Maison > Article > base de données > 在 Lotus Quickr for Domino 环境中使用 Tivoli Access Manager
简介 IBM Lotus Quickr 是一款团队协作软件,它帮助您共享内容、与团队进行协作并提高联机工作的速度。 Quickr 安全管理解决方案可以借助 IBM Tivoli Access Manager — WebSEAL 组件用于实现反向代理,反向代理充当门户和其他 Web 应用程序的联系人的联合单
IBM Lotus Quickr 是一款团队协作软件,它帮助您共享内容、与团队进行协作并提高联机工作的速度。
Quickr 安全管理解决方案可以借助 IBM Tivoli Access Manager — WebSEAL 组件用于实现反向代理,反向代理充当门户和其他 Web 应用程序的联系人的联合单一登录点。使用上述反向代理,由于身份验证逻辑存在于 Tivoli Access Manager WebSEAL 层中,可以在将来支持更复杂的身份验证机制。
IBM Tivoli Access Manager 是用于电子商务和分布式应用程序的功能强大且安全的集中策略管理解决方案。IBM Tivoli Access Manager WebSEAL 是高性能、多线程的 Web 服务器, 它将细粒度的安全策略应用到 Tivoli Access Manager 受保护的 Web 对象空间。WebSEAL 能提供单一注册解决方案,并将后端 Web 应用程序服务器资源合并到其安全策略中。
回页首
IBM Tivoli Access Manager 是完整的授权和网络安全策略管理解决方案,该解决方案对地理上分散在内部网和外部网上的资源提供超强的端到端保护。
其核心,Tivoli Access Manager 提供:
Tivoli Access Manager 提供范围很广的内置认证程序,并支持外部认证程序。
通过 Tivoli Access Manager 授权 API 访问的 Tivoli Access Manager 授权服务,对位于安全域中的受保护资源的请求提供许可和拒绝决策。
IBM Tivoli Access Manager WebSEAL 是负责管理并保护基于 Web 的信息和资源的资源管理器。WebSEAL 通常作为逆向 Web 代理,从 Web 浏览器接收 HTTP / HTTPS 请求并交付来自其自己的 Web 服务器或来自联结的后端 Web 应用程序服务器的内容。通过 WebSEAL 的请求由 Tivoli Access Manager 授权服务评估,以确定是否授权用户访问所请求的资源。
WebSEAL 提供以下功能:
回页首
WebSEAL 在安全域中实施安全性时,每个 Quickr 客户机必须提供其标识证明。接着,Tivoli Access Manager 安全策略确定是否许可客户机在所请求资源上执行操作。因为对安全域中每个 Quickr 资源的访问由 WebSEAL 控制,所以 WebSEAL 的认证和授权要求可提供全面的网络安全性。
在 Tivoli Access Manager 授权模型中,授权策略是独立于用户认证所用的机制而实施的。用户可以使用公用/专用密钥、安全密钥,也可以使用顾客定义的机制认证其身份。认证过程的一部分涉及凭证(描述客户机的身份)的创建。某个授权服务做出的授权决策是以用户凭证为基础的。
授权过程由以下基本组件组成:
下图阐述了完整的授权过程:
认证是一种确定尝试登录到安全域的单个进程或实体的方法。当服务器和客户机都要求认证时,该交换过程就是所谓的相互认证。
回页首
WebSEAL 服务器支持以下两种 SSL 连接:
如下图所示:
另外,Tivoli Access Manager 支持前端 WebSEAL 服务器和后端 WebSEAL 服务器之间的 SSL 联结。
客户端证书认证必须发生在安全套接字层(SSL)连接上。在证书认证过程之前建立 SSL 连接。可以在客户机尝试在 HTTP 上访问资源时建立 SSL 连接。当资源不需要认证访问时,该客户机将与 WebSEAL 服务器协商 SSL 会话。当客户机和服务器(WebSEAL)检查彼此的证书并接受签名权限的有效性时,建立 SSL 会话。
为了能够在新的 WebSEAL 服务器上建立 SSL 会话,WebSEAL 包含自签署的测试服务器证书。WebSEAL 可以将自签署的证书提供给客户机。如果客户机接受该证书,则建立 SSL 会话。此测试证书不适用于由 WebSEAL 服务器永久使用。虽然此测试证书允许 WebSEAL 响应启用 SSL 的浏览器请求,但不能由浏览器验证它。这是因为浏览器未包含适当的根 CA 证书 -- 就是当浏览器接收到任何自签署的证书,但对该证书不存在根 CA 证书的情况。因为此缺省证书的专用密钥包含在每个 WebSEAL 分发中,所以此证书不能提供真正的安全通信。
要确保通过 SSL 的安全通信,WebSEAL 管理员必须从信任的认证中心(CA)获得唯一的站点服务器证书。 可以使用 GSKit 中的 iKeyman 应用程序生成将发送到 CA 的证书请求。还可以使用 iKeyman 来安装和标注新的站点证书。
使用 WebSEAL 配置文件的 [ssl] 节中的 webseal-cert-keyfile-label
通过设置配置文件条目,可以实现以下控制:
