Integration von CA SiteMinder › So schützen Sie Ressourcen

So schützen Sie Ressourcen

Für die erweiterte Authentifizierung benötigen Sie einen SiteMinder-Richtlinienserver in Ihrer Implementierung. Der Anwendungsserver, der den CA Identity Manager-Server hostet, befindet sich in einer anderen Betriebsumgebung als der Webserver. Um den Weiterleitungsdienst bereitzustellen, benötigt der Webserver Folgendes:

• Ein vom Hersteller des Anwendungsservers bereitgestelltes Plug-in.
• Einen SiteMinder-Agenten, um die CA Identity Manager-Ressourcen zu schützen, z. B. eine Benutzerkonsole oder Funktionen für die Selbstregistrierung oder für vergessene Kennwörter.

Der Web-Agent steuert den Zugriff von Benutzern, die CA Identity Manager-Ressourcen anfordern. Nachdem die Benutzer authentifiziert und autorisiert wurden, lässt der Web-Agent zu, dass der Webserver die Anforderungen verarbeitet.

Wenn der Webserver die Anforderung empfängt, leitet das Anwendungsserver-Plug-in diese an den Anwendungsserver weiter, der den CA Identity Manager-Server hostet.

Der Web-Agent schützt die CA Identity Manager-Ressourcen, die für Benutzer und Administratoren offengelegt werden.

Übersicht über die Integration von SiteMinder und CA Identity Manager

Wenn der Richtlinienadministrator und der Identitätsadministrator zusammenarbeiten, um SiteMinder in eine vorhandene CA Identity Manager-Installation zu integrieren, wird die CA Identity Manager-Architektur um die folgenden Komponenten erweitert:

SiteMinder-Web-Agent

Schützt den CA Identity Manager-Server. Der Web-Agent wird auf dem System mit dem CA Identity Manager-Server installiert.

SiteMinder-Richtlinienserver

Stellt eine erweiterte Authentifizierung und Autorisierung für CA Identity Manager bereit.

Die folgende Abbildung zeigt ein Beispiel für eine CA Identity Manager-Installation mit einem SiteMinder-Richtlinienserver und -Web-Agenten:

Hinweis: Die Komponenten werden als Beispiele auf unterschiedlichen Plattformen installiert. Allerdings können Sie andere Plattformen wählen. Die CA Identity Manager-Datenbanken befinden sich auf Microsoft SQL Server und der Benutzerspeicher auf IBM Directory Server. Der SiteMinder-Richtlinienspeicher befindet sich auf AD LDS unter Windows.

Für diesen Prozess werden zwei Rollen benötigt: der CA Identity Manager-Identitätsadministrator und der SiteMinder-Richtlinienadministrator. In manchen Organisationen hat eine Person beide Rollen inne. Wenn zwei Personen an dem Prozess beteiligt sind, ist für die Verfahren in diesem Szenario eine enge Zusammenarbeit erforderlich. Der Richtlinienadministrator beginnt und beendet diesen Prozess, während der Identitätsadministrator die Schritte dazwischen ausführt.

Wichtig! Für CA Identity Manager-Installationen ab Release 12.5 SP7 werden Java Cryptography Extension Unlimited Strength Jurisdiction Policy Files (JCE-Bibliotheken) benötigt. Laden Sie diese Bibliotheken von der Oracle-Website herunter. Laden Sie sie in den folgenden Ordner: <Java_path>\<jdk_version>\jre\lib\security\.

Das folgende Diagramm veranschaulicht den gesamten Prozess zur Integration von SiteMinder und CA Identity Manager:

Gehen Sie wie folgt vor:

