Вы находитесь здесь |
|
Если вы планируете работать с Domino версии 5.0.12 или 5.0.13, воспользуйтесь инструкциями по установке и настройке, приведенными в справочной системе Information Center для WebSphere Portal версии 5.0.2 (выберите Установка > LDAP).
Вы можете настроить доступ WebSphere Application Server и WebSphere Portal к своему реестру пользователей LDAP по защищенному соединению (SSL), что позволит гарантировать конфиденциальность данных, передаваемых между WebSphere Application Server, WebSphere Portal и Domino Directory. Например, по соединению между реестром пользователей LDAP и WebSphere Portal передаются пароли пользователей. Это происходит в тех случаях, когда для задания паролей применяются инструменты управления пользователями WebSphere Portal, а также при проверке ИД и паролей пользователей WebSphere Application Server во время выполнения операции связывания LDAP. Настройка соединений LDAP с использованием SSL позволяет защитить критически важные данные. Кроме того, применение SSL рекомендуется для защиты от перехвата пакетов с данными о пользователях, если эти данные считаются конфиденциальными.
Для обеспечения конфиденциальности необходимо настроить в WebSphere Application Server и WebSphere Portal подключение к реестру пользователей LDAP с помощью SSL. Настройку защищенного соединения LDAP для WebSphere Application Server и WebSphere Portal с поддержкой областей или без нее не следует путать с настройкой сервера HTTP для обработки поступающих от браузеров запросов HTTPS, а также с настройкой соединения HTTPS между сервером HTTP и WebSphere Application Server в распределенной среде.
Описание полного набора параметров конфигурации всех реестров пользователей LDAP и WebSphere Application Server выходит за рамки данной документации по WebSphere Portal. Для настройки каталога для работы с соединениями SSL обратитесь к документации по своему серверу LDAP. Информацию о WebSphere Application Server можно найти в руководстве по выполнению задач IBM WebSphere V5.0 Security, SG24-6573-00 в приложении B, содержащем инструкции по настройке WebSphere Application Server для подключения к LDAP с помощью SSL. Вы также можете обратиться к документации по продукту WebSphere Application Server.
Рекомендуется сначала настроить и проверить работу собственно сервера LDAP (без SSL), а затем приступить к настройке связи с ним через SSL. Перед началом настройки SSL убедитесь в том, что каталог отвечает на обычные запросы. |
Настройка соединения SSL между сервером LDAP и WebSphere Application Server и WebSphere Portal, когда в качестве реестра пользователей LDAP применяется Domino, мало отличается от настройки сервера IBM Directory Server или любого другого сервера реестра пользователей LDAP. Domino предоставляет подписанный сертификат в ходе установления соединения SSL с LDAP. Сертификаты подписанта этого сертификата сервера Domino Directory должны быть доступны для WebSphere Application Server и WebSphere Portal. Если сервер Domino Directory применяет собственный сертификат, то этот сертификат должен быть импортирован в качестве сертификата подписанта в хранилище ключей Java (.jks) WebSphere Application Server (для подключения к LDAP с помощью SSL продукта WebSphere Application Server) и в файл cacerts (для WebSphere Portal). Если сертификат сервера Domino Directory подписан цепочкой сертификатов CA, то эта цепочка должна быть импортирована в качестве сертификатов подписантов в хранилище ключей Java (.jks) WebSphere Application Server (для подключения к LDAP с помощью SSL продукта WebSphere Application Server) и в файл cacerts (для WebSphere Portal). Дальнейшая последовательность настройки WebSphere Application Server и WebSphere Portal аналогична применяемой при работе с любыми другими каталогами.
Однако при работе с утилитами управления ключами Domino существуют небольшие отличия: они создают файлы ключей, совместимые с инструментом управления ключами GSKIT, поставляемым с IBM HTTP Server, но не непосредственно с инструментом управления ключами WebSphere Application Server. Таким образом, если для создания собственных сертификатов применяется утилита управления ключами Domino, нужно с помощью GSKIT извлечь сертификаты в формате ASCII Base64 (файл .arm), после чего импортировать их в WebSphere Application Server и хранилище ключей JSSE по умолчанию с помощью инструмента управления ключами WebSphere Application Server. Краткие инструкции по импорту файла приведены ниже.
В общем случае задача настройки WebSphere Application Server и WebSphere Portal для подключения к реестру пользователей LDAP с помощью SSL состоит из импорта необходимых сертификатов в файлы хранилищ ключей, применяемые WebSphere Application Server и WebSphere Portal. К необходимым сертификатам относятся сертификаты подписей для сертификатов сервера LDAP. Кроме того, необходимо изменить некоторые параметры конфигурации, указывающие, что в WebSphere Application Server и WebSphere Portal для подключения к LDAP должен применяться протокол SSL. Обычно бывает достаточно импортировать сертификаты подписей из сервера LDAP в WebSphere Application Server и WebSphere Portal. Эта операция обеспечивает возможность идентификации сервера в соединении SSL. WebSphere Application Server и WebSphere Portal являются клиентами сервера реестра пользователей LDAP. Идентификация клиента происходит при выполнении операции связывания LDAP по соединению SSL. При этом для подключения в WebSphere Application Server применяется DN связывания, заданный в консоли защиты WebSphere Application Server. Для выполнения этой операции связывания в WebSphere Portal используется ИД adminId. Для операционных систем UNIX и Windows этот ИД настраивается в файле каталог-wp/wmm/wmm.xml.
