CA SiteMinder 集成 › 资源保护方式

资源保护方式

高级身份验证要求您在实施中使用 SiteMinder 策略服务器。 托管 CA Identity Manager 服务器的应用程序服务器所在的操作环境与 Web 服务器不同。 要提供转发服务，Web 服务器需要：

• 应用程序服务器供应商提供的插件。
• 保护“用户控制台”、“自行注册”和“忘记密码”功能等 CA Identity Manager 资源的 SiteMinder 代理。

Web 代理控制 请求 CA Identity Manager 资源的用户的访问权限。 在用户通过身份验证并获得授权后，Web 代理将允许 Web 服务器处理请求。

Web 服务器收到请求时，应用程序服务器插件会将其转发给托管 CA Identity Manager 服务器的应用程序服务器。

Web 代理保护用户和管理员可见的 CA Identity Manager 资源。

SiteMinder 与 CA Identity Manager 集成概述

在策略管理员和身份管理员协力将 SiteMinder 集成到现有 CA Identity Manager 安装时，CA Identity Manager 体系结构扩展为包括以下组件：

SiteMinder Web 代理

保护 CA Identity Manager 服务器。 Web 代理安装在 CA Identity Manager 服务器所在的系统中。

SiteMinder 策略服务器

向 CA Identity Manager 提供高级身份验证和授权。

下图是包含 SiteMinder 策略服务器和 Web 代理的 CA Identity Manager 安装示例：

注意：作为示例，组件被安装在了不同平台上。 但是，您可以选择其他平台。 CA Identity Manager 数据库安装在 Microsoft SQL Server 中，用户存储安装在 IBM 目录服务器中。 SiteMinder 策略存储安装在 Windows 的 AD LDS 中。

完成此过程需要两个角色：CA Identity Manager 身份管理员和 SiteMinder 策略管理员。 在一些组织中，这两个角色由一个人充任。 在两个人参与时，完成此方案中的步骤需要紧密的合作。 策略管理员开始并结束此过程；身份管理员完成中间的所有步骤。

重要说明！ 对于以 Release12.5 SP7 开始的 CA Identity Manager 安装，需要 Java Cryptography Extension Unlimited Strength Jurisdiction Policy Files（JCE 库）。 从 Oracle 网站下载这些库。 将其加载到以下文件夹：<Java_path>\<jdk_version>\jre\lib\security\。

下图说明了将 SiteMinder 集成到 CA Identity Manager 的完整过程：

遵循这些步骤:

1. 为 CA Identity Manager 配置 SiteMinder 策略存储。
2. 将 CA Identity Manager 架构导入策略存储。
3. 创建 SiteMinder 4.X 代理对象。
4. 导出 CA Identity Manager 目录和环境。
5. 删除所有目录和环境定义。
6. 启用 SiteMinder 策略服务器资源适配器。
7. 禁用本地 CA Identity Manager 框架身份验证筛选器。
8. 重新启动应用程序服务器。
9. 为 SiteMinder 配置数据源。
10. 导入目录定义。
11. 更新并导入环境定义。
12. 重新启动应用程序服务器。
13. 安装 Web 代理服务器插件。
14. 将 SiteMinder 代理与 CA Identity Manager 域关联。
15. 配置 SiteMinder LogOffUrl 参数。

为 CA Identity Manager 配置 SiteMinder 策略存储

作为策略管理员，您可以使用 CA Identity Manager 管理工具来访问 SQL 脚本或 LDAP 架构文本，以将 IMS 架构添加到策略存储中。 身份管理员应已将这些工具安装在了“Admin Tools”文件夹中。 按照以下步骤之一配置策略存储：

配置关系数据库

配置 Sun Java 系统目录服务器或 IBM 目录服务器

配置 Microsoft Active Directory

配置 Microsoft ADAM

配置 CA 目录服务器

配置 Novell eDirectory 服务器

配置 Oracle Internet 目录 (OID)

