Domino Directory 6.5.2

Вы находитесь здесь
  1. Реестр пользователей LDAP
  2. Планирование
  3. Установка Domino Directory
  4. Настройка Domino Directory
  5. Настройка Domino Directory для применения SSL (текущая задача)
  6. Процедура настройки для применения Domino Directory без поддержки областей
  7. Процедура настройки для применения Domino Directory с поддержкой областей
  8. Проверка

Если вы планируете работать с Domino версии 5.0.12 или 5.0.13, воспользуйтесь инструкциями по установке и настройке, приведенными в справочной системе Information Center для WebSphere Portal версии 5.0.2 (выберите Установка > LDAP).

Обзор

Вы можете настроить доступ WebSphere Application Server и WebSphere Portal к своему реестру пользователей LDAP по защищенному соединению (SSL), что позволит гарантировать конфиденциальность данных, передаваемых между WebSphere Application Server, WebSphere Portal и Domino Directory. Например, по соединению между реестром пользователей LDAP и WebSphere Portal передаются пароли пользователей. Это происходит в тех случаях, когда для задания паролей применяются инструменты управления пользователями WebSphere Portal, а также при проверке ИД и паролей пользователей WebSphere Application Server во время выполнения операции связывания LDAP. Настройка соединений LDAP с использованием SSL позволяет защитить критически важные данные. Кроме того, применение SSL рекомендуется для защиты от перехвата пакетов с данными о пользователях, если эти данные считаются конфиденциальными.

Для обеспечения конфиденциальности необходимо настроить в WebSphere Application Server и WebSphere Portal подключение к реестру пользователей LDAP с помощью SSL. Настройку защищенного соединения LDAP для WebSphere Application Server и WebSphere Portal с поддержкой областей или без нее не следует путать с настройкой сервера HTTP для обработки поступающих от браузеров запросов HTTPS, а также с настройкой соединения HTTPS между сервером HTTP и WebSphere Application Server в распределенной среде.

Описание полного набора параметров конфигурации всех реестров пользователей LDAP и WebSphere Application Server выходит за рамки данной документации по WebSphere Portal. Для настройки каталога для работы с соединениями SSL обратитесь к документации по своему серверу LDAP. Информацию о WebSphere Application Server можно найти в руководстве по выполнению задач IBM WebSphere V5.0 Security, SG24-6573-00 в приложении B, содержащем инструкции по настройке WebSphere Application Server для подключения к LDAP с помощью SSL. Вы также можете обратиться к документации по продукту WebSphere Application Server.

Совет

Рекомендуется сначала настроить и проверить работу собственно сервера LDAP (без SSL), а затем приступить к настройке связи с ним через SSL. Перед началом настройки SSL убедитесь в том, что каталог отвечает на обычные запросы.

Ключи и сертификаты

Настройка соединения SSL между сервером LDAP и WebSphere Application Server и WebSphere Portal, когда в качестве реестра пользователей LDAP применяется Domino, мало отличается от настройки сервера IBM Directory Server или любого другого сервера реестра пользователей LDAP. Domino предоставляет подписанный сертификат в ходе установления соединения SSL с LDAP. Сертификаты подписанта этого сертификата сервера Domino Directory должны быть доступны для WebSphere Application Server и WebSphere Portal. Если сервер Domino Directory применяет собственный сертификат, то этот сертификат должен быть импортирован в качестве сертификата подписанта в хранилище ключей Java (.jks) WebSphere Application Server (для подключения к LDAP с помощью SSL продукта WebSphere Application Server) и в файл cacerts (для WebSphere Portal). Если сертификат сервера Domino Directory подписан цепочкой сертификатов CA, то эта цепочка должна быть импортирована в качестве сертификатов подписантов в хранилище ключей Java (.jks) WebSphere Application Server (для подключения к LDAP с помощью SSL продукта WebSphere Application Server) и в файл cacerts (для WebSphere Portal). Дальнейшая последовательность настройки WebSphere Application Server и WebSphere Portal аналогична применяемой при работе с любыми другими каталогами.

Однако при работе с утилитами управления ключами Domino существуют небольшие отличия: они создают файлы ключей, совместимые с инструментом управления ключами GSKIT, поставляемым с IBM HTTP Server, но не непосредственно с инструментом управления ключами WebSphere Application Server. Таким образом, если для создания собственных сертификатов применяется утилита управления ключами Domino, нужно с помощью GSKIT извлечь сертификаты в формате ASCII Base64 (файл .arm), после чего импортировать их в WebSphere Application Server и хранилище ключей JSSE по умолчанию с помощью инструмента управления ключами WebSphere Application Server. Краткие инструкции по импорту файла приведены ниже.

