Integração do CA SiteMinder › Como os recursos são protegidos

Como os recursos são protegidos

A autenticação avançada exige que você use um Servidor de políticas do SiteMinder em sua implementação. O servidor de aplicativos que hospeda o Servidor do CA IdentityMinder está em um ambiente operacional diferente do servidor web. Para fornecer serviços de encaminhamento, o servidor web exige:

• Um fornecedor de servidor de aplicativos que forneceu o plugin.
• Um agente do SiteMinder para proteger os recursos do CA IdentityMinder, como o Console de usuário, o Autorregistro e o recurso de Senha esquecida.

O Agente web controla o acesso de usuários que solicitam recursos do CA IdentityMinder. Depois que os usuários forem autenticados e autorizados, o Agente web permitirá que o servidor web processe as solicitações.

Quando o servidor web receber a solicitação, o plugin do servidor de aplicativos a encaminhará ao servidor de aplicativos que hospeda o Servidor do CA IdentityMinder.

O Agente web protege os recursos do CA IdentityMinder que são expostos aos usuários e administradores.

Visão geral da integração do SiteMinder e CA IdentityMinder

Quando o administrador de políticas e o administrador de identidades trabalham juntos para integrar o SiteMinder a uma instalação existente do CA IdentityMinder, a arquitetura do CA IdentityMinder é expandida para incluir os seguintes componentes:

Agente web do SiteMinder

Protege o Servidor do CA IdentityMinder. O Agente web está instalado no sistema com o Servidor do CA IdentityMinder.

Servidor de políticas do SiteMinder

Fornece autenticação avançada e autorização para o CA IdentityMinder.

A figura a seguir é um exemplo de uma instalação do CA IdentityMinder com um Servidor de políticas e Agente web do SiteMinder:

Observação: os componentes são instalados em diferentes plataformas, como nos exemplos. No entanto, você pode escolher outras plataformas. Os bancos de dados do CA IdentityMinder estão no Microsoft SQL Server e o repositório de usuários está no IBM Directory Server. O Servidor de políticas do SiteMinder está no AD LDS do Windows.

A conclusão desse processo exige duas funções: o administrador de identidades do CA IdentityMinder e o administrador de políticas do SiteMinder. Em algumas organizações, uma pessoa preenche ambas as funções. Quando duas pessoas são envolvidas, a colaboração próxima é necessária para concluir os procedimentos nesse cenário. O administrador de políticas começa e termina esse processo; o administrador de identidades realiza todas as etapas intermediárias.

Importante: para instalações do CA IdentityMinder que começam com Release12.5 SP7, os arquivos Java Cryptography Extension Unlimited Strength Jurisdiction Policy Files (bibliotecas JCE) são necessários. Faça download desses bibliotecas no site da Oracle. Carregue-as na seguinte pasta: <caminho_Java>\<versão_jdk>\jre\lib\security\.

O diagrama a seguir ilustra o processo completo da integração do SiteMinder ao CA IdentityMinder:

Siga estas etapas:

1. Configure o repositório de políticas do SiteMinder para o CA IdentityMinder.
2. Importe o esquema do CA IdentityMinder no repositório de políticas.
3. Crie um objeto de agente do SiteMinder 4.X.
4. Exporte os diretórios e ambientes do CA IdentityMinder.
5. Exclua todas as definições de diretório e ambiente.
6. Ative o adaptador de recursos do Servidor de políticas do SiteMinder.
7. Desative o Filtro de autenticação de estrutura nativo do CA IdentityMinder.
8. Reinicie o servidor de aplicativos.
9. Configure uma origem de dados para o SiteMinder.
10. Importe as definições de diretório.
11. Atualize e importe as definições de ambiente.
12. Reinicie o servidor de aplicativos.
13. Instale o plugin do servidor proxy web.
14. Associe o Agente do SiteMinder a um domínio do CA IdentityMinder.
15. Configure o parâmetro LogOffUrl do SiteMinder.

Configurar o repositório de políticas do SiteMinder para o CA IdentityMinder

Como um administrador de políticas, você usa as Ferramentas administrativas do CA IdentityMinder para acessar os scripts SQL ou o texto de esquema LDAP para adicionar o esquema IMS ao repositório de políticas. O administrador de identidades terá instalado essas ferramentas na pasta Ferramentas administrativas. Siga um dos procedimentos a seguir para configurar o repositório de políticas:

Configurar um banco de dados relacional

Configurar o Servidor de diretórios do Sun Java Systems ou do IBM Directory Server

Configurar o Microsoft Active Directory

Configurar o Microsoft ADAM

Configurar o CA Directory Server

Configurar o Novell eDirectory Server

Configurar o Oracle Internet Directory (OID)

Configurar um banco de dados relacional

Após a configuração, você poderá usar o banco de dados relacional como um repositório de políticas do SiteMinder.

