte weiterhin funktionieren. e. Stellen Sie für Workstations mit gemeinsamen Sitzungen sicher, dass für die Serverkomponenten von AccessAgent mit gemeinsamen Sitzungen ein Upgrade durchgeführt wird. 3. Entnehmen Sie den Installationsprotokollen des Systems alle wichtigen Nachrichten, um sicherzustellen, dass alle Probleme beim Systemupgrade behoben oder notiert sind. 4. Prüfen und aktualisieren Sie Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175, damit darin Änderungen an der Konfiguration oder an Kennwörtern enthalten sind. 164 IBM® Security Access Manager for Enterprise Single Sign-On: Installation IMS Server 8.2.1 in neue Umgebung migrieren Sie können IMS Server auf einem Host installieren oder dafür ein Upgrade auf Version 8.2.1 durchführen und diese Instanz dann auf eine neue WebSphere Application Server-Instanz migrieren. Vorbereitende Schritte v Bereiten Sie zwei Host-Computer vor. v Stellen Sie auf einem der Hosts sicher, dass IMS Server 8.2.1 installiert ist und funktioniert. Informationen zu diesem Vorgang Die Migration von einem IMS Server 8.2.1-Host (<host_A>) auf eine andere Instanz eines Hosts (<host_B>) gilt sowohl für installierte Implementierungen von IMS Server 8.2.1 als auch für Implementierungen des Produkts, für die ein Upgrade durchgeführt wurde. Dabei gilt Folgendes: <host_A> Gibt den Quellenhost mit einer funktionierenden Konfiguration von IMS Server 8.2.1 an. <host_B> Gibt den Zielhost an, auf den Sie mit der Konfiguration von IMS Server migrieren wollen. Vorgehensweise 1. Exportieren Sie auf <host_A> die Konfiguration von IMS Server 8.2.1. Siehe hierzu IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide. 2. Bereiten Sie auf <host_B> die erforderliche Middleware vor. Beispiel: v WebSphere Application Server v IBM HTTP Server Die Middleware auf <host_B> kann auf dieselbe Weise vorbereitet und konfiguriert werden wie auf <host_A>. 3. Installieren Sie auf <host_B> IMS Server 8.2.1 im neuen WebSphere Application Server-Profil. Konfigurieren Sie IMS Server auf <host_B> keinesfalls nach Abschluss der Installation. Siehe „IMS Server mit dem Installationsprogramm von IMS Server installieren” auf Seite 41. 4. Importieren Sie auf <host_B> die Konfiguration von IMS Server, für die Sie ein Upgrade durchgeführt und die Sie zuvor auf <host_A> exportiert haben. Weitere Informationen enthält der erste Schritt dieser Prozedur. Kapitel 3. Upgrade durchführen 165 166 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Kapitel 4. Deinstallation Die Deinstallation von IBM Security Access Manager for Enterprise Single Sign-On ist von der Komponente abhängig, die Sie entfernen wollen. Deinstallation Die Deinstallation ist der Prozess, bei dem die installierten Server- und Clientkomponenten vom Computer entfernt werden. Zum Deinstallieren des Produkts müssen Sie die verschiedenen Produktkomponenten deinstallieren. Informationen enthalten die folgenden Tasks: v „IMS Server deinstallieren” v „AccessAgent deinstallieren” auf Seite 169 v „AccessStudio deinstallieren” auf Seite 170 IMS Server deinstallieren Sie können das IMS Server-Paket mit dem Deinstallationsassistenten an einer einzelnen Installationsposition deinstallieren. Vorbereitende Schritte Stellen Sie Folgendes sicher: v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. v Stellen Sie sicher, dass Sie über WebSphere Application Server-Administratorberechtigungen verfügen. v Sie haben die Umgebung des Befehlszeilentools ordnungsgemäß eingerichtet. Informationen zu diesem Vorgang Durch die Deinstallation der Produktkomponente werden nicht alle Dateien und Verzeichnisse entfernt. Dazu müssen Sie eine Dateibereinigung ausführen. Anmerkung: Wenn der Deinstallationsassistent in Arabisch oder Niederländisch ausgeführt wird, wird die Deinstallation von IMS Server gestoppt. Wenn die Deinstallation gestoppt wird, deinstallieren Sie IMS Server über die WebSphere Application Server-Administrationskonsole (IBM Integrated Solutions Console) und löschen Sie den Installationsordner für IMS Server auf dem Computer. Vorgehensweise 1. Bereinigen Sie die IMS Server-Konfiguration in WebSphere Application Server. a. Öffnen Sie die Eingabeaufforderung. b. Geben Sie den folgenden Befehl ein: <ims-ausgangsverzeichnis>\bin\cleanImsConfig <was-admin> <kennwort> Im Verlauf des Konfigurationsbereinigungsprozesses in WebSphere Application Server führt das Befehlszeilentool die folgenden Tasks asynchron aus: 167 v In einer eigenständigen Implementierung wird das Serverprofil erneut gestartet. v In einer Netzimplementierung werden alle Knoten synchronisiert und das Deployment Manager-Profil wird erneut gestartet. Anmerkung: Auch wenn das Befehlszeilentool anzeigt, dass der Bereinigungsprozess abgeschlossen ist, kann sich WebSphere Application Server noch immer im Neustart befinden. 2. Starten Sie das Dienstprogramm für die Softwaredeinstallation. v Wählen Sie unter Windows Server 2003 Start > Systemsteuerung > Programme hinzufügen oder entfernen > ISAM ESSO IMS Server > Entfernen aus. v Unter Windows Server 2008 oder Windows 7 wählen Sie Start > Systemsteuerung > Programme und Funktionen > ISAM ESSO IMS Server > Entfernen aus. 3. Klicken Sie auf Weiter. Sie werden dazu aufgefordert, zu bestätigen, ob die WebSphere Application Server-Sicherheit aktiviert ist. 4. Geben Sie an, ob die Administrationssicherheit von WebSphere Application Server aktiviert ist. v Wenn die Administrationssicherheit von WebSphere Application Server aktiviert ist: a. Wählen Sie Ja aus. b. Klicken Sie auf Weiter. Fahren Sie mit der Angabe der Einstellungen der Administrationssicherheit von WebSphere Application Server fort (5). v Wenn die Administrationssicherheit von WebSphere Application Server nicht aktiviert ist: a. Wählen Sie Nein aus. c. b. Klicken Sie auf Weiter. c. Fahren Sie mit der Angabe der SOAP-Verbindungen in Schritt 6 auf Seite 169 fort. 5. Geben Sie die Einstellungen der Administrationssicherheit von WebSphere Application Server an. Anmerkung: Name und Kennwort für die SSL-Java-Schlüsselspeicherdatei sind nur dann erforderlich, wenn bidirektionales SSL für WebSphere Application Server aktiviert ist. a. Geben Sie den Namen des WebSphere-Benutzers mit Verwaltungsaufgaben und das zugehörige Kennwort an. Beispiel: Verwenden Sie den Namen und das Kennwort des Accounts wasadmin. b. Geben Sie die vertrauenswürdige SSL-Java-Schlüsselspeicherdatei (trust.p12) sowie deren Position an. Beispiel: v Für WebSphere Application Server (eigenständig): <wasausgangsverzeichnis>\profiles\<anwendungsserverprofilname>\ config\cells\<Server01Knoten01Zelle01>\nodes\<Server01Knoten01>\ trust.p12 v Für WebSphere Application Server Network Deployment: <was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config\ cells\<Server01Zelle01>\trust.p12 168 IBM® Security Access Manager for Enterprise Single Sign-On: Installation c. Geben Sie das Kennwort für den vertrauenswürdigen SSL-Schlüsselspeicher an. Das standardmäßige Kennwort für den vertrauenswürdigen SSL-Schlüsselspeicher lautet WebAS. d. Geben Sie die SSL-Java-Schlüsselspeicherdatei (key.p12) sowie deren Position an. Beispiel: v Für WebSphere Application Server (eigenständig): <wasausgangsverzeichnis>\profiles\<anwendungsserverprofilname>\ config\cells\<Server01Knoten01Zelle01>\nodes\<Server01Knoten01>\ key.p12 v Für WebSphere Application Server Network Deployment: <was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config\ cells\<Server01Zelle01>\key.p12 e. Geben Sie das SSL-Java-Schlüsselspeicherkennwort an. Das standardmäßige SSL-Java-Schlüsselspeicherkennwort lautet WebAS. 6. Geben Sie den SOAP-Connector-Port von WebSphere Application Server an. Anmerkung: v Der SOAP-Connector-Port wird im Verlauf der Erstellung des angepassten Profils von WebSphere Application Server angegeben. Beispiel: – Für WebSphere Application Server (eigenständig) ist der übliche SOAPPort für den Anwendungsserver Port 8880. – Für WebSphere Application Server Network Deployment ist der übliche SOAP-Port für den Deployment Manager Port 8879. v Prüfen Sie den aufgezeichneten Wert im folgenden Verzeichnis: <wasausgangsverzeichnis>/profiles/<profil>/logs/AboutThisProfile.txt. 7. Klicken Sie auf Weiter. 8. Klicken Sie auf Deinstallieren. 9. Klicken Sie im Fenster Deinstallation abgeschlossen auf Fertig. 10. Bereinigen Sie das WebSphere Application Server-Profil. Informationen zum Löschen des WebSphere Application Server-Profils finden Sie in der folgenden Dokumentation: v Dokumentation für WebSphere Application Server Version 7.0: http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp. v Dokumentation für WebSphere Application Server Version 8.5: http://pic.dhe.ibm.com/infocenter/wasinfo/v8r5/index.jsp. 11. Führen Sie eine Dateibereinigung aus. a. Löschen Sie das Verzeichnis <ims-ausgangsverzeichnis>. b. Löschen Sie das Verzeichnis <was-ausgangsverzeichnis>. 12. Löschen Sie die IMS Server-Datenbank. Informationen zum Löschen oder Sichern der Datenbank finden Sie in der Datenbankdokumentation des verwendeten Datenbankprodukts. AccessAgent deinstallieren Verwenden Sie die Systemsteuerung unter Windows oder die Verknüpfung im Startmenü, um AccessAgent auf dem Computer zu deinstallieren. Kapitel 4. Deinstallation 169 Vorbereitende Schritte Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. Informationen zu diesem Vorgang Sie können AccessAgent entweder direkt über die Verknüpfungen des WindowsStartmenüs oder über die Systemsteuerung deinstallieren. Vorgehensweise 1. Wählen Sie eine der folgenden Methoden zum Starten des Dienstprogramms für die Softwaredeinstallation aus: v Alle Programme > ISAM ESSO AccessAgent > ISAM ESSO AccessAgent deinstallieren. v Sytemsteuerung > Programme hinzufügen oder entfernen > ISAM ESSO AccessAgent > Entfernen. v Systemsteuerung > Programme und Funktionen > ISAM ESSO AccessAgent > Entfernen. Sie werden dazu aufgefordert, zu bestätigen, dass Sie das Produkt deinstallieren wollen. 2. Klicken Sie auf Ja. AccessAgent wird auf dem Computer deinstalliert. Anmerkung: Wenn Sie AccessAgent (x64) unter Windows 7 (x64) deinstallieren, wird die folgende Nachricht angezeigt: Setup muss Dateien oder Dienste aktualisieren, die nicht während der Ausführung des Systems aktualisiert werden können. Wenn Sie den Vorgang fortsetzen, ist ein Neustart erforderlich, um das Setup abzuschließen. Nächste Schritte Stellen Sie sicher, dass das Installationsverzeichnis für AccessAgent entfernt wird. AccessStudio deinstallieren Verwenden Sie die Systemsteuerung oder die Verknüpfung im Startmenü unter Windows, um AccessStudio auf dem Computer zu deinstallieren. Vorbereitende Schritte Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. Informationen zu diesem Vorgang Sie können AccessStudio entweder direkt über ISAM ESSO AccessStudio oder über die Systemsteuerung deinstallieren. Vorgehensweise 1. Starten Sie das Dienstprogramm für die Softwaredeinstallation. v Wählen Sie Start > Alle Programme > ISAM ESSO AccessStudio > ISAM ESSO AccessStudio deinstallieren aus. 170 IBM® Security Access Manager for Enterprise Single Sign-On: Installation v Wählen Sie unter Windows XP Start > Systemsteuerung > Programme hinzufügen oder entfernen > ISAM ESSO AccessStudio > Entfernen aus. v Unter Windows Server 2008 oder Windows 7 wählen Sie Start > Systemsteuerung > Programme und Funktionen > ISAM ESSO AccessStudio > Entfernen aus. Sie werden dazu aufgefordert, zu bestätigen, dass Sie das Produkt deinstallieren wollen. 2. Klicken Sie auf Ja. AccessStudio wird auf dem Computer deinstalliert. Nächste Schritte Stellen Sie sicher, dass das Installationsverzeichnis für AccessStudio entfernt wird. AccessStudio unbeaufsichtigt deinstallieren (nicht überwacht) Verwenden Sie den Befehl msiexec mit dem Parameter /uninstall und dem Switch /quiet für das nicht überwachte Entfernen von AccessStudio. Vorbereitende Schritte v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. v Stellen Sie sicher, dass Sie über das Installationsprogramm ISAM ESSO AccessStudio.msi verfügen. Vorgehensweise 1. Öffnen Sie die Eingabeaufforderung. 2. Geben Sie Folgendes ein: msiexec /uninstall "<as-pfad>\ISAM ESSO AccessStudio.msi" /quiet Dabei gilt Folgendes: <as-pfad> ist die Position des MSI-basierten Installationsprogramms für AccessStudio. Ergebnisse Sie haben AccessStudio erfolgreich entfernt. Nächste Schritte Stellen Sie sicher, dass das Installationsverzeichnis für AccessStudio entfernt wird. IMS Server erneut installieren oder rekonfigurieren Um IMS Server nach einem Installations- oder Konfigurationsfehler erneut zu installieren oder zu rekonfigurieren, müssen Sie zunächst die Konfiguration von IMS Server in WebSphere Application Server bereinigen. Informationen zu diesem Vorgang Wenn die Konfiguration von IMS Server fehlschlägt, können Sie die bestehende Serverkonfiguration in WebSphere Application Server bereinigen und IMS Server erneut installieren. Alternativ dazu können Sie die Konfiguration bereinigen und danach IMS Server deinstallieren. Kapitel 4. Deinstallation 171 Vorgehensweise v Gehen Sie wie folgt vor, um IMS Server zu rekonfigurieren: 1. Bereinigen Sie die Konfiguration von IMS Server. 2. Optional: Wenn das Datenbankschema geändert wird, können Sie die Datenbank wiederverwenden oder eine andere Datenbank vorbereiten. Informationen zum Löschen einer Datenbank finden Sie in der Dokumentation für das verwendete Datenbankprodukt. 3. Starten Sie den IMS-Konfigurationsassistenten, um den Server zu rekonfigurieren. v Gehen Sie wie folgt vor, um IMS Server erneut zu installieren: 1. Bereinigen Sie die IMS Server-Konfiguration in WebSphere Application Server. 2. Deinstallieren Sie IMS Server. 3. Installieren und konfigurieren Sie IMS Server. a. Installieren Sie IMS Server mit dem Installationsprogramm von IMS Server. b. Überprüfen Sie die Implementierung von IMS Server in WebSphere Application Server. c. Konfigurieren Sie IMS Server. IMS Server-Konfiguration in WebSphere Application Server bereinigen Sie können das Befehlszeilentool cleanImsConfig zum Bereinigen der IMS ServerKonfiguration in WebSphere Application Server verwenden. Nach dem Bereinigen der Konfiguration können Sie IMS Server erneut mit dem IMS-Konfigurationsassistenten konfigurieren. Vorbereitende Schritte v Stellen Sie sicher, dass Sie über WebSphere Application Server-Administratorberechtigungen verfügen. v Stellen Sie sicher, dass die Umgebung für Befehlszeilentools ordnungsgemäß eingerichtet ist.. v (Netzimplementierung) Stoppen Sie den Cluster. v (Netzimplementierung) Stellen Sie sicher, dass die Knotenagenten gestartet sind. Informationen zu diesem Vorgang Das Befehlszeilentool entfernt die JDBC-Einstellungen von IMS Server sowie die Einstellungen für den IMS-Schlüsselspeicher, alle Verzeichnisserver und die Datenbank, die vom Konfigurationsprozess für IMS Server erstellt werden. Weitere Informationen zu dem Befehlszeilentool enthält die Veröffentlichung IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide. Für Netzimplementierungen müssen Sie den Befehl cleanImsConfig im Deployment Manager-Knoten ausführen. Wichtig: Das Befehlszeilentool cleanImsConfig löscht keine Datenbanken auf dem Datenbankserver. Informationen zum Löschen oder Sichern der Datenbank finden Sie in der Datenbankdokumentation des verwendeten Datenbankprodukts. 172 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Vorgehensweise 1. Öffnen Sie die Eingabeaufforderung. 2. Navigieren Sie zum Verzeichnis <ims-ausgangsverzeichnis>\bin. Geben Sie beispielsweise Folgendes ein: cd <ims-ausgangsverzeichnis>\bin 3. Geben Sie den folgenden Befehl ein: cleanImsConfig <was-admin> <kennwort> Im Verlauf des Konfigurationsbereinigungsprozesses in WebSphere Application Server führt das Befehlszeilentool die folgenden Tasks asynchron aus: v In einer eigenständigen Implementierung wird das Serverprofil erneut gestartet. v In einer Netzimplementierung werden alle Knoten synchronisiert und das Deployment Manager-Profil wird erneut gestartet. Anmerkung: Auch wenn das Befehlszeilentool anzeigt, dass der Bereinigungsprozess abgeschlossen ist, kann sich WebSphere Application Server noch immer im Neustart befinden. 4. Löschen Sie die IMS Server-Datenbank. Nächste Schritte Wenn Sie IMS Server deinstallieren, müssen Sie das Deinstallationsprogramm von IMS Server ausführen. Siehe „IMS Server deinstallieren” auf Seite 167. Kapitel 4. Deinstallation 173 174 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Kapitel 5. Arbeitsblatt für die Planung Verwenden Sie das Arbeitsblatt für die Planung als Referenz für die Standard- und Beispielwerte bei der Installation und Konfiguration des IBM Security Access Manager for Enterprise Single Sign-On-Servers und weiterer erforderlicher Softwareprodukte. Installationsverzeichnisse und sonstige Pfade Die folgende Tabelle enthält die unterschiedlichen Pfadvariablen, die im vorliegenden Handbuch verwendet werden, sowie die zugehörigen Standardwerte. In einigen Fällen entspricht der Variablenname dem Namen einer Umgebungsvariablen, die im Betriebssystem definiert wird. Beispielsweise stellt %TEMP% die Umgebungsvariable %TEMP% unter Windows dar. Anmerkung: Wenn Sie IBM Security Access Manager for Enterprise Single SignOn auf Windows-Systemen installieren, ist das Standardverzeichnis in der Regel das Verzeichnis für Programmdateien des Systems <systemlaufwerk>:\Programme\ IBM\, wobei als Systemlaufwerk normalerweise Laufwerk C: dient. Sie können allerdings angeben, dass IBM Security Access Manager for Enterprise Single Sign-On in einem anderen Plattenlaufwerk als C: installiert wird. Pfadvariable Komponente Standardverzeichnis (x86) <aa-ausgangsverzeichnis> AccessAgent C:\Programme\IBM\ISAM ESSO\AA <as-ausgangsverzeichnis> AccessStudio C:\Programme\IBM\ISAM ESSO\AA\ECSS\AccessStudio <db-ausgangsverzeichnis> DB2 C:\Programme\IBM\SQLLIB <ihs-ausgangsverzeichnis> IBM HTTP Server C:\Programme\IBM\ HTTPServer <ims-ausgangsverzeichnis> IBM Security Access Manager for Enterprise Single Sign-On IMS Server C:\Programme\IBM\ISAM ESSO\IMS Server <jvm-ausgangsverzeichnis> Java Virtual Machine C:\Programme\Java\ jre1.5.0_11 <updi-ausgangsverzeichnis> IBM Update Installer for WebSphere Application Server Version 7.0 C:\Programme\IBM\ WebSphere\UpdateInstaller <was-ausgangsverzeichnis> WebSphere Application Server C:\Programme\IBM\ WebSphere\AppServer <was-dmgrausgangsverzeichnis> Deployment Manager-Profil für WebSphere Application Server Network Deployment C:\Programme\IBM\ WebSphere\AppServer\ profiles\Dmgr01 Anmerkung: Achten Sie bei der Erstellung von WebSphere Application Server Version 8.5-Profilen für IMS darauf, dass der Profilpfad keine Leerzeichen im Pfadnamen aufweist. 175 Pfadvariable Komponente Standardverzeichnis (x86) <%TEMP%> Windows-Verzeichnis für temporäre Dateien Bei Anmeldung als Administrator: C:\Dokumente und Einstellungen\ Administrator\Lokale Einstellungen\Temp <%PROGRAMFILES%> Windows-Verzeichnis für ins- C:\Programme tallierte Programme Hostnamen und Ports Die folgende Tabelle enthält die unterschiedlichen Variablen für Hostnamen und Portnummern, die im vorliegenden Handbuch verwendet werden. Variable Beschreibung <was-hostname> Name des Hosts, auf dem WebSphere Application Server installiert ist <dmgr-hostname> Name des Hosts, auf dem WebSphere Application Server Network Deployment Manager installiert ist <ihs-hostname> Name des Hosts, auf dem IBM HTTP Server installiert ist <hostname_des_programms_für_den_lastausgleich> Name des Hosts, auf dem das Programm für den Lastausgleich installiert ist <ims-hostname> Name des Hosts, auf dem IMS Server installiert ist <ihs-ssl-port> SSL-Portnummer von IBM HTTP Server <admin-ssl-port> Sichere Portnummer der Administrationskonsole URLs und Adressen Die folgende Tabelle enthält die unterschiedlichen URLs und Adressen, die im vorliegenden Handbuch verwendet werden. Die Werte variieren je nachdem, ob WebSphere Application Server eigenständig oder ob WebSphere Application Server Network Deployment verwendet wird. Beschreibung Format Integrated Solutions v Wenn Sie WebSphere Application Server Console (WebSphere eigenständig verwenden: Application Serverhttps://<was-hostname>:<admin-sslAdministrationsport>/ibm/console konsole) v Wenn Sie WebSphere Application Server Network Deployment verwenden: Beispielwert https://localhost:9043/ibm/ console oder http://localhost:9060/ibm/ console https://<dmgr-hostname>:<admin-sslport>/ibm/console IMS-Konfigurationsassistent v Wenn Sie WebSphere Application Server eigenständig verwenden: https://<was-hostname>:<admin-sslport>/front v Wenn Sie WebSphere Application Server Network Deployment verwenden: https://<dmgr-hostname>:<admin-sslport>/front 176 IBM® Security Access Manager for Enterprise Single Sign-On: Installation https://localhost:9043/front Beschreibung Format Beispielwert IMSKonfigurationsdienstprogramm v Wenn Sie WebSphere Application Server eigenständig verwenden: https://localhost:9043/ webconf https://<was-hostname>:<admin-sslport>/webconf v Wenn Sie WebSphere Application Server Network Deployment verwenden: https://<dmgr-hostname>:<admin-sslport>/webconf AccessAdmin v Wenn Sie ein Programm für den Lastausgleich verwenden: v https://imsserver:9443/ admin https://<hostname_des_programms_ für_den_lastausgleich>:<ihs-ssl-port>/ admin v https://imsserver/admin v Wenn Sie kein Programm für den Lastausgleich verwenden: https://<ims-hostname>:<ihs-ssl-port>/ admin v Wenn der Web-Server ordnungsgemäß konfiguriert ist: https://ims-hostname>/admin AccessAssistant v Wenn Sie ein Programm für den Lastausgleich verwenden: v https://imsserver:9443/ aawwp https:// <hostname_des_programms_für_den_ lastausgleich>:<ihs-ssl-port>/aawwp v https://imsserver/aawwp v Wenn Sie kein Programm für den Lastausgleich verwenden: https://<ims-hostname>:<ihs-ssl-port>/ aawwp v Wenn der Web-Server ordnungsgemäß konfiguriert ist: https://<ims-hostname>/aawwp Web Workplace https://imsserver:9443/ aawwp?isWwp=true v Wenn Sie ein Programm für den Lastausgleich verwenden: https:// <hostname_des_programms_für_den_ lastausgleich>:<ihs-ssl-port>/ aawwp?isWwp=true v Wenn Sie kein Programm für den Lastausgleich verwenden: https://<ims-hostname>:<ihs-ssl-port>/ aawwp?isWwp=true Benutzer, Profilnamen und Gruppen Die folgende Tabelle enthält einige der Benutzer und Gruppen, die während der Installation erstellt werden. Kapitel 5. Arbeitsblatt für die Planung 177 Variable Beschreibung Beispielwert <profilname> Name des WebSphere Application Server-Profils. v Wenn Sie WebSphere Application Server eigenständig verwenden: Der Profilname wird bei der Erstellung von Profilen für WebSphere Application Server mit dem Befehlszeilentool