ibm tivoli_通过IBM Tivoli Access Manager WebSEAL单一登录到IBM WebSphere Portal

ibm tivoli

IBM WebSphere Portal在IBM WebSphere Application Server上作为应用程序运行，并提供内容，应用程序，流程，个性化和其他服务的聚合。 WebSphere Application Server和WebSphere Portal可以与外部安全管理器产品集成，例如用于电子商务的IBM Tivoli Access Manager或Netegrity SiteMinder。

Tivoli Access Manager的组件之一是其反向代理安全服务器，称为WebSEAL。 WebSEAL可以在企业电子商务基础架构中前端放置任何Web应用程序服务器或Web服务器。 当使用WebSEAL实现WebSphere Application Server和WebSphere Portal时，通常有必要为最终用户提供SSO体验。 为了实现SSO，需要将WebSphere Application Server配置为“信任” WebSEAL服务器，以便如果WebSEAL已经对用户进行了认证，则Application Server将不会再次挑战该用户。

WebSphere Application Server提供了用于为第三方安全服务器配置的Web Trust Association框架。 每种类型的安全服务器都需要实现TAI。 WebSphere Application Server附带了一个用于Access Manager的TAI，您可以对其进行配置。 基于已建立的信任关系，Application Server可以将WebSEAL结果凭证映射到有效的WebSphere Application Server凭证。

本文对Application Server管理员，门户网站管理员以及需要为其WebSphere Portal应用程序提供SSO的其他人员很有用。 为了充分利用本文，您应该熟悉WebSphere Application Server，WebSphere Portal和Tivoli Access Manager管理任务。 您还应该熟悉配置LDAP目录服务器，例如IBM Tivoli Directory Server，该服务器在本文介绍的示例场景中使用。

有关SSO机制和IBM Key Management Utility的信息对于安全程序员，部署专业人员和设计人员很有用。

单点登录技术

轻量级第三方认证

轻量级第三方认证（LTPA）“ LPTA是IBM WebSphere和Lotus Domino产品中使用的认证技术。

LTPA令牌

LtpaToken：LtpaToken用于与WebSphere Application Server的先前发行版进行互操作。 该令牌仅包含身份验证身份属性。 LtpaToken是针对WebSphere Application Server v5.1.0.2（对于z / OS）或5.1.1版（对于分布式）之前的发行版而生成的。

LtpaToken2：LtpaToken2包含更强大的加密，并使您可以向令牌添加多个属性。 此令牌包含身份验证身份和其他信息，例如用于联系原始登录服务器的属性以及用于在确定唯一性时考虑的不仅仅是身份时用于查找主题的唯一缓存键。 LtpaToken2是为WebSphere Application Server版本5.1.0.2（对于z /OS®）和v5.1.1（对于Distributed）以及更高版本而生成的。

如果用户正在访问利用LTPA技术的Web服务器，则Web用户有可能在所有参与的物理服务器之间自动传播其身份。

这样的环境也称为单点登录（SSO）环境。

图1.带有LTPA的SSO

请求流程：

1.用户请求受WebSEAL保护的资源。 WebSEAL要求用户挑战证书，然后用户提供它们。

2. WebSEAL通过与用户注册表进行通信来认证用户。 它还确定用户是否有权打开请求的URL。 在成功认证最终用户之后，WebSEAL将创建LTPA令牌cookie。

3.使用为其配置的联结将请求传递到IBM HTTP Server。 从WebSEAL到IBM HTTP Server的联结配置为在HTTP头中传递iv-user，iv-group信息以及在步骤2中创建的LTPA令牌。

4.根据Application Server插件的确定，该请求将转发到适当的WebSphere Application Server或克隆。

5.在WebSphere Application Server中，未启用TAI，并且Application Server在标头中获取LTPA令牌。 Application Server仅为此用户创建会话cookie，并假定该用户已通过身份验证。 WebSphere Portal在LDAP中搜索组信息，从数据库中获取资源映射，然后显示门户页面。

LTPA令牌：

LTPA令牌是一个加密的元素，包含以下信息：

表4. LTPA令牌

元件	细节
用户数据	通常设置为用户ID，但可以是用于唯一标识用户的任何用户信息。
到期时间	与cookie到期不同，此字段用于实施从登录之时开始的时间限制，不受浏览器活动或不活动的影响。 时间限制是可配置的LTPA设置，默认为30分钟。
电子签名	用于验证令牌。

