第 3 章 構成手順
パート 5: 管理ポリシーのマイグレーション
WebSphere Application Server バージョン 5.1 では、追加のコンソール・ポリシー定 義ファイルを Tivoli Access Manager にマイグレーションする必要があります。マ イグレーション・ユーティリティーは %WAS_HOME%¥bin ディレクトリーに入ってい ます。
必要なすべてのポリシーをマイグレーションするには (Windows の場合)、以下のコ マンドを実行する必要があります (切れ目のない 1 行として)。
UNIX
注: WebSphere on AIX のデフォルト・ロケーションは /usr/WebSphere/AppServer です。
migrateEAR5
-j /opt/WebSphere/AppServer/installedApps/cellname/adminconsole.ear -a sec_master -p sec_master_pwd
-w was_admin_uid -e "adminconsole"
-d "o=ibm,c=us"
-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties -e adminconsole
migrateEAR5
-j /opt/WebSphere/AppServer/config/cells/cellname/admin-authz.xml -a sec_master -p sec_master_pwd
-w was_admin_uid -d "o=ibm,c=us"
-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties
migrateEAR5
-j /opt/WebSphere/AppServer/config/cells/cellname/naming-authz.xml -a sec_master -p sec_master_pwd
-w was_admin_uid -d "o=ibm,c=us"
-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties Windows
migrateEAR5
-j "c:¥Program Files¥WebSphere¥AppServer¥installedApps¥
cellname¥adminconsole.ear -a sec_master -p sec_master_pwd -w was_admin_uid
-d "o=ibm,c=us" -c file:/"c:¥Program Files¥WebSphere¥AppServer¥
java¥jre¥PdPerm.properties"
-e adminconsole migrateEAR5
-j "c:¥Program Files¥WebSphere¥AppServer¥config¥cells¥
cellname¥admin-authz.xml"
-a sec_master -p sec_master_pwd -w was_admin_uid -d "o=ibm,c=us"
-c file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties"
migrateEAR5
-j "c:¥Program Files¥WebSphere¥AppServer¥config¥cells¥
cellname¥naming-authz.xml"
-a sec_master -p sec_master_pwd -w was_admin_uid -d "o=ibm,c=us"
-c file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties"
adminconsole.ear ファイルのマイグレーションには -e オプションが必要です。そ
れは、WebSphere Application Server がデプロイメント中にこのアプリケーションを 名前変更するからです。
追加インストールの構成
ここでは、Tivoli Access Manager for WebSphere の追加インストールを Tivoli
Access Manager セキュア・ドメインに構成する方法について説明します。
このセクションでの説明は、以下を想定しています。
v 29ページの『初期インストールの構成』で指示されている処理を正常に完了し た。
上記の手順を完了することによって、セキュリティー情報が admin.ear ファイル から Tivoli Access Manager にマイグレーションされ (WebSphere Application Server バージョン 4.0.6 を使用している場合)、または adminconsole.ear ファイ ルから Tivoli Access Manager にマイグレーションされます (WebSphere
Application Server バージョン 5.0.2 を使用している場合)。
v Tivoli Access Manager for WebSphere を、以前に構成した初期ホスト・システム
とは別の (追加の) ホスト・システム上にインストールした。これで、追加のホス
ト・システム上に Tivoli Access Manager for WebSphere を構成する準備が完了し ました。
注: 事前に 29ページの『初期インストールの構成』のセクションを完了していな ければ、このセクションの指示を使用しないでください。
これらの指示は、セキュリティー情報を追加の EAR ファイルからマイグレーショ ンする方法については説明していません。追加の EAR ファイルのマイグレーショ ンは、このセクションの構成手順とは別に完了することができます。 EAR ファイ ルのマイグレーションについての詳細は、 49ページの『第 4 章 セキュリティー 役割のマイグレーション』を参照してください。
以下の図に、構成手順が要約されています。
以下のセクションに、構成手順が記載されています。
v 『パート A-1: Access Manager Java Runtime Environment の構成』
v 47ページの『パート A-2: セキュア・ドメインへの結合』
パート A-1: Access Manager Java Runtime Environment の 構成
IBM WebSphere Application Server と共に配布された Java ランタイムにアクセスす るように Access Manager Java Runtime Environment コンポーネントを構成しま す。
注: Access Manager Java Runtime Environment は、Tivoli Access Manager for