manageprofiles oder dem grafischen Profile Management Tool definiert. <anwendungsserverprofilname> v Wenn Sie WebSphere Application Server Network Deployment verwenden: – Deployment Manager: <dmgr-profilname> – Knoten <angepasster_ profilname> <WAS-admin-benutzer-id> WebSphere-Administrator-ID, wasadmin die während der Installation von WebSphere Application Server erstellt wird. <IHS-admin-benutzer-id> HTTP-Server-Administrator- ihsadmin ID, die während der Installation von IBM HTTP Server erstellt wird. <DB2-admin-benutzer-id> db2admin DB2-AdministratorServicebenutzer-ID für Microsoft Windows, die während der Installation von IBM DB2 erstellt wird. <IMS-admin-benutzer-id> IBM Security Access Manager for Enterprise Single Sign-On-Administrator. imsadmin Benutzer-ID, die während der Installation von IMS Server für die Verwaltung von IBM Security Access Manager for Enterprise Single Sign-On erstellt wird. <TIMAD-admin-benutzer-id> (Nur für Active DirectoryUnternehmensverzeichnisse) Benutzer-ID, die für die Verwendung mit Tivoli Identity Manager Active Directory Adapter erstellt wird. tadadmin Nicht für LDAP-Verzeichnisse erforderlich. <LDAP-admin-benutzerBeispiel für eine LDAP-Beid_oder_benutzer-id_für_suche> nutzer-ID, die für die Verwendung durch IMS Server mit Verzeichnisservern erstellt wurde, die mit LDAP Version 3 kompatibel sind. 178 IBM® Security Access Manager for Enterprise Single Sign-On: Installation ldapadmin lookupusr Variable Beschreibung Beispielwert <id_des_benutzers_ohne_ rootberechtigung_der_ virtuellen_einheit> Allgemeiner Benutzeraccount virtuser für Implementierungen mit einer virtuellen Einheit. Wird während der Aktivierung und Implementierung der virtuellen Einheit erstellt. <id_des_rootbenutzers_der_ virtuellen_einheit> Rootbenutzeraccount für Im- root plementierungen mit einer virtuellen Einheit. Wird für die Anmeldung bei der virtuellen Einheit während der Bootvorgangs verwendet. IBM DB2 installieren Die folgende Tabelle enthält Werte, die Sie bei der Installation eines Datenbankservers angeben müssen. Parameter Standard- oder Beispielwert Installationsdatei Enterprise Server Edition v DB2_ESE_V97_Win_x86.exe v DB2_ESE_V97_Win_x86-64.exe Anmerkung: Die Installationsdateien können je nach Version und Edition von DB2 variieren. Installationsverzeichnis C:\Programme\IBM\SQLLIB Benutzerinformationen für den DB2-Verwaltungsserver Domäne Keiner - Lokalen Benutzeraccount verwenden Benutzername db2admin Kennwort DB2-Instanz DB2-Standardinstanz erstellen Partitionierungsoption für die DB2Standardinstanz Einzelpartitionsinstanz DB2-Toolskatalog Keiner Einrichten von DB2 Server für das Senden von Benachrichtigungen Nein Betriebssystemsicherheit aktivieren Ja DB2-Administratorgruppe Domäne Keiner Gruppenname DB2ADMNS Anmerkung: Dieser Wert ist ein Beispiel. Sie können einen eigenen Wert angeben. DB2-Benutzergruppe Domäne Keiner Gruppenname DB2USERS Anmerkung: Dieser Wert ist ein Beispiel. Sie können einen eigenen Wert angeben. Portnummer 50000 Kapitel 5. Arbeitsblatt für die Planung 179 Datenbank für IMS Server erstellen Die folgende Tabelle enthält die Werte, die Sie für die Erstellung der Datenbank von IMS Server angeben müssen. Parameter Standard- oder Beispielwert Datenbankname imsdb Anmerkung: Dieser Wert ist ein Beispiel. Sie können einen eigenen Wert angeben. Standardpfad C:\ Aliasname imsdb Anmerkung: Dieser Wert ist ein Beispiel. Sie können einen eigenen Wert angeben. Kommentar DB für IMS Anmerkung: Dieser Wert ist ein Beispiel. Sie können einen eigenen Wert angeben. DB2 zur Verwaltung des eigenen Speichers veranlassen (automatischer Speicher) Ja Default buffer pool and table space page size 8 K Datenbankpfad als Speicherpfad verwenden Ja Codierter Zeichensatz UTF-8 Sortierfolge Region Standardeinstellung DB2-Benutzer manuell erstellen Die folgende Tabelle enthält die Werte, die Sie angeben müssen, wenn Sie für IBM Security Access Manager for Enterprise Single Sign-On einen separaten Datenbankbenutzer erstellen. Parameter Standard- oder Beispielwert DB2-Benutzer imsdb2admin Administratorberechtigungen v Verbindung zur Datenbank herstellen v Tabellen erstellen v Pakete erstellen IBM Installation Manager für die WebSphere-Softwareinstallation installieren Die folgende Tabelle enthält die Werte, die Sie bei der Installation von IBM Installation Manager angeben müssen. Parameter Standard- oder Beispielwert Installationsdatei (Verwaltungsinstallation) install.exe Installationsverzeichnis C:\Programme\IBM\InstallationManager Pfad zum lokalen Repository C:\repositories\produktname\localrepositories WebSphere Application Server installieren Die folgende Tabelle enthält die Werte, die Sie bei der Installation von WebSphere Application Server angeben müssen. 180 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Parameter Standard- oder Beispielwert Installationsverzeichnis <was-ausgangsverzeichnis> WebSphere Application Server-Umgebung (Keiner) Anmerkung: Profile werden nur nach Anwenden der WebSphere-Fixpacks mit dem Profile Management Tool oder über die Befehlszeilenschnittstelle erstellt. Sie können die folgenden Profile erstellen: Für eigenständige Produktimplementierungen von WebSphere Application Server v Anwendungsserver Für WebSphere Application Server Network Deployment (Cluster) v Deployment Manager v Angepasst Anmerkung: Achten Sie bei der Erstellung von WebSphere Application Server Version 8.5-Profilen für IMS darauf, dass der Profilpfad keine Leerzeichen im Pfadnamen aufweist. Verwaltungssicherheit aktivieren Ja WebSphere-Administrationsbenutzername wasadmin Name des Deployment Manager-Profils <dmgr-profilname> Name des angepassten Profils (Knoten) <angepasster_profilname> Name des Anwendungsserverprofils <anwendungsserverprofilname> Zellenname <Server01Knoten01Zelle01> Deployment Manager-Knotenname <Server01Zelle01> Anwendungsserverknotenname <Server01Knoten01> Installationsposition des HTTP-Servers <ihs-ausgangsverzeichnis> HTTP-Port 80 HTTP-Admin-Server-Port 8080 IBM Update Installer für die WebSphere-Softwareinstallation installieren Die folgende Tabelle enthält die Werte, die Sie bei der Installation von IBM Update Installer für die WebSphere-Softwareinstallation angeben müssen. Parameter Standard- oder Beispielwert Installationsdatei install.exe Installationsverzeichnis C:\Programme\IBM\WebSphere\ UpdateInstaller Aktuellstes WebSphere Application Server Version 7.0-Fixpack installieren Die folgende Tabelle enthält die Werte, die Sie bei der Installation des aktuellsten WebSphere Application Server Version 7.0-Fixpacks angeben müssen. Kapitel 5. Arbeitsblatt für die Planung 181 Parameter Standard- oder Beispielwert Installationsdatei v 7.0.0-WS-WAS-WinX32-FP000000X.pak v 7.0.0-WS-WAS-WinX64-FP000000X.pak Installationsverzeichnis <was-ausgangsverzeichnis> Auswahl der Wartungsoperation Wartungspaket installieren Verzeichnispfad für Wartungspaket <updi-ausgangsverzeichnis>\maintenance IBM HTTP Server installieren Die folgende Tabelle enthält die Werte, die Sie bei der Installation von IBM HTTP Server angeben müssen. Parameter Standard- oder Beispielwert Installationsverzeichnis <ihs-ausgangsverzeichnis> IBM HTTP Server-HTTP-Port 80 IBM HTTP Server-HTTP-Verwaltungsport 8008 IBM HTTP Server als Windows-Dienst ausführen Ja IBM-HTTP-Verwaltung als Windows-Dienst ausführen Ja Als lokaler Systemaccount anmelden Ja Als angegebener Benutzeraccount anmelden Nein Benutzername Administrator Anmerkung: Dieser Wert ist ein Beispiel. Sie können einen eigenen Wert angeben. Kennwort Starttyp Automatisch Benutzer-ID für die Ja Verwaltungsserverauthentifizierung von IBM HTTP Server erstellen Benutzer-ID für die ihsadmin Verwaltungsserverauthentifizierung von IBM Anmerkung: Der WebSphere Application HTTP Server Server-Account für die Verwaltung von IBM HTTP Server und des IBM HTTP ServerPlug-ins. Kennwort für die Verwaltungsserverauthentifizierung von IBM HTTP Server IBM HTTP Server-Plug-in für IBM WebSphere Application Server installieren Ja Web-Server-Definition <webserver1> Hostname oder IP-Adresse für den Anwendungsserver IMS821.samesso.ibm.com (Beispiel) Aktuelle IBM HTTP Server Version 7.0-Fixpack installieren Die folgende Tabelle enthält die Werte, die Sie bei der Installation des aktuellen IBM HTTP Server Version 7.0-Fixpacks angeben müssen. 182 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Parameter Standard- oder Beispielwert Installationsdatei v 7.0.0-WS-IHS-WinX32-FP000000X.pak v 7.0.0-WS-IHS-WinX64-FP000000X.pak Installationsverzeichnis <ihs-ausgangsverzeichnis> Auswahl der Wartungsoperation Wartungspaket installieren Verzeichnispfad für Wartungspaket <was-ausgangsverzeichnis>\ UpdateInstaller\maintenance IBM HTTP Server konfigurieren Die folgende Tabelle enthält die Werte, die Sie bei der Konfiguration von IBM HTTP Server für die Arbeit mit WebSphere Application Server angeben müssen. Parameter Standard- oder Beispielwert Windows-Stapeldatei configure<webserver1>.bat Ursprüngliche Position <ihs-ausgangsverzeichnis>\Plugins\bin Zielposition <was-ausgangsverzeichnis>\bin com.ibm.SOAP.requestTimeoutproperty 6000 Fernes Web-Server-Management Port 8008 Benutzername ihsadmin Kennwort SSL verwenden Nein Intervall für die Aktualisierung der Konfiguration 60 Sekunden Name der Plug-in-Konfigurationsdatei plugin-cfg.xml Name der Plug-in-Schlüsselspeicherdatei plugin-key.kdb Verzeichnis und Name der Plug-inKonfigurationsdatei <ihs-ausgangsverzeichnis>\Plugins\config\ <webserver1>\plugin-cfg.xml Verzeichnis und Name der Plug-inSchlüsselspeicherdatei <ihs-ausgangsverzeichnis>\Plugins\config\ <webserver1>\plugin-key.kdb Plug-in-Konfigurationsdatei automatisch generieren Ja Plug-in-Konfigurationsdatei automatisch weiterge- Ja ben Protokolldateiname v <ihs-ausgangsverzeichnis>\Plugins\logs\ <webserver1>\http_plug-in.log v <ims-ausgangsverzeichnis>\ISAM_ESSO_IMS_Server_InstallLog.log Protokollebene Fehler IMS Server installieren Die folgende Tabelle enthält die Werte, die Sie bei der Installation von IMS Server angeben müssen. Parameter Standard- oder Beispielwert Installationsdatei imsinstaller_8.2.1.0.x.exe Installationsordner <ims-ausgangsverzeichnis> Kapitel 5. Arbeitsblatt für die Planung 183 Parameter Standard- oder Beispielwert IMS Server in WebSphere Application Server v Ja - Die IMS Server-EAR-Datei wird autoimplementieren matisch in WebSphere Application Server implementiert. v Nein - Sie müssen die IMS Server-EARDatei manuell in WebSphere Application Server implementieren. WebSphere Application ServerVerwaltungssicherheit aktiviert Ja Name des Benutzers mit Verwaltungsaufgaben wasadmin Anmerkung: Dieser Wert muss mit dem Benutzernamen des WebSphere Application Server-Administrators identisch sein. Kennwort des Benutzers mit Verwaltungsaufgaben Vertrauenswürdige SSL-JavaSchlüsselspeicherdatei trust.p12 Position der vertrauenswürdigen SSL-JavaSchlüsselspeicherdatei v Wenn Sie WebSphere Application Server eigenständig verwenden: <was-ausgangsverzeichnis>\profiles\ <anwendungsserverprofilname>\config\ cells\<Server01Zelle01>\nodes\ <Server01Knoten01>\ v Wenn Sie WebSphere Application Server Network Deployment verwenden: <was-ausgangsverzeichnis>\profiles\ <dmgr-profilname>\config\cells\ <Server01Zelle01>\ Kennwort der vertrauenswürdigen SSL-Java- WebAS Schlüsselspeicherdatei SSL-Java-Schlüsselspeicherdatei key.p12 Position der SSL-Java-Schlüsselspeicherdatei v Wenn Sie WebSphere Application Server eigenständig verwenden: <was-ausgangsverzeichnis>\profiles\ <anwendungsserverprofilname>\config\ cells\<Server01Zelle01>\nodes\ <Server01Knoten01>\ v Wenn Sie WebSphere Application Server Network Deployment verwenden: <was-ausgangsverzeichnis>\profiles\ <dmgr-profilname>\config\cells\ <Server01Zelle01>\ Kennwort der SSL-JavaSchlüsselspeicherdatei WebAS WebSphere Application Server-SOAPConnector-Port v Für WebSphere Application Server (eigenständig): 8880 v Für WebSphere Application Server Network Deployment (Deployment Manager): 8879 184 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Parameter Standard- oder Beispielwert Position der SOAP-Connector-Portnummer v Wenn Sie WebSphere Application Server eigenständig verwenden: <was-ausgangsverzeichnis>\profiles\ <anwendungsserverprofilname>\logs\ AboutThisProfile.txt v Wenn Sie WebSphere Application Server Network Deployment verwenden: <was-ausgangsverzeichnis>\profiles\ <dmgr-profilname>\logs\ AboutThisProfile.txt IMS Server-URL Beispiel: https://localhost:9043/front v Wenn Sie WebSphere Application Server eigenständig verwenden: https://<was-hostname>:<admin-sslport>/front v Wenn Sie WebSphere Application Server Network Deployment verwenden: https://<dmgr-hostname>:<admin-sslport>/front IMS Server konfigurieren Die folgende Tabelle enthält die Werte, die Sie bei der Konfiguration von IMS Server angeben müssen. Parameter Standard- oder Beispielwert JDBC-Providername ISAM ESSO JDBC Provider Datenquellenname ISAM ESSO IMS Server Data Source JNDI-Name jdbc/ims Anmerkung: Der JNDI-Name kann nicht bearbeitet werden. Aliasname für J2C-Authentifizierungsdaten imsauthdata IMS Server-Datenbankschema erstellen Ja Datenbanktyp auswählen v IBM DB2 Server v Microsoft SQL Server v Oracle Server Datenbankkonfiguration - <datenbanktyp> Hostname Instanz Anmerkung: Nur für Microsoft SQL Server. Port v Für IBM DB2 Server: 50000 v Für Microsoft SQL Server: 1433 v Für Oracle Server: 1521 Datenbankname Anmerkung: Nur für IBM DB2. SID Anmerkung: Nur für Oracle Server. Benutzername db2admin Benutzerkennwort Details zur Stammzertifizierungsstelle angeben Kapitel 5. Arbeitsblatt für die Planung 185 Parameter Standard- oder Beispielwert Schlüsselspeichername CellDefaultKeyStore Schlüsselspeicherkennwort Aliasname für Stammzertifizierungsstelle root Vollständig qualifizierter Web-Server-Name web1.example.com IMS-Service-URL HTTPS-Portnummer 443 Unternehmensverzeichnis konfigurieren (LDAP oder Active Directory) Die folgende Tabelle enthält die Werte, die Sie bei der Konfiguration des Unternehmensverzeichnisses angeben müssen. Parameter Standard- oder Beispielwert Hostname ldapsvr.example.com Definierter Name für Bindung v Für Active Directory: cn=lookupusr, cn=users,dc=team, dc=example, dc=com v Für LDAP: cn=lookupusr, ou=users, o=example, c=us Basis-DN v Für Active Directory: cn=users, dc=team, dc=example, dc=com v Für LDAP: ou=users,o=example,c=us Domäne team.example.com Port 389 (ohne SSL) 636 (mit SSL) 186 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Kapitel 6. Datenbankschemas erstellen Sie müssen ein Datenbankschema angeben, wenn Sie die Datenquelle und das Zertifikat für IMS Server konfigurieren. Bei der Konfiguration von IMS Server können Sie ein eigenes Datenbankschema auswählen oder ein vom Konfigurationsassistenten erstelltes Datenbankschema verwenden. Wenn Sie ein eigenes Datenbankschema verwenden möchten, müssen Sie die korrekten SQL-Scripts für den unterstützten Datenbankserver ausführen. v Wenn Sie ein eigenes Datenbankschema verwenden wollen, müssen Sie dieses erstellen, bevor Sie die Konfiguration der Datenquelle und des Zertifikats für IMS Server starten. v Folgende Trennzeichen werden verwendet: – IBM DB2: Script initPL.sql: !. – Oracle: Scripts initPL.sql und logPL.sql: /. – Alle Datenbanken: Das Trennzeichen ist ;. Wenn IBM DB2 Server die IMS Server-Datenbank ist: 1. Navigieren Sie zum Verzeichnis <IMS_server-installationsverzeichnis>\ com.ibm.tamesso.ims-delhi.build.boot\src\database\data\sql\db2\createschema. 2. Führen Sie die folgenden Scripts in der angegebenen Reihenfolge aus: a. init.sql b. log.sql c. initPL.sql 3. Navigieren Sie zum Verzeichnis <IMS_server-installationsverzeichnis>\ com.ibm.tamesso.ims-delhi.build.root\src\database\data\sql\common\ initialize-prod. 4. Führen Sie das Script boot.sql aus. 5. Navigieren Sie zum Verzeichnis <IMS_server-installationsverzeichnis>\ com.ibm.tamesso.ims-delhi.build.boot\src\database\data\sql\db2\createschema. 6. Führen Sie das Script view.sql aus. Wenn Microsoft SQL Server die IMS Server-Datenbank ist: 1. Melden Sie sich bei SQL Server Management Studio an. Beispiel: imsdbusr Wichtig: Geben Sie den SQL Server-Anmeldeaccount an, den Sie in Schritt 4 auf Seite 220 unter „Datenbank in SQL Server manuell erstellen” auf Seite 219 erstellt haben. 2. Führen Sie für jedes der Scripts die folgenden Tasks aus: 187 Führen Sie jedes der folgenden SQL-Scripts in der angegebenen Reihenfolge aus: Gehen Sie wie folgt vor: 1. <ims-ausgangsverzeichnis>\com.ibm.tamesso.imsdelhi.build.boot\src\database\data\sql\sqlserver\createschema\init.sql So führen Sie das SQL-Script aus: 2. <ims-ausgangsverzeichnis>\com.ibm.tamesso.imsdelhi.build.boot\src\database\data\sql\sqlserver\createschema\log.sql 3. <ims-ausgangsverzeichnis>\com.ibm.tamesso.imsdelhi.build.boot\src\database\data\sql\common\initializeprod\boot.sql 4. <ims-ausgangsverzeichnis>\com.ibm.tamesso.imsdelhi.build.boot\src\database\data\sql\sqlserver\createschema\view.sql 1. Öffnen Sie das SQL-Script. 2. Klicken Sie auf den Befehl Query Options. 3. Legen Sie als Stapeltrennzeichen das Zeichen „;” fest (ohne Anführungszeichen). 4. Klicken Sie auf OK. 5. Klicken Sie auf Execute. 3. Prüfen Sie die Tabellen: a. Blenden Sie <IMS_server-datenbankname> > Tables ein. b. Stellen Sie sicher, dass die Tabellennamen den SQL Server-Anmeldenamen als Präfix enthalten. Beispiel: imsdbusr.<tabellenname> Wenn Oracle Database die IMS Server-Datenbank ist: 1. Navigieren Sie zum Verzeichnis <IMS_server-installationsverzeichnis>\ com.ibm.tamesso.ims-delhi.build.boot\src\database\data\sql\oracle\ create-schema. 2. Führen Sie die folgenden Scripts in der angegebenen Reihenfolge aus: a. init.sql b. log.sql c. initPL.sql 3. 4. 5. 6. d. logPL.sql Navigieren Sie zum Verzeichnis <IMS_server-installationsverzeichnis>\ com.ibm.tamesso.ims-delhi.build.boot\src\database\data\sql\common\ initialize-prod. Führen Sie das Script boot.sql aus. Navigieren Sie zum Verzeichnis <IMS_server-installationsverzeichnis>\ com.ibm.tamesso.ims-delhi.build.boot\src\database\data\sql\oracle\ create-schema. Führen Sie das Script view.sql aus. Benutzer manuell erstellen Sie können einen DB2-Benutzer in IBM DB2 erstellen und festlegen, der von IMS Server zum Herstellen einer Verbindung zur Datenbank verwendet werden kann. Diese Task ist optional. Vorbereitende Schritte Melden Sie sich mit Administratorberechtigungen beim Datenbankserver an. 188 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Informationen zu diesem Vorgang Diese Task ist optional. Der erstellte DB2-Benutzeraccount muss Berechtigungen zum Herstellen einer Verbindung zur Datenbank, zum Erstellen von Tabellen und zum Erstellen von Paketen aufweisen. Ein gängiger Benutzername ist db2admin, Sie können jedoch einen beliebigen Benutzernamen zuweisen, wenn der betreffende Account über Verwaltungszugriff verfügt. Vermeiden Sie Änderungen des Benutzernamens nach der Erstellung. Vorgehensweise 1. Erstellen Sie einen Betriebssystembenutzer mit Administratorberechtigungen (Mitglied der lokalen Administratorgruppe). Beispiel: imsdb2admin. 2. Verwenden Sie eine der folgenden Methoden, um DB2-Berechtigungen zu erstellen und dem Benutzer zuzuordnen: v Verwenden der DB2-Steuerzentrale: a. Öffnen Sie die DB2-Steuerzentrale. b. Wenn die Sicht "Control Center View" angezeigt wird, wählen Sie Advanced aus. c. Klicken Sie auf OK. d. Blenden Sie in der Objektansicht die Objektbaumstruktur für die IMS Server-Datenbank ein, für deren Verwendung Sie einen Benutzer autorisieren. Blenden Sie die Objektbaumstruktur ein, bis Sie den Ordner User and Group Objects finden. e. Klicken Sie auf User and Group Objects. f. Klicken Sie mit der rechten Maustaste auf DB Users. g. Klicken Sie auf Add. h. Geben Sie in Users den Benutzeraccount an, der in Schritt 1 erstellt wurde. Beispiel: imsdb2admin. i. Wählen Sie im Feld Authorities die folgenden Kontrollkästchen aus: – Connect to database – Create tables – Create packages j. Klicken Sie auf OK. v Verwenden Sie den DB2-Befehlszeilenprozessor, um die folgende SQLAnweisung auszuführen. Anmerkung: Bevor Sie die SQL-Anweisung ausführen, müssen Sie die Variablen in dieser Anweisung durch eigene Werte ersetzen. connect to <ims-datenbank>; grant createtab,bindadd,connect on database to user <DB2-benutzer>; connect reset; Beispiel: Die folgende SQL-Anweisung erteilt dem Benutzer imsdb2admin die erforderlichen Berechtigungen für die Datenbank imsdb: connect to imsdb; grant createtab,bindadd,connect on database to user imsdb2admin; connect reset; Kapitel 6. Datenbankschema erstellen 189 190 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Kapitel 7. Sonstige Installations- und Konfigurationstasks Je nach Implementierung kann es sein, dass Sie für IBM Security Access Manager for Enterprise Single Sign-On weitere Installations- und Konfigurationstasks ausführen. Informationen dazu enthalten die folgenden Themen: v „IBM WebSphere Application Server Feature Pack for Web 2.0 and Mobile installieren” auf Seite 30 v „Gemeinsam genutzte JAX-RS-Bibliothek hinzufügen” auf Seite 46 v „IMS Server zur Verwendung von Verzeichnisservern konfigurieren” v „Sichern und wiederherstellen” auf Seite 200 v „Komponenten stoppen und starten” auf Seite 205 v „IMS Server manuell in WebSphere Application Server implementieren” auf Seite 212 v „Web-Server-Plug-in für WebSphere Application Server manuell installieren” auf Seite 217 v „Datenbank in SQL Server manuell erstellen” auf Seite 219 v „Anwendungssicherheit in WebSphere Application Server aktivieren” auf Seite 213 v „Grundlegende Befehle für die Verwaltung von WebSphere Application Server-Profilen” auf Seite 220 v „Methoden zum Auflösen von Hosts und IP-Adressen” auf Seite 221 v „SSL-Zertifikat für IBM HTTP Server erneuern” auf Seite 222 v „IMS-Stammzertifizierungsstelle dem Truststore hinzufügen” auf Seite 223 v „SSL-Zertifikat des Verzeichnisservers zu WebSphere Application Server hinzufügen” auf Seite 224 v „Name und Kennwort des IBM HTTP Server-Administrators abrufen” auf Seite 225 v „Anwendung TAM E-SSO IMS in WebSphere Application Server deinstallieren” auf Seite 226 IMS Server zur Verwendung von Verzeichnisservern konfigurieren Sie können IMS Server zur Verwendung eines LDAP-Servers oder mehrerer Active Directory-Server konfigurieren. Verzeichnisserver können entweder über den IMSKonfigurationsassistenten oder über das IMS-Konfigurationsdienstprogramm konfiguriert werden. Verwenden Sie den IMS-Konfigurationsassistenten, um IMS Server erstmalig in einer Neuinstallation einzurichten. Der IMS-Konfigurationsassistent umfasst Schritte zum Einrichten von IMS Server zur Verwendung von Verzeichnisservern. Verwenden Sie den