Installation

Transcription

Installation
IBM® Security Access Manager
for Enterprise Single Sign-On
Version 8.2.1
Installation
GI11-3236-04
IBM® Security Access Manager
for Enterprise Single Sign-On
Version 8.2.1
Installation
GI11-3236-04
Hinweis
Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die Informationen unter
„Bemerkungen” auf Seite 227 gelesen werden.
Impressum
Anmerkung: Diese Ausgabe bezieht sich auf IBM Security Access Manager for Enterprise Single Sign-On Version 8.2.1 (Produktnummer 5724–V67) und alle nachfolgenden Releases und Modifikationen, bis dieser Hinweis in
einer Neuausgabe geändert wird.
Diese Veröffentlichung ist eine Übersetzung des Handbuchs
IBM Security Access Manager for Enterprise Single Sign-On, Version 8.2.1, Installation Guide,
IBM Form GI11-9309-04,
herausgegeben von International Business Machines Corporation, USA
© Copyright International Business Machines Corporation 2002, 2014
Informationen, die nur für bestimmte Länder Gültigkeit haben und für Deutschland, Österreich und die Schweiz
nicht zutreffen, wurden in dieser Veröffentlichung im Originaltext übernommen.
Möglicherweise sind nicht alle in dieser Übersetzung aufgeführten Produkte in Deutschland angekündigt und verfügbar; vor Entscheidungen empfiehlt sich der Kontakt mit der zuständigen IBM Geschäftsstelle.
Änderung des Textes bleibt vorbehalten.
Herausgegeben von:
TSC Germany
Kst. 2877
Mai 2014
Abbildungsverzeichnis
1.
2.
3.
4.
Eigenständige Installation mit virtueller Einheit
Installation eines eigenständigen Produktionsservers . . . . . . . . . . . . . .
Stammzertifizierungsstelle und Schlüsselunterzeichner für WebSphere Application Server im
Truststore durch neue Schlüsselgröße ersetzen .
Beispiel für Hochverfügbarkeit: IBM Security
Access Manager for Enterprise Single Sign-On
in einem Netzimplementierungscluster mit
zwei Knoten . . . . . . . . . . . .
48
60
5.
Stammzertifizierungsstelle und Schlüsselunterzeichner für WebSphere Application Server im
Truststore durch neue Schlüsselgröße ersetzen . 94
67
86
iii
iv
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Inhalt
Abbildungsverzeichnis . . . . . . . . iii
Zu diesem Handbuch . . . . . . . . vii
Zugriff auf Veröffentlichungen und Terminologie
Behindertengerechte Bedienung . . . . . . .
Technische Schulung . . . . . . . . . .
Informationen zur Unterstützung . . . . . .
Erklärung zu geeigneten Sicherheitsvorkehrungen
vii
. xi
. xi
. xi
xii
Kapitel 1. IMS Server installieren . . . . 1
IMS Server - Installationsroadmap . . . . . . . 1
Serverinstallation unter Verwendung einer virtuellen Einheit . . . . . . . . . . . . . . 2
Serverinstallation bei Wiederverwendung bestehender Middleware . . . . . . . . . . . 4
Serverneuinstallation bei eigenständigen Implementierungen (umfassend). . . . . . . . . 6
Serverneuinstallation in einer Clusterimplementierung (umfassend) . . . . . . . . . . 12
Erste Schritte . . . . . . . . . . . . . . 18
Datenbankserver vorbereiten . . . . . . . 18
WebSphere Application Server vorbereiten . . . 22
IBM HTTP Server vorbereiten . . . . . . . 30
Verzeichnisserver vorbereiten . . . . . . . 36
IMS Server mit dem Installationsprogramm von
IMS Server installieren. . . . . . . . . . 41
Server mit virtueller Einheit einrichten . . . . . 47
Images für virtuelle Einheit vorbereiten . . . . 50
Virtuelle Einheit in VMware ESXi implementieren 51
Virtuelle Einheit aktivieren und konfigurieren . . 52
Virtuelle Einheit für Hochverfügbarkeit replizieren . . . . . . . . . . . . . . . . 58
Eigenständigen Produktionsserver einrichten . . . 60
Eigenständige Serverprofile erstellen und auswählen . . . . . . . . . . . . . . . 61
WebSphere Application Server konfigurieren . . 64
IBM HTTP Server-Plug-in konfigurieren (eigenständig) . . . . . . . . . . . . . . 71
IMS Server für eine eigenständige Implementierung konfigurieren . . . . . . . . . . . 78
Cluster einrichten (Netzimplementierung) . . . . 85
Profile für Netzimplementierungen erstellen und
auswählen . . . . . . . . . . . . . . 87
WebSphere Application Server für einen Cluster
konfigurieren . . . . . . . . . . . . . 98
IBM HTTP Server-Plug-in konfigurieren (Netzimplementierung) . . . . . . . . . . . 103
IMS Server für einen Cluster konfigurieren . . 108
Anwendungsserver zu einem Cluster hinzufügen . . . . . . . . . . . . . . . . 117
Kapitel 2. AccessAgent und AccessStudio installieren . . . . . . . . . 119
AccessAgent und AccessStudio - Roadmap zur Installation . . . . . . . . . . . . . . . 119
Installationspaket für die Installation auf mehreren
PCs vorbereiten . . . . . . . . . . . .
Methoden für ferne Softwareverteilung . . . .
Konfiguration der unbeaufsichtigten Installation
Vordefinierte Wallet vorbereiten und installieren
Parameter der Antwortdatei ("SetupHlp.ini")
Unterstützung für zusätzliche Sprachen hinzufügen . . . . . . . . . . . . . . .
AccessAgent installieren . . . . . . . . . .
AccessAgent installieren . . . . . . . . .
AccessAgent unbeaufsichtigt installieren (Befehlszeile) . . . . . . . . . . . . .
AccessAgent mithilfe von Tivoli Endpoint Manager installieren . . . . . . . . . . .
AccessAgent mithilfe des Gruppenrichtlinienobjekts installieren . . . . . . . . . . .
Methoden zum Festlegen der IMS Server-Position . . . . . . . . . . . . . . . .
Dateien und Registry-Einträge prüfen . . . .
ESSO Network Provider prüfen . . . . . .
Unterstützung für die einmalige Anmeldung in
Mozilla Firefox Extended Support Release aktivieren . . . . . . . . . . . . . . .
AccessStudio installieren . . . . . . . . .
AccessStudio installieren (Setup.exe). . . . .
AccessStudio installieren (MSI-Paket) . . . .
AccessStudio unbeaufsichtigt installieren (Befehlszeile) . . . . . . . . . . . . .
120
120
121
121
122
126
127
128
129
130
130
131
132
133
133
136
136
137
138
Kapitel 3. Upgrade durchführen . . . 141
IMS Server - Roadmap zum Upgrade . . . . .
Upgrade für IMS Server 8.2 in einer eigenständigen Implementierung durchführen . . . .
Upgrade für IMS Server 8.2 in einer Netzimplementierung (Cluster) durchführen . . . . .
Upgrade für IMS Server 8.1 in einer eigenständigen Implementierung durchführen . . . .
Upgrade für IMS Server 8.1 in einer Netzimplementierung (Cluster) durchführen . . . . .
Upgrade für IMS Server 8.0.1 in einer eigenständigen Implementierung durchführen . . . .
Upgrade für IMS Server 8.0.1 in einer Netzimplementierung (Cluster) durchführen . . . .
Upgrade für IMS Server 3.6 oder 8.0 . . . .
Upgrade auf Version 8.2.1 . . . . . . . . .
IMS Server für ein Upgrade mit dem Installationsprogramm installieren . . . . . . . .
Upgrade für Konfigurationen von Version 8.1
oder 8.2 auf Version 8.2.1 durchführen . . . .
Upgrade für Konfigurationen von Version 8.0.1
auf Version 8.2.1 durchführen . . . . . . .
SSL-Zertifikat nach einem Upgrade konfigurieren . . . . . . . . . . . . . . . .
Upgrade für AccessAgent . . . . . . . .
Upgrade für AccessStudio durchführen. . . .
141
141
143
145
146
148
152
156
156
156
160
161
162
163
163
v
Erfolgreiche Durchführung eines Upgrades prüfen . . . . . . . . . . . . . . . . 164
IMS Server 8.2.1 in neue Umgebung migrieren . . 165
Kapitel 4. Deinstallation . . . . . . . 167
Deinstallation . . . . . . . . . . . . .
IMS Server deinstallieren . . . . . . . .
AccessAgent deinstallieren . . . . . . . .
AccessStudio deinstallieren . . . . . . . .
IMS Server erneut installieren oder rekonfigurieren
IMS Server-Konfiguration in WebSphere Application Server bereinigen . . . . . . . . .
Kapitel 5. Arbeitsblatt für die Planung
167
167
169
170
171
172
175
Kapitel 6. Datenbankschemas erstellen . . . . . . . . . . . . . . . . 187
Benutzer manuell erstellen .
.
.
.
.
.
.
.
. 188
Kapitel 7. Sonstige Installations- und
Konfigurationstasks . . . . . . . . 191
IMS Server zur Verwendung von Verzeichnisservern konfigurieren . . . . . . . . . . .
IMS Server für die Verwendung von Active Directory-Servern konfigurieren . . . . . . .
IMS Server für die Verwendung von LDAP-Servern konfigurieren . . . . . . . . . .
Anderen generischen LDAP-Verzeichnisserver
als Tivoli Directory Server konfigurieren . . .
Sichern und wiederherstellen . . . . . . . .
WebSphere Application Server-Profile sichern
(Befehl manageprofiles) . . . . . . . . .
IMS Server-Konfiguration sichern (Export Configuration Utility) . . . . . . . . . . .
Datenbank in DB2 9.7 sichern . . . . . . .
Datenbank in DB2 10.1 sichern . . . . . .
WebSphere Application Server-Profile wiederherstellen. . . . . . . . . . . . . .
Datenbank in DB2 wiederherstellen . . . . .
Komponenten stoppen und starten . . . . . .
IBM HTTP Server unter Windows stoppen und
starten. . . . . . . . . . . . . . .
WebSphere Application Server unter Windows
starten. . . . . . . . . . . . . . .
WebSphere Application Server unter Windows
stoppen . . . . . . . . . . . . . .
IMS Server-Anwendungen stoppen und starten
IMS Server manuell in WebSphere Application Server implementieren . . . . . . . . . . .
Anwendungssicherheit in WebSphere Application Server aktivieren. . . . . . . . . .
Ressourcenadapter Native Library Invoker installieren . . . . . . . . . . . . . .
Umgebung für das Befehlszeilentool einrichten
vi
191
EAR-Dateien von IMS Server manuell installieren . . . . . . . . . . . . . . . .
EAR-Dateien von IMS Server installieren (Befehlszeile) . . . . . . . . . . . . .
Knoten resynchronisieren . . . . . . . .
Web-Server-Plug-in für WebSphere Application Server manuell installieren . . . . . . . . . .
Datenbank in SQL Server manuell erstellen . . .
Grundlegende Befehle für die Verwaltung von
WebSphere Application Server-Profilen . . . . .
Methoden zum Auflösen von Hosts und IP-Adressen . . . . . . . . . . . . . . . . .
SSL-Zertifikat für IBM HTTP Server erneuern . .
IMS-Stammzertifizierungsstelle dem Truststore hinzufügen . . . . . . . . . . . . . . .
SSL-Zertifikat des Verzeichnisservers zu WebSphere
Application Server hinzufügen . . . . . . .
Name und Kennwort des IBM HTTP Server-Administrators abrufen . . . . . . . . . . . .
Anwendung TAM E-SSO IMS in WebSphere Application Server deinstallieren . . . . . . . . .
Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig aus WebSphere Application Server deinstallieren . . . . . . . . . . . .
215
216
217
217
219
220
221
222
223
224
225
226
226
192
Bemerkungen . . . . . . . . . . . 227
197
Glossar . . . . . . . . . . . . . . 231
200
200
201
202
202
203
204
205
205
206
208
210
212
212
A
B
C
D
E
F
G
H
I.
J.
K
L
M
N
O
P
R
S
T
U
V
W
Z
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
231
232
233
233
234
234
235
235
236
236
236
236
236
237
237
237
237
238
239
240
240
241
242
213
214
215
Index . . . . . . . . . . . . . . . 243
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Zu diesem Handbuch
Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On - Installation
finden Sie detaillierte Verfahren zur Installation, zum Upgrade oder zur Deinstallation von IBM® Security Access Manager for Enterprise Single Sign-On.
Zugriff auf Veröffentlichungen und Terminologie
Dieser Abschnitt enthält folgende Informationen:
v Eine Liste der in „Bibliothek von IBM Security Access Manager for Enterprise
Single Sign-On” aufgeführten Veröffentlichungen.
v Links auf „Onlineveröffentlichungen” auf Seite x.
v Einen Link zur „Website "IBM Terminology"” auf Seite x.
Bibliothek von IBM Security Access Manager for Enterprise Single Sign-On
In der Bibliothek von IBM Security Access Manager for Enterprise Single Sign-On
sind die folgenden Dokumente verfügbar:
v IBM Security Access Manager for Enterprise Single Sign-On - Leitfaden für den
Schnelleinstieg, CF3T3ML
Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On - Leitfaden für den Schnelleinstieg finden Sie einen Schnelleinstieg zu den wichtigsten Installations- und Konfigurationstasks, die ausgeführt werden müssen, um IBM Security Access Manager for Enterprise Single Sign-On zu implementieren und
verwenden zu können.
v IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment
Guide, IBM Form SC23-9952-06
Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Planning
and Deployment Guide enthält Informationen zur Planung der Implementierung
und Vorbereitung Ihrer Umgebung. Es bietet eine Übersicht über die Produktmerkmale und -komponenten, die erforderlichen Installations- und Konfigurationsschritte sowie die verschiedenen Implementierungsszenarios. Darüber hinaus
wird darin auch beschrieben, wie Hochverfügbarkeit und Notfallwiederherstellung erreicht werden. Lesen Sie dieses Handbuch vor der Ausführung von Installations- und Konfigurationstasks.
v IBM Security Access Manager for Enterprise Single Sign-On - Installation, IBM Form
GI11-3236-04
Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On - Installation finden Sie detaillierte Verfahren zur Installation, zum Upgrade oder zur
Deinstallation von IBM Security Access Manager for Enterprise Single Sign-On.
Dieses Handbuch bietet Unterstützung bei der Installation der verschiedenen
Produktkomponenten und der zugehörigen erforderlichen Middleware. Es beinhaltet außerdem die für die Produktimplementierung erforderlichen Erstkonfigurationen. Darin werden Prozeduren für die Verwendung der virtuellen Einheit
und von WebSphere Application Server Base-Editionen sowie die Netzimplementierung beschrieben.
vii
v IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide,
IBM Form GC23-9692-04
Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide finden Sie Informationen zur Konfiguration der IMS Server-Einstellungen, zur Benutzerschnittstelle für AccessAgent und deren Verhalten.
v IBM Security Access Manager for Enterprise Single Sign-On - Administratorhandbuch,
IBM Form SC43-0530-05
Dieses Handbuch ist für Administratoren vorgesehen. Es deckt die verschiedenen Administratorentasks ab. Das IBM Security Access Manager for Enterprise Single Sign-On - Administratorhandbuch enthält Prozeduren für die Erstellung und
Zuordnung von Richtlinienschablonen, die Bearbeitung von Richtlinienwerten,
die Generierung von Protokollen und Berichten sowie die Sicherung von IMS
Server und der zugehörigen Datenbank. Verwenden Sie dieses Handbuch zusammen mit dem Dokument "IBM Security Access Manager for Enterprise Single
Sign-On Policies Definition Guide".
v IBM Security Access Manager for Enterprise Single Sign-On Policies Definition Guide,
IBM Form SC23-9694-04
Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Policies
Definition Guide enthält detaillierte Beschreibungen der verschiedenen Benutzer-,
Maschinen- und Systemrichtlinien, die von Administratoren in AccessAdmin
konfiguriert werden können. Verwenden Sie dieses Handbuch zusammen mit
dem Dokument "IBM Security Access Manager for Enterprise Single Sign-On
Administratorhandbuch".
v IBM Security Access Manager for Enterprise Single Sign-On Help Desk Guide, IBM
Form SC23-9953-04
Dieses Handbuch ist für Help-Desk-Beauftragte vorgesehen. Im Handbuch IBM
Security Access Manager for Enterprise Single Sign-On Help Desk Guide werden Informationen für Help-Desk-Beauftragte zur Verwaltung von Abfragen und Anforderungen von Benutzern bereitgestellt, die sich in der Regel mit deren Authentifizierungsfaktoren befassen. Verwenden Sie dieses Handbuch zusammen
mit dem Dokument "IBM Security Access Manager for Enterprise Single Sign-On
Policies Definition Guide".
v IBM Security Access Manager for Enterprise Single Sign-On - Benutzerhandbuch, IBM
Form SC12-4979-05
Dieses Handbuch ist für Benutzer vorgesehen. Das IBM Security Access Manager
for Enterprise Single Sign-On - Benutzerhandbuch enthält Anweisungen für die Verwendung von AccessAgent und Web Workplace.
v IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide, IBM Form GC23-9693-03
Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide finden Sie Informationen zu Problemen, die bei der
Installation, beim Upgrade und der Nutzung des Produkts auftreten können.
Dieses Handbuch deckt die bekannten Probleme und Einschränkungen des Produkts ab. Es bietet Unterstützung beim Ermitteln der Symptome und der Fehlerumgehung für das jeweilige Problem. Darüber hinaus werden darin auch Informationen zu Fixes, Wissensbasen und Unterstützung angegeben.
v IBM Security Access Manager for Enterprise Single Sign-On Error Message Reference
Guide, IBM Form GC14-7624-02
Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Error
Message Reference Guide werden alle Warnungen sowie Informations- und Fehlernachrichten in IBM Security Access Manager for Enterprise Single Sign-On beschrieben.
viii
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
v IBM Security Access Manager for Enterprise Single Sign-On AccessStudio Guide, IBM
Form SC23-9956-05
Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On AccessStudio Guide enthält Informationen zur Erstellung und Verwendung von AccessProfiles. Dieses Handbuch enthält Prozeduren für die Erstellung und Bearbeitung standardmäßiger und erweiterter AccessProfiles für unterschiedliche
Anwendungstypen. Darüber hinaus umfasst es auch Informationen zur Verwaltung von Authentifizierungsservices und Anwendungsobjekten sowie Informationen zu anderen Funktionen und Features von AccessStudio.
v IBM Security Access Manager for Enterprise Single Sign-On - AccessProfile-Widgets,
IBM Form SC12-4782-01
Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On - AccessProfile-Widgets enthält Informationen zur Erstellung und Verwendung von Widgets.
v IBM Security Access Manager for Enterprise Single Sign-On Tivoli Endpoint Manager
Integration Guide, IBM Form SC27-5620-00
Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Tivoli
Endpoint Manager Integration Guide enthält Informationen darüber, wie Fixlets für
die Installation, das Upgrade oder die Verwaltung der Programmkorrekturen für
AccessAgent erstellt und implementiert werden. Es enthält außerdem Themen
zur Verwendung und Anpassung des Dashboards, mit dem Informationen zur
Implementierung von AccessAgent an den Endpunkten angezeigt werden können.
v IBM Security Access Manager for Enterprise Single Sign-On Provisioning Integration
Guide, IBM Form SC23-9957-04
Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Provisioning Integration Guide enthält Informationen zu den unterschiedlichen Java™- und
SOAP-APIs für die Einrichtung. Darüber hinaus enthält es auch Prozeduren für
die Installation und Konfiguration des Einrichtungsagenten.
v IBM Security Access Manager for Enterprise Single Sign-On Web API for Credential
Management Guide, IBM Form SC14-7646-01
Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Web API
for Credential Management Guide enthält Informationen zur Installation und Konfiguration der Web-API für das Berechtigungsnachweismanagement.
v IBM Security Access Manager for Enterprise Single Sign-On Serial ID SPI Guide, IBM
Form SC14-7626-01
Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Serial ID
SPI Guide wird beschrieben, wie Geräte mit Seriennummern eingebunden und
als zweiter Authentifizierungsfaktor für AccessAgent verwendet werden können.
v IBM Security Access Manager for Enterprise Single Sign-On Epic Integration Guide,
IBM Form SC27-5623-00
Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Epic Integration Guide enthält Informationen über die Integration von IBM Security Access Manager for Enterprise Single Sign-On und Epic einschließlich der Informationen zu den unterstützten Workflows und Konfigurationen sowie zur
Implementierung.
v IBM Security Access Manager for Enterprise Single Sign-On Context Management Integration Guide, IBM Form SC23-9954-04
Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Context
Management Integration Guide enthält Informationen zum Installieren, Konfigurieren und Testen der integrierten Kontextmanagementlösung auf den einzelnen
Client-Workstations.
Zu diesem Handbuch
ix
v IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Mobile
Guide, IBM Form SC27-5621-01
Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Mobile Guide enthält Informationen zur Implementierung und Verwendung der einmaligen Anmeldung bei mobilen Endgeräten.
v IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Virtual
Desktop Infrastructure Guide, IBM Form SC27-5622-01
Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Virtual Desktop Infrastructure Guide enthält Informationen zur Einrichtung der Unterstützung für die einmalige Anmeldung in VDI (Virtual Desktop
Infrastructure) und zu den unterschiedlichen Benutzerworkflows für den Zugriff
auf das virtuelle Desktop.
v IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Terminal
Server and Citrix Server Guide, IBM Form SC27-5668-01
Das Handbuch IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Terminal Server and Citrix Server Guide enthält Informationen zu den erforderlichen Konfigurationen und unterstützten Workflows auf den Terminalund Citrix-Servern.
Onlineveröffentlichungen
IBM stellt Veröffentlichungen zu Produkten bereit, wenn neue Produkte freigegeben werden und wenn die zugehörigen Veröffentlichungen aktualisiert werden.
Die Veröffentlichungen werden auf den folgenden Websites zur Verfügung gestellt:
Bibliothek von IBM Security Access Manager for Enterprise Single Sign-On
Die Website für die Produktdokumentation (http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.itamesso.doc_8.2.1/kchomepage.html) zeigt die Begrüßungsseite und die Navigation für die Bibliothek an.
IBM Security Systems Documentation Central
Die Website IBM Security Systems Documentation Central enthält eine alphabetische Liste aller Produktbibliotheken von IBM Security Systems sowie Links zur versionsspezifischen Onlinedokumentation jedes Produkts.
IBM Publications Center
Im IBM Publications Center werden angepasste Suchfunktionen zur Verfügung gestellt, mit deren Hilfe Sie alle benötigten IBM Veröffentlichungen
suchen können.
Website "IBM Terminology"
Die Website "IBM Terminology" bietet Ihnen eine zentrale Zugriffsmöglichkeit auf
die Terminologie der Produktbibliotheken. Unter folgender Adresse können Sie auf
diese Terminologiewebsite zugreifen: http://www.ibm.com/software/
globalization/terminology.
x
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Behindertengerechte Bedienung
Funktionen zur behindertengerechten Bedienung unterstützen Benutzer mit Körperbehinderung, wie eingeschränkter Beweglichkeit oder einer Sehbehinderung, bei
der erfolgreichen Verwendung von Softwareprodukten. Bei diesem Produkt können
Sie Technologien für die behindertengerechte Bedienung nutzen, um mithilfe akustischer Signale in der Schnittstelle zu navigieren. Außerdem können Sie alle Funktionen der grafischen Benutzerschnittstelle mit der Tastatur anstelle der Maus bedienen.
Zusätzliche Informationen enthält der Abschnitt "Accessibility features" im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
Technische Schulung
Informationen zu technischen Schulungen finden Sie auf der folgenden IBM Schulungswebsite unter der Adresse http://www.ibm.com/software/tivoli/education.
Informationen zur Unterstützung
IBM Support bietet Ihnen Unterstützung bei codebezogenen Problemen und Routinen sowie bei kurzfristigen Fragen zur Installation und Nutzung. Unter der Adresse http://www.ibm.com/software/support/probsub.html können Sie direkt auf
die Website von IBM Software Support zugreifen.
Im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide finden Sie ausführliche Informationen zu folgenden Themen:
v Vor der Kontaktaufnahme zum IBM Support zu erfassende Informationen.
v Verschiedene Vorgehensweisen zur Kontaktaufnahme mit dem IBM Support.
v Vorgehensweise zur Verwendung von IBM Support Assistant.
v Anweisungen und Informationsquellen zur Problembestimmung, die zur eigenständigen Isolierung und Behebung von Fehlern eingesetzt werden können.
Anmerkung: Auf der Registerkarte Community and Support im Information Center des Produkts finden Sie weitere Unterstützungsressourcen.
Zu diesem Handbuch
xi
Erklärung zu geeigneten Sicherheitsvorkehrungen
Zur Sicherheit von IT-Systemen gehört der Schutz von Systemen und Informationen in Form von Vorbeugung, Erkennung und Reaktion auf unbefugten Zugriff innerhalb des Unternehmens und von außen. Unbefugter Zugriff kann dazu führen,
dass Informationen geändert, gelöscht, veruntreut oder missbräuchlich verwendet
werden. Ebenso können Ihre Systeme beschädigt oder missbräuchlich verwendet
werden, einschließlich zum Zweck von Attacken. Kein IT-System oder Produkt
kann umfassend als sicher betrachtet werden. Kein einzelnes Produkt, kein einzelner Service und keine einzelne Sicherheitsmaßnahme können eine unbefugte Verwendung oder einen unbefugten Zugriff mit vollständiger Wirksamkeit verhindern.
IBM Systeme, Produkte und Services werden als Teil eines umfassenden Sicherheitskonzepts entwickelt, sodass die Einbeziehung zusätzlicher Betriebsprozesse erforderlich ist. IBM übernimmt keine Gewähr dafür, dass Systeme, Produkte oder
Services vor zerstörerischen oder unzulässigen Handlungen Dritter geschützt sind
oder dass Systeme, Produkte oder Services Ihr Unternehmen vor zerstörerischen
oder unzulässigen Handlungen Dritter schützen.
xii
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Kapitel 1. IMS Server installieren
Die Installation von IMS Server für IBM Security Access Manager for Enterprise
Single Sign-On hängt vom Typ der Serverimplementierung, der verfügbaren Middleware und den Anforderungen an die Verfügbarkeit ab.
IMS Server - Installationsroadmap
Sie können IMS Server für eine Neuinstallation installieren oder ein Upgrade für
einen bestehenden Server von einer früheren Version des Produkts durchführen.
Sie können den Server als virtuelle Einheit, als eigenständigen Server oder in einer
Clusterumgebung implementieren.
Anmerkung: Wenn Sie ein Upgrade von einer früheren Version von IMS Server
durchführen wollen, lesen Sie die Informationen in „IMS Server - Roadmap zum
Upgrade” auf Seite 141.
Vorbereitungen
Führen Sie vor der Installation des Servers folgenden Tasks aus:
1. Planen und bereiten Sie die Implementierung vor. Ermitteln Sie die Voraussetzungen, Implementierungsszenarios, Accounts und Sicherheitsanforderungen.
Informationen dazu finden Sie unter „Planning for deployment” im Handbuch
IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
2. Stellen Sie sicher, dass Sie über die Administratorberechtigungen für die Ausführung der Installation verfügen.
3. Nutzen Sie die folgenden Roadmaps, um die geeignetste Vorgehensweise für
die Installation des Servers in Ihrer Umgebung zu ermitteln:
v „Serverinstallation unter Verwendung einer virtuellen Einheit” auf Seite 2
v „Serverinstallation bei Wiederverwendung bestehender Middleware” auf Seite 4
v „Serverneuinstallation bei eigenständigen Implementierungen (umfassend)”
auf Seite 6
v „Serverneuinstallation in einer Clusterimplementierung (umfassend)” auf Seite 12
1
Serverinstallation unter Verwendung einer virtuellen Einheit
Verwenden Sie die Roadmap als Referenz für die Implementierung einer virtuellen
Einheit von IMS Server.
Prozedur
1
Referenz
Bereiten Sie den Datenbankserver vor. Fol- v Informationen zu den unterstützten
gende Aktionen sind möglich:
Datenbankservern und Versionen: Abv Sie können einen neuen
schnitt „Hardware and software
Datenbankserver installieren oder einen
requirements” im Dokument IBM
bestehenden Datenbankserver nutzen.
Security Access Manager for Enterprise
Single Sign-On Planning and Deployment
v Sie können eine Datenbank von IBM
Guide.
DB2, Microsoft SQL Server oder Oracle
Database verwenden.
v „Datenbankserver vorbereiten” auf Seite
18.
Dokumentation für IBM DB2 Version 9.7
v http://publib.boulder.ibm.com/
infocenter/db2luw/v9/
index.jsp?topic=/com.ibm.db2.udb.doc/
welcome.htm
Dokumentation für IBM DB2 Version 10.1
v http://pic.dhe.ibm.com/infocenter/
db2luw/v10r1/index.jsp
Dokumentation für Microsoft SQL Server:
v Rufen Sie die Website von Microsoft unter der Adresse http://
www.microsoft.com auf und suchen Sie
dort die Dokumentation für Ihr Produkt.
Dokumentation für Oracle Database:
v Rufen Sie die Website von Oracle unter
der Adresse http://www.oracle.com auf
und suchen Sie dort die Dokumentation
für Ihr Produkt.
Anmerkung: Dieses Handbuch enthält
Informationen für die Konfiguration von
Datenbanken für IMS Server. Die ausführlichen und aktuellen
Installationsanweisungen finden Sie in der
Produktdokumentation der verwendeten
Datenbank.
2
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Prozedur
2
Referenz
Bereiten Sie den Verzeichnisserver vor.
Folgende Aktionen sind möglich:
v Informationen zu den unterstützten
Verzeichnisservern und Versionen: Abv Sie können einen neuen
schnitt „Hardware and software
Verzeichnisserver installieren oder einen
requirements” im Dokument IBM
bestehenden Verzeichnisserver nutzen.
Security Access Manager for Enterprise
Single Sign-On Planning and Deployment
v Sie können einen Active Directory- oder
Guide.
einen LDAP-Server verwenden.
v „Verzeichnisserver vorbereiten” auf Seite 36
v Informationen zur Active Directory-Installation finden Sie unter der Adresse
http://technet.microsoft.com/en-us/
library/cc758107(v=WS.10).aspx.
Anmerkung: Dieses Handbuch enthält
Anweisungen zur Konfiguration von
Verzeichnisservern. Ausführliche und aktuelle Installationsanweisungen finden Sie
in der Produktdokumentation des verwendeten Verzeichnisservers.
3
Implementieren Sie die virtuelle Einheit in „Virtuelle Einheit in VMware ESXi
VMware ESXi.
implementieren” auf Seite 51
4
Aktivieren und konfigurieren Sie die virtu- „Virtuelle Einheit aktivieren und
elle Einheit.
konfigurieren” auf Seite 52
5
Wenn für Ihre
Verzeichnisserververbindungen SSL zum
Einsatz kommt, fügen Sie die
Verzeichnisserverzertifikate zu WebSphere
Application Server hinzu.
„SSL-Zertifikat des Verzeichnisservers zu
WebSphere Application Server
hinzufügen” auf Seite 224
6
Richten Sie den IMS Server-Administrator
ein.
„IMS Server-Administrator einrichten” auf
Seite 82
7
Prüfen Sie die Konfiguration von IMS Ser- „Konfiguration von IMS Server prüfen”
ver.
auf Seite 84
Kapitel 1. IMS Server installieren
3
Serverinstallation bei Wiederverwendung bestehender Middleware
Wenn Sie über eine bereits bestehende Installation mit der erforderlichen Middleware verfügen, können Sie diese wiederverwenden.
Prozedur
Referenz
1
Prüfen Sie die Middlewarevoraussetzungen, um Informationen dazu enthält der Abschnitt
„Hardware and software requirements” im
sicherzustellen, dass die bestehende
Handbuch IBM Security Access Manager for
Middleware die Voraussetzungen erfüllt.
Enterprise Single Sign-On Planning and
Bei bereits vorhandenen Implementierungen
Deployment Guide.
von WebSphere Application Server 7.0 müssen
„IBM WebSphere Application Server Feature
Sie WebSphere Web 2.0 and Mobile Feature
Pack for Web 2.0 and Mobile installieren” auf
Pack installieren, wenn dieses Feature-Pack
Seite 30
nicht bereits installiert ist.
2
Konfigurieren Sie WebSphere Application Server.
Bei eigenständigen Implementierungen:
v „Eigenständige Serverprofile erstellen und
auswählen” auf Seite 61
v „WebSphere Application Server
konfigurieren” auf Seite 64
Bei Netzimplementierungen:
v „Profile für Netzimplementierungen erstellen
und auswählen” auf Seite 87
v „WebSphere Application Server für einen
Cluster konfigurieren” auf Seite 98
Beispielanweisungen finden Sie in den folgenden Abschnitten:
v „Größe des Heapspeichers für den
Anwendungsserver konfigurieren” auf Seite
65
v „Windows-Dienst für WebSphere Application
Server prüfen” auf Seite 66
v „Stammzertifizierungsstelle für WebSphere
Application Server 7.0 erneut erstellen
(eigenständig)” auf Seite 66
WebSphere Application Server Version 7.0-Dokumentation
v http://publib.boulder.ibm.com/infocenter/
wasinfo/v7r0/index.jsp
WebSphere Application Server Version 8.5-Dokumentation
v http://publib.boulder.ibm.com/infocenter/
wasinfo/v8r5/index.jsp
3
Wenn für Ihre Verzeichnisserververbindungen
SSL zum Einsatz kommt, fügen Sie die
Verzeichnisserverzertifikate zu WebSphere
Application Server hinzu.
„SSL-Zertifikat des Verzeichnisservers zu WebSphere Application Server hinzufügen” auf Seite 224
4
Konfigurieren Sie IBM HTTP Server.
v „IBM HTTP Server-Plug-in konfigurieren
(eigenständig)” auf Seite 71
v „IBM HTTP Server-Plug-in konfigurieren
(Netzimplementierung)” auf Seite 103
4
5
Implementieren Sie die IMS Server-Anwendungen in WebSphere Application Server.
„IMS Server mit dem Installationsprogramm
von IMS Server installieren” auf Seite 41
6
Prüfen Sie die IMS Server-Implementierung in
WebSphere Application Server.
„Implementierung von IMS Server in WebSphere Application Server überprüfen” auf Seite
44
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Prozedur
Referenz
7
Nur für WebSphere Application Server Version
8.5: Konfigurieren Sie die IMS Server-Implementierung mit der Sun Reference
Implementation 1.2-Implementierung.
„JSF-Implementierung konfigurieren” auf Seite
45
8
Nur für WebSphere Application Server Version
7.0: Fügen Sie die gemeinsam genutzte JAX-RSBibliothek hinzu.
„Gemeinsam genutzte JAX-RS-Bibliothek
hinzufügen” auf Seite 46
9
Konfigurieren Sie IMS Server.
v „IMS Server für eine Neuinstallation mit dem
IMS-Konfigurationsassistenten konfigurieren
(eigenständig)” auf Seite 78
v „IMS Server zur Verwendung von
Verzeichnisservern konfigurieren” auf Seite
191
v (Netzimplementierung)
„Sitzungsmanagement für ISAMESSOIMS
außer Kraft setzen” auf Seite 115
10
Richten Sie den IMS Server-Administrator ein.
„IMS Server-Administrator einrichten” auf Seite
82
11
Aktualisieren Sie die Modulzuordnung für
ISAMESSOIMS, um Verbindungsanforderungen
weiterzuleiten.
„Modulzuordnung für ISAMESSOIMS für die
Weiterleitung von Verbindungsanforderungen
aktualisieren” auf Seite 83
12
Prüfen Sie die Konfiguration von IMS Server.
„Konfiguration von IMS Server prüfen” auf Seite 84
Kapitel 1. IMS Server installieren
5
Serverneuinstallation bei eigenständigen Implementierungen
(umfassend)
Verwenden Sie diese Roadmap als Referenz für die Installation eines eigenständigen Servers.
1
Prozedur
Referenz
Bereiten Sie den Datenbankserver vor. Folgende Aktionen sind möglich:
Informationen zu den unterstützten
Datenbankservern und Versionen: Abschnitt „Hardware and software
requirements” im Dokument IBM Security
Access Manager for Enterprise Single SignOn Planning and Deployment Guide.
v Sie können einen neuen
Datenbankserver installieren oder einen
bestehenden Datenbankserver nutzen.
v Sie können eine Datenbank von IBM
DB2, Microsoft SQL Server oder Oracle
Database verwenden.
Beispielanweisungen finden Sie in den
folgenden Abschnitten:
v „Datenbankserver vorbereiten” auf Seite 18
Dokumentation für IBM DB2 Version 9.7
v http://publib.boulder.ibm.com/
infocenter/db2luw/v9/
index.jsp?topic=/com.ibm.db2.udb.doc/
welcome.htm
Dokumentation für IBM DB2 Version 10.1
v http://pic.dhe.ibm.com/infocenter/
db2luw/v10r1/index.jsp
Dokumentation für Microsoft SQL Server:
v Rufen Sie die Website von Microsoft
unter der Adresse http://
www.microsoft.com auf und suchen Sie
dort die Dokumentation für Ihr Produkt.
Dokumentation für Oracle Database:
v Rufen Sie die Website von Oracle unter
der Adresse http://www.oracle.com
auf und suchen Sie dort die Dokumentation für Ihr Produkt.
Anmerkung: Dieses Handbuch enthält
Informationen für die Konfiguration von
Datenbanken für IMS Server. Die ausführlichen und aktuellen
Installationsanweisungen finden Sie in der
Produktdokumentation der verwendeten
Datenbank.
6
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Prozedur
2
Referenz
Bereiten Sie den Verzeichnisserver vor. Fol- Informationen zu den unterstützten
Verzeichnisservern und Versionen: Abgende Aktionen sind möglich:
schnitt „Hardware and software
v Sie können einen neuen
Verzeichnisserver installieren oder einen requirements” im Dokument IBM Security
Access Manager for Enterprise Single Signbestehenden Verzeichnisserver nutzen.
On Planning and Deployment Guide.
v Sie können einen einzigen oder mehrere
Verzeichnisserver verwenden.
Beispielanweisungen finden Sie in den
folgenden Abschnitten:
v „Verzeichnisserver vorbereiten” auf Seite 36
Dokumentation für Microsoft Active
Directory:
v Rufen Sie die Website von Microsoft
unter der Adresse http://
www.microsoft.com auf und suchen Sie
dort die Dokumentation für Ihr Produkt.
Anmerkung: Dieses Handbuch enthält
Anweisungen zur Konfiguration von
Verzeichnisservern. Ausführliche und aktuelle Installationsanweisungen finden Sie
in der Produktdokumentation des verwendeten Verzeichnisservers.
Kapitel 1. IMS Server installieren
7
3
Prozedur
Referenz
Bereiten Sie WebSphere Application Server
vor.
Informationen zu den unterstützten Versionen von WebSphere Application Server:
Abschnitt „Hardware and software
requirements” im Dokument IBM Security
Access Manager for Enterprise Single SignOn Planning and Deployment Guide.
Für WebSphere Application Server Version
7.0:
v Installieren Sie WebSphere Application
Server.
v Installieren Sie WebSphere Update Installer.
v Installieren Sie das WebSphere
Application Server-Fixpack.
v Installieren Sie WebSphere Application
Server 7.0 Feature Pack for Web 2.0 and
Mobile.
Für WebSphere Application Server Version
8.5:
v Installieren Sie IBM Installation Manager.
v Installieren Sie WebSphere Application
Server mit Fixpack 2.
Beispielanweisungen finden Sie in den
folgenden Abschnitten:
v „WebSphere Application Server Version
7.0 installieren” auf Seite 26
v „WebSphere Update Installer
installieren” auf Seite 27
v „WebSphere Application Server Version
7.0-Fixpacks installieren” auf Seite 28
v „IBM WebSphere Application Server
Feature Pack for Web 2.0 and Mobile
installieren” auf Seite 30
v „IBM Installation Manager installieren”
auf Seite 23
v „WebSphere Application Server Version
8.5 installieren” auf Seite 24
WebSphere Application Server Version
7.0-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/index.jsp
WebSphere Application Server Version
8.5-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v8r5/index.jsp
Anmerkung: Dieses Handbuch enthält
Anweisungen zur Vorbereitung von WebSphere Application Server für IMS Server.
Ausführliche und aktuelle
Installationsanweisungen finden Sie in der
Dokumentation für WebSphere
Application Server.
8
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
4
Prozedur
Referenz
Bereiten Sie IBM HTTP Server vor:
Informationen zu den unterstützten Versionen von IBM HTTP Server: Abschnitt
„Hardware and software requirements”
im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning
and Deployment Guide.
Für IBM HTTP Server Version 7.0:
v Installieren Sie IBM HTTP Server.
v Installieren Sie das IBM HTTP ServerFixpack unter Verwendung von WebSphere Application Server Update
Installer.
Für IBM HTTP Server Version 8.5:
v Installieren Sie IBM HTTP Server mit
Fixpack 2 über IBM Installation Manager.
Beispielanweisungen finden Sie in den
folgenden Abschnitten:
v „IBM HTTP Server Version 7.0
installieren” auf Seite 32
v „IBM HTTP Server Version 7.0-Fixpacks
installieren” auf Seite 34
v „IBM HTTP Server Version 8.5
installieren” auf Seite 30
IBM HTTP Server Version 7.0-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/
index.jsp?topic=/
com.ibm.websphere.ihs.doc/info/ihs/
ihs/tihs_installihs.html
IBM HTTP Server Version 8.5-Dokumentation
v http://pic.dhe.ibm.com/infocenter/
wasinfo/v8r5/topic/
com.ibm.websphere.ihs.doc/ihs/
tihs_installihs.html
Anmerkung: Dieses Handbuch enthält
Anweisungen zur Vorbereitung von IBM
HTTP Server. Ausführliche und aktuelle
Installationsanweisungen finden Sie in der
Dokumentation für IBM HTTP Server.
5
Erstellen Sie ein eigenständiges WebSphere „Eigenständige Serverprofile erstellen und
auswählen” auf Seite 61
Application Server-Profil.
Wichtig: Für WebSphere Application Server Version 8.5 darf der
Profilverzeichnispfad keine Leerzeichen
enthalten.
Kapitel 1. IMS Server installieren
9
6
Prozedur
Referenz
Konfigurieren Sie WebSphere Application
Server. Diese Tasks schützen die Implementierung und optimieren die Leistung
der JVM (Java Virtual Machine).
Beispielanweisungen finden Sie in den
folgenden Abschnitten:
v Konfigurieren Sie die Größe des JavaHeapspeichers.
v Prüfen Sie den Windows-Dienst für
WebSphere Application Server.
v Optional: Erstellen Sie die 1024-BitStammzertifizierungsstelle erneut, wenn
für Ihre Implementierung die größere
Schlüsselgröße von 2048 Bit erforderlich
ist.
v „Größe des Heapspeichers für den
Anwendungsserver konfigurieren” auf
Seite 65
v „Windows-Dienst für WebSphere
Application Server prüfen” auf Seite 66
v „Stammzertifizierungsstelle für WebSphere Application Server 7.0 erneut
erstellen (eigenständig)” auf Seite 66
WebSphere Application Server Version
7.0-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/index.jsp
WebSphere Application Server Version
8.5-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v8r5/index.jsp
7
Wenn für Ihre
Verzeichnisserververbindungen SSL zum
Einsatz kommt, fügen Sie die
Verzeichnisserverzertifikate zu WebSphere
Application Server hinzu.
8
Konfigurieren Sie IBM HTTP Server:
„SSL-Zertifikat des Verzeichnisservers zu
WebSphere Application Server
hinzufügen” auf Seite 224
Beispielanweisungen finden Sie in den
v Konfigurieren Sie das IBM HTTP Server- folgenden Abschnitten:
v „IBM HTTP Server-Plug-in konfiguriePlug-in und schützen Sie die Verbinren (eigenständig)” auf Seite 71
dung.
v Aktivieren Sie SSL-Direktiven in IBM
HTTP Server.
v „SSL-Direktiven in IBM HTTP Server
aktivieren” auf Seite 74
v Optional: Erstellen Sie das SSL-Zertifikat v „Schlüsselgröße für das SSL-Zertifikat
für IBM HTTP Server erhöhen” auf Seifür IBM HTTP Server erneut.
te 76
IBM HTTP Server Version 7.0-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/
index.jsp?topic=/
com.ibm.websphere.ihs.doc/info/ihs/
ihs/tihs_installihs.html
IBM HTTP Server Version 8.5-Dokumentation
v http://pic.dhe.ibm.com/infocenter/
wasinfo/v8r5/topic/
com.ibm.websphere.ihs.doc/ihs/
tihs_installihs.html
Anmerkung: Dieses Handbuch enthält
Anweisungen zur Vorbereitung von IBM
HTTP Server. Ausführliche und aktuelle
Installationsanweisungen finden Sie in der
Dokumentation für IBM HTTP Server.
10
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
9
Prozedur
Referenz
Installieren Sie IMS Server in WebSphere
Application Server.
„IMS Server mit dem
Installationsprogramm von IMS Server
installieren” auf Seite 41
10 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server.
„Implementierung von IMS Server in
WebSphere Application Server
überprüfen” auf Seite 44
11 Nur für WebSphere Application Server
Version 7.0: Fügen Sie die gemeinsam genutzte JAX-RS-Bibliothek hinzu.
„Gemeinsam genutzte JAX-RS-Bibliothek
hinzufügen” auf Seite 46
12 Nur für WebSphere Application Server
„JSF-Implementierung konfigurieren” auf
Version 8.5: Konfigurieren Sie die IMS Ser- Seite 45
ver-Implementierung mit der Sun
Reference Implementation 1.2-Implementierung.
13 Konfigurieren Sie IMS Server.
v „IMS Server für eine Neuinstallation
mit dem IMS-Konfigurationsassistenten
konfigurieren (eigenständig)” auf Seite
78
v „IMS Server zur Verwendung von
Verzeichnisservern konfigurieren” auf
Seite 191
14 Richten Sie den IMS Server-Administrator
ein.
„IMS Server-Administrator einrichten” auf
Seite 82
15 Aktualisieren Sie die Modulzuordnung für
ISAMESSOIMS, um
Verbindungsanforderungen weiterzuleiten.
„Modulzuordnung für ISAMESSOIMS für
die Weiterleitung von
Verbindungsanforderungen aktualisieren”
auf Seite 83
16 Prüfen Sie die Konfiguration von IMS Server.
„Konfiguration von IMS Server prüfen”
auf Seite 84
Kapitel 1. IMS Server installieren
11
Serverneuinstallation in einer Clusterimplementierung (umfassend)
Verwenden Sie die Roadmap als Referenz für die Installation des Servers in einer
Clusterumgebung.
Prozedur
1
Referenz
Bereiten Sie den Datenbankserver vor. Fol- Informationen zu den unterstützten
Datenbankservern und Versionen: Abgende Aktionen sind möglich:
schnitt „Hardware and software
v Sie können einen neuen
Datenbankserver installieren oder einen requirements” im Dokument IBM Security
Access Manager for Enterprise Single Signbestehenden Datenbankserver nutzen.
On Planning and Deployment Guide.
v Sie können eine Datenbank von IBM
DB2, Microsoft SQL Server oder Oracle Beispielanweisungen finden Sie in den folDatabase verwenden.
genden Abschnitten:
v „Datenbankserver vorbereiten” auf Seite
18
Dokumentation für IBM DB2 Version 9.7
v http://publib.boulder.ibm.com/
infocenter/db2luw/v9/
index.jsp?topic=/com.ibm.db2.udb.doc/
welcome.htm
Dokumentation für IBM DB2 Version 10.1
v http://pic.dhe.ibm.com/infocenter/
db2luw/v10r1/index.jsp
Dokumentation für Microsoft SQL Server:
v Rufen Sie die Website von Microsoft unter der Adresse http://
www.microsoft.com auf und suchen Sie
dort die Dokumentation für Ihr Produkt.
Dokumentation für Oracle Database:
v Rufen Sie die Website von Oracle unter
der Adresse http://www.oracle.com auf
und suchen Sie dort die Dokumentation
für Ihr Produkt.
Anmerkung: Dieses Handbuch enthält
Informationen für die Konfiguration von
Datenbanken für IMS Server. Die ausführlichen und aktuellen
Installationsanweisungen finden Sie in der
Produktdokumentation der verwendeten
Datenbank.
12
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Prozedur
2
Referenz
Informationen zu den unterstützten
Verzeichnisservern und Versionen: Abschnitt „Hardware and software
v Sie können einen neuen
Verzeichnisserver installieren oder einen requirements” im Dokument IBM Security
Access Manager for Enterprise Single Signbestehenden Verzeichnisserver nutzen.
On Planning and Deployment Guide.
v Sie können einen einzigen oder mehrere
Verzeichnisserver verwenden.
Beispielanweisungen finden Sie in den folBereiten Sie den Verzeichnisserver vor.
Folgende Aktionen sind möglich:
genden Abschnitten:
v „Verzeichnisserver vorbereiten” auf Seite 36
Dokumentation für Microsoft Active
Directory:
v http://technet.microsoft.com/en-us/
library/cc758107(v=WS.10).aspx
Anmerkung: Dieses Handbuch enthält
Anweisungen zur Konfiguration von
Verzeichnisservern. Ausführliche und aktuelle Installationsanweisungen finden Sie
in der Produktdokumentation des verwendeten Verzeichnisservers.
Kapitel 1. IMS Server installieren
13
Prozedur
3
Referenz
Informationen zu den unterstützten Versionen von WebSphere Application Server:
Abschnitt „Hardware and software
Für WebSphere Application Server Version requirements” im Dokument IBM Security
7.0:
Access Manager for Enterprise Single SignOn Planning and Deployment Guide.
v Installieren Sie WebSphere Application
Server.
Beispielanweisungen finden Sie in den folv Installieren Sie WebSphere Update Insgenden Abschnitten:
taller.
v „Cluster einrichten
v Installieren Sie das WebSphere
(Netzimplementierung)” auf Seite 85
Application Server-Fixpack.
v „WebSphere Application Server Version
v Installieren Sie WebSphere Application
7.0 installieren” auf Seite 26
Server Feature Pack for Web 2.0 and
v
„WebSphere Update Installer
Mobile.
installieren” auf Seite 27
Für WebSphere Application Server Version
v „WebSphere Application Server Version
8.5:
7.0-Fixpacks installieren” auf Seite 28
v Installieren Sie IBM Installation Manav „IBM WebSphere Application Server
ger.
Feature Pack for Web 2.0 and Mobile
v Installieren Sie WebSphere Application
installieren” auf Seite 30
Server mit Fixpack 2.
v „IBM Installation Manager installieren”
auf Seite 23
Bereiten Sie auf Host B WebSphere
Bereiten Sie auf Host A WebSphere
Application Server vor:
Application Server vor:
v „WebSphere Application Server Version
8.5 installieren” auf Seite 24
Für WebSphere Application Server Version
WebSphere Application Server Version 7.07.0:
Dokumentation
v Installieren Sie WebSphere Application
Server.
v Installieren Sie WebSphere Update Installer.
v Installieren Sie das WebSphere
Application Server-Fixpack.
v Installieren Sie WebSphere Application
Server Feature Pack for Web 2.0 and
Mobile.
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/index.jsp
WebSphere Application Server Version 8.5Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v8r5/index.jsp
Anmerkung: Dieses Handbuch enthält
Anweisungen zur Vorbereitung von WebFür WebSphere Application Server Version
Sphere Application Server für IMS Server.
8.5:
Ausführliche und aktuelle
v Installieren Sie IBM Installation ManaInstallationsanweisungen finden Sie in der
ger.
Dokumentation für WebSphere
Application Server.
v Installieren Sie WebSphere Application
Server mit Fixpack 2.
4
14
Optional: Erstellen Sie die 1024-BitStammzertifizierungsstelle erneut, wenn
für Ihre Implementierung die größere
Schlüsselgröße von 2048 Bit erforderlich
ist.
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
5
Prozedur
Referenz
Bereiten Sie IBM HTTP Server vor:
Informationen zu den unterstützten Versionen von IBM HTTP Server: Abschnitt
„Hardware and software requirements” im
Dokument IBM Security Access Manager for
Enterprise Single Sign-On Planning and
Deployment Guide.
Für IBM HTTP Server Version 7.0:
v Installieren Sie IBM HTTP Server.
v Installieren Sie das IBM HTTP ServerFixpack unter Verwendung von WebSphere Application Server Update
Installer.
Für IBM HTTP Server Version 8.5:
v Installieren Sie IBM HTTP Server mit
Fixpack 2 über IBM Installation Manager.
Wichtig: Stellen Sie sicher, dass die erforderlichen Unterkomponenten, wie
Java SDK, das Web-Server-Plug-in und
WebSphere Customization Toolbox, sowie vorläufige Fixes installiert sind.
Beispielanweisungen finden Sie in den folgenden Abschnitten:
v „IBM HTTP Server Version 7.0
installieren” auf Seite 32
v „IBM HTTP Server Version 7.0-Fixpacks
installieren” auf Seite 34
v „IBM HTTP Server Version 8.5
installieren” auf Seite 30
IBM HTTP Server Version 7.0-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/
index.jsp?topic=/
com.ibm.websphere.ihs.doc/info/ihs/
ihs/tihs_installihs.html
IBM HTTP Server Version 8.5-Dokumentation
v http://pic.dhe.ibm.com/infocenter/
wasinfo/v8r5/topic/
com.ibm.websphere.ihs.doc/ihs/
tihs_installihs.html
Anmerkung: Dieses Handbuch enthält
Anweisungen zur Vorbereitung von IBM
HTTP Server. Ausführliche und aktuelle
Installationsanweisungen finden Sie in der
Dokumentation für IBM HTTP Server.
6
Erstellen Sie für WebSphere Application
Server den Deployment Manager und
Knoten:
Wichtig: Für WebSphere Application Server Version 8.5 darf der
Profilverzeichnispfad keine Leerzeichen
enthalten.
v „Methoden zum Auflösen von Hosts
und IP-Adressen” auf Seite 221
v „Profile für Netzimplementierungen erstellen und auswählen” auf Seite 87
1. Erstellen Sie auf Host A ein
Deployment Manager-Profil sowie ein
angepasstes Profil.
Anmerkung: Stellen Sie vor dem Föderieren des angepassten Profils im
Deployment Manager sicher, dass zwischen dem Deployment Manager und
angepassten Knoten eine bidirektionale
Namensauflösung besteht.
2. Erstellen Sie auf Host B ein angepasstes Profil.
Kapitel 1. IMS Server installieren
15
7
Prozedur
Referenz
Konfigurieren Sie WebSphere Application
Server:
Beispielanweisungen finden Sie in den folgenden Abschnitten:
v Erstellen Sie eine Clusterdefinition und
fügen Sie dem Cluster Member hinzu.
v Für WebSphere Application Server 7.0:
v
v Konfigurieren Sie die Größe des JavaHeapspeichers für den Deployment Ma- v
nager.
v
v Konfigurieren Sie die Größe des JavaHeapspeichers für WebSphere
Application Server.
v
v Erstellen Sie einen Windows-Dienst für
den Knotenagenten.
„WebSphere Application Server für einen Cluster konfigurieren” auf Seite 98
„Cluster definieren” auf Seite 99
„Größe des Heapspeichers für den
Deployment Manager konfigurieren”
auf Seite 100
„Größe des Heapspeichers für den
Anwendungsserver konfigurieren” auf
Seite 65
v „Windows-Dienst für den
Knotenagenten erstellen” auf Seite 101
WebSphere Application Server Version 7.0Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/index.jsp
WebSphere Application Server Version 8.5Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v8r5/index.jsp
Anmerkung: Dieses Handbuch enthält
Anweisungen zur Vorbereitung von WebSphere Application Server für IMS Server.
Ausführliche und aktuelle
Installationsanweisungen finden Sie in der
Dokumentation für WebSphere
Application Server.
8
16
Wenn für Ihre
Verzeichnisserververbindungen SSL zum
Einsatz kommt, fügen Sie die
Verzeichnisserverzertifikate zu WebSphere
Application Server hinzu.
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
„SSL-Zertifikat des Verzeichnisservers zu
WebSphere Application Server
hinzufügen” auf Seite 224
Prozedur
9
Referenz
Beispielanweisungen finden Sie in den folgenden Abschnitten:
v Konfigurieren Sie das IBM HTTP Server-Plug-in und schützen Sie die Verbin- v „IBM HTTP Server-Plug-in konfigurieren (Netzimplementierung)” auf Seite
dung.
103
v Aktivieren Sie SSL-Direktiven in IBM
Konfigurieren Sie IBM HTTP Server:
v „SSL-Direktiven in IBM HTTP Server
aktivieren” auf Seite 105
v Optional: Erstellen Sie das SSL-Zertifikat
v „Schlüsselgröße für das SSL-Zertifikat
für IBM HTTP Server erneut.
für IBM HTTP Server erhöhen” auf Seite
107
HTTP Server.
IBM HTTP Server Version 7.0-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/
index.jsp?topic=/
com.ibm.websphere.ihs.doc/info/ihs/
ihs/tihs_installihs.html
IBM HTTP Server Version 8.5-Dokumentation
v http://pic.dhe.ibm.com/infocenter/
wasinfo/v8r5/topic/
com.ibm.websphere.ihs.doc/ihs/
tihs_installihs.html
Anmerkung: Dieses Handbuch enthält
Anweisungen zur Vorbereitung von IBM
HTTP Server. Ausführliche und aktuelle
Installationsanweisungen finden Sie in der
Dokumentation für IBM HTTP Server.
10 Wenn Sie ein Programm für den
Lastausgleich verwenden, müssen Sie sicherstellen, dass dieses für die Weiterleitung von Anforderungen an die
eingerichteten Web-Server konfiguriert ist.
Lesen Sie die Produktdokumentation Ihres
Anbieters.
11 Installieren Sie IMS Server in WebSphere
Application Server.
„IMS Server mit dem
Installationsprogramm von IMS Server
installieren” auf Seite 41
12 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server.
„Implementierung von IMS Server in WebSphere Application Server überprüfen” auf
Seite 44
13 Nur für WebSphere Application Server
Version 7.0: Fügen Sie die gemeinsam genutzte JAX-RS-Bibliothek hinzu.
„Gemeinsam genutzte JAX-RS-Bibliothek
hinzufügen” auf Seite 46
14 Nur für WebSphere Application Server
„JSF-Implementierung konfigurieren” auf
Version 8.5: Konfigurieren Sie die IMS Ser- Seite 45
ver-Implementierung mit der Sun
Reference Implementation 1.2-Implementierung.
Kapitel 1. IMS Server installieren
17
Prozedur
15 Konfigurieren Sie IMS Server.
Referenz
v „IMS Server mit dem IMSKonfigurationsassistenten konfigurieren
(Netzimplementierung)” auf Seite 109
v „IMS Server zur Verwendung von
Verzeichnisservern konfigurieren” auf
Seite 191
16 Richten Sie den IMS Server-Administrator
ein.
„IMS Server-Administrator einrichten” auf
Seite 112
17 Aktualisieren Sie die Modulzuordnung für „Modulzuordnung für ISAMESSOIMS für
ISAMESSOIMS, um
die Weiterleitung von
Verbindungsanforderungen weiterzuleiten. Verbindungsanforderungen aktualisieren”
auf Seite 113
18 Konfigurieren Sie das
Sitzungsmanagement für ISAMESSOIMS.
„Sitzungsmanagement für ISAMESSOIMS
außer Kraft setzen” auf Seite 115
19 Prüfen Sie die Konfiguration von IMS Ser- „Konfiguration von IMS Server prüfen”
ver.
auf Seite 116
20 Optional: Fügen Sie einem Cluster weitere
Anwendungsserver hinzu.
21 Optional: Implementieren Sie ISAMESSOIMS
auf weiteren Knoten in einer
Netzimplementierung.
Erste Schritte
Bereiten Sie die Middleware vor, bevor Sie die Komponente IMS Server für IBM
Security Access Manager for Enterprise Single Sign-On installieren und konfigurieren.
Anmerkung: Einige der Prozeduren enthalten Beispiele, Verweise oder Beispielwerte für Netzimplementierungen sowie für eigenständige Implementierungen.
Wählen Sie nur die Beispiele aus, die für Ihre Umgebung geeignet sind.
Weitere Informationen zu eigenständigen und Clusterszenarios (Netzimplementierungen) finden Sie im Dokument IBM Security Access Manager for Enterprise Single
Sign-On Planning and Deployment Guide.
Datenbankserver vorbereiten
Sie müssen einen Datenbankserver vorbereiten, um Berechtigungsnachweise für
Benutzer und Wallets für die einmalige Anmeldung zu speichern.
Sie können einen neuen Datenbankserver installieren oder einen bestehenden Datenbankserver nutzen.
Sie können eine Datenbank von IBM DB2, Microsoft SQL Server oder Oracle Database verwenden. Informationen zu den unterstützten Datenbankservern und Versionen: Abschnitt „Hardware and software requirements” im Dokument IBM Security
Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
Tipp: Sie können die folgenden Werte in Kapitel 5, „Arbeitsblatt für die Planung”,
auf Seite 175 erfassen:
v Datenbankhostname
18
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
v Portnummer
v Benutzeraccount des Datenbankadministrators
Gehen Sie je nach Datenbankprodukt zur Vorbereitung der Datenbank für IMS Server wie folgt vor:
IBM DB2
Sie müssen eine Datenbank erstellen, bevor Sie die Installation von IMS
Server starten. Siehe „Datenbankserver mit DB2 vorbereiten”.
Oracle-Datenbankserver
Sie müssen Benutzername und Kennwort des Schemaeigners angeben. Siehe „Datenbankserver mit Oracle vorbereiten” auf Seite 21.
Microsoft SQL Server
Sie müssen Benutzername und Kennwort des SQL Server-Administrators
angeben.
Der IMS-Konfigurationsassistent kann für die automatische Erstellung der
IMS Server-Datenbank verwendet werden.
Alternativ dazu können Sie die Datenbank bei der Installation von IMS
Server manuell erstellen und ihre Details angeben. Siehe „Datenbankserver
mit SQL Server vorbereiten” auf Seite 21.
Datenbankserver mit DB2 vorbereiten
Wenn Sie DB2 als Datenbankserver einsetzen wollen, müssen Sie dieses Produkt
installieren und eine Datenbank erstellen, bevor Sie IBM Security Access Manager
for Enterprise Single Sign-On installieren. Der DB2-Datenbankserver speichert Wallets und Benutzerberechtigungsnachweise.
IBM DB2 installieren:
Wenn Sie über keinen unterstützten Datenbankserver verfügen, der für IBM Security Access Manager for Enterprise Single Sign-On installiert ist, können Sie IBM
DB2 installieren.
Vorbereitende Schritte
v Informationen zu den unterstützten Datenbankservern und Versionen: Abschnitt
„Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
v Stellen Sie sicher, dass Ihr System die Installationsvoraussetzungen und den erforderlichen Speicherbedarf erfüllt sowie über die erforderliche Plattenspeicherkapazität verfügt.
v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
Informationen zu diesem Vorgang
Dieses Handbuch enthält Informationen für die Konfiguration von Datenbanken
für IMS Server. Die ausführlichen und aktuellen Installationsanweisungen finden
Sie in der Produktdokumentation der verwendeten Datenbank.
Führen Sie die Anweisungen in der DB2-Dokumentation aus.
v Version 9.7-Dokumentation: http://publib.boulder.ibm.com/infocenter/db2luw/
v9/index.jsp?topic=/com.ibm.db2.udb.doc/welcome.htm.
v Version 10.1-Dokumentation: http://pic.dhe.ibm.com/infocenter/db2luw/v10r1/
index.jsp?topic=%2Fcom.ibm.db2.luw.welcome.doc%2Fdoc%2Fwelcome.html.
Kapitel 1. IMS Server installieren
19
Verwenden Sie die Installationsmedien von DB2, die im Lieferumfang von IBM Security Access Manager for Enterprise Single Sign-On enthalten sind, um sicherzustellen. dass Sie mit der richtigen Version arbeiten.
Zeichnen Sie die im Arbeitsblatt für die Planung verwendeten Werte auf. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175.
Vorgehensweise
1. Fordern Sie ein Installationspaket für das DB2-Datenbanksystem von IBM an.
2. Installieren Sie den DB2-Datenbankserver entsprechend der Anweisungen in
der Dokumentation zum DB2-Datenbankserver.
3. Wenden Sie die aktuellen Fixpacks an. Die aktuellen Fixpacks zum Download
finden Sie unter www.ibm.com/support/docview.wss?uid=swg27007053.
Nächste Schritte
Erstellen Sie eine Datenbank in DB2.
Datenbank mit IBM DB2 erstellen:
Für IBM DB2 müssen Sie die Datenbank für IBM Security Access Manager for
Enterprise Single Sign-On erstellen.
Vorgehensweise
1. Starten Sie den DB2-Befehlszeilenprozessor.
2. Geben Sie im DB2-Befehlszeilenprozessor die folgende Zeile ein:
CREATE DATABASE <datenbankname> AUTOMATIC STORAGE YES ON
<laufwerkbuchstabe> DBPATH ON <laufwerkbuchstabe> USING CODESET UTF-8
TERRITORY US COLLATE USING SYSTEM PAGESIZE 8192
Dabei sind die folgenden Parameter definiert:
Default buffer pool and table space page size
Sie müssen für die Pufferpool- und die Seitengröße 8192 als Äquivalent
zu 8K angeben.
Code set
Geben Sie den codierten Zeichensatz UTF-8 an.
Territory
Geben Sie US als Territory an.
Beispiel:
CREATE DATABASE imsdb AUTOMATIC STORAGE YES ON 'C:\' DBPATH ON 'C:\'
USING CODESET UTF-8 TERRITORY US COLLATE USING SYSTEM PAGESIZE 8192
Ergebnisse
Sie haben eine Datenbank für IBM Security Access Manager for Enterprise Single
Sign-On erstellt.
Nächste Schritte
Sie können WebSphere Application Server installieren und konfigurieren.
v Version 8.5: „WebSphere Application Server Version 8.5 installieren” auf Seite 24.
v Version 7.0: „WebSphere Application Server Version 7.0 installieren” auf Seite 26.
20
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Datenbankserver mit Oracle vorbereiten
Installieren Sie den Oracle-Datenbankserver und konfigurieren Sie ihn auf der Basis der Voraussetzungen und Einstellungen für den IMS Server-Datenbankserver.
Installation
Informationen zu den unterstützten Datenbanken und Versionen finden Sie in Abschnitt „Hardware and software requirements” im Dokument IBM Security Access
Manager for Enterprise Single Sign-On Planning and Deployment Guide.
Dieses Handbuch enthält Informationen für die Konfiguration von Datenbanken
für IMS Server. Die ausführlichen und aktuellen Installationsanweisungen finden
Sie in der Produktdokumentation der verwendeten Datenbank.
1. Bereiten Sie die Installationsmedien von Oracle vor.
2. Installieren Sie den Oracle-Datenbankserver und konfigurieren Sie ihn.
3. Installieren Sie die aktuellsten Service-Packs für den Oracle-Datenbankserver.
Datenbankvoraussetzungen und -einstellungen
Oracle erstellt die Datenbank automatisch.
Stellen Sie sicher, dass die folgenden Voraussetzungen und Einstellungen erfüllt
werden:
Oracle-Datenbankvoraussetzungen
v Sie müssen einen Datenbankinstanznamen besitzen.
v Legen Sie Unicode (AL32UTF8) als Datenbankzeichensatz fest.
v Legen Sie UTF8 - Unicode 3.0 UTF-8 Universal character set, CESU-8
compliant oder AL16UTF16 - Unicode UTF-16 Universal character set
als nationalen Zeichensatz fest.
Voraussetzungen für den Datenbankbenutzer
v Legen Sie USERS als Standardtabellenbereich fest.
v Legen Sie TEMP als temporären Tabellenbereich fest.
v Ordnen Sie dem Benutzer die Rolle Connect and Resource zu.
v Ordnen Sie dem Benutzer die folgenden Berechtigungen zu:
–
–
–
–
Create
Create
Create
Create
Procedure
Session
Table
View
Datenbankserver mit SQL Server vorbereiten
Installieren Sie Microsoft SQL Server und konfigurieren Sie dieses Produkt auf der
Basis der Voraussetzungen und Einstellungen für den IMS Server-Datenbankserver.
Installation
Informationen zu den unterstützten Datenbankservern und Versionen finden Sie in
Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
Ausführliche und aktuelle Installationsanweisungen finden Sie in der jeweiligen
Produktdokumentation.
Kapitel 1. IMS Server installieren
21
1. Bereiten Sie die Installationsmedien von SQL Server vor.
2. Installieren Sie Microsoft SQL Server.
3. Installieren Sie die aktuellsten Sicherheits-Service-Packs für Microsoft SQL Server.
Datenbankvoraussetzungen und -einstellungen
Verwenden Sie den Konfigurationsassistenten von IMS Server für die automatische
Erstellung einer IMS Server-Datenbank.
Alternativ dazu können Sie die Datenbank bei der Installation von IMS Server manuell erstellen und ihre Details angeben.
Stellen Sie sicher, dass die folgenden Datenbankvoraussetzungen und -einstellungen erfüllt werden:
Datenbankvoraussetzungen
v Sie müssen über den Benutzernamen und das Kennwort eines Systemadministrators (SA) verfügen.
v Der Name der Sortierfolge muss SQL_Latin1_General_CP1_CS_AS lauten.
v Inaktivieren Sie das Kontrollkästchen Enforce password policy.
v Legen Sie als Namen der erstellten Datenbank die Standarddatenbank
fest.
Voraussetzungen für den Datenbankbenutzer
v Sie müssen einen Anmeldenamen für einen Datenbankbenutzer besitzen.
v Verwenden Sie den Anmeldenamen für Ihren Datenbankbenutzernamen
und Ihren Schemanamen.
v Legen Sie als Eigner der Datenbankrollen den Wert db_owner fest.
v Führen Sie die SQL-Scripts mit einer Datenbankbenutzerberechtigung
aus.
Informationen zur Erstellung der IMS Server-Datenbank auf einem Microsoft SQL
Server-Datenbankserver finden Sie in „Datenbank in SQL Server manuell erstellen”
auf Seite 219.
WebSphere Application Server vorbereiten
IMS Server wird als WebSphere Application Server-Anwendung implementiert. Sie
müssen vor der Installation von IMS Server WebSphere Application Server installieren und konfigurieren.
Die folgenden Versionen von WebSphere Application Server werden unterstützt:
v WebSphere Application Server Version 7.0 mit Fixpack 29 und höher.
v WebSphere Application Server Version 8.5 mit Fixpack 2.
Anmerkung: Die Installationsschritte für WebSphere Application Server Version
7.0 und 8.5 unterscheiden sich voneinander. Es ist daher wichtig, die Version des
Anwendungsservers anzugeben, den Sie installieren möchten.
WebSphere Application Server Version 8.5 vorbereiten
Bereiten Sie WebSphere Application Server Version 8.5 mit den aktuellen Fixpacks
für alle erforderlichen Komponenten vor.
22
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Für die WebSphere-Software der Version 8.5 müssen Sie Fixpack 2 für WebSphere
Application Server sowie Java SDK installieren.
IBM Installation Manager installieren:
Rufen Sie mithilfe von IBM Installation Manager die erforderlichen Produktdateien
für die WebSphere Application Server Version 8.5-Installation ab.
Vorbereitende Schritte
v Laden Sie zum Vermeiden von Problemen die aktuelle Version von Installation
Manager auf der Unterstützungsseite herunter und verwenden Sie diese.
v Stellen Sie sicher, dass Ihr System die Anforderungen erfüllt. Siehe Abschnitt
„Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
v Überprüfen Sie die Voraussetzungen, bevor Sie Installation Manager installieren.
Detaillierte Anweisungen finden Sie in der Produktdokumentation für WebSphere
Application Server Version 8.5. Suchen Sie dort nach installing Installation
Manager and preparing to install the product.
Informationen zu diesem Vorgang
IBM Installation Manager ist ein Installationsprogramm, das ferne oder lokale
Flachdatei-Softwarerepositorys für die Installation, Änderung oder Aktualisierung
neuer WebSphere Application Server-Produkte verwendet. Es ermittelt und zeigt
verfügbare Pakete, darunter Produkte, Fixpacks und vorläufige Fixes, prüft Voraussetzungen und gegenseitige Abhängigkeiten und installiert die ausgewählten Pakete.
Mit Installation Manager wird die Installation und Wartung der folgenden WebSphere Application Server-Komponenten vereinfacht:
v WebSphere Application Server-Fixpacks
v IBM HTTP Server
v IBM HTTP Server-Plug-in für WebSphere
Weitere Informationen zur Verwendung von Installation Manager finden Sie im Information Center für IBM Installation Manager Version 1.6.
Vorgehensweise
1. Wählen Sie eine der folgenden Optionen aus:
v Greifen Sie auf die entsprechenden Medien für IBM WebSphere Application
Server Network Deployment Version 8.5 für Ihr Betriebssystem zu.
v Extrahieren Sie die Dateien aus der Archivdatei, die Sie von Passport Advantage heruntergeladen haben. Beispiel: CI6XDML.zip
Anmerkung: Die Archivdatei kann einen anderen Namen aufweisen. Dieser
hängt von der heruntergeladenen Verteilung ab.
2. Navigieren Sie zur Position, an der sich die Installation Manager-Installationsdateien befinden.
3. Führen Sie das Verwaltungsinstallationsprogramm für Installation Manager (install.exe) aus.
4. Stellen Sie sicher, dass das Paket 'Installation Manager' ausgewählt ist, und klicken Sie auf Next.
Kapitel 1. IMS Server installieren
23
5. Führen Sie die Anweisungen im Installationsassistenten aus und klicken Sie so
lange auf Next, bis der Bildschirm mit den Übersichtsinformationen angezeigt
wird.
6. Überprüfen Sie die Informationen und klicken Sie auf Install. Nach erfolgreichem Abschluss des Installationsprozesses wird eine entsprechende Nachricht
angezeigt.
7. Fügen Sie das Produktrepository für WebSphere Application Server Version 8.5
und ergänzende Komponenten, wie IBM HTTP Server und verschiedene Plugin, zu Ihren Installation Manager-Vorgaben hinzu.
a.
b.
c.
d.
Klicken Sie in IBM Installation Manager auf File > Preferences.
Wählen Sie Repositories aus.
Klicken Sie auf Add Repository.
Geben Sie die Position der Repositorydateien für WebSphere Application
Server (<pfadangabe>\repository.config) an. Beispiel: E:\WAS_ND_V8.5\
repository.config
e. Klicken Sie auf OK.
f. Klicken Sie auf Add Repository.
g. Geben Sie die Position der Ergänzungskomponenten für WebSphere Application Server an. Beispiel: E:\WAS_V85_SUPPL\repository.config
h. Klicken Sie auf OK.
Nächste Schritte
Installieren Sie WebSphere Application Server Version 8.5.
WebSphere Application Server Version 8.5 installieren:
Die Anwendung IMS Server läuft in WebSphere Application Server. Installieren
und konfigurieren Sie WebSphere Application Server, bevor Sie IMS Server installieren.
Vorbereitende Schritte
v Stellen Sie sicher, dass Sie IBM Installation Manager installiert und das Produktrepository konfiguriert haben. Siehe „IBM Installation Manager installieren”
auf Seite 23.
v Lesen Sie die Dokumentation zu WebSphere Application Server.
v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
v Stellen Sie sicher, dass Ihr System die Anforderungen erfüllt. Weitere Informationen hierzu finden Sie im Abschnitt zu den Hardware- und Softwarevoraussetzungen.
v Vergewissern Sie sich, dass alle erforderlichen Fixpacks für das Betriebssystem
angewendet wurden. Weitere Informationen zum Optimieren der Betriebssysteme für WebSphere Application Server finden Sie in der WebSphere Application
Server-Dokumentation. Suchen Sie dort nach tuning operating systems.
Weitere Informationen zur Installation von WebSphere Application Server finden
Sie in der Dokumentation zu WebSphere Application Server Version 8.5. Suchen Sie
dort nach installing WebSphere Application Server.
24
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Informationen zu diesem Vorgang
Zeichnen Sie die im Arbeitsblatt für die Planung verwendeten Werte auf. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175.
Sie können IBM Security Access Manager for Enterprise Single Sign-On in einer eigenständigen Konfiguration oder in einem Netzimplementierungscluster implementieren.
Vorgehensweise
1. Starten Sie IBM Installation Manager. Beispiel: Klicken Sie auf Start > Alle
Programme > IBM Installation Manager > IBM Installation Manager.
2. Stellen Sie sicher, dass Sie das Produktrepository konfiguriert haben. Weitere
Informationen finden Sie unter „IBM Installation Manager installieren” auf
Seite 23.
3. Klicken Sie auf Install. Es wird eine Liste der verfügbaren Pakete für die Installation angezeigt.
4. Wählen Sie das folgende Paket aus:
v IBM WebSphere Application Server Network Deployment
5. Klicken Sie auf die Option zum Prüfen nach anderen Versionen, Fixes und Erweiterungen, um WebSphere Application Server Version 8.5.0.2 anzuzeigen.
Tipp: Stellen Sie sicher, dass das Kontrollkästchen Show all versions aktiviert
ist, damit alle verfügbaren Versionen angezeigt werden.
6. Wählen Sie das folgende Paket aus:
v IBM WebSphere Application Server Network Deployment
– Version 8.5.0.2
7.
8.
9.
10.
11.
12.
Vorsicht:
Wenn Sie ein anderes Paket als die soeben genannten Pakete auswählen,
kann dies zu unerwünschten Ergebnissen führen.
Klicken Sie auf Next.
Wählen Sie den folgenden Fix aus und klicken Sie auf Next:
v Für Windows-Betriebssysteme mit x86-Architektur: 8.5.0.0-WS-WASJavaSDKWinX32-IFPM91292 8.5.0.20130723_1400.
v Für Windows-Betriebssysteme mit x64-Architektur: 8.5.0.0-WS-WASJavaSDKWinX64-IFPM91292 8.5.0.20130723_1359.
Führen Sie die Anweisungen in Installation Manager aus und klicken Sie so
lange auf Next, bis der Bildschirm mit den Übersichtsinformationen angezeigt
wird.
Überprüfen Sie die Installationszusammenfassung und stellen Sie sicher, dass
das Paket für IBM WebSphere Application Server Network Deployment
Version 8.5.0.2 ausgewählt ist. Wählen Sie das entsprechende Paket für Ihr Betriebssystem aus.
Klicken Sie auf Install. Nach erfolgreichem Abschluss des Installationsprozesses wird eine entsprechende Nachricht angezeigt.
Klicken Sie auf Finish.
Nächste Schritte
Installieren Sie IBM HTTP Server Version 8.5.
Kapitel 1. IMS Server installieren
25
WebSphere Application Server Version 7.0 vorbereiten
Bereiten Sie WebSphere Application Server Version 7.0 mit den aktuellen Fixpacks
für alle erforderlichen Komponenten vor.
Für die WebSphere-Software der Version 7.0 müssen Sie mindestens Fixpack 29 für
WebSphere Application Server sowie die Unterkomponente Java SDK installieren.
WebSphere Application Server Version 7.0 installieren:
Installieren und konfigurieren Sie WebSphere Application Server, bevor Sie IMS
Server installieren.
Vorbereitende Schritte
v Wenn WebSphere Application Server bereits installiert ist, müssen Sie sicherstellen, dass Sie über die erforderlichen Fixpacks verfügen.
v Lesen Sie die Dokumentation zu WebSphere Application Server. Sie müssen über
Kenntnisse in Implementierung und Verwaltung von WebSphere Application
Server verfügen.
v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
v Informationen zu den unterstützten Versionen von WebSphere Application Server: Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
v Stellen Sie sicher, dass Ihr System die Anforderungen erfüllt. Weitere Informationen hierzu finden Sie im Abschnitt zu den Hardware- und Softwarevoraussetzungen.
v Vergewissern Sie sich, dass alle erforderlichen Fixpacks für das Betriebssystem
angewendet wurden. Weitere Informationen zum Optimieren der Betriebssysteme für WebSphere Application Server finden Sie in der WebSphere Application
Server-Dokumentation. Suchen Sie dort nach tuning operating systems.
v Bei der Installation von WebSphere Application Server unter Windows Server
2008 R2 kann die Prüfung der Voraussetzungen fehlschlagen. Informationen zum
Beheben dieses Problems finden Sie in diesem technischen Hinweis.
Weitere Informationen zur Installation von WebSphere Application Server finden
Sie in der Dokumentation zu WebSphere Application Server Version 7.0. Suchen Sie
dort nach installing WebSphere Application Server.
Informationen zu diesem Vorgang
Verwenden Sie die Installationsmedien für WebSphere Application Server Network
Deployment, die im Lieferumfang des Produkts enthalten sind, um sicherzustellen,
dass Sie mit der richtigen Version arbeiten.