1. Konfigurieren Sie den SiteMinder-Richtlinienspeicher für CA Identity Manager.
2. Importieren Sie das CA Identity Manager-Schema in den Richtlinienspeicher.
3. Erstellen Sie ein SiteMinder 4.X-Agentenobjekt.
4. Exportieren Sie die CA Identity Manager-Verzeichnisse und -Umgebungen.
5. Löschen Sie alle Verzeichnis- und Umgebungsdefinitionen.
6. Aktivieren Sie den Ressourcenadapter des SiteMinder-Richtlinienservers.
7. Deaktivieren Sie den systemeigenen CA Identity Manager Framework Authentication Filter.
8. Starten Sie den Anwendungsserver neu.
9. Konfigurieren Sie eine Datenquelle für SiteMinder.
10. Importieren Sie die Verzeichnisdefinitionen.
11. Aktualisieren und importieren Sie die Umgebungsdefinitionen.
12. Starten Sie den Anwendungsserver neu.
13. Installieren Sie das Web-Proxy-Server-Plug-in.
14. Ordnen Sie den SiteMinder-Agenten einer CA Identity Manager-Domäne zu.
15. Konfigurieren Sie den Parameter "LogOffUrl" in SiteMinder.

Konfigurieren des SiteMinder-Richtlinienspeichers für CA Identity Manager

Als Richtlinienadministrator verwenden Sie die CA Identity Manager-Verwaltungstools, um auf SQL-Skripte oder LDAP-Schematext zuzugreifen und das IMS-Schema dem Richtlinienspeicher hinzuzufügen. Der Identitätsadministrator hat diese Tools im Ordner "Admin Tools" installiert. Führen Sie eines der folgenden Verfahren durch, um den Richtlinienspeicher zu konfigurieren:

Konfigurieren einer relationalen Datenbank

Konfigurieren von Sun Java Systems Directory Server oder IBM Directory Server

Konfigurieren von Microsoft Active Directory

Konfigurieren von Microsoft ADAM

Konfigurieren von CA Directory Server

Konfigurieren von Novell eDirectory Server

Konfigurieren von Oracle Internet Directory (OID)

Konfigurieren einer relationalen Datenbank

Nach der Konfiguration können Sie die relationale Datenbank als SiteMinder-Richtlinienspeicher verwenden.

Gehen Sie wie folgt vor:

1. Konfigurieren Sie die Datenbank als einen unterstützten SiteMinder-Richtlinienspeicher.

   Hinweis: Anweisungen zur Konfiguration finden Sie im Installationshandbuch zum SiteMinder-Richtlinienserver.

2. Führen Sie das entsprechende Skript für Ihre Datenbank aus:
   • SQL: C:\Programme\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftSQLServer\ims8_mssql_ps.sql
   • Oracle: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools/policystore-schemas/OracleRDBMS/ims8_oracle_ps.sql

   Die vorangehenden Pfade sind die Standardinstallationsverzeichnisse. Der Speicherort für Ihre Installation kann hiervon abweichen.

Konfigurieren von Sun Java Systems Directory Server oder IBM Directory Server

Zum Konfigurieren eines Java oder IBM Verzeichnisservers wenden Sie die entsprechende Schemadatei an.

Gehen Sie wie folgt vor:

1. Konfigurieren Sie das Verzeichnis als unterstützten SiteMinder-Richtlinienspeicher.

   Hinweis: Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder-Richtlinienserver.

2. Fügen Sie dem Verzeichnis die entsprechende LDIF-Schemadatei hinzu. Der Standardspeicherort für die LDIF-Dateien unter Windows ist "C:\Programme\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas".

   Fügen Sie die folgenden Schemadateien für Ihr Verzeichnis hinzu:

   • IBM Directory Server:

     IBMDirectoryServer\V3.identityminder8

   • Sun Java Systems Directory Server (iPlanet):

     SunJavaSystemDirectoryServer\sundirectory_ims8.ldif

Konfigurieren von Microsoft Active Directory

Um einen Microsoft Active Directory-Richtlinienspeicher zu konfigurieren, wenden Sie das Skript "activedirectory_ims8.ldif" an.

Gehen Sie wie folgt vor:

1. Konfigurieren Sie das Verzeichnis als unterstützten SiteMinder-Richtlinienspeicher.

   Hinweis: Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder-Richtlinienserver.