配置关系数据库

完成配置之后，您可以使用关系数据库作为 SiteMinder 策略存储。

遵循这些步骤:

1. 将数据库配置为支持的 SiteMinder 策略存储。

   注意：有关配置说明，请参阅《SiteMinder Policy Server Installation Guide》。

2. 针对数据库运行适当脚本：
   • SQL：C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftSQLServer\ims8_mssql_ps.sql
   • Oracle：/opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools/policystore-schemas/OracleRDBMS/ims8_oracle_ps.sql

   前面的路径是默认安装位置。 您的安装位置可能不同。

配置 Sun Java 系统目录服务器或 IBM 目录服务器

要配置 Java 或 IBM 目录服务器，请应用适当的架构文件。

遵循这些步骤:

1. 将此目录配置成受支持的 SiteMinder 策略存储。

   注意：有关配置说明，请参阅《CA SiteMinder Policy Server Installation Guide》。

2. 将适当的 LDIF 架构文件添加到目录中。 LDIF 文件的默认 Windows 位置是 C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas。

   为您的目录添加以下架构文件：

   • IBM 目录服务器：

     IBMDirectoryServer\V3.identityminder8

   • Sun Java 系统目录服务器 (iPlanet)：

     SunJavaSystemDirectoryServer\sundirectory_ims8.ldif

配置 Microsoft Active Directory

要配置 Microsoft Active Directory 策略存储，请应用 activedirectory_ims8.ldif 脚本。

遵循这些步骤:

1. 将此目录配置成受支持的 SiteMinder 策略存储。

   注意：有关配置说明，请参阅《CA SiteMinder Policy Server Installation Guide》。

2. 按如下所示修改 activedirectory_ims8.ldif 架构文件：
   1. 在文本编辑器中，打开 activedirectory_ims8.ldif 文件。 默认 Windows 位置为：

      C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftActiveDirectory

   2. 将 {root} 的所有实例替换为目录的根组织。

      该根组织必须与您在策略服务器管理控制台中配置策略存储时指定的根组织匹配。

      例如，如果根为 dc=myorg,dc=com，请将
      dn: CN=imdomainid6,CN=Schema,CN=Configuration,{root} 替换为 dn: CN=imdomainid6,CN=Schema,CN=Configuration,dc=myorg,dc=com

   3. 保存文件。
3. 按照文档中的说明为您的目录添加架构文件。

配置 Microsoft ADAM

要配置 Microsoft ADAM 策略存储，请应用 adam_ims8.ldif 脚本。

遵循这些步骤:

1. 将此目录配置成受支持的 SiteMinder 策略存储。

   注意：有关配置说明，请参阅《CA SiteMinder Policy Server Installation Guide》。

   记下 CN 值（guid 字符串）。

2. 按如下所示修改 adam_ims8.ldif 架构文件：
   1. 在文本编辑器中打开 adam_ims8.ldif\.ldif 文件。 默认 Windows 位置为：

      C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftActiveDirectory

   2. 将每个 cn={guid} 参考替换为您在此程序第 1 步中配置 SiteMinder 策略存储时发现的字符串。

      例如，如果 guid 字符串是 CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}，那么将每个 cn={guid} 参考替换为 CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}。

   3. 保存文件。
3. 按照文档中的说明为您的目录添加架构文件。

配置 CA 目录服务器

要配置 CA 目录服务器，请创建自定义架构文件。 在以下步骤中， dxserver_home 是 CA 目录的安装目录。 此文件在 Windows 中的默认源位置是 C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\eTrustDirectory。

遵循这些步骤:

1. 将此目录配置成受支持的 SiteMinder 策略存储。

   注意：有关配置说明，请参阅《CA SiteMinder Policy Server Installation Guide》。

2. 将 etrust_ims8.dxc 复制到 dxserver_home\config\schema。
3. 按如下所示创建自定义架构配置文件：
   1. 将 dxserver_home\config\schema\default.dxg 复制到 dxserver_home\config\schema\company_name-schema.dxg。
   2. 编辑 dxserver_home\config\schema\company_name-schema.dxg 文件，在文件底部添加以下行：