Zeichnen Sie die im Arbeitsblatt für die Planung verwendeten Werte auf. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175.
Sie können IBM Security Access Manager for Enterprise Single Sign-On in einer eigenständigen Konfiguration oder in einem Netzimplementierungscluster implementieren.
Anmerkung: Wenn WebSphere Application Server bereits implementiert ist, müssen Sie sicherstellen, dass Sie über die erforderlichen Fixpacks verfügen. Informati-
26
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
onen dazu können Sie dem Abschnitt zur Vorbereitung der erforderlichen Fixpacks
im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning
and Deployment Guide entnehmen.
Vorgehensweise
1. Führen Sie eine der folgenden Aktionen aus:
v Greifen Sie auf die Medien für IBM WebSphere Application Server Network
Deployment Version 7.0 für Ihr Betriebssystem zu.
v Extrahieren Sie die Dateien aus der Archivdatei, die Sie von Passport Advantage heruntergeladen haben. Beispiel: C1G2JML.zip
Anmerkung: Die Archivdatei kann einen anderen Namen aufweisen. Dieser
hängt von der heruntergeladenen Verteilung ab.
2. Führen Sie das WebSphere-Installationsprogramm (launchpad.exe) aus.
3. Klicken Sie auf Launch the installation wizard for WebSphere Application
Server Network Deployment.
4. Führen Sie die Anweisungen im Installationsassistenten aus, bis Sie die Seite
Installation Directory erreichen.
5. Akzeptieren Sie auf der Seite Installation Directory das Standardinstallationsverzeichnis oder ändern Sie diesen Wert. Beispiel: Die Standardinstallationsposition ist c:\Programme\IBM\WebSphere\AppServer.
6. Wählen Sie auf der Seite WebSphere Application Server Environments die
Option None aus. Sie erstellen erforderliche Profile über das Profile Management Tool manuell.
Anmerkung: Es wird eine Warnung angezeigt, wenn Sie das Profil nicht zum
jetzigen Zeitpunkt erstellen.
7. Wenn Sie dazu aufgefordert werden, klicken Sie auf Yes, um die Installation
ohne Profilerstellung fortzusetzen.
8. Klicken Sie auf der Seite Repository for Centralized Installation Managers
auf Next.
9. Führen Sie die übrigen Anweisungen im Installationsassistenten aus.
10. Wenn die Seite Installation Results angezeigt wird, wählen Sie das Kontrollkästchen Create a new WebSphere Application Server profile using the Profile Management Tool ab.
11. Klicken Sie auf Finish.
Nächste Schritte
Installieren Sie WebSphere Update Installer, um die aktuellsten WebSphere Application Server-Fixpacks anzuwenden.
WebSphere Update Installer installieren:
Installieren von WebSphere Update Installer zur Anwendung von Wartungsfixpacks.
Vorbereitende Schritte
v Laden Sie zum Vermeiden von Problemen die aktuellste Version von Update Installer auf der Unterstützungsseite herunter und verwenden Sie diese. Siehe
http://www.ibm.com/support/docview.wss?uid=swg24020448.
Kapitel 1. IMS Server installieren
27
v Stellen Sie sicher, dass Ihr System die Anforderungen erfüllt. Siehe Abschnitt
„Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
v Überprüfen Sie die Voraussetzungen, bevor Sie Update Installer installieren.
Die detaillierten Anweisungen finden Sie in der Dokumentation für WebSphere
Application Server. Suchen Sie dort nach installing the Update Installer.
Informationen zu diesem Vorgang
Mit IBM WebSphere Update Installer wird die Wartung der folgenden WebSphere
Application Server-Komponenten vereinfacht:
v WebSphere Application Server
v IBM HTTP Server
v IBM HTTP Server-Plug-in für WebSphere
Vorgehensweise
1. Kopieren und extrahieren Sie die komprimierte Datei von Update Installer auf
eine beschreibbare Platte.
Beispiel: 7.0.0.29-WS-UPDI-WinAMD64
2. Navigieren Sie zum extrahierten Verzeichnis UpdateInstaller.
3. Führen Sie install.exe aus, um den Installationsassistenten für Update Installer zu starten.
4. Führen Sie die Anweisungen im Installationsassistenten aus.
5. Wählen Sie vor dem Abschluss der Installation das Kontrollkästchen Launch
IBM Update Installer for WebSphere software on exit ab.
6. Klicken Sie auf Finish.
Nächste Schritte
Wenden Sie die aktuellsten Fixpacks für WebSphere Application Server an.
WebSphere Application Server Version 7.0-Fixpacks installieren:
Sie müssen das aktuelle WebSphere Application Server Version 7.0-Fixpack anwenden, bevor Sie das Installationsprogramm von IMS Server ausführen.
Vorbereitende Schritte
v Wenn Sie bereits über einen installierten WebSphere Application Server Version
7.0 verfügen, müssen Sie sicherstellen, dass Sie den erforderlichen Fixpackstand
einsetzen.
Informationen dazu, wie Sie die mindestens erforderliche Fixpackversion für die
Anwendung auf WebSphere Application Server Version 7.0 ermitteln können,
können Sie dem Dokument IBM Security Access Manager for Enterprise Single
Sign-On Planning and Deployment Guide entnehmen.
v Wenn Sie eine bestehende Instanz von WebSphere Application Server Version 7.0
mit bereits vorhandenen Profilen wiederverwenden, müssen Sie alle WebSphere
Application Server-Profile stoppen, die ausgeführt werden.
Geben Sie in eine Eingabeaufforderung <was-ausgangsverzeichnis>\profiles\
<profilname>\bin\stopServer.bat <servername> ein. Beispiel:
C:\Programme\IBM\WebSphere\AppServer\profiles\AppSrv01\bin\stopServer.bat
server1.
28
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Anmerkung: Überspringen Sie diesen Schritt, wenn Sie die Standardanweisungen für eine Neuinstallation ausführen und noch keine WebSphere Application
Server-Profile erstellt haben.
v Laden Sie stattdessen die aktuellste Version von IBM Update Installer von der
Website für IBM Support und Downloads herunter: http://www.ibm.com/
support/docview.wss?uid=swg24020448.
Informationen zu diesem Vorgang
Dieses Handbuch enthält Anweisungen zur Vorbereitung von WebSphere Application Server für IMS Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für WebSphere Application Server. Siehe http://
publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp.
Stellen Sie in einer Clusterimplementierung sicher, dass Sie das erforderliche WebSphere Application Server-Fixpack in jedem Knoten des Clusters installieren.
Anmerkung: Verwenden Sie für WebSphere Application Server Version 7.0 Fixpack
29 oder höher.
Vorgehensweise
1. Laden Sie die aktuellsten Fixpacks herunter.
a. Rufen Sie die WebSphere Application Server-Unterstützungssite unter
http://www.ibm.com/software/webservers/appserv/was/support/ auf.
b. Klicken Sie auf den Link Downloads.
c. Folgen Sie den Links und führen Sie die Anweisungen auf der Seite aus, um
die herunterzuladenden Fixpacks zu ermitteln.
d. Laden Sie Fixpacks für andere WebSphere Application Server-Komponenten
herunter. Beispiel:
v <architektur> AMD/Intel AppServer
v <architektur> AMD/Intel IBM HTTP Server
v <architektur> AMD/Intel Java SDK
e. Optional: Kopieren Sie die heruntergeladenen Fixpacks in das Verzeichnis
<updi-ausgangsverzeichnis>\maintenance. Beispiel: Kopieren Sie
7.0.0-WS-WAS-WinX64-FP0000029.pak in C:\Programme\IBM\WebSphere\
UpdateInstaller\maintenance.
2. Starten Sie IBM Update Installer. (Start > Alle Programme > IBM WebSphere
> Update Installer for Websphere V7.0 Software > Update Installer)
3. Wählen Sie auf der Seite "Product Selection" das WebSphere-Installationsverzeichnis aus und klicken Sie dann auf Next. Beispiel: C:\Programme\IBM\
WebSphere\AppServer.
4. Wählen Sie Install Maintenance Package aus und klicken Sie dann auf Next.
5. Geben Sie im Verzeichnispfad die Position des Wartungspakets oder Fixpacks
an.
6. Wählen Sie die Fixpacks für WebSphere Application Server aus. Wählen Sie die
Komponenten WebSphere Application Server und SDK aus.
7. Klicken Sie auf Next.
8. Nachdem das Programm zur Prüfung von Voraussetzungen erfolgreich ausgeführt wurde, klicken Sie auf Next.
Kapitel 1. IMS Server installieren
29
IBM WebSphere Application Server Feature Pack for Web 2.0 and Mobile installieren:
Sie müssen das Feature Pack for Web 2.0 and Mobile unter WebSphere Application
Server Version 7.0 installieren.
Vorbereitende Schritte
v Installieren und konfigurieren Sie WebSphere Application Server..
v Laden Sie IBM WebSphere Application Server Feature Pack for Web 2.0 and Mobile von Passport Advantage herunter.
Informationen zu diesem Vorgang
Diese Task ist nur für WebSphere Application Server Version 7.0 relevant.
Vorgehensweise
1. Extrahieren Sie die Feature-Pack-Dateien unter einer Speicherposition auf dem
Computer, auf dem sich WebSphere Application Server befindet.
2. Installieren Sie das Feature-Pack entsprechend der Installationsanweisungen,
die dem Feature Pack for Web 2.0 and Mobile beigefügt sind.
IBM HTTP Server vorbereiten
Installieren Sie den Web-Server auf einem separaten Server oder auf WebSphere
Application Server. Der Web-Server leitet Anforderungen von Client-Computern an
WebSphere Application Server oder Knoten in einem Cluster weiter.
Die folgenden Versionen von IBM HTTP Server werden unterstützt:
v IBM HTTP Server Version 7.0 Fixpack 29 und höher.
v IBM HTTP Server Version 8.5 Fixpack 2.
Weitere Informationen zu den unterstützten Versionen von IBM HTTP Server finden Sie unterAbschnitt „Hardware and software requirements” im Dokument IBM
Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
Anmerkung: Die Installationsschritte für IBM HTTP Server Version 7.0 und 8.5 unterscheiden sich voneinander. Es ist daher wichtig, die Version des Web-Servers anzugeben, den Sie installieren möchten.
IBM HTTP Server Version 8.5 installieren
IBM HTTP Server 8.5 muss mithilfe von IBM Installation Manager installiert werden.
Vorbereitende Schritte
v Stellen Sie sicher, dass Sie IBM Installation Manager installiert und das Produktrepository konfiguriert haben. Siehe „IBM Installation Manager installieren”
auf Seite 23.
v Stellen Sie sicher, dass Sie über zusätzliche Images im Repository verfügen.
v Informationen zu den unterstützten Versionen von IBM HTTP Server: Abschnitt
„Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
v Stellen Sie sicher, dass kein Dienst an Port 80, 443 und 8008 empfangsbereit ist.
30
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
v Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM HTTP Server.
Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für IBM HTTP Server. Suchen Sie in der WebSphere Application Server
Version 8.5-Produktdokumentation nach Installing IBM HTTP Server using the
GUI.
v Für IBM HTTP Server und die Web-Server-Plug-ins der Version 8.5 ist Microsoft
Visual C++ 2008 Redistributable Package erforderlich. Bei Installationen auf x86Computern müssen Sie die x86-Version von Microsoft Visual C++ 2008 Redistributable Package installieren. Für die Installation auf x64-Computern müssen Sie
die x86- sowie die x64-Version von Microsoft Visual C++ 2008 Redistributable
Package installieren. Rufen Sie die Microsoft-Website auf und suchen Sie dort
nach Microsoft Visual C++ 2008 Redistributable x64 x86.
Informationen zu diesem Vorgang
Verwenden Sie das Paket für IBM HTTP Server Version 8.5.0.2 in IBM Installation
Manager für die Installation von IBM HTTP Server 8.5.
Zeichnen Sie alle verwendeten Werte im Arbeitsblatt für die Planung auf. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175.
Serverübergreifende Installationen: Wenn Sie zum Erreichen von Hochverfügbarkeit einen Cluster mit HTTP-Servern installieren, müssen Sie ein Programm für
den Lastausgleich verwenden, um Anforderungen an Server im Cluster zu verteilen. Wenn Sie ein Programm für den Lastausgleich einsetzen, zeichnen Sie dessen
IP-Adresse oder Zielhostnamen in Kapitel 5, „Arbeitsblatt für die Planung”, auf
Seite 175 auf.
Vorgehensweise
1. Starten Sie IBM Installation Manager. Beispiel: Klicken Sie auf Start > Alle
Programme > IBM Installation Manager > IBM Installation Manager.
2. Stellen Sie sicher, dass Sie das Produktrepository konfiguriert haben. Weitere
Informationen finden Sie unter „IBM Installation Manager installieren” auf
Seite 23.
3. Klicken Sie auf Install. Es wird eine Liste der verfügbaren Pakete für die Installation angezeigt.
4. Wählen Sie die folgenden Pakete aus:
v IBM HTTP Server for WebSphere Application Server
v Web Server Plug-ins for IBM WebSphere Application Server
v WebSphere Customization Toolbox
Vorsicht:
Wenn Sie ein anderes Paket als die soeben genannten Pakete auswählen,
kann dies zu unerwünschten Ergebnissen führen.
5. Klicken Sie auf die Option zum Prüfen nach anderen Versionen, Fixes und Erweiterungen.
Tipp: Stellen Sie sicher, dass das Kontrollkästchen Show all versions aktiviert
ist, damit alle verfügbaren Versionen angezeigt werden.
6. Wählen Sie die folgenden Pakete aus:
v IBM HTTP Server for WebSphere Application Server
– Version 8.5.0.2
v Web Server Plug-ins for IBM WebSphere Application Server
Kapitel 1. IMS Server installieren
31
– Version 8.5.0.2
v WebSphere Customization Toolbox
– Version 8.5.0.2
7.
8.
9.
10.
Vorsicht:
Wenn Sie ein anderes Paket als die soeben genannten Pakete auswählen,
kann dies zu unerwünschten Ergebnissen führen.
Klicken Sie auf Next.
Stellen Sie sicher, dass unter WebSphere Customization Toolbox 8.5.0.2 die
Option Web Server Plug-ins Configuration Tool ausgewählt ist.
Führen Sie die Anweisungen in Installation Manager und die nachfolgenden
Schritte aus.
Führen Sie im Fenster Web Server Configuration die folgenden Schritte aus
und klicken Sie dann auf Next:
a. Stellen Sie sicher, dass für HTTP Port der Wert '80' angegeben ist.
b. Stellen Sie sicher, dass die Option Run IBM HTTP Server as a Windows
Service ausgewählt ist.
c. Wählen Sie Log on as a local system account aus.
d. Wählen Sie in der Liste Startup type den Eintrag Automatic aus.
11. Überprüfen Sie die Installationszusammenfassung.
12. Klicken Sie auf Install, um die Installation zu starten. Nach erfolgreichem Abschluss des Installationsprozesses wird eine entsprechende Nachricht angezeigt.
13. Klicken Sie auf Finish.
Nächste Schritte
1. Starten Sie den Dienst IBM HTTP Server.
v Klicken Sie auf Start > Alle Programme > KIBM HTTP Server <version> >
Start HTTP Server.
2. Stellen Sie sicher, dass Sie über einen Web-Browser auf den Web-Server zugreifen können. Beispiel:
v Geben Sie für den Zugriff auf den Web-Server auf dem lokalen Computer die
Adresse http://localhost oder http://mywebsvr1 ein.
Dabei gilt Folgendes:
mywebsvr1 ist Ihr Computername.
v Geben für den fernen Zugriff auf den Web-Server die Adresse
http://<vollständig_qualifizierter_hostname> ein, sofern ein Namensserver für die Auflösung von Hostnamen verfügbar ist. Beispiel: http://
mywebsvr1.example.com.
IBM HTTP Server Version 7.0 installieren
IBM HTTP Server Version 7.0 muss auf dem Server installiert werden, auf dem das
IBM HTTP Server-Plug-in installiert ist.
Vorbereitende Schritte
v Informationen zu den unterstützten Versionen von IBM HTTP Server: Abschnitt
„Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
v Stellen Sie sicher, dass Ihr System die Anforderungen erfüllt.
v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
32
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
v Stellen Sie sicher, dass kein Dienst an Port 80, 443 und 8008 empfangsbereit ist.
v Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM HTTP Server.
Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für IBM HTTP Server. Suchen Sie in der WebSphere Application Server
Version 7.0-Produktdokumentation nach Installing the IBM HTTP Server.
Informationen zu diesem Vorgang
Verwenden Sie die Installationsmedien von IBM HTTP Server Version 7.0, die im
Lieferumfang von IBM Security Access Manager for Enterprise Single Sign-On enthalten sind, um sicherzustellen, dass Sie mit der richtigen Version arbeiten.
Zeichnen Sie alle verwendeten Werte im Arbeitsblatt für die Planung auf. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175.
Serverübergreifende Installationen: Wenn Sie zum Erreichen von Hochverfügbarkeit einen Cluster mit HTTP-Servern installieren, müssen Sie ein Programm für
den Lastausgleich verwenden, um Anforderungen an Server im Cluster zu verteilen. Wenn Sie ein Programm für den Lastausgleich einsetzen, zeichnen Sie dessen
IP-Adresse oder Zielhostnamen in Kapitel 5, „Arbeitsblatt für die Planung”, auf
Seite 175 auf.
Vorgehensweise
1. Führen Sie eine der folgenden Aktionen aus:
v Greifen Sie auf die WebSphere Application Server-Medien für das von Ihnen verwendete Betriebssystem zu.
v Extrahieren Sie die Dateien aus der ergänzenden Archivdatei, die Sie von
Passport Advantage heruntergeladen haben. Beispiel: C1G2KML.zip
Anmerkung: Die Archivdatei kann einen anderen Namen aufweisen. Dieser
hängt von der heruntergeladenen Verteilung ab.
Navigieren Sie zum Verzeichnis /IHS. Beispiel: C:\Images\C1G2KML\IHS.
2. Führen Sie die Datei install.exe aus.
3. Führen Sie die Anweisungen im Installationsassistenten und in den folgenden
Schritten aus.
4. Prüfen Sie im Fenster Port Values Assignment die folgenden Standardwerte:
HTTP Port
80
HTTP Administration Port
8008
5. Führen Sie im Fenster Windows Service Definition die folgenden Schritte
aus:
a. Stellen Sie sicher, dass Run IBM HTTP Server as a Windows service ausgewählt ist.
b. Stellen Sie sicher, dass Run IBM HTTP Administration as a Windows service ausgewählt ist.
c. Wählen Sie das Kontrollkästchen Log on as a local system account aus.
d. Geben Sie im Feld User Name einen lokalen Systemaccount an. Beispiel:
administrator.
e. Wählen Sie in der Liste Startup type den Eintrag Automatic aus.
Kapitel 1. IMS Server installieren
33
6. Führen Sie im Fenster HTTP Administration Server Authentication die folgenden Schritte aus und klicken Sie dann auf Next:
a. Wählen Sie das Kontrollkästchen Create a user ID for IBM HTTP Server
adminstration server authentication aus.
b. Geben Sie den HTTP-Administratoraccount und das zugehörige Kennwort
an. Beispiel: ihsadmin.
7. Führen Sie im Fenster IBM HTTP Server Plug-in for WebSphere Application
Server die folgenden Schritte aus:
a. Stellen Sie sicher, dass das Kontrollkästchen Install the IBM HTTP Server
Plug-in for IBM WebSphere Application Server ausgewählt ist, und klicken Sie dann auf Next.
b. Ändern Sie in Web server definition den standardmäßigen Web-ServerDefinitionsnamen oder prüfen Sie diesen. Beispielsweise können Sie den
Standardnamen webserver1 verwenden.
Anmerkung: Wenn für Ihren serverübergreifenden Implementierungsplan
die Einrichtung eines weiteren Web-Servers erforderlich ist, müssen Sie für
jeden Web-Server einen eindeutigen Web-Server-Definitionsnamen angeben. Beispiel: webserver2.
c. Geben Sie für Host name or IP address for the Application Server den
Namen des Anwendungsservers an. Beispiel: appsvr1.example.com.
d. Klicken Sie auf Next.
8. Überprüfen Sie die Installationszusammenfassung.
9. Klicken Sie auf Next, um die Installation von IBM HTTP Server zu starten.
10. Klicken Sie auf Finish.
11. Starten Sie den Dienst für IBM HTTP Server und den für den Verwaltungsserver (Admin Server).
a. Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Start
Admin Server.
b. Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Start
HTTP Server.
12. Stellen Sie sicher, dass Sie über einen Web-Browser auf den Web-Server zugreifen können. Beispiel:
v Geben Sie für den Zugriff auf den Web-Server auf dem lokalen Computer
die Adresse http://localhost oder http://mywebsvr1 ein.
Dabei gilt Folgendes:
mywebsvr1 ist Ihr Computername.
v Geben für den fernen Zugriff auf den Web-Server die Adresse
http://<vollständig_qualifizierter_hostname> ein, sofern ein Namensserver für die Auflösung von Hostnamen verfügbar ist. Beispiel: http://
mywebsvr1.example.com.
Nächste Schritte
Sie sind nun zur Anwendung der aktuellsten Fixpacks für IBM HTTP Server bereit.
IBM HTTP Server Version 7.0-Fixpacks installieren
Wenden Sie die aktuellsten Fixpacks für IBM HTTP Server an.
34
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Vorbereitende Schritte
v Installieren Sie WebSphere Application Server Update Installer.
v Laden Sie die Fixpacks herunter.
Informationen zu diesem Vorgang
Wenn Ihre Implementierung mehr als einen IBM HTTP Server der Version 7.0 umfasst, müssen Sie das Fixpack auf jedem Web-Server installieren.
Vorgehensweise
1. Optional: Kopieren Sie das in das Verzeichnis <was-ausgangsverzeichnis>/
UpdateInstaller/maintenance heruntergeladene Fixpack. Beispiel:
7.0.0-WS-IHS-WinX64-FP0000029.pak für Windows x64-Plattformen.
2. Stoppen Sie IBM HTTP Server. Klicken Sie auf Start > Alle Programme > IBM
HTTP Server V7.0 > Stop HTTP Server.
3. Stoppen Sie den Verwaltungsserver (Admin Server). Klicken Sie auf Start >
Alle Programme > IBM HTTP Server V7.0 > Stop Admin Server.
4. Installieren Sie das Fixpack.
a. Starten Sie den Assistenten für Update Installer. Klicken Sie auf Start > Alle
Programme > IBM WebSphere > Update Installer for WebSphere V7.0
Software > Update Installer.
b. Klicken Sie auf Next.
c. Wählen Sie im Fenster Product Selection das Installationsverzeichnis für
IBM HTTP Server aus und klicken Sie auf Next. Beispiel: C:\Programme\IBM\
HTTPServer.
d. Wählen Sie im Fenster Maintenance Operation Selection die Option Install
maintenance package aus und klicken Sie auf Next.
e. Navigieren Sie auf der Seite Maintenance Package Directory Selection zum
Verzeichnis <updi-ausgangsverzeichnis>\maintenance oder zu dem Pfad, in
den Sie das Fixpack kopiert haben, und klicken Sie dann auf Next. Der
Standardwert ist C:\Programme\IBM\WebSphere\UpdateInstaller\
maintenance.
f. Klicken Sie im Fenster Available Maintenance Package to Install auf Select
Recommended Updates.
g. Wählen Sie die Zielaktualisierung aus und klicken Sie auf Next.
h. Klicken Sie in der Anzeige Installation Summary auf Next.
5. Starten Sie IBM HTTP Server. Klicken Sie auf Start > Alle Programme > IBM
HTTP Server V7.0 > Start HTTP Server.
6. Starten Sie Admin Server. Klicken Sie auf Start > Alle Programme > IBM
HTTP Server V7.0 > Start Admin Server.
Nächste Schritte
Wenn das WebSphere-Plug-in für IBM HTTP Server bereits installiert ist, müssen
Sie auch auf das Web-Server-Plug-in die aktuellsten Fixpacks anwenden.
Fixpack für das IBM HTTP Server Version 7.0-Plug-in installieren
Das aktuellste Fixpack für das WebSphere Application Server-Plug-in ist erforderlich. Verwenden Sie Update Installer für die Installation des Fixpacks für das WebSphere Application Server-Plug-in.
Kapitel 1. IMS Server installieren
35
Vorbereitende Schritte
v Installieren Sie WebSphere Application Server Update Installer.
v Installieren Sie die WebSphere Application Server-Fixpacks.
Vorgehensweise
1. Optional: Kopieren Sie die Fixpackdatei in das Verzeichnis <updiausgangsverzeichnis>/maintenance. Beispiel: 7.0.0-WS-PLG-WinX64FP0000029.pak für Windows (x64).
2. Stoppen Sie IBM HTTP Server. Beispiel: Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 > Stop HTTP Server.
3. Installieren Sie das Fixpack.
a. Starten Sie den Assistenten für Update Installer. Klicken Sie auf Start > Alle
Programme > IBM WebSphere > Update Installer For WebSphere v7.0
Software > Update Installer und klicken Sie dann auf Weiter.
b. Wählen Sie im Fenster Product Selection das IBM HTTP Server-Verzeichnis
Plugins aus und klicken Sie dann auf Next. Beispiel: Verzeichnis <ihsausgangsverzeichnis>/Plugins.
c. Wählen Sie im Fenster Maintenance Operation Selection die Option Install
maintenance package aus und klicken Sie auf Next.
d. Navigieren Sie auf der Seite Maintenance Package Directory Selection zum
Verzeichnis <updi-ausgangsverzeichnis>\maintenance oder zu dem Pfad, in
den Sie das Fixpack kopiert haben, und klicken Sie dann auf Next. Der
Standardwert ist C:\Programme\IBM\WebSphere\UpdateInstaller\
maintenance.
e. Klicken Sie im Fenster Available Maintenance Package to install auf Select
Recommended Updates.
f. Wählen Sie die Zielaktualisierung aus und klicken Sie auf Next.
g. Klicken Sie in der Anzeige Installation Summary auf Next, um die Installation des Fixpacks zu starten.
h. Klicken Sie auf Finish.
4. Starten Sie IBM HTTP Server. Beispiel: Klicken Sie auf Start > Alle Programme
> IBM HTTP Server V7.0 > Start HTTP Server.
Ergebnisse
Sie haben das Fixpack für das IBM HTTP Server-Plug-in angewendet.
Verzeichnisserver vorbereiten
Installieren Sie den Verzeichnisserver und richten Sie ihn so ein, dass IBM Security
Access Manager for Enterprise Single Sign-On mit ihm kommunizieren kann. Als
Verzeichnisserver kann Microsoft Active Directory, Tivoli Directory Server oder ein
LDAP-kompatibler Host verwendet werden.
Ein Verzeichnisservice oder eine Benutzerregistry bietet Benutzerauthentifizierung
und Zugriffssteuerung. IBM Security Access Manager for Enterprise Single Sign-On
kann mit Ihrem bestehenden unterstützten Verzeichnisserver zusammenarbeiten,
wenn Sie für die Authentifizierung und Verwaltung von Benutzeraccounts in einem Repository bereits einen Verzeichnisservice verwenden.
Wichtig: Für IBM Security Access Manager for Enterprise Single Sign-On ist kein
Unternehmensverzeichnisservice zum Abrufen oder Speichern von Details zur Benutzerauthentifizierung erforderlich.
36
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Die Integration mit einem Verzeichnisserver ist keine Voraussetzung für die Installation. IBM Security Access Manager for Enterprise Single Sign-On funktioniert
auch in Unternehmensumgebungen, in denen kein Verzeichnisservice verwendet
wird. Weitere Hinweise zur Implementierung mit einem Verzeichnisserver finden
Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning
and Deployment Guide.
Sie können in Konfigurationen mit einem einzigen Verzeichnisserver oder einem
föderierten Repository arbeiten. IBM Security Access Manager for Enterprise Single
Sign-On verwendet die Komponente Virtual Member Manager in WebSphere Application Server zur Unterstützung der Authentifizierung auf Verzeichnisservern.
Prüfen Sie vor dem Kombinieren mehrerer Active Directory-Server oder -Benutzerregistrys die folgenden Hinweise:
v Definierte Namen müssen für einen Benutzerverbund oder Gruppen auf allen
Verzeichnisservern eindeutig sein. Beispiel: Wenn cn=imsadmin,dc=ibm auf ADLDAP1 vorhanden ist, darf diese Angabe nicht auf AD-LDAP2 und auf ADLDAP3 vorhanden sein.
v Nur bei LDAP: Der Kurzname, z. B. imsadmin, muss für einen Realm in allen
Registrys eindeutig sein.
v Die Basis-DNs für alle Registrys, die in einem Realm verwendet werden, dürfen
sich nicht überschneiden. Beispiel: Wenn AD-LDAP1 den Wert cn=users,dc=ibm
aufweist, darf AD-LDAP2 nicht den Wert dc=ibm aufweisen.
Weitere Informationen zur Komponente Virtual Member Manager in WebSphere
Application Server finden Sie in der folgenden Dokumentation:
v Dokumentation für WebSphere Application Server Version 7.0:
http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp.
v Dokumentation für WebSphere Application Server Version 8.5:
http://pic.dhe.ibm.com/infocenter/wasinfo/v8r5/index.jsp.
Vor der Installation von IBM Security Access Manager for Enterprise Single SignOn können Sie ein Unternehmensverzeichnis auswählen.
Vollständige Anweisungen zur Vorbereitung und Einrichtung eines bestehenden
Verzeichnisservers finden Sie in der Dokumentation Ihres Verzeichnisserveranbieters.
Wenn Sie einen Verzeichnisserver verwenden wollen, müssen Sie die folgenden
Hinweise zur Implementierung beachten:
v Bereiten Sie sich darauf vor, die erforderlichen Werte für Hostname, Domänenname, Portnummer, erforderlichen Benutzer für die Suche, definierte Namen für
die Bindung und Basis-DNs des Verzeichnisservers anzugeben.
Diese Werte müssen bereitgestellt werden, wenn Sie sich für die Konfiguration
von IMS Server mit einem Verzeichnisserver entscheiden. Sie können die erforderlichen Werte im Arbeitsblatt für die Planung aktualisieren. Siehe Kapitel 5,
„Arbeitsblatt für die Planung”, auf Seite 175.
v IBM Security Access Manager for Enterprise Single Sign-On funktioniert mit
LDAP-Verzeichnisservern wie IBM Tivoli Directory Server oder mit Active Directory.
v Gehen Sie wie folgt vor, um das Zurücksetzen von Kennwörtern mit AccessAssistant oder Web Workplace zu unterstützen:
Kapitel 1. IMS Server installieren
37
– Auf einem Active Directory-Server mit Nicht-SSL-Verbindungen müssen Sie
Tivoli Identity Manager Active Directory Adapter in derselben Domäne installieren.
– Auf einem Active Directory-Server mit einer SSL-Verbindung sind keine weiteren Konfigurationen für den Verzeichnisserver erforderlich.
– Bereiten Sie einen Verzeichnisbenutzer mit Administratorberechtigungen vor.
Darüber hinaus können Sie auch einen festgelegten Verzeichnisbenutzeraccount mit Berechtigungen für das Zurücksetzen von Kennwörtern auf dem
Verzeichnisserver vorbereiten.
v Wenn Sie eine Implementierung mit einer virtuellen Einheit vorbereiten, fügen
Sie die Angabe <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit>
nicht auf dem Verzeichnisserver hinzu. Der Berechtigungsnachweis <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> darf nicht auf dem Verzeichnisserver vorhanden sein.
Unterstützte Verzeichnisserver
Gehen Sie wie folgt vor, um eine Liste mit unterstützten Verzeichnisservern für
WebSphere Application Server 7.0 anzuzeigen:
1. Rufen Sie die Seite http://www-01.ibm.com/support/docview.wss?rs=180
&uid=swg27012369 auf.
2. Wählen Sie das Zielbetriebssystem aus. Beispiel: Windows.
3. Suchen Sie den Abschnitt LDAP Server using Federated Repository Configuration, um die Liste mit den unterstützten Verzeichnisservern anzuzeigen.
Verzeichnisserverressourcen
Die folgenden Ressourcen bieten Unterstützung bei der Vorbereitung eines unterstützten Verzeichnisservers und der Aktivierung der Sicherheitseinstellungen.
Tivoli Directory Server
v Übersicht und Installationsanweisungen
http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/
com.ibm.IBMDS.doc/install27.htm
v Anweisungen zur Aktivierung der SSL-Sicherheitseinstellungen
http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?toc=/
com.ibm.IBMDS.doc/toc.xml
Anmerkung: Geben Sie in das Suchfeld den Wert Configuring IBM Tivoli
Directory Server for SSL access ein.
Microsoft Active Directory
v Übersicht und Installationsanweisungen
Rufen Sie die Website von Microsoft unter der Adresse www.microsoft.com auf
und suchen Sie dort nach „Active Directory installation overview”.
v Anweisungen zur Aktivierung der SSL-Sicherheitseinstellungen
Rufen Sie die Website von Microsoft unter der Adresse www.microsoft.com auf
und suchen Sie dort nach „Active Directory SSL enabling”.
Active Directory-Server vorbereiten
Installieren Sie den Verzeichnisserver und richten Sie ihn so ein, dass Active Directory mit IBM Security Access Manager for Enterprise Single Sign-On kommuniziert.
38
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Sie können einen Active Directory-Server vorbereiten, wenn Sie Active Directory
als Verzeichnisserver verwenden wollen. Hinweise zur Verwendung eines Verzeichnisservers mit IBM Security Access Manager for Enterprise Single Sign-On sind im
Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and
Deployment Guide enthalten.
Für das programmgesteuerte Einrichten und Ändern von Kennwörtern beim Anmelden und bei der Benutzererstellung in Active Directory ist SSL erforderlich. Aktivieren Sie SSL in Active Directory, damit Clients auf sichere Weise mit den Active
Directory-Servern kommunizieren können.
Wichtig: Wenn Sie in AccessAssistant oder Web Workplace das Zurücksetzen von
Kennwörtern, nicht aber Active Directory über SSL verwenden wollen, müssen Sie
IBM Security Identity Manager Active Directory Adapter installieren. Siehe „Active
Directory Adapter vorbereiten”.
1. Prüfen Sie die Implementierungsvoraussetzungen für die Active Directory-Konfiguration.
Gehen Sie wie folgt vor, um die für Active Directory auszuführenden Schritte
zu ermitteln:
v Wenn SSL erforderlich, aber noch nicht aktiviert ist, können Sie der Dokumentation des Anbieters Informationen zum Aktivieren von SSL für Ihre Version von Active Directory entnehmen.
v Wenn SSL erforderlich und aktiviert ist, müssen Sie sicherstellen, dass die
SSL-Portnummern den Anforderungen entsprechen.
v Wenn SSL in Ihrer Implementierung nicht erforderlich ist, finden Sie unter
„Active Directory Adapter vorbereiten” Informationen.
2. Optional: Erstellen Sie einen Benutzer für die Suche in Active Directory für IBM
Security Access Manager for Enterprise Single Sign-On-Verzeichnissuchvorgänge.
Zur Unterstützung des Zurücksetzens von Kennwörtern in AccessAssistant und
Web Workplace müssen Sie einen Verzeichnisbenutzer mit Berechtigungen für
das Zurücksetzen von Kennwörtern vorbereiten.
Stellen Sie für den Benutzer Folgendes sicher:
v Er ist aktiv und nicht als zu inaktivieren definiert.
v Er ist nicht als abgelaufen definiert.
Anmerkung: Vermeiden Sie die Erstellung eines Benutzers mit Verwaltungsaufgaben mit demselben Benutzernamen wie der WebSphere-Administrator.
Active Directory Adapter vorbereiten:
Installieren Sie IBM Security Identity Manager Active Directory Adapter, wenn Sie
Active Directory ohne SSL verwenden und das Zurücksetzen von Kennwörtern in
AccessAssistant und Web Workplace unterstützt werden soll.
Vorbereitende Schritte
Bereiten Sie auf dem Verzeichnisserver einen Benutzeraccount mit Domänenadministratorberechtigungen vor. Beispiel: tadadmin.
Kapitel 1. IMS Server installieren
39
Informationen zu diesem Vorgang
Detaillierte Anweisungen zur Installation und Konfiguration von IBM Security
Identity Manager Active Directory Adapter können Sie der Adapterdokumentation
für IBM Security Identity Manager entnehmen.
Verwenden Sie IBM Security Identity Manager Active Directory Adapter für die
Verwaltung von Benutzeraccounts für IBM Security Access Manager for Enterprise
Single Sign-On in einer Active Directory-Domäne. Active Directory Adapter wird
auf dem Domänencontroller oder einer Nicht-Domänencontroller-Workstation installiert.
Die Dokumentation für IBM Security Access Manager for Enterprise Single SignOn enthält keine Anweisungen zur Installation, Verwendung oder Konfiguration
des Adapters mit Active Directory.
Active Directory Lightweight Directory Services unter Windows
vorbereiten
Wenn Sie Active Directory Lightweight Directory Services als Benutzerregistry verwenden wollen, müssen Sie Active Directory Lightweight Directory Services für
die Kommunikation mit IBM Security Access Manager for Enterprise Single SignOn vorbereiten.
Active Directory Lightweight Directory Services (AD LDS) - zuvor als Active Directory Application Mode (ADAM) bezeichnet - bietet Unterstützung für verzeichnisfähige Anwendungen. Mithilfe der folgenden allgemeinen Schritte können Sie AD
LDS oder ADAM vorbereiten. Hinweise zur Verwendung eines Verzeichnisservers
mit IBM Security Access Manager for Enterprise Single Sign-On sind im Dokument
IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment
Guide enthalten.
1. Prüfen Sie die Implementierungsvoraussetzungen für AD LDS oder ADAM.
Eine vollständige Dokumentation zur Konfiguration von ADAM oder AD LDS
finden Sie auf der Website von Microsoft unter der Adresse www.microsoft.com. Suchen Sie dort nach „Active Directory Lightweight Directory Services
overview”.
Anmerkung: Standardmäßig benötigt Active Directory Lightweight Directory
Services die Aktivierung von SSL zur Kennwortzurücksetzung in AccessAssistant und Web Workplace.
Wenn keine SSL-Verbindung vorhanden ist, ist eine Instanz von IBM Security
Identity Manager Active Directory Adapter erforderlich. Siehe „Active Directory
Adapter vorbereiten” auf Seite 39.
2. Erstellen Sie einen designierten IBM Security Access Manager for Enterprise
Single Sign-On-Benutzer für die Suche. Beispiel: lookupusr.
Für die Unterstützung des Zurücksetzens von Kennwörtern können Sie einen
Benutzer mit Verwaltungsaufgaben oder einen designierten Benutzer mit Berechtigungen zum Zurücksetzen von Kennwörtern erstellen. Beispiel: myresetuser.
Stellen Sie für den Benutzeraccount Folgendes sicher:
v Er ist aktiv und nicht als zu inaktivieren definiert.
v Er ist nicht so definiert, dass seine Gültigkeit abläuft.
40
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Tivoli Directory Server vorbereiten
Wenn Sie IBM Tivoli Directory Server als LDAP-Unternehmensverzeichnis verwenden wollen, müssen Sie den Server so vorbereiten, dass er mit IBM Security Access
Manager for Enterprise Single Sign-On kommuniziert.
Hinweise zur Verwendung eines Verzeichnisservers mit IBM Security Access Manager for Enterprise Single Sign-On sind im Dokument IBM Security Access Manager
for Enterprise Single Sign-On Planning and Deployment Guide enthalten.
1. Prüfen Sie die Konfiguration von Tivoli Directory Server. Ausführliche Anweisungen zum Abrufen von Informationen zu Ihrer Implementierung finden Sie
in der jeweiligen Produktdokumentation.
Anmerkung: Eine Einschränkung von Tivoli Directory Server besteht darin,
dass im DN von Benutzern oder Gruppen nicht das großgeschriebene I mit
Punkt oder das kleingeschriebene i mit Punkt aus dem türkischen Alphabet
enthalten sein dürfen. Durch diese Zeichen wird das korrekte Abrufen des betreffenden Benutzers bzw. der betreffenden Gruppe verhindert.
2. Erstellen Sie den IBM Security Access Manager for Enterprise Single Sign-OnBenutzer für die Suche.
IMS Server mit dem Installationsprogramm von IMS Server installieren
Installieren und implementieren Sie IMS Server in WebSphere Application Server
und verwenden Sie dazu das Installationsprogramm von IMS Server.
Vorbereitende Schritte
v Überprüfen Sie die Hinweise für die Installationsvorbereitung. Informationen
dazu finden Sie unter "Planning for installation" im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
v Führen Sie die Installation und die Konfiguration der Middleware aus:
– Erstellen Sie das WebSphere Application Server-Profil (für eigenständige Implementierungen) oder das Deployment Manager-Profil (für Netzimplementierungen).
– Stellen Sie sicher, dass das WebSphere Application Server-Profil (für eigenständige Implementierungen) oder das Deployment Manager-Profil (für Netzimplementierungen) gestartet ist.
– Bereiten Sie den Verzeichnisserver vor.
– Bereiten Sie den Datenbankserver vor.
– Bereiten Sie IBM HTTP Server vor.
– Für eigenständige WebSphere Application Server-Implementierungen:
- Stellen Sie sicher, dass das Serverprofil gestartet ist.
- Prüfen Sie die WebSphere Application Server-Konfiguration für eigenständige Implementierungen.
- Prüfen Sie die IBM HTTP Server-Konfiguration.
– Für WebSphere Application Server Network Deployment:
- Stellen Sie sicher, dass das Deployment Manager-Profil gestartet ist.
- Prüfen Sie die WebSphere Application Server-Konfiguration auf einen Cluster.
- Prüfen Sie die IBM HTTP Server-Konfiguration.
Kapitel 1. IMS Server installieren
41
v Entnehmen Sie dem Arbeitsblatt für die Planung die verschiedenen Daten, die
für die Ausführung der Installation erforderlich sind.
Informationen zu diesem Vorgang
Beim Installationsprozess von IMS Server werden zwei Anwendungen in WebSphere Application Server implementiert:
Anwendungsname
EAR-Dateiname
Inhalt
ISAMESSOIMS
com.ibm.tamesso.imsdelhi.deploy.isamessoIms.ear
v AccessAdmin
v AccessAssistant und
Web Workplace
v Laufzeit-Web-Service für
IMS Server
ISAMESSOIMSConfig
com.ibm.tamesso.imsdelhi.deploy.isamessoImsConfig.ear
v IMS-Konfigurationsassistent
v IMS-Konfigurationsdienstprogramm
Vorgehensweise
1. Führen Sie die Datei imsinstaller.exe aus, um den Installationsassistenten
von IMS Server zu starten.
2. Akzeptieren Sie die Standardsprache oder wählen Sie eine andere Sprache
aus.
3. Klicken Sie auf OK.
4. Wählen Sie das Produkt aus, für dessen Installation Sie über eine Lizenz verfügen.
v IBM Security Access Manager for Enterprise Single Sign-On Standard
Dieses Paket bietet strikte Authentifizierung, Sitzungsmanagement, zentrale
Protokollierung und Berichterstellung sowie einmalige Anmeldung.
v IBM Security Access Manager for Enterprise Single Sign-On Suite
Dieses Paket bietet neben den Merkmalen des Pakets "Standard" OTP-Unterstützung, AccessAgent-Plug-ins, einmalige Anmeldung im Web und Fernzugriff über Web Workplace, angepasste Überwachungsfunktionen sowie
IAM-Integration.
5. Klicken Sie auf Weiter.
6. Wählen Sie Ich akzeptiere die Bedingungen der Lizenzvereinbarung aus.
7. Klicken Sie auf Weiter.
8. Akzeptieren Sie das Standardinstallationsverzeichnis oder geben Sie ein neues
Verzeichnis an. Standardmäßig wird IMS Server im Verzeichnis
C:\Programme\IBM\ISAM ESSO\IMS Server installiert.
9. Klicken Sie auf Weiter.
10. Wählen Sie Ja aus, damit IMS Server automatisch in WebSphere Application
Server implementiert wird.
v Klicken Sie für die manuelle Implementierung von WebSphere Application
Server auf Nein. Siehe „IMS Server manuell in WebSphere Application Server implementieren” auf Seite 212.
11. Klicken Sie auf Ja, um anzugeben, dass die WebSphere Application ServerSicherheit aktiviert wird. Wenn Sie auf Nein klicken, müssen Sie den SOAPPort angeben. Typische SOAP-Ports:
42
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
v Eigenständige Implementierung: 8880
v Netzimplementierung (Deployment Manager-Knoten): 8879
Anmerkung: Geben Sie die korrekten Details zur Anwendungssicherheit an,
bevor Sie fortfahren. Wenn die Sicherheitsprüfung für WebSphere Application
Server fehlschlägt, haben Sie falsche Informationen eingegeben. In diesem Fall
können Sie das Installationsprogramm erneut starten.
12. Klicken Sie auf Weiter.
13. Konfigurieren Sie die Einstellungen der Administrationssicherheit von WebSphere Application Server.
Anmerkung: Wenn bidirektionales SSL für WebSphere Application Server aktiviert ist, sind die SSL-Java-Schlüsselspeicherdatei und das zugehörige Kennwort erforderlich.
a. Geben Sie den Namen des WebSphere-Benutzers mit Verwaltungsaufgaben
sowie das zugehörige Kennwort an, die Sie während der Profilerstellung
bereitgestellt haben. Beispiel: wasadmin und kennwort.
b. Geben Sie die vertrauenswürdige SSL-Java-Schlüsselspeicherdatei
(trust.p12) sowie deren Position an.
Beispiel:
v Für WebSphere Application Server (eigenständig):
<was-ausgangsverzeichnis>\profiles\<anwendungsserver-profilname>\
config\cells\<zellenname>\nodes\<knotenname>\trust.p12
Beispiel:
C:\IBM\WebSphere\AppServer\profiles\AppSrv01\config\cells\
ibmusvr1Node01Cell\nodes\ibmusvr1Node01\trust.p12
v Für WebSphere Application Server Network Deployment:
<was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config\
cells\<zellenname>\trust.p12
Beispiel:
C:\IBM\WebSphere\AppServer\Profiles\Dmgr01\config\cells\ibmsvr1Cell01\trust.p12
c. Geben Sie das Kennwort für den vertrauenswürdigen SSL-Schlüsselspeicher an.
Das standardmäßige Kennwort für den vertrauenswürdigen SSL-Schlüsselspeicher lautet WebAS.
d. Optional: Geben Sie die SSL-Java-Schlüsselspeicherdatei (key.p12) sowie
deren Position an.
Beispiel:
v Für WebSphere Application Server (eigenständig):
<was-ausgangsverzeichnis>\profiles\<anwendungsserver-profilname>\
config\cells\<zellenname>\nodes\<knotenname>\key.p12
Kapitel 1. IMS Server installieren
43
Beispiel:
C:\IBM\WebSphere\AppServer\profiles\AppSrv01\config\cells\
ibmusvr1Node01Cell\nodes\ibmusvr1Node01\key.p12
v Für WebSphere Application Server Network Deployment:
<was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config\
cells\<zellenname>\key.p12
Beispiel:
C:\IBM\WebSphere\AppServer\Profiles\Dmgr01\config\cells\ibmsvr1Cell01\key.p12
Anmerkung: Wenn Sie die SSL-Java-Schlüsselspeicherdatei angeben, müssen Sie im Feld SSL keystore password das Schlüsselspeicherkennwort angeben. Siehe Schritt e.
e. Wenn Sie die SSL-Java-Schlüsselspeicherdatei angegeben haben, geben Sie
das SSL-Java-Schlüsselspeicherkennwort an.
Das standardmäßige SSL-Java-Schlüsselspeicherkennwort lautet WebAS.
14. Akzeptieren Sie den standardmäßigen SOAP-Connector-Port von WebSphere
Application Server oder geben Sie einen anderen SOAP-Connector-Port an.
Anmerkung: Sie können die korrekte Portnummer im folgenden Verzeichnis
für jedes Profil ermitteln. Beispiel:
Eigenständig: <was-ausgangsverzeichnis>/profiles/
<anwendungsserverprofilname>/logs/AboutThisProfile.txt
Netzimplementierung: <was-ausgangsverzeichnis>/profiles/<dmgrprofilname>/logs/AboutThisProfile.txt
Beispiel:
v Für den eigenständigen WebSphere Application Server ist der standardmäßige SOAP-Port für den Anwendungsserver Port 8880.
v Für WebSphere Application Server Network Deployment ist der standardmäßige SOAP-Port für den Deployment Manager Port 8879.
15. Klicken Sie auf Weiter.
16. Klicken Sie auf Installieren.
17. Klicken Sie im Fenster Installation abgeschlossen auf Fertig.
Nächste Schritte
Prüfen Sie vor dem Einrichten von IMS Server mit dem IMS-Konfigurationsassistenten die Implementierung von IMS Server in WebSphere Application Server. Siehe „Implementierung von IMS Server in WebSphere Application Server überprüfen”.
Wenn bei der Installation von IMS Server Fehler aufgetreten sind, müssen Sie diese
vor der Konfiguration von IMS Server beheben. Entnehmen Sie der Datei
<ims-ausgangsverzeichnis>/ISAM_ESSO_IMS_Server_InstallLog.log kritische Installationsfehler für IMS Server, die behoben werden müssen.
Implementierung von IMS Server in WebSphere Application Server überprüfen
Prüfen Sie Integrated Solutions Console, um festzustellen, ob IMS Server erfolgreich in WebSphere Application Server implementiert ist.
44
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Vorbereitende Schritte
v (Netzimplementierung) Stellen Sie sicher, dass der Deployment Manager gestartet ist.
v (Eigenständig) Stellen Sie sicher, dass der Anwendungsserver gestartet ist.
v Installieren Sie IMS Server.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus.
Dabei steht <profilname> für Folgendes:
v Für den Deployment Manager für eine Netzimplementierung. Beispiel:
Dmgr01.
v Für die Instanz des eigenständigen Anwendungsservers. Beispiel: AppSrv01.
2. Melden Sie sich mit den Berechtigungsnachweisen des WebSphere-Administrators bei Integrated Solutions Console an. Beispiel: wasadmin.
3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Applications > Application Types > WebSphere Enterprise Applications aus.
4. Stellen Sie sicher, dass die folgenden IMS Server-Anwendungen in der Liste
aufgeführt sind:
Anwendung
Status
ISAMESSOIMS
Gestoppt.
ISAMESSOIMSConfig
Gestartet.
Anmerkung: Die Anwendung ISAMESSOIMS kann gestoppt bleiben.
ISAMESSOIMSConfig wird mit dem Deployment Manager gestartet und
ISAMESSOIMS mit dem Cluster.
Nächste Schritte
Nachdem Sie geprüft haben, ob die WebSphere-Anwendungen von IMS Server implementiert sind, konfigurieren Sie die ISAMESSOIMSConfig-Anwendung für die Verwendung der JavaServer Faces-Implementierung.
v „JSF-Implementierung konfigurieren”
v „IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten
konfigurieren (eigenständig)” auf Seite 78
v „IMS Server mit dem IMS-Konfigurationsassistenten konfigurieren
(Netzimplementierung)” auf Seite 109
JSF-Implementierung konfigurieren
Bevor Sie IMS Server für WebSphere Application Server Version 8.5 konfigurieren,
müssen Sie die IMS Server-Implementierung so konfigurieren, dass sie Sun Reference Implementation 1.2 verwendet.
Vorbereitende Schritte
Installieren Sie IMS Server.
Informationen zu diesem Vorgang
Führen Sie in der WebSphere Application Server-Administrationskonsole die folgenden Schritte durch, um die JSF-Implementierung der Anwendungen ISAKapitel 1. IMS Server installieren
45
MESSOIMSConfig und ISAMESSOIMS zu konfigurieren.
Vorgehensweise
1. Klicken Sie in der Administrationskonsole auf Applications > Application Types > WebSphere Enterprise Applications.
2. Führen Sie die folgenden Schritte für ISAMESSOIMSConfig und ISAMESSOIMS
aus.
a. Wählen Sie die Anwendung aus.
b. Klicken Sie unter Web Module Properties auf JSP and JSF Options.
c. Wählen Sie für JSF Implementation den Eintrag SunRI1.2 aus.
d. Speichern Sie die Änderungen an der Hauptkonfiguration.
e. Starten Sie das WebSphere Application Server-Profil neu.
Synchronisieren Sie bei Clusterimplementierungen den Knoten und starten
Sie ihn erneut.
Nächste Schritte
Konfigurieren Sie nach der Auswahl der JSF-Implementierung für die Anwendungen ISAMESSOIMSConfig und ISAMESSOIMS IMS Server mithilfe des IMS-Konfigurationsassistenten.
Gemeinsam genutzte JAX-RS-Bibliothek hinzufügen
Definieren Sie eine containerweite, gemeinsam genutzte Bibliothek in WebSphere
Application Server, die von der implementierten ISAMESSOIMS-Anwendung genutzt werden kann.
Vorbereitende Schritte
v Installieren Sie das WebSphere Application Server 7.0 Feature Pack for Web 2.0
and Mobile.
v Dazu müssen Sie über Administratorberechtigungsnachweise für WebSphere Application Server verfügen.
Informationen zu diesem Vorgang
Führen Sie diese Task für WebSphere Application Server aus.
Anmerkung: Diese Task ist nur für WebSphere Application Server Version 7.0 relevant.
In Clusterimplementierungen müssen Sie diese Task im Deployment Manager ausführen.
Vorgehensweise
1. Melden Sie sich mit Administratorberechtigungen bei der WebSphere Application Server-Administrationskonsole an.
2. Klicken Sie im Navigationsfenster auf Environment > Shared libraries (gemeinsam genutzte Bibliotheken).
3. Wählen Sie im Bereich Scope einen Zellenbereich aus. Beispiel:
Cell=HostNameNode01Cell.
4. Klicken Sie auf New.
5. Geben Sie im Feld Name die Zeichenfolge jaxrslib ein.
6. Machen Sie im Feld Classpath folgende weitere Angaben:
46
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/commons-codec.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/commons-lang.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/httpclient.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/httpcore.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/ibm-wink-jaxrs.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/jcl-over-slf4j.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/jsr311-api.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/slf4j-api.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/slf4j-jdk14.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/jackson/jackson-core-asl.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/jackson/jackson-jaxrs.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/jackson/jackson-mapper-asl.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/jackson/jackson-xc.jar
${was_installationsstammverzeichnis}/web2mobilefep_1.1/optionalLibraries/jaxrs_1.X/webdav/wink-jaxrs-webdav.jar
Dabei gilt Folgendes:
${was_installationsstammverzeichnis} ist eine Umgebungsvariable von WebSphere zur Speicherposition des WebSphere Application Server-Verzeichnisses.
Beispiel: C:\Programme\IBM\WebSphere\AppServer.
7. Klicken Sie auf OK.
8. Klicken Sie auf Speichern.
9. Ordnen Sie die Anwendung ISAMESSOIMS der gemeinsam genutzten Bibliothek zu.
a. Klicken Sie im Navigationsfenster auf Applications > Application Types >
WebSphere enterprise applications.
b. Klicken Sie auf der Seite Enterprise Applications auf ISAMESSOIMS.
c. Klicken Sie auf der Seite Configuration unter References, auf Shared library references.
d. Wählen Sie ISAMESSOIMS aus.
e. Klicken Sie auf Reference shared libraries.
f. Wählen Sie in der Liste der verfügbaren Bibliotheken (Available) die Bibliothek jaxrslib aus.
g. Verschieben Sie die Bibliothek jaxrslib in die Liste Selected (Ausgewählt),
indem Sie auf >> klicken.
h. Klicken Sie zweimal auf OK.
10. Speichern Sie die Änderungen in WebSphere Application Server.
11. Synchronisieren Sie bei Clusterimplementierungen alle Knoten.
12. Führen Sie einen Neustart der Anwendung ISAMESSOIMS durch.
a. Rufen Sie im Navigationsfenster Applications > Application Types >
WebSphere Enterprise Applications auf.
b. Wählen Sie ISAMESSOIMS aus.
c. Klicken Sie auf Stop.
d. Klicken Sie auf Start.
Die Anwendung ISAMESSOIMS wird erneut gestartet.
Server mit virtueller Einheit einrichten
Sie können eine ausführungsbereite virtuelle Servereinheit in VMware ESX und
ESXi für schnellere Implementierungen implementieren. Implementieren Sie virtuelle Servereinheiten in eigenständigen oder Hochverfügbarkeitskonfigurationen. Im
Unterschied zur manuellen Installation des Serverprodukts enthält eine virtuelle
Einheit konfigurierte Softwarevoraussetzungen mit IMS Server in einem einzigen
virtuellen Image.
Kapitel 1. IMS Server installieren
47
Virtuelle Einheit
ISAM ESSO
AccessAgent
Web-Browser
(Client)
Anwendungsschicht, Webschicht
Datenschicht
Anwendungsserver
Web-Server
Plug-in
ISAM ESSO
IMS Server
Anwendungsdaten
ISAM ESSO IMSKonfigurationsdienstprogramm
Abbildung 1. Eigenständige Installation mit virtueller Einheit
Weitere Informationen zu Planung und Implementierung beim Einrichten eines
Servers mit virtueller Einheit finden Sie im Dokument IBM Security Access Manager
for Enterprise Single Sign-On Planning and Deployment Guide.
Roadmap
Die virtuelle Einheit von IBM Security Access Manager for Enterprise Single SignOn ist ein unabhängiges virtuelles Image. Das virtuelle Image enthält SUSE Linux
Enterprise Server, WebSphere Application Server Hypervisor Edition, Tivoli Common Reporting, IBM HTTP Server und die Anwendung IMS Server.
Führen Sie das virtuelle Image in VMware ESX- oder ESXi-Hypervisors aus. Bevor
Sie die virtuelle Einheit installieren, müssen Sie sicherstellen, dass Ihre Virtualisierungsplattform die Voraussetzungen erfüllt. Es ist einfacher, eine Implementierung
als virtuelle Einheit durchzuführen, weil das Betriebssystem und die Anwendungen bereits installiert und teilweise konfiguriert sind.
Führen Sie folgenden Tasks aus:
1. Bereiten Sie den Datenbankserver vor.
2. Bereiten Sie den Verzeichnisserver vor.
3. Implementieren Sie die virtuelle Einheit.
4. Aktivieren und konfigurieren Sie die virtuelle Einheit.
Die virtuelle Einheit implementiert eine funktionsfähige IBM Security Access Manager for Enterprise Single Sign-On-Serverunternehmensanwendung in WebSphere
Hypervisor. Sie können die virtuelle Einheit als Pilot- oder Testsystem verwenden.
Eine einzige virtuelle Einheit kann auch als einzelnes Produktionssystem für eine
kleine Abteilung dienen.
Für Produktions- oder Hochverfügbarkeitsumgebungen können Sie weitere virtuelle Einheiten als Replikate implementieren. Ein Replikat einer virtuellen Einheit bezieht sich auf eine Reihe virtueller Einheiten, die auf dieselbe Weise konfiguriert
sind. Zum Vereinfachen des Prozesses, bei dem Konfigurationen mit mehreren virtuellen Einheiten repliziert werden, können Sie die IMS Server-Konfiguration in
eine Datei exportieren. Siehe „Virtuelle Einheit für Hochverfügbarkeit replizieren”
auf Seite 58.
Anmerkung: Wenn die IMS Server-Konfigurationen geändert werden, müssen Sie
das Tool für den Export und Import von Konfigurationen für die manuelle Synchronisation der Konfiguration mit anderen Replikaten verwenden. Wenn die Zahl der Replikate zunimmt, steigt auch der Aufwand für die Synchronisation der IMS Server-
48
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Konfiguration. Informationen zum Management mehrerer IMS Server-Knoten
finden Sie in der Methode für WebSphere Application Server Network Deployment
(Cluster).
Weitere Informationen zur Hochverfügbarkeit für virtuelle Einheiten in einer replizierten Konfiguration finden Sie im Dokument IBM Security Access Manager for
Enterprise Single Sign-On Planning and Deployment Guide.
Informationen zur Verwendung des Tools für den Export und Import von
Konfigurationen von IMS Server für die Replikation von Konfigurationen finden Sie
im Dokument IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide.
Lieferumfang der virtuellen Einheit
Die virtuelle Einheit enthält die folgenden vorinstallierten Komponenten:
WebSphere Application Server
WebSphere Application Server Hypervisor Edition stellt eine zentrale Anwendungsverwaltungsplattform dar, die die die Funktionalität eines WebServers zur Bearbeitung von Webanwendungsanforderungen erweitert. Die
IBM Security Access Manager for Enterprise Single Sign-On-Komponente
IMS Server ist eine WebSphere-Anwendung, die den Anwendungsserver
nutzt.
IBM HTTP Server
IBM HTTP Server für WebSphere Application Server Hypervisor Edition ist
ein dedizierter HTTP-Server, der für die Arbeit mit dem Anwendungsserver konfiguriert ist.
Tivoli Common Reporting
Tivoli Common Reporting ist eine optionale Berichtskomponente, die erweiterte Berichtsmanagementfunktionen bietet.
IBM Security Access Manager for Enterprise Single Sign-On IMS Server
IMS Server ist eine Webanwendung in WebSphere Application Server, mit
der Administratoren Einstellungen für das Identitätsmanagement und die
einmalige Anmeldung konfigurieren können.
Anmerkung: Die Verteilung der virtuellen Einheit umfasst eine Reihe optionaler
Dienstprogramme für deren Verwaltung. Weitere Informationen dazu finden Sie im
Abschnitt zu Befehlszeilentools im Dokument IBM Security Access Manager for
Enterprise Single Sign-On Configuration Guide.
Nicht im Lieferumfang der virtuellen Einheit enthaltene Komponenten
Die virtuelle Einheit enthält nicht die folgenden Komponenten:
Datenbankserver
Installieren Sie den Datenbankserver separat. Allerdings umfasst die standardmäßige Softwareverteilung von IBM Security Access Manager for
Enterprise Single Sign-On, die nicht die virtuelle Einheit umfasst, eine Edition mit Nutzungsbegrenzung von IBM DB2. Sie müssen den Datenbankserver auf einem separaten Server installieren, bevor Sie die virtuelle Einheit installieren.
Verzeichnisserver
Wenn Sie mit einem LDAP-Server arbeiten, können Sie die virtuelle Einheit
Kapitel 1. IMS Server installieren
49
so konfigurieren, dass sie mit einem neuen Verzeichnisserver oder einem
bereits bestehenden Server zusammenarbeitet. Installieren Sie bei Active
Directory-Servern ohne SSL mit Anforderungen bezüglich des Zurücksetzens von Kennwörtern mit AccessAssistant oder Web Workplace die Komponente Active Directory Adapter. Sie können den Adapter auf dem Domänencontroller oder einem separaten Host installieren. Bereiten Sie den
Verzeichnisserver auf einem separaten Host vor, bevor Sie die virtuelle Einheit konfigurieren.
Wichtig: Die Fingerabdruckauthentifizierung wird in der virtuellen Einheit nicht
unterstützt.
Datenbankserver vorbereiten
Sie können entweder einen Datenbankserver installieren oder einen bereits bestehenden Datenbankserver wiederverwenden, bevor Sie IMS Server installieren, weil
die virtuelle Einheit keinen Datenbankserver umfasst. Siehe „Datenbankserver
vorbereiten” auf Seite 18.
Verzeichnisserver vorbereiten
Die virtuelle Einheit enthält keinen Verzeichnisserver. Wenn Sie einen Verzeichnisserver für Benutzerauthentifizierungsservices verwenden wollen, können Sie einen
neuen Verzeichnisserver vorbereiten oder einen bereits bestehenden Verzeichnisserver wiederverwenden, bevor Sie IMS Server installieren. Sie können einen erforderlichen Benutzer für die Suche mit mit Verzeichnissuchberechtigungen vorbereiten.
Siehe „Verzeichnisserver vorbereiten” auf Seite 36.
Konfiguration von IMS Server und Web-Server für IBM Security
Access Manager for Enterprise Single Sign-On
Das Image enthält IBM HTTP Server für WebSphere Application Server Hypervisor
Edition und Web-Server-Plug-ins, die für den Benutzer installiert und konfiguriert
werden. Der größte Teil der Umgebung ist vorkonfiguriert. Für den Basisbetrieb
sind keine weiteren Web-Server-Konfigurationsschritte erforderlich.
Sie können IBM HTTP Server und den IBM Security Access Manager for Enterprise
Single Sign-On-Server in der Administrationskonsole stoppen und starten.
Images für virtuelle Einheit vorbereiten
Die virtuelle Einheit für IBM Security Access Manager for Enterprise Single SignOn wird auf DVDs verteilt oder sie wird in Form von Images bereitgestellt, die
von Passport Advantage heruntergeladen werden können. Unabhängig vom gewählten Medium müssen Sie die Dateien in einer komprimierten Datei zusammenführen, bevor Sie die Images für die virtuelle Einheit benutzen können.
Vorgehensweise
1. Führen Sie eine der folgenden Aktionen aus:
v Fordern Sie die Installationsmedien für die virtuelle Einheit an.
v Laden Sie die Images für die virtuelle Einheit von Passport Advantage herunter.
Das Paket mit der virtuellen Einheit von IMS Server besteht aus komprimierten
Dateien, die in mehrere Teile aufgeteilt sind.
50
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
2. Kopieren Sie die Dateien der virtuellen Einheit in denselben Ordner auf Ihrem
Computer.
3. Navigieren Sie in einer Eingabeaufforderung zu dem Ordner, in den Sie die Dateien kopiert haben.
4. Führen Sie die Teildateien zu einem einzigen Archiv zusammen.
Geben Sie einen der folgenden Befehle ohne Zeilenumbrüche ein:
Windows
copy /b ISAMESSO_IMS_VA_<version>.zip.001+
ISAMESSO_IMS_VA_<version>.zip.002+
ISAMESSO_IMS_VA_<version>.zip.003 ISAMESSO_IMS_VA_<version>_FULL.zip
Linux
cat ISAMESSO_IMS_VA_<version>.zip.001
ISAMESSO_IMS_VA_<version>.zip.002
ISAMESSO_IMS_VA_<version>.zip.003 > ISAMESSO_IMS_VA_<version>_FULL.zip
5. Extrahieren Sie das vollständige Archiv (ISAMESSO_IMS_VA_<version>_FULL.zip)
an eine Position auf dem Computer.
Anmerkung: Sie können zum Extrahieren der komprimierten Dateien auch ein
Dienstprogramm zur Dekomprimierung eines anderen Anbieters verwenden.
Beispiel: 7zip.
6. Stellen Sie sicher, dass die folgenden Dateien an der Extraktionsposition vorhanden sind: Diese Dateien weisen die Dateierweiterungen .OVF, .MF und .VMDK
auf.
v ISAMESSO_IMS_VA_<version>-disk1.vmdk
v ISAMESSO_IMS_VA_<version>-disk2.vmdk
v ISAMESSO_IMS_VA_<version>-disk3.vmdk
v ISAMESSO_IMS_VA_<version>-disk4.vmdk
v ISAMESSO_IMS_VA_<version>.mf
v ISAMESSO_IMS_VA_<version>.ovf
Nächste Schritte
Implementieren Sie die virtuelle Einheit von IMS Server.
Virtuelle Einheit in VMware ESXi implementieren
Starten Sie das virtuelle Image des IBM Security Access Manager for Enterprise
Single Sign-On-Servers und verwenden Sie den VMware ESXi-Hypervisor für die
Konfiguration des Betriebssystems und des Produkts.
Vorbereitende Schritte
v Installieren Sie VMware vSphere Client auf dem Computer.
v Stellen Sie sicher, dass Sie über einen Account für die Anmeldung beim VMware
ESXi-Host mit Berechtigungen für die Erstellung und Implementierung virtueller
Maschinen verfügen.
v Bereiten Sie das Image der virtuellen Einheit vor und extrahieren Sie es.
Informationen zu diesem Vorgang
Verwenden Sie Deploy OVF Wizard aus vSphere Client für die Implementierung
der virtuellen Einheit von IBM Security Access Manager for Enterprise Single SignOn auf einer virtuellen Maschine. vSphere Client ist die Clientanwendung, mit der
Kapitel 1. IMS Server installieren
51
Sie virtuelle Maschinen auf dem VMware ESXi-Hypervisor starten und ausführen
können.
Vorgehensweise
1. Klicken Sie unter Microsoft Windows auf Start > Alle Programme > VMware
> VMware vSphere Client.
2. Melden Sie sich bei VMware vSphere Client an.
3. Klicken Sie in VMware vSphere Client auf File > Deploy OVF Template.
4. Klicken Sie auf Deploy from File und wählen Sie die Datei
ISAMESSO_IMS_VA_<version>.ovf aus.
5. Klicken Sie auf Next.
6. Prüfen Sie die Schablonendetails und klicken Sie dann auf Next.
7. Vergeben Sie für die virtuelle Einheit im ESXi-Inventarordner einen Namen.
Beispiel: ISAMESSO_IMS_VA_821
8. Klicken Sie auf Next.
9. Geben Sie eine Position für die Speicherung der Dateien für die virtuelle Einheit an und klicken Sie dann auf Next.
10. Prüfen Sie die Installationszusammenfassung und klicken Sie dann auf Finish.
Der Implementierungsprozess startet das Hochladen der virtuellen Einheit auf
den VMware ESXi-Host.
11. Klicken Sie auf Close.
Ergebnisse
Sie haben die virtuelle Einheit von IBM Security Access Manager for Enterprise
Single Sign-On auf dem VMware ESXi-Hypervisor implementiert. Die virtuelle Einheit ist für die Aktivierung bereit.
Nächste Schritte
Führen Sie die entsprechende Task aus:
v Wenn kein Datenbankserver installiert ist, müssen Sie einen Datenbankserver auf
einem separaten Host installieren und konfigurieren, bevor Sie die virtuelle Einheit aktivieren. Siehe „Datenbankserver vorbereiten” auf Seite 18.
v Wenn ein Datenbankserver installiert ist, müssen Sie die virtuelle Einheit aktivieren und konfigurieren. Siehe „Virtuelle Einheit aktivieren und konfigurieren”.
Virtuelle Einheit aktivieren und konfigurieren
Sie können die virtuelle Einheit aktivieren und IMS Server konfigurieren.
Vorbereitende Schritte
v „Verzeichnisserver vorbereiten” auf Seite 36.
v „Datenbankserver vorbereiten” auf Seite 18.
v Stellen Sie sicher, dass Sie die folgenden Informationen angeben können:
52
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Typ der Information
Werte
Netzinformationen
v Hostname
v Domänenname
v (Nur statisch) IP-Adresse
v (Nur statisch) Netzmaske
v (Nur statisch) Gateway-Adresse
Datenbankinformationen
v Datenbank für IMS Server
v Host oder IP-Adresse der Datenbank
v Berechtigungsnachweise des
Datenbankadministrators
Informationen für Unternehmensverzeichnis
oder Repository
v Vollständig qualifizierter Domänenname
des Repositorys
v Domänenname des Repositorys
v Basis-DN
v Definierter Name für Bindung
Anmerkung: Es wird nicht angegeben, ob die IP-Adresse der virtuellen Einheit im
Netz doppelt vorhanden ist. Daher kann es zu einem Konflikt mit IP-Adressen
kommen, der zu einer Zeitlimitüberschreitung bei der Konfiguration von IMS Server führen kann.
Hinweis: Um sicherzustellen, dass Clients in einer Domäne eine Verbindung zu
IMS Server herstellen können, müssen Sie einen DNS-Eintrag für die IP-Adresse
der virtuellen Einheit hinzufügen. Stellen Sie in der virtuellen Einheit sicher, dass
in der Datei "hosts" ein Eintrag für den Domänencontroller vorhanden ist.
Informationen zu diesem Vorgang
Aktivieren Sie die virtuelle Einheit und konfigurieren Sie die Berechtigungsnachweise für zwei Benutzeraccounts:
v Account des Rootbenutzers: root.
v Account des Benutzers ohne Rootberechtigung: <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit>. Standardeinstellung: virtuser.
Der Benutzer mit der Berechtigung root verfügt über Administratorberechtigungen. <id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> wird
nach dem Abschluss des Aktivierungsprozesses zur Anmeldung beim Gastbetriebssystem verwendet. Darüber hinaus wird der Berechtigungsnachweis von
<id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> für die Konfiguration von IMS Server eingesetzt.
Im Konfigurationsprozess wird
<id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> als Administratorberechtigungsnachweis für folgende Produkte und Tasks verwendet:
v IBM HTTP Server
v WebSphere Application Server
v Tivoli Common Reporting
v Konfiguration von IMS Server
Kapitel 1. IMS Server installieren
53
Wichtig: Wenn Sie mit IMS Server Verzeichnisserver verwenden, fügen Sie den
Verzeichnisservern nicht
<id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> hinzu. Stellen Sie sicher, dass der Account des Benutzers ohne Rootberechtigung nicht auf
dem Verzeichnisserver vorhanden ist.
Anmerkung:
v Die folgenden Tasks betreffen die Konfiguration und Aktivierung der virtuellen
Einheit auf vSphere Client.
v Gehen Sie wie folgt vor, um durch die Anzeigen der Startkonsole für die virtuelle Einheit zu navigieren:
– Drücken Sie die Leertaste, um eine Option auszuwählen.
– Drücken Sie die Eingabetaste, um die Auswahl zu bestätigen oder anzuwenden.
– Drücken Sie die Tabulatortaste, um den Fokus von einem Steuerelement zu
einem anderen auf der Seite zu verschieben.
Vorgehensweise
1. Blenden Sie in vSphere Client den Knoten Virtual Appliance ein und wählen
Sie dann die virtuelle Einheit aus. Beispiel: ISAMESSO_IMS_82.
2. Klicken Sie mit der rechten Maustaste auf die virtuelle Einheit und danach auf
Power on. Die virtuelle Einheit wird eingeschaltet.
3. Öffnen Sie die Konsole.
Tipp: Klicken Sie zum Öffnen der Konsole in der Symbolleiste auf den Befehl
Launch Virtual Machine Console.
4. Konfigurieren Sie die Einstellungen für Primär- und Sekundärsprache.
Das Betriebssystem kann zwar Unterstützung für weitere Sprachen bieten, die
Installationsanzeigen sind aber nur in den Sprachen verfügbar, die von WebSphere Application Server Hypervisor Edition unterstützt werden.
Tipp: Drücken Sie zum Akzeptieren der Standardeinstellungen für Primärund Sekundärsprache die Taste F10.
5. Lesen Sie alle Lizenzanweisungen und -vereinbarungen und akzeptieren Sie
diese. Beispiel: Betriebssystem, VMware und IBM WebSphere Application Server.
6. Geben Sie im Feld Network Configuration das Netzprotokoll "Static" oder
"DHCP" an.
v Wenn Sie DHCP angegeben haben, geben Sie danach folgende Werte ein:
Hostname
Geben Sie den Hostnamen des Computers an. Beispiel: ibm-sso1.
Domäne
Geben Sie die Domäne an. Beispiel: example.com.
Netzmaske
(Optional) Geben Sie die Teilnetzmaskennummer an. Beispiel:
255.255.255.0
v Wenn Sie die Angabe Static ausgewählt haben, geben Sie folgende Werte
ein:
54
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
IP-Adresse
Geben Sie die statische IP-Adresse des Computers im Netz an, die
vom Netzadministrator zugewiesen wurde.
Netzmaske
Geben Sie die Teilnetzmaskennummer an. Beispiel: 255.255.255.0
Gateway-Adresse
Die IP-Adresse eines Gateway-Routers.
DNS
Geben Sie die IP-Adresse des primären DNS- oder Namensservers
an, um Netzadressen aufzulösen.
Hostname
Geben Sie den Hostnamen des Computers an. Beispiel: ibm-sso1.
Domäne
Wenn der Computer in einer Domäne enthalten ist, müssen Sie diese angeben. Beispiel: example.com.
7. Konfigurieren Sie die Berechtigungsnachweise für die Accounts von root und
des Benutzers ohne Rootberechtigung.
a. Geben Sie für den Benutzer mit der Berechtigung root ein neues Kennwort
ein.
b. Drücken Sie die Eingabetaste.
c. Geben Sie das Kennwort für den Benutzer mit der Berechtigung root erneut ein.
d. Drücken Sie die Eingabetaste.
e. Akzeptieren Sie die Standard-ID des Benutzers ohne Rootberechtigung
oder geben Sie einen neuen Namen an. Beispiel: virtuser
f. Drücken Sie die Eingabetaste.
g. Geben Sie für die Berechtigungsnachweise des Benutzers ohne Rootberechtigung ein neues Kennwort ein.
h. Drücken Sie die Eingabetaste.
i. Geben Sie das Kennwort des Benutzers ohne Rootberechtigung erneut ein.
Anmerkung: Sie müssen die Berechtigungsnachweise des Benutzers ohne
Rootberechtigung für die Anmeldung beim Gastbetriebssystem angeben,
wenn der Aktivierungsprozess abgeschlossen ist.
j. Drücken Sie die Eingabetaste.
8. Konfigurieren Sie die Einstellungen für Systemzeit und Zeitzone des Hosts.
Sie können die folgenden Schritte ausführen:
v Drücken Sie die Eingabetaste, um eine Region auszuwählen.
v Drücken Sie die Tabulatortaste, um den Fokus zwischen den einzelnen
Fenstern der Seite weiter zu bewegen.
v Setzen Sie die Uhrzeit manuell oder definieren Sie die Systemzeit so, dass
sie mit der eines NTP-Servers (Network Time Protocol) synchronisiert wird.
Die Einstellungen für Region und Systemzeit werden gespeichert.
9. Wählen Sie den Lizenztyp des IBM Security Access Manager for Enterprise
Single Sign-On-Servers aus und drücken Sie dann die Eingabetaste.
v Drücken Sie zum Auswählen von IBM Security Access Manager for Enterprise Single Sign-On Standard die Taste 1.
Kapitel 1. IMS Server installieren
55
Dieses Paket bietet strikte Authentifizierung, Sitzungsmanagement, zentrale
Protokollierung und Berichterstellung sowie einmalige Anmeldung.
v Drücken Sie zum Auswählen von IBM Security Access Manager for Enterprise Single Sign-On Suite die Taste 2.
Neben den Funktionen des Pakets "Standard" bietet dieses Paket OTP-Unterstützung, AccessAgent-Plug-ins, einmalige Anmeldung im Web, Fernzugriff über Web Workplace, angepasste Überwachungsfunktionen sowie
IAM-Integration.
10. Lesen Sie die Lizenzvereinbarung für IMS Server und drücken Sie zum Akzeptieren die Eingabetaste.
11. Optional: Installieren Sie die Komponente Tivoli Common Reporting.
a. Wählen Sie im Menü Install Tivoli Common Reporting for IMS die Option Install TCR aus.
b. Klicken Sie auf Next.
c. Klicken Sie auf Yes, um den Vorgang zu bestätigen.
d. Akzeptieren Sie die Tivoli Common Reporting-Lizenz, um die Installation
der Komponente Tivoli Common Reporting auszuführen. Der Serveraktivierungsprozess wird nun gestartet.
Anmerkung: Die Installation von Tivoli Common Reporting kann bis zu
einer Stunde dauern.
Nach dem Abschluss des Aktivierungsprozesses wird die Anmeldeanzeige
aufgerufen.
12. Melden Sie sich in der Anmeldeanzeige für das Gastbetriebssystem mit den
Berechtigungsnachweisen für
<id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> an. Beispiel: virtuser.
a. Geben Sie Berechtigungsnachweise für
<id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> ein.
b. Geben Sie das Kennwort für
<id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit> an.
13. Stellen Sie sicher, dass die Netzverbindung zu den fernen Servern von der virtuellen Einheit aus aufgelöst werden kann. Testen Sie folgende Verbindungen:
v Datenbankserver
v Verzeichnisserver
14. Starten Sie den IMS-Konfigurationsassistenten von IBM Security Access Manager for Enterprise Single Sign-On.
a. Wählen Sie auf dem Desktop des Gastbetriebssystems die Verknüpfung
ISAM ESSO IMS Server-Konfiguration aus.
b. Drücken Sie die Eingabetaste.
c. Klicken Sie in der Eingabeaufforderung mit der Sicherheitswarnung auf
Ich kenne die Risiken.
d. Klicken Sie auf Ausnahmebedingung hinzufügen.
e. Klicken Sie auf Sicherheitsausnahmebedingung bestätigen.
15. Wenn die Datenbank automatisch erstellt werden soll, wählen Sie das Kontrollkästchen IMS Server-Datenbankschema erstellen aus.
16. Klicken Sie auf Weiter.
17. Wenn Sie das IMS Server-Schema automatisch erstellen, müssen Sie den Datenbanktyp auswählen, für das es erstellt werden soll. Beispiel: DB2.
18. Geben Sie die entsprechenden Optionen für Ihre Umgebung an.
56
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Für Microsoft SQL Server
a. Wählen Sie auf der Seite Neue Datenbank erstellen das Kontrollkästchen Neue Datenbank erstellen aus.
b. Klicken Sie auf Weiter.