Siga estas etapas:

1. Configure o banco de dados como um repositório de políticas do SiteMinder suportado.

   Observação: para obter instruções de configuração, consulte o Guia de Instalação do Servidor de políticas do SiteMinder.

2. Execute o script apropriado para o banco de dados:
   • SQL: <caminho_de_instalação>\tools\policystore-schemas\MicrosoftSQLServer\ims8_mssql_ps.sql
   • Oracle: <caminhos_de_instalação2>/tools/policystore-schemas/OracleRDBMS/ims8_oracle_ps.sql

   Os caminhos anteriores são locais de instalação padrão. O local para a sua instalação pode ser diferente.

Configurar o Servidor de diretórios do Sun Java Systems ou do IBM Directory Server

Para configurar um servidor de diretórios do Java ou IBM, aplique o arquivo de esquema.

Siga estas etapas:

1. Configure o diretório como um repositório de políticas suportado do SiteMinder.

   Observação: para obter instruções de configuração, consulte o Guia de Instalação do Servidor de políticas do CA SiteMinder.

2. Adicione o arquivo de esquema LDIF apropriado para o diretório. O local padrão do Windows para os arquivos LDIF é <caminho_de_instalação>\tools\policystore-schemas.

   Adicione os seguintes arquivos de esquema para seu diretório:

   • IBM Directory Server:

     IBMDirectoryServer\V3.identityminder8

   • Servidor de diretórios do Sun Java Systems (iPlanet):

     SunJavaSystemDirectoryServer\sundirectory_ims8.ldif

Configurar o Microsoft Active Directory

Para configurar um repositório de políticas do Microsoft Active Directory, aplique o script activedirectory_ims8.ldif.

Siga estas etapas:

1. Configure o diretório como um repositório de políticas suportado do SiteMinder.

   Observação: para obter instruções de configuração, consulte o Guia de Instalação do Servidor de políticas do CA SiteMinder.

2. Modifique o arquivo de esquema activedirectory_ims8.ldif da seguinte maneira:
   1. Em um editor de texto, abra o arquivo activedirectory_ims8.ldif. O local padrão do Windows é:

      <caminho_de_instalação>\tools\policystore-schemas\MicrosoftActiveDirectory

   2. Substitua todas as instâncias de {root} pela organização raiz do diretório.

      A organização raiz deve corresponder à organização raiz que você especificou quando configurou o repositório de políticas no Management Console do Servidor de políticas.

      Por exemplo, se a raiz for dc=myorg,dc=com, substitua
      dn: CN=imdomainid6,CN=Schema,CN=Configuration,{root} pelo dn: CN=imdomainid6,CN=Schema,CN=Configuration,dc=myorg,dc=com

   3. Salve o arquivo.
3. Adicione o arquivo de esquema conforme descrito na documentação do seu diretório.

Configurar o Microsoft ADAM

Para configurar um repositório de políticas do Microsoft ADAM, aplique o script adam_ims8.ldif.

Siga estas etapas:

1. Configure o diretório como um repositório de políticas suportado do SiteMinder.

   Observação: para obter instruções de configuração, consulte o Guia de Instalação do Servidor de políticas do CA SiteMinder.

   Anote o valor do CN (o guid).

2. Modifique o arquivo de esquema adam_ims8.ldif da seguinte maneira:
   1. Abra o arquivo adam_ims8.ldif\.ldif em um editor de texto. O local padrão do Windows é:

      <caminho_de_instalação>\tools\policystore-schemas\MicrosoftActiveDirectory

   2. Substitua cada referência a cn={guid} pela sequência de caracteres encontrada quando você configurou o repositório de políticas do SiteMinder na Etapa 1 desse procedimento.

      Por exemplo, se a sequência de caracteres do GUID for CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}, substitua cada referência a cn={guid} por CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}.

   3. Salve o arquivo.
3. Adicione o arquivo de esquema conforme descrito na documentação do seu diretório.

Configurar o CA Directory Server

Para configurar um CA Directory Server, você cria um arquivo de esquema personalizado. Nas etapas a seguir, base_de_dxserver é o diretório onde o CA Directory está instalado. O local de origem padrão para esse arquivo no Windows é <caminho_de_instalação>\tools\\policystore-schemas eTrustDirectory.

Siga estas etapas:

1. Configure o diretório como um repositório de políticas suportado do SiteMinder.

   Observação: para obter instruções de configuração, consulte o Guia de Instalação do Servidor de políticas do CA SiteMinder.