      # Identity Manager Schema
      source "etrust_ims8.dxc";
      

4. 编辑 dxserver_home\bin\schema.txt 文件，在文件结尾添加 etrust_ims_schema.txt 的内容。 此文件在 Windows 中的默认源位置是 C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\eTrustDirectory。
5. 按如下所示创建自定义限制配置文件：
   1. 将 dxserver_home\config\limits\default.dxc 复制到 dxserver_home\config\limits\company_name-limits.dxc。
   2. 按如下所示在 dxserver_home\config\limits\company_name-limits.dxc 文件中将默认大小限制增加为 5000：

      set max-op-size=5000
      

      注意：升级 CA 目录会覆盖 limits.dxc 文件。 因此，在升级完成后务必将 max-op-size 重置为 5000。

6. 按如下所示编辑 dxserver_home\config\servers\dsa_name.dxi：

   # 架构
   source "company_name-schema.dxg";
   
   #service limits
   source "company_name-limits.dxc";
   

   其中，dsa_name 是使用自定义配置文件的 DSA 的名称。

7. 运行 dxsyntax 实用工具。
8. 作为 dsa 用户停止并重新启动 DSA，以便使架构更改生效，如下所示：

   dxserver stop dsa_name
   dxserver start dsa_name
   

配置 Novell eDirectory 服务器

要配置 Novell eDirectory 服务器策略存储，请应用 novell_ims8.ldif 脚本。

遵循这些步骤:

1. 将此目录配置成受支持的 SiteMinder 策略存储。

   注意：有关配置说明，请参阅《CA SiteMinder Policy Server Installation Guide》。

2. 在安装策略服务器的系统的命令窗口中输入以下信息，查找您的 Novell eDirectory 服务器的 NCPServer 的识别名称 (DN)：

   ldapsearch -h hostname -p port -b container -s sub 
   -D admin_login -w password objectClass=ncpServer dn
   

   例如：

   ldapsearch -h 192.168.1.47 -p 389 -b "o=nwqa47container" -s sub -D "cn=admin,o=nwqa47container" -w password objectclass=ncpServer dn
   

3. 打开 novell_ims8.ldif 文件。
4. 将每个 NCPServer 变量替换为您在第 2 步中找到的值。

   novell_ims8.ldif 在 Windows 中的默认位置是：

   C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\NovelleDirectory

   例如，如果 DN 值是“cn=servername,o=servercontainer”，则您应将 NCPServer 的每个实例替换为“cn=servername,o=servercontainer”。

5. 使用 novell_ims8.ldif 文件更新 eDirectory 服务器。

   有关说明，请参阅 Novell eDirectory 文档。

配置 Oracle Internet 目录 (OID)

要配置 Oracle Internet 目录，请更新 oracleoid ldif 文件。

遵循这些步骤:

1. 将此目录配置成受支持的 SiteMinder 策略存储。

   注意：有关配置说明，请参阅《CA SiteMinder Policy Server Installation Guide》。

2. 使用 oracleoid_ims8.ldif 文件更新 Oracle Internet 目录服务器。 此文件在 Window 中的默认安装位置是：

   install_path\policystore-schemas\OracleOID\

   有关说明，请参阅 Oracle Internet 目录文档。

验证策略存储

要验证策略存储，请确认下列几点：

• 您的策略服务器日志不包含以下列代码开始的警告部分：

  *** IMS NO SCHEMA BEGIN
  

  只有在您已经为 SiteMinder 策略服务器安装扩展，但却没有扩展策略存储架构时，此警告才会出现。

• 策略存储数据库或目录中存在 CA Identity Manager 对象。 CA Identity Manager 对象以 ims 前缀开始。