IMS-Konfigurationsdienstprogrammen, um IMS Server zu einem späteren Zeitpunkt zur Verwendung von Verzeichnisservern einzurichten. Nach der Konfiguration des Verzeichnisservers müssen Sie WebSphere Application Server unverzüglich erneut starten, um die Konfigurationsänderungen anzuwen- 191 den. Wenn Sie die Web-Server-Definition und den Verzeichnisserver vor dem Neustart von WebSphere Application Server konfigurieren, wird die Konfiguration nicht gespeichert. Stellen Sie sicher, dass die Repositorys des Verzeichnisservers aktiv sind, um eine Verbindung zu diesen Repositorys herstellen zu können. Sind ein oder mehrere der konfigurierten Repositorys nicht erreichbar, ist es nicht möglich, eine Authentifizierung durchzuführen oder WebSphere Application Server zu stoppen. Wenn das Problem weiterhin besteht, liegt dies an einer Sicherheitsfunktion von Virtual Member Manager. Virtual Member Manager prüft vor der Authentifizierung des Benutzers stets alle Repositorys. Weitere Informationen zur Lösung dieses Problems finden Sie unter der Adresse http://publib.boulder.ibm.com/infocenter/ wasinfo/v7r0/index.jsp?topic=/com.ibm.websphere.wim.doc/ UnableToAuthenticateWhenRepositoryIsDown.html. IMS Server für die Verwendung von Active Directory-Servern konfigurieren Fügen Sie vorbereitete Active Directory-Server hinzu, damit IMS Server Benutzeraccountinformationen für die Autorisierung nachschlagen kann. Sie können mehrere Active Directory-Server hinzufügen. Vorbereitende Schritte Sie können die Self-Service-Zurücksetzung von Kennwörtern in AccessAssistant und Web Workplace unter den folgenden Bedingungen für die Active DirectoryVerbindung bereitstellen: v SSL wird nicht verwendet: Stellen Sie sicher, dass IBM Security Identity Manager Active Directory Adapter auf dem Verzeichnisserver oder auf einem separaten Host installiert ist und ausgeführt wird. Bereiten Sie sich darauf vor, die Berechtigungsnachweise für einen Benutzer mit Verwaltungsaufgaben oder einen designierten Benutzer mit Berechtigungen zum Zurücksetzen von Kennwörtern anzugeben. Beispiel: myresetusr. v SSL wird verwendet: Bereiten Sie sich darauf vor, die Berechtigungsnachweise für einen Benutzer mit Verwaltungsaufgaben oder einen designierten Benutzer mit Berechtigungen zum Zurücksetzen von Kennwörtern anzugeben. Beispiel: myresetusr. Anmerkung: Tivoli Identity Manager Active Directory Adapter muss nicht installiert werden. Fügen Sie für SSL-Verbindungen die SSL-Zertifikate des Verzeichnisservers zu WebSphere Application Server hinzu. Sie müssen die folgenden Unternehmensverzeichnisinformationen vorbereiten: v FQDN des Domänencontrollers. Beispiel: adserver.team.example.com v DNS-Name der Domäne. Beispiel: team.example.com. v Berechtigungsnachweise für den Benutzer für die Suche des Verzeichnisses. Beispiel: lookupusr. v Basis-DN. Beispiel: cn=users,dc=team,dc=example,dc=com 192 IBM® Security Access Manager for Enterprise Single Sign-On: Installation v Optional: Für Zurücksetzungen von Kennwörtern in AccessAssistant und Web Workplace benötigen Sie die Berechtigungsnachweise für einen Verzeichnisbenutzer mit Berechtigungen für das Zurücksetzen von Kennwörtern. Beispiel: myresetusr. Wenn Sie das Arbeitsblatt für die Planung verwenden, finden Sie in Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175 Informationen. Informationen zu diesem Vorgang Wenn Sie sich im Verlauf der Konfiguration von IMS Server mit dem IMS-Konfigurationsassistenten befinden, führen Sie diese Schritte aus und fahren Sie dann mit den Prozeduren unter „IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten konfigurieren (eigenständig)” auf Seite 78 fort. Vorgehensweise 1. Klicken Sie auf Neues Repository hinzufügen. 2. Wählen Sie den Unternehmensverzeichnistyp aus. a. Wählen Sie Active Directory aus. b. Klicken Sie auf Weiter. 3. Führen Sie für Active Directory-Server die folgenden Schritte aus: a. Geben Sie an, ob der Kennwortabgleich aktiviert werden soll. Der Kennwortabgleich ist nur für Active Directory-Server verfügbar. Wenn der Kennwortabgleich aktiviert ist, wird das Kennwort von IBM Security Access Manager for Enterprise Single Sign-On mit Active Directory abgeglichen. Wenn Sie das Kennwort ändern, wird es durch die Software auf jedem Active Directory-Host geändert, auf dem der Benutzer über einen Account verfügt. Wenn es zu einer Out-of-band-Kennwortzurücksetzung kommt, wird das Kennwort von IBM Security Access Manager for Enterprise Single SignOn bei der nächsten Online-Anmeldung erneut abgeglichen. Weitere Details zum Active Directory-Kennwortabgleich enthält das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide. b. Geben Sie die Repository-Verbindungsdetails an. Tipp: Weitere Hilfeinformationen für die einzelnen Elemente können Sie anzeigen, indem Sie den Cursor über die Elemente bewegen. FQDN des Domänencontrollers Geben Sie den vollständig qualifizierten Domänennamen (FQDN) des Domänencontrollers an. Beispiel: adserver.team.example.com DNS-Name der Domäne Geben Sie den Domänennamen des Servers an, zu dem IMS Server eine Verbindung herstellt. Beispiel: team.example.com. Anmerkung: Dieses Attribut ist der vollständig qualifizierte Namen des DNS. Es ist nicht die "Domäne" des Servers. NetBIOS-Name der Domäne Geben Sie den NetBIOS-Domänennamen des Repository-Hosts an. Der NetBIOS-Domänenname ist in der Regel mit dem RepositoryHostnamen derselben Domäne identisch. Beispiel: mydirsvr. Kapitel 7. Sonstige Installations- und Konfigurationstasks 193 Anmerkung: v Der NetBIOS-Name wird nicht von IMS Server geprüft. Sie müssen den korrekten Namen angeben. v Rufen Sie zum Ermitteln des korrekten NetBIOS-Domänennamens die Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach „nbtstat”. Siehe dazu die Anweisungen zur Verwendung von nbtstat für die Ermittlung des NetBIOS-Domänennamens mit dem Befehl nbtstat. Die Standardportnummer ohne SSL ist 389. Die Standardportnummer mit SSL ist 636. Port Anmerkung: Verwenden Sie zum Aktivieren der Zurücksetzung von Kennwörtern in einer Nicht-SSL-Umgebung die Komponente Tivoli Identity Manager Active Directory Adapter. In einer SSL-Umgebung müssen Sie Tivoli Identity Manager Active Directory Adapter nicht installieren. Bindungsbenutzername Geben Sie den Benutzernamen des Benutzers für die Suche an. Beispiel: lookupusr. Kennwort Geben Sie das Kennwort für den Benutzer für die Suche ein. 4. Klicken Sie auf Weiter. 5. Klicken Sie zum Anzeigen oder Anpassen weiterer Repositorydetails auf Erweiterte Einstellungen. 6. Geben Sie an, ob Sie eine SSL-Verbindung verwenden. Option Ohne SSL Parameter Verbinden mit Sie können lediglich FQDN/Hostname des Domänencontrollers auswählen. FQDN des Domänencontrollers Geben Sie den vollständig qualifizierten Domänennamen (FQDN) des Domänencontrollers an. Beispiel: adserver.team.example.com, wobei team.example.com der Domänennamensserver ist. DNS-Name der Domäne Geben Sie den Domänennamen des Active Directory-Servers an, der mit IMS Server verbunden ist. Beispiel: team.example.com NetBIOS-Name der Domäne Geben Sie den NetBIOS-Domänennamen an. Der NetBIOS-Domänenname ist in der Regel mit dem Hostnamen des Computers in derselben Domäne identisch. Beispiel: mydirsvr Anmerkung: v Der NetBIOS-Name wird nicht von IMS Server geprüft. Sie müssen den korrekten Namen angeben. v Rufen Sie zum Ermitteln des korrekten NetBIOS-Domänennamens die Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach „nbtstat”. Siehe dazu die Anweisungen zur Verwendung von nbtstat für die Ermittlung des NetBIOS-Domänennamens. 194 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Option Parameter Port Geben Sie die Portnummer an. Beispiel: Die Standardeinstellung ist 389 (ohne SSL) oder 636 (mit SSL). Bindungsbenutzername Geben Sie den Benutzernamen des Benutzers für die Suche an. Beispiel: administrator. Kennwort Geben Sie das Kennwort für den Benutzer für die Suche ein. Basis-DN Mindestens ein Basis-DN ist erforderlich. Der Basis-DN gibt den Ausgangspunkt für Suchvorgänge auf diesem Verzeichnisserver an. Für die Autorisierung muss für dieses Feld standardmäßig die Groß-/Kleinschreibung beachtet werden. Gleichen Sie die Groß-/Kleinschreibung mit der auf dem Verzeichnisserver ab. Beispiel: Für einen Benutzer mit dem DN cn=lookupusr,cn=users,dc=team,dc=example,dc=com müssen Sie den Basis-DN mit einer der folgenden Optionen angeben: cn=users,dc=team,dc=example,dc=com oder dc=team,dc=example,dc=com. Failover-Domänencontroller Verwenden Sie einen Failover-Domänencontroller für replizierte Active Directory-Server in einer Hochverfügbarkeitskonfiguration. Geben Sie den Hostnamen oder den vollständig qualifizierten Domänennamen sowie die Portnummer des sekundären Domänencontrollers an. Der sekundäre Domänencontroller wird verwendet, wenn der primäre Domänencontroller fehlschlägt. Mit SSL Verbinden mit Wenn Sie SSL verwenden, können Sie mit der Angabe DNS-Name der Domäne oder der Angabe FQDN/Hostname des Domänencontrollers eine Verbindung zum Server herstellen. Wenn Sie zum Auflösen von Hostnamen oder IP-Adressen einen Domänennamensserver verwenden, wählen Sie DNS-Name der Domäne aus. Wenn Sie FQDN/Hostname des Domänencontrollers auswählen, wird FQDN/Hostname des Domänencontrollers angezeigt. FQDN/Hostname des Domänencontrollers Wenn Sie sich für die Verbindungsherstellung über FQDN/Hostname des Domänencontrollers entscheiden, wird der Hostname des Domänencontrollers oder der vollständig qualifizierte Domänenname angezeigt. DNS-Name der Domäne Der Domänenname des Active Directory-Servers, der mit IMS Server verbunden ist, wird angezeigt. Beispiel: team.example.com Kapitel 7. Sonstige Installations- und Konfigurationstasks 195 Option Parameter NetBIOS-Name der Domäne Geben Sie den NetBIOS-Domänennamen an. Der NetBIOS-Domänenname ist in der Regel mit dem Hostnamen des Computers in derselben Domäne identisch. Beispiel: mydirsvr Anmerkung: v Der NetBIOS-Name wird nicht von IMS Server geprüft. Sie müssen den korrekten Namen angeben. v Rufen Sie zum Ermitteln des korrekten NetBIOS-Domänennamens die Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach „nbtstat”. Siehe dazu die Anweisungen zur Verwendung von nbtstat für die Ermittlung des NetBIOS-Domänennamens. Definierter Name für Bindung Geben Sie den definierten Namen (DN) für den Benutzer für die Suche ein. Der definierte Name ist der Name, der einen Eintrag im Verzeichnis eindeutig angibt. Der Verzeichnisbenutzer muss für die Ausführung von Verzeichnissuchvorgängen autorisiert werden. Ein definierter Name besteht aus Attribut/Wert-Paaren (Attribut=Wert), die durch Kommas voneinander getrennt sind. Beispiel: cn=lookupusr,cn=users,dc=team,dc=example,dc=com Kennwort Geben Sie das Kennwort für den Benutzer für die Suche ein. Basis-DN Mindestens ein Basis-DN ist erforderlich. Der Basis-DN gibt den Ausgangspunkt für Suchvorgänge auf diesem Verzeichnisserver an. Für die Autorisierung muss für dieses Feld standardmäßig die Groß-/Kleinschreibung beachtet werden. Gleichen Sie die Groß-/Kleinschreibung mit der auf dem Verzeichnisserver ab. Beispiel: Für einen Benutzer mit dem DN cn=lookupusr,cn=users,dc=team,dc=example,dc=com müssen Sie den Basis-DN mit einer der folgenden Optionen angeben: cn=users,dc=team,dc=example,dc=com oder dc=team,dc=example,dc=com. Failover-Domänencontroller Dieses Feld wird nur dann angezeigt, wenn Sie eine Verbindung über FQDN/ Hostname des Domänencontrollers entscheiden. Verwenden Sie einen Failover-Domänencontroller für replizierte Active Directory-Server in einer Hochverfügbarkeitskonfiguration. Geben Sie den Hostnamen oder den vollständig qualifizierten Domänennamen sowie die Portnummer des sekundären Domänencontrollers an. Der sekundäre Domänencontroller wird verwendet, wenn der primäre Domänencontroller fehlschlägt. 7. Wenn der Kennwortabgleich aktiviert ist: a. Sie können sich für die Aktivierung von Zurücksetzen des Kennworts für AccessAssistant/Web Workplace entscheiden. Wenn Sie diese Funktion aktivieren, können Benutzer ihre Kennwörter in AccessAssistant oder Web Workplace zurücksetzen. b. Wenn Sie Zurücksetzen des Kennworts für AccessAssistant/Web Workplace aktiviert haben, müssen Sie die Benutzerberechtigungsnachweise eines Verzeichnisbenutzers mit Berechtigungen zum Zurücksetzen von Kennwörtern, Hostname und Portnummer eingeben. 196 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Für Nicht-SSL-Verbindungen von Active Directory sind der Hostname und die Portnummer die Details von Tivoli Identity Manager Active Directory Adapter. Beim Angeben der Benutzerberechtigungsnachweise müssen Sie die Berechtigungsnachweise für einen Verzeichnisbenutzer mit Verwaltungsaufgaben oder einen designierten Verzeichnisbenutzer mit Berechtigungen zum Zurücksetzen von Kennwörtern für den Verzeichnisserver angeben. Beispiel: myresetusr. Anmerkung: Siehe „Verzeichnisserver vorbereiten” auf Seite 36. 8. Klicken Sie auf Weiter. 9. Starten Sie WebSphere Application Server erneut. a. Stoppen Sie WebSphere Application Server (für eigenständige Implementierungen) oder den Deployment Manager (für Netzimplementierungen). b. Starten Sie WebSphere Application Server (für eigenständige Implementierungen) oder den Deployment Manager (für Netzimplementierungen). Nächste Schritte Falls die Konfiguration des Unternehmensverzeichnisses Teil einer Neuinstallation von IMS Server ist, finden Sie in den folgenden Abschnitten weitere Informationen: v Für Implementierungen virtueller Einheiten siehe „Virtuelle Einheit aktivieren und konfigurieren” auf Seite 52. v Für eigenständige Implementierungen fahren Sie mit Schritt 18 auf Seite 81 unter „IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten konfigurieren (eigenständig)” auf Seite 78 fort. v Für Netzimplementierungen fahren Sie mit Schritt 18 auf Seite 81 unter „IMS Server mit dem IMS-Konfigurationsassistenten konfigurieren (Netzimplementierung)” auf Seite 109 fort. IMS Server für die Verwendung von LDAP-Servern konfigurieren Sie können vorbereitete LDAP-Server, wie Tivoli Directory Server, hinzufügen, damit IMS Server den Verzeichnisserver bezüglich der Berechtigungsnachweisautorisierung durchsuchen kann. Sie können einen einzigen LDAP-Server hinzufügen. Vorbereitende Schritte Sie müssen die folgenden Unternehmensverzeichnisinformationen vorbereiten: v Berechtigungsnachweise für den Benutzer für die Suche des Verzeichnisses. Beispiel: lookupusr. v Definierter Name für Bindung. Beispiel: cn=lookupusr,ou=users,o=example,c=us. v Basis-DN. Beispiel: ou=users,o=example,c=us. Wenn Sie Verzeichnisserver für eine Neuinstallation von IMS Server konfigurieren, müssen Sie sicherstellen, dass Sie sich beim IMS-Konfigurationsassistenten anmelden. Wenn Sie das Arbeitsblatt für die Planung verwenden, finden Sie in Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175 Informationen. Kapitel 7. Sonstige Installations- und Konfigurationstasks 197 Für SSL-Verzeichnisserververbindungen müssen Sie das SSL-Zertifikat zu WebSphere Application Server hinzufügen. Informationen zu diesem Vorgang Wenn Sie sich mitten in der Konfiguration von IMS Server mit dem IMS-Konfigurationsassistenten befinden, führen Sie diese Schritte aus. Fahren Sie dann mit den Prozeduren in „IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten konfigurieren (eigenständig)” auf Seite 78 fort. Vorgehensweise 1. Klicken Sie auf Neues Repository hinzufügen. 2. Wählen Sie den Unternehmensverzeichnistyp aus. a. Wenn Sie LDAP-Server verwenden, wählen Sie LDAP aus. b. Klicken Sie auf Weiter. 3. Geben Sie für den LDAP-Server die folgenden Details an: a. Geben Sie die Repositorydetails an. Tipp: Weitere Hilfeinformationen für die einzelnen Elemente können Sie anzeigen, indem Sie den Cursor über die Elemente bewegen. FQDN/Hostname des Domänencontrollers Geben Sie den Hostnamen oder den vollständig qualifizierten Domänennamen des LDAP-Servers an. Beispiel: mydirsvr Port Geben Sie die Portnummer an. Beispiel: Die Standardeinstellung ist 389 (ohne SSL) oder 636 (mit SSL). Hinweis: Wenn bei Ihrer Implementierung nicht standardmäßige Portnummern verwendet werden oder Sie über SSL eine Verbindung zum Repository herstellen, müssen Sie die korrekte Portnummer angeben. Definierter Name für Bindung Zeigt den definierten Namen für den Benutzer für die Suche an. Der definierte Name ist der Name, der einen Eintrag im Verzeichnis eindeutig angibt. Der Benutzer für die Suche muss für die Ausführung von Verzeichnissuchvorgängen auf dem Server autorisiert werden. Ein definierter Name besteht aus Attribut/Wert-Paaren (Attribut=Wert), die durch Kommas voneinander getrennt sind. Beispiel: cn=lookupusr,ou=users,o=example,c=us. Kennwort Geben Sie das Kennwort für den Benutzer für die Suche ein. 4. Klicken Sie zum Anpassen weiterer Repositorydetails auf Erweitert. SSL verwenden Geben Sie an, ob Sie eine SSL-Verbindung verwenden. FQDN/Hostname des Domänencontrollers Geben Sie den vollständig qualifizierten Domänennamen (FQDN) des Domänencontrollers an. Beispiel: mydirsvr. Port 198 Geben Sie die Portnummer an. Beispiel: Der Standardport ist 389 (ohne SSL) oder 636 (mit SSL). IBM® Security Access Manager for Enterprise Single Sign-On: Installation Definierter Name für Bindung Geben Sie den definierten Namen (DN) für den Benutzer für die Suche ein. Der definierte Name ist der Name, der einen Eintrag im Verzeichnis eindeutig angibt. Ein definierter Name besteht aus Attribut/Wert-Paaren (Attribut=Wert), die durch Kommas voneinander getrennt sind. Beispiel: cn=lookupusr,ou=users,o=example,c=us. Kennwort Geben Sie das Kennwort für den Benutzer für die Suche ein. Benutzernamensattribute Geben Sie ein gültiges Attribut für den Benutzernamen des Unternehmensverzeichnisses an, das Benutzer als ihren Benutzernamen für die Authentifizierung angeben. Andere Attribute können ebenfalls für den Benutzernamen verwendet werden. Beispiel: Wenn Sie das Attribut Mail angeben, müssen Benutzer ihre E-Mail-Adressen als Benutzernamen eingeben. Um andere Attribute für den Benutzernamen (z. B. Ausweisnummer, EMail-Adresse oder Personalnummer) zu verwenden, müssen Sie stattdessen die Eigenschaften für angepasste Attribute angeben. Für LDAP ist die Standardeinstellung cn. Basis-DN Mindestens ein Basis-DN ist erforderlich. Der Basis-DN gibt den Ausgangspunkt für Suchvorgänge auf diesem LDAP-Verzeichnisserver an. Für die Autorisierung muss für dieses Feld standardmäßig die Groß-/ Kleinschreibung beachtet werden. Gleichen Sie die Groß-/ Kleinschreibung mit der auf dem Verzeichnisserver ab. Beispiel: Für einen Benutzer mit dem DN cn=lookupusr,ou=users,o=example,c=us müssen Sie den Basis-DN mit der folgenden Option angeben: ou=users,o=example,c=us. Failover-Domänencontroller Verwenden Sie einen Failover-Domänencontroller, um die Hochverfügbarkeit des LDAP-Servers sicherzustellen. Geben Sie den Hostnamen oder den vollständig qualifizierten Domänennamen sowie die Portnummer des sekundären Domänencontrollers an. Der sekundäre Domänencontroller wird verwendet, wenn der primäre Domänencontroller fehlschlägt. 5. Klicken Sie auf Weiter. 6. Starten Sie WebSphere Application Server erneut. a. Stoppen Sie WebSphere Application Server (für eigenständige Implementierungen) oder den Deployment Manager (für Netzimplementierungen). b. Starten Sie WebSphere Application Server (für eigenständige Implementierungen) oder den Deployment Manager (für Netzimplementierungen). Ergebnisse Sie haben Verzeichnisserververbindungen für IMS Server hinzugefügt und konfiguriert. IMS Server prüft Benutzerberechtigungsnachweise anhand der angegebenen Verzeichnisserver. Kapitel 7. Sonstige Installations- und Konfigurationstasks 199 Nächste Schritte Wenn Sie einen anderen Verzeichnisserver als IBM Tivoli Directory Server verwenden, gibt es zusätzliche Konfigurationsschritte. Siehe „Anderen generischen LDAPVerzeichnisserver als Tivoli Directory Server konfigurieren”. Stellen Sie sicher, dass Sie WebSphere Application Server erneut starten, um die Änderungen an der Verzeichnisserverkonfiguration anzuwenden. So setzen Sie die Konfiguration von IMS Server mit dem IMS-Konfigurationsassistenten fort: v Für Implementierungen virtueller Einheiten siehe „Virtuelle Einheit aktivieren und konfigurieren” auf Seite 52. v Für eigenständige Implementierungen siehe „IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten konfigurieren (eigenständig)” auf Seite 78. v Für Netzimplementierungen siehe „IMS Server mit dem IMS-Konfigurationsassistenten konfigurieren (Netzimplementierung)” auf Seite 109. Anderen generischen LDAP-Verzeichnisserver als Tivoli Directory Server konfigurieren Wenn Sie einen anderen LDAP-Verzeichnisserver als Tivoli Directory Server konfigurieren, müssen Sie den Verzeichnistyp angeben und dann den Anwendungsserver erneut starten. Vorbereitende Schritte Führen Sie die Konfiguration des LDAP-Verzeichnisservers für IMS Server aus. Führen Sie die Konfiguration des Verzeichnisservers mithilfe des IMS-Konfigurationsdienstprogramms oder des IMS-Konfigurationsassistenten aus. Siehe „IMS Server für die Verwendung von LDAP-Servern konfigurieren” auf Seite 197. Vorgehensweise 1. Legen Sie den LDAP-Verzeichnistyp fest. a. Melden Sie sich bei der WebSphere-Administrationskonsole an. b. Klicken Sie in der Administrationskonsole auf Security > Global security. c. Stellen Sie unter User account repository in der Liste Available realm definitions sicher, dass Federated repositories ausgewählt ist. d. Klicken Sie auf Configure. e. Klicken Sie unter Related Items auf Manage repositories. f. Klicken Sie auf den konfigurierten LDAP-Server. g. Wählen Sie in Directory type den korrekten Verzeichnistyp aus. Beispiel: IBM Lotus Domino. h. Klicken Sie auf Apply. 2. Starten Sie WebSphere Application Server erneut. Sichern und wiederherstellen Sie müssen Ihre Serverkonfiguration und Ihre Datenbank sichern, bevor Sie mit einem Server-Upgrade beginnen. Sie können Ihre Implementierung auch als Routineprozedur in Ihrem Wiederherstellungsplan für Notfälle sichern. 200 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Verwenden Sie das Befehlszeilentool manageprofiles, um WebSphere Application Server-Profile zu sichern. Hinweis: Um sicherzustellen, dass Sie bekannte Serversicherungen zur raschen Wiederherstellung erforderlicher Serversysteme bei Notfällen verwenden können, müssen Sie wie folgt vorgehen: v Prüfen Sie Serversicherungen in regelmäßigen Abständen. v Testen und verwalten Sie Änderungen an zusätzlichen internen Wiederherstellungsprozeduren stets. WebSphere Application Server-Profile sichern (Befehl manageprofiles) Sie können Ihre WebSphere Application Server-Profile mit dem Befehl manageprofiles sichern, bevor Sie ein Upgrade für einen Server durchführen oder wenn Sie routinemäßige Systemsicherungen bei Prozeduren für die Notfallwiederherstellung durchführen. Vorbereitende Schritte Stellen Sie sicher, dass die folgenden Komponenten gestoppt sind: v WebSphere Application Server. Siehe „WebSphere Application Server unter Windows stoppen” auf Seite 210. v (Netzimplementierung) Knotenagent. v (Netzimplementierung) Deployment Manager. v IBM HTTP Server. Vorgehensweise 1. Öffnen Sie die Eingabeaufforderung. 