Integrazione di CA SiteMinder › Modalità di protezione delle risorse

Modalità di protezione delle risorse

L'autenticazione avanzata richiede l'utilizzo di un Policy Server di SiteMinder nell'implementazione in uso. Il server applicazioni in cui risiede il server di CA Identity Manager è un ambiente operativo diverso dal server Web. Per fornire servizi di inoltro, il server Web richiede:

• Un plug-in messo a disposizione dal fornitore del server applicazioni.
• Un agente di SiteMinder per proteggere le risorse di CA Identity Manager, quali le funzionalità della console utente, di registrazione automatica e di password dimenticata.

L'agente Web controlla l'accesso di utenti che richiedono le risorse di CA Identity Manager. Una volta che gli utenti sono autenticati e autorizzati, l'agente Web consente al server Web di elaborare le richieste.

Quando il server Web riceve la richiesta, il plug-in del server applicazioni lo inoltra al server applicazioni in cui risiede il server di CA Identity Manager.

L'agente Web protegge le risorse di CA Identity Manager visualizzate da utenti e amministratori.

Panoramica dell'integrazione di SiteMinder e CA Identity Manager

Quando l'amministratore dei criteri e l'amministratore di identità lavorano insieme per integrare SiteMinder in un'installazione di CA Identity Manager esistente, l'architettura di CA Identity Manager si espande per includere i seguenti componenti:

Agente Web di SiteMinder

Protegge il server di CA Identity Manager. L'agente Web viene installato nel sistema con il server di CA Identity Manager.

Policy Server di SiteMinder

Fornisce autenticazione e autorizzazione avanzate per CA Identity Manager.

La figura seguente è un esempio di un'installazione di CA Identity Manager con un agente Web e un Policy Server di SiteMinder:

Nota: i componenti vengono installati su piattaforme diverse, a titolo di esempio. Tuttavia, è possibile scegliere altre piattaforme. I database di CA Identity Manager si trovano in Microsoft SQL Server e l'archivio utenti si trova in IBM Directory Server. Il Policy Store di SiteMinder si trova in AD LDS su Windows.

Il completamento di questo processo richiede due ruoli: l'amministratore di identità di CA Identity Manager e l'amministratore dei criteri di SiteMinder. In alcune organizzazioni, una sola persona svolge entrambi i ruoli. Quando sono coinvolte due persone, è richiesta una stretta collaborazione per completare le procedure in questo scenario. L'amministratore dei criteri avvia e conclude questo processo. L'amministratore di identità svolge tutte le fasi intermedie.

Importante. Per le installazioni di CA Identity Manager a partire dalla versione 12.5 SP7, sono obbligatori i Java Cryptography Extension Unlimited Strength Jurisdiction Policy Files (librerie JCE). Scaricare queste librerie dal sito Web di Oracle. Caricarle nella seguente cartella: <Java_path>\<jdk_version>\jre\lib\security\.

Il diagramma seguente illustra il processo completo di integrazione di SiteMinder in CA Identity Manager:

Procedere come descritto di seguito:

1. Configurazione del Policy Store di SiteMinder per CA Identity Manager.
2. Importazione dello schema di CA Identity Manager nel Policy Store.
3. Creare un oggetto agente di SiteMinder 4.X.
4. Esportazione delle directory e degli ambienti di CA Identity Manager.
5. Eliminazione di tutte le definizioni di directory e ambiente.
6. Attivazione dell'adattatore di risorse del Policy Server di SiteMinder.
7. Disattivazione del filtro di autenticazione framework di CA Identity Manager nativo.
8. Riavviare il server applicazioni.
9. Configurazione di un'origine dati per SiteMinder.
10. Importazione delle definizioni di directory.
11. Aggiornamento e importazione delle definizioni di ambiente.
12. Riavviare il server applicazioni.
13. Installazione del plug-in del server proxy Web.
14. Associazione dell'agente di SiteMinder a un dominio di CA Identity Manager.
15. Configurazione del parametro LogOffUrl di SiteMinder.

Configurazione del Policy Store di SiteMinder per CA Identity Manager

Come amministratore dei criteri, si utilizzano gli strumenti di amministrazione di CA Identity Manager per accedere agli script SQL o al testo dello schema LDAP per aggiungere lo schema IMS al Policy Store. L'amministratore di identità avrà installato questi strumenti nella cartella Admin Tools (Strumenti di amministrazione). Attenersi a una delle seguenti procedure per configurare il Policy Store:

Configurazione di un database relazionale

Configurazione di Sun Java Systems Directory Server o di IBM Directory Server

Configurazione di Microsoft Active Directory

Configurazione di Microsoft ADAM

Configurazione di CA Directory Server

Configurazione del server di Novell eDirectory

Configurazione di Oracle Internet Directory (OID)

Configurazione di un database relazionale

Dopo la configurazione, è possibile utilizzare il proprio database relazionale come Policy Store di SiteMinder.