2. Ändern Sie die Schemadatei "activedirectory_ims8.ldif" wie folgt:
   1. Öffnen Sie die Datei "activedirectory_ims8.ldif" in einem Texteditor. Der Standardspeicherort unter Windows ist:

      C:\Programme\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftActiveDirectory

   2. Ersetzen Sie alle Instanzen von "{root}" durch die Stammorganisation für das Verzeichnis.

      Die Stammorganisation muss mit der Stammorganisation übereinstimmen, die Sie beim Konfigurieren des Richtlinienspeichers in der Richtlinienserver-Management-Konsole angegeben haben.

      Wenn zum Beispiel die Stammorganisation "dc=myorg,dc=com" ist, ersetzen Sie "
      dn: CN=imdomainid6,CN=Schema,CN=Configuration,{root}" durch "dn: CN=imdomainid6,CN=Schema,CN=Configuration,dc=myorg,dc=com".

   3. Speichern Sie die Datei.
3. Fügen Sie die Schemadatei entsprechend der Beschreibung in der Dokumentation zu Ihrem Verzeichnis hinzu.

Konfigurieren von Microsoft ADAM

Um einen Microsoft ADAM-Richtlinienspeicher zu konfigurieren, wenden Sie das Skript "adam_ims8.ldif" an.

Gehen Sie wie folgt vor:

1. Konfigurieren Sie das Verzeichnis als unterstützten SiteMinder-Richtlinienspeicher.

   Hinweis: Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder-Richtlinienserver.

   Notieren Sie den CN-Wert (die GUID).

2. Ändern Sie die Schemadatei "adam_ims8.ldif" wie folgt:
   1. Öffnen Sie die Datei "adam_ims8.ldif" in einem Texteditor. Der Standardspeicherort unter Windows ist:

      C:\Programme\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftActiveDirectory

   2. Ersetzen Sie jeden Verweis auf "cn={guid}" durch die Zeichenfolge, die Sie beim Konfigurieren des SiteMinder-Richtlinienspeichers in Schritt 1 dieses Verfahrens notiert haben.

      Wenn zum Beispiel die GUID-Zeichenfolge "CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}" ist, dann ersetzen Sie jeden Verweis auf "cn={guid}" durch "CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}".

   3. Speichern Sie die Datei.
3. Fügen Sie die Schemadatei entsprechend der Beschreibung in der Dokumentation zu Ihrem Verzeichnis hinzu.

Konfigurieren von CA Directory Server

Um CA Directory Server zu konfigurieren, erstellen Sie eine benutzerdefinierte Schemadatei. In den nachfolgenden Schritten ist dxserver_home das Verzeichnis, in dem CA Directory installiert ist. Das Standardinstallationsverzeichnis für diese Datei unter Windows ist "C:\Programme\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\eTrustDirectory".

Gehen Sie wie folgt vor:

1. Konfigurieren Sie das Verzeichnis als unterstützten SiteMinder-Richtlinienspeicher.

   Hinweis: Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder-Richtlinienserver.

2. Kopieren Sie die Datei "etrust_ims8.dxc" in das Verzeichnis "dxserver_home\config\schema".
3. Erstellen Sie wie folgt eine benutzerdefinierte Schemakonfigurationsdatei:
   1. Kopieren Sie die Datei "dxserver_home\config\schema\default.dxg" nach "dxserver_home\config\schema\company_name-schema.dxg".
   2. Bearbeiten Sie die Datei "dxserver_home\config\schema\company_name-schema.dxg", indem Sie am Ende der Datei die folgenden Zeilen einfügen:

      # Identity Manager Schema
      source "etrust_ims8.dxc";
      

4. Bearbeiten Sie die Datei "dxserver_home\bin\schema.txt", indem Sie den Inhalt der Datei "etrust_ims_schema.txt" am Ende der Datei einfügen. Das Standardinstallationsverzeichnis für diese Datei unter Windows ist "C:\Programme\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\eTrustDirectory".
5. Erstellen Sie wie folgt eine benutzerdefinierte Beschränkungskonfigurationsdatei:
   1. Kopieren Sie die Datei "dxserver_home\config\limits\default.dxc" nach "dxserver_home\config\limits\company_name-limits.dxc".
   2. Erhöhen Sie die Standardgrößenbeschränkung in der Datei "dxserver_home\config\limits\company_name-limits.dxc" wie folgt auf 5.000:

      set max-op-size=5000
      

      Hinweis: Beim Upgrade von CA Directory wird die Datei "limits.dxc" überschrieben. Stellen Sie daher sicher, dass Sie nach Abschluss des Upgrades den Wert von "max-op-size" auf 5.000 zurücksetzen.