2. Copie etrust_ims8.dxc em base_de_dxserver\config\esquema.
3. Crie um arquivo de configuração de esquema personalizado da seguinte maneira:
   1. Copie o base_de_dxserver\config\schema\default.dxg em base_de_dxserver\config\schema\nome_da_empresa-schema.dxg.
   2. Edite o arquivo base_de_dxserver\config\schema\nome_da_empresa-schema.dxg adicionando as linhas a seguir ao fim do arquivo:

      # Identity Manager Schema
      source "etrust_ims8.dxc";
      

4. Edite o arquivo base_de_dxserver\bin\schema.txt adicionando o conteúdo do etrust_ims_schema.txt ao fim do arquivo. O local de origem padrão para esse arquivo no Windows é <caminho_de_instalação>\tools\\policystore-schemas eTrustDirectory.
5. Crie um arquivo de configuração de limites personalizado da seguinte maneira:
   1. Copie o base_de_dxserver\config\limits\default.dxc em base_de_dxserver\config\limits\nome_da_empresa-limits.dxc.
   2. Aumente o limite de tamanho padrão para 5000 no arquivo base_de_dxserver\config\limits\nome_da_empresa-limits.dxc como se segue:

      set max-op-size=5000
      

      Observação: a atualização do CA Directory substitui o arquivo limits.dxc. Portanto, não se esqueça de redefinir max-op-size para 5000 depois que a atualização for concluída.

6. Edite o base_de_dxserver\config\servers\nome_dsa.dxi como se segue:

   # schema
   source "nome_da_empresa-schema.dxg";
   
   #service limits
   source "nome_da_empresa-limits.dxc";
   

   onde nome_dsa é o nome do DSA que usam os arquivos de configuração personalizados.

7. Execute o utilitário dxsyntax.
8. Pare e reinicie o DSA como o usuário do dsa para que as alterações do esquema entrem em vigor, como a seguir:

   dxserver stop nome_dsa
   dxserver start nome_dsa
   

Configurar o Novell eDirectory Server

Para configurar um repositório de políticas do Novell eDirectory Server, aplique o script novell_ims8.ldif.

Siga estas etapas:

1. Configure o diretório como um repositório de políticas suportado do SiteMinder.

   Observação: para obter instruções de configuração, consulte o Guia de Instalação do Servidor de políticas do CA SiteMinder.

2. Localize o DN (Distinguished Name - nome distinto) do NCPServer para seu Novell eDirectory Server inserindo as informações a seguir em uma janela de comando no sistema, onde o Servidor de políticas está instalado:

   ldapsearch -h nome_do_host -p porta -b recipiente -s sub 
   -D logon_admin -w senha objectClass=ncpServer dn
   

   Por exemplo:

   ldapsearch -h 192.168.1.47 -p 389 -b "o=nwqa47container" -s sub -D "cn=admin,o=nwqa47container" -w password objectclass=ncpServer dn
   

3. Abra o arquivo novell_ims8.ldif.
4. Substitua cada variável de NCPServer pelo valor encontrado na Etapa 2.

   O local padrão para novell_ims8.ldif no Windows é:

   <caminho_de_instalação>\tools\policystore-schemas\NovelleDirectory

   Por exemplo, se o valor DN for cn=servername,o=servercontainer, você substituirá cada instância do NCPServer por cn=servername,o=servercontainer.

5. Atualize o eDirectory Server com o arquivo novell_ims8.ldif.

   Consulte a documentação do Novell eDirectory para obter instruções.

Configurar o Oracle Internet Directory (OID)

Para configurar um Oracle Internet Directory, atualize o arquivo ldif oracleoid.

Siga estas etapas:

1. Configure o diretório como um repositório de políticas suportado do SiteMinder.

   Observação: para obter instruções de configuração, consulte o Guia de Instalação do Servidor de políticas do CA SiteMinder.

2. Atualize o Servidor do Oracle Internet Directory com o arquivo oracleoid_ims8.ldif. O local de instalação padrão para esse arquivo no Windows é:

   caminho_de_instalação\policystore-schemas\OracleOID\

   Consulte a documentação do Oracle Internet Directory para obter instruções.

Verificar o repositório de políticas

Para verificar o repositório de políticas, confirme os pontos a seguir:

• O log do Servidor de políticas não contém uma seção de avisos que comece com o seguinte código:

  *** IMS NO SCHEMA BEGIN
  

  Esse aviso será exibido apenas se você tiver instalado as Extensões para o Servidor de políticas do SiteMinder, mas você não estendeu o esquema do repositório de políticas.

• Os objetos do CA IdentityMinder existem no banco de dados ou no diretório do repositório de políticas. Os objetos do CA IdentityMinder começam com um prefixo ims.