В общем случае задача настройки WebSphere Application Server и WebSphere Portal для подключения к реестру пользователей LDAP с помощью SSL состоит из импорта необходимых сертификатов в файлы хранилищ ключей, применяемые WebSphere Application Server и WebSphere Portal. К необходимым сертификатам относятся сертификаты подписей для сертификатов сервера LDAP. Кроме того, необходимо изменить некоторые параметры конфигурации, указывающие, что в WebSphere Application Server и WebSphere Portal для подключения к LDAP должен применяться протокол SSL. Обычно бывает достаточно импортировать сертификаты подписей из сервера LDAP в WebSphere Application Server и WebSphere Portal. Эта операция обеспечивает возможность идентификации сервера в соединении SSL. WebSphere Application Server и WebSphere Portal являются клиентами сервера реестра пользователей LDAP. Идентификация клиента происходит при выполнении операции связывания LDAP по соединению SSL. При этом для подключения в WebSphere Application Server применяется DN связывания, заданный в консоли защиты WebSphere Application Server. Для выполнения этой операции связывания в WebSphere Portal используется ИД adminId. Для операционных систем UNIX и Windows этот ИД настраивается в файле каталог-wp/wmm/wmm.xml.

В некоторых случаях, если в реестре пользователей LDAP настроено применение взаимной идентификации SSL с запросом сертификата клиента при установлении соединений, то сертификаты подписей для WebSphere Application Server и WebSphere Portal должны быть перемещены в хранилище ключей сервера LDAP. Механизм импорта этих сертификатов различается на разных серверах LDAP. Подробные инструкции можно найти в документации по каталогу. Однако даже в этом случае, хотя соединение SSL включает взаимную идентификацию, WebSphere Application Server и WebSphere Portal будут применять в операциях связывания заданные идентификаторы связывания и пароли.

Настройка LDAP для работы через SSL

Необходимо сначала настроить и проверить работу собственно сервера LDAP (без SSL), а затем приступить к настройке связи с ним через SSL. Перед началом настройки SSL убедитесь в том, что каталог отвечает на обычные запросы.

WebSphere Portal также поддерживает установку непосредственно в реестр пользователей LDAP по соединению SSL, хотя этот способ применять не рекомендуется.

  1. Установите WebSphere Portal и WebSphere Application Server
  2. Установите и настройте LDAP
  3. Создайте или импортируйте необходимые сертификаты и включите SSL на сервере LDAP
  4. Импортируйте в cacerts сертификаты, необходимые для создания соединения SSL
  5. Закройте незащищенный порт сервера реестра пользователей LDAP (необязательно)

1. Установите WebSphere Portal и WebSphere Application Server

Для получения дополнительной информации обратитесь к разделу Установка WebSphere Portal.

Инструкции по установке WebSphere Portal в существующей среде WebSphere Application Server также приведены в разделе Установка WebSphere Portal.

2. Установите и настройте LDAP

Рекомендуется сначала настроить и проверить работу собственно сервера LDAP (без SSL), а затем приступить к настройке связи с ним через SSL. Перед началом настройки SSL убедитесь в том, что каталог отвечает на обычные запросы. Для получения дополнительной информации просмотрите два предыдущих раздела:

3. Создайте или импортируйте необходимые сертификаты и включите SSL на сервере LDAP

Unix и Windows:

Для подключения Domino Directory к LDAP с помощью SSL могут применяться собственные сертификаты или сертификаты подписи, подписанные CA (сертификатной компанией).

IBM HTTP Server включает утилиту управления ключами защиты, аналогичную IKeyMan, с помощью которой можно как создать собственный сертификат, так и импортировать в хранилище ключей сертификаты, полученные от Domino Directory. Для получения более подробной информации об импорте сертификата CA или создании собственного сертификата в файле ключей и перемещении этого сертификата в WebSphere Application Server и WebSphere Portal обратитесь к документации по Domino Directory и IKeyMan. Ниже кратко описана последовательность действий по созданию собственного сертификата:

  1. Запустите утилиту управления ключами, например, IKeyMan.
  2. Откройте существующий файл базы данных ключей CMS (если подключение к серверу каталогов с помощью SSL уже настроено) или создайте новый файл. При использовании существующего файла необходимо ввести пароль. При создании нового файла вам будет предложено указать пароль для его защиты. Обязательно запомните указанный пароль.
  3. Создайте в файле базы данных ключей CMS собственный сертификат в формате X.509 версии 3 с ключом длиной 1024 бита. Присвойте сертификату метку. Обязательно запомните указанную метку.
  4. Извлеките только что созданный собственный сертификат из файла сертификатов и сохраните его в формате ASCII Base64. При этом сертификат будет сохранен в файле с выбранным вами именем и с расширением .arm.
  5. Если вы еще не сделали этого, настройте в Domino Directory подключение к LDAP через SSL с помощью файла ключей CMS с собственным сертификатом. Подробные инструкции по настройке приведены в документации по Domino Directory.