2. Navigieren Sie zum Verzeichnis <was-ausgangsverzeichnis>\bin. Geben Sie beispielsweise Folgendes ein: cd <was-ausgangsverzeichnis>\bin Beispiel: cd c:\Programme\IBM\WebSphere\AppServer\bin 3. Verwenden Sie den WebSphere Application Server-Befehl manageprofiles mit dem Parameter backupProfile. manageprofiles.bat -backupProfile -profileName <profilname> -backupFile <sicherungsdateiname> Beispiel: Eigenständig manageprofiles.bat -backupProfile -profileName AppSrv01 -backupFile c:\backup\AppSrv01yymmdd.zip Netzimplementierung manageprofiles.bat -backupProfile -profileName Dmgr01 -backupFile c:\backup\Dmgr01yymmdd.zip Kapitel 7. Sonstige Installations- und Konfigurationstasks 201 IMS Server-Konfiguration sichern (Export Configuration Utility) Sie können die IMS Server-Konfiguration in einer Datei sichern oder in eine Datei exportieren und dazu das Dienstprogramm für den Konfigurationsexport (Export Configuration Utility) verwenden. Vorbereitende Schritte Stellen Sie sicher, dass die folgenden Server aktiv sind und auf Anforderungen antworten: v Datenbankserver v Verzeichnisserver Informationen zu diesem Vorgang Zu IMS Server gehört ein integriertes Sicherungsdienstprogramm für Serverkonfigurationen. Sie können mit Export Configuration Utility Serverkonfigurationen replizieren oder IMS Server 8.2.1 sichern. Das Dokument IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide enthält Informationen zur Verwendung von Export Configuration Utility für die Sicherung der Konfiguration des Serverprofils. Datenbank in DB2 9.7 sichern Sichern Sie die Datenbank in DB2, bevor Sie ein Upgrade durchführen, oder nach einer erfolgreichen Serverinstallation. Vorbereitende Schritte Stellen Sie sicher, dass die folgenden Server gestoppt sind: v WebSphere Application Server v Knoten v Deployment Manager v IBM HTTP Server Vorgehensweise 1. Starten Sie die DB2-Steuerzentrale. 2. Klicken Sie mit der rechten Maustaste auf die zu sichernde IMS Server-Datenbank. Beispiel: Klicken Sie mit der rechten Maustaste auf imsdb. 3. 4. 5. 6. 7. 8. 9. Wählen Sie Backup aus. Klicken Sie auf Next. Wählen Sie in Media Type die Option File System aus. Klicken Sie auf Add. Geben Sie den Pfad für die Speicherung der Sicherungsdateien an. Klicken Sie auf OK. Klicken Sie auf Next. 10. Klicken Sie auf der Seite Choose your backup options auf Next. 11. Klicken Sie auf der Seite Specify performance options for the backup auf Next. 202 IBM® Security Access Manager for Enterprise Single Sign-On: Installation 12. 13. 14. 15. Wählen Sie Run now without saving task history aus. Klicken Sie auf Next. Überprüfen Sie die Zusammenfassung. Klicken Sie auf Finish. Ergebnisse Sie haben die Datenbank gesichert. Nächste Schritte Starten Sie IBM HTTP Server und WebSphere Application Server. Wenn Sie die Datenbanksicherung vor einem Upgradeprozess ausführen, finden Sie die zugehörigen Informationen bei den Upgradeprozeduren. Prüfen Sie, ob Sie die Server vor dem Durchführen des Upgrades stoppen müssen. Datenbank in DB2 10.1 sichern Sichern Sie die Datenbank in DB2, bevor Sie ein Upgrade durchführen, oder nach einer erfolgreichen Serverinstallation. Vorbereitende Schritte Sie müssen über die Berechtigung 'SYSADM', 'SYSCTRL' oder 'SYSMAINT' verfügen. Datenbanken müssen katalogisiert werden. Geben Sie in der Befehlszeile die Zeichenfolge DB2 LIST DATABASE DIRECTORY ein, um die katalogisierte Datenbank in der aktuellen Instanz anzuzeigen. Vorgehensweise 1. Klicken Sie auf Programme > IBM DB2 > Command Line Processor. 2. Trennen Sie alle Anwendungen und Benutzer von der Datenbank. v Rufen Sie mithilfe des Befehls db2 LIST APPLICATIONS eine Liste aller Datenbankverbindungen für die aktuelle Instanz ab. Der Befehl gibt die folgende Meldung zurück, wenn alle Anwendungen getrennt wurden:SQL1611W No data was returned by the Database System Monitor. SQLSTATE=00000. v Um alle Anwendungen und Benutzer zu trennen, verwenden Sie den Befehl db2 FORCE APPLICATION ALL. 3. Sichern Sie Ihre Datenbank mithilfe des Befehls BACKUP DATABASE. Verwenden Sie die folgenden Parameter: v Datenbankalias: database_alias v Benutzername: username v Kennwort: password v Verzeichnis, in dem die Sicherungsdateien erstellt werden sollen: backup-dir Weitere Informationen finden Sie unter http://pic.dhe.ibm.com/infocenter/ db2luw/v10r1/index.jsp?topic=%2Fcom.ibm.db2.luw.qb.upgrade.doc %2Fdoc%2Ft0007139.html Kapitel 7. Sonstige Installations- und Konfigurationstasks 203 Ergebnisse Sie haben die Datenbank gesichert. Nächste Schritte Starten Sie IBM HTTP Server und WebSphere Application Server. Wenn Sie die Datenbanksicherung vor einem Upgradeprozess ausführen, finden Sie die zugehörigen Informationen bei den Upgradeprozeduren. Prüfen Sie, ob Sie die Server vor dem Durchführen des Upgrades stoppen müssen. WebSphere Application Server-Profile wiederherstellen Stellen Sie die WebSphere Application Server-Profile aus einer Sicherung wieder her, wenn Sie eine Wiederherstellung aus einem zuvor gesicherten, funktionierenden WebSphere Application Server-Profil ausführen müssen. Vorbereitende Schritte Stellen Sie sicher, dass die folgenden Server gestoppt sind: v WebSphere Application Server v Knotenagenten v IBM HTTP Server Stellen Sie sicher, dass das Verzeichnis <was-ausgangsverzeichnis>/profiles keinen Ordner enthält, dessen Namen Ähnlichkeit mit dem wiederherzustellenden Profil aufweist. Wenn ein Duplikat vorhanden ist, können Sie das Profil mit dem Befehl manageprofiles löschen oder den Ordner an eine andere Position verschieben. Vorgehensweise 1. Navigieren Sie in einer Eingabeaufforderung zum Verzeichnis <wasausgangsverzeichnis>\bin. Geben Sie cd <was-ausgangsverzeichnis>\bin ein. Beispiel: cd c:\Programme\IBM\WebSphere\AppServer\bin 2. Stellen Sie das Profil wieder her. Geben Sie manageprofiles -restoreProfile -backupFile <position_der_sicherungsdatei> ein. Beispiel: manageprofiles -restoreProfile -backupFile c:\backup\AppSrv01yymmdd.zip Das Befehlszeilentool manageprofiles führt die Wiederherstellung immer in demselben Pfad durch, in dem das Profil auch gesichert wurde. 3. Stellen Sie sicher, dass das Profil auch wiederhergestellt wurde. Navigieren Sie zum Verzeichnis <was-ausgangsverzeichnis>\profiles. Beispiel: <wasausgangsverzeichnis>\profiles\AppSrv01. Wenn das Profil erfolgreich wiederhergestellt wurde, wird ein zugehöriger Ordner angezeigt. Ergebnisse Sie haben das WebSphere Application Server-Profil wiederhergestellt. Wenn Sie diese Task bei einer Prozedur zur Wiederherstellung eines Servers ausführen, starten Sie das Profil nicht. Stellen Sie fest, ob Sie zunächst die Datenbank wiederherstellen müssen. 204 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Datenbank in DB2 wiederherstellen Sie können die Datenbank in DB2 wiederherstellen, um eine Wiederherstellung aus einer früheren Datenbanksicherung auszuführen. Vorbereitende Schritte Stoppen Sie IBM HTTP Server. Vorgehensweise 1. Starten Sie die DB2-Steuerzentrale. 2. Klicken Sie mit der rechten Maustaste auf die wiederherzustellende Datenbank. 3. Wählen Sie Restore to an existing database aus. 4. Klicken Sie auf Next. 5. Wählen Sie unter Available back up images die ausgeführte Sicherung aus. 6. Klicken Sie auf die Rechtspfeilschaltfläche. 7. Klicken Sie auf Next. 8. Klicken Sie in Set non-automatic storage containers for redirected restore auf Next. 9. Klicken Sie in Choose your restore options auf Next. 10. Klicken Sie in Select performance options for the restore auf Next. 11. Wählen Sie Run now without saving task history aus. 12. Klicken Sie auf Next. 13. Überprüfen Sie die Zusammenfassung. 14. Klicken Sie auf Finish. Der Wiederherstellungsprozess der Datenbank beginnt. Ergebnisse Sie haben die Datenbank wiederhergestellt. Nächste Schritte Wenn Sie diese Task bei einer Wiederherstellungsprozedur für den Server ausführen, können Sie die Datenbank, IBM HTTP Server und WebSphere Application Server starten. Gehen Sie wie folgt vor, um WebSphere Application Server für eine Netzimplementierung zu starten: 1. Starten Sie den Deployment Manager. 2. Starten Sie die Knotenagenten. 3. Starten Sie den Cluster. Komponenten stoppen und starten Starten oder stoppen Sie den IBM Security Access Manager for Enterprise Single Sign-On-Server, WebSphere Application Server, Cluster oder IBM HTTP Server, um Installations-, Upgrade- oder Konfigurationstasks auszuführen. Wichtig: Bei der Ausführung von Befehlszeilentools unter den Betriebssystemen Windows 7 und Windows Server 2008 (bei aktivierter Windows-Benutzerkonten- Kapitel 7. Sonstige Installations- und Konfigurationstasks 205 steuerung) erfordern bestimmte Operationen Administratorberechtigungen. Als Beispiele können Operationen genannt werden, zu deren Ausführung WindowsDienste erforderlich sind. Um sicherzustellen, dass die folgenden Befehlszeilentools über ausreichende Berechtigungen verfügen, führen Sie sie auf Systemen mit Windows-Benutzerkontensteuerung mit erhöhter Administratorberechtigung sowie mit aktivierter Richtlinie Alle Administratoren im Administratorbestätigungsmodus ausführen aus. Um diese Befehlszeilentools in einer Eingabeaufforderung ausführen, gehen Sie folgendermaßen vor: 1. Klicken Sie mit der rechten Maustaste auf eine Eingabeaufforderungsverknüpfung. 2. Klicken Sie auf Als Administrator ausführen. Daraufhin wird ein Dialogfenster des Betriebssystems angezeigt. 3. Klicken Sie zum Fortfahren auf Weiter. IBM HTTP Server unter Windows stoppen und starten Sie können den Dienst für IBM HTTP Server unter Windows über die WebSphereAdministrationskonsole, das Startmenü oder die Befehlszeile stoppen und starten. Vorbereitende Schritte Stellen Sie sicher, dass der Verwaltungsdienst für IBM HTTP Server gestartet ist. Informationen zu diesem Vorgang In einer Clusterimplementierung können Sie dazu die WebSphere-Administrationskonsole verwenden, wenn Sie mehrere ferne Web-Server von einer einzigen Position aus verwalten oder erneut starten müssen. Normalerweise müssen Sie IBM HTTP Server stoppen, bevor Sie Fixpacks oder IBM HTTP Server-Konfigurationsänderungen anwenden. Vorgehensweise v Gehen Sie wie folgt vor, um IBM HTTP Server über das Windows-Startmenü zu starten und zu stoppen: Option Bezeichnung IBM HTTP Server starten Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Start HTTP Server. IBM HTTP Server stoppen Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Stop HTTP Server. v Gehen Sie wie folgt vor, um IBM HTTP Server über die WebSphere-Administrationskonsole zu starten und zu stoppen: Anmerkung: Wenn der Web-Server nicht in der Administrationskonsole angezeigt wird, müssen Sie sicherstellen, dass Sie IBM HTTP Server konfiguriert haben. Durch Konfigurieren von IBM HTTP Server wird die Web-Server-Definition in der WebSphere-Administrationskonsole erstellt. 206 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Option Bezeichnung IBM HTTP Server starten 1. Starten Sie die WebSphereAdministrationskonsole und melden Sie sich mit WebSphereAdministratorberechtigungen an. 2. Klicken Sie auf Servers > Server Types > Web servers. 3. Wählen Sie das Kontrollkästchen neben jedem Web-Server aus. Beispiel: webserver1. 4. Klicken Sie auf Start. IBM HTTP Server stoppen 1. Starten Sie die WebSphereAdministrationskonsole und melden Sie sich mit WebSphereAdministratorberechtigungen an. 2. Klicken Sie auf Servers > Server Types > Web servers. 3. Wählen Sie das Kontrollkästchen neben jedem Web-Server aus. Beispiel: webserver1. 4. Klicken Sie auf Stop. v Gehen Sie wie folgt vor, um den Verwaltungsdienst von IBM HTTP Server zu starten und zu stoppen: Siehe die folgenden Beispiele: Verwaltungsdienst für IBM HTTP Server starten Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Start Admin Server. Verwaltungsdienst für IBM HTTP Server stoppen Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Stop Admin Server. Anmerkung: Für einige Prozeduren, wie das Anwenden von IBM HTTP ServerFixpacks, kann das Stoppen des Verwaltungsdiensts von HTTP Server eine Voraussetzung sein. Ergebnisse Sie haben IBM HTTP Server erneut gestartet. Beispiel Befehlszeilenalternativen (Windows) HTTP Server-Dienst stoppen net stop "IBM HTTP Server 7.0" HTTP-Verwaltungsserverdienst stoppen net stop "IBM HTTP Administration 7.0" HTTP Server-Dienst starten net start "IBM HTTP Server 7.0" HTTP-Verwaltungsdienst starten net start "IBM HTTP Administration 7.0" Kapitel 7. Sonstige Installations- und Konfigurationstasks 207 Nächste Schritte Prüfen Sie den Status von IBM HTTP Server in der Managementkonsole für Dienste. Führen Sie auf dem Web-Server-Host die Managementkonsole für Dienste aus. Prüfen Sie die Statusanzeiger für die Dienste IBM HTTP Server 7.0 und IBM HTTP Administration 7.0. WebSphere Application Server unter Windows starten Starten Sie WebSphere Application Server nach dem Herunterfahren oder einem Warmstart in einem Netzimplementierungscluster oder in einer eigenständigen Windows-Umgebung. Informationen zu diesem Vorgang Wenn Sie eine WebSphere Application Server-Anwendung erneut starten müssen, müssen Sie sie zunächst stoppen. Wenn Sie über mehrere Knoten in einem Cluster verfügen, müssen Sie den Dienst für den Knotenagenten in jedem Knoten einzeln starten. WebSphere Application Server umfasst Befehlszeilentools, wie startServer.bat, startNode.bat und startManager.bat, als Alternativen für das Starten von Servern, Knotenagenten oder des Deployment Manager-Knotens. Möglicherweise werden Sie zur Angabe weiterer WebSphere Application ServerAdministratorberechtigungsnachweise als Argumente aufgefordert, wenn Sie mit diesen Verwaltungsbefehlen arbeiten. Hilfe zur Verwendung von Befehlszeilentools mit aktivierter Sicherheit können Sie der Produktdokumentation von WebSphere Application Server entnehmen. Anmerkung: Wenn für WebSphere Application Server und den Knotenagenten ein Dienst erstellt wurde, wird dieser automatisch gestartet, nachdem der Host erneut gestartet wurde. Vorgehensweise v Gehen Sie wie folgt vor, um WebSphere Application Server in einer eigenständigen Konfiguration zu starten: Eigenständige Serverumgebung starten Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server Network Deployment V7.0 > <AppSrv01-profil> > Start the server. v Gehen Sie wie folgt vor, um WebSphere Application Server in einer Clusterkonfiguration zu starten: Deployment Manager starten Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server Network Deployment V7.0 > <Dmgr01-profil> > Start the deployment manager. Knotenagent starten <was-ausgangsverzeichnis>\profiles\Custom01\bin\startNode.bat 208 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Anmerkung: Wenn der Knotenagent gestoppt ist, kann die WebSphere Application Server-Administratorkonsole nicht zum Starten des Knotenagenten verwendet werden. Das Starten des Knotenagenten wird durch Verwenden des Befehls startNode erreicht. Cluster starten 1. Melden Sie sich bei der WebSphere-Administrationskonsole an. Beispiel: https://localhost:9043/ibm/console. 2. Klicken Sie in der Navigationsstruktur der Konsole auf Servers > Server Types > WebSphere application server clusters. 3. Wählen Sie das Kontrollkästchen für den nicht gestarteten Cluster aus. Beispiel: cluster1. 4. Klicken Sie auf Start. Ergebnisse Sie haben WebSphere Application Server gestartet. Beispiele Weitere Methoden zum Starten des Knotenagenten können Sie den folgenden Beispielen entnehmen: v Starten Sie den Knotenagenten mit dem WebSphere-Befehl startNode.bat. Geben Sie in einer Eingabeaufforderung den Befehl <was-ausgangsverzeichnis>\ profiles\Custom01\bin\startNode ein. v Starten Sie den Windows-Dienst für den Knotenagenten (Befehlszeile). 1. Klicken Sie auf Start > Ausführen. Geben Sie cmd ein. 2. Geben Sie in der Eingabeaufforderung net start "IBM WebSphere Application Server V7.0 - <name_des_knotenagentendiensts>" ein und drücken Sie dann die Eingabetaste. Beispiel: net start "IBM WebSphere Application Server V7.0 Custom01_nodeagent". Am Ende der Anzeige werden die folgenden Zeilen angezeigt: The IBM WebSphere Application Server V7.0 - Custom01_nodeagent service was started successfully. v Starten Sie den Knotenagenten (Managementkonsole für Windows-Dienste). 1. Klicken Sie auf Start > Ausführen. 2. Geben Sie services.msc ein. 3. Wählen Sie den Dienst für den Knotenagenten von IBM WebSphere Application Server aus. Beispiel: IBM WebSphere Application Server V7.0 Custom01_nodeagent. 4. Klicken Sie auf Start. Anmerkung: Wenn kein Dienst für einen Knotenagenten verfügbar ist, haben Sie den Windows-Dienst für den Knotenagenten nicht erstellt. Nächste Schritte (Eigenständig) Stellen Sie sicher, dass der eigenständige Server gestartet ist. Melden Sie sich bei der WebSphere-Administrationskonsole an. Kapitel 7. Sonstige Installations- und Konfigurationstasks 209 (Netzimplementierung) Stellen Sie sicher, dass Cluster, Knotenagent und Deployment Manager-Knoten gestartet sind. Melden Sie sich bei der WebSphere-Administrationskonsole an, um den Status der einzelnen Komponenten zu ermitteln. WebSphere Application Server unter Windows stoppen Sie können die Knoten in einer Netzimplementierung oder einen eigenständigen Server stoppen. Sie müssen Middleware stoppen, z. B. nach dem Anwenden von Administratoränderungen oder vor dem Anwenden von Fixpacks. Informationen zu diesem Vorgang Das Stoppen des Servers kann beim Ausführen einer Serverneuinstallation, einer Komponentenkonfiguration oder eines Upgrades erforderlich sein. Anmerkung: Nach dem Aktivieren der WebSphere-Administrationssicherheit müssen Sie zusätzliche WebSphere Application Server-Administratorberechtigungsnachweise als Argumente angeben, wenn Sie die WebSphere Application Server-Befehlszeilentools stopNode.bat und stopManager.bat verwenden. Hilfe bei der Verwendung von Befehlszeilentools mit aktivierter Sicherheit finden Sie in der Produktdokumentation von WebSphere Application Server. Bei den folgenden Beispielen werden standardmäßige Windows-Verknüpfungen und die WebSphere-Administrationskonsole verwendet, um dieselben Ergebnisse zu erzielen. Vorgehensweise v Gehen Sie wie folgt vor, um eine eigenständige WebSphere Application Server Version 7.0-Konfiguration zu stoppen: Eigenständigen Server stoppen Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server Network Deployment V7.0 > <AppSrv01-profil> > Stop the server. v Gehen Sie wie folgt vor, um eine eigenständige WebSphere Application Server Version 8.5-Konfiguration zu stoppen: Eigenständigen Server stoppen Klicken Sie auf Start > Alle Programme > IBM WebSphere > IBM Websphere Application Server > <AppSrv01-profil> > Stop the server. v Gehen Sie wie folgt vor, um eine WebSphere Application Server Version 7.0Clusterkonfiguration (Netzimplementierung) zu stoppen: Cluster stoppen Melden Sie sich bei der WebSphere Application Server-Administratorkonsole an. Beispiel: https://localhost:9043/ibm/console. Klicken Sie in der Navigationsstruktur der Konsole auf Servers > Server Types > WebSphere application server clusters. Wählen Sie das Kontrollkästchen für den Cluster aus. Klicken Sie auf Stop. Knotenagenten stoppen Melden Sie sich bei der WebSphere Application Server-Administratorkonsole an. Beispiel: https://localhost:9043/ibm/console. Klicken Sie in der Navigationsstruktur der Konsole auf Servers > System administration > Node agents. 210 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Wählen Sie das Kontrollkästchen nodeagent aus. Klicken Sie auf Stop. Deployment Manager stoppen Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server Network Deployment V7.0 > <Dmgr01-profil> > Stop the deployment manager. v Gehen Sie wie folgt vor, um eine WebSphere Application Server Version 8.5Clusterkonfiguration (Netzimplementierung) zu stoppen: Cluster stoppen Melden Sie sich bei der WebSphere Application Server-Administratorkonsole an. Beispiel: https://localhost:9043/ibm/console. Klicken Sie in der Navigationsstruktur der Konsole auf Servers > Server Types > WebSphere application server clusters. Wählen Sie das Kontrollkästchen für den Cluster aus. Klicken Sie auf Stop. Knotenagenten stoppen Melden Sie sich bei der WebSphere Application Server-Administratorkonsole an. Beispiel: https://localhost:9043/ibm/console. Klicken Sie in der Navigationsstruktur der Konsole auf Servers > System administration > Node agents. Wählen Sie das Kontrollkästchen nodeagent aus. Klicken Sie auf Stop. Deployment Manager stoppen Klicken Sie auf Start > Alle Programme > IBM WebSphere > IBM Websphere Application Server > <Dmgr01-profil> > Stop the deployment manager. Ergebnisse Sie haben WebSphere Application Server in einer eigenständigen Umgebung oder einer Clusterumgebung gestoppt. Beispiele Im Folgenden finden Sie Alternativen für das Stoppen des Knotenagenten. v Stoppen Sie den Knotenagenten mit dem WebSphere-Befehl stopNode.bat. Geben Sie in einer Eingabeaufforderung den Befehl <was-ausgangsverzeichnis>\ profiles\Custom01\bin\stopNode -user <was-admin> -password <was-adminkennwort> ein. v Stoppen Sie den Dienst für den Knotenagenten (Managementkonsole für Dienste). Klicken Sie auf Start > Ausführen. Geben Sie services.msc ein. Wählen Sie den Dienst für den Knotenagenten von IBM WebSphere Application Server aus. Beispiel: IBM WebSphere Application Server V7.0 Custom01_nodeagent. Klicken Sie auf Stop. Kapitel 7. Sonstige Installations- und Konfigurationstasks 211 v Stoppen Sie den Dienst für den Knotenagenten (Befehlszeile). Geben Sie in der Eingabeaufforderung net stop "IBM WebSphere Application Server V7.0 - <name_des_knotenagentendiensts>" ein. Drücken Sie die Eingabetaste. Beispiel: net stop "IBM WebSphere Application Server V7.0 Custom01_nodeagent". Am Ende der Anzeige wird die folgende Zeile angezeigt: The IBM WebSphere Application Server V7.0 - Custom01_nodeagent service was stopped successfully. IMS Server-Anwendungen stoppen und starten In diesem Abschnitt erfahren Sie, wie IMS Server-Anwendungen mit Integrated Solutions Console erneut gestartet werden. Informationen zu diesem Vorgang Für IMS Server 8.2 und 8.2.1: v Führen Sie einen Neustart von ISAMESSOIMS durch, um AccessAdmin, AccessAssistant und Web Workplace erneut zu starten. v Führen Sie einen Neustart von ISAMESSOIMSConfig durch, um den IMS-Konfigurationsassistenten und das IMS-Konfigurationsdienstprogramm erneut zu starten. Für IMS Server 8.1 müssen Sie TAM E-SSO IMS Server erneut starten. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. 2. Melden Sie sich bei Integrated Solutions Console an. 3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Applications > Application Types > WebSphere Enterprise Applications aus. 4. Wählen Sie die folgenden Kontrollkästchen aus: Für IMS Server 8.2 oder 8.2.1 v ISAMESSOIMS v ISAMESSOIMSConfig Für IMS Server 8.1 TAM E-SSO IMS Server 5. Klicken Sie auf Stop. 6. Wählen Sie das der Anwendung entsprechende Kontrollkästchen aus. 7. Klicken Sie auf Start. IMS Server manuell in WebSphere Application Server implementieren Sie können IMS Server manuell implementieren, wenn Sie IMS Server nicht in WebSphere Application Server implementiert haben. Diese Task können Sie außerdem auch ausführen, wenn das Installationsprogramm keine der EAR-Dateien von IMS Server implementieren konnte. 212 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Vorbereitende Schritte v Bereiten Sie WebSphere Application Server vor. v Aktivieren Sie die Anwendungssicherheit in WebSphere Application Server. v Entnehmen Sie dem Arbeitsblatt für die Planung die verschiedenen Daten, die für die Ausführung der Installation erforderlich sind. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175. Vorgehensweise 1. Kopieren Sie den Ordner isamesso aus <ims-ausgangsverzeichnis> in die folgenden Verzeichnisse: Eigenständige Implementierung <was-ausgangsverzeichnis>\profiles\<anwendungsserverprofilname>\ config Netzimplementierung <was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config 2. Optional: Installieren Sie den Ressourcenadapter Native Library Invoker. 3. Richten Sie die Umgebung für das Befehlszeilentool ein. 4. Implementieren Sie die EAR-Dateien von IMS Server in WebSphere Application Server. Eigenständige Implementierung Implementieren Sie ISAMESSOIMS und ISAMESSOIMSConfig auf dem Anwendungsserver. Siehe „EAR-Dateien von IMS Server manuell installieren” auf Seite 215. Netzimplementierung a. Implementieren Sie ISAMESSOIMSConfig auf dem Deployment Manager und verwenden Sie dazu die Befehlszeile.. Siehe „EAR-Dateien von IMS Server installieren (Befehlszeile)” auf Seite 216. b. Implementieren Sie ISAMESSOIMS im Cluster und verwenden Sie dazu Integrated Solutions Console. Siehe „EAR-Dateien von IMS Server manuell installieren” auf Seite 215. 5. Für WebSphere Application Server Network Deployment müssen Sie eine vollständige Resynchronisation der Knoten ausführen. Anwendungssicherheit in WebSphere Application Server aktivieren Sie müssen die Anwendungssicherheit aktivieren, wenn Sie die EAR-Dateien von IMS Server manuell in einem bestehenden IBM WebSphere Application Server implementieren. Wenn Sie IMS Server mit dem Installationsprogramm installieren, wird der Prozess, bei dem die Anwendungssicherheit aktiviert wird, automatisiert und ist somit nicht erforderlich. Informationen zu diesem Vorgang Wenn die Anwendungssicherheit nicht aktiviert ist, kann die Einrichtungsanwendung keine formulargestützte Sicherheit im IMS-Konfigurationsdienstprogramm aktivieren. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. Kapitel 7. Sonstige Installations- und Konfigurationstasks 213 2. Melden Sie sich bei Integrated Solutions Console an. 3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Security > Global security aus. 4. Wählen Sie auf der Seite Global security die Option Enable application security aus. 5. Klicken Sie auf Apply. 6. Klicken Sie auf Save. Ergebnisse Sie haben Die Anwendungssicherheit von WebSphere Application Server aktiviert. Anmerkung: Nachdem die Anwendungssicherheit aktiviert wurde, müssen Sie beim Stoppen des Servers oder von Knoten über die Befehlszeile WebSphere-Administratorberechtigungen als Argumente angeben. Ressourcenadapter Native Library Invoker installieren Wenn Sie biometrische Unterstützung wünschen, müssen Sie den Ressourcenadapter Native Library Invoker (NLI) in jedem Knoten im WebSphere Application Server-Cluster installieren. Informationen zu diesem Vorgang Das Installationsprogramm von IMS Server implementiert den Ressourcenadapter Native Library Invoker nicht automatisch in WebSphere Application Server. Wenn Sie BIO-key-Unterstützung für Überprüfungssysteme für Fingerabdrücke oder biometrische Daten benötigen, müssen Sie diesen Ressourcenadapter manuell in jedem Knoten im WebSphere-Cluster installieren. Geben Sie nach der Installation des Adapters den JNDI-Schlüssel für den Ressourcenadapter an, damit auf den Adapter zugegriffen werden kann. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. 2. Melden Sie sich bei Integrated Solutions Console an. 3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Resources > Resource Adapters > Resource adapters aus. 4. Klicken Sie auf Install RAR. Die Seite Install RAR File wird angezeigt. 5. Wählen Sie unter Scope den Knoten aus, in dem die RAR-Datei für NLI installiert werden soll. 6. Wählen Sie unter Path die Option Local file system aus und geben Sie dann den vollständigen Pfad zur Datei com.ibm.tamesso.imsdelhi.j2c.adapters.win32.rar im Verzeichnis <ims-ausgangsverzeichnis> an. 7. Klicken Sie auf Next. Die Seite "General Properties" des neuen Ressourcenadapters wird angezeigt. 8. Behalten Sie die Standardwerte bei. Klicken Sie auf OK. 9. Klicken Sie in Messages auf Save. 10. Fügen Sie der Verbindungsfactory den JNDI-Schlüssel für den Ressourcenadapter NLI hinzu. a. Klicken Sie auf ISAM E-SSO IMS Server Native Library Invoker J2C Resource. Die Seite "General Properties" des neuen Ressourcenadapters wird angezeigt. 214 IBM® Security Access Manager for Enterprise Single Sign-On: Installation b. Klicken Sie unter Additional Properties auf J2C connection factories. c. Klicken Sie auf New. Die Seite "General Properties" der Verbindungsfactory wird angezeigt. d. Geben Sie in das Feld Name den Wert TAMESSO_NLI_J2C_ConnFactory ein. e. Geben Sie in das Feld JNDI name den Wert tamesso/nli/j2c/shared ein. f. Behalten Sie die Standardwerte für die restlichen Felder bei. g. Klicken Sie auf OK. h. Klicken Sie im Feld Messages am Seitenanfang auf Save. 11. Starten Sie WebSphere Application Server erneut. Umgebung für das Befehlszeilentool einrichten Das Befehlszeilentool für die Einrichtung definiert die Umgebungsvariablen, damit die Befehlszeile und Scripts erfolgreich ausgeführt werden. Vorgehensweise 1. Öffnen Sie das Installationsverzeichnis bin von IMS Server. Beispiel: C:\Programme\IBM\ISAM ESSO\IMS Server\bin. 2. Öffnen Sie die Datei setupCmdLine.bat mit einem Texteditor. 3. Ändern Sie den Wert für die Variable SET WAS_PROFILE_HOME. v Für eigenständige Implementierungen: Ändern Sie den Wert in den Stammordner für das WebSphere Application Server-Profil. Beispiel: C:\Programme\ IBM\WebSphere\AppServer\profiles\AppSrv01. v Für Netzimplementierungen: Ändern Sie den Wert in den Stammordner für das Deployment Manager-Profil von WebSphere Application Server. Beispiel: C:\Programme\IBM\WebSphere\AppServer\profiles\Dmgr01. 4. Speichern Sie die Datei. EAR-Dateien von IMS Server manuell installieren IMS Server enthält zwei EAR-Dateien, ISAMESSOIMS und ISAMESSOIMSConfig. In diesem Abschnitt erhalten Sie Informationen zur manuellen Installation der EAR-Dateien von IMS Server in einer eigenständigen Implementierung von WebSphere Application Server. Vorbereitende Schritte v Entnehmen Sie dem Arbeitsblatt für die Planung die Daten, die für die Ausführung der Installation erforderlich sind. v Aktivieren Sie in WebSphere Application Server die Anwendungssicherheit. Informationen zu diesem Vorgang Verwenden Sie diese Prozedur bei einem der folgenden Szenarios: v Implementieren Sie ISAMESSOIMSConfig und ISAMESSOIMS für eigenständige Implementierungen von WebSphere Application Server. v Implementieren Sie ISAMESSOIMS für WebSphere Application Server Network Deployment. Wichtig: ISAMESSOIMSConfig kann nur über die Befehlszeile für WebSphere Application Server Network Deployment implementiert werden. Siehe „EAR-Dateien von IMS Server installieren (Befehlszeile)” auf Seite 216. Kapitel 7. Sonstige Installations- und Konfigurationstasks 215 Implementieren Sie ISAMESSOIMSConfig vor ISAMESSOIMS. Die EAR-Dateien werden standardmäßig gestoppt, wenn Sie diese Dateien manuell implementieren. Vorgehensweise 1. Starten Sie die Administrationskonsole. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. 2. Melden Sie sich bei Integrated Solutions Console an. 3. Im Navigationsfenster von Integrated Solutions Console: Klicken Sie auf Applications > Application Types > WebSphere enterprise applications. 4. Klicken Sie auf Install. 5. Klicken Sie unter Path auf Browse. Die Datei com.ibm.tamesso.imsdelhi.deploy.isamessoIms.ear ist standardmäßig im Verzeichnis C:\Programme\IBM\ISAM ESSO\IMS Server\ enthalten. 6. Klicken Sie auf Next. Die Seite für die Vorbereitungen für die Anwendungsinstallation wird angezeigt. 7. Wählen Sie Fast Path - Prompt only when additional information is required aus. Klicken Sie auf Next. Die Seite Install New Application wird angezeigt. Behalten Sie unter Select installation options die Standardwerte bei. Klicken Sie auf Next. Wählen Sie alle Module aus. Geben Sie im Feld Clusters and servers die Zielcluster und Web-Server an. Der Web-Server wird standardmäßig ausgewählt. 13. Klicken Sie auf Apply. 14. Klicken Sie auf Next. 8. 9. 10. 11. 12. 15. Klicken Sie auf Finish. 16. Klicken Sie auf Save. Nächste Schritte Verwenden Sie für die Implementierung von ISAMESSOIMSConfig in einem Cluster das Befehlszeilentool. EAR-Dateien von IMS Server installieren (Befehlszeile) IMS Server enthält zwei EAR-Dateien, ISAMESSOIMS und ISAMESSOIMSConfig. In diesem Abschnitt erhalten Sie Informationen zur manuellen Installation der EAR-Dateien von IMS Server in WebSphere Application Server Network Deployment. Vorbereitende Schritte v Entnehmen Sie dem Arbeitsblatt für die Planung die Daten, die für die Ausführung der Installation erforderlich sind. v Anwendungssicherheit in WebSphere Application Server aktivieren. v Richten Sie die Umgebung für das Befehlszeilentool ein. Informationen zu diesem Vorgang Implementieren Sie ISAMESSOIMSConfig vor ISAMESSOIMS. Die EAR-Dateien werden standardmäßig gestoppt, wenn Sie diese Dateien manuell implementieren. 216 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Vorgehensweise 1. Klicken Sie im Menü Start auf Ausführen. 2. Geben Sie im Fenster Öffnen den Befehl cmd ein. 3. Wechseln Sie im Fenster mit der Eingabeaufforderung in das Verzeichnis <imsausgangsverzeichnis>\bin. Beispiel: C:\Programme\IBM\ISAM ESSO\IMS Server\ bin. 4. Bei Verwendung eines eigenständigen WebSphere Application Server: a. Führen Sie die Datei deployIsamessoConfig.bat aus. Beispiel: deployIsamessoConfig.bat <WAS-admin-benutzer-id> <kennwort> b. Führen Sie die Datei deployIsamesso.bat aus. Beispiel: deployIsamesso.bat <WAS-admin-benutzer-id> <kennwort> 5. Wenn Sie WebSphere Application Server Network Deployment verwenden: a. Führen Sie die Datei deployIsamessoConfig.bat aus. Beispiel: deployIsamessoConfig.bat <WAS-admin-benutzer-id> <kennwort> Nächste Schritte Aktualisieren Sie die Modulzuordnung für ISAMESSOIMS. Knoten resynchronisieren Die Resynchronisation von Ressourcen ist erforderlich, wenn eine IMS Server-Anwendung eine Ressource, wie eine Datenquelle und Zertifikate, erstellt. Diese Task ist auch dann erforderlich, wenn es im Unternehmensverzeichnis zu Änderungen kommt. In WebSphere Application Server Network Deployment werden alle Ressourcen zunächst in dem Deployment Manager erstellt, in dem IMS Server installiert ist. Vorbereitende Schritte v Stellen Sie sicher, dass die Knoten gestartet sind. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. 2. Melden Sie sich bei Integrated Solutions Console an. 3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie System administration > Nodes aus. 4. Wählen Sie das Kontrollkästchen für den Knoten aus, auf dem IMS Server installiert ist. 5. Klicken Sie auf Full Resynchronize. Web-Server-Plug-in für WebSphere Application Server manuell installieren Installieren Sie das WebSphere-Plug-in auf dem System mit dem Web-Server-Host. Sie müssen das Web-Server-Plug-in für WebSphere Application Server manuell installieren, wenn Sie die Installation des Plug-ins während der Installation von IBM HTTP Server übersprungen haben. Sie können die Installation des Plug-ins überspringen, wenn das Plug-in bereits mit IBM HTTP Server installiert ist. Kapitel 7. Sonstige Installations- und Konfigurationstasks 217 Vorgehensweise 1. Melden Sie sich auf dem Host, auf dem IBM HTTP Server installiert wurde, als Administrator an. 2. Navigieren Sie an der Position, an der Sie den Ergänzungsdatenträger von WebSphere Application Server (C1G2HML) extrahiert haben, in das Verzeichnis plug-in. Beispiel: c:\images\C1G2HML\plug-in 3. Klicken Sie auf die Datei install.exe. 4. Wählen Sie im Fenster Welcome das Kontrollkästchen Installation road map: Overview and installation scenarios ab. 5. Klicken Sie auf Next. 6. Akzeptieren Sie die Lizenzvereinbarung. 7. Klicken Sie auf Next. 8. Klicken Sie nach erfolgreichem Abschluss der Überprüfung der Systemvoraussetzungen auf Next. 9. Wählen Sie im Auswahlfenster für das Plug-in das Web-Server-Plug-in aus und klicken Sie dann auf Next. Beispiel: IBM HTTP Server V7. 10. Klicken Sie im Installationsszenario auf WebSphere Application Server machine (local). Wenn sich der Anwendungsserver und der Web-Server auf demselben Host befinden Klicken Sie auf WebSphere Application Server machine (local). Wenn sich der Anwendungsserver und der Web-Server nicht auf demselben Host befinden Klicken Sie auf Web server machine (remote). 11. Akzeptieren Sie im Fenster für das Installationsverzeichnis die Standardwerte. Beispiel: <ihs-ausgangsverzeichnis>\Plugins 12. Klicken Sie auf Next. 13. (Wenn WebSphere Application Server lokal ist) Führen Sie die folgenden Schritte aus: Wählen Sie WebSphere Application Server aus. Beispiel: C:\Programme\ IBM\WebSphere\AppServer. b. Klicken Sie auf Next. a. c. Führen Sie die Anweisungen im Assistenten aus, um die Plug-in-Installation für einen lokalen WebSphere Application Server auszuführen. 14. (Wenn WebSphere Application Server über Fernzugriff angebunden ist) Geben Sie im Web-Server-Konfigurationsfenster die folgenden Werte an: Select the existing IBM HTTP Server httpd.conf file Navigieren Sie zu der Position der Datei httpd.conf. Die Standardeinstellung hierfür ist <ihs-ausgangsverzeichnis>/conf/httpd.conf. Specify the Web server port Die Standardeinstellung ist Port 80. Wenn Sie auf Next klicken, kann dies eine Warnung zur Folge haben, die angibt, dass der ausgewählte IBM HTTP Server bereits Plug-in-Einträge enthält. Wenn Sie fortfahren, wird diese neue Konfigurationsdatei mit einer neuen Datei plug-in-cfg.xml aktualisiert. Zum Fortfahren können Sie auf OK klicken. 15. Geben Sie im Fenster für die Web-Server-Definition einen eindeutigen WebServer-Definitionsnamen an. Beispiel: Der Standardwert ist webserver1. Beispiel: Wenn Sie das Plug-in für einen zweiten HTTP-Server installieren, ist der Wert webserver2. 218 IBM® Security Access Manager for Enterprise Single Sign-On: Installation a. Akzeptieren Sie den standardmäßigen Namen der Konfigurationsdatei für das Web-Server-Plug-in (plug-in-cfg.xml) sowie die zugehörige Position. b. Klicken Sie auf Next, um die manuellen Konfigurationsschritte zu bestätigen. c. Wenn die Installation abgeschlossen ist, klicken Sie auf Next. 16. Starten Sie WebSphere Application Server erneut. Geben Sie auf dem Anwendungs-Server-Host die folgenden Befehle in einer Eingabeaufforderung ein. Für eigenständige Produktimplementierungen (ohne Deployment ManagerKnoten) So starten Sie die Anwendungsserver erneut: <was-ausgangsverzeichnis>\profiles\AppSrv01\bin\stopServer.bat server1 <was-ausgangsverzeichnis>\profiles\AppSrv01\bin\startServer.bat server1 Für Netzimplementierungen So starten Sie den Deployment Manager erneut: <was-ausgangsverzeichnis>\profiles\Dmgr01\bin\stopManager.bat <was-ausgangsverzeichnis>\profiles\Dmgr01\bin\startManager.bat Anmerkung: Wenn WebSphere Application Server an einem fernen Standort installiert ist, wird dieser Schritt durch Anmelden beim Deployment ManagerHost von WebSphere Application Server ausgeführt. Ergebnisse Sie haben das WebSphere-Plug-in für IBM HTTP Server installiert. Sie haben die Dienste für IBM HTTP Server und den Verwaltungsserver (Admin Server) erneut gestartet. Nächste Schritte Sie sind nun bereit zum Anwenden des aktuellsten Fixpacks für das WebSpherePlug-in für IBM HTTP Server. Datenbank in SQL Server manuell erstellen Wenn Sie die IMS Server-Datenbank in Microsoft SQL Server 2005 und 2008 manuell erstellen, müssen Sie die korrekten Attribute für den Anmeldenamen, den Benutzer und die Sortierfolge angeben. Vorgehensweise 1. Melden Sie sich bei SQL Server Management Studio mit den Berechtigungsnachweisen für sa an. 2. Erstellen Sie eine Datenbank. a. Klicken Sie im Fenster Object Explorer mit der rechten Maustaste auf Databases. b. Klicken Sie auf New Database. c. Geben Sie im Feld Database Name den Datenbanknamen an. Beispiel: imsdb 3. Definieren Sie die Sortierfolge. a. Klicken Sie im Fenster Select a Page auf Options. Kapitel 7. Sonstige Installations- und Konfigurationstasks 219 b. Wählen Sie aus der Liste Collation die Sortierfolge SQL_Latin1_General_CP1_CS_AS aus. c. Klicken Sie auf OK. 4. Erstellen Sie eine SQL Server-Anmeldung. Beispiel: imsdbusr a. Blenden Sie im Fenster Object Explorer die Optionen Security > Logins ein. b. Wählen Sie Logins aus, klicken Sie mit der rechten Maustaste auf New Login und wählen Sie SQL Server authentication aus. c. Geben Sie einen Anmeldenamen ein. Beispiel: imsdbusr d. Geben Sie das Kennwort zwei Mal ein. e. Wählen Sie das Kontrollkästchen Enforce password policy ab. f. Wählen Sie für Default Database die Datenbank aus, die Sie in Schritt 2 auf Seite 219 erstellt haben. g. Klicken Sie auf OK. 5. Erstellen Sie einen Benutzer. a. Blenden Sie im Fenster Object Explorer die Optionen Databases > <db-name> > Security > Users ein. b. Wählen Sie Users aus. c. Klicken Sie mit der rechten Maustaste auf Users und wählen Sie dann New User aus. d. Geben Sie in jedem der folgenden Felder den Namen ein, den Sie bereits in Schritt 4 angegeben haben: v User name v Login name v Default schema Beispiel: imsdbusr e. Wählen Sie im Fenster Database role membership die Option db_owner aus. f. Klicken Sie auf OK. 6. Fügen Sie das Schema hinzu. a. Blenden Sie im Fenster Object Explorer die Optionen Databases > <db-name> > Security > Schemas ein. b. Klicken Sie auf New Schema. c. Geben Sie den in Schritt 4 angegebenen Namen in jedes der folgenden Felder ein: v Schema name v Schema owner Beispiel: imsdbusr d. Klicken Sie auf OK. 7. Schließen Sie SQL Server Management Studio. Grundlegende Befehle für die Verwaltung von WebSphere Application Server-Profilen Sie können grundlegende Befehlszeilentools zum Auflisten, Prüfen und Löschen von WebSphere Application Server-Profilen verwenden. Die folgenden Befehle, bei denen die Groß-/Kleinschreibung beachtet werden muss, können für die Verwaltung von Profilen in WebSphere Application Server nützlich sein: 220 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Task Befehl Löschen eines Profils <was-ausgangsverzeichnis>/bin/ manageprofiles.bat -delete -profileName profilname Aktualisieren der Registry (z. B. nach dem Löschen eines Profils) <was-ausgangsverzeichnis>/bin/ manageprofiles.bat -validateAndUpdateRegistry Auflisten bestehender Profile <was-ausgangsverzeichnis>/bin/ manageprofiles.bat -listProfiles Informationen zur vollständigen Liste von WebSphere Application Server-Befehlen für die Verwaltung von Profilen finden Sie in der folgenden WebSphere Application Server-Dokumentation: Dokumentation für WebSphere Application Server Version 7.0: http:// pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp. v Dokumentation für WebSphere Application Server Version 8.5: http:// pic.dhe.ibm.com/infocenter/wasinfo/v8r5/index.jsp. v Suchen Sie dort nach managing profiles using commands. Informationen zu den bereitgestellten Befehlszeilentools für IBM Security Access Manager for Enterprise Single Sign-On finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide. Methoden zum Auflösen von Hosts und IP-Adressen Sie können eine Datei mit dem Namen "hosts" oder einen Domänennamensserver verwenden, um Hostnamen und IP-Adressen in einer eigenständigen oder verteilten Implementierung aufzulösen. Hostnamen mit einem DNS-Server auflösen Wenn Sie zum Auflösen von Hostnamen einen Namensserver oder einen DNS-Server verwenden, muss der jeweilige Hostname auf dem DNS-Server konfiguriert werden. Der auf dem DNS-Server konfigurierte Hostname muss außerdem mit dem Hostnamen übereinstimmen, der auf dem Betriebssystem konfiguriert wurde. 1. Geben Sie zum Prüfen des Hostnamens auf dem Betriebssystem Folgendes in einer Eingabeaufforderung ein: hostname Beispiel: Wenn der Computer ibm1 ist, wird vom System das folgende Ergebnis angezeigt: ibm1 2. Prüfen Sie die Angaben zum Computernamen: a. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz. b. Klicken Sie auf Eigenschaften. c. Klicken Sie auf die Registerkarte Computername. d. Stellen Sie sicher, dass im Feld Vollständiger Computername der vollständig qualifizierte Domänenname des Computers angezeigt wird. Beispiel: ibm1.example.com Kapitel 7. Sonstige Installations- und Konfigurationstasks 221 Anmerkung: Klicken Sie zum Anzeigen des NetBIOS-Namens des lokalen Computers auf Ändern und danach auf Weitere. Alternativ dazu können Sie auch in einer Eingabeaufforderung den Befehl nbtstat -n eingeben. 