6. Bearbeiten Sie die Datei "dxserver_home\config\servers\dsa_name.dxi" wie folgt:

   # schema
   source "company_name-schema.dxg";
   
   #service limits
   source "company_name-limits.dxc";
   

   Dabei steht dsa_name für den Namen des DSA bei Verwendung der angepassten Konfigurationsdateien.

7. Führen Sie das Dienstprogramm "dxsyntax" aus.
8. Halten Sie wie folgt den DSA an, und starten Sie ihn als DSA-Benutzer neu, damit die Schemaänderungen wirksam werden::

   dxserver stop dsa_name
   dxserver start dsa_name
   

Konfigurieren von Novell eDirectory Server

Um einen Novell eDirectory Server-Richtlinienspeicher zu konfigurieren, wenden Sie das Skript "novell_ims8.ldif" an.

Gehen Sie wie folgt vor:

1. Konfigurieren Sie das Verzeichnis als unterstützten SiteMinder-Richtlinienspeicher.

   Hinweis: Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder-Richtlinienserver.

2. Suchen Sie den definierten Namen (DN) des NCPServer für Novell eDirectory Server, indem Sie die folgenden Informationen in ein Befehlsfenster auf dem System eingeben, auf dem der Richtlinienserver installiert ist:

   ldapsearch -h hostname -p port -b container -s sub 
   -D admin_login -w password objectClass=ncpServer dn
   

   Beispiel:

   ldapsearch -h 192,168.1,47 -p 389 -b "o=nwqa47container" -s sub -D "cn=admin,o=nwqa47container" -w password objectclass=ncpServer dn
   

3. Öffnen Sie die Datei "novell_ims8.ldif"..
4. Ersetzen Sie jede NCPServer-Variable durch den in Schritt 2 ermittelten Wert.

   Der Standardspeicherort der Datei "novell_ims8.ldif" unter Windows ist:

   C:\Programme\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\NovelleDirectory

   Wenn zum Beispiel der DN-Wert "cn=servername,o=servercontainer" ist, würden Sie jede Instanz von NCPServer durch "cn=servername,o=servercontainer" ersetzen.

5. Aktualisieren Sie eDirectory Server mit der Datei "novell_ims8.ldif".

   Anweisungen hierzu finden Sie in der Dokumentation zu Novell eDirectory.

Konfigurieren von Oracle Internet Directory (OID)

Um Oracle Internet Directory zu konfigurieren, aktualisieren Sie die Datei "oracleoid.ldif".

Gehen Sie wie folgt vor:

1. Konfigurieren Sie das Verzeichnis als unterstützten SiteMinder-Richtlinienspeicher.

   Hinweis: Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder-Richtlinienserver.

2. Aktualisieren Sie Oracle Internet Directory Server mit der Datei "oracleoid_ims8.ldif". Das Standardinstallationsverzeichnis für diese Datei unter Windows ist:

   install_path\policystore-schemas\OracleOID\

   Anweisungen hierzu finden Sie in der Dokumentation zu Oracle Internet Directory.

Prüfen des Richtlinienspeichers

Um den Richtlinienspeicher zu prüfen, bestätigen Sie die folgenden Punkte:

• Das Richtlinienserverprotokoll enthält keinen Abschnitt mit Warnungen, der mit dem folgenden Code beginnt:

  *** IMS NO SCHEMA BEGIN
  

  Diese Warnung wird nur angezeigt, wenn Sie die Erweiterungen für den SiteMinder-Richtlinienserver installiert, aber das Richtlinienspeicherschema nicht erweitert haben.

• Die CA Identity Manager-Objekte sind in der Datenbank oder dem Verzeichnis des Richtlinienspeichers vorhanden. Die CA Identity Manager-Objekte fangen mit dem Präfix "ims" an.