Für DB2 und Oracle
Stellen Sie vor Beginn dieser Schritte sicher, dass Sie die IBM Security
Access Manager for Enterprise Single Sign-On-Datenbank manuell auf
dem Datenbankserver erstellt haben.
19. Geben Sie die Datenbankverbindungskonfiguration an.
Hostname
Geben Sie den Computer an, der als Host für die Datenbank dient.
Beispiel: ibm-db.example.com.
Port
Der Standardport für jeden Datenbanktyp wurde bereits angegeben.
Wenn Sie jedoch mit angepassten Portnummern für per Hosting bereitgestellte Datenbankservices arbeiten, müssen Sie die Portnummer
angeben.
Datenbankname
Geben Sie den Datenbanknamen an. Beispiel: imsdb.
Benutzername
Geben Sie einen Datenbankbenutzernamen mit Administratorberechtigungen für die Erstellung und Konfiguration der Datenbank an. Beispiel: db2admin.
Benutzerkennwort
Geben Sie das Kennwort für den Datenbankbenutzernamen an.
20. Klicken Sie auf Weiter.
21. Wenn die Seite IMS Server-URL eingeben angezeigt wird, müssen Sie die
Ziel-URL angeben. Client-Computer mit AccessAgent verwenden die Ziel-URL
zum Herstellen einer Verbindung zu IMS Server.
v Bei einer Einzelserverinstallation ist der Hostname der virtuellen Einheit bereits vorab angegeben. Beispiel: ibm1.example.com
v Wenn Sie ein Programm für den Lastausgleich verwenden, müssen Sie dessen vollständig qualifizierten Domänennamen angeben.
22.
23.
24.
25.
Klicken Sie auf Weiter.
Konfigurieren Sie das Unternehmensverzeichnis.
Prüfen Sie die anzuwendenden Einstellungen.
Klicken Sie auf Speichern, um die Konfiguration von IMS Server und der Datenbank zu starten.
Anmerkung: Wenn Tivoli Common Reporting installiert ist, wird nach der
Anzeige der Seite IMS konfiguriert die Konfiguration von Tivoli Common
Reporting gestartet.
26. Starten Sie WebSphere Application Server nach dem Ausführen der Konfiguration erneut. Sie können die Befehlsverknüpfungen auf dem Desktop für den
Neustart von WebSphere Application Server verwenden.
Ergebnisse
Sie haben die Aktivierung der virtuellen Einheit und den Konfigurationsprozess
für IMS Server ausgeführt. Der IBM Security Access Manager for Enterprise Single
Sign-On-Server ist nun aktiviert, konfiguriert und einsatzbereit.
Kapitel 1. IMS Server installieren
57
Nächste Schritte
Klicken Sie auf die Verknüpfung für die WebSphere-Administrationskonsole auf
dem Desktop, um diese zu öffnen. Melden Sie sich mit dem Namen und dem
Kennwort des Benutzers ohne Rootberechtigung an. Informationen enthalten die
folgenden Tasks:
v „IMS Server-Administrator einrichten” auf Seite 82
v „Konfiguration von IMS Server prüfen” auf Seite 84
Virtuelle Einheit für Hochverfügbarkeit replizieren
Sie können mehrere Replikate einer virtuellen Einheit einrichten, um eine Hochverfügbarkeitsimplementierung von virtuellen Einheiten zu erreichen.
Vorbereitende Schritte
v Sie müssen über mindestens zwei virtuelle Einheiten verfügen. Beispiel: VA_1
und VA_2.
Dabei gilt Folgendes:
VA_1
Gibt einen Quellenhost mit einer aktivierten und konfigurierten Instanz
der virtuellen Einheit (Virtual Appliance, VA) von IMS Server an.
VA_2
Gibt das Zielreplikat mit einer aktivierten Instanz der virtuellen Einheit
von IMS Server an.
v Stellen Sie sicher, dass alle fernen Server in Ihrer Implementierung, wie Verzeichnis- oder Datenbankserver, entweder über DNS oder über die Datei "hosts" aufgelöst werden können.
Informationen zu diesem Vorgang
Sie können Hochverfügbarkeit erreichen, indem Sie mit dem Tool für den Export und
Import von Konfigurationen mindestens zwei Replikate der virtuellen Einheit einrichten. Bei Verwendung der virtuellen Einheit von IMS Server in einer replizierten
Konfiguration müssen Sie alle IMS Server-Konfigurationsänderungen manuell auf
den Servern synchronisieren.
Vornehmen folgender Änderungen zwischen VA_1 und VA_2:
Folgende Tasks müssen dann ausgeführt
werden:
v IMS Server-Konfigurationsänderungen:
1. Exportieren Sie die IMS Server-Konfiguration aus VA_1.
2. Importieren Sie die geänderte IMS Server-Konfiguration wieder in VA_2.
Unter anderem gibt es folgende IMS Server-Konfigurationsänderungen:
v JDBC-Einstellungen.
v IMS Server-Zertifikat. Beispiel: IMS Server-Schlüssel, Zertifikate und der Schlüssel der WebSphere Application Server-Stammzertifizierungsstelle.
v IBM HTTP Server-Zertifikate.
v Konfigurationsdateien im Konfigurationsrepository: <profilstammverzeichnis>/
config/tamesso.
v SOAP-Service-URL von IMS Server.
v Konfigurationen des Virtual Member Manager-Unternehmensverzeichnisses.
58
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Die folgenden Elemente werden nicht vom Tool für den Export und Import von
Konfigurationen von IMS Server exportiert:
v Manuelle Konfigurationsänderungen am Profil: Dies betrifft z. B. Änderungen an
Werten für die Größe des Heapspeichers und an Werten, mit denen das Sitzungsmanagement außer Kraft gesetzt wird.
Mit dem Tool für den Export und Import von Konfigurationen können Sie eine bestehende, funktionierende IMS Server-Konfiguration sichern. Verwenden Sie die gesicherte Konfiguration für weitere IMS Server-Replikate, die Sie implementieren wollen.
Beachten Sie die folgenden Hinweise:
v Vom Tool für den Export und Import von Konfigurationen werden keine Tivoli Common Reporting-Konfigurationen importiert. Wenn Sie die Tivoli Common Reporting-Konfiguration von VA_1 auf VA_2 replizieren wollen, müssen Sie Tivoli
Common Reporting manuell in VA_2 installieren und konfigurieren.
v Das Tool für den Export and Import von Konfigurationen exportiert nur IMS ServerKonfigurationen. WebSphere Application Server-spezifische Konfigurationsänderungen werden nicht importiert oder exportiert.
Die folgenden Schritte beschreiben die Tasks für die Einrichtung einer Hochverfügbarkeitsimplementierung von virtuellen Einheiten. Wiederholen Sie diese Schritte je
nach der Anzahl der Replikate der virtuellen Einheit, die Sie einrichten wollen.
Detaillierte Prozeduren zum Exportieren und Importieren der IMS Server-Konfiguration können Sie dem Dokument IBM Security Access Manager for Enterprise Single
Sign-On Configuration Guide entnehmen.
Vorgehensweise
1. Implementieren Sie die virtuelle Einheit VA_1.
2. Aktivieren und konfigurieren Sie die virtuelle Einheit VA_1.
3. Wiederholen Sie die folgenden Schritte für jedes Replikat:
a. Implementieren Sie die virtuelle Einheit VA_2.
b. Aktivieren Sie die virtuelle Einheit VA_2.
c. Melden Sie sich bei VA_2 mit dem Account des Benutzers ohne Rootberechtigung (<id_des_benutzers_ohne_rootberechtigung_der_virtuellen_einheit>) an. Beispiel: virtuser.
d. Melden Sie sich von VA_2 aus beim IMS-Konfigurationsdienstprogramm
von VA_1 an. Beispiel: https://VA_1:9043/webconf
e. Exportieren Sie die IMS Server-Konfiguration.
f. Melden Sie sich von VA_2 aus beim IMS-Konfigurationsdienstprogramm von
VA_2 an. Beispiel: https://VA_2:9043/webconf.
g. Importieren Sie die IMS Server-Konfiguration.
4. Richten Sie das Programm für den Lastausgleich ein.
5. Wenn die IMS Server-Konfiguration geändert wird, exportieren und importieren Sie sie dann erneut.
Kapitel 1. IMS Server installieren
59
Eigenständigen Produktionsserver einrichten
Richten Sie eine eigenständige Produktionsumgebung ein, wenn Sie keine leistungsfähige Clusterumgebung benötigen. Eine eigenständige Produktionsimplementierung wird in der Regel von Sites mit kleinerer bis mittlerer Größe verwendet. Eine eigenständige Serverimplementierung kann für Demonstrations- und
Produktionskonfigurationen implementiert werden.
Host
ISAM ESSO
AccessAgent
Web-Browser
(Client)
Anwendungsschicht, Webschicht
Datenschicht
Anwendungsserver
Web-Server
Plug-in
ISAM ESSO
IMS Server
Anwendungsdaten
ISAM ESSO IMSKonfigurationsdienstprogramm
Abbildung 2. Installation eines eigenständigen Produktionsservers
Weitere Informationen zu Planung und Implementierung beim Einrichten eines eigenständigen Produktionsservers finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
Roadmap
Die folgenden Schritte stellen lediglich ein Beispiel dafür dar, wie Sie eine Middlewareumgebung für Neuinstallationen vorbereiten können. Installieren und bereiten
Sie die folgende Middleware vor, bevor Sie die Installation von IMS Server ausführen:
1.
2.
3.
4.
5.
Bereiten Sie den Datenbankserver vor.
Bereiten Sie WebSphere Application Server vor.
Bereiten Sie IBM HTTP Server vor.
Bereiten Sie den Verzeichnisserver vor.
Optional: Installieren Sie IBM Tivoli Common Reporting oder die Berichtskomponenten von IBM Cognos Business Intelligence.
Sie müssen die folgenden Middlewarekomponenten für die Verwendung mit IBM
Security Access Manager for Enterprise Single Sign-On vorbereiten:
Datenbankserver
Der Datenbankserver dient als Host für SSO-Benutzeridentitäten und -Wallets. Sie können eine neue Instanz eines Datenbankservers installieren oder
eine bestehende Instanz verwenden.
WebSphere Application Server
WebSphere Application Server stellt eine zentrale Anwendungsverwaltungsplattform dar, die die die Funktionalität eines Web-Servers zur Bearbeitung von Webanwendungsanforderungen erweitert. IBM Security Access
Manager for Enterprise Single Sign-On IMS Server ist eine WebSphere-Anwendung. Zur Verwendung eines bestehenden Anwendungsservers müssen Sie diesen manuell installieren und konfigurieren.
IBM HTTP Server
IBM HTTP Server ist ein separater, dedizierter Web-Server, der für die Arbeit mit dem Anwendungsserver konfiguriert ist.
60
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
IBM Tivoli Common Reporting oder Berichtskomponenten von IBM Cognos
Business Intelligence
Installieren Sie IBM Tivoli Common Reporting oder Berichtskomponenten
von IBM Cognos Business Intelligence, falls Sie Berichte von IBM Security
Access Manager for Enterprise Single Sign-On erstellen wollen. Siehe hierzu IBM Security Access Manager for Enterprise Single Sign-On - Administratorhandbuch.
Anmerkung: IBM Tivoli Common Reporting wird derzeit unterstützt, jedoch läuft der Support aus. Verwenden Sie als Best Practice das IBM Cognos-Berichtsframework für die Berichterstellung.
Verzeichnisserver
Ein Verzeichnisserver oder LDAP-Repository authentifiziert Benutzer und
ruft Informationen über Benutzer und Gruppen ab, um sicherheitsrelevante
Funktionen, wie Authentifizierung und Autorisierung, auszuführen. Sie
können eine neue Instanz eines Verzeichnisservers installieren oder eine bestehende Instanz wiederverwenden.
Wenn Sie bereits bestehende Middleware wiederverwenden, die zu einem früheren
Zeitpunkt implementiert wurde, müssen Sie die Mindestmenge an unterstützten
Fixpacks anwenden, bevor Sie den IBM Security Access Manager for Enterprise
Single Sign-On-Server installieren.
Eigenständige Serverprofile erstellen und auswählen
Ein WebSphere Application Server-Profil definiert die Laufzeitumgebung.
Mithilfe von Profilen können Sie unterschiedliche Typen von WebSphere Application Server-Umgebungen auf einem einzigen System definieren, ohne dass Sie dazu
mehrere Exemplare von WebSphere Application Server installieren müssen.
Erstellen Sie für eine eigenständige oder Einzelserverumgebung ein eigenständiges
Anwendungsserverprofil.
Wichtig: Für WebSphere Application Server Version 8.5 darf der Profilverzeichnispfad keine Leerzeichen enthalten.
Die Portnummern und Einstellungen für die einzelnen erstellen Profile werden
stets in der Datei AboutThisProfile.txt gespeichert. Diese Datei befindet sich im
Verzeichnis <was-ausgangsverzeichnis>/profiles/<profilname>/logs. Diese Datei
ist hilfreich, wenn Sie die korrekte Portnummer für ein Profil ermitteln müssen.
Eigenständige Profile
Verwenden Sie für eigenständige oder Einzelserverumgebungen das eigenständige
Anwendungsserverprofil.
Wichtig: Der als WebSphere-Administrator angegebene Name des Benutzers mit
Verwaltungsaufgaben darf auf dem Verzeichnisserver nicht vorhanden sein. Wenn
beispielsweise der WebSphere-Administrator, den Sie angeben, den Namen
wasadmin hat, darf der Benutzer wasadmin nicht im Unternehmensverzeichnis vorhanden sein. Verwenden Sie keinesfalls den Namen „administrator” als WebSphere
Application Server-Administrator. Wählen Sie einen Benutzernamen aus, für den
die Chancen möglichst gering sind, dass er zu Konflikten mit möglichen bestehenden Benutzern des Unternehmensverzeichnisses führt.
Kapitel 1. IMS Server installieren
61
Verwenden Sie zum Erstellen eines Profils die folgende Methode:
v „Eigenständige Profile (Profile Management Tool) erstellen”
Eigenständige Profile (Profile Management Tool) erstellen
Für eine eigenständige oder Einzelserverumgebung können Sie mit dem interaktiven Profile Management Tool ein eigenständiges WebSphere Application ServerProfil erstellen.
Vorbereitende Schritte
v Melden Sie sich als Benutzer mit Administratorberechtigungen beim System an.
v Bereiten Sie WebSphere Application Server vor.
Informationen zu diesem Vorgang
Vollständige Informationen zum Erstellen von Profilen finden Sie in der WebSphere
Application Server-Dokumentation.
Vorgehensweise
1. Öffnen Sie das Profile Management Tool. Beispiel:
WebSphere Application Server Version 7.0
Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server Network Deployment V7.0 > Profile Management
Tool.
WebSphere Application Server Version 8.5
Klicken Sie auf Start > Alle Programme > IBM WebSphere > IBM
Websphere Application Server > Tools > Profile Management Tool.
2. Prüfen Sie auf der Seite Welcome to the Profile Management Tool die Informationen.
3. Klicken Sie auf Launch Profile Management Tool.
4.
5.
6.
7.
Klicken Sie im Fenster Profiles auf Create, um ein Profil zu erstellen.
Klicken Sie auf der Seite Environment Selection auf Application server.
Klicken Sie auf Next.
Wählen Sie im Fenster Profile Creation Options den Profilerstellungsprozess
aus.
Für WebSphere Application Server Version 7.0:
a. Klicken Sie auf Typical profile creation.
b. Klicken Sie auf Next.
c. Geben Sie den Namen des WebSphere-Benutzers mit Administratorberechtigung sowie das zugehörige Kennwort ein.Beispiel:
wasadmin.
Wichtig: Der als WebSphere-Administrator angegebene Name des
Benutzers mit Verwaltungsaufgaben darf auf keinem der Verzeichnisserver vorhanden sein, die Sie konfigurieren wollen. Wenn beispielsweise der WebSphere-Administrator, den Sie angeben, den
Namen wasadmin hat, darf der Benutzer wasadmin nicht in einem
der Unternehmensverzeichnisse vorhanden sein. Verwenden Sie
keinesfalls den Namen „administrator” als WebSphere Application
Server-Administrator. Wählen Sie einen Benutzernamen aus, für
62
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
den die Chancen möglichst gering sind, dass er zu Konflikten mit
möglichen bestehenden Benutzern des Unternehmensverzeichnisses führt.
d. Klicken Sie auf Next.
Für WebSphere Application Server Version 8.5:
a. Klicken Sie auf Advanced profile creation und anschließend auf
Next.
b. Wählen Sie das Kontrollkästchen Deploy the default application
ab und klicken Sie auf Next.
c. Geben Sie im Fenster Profile name and location einen Namen für
das Profil und den Verzeichnispfad für das Profilverzeichnis an.
Wichtig: Der Profilverzeichnispfad darf keine Leerzeichen enthalten.
Beispiel:
v Ungültiger Pfad:c:\Programme (x86)\IBM\WebSphere\AppServer\
AppSrv01
v Gültiger Pfad:c:\was\profiles\AppSrv01
d. Geben Sie den Namen des WebSphere-Benutzers mit Administratorberechtigung sowie das zugehörige Kennwort ein.Beispiel:
wasadmin.
Wichtig: Der als WebSphere-Administrator angegebene Name des
Benutzers mit Verwaltungsaufgaben darf auf keinem der Verzeichnisserver vorhanden sein, die Sie konfigurieren wollen. Wenn beispielsweise der WebSphere-Administrator, den Sie angeben, den
Namen wasadmin hat, darf der Benutzer wasadmin nicht in einem
der Unternehmensverzeichnisse vorhanden sein. Verwenden Sie
keinesfalls den Namen „administrator” als WebSphere Application
Server-Administrator. Wählen Sie einen Benutzernamen aus, für
den die Chancen möglichst gering sind, dass er zu Konflikten mit
möglichen bestehenden Benutzern des Unternehmensverzeichnisses führt.
e. Klicken Sie auf Next.
8. Behalten Sie in den nachfolgenden Fenstern die Standardwerte bei und klicken
Sie so lange auf Next, bis Sie das Fenster Profile Creation Summary erreichen.
Anmerkung: Auf der Seite Profile Creation Summary können Sie die zu verwendenden Werte für Servername, Hostname und Portnummern aufzeichnen. Außerdem wird automatisch ein Windows-Dienst für den Server erstellt.
9. Klicken Sie auf Create, um die Erstellung des Serverprofils zu starten.
10. Stellen Sie nach der Profilerstellung sicher, dass das Kontrollkästchen Launch
the First Steps console ausgewählt ist.
11. Klicken Sie auf Finish, um die Konsole First Steps zu starten.
Tipp: Falls der Assistent nicht automatisch gestartet wird, führen Sie die folgenden Schritte aus, um den Assistenten manuell zu starten:
Für WebSphere Application Server Version 7.0:
Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > First steps.
Kapitel 1. IMS Server installieren
63
Für WebSphere Application Server Version 8.5:
Klicken Sie auf Start > Alle Programme > IBM WebSphere > IBM
WebSphere Application Server > Profiles > <profilname> > First
steps.
12. Klicken Sie auf den Link Installation verification. Beim Prüfen der Installation wird der eigenständige Serverprozess automatisch gestartet. Wenn der Server erfolgreich gestartet wird, steht im unteren Bereich des Fensters "First
steps output" die folgende Beispielausgabe:
ADMU3200I: Server launched. Waiting for initialization status.
ADMU3000I: Server server1 open for e-business; process id is 236
Ergebnisse
Sie haben ein eigenständiges Anwendungsserverprofil erstellt und sichergestellt,
dass es funktioniert. Der eigenständige Server läuft.
Nächste Schritte
Stellen Sie sicher, dass Sie sich bei der Administrationskonsole anmelden können.
Melden Sie sich mit Ihrem WebSphere-Benutzernamen mit Verwaltungsaufgaben
und dem zugehörigen Kennwort an. Beispiel: wasadmin.
Starten Sie die Administrationskonsole mit einer der folgenden Methoden:
v Klicken Sie in der Konsole First Steps auf Administrative console.
v Klicken Sie für WebSphere Application Server Version 7.0 auf Start > Alle Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console.
v Klicken Sie für WebSphere Application Server Version 8.5 auf Start > Alle Programme > IBM WebSphere > IBM WebSphere Application Server > Profiles >
<profilname> > Administrative console.
v Rufen Sie in einem Web-Browser die Adresse https://<was-hostname>:<adminssl-port>/ibm/console auf. Beispiel: https://localhost:9043/ibm/console.
WebSphere Application Server konfigurieren
Sie müssen die eigenständige Umgebung von WebSphere Application Server konfigurieren, bevor Sie IMS Server installieren.
Informationen zu diesem Vorgang
Sie müssen WebSphere Application Server für eine eigenständige Implementierung
konfigurieren, bevor Sie IMS Server installieren. Zur Konfiguration von WebSphere
Application Server gehören das Schützen der Implementierung und die Optimierung der Java Virtual Machine (JVM).
Führen Sie die folgenden Schritte für optionale oder erforderliche Konfigurationen
aus, bevor Sie IMS Server installieren.
1. Schützen Sie die WebSphere Application Server-Implementierung.
v Optional: (Nur für WebSphere Application Server Version 7.0) Erstellen Sie
die Schlüsselgröße der Stammzertifizierungsstelle erneut.
64
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Wenn für Ihre Implementierung eine spezielle Mindestschlüsselgröße oder
hohe Sicherheitsanforderungen nötig sind, können Sie die standardmäßige
Schlüsselgröße der Stammzertifizierungsstelle von 1024 Bit auf 2048 Bit erhöhen.
2. Konfigurieren Sie die Größe des Heapspeichers der JVM.
3. Prüfen Sie die Windows-Dienste für WebSphere Application Server.
Größe des Heapspeichers für den Anwendungsserver konfigurieren
Sie können die minimale und maximale Größe des JVM-Heapspeichers (Java Virtual Machine) in WebSphere Application Server erhöhen. Durch Erhöhen der Größe
des Heapspeichers wird der Start verbessert, werden Fehler aufgrund abnormaler
Speicherbedingungen vermieden und wird die Plattenauslagerung verringert.
Vorbereitende Schritte
Bevor Sie die Größe des Java-Heapspeichers ändern, müssen Sie sicherstellen, dass
der Host über ausreichenden physischen Speicher verfügt, um eine JVM mit 3,0 GB
ohne Auslagern zu unterstützen. Wenn der physische Speicher des Hostsystems
größer als 3 GB ist, können Sie die maximale Größe des Heapspeichers erhöhen.
Wenn aber für die Größe des Heapspeichers ein zu hoher Wert gewählt wird, verfügt das System nicht über ausreichenden physischen Speicher und weist für die
Speicherung der Daten virtuellen Speicher zu.
Informationen zu diesem Vorgang
Passen Sie die Größe des Java-Heapspeichers mit den folgenden Richtlinien an, bevor Sie die IBM Security Access Manager for Enterprise Single Sign-On-Komponente IMS Server installieren. Weitere Informationen finden Sie im Abschnitt Java virtual machine settings heap tuning in der folgenden Dokumentation:
Dokumentation für WebSphere Application Server Version 7.0: http://
pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp.
v Dokumentation für WebSphere Application Server Version 8.5: http://
pic.dhe.ibm.com/infocenter/wasinfo/v8r5/index.jsp.
v
Wenn Sie über mehrere Server verfügen, müssen Sie diese Prozedur für jeden Server im Cluster wiederholen.
Vorgehensweise
1. Melden Sie sich auf dem WebSphere Application Server-Host, auf dem Sie IMS
Server installieren, bei der Administrationskonsole an. Beispiel: https://
localhost:9043/ibm/console/.
2. Navigieren Sie zu den Einstellungen der Java Virtual Machine.
a. Blenden Sie Servers > Server Types ein und wählen Sie WebSphere application servers aus.
b. Klicken Sie auf den Namen des Servers. Beispiel: server1.
c. Klicken Sie unter der Gruppe Server Infrastructure, um Java and Process
Management einzublenden.
d. Klicken Sie auf Process Definition.
e. Klicken Sie unter der Gruppe Additional Properties auf Java Virtual Machine.
3. Verwenden Sie die folgenden Einstellungen (für einen Host mit Einzelserverinstanz und 3 GB):
Kapitel 1. IMS Server installieren
65
v Initial Heap Size: 1024
v Maximum Heap Size: 1280
4. Klicken Sie auf OK.
5. Klicken Sie im Nachrichtenfenster auf Save.
6. Klicken Sie auf OK.
7. Klicken Sie im Nachrichtenfenster auf Save.
8. Starten Sie WebSphere Application Server erneut.
Windows-Dienst für WebSphere Application Server prüfen
Stellen Sie sicher, dass ein Windows-Dienst für WebSphere Application Server erstellt wurde.
Vorgehensweise
1. Öffnen Sie die Windows-Managementkonsole für Dienste.
a. Klicken Sie auf Start > Ausführen.
b. Geben Sie services.msc ein.
2. Stellen Sie sicher, dass der Dienst in der Liste der Dienste enthalten ist: IBM
WebSphere Application Server <version> - <knotenname>.
Beispiel:
v IBM WebSphere Application Server v7.0 - ibm-svr1Node01
v IBM WebSphere Application Server v8.5 - ibm-svr1Node01
Ergebnisse
Sie haben erfolgreich sichergestellt, dass ein Windows-Serverdienst für den WebSphere Application Server-Prozess vorhanden ist.
Stammzertifizierungsstelle für WebSphere Application Server 7.0
erneut erstellen (eigenständig)
Die Stammzertifizierungsstelle für WebSphere Application Server weist eine standardmäßige Schlüsselgröße von 1024 Bit auf. Ändern Sie die Schlüsselgröße der
Stammzertifizierungsstelle in die größere Schlüsselgröße von 2048 Bit, um so eine
höhere Sicherheitsstufe zu bieten. Diese Task ist optional.
Vorbereitende Schritte
v Stellen Sie sicher, dass Ihre Hostnamen ordnungsgemäß aufgelöst werden.
v Stellen Sie sicher, dass WebSphere Application Server gestartet ist.
Informationen zu diesem Vorgang
Diese optionale Task betrifft nur Neuinstallationen von IMS Server. Wenn Sie die
Schlüsselgröße der Stammzertifizierungsstelle in 2048 Bit ändern möchten, führen
Sie die folgenden Schritte aus, bevor Sie den IMS-Konfigurationsassistenten ausführen. Das Zertifikat der Stammzertifizierungsstelle signiert die Standardzertifikate im Schlüsselspeicher. Die Zertifikate schützen die interne Kommunikation von
WebSphere Application Server.
66
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
rootkey.p12
Rootstore
Truststore
Selbst signierte
Stammzertifizierungsstelle
Unterzeichner des
Stammzertifikats
<root>
<root>
trust.p12
Schlüsselspeicher
Verkettetes
persönliches Zertifikat
<standard>
key.p12
Abbildung 3. Stammzertifizierungsstelle und Schlüsselunterzeichner für WebSphere
Application Server im Truststore durch neue Schlüsselgröße ersetzen
Dieser Prozess umfasst die folgenden Schritte:
1. Erstellen Sie eine selbst signierte Stammzertifizierungsstelle mit 2048 Bit im
Rootstore, ersetzen Sie die bereits vorhandene Version und extrahieren Sie sie.
Siehe Schritt 1 bis Schritt 8 auf Seite 68.
2. Erstellen Sie ein verkettetes persönliches Zertifikat mit 2048 Bit im Schlüsselspeicher und ersetzen Sie die bereits vorhandene Version. Siehe Schritt 10 auf
Seite 69.
3. Exportieren Sie das persönliche Zertifikat in den Truststore. Siehe Schritt 11 auf
Seite 70.
4. Verwenden Sie das Dienstprogramm ikeyman zum Hinzufügen der Stammzertifizierungsstelle zum Truststore. Siehe Schritt 12 auf Seite 70.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server
<version> > Profiles > <profilname> > Administrative console aus.
2. Melden Sie sich bei IBM Integrated Solutions Console an.
3. Wählen Sie im Navigationsfenster von Integrated Solutions Console Security
> SSL certificate and key management aus.
4. Klicken Sie in Related items auf Key stores and certificates.
5. Erstellen Sie im Standardrootstore eine temporäre selbst signierte Stammzertifizierungsstelle.
Das temporäre Stammzertifikat dient zum Ersetzen des älteren Zertifikats
(root). Das temporäre Stammzertifikat wird dann durch ein neues 2048-BitStammzertifikat ersetzt.
a. Wählen Sie aus der Liste Keystore usages den Eintrag Root certificates
keystore aus.
b.
c.
d.
e.
Klicken Sie auf NodeDefaultRootStore.
Klicken Sie unter Additional Properties auf Personal certificates.
Klicken Sie auf Create > Self-signed Certificate.
Geben Sie in Alias einen neuen Aliasnamen ein. Beispiel: root2.
Kapitel 1. IMS Server installieren
67
f. Geben Sie in das Feld Common name den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server installiert ist. Beispiel: ibm-svr1.example.com.
g. Klicken Sie auf OK.
h. Klicken Sie auf Save.
6. Ersetzen Sie die alte Stammzertifizierungsstelle durch die neue Stammzertifizierungsstelle: root2. Ersetzen Sie das alte Zertifikat (root) durch das temporäre Zertifikat (root2).
a. Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen für
das ältere Stammzertifikat (root) aus.
b. Klicken Sie auf Replace.
c. Wählen Sie aus der Liste Replace with den Aliasnamen des erstellten Zertifikats aus.
d. Wählen Sie Delete old certificate after replacement aus.
Details zum Ersetzen eines Zertifikats finden Sie in der Produktdokumentation zu WebSphere Application Server:
http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/
index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/
tsec_sslreplaceselfsigncert.html
e. Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt
ist.
f. Klicken Sie auf OK.
g. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden.
7. Erstellen Sie die Stammzertifizierungsstelle mit 2048 Bit. Dieses Stammzertifikat ist das 2048-Bit-Zertifikat, das Sie beibehalten werden.
a. Klicken Sie auf Create > Self-signed Certificate.
b. Geben Sie in Alias den Wert root ein.
Wichtig: Sie müssen als Aliasname für dieses 2048-Bit-Zertifikat den Wert
root angeben.
c. Wählen Sie aus der Liste Key size den Wert 2048 aus.
d. Geben Sie in das Feld Common name den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server
installiert ist. Beispiel: ibm-svr1.example.com.
e. Geben Sie in das Feld Validity period den Gültigkeitszeitraum des Zertifikats ein. Beispiel: Ein Stammzertifikat wird in der Regel 7300 Tage lang
verwendet, also ca. 20 Jahre.
f. Optional: Vervollständigen Sie das Zertifikat durch optionale Identifikationsdetails.
g. Klicken Sie auf OK.
h. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden.
8. Ersetzen Sie das temporäre Stammzertifikat durch das neue 2048-Bit-Stammzertifikat, das Sie beibehalten werden.
a. Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen für
das temporäre Stammzertifikat (root2) aus.
b. Klicken Sie auf Replace.
c. Wählen Sie aus der Liste Replace with das neue 2048-Bit-Zertifikat aus,
das Sie erstellt haben (root).
68
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
d. Wählen Sie Delete old certificate after replacement aus.
e. Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt
ist.
Wichtig: Stellen Sie sicher, dass das Kontrollkästchen Delete old signer
abgewählt ist.
f. Klicken Sie auf OK.
g. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden.
Sie haben das ursprüngliche 1024-Bit-Stammzertifikat erfolgreich durch ein
neues 2048-Bit-Stammzertifikat ersetzt.
9. Extrahieren Sie die neue Stammzertifizierungsstelle in eine Datei.
a. Wählen Sie auf der Seite Personal Certificates den Eintrag Root aus.
b. Klicken Sie auf Extract.
c. Geben Sie in Certificate file name den vollständig qualifizierten Pfad zu
dem zu extrahierenden Zertifikat ein. Beispiel: C:\root2048.cer.
d. Klicken Sie auf OK.
10. Erstellen Sie im Schlüsselspeicher ein verkettetes persönliches Zertifikat.
Wichtig: Stellen Sie vor Beginn der Task sicher, dass Ihre Hostnamen ordnungsgemäß aufgelöst werden.
a. Öffnen Sie auf der Seite Key stores and certificates den Schlüsselspeicher.
b. Klicken Sie auf NodeDefaultKeyStore.
c. Klicken Sie in Additional Properties auf Personal certificates.
d. Klicken Sie auf Create > Chained certificate, um ein persönliches Zertifikat zu erstellen, das das alte persönliche Zertifikat ersetzt.
e. Geben Sie in das Feld Alias einen neuen Aliasnamen ein. Beispiel: default2.
f. Wählen Sie im Feld Root certificate used to sign the certificate den Aliasnamen der neu erstellten Stammzertifizierungsstelle aus.
g. Wählen Sie im Feld Key size den Wert 2048 aus.
h. Geben Sie in das Feld Common name den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server
installiert ist. Beispiel: ibm-svr1.example.com
i. Geben Sie in das Feld Validity period den Gültigkeitszeitraum des Zertifikats ein. Beispiel: 365 Tage.
j. Geben Sie in das Feld Organization den Organisationsteil des definierten
Namens ein.
Anmerkung: Die Angabe des Organisationsteils des definierten Namens ist
wichtig.
k. Geben Sie in das Feld Country or Region den Landesteil des definierten
Namens ein.
Anmerkung: Die Angabe des Landesteils des definierten Namens ist wichtig.
l. Optional: Geben Sie in die übrigen optionalen Felder Informationen ein.
m. Klicken Sie auf OK.
n. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden.
Kapitel 1. IMS Server installieren
69
o. Ersetzen Sie das alte standardmäßige persönliche Zertifikat durch das
neue.
1) Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen
default aus.
2) Klicken Sie auf Replace.
3) Wählen Sie aus der Liste Replace with den Aliasnamen des erstellten
Zertifikats aus. Beispiel: default2.
4) Wählen Sie Delete old certificate after replacement aus.
Wichtig: Stellen Sie sicher, dass das Kontrollkästchen Delete old signers abgewählt ist.
5) Klicken Sie auf OK.
6) Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration
anzuwenden.
Anmerkung: Wenn Sie vom Web-Browser darüber informiert werden,
dass ein Zertifikat widerrufen wurde und ein neues Zertifikat verfügbar ist, klicken Sie zum Fortfahren auf Ja.
11. Exportieren Sie das persönliche Zertifikat in den Schlüsselspeicher: <wasausgangsverzeichnis>\profiles\<profilname>\etc\key.p12.
a. Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen für
das persönliche Zertifikat aus. Beispiel: default2.
b. Klicken Sie auf Export.
c. Geben Sie in Key store password das Kennwort für den Schlüsselspeicher
ein. Beispiel: WebAS.
Anmerkung: Das standardmäßige Kennwort für den Schlüsselspeicher ist
in der Produktdokumentation zu WebSphere Application Server vermerkt.
d. Wählen Sie Key store file aus.
e. Geben Sie in Key store file die Position des Schlüsselspeichers an. Beispiel:
<was-ausgangsverzeichnis>\profiles\<profilname>\etc\key.p12.
f. Stellen Sie in Type sicher, dass der Standardwert PKCS12 ausgewählt ist.
g. Geben Sie in Key file password das Kennwort ein. Beispiel: WebAS.
h. Klicken Sie auf OK.
Sie haben das persönliche Zertifikat und den privaten Schlüssel erfolgreich in
einen Schlüsselspeicher exportiert.
12. Verwenden Sie das IBM Dienstprogramm für das Schlüsselmanagement (ikeyman) zum Hinzufügen der extrahierten Stammzertifizierungsstelle zum Truststore.
a. Starten Sie das Dienstprogramm ikeyman. Suchen Sie das Dienstprogramm
in der Datei <was-ausgangsverzeichnis>\profiles\<profilname>\bin\
ikeyman.bat.
b. Öffnen Sie den Truststore. Klicken Sie auf Key Database File > Open.
Wählen Sie in Key database type den Eintrag PKCS12 aus.
c. Klicken Sie auf Browse, um den Truststore zu suchen. Der Truststore befindet sich in der Datei <was-ausgangsverzeichnis>\profiles\<profilname>\
etc\trust.p12.
d. Geben Sie das Truststore-Kennwort ein. Beispiel: WebAS.
e. Fügen Sie dem Truststore die extrahierte Stammzertifizierungsstelle hinzu.
70
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
1) Wählen Sie im Bereich Key database content die Option Signer Certificates aus.
2) Klicken Sie auf Add.
3) Geben Sie die Position der extrahierten Stammzertifizierungsstelle an.
Beispiel: C:\root2048.cer.
4) Geben Sie eine Bezeichnung für die Stammzertifizierungsstelle im
Truststore an. Beispiel: root2048_signer.
Die Stammzertifizierungsstelle wird dem Truststore hinzugefügt und gespeichert.
13. Stoppen und starten Sie den Server.
Ergebnisse
Sie haben für die Schlüsselgröße der Stammzertifizierungsstelle und der persönlichen Zertifikate erfolgreich ein Upgrade auf 2048 Bit durchgeführt.
Nächste Schritte
Stellen Sie sicher, dass für die Zertifikate ein Upgrade durchgeführt wurde. Wenn
das frühere Administratorkonsolenfenster noch geöffnet ist, schließen Sie den WebBrowser.
1. Öffnen Sie die WebSphere Application Server-Administratorkonsole in einer
neuen Instanz des Web-Browsers.
2. Melden Sie sich mit den Berechtigungsnachweisen des WebSphere-Administrators bei der Administrationskonsole an.
3. Wenn im Web-Browser die Sicherheitseingabeaufforderung angezeigt wird, zeigen Sie die Details des Zertifikats an.
4. Stellen Sie sicher, dass die Schlüsselgröße des erneut ausgegebenen Zertifikats
2048 Bit ist.
Aktualisieren Sie das Arbeitsblatt für die Planung mit den neuen Aliasnamen, die
für die Aliasnamen der Root- und der Standardzertifikate verwendet wurden. Sie
müssen die Aliasnamen zu einem späteren Zeitpunkt angeben, wenn Sie einen
neuen IMS Server im IMS-Konfigurationsassistenten einrichten wollen. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175.
IBM HTTP Server-Plug-in konfigurieren (eigenständig)
Implementieren Sie das IBM HTTP Server-Plug-in und konfigurieren Sie Verbindungsanforderungen zum Weiterleiten von Verbindungen über SSL an WebSphere
Application Server.
Vorbereitende Schritte
v Wenn der Server auf einem Computer ohne frühere Serverversionen neu installiert wird, können Sie für die Ports die Standardwerte verwenden. Prüfen Sie
mithilfe eines Dienstprogramms wie netstat, ob ein Port bereits belegt ist. Beispiel: netstat -na -p tcp -o.
v Wenn andere Anwendungen an Port 80 empfangsbereit sind, müssen Sie diese
beenden, bevor Sie IBM HTTP Server installieren.
v Stellen Sie sicher, dass die folgende Software gestartet ist:
– IBM HTTP Server
– IBM HTTP Server-Verwaltungsserver
Kapitel 1. IMS Server installieren
71
Gilt nur für IBM HTTP Server Version 7.0.
– WebSphere Application Server
v Entnehmen Sie dem Arbeitsblatt für die Planung die Konfigurationseinstellungen. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175.
Informationen zu diesem Vorgang
Die Konfiguration von IBM HTTP Server ist ein aus drei Phasen bestehender Prozess.
1. Vergeben Sie an die IBM HTTP Server-Konfiguration Rechte für die Serverfernverwaltung, um die Web-Server-Verwaltung über die WebSphere-Administrationskonsole zu erleichtern.
2. Schützen Sie die Verbindung zwischen IBM HTTP Server und WebSphere Application Server mit einer vertrauenswürdigen SSL-Verbindung.
3. Zentralisieren Sie die Verbindungspunkte für jeden Web-Server.
Die folgenden Beispielschritte beziehen sich auf IBM HTTP Server Version 7.0. In
der Produktdokumentation zu IBM HTTP Server Version 8.5 finden Sie im Abschnitt zum Implementieren eines Web-Server-Plug-in die Schritte, die sich auf IBM
HTTP Server Version 8.5 beziehen.
Vorgehensweise
1. Definieren Sie die Web-Server-Konfiguration für WebSphere Application Server.
Wenn IBM HTTP Server und WebSphere Application Server auf demselben
Computer installiert sind:
a. Melden Sie sich bei der WebSphere-Administrationskonsole an, z. B.
unter der Adresse https://localhost:9043/ibm/console.
b. Klicken Sie im Navigationsfenster auf Servers > Server types >
Web servers.
c. Klicken Sie auf New.
d. Führen Sie die Anweisungen im Assistenten aus, um eine Definition
des Web-Servers zu erstellen.
Tipp: Weitere Informationen zu den einzelnen Feldern auf der Seite
finden Sie in den zugehörigen Beschreibungen im Fenster Help.
Betrachten Sie die folgenden Hinweise als Richtlinien:
v Geben Sie im Feld Server name den Namen eines Web-ServerEintrags an, der innerhalb des Knotens für den Web-Server eindeutig ist. Beispiel: webserver1.
v
v
v
v
72
Tipp: Der Servername ist nicht der Hostname des Web-Servers.
Geben Sie im Feld Type den Typ des vorbereiteten Web-Servers
an. Beispiel: IBM HTTP Server.
Geben Sie im Feld Host name den Hostnamen des Web-Servers
an.
Geben Sie in Step 3 des Assistenten im Abschnitt Administration
server properties die Benutzerberechtigungsnachweise für die
IBM HTTP Server-Verwaltung an. Beispiel: ihsadmin.
Stellen Sie sicher, dass das Kontrollkästchen Use SSL abgewählt
ist.
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
v Klicken Sie im Fenster Messages auf Save. Der Web-Server-Status
ist gestartet.
Wenn IBM HTTP Server und WebSphere Application Server nicht auf demselben Computer installiert sind, müssen Sie das Konfigurationsscript für
das Web-Server-Plug-in ausführen.
a. Kopieren Sie aus dem Verzeichnis <ihs-ausgangsverzeichnis>\
Plugins\bin auf dem IBM HTTP Server-Host die Datei
configure<web-server-definitionsname>.bat. Beispiel:
configurewebserver1.bat.
b. Fügen Sie auf dem Anwendungsserver die Datei
configure<web-server-definitionsname>.bat in den Ordner
<was-ausgangsverzeichnis>\bin ein. Beispiel: C:\Programme\IBM\
WebSphere\AppServer\bin
c. Führen Sie in einer Eingabeaufforderung auf dem Anwendungsserver den folgenden Befehl aus:
configure<web-server-definitionsname>.bat
-profileName <profilname>
-user <was-admin-name>
-password <was-admin-kennwort>
Beispiel:
configurewebserver1.bat -profileName AppSrv01 -user wasadmin
-password p@ssw0rd
d. Schließen Sie die Eingabeaufforderung, nachdem der Befehl mit folgender Zeile abgeschlossen wurde:
Configuration save is complete.
Sie haben in der WebSphere-Administrationskonsole erfolgreich eine Web-Server-Definition konfiguriert. Beispiel: webserver1.
2. Klicken Sie in der WebSphere-Administrationskonsole auf Servers > Server Types > Web servers. Stellen Sie sicher, dass die Web-Server-Definition angezeigt
wird. Beispiel: webserver1.
3. Vergeben Sie an den WebSphere Application Server-Administrator die Verwaltungsrechte für den fernen Server, indem Sie den IBM HTTP Server-Administratoraccount angeben.
a. Klicken Sie in der Administratorkonsole auf Servers > Server Types > Web
servers.
b. Klicken Sie auf <web-server-name>. Beispiel: webserver1.
c. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Remote Web Server Management.
d. Geben Sie die Benutzer-ID und das Kennwort für die Authentifizierung
beim IBM HTTP Server-Verwaltungsserver an. Beispiel: ihsadmin.
e. Wählen Sie das Kontrollkästchen Use SSL ab.
f. Klicken Sie auf OK.
g. Klicken Sie im Fenster Messages auf Save.
4. (Führen Sie diesen Schritt nur dann aus, wenn IBM HTTP Server und WebSphere Application Server nicht auf demselben Computer installiert sind oder
wenn Sie mit einem Programm für den Lastausgleich arbeiten.) Richten Sie die
SSL-Zertifikate ein, die von der WebSphere Application Server-Zertifizierungsstelle signiert wurden.
Kapitel 1. IMS Server installieren
73
Anmerkung: Das Zertifikat verwendet den IBM HTTP Server-Computernamen
als Angabe für CN (Common Name, allgemeiner Name). Hierdurch wird die
Kommunikation zwischen Client und IBM HTTP Server erleichtert.
a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf
Security > SSL certificate and key management > Key stores and certificates > CMSKeyStore > Personal certificates.
b. Wählen Sie das Standardzertifikat (default) aus.
c. Klicken Sie auf Delete.
d. Klicken Sie auf Create > Chained Certificate.
e. Geben Sie default als Aliasnamen für das Zertifikat an.
f. Geben Sie im Feld Key size die Größe des Zertifikatsschlüssels an. Wenn die
Stammzertifizierungsstelle für WebSphere Application Server ein 2048-BitZertifikat ist, können Sie die Schlüsselgröße 2048 Bit angeben. Standardmäßig wird als Wert 1024 Bit verwendet.
Wichtig: Wählen Sie nicht 2048 Bit aus, wenn Sie die Stammzertifizierungsstelle nicht mit der Schlüsselgröße 2048 Bit erneut erstellt haben.
g. In das Feld Common Name können Sie einen der folgenden Namen eingeben:
Der vollständig qualifizierte Domänenname des Computers, auf dem
IBM HTTP Server installiert ist. Beispiel: webserver1.example.com.
v Der vollständig qualifizierte Hostname des Programms für den Lastausgleich, falls ein solches Programm verwendet wird.
h. Optional: Geben Sie die übrigen optionalen Informationen ein.
i. Klicken Sie auf OK.
v
j. Klicken Sie im Fenster Messages auf Save.
k. Wenn Sie über mehr als einen IBM HTTP Server verfügen, wiederholen Sie
für jeden IBM HTTP Server die Schritte a bis j.
Das neue Zertifikat wird im Abschnitt Personal Certificates angezeigt.
5. Synchronisieren Sie den Schlüsselspeicher von WebSphere Application Server
mit dem Schlüsselspeicher von IBM HTTP Server.
a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf
Servers > Server Types > Web servers.
b. Klicken Sie auf <web-server-name>. Beispiel: webserver1.
c. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties.
d. Klicken Sie auf Copy to Web Server key store directory.
e. Klicken Sie auf OK.
f. Klicken Sie im Fenster Messages auf Save.
Ergebnisse
Sie haben in der WebSphere Application Server-Konfiguration einen Web-Server
definiert. Der Web-Server leitet Anforderungen, die von Client-Workstations empfangen werden, an den Anwendungsserver weiter.
SSL-Direktiven in IBM HTTP Server aktivieren
Sie müssen die SSL-Direktiven aktivieren, um die Verschlüsselung des Datenverkehrs von und zu IBM HTTP Server über SSL zu ermöglichen.
74
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Informationen zu diesem Vorgang
Standardmäßig ist die SSL-Kommunikation in IBM HTTP Server inaktiviert. Zur
Aktivierung von SSL müssen Sie der Datei httpd.conf die SSL-Apache-Direktive
hinzufügen.
Führen Sie diese Prozedur für jeden Web-Server aus.
Vorgehensweise
1. Klicken Sie in IBM Integrated Solutions Console auf Servers > Server Types >
Web servers.
2. Klicken Sie auf <web-server-name>. Beispiel: webserver1
3. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Configuration File.
Wenn die Konfigurationsdatei nicht geöffnet werden kann, finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide weitere Informationen.
4. Fügen Sie die folgenden Zeilen am Ende der Konfigurationsdatei hinzu:
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Listen 0.0.0.0:443
## IPv6 support:
#Listen [::]:443
<VirtualHost *:443>
SSLEnable
SSLProtocolDisable SSLv2
SSLServerCert default
</VirtualHost>
KeyFile "<ihs-ausgangsverzeichnis>\Plugins\config\<web-server-definition>\
plugin-key.kdb"
SSLDisable
Dabei gilt Folgendes:
default
Gibt den Aliasnamen des standardmäßigen SSL-Zertifikats an.
Tipp: Führen Sie zum Ermitteln des Aliasnamens des standardmäßigen
SSL-Zertifikats die folgenden Schritte aus:
a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Security > SSL certificate and key management.
b. Klicken Sie unter Related Items auf Key stores and certificates.
c. Klicken Sie auf CMSKeyStore.
d. Klicken Sie unter Additional Properties auf Personal certificates.
<ihs-ausgangsverzeichnis>\Plugins\config\<web-server-definition>\
plugin-key.kdb
Gibt den Pfad zur Schlüsselspeicherdatei des Plug-ins (plugin-key.kdb)
an.
Beispiel: C:\Programme\IBM\HTTPServer\Plugins\config\webserver1\
plugin-key.kdb.
5.
6.
7.
8.
9.
Klicken Sie auf Apply.
Klicken Sie auf OK.
Wählen Sie General Properties > Apply aus.
Klicken Sie im Fenster Messages auf Save.
Starten Sie IBM HTTP Server erneut.
Kapitel 1. IMS Server installieren
75
a. Klicken Sie in IBM Integrated Solutions Console auf Servers > Server Types > Web servers.
b. Wählen Sie das Kontrollkästchen des entsprechenden Web-Servers aus. Beispiel: webserver1.
c. Klicken Sie auf Stop.
d. Wählen Sie das Kontrollkästchen des Web-Servers erneut aus.
e. Klicken Sie auf Start.
10. Stellen Sie sicher, dass die SSL-Direktiven korrekt aktiviert wurden. Geben Sie
die folgende HTTPS-Adresse in einem Web-Browser ein. Beispiel:
v https://<ihs-host>
Beispiel: https://mywebsvr.example.com.
Unter Umständen wird eine Sicherheitseingabeaufforderung des Web-Browsers angezeigt, weil Sie über das sichere HTTPS-Protokoll auf eine Seite zugreifen. Führen Sie die Anweisungen im Dialogfenster aus, um das Sicherheitszertifikat zu akzeptieren und die Seite anzuzeigen.
v http://<ihs-host>
Beispiel: http://mywebsvr.example.com.
Sie können auch sicherstellen, dass noch immer auf Seiten zugegriffen werden kann, für die nicht das HTTPS-Protokoll genutzt wird.
Tipp: Wenn die Prüfung fehlschlägt, müssen Sie feststellen, ob die in Schritt 4
auf Seite 75 angegebenen angepassten Variablen korrekt hinzugefügt und ersetzt wurden. Weitere Tipps zur Fehlerbehebung sind im Dokument IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support
Guide enthalten.
Ergebnisse
Sie haben SSL in IBM HTTP Server aktiviert. Darüber hinaus haben Sie Seiten über
das sichere HTTPS-Protokoll geprüft.
Schlüsselgröße für das SSL-Zertifikat für IBM HTTP Server erhöhen
Sie können das SSL-Zertifikat erneut erstellen, um die Schlüsselgröße für das SSLZertifikat für IBM HTTP Server von 1024 Bit auf 2048 Bit zu erhöhen. Diese Task
ist optional.
Vorbereitende Schritte
Stellen Sie sicher, dass für die Stammzertifizierungsstelle von WebSphere Application Server bereits ein Upgrade auf 2048 Bit durchgeführt wurde. Siehe dazu eines
der folgenden Themen:
v Für WebSphere Application Server in einer eigenständigen Implementierung siehe „Stammzertifizierungsstelle für WebSphere Application Server 7.0 erneut erstellen (eigenständig)” auf Seite 66.
v Für WebSphere Application Server in einem Cluster siehe „Stammzertifizierungsstelle für WebSphere Application Server 7.0 vor dem Erstellen von Memberknoten erneut auf dem Deployment Manager erstellen” auf Seite 93.
76
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Informationen zu diesem Vorgang
Diese Task ist optional und betrifft nur Neuinstallationen von IMS Server. Wenn
Sie für das standardmäßige SSL-Zertifikat für IBM HTTP Server ein Upgrade auf
2048 Bit durchführen müssen, führen Sie diese Task aus, bevor Sie IMS Server installieren.
Wenn Sie mit mehreren Web-Servern arbeiten, führen Sie die folgenden Schritte für
jeden CMSKeyStore-Schlüsselspeicher in der Administrationskonsole aus.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server
<version> > Profiles > <profilname> > Administrative console aus.
2. Melden Sie sich bei IBM Integrated Solutions Console an.
3. Wählen Sie im Navigationsfenster von Integrated Solutions Console Security
> SSL certificate and key management aus.
4. Klicken Sie unter Related items auf Key stores and certificates.
5. Klicken Sie auf CMSKeyStore.
6. Klicken Sie unter Additional Properties auf Personal certificates.
7. Wählen Sie das Standardzertifikat (default) aus.
8. Klicken Sie auf Delete.
9. Klicken Sie auf Create > Chained Certificate.
10. Geben Sie in das Feld Alias einen neuen Aliasnamen ein. Beispiel: default.
11. Wählen Sie aus der Liste Root certificate used to sign the certificate den Aliasnamen der neu erstellten Stammzertifizierungsstelle aus. Beispiel: root
12. Wählen Sie aus der Liste Key size den Wert 2048 aus.
13. Verwenden Sie im Feld Common Name einen der folgenden Einträge:
v Wenn Sie kein Programm für den Lastausgleich verwenden, geben Sie den
vollständig qualifizierten Namen des Hosts an, auf dem IBM HTTP Server
installiert ist. Beispiel: httpsvr1.example.com.
v Wenn Sie ein Programm für den Lastausgleich verwenden, müssen Sie dessen vollständig qualifizierten Namen angeben.
Anmerkung: Sie müssen für das Feld Common Name einen Wert angeben.
14. Geben Sie in das Feld Validity period den Gültigkeitszeitraum des Zertifikats
ein. Beispiel: 365 Tage.
15. Optional: Geben Sie in den folgenden Feldern Informationen ein:
v Organization
v Organization Unit
v Locality
v State/Province
v Zip Code
v Country or Region
16. Klicken Sie auf OK.
17. Klicken Sie im Fenster Messages auf Save.
18. Synchronisieren Sie den Schlüsselspeicher von WebSphere Application Server
mit dem Schlüsselspeicher von IBM HTTP Server.
a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console
auf Servers > Server Types > Web servers.
Kapitel 1. IMS Server installieren
77
b. Klicken Sie auf <web-server-name>. Beispiel: webserver1.
c. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties.
d. Klicken Sie auf Copy to Web Server key store directory.
e. Klicken Sie auf OK.
f. Klicken Sie im Fenster Messages auf Save.
19. Resynchronisieren Sie die Knoten.
a. Klicken Sie auf System administration > Nodes.
b. Wählen Sie das Kontrollkästchen für jeden entsprechenden Knoten aus.
c. Klicken Sie auf Full Resynchronize.
20. Starten Sie IBM HTTP Server erneut.
IMS Server für eine eigenständige Implementierung konfigurieren
Sie können IMS Server mithilfe des Installationsprogramms für IMS Server oder
durch manuelles Implementieren der EAR-Dateien von IMS Server in WebSphere
installieren.
1. Lesen Sie die Releaseinformationen.
2. Extrahieren und installieren Sie IMS Server. Wählen Sie dazu eine der folgenden Methoden:
v Installieren Sie IMS Server interaktiv mit dem Installationsprogramm.
v Implementieren Sie IMS Server auf WebSphere Application Server manuell.
3. Prüfen Sie die Implementierung von IMS Server.
4. Richten Sie IMS Server ein und konfigurieren Sie das Programm.
v Richten Sie mithilfe des IMS-Konfigurationsassistenten Datenquelle, Zertifikate, Ziel-URL und Verzeichnisservices ein.
v Richten Sie einen IMS Server-Administrator ein.
Sie können die Berechtigungsnachweise des IMS Server-Administrators für
den Zugriff auf und die Verwaltung von Ressourcen für die einmalige Anmeldung verwenden.
5. Aktualisieren Sie die Anwendungszuordnungen für die Anwendung ISAMESSOIMS.
Durch die Zuordnung wird sichergestellt, dass alle Clientverbindungsanforderungen aus der Webschicht oder vom Front-End des Programms für den Lastausgleich ordnungsgemäß an WebSphere Application Server und an die Anwendung IMS Server weitergeleitet werden.
6. Prüfen Sie die Konfiguration von IMS Server.
IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten konfigurieren (eigenständig)
Konfigurieren Sie IMS Server, um die Installation von IMS Server abzuschließen.
Vorbereitende Schritte
v Wenn Sie WebSphere Application Server Version 8.5 verwenden, konfigurieren
Sie die JavaServer Faces-Implementierung.
v Stellen Sie sicher, dass WebSphere Application Server gestartet ist.
v Stellen Sie sicher, dass die IMS Server-Anwendungen folgenden Status aufweisen:
– ISAMESSOIMSConfig ist gestartet.
78
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
– ISAMESSOIMS ist gestoppt.
v Bereiten Sie den Verzeichnisserver vor.
v Bereiten Sie den Datenbankserver vor.
v Entnehmen Sie dem Arbeitsblatt für die Planung Beispielwerte. Siehe Kapitel 5,
„Arbeitsblatt für die Planung”, auf Seite 175.
Informationen zu diesem Vorgang
Für die Konfiguration von IMS Server bietet der IMS-Konfigurationsassistent Unterstützung beim Ausführen der folgenden Tasks:
1. Einrichten der Datenquellen.
2. Aktualisieren von Zertifikaten.
3. Einrichten der IMS Server-URL.
4. Konfigurieren von IMS Server für Verzeichnisserver.
Anmerkung: Verwenden Sie für WebSphere Application Server Version 7.0 Fixpack
29 oder höher. Für WebSphere Application Server Version 8.5 verwenden Sie Fixpack 2.
Vorgehensweise
1. Öffnen Sie den IMS-Konfigurationsassistenten. Die URL wird in folgendem
Format angegeben: https://<dmgr-hostname>:<admin-ssl-port>/front
Beispiel: https://localhost:9043/front.
2. Wenn Sie im IMS-Konfigurationsassistenten zu einer anderen Sprache wechseln wollen, wählen Sie die gewünschte Sprache im Menü Sprache aus.
3. Wählen Sie auf der Seite Servereinrichtung die Option Neuen IMS Server
einrichten aus.
4. Klicken Sie auf Beginnen.
5. Akzeptieren Sie unter Informationen zur Datenquelle eingeben die Standardwerte oder passen Sie die Felder für die Datenquelle an.
6. Klicken Sie auf Weiter.
7. Zur Verwendung der Standardoption für die Erstellung eines Datenbankschemas über den IMS-Konfigurationsassistenten müssen Sie sicherstellen, dass
das Kontrollkästchen IMS Server-Datenbankschema erstellen ausgewählt ist.
Anmerkung: Alternativ dazu können Sie das Datenbankschema manuell erstellen. Siehe Kapitel 6, „Datenbankschemas erstellen”, auf Seite 187.
8. Klicken Sie auf Weiter.
9. Wählen Sie den Datenbanktyp für IMS Server aus.
Anmerkung: Wenn Sie eine Microsoft SQL Server-Datenbank verwenden, haben Sie folgende Auswahlmöglichkeiten:
v Standardeinstellung: Erstellen Sie eine Datenbank mit dem Konfigurationsassistenten. Wählen Sie Neue Datenbank erstellen aus.
v Verwenden Sie eine bereits vorhandene Datenbank. Wählen Sie das Kontrollkästchen Neue Datenbank erstellen ab. Klicken Sie auf Weiter.
10. Klicken Sie auf Weiter.
11. Geben Sie in Datenbankkonfiguration -<datenbanktyp> die Verbindungsinformationen zum Datenbanktyp an. Führen Sie die Anweisungen im Assistenten aus, um die Details zur Datenbankverbindung anzugeben. Zum ausgeKapitel 1. IMS Server installieren
79
wählten Datenbanktyp kann ein anderer Satz Felder gehören. Eine Anleitung
dazu finden Sie in den Hilfebeschreibungen auf der Seite.
Tipp: Weitere Hilfeinformationen für die einzelnen Elemente können Sie anzeigen, indem Sie den Cursor über die Elemente bewegen.
Die folgenden Felder sind für DB2 spezifisch. Sie können die folgenden Beschreibungen als weitere Hilfestellung verwenden:
Hostname
Geben Sie den Datenbankhostnamen an. Beispiel: mydbsvr.
Port
Die Portnummer für die Datenbankverbindung ist bereits vorab angegeben. Prüfen Sie, ob der Standardportwert korrekt ist.
Beispiel:
v Der Standardwert für DB2 ist 50000.
v Der Standardwert für SQL Server ist 1433.
v Der Standardwert für Oracle ist 1521.
Anmerkung: Informationen zum Ermitteln der korrekten Portnummernwerte für die Datenbankverbindung des jeweils verwendeten Datenbankserver können Sie der Dokumentation Ihres Datenbankanbieters entnehmen.
Datenbankname
Geben Sie den Namen der Datenbank an. Beispiel: imsdb.
Benutzername
Geben Sie den vorbereiteten Datenbankbenutzer an. Beispiel: db2admin.
Benutzerkennwort
Geben Sie das Kennwort für den Datenbankbenutzer an.
12. Klicken Sie auf Weiter.
13. Prüfen Sie in Details zur Stammzertifizierungsstelle (Root CA) eingeben die
Standardwerte.
Prüfen Sie den Schlüsselspeichernamen, das Schlüsselspeicherkennwort und
den Zertifikatsaliasnamen der Root- bzw. Stammzertifizierungsstelle, die zum
Signieren der Zertifizierungszwischenstelle von IMS Server verwendet wird.
Wichtig: Wenn Sie die Schlüsselgröße für die Stammzertifizierungsstelle erneut erstellt oder dafür ein Upgrade durchgeführt haben, kann dies zu einer
Änderung des Aliasnamens der Stammzertifizierungsstelle führen. Stellen Sie
sicher, dass Sie den korrekten Aliasnamen angeben. Die folgenden Beschreibungen enthalten weitere Informationen dazu:
Tipp: Verwenden Sie das Arbeitsblatt für die Planung, um die verwendeten
angepassten Werte zu prüfen. Siehe Kapitel 5, „Arbeitsblatt für die Planung”,
auf Seite 175.
Schlüsselspeichername
Gibt den Namen des Rootschlüsselspeichers an. Der Rootschlüsselspeicher ist eine Schlüsseldatenbank, die sowohl öffentliche als auch private Schlüssel für die sichere Kommunikation enthält. In der Regel
können Sie den Standardwert verwenden.
80
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Schlüsselspeichergeltungsbereich
Gibt die Ebene an, auf der der Schlüsselspeicher auf Zellen- oder Knotenebene sichtbar ist. In der Regel können Sie den Standardwert verwenden.
Schlüsselspeicherkennwort
Gibt das Kennwort für den Schlüsselspeicher des Stammzertifikats an.
In der Regel können Sie den Standardwert verwenden.
Aliasname für Stammzertifizierungsstelle
Akzeptieren Sie den Standardwert für den Rootaliasnamen, wenn der
Aliasname der Stammzertifizierungsstelle nicht bereits geändert wurde.
14. Klicken Sie auf Weiter. Die Zertifikatberechtigungsnachweise für den Schlüsselspeicher und den Rootaliasnamen wurden geprüft.
15. Geben Sie in IMS-Service-URL konfigurieren den Namen und die Portnummer von IBM HTTP Server oder des Programms für den Lastausgleich an
oder akzeptieren Sie die Standardwerte.
Anmerkung: Für den Namen von IBM HTTP Server oder des Programms für
den Lastausgleich gilt Folgendes:
v Er ist der vollständig qualifizierte Name von IBM HTTP Server oder des
Programms für den Lastausgleich, der bzw. das eine Schnittstelle zu WebSphere Application Server bildet.
v Er muss mit dem Attribut CN des SSL-Zertifikats übereinstimmen, das von
IBM HTTP Server verwendet wird.
16. Klicken Sie auf Weiter.
17. Konfigurieren Sie IMS Server für die Arbeit mit einem Verzeichnisserver.
Anmerkung:
v Wenn Sie Verzeichnisserver zu einem späteren Zeitpunkt konfigurieren wollen, müssen Sie die Einrichtung der Verzeichnisserver vor Verwendung des
IMS-Konfigurationsdienstprogramms ausführen.
18.
19.
20.
21.
v Wenn Sie einen Verzeichnisserver verwenden wollen, müssen Sie IMS Server für die Arbeit mit einem Verzeichnisserver konfigurieren, bevor Sie einen Administratoraccount für IMS Server einrichten.
Klicken Sie auf Weiter.
Überprüfen Sie die Einstellungen.
Klicken Sie auf Speichern.
Führen Sie zum Abschließen der Konfiguration von IMS Server eine der folgenden Optionen aus:
Option
Bezeichnung
Wenn Unternehmensverzeichnisse konfigu- (Netzimplementierung) Starten Sie den
riert wurden:
Deployment Manager-Knoten erneut.
(Eigenständige Implementierung) Starten Sie
den Anwendungsserver erneut.
Kapitel 1. IMS Server installieren
81
Option
Bezeichnung
Wenn keine Unternehmensverzeichnisse
konfiguriert wurden:
Starten Sie ISAMESSOIMSConfig neu.
(Netzimplementierung) Starten Sie den
Deployment Manager-Knoten erneut.
(Eigenständige Implementierung) Starten Sie
den Anwendungsserver erneut.
Ergebnisse
Sie haben IMS Server erfolgreich eingerichtet.
Nächste Schritte
Wenn Sie das Unternehmensverzeichnis konfiguriert haben, können Sie den Administratoraccount für IMS Server einrichten.
Wenn Sie das Unternehmensverzeichnis noch nicht konfiguriert haben, tun Sie dies
über das IMS-Konfigurationsdienstprogramm. Informationen hierzu finden Sie im
Abschnitt zum Konfigurieren von IMS Server zur Verwendung des Verzeichnisservers in der Veröffentlichung IBM Security Access Manager for Enterprise Single SignOn Configuration Guide.
IMS Server-Administrator einrichten
Für Neuinstallationen können Sie einen Administratoraccount für IMS Server einrichten.
Vorbereitende Schritte
v Stellen Sie sicher, dass der Deployment Manager gestartet ist.
v Stellen Sie sicher, dass ISAMESSOIMSConfig gestartet ist.
v Stellen Sie sicher, dass der Cluster gestoppt ist.
v Bereiten Sie den Verzeichnisserver vor.
– Wenn für Ihre Implementierung ein Verzeichnisserver mit IMS Server erforderlich ist, müssen Sie diesen Verzeichnisserver zunächst konfigurieren. Siehe
IMS Server für Verzeichnisserver konfigurieren.
– Stellen Sie sicher, dass die Benutzernamen für den IMS Server-Administrator
oder den WebSphere-Administrator eindeutig und nicht bereits auf dem Verzeichnisserver vorhanden sind, auf dem Sie den Account einrichten.
– Erstellen Sie auf dem Active Directory- oder LDAP-Server einen IMS ServerAdministratoraccount. Beispiel: imsadmin.
– Starten Sie den Verzeichnisserver und stellen Sie sicher, dass er verfügbar ist.
Informationen zu diesem Vorgang
Hinweise für die Einrichtung eines Administrators:
Wenn keine Unternehmensverzeichnisse konfiguriert sind
Der eingerichtete IMS Server-Administratoraccount wird in der IMS ServerDatenbank erstellt und gespeichert. Wenn Sie sich mit den Berechtigungsnachweisen des IMS Server-Administrators anmelden, werden diese anhand der IMS Server-Datenbank authentifiziert. Dieser Account in der
Datenbank wird auch als Basis-Connector-Benutzeraccount bezeichnet.
82
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Wenn Unternehmensverzeichnisse konfiguriert sind
Der eingerichtete IMS Server-Administratoraccount wird mit einem ähnlichen Account im Unternehmensverzeichnis synchronisiert und authentifiziert.
Vorgehensweise
1. Starten Sie in einem Browser das IMS-Konfigurationsdienstprogramm. Beispiel:
Geben Sie https://localhost:9043/webconf ein.
2. Melden Sie sich mit den Berechtigungsnachweisen des WebSphere-Administrators an.
3. Klicken Sie im Bereich "Konfigurationsassistenten" auf IMS-Administrator
einrichten.
4. Geben Sie die Berechtigungsnachweise eines gültigen Benutzers für den einzurichtenden IMS Server-Administrator ein. Beispiel: imsadmin.
Wenn Sie mit einem Verzeichnisserver arbeiten, geben Sie die Berechtigungsnachweise für einen gültigen Benutzer des Unternehmensverzeichnisses ein.
Wenn Sie keinen bestimmten IMS Server-Administrator erstellt haben, können
Sie einen bestehenden Benutzer auf dem Verzeichnisserver angeben.
Anmerkung: Wenn mehrere Unternehmensverzeichnisse vorhanden sind,
müssen Sie die Domäne auswählen, in der der Benutzer vorhanden ist.
Ergebnisse
Sie haben einen IMS Server-Administratoraccount eingerichtet.
Nächste Schritte
Fahren Sie mit weiteren Konfigurationsschritten nach der Installation von IMS Server fort. Aktualisieren Sie die Anwendungszuordnungen für die Anwendung
ISAMESSOIMS.
Modulzuordnung für ISAMESSOIMS für die Weiterleitung von
Verbindungsanforderungen aktualisieren
Aktualisieren Sie die Anwendungszuordnungen für ISAMESSOIMS zu den Hosts der
Web- und der Anwendungsschicht mit den neuen IMS Server-Anwendungszuordnungen.
Vorbereitende Schritte
Stellen Sie sicher, dass die folgenden Komponenten und Anwendungen gestartet
sind:
v ISAMESSOIMSConfig
v IBM HTTP Server-Verwaltungsserver
v WebSphere Application Server (eigenständig) oder Deployment Manager (Netzimplementierung)
v (Netzimplementierung) Knotenagenten
Stellen Sie sicher, dass die folgenden Komponenten und Anwendungen gestoppt
sind:
v ISAMESSOIMS
v IBM HTTP Server
v Cluster
Kapitel 1. IMS Server installieren
83
Informationen zu diesem Vorgang
Sie müssen die Anwendung ISAMESSOIMS den Hosts der Web- und der Anwendungsschicht zuordnen, nachdem Sie IMS Server mit dem Installationsprogramm
von IMS Server installiert haben. Sie müssen die Anwendungszuordnungen für
ISAMESSOIMS manuell aktualisieren, wenn Sie einem Cluster weitere Knoten hinzufügen.
Vorgehensweise
1. Klicken Sie im Navigationsfenster der WebSphere-Administrationskonsole auf
Applications > Application types > WebSphere enterprise applications.
2. Klicken Sie auf ISAMESSOIMS.
3. Klicken Sie unter Modules auf Manage Modules. Die Seite "Manage Modules"
wird angezeigt.
4. Wählen Sie das Kontrollkästchen für alle Module aus.
5. Wählen Sie im Feld Clusters and servers jeden der Ziel-Web-Server, -Cluster
und -Anwendungsserver in Ihrer Implementierung aus.
Tipp: Drücken Sie zum Auswählen mehrerer Server die Umschalttaste und klicken Sie dann, um mehrere Web-Server, Cluster oder Anwendungsserver auszuwählen.
6. Klicken Sie auf Apply.
7. Klicken Sie auf OK.
8. Klicken Sie im Fenster Messages auf Save.
9. Synchronisieren Sie die Knoten vollständig. Siehe „Knoten resynchronisieren”
auf Seite 217.
Ergebnisse
Die Verbindungsanforderungen der IMS Server-Anwendungs-URLs werden nun
ordnungsgemäß von IBM HTTP Server an die Anwendung ISAMESSOIMS weitergeleitet.
Konfiguration von IMS Server prüfen
Stellen Sie sicher, dass die Installation und die Konfiguration von IMS Server funktionieren.
Vorbereitende Schritte
Stellen Sie sicher, dass die folgenden Anwendungen und Komponenten gestartet
sind:
v ISAMESSOIMS
v ISAMESSOIMSConfig
v WebSphere Application Server
v IBM HTTP Server
v Datenbankserver
v Verzeichnisserver
Vorgehensweise
1. Stellen Sie sicher, dass Sie auf AccessAdmin zugreifen können.
a. Rufen Sie in einem Browser die URL für AccessAdmin auf. Beispiel:
v https://<ihs-host>/admin
84
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
v https://<host_des_programms_für_den_lastausgleich>/admin
b. Melden Sie sich mit dem eingerichteten Administratoraccount von IMS Server bei AccessAdmin an. Beispiel: imsadmin.
c. Klicken Sie auf Einrichtungsassistent.
d. Sie können die Anweisungen für die Konfiguration von Authentifizierungsfaktoren zu einem späteren Zeitpunkt lesen. Schließen Sie den Browser. Sie
haben erfolgreich sichergestellt, dass Sie auf AccessAdmin zugreifen können.
2. Stellen Sie sicher, dass Sie auf Web Workplace zugreifen können.
a. Rufen Sie in einem Browser die URL für Web Workplace auf. Beispiel:
v https://<ihs-host>/aawwp?isWwp=true
v https://<host_des_programms_für_den_lastausgleich>/aawwp?isWwp=true
b. Melden Sie sich mit dem eingerichteten Administratoraccount von IMS Server bei Web Workplace an. Beispiel: imsadmin.
3. Stellen Sie sicher, dass Sie auf AccessAssistant zugreifen können.
a. Rufen Sie in einem Browser die URL für AccessAssistant auf. Beispiel:
v https://<ihs-host>/aawwp
v https://<host_des_programms_für_den_lastausgleich>/aawwp
b. Melden Sie sich mit dem eingerichteten Administratoraccount von IMS Server bei AccessAssistant an. Beispiel: imsadmin.
Ergebnisse
Sie haben IMS Server erfolgreich installiert und sichergestellt, dass das Programm
funktioniert. Außerdem haben Sie sichergestellt, dass die URLs für den Zugriff auf
die Verwaltungskomponenten funktionieren.
Nächste Schritte
Informationen zur Erstellung weiterer Serverkonfigurationen für Ihre jeweilige Implementierung, z. B. zum Hinzufügen von Authentifizierungsfaktoren, finden Sie
im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide.
Sie können nun die AccessAgent- oder AccessStudio-Clients auf Client-Workstations installieren.
Tipp: Um Zeit zu sparen und den Zugriff zu vereinfachen, können Sie für die Verwaltungs-URLs in Ihrem Web-Browser Lesezeichen setzen.
Cluster einrichten (Netzimplementierung)
Mithilfe von Clustern können Sie Ihre IBM Security Access Manager for Enterprise
Single Sign-On-Konfiguration skalieren. Cluster ermöglichen die Hochverfügbarkeit
von Unternehmensanwendungen, weil Anforderungen bei Fehlern automatisch an
die aktiven Server weitergeleitet werden. Eine Clusterimplementierung wird in der
Regel in Produktionsumgebungen von Unternehmen verwendet.
Kapitel 1. IMS Server installieren
85
Host A
Anwendungsschicht, Webschicht
Deployment Manager
ISAM ESSO IMSKonfigurationsdienstprogramm
Knotenagent
Web-Server
Plug-in
Clientschicht
Anwendungsserver 1
Verwalteter Knoten
ISAM ESSO
IMS Server
ISAM ESSO
AccessAgent
Programm
für den Lastausgleich
Web-Browser
(Client)
Host B
Zelle
Anwendungsschicht, Webschicht
Datenschicht
Anwendungsdaten
Web-Server
Plug-in
Knotenagent
Anwendungsserver 2
Verwalteter Knoten
ISAM ESSO
IMS Server
Abbildung 4. Beispiel für Hochverfügbarkeit: IBM Security Access Manager for Enterprise Single Sign-On in einem
Netzimplementierungscluster mit zwei Knoten
Weitere Informationen zu Planung und Implementierung beim Einrichten eines
Clusters finden Sie im Dokument IBM Security Access Manager for Enterprise Single
Sign-On Planning and Deployment Guide.
Roadmap
Installieren und bereiten Sie die folgende Middleware vor, bevor Sie die Installation von IMS Server ausführen:
1.
2.
3.
4.
5.
Bereiten Sie den Datenbankserver vor.
Bereiten Sie den Verzeichnisserver vor.
Bereiten Sie WebSphere Application Server vor.
Bereiten Sie IBM HTTP Server vor.
Optional: Installieren Sie IBM Tivoli Common Reporting oder die Berichtskomponenten von IBM Cognos Business Intelligence.
Sie müssen die folgenden Middlewarekomponenten für die Verwendung mit IBM
Security Access Manager for Enterprise Single Sign-On vorbereiten:
Datenbankserver
Der Datenbankserver dient als Host für SSO-Benutzeridentitäten und -Wallets. Sie können eine neue Instanz eines Datenbankservers installieren oder
eine bestehende Instanz wiederverwenden.
WebSphere Application Server
WebSphere Application Server stellt eine zentrale Anwendungsverwaltungsplattform dar, die die die Funktionalität eines Web-Servers zur Bearbeitung von Webanwendungsanforderungen erweitert. IBM Security Access
86
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Manager for Enterprise Single Sign-On IMS Server ist eine WebSphere-Anwendung. Zur Wiederverwendung eines bestehenden Anwendungsservers
müssen Sie diesen manuell installieren und konfigurieren.
IBM HTTP Server
IBM HTTP Server ist ein separater, dedizierter Web-Server, der für die Arbeit mit dem Anwendungsserver konfiguriert ist.
IBM Tivoli Common Reporting oder Berichtskomponenten von IBM Cognos
Business Intelligence
Installieren Sie IBM Tivoli Common Reporting oder Berichtskomponenten
von IBM Cognos Business Intelligence, falls Sie Berichte von IBM Security
Access Manager for Enterprise Single Sign-On erstellen wollen. Siehe hierzu IBM Security Access Manager for Enterprise Single Sign-On - Administratorhandbuch.
Anmerkung: IBM Tivoli Common Reporting wird derzeit unterstützt, jedoch läuft der Support aus. Verwenden Sie als Best Practice das IBM Cognos-Berichtsframework für die Berichterstellung.
Verzeichnisserver
Ein Verzeichnisserver oder LDAP-Repository authentifiziert Benutzer und
ruft Informationen über Benutzer und Gruppen ab, um sicherheitsrelevante
Funktionen, wie Authentifizierung und Autorisierung, auszuführen. Sie
können eine neue Instanz eines Verzeichnisservers installieren oder eine bestehende Instanz wiederverwenden.
Wenn Sie bereits bestehende Middleware wiederverwenden, die zu einem früheren
Zeitpunkt implementiert wurde, müssen Sie die Mindestmenge an unterstützten
Fixpacks anwenden, bevor Sie IMS Server installieren.
Profile für Netzimplementierungen erstellen und auswählen
Ein WebSphere Application Server-Profil definiert die Laufzeitumgebung. Für Anwendungsservingumgebungen mit Hochverfügbarkeit sind mehrere Profile erforderlich, um so die Komplexität des Systems zu verwalten.
Mithilfe von Profilen können Sie unterschiedliche Typen von WebSphere Application Server-Umgebungen auf einem einzigen System definieren, ohne dass Sie dazu
mehrere Kopien von WebSphere Application Server installieren müssen. Zur Erstellung von Profilen für WebSphere Application Server können Sie das grafische Profile Management Tool verwenden.
Für WebSphere Application Server Version 8.5 dürfen in den Ordnernamen für den
Profilverzeichnispfad keine Leerzeichen enthalten sein. Diese Voraussetzung ist für
Deployment Manager, Anwendungsserver und angepasste Knotenprofile gültig.
Führen Sie für eine Netzimplementierungsumgebung die folgenden Schritte aus:
1. Erstellen Sie ein Deployment Manager-Profil, bevor Sie die anderen Profile erstellen.
Anmerkung: Nur wenn für den Implementierungsplan Sicherheitszertifikate
mit höherer Schlüsselgröße erforderlich sind, müssen Sie sicherstellen, dass Sie
das Stammzertifikat vor dem Fortfahren erneut erstellen.
2. Erstellen Sie für jeden verwalteten Knoten ein angepasstes Profil.
Kapitel 1. IMS Server installieren
87
Erstellen Sie für eine Netzimplementierung die folgenden WebSphere Application
Server-Profile.
WebSphere Application Server-Profile
Nutzung
Deployment Manager: Profil management
Erstellen Sie für eine
Netzimplementierungsumgebung zunächst
dieses Profil.
Verwaltete Memberknoten: Profil custom
Erstellen Sie für eine
Netzimplementierungsumgebung angepasste
Knoten. Dann können Sie über die
Administrationskonsole die Anwendung
ISAMESSOIMS in dem Cluster installieren,
der mit den angepassten Knoten erstellt
wurde.