WebSphere の前提ソフトウェアです。
Access Manager Java Runtime Environment は、Tivoli Access Manager Base 構成 GUI を使用して構成することもできるし、pdjrtecfg コマンドを使用してコマンド 行から構成することもできます。 Access Manager Java Runtime Environment を Access Manager Base 構成 GUI から構成するには、次のようにします。
1. ディレクトリーを以下のロケーションに変更します。
v (UNIX) /opt/PolicyDirector/bin
v (Windows) C:¥Program Files¥Tivoli¥Policy Director¥bin 2. 以下のコマンドを入力します。
pdconfig
「Access Manager 構成」画面が表示され、Java ランタイムの構成が可能になり
ます。
図6. 追加の Tivoli Access Manager for WebSphere システムの構成作業
Access Manager Java Runtime Environment コンポーネントをコマンド行から構成す るには、次のようにします。
1. 環境変数 WAS_HOME が IBM WebSphere Application Server のホーム・ディレク トリーに設定されていることを確認します。
2. ディレクトリーを以下のロケーションに変更します。
v (UNIX) /opt/PolicyDirector/sbin
v (Windows) C:¥Program Files¥Tivoli¥Policy Director¥sbin 3. 以下のコマンドを入力します。
v (UNIX) pdjrtecfg -action config -java_home $WAS_HOME/java/jre v (Windows) pdjrtecfg -action config -java_home %WAS_HOME%¥java¥jre 注: PATH 変数の最初に表示される java バイナリーのロケーションが、
pdjrtecfg オプション -java_home pathname に指定した java バイナリーの ロケーションと一致していることを確認します。
パート A-2: セキュア・ドメインへの結合
以下のステップを完了します。
1. WebSphere Application Server を停止します。
2. 以下の情報を集めます。
v Tivoli Access Manager for WebSphere アプリケーションのユーザー ID として 使用するユーザー・アカウントの名前。この後のコマンド例では、
pdperm2admin という ID を使用しています。これには、任意の名前を選択で
きます。
注: Tivoli Access Manager セキュア・ドメイン内の既存の ID を使用するこ ともできますし、新規の ID を作成することもできます。ほとんどの場合 は、現在構成中のホスト・システム上の Tivoli Access Manager for
WebSphere コンポーネントを表す、新規の固有 ID を作成することになる
でしょう。
v sec_master アカウントのパスワード。
v ポリシー・サーバーのホストとなるコンピューターの完全修飾ドメイン名。
(たとえば、pdmgrserver.mysubnet.ibm.com)
v 許可サーバーのホストとなるコンピューターの完全修飾ドメイン名。 (たとえ ば、pdacldserver.mysubnet.ibm.com)
3. WAS_HOME 環境変数を WebSphere Application Server インストール・ディレクト リーに設定するには、ディレクトリーを WebSphere_install_directory/bin に 移動して次のコマンドを実行します。
UNIX
setupCmdLine.sh Windows
setupCmdLine.bat
4. UNIX プラットフォームでは、PDWAS_HOME 環境変数を Tivoli Access Manager
for WebSphere のインストール・ディレクトリーに設定します。 Windows プラ
ットフォームでは、PDWAS_HOME がすでに環境に存在しています。
UNIX
PDWAS_HOME=/opt/amwas export PDWAS_HOME
5. ディレクトリーを以下のロケーションに変更します。
v UNIX: /opt/amwas/bin
v Windows: C:¥Program Files¥Tivoli¥amwas¥sbin
6. 前に組み立てた例示パラメーターをもとに、使用している WebSphere Application Server のバージョンに応じて、-action configWAS4 または
configWAS5 パラメーターのいずれかを使用して、次のコマンドを 1 行の切れ
目のないコマンド行として 入力します。
pdwascfg -action configWASversion_number -remote_acl_user pdperm2admin
-sec_master_pwd myPassWord
-pdmgrd_host pdmgrserver.mysubnet.ibm.com -pdacld_host pdacldserver.mysubnet.ibm.com -was_home c:¥WebSphere¥AppServer
[-amwas_home location_of_the_amwas_installation]
7. pdwascfg コマンドによって PdPerm プロパティー・ファイルが正常に作成され たことを確認してください。
v Solaris、Linux、HP-UX
/opt/WebSphere/AppServer/java/jre/PdPerm.properties
v AIX
/usr/WebSphere/AppServer/java/jre/PdPerm.properties v Windows
– WebSphere Application Server バージョン 4.0.6 C:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties – WebSphere Application Server バージョン 5.0.2
C:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties
注: 上記のパス名は、WebSphere Application Server のデフォルトのインストー ル・ディレクトリーを想定しています。デフォルト・ロケーション以外の場 所にインストールした場合は、それに応じてパス名を調整してください。