SSL 联结功能是在 TCP 连接的 WebSEAL 联结的基础上完成的,它的附加功能是加密所有 WebSEAL 和后端服务器间的通信。SSL 联结允许安全的端到端的浏览器到应用程序的事务。可以使用 SSL 同时保护从客户机到 WebSEAL 以及从 WebSEAL 到后端服务器的通信。使用 SSL 联结时,后端服务器必须启用 HTTPS。
当客户机请求后端服务器上的资源时,WebSEAL 作为安全服务器,将代表客户机执行请求。SSL 协议指定了在对后端服务器提出请求时,服务器必须使用服务器端证书提供其身份证明。当 WebSEAL 从后端服务器接收到此证书时,它必须通过将证书与证书数据库中根 CA 证书列表对照来验证真实性。
Tivoli Access Manager 使用 SSL 的 IBM Global Security Kit(GSKit)实现。必须使用 GSKit iKeyman应用程序来添加 CA 的根证书,该 CA 签署了 WebSEAL 证书密钥文件(pdsvr.kdb)的后端服务器证书。
SSL 联结示例:
server task web1-webseald-cruz create -t ssl -h sales.tivoli.com /sales
注:-t ssl 选项规定了缺省端口 443。
Tivoli Access Manager 支持前端 WebSEAL 服务器和后端 WebSEAL 服务器之间的 SSL 联结。使用带 -C 选项的 create 命令可通过 SSL 联结两个 WebSEAL 服务器并提供相互认证。例如:
pdadmin> server task web1-webseald-cruz create -t ssl -C -h serverA /jctA
相互认证发生在以下两个前提下:
此外,-C 选项可以启用 -c 选项提供的单一注册功能。 -c 选项允许将特定于 Tivoli Access Manager 的客户机身份和组成员信息,放置到向后端 WebSEAL 服务器请求的 HTTP 头中。头参数包括:iv-user、iv-groups 和 iv-creds。
WebSEAL 至 WebSEAL 联结必须使用在以下环境中:
回页首
在 Lotus Quickr 解决方案中,Lotus Quickr 通常作为集成服务的一部分,而不是单一的应用程序为用户提供服务。同时 IBM Tivoli Access Manager 能对后台的多个Web应用程序服务器提供统一的认证、授权和单点登录。本章描述了在 Lotus Quickr、Lotus Connections 以及 Lotus Sametime 这一典型的客户环境中,WebSEAL 与 Web 服务器集成的场景。
集成后我们可以在 Lotus Quickr 服务器上实现以下功能:
回页首
pdadmin> server task default-webseald-[servername] create -t tcp -h [Lotus Quickr hostname] -p 80 -i -j -A –F [path to LTPA key] -Z [LTPA key password] /junction
例如:
pdadmin> server task default-webseald-TAM.yourcompany.com create -t tcp -h quickr.yourcompany.com -p 80 -i -j -A -F c:\sso -Z password /quickr
pdadmin > user import [-gsouser] <user-name> <dn></dn></user-name>
例如:
pdadmin> user import -gsouser manager10 "cn=manager ,ou=managers,ou=users,o=qdsvt,dc=yourcompany,dc=com"
pdadmin> user modify <user-name> account-valid {yes|no}</user-name>
例如:
pdadmin> user modify manager account-valid yes
表 1. Web SSO 配置文档
域 | 操作 |
---|---|
配置名称 | 保持默认名字 LtpaToken |
组织 | 不填写 |
DNS网络域 | (必须填写)输入生成的令牌所属的 DNS 网络域(如 yourcompany.com)。启用一次登录的所有服务器必须属于同一个 DNS 网络域。 |
Domino服务器名称 |
输入将参与一次登录的服务器的名称(例如,quickr/ibm,sametime/ibm)。此文档将针对文档创建者、“所有者”和“管理者”域的成员以及“Domino 服务器名称”域中指定的服务器进行加密。 此域中不允许出现群组、通配符和 WebSphere 服务器的名称。只有 Domino 服务器才能作为参与服务器在“服务器名称”域中列出。 注意 该域大小应不超过 64K。当达到该限制时(例如,当输入了几百个服务器的名称时),将出现错误消息。如果达到了此限制,则建议创建多个 Web SSO 文档。 |
到期时间(分钟) | 指定令牌有效的时间段(分钟)。此时间段从令牌发布的时间开始算起。令牌只在指定的分钟数内有效,也就是说其到期时间不基于闲置时间。缺省值为 30 分钟。 |