配置 CA EEM 授权

保护 Introscope › 使用 CA EEM 保护 Introscope › 配置 CA EEM 授权

配置 CA EEM 授权

如果将 CA EEM 用作授权领域，则必须在 CA EEM 服务器上配置 APM 应用程序以及 APM 用户、组和权限。可以通过以下方法之一实现该操作：

CA EEM Safex 实用工具
Safex 是 CA EEM 提供的命令行界面 (CLI) 实用工具。 Safex 运行 XML 脚本以在 CA EEM 中注册应用程序并创建用户和组。

CA APM 提供了一个示例 Safex 脚本，该脚本可创建具有默认的 APM 全局用户、资源和权限的 APM 应用程序。
也可以使用 Safex 脚本将数据从 CA EEM 导出到 xml 文件。有关详细信息，请参阅《CA Embedded Entitlements Manager 编程指南》。
CA EEM 界面
有关使用 CA EEM 界面的信息，请参阅《CA Embedded Entitlements Manager 入门指南》和《CA Embedded Entitlements Manager 联机帮助》。

有关部署示例，请参阅知识库文章 TEC534188: CA Wily APM security example: Setting up CA Wily APM users, groups, and resources in CA EEM（CA Wily APM 安全性设置示例：在 CA EEM 中设置 CA Wily APM 用户、组和资源）。

访问 CA EEM 界面：

如果您具有访问权限，则可以登录到 CA EEM 以配置 APM 应用程序以及 APM 用户、组和权限。

在 CA EEM 中登录到 APM 应用程序。
1. 在 CA EEM 登录页面上，从“应用程序:”下拉列表中单击 APM 或您注册的应用程序的名称。
2. 输入登录名和密码。
APM 应用程序的默认登录名为 EiamAdmin。

以非 FIPS 模式配置 APM-CA EEM 集成：

注意：可以使用 EEM 安装位置处的 igateway.conf 文件中的 <FIPSMode>OFF</FIPSMode> 将 FIPS 模式设置为“OFF”，以非 FIPS 模式设置 EEM 服务器。此文件的默认安装位置是 C:\ProgramFiles\CA\SharedComponents\iTechnology。

配置 eiam.config 和 eiam.log4j.config 文件。
- 在 <EM install>\config 目录中打开 eiam.config 和 eiam.log4j.config 文件。
- 确认 FIPS 模式已设为 OFF 并显示为 <FIPSMode>OFF</FIPSMode>。默认模式为“OFF”。
将摘要算法设置为下列任一算法：
- MD5（默认）
- SHA1
- SHA256
- SHA384
- SHA512
此时 APM-EEM 集成将配置为非 FIPS 模式。

以 FIPS 模式配置 APM-CA EEM 集成：

注意：可以使用 EEM 安装位置处的 igateway.conf 文件中的 <FIPSMode>ON</FIPSMode> 将 FIPS 模式设置为“ON”，以 FIPS 模式设置 EEM 服务器。此文件的默认安装位置是 C:\Program Files\CA\SharedComponents\iTechnology。

配置 eiam.config 和 eiam.log4j.config 文件。
- 在 <EM install>\config 目录中打开 eiam.config 和 eiam.log4j.config 文件。
- 通过将 <FIPSMode>OFF</FIPSMode> 更改为 <FIPSMode>ON</FIPSMode>，将 FIPS 模式设置为 ON。
将摘要算法设置为下列任一算法：
- SHA1
- SHA256
- SHA384
- SHA512
此时 APM-EEM 集成将配置为 FIPS 模式。

配置 CA EEM 授权：

重要信息！ 如果将 CA EEM 用于授权，则企业管理器必须附加到 CA EEM 中的至少一个应用程序。 CA EEM 使用应用程序来存储定义权限的访问策略和资源类。

重要信息！ 在将 CA EEM 服务器连接到外部用户目录（如 LDAP 或 SiteMinder）后，将无法在 CA EEM 中创建或添加全局用户。如果 CA EEM 服务器与 LDAP 或 SiteMinder 服务器集成进行身份验证，则可以在 LDAP 或 SiteMinder 中（而非 CA EEM 中）设置用户和组，或在 LDAP 或 SiteMinder 中更改用户和组 CA EEM 访问策略。