Anmerkung: Wenn der Server auf einem Computer ohne frühere Serverversionen
neu installiert wird, können Sie für die Ports die Standardwerte verwenden. Prüfen
Sie mithilfe eines Dienstprogramms wie netstat, ob ein Port bereits belegt ist. Die
Änderung der Standardports wird in der Regel von einem erfahrenen WebSphere
Application Server-Administrator ausgeführt.
Die Portnummern und Einstellungen für die einzelnen erstellen Profile werden
stets in der Datei AboutThisProfile.txt gespeichert. Diese Datei befindet sich im
Verzeichnis <was-ausgangsverzeichnis>/profiles/<profilname>/logs/. Diese Datei
ist hilfreich, wenn Sie die korrekte Portnummer für ein eigenständiges Profil, ein
angepasstes Knotenprofil oder ein Deployment Manager-Profil ermitteln müssen.
Deployment Manager-Profile
Ein Deployment Manager ist ein Server, über den Operationen für eine logische
Gruppe oder Zelle aus anderen Servern verwaltet werden. In einer Netzimplementierung können Sie eine Gruppe von Servern für Lastausgleich und Failover verwenden. Der Deployment Manager ist die zentrale Position für die Verwaltung der
Server und Cluster in der Zelle.
Bei der Erstellung einer Netzimplementierungsumgebung ist das Deployment Manager-Profil das erste Profil, das Sie erstellen.
Wichtig:
v Stellen Sie sicher, dass der als WebSphere-Administrator angegebene Name des
Benutzers mit Verwaltungsaufgaben nicht auf den Verzeichnisservern vorhanden
ist, die für IMS Server verwendet werden sollen. Wenn beispielsweise der WebSphere-Administrator, den Sie angeben, den Namen wasadmin hat, darf der Benutzer wasadmin nicht im Unternehmensverzeichnis vorhanden sein.
v Verwenden Sie keinesfalls einen gängigen Benutzernamen wie „administrator”
als WebSphere Application Server-Administrator.
v Wählen Sie einen Benutzernamen aus, für den die Chancen möglichst gering
sind, dass er zu Konflikten mit möglichen Benutzern des Unternehmensverzeichnisses führt.
Angepasste Profile
Erstellen Sie für die Konfiguration einer Netzimplementierungsumgebung angepasste Knoten und föderieren Sie diese im Deployment Manager. Zu einem späte-
88
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
ren Zeitpunkt können Sie dann mithilfe der WebSphere Application Server-Administrationskonsole die Anwendung IMS Server auf den verschiedenen
Memberknoten installieren.
Im Unterschied zu eigenständigen Profilen ist ein angepasstes Profil ein leerer Knoten, der nicht den Standardserver enthält, der im eigenständigen Profil enthalten
ist. Nachdem das angepasste Profil im Deployment Manager föderiert wurde, wird
aus dem Knoten ein verwalteter Knoten.
Ein verwalteter Knoten, der einen Knotenagenten enthält, wird von einem Deployment Manager verwaltet.
Netzimplementierungsprofile erstellen (Profile Management Tool)
Verwenden Sie das Profile Management Tool für die Erstellung eines Deployment
Manager-Profils sowie eines angepassten Profils für eine Netzimplementierung.
Vorbereitende Schritte
v Melden Sie sich als Benutzer mit Administratorberechtigungen beim System an.
v Bereiten Sie WebSphere Application Server vor.
v Installieren Sie die WebSphere Application Server-Fixpacks.
v Stellen Sie sicher, dass bidirektionale Hostnamensauflösung zwischen dem Deployment Manager, den Knoten und allen anderen Knoten eingerichtet ist. Sie
können die Einträge einem DNS-Host oder der Datei "hosts" hinzufügen.
Informationen zu diesem Vorgang
Dieses Handbuch enthält Anweisungen zur Vorbereitung von WebSphere Application Server für IMS Server. Ausführliche und aktuelle Installationsanweisungen finden Sie in der Dokumentation für WebSphere Application Server.
Informationen finden Sie in der folgenden WebSphere Application Server-Dokumentation:
v Dokumentation für Version 7.0: http://pic.dhe.ibm.com/infocenter/wasinfo/
v7r0/index.jsp.
v Dokumentation für Version 8.5: http://pic.dhe.ibm.com/infocenter/wasinfo/
v8r5/index.jsp.
Das Profile Management Tool weist Portnummern zu, die Sie während der Konfiguration und Verwaltung von IMS Server verwenden müssen. Diese Informationen
werden in der Datei AboutThisProfile.txt im Verzeichnis <wasausgangsverzeichnis>/profiles/<profilname>/logs aufgezeichnet.
Führen Sie für eine Netzimplementierungsumgebung die folgenden Schritte aus:
v Erstellen Sie ein Deployment Manager-Profil, bevor Sie die anderen Profile erstellen.
v Optional: Führen Sie ein Upgrade für das Deployment Manager-Stammzertifikat
von 1024 Bit auf 2048 Bit durch.
v Erstellen Sie für jeden Knoten, den Sie dem Server-Cluster hinzufügen wollen,
ein angepasstes Profil.
Beim Profilerstellungsprozess werden Standardkopien des WebSphere-Truststores
und -Schlüsselspeichers erstellt. Wenn Sie die Komponente IMS Server installieren,
müssen Sie die Position des WebSphere-Truststores und -Schlüsselspeichers ange-
Kapitel 1. IMS Server installieren
89
ben. Wenn Sie die Standarddateien verwenden, müssen Sie die Dateipfade angeben, die vom Profile Management Tool erstellt werden.
Beispielsweise lautet die Standardposition des Truststores für den Deployment Manager auf einem Host mit dem Namen mySvr1 wie folgt:
<was-ausgangsverzeichnis>/profiles/<dmgr-profilname>/config/cells/mySvr1Node01Cell/trust.p12
Auf demselben Host lautet der Standardschlüsselspeicher wie folgt:
<was-ausgangsverzeichnis>/profiles/<dmgr-profilname>/config/cells/mySvr1Node01Cell/key.p12
Tipp: Informationen zur Ausführung grundlegender Profilmanagementtasks, wie
Löschen und Auflisten von Profilen in WebSphere Application Server, finden Sie
unter „Grundlegende Befehle für die Verwaltung von WebSphere Application
Server-Profilen” auf Seite 220.
Vorgehensweise
1. Öffnen Sie das Profile Management Tool. Beispiel:
WebSphere Application Server Version 7.0
Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server Network Deployment V7.0 > Profile Management Tool.
WebSphere Application Server Version 8.5
Klicken Sie auf Start > Alle Programme > IBM WebSphere > IBM
Websphere Application Server > Tools > Profile Management Tool.
2. Führen Sie folgende Schritte aus, um ein Deployment Manager-Profil zu erstellen:
a. Klicken Sie auf Launch Profile Management Tool.
b. Klicken Sie auf Create.
c. Klicken Sie auf der Seite Environment selection auf Management.
d. Klicken Sie auf Next.
e. Wählen Sie auf der Seite Server Type Selection die Option Deployment
manager aus.
f. Klicken Sie auf Next.
g. Wählen Sie auf der Seite Profile Creation Options die Option Advanced
profile creation aus.
h. Klicken Sie auf Next.
i. Geben Sie auf der Seite Profile name and location einen Namen für das Profil und den Verzeichnispfad für das Profilverzeichnis an.
Wichtig: Für WebSphere Application Server Version 8.5 darf der Profilverzeichnispfad keine Leerzeichen enthalten.
j. Klicken Sie auf Next.
k. Stellen Sie auf der Seite Administrative Security sicher, dass das Kontrollkästchen Enable administrative security ausgewählt ist.
l. Geben Sie einen WebSphere-Benutzernamen und das zugehörige Kennwort
an. Beispiel: wasadmin.
Wichtig: Der als WebSphere-Administrator angegebene Name des Benutzers
mit Verwaltungsaufgaben muss eindeutig sein und darf auf dem Verzeichnisserver nicht vorhanden sein. Wenn beispielsweise der WebSphere-Administrator, den Sie angeben, den Namen wasadmin hat, darf der Benutzer
wasadmin nicht im Unternehmensverzeichnis vorhanden sein.
90
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
m. Klicken Sie auf Next.
n. Prüfen Sie die Einstellungen auf der Seite Profile Creation Summary. Alternativ dazu können Sie die Werte in Kapitel 5, „Arbeitsblatt für die
Planung”, auf Seite 175 aufzeichnen. Beispiel:
v Position (C:\WAS\profiles\Dmgr01)
v Profilname (Standardeinstellung ist Dmgr01)
v Zellenname
v Knotenname
v Hostname
v Port der Administrationskonsole: (Standardeinstellung ist 9060)
v Sicherer Port der Administrationskonsole (Standardeinstellung ist 9043)
v Deployment Manager-Bootstrap-Port (Standardeinstellung ist 9809)
v Deployment Manager-SOAP-Connector-Port (Standardeinstellung ist
8879)
o. Klicken Sie auf Create. Der Erstellungsprozess für das Deployment Manager-Profil wird gestartet.
p. Stellen Sie sicher, dass das Kontrollkästchen Launch the First Steps console
ausgewählt ist.
q. Klicken Sie auf Finish. Das Fenster "WebSphere Application Server - First
Steps" wird angezeigt.
r. Klicken Sie auf den Link Installation verification. Die letzten beiden Zeilen
werden angezeigt. Der Deployment Manager ist gestartet.
IVTL0070I: The Installation Verification Tool verification succeeded.
IVTL0080I: The installation verification is complete.
s. Stellen Sie sicher, dass Sie auf die Administrationskonsole zugreifen können.
Beispiel: Rufen Sie https://localhost:9043/ibm/console auf.
t. Schließen Sie das Ausgabefenster und den Browser.
3. Optional: (Nur für Implementierungen mit der Anforderung, dass ein 2048-BitZertifikat der Stammzertifizierungsstelle verwendet wird) Erstellen Sie die
Stammzertifizierungsstelle im Deployment Manager-Knoten erneut. Siehe
„Stammzertifizierungsstelle für WebSphere Application Server 7.0 vor dem Erstellen von Memberknoten erneut auf dem Deployment Manager erstellen” auf
Seite 93.
Anmerkung: Wenn Sie die Schlüsselgröße der Stammzertifizierungsstelle für
eine Implementierung mit höherem Sicherheitsniveau auf 2048 Bit erhöhen
müssen, erstellen Sie die Stammzertifizierungsstelle im Deployment ManagerKnoten vor dem Föderieren von Knoten erneut.
4. Führen Sie für jeden WebSphere Application Server-Knoten, den Sie in einem
Deployment Manager föderieren wollen, die folgenden Schritte aus:
a. Klicken Sie auf Launch Profile Management Tool. Das Profile Management
Tool wird angezeigt.
b. Klicken Sie auf Create.
c. Klicken Sie auf der Seite Environment selection auf Custom profile.
d. Klicken Sie auf Next.
e. Klicken Sie auf Advanced profile creation.
f. Klicken Sie auf Next.
Kapitel 1. IMS Server installieren
91
g. Geben Sie auf der Seite Profile name and location einen Namen für das
Profil und den Verzeichnispfad für das Profilverzeichnis an.
Wichtig: Für WebSphere Application Server Version 8.5 darf der Profilverzeichnispfad keine Leerzeichen enthalten.
h. Geben Sie auf der Seite Federation die Verbindungswerte für den Deployment Manager-Host an.
Anmerkung: Die Werte für Ihre Umgebung können Sie dem Arbeitsblatt
für die Planung entnehmen.
Hostname oder IP-Adresse des Deployment Manager:
Geben Sie den vollständig qualifizierten Domänennamen des Deployment Manager-Hosts an. Beispiel: appsvr1.example.com.
Tipp: Um sicherzustellen, dass die Föderation erfolgreich verläuft,
müssen Sie sich in einer Standardinstallation vergewissern, dass Sie
den korrekten Deployment Manager-Hostnamen verwenden.
Stellen Sie sicher, dass der Knoten den vollständig qualifizierten Domänennamen des Deployment Manager-Hosts auflösen kann.
SOAP-Portnummer des Deployment Manager (Standardeinstellung 8879)
Akzeptieren Sie den Standardwert oder ändern Sie den Wert in eine
andere Portnummer.
Benutzername
Geben Sie den Namen des Benutzers mit Administratorberechtigung
für den Deployment Manager an. Beispiel: wasadmin.
Kennwort
Geben Sie das Kennwort des Benutzers mit Administratorberechtigung für den Deployment Manager an.
i. Klicken Sie auf Next.
j. Überprüfen Sie die Zusammenfassung für die Profilerstellung. Alternativ
dazu können Sie die Werte im Arbeitsblatt für die Planung aufzeichnen.
v Profilname (Standardeinstellung: Custom01)
v Position (C:\WAS\profiles\Custom01)
k. Klicken Sie auf Create, um die Profilerstellung zu starten.
l. Wählen Sie das Kontrollkästchen Launch the First steps console ab.
m. Klicken Sie auf Finish. Wenn die Föderation fehlschlägt, finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide weitere Informationen.
Ergebnisse
Sie haben für einen WebSphere Application Server-Cluster einen Deployment Manager-Host installiert und angepasste Serverknoten erstellt.
Nächste Schritte
Konfigurieren Sie WebSphere Application Server.
92
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Stammzertifizierungsstelle für WebSphere Application Server 7.0
vor dem Erstellen von Memberknoten erneut auf dem Deployment Manager erstellen
Die Stammzertifizierungsstelle für WebSphere Application Server weist eine standardmäßige Schlüsselgröße von 1024 Bit auf. Ändern Sie die Schlüsselgröße der
Stammzertifizierungsstelle im Deployment Manager-Knoten in 2048 Bit, bevor Sie
föderierte Knoten erstellen. Verwenden Sie die Schlüsselgröße 2048 Bit, um so eine
höhere Sicherheitsstufe zu bieten.
Vorbereitende Schritte
v
v
v
v
Erstellen Sie den Deployment Manager-Knoten.
Stellen Sie sicher, dass der Deployment Manager gestartet ist.
Stellen Sie sicher, dass die Knoten föderiert sind.
Stellen Sie sicher, dass Ihre Hostnamen ordnungsgemäß aufgelöst werden.
Informationen zu diesem Vorgang
Diese Task ist optional. Sie gilt für folgende Fälle:
v Neuinstallationen von IMS Server, bei denen für die standardmäßige Schlüsselgröße des Stammzertifikats von 1024 Bit ein Upgrade auf 2048 Bit durchgeführt
werden muss
v Neuer Cluster, bei dem nur der Deployment Manager-Knoten erstellt wird
Angepasste WebSphere Application Server-Profile oder Memberknoten des Clusters sind noch nicht erstellt oder föderiert.
Bei dieser Methode wird für die Schlüsselgröße der Stammzertifizierungsstelle ein
Upgrade auf ein 2048-Bit-Stammzertifikat (root) durchgeführt, bevor Memberknoten im Cluster erstellt werden.
Führen Sie diese Task aus, um nicht für das Zertifikat jedes Knotens einzeln ein
Upgrade durchführen zu müssen.
Führen Sie nach der Deployment Manager-Erstellung die folgenden Schritte aus.
Das Zertifikat der Stammzertifizierungsstelle signiert die Standardzertifikate im
Schlüsselspeicher. Die Zertifikate schützen die interne Kommunikation von WebSphere Application Server.
Kapitel 1. IMS Server installieren
93
rootkey.p12
Rootstore
Truststore
Selbst signierte
Stammzertifizierungsstelle
Unterzeichner des
Stammzertifikats
<root>
<root>
trust.p12
Schlüsselspeicher
Verkettetes
persönliches Zertifikat
<standard>
key.p12
Abbildung 5. Stammzertifizierungsstelle und Schlüsselunterzeichner für WebSphere
Application Server im Truststore durch neue Schlüsselgröße ersetzen
Dieser Prozess umfasst die folgenden Schritte:
1. Ersetzen Sie das standardmäßige Stammzertifikat (root) mit 1024 Bit durch ein
neues Stammzertifikat mit 2048 Bit und extrahieren Sie dieses dann. Siehe
Schritt 1 bis Schritt 9 auf Seite 96.
2. Erstellen Sie ein verkettetes persönliches 2048-Bit-Zertifikat im Schlüsselspeicher, ersetzen Sie die ältere Version und exportieren Sie das persönliche Zertifikat dann in einen Schlüsselspeicher. Siehe Schritt 10 auf Seite 96 bis Schritt 11
auf Seite 97.
3. Verwenden Sie das Dienstprogramm ikeyman zum Hinzufügen der extrahierten
Stammzertifizierungsstelle zum Truststore. Siehe Schritt 12 auf Seite 97.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server
<version> > Profiles > <dmgr-profilname> > Administrative console aus.
2. Melden Sie sich bei IBM Integrated Solutions Console an.
3. Wählen Sie im Navigationsfenster von Integrated Solutions Console Security
> SSL certificate and key management aus.
4. Klicken Sie in Related items auf Key stores and certificates.
5. Erstellen Sie im Standardrootstore eine temporäre selbst signierte Stammzertifizierungsstelle.
Das temporäre Stammzertifikat dient zum Ersetzen des älteren Zertifikats
(root). Das temporäre Stammzertifikat wird dann durch ein neues 2048-BitStammzertifikat ersetzt.
a. Wählen Sie aus der Liste Keystore usages den Eintrag Root certificates
keystore aus.
b. Klicken Sie auf DmgrDefaultRootStore.
c. Klicken Sie unter Additional Properties auf Personal certificates.
d. Klicken Sie auf Create > Self-signed Certificate.
e. Geben Sie in Alias einen neuen Aliasnamen ein. Beispiel: root2.
f. Geben Sie in das Feld Common name den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server installiert ist. Beispiel: ibm-svr1.example.com.
94
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
g. Klicken Sie auf OK.
h. Klicken Sie auf Save.
6. Ersetzen Sie die alte Stammzertifizierungsstelle durch die neue Stammzertifizierungsstelle: root2. Ersetzen Sie das alte Zertifikat (root) durch das temporäre Zertifikat (root2).
a. Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen für
das ältere Stammzertifikat (root) aus.
b. Klicken Sie auf Replace.
c. Wählen Sie aus der Liste Replace with den Aliasnamen des erstellten Zertifikats aus.
d. Wählen Sie Delete old certificate after replacement aus.
Wichtig: Stellen Sie sicher, dass das Kontrollkästchen Delete old signer
abgewählt ist.
Details zum Ersetzen eines Zertifikats finden Sie in der Produktdokumentation zu WebSphere Application Server:
http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=/
com.ibm.websphere.nd.doc/info/ae/ae/tsec_sslreplaceselfsigncert.html
e. Klicken Sie auf OK.
f. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden.
7. Erstellen Sie die Stammzertifizierungsstelle mit 2048 Bit. Dieses Stammzertifikat ist das 2048-Bit-Zertifikat, das Sie beibehalten werden.
a. Klicken Sie auf Create > Self-signed Certificate.
b. Geben Sie in Alias den Wert root ein.
Wichtig: Sie müssen als Aliasname für dieses 2048-Bit-Zertifikat den Wert
root angeben.
c. Wählen Sie aus der Liste Key size den Wert 2048 aus.
d. Geben Sie in das Feld Common name den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server
installiert ist. Beispiel: ibm-svr1.example.com.
e. Geben Sie in das Feld Validity period den Gültigkeitszeitraum des Zertifikats ein. Beispiel: Ein Stammzertifikat wird in der Regel 7300 Tage lang
verwendet, also ca. 20 Jahre.
f. Optional: Vervollständigen Sie das Zertifikat durch optionale Identifikationsdetails.
g. Klicken Sie auf OK.
h. Klicken Sie auf Save.
8. Ersetzen Sie das temporäre Stammzertifikat durch das neue 2048-Bit-Stammzertifikat, das Sie beibehalten werden.
a. Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen für
das temporäre Stammzertifikat (root2) aus.
b. Klicken Sie auf Replace.
c. Wählen Sie aus der Liste Replace with das neue 2048-Bit-Zertifikat aus,
das Sie erstellt haben (root).
d. Wählen Sie Delete old certificate after replacement aus.
e. Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt
ist.
Kapitel 1. IMS Server installieren
95
Wichtig: Stellen Sie sicher, dass das Kontrollkästchen Delete old signer
abgewählt ist.
f. Klicken Sie auf OK.
g. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden.
Sie haben das ursprüngliche 1024-Bit-Stammzertifikat erfolgreich durch ein
neues 2048-Bit-Stammzertifikat ersetzt.
9. Extrahieren Sie die neue Stammzertifizierungsstelle in eine Datei.
a. Wählen Sie auf der Seite Personal Certificates den Eintrag Root aus.
b. Klicken Sie auf Extract.
c. Geben Sie in Certificate file name den vollständig qualifizierten Pfad zu
dem zu extrahierenden Zertifikat ein. Beispiel: C:\root2048.cer.
d. Stellen Sie sicher, dass für Data type die Option Base64-encoded ASCII
data angegeben wird.
e. Klicken Sie auf OK.
10. Erstellen Sie im Schlüsselspeicher der Standardzelle ein verkettetes persönliches Zertifikat: CellDefaultKeystore.
a. Klicken Sie auf der Seite Key stores and certificates auf CellDefaultKeyStore.
b. Klicken Sie in Additional Properties auf Personal certificates.
c. Klicken Sie auf das Standardzertifikat (default). Der definierte Name für
das Standardzertifikat in CellDefaultKeystore muss das folgende Format
aufweisen: CN=<CN>,OU=<OU>,O=<Organisation>,C=<Land>. Beispiel:
CN=ibmsvr1.example.com, OU=Root Certificate, OU=ibmsvr1Cell01,
OU=ibmsvr1CellManager01, O=IBM, C=US .
d. Klicken Sie auf Back.
e. Klicken Sie auf Create > Chained certificate.
f. Geben Sie in das Feld Alias einen neuen Aliasnamen für das persönliche
Zertifikat ein. Beispiel: default2.
g. Wählen Sie im Feld Root certificate used to sign the certificate den Aliasnamen root aus. Dieses Stammzertifikat ist das neue Stammzertifikat mit
2048 Bit.
h. Wählen Sie im Feld Key size den Wert 2048 aus.
i. Geben Sie in das Feld Common name den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server installiert ist.
j. Geben Sie in das Feld Validity period den Gültigkeitszeitraum des Zertifikats ein. Beispiel: Ein typischer Standardwert für ein persönliches Zertifikat
ist 365 Tage.
k. Erforderlich: Geben Sie im Feld Organization den Organisationsteil des definierten Namens an.
Wichtig: Der Organisationsteil des definierten Namens muss angegeben
werden.
l. Erforderlich: Geben Sie im Feld Country or region den Landesteil des definierten Namens an.
Wichtig: Der Landesteil des definierten Namens muss angegeben werden.
m. Optional: Geben Sie in die optionalen Felder zusätzliche Informationen für
die Identifikation des Zertifikats ein.
96
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
n. Klicken Sie auf OK.
o. Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration anzuwenden.
p. Ersetzen Sie das alte standardmäßige persönliche Zertifikat durch das
neue.
1) Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen
default aus.
2) Klicken Sie auf Replace.
3) Wählen Sie aus der Liste Replace with den Aliasnamen des erstellten
Zertifikats aus. Beispiel: default2.
4) Wählen Sie Delete old certificate after replacement aus.
5) Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt ist.
Wichtig: Stellen Sie sicher, dass das Kontrollkästchen Delete old signer abgewählt ist.
6) Klicken Sie auf OK.
7) Klicken Sie auf Save, um die Änderungen an der Hauptkonfiguration
anzuwenden.
Anmerkung: Wenn Sie vom Web-Browser darüber informiert werden,
dass ein Zertifikat widerrufen wurde und ein neues Zertifikat verfügbar ist, klicken Sie zum Fortfahren auf Ja. Führen Sie die Anweisungen
auf dem Bildschirm aus, um alle zusätzlichen Sicherheitseingabeaufforderungen des neuen Sicherheitszertifikats zu akzeptieren.
11. Exportieren Sie das persönliche Zertifikat in den Schlüsselspeicher, z. B.: <wasausgangsverzeichnis>\profiles\<dmgr-profilname>\etc\key.p12.
a. Wählen Sie auf der Seite Personal Certificates das Kontrollkästchen für
das persönliche Zertifikat aus. Beispiel: default2.
b. Klicken Sie auf Export.
c. Geben Sie in Key store password das Kennwort für den Schlüsselspeicher
ein. Beispiel: WebAS.
d.
e.
f.
g.
h.
Anmerkung: Das standardmäßige Kennwort für den Schlüsselspeicher ist
in der Produktdokumentation zu WebSphere Application Server vermerkt.
Wählen Sie Key store file aus.
Geben Sie in Key store file die Position des Schlüsselspeichers an. Beispiel:
<was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\etc\key.p12
Stellen Sie in Type sicher, dass der Standardwert PKCS12 ausgewählt ist.
Geben Sie in Key file password das Kennwort ein. Beispiel: WebAS.
Klicken Sie auf OK.
Sie haben das persönliche Zertifikat und den privaten Schlüssel erfolgreich in
einen Schlüsselspeicher exportiert.
12. Verwenden Sie das IBM Dienstprogramm für das Schlüsselmanagement (ikeyman) zum Hinzufügen der extrahierten Stammzertifizierungsstelle zum Deployment Manager-Truststore.
a. Starten Sie das Dienstprogramm ikeyman.
Das Dienstprogramm befindet sich beispielsweise an folgender Position:
<was-ausgangsverzeichnis>\profiles\<dmgr-profil>\bin\ikeyman.bat.
b. Klicken Sie auf Key Database File > Open.
Kapitel 1. IMS Server installieren
97
c. Wählen Sie in Key database type den Eintrag PKCS12 aus.
d. Klicken Sie auf Browse, um den Truststore zu suchen. Der Truststore befindet sich in der Datei <was-ausgangsverzeichnis>\profiles\<dmgr-profil>\
etc\trust.p12.
e. Geben Sie das Truststore-Kennwort ein. Beispiel: WebAS.
f. Fügen Sie dem Truststore die extrahierte Stammzertifizierungsstelle hinzu.
1) Wählen Sie im Bereich Key database content die Option Signer Certificates aus.
2) Klicken Sie auf Add.
3) Geben Sie die Position der extrahierten Stammzertifizierungsstelle an.
Beispiel: C:\root2048.cer.
4) Geben Sie eine Bezeichnung für die extrahierte Stammzertifizierungsstelle im Truststore an. Beispiel: root2048_signer.
Die Stammzertifizierungsstelle wird gespeichert und dem Truststore hinzugefügt.
13. Stellen Sie sicher, dass für die Zertifikate ein Upgrade durchgeführt wurde.
a. Melden Sie sich von der Administratorkonsole ab und melden Sie sich
dann erneut an.
b. Wenn im Web-Browser die Sicherheitseingabeaufforderung angezeigt wird,
zeigen Sie die Details des Zertifikats an.
c. Stellen Sie sicher, dass die Schlüsselgröße des erneut ausgegebenen Zertifikats 2048 Bit ist.
14. Starten Sie den Deployment Manager erneut.
Ergebnisse
Sie haben für die Schlüsselgröße der Stammzertifizierungsstelle und der persönlichen Zertifikate erfolgreich ein Upgrade auf 2048 Bit durchgeführt.
Nächste Schritte
Fahren Sie mit dem Erstellungsprozess für angepasste Profile für die übrigen Memberknoten eines Clusters in WebSphere Application Server fort. Siehe „Profile für
Netzimplementierungen erstellen und auswählen” auf Seite 87.
Sie können das Arbeitsblatt für die Planung mit den Aliasnamen aktualisieren, die
für die Aliasnamen der Root- und der Standardzertifikate verwendet wurden. Sie
müssen die Aliasnamen im IMS-Konfigurationsassistenten angeben.
WebSphere Application Server für einen Cluster konfigurieren
Definieren Sie den Cluster und wenden Sie alle erforderlichen Sicherheitseinstellungen für WebSphere Application Server an, bevor Sie IMS Server in einem Cluster installieren.
Vorbereitende Schritte
v Stellen Sie sicher, dass der Deployment Manager gestartet ist.
v Erstellen Sie Profile für Memberknoten im Cluster.
98
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Informationen zu diesem Vorgang
Konfigurieren Sie WebSphere Application Server für einen Cluster, bevor Sie IMS
Server installieren. Zur Konfiguration von WebSphere Application Server für einen
Cluster gehören die folgenden Tasks:
1. Definieren Sie einen WebSphere Application Server-Cluster.
2. Konfigurieren Sie die Größe des Heapspeichers für den Deployment Manager.
3. Konfigurieren Sie die Größe des Heapspeichers für WebSphere Application Server.
4. Erstellen Sie einen Windows-Dienst für den Knotenagenten.
Cluster definieren
Erstellen Sie vor der Installation von IMS Server eine Clusterdefinition und fügen
Sie dem Cluster Member hinzu.
Vorgehensweise
1. Öffnen Sie die Administrationskonsole und melden Sie sich mit Administratorberechtigungen beim Deployment Manager an.
a. Beispiel: Geben Sie in einem Web-Browser die Adresse https://
localhost:9043/ibm/console ein.
b. Melden Sie sich mit dem WebSphere-Administratoraccount an. Beispiel:
wasadmin
2. Definieren Sie einen neuen Cluster.
a. Blenden Sie den Link Servers ein und wählen Sie Clusters > WebSphere
application server clusters aus.
b. Klicken Sie auf New.
c. Geben Sie in das Feld Cluster name den Namen des Clusters ein. Beispiel:
Geben Sie cluster1 ein.
d. Wählen Sie das Kontrollkästchen Configure HTTP session memory-to-memory replication aus und klicken Sie dann auf Next.
e. Geben Sie in das Feld Member name den Namen des ersten Members des
Clusters ein. Beispiel: server1.
f. Wählen Sie in Select Node den Knoten aus, den Sie dem Cluster hinzufügen
wollen.
g. Stellen Sie sicher, dass Create the member using an application server template auf den Wert default gesetzt ist und klicken Sie dann auf Next. Sie
haben dem Cluster ein Member des Knotens hinzugefügt.
h. Führen Sie einen der folgenden Schritte aus:
v Wenn Sie keine weiteren Cluster-Member mehr hinzufügen wollen, klicken Sie auf Next.
v Gehen Sie wie folgt vor, wenn Sie weitere Cluster-Member hinzufügen
wollen:
1) Geben Sie einen Wert für <server_member_name> ein. Beispiel: server01.
2) Wählen Sie den korrekten Knoten aus.
3) Klicken Sie auf Add member.
4) Geben Sie weitere Cluster-Member an, bevor Sie auf Next klicken.
i. Klicken Sie auf Finish. Sie haben einen Cluster erstellt und diesem Member
hinzugefügt.
Kapitel 1. IMS Server installieren
99
j. Klicken Sie im Fenster Messages auf Save. Der Clusterstatus gibt an, dass
der Cluster nicht gestartet ist.
Ergebnisse
Sie haben einen WebSphere Application Server-Cluster vorbereitet und diesem
Memberknoten hinzugefügt. Der Cluster und die Knoten können über die WebSphere-Administratorkonsole verwaltet werden.
Nächste Schritte
Stellen Sie fest, ob es für den Cluster noch weitere implementierungsspezifische
Konfigurationsvoraussetzungen für WebSphere Application Server gibt.
Stellen Sie zum Fortsetzen der WebSphere Application Server-Konfiguration sicher,
dass der Cluster in der WebSphere-Administrationskonsole nicht gestoppt ist.
Größe des Heapspeichers für den Deployment Manager konfigurieren
Aktualisieren Sie die Größe des Heapspeichers im Hauptspeicher, der vom Deployment Manager in einer Clusterimplementierung verwendet wird. Aktualisieren Sie
den reservierten Hauptspeicher, um sicherzustellen, dass für den Deployment Manager ausreichend Hauptspeicher zur Verfügung steht. Ausreichend Hauptspeicher
ist erforderlich, wenn Sie viele Active Directory-Repositorys für IMS Server konfigurieren müssen.
Vorbereitende Schritte
Bevor Sie die Größe des Java-Heapspeichers ändern, müssen Sie sicherstellen, dass
der Host über ausreichenden physischen Speicher verfügt, um eine JVM mit 3,0 GB
ohne Auslagern zu unterstützen. Wenn der physische Speicher des Hostsystems
größer als 3 GB ist, können Sie die maximale Größe des Heapspeichers erhöhen.
Wenn aber für die Größe des Heapspeichers ein zu hoher Wert gewählt wird, verfügt das System nicht über ausreichenden physischen Speicher und weist für die
Speicherung der Daten virtuellen Speicher zu.
Vorgehensweise
1. Klicken Sie im Navigationsfenster auf System administration > Deployment
manager > Java and Process Management > Process Definition.
2.
3.
4.
5.
6.
Klicken Sie unter Additional Properties auf Java Virtual Machine.
Geben Sie in das Feld Initial heap size den Wert 512 ein.
Geben Sie in das Feld Maximum heap size den Wert 1024 ein.
Klicken Sie auf OK.
Klicken Sie im Fenster Messages auf Save.
7. Starten Sie den Deployment Manager erneut.
Größe des Heapspeichers für den Anwendungsserver konfigurieren
Sie können die minimale und maximale Größe des JVM-Heapspeichers (Java Virtual Machine) in WebSphere Application Server erhöhen. Durch Erhöhen der Größe
des Heapspeichers wird der Start verbessert, werden Fehler aufgrund abnormaler
Speicherbedingungen vermieden und wird die Plattenauslagerung verringert.
100
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Vorbereitende Schritte
Bevor Sie die Größe des Java-Heapspeichers ändern, müssen Sie sicherstellen, dass
der Host über ausreichenden physischen Speicher verfügt, um eine JVM mit 3,0 GB
ohne Auslagern zu unterstützen. Wenn der physische Speicher des Hostsystems
größer als 3 GB ist, können Sie die maximale Größe des Heapspeichers erhöhen.
Wenn aber für die Größe des Heapspeichers ein zu hoher Wert gewählt wird, verfügt das System nicht über ausreichenden physischen Speicher und weist für die
Speicherung der Daten virtuellen Speicher zu.
Informationen zu diesem Vorgang
Passen Sie die Größe des Java-Heapspeichers mit den folgenden Richtlinien an, bevor Sie die IBM Security Access Manager for Enterprise Single Sign-On-Komponente IMS Server installieren. Weitere Informationen finden Sie im Abschnitt Java virtual machine settings heap tuning in der folgenden Dokumentation:
v Dokumentation für WebSphere Application Server Version 7.0: http://
pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp.
v Dokumentation für WebSphere Application Server Version 8.5: http://
pic.dhe.ibm.com/infocenter/wasinfo/v8r5/index.jsp.
Wenn Sie über mehrere Server verfügen, müssen Sie diese Prozedur für jeden Server im Cluster wiederholen.
Vorgehensweise
1. Melden Sie sich auf dem WebSphere Application Server-Host, auf dem Sie IMS
Server installieren, bei der Administrationskonsole an. Beispiel: https://
localhost:9043/ibm/console/.
2. Navigieren Sie zu den Einstellungen der Java Virtual Machine.
a. Blenden Sie Servers > Server Types ein und wählen Sie WebSphere application servers aus.
b. Klicken Sie auf den Namen des Servers. Beispiel: server1.
c. Klicken Sie unter der Gruppe Server Infrastructure, um Java and Process
Management einzublenden.
d. Klicken Sie auf Process Definition.
e. Klicken Sie unter der Gruppe Additional Properties auf Java Virtual Machine.
3. Verwenden Sie die folgenden Einstellungen (für einen Host mit Einzelserverinstanz und 3 GB):
v Initial Heap Size: 1024
v Maximum Heap Size: 1280
4.
5.
6.
7.
8.
Klicken Sie auf OK.
Klicken Sie im Nachrichtenfenster auf Save.
Klicken Sie auf OK.
Klicken Sie im Nachrichtenfenster auf Save.
Starten Sie WebSphere Application Server erneut.
Windows-Dienst für den Knotenagenten erstellen
In einer Netzimplementierungskonfiguration können Sie den Knotenagenten als
Windows-Dienst erstellen, damit WebSphere Application Server-Knoten einfacher
gestartet und verwaltet werden können.
Kapitel 1. IMS Server installieren
101
Informationen zu diesem Vorgang
Erstellen Sie den Knotenagenten als Windows-Dienst, damit er automatisch gestartet wird, wenn für den Server ein Warmstart durchgeführt wird. Ein aktivierter
Knotenagent kommuniziert mit dem Deployment Manager der Zelle, um die Gruppe der Server im Knoten zu verwalten.
Wenn Sie den Knotenagenten nicht als Dienst erstellen, müssen Sie den Befehl
startNode manuell ausführen. Beispiel: <was-ausgangsverzeichnis>/profiles/
<profilname>/startNode.bat.
Vorgehensweise
1. Öffnen Sie ein Fenster mit Eingabeaufforderung.
2. Wechseln Sie in das Verzeichnis <was-ausgangsverzeichnis>\bin. Beispiel: Geben Sie cd c:\Programme\IBM\WebSphere\AppServer\bin ein.
3. Geben Sie den Befehl WASService mit den folgenden Parametern ein (Groß-/
Kleinschreibung beachten, keine Zeilenumbrüche verwenden):
WASService -add <profilname>_nodeagent -serverName nodeagent -profilePath
"<was-ausgangsverzeichnis>\profiles\<profilname>" -wasHome
"<was-ausgangsverzeichnis>" -logRoot
"<was-ausgangsverzeichnis>\profiles\<profilname>\logs\nodeagent" -logFile
"<was-ausgangsverzeichnis>\profiles\<profilname>\logs\nodeagent\startServer.log"
-restart true
-startType automatic
Dabei gilt Folgendes:
<was-ausgangsverzeichnis>
Gibt das Verzeichnis an, in dem WebSphere Application Server installiert ist. Beispiel: C:\Programme\IBM\WebSphere\AppServer
<profilname>
Gibt den Namen des angepassten Knotenprofils im Windows-Dienst an.
Beispiel: Custom01.
Beispiel (mit Beispielwerten)
WASService -add Custom01_nodeagent -serverName nodeagent -profilePath
"c:\Programme\IBM\WebSphere\AppServer\profiles\Custom01" -wasHome "c:\
Programme\IBM\WebSphere\AppServer" -logRoot "C:\Programme\IBM\WebSphere\
AppServer\profiles\Custom01\logs\nodeagent" -logFile "C:\Programme\IBM\
WebSphere\AppServer\profiles\Custom01\logs\nodeagent\startServer.log"
-restart true -startType automatic
4. Drücken Sie die Eingabetaste. Beispiel: Die letzte Zeile der Anzeige wird dargestellt.
IBM WebSphere Application Server V7.0 - Custom01_nodeagent service successfully
added.
5. Schließen Sie die Eingabeaufforderung.
6. Stellen Sie sicher, dass der Dienst zu den Windows-Diensten hinzugefügt wurde.
a. Klicken Sie auf Start > Ausführen. Geben Sie services.msc ein.
b. Stellen Sie sicher, dass der Dienst für den Knotenagenten angezeigt wird.
Beispiel: IBM WebSphere Application Server v7.0 - Custom01_nodeagent.
7. Optional: Wenn Sie über weitere Knoten verfügen, wiederholen Sie diese Task
für diese Knoten im Cluster. Beispiel: Custom02.
102
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Ergebnisse
Sie haben der Liste mit Windows-Diensten den Dienst für den Knotenagenten hinzugefügt.
IBM HTTP Server-Plug-in konfigurieren (Netzimplementierung)
Implementieren Sie das IBM HTTP Server-Plug-in und konfigurieren Sie Verbindungsanforderungen zum Weiterleiten von Verbindungen über SSL an WebSphere
Application Server.
Vorbereitende Schritte
v Stellen Sie sicher, dass die folgende Software gestartet ist:
– IBM HTTP Server
– IBM HTTP Server-Verwaltungsserver
– Deployment Manager
– Knotenagent auf dem verwalteten Knoten
v Entnehmen Sie dem Arbeitsblatt für die Planung die Konfigurationseinstellungen. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175.
Informationen zu diesem Vorgang
Die Konfiguration von IBM HTTP Server ist ein aus drei Phasen bestehender Prozess.
1. Konfigurieren Sie das IBM HTTP Server-Plug-in für WebSphere Application
Server. Wenn IBM HTTP Server und WebSphere Application Server nicht auf
demselben Computer installiert sind, müssen Sie eine vertrauenswürdige SSLVerbindung einrichten.
2. Synchronisieren Sie IBM HTTP Server und die WebSphere Application ServerSchlüsselspeicher.
3. Generieren Sie die Konfiguration des Web-Server-Plug-ins neu und geben Sie
sie weiter, um die Verbindungspunkte für jeden Web-Server zu zentralisieren.
Die folgenden Beispielschritte beziehen sich auf IBM HTTP Server Version 7.0. In
der Produktdokumentation zu IBM HTTP Server Version 8.5 finden Sie im Abschnitt zum Implementieren eines Web-Server-Plug-in die Schritte, die sich auf IBM
HTTP Server Version 8.5 beziehen.
Wiederholen Sie diese Prozedur für jeden Web-Server, der hinzugefügt werden soll.
Vorgehensweise
1. Führen Sie das Konfigurationsscript für das Web-Server-Plug-in aus.
a. Kopieren Sie aus dem Verzeichnis <ihs-ausgangsverzeichnis>\Plugins\bin
auf dem IBM HTTP Server-Host die Datei configure<web-serverdefinitionsname>.bat. Beispiel: configurewebserver1.bat
b. Fügen Sie im Deployment Manager die Datei configure<web-serverdefinitionsname>.bat in den Ordner <was-ausgangsverzeichnis>\bin ein.
Beispiel: C:\Programme\IBM\WebSphere\AppServer\bin
c. Öffnen Sie die Eingabeaufforderung.
d. Navigieren Sie zum Verzeichnis <was-ausgangsverzeichnis>\bin.
e. Führen Sie folgenden Befehl aus (ohne Zeilenumbrüche):
Kapitel 1. IMS Server installieren
103
configure<web-server-definitionsname>.bat
-profileName <dmgr-profilnname>
-user <dmgr-admin-name>
-password <dmgr-admin-kennwort>
Beispiel:configurewebserver1.bat -profileName Dmgr01 -user wasadmin
-password p@ssw0rd
f. Schließen Sie die Eingabeaufforderung, nachdem der Befehl mit folgender
Zeile abgeschlossen wurde:
Configuration save is complete.
Durch Ausführen des Script-Plug-ins wurde eine Web-Server-Definition in der
WebSphere-Administrationskonsole hinzugefügt und konfiguriert (Servers >
Server types > Web servers). Beispiel: webserver1.
2. (Führen Sie diesen Schritt nur dann aus, wenn IBM HTTP Server und WebSphere Application Server nicht auf demselben Computer installiert sind oder
wenn Sie mit einem Programm für den Lastausgleich arbeiten.) Richten Sie
SSL-Zertifikate ein, die von der WebSphere Application Server-Zertifizierungsstelle signiert wurden.
Anmerkung: Das Zertifikat verwendet den IBM HTTP Server-Computernamen
als Angabe für CN (Common Name, allgemeiner Name). Hierdurch wird die
Kommunikation zwischen Client und IBM HTTP Server erleichtert.
a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf
Security > SSL certificate and key management > Key stores and certificates > CMSKeyStore > Personal certificates.
b.
c.
d.
e.
f.
Wählen Sie das Standardzertifikat (default) aus.
Klicken Sie auf Delete.
Klicken Sie auf Create > Chained Certificate.
Geben Sie default als Aliasnamen für das Zertifikat an.
Optional: Geben Sie im Feld Key size die Größe des Zertifikatsschlüssels an.
Wenn die Stammzertifizierungsstelle für WebSphere Application Server ein
2048-Bit-Zertifikat ist, können Sie die Schlüsselgröße 2048 Bit angeben. Standardmäßig wird als Wert 1024 Bit verwendet.
Wichtig: Wählen Sie nicht 2048 Bit aus, wenn Sie die Stammzertifizierungsstelle nicht mit der Schlüsselgröße 2048 Bit erneut erstellt haben.
g. In das Feld Common Name können Sie einen der folgenden Namen eingeben:
Den vollständig qualifizierten Domänennamen des Computers, auf dem
IBM HTTP Server installiert ist. Beispiel: ibm-svr1.example.com.
v Den vollständig qualifizierten Hostnamen des Programms für den Lastausgleich (falls ein solches Programm verwendet wird).
v
h. Optional: Geben Sie die übrigen optionalen Informationen ein.
i. Klicken Sie auf OK.
j. Klicken Sie auf den Link Save im Feld Messages.
Das neue Zertifikat wird im Abschnitt Personal Certificates angezeigt.
3. Synchronisieren Sie den Schlüsselspeicher von WebSphere Application Server
mit dem Schlüsselspeicher von IBM HTTP Server.
a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf
Servers > Server Types > Web servers.
104
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
b. Klicken Sie auf <web-server-name>. Beispiel: webserver1.
c. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties.
d. Klicken Sie auf Copy to Web Server key store directory.
e. Klicken Sie auf OK.
f. Klicken Sie im Fenster Messages auf Save.
4. Erforderlich: Wenn Sie über mehrere Web-Server verfügen, wiederholen Sie die
Schritte 1 auf Seite 103 bis 3 auf Seite 104.
5. Generieren Sie die Konfiguration des Web-Server-Plug-ins neu und geben Sie
sie weiter.
Anmerkung: In einer Clusterumgebung sollen alle Anforderungen über einen
einzigen zentralen Verbindungspunkt eingehen, so dass eine einzige ServerURL verwendet wird. Für die Definition eines zentralen Verbindungspunkts
müssen Sie die Konfiguration des WebSphere Application Server-Plug-ins für
jeden Web-Server neu generieren und weitergeben.
a. Klicken Sie auf Servers > Server Types > Web Servers.
b. Wählen Sie den Web-Server aus der Liste aus. Beispiel: webserver1.
c. Klicken Sie auf Generate Plug-in.
d. Wählen Sie den Web-Server aus der Liste aus. Beispiel: webserver1.
e. Klicken Sie auf Propagate Plug-in.
6. Synchronisieren Sie die Knoten mit dem Deployment Manager.
Ergebnisse
Sie haben einen Web-Server in der WebSphere Application Server-Konfiguration
definiert, der Anforderungen von Client-Workstations an den Anwendungsserver
weiterleiten kann.
SSL-Direktiven in IBM HTTP Server aktivieren
Sie müssen die SSL-Direktiven aktivieren, um die Verschlüsselung des Datenverkehrs von und zu IBM HTTP Server über SSL zu ermöglichen.
Informationen zu diesem Vorgang
Standardmäßig ist die SSL-Kommunikation in IBM HTTP Server inaktiviert. Zur
Aktivierung von SSL müssen Sie der Datei httpd.conf die SSL-Apache-Direktive
hinzufügen.
Führen Sie diese Prozedur für jeden Web-Server aus.
Vorgehensweise
1. Klicken Sie in IBM Integrated Solutions Console auf Servers > Server Types >
Web servers.
2. Klicken Sie auf <web-server-name>. Beispiel: webserver1
3. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Configuration File.
Wenn die Konfigurationsdatei nicht geöffnet werden kann, finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide weitere Informationen.
4. Fügen Sie die folgenden Zeilen am Ende der Konfigurationsdatei hinzu:
Kapitel 1. IMS Server installieren
105
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Listen 0.0.0.0:443
## IPv6 support:
#Listen [::]:443
<VirtualHost *:443>
SSLEnable
SSLProtocolDisable SSLv2
SSLServerCert default
</VirtualHost>
KeyFile "<ihs-ausgangsverzeichnis>\Plugins\config\<web-server-definition>\plugin-key.kdb"
SSLDisable
Dabei gilt Folgendes:
default
Gibt den Aliasnamen des standardmäßigen SSL-Zertifikats an.
Tipp: Führen Sie zum Ermitteln des Aliasnamens des standardmäßigen
SSL-Zertifikats die folgenden Schritte aus:
a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf Security > SSL certificate and key management.
b. Klicken Sie unter Related Items auf Key stores and certificates.
c. Klicken Sie auf CMSKeyStore.
d. Klicken Sie unter Additional Properties auf Personal certificates.
<ihs-ausgangsverzeichnis>\Plugins\config\<web-server-definition>\
plugin-key.kdb
Gibt den Pfad zur Schlüsselspeicherdatei des Plug-ins (plugin-key.kdb)
an.
Beispiel: C:\Programme\IBM\HTTPServer\Plugins\config\webserver1\
plugin-key.kdb.
5.
6.
7.
8.
9.
Klicken Sie auf Apply.
Klicken Sie auf OK.
Wählen Sie General Properties > Apply aus.
Klicken Sie im Fenster Messages auf Save.
Starten Sie IBM HTTP Server erneut.
a. Klicken Sie in IBM Integrated Solutions Console auf Servers > Server Types > Web servers.
b. Wählen Sie das Kontrollkästchen des entsprechenden Web-Servers aus. Beispiel: webserver1.
c. Klicken Sie auf Stop.
d. Wählen Sie das Kontrollkästchen des Web-Servers erneut aus.
e. Klicken Sie auf Start.
10. Stellen Sie sicher, dass die SSL-Direktiven korrekt aktiviert wurden. Geben Sie
die folgende HTTPS-Adresse in einem Web-Browser ein. Beispiel:
v https://<ihs-host>
Beispiel: https://mywebsvr.example.com.
Unter Umständen wird eine Sicherheitseingabeaufforderung des Web-Browsers angezeigt, weil Sie über das sichere HTTPS-Protokoll auf eine Seite zugreifen. Führen Sie die Anweisungen im Dialogfenster aus, um das Sicherheitszertifikat zu akzeptieren und die Seite anzuzeigen.
v http://<ihs-host>
Beispiel: http://mywebsvr.example.com.
106
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Sie können auch sicherstellen, dass noch immer auf Seiten zugegriffen werden kann, für die nicht das HTTPS-Protokoll genutzt wird.
Tipp: Wenn die Prüfung fehlschlägt, müssen Sie feststellen, ob die in Schritt 4
auf Seite 105 angegebenen angepassten Variablen korrekt hinzugefügt und ersetzt wurden. Weitere Tipps zur Fehlerbehebung sind im Dokument IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support
Guide enthalten.
Ergebnisse
Sie haben SSL in IBM HTTP Server aktiviert. Darüber hinaus haben Sie Seiten über
das sichere HTTPS-Protokoll geprüft.
Schlüsselgröße für das SSL-Zertifikat für IBM HTTP Server erhöhen
Sie können das SSL-Zertifikat erneut erstellen, um die Schlüsselgröße für das SSLZertifikat für IBM HTTP Server von 1024 Bit auf 2048 Bit zu erhöhen. Diese Task
ist optional.
Vorbereitende Schritte
Stellen Sie sicher, dass für die Stammzertifizierungsstelle von WebSphere Application Server bereits ein Upgrade auf 2048 Bit durchgeführt wurde. Siehe dazu eines
der folgenden Themen:
v Für WebSphere Application Server in einer eigenständigen Implementierung siehe „Stammzertifizierungsstelle für WebSphere Application Server 7.0 erneut erstellen (eigenständig)” auf Seite 66.
v Für WebSphere Application Server in einem Cluster siehe „Stammzertifizierungsstelle für WebSphere Application Server 7.0 vor dem Erstellen von Memberknoten erneut auf dem Deployment Manager erstellen” auf Seite 93.
Informationen zu diesem Vorgang
Diese Task ist optional und betrifft nur Neuinstallationen von IMS Server. Wenn
Sie für das standardmäßige SSL-Zertifikat für IBM HTTP Server ein Upgrade auf
2048 Bit durchführen müssen, führen Sie diese Task aus, bevor Sie IMS Server installieren.
Wenn Sie mit mehreren Web-Servern arbeiten, führen Sie die folgenden Schritte für
jeden CMSKeyStore-Schlüsselspeicher in der Administrationskonsole aus.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server
<version> > Profiles > <profilname> > Administrative console aus.
2. Melden Sie sich bei IBM Integrated Solutions Console an.
3. Wählen Sie im Navigationsfenster von Integrated Solutions Console Security
> SSL certificate and key management aus.
4. Klicken Sie unter Related items auf Key stores and certificates.
5. Klicken Sie auf CMSKeyStore.
6. Klicken Sie unter Additional Properties auf Personal certificates.
7. Wählen Sie das Standardzertifikat (default) aus.
8. Klicken Sie auf Delete.
Kapitel 1. IMS Server installieren
107
9. Klicken Sie auf Create > Chained Certificate.
10. Geben Sie in das Feld Alias einen neuen Aliasnamen ein. Beispiel: default.
11. Wählen Sie aus der Liste Root certificate used to sign the certificate den Aliasnamen der neu erstellten Stammzertifizierungsstelle aus. Beispiel: root
12. Wählen Sie aus der Liste Key size den Wert 2048 aus.
13. Verwenden Sie im Feld Common Name einen der folgenden Einträge:
v Wenn Sie kein Programm für den Lastausgleich verwenden, geben Sie den
vollständig qualifizierten Namen des Hosts an, auf dem IBM HTTP Server
installiert ist. Beispiel: httpsvr1.example.com.
v Wenn Sie ein Programm für den Lastausgleich verwenden, müssen Sie dessen vollständig qualifizierten Namen angeben.
Anmerkung: Sie müssen für das Feld Common Name einen Wert angeben.
14. Geben Sie in das Feld Validity period den Gültigkeitszeitraum des Zertifikats
ein. Beispiel: 365 Tage.
15. Optional: Geben Sie in den folgenden Feldern Informationen ein:
v
v
v
v
v
Organization
Organization Unit
Locality
State/Province
Zip Code
v Country or Region
16. Klicken Sie auf OK.
17. Klicken Sie im Fenster Messages auf Save.
18. Synchronisieren Sie den Schlüsselspeicher von WebSphere Application Server
mit dem Schlüsselspeicher von IBM HTTP Server.
a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console
auf Servers > Server Types > Web servers.
b. Klicken Sie auf <web-server-name>. Beispiel: webserver1.
c. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties.
d. Klicken Sie auf Copy to Web Server key store directory.
e. Klicken Sie auf OK.
f. Klicken Sie im Fenster Messages auf Save.
19. Resynchronisieren Sie die Knoten.
a. Klicken Sie auf System administration > Nodes.
b. Wählen Sie das Kontrollkästchen für jeden entsprechenden Knoten aus.
c. Klicken Sie auf Full Resynchronize.
20. Starten Sie IBM HTTP Server erneut.
IMS Server für einen Cluster konfigurieren
Sie können IMS Server mithilfe des Installationsprogramms für IMS Server oder
durch manuelles Implementieren der EAR-Dateien von IMS Server in WebSphere
installieren.
1. Lesen Sie die Releaseinformationen.
2. Extrahieren und installieren Sie IMS Server. Wählen Sie dazu eine der folgenden Methoden:
108
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
v Installieren Sie IMS Server interaktiv mit dem Installationsprogramm von
IMS Server.
v Implementieren Sie IMS Server unter WebSphere Application Server manuell.
3. Überprüfen Sie die Implementierung von IMS Server.
4. Richten Sie IMS Server ein und konfigurieren Sie das Programm.
v Konfigurieren Sie IMS Server mit dem IMS-Konfigurationsassistenten.
Richten Sie Datenquelle, Zertifikate, Ziel-URL und Verzeichnisservices ein.
v Richten Sie einen IMS Server-Administrator ein.
Sie können die Berechtigungsnachweise des IMS Server-Administrators für
den Zugriff auf und die Verwaltung von Ressourcen für die einmalige Anmeldung verwenden.
5. Aktualisieren Sie die Anwendungszuordnungen für die Anwendung ISAMESSOIMS.
Durch die Zuordnung wird sichergestellt, dass alle Clientverbindungsanforderungen aus der Webschicht oder dem Programm für den Lastausgleich ordnungsgemäß an WebSphere Application Server und an die Anwendung IMS
Server weitergeleitet werden.
6. Konfigurieren Sie das Sitzungsmanagement.
7. Prüfen Sie die Konfiguration.
IMS Server mit dem IMS-Konfigurationsassistenten konfigurieren
(Netzimplementierung)
Führen Sie die Installation von IMS Server mit einigen erforderlichen einleitenden
Konfigurationsschritten aus.
Vorbereitende Schritte
v Bereiten Sie den Verzeichnisserver vor.
v Bereiten Sie den Datenbankserver vor.
Stellen Sie sicher, dass der Cluster gestoppt ist.
Stellen Sie sicher, dass die verwalteten Knoten im Cluster gestoppt sind.
Stellen Sie sicher, dass der Deployment Manager gestartet ist.
Stellen Sie sicher, dass die IMS Server-Anwendung ISAMESSOIMSConfig gestartet
ist.
v Entnehmen Sie dem Arbeitsblatt für die Planung Beispielwerte.
v
v
v
v
Informationen zu diesem Vorgang
Für die Konfiguration von IMS Server bietet der IMS-Konfigurationsassistent Unterstützung beim Ausführen der folgenden Tasks:
v Einrichten der Datenquelle
v Aktualisieren von Zertifikaten
v Einrichten der IMS Server-URL
v Konfigurieren von IMS Server für Unternehmensverzeichnisse
Vorgehensweise
1. Öffnen Sie den IMS-Konfigurationsassistenten. Die URL wird in folgendem
Format angegeben: https://<dmgr-hostname>:<admin-ssl-port>/front
Beispiel: https://localhost:9043/front.
2. Wenn Sie im IMS-Konfigurationsassistenten zu einer anderen Sprache wechseln wollen, wählen Sie die gewünschte Sprache im Menü Sprache aus.
Kapitel 1. IMS Server installieren
109
3. Wählen Sie auf der Seite Servereinrichtung die Option Neuen IMS Server
einrichten aus.
4. Klicken Sie auf Beginnen.
5. Akzeptieren Sie unter Informationen zur Datenquelle eingeben die Standardwerte oder passen Sie die Felder für die Datenquelle an.
6. Klicken Sie auf Weiter.
7. Zur Verwendung der Standardoption für die Erstellung eines Datenbankschemas über den IMS-Konfigurationsassistenten müssen Sie sicherstellen, dass
das Kontrollkästchen IMS Server-Datenbankschema erstellen ausgewählt ist.
Anmerkung: Alternativ dazu können Sie das Datenbankschema manuell erstellen. Siehe Kapitel 6, „Datenbankschemas erstellen”, auf Seite 187.
8. Klicken Sie auf Weiter.
9. Wählen Sie den Datenbanktyp für IMS Server aus.
Anmerkung: Wenn Sie eine Microsoft SQL Server-Datenbank verwenden, haben Sie folgende Auswahlmöglichkeiten:
v Standardeinstellung: Erstellen Sie eine Datenbank mit dem Konfigurationsassistenten. Wählen Sie Neue Datenbank erstellen aus.
v Verwenden Sie eine bereits vorhandene Datenbank. Wählen Sie das Kontrollkästchen Neue Datenbank erstellen ab. Klicken Sie auf Weiter.
10. Klicken Sie auf Weiter.
11. Geben Sie in Datenbankkonfiguration -<datenbanktyp> die Verbindungsinformationen zum Datenbanktyp an. Führen Sie die Anweisungen im Assistenten aus, um die Details zur Datenbankverbindung anzugeben. Zum ausgewählten Datenbanktyp kann ein anderer Satz Felder gehören. Eine Anleitung
dazu finden Sie in den Hilfebeschreibungen auf der Seite.
Tipp: Weitere Hilfeinformationen für die einzelnen Elemente können Sie anzeigen, indem Sie den Cursor über die Elemente bewegen.
Die folgenden Felder sind für DB2 spezifisch. Sie können die folgenden Beschreibungen als weitere Hilfestellung verwenden:
Hostname
Geben Sie den Datenbankhostnamen an. Beispiel: mydbsvr.
Port
Die Portnummer für die Datenbankverbindung ist bereits vorab angegeben. Prüfen Sie, ob der Standardportwert korrekt ist.
Beispiel:
v Der Standardwert für DB2 ist 50000.
v Der Standardwert für SQL Server ist 1433.
v Der Standardwert für Oracle ist 1521.
Anmerkung: Informationen zum Ermitteln der korrekten Portnummernwerte für die Datenbankverbindung des jeweils verwendeten Datenbankserver können Sie der Dokumentation Ihres Datenbankanbieters entnehmen.
Datenbankname
Geben Sie den Namen der Datenbank an. Beispiel: imsdb.
110
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Benutzername
Geben Sie den vorbereiteten Datenbankbenutzer an. Beispiel: db2admin.
Benutzerkennwort
Geben Sie das Kennwort für den Datenbankbenutzer an.
12. Klicken Sie auf Weiter.
13. Prüfen Sie in Details zur Stammzertifizierungsstelle (Root CA) eingeben die
Standardwerte.
Prüfen Sie den Schlüsselspeichernamen, das Schlüsselspeicherkennwort und
den Zertifikatsaliasnamen der Root- bzw. Stammzertifizierungsstelle, die zum
Signieren der Zertifizierungszwischenstelle von IMS Server verwendet wird.
Wichtig: Wenn Sie die Schlüsselgröße für die Stammzertifizierungsstelle erneut erstellt oder dafür ein Upgrade durchgeführt haben, kann dies zu einer
Änderung des Aliasnamens der Stammzertifizierungsstelle führen. Stellen Sie
sicher, dass Sie den korrekten Aliasnamen angeben. Die folgenden Beschreibungen enthalten weitere Informationen dazu:
Tipp: Verwenden Sie das Arbeitsblatt für die Planung, um die verwendeten
angepassten Werte zu prüfen. Siehe Kapitel 5, „Arbeitsblatt für die Planung”,
auf Seite 175.
Schlüsselspeichername
Gibt den Namen des Rootschlüsselspeichers an. Der Rootschlüsselspeicher ist eine Schlüsseldatenbank, die sowohl öffentliche als auch private Schlüssel für die sichere Kommunikation enthält. In der Regel
können Sie den Standardwert verwenden.
Schlüsselspeichergeltungsbereich
Gibt die Ebene an, auf der der Schlüsselspeicher auf Zellen- oder Knotenebene sichtbar ist. In der Regel können Sie den Standardwert verwenden.
Schlüsselspeicherkennwort
Gibt das Kennwort für den Schlüsselspeicher des Stammzertifikats an.
In der Regel können Sie den Standardwert verwenden.
Aliasname für Stammzertifizierungsstelle
Akzeptieren Sie den Standardwert für den Rootaliasnamen, wenn der
Aliasname der Stammzertifizierungsstelle nicht bereits geändert wurde.
14. Klicken Sie auf Weiter. Die Zertifikatberechtigungsnachweise für den Schlüsselspeicher und den Rootaliasnamen wurden geprüft.
15. Geben Sie in IMS-Service-URL konfigurieren den Namen und die Portnummer von IBM HTTP Server oder des Programms für den Lastausgleich an
oder akzeptieren Sie die Standardwerte.
Anmerkung: Für den Namen von IBM HTTP Server oder des Programms für
den Lastausgleich gilt Folgendes:
v Er ist der vollständig qualifizierte Name von IBM HTTP Server oder des
Programms für den Lastausgleich, der bzw. das eine Schnittstelle zu WebSphere Application Server bildet.
v Er muss mit dem Attribut CN des SSL-Zertifikats übereinstimmen, das von
IBM HTTP Server verwendet wird.
16. Klicken Sie auf Weiter.
Kapitel 1. IMS Server installieren
111
17. Konfigurieren Sie IMS Server für die Arbeit mit einem Verzeichnisserver.
Anmerkung:
v Wenn Sie Verzeichnisserver zu einem späteren Zeitpunkt konfigurieren wollen, müssen Sie die Einrichtung der Verzeichnisserver vor Verwendung des
IMS-Konfigurationsdienstprogramms ausführen.
v Wenn Sie einen Verzeichnisserver verwenden wollen, müssen Sie IMS Server für die Arbeit mit einem Verzeichnisserver konfigurieren, bevor Sie einen Administratoraccount für IMS Server einrichten.
18.
19.
20.
21.
Klicken Sie auf Weiter.
Überprüfen Sie die Einstellungen.
Klicken Sie auf Speichern.
Führen Sie zum Abschließen der Konfiguration von IMS Server eine der folgenden Optionen aus:
Option
Bezeichnung
Wenn Unternehmensverzeichnisse konfigu- (Netzimplementierung) Starten Sie den
riert wurden:
Deployment Manager-Knoten erneut.
(Eigenständige Implementierung) Starten Sie
den Anwendungsserver erneut.
Wenn keine Unternehmensverzeichnisse
konfiguriert wurden:
Starten Sie ISAMESSOIMSConfig neu.
(Netzimplementierung) Starten Sie den
Deployment Manager-Knoten erneut.
(Eigenständige Implementierung) Starten Sie
den Anwendungsserver erneut.
Ergebnisse
Sie haben IMS Server erfolgreich eingerichtet.
Nächste Schritte
Sie sind nun für die Einrichtung des Administratoraccounts für IMS Server bereit.
IMS Server-Administrator einrichten
Für Neuinstallationen können Sie einen Administratoraccount für IMS Server einrichten.
Vorbereitende Schritte
v Stellen Sie sicher, dass der Deployment Manager gestartet ist.
v Stellen Sie sicher, dass ISAMESSOIMSConfig gestartet ist.
v Stellen Sie sicher, dass der Cluster gestoppt ist.
v Bereiten Sie den Verzeichnisserver vor.
– Wenn für Ihre Implementierung ein Verzeichnisserver mit IMS Server erforderlich ist, müssen Sie diesen Verzeichnisserver zunächst konfigurieren. Siehe
IMS Server für Verzeichnisserver konfigurieren.
– Stellen Sie sicher, dass die Benutzernamen für den IMS Server-Administrator
oder den WebSphere-Administrator eindeutig und nicht bereits auf dem Verzeichnisserver vorhanden sind, auf dem Sie den Account einrichten.
112
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
– Erstellen Sie auf dem Active Directory- oder LDAP-Server einen IMS ServerAdministratoraccount. Beispiel: imsadmin.
– Starten Sie den Verzeichnisserver und stellen Sie sicher, dass er verfügbar ist.
Informationen zu diesem Vorgang
Hinweise für die Einrichtung eines Administrators:
Wenn keine Unternehmensverzeichnisse konfiguriert sind
Der eingerichtete IMS Server-Administratoraccount wird in der IMS ServerDatenbank erstellt und gespeichert. Wenn Sie sich mit den Berechtigungsnachweisen des IMS Server-Administrators anmelden, werden diese anhand der IMS Server-Datenbank authentifiziert. Dieser Account in der
Datenbank wird auch als Basis-Connector-Benutzeraccount bezeichnet.
Wenn Unternehmensverzeichnisse konfiguriert sind
Der eingerichtete IMS Server-Administratoraccount wird mit einem ähnlichen Account im Unternehmensverzeichnis synchronisiert und authentifiziert.
Vorgehensweise
1. Starten Sie in einem Browser das IMS-Konfigurationsdienstprogramm. Beispiel:
Geben Sie https://localhost:9043/webconf ein.
2. Melden Sie sich mit den Berechtigungsnachweisen des WebSphere-Administrators an.
3. Klicken Sie im Bereich "Konfigurationsassistenten" auf IMS-Administrator
einrichten.
4. Geben Sie die Berechtigungsnachweise eines gültigen Benutzers für den einzurichtenden IMS Server-Administrator ein. Beispiel: imsadmin.
Wenn Sie mit einem Verzeichnisserver arbeiten, geben Sie die Berechtigungsnachweise für einen gültigen Benutzer des Unternehmensverzeichnisses ein.
Wenn Sie keinen bestimmten IMS Server-Administrator erstellt haben, können
Sie einen bestehenden Benutzer auf dem Verzeichnisserver angeben.
Anmerkung: Wenn mehrere Unternehmensverzeichnisse vorhanden sind,
müssen Sie die Domäne auswählen, in der der Benutzer vorhanden ist.
Ergebnisse
Sie haben einen IMS Server-Administratoraccount eingerichtet.
Nächste Schritte
Fahren Sie mit weiteren Konfigurationsschritten nach der Installation von IMS Server fort. Aktualisieren Sie die Anwendungszuordnungen für die Anwendung
ISAMESSOIMS.
Modulzuordnung für ISAMESSOIMS für die Weiterleitung von
Verbindungsanforderungen aktualisieren
Aktualisieren Sie die Anwendungszuordnungen für ISAMESSOIMS zu den Hosts der
Web- und der Anwendungsschicht mit den neuen IMS Server-Anwendungszuordnungen.
Kapitel 1. IMS Server installieren
113
Vorbereitende Schritte
Stellen Sie sicher, dass die folgenden Komponenten und Anwendungen gestartet
sind:
v ISAMESSOIMSConfig
v IBM HTTP Server-Verwaltungsserver
v WebSphere Application Server (eigenständig) oder Deployment Manager (Netzimplementierung)
v (Netzimplementierung) Knotenagenten
Stellen Sie sicher, dass die folgenden Komponenten und Anwendungen gestoppt
sind:
v ISAMESSOIMS
v IBM HTTP Server
v Cluster
Informationen zu diesem Vorgang
Sie müssen die Anwendung ISAMESSOIMS den Hosts der Web- und der Anwendungsschicht zuordnen, nachdem Sie IMS Server mit dem Installationsprogramm
von IMS Server installiert haben. Sie müssen die Anwendungszuordnungen für
ISAMESSOIMS manuell aktualisieren, wenn Sie einem Cluster weitere Knoten hinzufügen.
Vorgehensweise
1. Klicken Sie im Navigationsfenster der WebSphere-Administrationskonsole auf
Applications > Application types > WebSphere enterprise applications.
2. Klicken Sie auf ISAMESSOIMS.
3. Klicken Sie unter Modules auf Manage Modules. Die Seite "Manage Modules"
wird angezeigt.
4. Wählen Sie das Kontrollkästchen für alle Module aus.
5. Wählen Sie im Feld Clusters and servers jeden der Ziel-Web-Server, -Cluster
und -Anwendungsserver in Ihrer Implementierung aus.
Tipp: Drücken Sie zum Auswählen mehrerer Server die Umschalttaste und klicken Sie dann, um mehrere Web-Server, Cluster oder Anwendungsserver auszuwählen.
6. Klicken Sie auf Apply.
7. Klicken Sie auf OK.
8. Klicken Sie im Fenster Messages auf Save.
9. Synchronisieren Sie die Knoten vollständig. Siehe „Knoten resynchronisieren”
auf Seite 217.
Ergebnisse
Die Verbindungsanforderungen der IMS Server-Anwendungs-URLs werden nun
ordnungsgemäß von IBM HTTP Server an die Anwendung ISAMESSOIMS weitergeleitet.
114
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Sitzungsmanagement für ISAMESSOIMS außer Kraft setzen
Sie müssen das Sitzungsmanagement außer Kraft setzen, um sicherzustellen, dass
die Anwendung ISAMESSOIMS alle aus dem übergeordneten Objekt übernommenen
Einstellungen für das Sitzungsmanagement überschreiben kann.
Vorbereitende Schritte
Stellen Sie sicher, dass die ISAMESSOIMS-Zuordnung aktualisiert wird.
Informationen zu diesem Vorgang
ISAMESSOIMS ist eine Webanwendung. Das Sitzungsmanagement stellt einen Mechanismus dar, mit dem ISAMESSOIMS den Status von Informationen für einen Benutzer
über einen bestimmten Zeitraum hinweg für eine Reihe von Webseiten speichern
kann, mit denen dieser Benutzer interagiert.
Vorgehensweise
1. Klicken Sie im Navigationsfenster der WebSphere-Administrationskonsole auf
Applications > Application types > WebSphere enterprise applications.
2. Klicken Sie auf ISAMESSOIMS.
3. Klicken Sie unter Web Module Properties auf Session management.
4. Wählen Sie unter General Properties das Kontrollkästchen Override session
management aus.
5. Klicken Sie auf Apply.
6. Klicken Sie im Fenster Messages auf Save. Die Anwendung ISAMESSOIMS wird
gestoppt.
7. Konfigurieren Sie das System so, dass das Sitzungsmanagement für AccessAdmin außer Kraft gesetzt wird.
a. Klicken Sie auf der Seite Enterprise Applications auf ISAMESSOIMS.
b. Klicken Sie unter Modules auf Manage Modules.
c. Klicken Sie auf den Link ISAM ESSO IMS Server AccessAdmin <versionsnummer>.
d. Klicken Sie unter Additional Properties auf Session management.
e. Wählen Sie das Kontrollkästchen Override session management aus.
f. Klicken Sie auf OK.
g. Klicken Sie auf Save.
8. Resynchronisieren Sie die Knoten.
a. Klicken Sie auf System administration > Nodes.
b. Wählen Sie das Kontrollkästchen für jeden entsprechenden Knoten aus.
c. Klicken Sie auf Full Resynchronize.
9. Starten Sie den Cluster.
a. Klicken Sie auf Servers > Clusters > WebSphere application server clusters.
b. Wählen Sie das Kontrollkästchen für den Cluster aus.
c. Klicken Sie auf Stop.
d. Klicken Sie auf Start.
Anmerkung: Das Starten des Clusters kann eine gewisse Zeit dauern, da jeder Memberknoten im Cluster gestartet wird.
Kapitel 1. IMS Server installieren
115
Tipp: Sie können in der Spalte Status auf den Befehl Refresh klicken, um
festzustellen, ob der Clusterstatus aktualisiert wurde.
Ergebnisse
Sie haben die folgenden Komponenten gestartet:
v Cluster
v Verwaltete Memberknoten
v Anwendung ISAMESSOIMS
v Anwendung ISAMESSOIMSConfig
Konfiguration von IMS Server prüfen
Stellen Sie sicher, dass die Installation und die Konfiguration von IMS Server funktionieren.
Vorbereitende Schritte
Stellen Sie sicher, dass die folgenden Anwendungen und Komponenten gestartet
sind:
v
v
v
v
v
ISAMESSOIMS
ISAMESSOIMSConfig
WebSphere Application Server
IBM HTTP Server
Datenbankserver
v Verzeichnisserver
Vorgehensweise
1. Stellen Sie sicher, dass Sie auf AccessAdmin zugreifen können.
a. Rufen Sie in einem Browser die URL für AccessAdmin auf. Beispiel:
v https://<ihs-host>/admin
v https://<host_des_programms_für_den_lastausgleich>/admin
b. Melden Sie sich mit dem eingerichteten Administratoraccount von IMS Server bei AccessAdmin an. Beispiel: imsadmin.
c. Klicken Sie auf Einrichtungsassistent.
d. Sie können die Anweisungen für die Konfiguration von Authentifizierungsfaktoren zu einem späteren Zeitpunkt lesen. Schließen Sie den Browser. Sie
haben erfolgreich sichergestellt, dass Sie auf AccessAdmin zugreifen können.
2. Stellen Sie sicher, dass Sie auf Web Workplace zugreifen können.
a. Rufen Sie in einem Browser die URL für Web Workplace auf. Beispiel:
v https://<ihs-host>/aawwp?isWwp=true
v https://<host_des_programms_für_den_lastausgleich>/aawwp?isWwp=true
b. Melden Sie sich mit dem eingerichteten Administratoraccount von IMS Server bei Web Workplace an. Beispiel: imsadmin.
3. Stellen Sie sicher, dass Sie auf AccessAssistant zugreifen können.
a. Rufen Sie in einem Browser die URL für AccessAssistant auf. Beispiel:
v https://<ihs-host>/aawwp
v https://<host_des_programms_für_den_lastausgleich>/aawwp
116
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
b. Melden Sie sich mit dem eingerichteten Administratoraccount von IMS Server bei AccessAssistant an. Beispiel: imsadmin.
Ergebnisse
Sie haben IMS Server erfolgreich installiert und sichergestellt, dass das Programm
funktioniert. Außerdem haben Sie sichergestellt, dass die URLs für den Zugriff auf
die Verwaltungskomponenten funktionieren.
Nächste Schritte
Informationen zur Erstellung weiterer Serverkonfigurationen für Ihre jeweilige Implementierung, z. B. zum Hinzufügen von Authentifizierungsfaktoren, finden Sie
im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide.
Sie können nun die AccessAgent- oder AccessStudio-Clients auf Client-Workstations installieren.
Tipp: Um Zeit zu sparen und den Zugriff zu vereinfachen, können Sie für die Verwaltungs-URLs in Ihrem Web-Browser Lesezeichen setzen.
Anwendungsserver zu einem Cluster hinzufügen
Sie können einen zusätzlichen Cluster-Member-Knoten von IBM Security Access
Manager for Enterprise Single Sign-On zu einem WebSphere Application ServerCluster hinzufügen.
Informationen zu diesem Vorgang
Erstellen Sie für den Knoten ein angepasstes Profil. Fügen Sie den Knoten dann einem bestehenden WebSphere Application Server-Cluster hinzu. Implementieren Sie
nach dem Hinzufügen des Knotens die Anwendung ISAMESSOIMS im Knoten.
In einer Netzimplementierung
Implementieren
Im Deployment Manager-Knoten
v ISAMESSOIMS
v ISAMESSOIMSConfig
In jedem Knoten des Clusters
ISAMESSOIMS
Vorgehensweise
1. Erstellen Sie mithilfe des Profile Management Tool von WebSphere Application Server oder mit einem Befehlszeilentool ein angepasstes Profil.
2. Fügen Sie in der WebSphere Application Server-Administrationskonsole den
neu erstellten Server dem WebSphere Application Server-Cluster hinzu.
Tipp: Beim Hinzufügen von Cluster-Membern müssen Sie sicherstellen, dass
Sie in der Konsolennavigationsstruktur den Cluster auswählen und auf der
Seite Cluster members Member hinzufügen. Beispiel: Klicken Sie auf Servers
> Clusters > WebSphere application server clusters. Wählen Sie den Cluster
aus. Klicken Sie auf Cluster members. Klicken Sie auf New.
3. Optional: Erstellen Sie für den zusätzlichen Knotenagenten und Serverknoten
einen Windows-Dienst.
Kapitel 1. IMS Server installieren
117
Beispiel (Groß-/Kleinschreibung beachten, keine Zeilenumbrüche verwenden):
wasservice -add Custom02_nodeagent -serverName nodeagent -profilePath
"C:\Program Files\IBM\WebSphere\AppServer\profiles\Custom02" -wasHome
"C:\Program Files\IBM\WebSphere\AppServer" -logRoot
"C:\Program Files\IBM\WebSphere\AppServer\profiles\Custom02\logs\nodeagent" -logFile
"C:\Program Files\IBM\WebSphere\AppServer\profiles\Custom02\logs\nodeagent\startServer.log"
-restart true
-startType automatic
4. Optional: Installieren Sie den Ressourcenadapter Native Library Invoker im
neuen Knoten.
5. Generieren Sie das Web-Server-Plug-in und geben Sie es weiter.
6. Starten Sie IBM HTTP Server erneut.
7. Implementieren Sie die Anwendung ISAMESSOIMS.
a. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Applications > Application Types > WebSphere Enterprise Applications
aus.
b. Klicken Sie auf ISAMESSOIMS.
c. Klicken Sie unter Modules auf Manage Modules.
d. Wählen Sie das Kontrollkästchen für alle Anwendungen aus.
e. Wählen Sie in Clusters and servers den Web-Server und den Cluster aus.
f. Klicken Sie auf Apply.
g. Speichern Sie die Änderungen an der Hauptkonfiguration.
8. Synchronisieren Sie alle Knoten erneut.
9. Starten Sie den Cluster.
10. Starten Sie die Anwendung ISAMESSOIMS.
118
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Kapitel 2. AccessAgent und AccessStudio installieren
Wenn Sie die einmalige Anmeldung für Windows-Workstations bereitstellen wollen, müssen Sie die AccessAgent-Clientkomponente installieren. Wenn Sie die Unterstützung für die einmalige Anmeldung für Anwendungen mit AccessProfiles
erweitern wollen, müssen Sie AccessStudio installieren.
AccessAgent und AccessStudio - Roadmap zur Installation
Die Installationsroadmap für AccessAgent und AccessStudio enthält die allgemeinen Tasks, die für die Installation und Einrichtung dieser clientseitigen Komponenten erforderlich sind.
Vorbereitungen:
v Lesen Sie das Dokument IBM Security Access Manager for Enterprise Single SignOn Planning and Deployment Guide. Dieses Handbuch bietet Unterstützung bei
der Planung der Implementierung sowie der Vorbereitung der Umgebung.
v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
v Installieren und konfigurieren Sie IMS Server.
Führen Sie diese Tasks in der angegebenen Reihenfolge aus, wenn Sie AccessAgent
und AccessStudio implementieren. Die detaillierten Prozeduren können Sie über
den zugehörigen Referenzlink erfahren.
Prozedur
Referenz
Ausführliche und aktuelle
1 Optional: Wenn Sie die Zwei-FaktorAuthentifizierung umsetzen wollen, müsInstallationsanweisungen finden Sie in der
sen Sie die erforderlichen Treiber und
jeweiligen Produktdokumentation.
Software-Development-Kits anderer Anbieter installieren.