3. Prüfen Sie den auf dem DNS-Server konfigurierten Hostnamen. Führen Sie dazu folgenden Befehl aus: nslookup hostname Dabei steht hostname für den Hostnamen. Durch den Befehl nslookup wird der vollständig qualifizierte Domänenname zurückgegeben, der auf dem DNS-Server konfiguriert ist. Beispiel: ibm1.example.com. 4. Stellen Sie sicher, dass der Host antwortet. Dazu können Sie folgenden Befehl ausführen: ping hostname Dabei steht hostname für den Hostnamen. Anmerkung: In einigen Umgebungen kann es sein, dass der Befehl ping fehlschlägt, wenn der Computer so konfiguriert ist, dass er Pinganforderungen ignoriert. Wenden Sie sich an den Netzadministrator, um Alternativmethoden zu erfahren, wenn das Problem weiterhin besteht. Hostnamen mit der Datei "hosts" auflösen Domänennamen oder IP-Adressen auf einem lokalen Computer können durch Hinzufügen von Einträgen zu der lokalen Datei "hosts" auf einem Computer aufgelöst werden. Einträge in der lokalen Datei "hosts" haben den weiteren Vorteil, dass das System den Anwendungsserver ausführen kann, auch wenn die Verbindung zum Netz getrennt ist. Wenn Sie für das Auflösen von IP-Adressen mit der Datei "hosts" arbeiten, muss diese ordnungsgemäß konfiguriert werden. Position der Datei "hosts" für folgende Betriebssysteme: Windows systemlaufwerk:\Windows\System32\Drivers\etc\ Linux /etc/hosts Die Datei muss die folgenden Informationen enthalten: v Die IP-Adresse, den vollständig qualifizierten Domänennamen und den Hostnamen des Computers v Die IP-Adresse 127.0.0.1, den vollständig qualifizierten Domänennamen localhost.localdomain und den Hostnamen localhost Beispiel: Die Datei "hosts" für einen Computer mit dem Hostnamen ibm1 kann die folgenden Einträge enthalten: #IP address 192.0.2.0 127.0.0.1 Fully Qualified Domain Name ibm1.example.com localhost.localdomain Short Name ibm1 localhost SSL-Zertifikat für IBM HTTP Server erneuern Wenn ein persönliches Zertifikat beeinträchtigt ist oder in Kürze abläuft, müssen Sie es erneuern. 222 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Informationen zu diesem Vorgang Die Standardablaufzeit eines Zertifikats beträgt ein Jahr. Durch Erneuern eines Zertifikats werden alle Informationen aus dem ursprünglichen Zertifikat mit Ausnahme des Paars aus Ablaufdatum und Schlüssel erneut erstellt. Das erneuerte Zertifikat enthält ein neues Ablaufdatum sowie ein Paar aus öffentlichen oder privaten Schlüsseln. Wenn das Zertifikat zum Signieren des verketteten Zertifikats nicht im Rootschlüsselspeicher enthalten ist, müssen Sie zum Erneuern des Zertifikats das standardmäßige Stammzertifikat verwenden. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. 2. Melden Sie sich bei IBM Integrated Solutions Console an. 3. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Servers > Server Types > Web servers. 4. Klicken Sie auf <web-server-name>. 5. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties. 6. Klicken Sie unter Repository copy of Web server plug-in files auf Manage keys and certificates. 7. Klicken Sie unter der Liste Additional properties auf Personal certificates. 8. Wählen Sie default aus. 9. Klicken Sie auf Renew. 10. Klicken Sie auf Save, um die Änderungen direkt in der Hauptkonfiguration zu speichern. 11. Klicken Sie auf den Link Plug-in properties. 12. Klicken Sie unter Repository copy of Web server plug-in files auf Copy to Web server key store directory. 13. Für WebSphere Application Server Network Deployment: a. Geben Sie die Konfiguration des Web-Server-Plug-ins weiter. b. Resynchronisieren Sie die Knoten mit dem Deployment Manager. 14. Starten Sie IBM HTTP Server erneut. IMS-Stammzertifizierungsstelle dem Truststore hinzufügen Wenn WebSphere Application Server einen nicht standardmäßigen Truststore verwendet, müssen Sie die IMS-Stammzertifizierungsstelle dem Truststore hinzufügen. Vorgehensweise 1. Extrahieren Sie das Zertifikat: a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Security > SSL certificate and key management. b. Wählen Sie auf der Seite SSL certificate and key management unter Related Items die Option Key stores and certificates aus. c. Klicken Sie in der Tabelle auf TAMESSOIMSKeystore. d. Klicken Sie auf der Seite TAMESSOIMSKeystore unter Additional Properties auf Personal certificates. e. Wählen Sie <ims-stammzertifizierungsstelle> in der Tabelle aus. f. Klicken Sie auf Extract. Kapitel 7. Sonstige Installations- und Konfigurationstasks 223 Geben Sie im Feld Certificate file name den entsprechenden Dateipfad an. Wählen Sie Base64-encoded ASCII data in der Liste Data type aus. Klicken Sie auf OK. Klicken Sie in IBM Integrated Solutions Console auf Security > SSL certificate and key management. 6. Wählen Sie auf der Seite SSL certificate, and key management unter Related Items die Option Key stores and certificates aus. 7. Klicken Sie auf den Truststore. 2. 3. 4. 5. Für WebSphere Application Server (eigenständig): Klicken Sie auf NodeDefaultTrustStore. Für WebSphere Application Server Network Deployment: Klicken Sie auf CellDefaultTrustStore und auf alle NodeDefaultTrustStore-Einträge. 8. Klicken Sie unter Additional Properties auf Signer certificates. 9. Klicken Sie auf Add. 10. Geben Sie in das Feld Alias den Wert <ims-stammzertifizierungsstelle> ein. 11. Geben Sie im Feld File name den Dateipfad an, aus dem Sie das Zertifikat extrahiert haben, wie in Schritt 2 beschrieben. 12. Wählen Sie Base64-encoded ASCII data in der Liste Data type aus. 13. Klicken Sie auf OK. 14. Klicken Sie im Fenster Messages auf Save. 15. Löschen Sie das extrahierte Zertifikat aus Schritt 2 aus dem Dateisystem. SSL-Zertifikat des Verzeichnisservers zu WebSphere Application Server hinzufügen Wenn die Verzeichnisserververbindung SSL-fähig ist, müssen Sie die Zertifikate des Verzeichnisservers zu WebSphere Application Server hinzufügen. Durch das Abrufen des jeweiligen Zertifikats wird sichergestellt, dass Sie eine Verbindung zwischen dem Verzeichnisserver und WebSphere Application Server herstellen können. Stellen Sie sicher, dass die SSL-Verbindung erfolgreich ist, bevor Sie IMS Server für Verzeichnisserver konfigurieren. Vorbereitende Schritte v Bereiten Sie den Verzeichnisserver vor. v Konfigurieren Sie den Verzeichnisserver für SSL. Weitere Informationen dazu finden Sie in der Dokumentation des verwendeten Verzeichnisservers. v Starten Sie den Verzeichnisserver. v Bereiten Sie WebSphere Application Server vor. v Starten Sie WebSphere Application Server. v Stellen Sie sicher, dass die Hostnamen zwischen den Computern aufgelöst werden können. v Stellen Sie sicher, dass Sie sich mit WebSphere Application Server-Administratorberechtigungen anmelden können. Informationen zu diesem Vorgang Diese Task gilt nur für Verzeichnisserver mit aktiviertem SSL. 224 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Vorgehensweise 1. Melden Sie sich bei der WebSphere Application Server-Administratorkonsole an. 2. Klicken Sie im Navigationsfenster auf Security > SSL certificate and key management. 3. Klicken Sie unter Related Items auf Key stores and certificates. 4. Öffnen Sie den Truststore. Für eigenständige Implementierungen Klicken Sie auf NodeDefaultTrustStore. Für Netzimplementierungen Klicken Sie auf CellDefaultTrustStore. 5. Klicken Sie unter Additional Properties auf Signer Certificates. 6. Klicken Sie auf Retrieve from port. 7. Geben Sie in den folgenden Feldern Informationen an: 8. 9. 10. 11. Host Geben Sie den Hostnamen, die IP-Adresse oder den vollständig qualifizierten Domänennamen des Verzeichnisservers an. Port Geben Sie die SSL-Portnummer für den Verzeichnisserver ein. Üblicherweise wird der Port 636 als SSL-Portnummer verwendet. Aliasname Geben Sie den Zertifikatsaliasnamen als Verweis auf den Unterzeichner in der Konfiguration ein. Beispiel: myldap1 Klicken Sie auf Retrieve signer information. Informationen über den SSL-Unterzeichner werden angezeigt. Klicken Sie auf OK. Klicken Sie im Fenster Messages auf Save. Synchronisieren Sie bei Netzimplementierungen die Knoten erneut. Name und Kennwort des IBM HTTP Server-Administrators abrufen Wenn Sie die Berechtigungsnachweise des IBM HTTP Server-Administrators vergessen haben, können Sie diese der Datei admin.passwd entnehmen. Außerdem können Sie das Kennwort mit dem Dienstprogramm htpasswd zurücksetzen. Gehen Sie wie folgt vor, um den Namen des IBM HTTP Server-Administrators abzurufen: 1. Wechseln Sie in das Verzeichnis <ihs-ausgangsverzeichnis>\conf. Beispiel: C:\Programme\IBM\HTTPServer\conf 2. Öffnen Sie die Datei admin.passwd. Gehen Sie wie folgt vor, um das Kennwort zurückzusetzen: 1. Öffnen Sie das Befehlszeilentool. 2. Navigieren Sie zum Verzeichnis <ihs-ausgangsverzeichnis>\conf. 3. Geben Sie "<ihs-ausgangsverzeichnis>\bin\htpasswd.exe" admin.passwd <web-server-administratorname>. Kapitel 7. Sonstige Installations- und Konfigurationstasks 225 Anwendung TAM E-SSO IMS in WebSphere Application Server deinstallieren TAM E-SSO IMS Server 8.1 deinstallierenin Integrated Solutions Console, bevor Sie ein Upgrade starten. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. 2. Melden Sie sich bei Integrated Solutions Console an. 3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Applications > Application Types > WebSphere Enterprise Applications aus. 4. Wählen Sie das Kontrollkästchen TAM E-SSO IMS Server aus. 5. Klicken Sie auf Uninstall. 6. Klicken Sie auf Save. Ergebnisse Sie haben die Anwendung TAM E-SSO IMS Server 8.1 erfolgreich aus WebSphere Application Server entfernt. Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig aus WebSphere Application Server deinstallieren Deinstallieren Sie die Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig in Integrated Solutions Console, bevor Sie mit einem Upgrade beginnen. Vorgehensweise 1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus. 2. Melden Sie sich bei Integrated Solutions Console an. 3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Applications > Application Types > WebSphere Enterprise Applications aus. 4. Wählen Sie die beiden Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig aus. 5. Klicken Sie auf Deinstallieren. 6. Klicken Sie auf Speichern. Ergebnisse Sie haben nun die Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig aus WebSphere Application Server entfernt. 226 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Bemerkungen Die vorliegenden Informationen wurden für Produkte und Services entwickelt, die auf dem deutschen Markt angeboten werden. Möglicherweise bietet IBM die in dieser Dokumentation beschriebenen Produkte, Services oder Funktionen in anderen Ländern nicht an. Informationen über die gegenwärtig im jeweiligen Land verfügbaren Produkte und Services sind beim zuständigen IBM Ansprechpartner erhältlich. Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht, dass nur Programme, Produkte oder Services von IBM verwendet werden können. Anstelle der IBM Produkte, Programme oder Services können auch andere, ihnen äquivalente Produkte, Programme oder Services verwendet werden, solange diese keine gewerblichen oder anderen Schutzrechte von IBM verletzen. Die Verantwortung für den Betrieb von Produkten, Programmen und Services anderer Anbieter liegt beim Kunden. Für in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder Patentanmeldungen geben. Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbunden. Lizenzanforderungen sind schriftlich an folgende Adresse zu richten (Anfragen an diese Adresse müssen auf Englisch formuliert werden): IBM Director of Licensing IBM Europe, Middle East & Africa Tour Descartes 2, avenue Gambetta 92066 Paris La Defense France Trotz sorgfältiger Bearbeitung können technische Ungenauigkeiten oder Druckfehler in dieser Veröffentlichung nicht ausgeschlossen werden. Die hier enthaltenen Informationen werden in regelmäßigen Zeitabständen aktualisiert und als Neuausgabe veröffentlicht. IBM kann ohne weitere Mitteilung jederzeit Verbesserungen und/ oder Änderungen an den in dieser Veröffentlichung beschriebenen Produkten und/ oder Programmen vornehmen. Verweise in diesen Informationen auf Websites anderer Anbieter werden lediglich als Service für den Kunden bereitgestellt und stellen keinerlei Billigung des Inhalts dieser Websites dar. Das über diese Websites verfügbare Material ist nicht Bestandteil des Materials für dieses IBM Produkt. Die Verwendung dieser Websites geschieht auf eigene Verantwortung. Werden an IBM Informationen eingesandt, können diese beliebig verwendet werden, ohne dass eine Verpflichtung gegenüber dem Einsender entsteht. Lizenznehmer des Programms, die Informationen zu diesem Produkt wünschen mit der Zielsetzung: (i) den Austausch von Informationen zwischen unabhängig voneinander erstellten Programmen und anderen Programmen (einschließlich des vorliegenden Programms) sowie (ii) die gemeinsame Nutzung der ausgetauschten Informationen zu ermöglichen, wenden sich an folgende Adresse: 227 IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 U.S.A. Die Bereitstellung dieser Informationen kann unter Umständen von bestimmten Bedingungen - in einigen Fällen auch von der Zahlung einer Gebühr - abhängig sein. Die Lieferung des in diesem Dokument beschriebenen Lizenzprogramms sowie des zugehörigen Lizenzmaterials erfolgt auf der Basis der IBM Rahmenvereinbarung bzw. der Allgemeinen Geschäftsbedingungen von IBM, der IBM Internationalen Nutzungsbedingungen für Programmpakete oder einer äquivalenten Vereinbarung. Alle in diesem Dokument enthaltenen Leistungsdaten stammen aus einer kontrollierten Umgebung. Die Ergebnisse, die in anderen Betriebsumgebungen erzielt werden, können daher erheblich von den hier erzielten Ergebnissen abweichen. Einige Daten stammen möglicherweise von Systemen, deren Entwicklung noch nicht abgeschlossen ist. Eine Gewährleistung, dass diese Daten auch in allgemein verfügbaren Systemen erzielt werden, kann nicht gegeben werden. Darüber hinaus wurden einige Daten unter Umständen durch Extrapolation berechnet. Die tatsächlichen Ergebnisse können davon abweichen. Benutzer dieses Dokuments sollten die entsprechenden Daten in ihrer spezifischen Umgebung prüfen. Alle Informationen zu Produkten anderer Anbieter stammen von den Anbietern der aufgeführten Produkte, deren veröffentlichten Ankündigungen oder anderen allgemein verfügbaren Quellen. IBM hat diese Produkte nicht getestet und kann daher keine Aussagen zu Leistung, Kompatibilität oder anderen Merkmalen machen. Fragen zu den Leistungsmerkmalen von Produkten anderer Anbieter sind an den jeweiligen Anbieter zu richten. Aussagen über Pläne und Absichten von IBM unterliegen Änderungen oder können zurückgenommen werden und repräsentieren nur die Ziele von IBM. Alle von IBM angegebenen Preise sind empfohlene Richtpreise und können jederzeit ohne weitere Mitteilung geändert werden. Händlerpreise können unter Umständen von den hier genannten Preisen abweichen. Diese Veröffentlichung dient nur zu Planungszwecken. Die in dieser Veröffentlichung enthaltenen Informationen können geändert werden, bevor die beschriebenen Produkte verfügbar sind. Diese Veröffentlichung enthält Beispiele für Daten und Berichte des alltäglichen Geschäftsablaufs. Sie sollen nur die Funktionen des Lizenzprogramms illustrieren und können Namen von Personen, Firmen, Marken oder Produkten enthalten. Alle diese Namen sind frei erfunden; Ähnlichkeiten mit tatsächlichen Namen und Adressen sind rein zufällig. COPYRIGHTLIZENZ: Diese Veröffentlichung enthält Beispielanwendungsprogramme, die in Quellensprache geschrieben sind und Programmiertechniken in verschiedenen Betriebsumgebungen veranschaulichen. Sie dürfen diese Beispielprogramme kostenlos kopieren, ändern und verteilen, wenn dies zu dem Zweck geschieht, Anwendungsprogramme zu entwickeln, zu verwenden, zu vermarkten oder zu verteilen, die mit der Anwendungsprogrammierschnittstelle für die Betriebsumgebung konform sind, für 228 IBM® Security Access Manager for Enterprise Single Sign-On: Installation die diese Beispielprogramme geschrieben werden. Diese Beispiele wurden nicht unter allen denkbaren Bedingungen getestet. Daher kann IBM die Zuverlässigkeit, Wartungsfreundlichkeit oder Funktion dieser Programme weder zusagen noch gewährleisten. Marken IBM, das IBM Logo und ibm.com sind Marken oder eingetragene Marken der IBM Corporation in den USA und/oder anderen Ländern. Weitere Produkt- und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite "Copyright and trademark information" unter www.ibm.com/legal/copytrade.shtml. Adobe, Acrobat, PostScript und alle auf Adobe basierenden Marken sind Marken oder eingetragene Marken der Adobe Systems Incorporated in den USA und/oder anderen Ländern. IT Infrastructure Library ist eine eingetragene Marke der Central Computer and Telecommunications Agency. Die Central Computer and Telecommunications Agency ist nunmehr in das Office of Government Commerce eingegliedert worden. Intel, das Intel-Logo, Intel Inside, das Intel Inside-Logo, Intel Centrino, das Intel Centrino-Logo, Celeron, Intel Xeon, Intel SpeedStep, Itanium und Pentium sind Marken oder eingetragene Marken der Intel Corporation oder ihrer Tochtergesellschaften in den USA oder anderen Ländern. Linux ist eine Marke von Linus Torvalds in den USA und/oder anderen Ländern. Microsoft, Windows, Windows NT und das Windows-Logo sind Marken der Microsoft Corporation in den USA und/oder anderen Ländern. ITIL ist eine eingetragene Marke, eine eingetragene Gemeinschaftsmarke des Office of Government Commerce und eine eingetragene Marke, die beim U.S. Patent and Trademark Office eingetragen ist. UNIX ist eine eingetragene Marke von The Open Group in den USA und anderen Ländern. Java und alle auf Java basierenden Marken und Logos sind Marken oder eingetragene Marken der Oracle Corporation und/oder ihrer verbundenen Unternehmen. Cell Broadband Engine wird unter Lizenz verwendet und ist eine Marke der Sony Computer Entertainment, Inc. in den USA und/oder anderen Ländern. Linear Tape-Open, LTO, das LTO-Logo, Ultrium und das Ultrium-Logo sind Marken von HP, der IBM Corporation und von Quantum in den USA und/oder anderen Ländern. Weitere Unternehmens-, Produkt- oder Servicenamen können Marken anderer Hersteller sein. Bemerkungen 229 Hinweise zur Datenschutzrichtlinie IBM Softwareprodukte, einschließlich Software as a Service-Lösungen ("Softwareangebote"), können Cookies oder andere Technologien verwenden, um Informationen zur Produktnutzung zu erfassen, die Endbenutzererfahrung zu verbessern und Interaktionen mit dem Endbenutzer anzupassen oder zu anderen Zwecken. In vielen Fällen werden von den Softwareangeboten keine personenbezogenen Daten erfasst. Einige der IBM Softwareangebote können Sie jedoch bei der Erfassung personenbezogener Daten unterstützen. Wenn dieses Softwareangebot Cookies zur Erfassung personenbezogener Daten verwendet, sind nachfolgend nähere Informationen über die Verwendung von Cookies durch dieses Angebot zu finden. Dieses Softwareangebot verwendet andere Technologien zum Erfassen der Benutzernamen, Kennwörter oder anderer personenbezogener Daten einzelner Benutzer für die Sitzungsverwaltung, Authentifizierung, Single-Sign-on-Konfiguration oder andere Nutzungsüberwachungs- oder funktionale Zwecke. Diese Technologien können inaktiviert werden, damit wird aber zugleich die dadurch ermöglichte Funktionalität inaktiviert. Wenn die für dieses Softwareangebot genutzten Konfigurationen Sie als Kunde in die Lage versetzen, personenbezogene Daten von Endbenutzern über Cookies und andere Technologien zu erfassen, müssen Sie sich zu allen gesetzlichen Bestimmungen in Bezug auf eine solche Datenerfassung, einschließlich aller Mitteilungspflichten und Zustimmungsanforderungen, rechtlich beraten lassen. Weitere Informationen zur Nutzung verschiedener Technologien, einschließlich Cookies, für diese Zwecke finden Sie in der "IBM Online-Datenschutzerklärung, Schwerpunkte" unter http://www.ibm.com/privacy, in der "IBM Online-Datenschutzerklärung" unter http://www.ibm.com/privacy/details/us/en, im Abschnitt "Cookies, Web-Beacons und sonstige Technologien" und unter "IBM Software Products and Software-as-a Service Privacy Statement". 230 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Glossar zen Netzes ermöglicht und eine zentrale Komponente der Plattform Microsoft Windows ist. Dieses Glossar enthält Begriffe und Definitionen für IBM Security Access Manager for Enterprise Single Sign-On. In diesem Glossar werden die folgenden Querverweise verwendet: v Siehe verweist von einem Begriff auf ein bevorzugtes Synonym oder von einem Akronym oder einer Abkürzung auf die definierte Langform. v Siehe auch verweist auf einen verwandten oder gegensätzlichen Begriff. Active Directory-Berechtigungsnachweis Benutzername und Kennwort von Active Directory. Active Directory-Kennwortabgleich Eine Funktion von IBM Security Access Manager for Enterprise Single Sign-On, die das ISAM ESSO-Kennwort mit dem Active Directory-Kennwort abgleicht. AD Um Glossare für andere IBM Produkte einzusehen, rufen Sie die Adresse www.ibm.com/ software/globalization/terminology auf (wird in einem neuen Fenster geöffnet). A Accountdaten Die Anmeldedaten, die zur Überprüfung eines Authentifizierungsservice erforderlich sind. Dies können der Benutzername, das Kennwort und der Authentifizierungsservice sein, in dem die Anmeldedaten gespeichert sind. Accountdatenbehälter Eine Datenstruktur, deren Speicher Benutzerberechtigungsnachweise enthält, während für eine Anwendung eine einmalige Anmeldung ausgeführt wird. Accountdatenelement Die Benutzerberechtigungsnachweise, die für die Anmeldung erforderlich sind. Accountdatenelementschablone Eine Schablone, die die Eigenschaften eines Accountdatenelements definiert. Accountdatenschablone Eine Schablone, die das Format der Accountdaten definiert, die als in einen bestimmten AccessProfile erfassten Berechtigungsnachweise gespeichert werden sollen. Active Directory (AD) Ein hierarchischer Verzeichnisservice, der zentrales, sicheres Management eines gan- Siehe Active Directory (AD). Administrator Eine für Verwaltungsaufgaben wie beispielsweise Zugriffsberechtigungen und Content-Management verantwortliche Person. Administratoren können auch dafür verantwortlich sein, Benutzern verschiedene Berechtigungsebenen zuzuweisen. Aktion Bei der Profilerstellung ist eine Aktion ein Schritt, der als Reaktion auf einen Trigger ausgeführt werden kann. Beispiel: die automatische Eingabe des Benutzernamens und des Kennworts, sobald ein Anmeldefenster angezeigt wird. Aktive Radiofrequenzidentifikation (RFID) Ein zweiter Authentifizierungsfaktor und ein Anwesenheitsdetektor. Siehe auch Radiofrequenzidentifikation (RFID). Aktive RFID Siehe Aktive Radiofrequenzidentifikation (RFID). Anwendung Ein System, das die Benutzerschnittstelle zum Lesen oder Eingeben der Authentifizierungsnachweise bereitstellt. Anwendungsprogrammierschnittstelle (API) Eine Schnittstelle, mit der ein Anwendungsprogramm, das in einer höheren Programmiersprache geschrieben ist, bestimmte Daten oder Funktionen des Betriebssystems oder eines anderen Programms verwenden kann. 231 Anwendungsrichtlinie Eine Gruppe von Richtlinien und Attributen, die den Zugriff auf Anwendungen regelt. Anwesenheitsdetektor Ein Gerät, das an einen Computer angeschlossen werden kann und dann feststellt, ob sich eine Person vom Computer entfernt. Dieses Gerät macht ein manuelles Sperren des Computers überflüssig, wenn dieser nur kurzzeitig verlassen wird. API Siehe Anwendungsprogrammierschnittstelle (API). Authentifizierungsfaktor Das Gerät, die biometrischen Angaben oder geheimen Daten, die als Berechtigungsnachweise zum Prüfen digitaler Identitäten erforderlich sind. Beispiele: Kennwörter, Smartcard, RFID, biometrische Angaben und OTP-Tokens. Authentifizierungsservice Ein Dienst, der die Gültigkeit eines Accounts prüft. Anwendungen authentifizieren sich gegenüber ihrem eigenen Benutzerspeicher oder gegenüber einem Unternehmensverzeichnis. Automatische Anmeldung Ein Feature, mit dem sich Benutzer beim Anmeldeautomatisierungssystem anmelden können. Das System führt dann die Anmeldung des Benutzers bei allen anderen Anwendungen aus. Automatisches Erfassen Ein Prozess, der es einem System ermöglicht, Benutzerberechtigungsnachweise für verschiedene Anwendungen zu erfassen und wiederzuverwenden. Diese Berechtigungsnachweise werden erfasst, wenn der Benutzer die Daten zum ersten Mal eingibt, und dann für die zukünftige Verwendung gespeichert und geschützt. Automatisch generiertes Kennwort Ein nach dem Zufallsprinzip generiertes Kennwort zur Verbesserung der Authentifizierungssicherheit zwischen Client und Server. Automatisierung der Anmeldung Eine Technologie, die zusammen mit Anwendungsbenutzerschnittstellen eingesetzt wird, um den Anmeldeprozess für Benutzer zu automatisieren. 