4. Импортируйте в WebSphere Portal сертификаты, необходимые для создания соединения SSL

Перенос сертификатов сервера LDAP в WebSphere Application Server и WebSphere Portal

Сделайте сертификат подписания Domino Directory (полученный от CA или собственный) доступным системам WebSphere Application Server и WebSphere Portal. Для этого передайте соответствующий файл по сети или на сменном носителе. Учтите, что для успешного импорта утилитами управления ключами WebSphere Application Server сертификат CA должен находиться в файле .arm в формате ASCII в кодировке Base64. Изменить формат можно с помощью утилит управления ключами IBM HTTP Server (IKeyMan).

Импорт сертификатов в хранилище ключей WebSphere Application Server

Unix и Windows: Для того чтобы сделать собственный сертификат или цепочку сертификатов CA доступной продуктам WebSphere Application Server и WebSphere Portal, необходимо импортировать сертификаты в файл хранилища ключей Java (.jks) с помощью инструмента управления ключами, поставляемого с WebSphere Application Server. Вместе с WebSphere Application Server поставляется инструмент управления ключами IKeyMan. IKeyMan поддерживает форматы хранилищ ключей Java, применяемые в WebSphere Application Server и WebSphere Portal. Подробная информация о работе с этим инструментом управления ключами приведена в документации по WebSphere Application Server, в том числе и в указанном выше руководстве по выполнению задач. Ниже приведен краткий перечень операций, которые нужно выполнить для создания собственных сертификатов, их импорта и настройки подключения WebSphere Application Server к каталогу LDAP с помощью SSL:

  1. Запустите утилиту IKeyMan из каталога каталог-was/bin. Для этого можно ввести в командной строке команду ikeyman.exe или ikeyman.sh, в зависимости от применяемой операционной системы.
  2. Откройте файл хранилища ключей Java, который будет применяться в WebSphere Application Server для подключения к LDAP с помощью SSL. Пользователи могут создать новые файлы ключей и определить новый набор параметров SSL. В WebSphere Application Server предусмотрен набор параметров по умолчанию DefaultSSLSetting. Рекомендуется использовать набор параметров по умолчанию, содержащий защищенный файл сервера WebSphere Application Server по умолчанию. Откройте файл DummyServerTrustFile.jks, расположенный в каталоге каталог-was/etc. Пароль к фиктивному защищенному файлу сервера - "WebAS".
  3. Выберите Сертификаты подписантов, а затем - пункт Добавить.
  4. Выберите тип данных ASCII Base64 и найдите файл сертификата, экспортированный сервером IBM Directory Server.
  5. Вам будет предложено указать метку для нового сертификата. Укажите то же значение, которое вы задали при создании сертификата.
  6. Сохраните изменения в файле ключей.

Импорт сертификатов в хранилище ключей WebSphere Portal

В конфигурации WebSphere Portal можно указать конкретное хранилище ключей Java. В этом случае WebSphere Portal и WebSphere Application Server смогут совместно использовать одно и тоже хранилище надежных сертификатов в конфигурации SSL, связанной с исходящими данными CSIv2. Для того чтобы указать хранилище ключей Java, выполните следующие действия:

  1. Завершите работу WebSphere Portal.
  2. Войдите в систему Административной консоли WebSphere Application Server.
  3. Выберите Защита > Реестры пользователей > LDAP.
  4. Выберите переключатель sslEnabled (параметру sslEnabled присваивается значение true).
  5. Укажите для параметра Порт LDAP значение 636.
  6. Сохраните изменения.
  7. Остановите и перезапустите WebSphere Application Server (server1).
  8. В текстовом редакторе откройте файл wmm.xml, расположенный в каталоге каталог-wp/wmm, где каталог-wp - это установочный каталог WebSphere Portal.
  9. Перейдите в раздел, начинающийся со строки ldapRepository name="wmmLDAP".
  10. Убедитесь, что ldapPort="636".
  11. Убедитесь, что sslEnabled="true".
  12. В конец этого раздела добавьте строку sslTrustStore="каталог-was\etc\DummyServerTrustFile.jks", где каталог-was - это установочный каталог WebSphere Application Server.
  13. Сохраните файл.
  14. Остановите и перезапустите WebSphere Application Server (server1).
  15. Перезапустите WebSphere Portal.

5. Закройте незащищенный порт сервера реестра пользователей LDAP (необязательно)

Это дополнительное действие. Закрытие обычного (не SSL) порта сервера LDAP гарантирует защиту всего обмена данных с каталогом продуктов WebSphere Application Server, WebSphere Portal и других приложений.

В случае применения компонентов WebSphere Portal, относящихся к компонентам совместной работы, для завершения настройки SSL необходимо выполнить ряд дополнительных операций.

Дальнейшие действия

Данный шаг выполнен. Перейдите к следующему шагу, выбрав один из следующих разделов:

Library | Support | Terms of use | Feedback
Information Center last updated: Friday, November 19, 2004
IBM WebSphere Portal for Multiplatforms 5.1 | (c) Copyright IBM Corporation 2000, 2004