„AccessAgent installieren” auf Seite 127
2 Installieren Sie AccessAgent auf allen
Client-Workstations der Mitarbeiter sowie
auf Citrix-/Terminal-Servern, für die Services für die einmalige Anmeldung erforderlich sind.
Bei Unternehmensimplementierungen können Sie AccessAgent über eine
Softwareimplementierungslösung auf
Windows-Workstations implementieren.
Beispiel: Tivoli Endpoint Manager, Active
Directory Group Policy Object (AD GPO)
oder Tivoli Provisioning Manager.
3 Diese Task ist nur für Administratoren vorgesehen. Installieren Sie vor der Installation von AccessStudio das Paket Microsoft
.NET Framework Version 2.0
Redistributable.
Rufen Sie die Website von Microsoft unter
der Adresse www.microsoft.com auf und
suchen Sie dort nach „.NET Framework 2.0
download”.
119
Prozedur
Referenz
4 Diese Task ist nur für Administratoren vor- „AccessStudio installieren” auf Seite 136
gesehen. Installieren Sie für die Verwaltung
von Profilen für die einmalige Anmeldung
AccessStudio auf einer
Administratorworkstation.
Verwenden Sie zur Vorbereitung Ihrer Anwendungen für die einmalige Anmeldung
AccessStudio, um mehrere AccessProfiles
für unterstützte Authentifizierungsservices
und -anwendungen zu erstellen und
hochzuladen.
5 Prüfen Sie die Dateien und Registry-Einträ- „Dateien und Registry-Einträge prüfen”
ge, um sicherzustellen, dass die Installation auf Seite 132
erfolgreich verlief.
Installationspaket für die Installation auf mehreren PCs vorbereiten
Bevor Sie die Pakete auf mehrere Workstations verteilen, können Sie bestimmte
Implementierungsattribute für jeden Client anpassen und vorkonfigurieren.
Sie können die Installationsprogramme so anpassen, dass eine ferne Implementierung von AccessAgent und AccessStudio auf mehreren Computern ausgeführt
wird.
Die Attribute des Implementierungspakets können über folgende Schritte angepasst werden:
v „Vordefinierte Wallet vorbereiten und installieren” auf Seite 121.
v „IMS Server-Position manuell festlegen (Antwortdatei)” auf Seite 132.
Die folgenden Themen enthalten Informationen zu Attributen der Antwortdatei
und den verschiedenen Methoden zur Angabe der Position von IMS Server:
v „Parameter der Antwortdatei ("SetupHlp.ini")” auf Seite 122.
v „Methoden zum Festlegen der IMS Server-Position” auf Seite 131.
Weitere Funktionen von AccessAgent, die Sie für Ihre Organisation anpassen können, sind im Handbuch IBM Security Access Manager for Enterprise Single Sign-On
Configuration Guide enthalten.
Methoden für ferne Softwareverteilung
Sie können eine Push-Installation der MSI-Pakete für AccessAgent und AccessStudio auf Windows-Zielworkstations ausführen. Zu typischen Softwareverteilungssystemen gehören u. a. Microsoft Active Directory Group Policy Object (AD GPO),
Tivoli Endpoint Manager und Anwendungseinrichtungssoftware wie Tivoli Provisioning Manager.
Gehen Sie wie folgt vor, um die Client-Software auf mehreren Workstations zu verteilen (je nach der verwendeten Software):
v Tivoli Endpoint Manager: Siehe Handbuch IBM Security Access Manager for Enterprise Single Sign-On Tivoli Endpoint Manager Integration Guide.
120
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
v Active Directory Group Policy Object: Siehe die Microsoft-Website unter der Adresse http://www.microsoft.com. Suchen Sie dort nach Group Policy install
software remotely.
v Anwendungseinrichtungssoftware: Informationen sind in der vom Anbieter bereitgestellten Dokumentation enthalten.
Konfiguration der unbeaufsichtigten Installation
Sie können das Standardverhalten der AccessAgent-Installation anpassen, indem
Sie in der Datei SetupHlp.ini Parameter angeben.
Über die Datei SetupHlp.ini können Administratoren zudem die Parameter vordefinieren, die von der Datei ISAM ESSO AccessAgent.msi für eine unbeaufsichtigte
Installation verwendet werden können. Durch Vordefinieren der Attribute können
Administratoren umfangreiche Clientimplementierungen vereinfachen und mögliche Implementierungsprobleme vermeiden, indem sie die korrekten Hostnamensverbindungen angeben. Weitere Informationen finden Sie unter „Parameter der
Antwortdatei ("SetupHlp.ini")” auf Seite 122.
Vordefinierte Wallet vorbereiten und installieren
Bevor Sie AccessAgent auf mehreren Computern installieren, können Sie zunächst
eine Wallet vordefinieren. Das Vordefinieren einer Wallet kann die Last für IMS
Server reduzieren, wenn in umfangreichen Implementierungen gleichzeitig neue
Wallets von Clients heruntergeladen werden.
Vorbereitende Schritte
v Bereiten Sie einen Client-Computer für die Installation von AccessAgent vor.
Dieser Client-Computer ist die Staging-Workstation.
v Stellen Sie sicher, dass IMS Server installiert und konfiguriert ist.
Informationen zu diesem Vorgang
Die Konfiguration einer vordefinierten Wallet ist bei umfangreichen Implementierungen von AccessAgent nützlich.
Wenn AccessAgent auf einer neuen Workstation ohne zwischengespeicherte Wallets
auf dem Computer installiert wird, lädt AccessAgent eine neue Systemwallet von
IMS Server herunter.
Wenn eine vordefinierte Wallet in das Paket aufgenommen wird, führt dies dazu,
dass AccessAgent nur schrittweise Aktualisierungen von IMS Server herunterlädt,
anstatt eine neue Systemwallet herunterzuladen.
Vorgehensweise
1. Bereiten Sie die vordefinierten Wallets auf der Staging-Workstation vor.
a. Installieren Sie AccessAgent auf dem Client-Computer.
Dieser Client-Computer ist die Staging-Workstation.
Anmerkung: Stellen Sie sicher, dass keine frühere Version von AccessAgent installiert ist.
b. Stellen Sie sicher, dass AccessAgent eine Verbindung zum IMS Server-Produktionsserver herstellt.
Der AccessAgent-Client lädt die Systemdaten von IMS Server herunter. Die
Systemwallet wird erstellt.
Kapitel 2. AccessAgent und AccessStudio installieren
121
2. Kopieren Sie die generierte Walletdatei in das Installationsprogramm von AccessAgent.
Kopieren Sie auf der Staging-Workstation
die Walletdateien aus folgender Position:
In das Installationsprogramm von
AccessAgent Version 8.2.1:
<AccessAgent-installationspfad>\
Cryptoboxes\Wallets
Beispiel:
<AccessAgent_installationsprogrammspeicherposition>\ <aa_versionsnummer>\
<aa_paket_guid>\Config\Cryptoboxes\
Wallets
C:\Programme\IBM\ISAM ESSO\Cryptoboxes\
Wallets
Sie müssen die Ordner mit der Bezeichnung
Cryptoboxes\Wallets manuell erstellen.
Beispiel:
Für 32 Bit
c:\<AccessAgent_
installationsprogrammspeicherposition>\aa-<versionsnummer>\
{9713108D-08D5-474E-92A309CD7B63DB34}\Config\
Cryptoboxes\Wallets
Für 64 Bit
c:\<AccessAgent_
installationsprogrammspeicherposition>\aa<versionsnummer>_x64\{E72C402845BB-4EE6-8563-3066EEB39A84}\
Config\Cryptoboxes\Wallets
3. Installieren Sie das neue Installationsprogramm von AccessAgent auf allen anderen Client-Computern.
Anmerkung: Wenn der Zielcomputer ältere Versionen von AccessAgent aufweist, wird die vordefinierte Wallet nicht angewendet. Die Wallet aus der älteren Installation wird in die neue Installation kopiert.
Wichtig: Wenn Sie eine vordefinierte Wallet auf einem Computer installieren,
der zuvor unter IMS Server registriert war, dann müssen Sie nach der Installation die Maschinenrichtlinienschablone erneut anwenden. Alternativ hierzu können Sie den Maschineneintrag aus AccessAdmin löschen.
Ergebnisse
Sie haben eine Wallet mit dem Installationsprogramm von AccessAgent vordefiniert.
Parameter der Antwortdatei ("SetupHlp.ini")
Sie können die installierten Funktionen, Installationsverzeichnisse, den Zielserver
und Optionen für die einmalige Anmeldung in der Antwortdatei Setuphlp.ini angeben. Dieser Abschnitt enthält weitere Informationen über den Inhalt der Datei
Setuphlp.ini.
Die Optionen in der Datei SetupHlp.ini sind in folgende Kategorien unterteilt:
Nur bei der Installation zu verwendende Optionen
Dieser Abschnitt enthält eine Liste mit Optionen, die nach der Installation
nicht geändert werden können.
122
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Bei der Installation und während der Laufzeit zu verwendende Optionen, die jeweils mehreren Registrywerten zugeordnet sind
Dieser Abschnitt enthält eine Liste mit Optionen, die nach der Installation
durch Modifizieren von Registrywerten geändert werden können. Jede Option ist mehreren Registrywerten zugeordnet.
Bei der Installation und während der Laufzeit zu verwendende Optionen, die jeweils nur einem einzigen Registrywert zugeordnet sind
Dieser Abschnitt enthält eine Liste mit Optionen, die nach der Installation
durch Modifizieren von Registrywerten geändert werden können. Jede Option ist einem einzigen Registrywert zugeordnet.
Abhängigkeits-URLs
Sie werden vom Installationsprogramm an diese URL-Adressen weitergeleitet, falls die erforderlichen Installationskomponenten fehlen. Die Liste
der aufgeführten URL-Adressen sind in der Antwortdatei in Ihrem Installationspaket enthalten.
Nur bei der Installation zu verwendende Optionen
Dieser Abschnitt enthält eine Liste mit Optionen, die nach der Installation nicht geändert werden können.
Optionsname
Wert
Beschreibung
AAInstallDir
AAInstallDir
=C:\Programme\IBM\ISAM
ESSO\AA
Gibt Installationsverzeichnisse an.
FirstSyncMaxRetries
Standardwert: 1
Gibt die Anzahl der Versuche an, falls die erste
Synchronisation bei der Installation fehlschlägt.
FirstSyncRetryIntervalMins
Standardwert: 1
Zeitintervall in Minuten zwischen den einzelnen
Versuchen bei der Installation.
GinaWhiteList
msgina, engina.dll,
nwgina.dll
Die Liste der GINAs, die momentan von IBM
Security Access Manager for Enterprise Single
Sign-On unterstützt werden.
AccessAgent wird nicht installiert, wenn Sie eine
GINA verwenden, die nicht in dieser Liste enthalten ist.
Im Verlauf der Installation wird eine
Eingabeaufforderung angezeigt, in der ermittelt
wird, ob Sie die GINA in dieser Liste ersetzen wollen.
Bei einer unbeaufsichtigten Installation müssen Sie
die Option EnginaEnabled konfigurieren.
Anmerkung:
v Wenn Sie eine GINA verwenden möchten, die
nicht in der Liste enthalten ist, müssen Sie die
neue GINA für die Verwendung mit
AccessAgent testen. Fügen Sie dieser Liste dann
die neue .DLL-Datei hinzu.
v Trennen Sie die Werte durch Kommas voneinander.
EnginaEnabled
1 | 0 (Standardwert: 1)
Geben Sie an, ob das zurzeit verwendete Produkt
GINA durch EnGINA ersetzt werden soll.
Anmerkung:
v Für AccessAgent ab Version 3.3.0.0 ist die
Funktionsweise dieser Option für Workstations,
Terminal-Server und Citrix-Server konsistent.
v Verwenden Sie für Citrix-Server den Wert 0.
Kapitel 2. AccessAgent und AccessStudio installieren
123
Optionsname
Wert
Beschreibung
PriceLevel
Standard | Suite
Gibt den Produktlizenzstand an.
RebootEnabled
1 | 0 (Standardwert: 1)
Geben Sie an, ob nach der Installation ein Neustart
des Computers ausgelöst werden soll.
RebootConfirmationEnabled
1 | 0 (Standardwert: 1)
Geben Sie an, ob der Benutzer einen Neustart bestätigen soll. Nur wirksam, wenn RebootEnabled=1
festgelegt ist.
EnginaConflictPromptEnabled
1 | 0 (Standardwert: 1)
Gibt an, ob im Fall eines GINA-Konflikts eine
Eingabeaufforderung angezeigt wird.
UsbKeyPromptEnabled
1 | 0 (Standardwert: 1)
Geben Sie an, ob der Benutzer zu Einstecken eines
USB-Sticks aufgefordert werden soll, falls dieser
Vorgang nicht bereits bei der Installation erfolgt ist.
ImsConfigurationEnabled
1 | 0 (Standardwert: 1)
Geben Sie an, ob die Standardeinstellungen von
IMS Server konfiguriert und während der Installation Zertifikate aus IMS Server installiert werden
sollen.
ImsConfigurationPromptEnabled
1 | 0 (Standardwert: 0)
Geben Sie an, ob der Benutzer zur Eingabe des
IMS Server-Standardeintrags aufgefordert werden
soll, auch wenn dieser bereits korrekt konfiguriert
ist. Nur wirksam, wenn
ImsConfigurationEnabled=1 festgelegt ist.
InstallTypeGpo
1 | 0 (Standardwert: 0)
Geben Sie an, ob alle Systemanfragen unterdrückt
und in ein Protokoll geschrieben werden sollen.
Für die AD GPO-Installation erforderlich.
EncentuateNetworkProviderEnabled
1 | 0 (Standardwert: 0)
Geben Sie an, ob Encentuate Network Provider
während einer AccessAgent-Installation aktiviert
werden soll.
EncentuateCredentialProviderEnabled
1 | 0 (Standardwert: 1)
Geben Sie an, ob IBM Security Access Manager for
Enterprise Single Sign-On Credential Provider for
Windows 7 installiert werden soll.
ConsoleAppSupportEnabled
1 | 0 (Standardwert: 0)
Geben Sie an, ob IBM Security Access Manager for
Enterprise Single Sign-On Console Hook Loader
aktiviert werden soll. .
Anmerkung:
v Console Hook Loader ist standardmäßig inaktiviert.
v Geben Sie den Wert 1 an, um die
Konsolanwendungsunterstützung zu aktivieren.
v Alternativ dazu können Sie auch die Datei
InstallConsoleSupport.vbs, die sich im Verzeichnis <AccessAgent-installationsverzeichnis> befindet, nach der Installation ausführen.
ResetBioAPIPermissions
1 | 0 (Standardwert: 0)
Geben Sie an, ob BioAPI-Berechtigungen zurückgesetzt werden sollen.
DisableWin7CAD
1|0
Wenn dieser Wert auf 0 gesetzt wird, werden an
der Richtlinie DisableCAD keine Änderungen vorgenommen.
(Standardwert: 1)
Wenn dieser Wert auf 1 gesetzt wird, wird die
Richtlinie DisableCAD auf 1 gesetzt.
Wenn die Richtlinie DisableCAD auf 1 gesetzt wird,
wird die Anzeige zur Sicherheitsabfrage (Strg-AltEntf) nicht angezeigt.
RemoveWallet
1|0
Geben Sie an, ob die Wallet während der
Deinstallation entfernt werden soll.
(Standardwert: nicht definiert)
Bei der unbeaufsichtigten Deinstallation müssen
Sie den Parameter RemoveWallet=1 definieren, falls
er nicht bereits konfiguriert ist.
124
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Optionsname
Wert
Beschreibung
JVMInstallationDirectories
<jvm-verzeichnis_1> | <jvmverzeichnis_2> | <jvm-verzeichnis_3> |
JVM-Verzeichnisse, für die die Java-Unterstützung
für die automatische Anmeldung aktiviert werden
soll.
Die einzelnen Verzeichnisse müssen durch vertikale
Balken voneinander getrennt sein. Zwischen zwei
JVM-Verzeichnissen darf kein Leerzeichen enthalten sein. Beispiel:
v C:\Programme\Java\jre1.5.0_11
v C:\TAM E-SSO\j2re1.4.1
Speziell für JVM Version 1.2 oder höher.
OldJVMInstallationDirectories
<jvm-verzeichnis_1> | <jvmverzeichnis_2> | <jvm-verzeichnis_3> |
JVM-Verzeichnisse, für die die Java-Unterstützung
für die automatische Anmeldung aktiviert werden
soll.
Die einzelnen Verzeichnisse müssen durch vertikale
Balken voneinander getrennt sein. Zwischen zwei
JVM-Verzeichnissen darf kein Leerzeichen enthalten sein. Beispiel:
v C:\Programme\Java\jre1.5.0_11
v C:\TAM E-SSO\j2re1.4.1
Speziell für JVM Version 1.1
CitrixVirtualChannelConnectorMode
0|1|2|3|4
Moduskonfiguration für AccessAgent Connector
für virtuelle Citrix-Kanäle
(Standardwert: nicht definiert)
v Auf 0 setzen, wenn Connector für virtuelle Kanäle nicht aktiviert werden soll.
v Auf 1 setzen, wenn Connector für virtuelle Kanäle auf dem Client-Computer aktiviert werden
soll.
v Auf 2 setzen, wenn Connector für virtuelle Kanäle über den Server aktiviert und AccessAgent
im Standardmodus ausgeführt werden soll.
v Auf 3 setzen, wenn Connector für virtuelle Kanäle über den Server aktiviert und AccessAgent
im einfachen Modus ausgeführt werden soll.
v Auf 4 setzen, wenn Connector für virtuelle Kanäle über den Server aktiviert und AccessAgent
im erzwungenen einfachen Modus ausgeführt
werden soll.
ICAClientInstallDir
<Citrix ICA Clientinstallationsverzeichnis>
Geben Sie das Installationsverzeichnis für Citrix
ICA Client an. Dies ist für Connector für virtuelle
Citrix-Kanäle für den Client erforderlich.
Bei der Installation und während der Laufzeit zu verwendende
Optionen, die jeweils mehreren Registrywerten zugeordnet sind
Dieser Abschnitt enthält eine Liste mit Optionen, die nach der Installation durch
Modifizieren von Registrywerten geändert werden können. Jede Option ist mehreren Registrywerten zugeordnet.
Optionsname
Wert
Beschreibung
ImsSecurePortDefault
Standardwert: 443
Nummer des standardmäßig verwendeten sicheren
Ports für den standardmäßig verwendeten IMS Server.
Kapitel 2. AccessAgent und AccessStudio installieren
125
Optionsname
Wert
Beschreibung
ImsDownloadPortDefault
Standardwert: 80
Nummer des standardmäßig verwendeten
Downloadports für den standardmäßig verwendeten IMS Server.
Dieser Port wird nur zum Herunterladen von IMS
Server-Zertifikaten verwendet.
ImsDownloadProtocolDefault
Standardeinstellung: http://
Standarddownloadprotokoll zum Herunterladen
von IMS Server-Zertifikaten.
Bei der Installation und während der Laufzeit zu verwendende
Optionen, die jeweils nur einem einzigen Registrywert zugeordnet sind
Dieser Abschnitt enthält eine Liste mit Optionen, die nach der Installation nicht geändert werden können.
Optionsname
Wert
Beschreibung
WalletTypeSupported
0 | 1 | 2 (Standardwert: 0)
Unterstützte Wallettypen.
v 0 - Nur IMS Server
v 1 - Nur Nicht-IMS Server
v 2 - Sowohl IMS Server als auch Nicht-IMS Server
ImsAddressPromptEnabled
1 | 0 (Standardwert: 0)
Geben Sie an, ob der Benutzer während der Subskription zur Eingabe einer Adresse für IMS Server
aufgefordert werden soll, auch wenn die in
ImsServerName angegebene Adresse für IMS Server
korrekt ist.
ImsServerName
<SAM ESSO IMS Server>
Tatsächlicher Hostname von IMS Server.
Unterstützung für zusätzliche Sprachen hinzufügen
Sie können vor Beginn der Installation Unterstützung für zusätzliche Sprachen hinzufügen. Wenden Sie zum Hinzufügen von Sprachunterstützung Sprachumsetzungen auf die Datei ISAM ESSO AccessStudio.msi an.
Verwenden Sie die Optionen für Gruppenrichtlinienobjekte von Active Directory
(Active Directory Group Policy Object) für die Anwendung von Sprachumsetzungen. Die Komponente AccessStudio wird mit Umsetzungsdateien in jedem Komponentenordner für das Installationsprogramm geliefert.
Umsetzungen weisen die Dateierweiterung .mst auf. Wählen Sie die Sprachumsetzungsdatei (.mst) auf der Basis der nachfolgend aufgeführten LändereinstellungsID- oder LCID-Werte aus. Die Umsetzungsdatei verwendet das Dezimalformat der
LCID.
126
Beschreibung der
Ländereinstellung
Sprachumsetzung
LCID
RFC1766Kurzzeichenfolge
Arabisch
1025.mst
0x0401
ar-sa
Portugiesisch (Brasili- 1046.mst
en)
0x0416
pt-br
Chinesisch - vereinfachtes Chinesisch
2052.mst
0x0804
zh-cn
Chinesisch - traditionelles Chinesisch
1028.mst
0x0404
zh-tw
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Beschreibung der
Ländereinstellung
Sprachumsetzung
LCID
RFC1766Kurzzeichenfolge
Tschechisch
1029.mst
0x0405
cs
Dänisch
1030.mst
0x0406
da
Niederländisch - Nie- 1043.mst
derlande
0x0413
nl
Englisch - USA
1033.mst
0x0409
en-us
Finnisch
1035.mst
0x040b
fi
Französisch - Frankreich
1036.mst
0x040c
fr
Deutsch - Deutschland
1031.mst
0x0407
de
Hebräisch
1037.mst
0x040d
he
Ungarisch
1038.mst
0x040e
hu
Italienisch - Italien
1040.mst
0x0410
it
Japanisch
1041.mst
0x0411
ja
Koreanisch
1042.mst
0x0412
ko
Polnisch
1045.mst
0x0415
po
Russisch
1049.mst
0x0419
ru
Spanisch - Spanien
1034.mst
0x040a
es
AccessAgent installieren
AccessAgent kann interaktiv oder unbeaufsichtigt installiert werden. Bei der interaktiven Installationsmethode werden Sie durch die Installation geführt. Die unbeaufsichtigte Installation ermöglicht standardisierte, wiederholbare Installationen für
viele Client-Computer.
Vorbereitungen
Wenn Sie in Ihrer IMS Server-Installation ein Programm für den Lastausgleich einsetzen, geben Sie dessen URL als Ziel-URL für jede Implementierung von AccessAgent an.
Wenn Sie kein Programm für den Lastausgleich verwenden, geben Sie die URL des
IBM HTTP Server-Systems an, das die Verbindungsanforderung an IMS Server weiterleitet. Wenn Sie mit einem fernen Web-Server arbeiten, müssen Sie sicherstellen,
dass die URL des Web-Servers erreichbar ist.
Hinweis:
v Installieren Sie bei Implementierungen in der Produktionsumgebung den AccessAgent-Client keinesfalls auf dem IMS Server-Host. Implementieren Sie AccessAgent separat auf Client-Workstations, die eine einmalige Anmeldung erfordern.
v Antivirensoftware kann mit AccessAgent oder IMS Server kollidieren. Weitere
Informationen finden Sie im Abschnitt "Known issues and solutions" im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and
Support Guide.
Weitere Informationen finden Sie in den folgenden Themen:
Kapitel 2. AccessAgent und AccessStudio installieren
127
v Systemvoraussetzungen. Siehe Abschnitt „Hardware and software requirements”
im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning
and Deployment Guide.
v
v
v
v
v
v
„AccessAgent installieren”
„AccessAgent unbeaufsichtigt installieren (Befehlszeile)” auf Seite 129
„AccessAgent mithilfe des Gruppenrichtlinienobjekts installieren” auf Seite 130
„Dateien und Registry-Einträge prüfen” auf Seite 132
„ESSO Network Provider prüfen” auf Seite 133
„Unterstützung für die einmalige Anmeldung in Mozilla Firefox Extended Support Release aktivieren” auf Seite 133
AccessAgent installieren
Verwenden Sie die Datei Setup.exe zur Installation des vollständigen AccessAgentPakets auf dem Computer des Benutzers.
Vorbereitende Schritte
v Beachten Sie die Produktbeschreibung oder den Namen auf der Passport Advantage-Seite „Find downloads & media”.
v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
v Unterstützung für die einmalige Anmeldung bei Anwendungen, die mit dem
Browser Mozilla Firefox aufgerufen werden, finden Sie in „Unterstützung für die
einmalige Anmeldung in Mozilla Firefox Extended Support Release aktivieren”
auf Seite 133.
Informationen zu diesem Vorgang
Die Datei Setup.exe installiert während der Installation von AccessAgent automatisch folgende Softwareabhängigkeiten:
v MSXML 4.0 SP3
v MSXML 6.0 SP1
v Microsoft Visual C++ 2008 SP1
Vorgehensweise
1. Führen Sie im AccessAgent-Installationsprogrammpaket einen Doppelklick auf
Setup.exe aus, um den InstallShield-Assistenten zu starten.
2. Wählen Sie entsprechend Ihrer Lizenz eine Produktpaketversion aus und klicken Sie auf Weiter.
v IBM Security Access Manager for Enterprise Single Sign-On Standard
Dieses Paket bietet einmalige Anmeldung, strikte Authentifizierung, Sitzungsmanagement, zentrale Protokollierung und Berichterstellung.
v IBM Security Access Manager for Enterprise Single Sign-On Suite
Dieses Paket bietet neben den Merkmalen des Pakets "Standard" OTP-Unterstützung, AccessAgent-Plug-ins, einmalige Anmeldung im Web und Fernzugriff über Web Workplace, angepasste Überwachungsfunktionen sowie IAMIntegration.
3. Wählen Sie Ich akzeptiere die Bedingungen der Lizenzvereinbarung aus und
klicken Sie auf Weiter.
4. Geben Sie in das Feld Server den Namen für IMS Server ein und klicken Sie
auf Weiter. Die Standardporteinstellung ist 80. Das Installationsverzeichnis
128
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
wird angezeigt. Standardmäßig wird AccessAgent im Verzeichnis
C:\Programme\IBM\ISAM ESSO\AA installiert.
Anmerkung: Klicken Sie auf Ändern und wählen Sie einen anderen Ordner
aus, wenn das Programm an einer anderen Position installiert werden soll.
Wenn Sie einen zu langen Installationspfad angeben, wird dieser unter Umständen abgeschnitten dargestellt. Diese Abschneidung wirkt sich jedoch nicht auf
die tatsächliche Installationsposition aus.
5. Klicken Sie auf Installieren.
6. Klicken Sie auf Fertigstellen. Sie werden dazu aufgefordert, den Computer erneut zu starten.
7. Klicken Sie auf Ja.
Ergebnisse
Sie erhalten eine Benachrichtigung, dass die Installation ausgeführt wurde.
Nächste Schritte
Nach dem Neustart des Computers und beim Anzeigen der Anmeldeanzeige müssen Sie sicherstellen, dass Sie sich anmelden können. Sie können auch die Dateien
und Registry-Einträge prüfen, um sicherzustellen, dass die Installation erfolgreich
verlief.
AccessAgent unbeaufsichtigt installieren (Befehlszeile)
Verwenden Sie zur Ausführung einer unbeaufsichtigten Installation den Befehl
Setup.exe mit dem Parameter /silent.
Vorgehensweise
1. Öffnen Sie die Antwortdatei SetupHlp.ini im Verzeichnis
<AccessAgent_installationspaketpfad>\<AccessAgent_installationspfad>\
Config. Beispiel:
Für 32 Bit
aa-8.2.1.0100\{9713108D-08D5-474E-92A3-09CD7B63DB34}\Config
Für 64 Bit
aa-8.2.1.0100_x64\{E72C4028-45BB-4EE6-8563-3066EEB39A84}\Config
2. Geben Sie in der Antwortdatei SetupHlp.ini die folgenden erforderlichen Parameter für eine unbeaufsichtigte Installation an:
InstallTypeGPO
Stellen Sie sicher, dass der Wert des Parameters InstallTypeGPO 1 ist.
ImsConfigurationPromptEnabled
Stellen Sie sicher, dass für den Parameter ImsConfigurationPromptEnabled
der Wert 1 verwendet wird. Der Standardwert ist 0.
Anmerkung: Wenn der Wert des Parameters
ImsConfigurationPromptEnabled auf 1 gesetzt wird, läuft die Installation
nicht unbeaufsichtigt ab. Die Konfigurationseingabeaufforderung von IMS
Server wird angezeigt, auch wenn Sie den Parameter /silent angeben. Parameter in der Antwortdatei haben stets Vorrang gegenüber allen Parametern, die in der Befehlszeilenschnittstelle angegeben werden.
Kapitel 2. AccessAgent und AccessStudio installieren
129
PriceLevel
Geben Sie die lizenzierte Produktedition mit dem Parameter PriceLevel an.
Beispiel: Suite oder Standard.
ImsServerName
Geben Sie die Position von IMS Server an. Beispiel: IMSServerName = IMSServer.example.com.
3. Speichern Sie die Datei.
4. Öffnen Sie das Fenster mit der Eingabeaufforderung.
5. Geben Sie im Fenster mit der Eingabeaufforderung den Befehl Setup.exe
/silent /language:LCID ein.
Dabei gilt Folgendes:
Setup.exe
Installiert AccessAgent.
/silent
Gibt eine unbeaufsichtigte Installation an.
/language:LCID
Gibt an, dass die Installation in einer bestimmten Sprache ausgeführt wird.
Eine Liste der Ländereinstellungs-IDs (LCIDs = Locale IDs) für die verschiedenen Sprachen finden Sie auf der Microsoft-Website unter www.microsoft.com. Suchen Sie dort nach Locale IDs assigned by Microsoft.
Wenn Sie eine Ländereinstellungs-ID angeben, die von der Installation nicht
unterstützt wird, dann wird der Parameter ignoriert.
Ergebnisse
Sie haben AccessAgent unbeaufsichtigt als Hintergrundprozess installiert. Standardmäßig wurde während des Installationsprozesses in der Datei
%temp%\AAInstaller.log eine Protokolldatei erstellt.
AccessAgent mithilfe von Tivoli Endpoint Manager installieren
IBM Security Access Manager for Enterprise Single Sign-On wird mit IBM Tivoli
Endpoint Manager 8.2 zur automatischen Implementierung von AccessAgent auf
Client-Computern integriert.
Weitere Informationen finden Sie im Abschnitt zum Fixlet für die Installation und
das Upgrade von AccessAgent im Handbuch IBM Security Access Manager for Enterprise Single Sign-On Tivoli Endpoint Manager Integration Guide.
AccessAgent mithilfe des Gruppenrichtlinienobjekts installieren
Bei großen AccessAgent-Implementierungen können Sie AccessAgent auf mehreren
Workstations mithilfe des Microsoft Active Directory Group Policy Object (Gruppenrichtlinienobjekt) installieren.
Informationen zu diesem Vorgang
Weitere Informationen zum Startscript finden Sie auf der Microsoft-Website unter
http://www.microsoft.com. Suchen Sie dort nach Assign computer startup
scripts GPO.
130
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Vorgehensweise
1. Geben Sie in der Antwortdatei SetupHlp.ini folgende erforderlichen Parameter
an:
InstallTypeGPO
Überprüfen Sie, ob der Wert des Parameters InstallTypeGPO 1 ist.
ImsConfigurationPromptEnabled
Überprüfen Sie, ob der Wert des Parameters
ImsConfigurationPromptEnabled 1 ist.
PriceLevel
Geben Sie die lizenzierte Produktedition mit dem Parameter PriceLevel an.
Beispiel: Suite oder Standard.
ImsServerName
Geben Sie die Position von IMS Server an. Beispiel: IMSServerName = IMSServer.example.com.
2. Speichern Sie das AccessAgent-Installationsprogrammpaket in einem gemeinsam genutzten Ordner, auf den alle Ziel-Client-Computer Zugriff haben.
3. Navigieren Sie zu Gruppenrichtlinienobjekt > Computerkonfiguration > Windows-Einstellungen > Skripts > Start.
4. Führen Sie folgendes Installationsstapelscript aus.
echo AA Suite Installation starts on %DATE% at %TIME% > %temp%\AASuiteInstall.log
<AccessAgent-Installationsprogrammpaket>\setup.exe /silent
echo AA Suite Installation ends on %DATE% at %TIME% >> %temp%\AASuiteInstall.log
Methoden zum Festlegen der IMS Server-Position
Es gibt verschiedene Methoden zum manuellen Festlegen der IMS Server-Position
für AccessAgent.
Prüfen Sie die Hostverbindungen, um häufige Verbindungsprobleme zwischen
dem AccessAgent-Client und IMS Server zu vermeiden. Stellen Sie mit dem Befehl
ping sicher, dass die Verbindungen zwischen Hosts aufgelöst werden können.
Stellen Sie sicher, dass Sie die folgenden Tasks ausführen, bevor Sie die IMS Server-Position festlegen:
v IBM HTTP Server wird konfiguriert und gestartet.
v WebSphere Application Server wird konfiguriert und gestartet.
v Die Anwendung IMS Server in WebSphere Application Server wird gestartet.
v Der Datenbankserver wird gestartet.
v Der Verzeichnisserver wird gestartet.
Wichtig: Wenn Sie die IMS Server-Position ändern, müssen Sie den Ordner Cryptoboxes im Verzeichnis C:\Programme\IBM\ISAM ESSO\AA\ löschen. Löschen Sie den
Ordner, damit nicht Richtlinien aus verschiedenen Instanzen von IMS Server miteinander vermischt werden. Der Ordner kann vor dem Löschen auch gesichert werden.
Wählen Sie zum Festlegen oder Ändern des IMS Server-Hosts für AccessAgent
eine der folgenden Methoden aus:
v „IMS Server-Position manuell festlegen (Antwortdatei)” auf Seite 132
v „IMS Server-Position manuell festlegen (Menüverknüpfung)” auf Seite 132
Kapitel 2. AccessAgent und AccessStudio installieren
131
IMS Server-Position manuell festlegen (Antwortdatei)
Geben Sie zum Vorbereiten von AccessAgent für eine unbeaufsichtigte Installation
den IMS Server-Host in der Antwortdatei SetupHlp.ini an.
Vorgehensweise
Öffnen Sie den Ordner Config. Beispiel: c:\Programme\IBM\ISAM ESSO\
Klicken Sie doppelt auf die Datei SetupHlp.ini, um die Datei zu öffnen.
Suchen Sie nach IMSServerName = <ISAM ESSO IMS Server>.
Ersetzen Sie <SAM E-SSO IMS Server> durch den Namen Ihres IMS Server. Beispiel: IMSServerName = IMSServer.example.com.
5. Speichern Sie die Datei.
6. Starten Sie den Computer erneut.
1.
2.
3.
4.
IMS Server-Position manuell festlegen (Menüverknüpfung)
Verwenden Sie die Verknüpfungen für installierte Programme im Startmenü, um
die IMS Server-Position für AccessAgent festzulegen.
Vorgehensweise
1. Klicken Sie auf Start > Alle Programme > ISAM ESSO AccessAgent > IMS
Server-Position festlegen.
2.
3.
4.
5.
Geben Sie den Hostnamen von IMS Server an. Beispiel: imssvr.example.com
Geben Sie die HTTP-Portnummer an. Beispiel: 80
Klicken Sie auf OK, um den Vorgang zu beenden.
Starten Sie den Computer erneut.
Dateien und Registry-Einträge prüfen
Nach der Installation von AccessAgent und AccessStudio müssen Sie sicherstellen,
dass alle Programmdateien und Registry-Einträge erfolgreich auf dem Computer
installiert wurden.
Programmdateien von AccessAgent und AccessStudio
Standardmäßig werden die Programmdateien von AccessAgent und AccessStudio
im Verzeichnis C:\Programme\IBM\ISAM ESSO\AA gespeichert. Die folgenden Unterordner und Dateien werden nach der Installation von AccessAgent und AccessStudio erstellt:
v
v
v
v
v
C:\Programme\IBM\ISAM
C:\Programme\IBM\ISAM
C:\Programme\IBM\ISAM
C:\Programme\IBM\ISAM
C:\Programme\IBM\ISAM
ESSO\AA\AccessAgent
ESSO\AA\ECSS\AccessStudio
ESSO\AA\Cryptoboxes
ESSO\AA\Data
ESSO\AA\ECSS
v C:\Programme\IBM\ISAM ESSO\AA\ECSS\Firefox_ext
v C:\Programme\IBM\ISAM ESSO\AA\ECSS\Firefox_xpcom
v
v
v
v
v
C:\Programme\IBM\ISAM
C:\Programme\IBM\ISAM
C:\Programme\IBM\ISAM
C:\Programme\IBM\ISAM
C:\Programme\IBM\ISAM
ESSO\AA\GSKit
ESSO\AA\License
ESSO\AA\ECSS\JavaSupport
ESSO\AA\Logs
ESSO\AA\ECSS\SimpleToStateSupport
v C:\Programme\IBM\ISAM ESSO\AA\TSSDK
132
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Registry-Einträge von AccessAgent und AccessStudio
Registry-Einträge von AccessAgent und AccessStudio werden im Schlüssel
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO] gespeichert. Standardregistrywerte
werden bei der Installation automatisch eingetragen.
v
v
v
v
v
v
v
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM
ESSO\AccessStudio]
ESSO\ECSS]
ESSO\ECSS\DeploymentOptions]
ESSO\ECSS\Temp]
ESSO\DeploymentOptions]
ESSO\IMSService\DefaultIMSSettings]
ESSO\IMSService\GlobalIMSSettings]
v
v
v
v
v
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM
ESSO\AccessAgent\Integration]
ESSO\Internal]
ESSO\LastLogin]
ESSO\SOCIAccess]
ESSO\Temp]
ESSO Network Provider prüfen
ESSO Network Provider erfasst die Benutzerberechtigungsnachweise, die in Microsoft GINA eingegeben werden. ESSO Network Provider verwendet diese Berechtigungsnachweise für die Anmeldung des jeweiligen Benutzers bei IBM Security Access Manager for Enterprise Single Sign-On. Stellen Sie sicher, dass ESSO
Network Provider funktioniert.
ESSO Network Provider ist installiert und funktioniert in folgenden Fällen:
v Wenn [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
EnNetworkProvider] vorhanden ist.
v Wenn der Registry-Schlüssel ProviderOrder in [HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\NetworkProvider\Order] den Wert
EnNetworkProvider enthält. Wenn dieser Wert noch nicht im Feld Wertdaten enthalten ist, fügen Sie ihn hinzu.
Anmerkung: Geben Sie kein Komma an, wenn keine voranstehenden Einträge
vorhanden sind.
v Die Datei EnNetworkProvider.dll ist im Produktinstallationsverzeichnis enthalten.
Unterstützung für die einmalige Anmeldung in Mozilla Firefox
Extended Support Release aktivieren
Um die einmalige Anmeldung (Single Sign-on) und die Automatisierung für Webanwendungen zu aktivieren, auf die über Mozilla Firefox Extended Support Release zugegriffen wird, müssen Sie die AccessAgent-Erweiterung für Mozilla
Firefox Extended Support Release herunterladen und installieren.
AccessAgent ist noch nicht installiert
Sie können die Unterstützung für die einmalige Anmeldung in Mozilla Firefox Extended Support Release aktivieren, selbst wenn AccessAgent noch nicht installiert
ist.
Kapitel 2. AccessAgent und AccessStudio installieren
133
Vorbereitende Schritte
Laden Sie die AccessAgent-Erweiterung für Mozilla Firefox Extended Support Release über die technischen Hinweise "IBM Security Access Manager for Enterprise
Single Sign-On Support for Mozilla Firefox Extended Support Release" unter
http://www.ibm.com/support/docview.wss?uid=swg21660003 herunter.
Stellen Sie Folgendes sicher:
v Verwenden Sie Mozilla Firefox Extended Support Release.
v Arbeiten Sie mit Administratorberechtigungen.
Informationen zu diesem Vorgang
Führen Sie diese Task nur dann aus, wenn Sie bereits Mozilla Firefox Extended
Support Release installiert haben, AccessAgent aber noch nicht installiert ist.
Vorgehensweise
1. Extrahieren Sie die heruntergeladene Datei ESSOFirefox<version>Extension.zip
in einen beliebigen Ordner. Beispiel: C:\temp\.
2. Führen Sie das Script InstallFirefoxExt.vbs mit Administratorberechtigungen
über die Befehlszeile aus.
3. Installieren Sie AccessAgent. Weitere Informationen hierzu finden Sie im Abschnitt zur Installation von AccessAgent im Handbuch IBM Security Access Manager for Enterprise Single Sign-On - Installation.
4. Starten Sie den Browser Mozilla Firefox Extended Support Release. Möglicherweise werden Sie zum Aktivieren der AccessAgent-Erweiterung aufgefordert.
Ergebnisse
Vom Script wird automatisch folgender Registry-Eintrag an folgenden Positionen
erstellt:
Typ
Schlüssel
String (REG_SZ)
Für 32 Bit
[HKEY_LOCAL_MACHINE\SOFTWARE\
Mozilla\Firefox\extensions]
Für 64 Bit
[HKEY_LOCAL_MACHINE\SOFTWARE\
Wow6432Node\Mozilla\Firefox\
Extensions]
Name
isamesso@ibm.com
Wert
<AA-installationspfad>\ECSS\
Firefox17Extension
Nächste Schritte
Prüfen Sie, ob die Mozilla Firefox-Erweiterungsdatei für IBM Security Access Manager for Enterprise Single Sign-On in Mozilla Firefox > Extras > Add-ons > Erweiterungen angezeigt wird und aktiviert ist.
134
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Bei Problemen finden Sie Informationen in der Protokolldatei im Installationsordner von AccessAgent. Beispiel: C:\Program Files\IBM\ISAM ESSO\AA\logs\
AAInstaller.log.
AccessAgent ist installiert
Sie können die Unterstützung für die einmalige Anmeldung in Mozilla Firefox Extended Support Release nach der Installation von AccessAgent aktivieren.
Vorbereitende Schritte
Laden Sie die AccessAgent-Erweiterung für Mozilla Firefox Extended Support Release über die technischen Hinweise "IBM Security Access Manager for Enterprise
Single Sign-On Support for Mozilla Firefox Extended Support Release" unter
http://www.ibm.com/support/docview.wss?uid=swg21660003 herunter.
Stellen Sie Folgendes sicher:
v Verwenden Sie Mozilla Firefox Extended Support Release.
v Arbeiten Sie mit Administratorberechtigungen.
Informationen zu diesem Vorgang
Führen Sie diese Task nur aus, wenn AccessAgent bereits installiert ist.
Vorgehensweise
1. Extrahieren Sie die heruntergeladene Datei ESSOFirefox<version>Extension.zip
in einen beliebigen Ordner. Beispiel: C:\temp\.
2. Führen Sie das Script InstallFirefoxExt.vbs mit Administratorberechtigungen
über die Befehlszeile aus.
3. Starten Sie den Browser Mozilla Firefox Extended Support Release. Möglicherweise werden Sie zum Aktivieren der AccessAgent-Erweiterung aufgefordert.
Ergebnisse
Vom Script wird automatisch folgender Registry-Eintrag an folgenden Positionen
erstellt:
Typ
Schlüssel
String (REG_SZ)
Für 32 Bit
[HKEY_LOCAL_MACHINE\SOFTWARE\
Mozilla\Firefox\extensions]
Für 64 Bit
[HKEY_LOCAL_MACHINE\SOFTWARE\
Wow6432Node\Mozilla\Firefox\
Extensions]
Name
isamesso@ibm.com
Wert
<AA-installationspfad>\ECSS\
Firefox<version>Extension
Nächste Schritte
Prüfen Sie, ob die Mozilla Firefox-Erweiterungsdatei für IBM Security Access Manager for Enterprise Single Sign-On in Mozilla Firefox > Extras > Add-ons > Erweiterungen angezeigt wird und aktiviert ist.
Kapitel 2. AccessAgent und AccessStudio installieren
135
Bei Problemen finden Sie Informationen in der Protokolldatei im Installationsordner von AccessAgent. Beispiel: C:\Program Files\IBM\ISAM ESSO\AA\logs\
AAInstaller.log.
AccessStudio installieren
Installieren Sie AccessStudio auf einem einzigen Computer oder konfigurieren Sie
eine unbeaufsichtigte Implementierung für mehrere Client-Computer.
Weitere Informationen finden Sie in den folgenden Themen:
v Voraussetzungen für AccessStudio. Siehe Abschnitt „Hardware and software requirements” im Dokument IBM Security Access Manager for Enterprise Single SignOn Planning and Deployment Guide.
v „AccessStudio installieren (Setup.exe)”
v „AccessStudio installieren (MSI-Paket)” auf Seite 137
v „AccessStudio unbeaufsichtigt installieren (Befehlszeile)” auf Seite 138
AccessStudio installieren (Setup.exe)
Sie können AccessStudio auf festgelegten Client-Computern installieren, um zusätzliche AccessProfiles zu erstellen. Verwenden Sie bei einzelnen Implementierungen die Datei Setup.exe für die Installation von AccessStudio auf dem Benutzercomputer.
Vorbereitende Schritte
v Beachten Sie die Produktbeschreibung oder den Namen auf der Passport Advantage-Seite "Find downloads & media".
v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
v Nur unter Windows XP Professional: Stellen Sie sicher, dass Microsoft .NET
Framework Version 2.0 installiert ist.
Rufen Sie zum Herunterladen dieser Software die Website von Microsoft unter
der Adresse www.microsoft.com auf und suchen Sie dort nach „.NET Framework 2.0 download”.
v Installieren Sie AccessAgent.
Informationen zu diesem Vorgang
Wenn Sie die Datei Setup.exe für die Installation von AccessStudio verwenden,
können Sie die gewünschte Einrichtungssprache auswählen.
Vorgehensweise
1. Doppelklicken Sie die Datei setup.exe aus dem Installationspaket.
2. Wählen Sie aus der Liste eine Sprache aus. Das Fenster "Prüfung der Produktlizenz" wird angezeigt.
3. Klicken Sie auf OK.
4. Wählen Sie entsprechend Ihrer Lizenz eine Produktpaketversion aus und klicken Sie auf Weiter.
v IBM Security Access Manager for Enterprise Single Sign-On Standard
Dieses Paket bietet einmalige Anmeldung, strikte Authentifizierung, Sitzungsmanagement, zentrale Protokollierung und Berichterstellung.
v IBM Security Access Manager for Enterprise Single Sign-On Suite
136
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Dieses Paket bietet neben den Merkmalen des Pakets "Standard" OTP-Unterstützung, AccessAgent-Plug-ins, einmalige Anmeldung im Web und Fernzugriff über Web Workplace, angepasste Überwachungsfunktionen sowie
IAM-Integration.
5. Wählen Sie das Produkt aus, für dessen Installation Sie über eine Lizenz verfügen.
v IBM Security Access Manager for Enterprise Single Sign-On Standard
Dieses Paket bietet strikte Authentifizierung, Sitzungsmanagement, zentrale
Protokollierung und Berichterstellung sowie einmalige Anmeldung.
v IBM Security Access Manager for Enterprise Single Sign-On Suite
Dieses Paket bietet neben den Merkmalen des Pakets "Standard" OTP-Unterstützung, AccessAgent-Plug-ins, einmalige Anmeldung im Web und Fernzugriff über Web Workplace, angepasste Überwachungsfunktionen sowie
IAM-Integration.
6. Klicken Sie auf Weiter.
7. Wählen Sie Ich akzeptiere die Bedingungen der Lizenzvereinbarung aus.
8. Klicken Sie auf Weiter. Das Installationsverzeichnis wird angezeigt.
v Auf 64-Bit-Plattformen von Windows wird als Standardinstallationsverzeichnis von AccessStudio das Verzeichnis C:\Programme (x86)\IBM\ISAM
ESSO\AA\ECSS verwendet.
v Auf 32-Bit-Plattformen von Windows wird als Standardinstallationsverzeichnis von AccessStudio das Verzeichnis C:\Programme\IBM\ISAM
ESSO\AA\ECSS\AccessStudio verwendet.
Anmerkung: Klicken Sie auf Durchsuchen und wählen Sie einen anderen
Ordner aus, wenn das Programm an einer anderen Position installiert werden
soll.
9. Klicken Sie auf Weiter. AccessStudio wird erfolgreich installiert.
10. Klicken Sie auf Fertigstellen.
Ergebnisse
Sie haben AccessStudio erfolgreich installiert.
Nächste Schritte
Stellen Sie sicher, dass Sie AccessStudio starten sowie ein AccessProfile auf dem
IMS Server-Host erstellen und implementieren können. Siehe IBM Security Access
Manager for Enterprise Single Sign-On AccessStudio Guide.
Prüfen Sie die Dateien und Registry-Einträge für AccessStudio.
AccessStudio installieren (MSI-Paket)
Mit der MSI-Paketdatei können Sie AccessStudio auf festgelegten Client-Computern installieren, um zusätzliche AccessProfiles zu erstellen. Verwenden Sie bei umfangreichen Implementierungen das MSI-Paket für die gleichzeitige Installation von
AccessStudio auf mehreren Computern. Dieser Abschnitt enthält Informationen zu
den Voraussetzungen und der Prozedur für die Installation von AccessStudio über
die MSI-Paketdatei.
Kapitel 2. AccessAgent und AccessStudio installieren
137
Vorbereitende Schritte
v Nur unter Windows XP: Stellen Sie sicher, dass Microsoft .NET Framework Version 2.0 installiert ist.
Rufen Sie zum Herunterladen dieser Software die Website von Microsoft unter
der Adresse www.microsoft.com auf und suchen Sie dort nach „.NET Framework 2.0 download”.
v „IMS Server für einen Cluster konfigurieren” auf Seite 108.
v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
Anmerkung: Informationen zum Anpassen des .msi-Implementierungspakets finden Sie in „Installationspaket für die Installation auf mehreren PCs vorbereiten”
auf Seite 120.
Vorgehensweise
1. Doppelklicken Sie auf die Datei ISAM ESSO AccessStudio.msi aus dem Installationspaket. Sie werden dazu aufgefordert, zu bestätigen, ob die Datei ausgeführt werden soll.
2. Klicken Sie auf Ausführen. Der Assistent des Installationsprogramms von IBM
Security Access Manager for Enterprise Single Sign-On AccessStudio wird gestartet.
3. Wählen Sie Ich akzeptiere die Bedingungen der Lizenzvereinbarung aus.
4. Klicken Sie auf Weiter. AccessStudio wird erfolgreich installiert.
5. Klicken Sie auf Fertigstellen.
Ergebnisse
Sie haben AccessStudio erfolgreich installiert.
Nächste Schritte
Stellen Sie sicher, dass Sie AccessStudio starten sowie ein AccessProfile auf dem
IMS Server-Host erstellen und implementieren können. Siehe IBM Security Access
Manager for Enterprise Single Sign-On AccessStudio Guide.
Prüfen Sie die Dateien und Registry-Einträge für AccessStudio.
AccessStudio unbeaufsichtigt installieren (Befehlszeile)
Verwenden Sie zur Ausführung einer unbeaufsichtigten Installation den Befehl
msiexec mit dem Parameter /quiet. Dies bedeutet, dass Sie AccessStudio ohne Interaktion auf einem Computer installieren können.
Informationen zu diesem Vorgang
Im Befehl msiexec werden Parameter verwendet, um dem MSI-basierten Installationsprogramm einen Teil oder sämtliche Informationen zur Verfügung zu stellen,
die normalerweise interaktiv in einem Installationsprogramm angegeben werden.
Sie können in der Befehlszeilenschnittstelle Parameter zur Anwendung einer bestimmten Sprachumsetzung angeben.
Anmerkung: Rufen Sie die Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach msiexec command-line options, um weitere Informationen zum Befehlszeilentool msiexec zu erhalten.
138
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Vorgehensweise
1. Öffnen Sie die Eingabeaufforderung im Administratormodus.
2. Geben Sie im Fenster mit Eingabeaufforderung den Befehl msiexec mit den folgenden Parametern ein (ohne Zeilenumbrüche).
msiexec /i "<pfad>\ISAM
ESSO AccessStudio.msi" /quiet TRANSFORMS=<sprachenpaket_für_
sprachenpaket> PRICE_LEVEL=<lizenz_
typ>
Dabei gilt Folgendes:
/i "<pfad>\ISAM ESSO AccessStudio.msi"
Installiert AccessStudio über die angegebene .msi-Datei. Dies ist ein erforderlicher Parameter.
/quiet
Gibt eine unbeaufsichtigte Installation an. Dies ist ein erforderlicher Parameter.
TRANSFORMS="<sprachenpaket_für_installation>"
Gibt das Sprachenpaket an, das für die Installation verwendet werden soll.
Verwenden Sie TRANSFORMS="1033.mst", um AccessStudio mit dem englischen Sprachenpaket zu installieren.
Dies ist ein optionaler Parameter. Wenn Sie den Parameter TRANSFORMS nicht
angeben, wird als Standardsprache Englisch (US) verwendet.
Informationen zum Anwenden einer anderen Sprachumsetzung (.mst-Datei) für das Paket finden Sie unter „Unterstützung für zusätzliche Sprachen
hinzufügen” auf Seite 126.
PRICE_LEVEL="<lizenz_typ>"
Gibt die lizenzierte Edition von AccessStudio an. Dies ist ein erforderlicher
Parameter.
Geben Sie zur Installation der Standard Edition "Standard" ein. Geben Sie
für die Installation der Edition "Suite" den Wert "Suite" ein.
Beispiel: Wenn Sie AccessStudio in Englisch mit der Standardlizenz installieren
wollen, dann verwenden Sie den folgenden Befehl:
msiexec /i "<pfad>\ISAM ESSO AccessStudio.msi" /quiet
TRANSFORMS="1033.mst" PRICE_LEVEL="Standard"
Ergebnisse
Sie haben AccessStudio unbeaufsichtigt als Hintergrundprozess installiert. Standardmäßig wurde während des Installationsprozesses in der Datei
c:\AAInstaller.log eine Protokolldatei erstellt.
Kapitel 2. AccessAgent und AccessStudio installieren
139
140
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Kapitel 3. Upgrade durchführen
Sie können für IBM Security Access Manager for Enterprise Single Sign-On ein Upgrade von einer früheren Version durchführen.
IMS Server - Roadmap zum Upgrade
Die Roadmap zum Upgrade für IMS Server enthält die entsprechenden Prozeduren
für jedes Upgradeszenario. Wählen Sie die Roadmap aus, die für Ihre IMS ServerImplementierung gilt.
Wichtig: Die Bereitstellungs-API funktioniert nach einem Upgrade von IMS Server
Version 3.6, 8.0 oder 8.0.1 nicht. Sie müssen den Native Library Invoker-Ressourcenadapter in einer 32-Bit-Umgebung von WebSphere Application Server installieren, die den Bereitstellungs-API-Service ausführt. Siehe „Ressourcenadapter Native
Library Invoker installieren” auf Seite 214. Die für die Bereitstellungs-API erforderliche Funktionalität des Native Library Invoker-Ressourcenadapters ist nur in einer
32-Bit-Umgebung von WebSphere Application Server funktionsfähig.
Die folgenden Abschnitte enthalten die Roadmaps zum Upgrade von IMS Server:
v „Upgrade für
durchführen”
v „Upgrade für
durchführen”
v „Upgrade für
durchführen”
v „Upgrade für
durchführen”
v „Upgrade für
IMS Server 8.0.1 in einer eigenständigen Implementierung
auf Seite 148
IMS Server 8.0.1 in einer Netzimplementierung (Cluster)
auf Seite 152
IMS Server 8.1 in einer eigenständigen Implementierung
auf Seite 145
IMS Server 8.1 in einer Netzimplementierung (Cluster)
auf Seite 146
IMS Server 3.6 oder 8.0” auf Seite 156
Upgrade für IMS Server 8.2 in einer eigenständigen Implementierung durchführen
Verwenden Sie die Roadmap zum Upgrade für IMS Server, um Unklarheiten bezüglich der Themen und Prozeduren zu vermeiden, die Sie ausführen müssen, um
das Upgrade auf ein eigenständiges IMS Server-System der Version 8.2.1 durchzuführen.
Prozedur
Referenz
1
Stellen Sie Folgendes sicher: IMS Server
8.2 ist installiert und arbeitet ordnungsgemäß.
2
Stoppen Sie die Anwendungen
„IMS Server-Anwendungen stoppen und
ISAMESSOIMS und ISAMESSOIMSConfig starten” auf Seite 212
in WebSphere Application Server.
141
Prozedur
Referenz
3
Deinstallieren Sie die Anwendungen
ISAMESSOIMS und ISAMESSOIMSConfig
aus der WebSphere Application ServerAdministrationskonsole.
Anmerkung: Führen Sie diese Task so
aus, dass Sie das WebSphere Application
Server-Profil sichern können.
„Anwendungen ISAMESSOIMS und
ISAMESSOIMSConfig aus WebSphere
Application Server deinstallieren” auf Seite 226
4
Stoppen Sie das eigenständige Profil, in
dem IMS Server installiert ist.
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
5
Stoppen Sie IBM HTTP Server.
„IBM HTTP Server unter Windows stoppen und starten” auf Seite 206
6
Installieren Sie die Fixpacks für Webv „WebSphere Application Server Version
Sphere Application Server, IBM HTTP Ser7.0-Fixpacks installieren” auf Seite 28
ver, die IBM HTTP Server-Plug-ins und
v „WebSphere Application Server Version
Java SDK.
8.5 installieren” auf Seite 24
Anmerkung: Verwenden Sie für Webv „IBM HTTP Server Version 8.5
Sphere Application Server Version 7.0
installieren” auf Seite 30
Fixpack 29 oder höher. Für WebSphere
Application Server Version 8.5 verwenden
Sie nur Fixpack 2.
7
Führen Sie die folgenden Sicherungen
durch:
v Sichern Sie Ihr WebSphere Application
Server-Profil mit dem Befehl
manageprofiles.
v „WebSphere Application Server-Profile
sichern (Befehl manageprofiles)” auf
Seite 201
v „Datenbank in DB2 9.7 sichern” auf Seite 202
v Sichern Sie die IMS Server-Datenbank.
Anmerkung: Informationen zum Sichern anderer unterstützter Datenbanken finden Sie in der zugehörigen
Dokumentation.
v „Datenbank in DB2 10.1 sichern” auf
Seite 203
8
Starten Sie das eigenständige Profil von
WebSphere Application Server.
„WebSphere Application Server unter
Windows starten” auf Seite 208
9
Installieren und implementieren Sie die
IMS Server-Anwendungen in WebSphere
Application Server.
„IMS Server für ein Upgrade mit dem
Installationsprogramm installieren” auf
Seite 156
10 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server.
„Implementierung von IMS Server in WebSphere Application Server überprüfen” auf
Seite 44
11 Installieren Sie das neueste IMS ServerFixpack.
Anmerkung: Laden Sie die neuesten
Programmkorrekturen und Updates für
IMS Server von Fix Central herunter.
Readme-Datei zum IMS Server-Fixpack,
die im Fixpackpaket enthalten ist.
12 Führen Sie für die Einstellungen von IMS
Server ein Upgrade durch.
„Upgrade für Konfigurationen von Version
8.1 oder 8.2 auf Version 8.2.1 durchführen”
auf Seite 160
13 Starten Sie WebSphere Application Server
erneut.
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
„WebSphere Application Server unter
Windows starten” auf Seite 208
142
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Prozedur
Referenz
14 Aktualisieren Sie die Modulzuordnung für „Modulzuordnung für ISAMESSOIMS für
ISAMESSOIMS, um
die Weiterleitung von
Verbindungsanforderungen weiterzuleiten. Verbindungsanforderungen aktualisieren”
auf Seite 83
15 Führen Sie einen Neustart der Anwendung ISAMESSOIMS durch.
„IMS Server-Anwendungen stoppen und
starten” auf Seite 212
16 Prüfen Sie, ob das Upgrade erfolgreich
verlief.
„Erfolgreiche Durchführung eines
Upgrades prüfen” auf Seite 164
Informationen zum Durchführen eines Upgrades für die AccessAgent-Clients auf
Version 8.2.1 finden Sie unter „Upgrade für AccessAgent” auf Seite 163.
Informationen zum Durchführen eines Upgrades für die AccessStudio-Clients auf
Version 8.2.1 finden Sie unter „Upgrade für AccessStudio durchführen” auf Seite
163.
Upgrade für IMS Server 8.2 in einer Netzimplementierung
(Cluster) durchführen
Nutzen Sie die Roadmap zum Upgrade von IMS Server, um die Tasks zu ermitteln,
die zur Durchführung eines Upgrades auf eine Clusterumgebung von IMS Server
Version 8.2.1 erforderlich sind.
Prozedur
Referenz
1
Stellen Sie Folgendes sicher: IMS Server
8.2 ist installiert und arbeitet ordnungsgemäß.
2
Stoppen Sie die Anwendungen
„IMS Server-Anwendungen stoppen und
ISAMESSOIMS und ISAMESSOIMSConfig starten” auf Seite 212
in WebSphere Application Server.
3
Deinstallieren Sie die Anwendungen
ISAMESSOIMS und ISAMESSOIMSConfig
aus der WebSphere Application ServerAdministrationskonsole.
Anmerkung: Führen Sie diese Task so
aus, dass Sie das WebSphere Application
Server-Profil sichern können.
„Anwendungen ISAMESSOIMS und
ISAMESSOIMSConfig aus WebSphere
Application Server deinstallieren” auf Seite 226
4
Stoppen Sie die angepassten Knoten und
den Deployment Manager.
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
5
Stoppen Sie IBM HTTP Server.
„IBM HTTP Server unter Windows stoppen und starten” auf Seite 206
6
Installieren Sie die Fixpacks für Webv „WebSphere Application Server Version
Sphere Application Server, IBM HTTP Ser7.0-Fixpacks installieren” auf Seite 28
ver, die IBM HTTP Server-Plug-ins und
v „WebSphere Application Server Version
Java SDK.
8.5 installieren” auf Seite 24
Anmerkung: Verwenden Sie für Webv „IBM HTTP Server Version 8.5
Sphere Application Server Version 7.0
installieren” auf Seite 30
Fixpack 29 oder höher. Für WebSphere
Application Server Version 8.5 verwenden
Sie nur Fixpack 2.
Kapitel 3. Upgrade durchführen
143
Prozedur
7
Referenz
Sichern Sie IMS Server und die zugehörige v „WebSphere Application Server-Profile
Datenbank:
sichern (Befehl manageprofiles)” auf
v Sichern Sie Ihr Deployment ManagerSeite 201
Profil von WebSphere Application Serv „Datenbank in DB2 9.7 sichern” auf Seiver mit dem Befehl manageprofiles.
te 202
v Sichern Sie die IMS Server-Datenbank.
Anmerkung: Informationen zum Sichern anderer unterstützter Datenbanken finden Sie in der zugehörigen
Dokumentation.
v „Datenbank in DB2 10.1 sichern” auf
Seite 203
8
Starten Sie den Deployment Manager von
WebSphere Application Server.
„WebSphere Application Server unter
Windows starten” auf Seite 208
9
Konfigurieren Sie die Größe des Java„Größe des Heapspeichers für den
Heapspeichers für den Deployment Mana- Deployment Manager konfigurieren” auf
ger.
Seite 100
10 Installieren Sie IMS Server im Deployment „IMS Server für ein Upgrade mit dem
Manager.
Installationsprogramm installieren” auf
Seite 156
11 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server.
„Implementierung von IMS Server in WebSphere Application Server überprüfen” auf
Seite 44
12 Stellen Sie sicher, dass die Knotenagenten
gestoppt sind.
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
13 Installieren Sie das neueste IMS ServerFixpack.
Anmerkung: Laden Sie die neuesten
Programmkorrekturen und Updates für
IMS Server von Fix Central herunter.
Readme-Datei zum IMS Server-Fixpack,
die im Fixpackpaket enthalten ist.
14 Führen Sie für die Einstellungen von IMS
Server ein Upgrade durch.
„Upgrade für Konfigurationen von Version
8.1 oder 8.2 auf Version 8.2.1 durchführen”
auf Seite 160
15 Starten Sie den Deployment Manager erneut.
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
„WebSphere Application Server unter
Windows starten” auf Seite 208
16 Aktualisieren Sie die Modulzuordnung für „Modulzuordnung für ISAMESSOIMS für
ISAMESSOIMS, um
die Weiterleitung von
Verbindungsanforderungen weiterzuleiten. Verbindungsanforderungen aktualisieren”
auf Seite 83
144
17 Setzen Sie das Sitzungsmanagement für
die Anwendung ISAMESSOIMS außer Kraft.
„Sitzungsmanagement für ISAMESSOIMS
außer Kraft setzen” auf Seite 115
18 Starten Sie die Knoten.
„WebSphere Application Server unter
Windows starten” auf Seite 208
19 Synchronisieren Sie die Knoten.
„Knoten resynchronisieren” auf Seite 217
20 Starten Sie den Cluster.
„WebSphere Application Server unter
Windows starten” auf Seite 208
21 Prüfen Sie, ob das Upgrade erfolgreich
verlief.
„Erfolgreiche Durchführung eines
Upgrades prüfen” auf Seite 164
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Upgrade für IMS Server 8.1 in einer eigenständigen Implementierung durchführen
Verwenden Sie die Roadmap zum Upgrade für IMS Server, um Unklarheiten bezüglich der Themen und Prozeduren zu vermeiden, die Sie ausführen müssen, um
das Upgrade auf ein eigenständiges IMS Server-System der Version 8.2.1 durchzuführen.
Prozedur
Referenz
1
Stellen Sie Folgendes sicher: IMS Server
8.1 ist installiert und funktioniert.
2
Stoppen Sie die Anwendung TAM E-SSO „IMS Server-Anwendungen stoppen und
IMS Server in WebSphere Application Ser- starten” auf Seite 212
ver.
3
Deinstallieren Sie die Anwendung TAM
E-SSO IMS Server in der WebSphere
Application ServerAdministrationskonsole.
Anmerkung: Führen Sie diese Task so
aus, dass Sie das WebSphere Application
Server-Profil sichern können.
„Anwendung TAM E-SSO IMS in WebSphere Application Server deinstallieren”
auf Seite 226
4
Stoppen Sie das eigenständige Profil, in
dem IMS Server installiert ist.
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
5
Stoppen Sie IBM HTTP Server.
„IBM HTTP Server unter Windows stoppen und starten” auf Seite 206
6
Installieren Sie die Fixpacks für Webv „WebSphere Application Server Version
Sphere Application Server, IBM HTTP Ser7.0-Fixpacks installieren” auf Seite 28
ver, die IBM HTTP Server-Plug-ins und
v „WebSphere Application Server Version
Java SDK.
8.5 installieren” auf Seite 24
Anmerkung: Verwenden Sie für Webv
„IBM HTTP Server Version 8.5
Sphere Application Server Version 7.0
installieren” auf Seite 30
Fixpack 29 oder höher. Für WebSphere
Application Server Version 8.5 verwenden
Sie nur Fixpack 2.
7
Führen Sie die folgenden Sicherungen
durch:
v Sichern Sie Ihr WebSphere Application
Server-Profil mit dem Befehl
manageprofiles.
v „WebSphere Application Server-Profile
sichern (Befehl manageprofiles)” auf
Seite 201
v „Datenbank in DB2 9.7 sichern” auf Seite 202
v Sichern Sie die IMS Server-Datenbank.
Anmerkung: Informationen zum Sichern anderer unterstützter Datenbanken finden Sie in der zugehörigen
Dokumentation.
8
Starten Sie das eigenständige Profil von
WebSphere Application Server.
„WebSphere Application Server unter
Windows starten” auf Seite 208
9
Installieren und implementieren Sie die
IMS Server-Anwendungen in WebSphere
Application Server.
„IMS Server für ein Upgrade mit dem
Installationsprogramm installieren” auf
Seite 156
10 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server.
„Implementierung von IMS Server in WebSphere Application Server überprüfen” auf
Seite 44
Kapitel 3. Upgrade durchführen
145
Prozedur
Referenz
11 Installieren Sie das neueste IMS ServerFixpack.
Anmerkung: Laden Sie die neuesten
Programmkorrekturen und Updates für
IMS Server von Fix Central herunter.
Readme-Datei zum IMS Server-Fixpack,
die im Fixpackpaket enthalten ist.
12 Führen Sie für die Einstellungen von IMS
Server ein Upgrade durch.
„Upgrade für Konfigurationen von Version
8.1 oder 8.2 auf Version 8.2.1 durchführen”
auf Seite 160
13 Starten Sie WebSphere Application Server
erneut.
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
„WebSphere Application Server unter
Windows starten” auf Seite 208
14 Aktualisieren Sie die Modulzuordnung für „Modulzuordnung für ISAMESSOIMS für
ISAMESSOIMS, um
die Weiterleitung von
Verbindungsanforderungen weiterzuleiten. Verbindungsanforderungen aktualisieren”
auf Seite 83
15 Führen Sie einen Neustart der Anwendung ISAMESSOIMS durch.
„IMS Server-Anwendungen stoppen und
starten” auf Seite 212
16 Prüfen Sie, ob das Upgrade erfolgreich
verlief.
„Erfolgreiche Durchführung eines
Upgrades prüfen” auf Seite 164
Informationen zum Durchführen eines Upgrades für die AccessAgent-Clients auf
Version 8.2.1 finden Sie unter „Upgrade für AccessAgent” auf Seite 163.
Informationen zum Durchführen eines Upgrades für die AccessStudio-Clients auf
Version 8.2.1 finden Sie unter „Upgrade für AccessStudio durchführen” auf Seite
163.
Upgrade für IMS Server 8.1 in einer Netzimplementierung
(Cluster) durchführen
Nutzen Sie die Roadmap zum Upgrade von IMS Server, um die Tasks zu ermitteln,
die zur Durchführung eines Upgrades auf eine Clusterumgebung von IMS Server
Version 8.2.1 erforderlich sind.
Prozedur
146
Referenz
1
Stellen Sie Folgendes sicher: IMS Server
8.1 ist installiert und funktioniert.
2
Stoppen Sie die Anwendung TAM E-SSO „IMS Server-Anwendungen stoppen und
IMS Server in WebSphere Application Ser- starten” auf Seite 212
ver.
3
Deinstallieren Sie die Anwendung TAM
E-SSO IMS Server in der WebSphere
Application ServerAdministrationskonsole.
Anmerkung: Führen Sie diese Task so
aus, dass Sie das WebSphere Application
Server-Profil sichern können.
„Anwendung TAM E-SSO IMS in WebSphere Application Server deinstallieren”
auf Seite 226
4
Stoppen Sie die angepassten Knoten und
den Deployment Manager.
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Prozedur
Referenz
5
Stoppen Sie IBM HTTP Server.
„IBM HTTP Server unter Windows stoppen und starten” auf Seite 206
6
Installieren Sie die Fixpacks für Webv „WebSphere Application Server Version
Sphere Application Server, IBM HTTP Ser7.0-Fixpacks installieren” auf Seite 28
ver, die IBM HTTP Server-Plug-ins und
v „WebSphere Application Server Version
Java SDK.
8.5 installieren” auf Seite 24
Anmerkung: Verwenden Sie für Webv „IBM HTTP Server Version 8.5
Sphere Application Server Version 7.0
installieren” auf Seite 30
Fixpack 29 oder höher. Für WebSphere
Application Server Version 8.5 verwenden
Sie nur Fixpack 2.
7
Sichern Sie IMS Server und die zugehörige „WebSphere Application Server-Profile sichern (Befehl manageprofiles)” auf Seite
Datenbank:
201
v Sichern Sie Ihr Deployment ManagerProfil von WebSphere Application Server mit dem Befehl manageprofiles.
v Sichern Sie die IMS Server-Datenbank.
Anmerkung: Informationen zum Sichern anderer unterstützter Datenbanken finden Sie in der zugehörigen
Dokumentation.
„Datenbank in DB2 9.7 sichern” auf Seite
202
8
Starten Sie den Deployment Manager von
WebSphere Application Server.
9
„Größe des Heapspeichers für den
Konfigurieren Sie die Größe des JavaHeapspeichers für den Deployment Mana- Deployment Manager konfigurieren” auf
Seite 100
ger.
„WebSphere Application Server unter
Windows starten” auf Seite 208
10 Installieren Sie IMS Server im Deployment „IMS Server für ein Upgrade mit dem
Manager.
Installationsprogramm installieren” auf
Seite 156
11 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server.
„Implementierung von IMS Server in WebSphere Application Server überprüfen” auf
Seite 44
12 Stellen Sie sicher, dass die Knotenagenten
gestoppt sind.
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
13 Installieren Sie das neueste IMS ServerFixpack.
Anmerkung: Laden Sie die neuesten
Programmkorrekturen und Updates für
IMS Server von Fix Central herunter.
Readme-Datei zum IMS Server-Fixpack,
die im Fixpackpaket enthalten ist.
14 Führen Sie für die Einstellungen von IMS
Server ein Upgrade durch.
„Upgrade für Konfigurationen von Version
8.1 oder 8.2 auf Version 8.2.1 durchführen”
auf Seite 160
15 Starten Sie den Deployment Manager erneut.
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
„WebSphere Application Server unter
Windows starten” auf Seite 208
16 Aktualisieren Sie die Modulzuordnung für „Modulzuordnung für ISAMESSOIMS für
ISAMESSOIMS, um
die Weiterleitung von
Verbindungsanforderungen weiterzuleiten. Verbindungsanforderungen aktualisieren”
auf Seite 83
17 Setzen Sie das Sitzungsmanagement für
die Anwendung ISAMESSOIMS außer Kraft.
„Sitzungsmanagement für ISAMESSOIMS
außer Kraft setzen” auf Seite 115
Kapitel 3. Upgrade durchführen
147
Prozedur
Referenz
18 Starten Sie die Knoten.
„WebSphere Application Server unter
Windows starten” auf Seite 208
19 Synchronisieren Sie die Knoten.
„Knoten resynchronisieren” auf Seite 217
20 Starten Sie den Cluster.
„WebSphere Application Server unter
Windows starten” auf Seite 208
21 Prüfen Sie, ob das Upgrade erfolgreich
verlief.
„Erfolgreiche Durchführung eines
Upgrades prüfen” auf Seite 164
Upgrade für IMS Server 8.0.1 in einer eigenständigen Implementierung durchführen
Zu Upgrades für einen eigenständigen IMS Server Version 8.0.1 auf IMS Server
Version 8.2.1 gehören die Installation und Konfiguration weiterer Middleware. Verwenden Sie die Roadmap zum Upgrade für IMS Server, um Unklarheiten bezüglich der Themen und Prozeduren zu vermeiden, die Sie ausführen müssen, um das
Upgrade auf Version 8.2.1 durchzuführen.
Prozedur
1
Stellen Sie Folgendes sicher: IMS Server
8.0.1 ist installiert und funktioniert.
2
Vorbereitungen für das Upgrade:
Referenz
1. Stoppen Sie IMS Server 8.0.1.
2. Setzen Sie in der Managementkonsole
für Windows-Dienste für IMS Server
8.0.1 den Starttyp des WindowsServerdiensts auf Manuell.
3
Sichern Sie IMS Server und die zugehörige „Datenbank in DB2 9.7 sichern” auf Seite
202
Datenbank.
v Sichern Sie Ihren Installationsordner für
IMS Server 8.0.1.
v Sichern Sie die IMS Server-Datenbank.
Anmerkung: Informationen zum Sichern anderer unterstützter Datenbanken finden Sie in der zugehörigen
Dokumentation.
148
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Prozedur
4
Referenz
Informationen zu den unterstützten Versionen von WebSphere Application Server:
v Für WebSphere Application Server Versi- Abschnitt „Hardware and software
requirements” im Dokument IBM Security
on 7.0:
Access Manager for Enterprise Single Sign– Installieren Sie WebSphere
On Planning and Deployment Guide.
Application Server.
Bereiten Sie WebSphere Application Server
vor:
– Installieren Sie WebSphere Update
Installer.
Beispielanweisungen finden Sie in den
folgenden Abschnitten:
– Installieren Sie das WebSphere
Application Server-Fixpack.
v „WebSphere Application Server Version
7.0 installieren” auf Seite 26
– Installieren Sie das SoftwareDevelopment-Kit von WebSphere
Application Server.
v „WebSphere Update Installer
installieren” auf Seite 27
Anmerkung: Verwenden Sie WebSphere
Application Server Version 7.0 Fixpack 29
oder höher.
v „WebSphere Application Server Version
7.0-Fixpacks installieren” auf Seite 28
v „IBM Installation Manager installieren”
auf Seite 23
v Für WebSphere Application Server Versi- v „WebSphere Application Server Version
8.5 installieren” auf Seite 24
on 8.5:
– Installieren Sie IBM Installation Manager.
– Installieren Sie WebSphere
Application Server.
Anmerkung: Stellen Sie sicher, dass Sie
WebSphere Application Server Version 8.5
Fixpack 2 verwenden.
WebSphere Application Server Version
7.0-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/index.jsp
WebSphere Application Server Version
8.5-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v8r5/index.jsp
Wichtig: Dieses Handbuch enthält Anweisungen zur Vorbereitung von WebSphere Application Server für IMS Server.
Ausführliche und aktuelle
Installationsanweisungen finden Sie in der
Dokumentation für WebSphere
Application Server.
Kapitel 3. Upgrade durchführen
149
5
Prozedur
Referenz
Bereiten Sie IBM HTTP Server vor:
Informationen zu den unterstützten Versionen von IBM HTTP Server: Abschnitt
„Hardware and software requirements”
im Dokument IBM Security Access Manager for Enterprise Single Sign-On Planning
and Deployment Guide.
v Installieren Sie IBM HTTP Server.
v Installieren Sie das IBM HTTP ServerFixpack unter Verwendung von WebSphere Update Installer. (Gilt nur für
IBM HTTP Server Version 7.0.)
v Installieren Sie das IBM HTTP ServerPlug-in und das Software-DevelopmentKit.
Beispielanweisungen finden Sie in den
folgenden Abschnitten:
v „IBM HTTP Server Version 7.0
installieren” auf Seite 32
v „IBM HTTP Server Version 7.0-Fixpacks
installieren” auf Seite 34
v „IBM HTTP Server Version 8.5
installieren” auf Seite 30
IBM HTTP Server Version 7.0-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/
index.jsp?topic=/
com.ibm.websphere.ihs.doc/info/ihs/
ihs/tihs_installihs.html
IBM HTTP Server Version 8.5-Dokumentation
v http://pic.dhe.ibm.com/infocenter/
wasinfo/v8r5/topic/
com.ibm.websphere.ihs.doc/ihs/
tihs_installihs.html
Wichtig: Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM
HTTP Server. Ausführliche und aktuelle
Installationsanweisungen finden Sie in der
Dokumentation für IBM HTTP Server.
6
150
Erstellen Sie ein eigenständiges WebSphere „Eigenständige Profile (Profile Management Tool) erstellen” auf Seite 62
Application Server-Profil.
Anmerkung: Stellen Sie sicher, dass das
eigenständige WebSphere Application Server-Profil gestartet ist.
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
7
Prozedur
Referenz
Konfigurieren Sie WebSphere Application
Server.
Beispielanweisungen finden Sie in den
folgenden Abschnitten:
v Konfigurieren Sie die Größe des JavaHeapspeichers.
v „Größe des Heapspeichers für den
Anwendungsserver konfigurieren” auf
Seite 65
v Prüfen Sie den Windows-Dienst.
v „Windows-Dienst für WebSphere
Application Server prüfen” auf Seite 66
WebSphere Application Server Version
7.0-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/index.jsp
WebSphere Application Server Version
8.5-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v8r5/index.jsp
8
Beispielanweisungen finden Sie in den
Konfigurieren Sie IBM HTTP Server:
v Konfigurieren Sie das IBM HTTP Server- folgenden Abschnitten:
v „IBM HTTP Server-Plug-in konfiguriePlug-in und schützen Sie die Verbinren (eigenständig)” auf Seite 71
dung.
v Aktivieren Sie SSL-Direktiven für IBM
HTTP Server.
v „SSL-Direktiven in IBM HTTP Server
aktivieren” auf Seite 74
IBM HTTP Server Version 7.0-Dokumentation
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/
index.jsp?topic=/
com.ibm.websphere.ihs.doc/info/ihs/
ihs/tihs_installihs.html
IBM HTTP Server Version 8.5-Dokumentation
v http://pic.dhe.ibm.com/infocenter/
wasinfo/v8r5/topic/
com.ibm.websphere.ihs.doc/ihs/
tihs_installihs.html
Wichtig: Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM
HTTP Server. Ausführliche und aktuelle
Installationsanweisungen finden Sie in der
Dokumentation für IBM HTTP Server.
9
Installieren Sie IMS Server in WebSphere
Application Server.
„IMS Server für ein Upgrade mit dem
Installationsprogramm installieren” auf
Seite 156
10 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server.