Procedere come descritto di seguito:

1. Configurare il database come Policy Store supportato di SiteMinder.

   Nota: per le istruzioni di configurazione, consultare la SiteMinder Policy Server Installation Guide.

2. Eseguire lo script appropriato per il proprio database:
   • SQL: C:\Programmi\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftSQLServer\ims8_mssql_ps.sql
   • Oracle: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools/policystore-schemas/OracleRDBMS/ims8_oracle_ps.sql

   I percorsi precedenti sono le posizioni di installazione predefinite. La posizione per la propria installazione può essere diversa.

Configurazione di Sun Java Systems Directory Server o di IBM Directory Server

Per configurare un server di directory Java o IBM, applicare il file di schema appropriato.

Procedere come descritto di seguito:

1. Configurare la directory come un Policy Store di SiteMinder supportato.

   Nota: per istruzioni di configurazione, consultare la Guida all'installazione del Policy Server di CA SiteMinder.

2. Aggiungere il file di schema LDIF appropriato alla directory. Il percorso predefinito di Windows per i file LDIF è C:\Programmi\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas.

   Aggiungere i seguenti file di schema per la directory in uso:

   • IBM Directory Server:

     IBMDirectoryServer\V3.identityminder8

   • Sun Java Systems Directory Server (iPlanet):

     SunJavaSystemDirectoryServer\sundirectory_ims8.ldif

Configurazione di Microsoft Active Directory

Per configurare un Policy Store di Microsoft Active Directory, applicare lo script activedirectory_ims8.ldif.

Procedere come descritto di seguito:

1. Configurare la directory come un Policy Store di SiteMinder supportato.

   Nota: per istruzioni di configurazione, consultare la Guida all'installazione del Policy Server di CA SiteMinder.

2. Modificare il file di schema activedirectory_ims8.ldif nel seguente modo:
   1. In un editor di testo, aprire il file activedirectory_ims8.ldif. Il percorso predefinito di Windows è:

      C:\Programmi\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftActiveDirectory

   2. Sostituire tutte le istanze di {root} dall'organizzazione principale per la directory.

      L'organizzazione principale deve corrispondere all'organizzazione principale specificata quando è stato configurato il Policy Store nella console di gestione del Policy Server.

      Ad esempio, se la root è dc=myorg,dc=com, sostituire
      dn: CN=imdomainid6,CN=Schema,CN=Configuration,{root} con dn: CN=imdomainid6,CN=Schema,CN=Configuration,dc=myorg,dc=com

   3. Salvare il file.
3. Aggiungere il file di schema così come descritto nella documentazione per la directory in uso.

Configurazione di Microsoft ADAM

Per configurare un Policy Store di Microsoft ADAM, applicare lo script adam_ims8.ldif.

Procedere come descritto di seguito:

1. Configurare la directory come un Policy Store di SiteMinder supportato.

   Nota: per istruzioni di configurazione, consultare la Guida all'installazione del Policy Server di CA SiteMinder.

   Prendere nota del valore CN (il guid).

2. Modificare il file di schema adam_ims8.ldif nel seguente modo:
   1. Aprire il file adam_ims8.ldif\.ldif in un editor di testo. Il percorso predefinito di Windows è:

      C:\Programmi\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftActiveDirectory

   2. Sostituire ogni riferimento a cn={guid} con la stringa trovata durante la configurazione del Policy Store di SiteMinder nella fase 1 di questa procedura.

      Ad esempio, se la stringa guid è CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}, sostituire ogni riferimento a cn={guid} con CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}.

   3. Salvare il file.
3. Aggiungere il file di schema così come descritto nella documentazione per la directory in uso.

Configurazione di CA Directory Server

Per configurare CA Directory Server, creare un file di schema personalizzato. Nelle fasi riportate di seguito, dxserver_home è la directory di installazione di CA Directory. Il percorso di origine predefinito per questo file in Windows è C:\Programmi\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\eTrustDirectory.

Procedere come descritto di seguito:

1. Configurare la directory come un Policy Store di SiteMinder supportato.

   Nota: per istruzioni di configurazione, consultare la Guida all'installazione del Policy Server di CA SiteMinder.