232 Autorisierungscode Ein alphanumerischer Code, der für Verwaltungsfunktionen (z. B. Zurücksetzung von Kennwörtern oder Umgehung der Zwei-Faktor-Authentifizierung) generiert wird. B Basis-DN Ein Name, der den Ausgangspunkt für Suchvorgänge auf dem Verzeichnisserver angibt. Basisimage Eine Schablone für den virtuellen Desktop. Befehlszeilenschnittstelle (Command-Line Interface, CLI) Eine Computerschnittstelle, in der die Ein- und Ausgabe textbasiert erfolgt. Benutzerberechtigungsnachweis Informationen, die während der Authentifizierung angefordert werden, einen Benutzer, Gruppenzuordnungen oder andere sicherheitsrelevanten Identitätsattribute beschreiben und zur Ausführung von Services, wie Autorisierung, Prüfung oder Delegierung, verwendet werden. Beispielsweise sind eine Benutzer-ID und ein Kennwort Berechtigungsnachweise, die den Zugriff auf Netz- und Systemressourcen ermöglichen. Benutzereinrichtung Der Vorgang des Einrichtens eines Benutzers zur Verwendung von IBM Security Access Manager for Enterprise Single Sign-On. Benutzer für Suche Ein Benutzer, der im Unternehmensverzeichnis authentifiziert wird und andere Benutzer sucht. IBM Security Access Manager for Enterprise Single Sign-On verwendet den suchenden Benutzer zum Abruf von Benutzerattributen aus dem Active Directory- oder LDAP-Unternehmensrepository. Benutzerlöschung Der Vorgang des Entfernens eines Benutzeraccounts aus IBM Security Access Manager for Enterprise Single Sign-On. Berechtigungsnachweis Informationen, die während der Authenti- IBM® Security Access Manager for Enterprise Single Sign-On: Installation fizierung angefordert werden, einen Benutzer, Gruppenzuordnungen oder andere sicherheitsrelevanten Identitätsattribute beschreiben und zur Ausführung von Services, wie Autorisierung, Prüfung oder Delegierung, verwendet werden. Beispielsweise sind eine Benutzer-ID und ein Kennwort Berechtigungsnachweise, die den Zugriff auf Netz- und Systemressourcen ermöglichen. Bereitstellungs-API Eine Schnittstelle, die IBM Security Access Manager for Enterprise Single Sign-On die Integration mit Benutzerbereitstellungssystemen ermöglicht. Bereitstellungssystem Ein System, das die Verwaltung von Identitäten während des gesamten Lebenszyklus für Anwendungsbenutzer in Unternehmen bereitstellt und die Berechtigungsnachweise der Benutzer verwaltet. Bidirektionale Sprache Eine Sprache (z. B. Arabisch oder Hebräisch), die eine Schriftdarstellung verwendet, bei der der generelle Textfluss waagerecht von rechts nach links verläuft, bei der jedoch Zahlen sowie Elemente in Englisch oder einer anderen Sprache, bei der der Textfluss von links nach rechts verläuft, von links nach rechts geschrieben werden. Biometrie Die Identifikation eines Benutzers auf der Basis eines physischen Merkmals des Benutzers, wie z. B. Fingerabdruck, Iris, Gesicht, Stimme oder Handschrift. C CA Siehe Zertifizierungsstelle (Certificate Authority, CA). CAPI Siehe Verschlüsselungsanwendungsprogrammierschnittstelle (CAPI). CCOW Siehe Clinical Context Object Workgroup (CCOW). CLI Siehe Befehlszeilenschnittstelle (Command-Line Interface, CLI). Clinical Context Object Workgroup (CCOW) Ein herstellerunabhängiger Standard für den Austausch von Informationen zwischen klinischen Anwendungen im Gesundheitswesen. Cluster Eine Gruppe von Anwendungsservern, die zum Zweck des Lastausgleichs und Funktionsübernahme (Failover) zusammenarbeiten. Connector für virtuelle Kanäle Ein Connector, der in einer Terminal-Serviceumgebung verwendet wird. Der Connector für virtuelle Kanäle richtet einen virtuellen Kommunikationskanal ein, um die fernen Sitzungen zwischen der Komponente Client-AccessAgent und dem Server-AccessAgent zu verwalten. Cryptographic Service Provider (CSP) Ein Feature des Betriebssystems i5/OS, das APIs bereitstellt. Der CCA Cryptographic Service Provider ermöglicht Benutzern die Ausführung von Funktionen auf IBM 4758 PCI Cryptographic Coprocessor. CSN Siehe Kartenseriennummer (Card Serial Number, CSN). CSP Siehe Cryptographic Service Provider (CSP). D Dashboard Eine Schnittstelle, die Daten aus verschiedenen Quellen integriert und eine einheitliche Anzeige relevanter und kontextbezogener Informationen bietet. Datenbankserver Ein Softwareprogramm, in dem ein Datenbankmanager zum Bereitstellen von Datenbankservices für andere Softwareprogramme oder Computer verwendet wird. Datenquelle Das Mittel, über das eine Anwendung auf Daten aus einer Datenbank zugreift. Definierter Name (DN) Der Name, der einen Eintrag in einem Verzeichnis eindeutig angibt. Ein definierter Name besteht aus Attribut/Wert-Paaren, die durch Kommas voneinander getrennt sind. Beispiele: CN=Personenname und C=Land oder Region. Glossar 233 Definierter Name für Bindung Ein Name, der die Berechtigungsnachweise angibt, die der Anwendungsserver beim Herstellen einer Verbindung zu einem Verzeichnisservice verwenden soll. Der definierte Name gibt einen Eintrag in einem Verzeichnis eindeutig an. Deployment Manager Ein Server, durch den Operationen für eine logische Gruppe oder Zelle aus anderen Servern verwaltet und konfiguriert werden. Deployment Manager-Profil Eine WebSphere Application Server-Laufzeitumgebung, über die Operationen für eine logische Gruppe oder Zelle aus anderen Servern verwaltet werden. Desktop-Pool Eine Gruppe virtueller Desktops ähnlicher Konfiguration, die von einer vorgesehenen Benutzergruppe verwendet werden soll. Direktaufruf Eine Tastenkombination, mit der zwischen verschiedenen Anwendungen oder zwischen verschiedenen Funktionen einer Anwendung gewechselt wird. DLL Siehe Dynamic Link Library (DLL). DN Siehe Definierter Name (DN). DNS Siehe Domänennamensserver (DNS). Domänennamensserver (DNS) Ein Serverprogramm, das die Umsetzung von Namen in Adressen über die Zuordnung von Domänennamen zu IP-Adressen bereitstellt. Dynamic Link Library (DLL) Eine Datei, die ausführbaren Code und Daten enthält, die beim Laden oder bei der Ausführung an ein Programm gebunden sind, nicht beim Verbinden. Der Code und die Daten in einer DLL können gleichzeitig von mehreren Anwendungen genutzt werden. E Eigenständige Implementierung Eine Implementierung, bei der der IMSServer in einem unabhängigen WebSphere Application Server-Profil bereitgestellt wird. 234 Eigenständiger Server Ein vollständig betriebsbereiter Server, der unabhängig von allen anderen Servern verwaltet wird und eine eigene Administrationskonsole nutzt. Einfacher Modus Ein Server-AccessAgent-Modus. Die Ausführung im einfachen Modus führt zur Verringerung des Speicherbedarfs von AccessAgent auf einem Terminal- oder Citrix-Server und zur Verbesserung der Startdauer für die einmalige Anmeldung. Einmaliges Anmelden (Single Sign-on, SSO) Ein Authentifizierungsprozess, bei dem der Benutzer auf mehr als ein System oder eine Anwendung zugreifen kann, indem er eine einzige Benutzer-ID und nur ein Kennwort eingibt. Einrichten Bereitstellen, Implementieren und Überwachen eines Service, einer Komponente, einer Anwendung oder einer Ressource. Siehe auch Löschen. Einrichtungsbridge Ein automatischer Verteilungsprozess für Berechtigungsnachweise von IMS Server mit Bereitstellungssystemen anderer Anbieter, der API-Bibliotheken mit einer SOAP-Verbindung verwendet. Enterprise Single Sign-On (ESSO) Ein Mechanismus, der Benutzern die Anmeldung bei allen in einem Unternehmen implementierten Anwendungen durch Eingabe einer Benutzer-ID und anderer Berechtigungsnachweise, wie z. B. eines Kennworts, ermöglicht. Ereigniscode Ein Code, der ein spezielles Ereignis darstellt, das überwacht und in den Tabellen des Prüfprotokolls protokolliert wird. ESSO Siehe Enterprise Single Sign-On (ESSO). F Failover Eine automatische Operation, mit der bei einer Software-, Hardware- oder Netzunterbrechung zu einem redundanten System bzw. Standby-System oder zu einem entsprechenden Knoten umgeschaltet wird. IBM® Security Access Manager for Enterprise Single Sign-On: Installation Federal Information Processing Standard (FIPS) Ein vom National Institute of Standards and Technology erstellter Standard, der verwendet wird, wenn keine nationalen und internationalen Standards vorhanden sind oder die Anforderungen der Regierungsbehörden der USA nicht erfüllt werden können. FIPS Siehe Federal Information Processing Standard (FIPS). Fixierbarer Status Der Status eines AccessProfile-Widgets, der mit dem Haupt-AccessProfile zur Wiederverwendung der AccessProfileWidgetfunktion genutzt werden kann. Fixpack Ein kumulatives Paket mit Programmkorrekturen (Fixes), das zwischen den geplanten Refresh-Packs, Produktaktualisierungen oder Releases veröffentlicht wird. Ein Fixpack aktualisiert das System auf eine bestimmte Wartungsstufe. FQDN Siehe Vollständig qualifizierter Domänenname (Fully Qualified Domain Name, FQDN). G Geheime Frage Eine Frage, deren Antwort nur dem Benutzer bekannt ist. Geheime Fragen werden als Sicherheitseinrichtung verwendet, mit der die Identität eines Benutzers überprüft werden kann. Geltungsbereich Ein Begriff zur Beschreibung der Anwendbarkeit einer Richtlinie auf System-, Benutzer- oder Maschinenebene. GINA Siehe Graphical Identification and Authentication (GINA). GPO Siehe Gruppenrichtlinienobjekt (GPO, Group Policy Object). Graphical Identification and Authentication (GINA) Eine DLL (Dynamic Link Library), die eine eng mit den Authentifizierungsfaktoren integrierte Benutzerschnittstelle bereitstellt und Optionen für das Zurücksetzen von Kennwörtern und zur Umgehung des zweiten Faktors bei der Authentifizierung bietet. Gruppenrichtlinienobjekt (GPO, Group Policy Object) Eine Sammlung von Gruppenrichtlinieneinstellungen. Gruppenrichtlinienobjekte sind die Dokumente, die durch das Snapin für Gruppenrichtlinien erstellt werden. Sie werden auf Domänenebene gespeichert und haben Auswirkungen auf Benutzer und Computer, die in Sites, Domänen und Organisationseinheiten enthalten sind. Gruppe von Registrierungsschlüsseln Auf Windows-Systemen die Struktur der in der Registry gespeicherten Daten. H HA Siehe Hochverfügbarkeit (High Availability, HA). Hochverfügbarkeit (High Availability, HA) Die Funktionalität von IT-Services, alle Ausfälle zu kompensieren und weiterhin Verarbeitungsfunktionalität entsprechend einem vordefinierten Serviceziel bereitzustellen. Kompensierte Ausfälle sind sowohl geplante Ereignisse, wie Wartungsund Sicherungsmaßnahmen, sowie ungeplante Ereignisse, wie Software- und Hardwarefehler, Stromausfall und weitere Notfälle. Hostname Bei der Kommunikation im Internet der Name, der einem Computer zugewiesen wurde. Der Hostname kann ein vollständig qualifizierter Domänenname wie mycomputer.city.company.com oder ein bestimmter Teilname wie mycomputer sein. Siehe auch Vollständig qualifizierter Domänenname (Fully Qualified Domain Name, FQDN), IP-Adresse. Hybrid-Smartcard Eine ISO-7816-konforme Smartcard, die einen Public-Key-Verschlüsselungschip und einen RFID-Chip enthält. Der Verschlüsselungschip ist über eine Kontaktschnittstelle zugänglich. Der RFID-Chip ist über eine kontaktlose (RF-)Schnittstelle zugänglich. Glossar 235 riert wird und in manchen Fällen über einen sicheren Kanal zwischen Client und Server übertragen wird. I Interaktiver grafischer Modus Eine Reihe von Fenstern, in denen Sie zur Eingabe von Informationen zur Ausführung der Installation aufgefordert werden. Knoten IP-Adresse Eine eindeutige Adresse für ein Gerät oder eine logische Einheit in einem Netz, das/die den Internet Protocol-Standard verwendet. Siehe auch Hostname. Knotenagent Ein Verwaltungsagent, der alle Anwendungsserver auf einem Knoten verwaltet und den Knoten in der Verwaltungszelle darstellt. J L Java Management Extensions (JMX) Ein Mittel für die Ausführung von Management-Tasks für und durch Java-Technologie. JMX ist eine universelle, offene Erweiterung der Programmiersprache Java für Management-Tasks, die in allen Branchen, für die Management erforderlich ist, implementiert werden kann. Lastausgleich Die Überwachung von Anwendungsservern und das Management der Auslastung von Servern. Wenn ein Server die vorgesehene Auslastung überschreitet, werden Anforderungen an einen anderen Server mit größerer Kapazität weitergeleitet. Java Runtime Environment (JRE) Eine Teilmenge eines Java Developer Kit, die die ausführbaren Kernprogramme und -dateien enthält, die die standardmäßige Java-Plattform bilden. Zur JRE gehören die Java Virtual Machine (JVM), Kernklassen und unterstützende Dateien. LDAP Siehe Lightweight Directory Access Protocol (LDAP). Java Virtual Machine (JVM) Eine Softwareimplementierung eines Prozessors, der kompilierten Java-Code (Applets und Anwendungen) ausführt. JMX Siehe Java Management Extensions (JMX). JRE Siehe Java Runtime Environment (JRE). JVM Siehe Java Virtual Machine (JVM). K Kartenseriennummer (Card Serial Number, CSN) Ein eindeutiges Datenelement zur Identifizierung einer Hybrid-Smartcard. Es besteht kein Bezug zu den Zertifikaten, die in der Smartcard installiert sind. Kennwortalterung Eine Sicherheitsfunktion, in der der Superuser angeben kann, wie oft die Benutzer ihre Kennwörter ändern müssen. Kennwort für einmaliges Anmelden (OTP) Ein einmal verwendbares Kennwort, das für ein Authentifizierungsereignis gene- 236 Eine logische Gruppe verwalteter Server. Siehe auch Verwalteter Knoten. Lightweight Directory Access Protocol (LDAP) Ein offenes Protokoll, in dem TCP/IP zur Bereitstellung von Zugriff auf Verzeichnisse verwendet wird, die Unterstützung für ein X.500-Modell bieten. Ein LDAP kann zum Suchen von Personen, Unternehmen und anderen Ressourcen in einem Internet- oder Intranetverzeichnis verwendet werden. Löschen Entfernen eines Service oder einer Komponente. Beispielsweise wird mit dem Ausdruck "Account löschen" das Löschen eines Accounts in einer Ressource bezeichnet. Siehe auch Bereitstellung. M Mobile Authentifizierung Ein Authentifizierungsfaktor, der mobilen Benutzern die sichere Anmeldung bei Unternehmensressourcen von jeder Stelle im Netz ermöglicht. Modale Systemnachricht Ein Dialogfenster des Systems, das in der Regel zum Anzeigen wichtiger Nachrichten verwendet wird. Wenn eine modale Systemnachricht angezeigt wird, können IBM® Security Access Manager for Enterprise Single Sign-On: Installation keine anderen Elemente der Anzeige ausgewählt werden, bis die Nachricht geschlossen wird. N Netzimplementierung Die Implementierung eines IMS-Servers in einem WebSphere Application ServerCluster. Notfallwiederherstellung Der Prozess der Wiederherstellung einer Datenbank, eines Systems oder bestimmter Richtlinien nach einem teilweisen oder vollständigen Ausfall einer Site, der durch eine Katastrophe, beispielsweise ein Erdbeben oder einen Brand verursacht wurde. Normalerweise ist für die Notfallwiederherstellung ein vollständiges Backup an einem anderen Standort erforderlich. Notfallwiederherstellungssite Ein zweiter Standort für die Produktionsumgebung für den Fall einer Katastrophe. O OTP Siehe Kennwort für einmaliges Anmelden (OTP). OTP-Token Eine kompakte, in hohem Maße portierbare Hardwareeinheit, die der Eigner als Berechtigung seines Zugriffs auf digitale Systeme und/oder physische Ressourcen bei sich führt. P Persönliche Identifikationsnummer (PIN) Bei der Verschlüsselungsunterstützung eine eindeutige Nummer, die eine Institution einer Einzelperson als Identitätsnachweis zuordnet. Gewöhnlich erteilen Geldinstitute Ihren Kunden PINs. PIN Siehe Persönliche Identifikationsnummer (PIN). PKCS Siehe Public Key Cryptography Standards (PKCS). Portal Ein einziger, sicherer Zugriffspunkt auf verschiedene Informationen, Anwendungen und Personen, der angepasst und personalisiert werden kann. Primärer Authentifizierungsfaktor Das IBM Security Access Manager for Enterprise Single Sign-On-Kennwort oder die Berechtigungsnachweise für den Verzeichnisserver. Privater Schlüssel In der IT-Sicherheit der geheime Teil eines Verschlüsselungsschlüsselpaars, das in Verbindung mit einem Algorithmus mit öffentlichem Schlüssel verwendet wird. Nur der Schlüsselinhaber kennt den privaten Schlüssel. Private Schlüssel werden typischerweise zur digitalen Signierung und Entschlüsselung von Daten verwendet, die mit dem entsprechenden öffentlichen Schlüssel verschlüsselt wurden. Prüfung Ein Prozess, der die Aktivitäten von Benutzern, Administratoren und Help-Desk protokolliert. Public Key Cryptography Standards (PKCS) Eine Gruppe standardisierter Protokolle zum sicheren Informationsaustausch über das Internet. Zertifikate im PKCS-Format können von Domino Certificate Authority- und Server Certificate AdministrationAnwendungen akzeptiert werden. R Radiofrequenzidentifikation (RFID) Eine Technologie, die die automatische Identifikation und die Erfassung der Daten bestimmter Gegenstände ermöglicht, die dann über Funkwellen übertragen werden. Siehe auch Aktive Radiofrequenzidentifikation (RFID). RADIUS Siehe Remote Authentication Dial-in User Service (RADIUS). RDP Siehe Remote Desktop Protocol (RDP). Registry Ein Repository, das Zugriffs- und Konfigurationsdaten für Benutzer, Systeme und Software enthält. Remote Authentication Dial-in User Service (RADIUS) Ein Authentifizierungs- und Abrechnungssystem, das Zugriffsserver verwendet, um Zugriffe auf umfangreiche Netze zentral zu verwalten. Glossar 237 Remote Desktop Protocol (RDP) Ein Protokoll, das die ferne Anzeige und Eingabe über Netzverbindungen für Windows-basierte Serveranwendungen ermöglicht. RDP unterstützt verschiedene Netztopologien und mehrere Verbindungen. Replikation Der Prozess, mit dem eine definierte Gruppe von Daten an mehreren Positionen oder Standorten gespeichert werden kann. Die Replikation beinhaltet das Kopieren bestimmter Änderungen von einer Position bzw. einem Standort (Quelle) an eine andere Position bzw. einen anderen Standort (Ziel) sowie die Synchronisation der Daten an den beiden Positionen bzw. Standorten. RFID Siehe Radiofrequenzidentifikation (RFID). Richtlinienschablone Ein vordefiniertes Richtlinienformat, mit dessen Hilfe Benutzer eine Richtlinie definieren können. Die Schablone stellt die festgelegten Richtlinienelemente bereit, die nicht geändert werden können, sowie die variablen und änderbaren Richtlinienelemente. Richtlinie zur Kennwortkomplexität Eine Richtlinie, die die minimale und maximale Länge des Kennworts sowie die minimale Anzahl numerischer und alphabetischer Zeichen angibt. Außerdem wird festgelegt, ob gemischte Groß- und Kleinbuchstaben zulässig sind. Root CA Siehe Stammzertifizierungsstelle (Root CA). S Schlüsselspeicher Im Sicherheitsbereich eine Datei oder eine Hardwareverschlüsselungskarte, in der Identitäten und private Schlüssel für die Authentifizierung und die Verschlüsselung gespeichert werden. Einige Schlüsselspeicher enthalten auch vertrauenswürdige oder öffentliche Schlüssel. Siehe auch Truststore. Schneller Benutzerwechsel Ein Feature, mit dem Benutzer zwischen verschiedenen Benutzeraccounts auf einer 238 einzigen Workstation wechseln können, ohne Anwendungen zu verlassen und sich abzumelden. Secure Sockets Layer (SSL) Ein Sicherheitsprotokoll, das Schutz personenbezogener Daten bei der Kommunikation bietet. Mithilfe von SSL können Client/Server-Anwendungen auf eine Weise kommunizieren, die Abhören, Manipulation und Fälschen von Nachrichten verhindern soll. Serial ID Service Provider Interface (SPI) Eine programmgesteuerte Schnittstelle, die zur Integration von AccessAgent mit Serial ID-Einheiten anderer Anbieter dient, die für die Zwei-Faktor-Authentifizierung verwendet werden. Seriennummer Eine eindeutige Zahl, die in IBM Security Access Manager for Enterprise Single Sign-On-Schlüssel eingebettet ist; sie ist für jeden Schlüssel eindeutig und kann nicht geändert werden. Server-Locator Ein Verweis zum Gruppieren einer zusammengehörigen Gruppe von Webanwendungen, die die Authentifizierung durch denselben Authentifizierungsservice erfordern. In AccessStudio dienen Server-Locator zum Identifizieren des Authentifizierungsservice, dem eine Anwendungsanzeige zugeordnet ist. Service Provider Interface (SPI) Eine Schnittstelle, über die Anbieter alle Geräte mit Seriennummern in IBM Security Access Manager for Enterprise Single Sign-On integrieren und die Geräte als zweiten Faktor in AccessAgent verwenden können. Sichere digitale Identität Eine Onlineperson, deren Identität schwer vorzutäuschen ist und die möglicherweise durch private Schlüssel auf einer Smartcard geschützt ist. Sicherer Fernzugriff Eine Lösung, die außerhalb der Firewall browserbasierte einmalige Anmeldung für alle Anwendungen bereitstellt. Sicherheitstokenservice (STS) Ein Web-Service für die Ausgabe und den Austausch von Sicherheitstokens. IBM® Security Access Manager for Enterprise Single Sign-On: Installation Sicherheits-Trust-Service-Kette Eine Gruppe von Modulinstanzen, die für die gemeinsame Nutzung konfiguriert sind. Jede Modulinstanz in der Kette wird der Reihe nach aufgerufen, um eine bestimmte Funktion innerhalb der Gesamtverarbeitung einer Anforderung auszuführen. Signatur Bei der Profilerstellung ist die Signatur eine eindeutige Identifikationsinformation für eine Anwendung, ein Fenster oder ein Feld. Simple Mail Transfer Protocol (SMTP) Ein Internetanwendungsprotokoll für die Übertragung von E-Mails zwischen Benutzern des Internets. Smartcard Ein intelligentes Token, das über einen ICChip eingebettet ist, der über Speicherkapazität und Rechenfunktionalität verfügt. Smartcard-Middleware Software, die