„Implementierung von IMS Server in
WebSphere Application Server
überprüfen” auf Seite 44
11 Führen Sie für die Einstellungen von IMS
Server ein Upgrade durch.
„Upgrade für Konfigurationen von Version 8.0.1 auf Version 8.2.1 durchführen”
auf Seite 161
Kapitel 3. Upgrade durchführen
151
Prozedur
12 Starten Sie WebSphere Application Server
erneut.
Referenz
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
„WebSphere Application Server unter
Windows starten” auf Seite 208
13 Aktualisieren Sie die Modulzuordnung für
ISAMESSOIMS, um
Verbindungsanforderungen weiterzuleiten.
„Modulzuordnung für ISAMESSOIMS für
die Weiterleitung von
Verbindungsanforderungen aktualisieren”
auf Seite 83
14 Konfigurieren Sie IBM HTTP Server so,
„SSL-Zertifikat nach einem Upgrade
dass die alten SSL-Zertifikate von IMS Ser- konfigurieren” auf Seite 162
ver verwendet werden.
15 Starten Sie WebSphere Application Server
erneut.
Beispielschritte sind in folgenden Abschnitten enthalten:
v „WebSphere Application Server unter
Windows starten” auf Seite 208
v „WebSphere Application Server unter
Windows stoppen” auf Seite 210
16 Prüfen Sie, ob das Upgrade erfolgreich ver- „Erfolgreiche Durchführung eines
lief.
Upgrades prüfen” auf Seite 164
Informationen zum Durchführen eines Upgrades für die AccessAgent-Clients auf
Version 8.2.1 finden Sie unter „Upgrade für AccessAgent” auf Seite 163.
Informationen zum Durchführen eines Upgrades für die AccessStudio-Clients auf
Version 8.2.1 finden Sie unter „Upgrade für AccessStudio durchführen” auf Seite
163.
Upgrade für IMS Server 8.0.1 in einer Netzimplementierung
(Cluster) durchführen
Zu Upgrades für einen IMS Server-Cluster der Version 8.0.1 auf IMS Server Version
8.2 gehören die Installation und Konfiguration weiterer Middleware. Verwenden
Sie die Roadmap zum Upgrade für IMS Server, um Unklarheiten bezüglich der
Themen und Prozeduren zu vermeiden, die Sie ausführen müssen, um das Upgrade auf Version 8.2.1 durchzuführen.
Prozedur
1
Stellen Sie Folgendes sicher: IMS Server
8.0.1 ist installiert und funktioniert.
2
Vorbereitungen für das Upgrade:
1. Stoppen Sie IMS Server 8.0.1.
2. Setzen Sie in der Managementkonsole
für Windows-Dienste für IMS Server
8.0.1 den Starttyp des WindowsServerdiensts auf Manuell.
152
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Referenz
Prozedur
3
Referenz
Sichern Sie IMS Server und die zugehörige „Datenbank in DB2 9.7 sichern” auf Seite
202
Datenbank.
v Sichern Sie Ihren Installationsordner für
IMS Server 8.0.1.
v Sichern Sie die IMS Server-Datenbank.
Anmerkung: Informationen zum Sichern anderer unterstützter Datenbanken finden Sie in der zugehörigen
Dokumentation.
4
Bereiten Sie WebSphere Application Server Informationen zu den unterstützten Versivor:
onen von WebSphere Application Server:
v Für WebSphere Application Server Ver- Abschnitt „Hardware and software
requirements” im Dokument IBM Security
sion 7.0:
Access Manager for Enterprise Single Sign– Installieren Sie WebSphere
On Planning and Deployment Guide.
Application Server.
– Installieren Sie WebSphere Update
Installer.
Beispielanweisungen finden Sie in den folgenden Abschnitten:
– Installieren Sie das WebSphere
Application Server-Fixpack.
v „WebSphere Application Server Version
7.0 installieren” auf Seite 26
– Installieren Sie das SoftwareDevelopment-Kit von WebSphere
Application Server.
v „WebSphere Update Installer
installieren” auf Seite 27
v „WebSphere Application Server Version
7.0-Fixpacks installieren” auf Seite 28
Anmerkung: Verwenden Sie WebSphere
Application Server Version 7.0 Fixpack 29
oder höher.
v „IBM Installation Manager installieren”
auf Seite 23
v Für WebSphere Application Server Version 8.5:
v „WebSphere Application Server Version
8.5 installieren” auf Seite 24
– Installieren Sie IBM Installation Manager.
– Installieren Sie WebSphere
Application Server.
Anmerkung: Stellen Sie sicher, dass Sie
WebSphere Application Server Version 8.5
Fixpack 2 verwenden.
Dokumentation für WebSphere
Application Server:
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/index.jsp
Wichtig: Dieses Handbuch enthält Anweisungen zur Vorbereitung von WebSphere
Application Server für IMS Server. Ausführliche und aktuelle
Installationsanweisungen finden Sie in der
Dokumentation für WebSphere
Application Server.
Kapitel 3. Upgrade durchführen
153
5
Prozedur
Referenz
Bereiten Sie IBM HTTP Server vor:
Informationen zu den unterstützten Versionen von IBM HTTP Server: Abschnitt
„Hardware and software requirements” im
Dokument IBM Security Access Manager for
Enterprise Single Sign-On Planning and
Deployment Guide.
v Installieren Sie IBM HTTP Server.
v Installieren Sie das IBM HTTP ServerFixpack unter Verwendung von WebSphere Update Installer. (Gilt nur für
IBM HTTP Server Version 7.0.)
Beispielanweisungen finden Sie in den folv Installieren Sie das IBM HTTP ServerPlug-in und das Software-Development- genden Abschnitten:
Kit.
v „IBM HTTP Server Version 7.0
installieren” auf Seite 32
v „IBM HTTP Server Version 7.0-Fixpacks
installieren” auf Seite 34
v „IBM HTTP Server Version 8.5
installieren” auf Seite 30
Dokumentation für IBM HTTP Server:
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/
index.jsp?topic=/
com.ibm.websphere.ihs.doc/info/ihs/
ihs/tihs_installihs.html
Wichtig: Dieses Handbuch enthält Anweisungen zur Vorbereitung von IBM HTTP
Server. Ausführliche und aktuelle
Installationsanweisungen finden Sie in der
Dokumentation für IBM HTTP Server.
6
1. Erstellen Sie das Deployment Manager- „Netzimplementierungsprofile erstellen
Profil von WebSphere Application Ser- (Profile Management Tool)” auf Seite 89
ver.
„WebSphere Application Server unter
2. Starten Sie den Deployment Manager
Windows starten” auf Seite 208
von WebSphere Application Server.
3. Erstellen Sie angepasste Knotenprofile.
7
Konfigurieren Sie WebSphere Application
Server für einen Cluster.
„Cluster definieren” auf Seite 99
8
Konfigurieren Sie WebSphere Application
Server:
Beispielanweisungen finden Sie in den folgenden Abschnitten:
v „Größe des Heapspeichers für den
v Konfigurieren Sie die Größe des JavaDeployment Manager konfigurieren”
Heapspeichers für den Deployment Maauf Seite 100
nager.
v „Größe des Heapspeichers für den
v Konfigurieren Sie die Größe des JavaAnwendungsserver konfigurieren” auf
Heapspeichers für WebSphere
Seite 65
Application Server. Wiederholen Sie diese Task für jeden Server.
v „SSL-Zertifikat des Verzeichnisservers
zu WebSphere Application Server
v Fügen Sie für SSLhinzufügen” auf Seite 224
Verzeichnisserververbindungen das SSLZertifikat zu WebSphere Application
Dokumentation für WebSphere
Server hinzu.
Application Server:
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/index.jsp
154
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Prozedur
9
Referenz
Beispielanweisungen finden Sie in den folgenden Abschnitten:
v Konfigurieren Sie das IBM HTTP Server-Plug-in und schützen Sie die Verbin- v „SSL-Direktiven in IBM HTTP Server
aktivieren” auf Seite 74
dung.
Konfigurieren Sie IBM HTTP Server:
v Aktivieren Sie SSL-Direktiven für IBM
HTTP Server.
Anmerkung: Wiederholen Sie diese Task
für jeden Web-Server.
v „IBM HTTP Server-Plug-in konfigurieren (Netzimplementierung)” auf Seite
103
Dokumentation für IBM HTTP Server:
v http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/
index.jsp?topic=/
com.ibm.websphere.ihs.doc/info/ihs/
ihs/tihs_installihs.html
10 Installieren Sie IMS Server im Deployment „IMS Server für ein Upgrade mit dem
Manager.
Installationsprogramm installieren” auf
Seite 156
11 Prüfen Sie die IMS Server-Implementierung in WebSphere Application Server.
„Implementierung von IMS Server in WebSphere Application Server überprüfen” auf
Seite 44
12 Stellen Sie sicher, dass die Knotenagenten
gestoppt sind.
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
13 Führen Sie für die Einstellungen von IMS
Server ein Upgrade durch.
„Upgrade für Konfigurationen von Version
8.0.1 auf Version 8.2.1 durchführen” auf
Seite 161
14 Starten Sie den Deployment Manager erneut.
„WebSphere Application Server unter
Windows stoppen” auf Seite 210
„WebSphere Application Server unter
Windows starten” auf Seite 208
15 Aktualisieren Sie die Modulzuordnung für „Modulzuordnung für ISAMESSOIMS für
die Weiterleitung von
ISAMESSOIMS, um
Verbindungsanforderungen weiterzuleiten. Verbindungsanforderungen aktualisieren”
auf Seite 83
16 Setzen Sie das Sitzungsmanagement für
die Anwendung ISAMESSOIMS außer Kraft.
„Sitzungsmanagement für ISAMESSOIMS
außer Kraft setzen” auf Seite 115
17 Konfigurieren Sie IBM HTTP Server so,
„SSL-Zertifikat nach einem Upgrade
dass die alten SSL-Zertifikate von IMS Ser- konfigurieren” auf Seite 162
ver verwendet werden.
18 Starten Sie WebSphere Application Server
erneut:
Beispielschritte sind in folgenden Abschnitten enthalten:
1. Starten Sie den Deployment Manager
erneut.
v „WebSphere Application Server unter
Windows stoppen” auf Seite 210
2. Starten Sie die Knoten.
v „WebSphere Application Server unter
Windows starten” auf Seite 208
3. Resynchronisieren Sie die Knoten vollständig.
4. Starten Sie den Cluster.
19 Prüfen Sie, ob das Upgrade erfolgreich
verlief.
v „Knoten resynchronisieren” auf Seite
217
„Erfolgreiche Durchführung eines
Upgrades prüfen” auf Seite 164
Kapitel 3. Upgrade durchführen
155
Upgrade für IMS Server 3.6 oder 8.0
Sie können für IMS Server Version 3.6 oder 8.0 ein Upgrade auf IMS Server Version
8.2.1 durchführen.
Zu dieser Task
Wenn Sie ein Upgrade von IMS Server Version 3.6 oder Version 8.0 durchgeführt
haben, erhalten Sie von IBM Services Informationen zu einem Upgrade auf Version
8.2.1.
Prozedur
1. Upgrade von IMS Server 3.6 oder 8.0 auf 8.2.
Informationen zu diesen Thema finden Sie im Handbuch IBM Security Access
Manager for Enterprise Single Sign-On - Installation in der Produktdokumentation
zu IBM Security Access Manager for Enterprise Single Sign-On 8.2.
2. Upgrade von IMS Server 8.2 auf 8.2.1.
Siehe „Upgrade für IMS Server 8.2 in einer eigenständigen Implementierung
durchführen” auf Seite 141 oder „Upgrade für IMS Server 8.2 in einer Netzimplementierung (Cluster) durchführen” auf Seite 143.
Upgrade auf Version 8.2.1
Um ein Upgrade Ihrer aktuellen IBM Security Access Manager for Enterprise Single Sign-On-Version auf Version 8.2.1 durchzuführen, müssen Sie die einzelnen Produktkomponenten aktualisieren.
Eine Übersicht und Hinweise für Upgrades auf Version 8.2.1 finden Sie unter "Planning for an upgrade" im Dokument IBM Security Access Manager for Enterprise
Single Sign-On Planning and Deployment Guide.
Führen Sie für die Durchführung eines Upgrades die folgenden Tasks in der angegebenen Reihenfolge aus:
1. Führen Sie ein Upgrade für IMS Server durch.
2. Führen Sie ein Upgrade für die implementierten AccessAgent-Clients durch.
3. Führen Sie ein Upgrade für die implementierten AccessStudio-Clients durch.
Die Upgradeprozedur variiert je nach Komponente und Szenario.
v Informationen zum IMS Server-Upgrade finden Sie in „IMS Server - Roadmap
zum Upgrade” auf Seite 141.
v Informationen zum AccessAgent-Upgrade finden Sie unter „Upgrade für
AccessAgent” auf Seite 163.
v Informationen zum AccessStudio-Upgrade finden Sie unter „Upgrade für AccessStudio durchführen” auf Seite 163.
IMS Server für ein Upgrade mit dem Installationsprogramm installieren
Führen Sie für IMS Server ein Upgrade durch, implementieren Sie dieses Produkt
in WebSphere Application Server und verwenden Sie dazu das Installationsprogramm von IMS Server.
156
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Vorbereitende Schritte
v Stoppen Sie IMS Server und sichern Sie anschließend die Datenbank.
v Stoppen Sie für IMS Server 8.0.1 den IMS Server-Dienst.
v Stoppen Sie für IMS Server 8.1 die Anwendung TAM E-SSO IMS Server.
Anmerkung:
– Wenn Sie die Anwendung TAM E-SSO IMS Server nicht deinstallieren, entfernt das Installationsprogramm von IMS Server ältere Versionen der Anwendung TAM E-SSO IMS Server und installiert die neue Version von IMS Server.
– Deinstallieren Sie die Anwendung TAM E-SSO IMS Server über die WebSphere-Administrationskonsole.
Wichtig: Führen Sie nicht das Deinstallationsprogramm von IMS Server aus.
v In IMS Server 8.2 müssen Sie die Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig stoppen.
v Führen Sie für IMS Server 8.0.1 die Installation der Middleware aus.
v Für eigenständige WebSphere Application Server-Implementierungen:
– Stellen Sie sicher, dass WebSphere Application Server gestartet ist.
– Prüfen Sie die WebSphere Application Server-Konfiguration für eigenständige
Implementierungen.
– Prüfen Sie die IBM HTTP Server-Konfiguration.
v Für WebSphere Application Server Network Deployment:
– Stellen Sie sicher, dass das Deployment Manager-Profil gestartet ist.
– Prüfen Sie die WebSphere Application Server-Konfiguration auf ein Cluster.
– Prüfen Sie die IBM HTTP Server-Konfiguration.
v Entnehmen Sie dem Arbeitsblatt für die Planung die erforderlichen Werte für die
Ausführung der Installation.
Informationen zu diesem Vorgang
Beim Installationsprozess von IMS Server werden zwei Anwendungen in WebSphere Application Server implementiert:
Anwendungsname
EAR-Dateiname
Inhalt
ISAMESSOIMS
com.ibm.tamesso.imsdelhi.deploy.isamessoIms.ear
v AccessAdmin
v AccessAssistant und
Web Workplace
v Laufzeit-Web-Service für
IMS Server
ISAMESSOIMSConfig
com.ibm.tamesso.imsdelhi.deploy.isamessoImsConfig.ear
v IMS-Konfigurationsassistent
v IMS-Konfigurationsdienstprogramm
Vorgehensweise
1. Führen Sie die Datei imsinstaller.exe aus. Der Assistent des Installationsprogramms von IMS Server wird gestartet.
2. Wählen Sie aus der Liste eine Sprache aus.
3. Klicken Sie auf OK. Das Fenster Prüfung der Produktlizenz wird angezeigt.
Kapitel 3. Upgrade durchführen
157
4. Wählen Sie entsprechend Ihrer Lizenz eine Produktpaketversion aus und klicken Sie auf Weiter.
v IBM Security Access Manager for Enterprise Single Sign-On Standard
Dieses Paket bietet einmalige Anmeldung, strikte Authentifizierung, Sitzungsmanagement, zentrale Protokollierung und Berichterstellung.
v IBM Security Access Manager for Enterprise Single Sign-On Suite
Dieses Paket bietet neben den Merkmalen des Pakets "Standard" OTP-Unterstützung, AccessAgent-Plug-ins, einmalige Anmeldung im Web und Fernzugriff über Web Workplace, angepasste Überwachungsfunktionen sowie
IAM-Integration.
5. Klicken Sie auf Weiter. Die Softwarelizenzvereinbarung wird angezeigt.
6. Wählen Sie Ich akzeptiere die Bedingungen der Lizenzvereinbarung aus.
7. Klicken Sie auf Weiter. Das Installationsverzeichnis wird angezeigt.
8. Geben Sie ein neues Verzeichnis für die Installation von IMS Server 8.2.1 an.
Standardmäßig wird IMS Server im Verzeichnis C:\Programme\IBM\ISAM
ESSO\IMS Server installiert. Überschreiben Sie IMS Server 8.2 nicht.
9. Klicken Sie auf Weiter.
10. Wählen Sie Ja aus, damit IMS Server automatisch in WebSphere Application
Server implementiert wird.
v Klicken Sie für die manuelle Implementierung von WebSphere Application
Server auf Nein. Siehe „IMS Server manuell in WebSphere Application Server implementieren” auf Seite 212.
11. Klicken Sie auf Ja, um anzugeben, dass die WebSphere Application ServerSicherheit aktiviert wird, und klicken Sie dann auf Weiter. Wenn Sie auf Nein
klicken, müssen Sie den SOAP-Port angeben.
Beispiel:
v Für den eigenständigen WebSphere Application Server ist der standardmäßige SOAP-Port für den Anwendungsserver Port 8880.
v Für WebSphere Application Server Network Deployment ist der standardmäßige SOAP-Port für den Deployment Manager Port 8879.
12. Konfigurieren Sie die Einstellungen der Administrationssicherheit von WebSphere Application Server.
Anmerkung: Wenn bidirektionales SSL für WebSphere Application Server aktiviert ist, sind die SSL-Java-Schlüsselspeicherdatei und das zugehörige Kennwort erforderlich.
a. Geben Sie den Namen des WebSphere-Benutzers mit Verwaltungsaufgaben
und das zugehörige Kennwort an. Beispiel: wasadmin und Kennwort.
b. Geben Sie die vertrauenswürdige SSL-Java-Schlüsselspeicherdatei
(trust.p12) sowie deren Position an.
Beispiel:
v Für WebSphere Application Server (eigenständig):
<was-ausgangsverzeichnis>\profiles\<anwendungsserver-profilname>\
config\cells\<zellenname>\nodes\<knotenname>\trust.p12
Beispiel:
C:\Programme\IBM\WebSphere\AppServer\profiles\AppSrv01\config\
cells\ibmusvr1Node01Cell\nodes\ibmusvr1Node01\trust.p12
v Für WebSphere Application Server Network Deployment:
<was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config\
cells\<zellenname>\trust.p12
158
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Beispiel:
C:\Programme\IBM\WebSphere\AppServer\Profiles\Dmgr01\config\
cells\ibm-svr1Cell01\trust.p12
c. Geben Sie das Kennwort für den vertrauenswürdigen SSL-Schlüsselspeicher an.
Das standardmäßige Kennwort für den vertrauenswürdigen SSL-Schlüsselspeicher lautet WebAS.
d. Optional: Geben Sie die SSL-Java-Schlüsselspeicherdatei (key.p12) sowie
deren Position an.
Beispiel:
v Für WebSphere Application Server (eigenständig):
<was-ausgangsverzeichnis>\profiles\<anwendungsserver-profilname>\
config\cells\<zellenname>\nodes\<knotenname>\key.p12
Beispiel:
C:\Programme\IBM\WebSphere\AppServer\profiles\AppSrv01\config\
cells\ibmusvr1Node01Cell\nodes\ibmusvr1Node01\key.p12
v Für WebSphere Application Server Network Deployment:
<was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config\
cells\<zellenname>\key.p12
Beispiel:
C:\Programme\IBM\WebSphere\AppServer\Profiles\Dmgr01\config\
cells\ibm-svr1Cell01\key.p12
e. Optional: Wenn Sie die SSL-Java-Schlüsselspeicherdatei angegeben haben,
geben Sie das SSL-Java-Schlüsselspeicherkennwort an.
Das standardmäßige SSL-Java-Schlüsselspeicherkennwort lautet WebAS.
13. Akzeptieren Sie den standardmäßigen SOAP-Connector-Port von WebSphere
Application Server oder geben Sie einen anderen SOAP-Connector-Port an.
Anmerkung: Sie definieren den SOAP-Connector-Port, wenn Sie ein WebSphere Application Server-Profil erstellen. Sie können die korrekte Portnummer im folgenden Verzeichnis für jedes Profil ermitteln.
Eigenständige Implementierung: <was-ausgangsverzeichnis>/profiles/
<anwendungsserverprofilname>/logs/AboutThisProfile.txt
Netzimplementierung: <was-ausgangsverzeichnis>/profiles/<dmgrprofilname>/logs/AboutThisProfile.txt
Beispiel:
v Für den eigenständigen WebSphere Application Server ist der SOAP-Port
für den Anwendungsserver Port 8880.
v Für WebSphere Application Server Network Deployment ist der SOAP-Port
für den Deployment Manager Port 8879.
14. Klicken Sie auf Weiter. Die Seite Zusammenfassung vor der Installation wird
angezeigt.
15. Klicken Sie auf Installieren.
16. Klicken Sie im Fenster Installation abgeschlossen auf Fertig.
Kapitel 3. Upgrade durchführen
159
Nächste Schritte
Prüfen Sie vor dem Einrichten von IMS Server mit dem IMS-Konfigurationsassistenten die Implementierung von IMS Server in WebSphere Application Server. Siehe „Implementierung von IMS Server in WebSphere Application Server
überprüfen” auf Seite 44.
Upgrade für Konfigurationen von Version 8.1 oder 8.2 auf Version 8.2.1 durchführen
Führen Sie den IMS-Konfigurationsassistenten aus, um für die Einstellungen von
IMS Server ein Upgrade durchzuführen.
Vorbereitende Schritte
v Stellen Sie sicher, dass IMS Server 8.2.1 installiert ist.
v Stellen Sie sicher, dass ISAMESSOIMSConfig gestartet ist.
v Stellen Sie bei einer eigenständigen Implementierung von WebSphere Application Server sicher, dass die Server gestoppt sind.
v Stellen Sie bei einer Netzimplementierung von WebSphere Application Server sicher, dass die Cluster und Knotenagenten gestoppt sind.
v Entnehmen Sie der Datei <ims-ausgangsverzeichnis>/
ISAM_ESSO_IMS_Server_InstallLog.log kritische Fehler, die bei der Installation
von IMS Server aufgetreten sind. Wenn Fehler aufgetreten sind, müssen Sie diese
vor der Konfiguration von IMS Server beheben.
Vorgehensweise
1. Öffnen Sie den IMS-Konfigurationsassistenten.
Beispiel: https://localhost:9043/front. Die Seite für den Konfigurationsassistenten für Upgrades wird angezeigt.
2. Klicken Sie auf Beginnen.
Anmerkung: Wenn es beim bestehenden Repository Probleme gibt, kann dafür
kein Upgrade durchgeführt werden. Sie werden zur Seite für die Konfiguration
des Unternehmensverzeichnisses weitergeleitet, um alle fehlenden oder falschen
Werte zu bearbeiten. Informationen zu den Verzeichnisserverfeldern finden Sie
unter „IMS Server zur Verwendung von Verzeichnisservern konfigurieren” auf
Seite 191.
3. Überprüfen Sie die Einstellungen in Einstellungen bestätigen.
4. Klicken Sie auf Speichern. Die Seite Einrichtung der Datenquelle, des Zertifikatsspeichers und des Unternehmensverzeichnisses abgeschlossen wird angezeigt.
Nächste Schritte
Informationen zur Fortsetzung des Upgrades finden Sie in der zutreffenden Roadmap:
v „Upgrade für IMS Server 8.1 in einer eigenständigen Implementierung
durchführen” auf Seite 145.
v „Upgrade für IMS Server 8.1 in einer Netzimplementierung (Cluster)
durchführen” auf Seite 146.
160
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Upgrade für Konfigurationen von Version 8.0.1 auf Version
8.2.1 durchführen
Führen Sie den IMS-Konfigurationsassistenten aus, um für die Einstellungen von
IMS Server ein Upgrade durchzuführen.
Vorbereitende Schritte
v Stellen Sie sicher, dass IMS Server 8.2.1 installiert ist.
v Stellen Sie sicher, dass ISAMESSOIMSConfig gestartet ist.
v Stellen Sie bei einer eigenständigen Implementierung von WebSphere Application Server sicher, dass die Server gestoppt sind.
v Stellen Sie bei einer Netzimplementierung von WebSphere Application Server sicher, dass die Cluster und Knotenagenten gestoppt sind.
v Entnehmen Sie der Datei <ims-ausgangsverzeichnis>/
ISAM_ESSO_IMS_Server_InstallLog.log kritische Fehler, die bei der Installation
von IMS Server aufgetreten sind. Wenn Fehler aufgetreten sind, müssen Sie diese
vor der Konfiguration von IMS Server beheben.
Vorgehensweise
1. Öffnen Sie den IMS-Konfigurationsassistenten.
Beispiel: https://localhost:9043/front. Die Seite für den Konfigurationsassistenten für Upgrades wird angezeigt.
2. Öffnen Sie den IMS-Konfigurationsassistenten.
Beispiel:https://localhost:9043/front
Die Seite für den Konfigurationsassistenten für Upgrades wird angezeigt.
3. Wählen Sie in Servereinrichtung die Option Upgrade von der früheren Version 8.0.1 durchführen aus.
4. Klicken Sie auf Beginnen.
5. In Informationen zur Datenquelle eingeben sind die Konfigurationswerte für
die Datenquelle bereits vorab eingegeben. Akzeptieren Sie die Standardwerte,
wenn es keine Änderungen gibt.
6. Klicken Sie auf Weiter.
7. Geben Sie auf der Seite Alte Konfiguration den Installationspfad der alten
Version von IMS Server an. Beispiel: C:\Encentuate\IMSServer8.0.1.0.10.
8. Klicken Sie auf Weiter.
9. Geben Sie in IMS-Service-URL konfigurieren den vollständig qualifizierten
Web-Server-Namen und HTTP-Servernamen mit Portnummer an.
Anmerkung:
v Der IBM HTTP Server-Name ist der vollständig qualifizierte Name für die
Instanz von IBM HTTP Server, die die Schnittstelle zu WebSphere Application Server bildet.
v Der IBM HTTP Server-Name muss mit dem Attribut CN des SSL-Zertifikats
übereinstimmen, das IBM HTTP Server verwendet.
v Üblicherweise wird der Port 443 als Standardportnummer verwendet.
10. Klicken Sie auf Weiter.
Anmerkung: Wenn es beim bestehenden Repository Probleme gibt, kann dieses nicht importiert werden. Sie werden zur Seite für die Konfiguration des
Unternehmensverzeichnisses weitergeleitet, um alle fehlenden oder falschen
Kapitel 3. Upgrade durchführen
161
Werte zu korrigieren. Informationen zu den Verzeichnisserverfeldern finden
Sie unter „IMS Server zur Verwendung von Verzeichnisservern konfigurieren”
auf Seite 191.
11. Überprüfen Sie die Einstellungen in Einstellungen bestätigen.
12. Klicken Sie auf Speichern. Die Seite Einrichtung der Datenquelle, des Zertifikatsspeichers und des Unternehmensverzeichnisses abgeschlossen wird angezeigt.
Nächste Schritte
Informationen zur Fortsetzung des Upgrades finden Sie in der zutreffenden Roadmap:
v „Upgrade für IMS Server 8.0.1 in einer eigenständigen Implementierung
durchführen” auf Seite 148.
v „Upgrade für IMS Server 8.0.1 in einer Netzimplementierung (Cluster)
durchführen” auf Seite 152.
SSL-Zertifikat nach einem Upgrade konfigurieren
Legen Sie für IBM HTTP Server fest, dass die alten SSL-Zertifikate von IMS Server
verwendet werden.
Informationen zu diesem Vorgang
Diese Task gilt nur für IMS Server-Upgrades von Version 8.0.1 auf Version 8.2.1.
Verwenden Sie das alte SSL-Zertifikat von IMS Server, damit der bestehende AccessAgent weiterhin mit dem IMS Server funktioniert, für den ein Upgrade durchgeführt wurde.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server
<version> > Profiles > <profilname> > Administrative console aus.
2. Melden Sie sich bei IBM Integrated Solutions Console an.
3. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf
Servers > Server Types > Web servers.
4. Klicken Sie auf <web-server-name>. Beispiel: webserver1.
5. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties.
6.
7.
8.
9.
10.
Klicken Sie auf Manage key and certificates.
Klicken Sie unter Additional Properties auf Personal Certificates.
Wählen Sie das Standardzertifikat (default) aus.
Klicken Sie auf Delete.
Klicken Sie auf Save.
11. Klicken Sie auf Import.
12. Wählen Sie unter Managed Key Store aus der Liste Key store den Eintrag
TAMESSOIMSKeystore aus.
13. Geben Sie changeit als Schlüsselspeicherkennwort an.
14. Kicken Sie auf Get key store alias.
15. Wählen Sie aus der Liste Certificate aliases to import den Eintrag imsscrcert
aus.
162
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
16.
17.
18.
19.
20.
21.
22.
23.
24.
Geben Sie default in das Feld Imported certificate alias ein.
Klicken Sie auf OK.
Klicken Sie im Fenster Messages auf Save.
Wählen Sie Servers > Server types > Web servers aus.
Klicken Sie auf den entsprechenden Eintrag für <web-server-name>. Beispiel:
webserver1.
Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties.
Klicken Sie auf Copy to Web server key store directory.
Klicken Sie auf Apply.
Klicken Sie im Fenster Messages auf Save.
25. Optional: Führen Sie diesen Schritt nur dann aus, wenn für WebSphere Application Server ein nicht standardmäßiger Truststore verwendet wird. Siehe
„IMS-Stammzertifizierungsstelle dem Truststore hinzufügen” auf Seite 223.
26. Führen Sie einen Neustart des Web-Servers über IBM Integrated Solutions
Console durch.
Upgrade für AccessAgent
Sie können für AccessAgent 8.x oder 8.x.x ein direktes Upgrade auf Version 8.2.1
durchführen.
Während des Upgrades können Sie ein AccessAgent-Installationsprogramm mit der
vordefinierten Wallet verwenden. Allerdings ist dabei zu beachten, dass AccessAgent nach dem Upgrade weiterhin die alte Wallet verwendet.
Für das Upgrade von AccessAgent auf Version 8.2.1 führen Sie folgende Schritte
aus:
1. Stellen Sie sicher, dass AccessAgent 8.x installiert ist und richtig funktioniert.
2. Installieren Sie AccessAgent Version 8.2.1. Siehe „AccessAgent installieren” auf
Seite 127. Wenn Sie ein Upgrade durchführen, deinstalliert das Installationsprogramm von AccessAgent 8.2.1 automatisch die bestehende Version von AccessAgent und die neue Version wird im Verzeichnis <%PROGRAMFILES%>\IBM\ISAM
ESSO\AA installiert.
Wichtig: Upgrades von AccessAgent 8.1 (x86) auf einer 64-Bit-Plattform auf AccessAgent 8.2.1 (x64) werden nicht unterstützt.
Für ein Upgrade müssen Sie AccessAgent 8.1 (x86) manuell deinstallieren und danach AccessAgent 8.2.1 (x64) installieren.
Anmerkung: Wenn Sie AccessAgent 8.1 (x86) deinstallieren, werden die bestehenden Wallets entfernt.
Upgrade für AccessStudio durchführen
Bevor Sie AccessStudio aktualisieren, müssen Sie die vorhandene AccessStudio Version 8.0.1, 8.1 oder 8.2 deinstallieren.
Für das Upgrade von AccessStudio auf Version 8.2.1 führen Sie folgende Schritte
aus:
1. Deinstallieren Sie die vorhandene Version AccessStudio 8.x.
2. Installieren Sie AccessStudio Version 8.2.1.
Kapitel 3. Upgrade durchführen
163
Erfolgreiche Durchführung eines Upgrades prüfen
Nach dem Durchführen des Upgrades müssen Sie alle Server- und Clientkomponenten prüfen, um sicherzustellen, dass das Upgrade vollständig ist und funktioniert.
Vorbereitende Schritte
v Starten Sie für eine eigenständige Implementierung WebSphere Application Server.
v Starten Sie für eine Netzimplementierung den Deployment Manager von WebSphere Application Server.
v Führen Sie ein Upgrade für IMS Server durch.
v Führen Sie ein Upgrade für AccessAgent durch.
v Führen Sie ein Upgrade für AccessStudio durch.
Vorgehensweise
1. Prüfen Sie das Serverupgrade.
v Melden Sie sich bei AccessAdmin an. Prüfen Sie die Versionsnummer, die Benutzer und die Einstellungen des Servers, für den das Upgrade durchgeführt
wurde.
Beispiel:
– https://<ihs-host>/admin
– https://<host_des_programms_für_den_lastausgleich>/admin
2. Prüfen Sie die Client-Workstations und die Konfiguration, für die das Upgrade
durchgeführt wurde.
a. Prüfen Sie auf einer Client-Workstation die Version des AccessAgent-Clients.
Sie können auch die folgenden gängigen Prüftasks für Clients ausführen:
v Benutzer subskribieren
v Benutzer anmelden
v Benutzer sperren und entsperren
b. Stellen Sie sicher, dass Sie eine Verbindung zum Server herstellen können.
c. Wenn Sie AccessStudio verwenden, müssen Sie die Version des AccessStudio-Clients prüfen.
d. Wenn Sie einen zweiten Authentifizierungsfaktor (z. B. Smartcards oder Fingerabdruckleser) verwenden, müssen Sie sicherstellen, dass die Authentifizierungsgeräte weiterhin funktionieren.
e. Stellen Sie für Workstations mit gemeinsamen Sitzungen sicher, dass für die
Serverkomponenten von AccessAgent mit gemeinsamen Sitzungen ein Upgrade durchgeführt wird.
3. Entnehmen Sie den Installationsprotokollen des Systems alle wichtigen Nachrichten, um sicherzustellen, dass alle Probleme beim Systemupgrade behoben
oder notiert sind.
4. Prüfen und aktualisieren Sie Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite
175, damit darin Änderungen an der Konfiguration oder an Kennwörtern enthalten sind.
164
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
IMS Server 8.2.1 in neue Umgebung migrieren
Sie können IMS Server auf einem Host installieren oder dafür ein Upgrade auf Version 8.2.1 durchführen und diese Instanz dann auf eine neue WebSphere Application Server-Instanz migrieren.
Vorbereitende Schritte
v Bereiten Sie zwei Host-Computer vor.
v Stellen Sie auf einem der Hosts sicher, dass IMS Server 8.2.1 installiert ist und
funktioniert.
Informationen zu diesem Vorgang
Die Migration von einem IMS Server 8.2.1-Host (<host_A>) auf eine andere Instanz
eines Hosts (<host_B>) gilt sowohl für installierte Implementierungen von IMS Server 8.2.1 als auch für Implementierungen des Produkts, für die ein Upgrade durchgeführt wurde.
Dabei gilt Folgendes:
<host_A>
Gibt den Quellenhost mit einer funktionierenden Konfiguration von IMS
Server 8.2.1 an.
<host_B>
Gibt den Zielhost an, auf den Sie mit der Konfiguration von IMS Server
migrieren wollen.
Vorgehensweise
1. Exportieren Sie auf <host_A> die Konfiguration von IMS Server 8.2.1. Siehe
hierzu IBM Security Access Manager for Enterprise Single Sign-On Configuration
Guide.
2. Bereiten Sie auf <host_B> die erforderliche Middleware vor. Beispiel:
v WebSphere Application Server
v IBM HTTP Server
Die Middleware auf <host_B> kann auf dieselbe Weise vorbereitet und konfiguriert werden wie auf <host_A>.
3. Installieren Sie auf <host_B> IMS Server 8.2.1 im neuen WebSphere Application
Server-Profil. Konfigurieren Sie IMS Server auf <host_B> keinesfalls nach Abschluss der Installation. Siehe „IMS Server mit dem Installationsprogramm von
IMS Server installieren” auf Seite 41.
4. Importieren Sie auf <host_B> die Konfiguration von IMS Server, für die Sie ein
Upgrade durchgeführt und die Sie zuvor auf <host_A> exportiert haben. Weitere Informationen enthält der erste Schritt dieser Prozedur.
Kapitel 3. Upgrade durchführen
165
166
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Kapitel 4. Deinstallation
Die Deinstallation von IBM Security Access Manager for Enterprise Single Sign-On
ist von der Komponente abhängig, die Sie entfernen wollen.
Deinstallation
Die Deinstallation ist der Prozess, bei dem die installierten Server- und Clientkomponenten vom Computer entfernt werden.
Zum Deinstallieren des Produkts müssen Sie die verschiedenen Produktkomponenten deinstallieren.
Informationen enthalten die folgenden Tasks:
v „IMS Server deinstallieren”
v „AccessAgent deinstallieren” auf Seite 169
v „AccessStudio deinstallieren” auf Seite 170
IMS Server deinstallieren
Sie können das IMS Server-Paket mit dem Deinstallationsassistenten an einer einzelnen Installationsposition deinstallieren.
Vorbereitende Schritte
Stellen Sie Folgendes sicher:
v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
v Stellen Sie sicher, dass Sie über WebSphere Application Server-Administratorberechtigungen verfügen.
v Sie haben die Umgebung des Befehlszeilentools ordnungsgemäß eingerichtet.
Informationen zu diesem Vorgang
Durch die Deinstallation der Produktkomponente werden nicht alle Dateien und
Verzeichnisse entfernt. Dazu müssen Sie eine Dateibereinigung ausführen.
Anmerkung: Wenn der Deinstallationsassistent in Arabisch oder Niederländisch
ausgeführt wird, wird die Deinstallation von IMS Server gestoppt. Wenn die Deinstallation gestoppt wird, deinstallieren Sie IMS Server über die WebSphere Application Server-Administrationskonsole (IBM Integrated Solutions Console) und löschen Sie den Installationsordner für IMS Server auf dem Computer.
Vorgehensweise
1. Bereinigen Sie die IMS Server-Konfiguration in WebSphere Application Server.
a. Öffnen Sie die Eingabeaufforderung.
b. Geben Sie den folgenden Befehl ein:
<ims-ausgangsverzeichnis>\bin\cleanImsConfig <was-admin> <kennwort>
Im Verlauf des Konfigurationsbereinigungsprozesses in WebSphere Application Server führt das Befehlszeilentool die folgenden Tasks asynchron aus:
167
v In einer eigenständigen Implementierung wird das Serverprofil erneut gestartet.
v In einer Netzimplementierung werden alle Knoten synchronisiert und das
Deployment Manager-Profil wird erneut gestartet.
Anmerkung: Auch wenn das Befehlszeilentool anzeigt, dass der Bereinigungsprozess abgeschlossen ist, kann sich WebSphere Application Server
noch immer im Neustart befinden.
2. Starten Sie das Dienstprogramm für die Softwaredeinstallation.
v Wählen Sie unter Windows Server 2003 Start > Systemsteuerung > Programme hinzufügen oder entfernen > ISAM ESSO IMS Server > Entfernen aus.
v Unter Windows Server 2008 oder Windows 7 wählen Sie Start > Systemsteuerung > Programme und Funktionen > ISAM ESSO IMS Server >
Entfernen aus.
3. Klicken Sie auf Weiter. Sie werden dazu aufgefordert, zu bestätigen, ob die
WebSphere Application Server-Sicherheit aktiviert ist.
4. Geben Sie an, ob die Administrationssicherheit von WebSphere Application
Server aktiviert ist.
v Wenn die Administrationssicherheit von WebSphere Application Server aktiviert ist:
a. Wählen Sie Ja aus.
b. Klicken Sie auf Weiter.
Fahren Sie mit der Angabe der Einstellungen der Administrationssicherheit von WebSphere Application Server fort (5).
v Wenn die Administrationssicherheit von WebSphere Application Server
nicht aktiviert ist:
a. Wählen Sie Nein aus.
c.
b. Klicken Sie auf Weiter.
c. Fahren Sie mit der Angabe der SOAP-Verbindungen in Schritt 6 auf Seite 169 fort.
5. Geben Sie die Einstellungen der Administrationssicherheit von WebSphere Application Server an.
Anmerkung: Name und Kennwort für die SSL-Java-Schlüsselspeicherdatei
sind nur dann erforderlich, wenn bidirektionales SSL für WebSphere Application Server aktiviert ist.
a. Geben Sie den Namen des WebSphere-Benutzers mit Verwaltungsaufgaben
und das zugehörige Kennwort an. Beispiel: Verwenden Sie den Namen
und das Kennwort des Accounts wasadmin.
b. Geben Sie die vertrauenswürdige SSL-Java-Schlüsselspeicherdatei
(trust.p12) sowie deren Position an.
Beispiel:
v Für WebSphere Application Server (eigenständig): <wasausgangsverzeichnis>\profiles\<anwendungsserverprofilname>\
config\cells\<Server01Knoten01Zelle01>\nodes\<Server01Knoten01>\
trust.p12
v Für WebSphere Application Server Network Deployment:
<was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config\
cells\<Server01Zelle01>\trust.p12
168
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
c. Geben Sie das Kennwort für den vertrauenswürdigen SSL-Schlüsselspeicher an.
Das standardmäßige Kennwort für den vertrauenswürdigen SSL-Schlüsselspeicher lautet WebAS.
d. Geben Sie die SSL-Java-Schlüsselspeicherdatei (key.p12) sowie deren Position an.
Beispiel:
v Für WebSphere Application Server (eigenständig): <wasausgangsverzeichnis>\profiles\<anwendungsserverprofilname>\
config\cells\<Server01Knoten01Zelle01>\nodes\<Server01Knoten01>\
key.p12
v Für WebSphere Application Server Network Deployment:
<was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config\
cells\<Server01Zelle01>\key.p12
e. Geben Sie das SSL-Java-Schlüsselspeicherkennwort an.
Das standardmäßige SSL-Java-Schlüsselspeicherkennwort lautet WebAS.
6. Geben Sie den SOAP-Connector-Port von WebSphere Application Server an.
Anmerkung:
v Der SOAP-Connector-Port wird im Verlauf der Erstellung des angepassten
Profils von WebSphere Application Server angegeben. Beispiel:
– Für WebSphere Application Server (eigenständig) ist der übliche SOAPPort für den Anwendungsserver Port 8880.
– Für WebSphere Application Server Network Deployment ist der übliche
SOAP-Port für den Deployment Manager Port 8879.
v Prüfen Sie den aufgezeichneten Wert im folgenden Verzeichnis: <wasausgangsverzeichnis>/profiles/<profil>/logs/AboutThisProfile.txt.
7. Klicken Sie auf Weiter.
8. Klicken Sie auf Deinstallieren.
9. Klicken Sie im Fenster Deinstallation abgeschlossen auf Fertig.
10. Bereinigen Sie das WebSphere Application Server-Profil. Informationen zum
Löschen des WebSphere Application Server-Profils finden Sie in der folgenden
Dokumentation:
v Dokumentation für WebSphere Application Server Version 7.0:
http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp.
v Dokumentation für WebSphere Application Server Version 8.5:
http://pic.dhe.ibm.com/infocenter/wasinfo/v8r5/index.jsp.
11. Führen Sie eine Dateibereinigung aus.
a. Löschen Sie das Verzeichnis <ims-ausgangsverzeichnis>.
b. Löschen Sie das Verzeichnis <was-ausgangsverzeichnis>.
12. Löschen Sie die IMS Server-Datenbank.
Informationen zum Löschen oder Sichern der Datenbank finden Sie in der Datenbankdokumentation des verwendeten Datenbankprodukts.
AccessAgent deinstallieren
Verwenden Sie die Systemsteuerung unter Windows oder die Verknüpfung im
Startmenü, um AccessAgent auf dem Computer zu deinstallieren.
Kapitel 4. Deinstallation
169
Vorbereitende Schritte
Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
Informationen zu diesem Vorgang
Sie können AccessAgent entweder direkt über die Verknüpfungen des WindowsStartmenüs oder über die Systemsteuerung deinstallieren.
Vorgehensweise
1. Wählen Sie eine der folgenden Methoden zum Starten des Dienstprogramms
für die Softwaredeinstallation aus:
v Alle Programme > ISAM ESSO AccessAgent > ISAM ESSO AccessAgent
deinstallieren.
v Sytemsteuerung > Programme hinzufügen oder entfernen > ISAM ESSO
AccessAgent > Entfernen.
v Systemsteuerung > Programme und Funktionen > ISAM ESSO AccessAgent > Entfernen.
Sie werden dazu aufgefordert, zu bestätigen, dass Sie das Produkt deinstallieren wollen.
2. Klicken Sie auf Ja. AccessAgent wird auf dem Computer deinstalliert.
Anmerkung:
Wenn Sie AccessAgent (x64) unter Windows 7 (x64) deinstallieren, wird die folgende Nachricht angezeigt:
Setup muss Dateien oder Dienste aktualisieren, die nicht während der
Ausführung des Systems aktualisiert werden können. Wenn Sie den
Vorgang fortsetzen, ist ein Neustart erforderlich, um das Setup
abzuschließen.
Nächste Schritte
Stellen Sie sicher, dass das Installationsverzeichnis für AccessAgent entfernt wird.
AccessStudio deinstallieren
Verwenden Sie die Systemsteuerung oder die Verknüpfung im Startmenü unter
Windows, um AccessStudio auf dem Computer zu deinstallieren.
Vorbereitende Schritte
Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
Informationen zu diesem Vorgang
Sie können AccessStudio entweder direkt über ISAM ESSO AccessStudio oder
über die Systemsteuerung deinstallieren.
Vorgehensweise
1. Starten Sie das Dienstprogramm für die Softwaredeinstallation.
v Wählen Sie Start > Alle Programme > ISAM ESSO AccessStudio > ISAM
ESSO AccessStudio deinstallieren aus.
170
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
v Wählen Sie unter Windows XP Start > Systemsteuerung > Programme hinzufügen oder entfernen > ISAM ESSO AccessStudio > Entfernen aus.
v Unter Windows Server 2008 oder Windows 7 wählen Sie Start > Systemsteuerung > Programme und Funktionen > ISAM ESSO AccessStudio >
Entfernen aus.
Sie werden dazu aufgefordert, zu bestätigen, dass Sie das Produkt deinstallieren wollen.
2. Klicken Sie auf Ja. AccessStudio wird auf dem Computer deinstalliert.
Nächste Schritte
Stellen Sie sicher, dass das Installationsverzeichnis für AccessStudio entfernt wird.
AccessStudio unbeaufsichtigt deinstallieren (nicht überwacht)
Verwenden Sie den Befehl msiexec mit dem Parameter /uninstall und dem Switch
/quiet für das nicht überwachte Entfernen von AccessStudio.
Vorbereitende Schritte
v Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen.
v Stellen Sie sicher, dass Sie über das Installationsprogramm ISAM ESSO
AccessStudio.msi verfügen.
Vorgehensweise
1. Öffnen Sie die Eingabeaufforderung.
2. Geben Sie Folgendes ein:
msiexec /uninstall "<as-pfad>\ISAM ESSO AccessStudio.msi" /quiet
Dabei gilt Folgendes:
<as-pfad> ist die Position des MSI-basierten Installationsprogramms für AccessStudio.
Ergebnisse
Sie haben AccessStudio erfolgreich entfernt.
Nächste Schritte
Stellen Sie sicher, dass das Installationsverzeichnis für AccessStudio entfernt wird.
IMS Server erneut installieren oder rekonfigurieren
Um IMS Server nach einem Installations- oder Konfigurationsfehler erneut zu installieren oder zu rekonfigurieren, müssen Sie zunächst die Konfiguration von IMS
Server in WebSphere Application Server bereinigen.
Informationen zu diesem Vorgang
Wenn die Konfiguration von IMS Server fehlschlägt, können Sie die bestehende
Serverkonfiguration in WebSphere Application Server bereinigen und IMS Server
erneut installieren. Alternativ dazu können Sie die Konfiguration bereinigen und
danach IMS Server deinstallieren.
Kapitel 4. Deinstallation
171
Vorgehensweise
v Gehen Sie wie folgt vor, um IMS Server zu rekonfigurieren:
1. Bereinigen Sie die Konfiguration von IMS Server.
2. Optional: Wenn das Datenbankschema geändert wird, können Sie die Datenbank wiederverwenden oder eine andere Datenbank vorbereiten.
Informationen zum Löschen einer Datenbank finden Sie in der Dokumentation für das verwendete Datenbankprodukt.
3. Starten Sie den IMS-Konfigurationsassistenten, um den Server zu rekonfigurieren.
v Gehen Sie wie folgt vor, um IMS Server erneut zu installieren:
1. Bereinigen Sie die IMS Server-Konfiguration in WebSphere Application Server.
2. Deinstallieren Sie IMS Server.
3. Installieren und konfigurieren Sie IMS Server.
a. Installieren Sie IMS Server mit dem Installationsprogramm von IMS Server.
b. Überprüfen Sie die Implementierung von IMS Server in WebSphere Application Server.
c. Konfigurieren Sie IMS Server.
IMS Server-Konfiguration in WebSphere Application Server bereinigen
Sie können das Befehlszeilentool cleanImsConfig zum Bereinigen der IMS ServerKonfiguration in WebSphere Application Server verwenden. Nach dem Bereinigen
der Konfiguration können Sie IMS Server erneut mit dem IMS-Konfigurationsassistenten konfigurieren.
Vorbereitende Schritte
v Stellen Sie sicher, dass Sie über WebSphere Application Server-Administratorberechtigungen verfügen.
v Stellen Sie sicher, dass die Umgebung für Befehlszeilentools ordnungsgemäß eingerichtet ist..
v (Netzimplementierung) Stoppen Sie den Cluster.
v (Netzimplementierung) Stellen Sie sicher, dass die Knotenagenten gestartet sind.
Informationen zu diesem Vorgang
Das Befehlszeilentool entfernt die JDBC-Einstellungen von IMS Server sowie die
Einstellungen für den IMS-Schlüsselspeicher, alle Verzeichnisserver und die Datenbank, die vom Konfigurationsprozess für IMS Server erstellt werden. Weitere Informationen zu dem Befehlszeilentool enthält die Veröffentlichung IBM Security Access
Manager for Enterprise Single Sign-On Configuration Guide.
Für Netzimplementierungen müssen Sie den Befehl cleanImsConfig im Deployment Manager-Knoten ausführen.
Wichtig: Das Befehlszeilentool cleanImsConfig löscht keine Datenbanken auf dem
Datenbankserver. Informationen zum Löschen oder Sichern der Datenbank finden
Sie in der Datenbankdokumentation des verwendeten Datenbankprodukts.
172
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Vorgehensweise
1. Öffnen Sie die Eingabeaufforderung.
2. Navigieren Sie zum Verzeichnis <ims-ausgangsverzeichnis>\bin. Geben Sie beispielsweise Folgendes ein:
cd <ims-ausgangsverzeichnis>\bin
3. Geben Sie den folgenden Befehl ein:
cleanImsConfig <was-admin> <kennwort>
Im Verlauf des Konfigurationsbereinigungsprozesses in WebSphere Application
Server führt das Befehlszeilentool die folgenden Tasks asynchron aus:
v In einer eigenständigen Implementierung wird das Serverprofil erneut gestartet.
v In einer Netzimplementierung werden alle Knoten synchronisiert und das
Deployment Manager-Profil wird erneut gestartet.
Anmerkung: Auch wenn das Befehlszeilentool anzeigt, dass der Bereinigungsprozess abgeschlossen ist, kann sich WebSphere Application Server
noch immer im Neustart befinden.
4. Löschen Sie die IMS Server-Datenbank.
Nächste Schritte
Wenn Sie IMS Server deinstallieren, müssen Sie das Deinstallationsprogramm von
IMS Server ausführen. Siehe „IMS Server deinstallieren” auf Seite 167.
Kapitel 4. Deinstallation
173
174
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Kapitel 5. Arbeitsblatt für die Planung
Verwenden Sie das Arbeitsblatt für die Planung als Referenz für die Standard- und
Beispielwerte bei der Installation und Konfiguration des IBM Security Access Manager for Enterprise Single Sign-On-Servers und weiterer erforderlicher Softwareprodukte.
Installationsverzeichnisse und sonstige Pfade
Die folgende Tabelle enthält die unterschiedlichen Pfadvariablen, die im vorliegenden Handbuch verwendet werden, sowie die zugehörigen Standardwerte. In einigen Fällen entspricht der Variablenname dem Namen einer Umgebungsvariablen,
die im Betriebssystem definiert wird. Beispielsweise stellt %TEMP% die Umgebungsvariable %TEMP% unter Windows dar.
Anmerkung: Wenn Sie IBM Security Access Manager for Enterprise Single SignOn auf Windows-Systemen installieren, ist das Standardverzeichnis in der Regel
das Verzeichnis für Programmdateien des Systems <systemlaufwerk>:\Programme\
IBM\, wobei als Systemlaufwerk normalerweise Laufwerk C: dient. Sie können allerdings angeben, dass IBM Security Access Manager for Enterprise Single Sign-On
in einem anderen Plattenlaufwerk als C: installiert wird.
Pfadvariable
Komponente
Standardverzeichnis (x86)
<aa-ausgangsverzeichnis>
AccessAgent
C:\Programme\IBM\ISAM
ESSO\AA
<as-ausgangsverzeichnis>
AccessStudio
C:\Programme\IBM\ISAM
ESSO\AA\ECSS\AccessStudio
<db-ausgangsverzeichnis>
DB2
C:\Programme\IBM\SQLLIB
<ihs-ausgangsverzeichnis>
IBM HTTP Server
C:\Programme\IBM\
HTTPServer
<ims-ausgangsverzeichnis>
IBM Security Access Manager for Enterprise Single
Sign-On IMS Server
C:\Programme\IBM\ISAM
ESSO\IMS Server
<jvm-ausgangsverzeichnis>
Java Virtual Machine
C:\Programme\Java\
jre1.5.0_11
<updi-ausgangsverzeichnis>
IBM Update Installer for
WebSphere Application Server Version 7.0
C:\Programme\IBM\
WebSphere\UpdateInstaller
<was-ausgangsverzeichnis>
WebSphere Application Server
C:\Programme\IBM\
WebSphere\AppServer
<was-dmgrausgangsverzeichnis>
Deployment Manager-Profil
für WebSphere Application
Server Network Deployment
C:\Programme\IBM\
WebSphere\AppServer\
profiles\Dmgr01
Anmerkung: Achten Sie bei
der Erstellung von WebSphere Application Server
Version 8.5-Profilen für IMS
darauf, dass der Profilpfad
keine Leerzeichen im
Pfadnamen aufweist.
175
Pfadvariable
Komponente
Standardverzeichnis (x86)
<%TEMP%>
Windows-Verzeichnis für
temporäre Dateien
Bei Anmeldung als Administrator: C:\Dokumente und
Einstellungen\
Administrator\Lokale
Einstellungen\Temp
<%PROGRAMFILES%>
Windows-Verzeichnis für ins- C:\Programme
tallierte Programme
Hostnamen und Ports
Die folgende Tabelle enthält die unterschiedlichen Variablen für Hostnamen und
Portnummern, die im vorliegenden Handbuch verwendet werden.
Variable
Beschreibung
<was-hostname>
Name des Hosts, auf dem WebSphere Application
Server installiert ist
<dmgr-hostname>
Name des Hosts, auf dem WebSphere Application
Server Network Deployment Manager installiert
ist
<ihs-hostname>
Name des Hosts, auf dem IBM HTTP Server installiert ist
<hostname_des_programms_für_den_lastausgleich>
Name des Hosts, auf dem das Programm für den
Lastausgleich installiert ist
<ims-hostname>
Name des Hosts, auf dem IMS Server installiert
ist
<ihs-ssl-port>
SSL-Portnummer von IBM HTTP Server
<admin-ssl-port>
Sichere Portnummer der Administrationskonsole
URLs und Adressen
Die folgende Tabelle enthält die unterschiedlichen URLs und Adressen, die im vorliegenden Handbuch verwendet werden. Die Werte variieren je nachdem, ob WebSphere Application Server eigenständig oder ob WebSphere Application Server
Network Deployment verwendet wird.
Beschreibung
Format
Integrated Solutions v Wenn Sie WebSphere Application Server
Console (WebSphere
eigenständig verwenden:
Application Serverhttps://<was-hostname>:<admin-sslAdministrationsport>/ibm/console
konsole)
v Wenn Sie WebSphere Application Server
Network Deployment verwenden:
Beispielwert
https://localhost:9043/ibm/
console
oder
http://localhost:9060/ibm/
console
https://<dmgr-hostname>:<admin-sslport>/ibm/console
IMS-Konfigurationsassistent
v Wenn Sie WebSphere Application Server
eigenständig verwenden:
https://<was-hostname>:<admin-sslport>/front
v Wenn Sie WebSphere Application Server
Network Deployment verwenden:
https://<dmgr-hostname>:<admin-sslport>/front
176
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
https://localhost:9043/front
Beschreibung
Format
Beispielwert
IMSKonfigurationsdienstprogramm
v Wenn Sie WebSphere Application Server
eigenständig verwenden:
https://localhost:9043/
webconf
https://<was-hostname>:<admin-sslport>/webconf
v Wenn Sie WebSphere Application Server
Network Deployment verwenden:
https://<dmgr-hostname>:<admin-sslport>/webconf
AccessAdmin
v Wenn Sie ein Programm für den
Lastausgleich verwenden:
v https://imsserver:9443/
admin
https://<hostname_des_programms_
für_den_lastausgleich>:<ihs-ssl-port>/
admin
v https://imsserver/admin
v Wenn Sie kein Programm für den
Lastausgleich verwenden:
https://<ims-hostname>:<ihs-ssl-port>/
admin
v Wenn der Web-Server ordnungsgemäß
konfiguriert ist:
https://ims-hostname>/admin
AccessAssistant
v Wenn Sie ein Programm für den
Lastausgleich verwenden:
v https://imsserver:9443/
aawwp
https://
<hostname_des_programms_für_den_
lastausgleich>:<ihs-ssl-port>/aawwp
v https://imsserver/aawwp
v Wenn Sie kein Programm für den
Lastausgleich verwenden:
https://<ims-hostname>:<ihs-ssl-port>/
aawwp
v Wenn der Web-Server ordnungsgemäß
konfiguriert ist:
https://<ims-hostname>/aawwp
Web Workplace
https://imsserver:9443/
aawwp?isWwp=true
v Wenn Sie ein Programm für den
Lastausgleich verwenden:
https://
<hostname_des_programms_für_den_
lastausgleich>:<ihs-ssl-port>/
aawwp?isWwp=true
v Wenn Sie kein Programm für den
Lastausgleich verwenden:
https://<ims-hostname>:<ihs-ssl-port>/
aawwp?isWwp=true
Benutzer, Profilnamen und Gruppen
Die folgende Tabelle enthält einige der Benutzer und Gruppen, die während der
Installation erstellt werden.
Kapitel 5. Arbeitsblatt für die Planung
177
Variable
Beschreibung
Beispielwert
<profilname>
Name des WebSphere
Application Server-Profils.
v Wenn Sie WebSphere
Application Server eigenständig verwenden:
Der Profilname wird bei der
Erstellung von Profilen für
WebSphere Application Server mit dem
Befehlszeilentool
manageprofiles oder dem
grafischen Profile Management Tool definiert.
<anwendungsserverprofilname>
v Wenn Sie WebSphere
Application Server
Network Deployment verwenden:
– Deployment Manager:
<dmgr-profilname>
– Knoten
<angepasster_
profilname>
<WAS-admin-benutzer-id>
WebSphere-Administrator-ID, wasadmin
die während der Installation
von WebSphere Application
Server erstellt wird.
<IHS-admin-benutzer-id>
HTTP-Server-Administrator- ihsadmin
ID, die während der Installation von IBM HTTP Server
erstellt wird.
<DB2-admin-benutzer-id>
db2admin
DB2-AdministratorServicebenutzer-ID für
Microsoft Windows, die während der Installation von
IBM DB2 erstellt wird.
<IMS-admin-benutzer-id>
IBM Security Access Manager for Enterprise Single
Sign-On-Administrator.
imsadmin
Benutzer-ID, die während
der Installation von IMS Server für die Verwaltung von
IBM Security Access Manager for Enterprise Single
Sign-On erstellt wird.
<TIMAD-admin-benutzer-id>
(Nur für Active DirectoryUnternehmensverzeichnisse)
Benutzer-ID, die für die Verwendung mit Tivoli Identity
Manager Active Directory
Adapter erstellt wird.
tadadmin
Nicht für LDAP-Verzeichnisse erforderlich.
<LDAP-admin-benutzerBeispiel für eine LDAP-Beid_oder_benutzer-id_für_suche> nutzer-ID, die für die Verwendung durch IMS Server
mit Verzeichnisservern erstellt wurde, die mit LDAP
Version 3 kompatibel sind.
178
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
ldapadmin
lookupusr
Variable
Beschreibung
Beispielwert
<id_des_benutzers_ohne_
rootberechtigung_der_
virtuellen_einheit>
Allgemeiner Benutzeraccount virtuser
für Implementierungen mit
einer virtuellen Einheit. Wird
während der Aktivierung
und Implementierung der
virtuellen Einheit erstellt.
<id_des_rootbenutzers_der_
virtuellen_einheit>
Rootbenutzeraccount für Im- root
plementierungen mit einer
virtuellen Einheit. Wird für
die Anmeldung bei der virtuellen Einheit während der
Bootvorgangs verwendet.
IBM DB2 installieren
Die folgende Tabelle enthält Werte, die Sie bei der Installation eines Datenbankservers angeben müssen.
Parameter
Standard- oder Beispielwert
Installationsdatei
Enterprise Server Edition
v DB2_ESE_V97_Win_x86.exe
v DB2_ESE_V97_Win_x86-64.exe
Anmerkung: Die Installationsdateien können je nach
Version und Edition von DB2 variieren.
Installationsverzeichnis
C:\Programme\IBM\SQLLIB
Benutzerinformationen für den DB2-Verwaltungsserver
Domäne
Keiner - Lokalen Benutzeraccount verwenden
Benutzername
db2admin
Kennwort
DB2-Instanz
DB2-Standardinstanz erstellen
Partitionierungsoption für die DB2Standardinstanz
Einzelpartitionsinstanz
DB2-Toolskatalog
Keiner
Einrichten von DB2 Server für das Senden
von Benachrichtigungen
Nein
Betriebssystemsicherheit aktivieren
Ja
DB2-Administratorgruppe
Domäne
Keiner
Gruppenname
DB2ADMNS
Anmerkung: Dieser Wert ist ein Beispiel. Sie können
einen eigenen Wert angeben.
DB2-Benutzergruppe
Domäne
Keiner
Gruppenname
DB2USERS
Anmerkung: Dieser Wert ist ein Beispiel. Sie können
einen eigenen Wert angeben.
Portnummer
50000
Kapitel 5. Arbeitsblatt für die Planung
179
Datenbank für IMS Server erstellen
Die folgende Tabelle enthält die Werte, die Sie für die Erstellung der Datenbank
von IMS Server angeben müssen.
Parameter
Standard- oder Beispielwert
Datenbankname
imsdb
Anmerkung: Dieser Wert ist ein Beispiel. Sie können einen eigenen Wert angeben.
Standardpfad
C:\
Aliasname
imsdb
Anmerkung: Dieser Wert ist ein Beispiel. Sie können einen eigenen Wert angeben.
Kommentar
DB für IMS
Anmerkung: Dieser Wert ist ein Beispiel. Sie können einen eigenen Wert angeben.
DB2 zur Verwaltung des eigenen Speichers veranlassen (automatischer Speicher)
Ja
Default buffer pool and table space page size
8 K
Datenbankpfad als Speicherpfad verwenden
Ja
Codierter Zeichensatz
UTF-8
Sortierfolge
Region
Standardeinstellung
DB2-Benutzer manuell erstellen
Die folgende Tabelle enthält die Werte, die Sie angeben müssen, wenn Sie für IBM
Security Access Manager for Enterprise Single Sign-On einen separaten Datenbankbenutzer erstellen.
Parameter
Standard- oder Beispielwert
DB2-Benutzer
imsdb2admin
Administratorberechtigungen
v Verbindung zur Datenbank herstellen
v Tabellen erstellen
v Pakete erstellen
IBM Installation Manager für die WebSphere-Softwareinstallation
installieren
Die folgende Tabelle enthält die Werte, die Sie bei der Installation von IBM Installation Manager angeben müssen.
Parameter
Standard- oder Beispielwert
Installationsdatei (Verwaltungsinstallation)
install.exe
Installationsverzeichnis
C:\Programme\IBM\InstallationManager
Pfad zum lokalen Repository
C:\repositories\produktname\localrepositories
WebSphere Application Server installieren
Die folgende Tabelle enthält die Werte, die Sie bei der Installation von WebSphere
Application Server angeben müssen.
180
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Parameter
Standard- oder Beispielwert
Installationsverzeichnis
<was-ausgangsverzeichnis>
WebSphere Application Server-Umgebung
(Keiner)
Anmerkung: Profile werden nur nach Anwenden
der WebSphere-Fixpacks mit dem Profile Management Tool oder über die Befehlszeilenschnittstelle
erstellt. Sie können die folgenden Profile erstellen:
Für eigenständige Produktimplementierungen von
WebSphere Application Server
v Anwendungsserver
Für WebSphere Application Server Network
Deployment (Cluster)
v Deployment Manager
v Angepasst
Anmerkung: Achten Sie bei der Erstellung von
WebSphere Application Server Version 8.5-Profilen
für IMS darauf, dass der Profilpfad keine
Leerzeichen im Pfadnamen aufweist.
Verwaltungssicherheit aktivieren
Ja
WebSphere-Administrationsbenutzername
wasadmin
Name des Deployment Manager-Profils
<dmgr-profilname>
Name des angepassten Profils (Knoten)
<angepasster_profilname>
Name des Anwendungsserverprofils
<anwendungsserverprofilname>
Zellenname
<Server01Knoten01Zelle01>
Deployment Manager-Knotenname
<Server01Zelle01>
Anwendungsserverknotenname
<Server01Knoten01>
Installationsposition des HTTP-Servers
<ihs-ausgangsverzeichnis>
HTTP-Port
80
HTTP-Admin-Server-Port
8080
IBM Update Installer für die WebSphere-Softwareinstallation installieren
Die folgende Tabelle enthält die Werte, die Sie bei der Installation von IBM Update
Installer für die WebSphere-Softwareinstallation angeben müssen.
Parameter
Standard- oder Beispielwert
Installationsdatei
install.exe
Installationsverzeichnis
C:\Programme\IBM\WebSphere\
UpdateInstaller
Aktuellstes WebSphere Application Server Version 7.0-Fixpack
installieren
Die folgende Tabelle enthält die Werte, die Sie bei der Installation des aktuellsten
WebSphere Application Server Version 7.0-Fixpacks angeben müssen.
Kapitel 5. Arbeitsblatt für die Planung
181
Parameter
Standard- oder Beispielwert
Installationsdatei
v 7.0.0-WS-WAS-WinX32-FP000000X.pak
v 7.0.0-WS-WAS-WinX64-FP000000X.pak
Installationsverzeichnis
<was-ausgangsverzeichnis>
Auswahl der Wartungsoperation
Wartungspaket installieren
Verzeichnispfad für Wartungspaket
<updi-ausgangsverzeichnis>\maintenance
IBM HTTP Server installieren
Die folgende Tabelle enthält die Werte, die Sie bei der Installation von IBM HTTP
Server angeben müssen.
Parameter
Standard- oder Beispielwert
Installationsverzeichnis
<ihs-ausgangsverzeichnis>
IBM HTTP Server-HTTP-Port
80
IBM HTTP Server-HTTP-Verwaltungsport
8008
IBM HTTP Server als Windows-Dienst ausführen
Ja
IBM-HTTP-Verwaltung als Windows-Dienst
ausführen
Ja
Als lokaler Systemaccount anmelden
Ja
Als angegebener Benutzeraccount anmelden
Nein
Benutzername
Administrator
Anmerkung: Dieser Wert ist ein Beispiel. Sie
können einen eigenen Wert angeben.
Kennwort
Starttyp
Automatisch
Benutzer-ID für die
Ja
Verwaltungsserverauthentifizierung von IBM
HTTP Server erstellen
Benutzer-ID für die
ihsadmin
Verwaltungsserverauthentifizierung von IBM Anmerkung: Der WebSphere Application
HTTP Server
Server-Account für die Verwaltung von IBM
HTTP Server und des IBM HTTP ServerPlug-ins.
Kennwort für die
Verwaltungsserverauthentifizierung von IBM
HTTP Server
IBM HTTP Server-Plug-in für IBM WebSphere Application Server installieren
Ja
Web-Server-Definition
<webserver1>
Hostname oder IP-Adresse für den
Anwendungsserver
IMS821.samesso.ibm.com (Beispiel)
Aktuelle IBM HTTP Server Version 7.0-Fixpack installieren
Die folgende Tabelle enthält die Werte, die Sie bei der Installation des aktuellen
IBM HTTP Server Version 7.0-Fixpacks angeben müssen.
182
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Parameter
Standard- oder Beispielwert
Installationsdatei
v 7.0.0-WS-IHS-WinX32-FP000000X.pak
v 7.0.0-WS-IHS-WinX64-FP000000X.pak
Installationsverzeichnis
<ihs-ausgangsverzeichnis>
Auswahl der Wartungsoperation
Wartungspaket installieren
Verzeichnispfad für Wartungspaket
<was-ausgangsverzeichnis>\
UpdateInstaller\maintenance
IBM HTTP Server konfigurieren
Die folgende Tabelle enthält die Werte, die Sie bei der Konfiguration von IBM
HTTP Server für die Arbeit mit WebSphere Application Server angeben müssen.
Parameter
Standard- oder Beispielwert
Windows-Stapeldatei
configure<webserver1>.bat
Ursprüngliche Position
<ihs-ausgangsverzeichnis>\Plugins\bin
Zielposition
<was-ausgangsverzeichnis>\bin
com.ibm.SOAP.requestTimeoutproperty
6000
Fernes Web-Server-Management
Port
8008
Benutzername
ihsadmin
Kennwort
SSL verwenden
Nein
Intervall für die Aktualisierung der Konfiguration
60 Sekunden
Name der Plug-in-Konfigurationsdatei
plugin-cfg.xml
Name der Plug-in-Schlüsselspeicherdatei
plugin-key.kdb
Verzeichnis und Name der Plug-inKonfigurationsdatei
<ihs-ausgangsverzeichnis>\Plugins\config\
<webserver1>\plugin-cfg.xml
Verzeichnis und Name der Plug-inSchlüsselspeicherdatei
<ihs-ausgangsverzeichnis>\Plugins\config\
<webserver1>\plugin-key.kdb
Plug-in-Konfigurationsdatei automatisch generieren
Ja
Plug-in-Konfigurationsdatei automatisch weiterge- Ja
ben
Protokolldateiname
v <ihs-ausgangsverzeichnis>\Plugins\logs\
<webserver1>\http_plug-in.log
v <ims-ausgangsverzeichnis>\ISAM_ESSO_IMS_Server_InstallLog.log
Protokollebene
Fehler
IMS Server installieren
Die folgende Tabelle enthält die Werte, die Sie bei der Installation von IMS Server
angeben müssen.
Parameter
Standard- oder Beispielwert
Installationsdatei
imsinstaller_8.2.1.0.x.exe
Installationsordner
<ims-ausgangsverzeichnis>
Kapitel 5. Arbeitsblatt für die Planung
183
Parameter
Standard- oder Beispielwert
IMS Server in WebSphere Application Server v Ja - Die IMS Server-EAR-Datei wird autoimplementieren
matisch in WebSphere Application Server
implementiert.
v Nein - Sie müssen die IMS Server-EARDatei manuell in WebSphere Application
Server implementieren.
WebSphere Application ServerVerwaltungssicherheit aktiviert
Ja
Name des Benutzers mit
Verwaltungsaufgaben
wasadmin
Anmerkung: Dieser Wert muss mit dem
Benutzernamen des WebSphere Application
Server-Administrators identisch sein.
Kennwort des Benutzers mit
Verwaltungsaufgaben
Vertrauenswürdige SSL-JavaSchlüsselspeicherdatei
trust.p12
Position der vertrauenswürdigen SSL-JavaSchlüsselspeicherdatei
v Wenn Sie WebSphere Application Server
eigenständig verwenden:
<was-ausgangsverzeichnis>\profiles\
<anwendungsserverprofilname>\config\
cells\<Server01Zelle01>\nodes\
<Server01Knoten01>\
v Wenn Sie WebSphere Application Server
Network Deployment verwenden:
<was-ausgangsverzeichnis>\profiles\
<dmgr-profilname>\config\cells\
<Server01Zelle01>\
Kennwort der vertrauenswürdigen SSL-Java- WebAS
Schlüsselspeicherdatei
SSL-Java-Schlüsselspeicherdatei
key.p12
Position der SSL-Java-Schlüsselspeicherdatei
v Wenn Sie WebSphere Application Server
eigenständig verwenden:
<was-ausgangsverzeichnis>\profiles\
<anwendungsserverprofilname>\config\
cells\<Server01Zelle01>\nodes\
<Server01Knoten01>\
v Wenn Sie WebSphere Application Server
Network Deployment verwenden:
<was-ausgangsverzeichnis>\profiles\
<dmgr-profilname>\config\cells\
<Server01Zelle01>\
Kennwort der SSL-JavaSchlüsselspeicherdatei
WebAS
WebSphere Application Server-SOAPConnector-Port
v Für WebSphere Application Server (eigenständig):
8880
v Für WebSphere Application Server
Network Deployment (Deployment Manager):
8879
184
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Parameter
Standard- oder Beispielwert
Position der SOAP-Connector-Portnummer
v Wenn Sie WebSphere Application Server
eigenständig verwenden:
<was-ausgangsverzeichnis>\profiles\
<anwendungsserverprofilname>\logs\
AboutThisProfile.txt
v Wenn Sie WebSphere Application Server
Network Deployment verwenden:
<was-ausgangsverzeichnis>\profiles\
<dmgr-profilname>\logs\
AboutThisProfile.txt
IMS Server-URL
Beispiel: https://localhost:9043/front
v Wenn Sie WebSphere Application Server
eigenständig verwenden:
https://<was-hostname>:<admin-sslport>/front
v Wenn Sie WebSphere Application Server
Network Deployment verwenden:
https://<dmgr-hostname>:<admin-sslport>/front
IMS Server konfigurieren
Die folgende Tabelle enthält die Werte, die Sie bei der Konfiguration von IMS Server angeben müssen.
Parameter
Standard- oder Beispielwert
JDBC-Providername
ISAM ESSO JDBC Provider
Datenquellenname
ISAM ESSO IMS Server Data Source
JNDI-Name
jdbc/ims
Anmerkung: Der JNDI-Name kann nicht bearbeitet werden.
Aliasname für J2C-Authentifizierungsdaten
imsauthdata
IMS Server-Datenbankschema erstellen
Ja
Datenbanktyp auswählen
v IBM DB2 Server
v Microsoft SQL Server
v Oracle Server
Datenbankkonfiguration - <datenbanktyp>
Hostname
Instanz
Anmerkung: Nur für Microsoft SQL Server.
Port
v Für IBM DB2 Server: 50000
v Für Microsoft SQL Server: 1433
v Für Oracle Server: 1521
Datenbankname
Anmerkung: Nur für IBM DB2.
SID
Anmerkung: Nur für Oracle Server.
Benutzername
db2admin
Benutzerkennwort
Details zur Stammzertifizierungsstelle angeben
Kapitel 5. Arbeitsblatt für die Planung
185
Parameter
Standard- oder Beispielwert
Schlüsselspeichername
CellDefaultKeyStore
Schlüsselspeicherkennwort
Aliasname für Stammzertifizierungsstelle
root
Vollständig qualifizierter Web-Server-Name
web1.example.com
IMS-Service-URL
HTTPS-Portnummer
443
Unternehmensverzeichnis konfigurieren (LDAP oder Active Directory)
Die folgende Tabelle enthält die Werte, die Sie bei der Konfiguration des Unternehmensverzeichnisses angeben müssen.
Parameter
Standard- oder Beispielwert
Hostname
ldapsvr.example.com
Definierter Name für Bindung
v Für Active Directory:
cn=lookupusr, cn=users,dc=team, dc=example, dc=com
v Für LDAP:
cn=lookupusr, ou=users, o=example, c=us
Basis-DN
v Für Active Directory:
cn=users, dc=team, dc=example, dc=com
v Für LDAP:
ou=users,o=example,c=us
Domäne
team.example.com
Port
389 (ohne SSL)
636 (mit SSL)
186
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Kapitel 6. Datenbankschemas erstellen
Sie müssen ein Datenbankschema angeben, wenn Sie die Datenquelle und das Zertifikat für IMS Server konfigurieren.
Bei der Konfiguration von IMS Server können Sie ein eigenes Datenbankschema
auswählen oder ein vom Konfigurationsassistenten erstelltes Datenbankschema
verwenden. Wenn Sie ein eigenes Datenbankschema verwenden möchten, müssen
Sie die korrekten SQL-Scripts für den unterstützten Datenbankserver ausführen.
v Wenn Sie ein eigenes Datenbankschema verwenden wollen, müssen Sie dieses
erstellen, bevor Sie die Konfiguration der Datenquelle und des Zertifikats für
IMS Server starten.
v Folgende Trennzeichen werden verwendet:
– IBM DB2: Script initPL.sql: !.
– Oracle: Scripts initPL.sql und logPL.sql: /.
– Alle Datenbanken: Das Trennzeichen ist ;.
Wenn IBM DB2 Server die IMS Server-Datenbank ist:
1. Navigieren Sie zum Verzeichnis <IMS_server-installationsverzeichnis>\
com.ibm.tamesso.ims-delhi.build.boot\src\database\data\sql\db2\createschema.
2. Führen Sie die folgenden Scripts in der angegebenen Reihenfolge aus:
a. init.sql
b. log.sql
c. initPL.sql
3. Navigieren Sie zum Verzeichnis <IMS_server-installationsverzeichnis>\
com.ibm.tamesso.ims-delhi.build.root\src\database\data\sql\common\
initialize-prod.
4. Führen Sie das Script boot.sql aus.
5. Navigieren Sie zum Verzeichnis <IMS_server-installationsverzeichnis>\
com.ibm.tamesso.ims-delhi.build.boot\src\database\data\sql\db2\createschema.
6. Führen Sie das Script view.sql aus.
Wenn Microsoft SQL Server die IMS Server-Datenbank ist:
1. Melden Sie sich bei SQL Server Management Studio an. Beispiel: imsdbusr
Wichtig: Geben Sie den SQL Server-Anmeldeaccount an, den Sie in Schritt 4
auf Seite 220 unter „Datenbank in SQL Server manuell erstellen” auf Seite 219
erstellt haben.
2. Führen Sie für jedes der Scripts die folgenden Tasks aus:
187
Führen Sie jedes der folgenden SQL-Scripts in der angegebenen
Reihenfolge aus:
Gehen Sie wie folgt
vor:
1. <ims-ausgangsverzeichnis>\com.ibm.tamesso.imsdelhi.build.boot\src\database\data\sql\sqlserver\createschema\init.sql
So führen Sie das
SQL-Script aus:
2. <ims-ausgangsverzeichnis>\com.ibm.tamesso.imsdelhi.build.boot\src\database\data\sql\sqlserver\createschema\log.sql
3. <ims-ausgangsverzeichnis>\com.ibm.tamesso.imsdelhi.build.boot\src\database\data\sql\common\initializeprod\boot.sql
4. <ims-ausgangsverzeichnis>\com.ibm.tamesso.imsdelhi.build.boot\src\database\data\sql\sqlserver\createschema\view.sql
1. Öffnen Sie das
SQL-Script.
2. Klicken Sie auf
den Befehl Query
Options.
3. Legen Sie als
Stapeltrennzeichen das
Zeichen „;” fest
(ohne Anführungszeichen).
4. Klicken Sie auf
OK.
5. Klicken Sie auf
Execute.
3. Prüfen Sie die Tabellen:
a. Blenden Sie <IMS_server-datenbankname> > Tables ein.
b. Stellen Sie sicher, dass die Tabellennamen den SQL Server-Anmeldenamen
als Präfix enthalten. Beispiel: imsdbusr.<tabellenname>
Wenn Oracle Database die IMS Server-Datenbank ist:
1. Navigieren Sie zum Verzeichnis <IMS_server-installationsverzeichnis>\
com.ibm.tamesso.ims-delhi.build.boot\src\database\data\sql\oracle\
create-schema.
2. Führen Sie die folgenden Scripts in der angegebenen Reihenfolge aus:
a. init.sql
b. log.sql
c. initPL.sql
3.