В некоторых случаях, если в реестре пользователей LDAP настроено применение взаимной идентификации SSL с запросом сертификата клиента при установлении соединений, то сертификаты подписей для WebSphere Application Server и WebSphere Portal должны быть перемещены в хранилище ключей сервера LDAP. Механизм импорта этих сертификатов различается на разных серверах LDAP. Подробные инструкции можно найти в документации по каталогу. Однако даже в этом случае, хотя соединение SSL включает взаимную идентификацию, WebSphere Application Server и WebSphere Portal будут применять в операциях связывания заданные идентификаторы связывания и пароли.
Необходимо сначала настроить и проверить работу собственно сервера LDAP (без SSL), а затем приступить к настройке связи с ним через SSL. Перед началом настройки SSL убедитесь в том, что каталог отвечает на обычные запросы.
WebSphere Portal также поддерживает установку непосредственно в реестр пользователей LDAP по соединению SSL, хотя этот способ применять не рекомендуется.
Для получения дополнительной информации обратитесь к разделу Установка WebSphere Portal.
Инструкции по установке WebSphere Portal в существующей среде WebSphere Application Server также приведены в разделе Установка WebSphere Portal.
Рекомендуется сначала настроить и проверить работу собственно сервера LDAP (без SSL), а затем приступить к настройке связи с ним через SSL. Перед началом настройки SSL убедитесь в том, что каталог отвечает на обычные запросы. Для получения дополнительной информации просмотрите два предыдущих раздела:
Unix и Windows:
Для подключения Domino Directory к LDAP с помощью SSL могут применяться собственные сертификаты или сертификаты подписи, подписанные CA (сертификатной компанией).
IBM HTTP Server включает утилиту управления ключами защиты, аналогичную IKeyMan, с помощью которой можно как создать собственный сертификат, так и импортировать в хранилище ключей сертификаты, полученные от Domino Directory. Для получения более подробной информации об импорте сертификата CA или создании собственного сертификата в файле ключей и перемещении этого сертификата в WebSphere Application Server и WebSphere Portal обратитесь к документации по Domino Directory и IKeyMan. Ниже кратко описана последовательность действий по созданию собственного сертификата:
Сделайте сертификат подписания Domino Directory (полученный от CA или собственный) доступным системам WebSphere Application Server и WebSphere Portal. Для этого передайте соответствующий файл по сети или на сменном носителе. Учтите, что для успешного импорта утилитами управления ключами WebSphere Application Server сертификат CA должен находиться в файле .arm в формате ASCII в кодировке Base64. Изменить формат можно с помощью утилит управления ключами IBM HTTP Server (IKeyMan).
Unix и Windows: Для того чтобы сделать собственный сертификат или цепочку сертификатов CA доступной продуктам WebSphere Application Server и WebSphere Portal, необходимо импортировать сертификаты в файл хранилища ключей Java (.jks) с помощью инструмента управления ключами, поставляемого с WebSphere Application Server. Вместе с WebSphere Application Server поставляется инструмент управления ключами IKeyMan. IKeyMan поддерживает форматы хранилищ ключей Java, применяемые в WebSphere Application Server и WebSphere Portal. Подробная информация о работе с этим инструментом управления ключами приведена в документации по WebSphere Application Server, в том числе и в указанном выше руководстве по выполнению задач. Ниже приведен краткий перечень операций, которые нужно выполнить для создания собственных сертификатов, их импорта и настройки подключения WebSphere Application Server к каталогу LDAP с помощью SSL:
В конфигурации WebSphere Portal можно указать конкретное хранилище ключей Java. В этом случае WebSphere Portal и WebSphere Application Server смогут совместно использовать одно и тоже хранилище надежных сертификатов в конфигурации SSL, связанной с исходящими данными CSIv2. Для того чтобы указать хранилище ключей Java, выполните следующие действия:
Это дополнительное действие. Закрытие обычного (не SSL) порта сервера LDAP гарантирует защиту всего обмена данных с каталогом продуктов WebSphere Application Server, WebSphere Portal и других приложений.
В случае применения компонентов WebSphere Portal, относящихся к компонентам совместной работы, для завершения настройки SSL необходимо выполнить ряд дополнительных операций.
Данный шаг выполнен. Перейдите к следующему шагу, выбрав один из следующих разделов:
Library |
Support |
Terms of use |
Feedback
Information Center last updated: Friday, November 19, 2004
IBM WebSphere Portal for Multiplatforms 5.1 | (c) Copyright IBM Corporation 2000, 2004