LTPA cookie包含以下信息：

表3. LTPA cookie

元件	细节
Cookie名称	始终设置为LtpaToken / LtpaToken2
域	设置为参与单点登录的所有服务器共享的Internet域（例如：mycompany.com）
Cookie到期	设置为在浏览器生存期结束时删除此cookie。
安全	设置为强制使用安全套接字层（SSL）。 有一个LTPA配置设置可创建仅通过SSL发送的cookie。
Cookie值	如下所述，将其设置为LTPA令牌。

LTPA要求和支持

LTPA要求配置的用户注册表是集中共享的存储库，例如LDAP注册表或Windows®域类型的注册表，以便整个SSO域中的用户和组相同。

下表总结了LTPA可以使用的身份验证机制功能和用户注册表。 这是针对WebSphere Application Server v6.1

表5. LTPA支持信息

认证机制	可转发凭证	单点登录	本地操作系统用户注册表	LDAP用户注册表	自定义用户注册表
LTPA	是	是	是	是	是
垃圾邮件	没有	没有	是	是	是

简单WebSphere认证机制（SWAM） ：SWAM认证机制旨在用于简单的，非分布式的单个应用程序服务器运行时环境。 单个应用程序服务器的限制是由于SWAM不支持可转发凭据这一事实造成的，因为SWAM用于单个应用程序服务器进程，因此不支持单一登录（SSO）。

SWAM身份验证机制适用于简单环境，软件开发环境或其他不需要分布式安全解决方案的环境。

信任协会拦截器

TAI和TAI ++

Trust Association Interceptor接口的目的是使反向代理安全服务器（RPSS）作为公开的入口点存在，以执行身份验证和粗粒度的授权，而WebSphere Application Server实施进一步的细粒度访问控制。 信任协会通过减小暴露范围和风险来提高安全性。

WebSphere Application Server支持带有外围身份验证服务的单点登录（SSO），例如通过“信任关联”的反向代理。 启用信任关联后，如果请求通过已执行身份验证的受信任源到达，则不需要WebSphere Application Server来对用户进行身份验证。

图2.具有TAI的SSO

请求流程：

1.用户请求受WebSEAL保护的资源，该资源用作代理并拦截所有请求。 WebSEAL要求用户提供凭据，然后用户提供它们。

2. WebSEAL通过咨询其LDAP用户注册表来认证用户。 它还确定用户是否有权访问（即被授权打开）所请求的URL。

3.如果认证成功，则WebSEAL使用已为其配置的联结将请求传递到IBM HTTP Server。 从WebSEAL到IBM HTTP Server的结点配置为在HTTP头中传递iv-user，iv-groups信息。 最终用户的标识必须在称为“ iv-user”的标头中传递给TAI，该标头由WebSEAL插入从WebSEAL发送到应用程序服务器的HTTP请求标头中。 尽管可以将WebSEAL配置为以其他方式传递最终用户身份，但iv-user标头是TAI唯一支持的标头。 最终用户密码未在HTTP标头中传递。

4. Application Server插件文件检查请求的URL的上下文根，确定目标Application Server或克隆，并将请求转发给它。

5. WebSphere Application Server中的TAI（必须为其启用TAI）处理请求。 在TAI成功处理之后，Application Server将创建一个称为LTPA令牌的加密用户身份验证cookie。 这个Cookie对于每个用户在每个会话中都是唯一的（也就是说，如果同一用户多次登录，那么他每次都会看到创建的另一个Cookie）是长期有效的（通常为两个小时），并且持续到用户会话。 因此，TAI不需要处理每个用户请求。

6.在TAI接受最终用户标识并创建LTPA令牌之后，WebSphere Portal对LDAP执行其他查询，例如组信息。 它从数据库查询资源映射，然后显示门户页面。

• TAI和TAI ++之间的区别

TAI实施与凭证数据一起使用。 WebSphere Application Server使用该信息来实施安全策略。

表6. TAI和TAI ++的区别

TAM TAI （信任协会拦截器）	TAM TAI ++ （信任关联拦截器加号）
不推荐使用。	这是首选版本
TAI返回代表最终用户的用户ID。	TAI ++返回代表最终用户的主题。
从WebSphere Application Server v3.5开始，已经支持信任关联。 TAI的局限性在于只能将用户ID提供给WebSphere Application Server运行时。	TAI接口已在WebSphere Application Server v5.1.1和WebSphere Application Server v6.0及更高版本中进行了扩展，以支持返回完整的凭证信息。
调用TAI后，需要进行进一步的用户注册表搜索以创建授权所需的各种凭据（即使此信息已包含在请求中）。	在TAI ++调用之后，不需要其他用户注册表搜索。 （但是，WebSphere Portal可以对注册表进行其他调用以构建身份属性）
不适用于TAI。	请注意，如果WebSphere Application Server参与集群或进行下游EJB调用，那么必须在WebSphere Application Server中启用凭证传播。
WebSEAL v4.1、5.1和v6.0中支持此功能。	TAI ++界面支持WebSEAL v5.1和v6.0，但不支持WebSEAL v4.1。