重要信息！ eem.register.app.xml 脚本不包括设置配置为使用 LDAP 或 SiteMinder 进行身份验证的 CA EEM 的示例代码。

请执行以下步骤：

配置 realms.xml 文件进行 CA EEM 授权。
1. 打开位于 <EM_Home>/config 目录中的 realms.xml 文件。
2. 确认 appname 属性设置为 CA EEM 中企业管理器将附加到的 APM 应用程序的名称。例如，APM。
  使用在步骤 2a 中配置 CA EEM 服务器时所使用的相同应用程序名称。
3. 确认 enableAuthorization 属性设置为 True。
4. 保存 realms.xml 文件。
5. 重新启动企业管理器以应用 realms.xml 更改。
创建并运行一个或多个 Safex 脚本，用于加载 APM 应用程序、组、用户、资源类、域和服务器资源。
CA Technologies 在 <EM_Home>/examples/authentication 目录中提供了以下 Safex 脚本示例：

eem.register.app.xml

注册默认的 APM 应用程序。

eem.unregister.app.xml

注销默认的 APM 应用程序。

eem.add.global.identities.xml

添加默认的 APM 全局用户。

eem.remove.global.identities.xml

删除默认的 APM 用户。

注意：CA Technologies 建议修改 eem.register.app.xml 和 eem.add.global.identities.xml，以用作设置 CA EEM 授权部署的基本脚本。运行这些脚本可满足设置 CA EEM 授权所需的要求。
1. 在 Safex 脚本中配置以下 CA EEM 安全元素。
  - 应用程序。请参阅在 CA EEM 中注册 APM 应用程序
  - 组。请参阅在 CA EEM 中创建和删除 APM 组
  - 用户。请参阅在 CA EEM 中创建和删除 APM 用户
  注意：CA EEM 不支持空密码，因此每次在 CA EEM 中创建用户时都必须提供密码。
  - 资源类。请参阅在 CA EEM 中创建和删除 APM 资源类
  - 域资源权限。请参阅在 CA EEM 中创建和删除 APM 资源类
  - 服务器资源权限。请参阅创建和删除 CA EEM APM 服务器资源访问策略
2. 可选：如果不使用 eem.register.app.xml 文件作为 CA EEM 配置脚本的基础，请使用 CA EEM 界面配置 CA EEM 服务器来满足以下条件：
- 创建两个资源类：域资源类和服务器资源类。
  资源类必须具有与 Introscope 中可用权限匹配的操作列表。例如，对于服务器权限，Introscope 操作是 shutdown、publish_mib 和 full。有关详细信息，请参阅创建和删除 CA EEM APM 域资源访问策略以及创建和删除 CA EEM APM 服务器资源访问策略。
- 创建一组策略。策略定义资源类、一个或多个操作、一个或多个身份以及零个或更多资源。
  - 资源是某个特定资源的名称，例如超级域。如果没有指定任何资源，则策略将应用于该资源类的所有实例。 服务器资源类的策略不应有资源，因为该资源类是孤立的。
  - Identity 是组的名称。
- 使用前缀 ug: 指定特定于应用程序的用户组，如果适用于您的部署，可以使用 gug: 指定全局用户组。
导航到 <EEM_Server> 目录，该目录一般位于以下位置：
```
C:\Program Files\CA\SharedComponents\iTechnology
```

在命令提示符下，运行以下命令：

C:\Program Files\CA\SharedComponents\iTechnology\safex.exe -h hostname -u username -p password -f <mySafexScriptname>.xml

例如，

C:\Program Files\CA\SharedComponents\iTechnology\safex.exe -h hostname -u username -p password -f eem.register.app.xml

该脚本会运行并加载到您定义的 CA EEM 配置值中。

登录到 CA EEM 并查看 APM 应用程序、组、用户、资源类以及域和服务器资源，还有关联的权限。
1. 单击“配置”选项卡可查看 APM 应用程序的列表。
2. 单击“管理身份”选项卡可查看 APM 组和用户。
3. 单击“管理访问策略”选项卡可查看 APM 资源类以及域和服务器资源。