2. Copiare etrust_ims8.dxc a dxserver_home\config\schema.
3. Creare un file di configurazione dello schema personalizzato nel seguente modo:
   1. Copiare il file dxserver_home\config\schema\default.dxg nel file dxserver_home\config\schema\company_name-schema.dxg.
   2. Modificare il file dxserver_home\config\schema\company_name-schema.dxg aggiungendo le seguenti righe in basso nel file:

      # Identity Manager Schema
      source "etrust_ims8.dxc";
      

4. Modificare il file dxserver_home\bin\schema.txt aggiungendo i contenuti di etrust_ims_schema.txt alla fine del file. Il percorso di origine predefinito per questo file in Windows è C:\Programmi\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\eTrustDirectory.
5. Creare un file di configurazione dei limiti personalizzato nel seguente modo:
   1. Copiare il file dxserver_home\config\limits\default.dxc nel file dxserver_home\config\limits\company_name-limits.dxc.
   2. Aumentare il limite di dimensione predefinito a 5000 nel file dxserver_home\config\limits\company_name-limits.dxc nel seguente modo:

      set max-op-size=5000
      

      Nota: l'aggiornamento di CA Directory sovrascrive il file limits.dxc. Pertanto, assicurarsi di ripristinare max-op-size su 5000 una volta completato l'aggiornamento.

6. Modificare il file dxserver_home\config\servers\dsa_name.dxi nel seguente modo:

   # schema
   source "company_name-schema.dxg";
   
   #service limits
   source "company_name-limits.dxc";
   

   dove dsa_name è il nome del DSA che utilizza i file di configurazione personalizzati.

7. Eseguire l'utilità dxsyntax.
8. Arrestare e riavviare il DSA come utente DSA per applicare le modifiche apportate allo schema, nel seguente modo:

   dxserver stop dsa_name
   dxserver start dsa_name
   

Configurazione del server di Novell eDirectory

Per configurare un Policy Store del server di Novell eDirectory, applicare lo script novell_ims8.ldif.

Procedere come descritto di seguito:

1. Configurare la directory come un Policy Store di SiteMinder supportato.

   Nota: per istruzioni di configurazione, consultare la Guida all'installazione del Policy Server di CA SiteMinder.

2. Cercare il nome distinto (DN) del NCPServer per il server di Novell eDirectory immettendo le informazioni seguenti in una finestra di comando del sistema su cui è installato il Policy Server:

   ldapsearch -h hostname -p port -b container -s sub 
   -D admin_login -w password objectClass=ncpServer dn
   

   Ad esempio:

   ldapsearch -h 192.168.1.47 -p 389 -b "o=nwqa47container" -s sub -D "cn=admin,o=nwqa47container" -w password objectclass=ncpServer dn
   

3. Aprire il file novell_ims8.ldif.
4. Sostituire ogni variabile NCPServer con il valore trovato nella fase 2.

   Il percorso predefinito per novell_ims8.ldif su Windows è:

   C:\Programmi\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\NovelleDirectory

   Ad esempio, se il valore di DN è cn=servername,o=servercontainer, si sostituirà ogni istanza di NCPServer con cn=servername,o=servercontainer.

5. Aggiornare il server eDirectory con il file novell_ims8.ldif.

   Per istruzioni, consultare la documentazione Novell eDirectory.

Configurazione di Oracle Internet Directory (OID)

Per configurare Oracle Internet Directory, aggiornare il file oracleoid ldif.

Procedere come descritto di seguito:

1. Configurare la directory come un Policy Store di SiteMinder supportato.

   Nota: per istruzioni di configurazione, consultare la Guida all'installazione del Policy Server di CA SiteMinder.

2. Aggiornare il server di Oracle Internet Directory con il file oracleoid_ims8.ldif. Il percorso di installazione predefinito per questo file su Windows è:

   install_path\policystore-schemas\OracleOID\

   Per istruzioni, consultare la documentazione di Oracle Internet Directory.

Verifica del Policy Store

Per verificare il Policy Store, confermare i seguenti punti:

• Il registro del Policy Server non contiene una sezione di avvisi che inizia con il codice seguente:

  *** IMS NO SCHEMA BEGIN
  

  Questo avviso viene visualizzato solamente se sono state installate le estensioni per il Policy Server di SiteMinder, ma non ne è stato ampliato lo schema.

• Gli oggetti di CA Identity Manager sono presenti nel database o nella directory del Policy Store. Gli oggetti di CA Identity Manager iniziano con un prefisso ims.