als Schnittstelle zwischen Smartcard-Anwendungen und der Smartcard-Hardware fungiert. In der Regel besteht die Software aus Bibliotheken, die PKCS#11- und CAPI-Schnittstellen für Smartcards implementieren. SMTP Siehe Simple Mail Transfer Protocol (SMTP). Snapshot Ein erfasster Status mit Daten und Hardwarekonfiguration, der von einer momentan aktiven virtuellen Maschine erstellt wird. SOAP Ein einfaches XML-basiertes Protokoll zum Austausch von Informationen in einer dezentralen, verteilten Umgebung. SOAP kann zur Abfrage und Rückgabe von Informationen und zum Aufruf von Services über das Internet genutzt werden. Siehe auch Web-Service. SPI Siehe Service Provider Interface (SPI). SSL Siehe Secure Sockets Layer (SSL). SSL-VPN Siehe SSL-VPN (Secure Sockets Layer Virtual Private Network). SSL-VPN (Secure Sockets Layer Virtual Private Network) Eine Form von VPN, die mit einem standardmäßigen Web-Browser verwendet werden kann. SSO Siehe Einmaliges Anmelden (Single Signon, SSO). Stammzertifizierungsstelle (Root CA) Die Zertifizierungsstelle auf der obersten Ebene der Hierarchie von Zertifizierungsstellen, über die die Identität eines Zertifikatseigners geprüft werden kann. Strikte Authentifizierung Eine Lösung, die Mehrfachauthentifizierungsgeräte nutzt, um unbefugten Zugriff auf vertrauliche Unternehmensdaten und IT-Netze sowohl innerhalb als auch außerhalb des Unternehmensperimeters zu verhindern. STS Siehe Sicherheitstokenservice (STS). Subskribieren Eine Ressource anfordern. T Terminalemulator Ein Programm, das es einem Gerät, z. B. einem Mikrocomputer oder Personal Computer gestattet, Daten einzugeben oder von einem Datenverarbeitungssystem in derselben Weise zu empfangen, wie dies bei einem angeschlossenen Terminal der Fall ist. Terminaltyp (tty) Ein allgemeiner Gerätetreiber für einen Textbildschirm. Auf einem tty wird die Ein- und Ausgabe normalerweise Zeichen für Zeichen durchgeführt. Thin Client Ein Client, auf dem kaum oder keine Software installiert ist, der jedoch stattdessen über Zugriff auf Software verfügt, die von mit ihm verbundenen Netzservern verwaltet und bereitgestellt wird. Ein Thin Client stellt eine Alternative zu einem Client mit vollem Funktionsumfang wie z. B. einer Workstation dar. Transparente Bildschirmsperre Ein Feature, dessen Aktivierung es dem Benutzer ermöglicht, die Desktopanzeigen zu sperren, wobei der Inhalt des Desktops aber weiterhin angezeigt wird. Glossar 239 ses abgeglichen ist. Active Directory ist ein Beispiel für ein Unternehmensverzeichnis. Trigger Bei der Profilerstellung ein Ereignis, das Übergänge zwischen Statuszuständen in einer Statusengine zur Folge hat, z. B. das Laden einer Webseite oder das Anzeigen eines Fensters auf dem Desktop. Trust-Service-Kette Eine Kette von Modulen, die in unterschiedlichen Modi arbeiten, z. B. in Modi zum Prüfen, Abbilden und Ausgeben von Truststores. Truststore Im Sicherheitsbereich ein Speicherobjekt (eine Datei oder eine Hardwareverschlüsselungskarte), bei der öffentliche Schlüssel für die Authentifizierung in Webtransaktionen in Form vertrauenswürdiger Zertifikate gespeichert werden. In einigen Anwendungen werden diese vertrauenswürdigen Zertifikate in den Anwendungsschlüsselspeicher verschoben, um mit den privaten Schlüsseln gespeichert zu werden. Siehe auch Schlüsselspeicher. tty Siehe Terminaltyp (tty). U Unbeaufsichtigter Modus Ein Verfahren zur Installation bzw. Deinstallation von Produktkomponenten über die Befehlszeile und ohne grafische Benutzeroberfläche. Bei Verwendung des unbeaufsichtigten Modus werden die vom Installations- bzw. Deinstallationsprogramm benötigten Daten direkt in der Befehlszeile angegeben oder vom System aus einer Datei (sog. "Optionsdatei" oder "Antwortdatei") abgerufen. Uniform Resource Identifier (URI) Eine kompakte Zeichenfolge zum Angeben einer abstrakten oder physischen Ressource. Unternehmensverzeichnis Ein Verzeichnis der Benutzeraccounts, das die Benutzer von IBM Security Access Manager for Enterprise Single Sign-On beschreibt. Es prüft Benutzerberechtigungsnachweise beim Subskribieren und Anmelden, wenn das Kennwort mit dem Kennwort des Unternehmensverzeichnis- 240 V VB Siehe Visual Basic (VB). Verknüpfter Klon Die Kopie einer virtuellen Maschine, die mit der übergeordneten virtuellen Maschine virtuelle Platten kontinuierlich gemeinsam nutzt. Veröffentlichte Anwendung Eine Anwendung, die auf einem Citrix XenApp-Server installiert wurde und auf die über Citrix ICA Clients zugegriffen werden kann. Veröffentlichter Desktop Ein Citrix XenApp-Feature, bei dem Benutzer jederzeit, an jedem Ort und von jedem Gerät aus über Fernzugriff auf einen vollständigen Windows-Desktop verfügen. Verschlüsselungsanwendungsprogrammierschnittstelle (CAPI) Eine Anwendungsprogrammierschnittstelle, die Services bereitstellt, mit denen Entwickler Anwendungen mithilfe von Verschlüsselungstechniken schützen können. Sie besteht aus einer Gruppe von dynamisch verbundenen Bibliotheken, die eine Abstraktionsebene bereitstellen, die den Programmierer von dem Code trennt, der zur Verschlüsselung der Daten verwendet wird. Verwalteter Knoten Ein Knoten, der in einem Deployment Manager föderiert ist, einen Knotenagenten enthält und verwaltete Server enthalten kann. Siehe auch Knoten. Verzeichnis Eine Datei, die Namen und Steuerinformationen für Objekte oder andere Verzeichnisse enthält. Verzeichnisservice Ein Verzeichnis der Namen, Profilinformationen und Maschinenadressen jedes Benutzers und jeder Ressource im Netz. Es dient zur Verwaltung von Benutzeraccounts und Netzberechtigungen. Wenn ein Benutzername gesendet wird, gibt er die Attribute dieser Einzelperson zurück; IBM® Security Access Manager for Enterprise Single Sign-On: Installation diese Attribute können eine Telefonnummer sowie eine E-Mail-Adresse umfassen. Verzeichnisservices verwenden hochspezialisierte Datenbanken, die in der Regel hierarchisch strukturiert sind und die schnelle Suche ermöglichen. Virtual Desktop Infrastructure (VDI - Infrastruktur mit virtuellen Desktops) Eine Infrastruktur, die aus Desktopbetriebssystemen besteht, die auf virtuellen Maschinen auf einem zentralen Server gehostet werden. Virtual Member Manager (VMM) Eine Komponente von WebSphere Application Server, die für Anwendungen eine sichere Einrichtung für den Zugriff auf grundlegende Organisationsentitätsdaten, wie Personen, Anmeldeaccounts und Sicherheitsrollen, bereitstellt. Virtual Private Network (VPN) Eine Erweiterung des Intranets eines Unternehmens, die das vorhandene Gerüst eines öffentlichen oder privaten Netzes nutzt. Ein VPN stellt sicher, dass die Daten, die zwischen den beiden Endpunkten der Verbindung gesendet werden, geschützt bleiben. Virtuelle Einheit Ein Image einer virtuellen Maschine mit einem bestimmten Anwendungszweck, das auf Virtualisierungsplattformen implementiert wird. Virtueller Desktop Eine Benutzerschnittstelle in einer virtualisierten Umgebung, die auf einem fernen Server gespeichert ist. Visual Basic (VB) Eine ereignisgesteuerte Programmiersprache und integrierte Entwicklungsumgebung (Integrated Development Environment, IDE) von Microsoft. VMM Siehe Virtual Member Manager (VMM). Vollständig qualifizierter Domänenname (Fully Qualified Domain Name, FQDN) In der Internetkommunikation bezeichnet der FQDN den Namen eines Hostsystems, der alle Teilnamen des Domänennamens beinhaltet. Ein Beispiel eines vollständig qualifizierten Domänennamens ist rchland.vnet.ibm.com. Siehe auch Hostname. VPN W Wallet Ein geschützter Datenspeicher für die Zugriffsberechtigungsnachweise und zugehörigen Informationen für einen Benutzer, einschließlich Benutzer-IDs, Kennwörtern, Zertifikaten und Verschlüsselungsschlüsseln. Wallet Manager Die GUI-Komponente von IBM Security Access Manager for Enterprise Single Sign-On, die es Benutzern ermöglicht, Berechtigungsnachweise für eine Anwendung in einer persönlichen Identitätswallet zu verwalten. Walletzwischenspeicherung Der Vorgang während der einmaligen Anmeldung bei einer Anwendung, bei dem AccessAgent die Anmeldeberechtigungsnachweise aus der Wallet mit den Benutzerberechtigungsnachweisen abruft. Die Wallet mit den Benutzerberechtigungsnachweisen wird auf die Benutzermaschine heruntergeladen und geschützt auf dem IMS-Server gespeichert. Web-Server Ein Softwareprogramm, das HTTP-Anforderungen verarbeiten kann. Web-Service Eine eigenständige, selbstbeschreibende modulare Anwendung, die mithilfe von Standardnetzprotokollen über ein Netz veröffentlicht, erkannt und aufgerufen werden kann. Typischerweise wird XML zur Markierung der Daten, SOAP zur Übertragung der Daten, WDSL zur Beschreibung der verfügbaren Services und UDDI zur Auflistung der verfügbaren Services verwendet. Siehe auch SOAP. Widerrufen Einer Berechtigungs-ID ein Zugriffsrecht oder eine Berechtigung entziehen. WS-Trust Eine Web-Service-Sicherheitsspezifikation, die ein Framework für Trust-Modelle definiert, um eine Vertrauensbeziehung zwischen Web-Services herzustellen. Siehe Virtual Private Network (VPN). Glossar 241 Z Zelle Eine Gruppe verwalteter Prozesse, die im selben Deployment Manager föderiert sind und Hochverfügbarkeitsstammgruppen enthalten können. Zertifikat In der IT-Sicherheit stellt ein Zertifikat ein digitales Dokument dar, das einen öffentlichen Schlüssel an die Identität eines Zertifikatsinhabers bindet. Dadurch wird der Zertifikatsinhaber authentifiziert. Ein Zertifikat wird von einer Zertifizierungsstelle ausgestellt und von dieser Stelle digital signiert. Siehe auch Zertifizierungsstelle (Certificate Authority, CA). Zertifizierungsstelle (Certificate Authority, CA) Eine vertrauenswürdige Drittorganisation oder -firma, die die digitalen Zertifikate ausstellt. Die Zertifizierungsstelle prüft normalerweise die Identität der Einzelpersonen, denen das eindeutige Zertifikat erteilt wird. Siehe auch Zertifikat. Zwei-Faktor-Authentifizierung Die Verwendung von zwei Faktoren für die Authentifizierung von Benutzern. Beispiel: Verwendung von Kennwort und RFID-Karte für die Anmeldung bei AccessAgent. 242 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Index Numerische wörter 1024-Bit-Zertifikate 2048-Bit-Zertifikate Stich- 76, 107 76, 107 A AAInstallDir, Parameter 123 AboutThisProfile.txt, Datei 61, 87 AccessAgent Citrix-Server 119 Dateien 132 Deinstallation 170 Installationspfad 123 Installationsübersicht 119 interaktive Installation 128 Registry-Einträge 132 Serververbindung 131 Terminal-Server 119 unbeaufsichtigte Installation 120 Upgrade 163 Voraussetzungen 127 AccessStudio angepasste Installationsprogramme 136 Dateien 132 Deinstallation 170 Installationsübersicht 119 Registry-Einträge 132 unbeaufsichtigte Installation 120 Upgrade 163 Active Directory siehe Microsoft Active Directory Adapter 39 Adressen 221 Angepasstes Profil 87 Antwortdatei 122, 129, 138 Anwendungsserverprofile eigenständig 61 Netzimplementierung 87 Arbeitsblatt für die Planung Benutzer 177 Hostnamen 176 Ports 176 Profilnamen 177 URLs 176 Verzeichnisse 175 Assistenten IMS-Konfigurationsassistent 78 Auflösung, URL-Adressen 221 Aufteilung von Archiven 51 Außer Kraft setzen, Sitzungsmanagement 115 B Basis-DN Active Directory LDAP 197 192 Basisprofil 61 BAT-Dateien cleanImsConfig.bat, Datei 172 deployIsamesso.bat, Datei 216 deployIsamessoConfig.bat, Datei 216 manageprofiles.bat, Datei 220 setupCmdLine.bat, Datei 215 Befehlszeilenumgebung Middleware 205 Behindertengerechte Bedienung xi Benutzer für Suche LDAP-Server 197 Microsoft Active Directory 192 Benutzer ohne Rootberechtigung 52 Beschreibung 179 Benutzerkontensteuerung (User Account Control, UAC) 205 Benutzernamensattribut 199 BIO-key 214 Biometrie, Installation 214 C cat, Befehl 51 Citrix-Server 119, 123 cleanImsConfig.bat, Datei 172 Cluster Beschreibung 86 Cluster 99 Konfiguration 98 Member 117 Profile 87 starten 208 cn, Attribut 199 com.ibm.tamesso.imsdelhi.j2c.adapters.win32.rar, Datei 214 CONF-Dateien httpd.conf, Datei 75, 105 Console Hook Loader 124 ConsoleAppSupportEnabled, Parameter 124 copy, Befehl 51 D Datenbank Schema 219 Sortierfolge 219 Datenbanken DB2 19, 20 Installation 19 Microsoft SQL Server 21 Oracle Database 21 sichern 202, 203 virtuelle Einheit 50 Vorbereitung 18 wiederherstellen 205 DB2 18 Benutzer 188 Datenbankerstellung 20 DB2 (Forts.) Installation 19 Schemaerstellung 187 Vorbereitung 19 Definierter Name (DN) 199 Definierter Name für Bindung Active Directory 192 LDAP 197 Deinstallation 167 AccessStudio 170 AccessStudio, unbeaufsichtigt 171 ältere Versionen 226 Beschreibung 167 IMS Server 167 deployIsamesso.bat, Datei 216 deployIsamessoConfig.bat, Datei 216 Deployment Manager-Profil 87 maximale Größe des Heapspeichers 100 starten 208 DHCP (Dynamic Host Configuration Protocol) 52 Dienste Konfiguration von WebSphere Application Server 64 starten 205 stoppen 205 Überprüfung 66 DisableWin7CAD, Parameter 124 DLL-Dateien engina.dll 123 EnNetworkProvider.dll, Datei 133 MSGina.dll 122 nwgina.dll 123 DNS (Domain Name System) 193, 221 Domain Name System (DNS) 193 Dynamic Host Configuration Protocol (DHCP) 52 E EAR-Dateien 78, 213 Befehlszeile 216 ISAMESSOIMS 41 ISAMESSOIMSConfig 41 manuelle Implementierung 215 eigenständig Beschreibung 61 Profile 62 Eigenständig Beschreibung 60 EncentuateCredentialProviderEnabled, Parameter 124 EncentuateNetworkProviderEnabled, Parameter 124 engina.dll, Datei 123 EnginaConflictPromptEnabled, Parameter 124 EnginaEnabled, Parameter 123 EnNetworkProvider.dll, Datei 133 Enterprise Archive (EAR) 78 243 ESSO Network Provider Überprüfung 133 Export Configuration Utility 202 F FirstSyncMaxRetries, Parameter 123 FirstSyncRetryIntervalMins, Parameter 123 Fixpacks IBM HTTP Server 35 IBM HTTP Server-Plug-in 36 WebSphere Application Server 28 WebSphere Update Installer 27 G Gemeinsam genutzte Bibliotheken 46 GinaWhiteList, Parameter 123 Glossar 231 Größe des Heapspeichers 100 Deployment Manager-Profil 65, 101 Leistung 65, 101 H Hochverfügbarkeit Cluster 86 virtuelle Einheit 58 hostname, Befehl 221 Hostnamen hostname, Befehl 221 Namensauflösung 221 Variablen 176 hosts, Datei 221 httpd.conf, Datei 75, 105, 218 I IBM Software Support xi Support Assistant xi IBM HTTP Server 75, 78, 105 Berechtigungsnachweise des Administrators 225 Fixpacks 35 Installation 30, 32 Plug-in 36 starten 206 stoppen 206 Überprüfung 225 WebSphere-Plug-in 71, 103, 218 IBM Installation Manager 23 IBM Security Identity Manager Active Directory Adapter 192 Installation 39 ikeyman, Dienstprogramm 66, 93 IMS-Konfigurationsassistent 78 IMS Server Anwendungszuordnung 83, 114 Beschreibung 18 Datenbankschemas 187 Deinstallation 167 eigenständig 78 Einrichtung 82, 112 244 IMS Server (Forts.) Installation 1 EAR-Dateien (Befehlszeile) 216 EAR-Dateien, manuell 215 mit Installationsprogrammen 41 Netzimplementierung 108 Upgrades 157 Installationsübersicht 1 ISAMESSOIMS 78 ISAMESSOIMSConfig 78 Konfiguration 78, 160 manuelle Implementierung 213 Migration 165 Neuinstallation 171 Roadmap zum Upgrade 141 Sitzungsmanagement außer Kraft setzen 115 starten 212 stoppen 212 Überprüfung Konfigurationen 84, 116 WebSphere Application ServerImplementierungen 45 Upgrade 1, 109, 157, 161 Upgrade für 3.6 oder 8.0 156 Zielserver Antwortdatei 132 Menüverknüpfung 132 IMS-Stammzertifizierungsstelle 223 IMSAddressPromptEnabled, Parameter 126 ImsConfigurationEnabled, Parameter 124 ImsConfigurationPromptEnabled, Parameter 124, 129 ImsDownloadPortDefault, Parameter 126 ImsDownloadProtocolDefault, Parameter 126 ImsSecurePortDefault, Parameter 125 ImsServerName, Parameter 126 INI-Dateien SetupHlp.ini, Datei 122 Installation AccessAgent 127, 129 AccessStudio 136, 138 IBM DB2 19 IBM HTTP Server 32 IMS Server 41, 213 virtuelle Einheit 48 vordefinierte Wallet 121 WebSphere Application Server 26 InstallTypeGpo, Parameter 124 IP-Adressen 222 ISAM ESSO AccessStudio.msi, Datei 138, 171 ISAMESSOIMS 78 Knoten hinzufügen 117 Serverzuordnung 83, 114 ISAMESSOIMSConfig 78 Java Virtual Machine (JVM) 65, 101 JAX-RS 46 jaxrslib, Bibliothek 46 JNDI (Java Naming and Directory Interface) 214 JVM (Java Virtual Machine) Leistung 65, 101 JVMInstallationDirectories, Parameter 125 K KDB-Dateien plugin-key.kdb, Datei 75, 105 Kennwort, Zurücksetzung 192 Kennwortabgleich 192 key.p12, Datei 184 keytool, Befehl 66, 93 Knoten starten 102 Synchronisation 217 verwaltete Member 87 Knotenagent Serviceerstellung 102 Starten des Diensts 208 Stoppen des Diensts 208 Konfiguration IBM HTTP Server-Plug-in 103 IMS Server mit IMS-Konfigurationsassistent 78 Unternehmensverzeichnisserver 191 WebSphere Application Server, eigenständig 64 WebSphere Application Server-Cluster 98 L LCID (Locale ID; LändereinstellungsID) 126 LDAP (Lightweight Directory Access Protocol) Data Interchange Format (LDIF) 41 LDIF (LDAP Data Interchange Format) 41 LDIF-Dateien 41 SSL-fähig 224 Tivoli Directory Server 36 Vorbereitung 36 Zertifikate für WebSphere Application Server 224 Leistung Größe des Heapspeichers 65, 101 Lightweight Directory Access Protocol (LDAP) siehe LDAP Locale ID (LCID; LändereinstellungsID) 126 log, Parameter 129, 138 J M java.lang.OutOfMemoryError, Ereignis 100 Java Naming and Directory Interface (JNDI) 214 machine.wlt, Datei 121 Mailattribut 199 manageprofiles, Befehl 201, 202 manageprofiles.bat, Datei 220 IBM® Security Access Manager for Enterprise Single Sign-On: Installation Mehrsprachig 126 Microsoft Active Directory 39 Application Mode (ADAM) 40 Group Policy Object (AD GPO) 124, 126 IBM Security Identity Manager Active Directory Adapter 39 Lightweight Directory Services (AD LDS) 40 NetBIOS 39 Vorbereitung 36 Microsoft SQL Server Datenbanken 21, 219 Schemas 187 Voraussetzungen 18 Migration, IMS Server 165 Mozilla Firefox 128 MSGina.dll 123 MSI-Dateien 129, 138 ISAM ESSO AccessStudio.msi, Datei 138, 171 umfangreiche Implementierungen 120 msiexec, Befehl 129, 138 MST-Dateien 126 N Native Library Invoker (NLI) nbtstat, Befehl 221 NetBIOS Beschreibung 221 LDAP-Konfiguration 197 Microsoft Active Directory, tion 192 netstat, Befehl 41, 61, 87 Network Time Protocol (NTP) Neuinstallation IMS Server 171 Nicht überwacht siehe auch Unbeaufsichtigt Deinstallation 171 NLI, Ressourcenadapter 214 nslookup, Befehl 221 NTP (Network Time Protocol) nwgina.dll 123 214 Portnummern Arbeitsblatt für die Planung 176 eigenständige Implementierung 61 Netzimplementierung 87 Verfügbarkeit 41 PriceLevel, Parameter 124 Problembestimmung xi Profile Deployment Manager 87, 89 eigenständig 61, 62 exportieren 201 importieren 201 IMS Server sichern 202 wiederherstellen 201 interaktiv 89 Listen 220 löschen 220 Netzimplementierung 87 sichern 201, 202 verwaltete Knoten, Erstellung 87 WebSphere Application Server sichern 201 wiederherstellen 204 wiederherstellen 202 Programm für den Lastausgleich 78, 109, 127 Protokolle Dateiposition 61, 87 Serverinstallation 78 Q Konfigura- 55 55 quiet, Parameter 129, 138, 139 R RAR-Dateien com.ibm.tamesso.imsdelhi.j2c.adapters.win32.rar 214 RebootConfirmationEnabled, Parameter 124 RebootEnabled, Parameter 124 RemoveWallet, Parameter 124 ResetBioAPIPermission, Parameter 124 Rootbenutzer 52, 53 Beschreibung 179 O OldJVMInstallationDirectories, Parameter 125 Online Terminologie vii Veröffentlichungen vii Oracle Database Schemas 187 Vorbereitung 18, 21 OVF-Dateien 51 P Pakete, Installation 120 Pfade 175 plug-in-cfg.xml, Datei 218 plugin-key.kdb, Datei 75, 105 SSL siehe auch Stammzertifizierungsstelle Active Directory 195, 224 bidirektionale Konfiguration 41 IBM HTTP Server 75, 105 LDAP-Server 198, 224 nach Upgrade 162 verkettete Zertifikate 71, 103 Verzeichnisserverzertifikate 224 Zertifikatserneuerung 223 Stammzertifizierungsstelle 78 Deployment Manager 93 Konfiguration 109 Sicherheit 66 Upgrade für Konfigurationen von 8.0.1 auf 8.2.1 161 von 8.1 oder 8.2 auf 8.2.1 160 startManager, Befehl 208, 218 startNode, Befehl 102, 208 startServer, Befehl 35, 208, 218 Statisch 52 stopManager, Befehl 210, 218 stopNode, Befehl 210 stopServer, Befehl 28, 210, 218 Synchronisation Kennwort 192 Knoten 217 Szenarios Cluster 12 eigenständig 6 Middleware wiederverwenden 4 virtuelle Einheit 2 T TAM E-SSO IMS Server, Anwendung Deinstallation 226 Terminal-Server 119, 123 Tivoli Directory Server 197 Beschreibung 36 Vorbereitung 41 Training xi trust.p12, Datei 184 Truststore eigenständig 66 Position 41 Stammzertifizierungsstelle 93 TXT-Dateien AboutThisProfile.txt, Datei 61, 87 S Schlüsselspeicher 66, 93 Schlüsselspeicherposition 41 Schulung xi Secure Sockets Layer (SSL) siehe SSL services.msc, Befehl 66 setupCmdLine.bat, Datei 215 SetupHlp.ini, Datei 122 Sitzungsmanagement, außer Kraft setzen 115 SOAP 41 Sprache Umsetzungen 126 SQL_Latin1_General_CP1_CS_AS, Sortierfolge 219 SQL-Scripts 187 U UAC (User Account Control; Benutzerkontensteuerung) 205 Umsetzungen Parameter 139 Sprache 126 Unbeaufsichtigt siehe auch Unbeaufsichtigte Installation Antwortdatei, Parameter 122 Deinstallation 171 Unternehmensverzeichnisse Benutzer für Suche 192, 197 Beschreibung 191 generischer LDAP-Server 200 LDAP 41, 191, 197 Index 245 Unternehmensverzeichnisse (Forts.) Microsoft Active Directory 39, 191, 192 SSL 224 Tivoli Directory Server 41, 197 virtuelle Einheit 50 Vorbereitung 36 Update Installer 27 Upgrades 141 AccessAgent 156, 163 AccessStudio 156 IMS Server 156, 157 von 3.6 oder 8.0 156 von 8.0.1 148, 152 von 8.1 141, 143, 145, 146 Portnummern SOAP 157 Überprüfung 164 virtuelle Einheit 156 UsbKeyPromptEnabled, Parameter 124 WebSphere Application Server (Forts.) Konfigurationsbereinigung 172 SSL-Zertifikate 224 Überprüfung von Diensten 66 Wiederherstellung von Profilen 204 WLT-Dateien machine.wlt, Datei 121 X XML-Dateien plug-in-cfg.xml, Datei 218 Z Zertifikate 1024 Bit 76, 107 2048 Bit 76, 107 Zertifizierungsstelle siehe Stammzertifizierungsstelle V Verbindungen 221 Veröffentlichungen Erklärung zu geeigneten Sicherheitsvorkehrungen xii Liste für dieses Produkt vii Onlinezugriff vii Verzeichnisserver siehe Unternehmensverzeichnisse Virtual Member Manager, Komponente Konfiguration 36, 191 Verzeichnisserver 36 virtuelle Einheit 50 Virtuelle Einheit Implementierung 51 Virtuelle Einheiten Aktivierung 52 Hochverfügbarkeit 58 Konfigurationsexport 58 Konfigurationsimport 58 VMDK-Dateien 51 VMware 48, 51 VMware ESXi 51 Vordefinierte Wallets 121 vSphere Client 51 W Wallets 121 Entfernung 122 vordefiniert 121, 122 WalletTypeSupported, Parameter 126 WAS_PROFILE_HOME, Variable 215 Web-Server siehe auch IBM HTTP Server Vorbereitung 32 WebSphere Application Server Anwendungssicherheit 213 Anwendungszuordnung 83, 114 Installation 24, 26 Fixpacks 28 Web-Server-Plug-in 218 WebSphere Update Installer 27 Konfiguration 64 246 IBM® Security Access Manager for Enterprise Single Sign-On: Installation GI11-3236-04