4.
5.
6.
d. logPL.sql
Navigieren Sie zum Verzeichnis <IMS_server-installationsverzeichnis>\
com.ibm.tamesso.ims-delhi.build.boot\src\database\data\sql\common\
initialize-prod.
Führen Sie das Script boot.sql aus.
Navigieren Sie zum Verzeichnis <IMS_server-installationsverzeichnis>\
com.ibm.tamesso.ims-delhi.build.boot\src\database\data\sql\oracle\
create-schema.
Führen Sie das Script view.sql aus.
Benutzer manuell erstellen
Sie können einen DB2-Benutzer in IBM DB2 erstellen und festlegen, der von IMS
Server zum Herstellen einer Verbindung zur Datenbank verwendet werden kann.
Diese Task ist optional.
Vorbereitende Schritte
Melden Sie sich mit Administratorberechtigungen beim Datenbankserver an.
188
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Informationen zu diesem Vorgang
Diese Task ist optional.
Der erstellte DB2-Benutzeraccount muss Berechtigungen zum Herstellen einer Verbindung zur Datenbank, zum Erstellen von Tabellen und zum Erstellen von Paketen aufweisen. Ein gängiger Benutzername ist db2admin, Sie können jedoch einen
beliebigen Benutzernamen zuweisen, wenn der betreffende Account über Verwaltungszugriff verfügt. Vermeiden Sie Änderungen des Benutzernamens nach der Erstellung.
Vorgehensweise
1. Erstellen Sie einen Betriebssystembenutzer mit Administratorberechtigungen
(Mitglied der lokalen Administratorgruppe). Beispiel: imsdb2admin.
2. Verwenden Sie eine der folgenden Methoden, um DB2-Berechtigungen zu erstellen und dem Benutzer zuzuordnen:
v Verwenden der DB2-Steuerzentrale:
a. Öffnen Sie die DB2-Steuerzentrale.
b. Wenn die Sicht "Control Center View" angezeigt wird, wählen Sie Advanced aus.
c. Klicken Sie auf OK.
d. Blenden Sie in der Objektansicht die Objektbaumstruktur für die IMS Server-Datenbank ein, für deren Verwendung Sie einen Benutzer autorisieren. Blenden Sie die Objektbaumstruktur ein, bis Sie den Ordner User
and Group Objects finden.
e. Klicken Sie auf User and Group Objects.
f. Klicken Sie mit der rechten Maustaste auf DB Users.
g. Klicken Sie auf Add.
h. Geben Sie in Users den Benutzeraccount an, der in Schritt 1 erstellt wurde. Beispiel: imsdb2admin.
i. Wählen Sie im Feld Authorities die folgenden Kontrollkästchen aus:
– Connect to database
– Create tables
– Create packages
j. Klicken Sie auf OK.
v Verwenden Sie den DB2-Befehlszeilenprozessor, um die folgende SQLAnweisung auszuführen.
Anmerkung: Bevor Sie die SQL-Anweisung ausführen, müssen Sie die Variablen in dieser Anweisung durch eigene Werte ersetzen.
connect to <ims-datenbank>;
grant createtab,bindadd,connect on database to user <DB2-benutzer>;
connect reset;
Beispiel: Die folgende SQL-Anweisung erteilt dem Benutzer imsdb2admin die
erforderlichen Berechtigungen für die Datenbank imsdb:
connect to imsdb;
grant createtab,bindadd,connect on database to user imsdb2admin;
connect reset;
Kapitel 6. Datenbankschema erstellen
189
190
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Kapitel 7. Sonstige Installations- und Konfigurationstasks
Je nach Implementierung kann es sein, dass Sie für IBM Security Access Manager
for Enterprise Single Sign-On weitere Installations- und Konfigurationstasks ausführen.
Informationen dazu enthalten die folgenden Themen:
v „IBM WebSphere Application Server Feature Pack for Web 2.0 and Mobile
installieren” auf Seite 30
v „Gemeinsam genutzte JAX-RS-Bibliothek hinzufügen” auf Seite 46
v „IMS Server zur Verwendung von Verzeichnisservern konfigurieren”
v „Sichern und wiederherstellen” auf Seite 200
v „Komponenten stoppen und starten” auf Seite 205
v „IMS Server manuell in WebSphere Application Server implementieren” auf Seite 212
v „Web-Server-Plug-in für WebSphere Application Server manuell installieren” auf
Seite 217
v „Datenbank in SQL Server manuell erstellen” auf Seite 219
v „Anwendungssicherheit in WebSphere Application Server aktivieren” auf Seite
213
v „Grundlegende Befehle für die Verwaltung von WebSphere Application
Server-Profilen” auf Seite 220
v „Methoden zum Auflösen von Hosts und IP-Adressen” auf Seite 221
v „SSL-Zertifikat für IBM HTTP Server erneuern” auf Seite 222
v „IMS-Stammzertifizierungsstelle dem Truststore hinzufügen” auf Seite 223
v „SSL-Zertifikat des Verzeichnisservers zu WebSphere Application Server
hinzufügen” auf Seite 224
v „Name und Kennwort des IBM HTTP Server-Administrators abrufen” auf Seite
225
v „Anwendung TAM E-SSO IMS in WebSphere Application Server deinstallieren”
auf Seite 226
IMS Server zur Verwendung von Verzeichnisservern konfigurieren
Sie können IMS Server zur Verwendung eines LDAP-Servers oder mehrerer Active
Directory-Server konfigurieren. Verzeichnisserver können entweder über den IMSKonfigurationsassistenten oder über das IMS-Konfigurationsdienstprogramm konfiguriert werden.
Verwenden Sie den IMS-Konfigurationsassistenten, um IMS Server erstmalig in einer Neuinstallation einzurichten. Der IMS-Konfigurationsassistent umfasst Schritte
zum Einrichten von IMS Server zur Verwendung von Verzeichnisservern. Verwenden Sie den IMS-Konfigurationsdienstprogrammen, um IMS Server zu einem späteren Zeitpunkt zur Verwendung von Verzeichnisservern einzurichten.
Nach der Konfiguration des Verzeichnisservers müssen Sie WebSphere Application
Server unverzüglich erneut starten, um die Konfigurationsänderungen anzuwen-
191
den. Wenn Sie die Web-Server-Definition und den Verzeichnisserver vor dem Neustart von WebSphere Application Server konfigurieren, wird die Konfiguration
nicht gespeichert.
Stellen Sie sicher, dass die Repositorys des Verzeichnisservers aktiv sind, um eine
Verbindung zu diesen Repositorys herstellen zu können. Sind ein oder mehrere der
konfigurierten Repositorys nicht erreichbar, ist es nicht möglich, eine Authentifizierung durchzuführen oder WebSphere Application Server zu stoppen.
Wenn das Problem weiterhin besteht, liegt dies an einer Sicherheitsfunktion von
Virtual Member Manager. Virtual Member Manager prüft vor der Authentifizierung des Benutzers stets alle Repositorys. Weitere Informationen zur Lösung dieses
Problems finden Sie unter der Adresse http://publib.boulder.ibm.com/infocenter/
wasinfo/v7r0/index.jsp?topic=/com.ibm.websphere.wim.doc/
UnableToAuthenticateWhenRepositoryIsDown.html.
IMS Server für die Verwendung von Active Directory-Servern
konfigurieren
Fügen Sie vorbereitete Active Directory-Server hinzu, damit IMS Server Benutzeraccountinformationen für die Autorisierung nachschlagen kann. Sie können mehrere Active Directory-Server hinzufügen.
Vorbereitende Schritte
Sie können die Self-Service-Zurücksetzung von Kennwörtern in AccessAssistant
und Web Workplace unter den folgenden Bedingungen für die Active DirectoryVerbindung bereitstellen:
v SSL wird nicht verwendet: Stellen Sie sicher, dass IBM Security Identity Manager Active Directory Adapter auf dem Verzeichnisserver oder auf einem separaten Host installiert ist und ausgeführt wird.
Bereiten Sie sich darauf vor, die Berechtigungsnachweise für einen Benutzer mit
Verwaltungsaufgaben oder einen designierten Benutzer mit Berechtigungen zum
Zurücksetzen von Kennwörtern anzugeben. Beispiel: myresetusr.
v SSL wird verwendet: Bereiten Sie sich darauf vor, die Berechtigungsnachweise
für einen Benutzer mit Verwaltungsaufgaben oder einen designierten Benutzer
mit Berechtigungen zum Zurücksetzen von Kennwörtern anzugeben. Beispiel:
myresetusr.
Anmerkung: Tivoli Identity Manager Active Directory Adapter muss nicht installiert werden.
Fügen Sie für SSL-Verbindungen die SSL-Zertifikate des Verzeichnisservers zu
WebSphere Application Server hinzu.
Sie müssen die folgenden Unternehmensverzeichnisinformationen vorbereiten:
v FQDN des Domänencontrollers. Beispiel: adserver.team.example.com
v DNS-Name der Domäne. Beispiel: team.example.com.
v Berechtigungsnachweise für den Benutzer für die Suche des Verzeichnisses. Beispiel: lookupusr.
v Basis-DN. Beispiel: cn=users,dc=team,dc=example,dc=com
192
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
v Optional: Für Zurücksetzungen von Kennwörtern in AccessAssistant und Web
Workplace benötigen Sie die Berechtigungsnachweise für einen Verzeichnisbenutzer mit Berechtigungen für das Zurücksetzen von Kennwörtern. Beispiel: myresetusr.
Wenn Sie das Arbeitsblatt für die Planung verwenden, finden Sie in Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175 Informationen.
Informationen zu diesem Vorgang
Wenn Sie sich im Verlauf der Konfiguration von IMS Server mit dem IMS-Konfigurationsassistenten befinden, führen Sie diese Schritte aus und fahren Sie dann mit
den Prozeduren unter „IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten konfigurieren (eigenständig)” auf Seite 78 fort.
Vorgehensweise
1. Klicken Sie auf Neues Repository hinzufügen.
2. Wählen Sie den Unternehmensverzeichnistyp aus.
a. Wählen Sie Active Directory aus.
b. Klicken Sie auf Weiter.
3. Führen Sie für Active Directory-Server die folgenden Schritte aus:
a. Geben Sie an, ob der Kennwortabgleich aktiviert werden soll.
Der Kennwortabgleich ist nur für Active Directory-Server verfügbar.
Wenn der Kennwortabgleich aktiviert ist, wird das Kennwort von IBM Security Access Manager for Enterprise Single Sign-On mit Active Directory
abgeglichen.
Wenn Sie das Kennwort ändern, wird es durch die Software auf jedem Active Directory-Host geändert, auf dem der Benutzer über einen Account verfügt. Wenn es zu einer Out-of-band-Kennwortzurücksetzung kommt, wird
das Kennwort von IBM Security Access Manager for Enterprise Single SignOn bei der nächsten Online-Anmeldung erneut abgeglichen.
Weitere Details zum Active Directory-Kennwortabgleich enthält das Handbuch IBM Security Access Manager for Enterprise Single Sign-On Planning and
Deployment Guide.
b. Geben Sie die Repository-Verbindungsdetails an.
Tipp: Weitere Hilfeinformationen für die einzelnen Elemente können Sie anzeigen, indem Sie den Cursor über die Elemente bewegen.
FQDN des Domänencontrollers
Geben Sie den vollständig qualifizierten Domänennamen (FQDN)
des Domänencontrollers an. Beispiel: adserver.team.example.com
DNS-Name der Domäne
Geben Sie den Domänennamen des Servers an, zu dem IMS Server
eine Verbindung herstellt. Beispiel: team.example.com.
Anmerkung: Dieses Attribut ist der vollständig qualifizierte Namen
des DNS. Es ist nicht die "Domäne" des Servers.
NetBIOS-Name der Domäne
Geben Sie den NetBIOS-Domänennamen des Repository-Hosts an.
Der NetBIOS-Domänenname ist in der Regel mit dem RepositoryHostnamen derselben Domäne identisch. Beispiel: mydirsvr.
Kapitel 7. Sonstige Installations- und Konfigurationstasks
193
Anmerkung:
v Der NetBIOS-Name wird nicht von IMS Server geprüft. Sie müssen den korrekten Namen angeben.
v Rufen Sie zum Ermitteln des korrekten NetBIOS-Domänennamens die Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach „nbtstat”. Siehe dazu
die Anweisungen zur Verwendung von nbtstat für die Ermittlung des NetBIOS-Domänennamens mit dem Befehl nbtstat.
Die Standardportnummer ohne SSL ist 389. Die Standardportnummer mit SSL ist 636.
Port
Anmerkung: Verwenden Sie zum Aktivieren der Zurücksetzung
von Kennwörtern in einer Nicht-SSL-Umgebung die Komponente
Tivoli Identity Manager Active Directory Adapter. In einer SSL-Umgebung müssen Sie Tivoli Identity Manager Active Directory Adapter nicht installieren.
Bindungsbenutzername
Geben Sie den Benutzernamen des Benutzers für die Suche an. Beispiel: lookupusr.
Kennwort
Geben Sie das Kennwort für den Benutzer für die Suche ein.
4. Klicken Sie auf Weiter.
5. Klicken Sie zum Anzeigen oder Anpassen weiterer Repositorydetails auf Erweiterte Einstellungen.
6. Geben Sie an, ob Sie eine SSL-Verbindung verwenden.
Option
Ohne SSL
Parameter
Verbinden mit
Sie können lediglich FQDN/Hostname des Domänencontrollers auswählen.
FQDN des Domänencontrollers
Geben Sie den vollständig qualifizierten Domänennamen (FQDN) des
Domänencontrollers an. Beispiel: adserver.team.example.com, wobei
team.example.com der Domänennamensserver ist.
DNS-Name der Domäne
Geben Sie den Domänennamen des Active Directory-Servers an, der mit IMS
Server verbunden ist. Beispiel: team.example.com
NetBIOS-Name der Domäne
Geben Sie den NetBIOS-Domänennamen an. Der NetBIOS-Domänenname ist
in der Regel mit dem Hostnamen des Computers in derselben Domäne identisch. Beispiel: mydirsvr
Anmerkung:
v Der NetBIOS-Name wird nicht von IMS Server geprüft. Sie müssen den
korrekten Namen angeben.
v Rufen Sie zum Ermitteln des korrekten NetBIOS-Domänennamens die
Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach „nbtstat”. Siehe dazu die Anweisungen zur Verwendung
von nbtstat für die Ermittlung des NetBIOS-Domänennamens.
194
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Option
Parameter
Port
Geben Sie die Portnummer an. Beispiel: Die Standardeinstellung ist 389 (ohne
SSL) oder 636 (mit SSL).
Bindungsbenutzername
Geben Sie den Benutzernamen des Benutzers für die Suche an. Beispiel: administrator.
Kennwort
Geben Sie das Kennwort für den Benutzer für die Suche ein.
Basis-DN
Mindestens ein Basis-DN ist erforderlich. Der Basis-DN gibt den Ausgangspunkt für Suchvorgänge auf diesem Verzeichnisserver an. Für die Autorisierung muss für dieses Feld standardmäßig die Groß-/Kleinschreibung beachtet
werden. Gleichen Sie die Groß-/Kleinschreibung mit der auf dem
Verzeichnisserver ab.
Beispiel: Für einen Benutzer mit dem DN
cn=lookupusr,cn=users,dc=team,dc=example,dc=com müssen Sie den Basis-DN
mit einer der folgenden Optionen angeben:
cn=users,dc=team,dc=example,dc=com oder dc=team,dc=example,dc=com.
Failover-Domänencontroller
Verwenden Sie einen Failover-Domänencontroller für replizierte Active
Directory-Server in einer Hochverfügbarkeitskonfiguration.
Geben Sie den Hostnamen oder den vollständig qualifizierten
Domänennamen sowie die Portnummer des sekundären Domänencontrollers
an. Der sekundäre Domänencontroller wird verwendet, wenn der primäre
Domänencontroller fehlschlägt.
Mit SSL
Verbinden mit
Wenn Sie SSL verwenden, können Sie mit der Angabe DNS-Name der Domäne oder der Angabe FQDN/Hostname des Domänencontrollers eine Verbindung zum Server herstellen. Wenn Sie zum Auflösen von Hostnamen oder
IP-Adressen einen Domänennamensserver verwenden, wählen Sie DNS-Name der Domäne aus.
Wenn Sie FQDN/Hostname des Domänencontrollers auswählen, wird
FQDN/Hostname des Domänencontrollers angezeigt.
FQDN/Hostname des Domänencontrollers
Wenn Sie sich für die Verbindungsherstellung über FQDN/Hostname des
Domänencontrollers entscheiden, wird der Hostname des
Domänencontrollers oder der vollständig qualifizierte Domänenname angezeigt.
DNS-Name der Domäne
Der Domänenname des Active Directory-Servers, der mit IMS Server verbunden ist, wird angezeigt. Beispiel: team.example.com
Kapitel 7. Sonstige Installations- und Konfigurationstasks
195
Option
Parameter
NetBIOS-Name der Domäne
Geben Sie den NetBIOS-Domänennamen an. Der NetBIOS-Domänenname ist
in der Regel mit dem Hostnamen des Computers in derselben Domäne identisch. Beispiel: mydirsvr
Anmerkung:
v Der NetBIOS-Name wird nicht von IMS Server geprüft. Sie müssen den
korrekten Namen angeben.
v Rufen Sie zum Ermitteln des korrekten NetBIOS-Domänennamens die
Website von Microsoft unter der Adresse www.microsoft.com auf und suchen Sie dort nach „nbtstat”. Siehe dazu die Anweisungen zur Verwendung
von nbtstat für die Ermittlung des NetBIOS-Domänennamens.
Definierter Name für Bindung
Geben Sie den definierten Namen (DN) für den Benutzer für die Suche ein.
Der definierte Name ist der Name, der einen Eintrag im Verzeichnis eindeutig
angibt. Der Verzeichnisbenutzer muss für die Ausführung von
Verzeichnissuchvorgängen autorisiert werden. Ein definierter Name besteht
aus Attribut/Wert-Paaren (Attribut=Wert), die durch Kommas voneinander
getrennt sind. Beispiel: cn=lookupusr,cn=users,dc=team,dc=example,dc=com
Kennwort
Geben Sie das Kennwort für den Benutzer für die Suche ein.
Basis-DN
Mindestens ein Basis-DN ist erforderlich. Der Basis-DN gibt den Ausgangspunkt für Suchvorgänge auf diesem Verzeichnisserver an. Für die Autorisierung muss für dieses Feld standardmäßig die Groß-/Kleinschreibung beachtet
werden. Gleichen Sie die Groß-/Kleinschreibung mit der auf dem
Verzeichnisserver ab.
Beispiel: Für einen Benutzer mit dem DN
cn=lookupusr,cn=users,dc=team,dc=example,dc=com müssen Sie den Basis-DN
mit einer der folgenden Optionen angeben:
cn=users,dc=team,dc=example,dc=com oder dc=team,dc=example,dc=com.
Failover-Domänencontroller
Dieses Feld wird nur dann angezeigt, wenn Sie eine Verbindung über FQDN/
Hostname des Domänencontrollers entscheiden.
Verwenden Sie einen Failover-Domänencontroller für replizierte Active
Directory-Server in einer Hochverfügbarkeitskonfiguration.
Geben Sie den Hostnamen oder den vollständig qualifizierten
Domänennamen sowie die Portnummer des sekundären Domänencontrollers
an. Der sekundäre Domänencontroller wird verwendet, wenn der primäre
Domänencontroller fehlschlägt.
7. Wenn der Kennwortabgleich aktiviert ist:
a. Sie können sich für die Aktivierung von Zurücksetzen des Kennworts für
AccessAssistant/Web Workplace entscheiden.
Wenn Sie diese Funktion aktivieren, können Benutzer ihre Kennwörter in
AccessAssistant oder Web Workplace zurücksetzen.
b. Wenn Sie Zurücksetzen des Kennworts für AccessAssistant/Web Workplace aktiviert haben, müssen Sie die Benutzerberechtigungsnachweise eines
Verzeichnisbenutzers mit Berechtigungen zum Zurücksetzen von Kennwörtern, Hostname und Portnummer eingeben.
196
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Für Nicht-SSL-Verbindungen von Active Directory sind der Hostname und
die Portnummer die Details von Tivoli Identity Manager Active Directory
Adapter.
Beim Angeben der Benutzerberechtigungsnachweise müssen Sie die Berechtigungsnachweise für einen Verzeichnisbenutzer mit Verwaltungsaufgaben
oder einen designierten Verzeichnisbenutzer mit Berechtigungen zum Zurücksetzen von Kennwörtern für den Verzeichnisserver angeben. Beispiel:
myresetusr.
Anmerkung: Siehe „Verzeichnisserver vorbereiten” auf Seite 36.
8. Klicken Sie auf Weiter.
9. Starten Sie WebSphere Application Server erneut.
a. Stoppen Sie WebSphere Application Server (für eigenständige Implementierungen) oder den Deployment Manager (für Netzimplementierungen).
b. Starten Sie WebSphere Application Server (für eigenständige Implementierungen) oder den Deployment Manager (für Netzimplementierungen).
Nächste Schritte
Falls die Konfiguration des Unternehmensverzeichnisses Teil einer Neuinstallation
von IMS Server ist, finden Sie in den folgenden Abschnitten weitere Informationen:
v Für Implementierungen virtueller Einheiten siehe „Virtuelle Einheit aktivieren
und konfigurieren” auf Seite 52.
v Für eigenständige Implementierungen fahren Sie mit Schritt 18 auf Seite 81 unter
„IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten
konfigurieren (eigenständig)” auf Seite 78 fort.
v Für Netzimplementierungen fahren Sie mit Schritt 18 auf Seite 81 unter „IMS
Server mit dem IMS-Konfigurationsassistenten konfigurieren
(Netzimplementierung)” auf Seite 109 fort.
IMS Server für die Verwendung von LDAP-Servern konfigurieren
Sie können vorbereitete LDAP-Server, wie Tivoli Directory Server, hinzufügen, damit IMS Server den Verzeichnisserver bezüglich der Berechtigungsnachweisautorisierung durchsuchen kann. Sie können einen einzigen LDAP-Server hinzufügen.
Vorbereitende Schritte
Sie müssen die folgenden Unternehmensverzeichnisinformationen vorbereiten:
v Berechtigungsnachweise für den Benutzer für die Suche des Verzeichnisses. Beispiel: lookupusr.
v Definierter Name für Bindung. Beispiel: cn=lookupusr,ou=users,o=example,c=us.
v Basis-DN. Beispiel: ou=users,o=example,c=us.
Wenn Sie Verzeichnisserver für eine Neuinstallation von IMS Server konfigurieren,
müssen Sie sicherstellen, dass Sie sich beim IMS-Konfigurationsassistenten anmelden.
Wenn Sie das Arbeitsblatt für die Planung verwenden, finden Sie in Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175 Informationen.
Kapitel 7. Sonstige Installations- und Konfigurationstasks
197
Für SSL-Verzeichnisserververbindungen müssen Sie das SSL-Zertifikat zu WebSphere Application Server hinzufügen.
Informationen zu diesem Vorgang
Wenn Sie sich mitten in der Konfiguration von IMS Server mit dem IMS-Konfigurationsassistenten befinden, führen Sie diese Schritte aus. Fahren Sie dann mit den
Prozeduren in „IMS Server für eine Neuinstallation mit dem IMS-Konfigurationsassistenten konfigurieren (eigenständig)” auf Seite 78 fort.
Vorgehensweise
1. Klicken Sie auf Neues Repository hinzufügen.
2. Wählen Sie den Unternehmensverzeichnistyp aus.
a. Wenn Sie LDAP-Server verwenden, wählen Sie LDAP aus.
b. Klicken Sie auf Weiter.
3. Geben Sie für den LDAP-Server die folgenden Details an:
a. Geben Sie die Repositorydetails an.
Tipp: Weitere Hilfeinformationen für die einzelnen Elemente können Sie anzeigen, indem Sie den Cursor über die Elemente bewegen.
FQDN/Hostname des Domänencontrollers
Geben Sie den Hostnamen oder den vollständig qualifizierten Domänennamen des LDAP-Servers an. Beispiel: mydirsvr
Port
Geben Sie die Portnummer an. Beispiel: Die Standardeinstellung ist
389 (ohne SSL) oder 636 (mit SSL).
Hinweis: Wenn bei Ihrer Implementierung nicht standardmäßige
Portnummern verwendet werden oder Sie über SSL eine Verbindung zum Repository herstellen, müssen Sie die korrekte Portnummer angeben.
Definierter Name für Bindung
Zeigt den definierten Namen für den Benutzer für die Suche an.
Der definierte Name ist der Name, der einen Eintrag im Verzeichnis
eindeutig angibt. Der Benutzer für die Suche muss für die Ausführung von Verzeichnissuchvorgängen auf dem Server autorisiert werden.
Ein definierter Name besteht aus Attribut/Wert-Paaren
(Attribut=Wert), die durch Kommas voneinander getrennt sind. Beispiel: cn=lookupusr,ou=users,o=example,c=us.
Kennwort
Geben Sie das Kennwort für den Benutzer für die Suche ein.
4. Klicken Sie zum Anpassen weiterer Repositorydetails auf Erweitert.
SSL verwenden
Geben Sie an, ob Sie eine SSL-Verbindung verwenden.
FQDN/Hostname des Domänencontrollers
Geben Sie den vollständig qualifizierten Domänennamen (FQDN) des
Domänencontrollers an. Beispiel: mydirsvr.
Port
198
Geben Sie die Portnummer an. Beispiel: Der Standardport ist 389 (ohne
SSL) oder 636 (mit SSL).
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Definierter Name für Bindung
Geben Sie den definierten Namen (DN) für den Benutzer für die Suche
ein. Der definierte Name ist der Name, der einen Eintrag im Verzeichnis eindeutig angibt.
Ein definierter Name besteht aus Attribut/Wert-Paaren (Attribut=Wert),
die durch Kommas voneinander getrennt sind. Beispiel:
cn=lookupusr,ou=users,o=example,c=us.
Kennwort
Geben Sie das Kennwort für den Benutzer für die Suche ein.
Benutzernamensattribute
Geben Sie ein gültiges Attribut für den Benutzernamen des Unternehmensverzeichnisses an, das Benutzer als ihren Benutzernamen für die
Authentifizierung angeben. Andere Attribute können ebenfalls für den
Benutzernamen verwendet werden. Beispiel: Wenn Sie das Attribut
Mail angeben, müssen Benutzer ihre E-Mail-Adressen als Benutzernamen eingeben.
Um andere Attribute für den Benutzernamen (z. B. Ausweisnummer, EMail-Adresse oder Personalnummer) zu verwenden, müssen Sie stattdessen die Eigenschaften für angepasste Attribute angeben.
Für LDAP ist die Standardeinstellung cn.
Basis-DN
Mindestens ein Basis-DN ist erforderlich. Der Basis-DN gibt den Ausgangspunkt für Suchvorgänge auf diesem LDAP-Verzeichnisserver an.
Für die Autorisierung muss für dieses Feld standardmäßig die Groß-/
Kleinschreibung beachtet werden. Gleichen Sie die Groß-/
Kleinschreibung mit der auf dem Verzeichnisserver ab.
Beispiel: Für einen Benutzer mit dem DN
cn=lookupusr,ou=users,o=example,c=us müssen Sie den Basis-DN mit
der folgenden Option angeben: ou=users,o=example,c=us.
Failover-Domänencontroller
Verwenden Sie einen Failover-Domänencontroller, um die Hochverfügbarkeit des LDAP-Servers sicherzustellen.
Geben Sie den Hostnamen oder den vollständig qualifizierten Domänennamen sowie die Portnummer des sekundären Domänencontrollers
an. Der sekundäre Domänencontroller wird verwendet, wenn der primäre Domänencontroller fehlschlägt.
5. Klicken Sie auf Weiter.
6. Starten Sie WebSphere Application Server erneut.
a. Stoppen Sie WebSphere Application Server (für eigenständige Implementierungen) oder den Deployment Manager (für Netzimplementierungen).
b. Starten Sie WebSphere Application Server (für eigenständige Implementierungen) oder den Deployment Manager (für Netzimplementierungen).
Ergebnisse
Sie haben Verzeichnisserververbindungen für IMS Server hinzugefügt und konfiguriert. IMS Server prüft Benutzerberechtigungsnachweise anhand der angegebenen
Verzeichnisserver.
Kapitel 7. Sonstige Installations- und Konfigurationstasks
199
Nächste Schritte
Wenn Sie einen anderen Verzeichnisserver als IBM Tivoli Directory Server verwenden, gibt es zusätzliche Konfigurationsschritte. Siehe „Anderen generischen LDAPVerzeichnisserver als Tivoli Directory Server konfigurieren”.
Stellen Sie sicher, dass Sie WebSphere Application Server erneut starten, um die
Änderungen an der Verzeichnisserverkonfiguration anzuwenden.
So setzen Sie die Konfiguration von IMS Server mit dem IMS-Konfigurationsassistenten fort:
v Für Implementierungen virtueller Einheiten siehe „Virtuelle Einheit aktivieren
und konfigurieren” auf Seite 52.
v Für eigenständige Implementierungen siehe „IMS Server für eine Neuinstallation
mit dem IMS-Konfigurationsassistenten konfigurieren (eigenständig)” auf Seite
78.
v Für Netzimplementierungen siehe „IMS Server mit dem IMS-Konfigurationsassistenten konfigurieren (Netzimplementierung)” auf Seite 109.
Anderen generischen LDAP-Verzeichnisserver als Tivoli Directory Server konfigurieren
Wenn Sie einen anderen LDAP-Verzeichnisserver als Tivoli Directory Server konfigurieren, müssen Sie den Verzeichnistyp angeben und dann den Anwendungsserver erneut starten.
Vorbereitende Schritte
Führen Sie die Konfiguration des LDAP-Verzeichnisservers für IMS Server aus.
Führen Sie die Konfiguration des Verzeichnisservers mithilfe des IMS-Konfigurationsdienstprogramms oder des IMS-Konfigurationsassistenten aus. Siehe „IMS Server für die Verwendung von LDAP-Servern konfigurieren” auf Seite 197.
Vorgehensweise
1. Legen Sie den LDAP-Verzeichnistyp fest.
a. Melden Sie sich bei der WebSphere-Administrationskonsole an.
b. Klicken Sie in der Administrationskonsole auf Security > Global security.
c. Stellen Sie unter User account repository in der Liste Available realm definitions sicher, dass Federated repositories ausgewählt ist.
d. Klicken Sie auf Configure.
e. Klicken Sie unter Related Items auf Manage repositories.
f. Klicken Sie auf den konfigurierten LDAP-Server.
g. Wählen Sie in Directory type den korrekten Verzeichnistyp aus. Beispiel:
IBM Lotus Domino.
h. Klicken Sie auf Apply.
2. Starten Sie WebSphere Application Server erneut.
Sichern und wiederherstellen
Sie müssen Ihre Serverkonfiguration und Ihre Datenbank sichern, bevor Sie mit einem Server-Upgrade beginnen. Sie können Ihre Implementierung auch als Routineprozedur in Ihrem Wiederherstellungsplan für Notfälle sichern.
200
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Verwenden Sie das Befehlszeilentool manageprofiles, um WebSphere Application
Server-Profile zu sichern.
Hinweis: Um sicherzustellen, dass Sie bekannte Serversicherungen zur raschen
Wiederherstellung erforderlicher Serversysteme bei Notfällen verwenden können,
müssen Sie wie folgt vorgehen:
v Prüfen Sie Serversicherungen in regelmäßigen Abständen.
v Testen und verwalten Sie Änderungen an zusätzlichen internen Wiederherstellungsprozeduren stets.
WebSphere Application Server-Profile sichern (Befehl manageprofiles)
Sie können Ihre WebSphere Application Server-Profile mit dem Befehl
manageprofiles sichern, bevor Sie ein Upgrade für einen Server durchführen oder
wenn Sie routinemäßige Systemsicherungen bei Prozeduren für die Notfallwiederherstellung durchführen.
Vorbereitende Schritte
Stellen Sie sicher, dass die folgenden Komponenten gestoppt sind:
v WebSphere Application Server. Siehe „WebSphere Application Server unter Windows stoppen” auf Seite 210.
v (Netzimplementierung) Knotenagent.
v (Netzimplementierung) Deployment Manager.
v IBM HTTP Server.
Vorgehensweise
1. Öffnen Sie die Eingabeaufforderung.
2. Navigieren Sie zum Verzeichnis <was-ausgangsverzeichnis>\bin. Geben Sie beispielsweise Folgendes ein:
cd <was-ausgangsverzeichnis>\bin
Beispiel:
cd c:\Programme\IBM\WebSphere\AppServer\bin
3. Verwenden Sie den WebSphere Application Server-Befehl manageprofiles mit
dem Parameter backupProfile.
manageprofiles.bat -backupProfile -profileName <profilname> -backupFile
<sicherungsdateiname>
Beispiel:
Eigenständig
manageprofiles.bat -backupProfile -profileName AppSrv01
-backupFile c:\backup\AppSrv01yymmdd.zip
Netzimplementierung
manageprofiles.bat -backupProfile -profileName Dmgr01 -backupFile
c:\backup\Dmgr01yymmdd.zip
Kapitel 7. Sonstige Installations- und Konfigurationstasks
201
IMS Server-Konfiguration sichern (Export Configuration Utility)
Sie können die IMS Server-Konfiguration in einer Datei sichern oder in eine Datei
exportieren und dazu das Dienstprogramm für den Konfigurationsexport (Export
Configuration Utility) verwenden.
Vorbereitende Schritte
Stellen Sie sicher, dass die folgenden Server aktiv sind und auf Anforderungen antworten:
v Datenbankserver
v Verzeichnisserver
Informationen zu diesem Vorgang
Zu IMS Server gehört ein integriertes Sicherungsdienstprogramm für Serverkonfigurationen.
Sie können mit Export Configuration Utility Serverkonfigurationen replizieren oder
IMS Server 8.2.1 sichern.
Das Dokument IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide enthält Informationen zur Verwendung von Export Configuration Utility
für die Sicherung der Konfiguration des Serverprofils.
Datenbank in DB2 9.7 sichern
Sichern Sie die Datenbank in DB2, bevor Sie ein Upgrade durchführen, oder nach
einer erfolgreichen Serverinstallation.
Vorbereitende Schritte
Stellen Sie sicher, dass die folgenden Server gestoppt sind:
v WebSphere Application Server
v Knoten
v Deployment Manager
v IBM HTTP Server
Vorgehensweise
1. Starten Sie die DB2-Steuerzentrale.
2. Klicken Sie mit der rechten Maustaste auf die zu sichernde IMS Server-Datenbank. Beispiel: Klicken Sie mit der rechten Maustaste auf imsdb.
3.
4.
5.
6.
7.
8.
9.
Wählen Sie Backup aus.
Klicken Sie auf Next.
Wählen Sie in Media Type die Option File System aus.
Klicken Sie auf Add.
Geben Sie den Pfad für die Speicherung der Sicherungsdateien an.
Klicken Sie auf OK.
Klicken Sie auf Next.
10. Klicken Sie auf der Seite Choose your backup options auf Next.
11. Klicken Sie auf der Seite Specify performance options for the backup auf
Next.
202
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
12.
13.
14.
15.
Wählen Sie Run now without saving task history aus.
Klicken Sie auf Next.
Überprüfen Sie die Zusammenfassung.
Klicken Sie auf Finish.
Ergebnisse
Sie haben die Datenbank gesichert.
Nächste Schritte
Starten Sie IBM HTTP Server und WebSphere Application Server.
Wenn Sie die Datenbanksicherung vor einem Upgradeprozess ausführen, finden
Sie die zugehörigen Informationen bei den Upgradeprozeduren. Prüfen Sie, ob Sie
die Server vor dem Durchführen des Upgrades stoppen müssen.
Datenbank in DB2 10.1 sichern
Sichern Sie die Datenbank in DB2, bevor Sie ein Upgrade durchführen, oder nach
einer erfolgreichen Serverinstallation.
Vorbereitende Schritte
Sie müssen über die Berechtigung 'SYSADM', 'SYSCTRL' oder 'SYSMAINT' verfügen.
Datenbanken müssen katalogisiert werden. Geben Sie in der Befehlszeile die Zeichenfolge DB2 LIST DATABASE DIRECTORY ein, um die katalogisierte Datenbank in
der aktuellen Instanz anzuzeigen.
Vorgehensweise
1. Klicken Sie auf Programme > IBM DB2 > Command Line Processor.
2. Trennen Sie alle Anwendungen und Benutzer von der Datenbank.
v Rufen Sie mithilfe des Befehls db2 LIST APPLICATIONS eine Liste aller Datenbankverbindungen für die aktuelle Instanz ab.
Der Befehl gibt die folgende Meldung zurück, wenn alle Anwendungen getrennt wurden:SQL1611W No data was returned by the Database System
Monitor. SQLSTATE=00000.
v Um alle Anwendungen und Benutzer zu trennen, verwenden Sie den Befehl
db2 FORCE APPLICATION ALL.
3. Sichern Sie Ihre Datenbank mithilfe des Befehls BACKUP DATABASE. Verwenden
Sie die folgenden Parameter:
v Datenbankalias: database_alias
v Benutzername: username
v Kennwort: password
v Verzeichnis, in dem die Sicherungsdateien erstellt werden sollen: backup-dir
Weitere Informationen finden Sie unter http://pic.dhe.ibm.com/infocenter/
db2luw/v10r1/index.jsp?topic=%2Fcom.ibm.db2.luw.qb.upgrade.doc
%2Fdoc%2Ft0007139.html
Kapitel 7. Sonstige Installations- und Konfigurationstasks
203
Ergebnisse
Sie haben die Datenbank gesichert.
Nächste Schritte
Starten Sie IBM HTTP Server und WebSphere Application Server.
Wenn Sie die Datenbanksicherung vor einem Upgradeprozess ausführen, finden
Sie die zugehörigen Informationen bei den Upgradeprozeduren. Prüfen Sie, ob Sie
die Server vor dem Durchführen des Upgrades stoppen müssen.
WebSphere Application Server-Profile wiederherstellen
Stellen Sie die WebSphere Application Server-Profile aus einer Sicherung wieder
her, wenn Sie eine Wiederherstellung aus einem zuvor gesicherten, funktionierenden WebSphere Application Server-Profil ausführen müssen.
Vorbereitende Schritte
Stellen Sie sicher, dass die folgenden Server gestoppt sind:
v WebSphere Application Server
v Knotenagenten
v IBM HTTP Server
Stellen Sie sicher, dass das Verzeichnis <was-ausgangsverzeichnis>/profiles keinen Ordner enthält, dessen Namen Ähnlichkeit mit dem wiederherzustellenden
Profil aufweist. Wenn ein Duplikat vorhanden ist, können Sie das Profil mit dem
Befehl manageprofiles löschen oder den Ordner an eine andere Position verschieben.
Vorgehensweise
1. Navigieren Sie in einer Eingabeaufforderung zum Verzeichnis <wasausgangsverzeichnis>\bin. Geben Sie cd <was-ausgangsverzeichnis>\bin ein.
Beispiel: cd c:\Programme\IBM\WebSphere\AppServer\bin
2. Stellen Sie das Profil wieder her. Geben Sie manageprofiles -restoreProfile
-backupFile <position_der_sicherungsdatei> ein. Beispiel:
manageprofiles -restoreProfile -backupFile c:\backup\AppSrv01yymmdd.zip
Das Befehlszeilentool manageprofiles führt die Wiederherstellung immer in
demselben Pfad durch, in dem das Profil auch gesichert wurde.
3. Stellen Sie sicher, dass das Profil auch wiederhergestellt wurde. Navigieren Sie
zum Verzeichnis <was-ausgangsverzeichnis>\profiles. Beispiel: <wasausgangsverzeichnis>\profiles\AppSrv01. Wenn das Profil erfolgreich wiederhergestellt wurde, wird ein zugehöriger Ordner angezeigt.
Ergebnisse
Sie haben das WebSphere Application Server-Profil wiederhergestellt.
Wenn Sie diese Task bei einer Prozedur zur Wiederherstellung eines Servers ausführen, starten Sie das Profil nicht. Stellen Sie fest, ob Sie zunächst die Datenbank
wiederherstellen müssen.
204
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Datenbank in DB2 wiederherstellen
Sie können die Datenbank in DB2 wiederherstellen, um eine Wiederherstellung aus
einer früheren Datenbanksicherung auszuführen.
Vorbereitende Schritte
Stoppen Sie IBM HTTP Server.
Vorgehensweise
1. Starten Sie die DB2-Steuerzentrale.
2. Klicken Sie mit der rechten Maustaste auf die wiederherzustellende Datenbank.
3. Wählen Sie Restore to an existing database aus.
4. Klicken Sie auf Next.
5. Wählen Sie unter Available back up images die ausgeführte Sicherung aus.
6. Klicken Sie auf die Rechtspfeilschaltfläche.
7. Klicken Sie auf Next.
8. Klicken Sie in Set non-automatic storage containers for redirected restore auf
Next.
9. Klicken Sie in Choose your restore options auf Next.
10. Klicken Sie in Select performance options for the restore auf Next.
11. Wählen Sie Run now without saving task history aus.
12. Klicken Sie auf Next.
13. Überprüfen Sie die Zusammenfassung.
14. Klicken Sie auf Finish. Der Wiederherstellungsprozess der Datenbank beginnt.
Ergebnisse
Sie haben die Datenbank wiederhergestellt.
Nächste Schritte
Wenn Sie diese Task bei einer Wiederherstellungsprozedur für den Server ausführen, können Sie die Datenbank, IBM HTTP Server und WebSphere Application Server starten.
Gehen Sie wie folgt vor, um WebSphere Application Server für eine Netzimplementierung zu starten:
1. Starten Sie den Deployment Manager.
2. Starten Sie die Knotenagenten.
3. Starten Sie den Cluster.
Komponenten stoppen und starten
Starten oder stoppen Sie den IBM Security Access Manager for Enterprise Single
Sign-On-Server, WebSphere Application Server, Cluster oder IBM HTTP Server, um
Installations-, Upgrade- oder Konfigurationstasks auszuführen.
Wichtig: Bei der Ausführung von Befehlszeilentools unter den Betriebssystemen
Windows 7 und Windows Server 2008 (bei aktivierter Windows-Benutzerkonten-
Kapitel 7. Sonstige Installations- und Konfigurationstasks
205
steuerung) erfordern bestimmte Operationen Administratorberechtigungen. Als Beispiele können Operationen genannt werden, zu deren Ausführung WindowsDienste erforderlich sind.
Um sicherzustellen, dass die folgenden Befehlszeilentools über ausreichende Berechtigungen verfügen, führen Sie sie auf Systemen mit Windows-Benutzerkontensteuerung mit erhöhter Administratorberechtigung sowie mit aktivierter Richtlinie
Alle Administratoren im Administratorbestätigungsmodus ausführen aus. Um
diese Befehlszeilentools in einer Eingabeaufforderung ausführen, gehen Sie folgendermaßen vor:
1. Klicken Sie mit der rechten Maustaste auf eine Eingabeaufforderungsverknüpfung.
2. Klicken Sie auf Als Administrator ausführen.
Daraufhin wird ein Dialogfenster des Betriebssystems angezeigt.
3. Klicken Sie zum Fortfahren auf Weiter.
IBM HTTP Server unter Windows stoppen und starten
Sie können den Dienst für IBM HTTP Server unter Windows über die WebSphereAdministrationskonsole, das Startmenü oder die Befehlszeile stoppen und starten.
Vorbereitende Schritte
Stellen Sie sicher, dass der Verwaltungsdienst für IBM HTTP Server gestartet ist.
Informationen zu diesem Vorgang
In einer Clusterimplementierung können Sie dazu die WebSphere-Administrationskonsole verwenden, wenn Sie mehrere ferne Web-Server von einer einzigen Position aus verwalten oder erneut starten müssen. Normalerweise müssen Sie IBM
HTTP Server stoppen, bevor Sie Fixpacks oder IBM HTTP Server-Konfigurationsänderungen anwenden.
Vorgehensweise
v Gehen Sie wie folgt vor, um IBM HTTP Server über das Windows-Startmenü
zu starten und zu stoppen:
Option
Bezeichnung
IBM HTTP Server starten
Klicken Sie auf Start > Alle Programme >
IBM HTTP Server V7.0 > Start HTTP Server.
IBM HTTP Server stoppen
Klicken Sie auf Start > Alle Programme >
IBM HTTP Server V7.0 > Stop HTTP Server.
v Gehen Sie wie folgt vor, um IBM HTTP Server über die WebSphere-Administrationskonsole zu starten und zu stoppen:
Anmerkung: Wenn der Web-Server nicht in der Administrationskonsole angezeigt wird, müssen Sie sicherstellen, dass Sie IBM HTTP Server konfiguriert haben. Durch Konfigurieren von IBM HTTP Server wird die Web-Server-Definition
in der WebSphere-Administrationskonsole erstellt.
206
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Option
Bezeichnung
IBM HTTP Server starten
1. Starten Sie die WebSphereAdministrationskonsole und melden Sie
sich mit WebSphereAdministratorberechtigungen an.
2. Klicken Sie auf Servers > Server Types >
Web servers.
3. Wählen Sie das Kontrollkästchen neben
jedem Web-Server aus. Beispiel: webserver1.
4. Klicken Sie auf Start.
IBM HTTP Server stoppen
1. Starten Sie die WebSphereAdministrationskonsole und melden Sie
sich mit WebSphereAdministratorberechtigungen an.
2. Klicken Sie auf Servers > Server Types >
Web servers.
3. Wählen Sie das Kontrollkästchen neben
jedem Web-Server aus. Beispiel: webserver1.
4. Klicken Sie auf Stop.
v Gehen Sie wie folgt vor, um den Verwaltungsdienst von IBM HTTP Server zu
starten und zu stoppen:
Siehe die folgenden Beispiele:
Verwaltungsdienst für IBM HTTP Server starten
Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 >
Start Admin Server.
Verwaltungsdienst für IBM HTTP Server stoppen
Klicken Sie auf Start > Alle Programme > IBM HTTP Server V7.0 >
Stop Admin Server.
Anmerkung: Für einige Prozeduren, wie das Anwenden von IBM HTTP ServerFixpacks, kann das Stoppen des Verwaltungsdiensts von HTTP Server eine Voraussetzung sein.
Ergebnisse
Sie haben IBM HTTP Server erneut gestartet.
Beispiel
Befehlszeilenalternativen (Windows)
HTTP Server-Dienst stoppen
net stop "IBM HTTP Server 7.0"
HTTP-Verwaltungsserverdienst stoppen
net stop "IBM HTTP Administration 7.0"
HTTP Server-Dienst starten
net start "IBM HTTP Server 7.0"
HTTP-Verwaltungsdienst starten
net start "IBM HTTP Administration 7.0"
Kapitel 7. Sonstige Installations- und Konfigurationstasks
207
Nächste Schritte
Prüfen Sie den Status von IBM HTTP Server in der Managementkonsole für Dienste.
Führen Sie auf dem Web-Server-Host die Managementkonsole für Dienste aus.
Prüfen Sie die Statusanzeiger für die Dienste IBM HTTP Server 7.0 und IBM HTTP
Administration 7.0.
WebSphere Application Server unter Windows starten
Starten Sie WebSphere Application Server nach dem Herunterfahren oder einem
Warmstart in einem Netzimplementierungscluster oder in einer eigenständigen
Windows-Umgebung.
Informationen zu diesem Vorgang
Wenn Sie eine WebSphere Application Server-Anwendung erneut starten müssen,
müssen Sie sie zunächst stoppen. Wenn Sie über mehrere Knoten in einem Cluster
verfügen, müssen Sie den Dienst für den Knotenagenten in jedem Knoten einzeln
starten.
WebSphere Application Server umfasst Befehlszeilentools, wie startServer.bat,
startNode.bat und startManager.bat, als Alternativen für das Starten von Servern,
Knotenagenten oder des Deployment Manager-Knotens.
Möglicherweise werden Sie zur Angabe weiterer WebSphere Application ServerAdministratorberechtigungsnachweise als Argumente aufgefordert, wenn Sie mit
diesen Verwaltungsbefehlen arbeiten. Hilfe zur Verwendung von Befehlszeilentools
mit aktivierter Sicherheit können Sie der Produktdokumentation von WebSphere
Application Server entnehmen.
Anmerkung: Wenn für WebSphere Application Server und den Knotenagenten ein
Dienst erstellt wurde, wird dieser automatisch gestartet, nachdem der Host erneut
gestartet wurde.
Vorgehensweise
v Gehen Sie wie folgt vor, um WebSphere Application Server in einer eigenständigen Konfiguration zu starten:
Eigenständige Serverumgebung starten
Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server Network Deployment V7.0 > <AppSrv01-profil> > Start the
server.
v Gehen Sie wie folgt vor, um WebSphere Application Server in einer Clusterkonfiguration zu starten:
Deployment Manager starten
Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server Network Deployment V7.0 > <Dmgr01-profil> > Start the
deployment manager.
Knotenagent starten
<was-ausgangsverzeichnis>\profiles\Custom01\bin\startNode.bat
208
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Anmerkung: Wenn der Knotenagent gestoppt ist, kann die WebSphere
Application Server-Administratorkonsole nicht zum Starten des Knotenagenten verwendet werden. Das Starten des Knotenagenten wird durch
Verwenden des Befehls startNode erreicht.
Cluster starten
1. Melden Sie sich bei der WebSphere-Administrationskonsole an. Beispiel: https://localhost:9043/ibm/console.
2. Klicken Sie in der Navigationsstruktur der Konsole auf Servers >
Server Types > WebSphere application server clusters.
3. Wählen Sie das Kontrollkästchen für den nicht gestarteten Cluster
aus. Beispiel: cluster1.
4. Klicken Sie auf Start.
Ergebnisse
Sie haben WebSphere Application Server gestartet.
Beispiele
Weitere Methoden zum Starten des Knotenagenten können Sie den folgenden Beispielen entnehmen:
v Starten Sie den Knotenagenten mit dem WebSphere-Befehl startNode.bat.
Geben Sie in einer Eingabeaufforderung den Befehl <was-ausgangsverzeichnis>\
profiles\Custom01\bin\startNode ein.
v Starten Sie den Windows-Dienst für den Knotenagenten (Befehlszeile).
1. Klicken Sie auf Start > Ausführen. Geben Sie cmd ein.
2. Geben Sie in der Eingabeaufforderung net start "IBM WebSphere
Application Server V7.0 - <name_des_knotenagentendiensts>" ein und drücken Sie dann die Eingabetaste.
Beispiel: net start "IBM WebSphere Application Server V7.0 Custom01_nodeagent".
Am Ende der Anzeige werden die folgenden Zeilen angezeigt:
The IBM WebSphere Application Server V7.0 - Custom01_nodeagent service was started
successfully.
v Starten Sie den Knotenagenten (Managementkonsole für Windows-Dienste).
1. Klicken Sie auf Start > Ausführen.
2. Geben Sie services.msc ein.
3. Wählen Sie den Dienst für den Knotenagenten von IBM WebSphere Application Server aus. Beispiel: IBM WebSphere Application Server V7.0 Custom01_nodeagent.
4. Klicken Sie auf Start.
Anmerkung: Wenn kein Dienst für einen Knotenagenten verfügbar ist, haben
Sie den Windows-Dienst für den Knotenagenten nicht erstellt.
Nächste Schritte
(Eigenständig) Stellen Sie sicher, dass der eigenständige Server gestartet ist. Melden
Sie sich bei der WebSphere-Administrationskonsole an.
Kapitel 7. Sonstige Installations- und Konfigurationstasks
209
(Netzimplementierung) Stellen Sie sicher, dass Cluster, Knotenagent und Deployment Manager-Knoten gestartet sind. Melden Sie sich bei der WebSphere-Administrationskonsole an, um den Status der einzelnen Komponenten zu ermitteln.
WebSphere Application Server unter Windows stoppen
Sie können die Knoten in einer Netzimplementierung oder einen eigenständigen
Server stoppen. Sie müssen Middleware stoppen, z. B. nach dem Anwenden von
Administratoränderungen oder vor dem Anwenden von Fixpacks.
Informationen zu diesem Vorgang
Das Stoppen des Servers kann beim Ausführen einer Serverneuinstallation, einer
Komponentenkonfiguration oder eines Upgrades erforderlich sein.
Anmerkung: Nach dem Aktivieren der WebSphere-Administrationssicherheit müssen Sie zusätzliche WebSphere Application Server-Administratorberechtigungsnachweise als Argumente angeben, wenn Sie die WebSphere Application Server-Befehlszeilentools stopNode.bat und stopManager.bat verwenden. Hilfe bei der
Verwendung von Befehlszeilentools mit aktivierter Sicherheit finden Sie in der Produktdokumentation von WebSphere Application Server. Bei den folgenden Beispielen werden standardmäßige Windows-Verknüpfungen und die WebSphere-Administrationskonsole verwendet, um dieselben Ergebnisse zu erzielen.
Vorgehensweise
v Gehen Sie wie folgt vor, um eine eigenständige WebSphere Application Server
Version 7.0-Konfiguration zu stoppen:
Eigenständigen Server stoppen
Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server Network Deployment V7.0 > <AppSrv01-profil> > Stop the
server.
v Gehen Sie wie folgt vor, um eine eigenständige WebSphere Application Server
Version 8.5-Konfiguration zu stoppen:
Eigenständigen Server stoppen
Klicken Sie auf Start > Alle Programme > IBM WebSphere > IBM
Websphere Application Server > <AppSrv01-profil> > Stop the server.
v Gehen Sie wie folgt vor, um eine WebSphere Application Server Version 7.0Clusterkonfiguration (Netzimplementierung) zu stoppen:
Cluster stoppen
Melden Sie sich bei der WebSphere Application Server-Administratorkonsole an. Beispiel: https://localhost:9043/ibm/console.
Klicken Sie in der Navigationsstruktur der Konsole auf Servers > Server
Types > WebSphere application server clusters.
Wählen Sie das Kontrollkästchen für den Cluster aus.
Klicken Sie auf Stop.
Knotenagenten stoppen
Melden Sie sich bei der WebSphere Application Server-Administratorkonsole an. Beispiel: https://localhost:9043/ibm/console.
Klicken Sie in der Navigationsstruktur der Konsole auf Servers > System administration > Node agents.
210
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Wählen Sie das Kontrollkästchen nodeagent aus.
Klicken Sie auf Stop.
Deployment Manager stoppen
Klicken Sie auf Start > Alle Programme > IBM WebSphere > Application Server Network Deployment V7.0 > <Dmgr01-profil> > Stop the
deployment manager.
v Gehen Sie wie folgt vor, um eine WebSphere Application Server Version 8.5Clusterkonfiguration (Netzimplementierung) zu stoppen:
Cluster stoppen
Melden Sie sich bei der WebSphere Application Server-Administratorkonsole an. Beispiel: https://localhost:9043/ibm/console.
Klicken Sie in der Navigationsstruktur der Konsole auf Servers > Server
Types > WebSphere application server clusters.
Wählen Sie das Kontrollkästchen für den Cluster aus.
Klicken Sie auf Stop.
Knotenagenten stoppen
Melden Sie sich bei der WebSphere Application Server-Administratorkonsole an. Beispiel: https://localhost:9043/ibm/console.
Klicken Sie in der Navigationsstruktur der Konsole auf Servers > System administration > Node agents.
Wählen Sie das Kontrollkästchen nodeagent aus.
Klicken Sie auf Stop.
Deployment Manager stoppen
Klicken Sie auf Start > Alle Programme > IBM WebSphere > IBM
Websphere Application Server > <Dmgr01-profil> > Stop the deployment manager.
Ergebnisse
Sie haben WebSphere Application Server in einer eigenständigen Umgebung oder
einer Clusterumgebung gestoppt.
Beispiele
Im Folgenden finden Sie Alternativen für das Stoppen des Knotenagenten.
v Stoppen Sie den Knotenagenten mit dem WebSphere-Befehl stopNode.bat.
Geben Sie in einer Eingabeaufforderung den Befehl <was-ausgangsverzeichnis>\
profiles\Custom01\bin\stopNode -user <was-admin> -password <was-adminkennwort> ein.
v Stoppen Sie den Dienst für den Knotenagenten (Managementkonsole für Dienste).
Klicken Sie auf Start > Ausführen.
Geben Sie services.msc ein.
Wählen Sie den Dienst für den Knotenagenten von IBM WebSphere Application
Server aus. Beispiel: IBM WebSphere Application Server V7.0 Custom01_nodeagent.
Klicken Sie auf Stop.
Kapitel 7. Sonstige Installations- und Konfigurationstasks
211
v Stoppen Sie den Dienst für den Knotenagenten (Befehlszeile).
Geben Sie in der Eingabeaufforderung net stop "IBM WebSphere Application
Server V7.0 - <name_des_knotenagentendiensts>" ein.
Drücken Sie die Eingabetaste.
Beispiel: net stop "IBM WebSphere Application Server V7.0 Custom01_nodeagent".
Am Ende der Anzeige wird die folgende Zeile angezeigt:
The IBM WebSphere Application Server V7.0 - Custom01_nodeagent service was stopped
successfully.
IMS Server-Anwendungen stoppen und starten
In diesem Abschnitt erfahren Sie, wie IMS Server-Anwendungen mit Integrated
Solutions Console erneut gestartet werden.
Informationen zu diesem Vorgang
Für IMS Server 8.2 und 8.2.1:
v Führen Sie einen Neustart von ISAMESSOIMS durch, um AccessAdmin, AccessAssistant und Web Workplace erneut zu starten.
v Führen Sie einen Neustart von ISAMESSOIMSConfig durch, um den IMS-Konfigurationsassistenten und das IMS-Konfigurationsdienstprogramm erneut zu
starten.
Für IMS Server 8.1 müssen Sie TAM E-SSO IMS Server erneut starten.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus.
2. Melden Sie sich bei Integrated Solutions Console an.
3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Applications > Application Types > WebSphere Enterprise Applications aus.
4. Wählen Sie die folgenden Kontrollkästchen aus:
Für IMS Server 8.2 oder 8.2.1
v ISAMESSOIMS
v ISAMESSOIMSConfig
Für IMS Server 8.1
TAM E-SSO IMS Server
5. Klicken Sie auf Stop.
6. Wählen Sie das der Anwendung entsprechende Kontrollkästchen aus.
7. Klicken Sie auf Start.
IMS Server manuell in WebSphere Application Server implementieren
Sie können IMS Server manuell implementieren, wenn Sie IMS Server nicht in
WebSphere Application Server implementiert haben. Diese Task können Sie außerdem auch ausführen, wenn das Installationsprogramm keine der EAR-Dateien von
IMS Server implementieren konnte.
212
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Vorbereitende Schritte
v Bereiten Sie WebSphere Application Server vor.
v Aktivieren Sie die Anwendungssicherheit in WebSphere Application Server.
v Entnehmen Sie dem Arbeitsblatt für die Planung die verschiedenen Daten, die
für die Ausführung der Installation erforderlich sind. Siehe Kapitel 5, „Arbeitsblatt für die Planung”, auf Seite 175.
Vorgehensweise
1. Kopieren Sie den Ordner isamesso aus <ims-ausgangsverzeichnis> in die folgenden Verzeichnisse:
Eigenständige Implementierung
<was-ausgangsverzeichnis>\profiles\<anwendungsserverprofilname>\
config
Netzimplementierung
<was-ausgangsverzeichnis>\profiles\<dmgr-profilname>\config
2. Optional: Installieren Sie den Ressourcenadapter Native Library Invoker.
3. Richten Sie die Umgebung für das Befehlszeilentool ein.
4. Implementieren Sie die EAR-Dateien von IMS Server in WebSphere Application
Server.
Eigenständige Implementierung
Implementieren Sie ISAMESSOIMS und ISAMESSOIMSConfig auf dem Anwendungsserver.
Siehe „EAR-Dateien von IMS Server manuell installieren” auf Seite 215.
Netzimplementierung
a. Implementieren Sie ISAMESSOIMSConfig auf dem Deployment Manager und verwenden Sie dazu die Befehlszeile.. Siehe „EAR-Dateien
von IMS Server installieren (Befehlszeile)” auf Seite 216.
b. Implementieren Sie ISAMESSOIMS im Cluster und verwenden Sie
dazu Integrated Solutions Console. Siehe „EAR-Dateien von IMS
Server manuell installieren” auf Seite 215.
5. Für WebSphere Application Server Network Deployment müssen Sie eine vollständige Resynchronisation der Knoten ausführen.
Anwendungssicherheit in WebSphere Application Server aktivieren
Sie müssen die Anwendungssicherheit aktivieren, wenn Sie die EAR-Dateien von
IMS Server manuell in einem bestehenden IBM WebSphere Application Server implementieren. Wenn Sie IMS Server mit dem Installationsprogramm installieren,
wird der Prozess, bei dem die Anwendungssicherheit aktiviert wird, automatisiert
und ist somit nicht erforderlich.
Informationen zu diesem Vorgang
Wenn die Anwendungssicherheit nicht aktiviert ist, kann die Einrichtungsanwendung keine formulargestützte Sicherheit im IMS-Konfigurationsdienstprogramm
aktivieren.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus.
Kapitel 7. Sonstige Installations- und Konfigurationstasks
213
2. Melden Sie sich bei Integrated Solutions Console an.
3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Security >
Global security aus.
4. Wählen Sie auf der Seite Global security die Option Enable application security aus.
5. Klicken Sie auf Apply.
6. Klicken Sie auf Save.
Ergebnisse
Sie haben Die Anwendungssicherheit von WebSphere Application Server aktiviert.
Anmerkung: Nachdem die Anwendungssicherheit aktiviert wurde, müssen Sie
beim Stoppen des Servers oder von Knoten über die Befehlszeile WebSphere-Administratorberechtigungen als Argumente angeben.
Ressourcenadapter Native Library Invoker installieren
Wenn Sie biometrische Unterstützung wünschen, müssen Sie den Ressourcenadapter Native Library Invoker (NLI) in jedem Knoten im WebSphere Application Server-Cluster installieren.
Informationen zu diesem Vorgang
Das Installationsprogramm von IMS Server implementiert den Ressourcenadapter
Native Library Invoker nicht automatisch in WebSphere Application Server. Wenn
Sie BIO-key-Unterstützung für Überprüfungssysteme für Fingerabdrücke oder biometrische Daten benötigen, müssen Sie diesen Ressourcenadapter manuell in jedem
Knoten im WebSphere-Cluster installieren. Geben Sie nach der Installation des Adapters den JNDI-Schlüssel für den Ressourcenadapter an, damit auf den Adapter
zugegriffen werden kann.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server
<version> > Profiles > <profilname> > Administrative console aus.
2. Melden Sie sich bei Integrated Solutions Console an.
3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Resources > Resource Adapters > Resource adapters aus.
4. Klicken Sie auf Install RAR. Die Seite Install RAR File wird angezeigt.
5. Wählen Sie unter Scope den Knoten aus, in dem die RAR-Datei für NLI installiert werden soll.
6. Wählen Sie unter Path die Option Local file system aus und geben Sie dann
den vollständigen Pfad zur Datei com.ibm.tamesso.imsdelhi.j2c.adapters.win32.rar im Verzeichnis <ims-ausgangsverzeichnis> an.
7. Klicken Sie auf Next. Die Seite "General Properties" des neuen Ressourcenadapters wird angezeigt.
8. Behalten Sie die Standardwerte bei. Klicken Sie auf OK.
9. Klicken Sie in Messages auf Save.
10. Fügen Sie der Verbindungsfactory den JNDI-Schlüssel für den Ressourcenadapter NLI hinzu.
a. Klicken Sie auf ISAM E-SSO IMS Server Native Library Invoker J2C Resource. Die Seite "General Properties" des neuen Ressourcenadapters wird
angezeigt.
214
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
b. Klicken Sie unter Additional Properties auf J2C connection factories.
c. Klicken Sie auf New. Die Seite "General Properties" der Verbindungsfactory wird angezeigt.
d. Geben Sie in das Feld Name den Wert TAMESSO_NLI_J2C_ConnFactory ein.
e. Geben Sie in das Feld JNDI name den Wert tamesso/nli/j2c/shared ein.
f. Behalten Sie die Standardwerte für die restlichen Felder bei.
g. Klicken Sie auf OK.
h. Klicken Sie im Feld Messages am Seitenanfang auf Save.
11. Starten Sie WebSphere Application Server erneut.
Umgebung für das Befehlszeilentool einrichten
Das Befehlszeilentool für die Einrichtung definiert die Umgebungsvariablen, damit
die Befehlszeile und Scripts erfolgreich ausgeführt werden.
Vorgehensweise
1. Öffnen Sie das Installationsverzeichnis bin von IMS Server. Beispiel:
C:\Programme\IBM\ISAM ESSO\IMS Server\bin.
2. Öffnen Sie die Datei setupCmdLine.bat mit einem Texteditor.
3. Ändern Sie den Wert für die Variable SET WAS_PROFILE_HOME.
v Für eigenständige Implementierungen: Ändern Sie den Wert in den Stammordner für das WebSphere Application Server-Profil. Beispiel: C:\Programme\
IBM\WebSphere\AppServer\profiles\AppSrv01.
v Für Netzimplementierungen: Ändern Sie den Wert in den Stammordner für
das Deployment Manager-Profil von WebSphere Application Server. Beispiel:
C:\Programme\IBM\WebSphere\AppServer\profiles\Dmgr01.
4. Speichern Sie die Datei.
EAR-Dateien von IMS Server manuell installieren
IMS Server enthält zwei EAR-Dateien, ISAMESSOIMS und ISAMESSOIMSConfig. In diesem Abschnitt erhalten Sie Informationen zur manuellen Installation der EAR-Dateien von IMS Server in einer eigenständigen Implementierung von WebSphere Application Server.
Vorbereitende Schritte
v Entnehmen Sie dem Arbeitsblatt für die Planung die Daten, die für die Ausführung der Installation erforderlich sind.
v Aktivieren Sie in WebSphere Application Server die Anwendungssicherheit.
Informationen zu diesem Vorgang
Verwenden Sie diese Prozedur bei einem der folgenden Szenarios:
v Implementieren Sie ISAMESSOIMSConfig und ISAMESSOIMS für eigenständige Implementierungen von WebSphere Application Server.
v Implementieren Sie ISAMESSOIMS für WebSphere Application Server Network Deployment.
Wichtig: ISAMESSOIMSConfig kann nur über die Befehlszeile für WebSphere Application Server Network Deployment implementiert werden. Siehe „EAR-Dateien von IMS Server installieren (Befehlszeile)” auf Seite 216.
Kapitel 7. Sonstige Installations- und Konfigurationstasks
215
Implementieren Sie ISAMESSOIMSConfig vor ISAMESSOIMS. Die EAR-Dateien werden
standardmäßig gestoppt, wenn Sie diese Dateien manuell implementieren.
Vorgehensweise
1. Starten Sie die Administrationskonsole. Wählen Sie Start > Programme > IBM
WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus.
2. Melden Sie sich bei Integrated Solutions Console an.
3. Im Navigationsfenster von Integrated Solutions Console: Klicken Sie auf Applications > Application Types > WebSphere enterprise applications.
4. Klicken Sie auf Install.
5. Klicken Sie unter Path auf Browse. Die Datei com.ibm.tamesso.imsdelhi.deploy.isamessoIms.ear ist standardmäßig im Verzeichnis
C:\Programme\IBM\ISAM ESSO\IMS Server\ enthalten.
6. Klicken Sie auf Next. Die Seite für die Vorbereitungen für die Anwendungsinstallation wird angezeigt.
7. Wählen Sie Fast Path - Prompt only when additional information is required
aus.
Klicken Sie auf Next. Die Seite Install New Application wird angezeigt.
Behalten Sie unter Select installation options die Standardwerte bei.
Klicken Sie auf Next.
Wählen Sie alle Module aus.
Geben Sie im Feld Clusters and servers die Zielcluster und Web-Server an.
Der Web-Server wird standardmäßig ausgewählt.
13. Klicken Sie auf Apply.
14. Klicken Sie auf Next.
8.
9.
10.
11.
12.
15. Klicken Sie auf Finish.
16. Klicken Sie auf Save.
Nächste Schritte
Verwenden Sie für die Implementierung von ISAMESSOIMSConfig in einem Cluster
das Befehlszeilentool.
EAR-Dateien von IMS Server installieren (Befehlszeile)
IMS Server enthält zwei EAR-Dateien, ISAMESSOIMS und ISAMESSOIMSConfig. In diesem Abschnitt erhalten Sie Informationen zur manuellen Installation der EAR-Dateien von IMS Server in WebSphere Application Server Network Deployment.
Vorbereitende Schritte
v Entnehmen Sie dem Arbeitsblatt für die Planung die Daten, die für die Ausführung der Installation erforderlich sind.
v Anwendungssicherheit in WebSphere Application Server aktivieren.
v Richten Sie die Umgebung für das Befehlszeilentool ein.
Informationen zu diesem Vorgang
Implementieren Sie ISAMESSOIMSConfig vor ISAMESSOIMS. Die EAR-Dateien werden
standardmäßig gestoppt, wenn Sie diese Dateien manuell implementieren.
216
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Vorgehensweise
1. Klicken Sie im Menü Start auf Ausführen.
2. Geben Sie im Fenster Öffnen den Befehl cmd ein.
3. Wechseln Sie im Fenster mit der Eingabeaufforderung in das Verzeichnis <imsausgangsverzeichnis>\bin. Beispiel: C:\Programme\IBM\ISAM ESSO\IMS Server\
bin.
4. Bei Verwendung eines eigenständigen WebSphere Application Server:
a. Führen Sie die Datei deployIsamessoConfig.bat aus. Beispiel:
deployIsamessoConfig.bat <WAS-admin-benutzer-id> <kennwort>
b. Führen Sie die Datei deployIsamesso.bat aus. Beispiel:
deployIsamesso.bat <WAS-admin-benutzer-id> <kennwort>
5. Wenn Sie WebSphere Application Server Network Deployment verwenden:
a. Führen Sie die Datei deployIsamessoConfig.bat aus. Beispiel:
deployIsamessoConfig.bat <WAS-admin-benutzer-id> <kennwort>
Nächste Schritte
Aktualisieren Sie die Modulzuordnung für ISAMESSOIMS.
Knoten resynchronisieren
Die Resynchronisation von Ressourcen ist erforderlich, wenn eine IMS Server-Anwendung eine Ressource, wie eine Datenquelle und Zertifikate, erstellt. Diese Task
ist auch dann erforderlich, wenn es im Unternehmensverzeichnis zu Änderungen
kommt. In WebSphere Application Server Network Deployment werden alle Ressourcen zunächst in dem Deployment Manager erstellt, in dem IMS Server installiert ist.
Vorbereitende Schritte
v Stellen Sie sicher, dass die Knoten gestartet sind.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus.
2. Melden Sie sich bei Integrated Solutions Console an.
3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie System
administration > Nodes aus.
4. Wählen Sie das Kontrollkästchen für den Knoten aus, auf dem IMS Server installiert ist.
5. Klicken Sie auf Full Resynchronize.
Web-Server-Plug-in für WebSphere Application Server manuell installieren
Installieren Sie das WebSphere-Plug-in auf dem System mit dem Web-Server-Host.
Sie müssen das Web-Server-Plug-in für WebSphere Application Server manuell installieren, wenn Sie die Installation des Plug-ins während der Installation von IBM
HTTP Server übersprungen haben. Sie können die Installation des Plug-ins überspringen, wenn das Plug-in bereits mit IBM HTTP Server installiert ist.
Kapitel 7. Sonstige Installations- und Konfigurationstasks
217
Vorgehensweise
1. Melden Sie sich auf dem Host, auf dem IBM HTTP Server installiert wurde,
als Administrator an.
2. Navigieren Sie an der Position, an der Sie den Ergänzungsdatenträger von
WebSphere Application Server (C1G2HML) extrahiert haben, in das Verzeichnis plug-in. Beispiel: c:\images\C1G2HML\plug-in
3. Klicken Sie auf die Datei install.exe.
4. Wählen Sie im Fenster Welcome das Kontrollkästchen Installation road map:
Overview and installation scenarios ab.
5. Klicken Sie auf Next.
6. Akzeptieren Sie die Lizenzvereinbarung.
7. Klicken Sie auf Next.
8. Klicken Sie nach erfolgreichem Abschluss der Überprüfung der Systemvoraussetzungen auf Next.
9. Wählen Sie im Auswahlfenster für das Plug-in das Web-Server-Plug-in aus
und klicken Sie dann auf Next. Beispiel: IBM HTTP Server V7.
10. Klicken Sie im Installationsszenario auf WebSphere Application Server machine (local).
Wenn sich der Anwendungsserver und der Web-Server auf demselben Host
befinden
Klicken Sie auf WebSphere Application Server machine (local).
Wenn sich der Anwendungsserver und der Web-Server nicht auf demselben
Host befinden
Klicken Sie auf Web server machine (remote).
11. Akzeptieren Sie im Fenster für das Installationsverzeichnis die Standardwerte.
Beispiel: <ihs-ausgangsverzeichnis>\Plugins
12. Klicken Sie auf Next.
13. (Wenn WebSphere Application Server lokal ist) Führen Sie die folgenden
Schritte aus:
Wählen Sie WebSphere Application Server aus. Beispiel: C:\Programme\
IBM\WebSphere\AppServer.
b. Klicken Sie auf Next.
a.
c. Führen Sie die Anweisungen im Assistenten aus, um die Plug-in-Installation für einen lokalen WebSphere Application Server auszuführen.
14. (Wenn WebSphere Application Server über Fernzugriff angebunden ist) Geben
Sie im Web-Server-Konfigurationsfenster die folgenden Werte an:
Select the existing IBM HTTP Server httpd.conf file
Navigieren Sie zu der Position der Datei httpd.conf. Die Standardeinstellung hierfür ist <ihs-ausgangsverzeichnis>/conf/httpd.conf.
Specify the Web server port
Die Standardeinstellung ist Port 80.
Wenn Sie auf Next klicken, kann dies eine Warnung zur Folge haben, die angibt, dass der ausgewählte IBM HTTP Server bereits Plug-in-Einträge enthält.
Wenn Sie fortfahren, wird diese neue Konfigurationsdatei mit einer neuen Datei plug-in-cfg.xml aktualisiert. Zum Fortfahren können Sie auf OK klicken.
15. Geben Sie im Fenster für die Web-Server-Definition einen eindeutigen WebServer-Definitionsnamen an. Beispiel: Der Standardwert ist webserver1. Beispiel: Wenn Sie das Plug-in für einen zweiten HTTP-Server installieren, ist der
Wert webserver2.
218
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
a. Akzeptieren Sie den standardmäßigen Namen der Konfigurationsdatei für
das Web-Server-Plug-in (plug-in-cfg.xml) sowie die zugehörige Position.
b. Klicken Sie auf Next, um die manuellen Konfigurationsschritte zu bestätigen.
c. Wenn die Installation abgeschlossen ist, klicken Sie auf Next.
16. Starten Sie WebSphere Application Server erneut. Geben Sie auf dem Anwendungs-Server-Host die folgenden Befehle in einer Eingabeaufforderung ein.
Für eigenständige Produktimplementierungen (ohne Deployment ManagerKnoten)
So starten Sie die Anwendungsserver erneut:
<was-ausgangsverzeichnis>\profiles\AppSrv01\bin\stopServer.bat
server1
<was-ausgangsverzeichnis>\profiles\AppSrv01\bin\startServer.bat
server1
Für Netzimplementierungen
So starten Sie den Deployment Manager erneut:
<was-ausgangsverzeichnis>\profiles\Dmgr01\bin\stopManager.bat
<was-ausgangsverzeichnis>\profiles\Dmgr01\bin\startManager.bat
Anmerkung: Wenn WebSphere Application Server an einem fernen Standort
installiert ist, wird dieser Schritt durch Anmelden beim Deployment ManagerHost von WebSphere Application Server ausgeführt.
Ergebnisse
Sie haben das WebSphere-Plug-in für IBM HTTP Server installiert. Sie haben die
Dienste für IBM HTTP Server und den Verwaltungsserver (Admin Server) erneut
gestartet.
Nächste Schritte
Sie sind nun bereit zum Anwenden des aktuellsten Fixpacks für das WebSpherePlug-in für IBM HTTP Server.
Datenbank in SQL Server manuell erstellen
Wenn Sie die IMS Server-Datenbank in Microsoft SQL Server 2005 und 2008 manuell erstellen, müssen Sie die korrekten Attribute für den Anmeldenamen, den Benutzer und die Sortierfolge angeben.
Vorgehensweise
1. Melden Sie sich bei SQL Server Management Studio mit den Berechtigungsnachweisen für sa an.
2. Erstellen Sie eine Datenbank.
a. Klicken Sie im Fenster Object Explorer mit der rechten Maustaste auf Databases.
b. Klicken Sie auf New Database.
c. Geben Sie im Feld Database Name den Datenbanknamen an. Beispiel: imsdb
3. Definieren Sie die Sortierfolge.
a. Klicken Sie im Fenster Select a Page auf Options.
Kapitel 7. Sonstige Installations- und Konfigurationstasks
219
b. Wählen Sie aus der Liste Collation die Sortierfolge
SQL_Latin1_General_CP1_CS_AS aus.
c. Klicken Sie auf OK.
4. Erstellen Sie eine SQL Server-Anmeldung. Beispiel: imsdbusr
a. Blenden Sie im Fenster Object Explorer die Optionen Security > Logins ein.
b. Wählen Sie Logins aus, klicken Sie mit der rechten Maustaste auf New
Login und wählen Sie SQL Server authentication aus.
c. Geben Sie einen Anmeldenamen ein. Beispiel: imsdbusr
d. Geben Sie das Kennwort zwei Mal ein.
e. Wählen Sie das Kontrollkästchen Enforce password policy ab.
f. Wählen Sie für Default Database die Datenbank aus, die Sie in Schritt 2 auf
Seite 219 erstellt haben.
g. Klicken Sie auf OK.
5. Erstellen Sie einen Benutzer.
a. Blenden Sie im Fenster Object Explorer die Optionen Databases > <db-name> > Security > Users ein.
b. Wählen Sie Users aus.
c. Klicken Sie mit der rechten Maustaste auf Users und wählen Sie dann New
User aus.
d. Geben Sie in jedem der folgenden Felder den Namen ein, den Sie bereits in
Schritt 4 angegeben haben:
v User name
v Login name
v Default schema
Beispiel: imsdbusr
e. Wählen Sie im Fenster Database role membership die Option db_owner aus.
f. Klicken Sie auf OK.
6. Fügen Sie das Schema hinzu.
a. Blenden Sie im Fenster Object Explorer die Optionen Databases > <db-name> > Security > Schemas ein.
b. Klicken Sie auf New Schema.
c. Geben Sie den in Schritt 4 angegebenen Namen in jedes der folgenden Felder ein:
v Schema name
v Schema owner
Beispiel: imsdbusr
d. Klicken Sie auf OK.
7. Schließen Sie SQL Server Management Studio.
Grundlegende Befehle für die Verwaltung von WebSphere Application
Server-Profilen
Sie können grundlegende Befehlszeilentools zum Auflisten, Prüfen und Löschen
von WebSphere Application Server-Profilen verwenden.
Die folgenden Befehle, bei denen die Groß-/Kleinschreibung beachtet werden
muss, können für die Verwaltung von Profilen in WebSphere Application Server
nützlich sein:
220
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Task
Befehl
Löschen eines Profils
<was-ausgangsverzeichnis>/bin/
manageprofiles.bat -delete -profileName
profilname
Aktualisieren der Registry (z. B. nach dem
Löschen eines Profils)
<was-ausgangsverzeichnis>/bin/
manageprofiles.bat
-validateAndUpdateRegistry
Auflisten bestehender Profile
<was-ausgangsverzeichnis>/bin/
manageprofiles.bat -listProfiles
Informationen zur vollständigen Liste von WebSphere Application Server-Befehlen
für die Verwaltung von Profilen finden Sie in der folgenden WebSphere Application Server-Dokumentation:
Dokumentation für WebSphere Application Server Version 7.0: http://
pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp.
v Dokumentation für WebSphere Application Server Version 8.5: http://
pic.dhe.ibm.com/infocenter/wasinfo/v8r5/index.jsp.
v
Suchen Sie dort nach managing profiles using commands.
Informationen zu den bereitgestellten Befehlszeilentools für IBM Security Access
Manager for Enterprise Single Sign-On finden Sie im Dokument IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide.
Methoden zum Auflösen von Hosts und IP-Adressen
Sie können eine Datei mit dem Namen "hosts" oder einen Domänennamensserver
verwenden, um Hostnamen und IP-Adressen in einer eigenständigen oder verteilten Implementierung aufzulösen.
Hostnamen mit einem DNS-Server auflösen
Wenn Sie zum Auflösen von Hostnamen einen Namensserver oder einen DNS-Server verwenden, muss der jeweilige Hostname auf dem DNS-Server konfiguriert
werden. Der auf dem DNS-Server konfigurierte Hostname muss außerdem mit
dem Hostnamen übereinstimmen, der auf dem Betriebssystem konfiguriert wurde.
1. Geben Sie zum Prüfen des Hostnamens auf dem Betriebssystem Folgendes in
einer Eingabeaufforderung ein:
hostname
Beispiel: Wenn der Computer ibm1 ist, wird vom System das folgende Ergebnis
angezeigt:
ibm1
2. Prüfen Sie die Angaben zum Computernamen:
a. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz.
b. Klicken Sie auf Eigenschaften.
c. Klicken Sie auf die Registerkarte Computername.
d. Stellen Sie sicher, dass im Feld Vollständiger Computername der vollständig qualifizierte Domänenname des Computers angezeigt wird. Beispiel:
ibm1.example.com
Kapitel 7. Sonstige Installations- und Konfigurationstasks
221
Anmerkung: Klicken Sie zum Anzeigen des NetBIOS-Namens des lokalen
Computers auf Ändern und danach auf Weitere. Alternativ dazu können
Sie auch in einer Eingabeaufforderung den Befehl nbtstat -n eingeben.
3. Prüfen Sie den auf dem DNS-Server konfigurierten Hostnamen. Führen Sie
dazu folgenden Befehl aus:
nslookup hostname
Dabei steht hostname für den Hostnamen.
Durch den Befehl nslookup wird der vollständig qualifizierte Domänenname
zurückgegeben, der auf dem DNS-Server konfiguriert ist. Beispiel:
ibm1.example.com.
4. Stellen Sie sicher, dass der Host antwortet. Dazu können Sie folgenden Befehl
ausführen:
ping hostname
Dabei steht hostname für den Hostnamen.
Anmerkung: In einigen Umgebungen kann es sein, dass der Befehl ping fehlschlägt, wenn der Computer so konfiguriert ist, dass er Pinganforderungen ignoriert. Wenden Sie sich an den Netzadministrator, um Alternativmethoden zu
erfahren, wenn das Problem weiterhin besteht.
Hostnamen mit der Datei "hosts" auflösen
Domänennamen oder IP-Adressen auf einem lokalen Computer können durch Hinzufügen von Einträgen zu der lokalen Datei "hosts" auf einem Computer aufgelöst
werden. Einträge in der lokalen Datei "hosts" haben den weiteren Vorteil, dass das
System den Anwendungsserver ausführen kann, auch wenn die Verbindung zum
Netz getrennt ist. Wenn Sie für das Auflösen von IP-Adressen mit der Datei "hosts"
arbeiten, muss diese ordnungsgemäß konfiguriert werden.
Position der Datei "hosts" für folgende Betriebssysteme:
Windows
systemlaufwerk:\Windows\System32\Drivers\etc\
Linux /etc/hosts
Die Datei muss die folgenden Informationen enthalten:
v Die IP-Adresse, den vollständig qualifizierten Domänennamen und den Hostnamen des Computers
v Die IP-Adresse 127.0.0.1, den vollständig qualifizierten Domänennamen
localhost.localdomain und den Hostnamen localhost
Beispiel: Die Datei "hosts" für einen Computer mit dem Hostnamen ibm1 kann die
folgenden Einträge enthalten:
#IP address
192.0.2.0
127.0.0.1
Fully Qualified Domain Name
ibm1.example.com
localhost.localdomain
Short Name
ibm1
localhost
SSL-Zertifikat für IBM HTTP Server erneuern
Wenn ein persönliches Zertifikat beeinträchtigt ist oder in Kürze abläuft, müssen
Sie es erneuern.
222
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Informationen zu diesem Vorgang
Die Standardablaufzeit eines Zertifikats beträgt ein Jahr. Durch Erneuern eines Zertifikats werden alle Informationen aus dem ursprünglichen Zertifikat mit Ausnahme des Paars aus Ablaufdatum und Schlüssel erneut erstellt. Das erneuerte Zertifikat enthält ein neues Ablaufdatum sowie ein Paar aus öffentlichen oder privaten
Schlüsseln. Wenn das Zertifikat zum Signieren des verketteten Zertifikats nicht im
Rootschlüsselspeicher enthalten ist, müssen Sie zum Erneuern des Zertifikats das
standardmäßige Stammzertifikat verwenden.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server
<version> > Profiles > <profilname> > Administrative console aus.
2. Melden Sie sich bei IBM Integrated Solutions Console an.
3. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console auf
Servers > Server Types > Web servers.
4. Klicken Sie auf <web-server-name>.
5. Klicken Sie im Abschnitt Additional Properties auf der Registerkarte Configuration auf Plug-in properties.
6. Klicken Sie unter Repository copy of Web server plug-in files auf Manage
keys and certificates.
7. Klicken Sie unter der Liste Additional properties auf Personal certificates.
8. Wählen Sie default aus.
9. Klicken Sie auf Renew.
10. Klicken Sie auf Save, um die Änderungen direkt in der Hauptkonfiguration
zu speichern.
11. Klicken Sie auf den Link Plug-in properties.
12. Klicken Sie unter Repository copy of Web server plug-in files auf Copy to
Web server key store directory.
13. Für WebSphere Application Server Network Deployment:
a. Geben Sie die Konfiguration des Web-Server-Plug-ins weiter.
b. Resynchronisieren Sie die Knoten mit dem Deployment Manager.
14. Starten Sie IBM HTTP Server erneut.
IMS-Stammzertifizierungsstelle dem Truststore hinzufügen
Wenn WebSphere Application Server einen nicht standardmäßigen Truststore verwendet, müssen Sie die IMS-Stammzertifizierungsstelle dem Truststore hinzufügen.
Vorgehensweise
1. Extrahieren Sie das Zertifikat:
a. Klicken Sie im Navigationsfenster von IBM Integrated Solutions Console
auf Security > SSL certificate and key management.
b. Wählen Sie auf der Seite SSL certificate and key management unter Related Items die Option Key stores and certificates aus.
c. Klicken Sie in der Tabelle auf TAMESSOIMSKeystore.
d. Klicken Sie auf der Seite TAMESSOIMSKeystore unter Additional Properties auf Personal certificates.
e. Wählen Sie <ims-stammzertifizierungsstelle> in der Tabelle aus.
f. Klicken Sie auf Extract.
Kapitel 7. Sonstige Installations- und Konfigurationstasks
223
Geben Sie im Feld Certificate file name den entsprechenden Dateipfad an.
Wählen Sie Base64-encoded ASCII data in der Liste Data type aus.
Klicken Sie auf OK.
Klicken Sie in IBM Integrated Solutions Console auf Security > SSL certificate
and key management.
6. Wählen Sie auf der Seite SSL certificate, and key management unter Related
Items die Option Key stores and certificates aus.
7. Klicken Sie auf den Truststore.
2.
3.
4.
5.
Für WebSphere Application Server (eigenständig):
Klicken Sie auf NodeDefaultTrustStore.
Für WebSphere Application Server Network Deployment:
Klicken Sie auf CellDefaultTrustStore und auf alle NodeDefaultTrustStore-Einträge.
8. Klicken Sie unter Additional Properties auf Signer certificates.
9. Klicken Sie auf Add.
10. Geben Sie in das Feld Alias den Wert <ims-stammzertifizierungsstelle> ein.
11. Geben Sie im Feld File name den Dateipfad an, aus dem Sie das Zertifikat extrahiert haben, wie in Schritt 2 beschrieben.
12. Wählen Sie Base64-encoded ASCII data in der Liste Data type aus.
13. Klicken Sie auf OK.
14. Klicken Sie im Fenster Messages auf Save.
15. Löschen Sie das extrahierte Zertifikat aus Schritt 2 aus dem Dateisystem.
SSL-Zertifikat des Verzeichnisservers zu WebSphere Application Server hinzufügen
Wenn die Verzeichnisserververbindung SSL-fähig ist, müssen Sie die Zertifikate des
Verzeichnisservers zu WebSphere Application Server hinzufügen. Durch das Abrufen des jeweiligen Zertifikats wird sichergestellt, dass Sie eine Verbindung zwischen dem Verzeichnisserver und WebSphere Application Server herstellen können.
Stellen Sie sicher, dass die SSL-Verbindung erfolgreich ist, bevor Sie IMS Server für
Verzeichnisserver konfigurieren.
Vorbereitende Schritte
v Bereiten Sie den Verzeichnisserver vor.
v Konfigurieren Sie den Verzeichnisserver für SSL. Weitere Informationen dazu
finden Sie in der Dokumentation des verwendeten Verzeichnisservers.
v Starten Sie den Verzeichnisserver.
v Bereiten Sie WebSphere Application Server vor.
v Starten Sie WebSphere Application Server.
v Stellen Sie sicher, dass die Hostnamen zwischen den Computern aufgelöst werden können.
v Stellen Sie sicher, dass Sie sich mit WebSphere Application Server-Administratorberechtigungen anmelden können.
Informationen zu diesem Vorgang
Diese Task gilt nur für Verzeichnisserver mit aktiviertem SSL.
224
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Vorgehensweise
1. Melden Sie sich bei der WebSphere Application Server-Administratorkonsole
an.
2. Klicken Sie im Navigationsfenster auf Security > SSL certificate and key management.
3. Klicken Sie unter Related Items auf Key stores and certificates.
4. Öffnen Sie den Truststore.
Für eigenständige Implementierungen
Klicken Sie auf NodeDefaultTrustStore.
Für Netzimplementierungen
Klicken Sie auf CellDefaultTrustStore.
5. Klicken Sie unter Additional Properties auf Signer Certificates.
6. Klicken Sie auf Retrieve from port.
7. Geben Sie in den folgenden Feldern Informationen an:
8.
9.
10.
11.
Host
Geben Sie den Hostnamen, die IP-Adresse oder den vollständig qualifizierten Domänennamen des Verzeichnisservers an.
Port
Geben Sie die SSL-Portnummer für den Verzeichnisserver ein. Üblicherweise wird der Port 636 als SSL-Portnummer verwendet.
Aliasname
Geben Sie den Zertifikatsaliasnamen als Verweis auf den Unterzeichner in der Konfiguration ein. Beispiel: myldap1
Klicken Sie auf Retrieve signer information. Informationen über den SSL-Unterzeichner werden angezeigt.
Klicken Sie auf OK.
Klicken Sie im Fenster Messages auf Save.
Synchronisieren Sie bei Netzimplementierungen die Knoten erneut.
Name und Kennwort des IBM HTTP Server-Administrators abrufen
Wenn Sie die Berechtigungsnachweise des IBM HTTP Server-Administrators vergessen haben, können Sie diese der Datei admin.passwd entnehmen. Außerdem
können Sie das Kennwort mit dem Dienstprogramm htpasswd zurücksetzen.
Gehen Sie wie folgt vor, um den Namen des IBM HTTP Server-Administrators
abzurufen:
1. Wechseln Sie in das Verzeichnis <ihs-ausgangsverzeichnis>\conf. Beispiel:
C:\Programme\IBM\HTTPServer\conf
2. Öffnen Sie die Datei admin.passwd.
Gehen Sie wie folgt vor, um das Kennwort zurückzusetzen:
1. Öffnen Sie das Befehlszeilentool.
2. Navigieren Sie zum Verzeichnis <ihs-ausgangsverzeichnis>\conf.
3. Geben Sie "<ihs-ausgangsverzeichnis>\bin\htpasswd.exe" admin.passwd
<web-server-administratorname>.
Kapitel 7. Sonstige Installations- und Konfigurationstasks
225
Anwendung TAM E-SSO IMS in WebSphere Application Server deinstallieren
TAM E-SSO IMS Server 8.1 deinstallierenin Integrated Solutions Console, bevor Sie
ein Upgrade starten.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus.
2. Melden Sie sich bei Integrated Solutions Console an.
3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Applications > Application Types > WebSphere Enterprise Applications aus.
4. Wählen Sie das Kontrollkästchen TAM E-SSO IMS Server aus.
5. Klicken Sie auf Uninstall.
6. Klicken Sie auf Save.
Ergebnisse
Sie haben die Anwendung TAM E-SSO IMS Server 8.1 erfolgreich aus WebSphere
Application Server entfernt.
Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig aus WebSphere Application Server deinstallieren
Deinstallieren Sie die Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig in
Integrated Solutions Console, bevor Sie mit einem Upgrade beginnen.
Vorgehensweise
1. Wählen Sie Start > Programme > IBM WebSphere > Application Server <version> > Profiles > <profilname> > Administrative console aus.
2. Melden Sie sich bei Integrated Solutions Console an.
3. Im Navigationsfenster von Integrated Solutions Console: Wählen Sie Applications > Application Types > WebSphere Enterprise Applications aus.
4. Wählen Sie die beiden Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig aus.
5. Klicken Sie auf Deinstallieren.
6. Klicken Sie auf Speichern.
Ergebnisse
Sie haben nun die Anwendungen ISAMESSOIMS und ISAMESSOIMSConfig
aus WebSphere Application Server entfernt.
226
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Bemerkungen
Die vorliegenden Informationen wurden für Produkte und Services entwickelt, die
auf dem deutschen Markt angeboten werden. Möglicherweise bietet IBM die in
dieser Dokumentation beschriebenen Produkte, Services oder Funktionen in anderen Ländern nicht an. Informationen über die gegenwärtig im jeweiligen Land verfügbaren Produkte und Services sind beim zuständigen IBM Ansprechpartner erhältlich. Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten
nicht, dass nur Programme, Produkte oder Services von IBM verwendet werden
können. Anstelle der IBM Produkte, Programme oder Services können auch andere, ihnen äquivalente Produkte, Programme oder Services verwendet werden, solange diese keine gewerblichen oder anderen Schutzrechte von IBM verletzen. Die
Verantwortung für den Betrieb von Produkten, Programmen und Services anderer
Anbieter liegt beim Kunden.
Für in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder Patentanmeldungen geben. Mit der Auslieferung dieses Handbuchs ist
keine Lizenzierung dieser Patente verbunden. Lizenzanforderungen sind schriftlich
an folgende Adresse zu richten (Anfragen an diese Adresse müssen auf Englisch
formuliert werden):
IBM Director of Licensing
IBM Europe, Middle East & Africa
Tour Descartes
2, avenue Gambetta
92066 Paris La Defense
France
Trotz sorgfältiger Bearbeitung können technische Ungenauigkeiten oder Druckfehler in dieser Veröffentlichung nicht ausgeschlossen werden. Die hier enthaltenen Informationen werden in regelmäßigen Zeitabständen aktualisiert und als Neuausgabe veröffentlicht. IBM kann ohne weitere Mitteilung jederzeit Verbesserungen und/
oder Änderungen an den in dieser Veröffentlichung beschriebenen Produkten und/
oder Programmen vornehmen.
Verweise in diesen Informationen auf Websites anderer Anbieter werden lediglich
als Service für den Kunden bereitgestellt und stellen keinerlei Billigung des Inhalts
dieser Websites dar. Das über diese Websites verfügbare Material ist nicht Bestandteil des Materials für dieses IBM Produkt. Die Verwendung dieser Websites geschieht auf eigene Verantwortung.
Werden an IBM Informationen eingesandt, können diese beliebig verwendet werden, ohne dass eine Verpflichtung gegenüber dem Einsender entsteht.
Lizenznehmer des Programms, die Informationen zu diesem Produkt wünschen
mit der Zielsetzung: (i) den Austausch von Informationen zwischen unabhängig
voneinander erstellten Programmen und anderen Programmen (einschließlich des
vorliegenden Programms) sowie (ii) die gemeinsame Nutzung der ausgetauschten
Informationen zu ermöglichen, wenden sich an folgende Adresse:
227
IBM Corporation
2Z4A/101
11400 Burnet Road
Austin, TX 78758 U.S.A.
Die Bereitstellung dieser Informationen kann unter Umständen von bestimmten
Bedingungen - in einigen Fällen auch von der Zahlung einer Gebühr - abhängig
sein.
Die Lieferung des in diesem Dokument beschriebenen Lizenzprogramms sowie des
zugehörigen Lizenzmaterials erfolgt auf der Basis der IBM Rahmenvereinbarung
bzw. der Allgemeinen Geschäftsbedingungen von IBM, der IBM Internationalen
Nutzungsbedingungen für Programmpakete oder einer äquivalenten Vereinbarung.
Alle in diesem Dokument enthaltenen Leistungsdaten stammen aus einer kontrollierten Umgebung. Die Ergebnisse, die in anderen Betriebsumgebungen erzielt werden, können daher erheblich von den hier erzielten Ergebnissen abweichen. Einige
Daten stammen möglicherweise von Systemen, deren Entwicklung noch nicht abgeschlossen ist. Eine Gewährleistung, dass diese Daten auch in allgemein verfügbaren Systemen erzielt werden, kann nicht gegeben werden. Darüber hinaus wurden
einige Daten unter Umständen durch Extrapolation berechnet. Die tatsächlichen Ergebnisse können davon abweichen. Benutzer dieses Dokuments sollten die entsprechenden Daten in ihrer spezifischen Umgebung prüfen.
Alle Informationen zu Produkten anderer Anbieter stammen von den Anbietern
der aufgeführten Produkte, deren veröffentlichten Ankündigungen oder anderen
allgemein verfügbaren Quellen. IBM hat diese Produkte nicht getestet und kann
daher keine Aussagen zu Leistung, Kompatibilität oder anderen Merkmalen machen. Fragen zu den Leistungsmerkmalen von Produkten anderer Anbieter sind
an den jeweiligen Anbieter zu richten.
Aussagen über Pläne und Absichten von IBM unterliegen Änderungen oder können zurückgenommen werden und repräsentieren nur die Ziele von IBM.
Alle von IBM angegebenen Preise sind empfohlene Richtpreise und können jederzeit ohne weitere Mitteilung geändert werden. Händlerpreise können unter Umständen von den hier genannten Preisen abweichen.
Diese Veröffentlichung dient nur zu Planungszwecken. Die in dieser Veröffentlichung enthaltenen Informationen können geändert werden, bevor die beschriebenen Produkte verfügbar sind.
Diese Veröffentlichung enthält Beispiele für Daten und Berichte des alltäglichen
Geschäftsablaufs. Sie sollen nur die Funktionen des Lizenzprogramms illustrieren
und können Namen von Personen, Firmen, Marken oder Produkten enthalten. Alle
diese Namen sind frei erfunden; Ähnlichkeiten mit tatsächlichen Namen und Adressen sind rein zufällig.
COPYRIGHTLIZENZ:
Diese Veröffentlichung enthält Beispielanwendungsprogramme, die in Quellensprache geschrieben sind und Programmiertechniken in verschiedenen Betriebsumgebungen veranschaulichen. Sie dürfen diese Beispielprogramme kostenlos kopieren,
ändern und verteilen, wenn dies zu dem Zweck geschieht, Anwendungsprogramme zu entwickeln, zu verwenden, zu vermarkten oder zu verteilen, die mit der
Anwendungsprogrammierschnittstelle für die Betriebsumgebung konform sind, für
228
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
die diese Beispielprogramme geschrieben werden. Diese Beispiele wurden nicht
unter allen denkbaren Bedingungen getestet. Daher kann IBM die Zuverlässigkeit,
Wartungsfreundlichkeit oder Funktion dieser Programme weder zusagen noch
gewährleisten.
Marken
IBM, das IBM Logo und ibm.com sind Marken oder eingetragene Marken der IBM
Corporation in den USA und/oder anderen Ländern. Weitere Produkt- und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite "Copyright and trademark
information" unter www.ibm.com/legal/copytrade.shtml.
Adobe, Acrobat, PostScript und alle auf Adobe basierenden Marken sind Marken
oder eingetragene Marken der Adobe Systems Incorporated in den USA und/oder
anderen Ländern.
IT Infrastructure Library ist eine eingetragene Marke der Central Computer and
Telecommunications Agency. Die Central Computer and Telecommunications
Agency ist nunmehr in das Office of Government Commerce eingegliedert worden.
Intel, das Intel-Logo, Intel Inside, das Intel Inside-Logo, Intel Centrino, das Intel
Centrino-Logo, Celeron, Intel Xeon, Intel SpeedStep, Itanium und Pentium sind
Marken oder eingetragene Marken der Intel Corporation oder ihrer Tochtergesellschaften in den USA oder anderen Ländern.
Linux ist eine Marke von Linus Torvalds in den USA und/oder anderen Ländern.
Microsoft, Windows, Windows NT und das Windows-Logo sind Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
ITIL ist eine eingetragene Marke, eine eingetragene Gemeinschaftsmarke des Office
of Government Commerce und eine eingetragene Marke, die beim U.S. Patent and
Trademark Office eingetragen ist.
UNIX ist eine eingetragene Marke von The Open Group in den USA und anderen
Ländern.
Java und alle auf Java basierenden Marken und Logos sind Marken oder
eingetragene Marken der Oracle Corporation und/oder ihrer verbundenen
Unternehmen.
Cell Broadband Engine wird unter Lizenz verwendet und ist eine Marke der Sony
Computer Entertainment, Inc. in den USA und/oder anderen Ländern.
Linear Tape-Open, LTO, das LTO-Logo, Ultrium und das Ultrium-Logo sind Marken von HP, der IBM Corporation und von Quantum in den USA und/oder anderen Ländern.
Weitere Unternehmens-, Produkt- oder Servicenamen können Marken anderer Hersteller sein.
Bemerkungen
229
Hinweise zur Datenschutzrichtlinie
IBM Softwareprodukte, einschließlich Software as a Service-Lösungen ("Softwareangebote"), können Cookies oder andere Technologien verwenden, um Informationen
zur Produktnutzung zu erfassen, die Endbenutzererfahrung zu verbessern und Interaktionen mit dem Endbenutzer anzupassen oder zu anderen Zwecken. In vielen
Fällen werden von den Softwareangeboten keine personenbezogenen Daten erfasst.
Einige der IBM Softwareangebote können Sie jedoch bei der Erfassung personenbezogener Daten unterstützen. Wenn dieses Softwareangebot Cookies zur Erfassung
personenbezogener Daten verwendet, sind nachfolgend nähere Informationen über
die Verwendung von Cookies durch dieses Angebot zu finden.
Dieses Softwareangebot verwendet andere Technologien zum Erfassen der Benutzernamen, Kennwörter oder anderer personenbezogener Daten einzelner Benutzer
für die Sitzungsverwaltung, Authentifizierung, Single-Sign-on-Konfiguration oder
andere Nutzungsüberwachungs- oder funktionale Zwecke. Diese Technologien
können inaktiviert werden, damit wird aber zugleich die dadurch ermöglichte
Funktionalität inaktiviert.
Wenn die für dieses Softwareangebot genutzten Konfigurationen Sie als Kunde in
die Lage versetzen, personenbezogene Daten von Endbenutzern über Cookies und
andere Technologien zu erfassen, müssen Sie sich zu allen gesetzlichen Bestimmungen in Bezug auf eine solche Datenerfassung, einschließlich aller Mitteilungspflichten und Zustimmungsanforderungen, rechtlich beraten lassen.
Weitere Informationen zur Nutzung verschiedener Technologien, einschließlich
Cookies, für diese Zwecke finden Sie in der "IBM Online-Datenschutzerklärung,
Schwerpunkte" unter http://www.ibm.com/privacy, in der "IBM Online-Datenschutzerklärung" unter http://www.ibm.com/privacy/details/us/en, im Abschnitt
"Cookies, Web-Beacons und sonstige Technologien" und unter "IBM Software Products and Software-as-a Service Privacy Statement".
230
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Glossar
zen Netzes ermöglicht und eine zentrale
Komponente der Plattform Microsoft Windows ist.
Dieses Glossar enthält Begriffe und Definitionen
für IBM Security Access Manager for Enterprise
Single Sign-On.
In diesem Glossar werden die folgenden Querverweise verwendet:
v Siehe verweist von einem Begriff auf ein bevorzugtes Synonym oder von einem Akronym
oder einer Abkürzung auf die definierte Langform.
v Siehe auch verweist auf einen verwandten oder
gegensätzlichen Begriff.
Active Directory-Berechtigungsnachweis
Benutzername und Kennwort von Active
Directory.
Active Directory-Kennwortabgleich
Eine Funktion von IBM Security Access
Manager for Enterprise Single Sign-On,
die das ISAM ESSO-Kennwort mit dem
Active Directory-Kennwort abgleicht.
AD
Um Glossare für andere IBM Produkte einzusehen, rufen Sie die Adresse www.ibm.com/
software/globalization/terminology auf (wird in
einem neuen Fenster geöffnet).
A
Accountdaten
Die Anmeldedaten, die zur Überprüfung
eines Authentifizierungsservice erforderlich sind. Dies können der Benutzername,
das Kennwort und der Authentifizierungsservice sein, in dem die Anmeldedaten gespeichert sind.
Accountdatenbehälter
Eine Datenstruktur, deren Speicher Benutzerberechtigungsnachweise enthält, während für eine Anwendung eine einmalige
Anmeldung ausgeführt wird.
Accountdatenelement
Die Benutzerberechtigungsnachweise, die
für die Anmeldung erforderlich sind.
Accountdatenelementschablone
Eine Schablone, die die Eigenschaften eines Accountdatenelements definiert.
Accountdatenschablone
Eine Schablone, die das Format der Accountdaten definiert, die als in einen bestimmten AccessProfile erfassten Berechtigungsnachweise gespeichert werden
sollen.
Active Directory (AD)
Ein hierarchischer Verzeichnisservice, der
zentrales, sicheres Management eines gan-
Siehe Active Directory (AD).
Administrator
Eine für Verwaltungsaufgaben wie beispielsweise Zugriffsberechtigungen und
Content-Management verantwortliche
Person. Administratoren können auch dafür verantwortlich sein, Benutzern verschiedene Berechtigungsebenen zuzuweisen.
Aktion
Bei der Profilerstellung ist eine Aktion ein
Schritt, der als Reaktion auf einen Trigger
ausgeführt werden kann. Beispiel: die
automatische Eingabe des Benutzernamens und des Kennworts, sobald ein Anmeldefenster angezeigt wird.
Aktive Radiofrequenzidentifikation (RFID)
Ein zweiter Authentifizierungsfaktor und
ein Anwesenheitsdetektor. Siehe auch Radiofrequenzidentifikation (RFID).
Aktive RFID
Siehe Aktive Radiofrequenzidentifikation
(RFID).
Anwendung
Ein System, das die Benutzerschnittstelle
zum Lesen oder Eingeben der Authentifizierungsnachweise bereitstellt.
Anwendungsprogrammierschnittstelle (API)
Eine Schnittstelle, mit der ein Anwendungsprogramm, das in einer höheren
Programmiersprache geschrieben ist, bestimmte Daten oder Funktionen des Betriebssystems oder eines anderen Programms verwenden kann.
231
Anwendungsrichtlinie
Eine Gruppe von Richtlinien und Attributen, die den Zugriff auf Anwendungen regelt.
Anwesenheitsdetektor
Ein Gerät, das an einen Computer angeschlossen werden kann und dann feststellt, ob sich eine Person vom Computer
entfernt. Dieses Gerät macht ein manuelles Sperren des Computers überflüssig,
wenn dieser nur kurzzeitig verlassen
wird.
API
Siehe Anwendungsprogrammierschnittstelle (API).
Authentifizierungsfaktor
Das Gerät, die biometrischen Angaben
oder geheimen Daten, die als Berechtigungsnachweise zum Prüfen digitaler
Identitäten erforderlich sind. Beispiele:
Kennwörter, Smartcard, RFID, biometrische Angaben und OTP-Tokens.
Authentifizierungsservice
Ein Dienst, der die Gültigkeit eines Accounts prüft. Anwendungen authentifizieren sich gegenüber ihrem eigenen Benutzerspeicher oder gegenüber einem
Unternehmensverzeichnis.
Automatische Anmeldung
Ein Feature, mit dem sich Benutzer beim
Anmeldeautomatisierungssystem anmelden können. Das System führt dann die
Anmeldung des Benutzers bei allen anderen Anwendungen aus.
Automatisches Erfassen
Ein Prozess, der es einem System ermöglicht, Benutzerberechtigungsnachweise für
verschiedene Anwendungen zu erfassen
und wiederzuverwenden. Diese Berechtigungsnachweise werden erfasst, wenn der
Benutzer die Daten zum ersten Mal eingibt, und dann für die zukünftige Verwendung gespeichert und geschützt.
Automatisch generiertes Kennwort
Ein nach dem Zufallsprinzip generiertes
Kennwort zur Verbesserung der Authentifizierungssicherheit zwischen Client und
Server.
Automatisierung der Anmeldung
Eine Technologie, die zusammen mit Anwendungsbenutzerschnittstellen eingesetzt wird, um den Anmeldeprozess für
Benutzer zu automatisieren.
232
Autorisierungscode
Ein alphanumerischer Code, der für Verwaltungsfunktionen (z. B. Zurücksetzung
von Kennwörtern oder Umgehung der
Zwei-Faktor-Authentifizierung) generiert
wird.
B
Basis-DN
Ein Name, der den Ausgangspunkt für
Suchvorgänge auf dem Verzeichnisserver
angibt.
Basisimage
Eine Schablone für den virtuellen Desktop.
Befehlszeilenschnittstelle (Command-Line Interface, CLI)
Eine Computerschnittstelle, in der die
Ein- und Ausgabe textbasiert erfolgt.
Benutzerberechtigungsnachweis
Informationen, die während der Authentifizierung angefordert werden, einen Benutzer, Gruppenzuordnungen oder andere
sicherheitsrelevanten Identitätsattribute
beschreiben und zur Ausführung von Services, wie Autorisierung, Prüfung oder
Delegierung, verwendet werden. Beispielsweise sind eine Benutzer-ID und ein
Kennwort Berechtigungsnachweise, die
den Zugriff auf Netz- und Systemressourcen ermöglichen.
Benutzereinrichtung
Der Vorgang des Einrichtens eines Benutzers zur Verwendung von IBM Security
Access Manager for Enterprise Single
Sign-On.
Benutzer für Suche
Ein Benutzer, der im Unternehmensverzeichnis authentifiziert wird und andere
Benutzer sucht. IBM Security Access Manager for Enterprise Single Sign-On verwendet den suchenden Benutzer zum Abruf von Benutzerattributen aus dem
Active Directory- oder LDAP-Unternehmensrepository.
Benutzerlöschung
Der Vorgang des Entfernens eines Benutzeraccounts aus IBM Security Access Manager for Enterprise Single Sign-On.
Berechtigungsnachweis
Informationen, die während der Authenti-
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
fizierung angefordert werden, einen Benutzer, Gruppenzuordnungen oder andere
sicherheitsrelevanten Identitätsattribute
beschreiben und zur Ausführung von Services, wie Autorisierung, Prüfung oder
Delegierung, verwendet werden. Beispielsweise sind eine Benutzer-ID und ein
Kennwort Berechtigungsnachweise, die
den Zugriff auf Netz- und Systemressourcen ermöglichen.
Bereitstellungs-API
Eine Schnittstelle, die IBM Security Access
Manager for Enterprise Single Sign-On
die Integration mit Benutzerbereitstellungssystemen ermöglicht.
Bereitstellungssystem
Ein System, das die Verwaltung von Identitäten während des gesamten Lebenszyklus für Anwendungsbenutzer in Unternehmen bereitstellt und die
Berechtigungsnachweise der Benutzer verwaltet.
Bidirektionale Sprache
Eine Sprache (z. B. Arabisch oder Hebräisch), die eine Schriftdarstellung verwendet, bei der der generelle Textfluss
waagerecht von rechts nach links verläuft,
bei der jedoch Zahlen sowie Elemente in
Englisch oder einer anderen Sprache, bei
der der Textfluss von links nach rechts
verläuft, von links nach rechts geschrieben werden.
Biometrie
Die Identifikation eines Benutzers auf der
Basis eines physischen Merkmals des Benutzers, wie z. B. Fingerabdruck, Iris, Gesicht, Stimme oder Handschrift.
C
CA
Siehe Zertifizierungsstelle (Certificate Authority, CA).
CAPI
Siehe Verschlüsselungsanwendungsprogrammierschnittstelle (CAPI).
CCOW
Siehe Clinical Context Object Workgroup
(CCOW).
CLI
Siehe Befehlszeilenschnittstelle (Command-Line Interface, CLI).
Clinical Context Object Workgroup (CCOW)
Ein herstellerunabhängiger Standard für
den Austausch von Informationen zwischen klinischen Anwendungen im Gesundheitswesen.
Cluster
Eine Gruppe von Anwendungsservern,
die zum Zweck des Lastausgleichs und
Funktionsübernahme (Failover) zusammenarbeiten.
Connector für virtuelle Kanäle
Ein Connector, der in einer Terminal-Serviceumgebung verwendet wird. Der Connector für virtuelle Kanäle richtet einen
virtuellen Kommunikationskanal ein, um
die fernen Sitzungen zwischen der Komponente Client-AccessAgent und dem Server-AccessAgent zu verwalten.
Cryptographic Service Provider (CSP)
Ein Feature des Betriebssystems i5/OS,
das APIs bereitstellt. Der CCA Cryptographic Service Provider ermöglicht Benutzern die Ausführung von Funktionen auf
IBM 4758 PCI Cryptographic Coprocessor.
CSN
Siehe Kartenseriennummer (Card Serial
Number, CSN).
CSP
Siehe Cryptographic Service Provider
(CSP).
D
Dashboard
Eine Schnittstelle, die Daten aus verschiedenen Quellen integriert und eine einheitliche Anzeige relevanter und kontextbezogener Informationen bietet.
Datenbankserver
Ein Softwareprogramm, in dem ein Datenbankmanager zum Bereitstellen von
Datenbankservices für andere Softwareprogramme oder Computer verwendet wird.
Datenquelle
Das Mittel, über das eine Anwendung auf
Daten aus einer Datenbank zugreift.
Definierter Name (DN)
Der Name, der einen Eintrag in einem
Verzeichnis eindeutig angibt. Ein definierter Name besteht aus Attribut/Wert-Paaren, die durch Kommas voneinander getrennt sind. Beispiele: CN=Personenname
und C=Land oder Region.
Glossar
233
Definierter Name für Bindung
Ein Name, der die Berechtigungsnachweise angibt, die der Anwendungsserver
beim Herstellen einer Verbindung zu einem Verzeichnisservice verwenden soll.
Der definierte Name gibt einen Eintrag in
einem Verzeichnis eindeutig an.
Deployment Manager
Ein Server, durch den Operationen für
eine logische Gruppe oder Zelle aus anderen Servern verwaltet und konfiguriert
werden.
Deployment Manager-Profil
Eine WebSphere Application Server-Laufzeitumgebung, über die Operationen für
eine logische Gruppe oder Zelle aus anderen Servern verwaltet werden.
Desktop-Pool
Eine Gruppe virtueller Desktops ähnlicher
Konfiguration, die von einer vorgesehenen Benutzergruppe verwendet werden
soll.
Direktaufruf
Eine Tastenkombination, mit der zwischen
verschiedenen Anwendungen oder zwischen verschiedenen Funktionen einer
Anwendung gewechselt wird.
DLL
Siehe Dynamic Link Library (DLL).
DN
Siehe Definierter Name (DN).
DNS
Siehe Domänennamensserver (DNS).
Domänennamensserver (DNS)
Ein Serverprogramm, das die Umsetzung
von Namen in Adressen über die Zuordnung von Domänennamen zu IP-Adressen bereitstellt.
Dynamic Link Library (DLL)
Eine Datei, die ausführbaren Code und
Daten enthält, die beim Laden oder bei
der Ausführung an ein Programm gebunden sind, nicht beim Verbinden. Der Code
und die Daten in einer DLL können
gleichzeitig von mehreren Anwendungen
genutzt werden.
E
Eigenständige Implementierung
Eine Implementierung, bei der der IMSServer in einem unabhängigen WebSphere
Application Server-Profil bereitgestellt
wird.
234
Eigenständiger Server
Ein vollständig betriebsbereiter Server, der
unabhängig von allen anderen Servern
verwaltet wird und eine eigene Administrationskonsole nutzt.
Einfacher Modus
Ein Server-AccessAgent-Modus. Die Ausführung im einfachen Modus führt zur
Verringerung des Speicherbedarfs von AccessAgent auf einem Terminal- oder Citrix-Server und zur Verbesserung der Startdauer für die einmalige Anmeldung.
Einmaliges Anmelden (Single Sign-on, SSO)
Ein Authentifizierungsprozess, bei dem
der Benutzer auf mehr als ein System
oder eine Anwendung zugreifen kann, indem er eine einzige Benutzer-ID und nur
ein Kennwort eingibt.
Einrichten
Bereitstellen, Implementieren und Überwachen eines Service, einer Komponente,
einer Anwendung oder einer Ressource.
Siehe auch Löschen.
Einrichtungsbridge
Ein automatischer Verteilungsprozess für
Berechtigungsnachweise von IMS Server
mit Bereitstellungssystemen anderer
Anbieter, der API-Bibliotheken mit einer
SOAP-Verbindung verwendet.
Enterprise Single Sign-On (ESSO)
Ein Mechanismus, der Benutzern die Anmeldung bei allen in einem Unternehmen
implementierten Anwendungen durch
Eingabe einer Benutzer-ID und anderer
Berechtigungsnachweise, wie z. B. eines
Kennworts, ermöglicht.
Ereigniscode
Ein Code, der ein spezielles Ereignis darstellt, das überwacht und in den Tabellen
des Prüfprotokolls protokolliert wird.
ESSO Siehe Enterprise Single Sign-On (ESSO).
F
Failover
Eine automatische Operation, mit der bei
einer Software-, Hardware- oder Netzunterbrechung zu einem redundanten
System bzw. Standby-System oder zu einem entsprechenden Knoten umgeschaltet
wird.
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Federal Information Processing Standard (FIPS)
Ein vom National Institute of Standards
and Technology erstellter Standard, der
verwendet wird, wenn keine nationalen
und internationalen Standards vorhanden
sind oder die Anforderungen der Regierungsbehörden der USA nicht erfüllt werden können.
FIPS
Siehe Federal Information Processing
Standard (FIPS).
Fixierbarer Status
Der Status eines AccessProfile-Widgets,
der mit dem Haupt-AccessProfile zur
Wiederverwendung der AccessProfileWidgetfunktion genutzt werden kann.
Fixpack
Ein kumulatives Paket mit Programmkorrekturen (Fixes), das zwischen den geplanten Refresh-Packs, Produktaktualisierungen oder Releases veröffentlicht wird.
Ein Fixpack aktualisiert das System auf
eine bestimmte Wartungsstufe.
FQDN
Siehe Vollständig qualifizierter Domänenname (Fully Qualified Domain Name,
FQDN).
G
Geheime Frage
Eine Frage, deren Antwort nur dem Benutzer bekannt ist. Geheime Fragen werden als Sicherheitseinrichtung verwendet,
mit der die Identität eines Benutzers überprüft werden kann.
Geltungsbereich
Ein Begriff zur Beschreibung der Anwendbarkeit einer Richtlinie auf System-,
Benutzer- oder Maschinenebene.
GINA Siehe Graphical Identification and Authentication (GINA).
GPO
Siehe Gruppenrichtlinienobjekt (GPO,
Group Policy Object).
Graphical Identification and Authentication
(GINA)
Eine DLL (Dynamic Link Library), die
eine eng mit den Authentifizierungsfaktoren integrierte Benutzerschnittstelle bereitstellt und Optionen für das Zurücksetzen
von Kennwörtern und zur Umgehung des
zweiten Faktors bei der Authentifizierung
bietet.
Gruppenrichtlinienobjekt (GPO, Group Policy
Object)
Eine Sammlung von Gruppenrichtlinieneinstellungen. Gruppenrichtlinienobjekte
sind die Dokumente, die durch das Snapin für Gruppenrichtlinien erstellt werden.
Sie werden auf Domänenebene gespeichert und haben Auswirkungen auf Benutzer und Computer, die in Sites, Domänen und Organisationseinheiten enthalten
sind.
Gruppe von Registrierungsschlüsseln
Auf Windows-Systemen die Struktur der
in der Registry gespeicherten Daten.
H
HA
Siehe Hochverfügbarkeit (High Availability, HA).
Hochverfügbarkeit (High Availability, HA)
Die Funktionalität von IT-Services, alle
Ausfälle zu kompensieren und weiterhin
Verarbeitungsfunktionalität entsprechend
einem vordefinierten Serviceziel bereitzustellen. Kompensierte Ausfälle sind sowohl geplante Ereignisse, wie Wartungsund Sicherungsmaßnahmen, sowie ungeplante Ereignisse, wie Software- und
Hardwarefehler, Stromausfall und weitere
Notfälle.
Hostname
Bei der Kommunikation im Internet der
Name, der einem Computer zugewiesen
wurde. Der Hostname kann ein vollständig qualifizierter Domänenname wie mycomputer.city.company.com oder ein bestimmter Teilname wie mycomputer sein.
Siehe auch Vollständig qualifizierter Domänenname (Fully Qualified Domain
Name, FQDN), IP-Adresse.
Hybrid-Smartcard
Eine ISO-7816-konforme Smartcard, die
einen Public-Key-Verschlüsselungschip
und einen RFID-Chip enthält. Der Verschlüsselungschip ist über eine Kontaktschnittstelle zugänglich. Der RFID-Chip
ist über eine kontaktlose (RF-)Schnittstelle
zugänglich.
Glossar
235
riert wird und in manchen Fällen über einen sicheren Kanal zwischen Client und
Server übertragen wird.
I
Interaktiver grafischer Modus
Eine Reihe von Fenstern, in denen Sie zur
Eingabe von Informationen zur Ausführung der Installation aufgefordert werden.
Knoten
IP-Adresse
Eine eindeutige Adresse für ein Gerät
oder eine logische Einheit in einem Netz,
das/die den Internet Protocol-Standard
verwendet. Siehe auch Hostname.
Knotenagent
Ein Verwaltungsagent, der alle Anwendungsserver auf einem Knoten verwaltet
und den Knoten in der Verwaltungszelle
darstellt.
J
L
Java Management Extensions (JMX)
Ein Mittel für die Ausführung von Management-Tasks für und durch Java-Technologie. JMX ist eine universelle, offene
Erweiterung der Programmiersprache
Java für Management-Tasks, die in allen
Branchen, für die Management erforderlich ist, implementiert werden kann.
Lastausgleich
Die Überwachung von Anwendungsservern und das Management der Auslastung von Servern. Wenn ein Server die
vorgesehene Auslastung überschreitet,
werden Anforderungen an einen anderen
Server mit größerer Kapazität weitergeleitet.
Java Runtime Environment (JRE)
Eine Teilmenge eines Java Developer Kit,
die die ausführbaren Kernprogramme
und -dateien enthält, die die standardmäßige Java-Plattform bilden. Zur JRE gehören die Java Virtual Machine (JVM),
Kernklassen und unterstützende Dateien.
LDAP Siehe Lightweight Directory Access Protocol (LDAP).
Java Virtual Machine (JVM)
Eine Softwareimplementierung eines Prozessors, der kompilierten Java-Code (Applets und Anwendungen) ausführt.
JMX
Siehe Java Management Extensions (JMX).
JRE
Siehe Java Runtime Environment (JRE).
JVM
Siehe Java Virtual Machine (JVM).
K
Kartenseriennummer (Card Serial Number,
CSN) Ein eindeutiges Datenelement zur Identifizierung einer Hybrid-Smartcard. Es besteht kein Bezug zu den Zertifikaten, die
in der Smartcard installiert sind.
Kennwortalterung
Eine Sicherheitsfunktion, in der der Superuser angeben kann, wie oft die Benutzer
ihre Kennwörter ändern müssen.
Kennwort für einmaliges Anmelden (OTP)
Ein einmal verwendbares Kennwort, das
für ein Authentifizierungsereignis gene-
236
Eine logische Gruppe verwalteter Server.
Siehe auch Verwalteter Knoten.
Lightweight Directory Access Protocol (LDAP)
Ein offenes Protokoll, in dem TCP/IP zur
Bereitstellung von Zugriff auf Verzeichnisse verwendet wird, die Unterstützung für
ein X.500-Modell bieten. Ein LDAP kann
zum Suchen von Personen, Unternehmen
und anderen Ressourcen in einem Internet- oder Intranetverzeichnis verwendet
werden.
Löschen
Entfernen eines Service oder einer Komponente. Beispielsweise wird mit dem
Ausdruck "Account löschen" das Löschen
eines Accounts in einer Ressource bezeichnet. Siehe auch Bereitstellung.
M
Mobile Authentifizierung
Ein Authentifizierungsfaktor, der mobilen
Benutzern die sichere Anmeldung bei Unternehmensressourcen von jeder Stelle im
Netz ermöglicht.
Modale Systemnachricht
Ein Dialogfenster des Systems, das in der
Regel zum Anzeigen wichtiger Nachrichten verwendet wird. Wenn eine modale
Systemnachricht angezeigt wird, können
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
keine anderen Elemente der Anzeige ausgewählt werden, bis die Nachricht geschlossen wird.
N
Netzimplementierung
Die Implementierung eines IMS-Servers in
einem WebSphere Application ServerCluster.
Notfallwiederherstellung
Der Prozess der Wiederherstellung einer
Datenbank, eines Systems oder bestimmter Richtlinien nach einem teilweisen oder
vollständigen Ausfall einer Site, der durch
eine Katastrophe, beispielsweise ein Erdbeben oder einen Brand verursacht wurde. Normalerweise ist für die Notfallwiederherstellung ein vollständiges Backup
an einem anderen Standort erforderlich.
Notfallwiederherstellungssite
Ein zweiter Standort für die Produktionsumgebung für den Fall einer Katastrophe.
O
OTP
Siehe Kennwort für einmaliges Anmelden
(OTP).
OTP-Token
Eine kompakte, in hohem Maße portierbare Hardwareeinheit, die der Eigner als Berechtigung seines Zugriffs auf digitale
Systeme und/oder physische Ressourcen
bei sich führt.
P
Persönliche Identifikationsnummer (PIN)
Bei der Verschlüsselungsunterstützung
eine eindeutige Nummer, die eine Institution einer Einzelperson als Identitätsnachweis zuordnet. Gewöhnlich erteilen Geldinstitute Ihren Kunden PINs.
PIN
Siehe Persönliche Identifikationsnummer
(PIN).
PKCS Siehe Public Key Cryptography Standards
(PKCS).
Portal Ein einziger, sicherer Zugriffspunkt auf
verschiedene Informationen, Anwendungen und Personen, der angepasst und
personalisiert werden kann.
Primärer Authentifizierungsfaktor
Das IBM Security Access Manager for
Enterprise Single Sign-On-Kennwort oder
die Berechtigungsnachweise für den Verzeichnisserver.
Privater Schlüssel
In der IT-Sicherheit der geheime Teil eines
Verschlüsselungsschlüsselpaars, das in
Verbindung mit einem Algorithmus mit
öffentlichem Schlüssel verwendet wird.
Nur der Schlüsselinhaber kennt den privaten Schlüssel. Private Schlüssel werden
typischerweise zur digitalen Signierung
und Entschlüsselung von Daten verwendet, die mit dem entsprechenden öffentlichen Schlüssel verschlüsselt wurden.
Prüfung
Ein Prozess, der die Aktivitäten von Benutzern, Administratoren und Help-Desk
protokolliert.
Public Key Cryptography Standards (PKCS)
Eine Gruppe standardisierter Protokolle
zum sicheren Informationsaustausch über
das Internet. Zertifikate im PKCS-Format
können von Domino Certificate Authority- und Server Certificate AdministrationAnwendungen akzeptiert werden.
R
Radiofrequenzidentifikation (RFID)
Eine Technologie, die die automatische
Identifikation und die Erfassung der Daten bestimmter Gegenstände ermöglicht,
die dann über Funkwellen übertragen
werden. Siehe auch Aktive Radiofrequenzidentifikation (RFID).
RADIUS
Siehe Remote Authentication Dial-in User
Service (RADIUS).
RDP
Siehe Remote Desktop Protocol (RDP).
Registry
Ein Repository, das Zugriffs- und Konfigurationsdaten für Benutzer, Systeme und
Software enthält.
Remote Authentication Dial-in User Service
(RADIUS)
Ein Authentifizierungs- und Abrechnungssystem, das Zugriffsserver verwendet, um Zugriffe auf umfangreiche Netze
zentral zu verwalten.
Glossar
237
Remote Desktop Protocol (RDP)
Ein Protokoll, das die ferne Anzeige und
Eingabe über Netzverbindungen für Windows-basierte Serveranwendungen ermöglicht. RDP unterstützt verschiedene
Netztopologien und mehrere Verbindungen.
Replikation
Der Prozess, mit dem eine definierte
Gruppe von Daten an mehreren Positionen oder Standorten gespeichert werden
kann. Die Replikation beinhaltet das Kopieren bestimmter Änderungen von einer
Position bzw. einem Standort (Quelle) an
eine andere Position bzw. einen anderen
Standort (Ziel) sowie die Synchronisation
der Daten an den beiden Positionen bzw.
Standorten.
RFID
Siehe Radiofrequenzidentifikation (RFID).
Richtlinienschablone
Ein vordefiniertes Richtlinienformat, mit
dessen Hilfe Benutzer eine Richtlinie definieren können. Die Schablone stellt die
festgelegten Richtlinienelemente bereit,
die nicht geändert werden können, sowie
die variablen und änderbaren Richtlinienelemente.
Richtlinie zur Kennwortkomplexität
Eine Richtlinie, die die minimale und maximale Länge des Kennworts sowie die
minimale Anzahl numerischer und alphabetischer Zeichen angibt. Außerdem wird
festgelegt, ob gemischte Groß- und Kleinbuchstaben zulässig sind.
Root CA
Siehe Stammzertifizierungsstelle (Root
CA).
S
Schlüsselspeicher
Im Sicherheitsbereich eine Datei oder eine
Hardwareverschlüsselungskarte, in der
Identitäten und private Schlüssel für die
Authentifizierung und die Verschlüsselung gespeichert werden. Einige Schlüsselspeicher enthalten auch vertrauenswürdige oder öffentliche Schlüssel. Siehe auch
Truststore.
Schneller Benutzerwechsel
Ein Feature, mit dem Benutzer zwischen
verschiedenen Benutzeraccounts auf einer
238
einzigen Workstation wechseln können,
ohne Anwendungen zu verlassen und
sich abzumelden.
Secure Sockets Layer (SSL)
Ein Sicherheitsprotokoll, das Schutz personenbezogener Daten bei der Kommunikation bietet. Mithilfe von SSL können
Client/Server-Anwendungen auf eine
Weise kommunizieren, die Abhören, Manipulation und Fälschen von Nachrichten
verhindern soll.
Serial ID Service Provider Interface (SPI)
Eine programmgesteuerte Schnittstelle,
die zur Integration von AccessAgent mit
Serial ID-Einheiten anderer Anbieter
dient, die für die Zwei-Faktor-Authentifizierung verwendet werden.
Seriennummer
Eine eindeutige Zahl, die in IBM Security
Access Manager for Enterprise Single
Sign-On-Schlüssel eingebettet ist; sie ist
für jeden Schlüssel eindeutig und kann
nicht geändert werden.
Server-Locator
Ein Verweis zum Gruppieren einer zusammengehörigen Gruppe von Webanwendungen, die die Authentifizierung
durch denselben Authentifizierungsservice erfordern. In AccessStudio dienen
Server-Locator zum Identifizieren des Authentifizierungsservice, dem eine Anwendungsanzeige zugeordnet ist.
Service Provider Interface (SPI)
Eine Schnittstelle, über die Anbieter alle
Geräte mit Seriennummern in IBM Security Access Manager for Enterprise Single
Sign-On integrieren und die Geräte als
zweiten Faktor in AccessAgent verwenden können.
Sichere digitale Identität
Eine Onlineperson, deren Identität schwer
vorzutäuschen ist und die möglicherweise
durch private Schlüssel auf einer Smartcard geschützt ist.
Sicherer Fernzugriff
Eine Lösung, die außerhalb der Firewall
browserbasierte einmalige Anmeldung für
alle Anwendungen bereitstellt.
Sicherheitstokenservice (STS)
Ein Web-Service für die Ausgabe und den
Austausch von Sicherheitstokens.
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Sicherheits-Trust-Service-Kette
Eine Gruppe von Modulinstanzen, die für
die gemeinsame Nutzung konfiguriert
sind. Jede Modulinstanz in der Kette wird
der Reihe nach aufgerufen, um eine bestimmte Funktion innerhalb der Gesamtverarbeitung einer Anforderung auszuführen.
Signatur
Bei der Profilerstellung ist die Signatur
eine eindeutige Identifikationsinformation
für eine Anwendung, ein Fenster oder ein
Feld.
Simple Mail Transfer Protocol (SMTP)
Ein Internetanwendungsprotokoll für die
Übertragung von E-Mails zwischen Benutzern des Internets.
Smartcard
Ein intelligentes Token, das über einen ICChip eingebettet ist, der über Speicherkapazität und Rechenfunktionalität verfügt.
Smartcard-Middleware
Software, die als Schnittstelle zwischen
Smartcard-Anwendungen und der Smartcard-Hardware fungiert. In der Regel besteht die Software aus Bibliotheken, die
PKCS#11- und CAPI-Schnittstellen für
Smartcards implementieren.
SMTP Siehe Simple Mail Transfer Protocol
(SMTP).
Snapshot
Ein erfasster Status mit Daten und Hardwarekonfiguration, der von einer momentan aktiven virtuellen Maschine erstellt
wird.
SOAP Ein einfaches XML-basiertes Protokoll
zum Austausch von Informationen in einer dezentralen, verteilten Umgebung.
SOAP kann zur Abfrage und Rückgabe
von Informationen und zum Aufruf von
Services über das Internet genutzt werden. Siehe auch Web-Service.
SPI
Siehe Service Provider Interface (SPI).
SSL
Siehe Secure Sockets Layer (SSL).
SSL-VPN
Siehe SSL-VPN (Secure Sockets Layer Virtual Private Network).
SSL-VPN (Secure Sockets Layer Virtual Private
Network)
Eine Form von VPN, die mit einem standardmäßigen Web-Browser verwendet
werden kann.
SSO
Siehe Einmaliges Anmelden (Single Signon, SSO).
Stammzertifizierungsstelle (Root CA)
Die Zertifizierungsstelle auf der obersten
Ebene der Hierarchie von Zertifizierungsstellen, über die die Identität eines Zertifikatseigners geprüft werden kann.
Strikte Authentifizierung
Eine Lösung, die Mehrfachauthentifizierungsgeräte nutzt, um unbefugten Zugriff
auf vertrauliche Unternehmensdaten und
IT-Netze sowohl innerhalb als auch außerhalb des Unternehmensperimeters zu verhindern.
STS
Siehe Sicherheitstokenservice (STS).
Subskribieren
Eine Ressource anfordern.
T
Terminalemulator
Ein Programm, das es einem Gerät, z. B.
einem Mikrocomputer oder Personal
Computer gestattet, Daten einzugeben
oder von einem Datenverarbeitungssystem in derselben Weise zu empfangen,
wie dies bei einem angeschlossenen Terminal der Fall ist.
Terminaltyp (tty)
Ein allgemeiner Gerätetreiber für einen
Textbildschirm. Auf einem tty wird die
Ein- und Ausgabe normalerweise Zeichen
für Zeichen durchgeführt.
Thin Client
Ein Client, auf dem kaum oder keine Software installiert ist, der jedoch stattdessen
über Zugriff auf Software verfügt, die von
mit ihm verbundenen Netzservern verwaltet und bereitgestellt wird. Ein Thin
Client stellt eine Alternative zu einem Client mit vollem Funktionsumfang wie z. B.
einer Workstation dar.
Transparente Bildschirmsperre
Ein Feature, dessen Aktivierung es dem
Benutzer ermöglicht, die Desktopanzeigen
zu sperren, wobei der Inhalt des Desktops
aber weiterhin angezeigt wird.
Glossar
239
ses abgeglichen ist. Active Directory ist
ein Beispiel für ein Unternehmensverzeichnis.
Trigger
Bei der Profilerstellung ein Ereignis, das
Übergänge zwischen Statuszuständen in
einer Statusengine zur Folge hat, z. B. das
Laden einer Webseite oder das Anzeigen
eines Fensters auf dem Desktop.
Trust-Service-Kette
Eine Kette von Modulen, die in unterschiedlichen Modi arbeiten, z. B. in Modi
zum Prüfen, Abbilden und Ausgeben von
Truststores.
Truststore
Im Sicherheitsbereich ein Speicherobjekt
(eine Datei oder eine Hardwareverschlüsselungskarte), bei der öffentliche Schlüssel
für die Authentifizierung in Webtransaktionen in Form vertrauenswürdiger Zertifikate gespeichert werden. In einigen Anwendungen werden diese
vertrauenswürdigen Zertifikate in den
Anwendungsschlüsselspeicher verschoben, um mit den privaten Schlüsseln gespeichert zu werden. Siehe auch Schlüsselspeicher.
tty
Siehe Terminaltyp (tty).
U
Unbeaufsichtigter Modus
Ein Verfahren zur Installation bzw. Deinstallation von Produktkomponenten über
die Befehlszeile und ohne grafische Benutzeroberfläche. Bei Verwendung des
unbeaufsichtigten Modus werden die vom
Installations- bzw. Deinstallationsprogramm benötigten Daten direkt in der
Befehlszeile angegeben oder vom System
aus einer Datei (sog. "Optionsdatei" oder
"Antwortdatei") abgerufen.
Uniform Resource Identifier (URI)
Eine kompakte Zeichenfolge zum Angeben einer abstrakten oder physischen Ressource.
Unternehmensverzeichnis
Ein Verzeichnis der Benutzeraccounts, das
die Benutzer von IBM Security Access
Manager for Enterprise Single Sign-On
beschreibt. Es prüft Benutzerberechtigungsnachweise beim Subskribieren und
Anmelden, wenn das Kennwort mit dem
Kennwort des Unternehmensverzeichnis-
240
V
VB
Siehe Visual Basic (VB).
Verknüpfter Klon
Die Kopie einer virtuellen Maschine, die
mit der übergeordneten virtuellen Maschine virtuelle Platten kontinuierlich gemeinsam nutzt.
Veröffentlichte Anwendung
Eine Anwendung, die auf einem Citrix
XenApp-Server installiert wurde und auf
die über Citrix ICA Clients zugegriffen
werden kann.
Veröffentlichter Desktop
Ein Citrix XenApp-Feature, bei dem Benutzer jederzeit, an jedem Ort und von jedem Gerät aus über Fernzugriff auf einen
vollständigen Windows-Desktop verfügen.
Verschlüsselungsanwendungsprogrammierschnittstelle (CAPI)
Eine Anwendungsprogrammierschnittstelle, die Services bereitstellt, mit denen Entwickler Anwendungen mithilfe von Verschlüsselungstechniken schützen können.
Sie besteht aus einer Gruppe von dynamisch verbundenen Bibliotheken, die eine
Abstraktionsebene bereitstellen, die den
Programmierer von dem Code trennt, der
zur Verschlüsselung der Daten verwendet
wird.
Verwalteter Knoten
Ein Knoten, der in einem Deployment
Manager föderiert ist, einen Knotenagenten enthält und verwaltete Server enthalten kann. Siehe auch Knoten.
Verzeichnis
Eine Datei, die Namen und Steuerinformationen für Objekte oder andere Verzeichnisse enthält.
Verzeichnisservice
Ein Verzeichnis der Namen, Profilinformationen und Maschinenadressen jedes
Benutzers und jeder Ressource im Netz.
Es dient zur Verwaltung von Benutzeraccounts und Netzberechtigungen. Wenn
ein Benutzername gesendet wird, gibt er
die Attribute dieser Einzelperson zurück;
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
diese Attribute können eine Telefonnummer sowie eine E-Mail-Adresse umfassen.
Verzeichnisservices verwenden hochspezialisierte Datenbanken, die in der Regel hierarchisch strukturiert sind und die
schnelle Suche ermöglichen.
Virtual Desktop Infrastructure (VDI - Infrastruktur mit virtuellen Desktops)
Eine Infrastruktur, die aus Desktopbetriebssystemen besteht, die auf virtuellen
Maschinen auf einem zentralen Server
gehostet werden.
Virtual Member Manager (VMM)
Eine Komponente von WebSphere Application Server, die für Anwendungen eine
sichere Einrichtung für den Zugriff auf
grundlegende Organisationsentitätsdaten,
wie Personen, Anmeldeaccounts und Sicherheitsrollen, bereitstellt.
Virtual Private Network (VPN)
Eine Erweiterung des Intranets eines Unternehmens, die das vorhandene Gerüst
eines öffentlichen oder privaten Netzes
nutzt. Ein VPN stellt sicher, dass die Daten, die zwischen den beiden Endpunkten
der Verbindung gesendet werden, geschützt bleiben.
Virtuelle Einheit
Ein Image einer virtuellen Maschine mit
einem bestimmten Anwendungszweck,
das auf Virtualisierungsplattformen implementiert wird.
Virtueller Desktop
Eine Benutzerschnittstelle in einer virtualisierten Umgebung, die auf einem fernen
Server gespeichert ist.
Visual Basic (VB)
Eine ereignisgesteuerte Programmiersprache und integrierte Entwicklungsumgebung (Integrated Development Environment, IDE) von Microsoft.
VMM Siehe Virtual Member Manager (VMM).
Vollständig qualifizierter Domänenname (Fully
Qualified Domain Name, FQDN)
In der Internetkommunikation bezeichnet
der FQDN den Namen eines Hostsystems,
der alle Teilnamen des Domänennamens
beinhaltet. Ein Beispiel eines vollständig
qualifizierten Domänennamens ist rchland.vnet.ibm.com. Siehe auch Hostname.
VPN
W
Wallet Ein geschützter Datenspeicher für die Zugriffsberechtigungsnachweise und zugehörigen Informationen für einen Benutzer,
einschließlich Benutzer-IDs, Kennwörtern,
Zertifikaten und Verschlüsselungsschlüsseln.
Wallet Manager
Die GUI-Komponente von IBM Security
Access Manager for Enterprise Single
Sign-On, die es Benutzern ermöglicht, Berechtigungsnachweise für eine Anwendung in einer persönlichen Identitätswallet zu verwalten.
Walletzwischenspeicherung
Der Vorgang während der einmaligen Anmeldung bei einer Anwendung, bei dem
AccessAgent die Anmeldeberechtigungsnachweise aus der Wallet mit den Benutzerberechtigungsnachweisen abruft. Die
Wallet mit den Benutzerberechtigungsnachweisen wird auf die Benutzermaschine heruntergeladen und geschützt auf
dem IMS-Server gespeichert.
Web-Server
Ein Softwareprogramm, das HTTP-Anforderungen verarbeiten kann.
Web-Service
Eine eigenständige, selbstbeschreibende
modulare Anwendung, die mithilfe von
Standardnetzprotokollen über ein Netz
veröffentlicht, erkannt und aufgerufen
werden kann. Typischerweise wird XML
zur Markierung der Daten, SOAP zur
Übertragung der Daten, WDSL zur Beschreibung der verfügbaren Services und
UDDI zur Auflistung der verfügbaren Services verwendet. Siehe auch SOAP.
Widerrufen
Einer Berechtigungs-ID ein Zugriffsrecht
oder eine Berechtigung entziehen.
WS-Trust
Eine Web-Service-Sicherheitsspezifikation,
die ein Framework für Trust-Modelle definiert, um eine Vertrauensbeziehung zwischen Web-Services herzustellen.
Siehe Virtual Private Network (VPN).
Glossar
241
Z
Zelle
Eine Gruppe verwalteter Prozesse, die im
selben Deployment Manager föderiert
sind und Hochverfügbarkeitsstammgruppen enthalten können.
Zertifikat
In der IT-Sicherheit stellt ein Zertifikat ein
digitales Dokument dar, das einen öffentlichen Schlüssel an die Identität eines Zertifikatsinhabers bindet. Dadurch wird der
Zertifikatsinhaber authentifiziert. Ein Zertifikat wird von einer Zertifizierungsstelle
ausgestellt und von dieser Stelle digital signiert. Siehe auch Zertifizierungsstelle
(Certificate Authority, CA).
Zertifizierungsstelle (Certificate Authority, CA)
Eine vertrauenswürdige Drittorganisation
oder -firma, die die digitalen Zertifikate
ausstellt. Die Zertifizierungsstelle prüft
normalerweise die Identität der Einzelpersonen, denen das eindeutige Zertifikat erteilt wird. Siehe auch Zertifikat.
Zwei-Faktor-Authentifizierung
Die Verwendung von zwei Faktoren für
die Authentifizierung von Benutzern. Beispiel: Verwendung von Kennwort und
RFID-Karte für die Anmeldung bei AccessAgent.
242
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Index
Numerische
wörter
1024-Bit-Zertifikate
2048-Bit-Zertifikate
Stich-
76, 107
76, 107
A
AAInstallDir, Parameter 123
AboutThisProfile.txt, Datei 61, 87
AccessAgent
Citrix-Server 119
Dateien 132
Deinstallation 170
Installationspfad 123
Installationsübersicht 119
interaktive Installation 128
Registry-Einträge 132
Serververbindung 131
Terminal-Server 119
unbeaufsichtigte Installation 120
Upgrade 163
Voraussetzungen 127
AccessStudio
angepasste Installationsprogramme 136
Dateien 132
Deinstallation 170
Installationsübersicht 119
Registry-Einträge 132
unbeaufsichtigte Installation 120
Upgrade 163
Active Directory
siehe Microsoft Active Directory
Adapter 39
Adressen 221
Angepasstes Profil 87
Antwortdatei 122, 129, 138
Anwendungsserverprofile
eigenständig 61
Netzimplementierung 87
Arbeitsblatt für die Planung
Benutzer 177
Hostnamen 176
Ports 176
Profilnamen 177
URLs 176
Verzeichnisse 175
Assistenten
IMS-Konfigurationsassistent 78
Auflösung, URL-Adressen 221
Aufteilung von Archiven 51
Außer Kraft setzen, Sitzungsmanagement 115
B
Basis-DN
Active Directory
LDAP 197
192
Basisprofil 61
BAT-Dateien
cleanImsConfig.bat, Datei 172
deployIsamesso.bat, Datei 216
deployIsamessoConfig.bat, Datei 216
manageprofiles.bat, Datei 220
setupCmdLine.bat, Datei 215
Befehlszeilenumgebung
Middleware 205
Behindertengerechte Bedienung xi
Benutzer für Suche
LDAP-Server 197
Microsoft Active Directory 192
Benutzer ohne Rootberechtigung 52
Beschreibung 179
Benutzerkontensteuerung (User Account
Control, UAC) 205
Benutzernamensattribut 199
BIO-key 214
Biometrie, Installation 214
C
cat, Befehl 51
Citrix-Server 119, 123
cleanImsConfig.bat, Datei 172
Cluster
Beschreibung 86
Cluster 99
Konfiguration 98
Member 117
Profile 87
starten 208
cn, Attribut 199
com.ibm.tamesso.imsdelhi.j2c.adapters.win32.rar, Datei 214
CONF-Dateien
httpd.conf, Datei 75, 105
Console Hook Loader 124
ConsoleAppSupportEnabled, Parameter 124
copy, Befehl 51
D
Datenbank
Schema 219
Sortierfolge 219
Datenbanken
DB2 19, 20
Installation 19
Microsoft SQL Server 21
Oracle Database 21
sichern 202, 203
virtuelle Einheit 50
Vorbereitung 18
wiederherstellen 205
DB2 18
Benutzer 188
Datenbankerstellung 20
DB2 (Forts.)
Installation 19
Schemaerstellung 187
Vorbereitung 19
Definierter Name (DN) 199
Definierter Name für Bindung
Active Directory 192
LDAP 197
Deinstallation 167
AccessStudio 170
AccessStudio, unbeaufsichtigt 171
ältere Versionen 226
Beschreibung 167
IMS Server 167
deployIsamesso.bat, Datei 216
deployIsamessoConfig.bat, Datei 216
Deployment Manager-Profil 87
maximale Größe des Heapspeichers 100
starten 208
DHCP (Dynamic Host Configuration Protocol) 52
Dienste
Konfiguration von WebSphere Application Server 64
starten 205
stoppen 205
Überprüfung 66
DisableWin7CAD, Parameter 124
DLL-Dateien
engina.dll 123
EnNetworkProvider.dll, Datei 133
MSGina.dll 122
nwgina.dll 123
DNS (Domain Name System) 193, 221
Domain Name System (DNS) 193
Dynamic Host Configuration Protocol
(DHCP) 52
E
EAR-Dateien 78, 213
Befehlszeile 216
ISAMESSOIMS 41
ISAMESSOIMSConfig 41
manuelle Implementierung 215
eigenständig
Beschreibung 61
Profile 62
Eigenständig
Beschreibung 60
EncentuateCredentialProviderEnabled,
Parameter 124
EncentuateNetworkProviderEnabled, Parameter 124
engina.dll, Datei 123
EnginaConflictPromptEnabled, Parameter 124
EnginaEnabled, Parameter 123
EnNetworkProvider.dll, Datei 133
Enterprise Archive (EAR) 78
243
ESSO Network Provider
Überprüfung 133
Export Configuration Utility
202
F
FirstSyncMaxRetries, Parameter 123
FirstSyncRetryIntervalMins, Parameter 123
Fixpacks
IBM HTTP Server 35
IBM HTTP Server-Plug-in 36
WebSphere Application Server 28
WebSphere Update Installer 27
G
Gemeinsam genutzte Bibliotheken 46
GinaWhiteList, Parameter 123
Glossar 231
Größe des Heapspeichers 100
Deployment Manager-Profil 65, 101
Leistung 65, 101
H
Hochverfügbarkeit
Cluster 86
virtuelle Einheit 58
hostname, Befehl 221
Hostnamen
hostname, Befehl 221
Namensauflösung 221
Variablen 176
hosts, Datei 221
httpd.conf, Datei 75, 105, 218
I
IBM
Software Support xi
Support Assistant xi
IBM HTTP Server 75, 78, 105
Berechtigungsnachweise des Administrators 225
Fixpacks 35
Installation 30, 32
Plug-in 36
starten 206
stoppen 206
Überprüfung 225
WebSphere-Plug-in 71, 103, 218
IBM Installation Manager 23
IBM Security Identity Manager Active
Directory Adapter 192
Installation 39
ikeyman, Dienstprogramm 66, 93
IMS-Konfigurationsassistent 78
IMS Server
Anwendungszuordnung 83, 114
Beschreibung 18
Datenbankschemas 187
Deinstallation 167
eigenständig 78
Einrichtung 82, 112
244
IMS Server (Forts.)
Installation 1
EAR-Dateien (Befehlszeile) 216
EAR-Dateien, manuell 215
mit Installationsprogrammen 41
Netzimplementierung 108
Upgrades 157
Installationsübersicht 1
ISAMESSOIMS 78
ISAMESSOIMSConfig 78
Konfiguration 78, 160
manuelle Implementierung 213
Migration 165
Neuinstallation 171
Roadmap zum Upgrade 141
Sitzungsmanagement außer Kraft setzen 115
starten 212
stoppen 212
Überprüfung
Konfigurationen 84, 116
WebSphere Application ServerImplementierungen 45
Upgrade 1, 109, 157, 161
Upgrade für 3.6 oder 8.0 156
Zielserver
Antwortdatei 132
Menüverknüpfung 132
IMS-Stammzertifizierungsstelle 223
IMSAddressPromptEnabled, Parameter 126
ImsConfigurationEnabled, Parameter 124
ImsConfigurationPromptEnabled, Parameter 124, 129
ImsDownloadPortDefault, Parameter 126
ImsDownloadProtocolDefault, Parameter 126
ImsSecurePortDefault, Parameter 125
ImsServerName, Parameter 126
INI-Dateien
SetupHlp.ini, Datei 122
Installation
AccessAgent 127, 129
AccessStudio 136, 138
IBM DB2 19
IBM HTTP Server 32
IMS Server 41, 213
virtuelle Einheit 48
vordefinierte Wallet 121
WebSphere Application Server 26
InstallTypeGpo, Parameter 124
IP-Adressen 222
ISAM ESSO AccessStudio.msi, Datei 138, 171
ISAMESSOIMS 78
Knoten hinzufügen 117
Serverzuordnung 83, 114
ISAMESSOIMSConfig 78
Java Virtual Machine (JVM) 65, 101
JAX-RS 46
jaxrslib, Bibliothek 46
JNDI (Java Naming and Directory Interface) 214
JVM (Java Virtual Machine)
Leistung 65, 101
JVMInstallationDirectories, Parameter 125
K
KDB-Dateien
plugin-key.kdb, Datei 75, 105
Kennwort, Zurücksetzung 192
Kennwortabgleich 192
key.p12, Datei 184
keytool, Befehl 66, 93
Knoten
starten 102
Synchronisation 217
verwaltete Member 87
Knotenagent
Serviceerstellung 102
Starten des Diensts 208
Stoppen des Diensts 208
Konfiguration
IBM HTTP Server-Plug-in 103
IMS Server mit IMS-Konfigurationsassistent 78
Unternehmensverzeichnisserver 191
WebSphere Application Server, eigenständig 64
WebSphere Application Server-Cluster 98
L
LCID (Locale ID; LändereinstellungsID) 126
LDAP (Lightweight Directory Access Protocol)
Data Interchange Format (LDIF) 41
LDIF (LDAP Data Interchange Format) 41
LDIF-Dateien 41
SSL-fähig 224
Tivoli Directory Server 36
Vorbereitung 36
Zertifikate für WebSphere Application
Server 224
Leistung
Größe des Heapspeichers 65, 101
Lightweight Directory Access Protocol
(LDAP)
siehe LDAP
Locale ID (LCID; LändereinstellungsID) 126
log, Parameter 129, 138
J
M
java.lang.OutOfMemoryError, Ereignis 100
Java Naming and Directory Interface
(JNDI) 214
machine.wlt, Datei 121
Mailattribut 199
manageprofiles, Befehl 201, 202
manageprofiles.bat, Datei 220
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
Mehrsprachig 126
Microsoft Active Directory 39
Application Mode (ADAM) 40
Group Policy Object (AD GPO) 124,
126
IBM Security Identity Manager Active
Directory Adapter 39
Lightweight Directory Services (AD
LDS) 40
NetBIOS 39
Vorbereitung 36
Microsoft SQL Server
Datenbanken 21, 219
Schemas 187
Voraussetzungen 18
Migration, IMS Server 165
Mozilla Firefox 128
MSGina.dll 123
MSI-Dateien 129, 138
ISAM ESSO AccessStudio.msi, Datei 138, 171
umfangreiche Implementierungen 120
msiexec, Befehl 129, 138
MST-Dateien 126
N
Native Library Invoker (NLI)
nbtstat, Befehl 221
NetBIOS
Beschreibung 221
LDAP-Konfiguration 197
Microsoft Active Directory,
tion 192
netstat, Befehl 41, 61, 87
Network Time Protocol (NTP)
Neuinstallation
IMS Server 171
Nicht überwacht
siehe auch Unbeaufsichtigt
Deinstallation 171
NLI, Ressourcenadapter 214
nslookup, Befehl 221
NTP (Network Time Protocol)
nwgina.dll 123
214
Portnummern
Arbeitsblatt für die Planung 176
eigenständige Implementierung 61
Netzimplementierung 87
Verfügbarkeit 41
PriceLevel, Parameter 124
Problembestimmung xi
Profile
Deployment Manager 87, 89
eigenständig 61, 62
exportieren 201
importieren 201
IMS Server
sichern 202
wiederherstellen 201
interaktiv 89
Listen 220
löschen 220
Netzimplementierung 87
sichern 201, 202
verwaltete Knoten, Erstellung 87
WebSphere Application Server
sichern 201
wiederherstellen 204
wiederherstellen 202
Programm für den Lastausgleich 78,
109, 127
Protokolle
Dateiposition 61, 87
Serverinstallation 78
Q
Konfigura-
55
55
quiet, Parameter
129, 138, 139
R
RAR-Dateien
com.ibm.tamesso.imsdelhi.j2c.adapters.win32.rar 214
RebootConfirmationEnabled, Parameter 124
RebootEnabled, Parameter 124
RemoveWallet, Parameter 124
ResetBioAPIPermission, Parameter 124
Rootbenutzer 52, 53
Beschreibung 179
O
OldJVMInstallationDirectories, Parameter 125
Online
Terminologie vii
Veröffentlichungen vii
Oracle Database
Schemas 187
Vorbereitung 18, 21
OVF-Dateien 51
P
Pakete, Installation 120
Pfade 175
plug-in-cfg.xml, Datei 218
plugin-key.kdb, Datei 75, 105
SSL
siehe auch Stammzertifizierungsstelle
Active Directory 195, 224
bidirektionale Konfiguration 41
IBM HTTP Server 75, 105
LDAP-Server 198, 224
nach Upgrade 162
verkettete Zertifikate 71, 103
Verzeichnisserverzertifikate 224
Zertifikatserneuerung 223
Stammzertifizierungsstelle 78
Deployment Manager 93
Konfiguration 109
Sicherheit 66
Upgrade für Konfigurationen
von 8.0.1 auf 8.2.1 161
von 8.1 oder 8.2 auf 8.2.1 160
startManager, Befehl 208, 218
startNode, Befehl 102, 208
startServer, Befehl 35, 208, 218
Statisch 52
stopManager, Befehl 210, 218
stopNode, Befehl 210
stopServer, Befehl 28, 210, 218
Synchronisation
Kennwort 192
Knoten 217
Szenarios
Cluster 12
eigenständig 6
Middleware wiederverwenden 4
virtuelle Einheit 2
T
TAM E-SSO IMS Server, Anwendung
Deinstallation 226
Terminal-Server 119, 123
Tivoli Directory Server 197
Beschreibung 36
Vorbereitung 41
Training xi
trust.p12, Datei 184
Truststore
eigenständig 66
Position 41
Stammzertifizierungsstelle 93
TXT-Dateien
AboutThisProfile.txt, Datei 61, 87
S
Schlüsselspeicher 66, 93
Schlüsselspeicherposition 41
Schulung xi
Secure Sockets Layer (SSL)
siehe SSL
services.msc, Befehl 66
setupCmdLine.bat, Datei 215
SetupHlp.ini, Datei 122
Sitzungsmanagement, außer Kraft setzen 115
SOAP 41
Sprache
Umsetzungen 126
SQL_Latin1_General_CP1_CS_AS, Sortierfolge 219
SQL-Scripts 187
U
UAC (User Account Control; Benutzerkontensteuerung) 205
Umsetzungen
Parameter 139
Sprache 126
Unbeaufsichtigt
siehe auch Unbeaufsichtigte Installation
Antwortdatei, Parameter 122
Deinstallation 171
Unternehmensverzeichnisse
Benutzer für Suche 192, 197
Beschreibung 191
generischer LDAP-Server 200
LDAP 41, 191, 197
Index
245
Unternehmensverzeichnisse (Forts.)
Microsoft Active Directory 39, 191,
192
SSL 224
Tivoli Directory Server 41, 197
virtuelle Einheit 50
Vorbereitung 36
Update Installer 27
Upgrades 141
AccessAgent 156, 163
AccessStudio 156
IMS Server 156, 157
von 3.6 oder 8.0 156
von 8.0.1 148, 152
von 8.1 141, 143, 145, 146
Portnummern
SOAP 157
Überprüfung 164
virtuelle Einheit 156
UsbKeyPromptEnabled, Parameter 124
WebSphere Application Server (Forts.)
Konfigurationsbereinigung 172
SSL-Zertifikate 224
Überprüfung von Diensten 66
Wiederherstellung von Profilen 204
WLT-Dateien
machine.wlt, Datei 121
X
XML-Dateien
plug-in-cfg.xml, Datei
218
Z
Zertifikate
1024 Bit 76, 107
2048 Bit 76, 107
Zertifizierungsstelle
siehe Stammzertifizierungsstelle
V
Verbindungen 221
Veröffentlichungen
Erklärung zu geeigneten Sicherheitsvorkehrungen xii
Liste für dieses Produkt vii
Onlinezugriff vii
Verzeichnisserver
siehe Unternehmensverzeichnisse
Virtual Member Manager, Komponente
Konfiguration 36, 191
Verzeichnisserver 36
virtuelle Einheit 50
Virtuelle Einheit
Implementierung 51
Virtuelle Einheiten
Aktivierung 52
Hochverfügbarkeit 58
Konfigurationsexport 58
Konfigurationsimport 58
VMDK-Dateien 51
VMware 48, 51
VMware ESXi 51
Vordefinierte Wallets 121
vSphere Client 51
W
Wallets 121
Entfernung 122
vordefiniert 121, 122
WalletTypeSupported, Parameter 126
WAS_PROFILE_HOME, Variable 215
Web-Server
siehe auch IBM HTTP Server
Vorbereitung 32
WebSphere Application Server
Anwendungssicherheit 213
Anwendungszuordnung 83, 114
Installation 24, 26
Fixpacks 28
Web-Server-Plug-in 218
WebSphere Update Installer 27
Konfiguration 64
246
IBM® Security Access Manager for Enterprise Single Sign-On: Installation
GI11-3236-04