本文的读者可以将以上差异用作选择要在该环境中使用的SSO技术的输入。

使用GSKit Utility在WebSEAL和后端服务器之间启用SSL

SSL是满足安全要求的好方法。 在协议级别，SSL提供标识，身份验证，完整性和机密性。 在现实世界中，在这些企业服务器之间使用安全的通信非常重要。 要启用SSL，我们必须生成证书并将其分发到通信服务器的密钥库中。

在本节中，您将看到创建新密钥集的完整过程。 这里仅出于演示目的，我们使用自签名证书。

IBM Global Security Kit（GSKit）提供了图形用户界面（GUI）和命令行界面（CLI），用于为SSL创建密钥。 GUI实用程序称为“ gsk7ikm”，而CLI实用程序称为“ gsk7cmd”。 以下各节说明了GUI的过程。 下载中提供了相同的CLI文件。

图3.密钥分配

密钥分配

高级步骤：

1）创建服务器密钥库文件

2）创建客户端密钥库文件

3）创建插件密钥库文件并添加服务器证书

4）创建服务器信任密钥库文件，并添加服务器，客户端和插件证书

5）创建客户端信任文件并添加服务器和客户端证书

6）WebSphere Application Server和插件配置

7）WebSEAL服务器配置

1）创建服务器密钥库文件

图4.服务器密钥库创建

创建一个新的自签名证书，如下所示

图5.服务器密钥库创建

将证书提取到名为“ Server.arm”的文件中。

图6.服务器密钥库创建

2）创建客户端密钥库文件

请按照与上述服务器密钥库相同的过程创建客户端密钥库文件。 将密钥数据库文件的名称指定为“ ClientKey.jks”。 创建新的自签名证书，并将证书提取为文件“ Client.arm”。

3）创建插件密钥库文件

遵循与创建服务器密钥相同的过程。 选择密钥数据库类型为“ CMS”而不是JKS，并创建密钥文件为“ PluginKey.kdb”。 创建新的自签名证书，并将证书提取为“ Plugin.arm”。

将服务器证书从文件添加到插件密钥数据库文件。

图7.创建插件密钥库文件

将标签指定为“ WebSphere Server CA”，然后单击“确定”。

4）创建服务器信任密钥库文件，并添加服务器，客户端和插件证书。

图8.创建服务器信任密钥库文件

将客户端证书从文件添加到“ Servertrust.jks”

图9.创建服务器信任密钥库文件

将标签指定为“ WebSphere Client CA”，然后单击“确定”。

以类似的方式，将文件中的“ Serverkey.arm”和“ plugin.arm”证书添加到“ ServerTrust.jks”。

您的控制台现在应该在列表中显示“ WebSphere插件CA”，“ WebSphere Server CA”和“ WebSphere Client CA”，如下所示。

图10.创建服务器信任密钥库文件

5）创建客户端信任密钥库文件，并添加服务器和客户端证书。

按照与上述相同的过程创建名为“ ClientTrust.jks”的客户端信任密钥文件，并将服务器和客户端证书添加到现有证书中

控制台现在应在列表中包含“ WebSphere Server CA”和“ WebSphere Client CA”，如下图所示。

图11.创建客户端信任密钥库文件

6）更新WebSphere Application Server

配置WebSphere Application Server以使用新密钥。

转到管理控制台：

1）选择安全性-> SSL-> <cell> / DefaultSSLSettings

2）更改以下条目以反映新密钥的路径和密码->单击“确定”

Key File Name: ${USER_INSTALL_ROOT}/etc/ServerKey.jks
Key File Password: <ServerKey.jks Password>
Trust File Name: ${USER_INSTALL_ROOT}/etc/ServerTrust.jks
Trust File Password: <ServerTrust.jks Password>

图12. WebSphere SSL配置

注意：如果您在ND环境中，则还需要使用上面的条目更新<dmgr> / DefaultSSLSettings。

3）保存更改并注销

4）重新启动WebSphere Server

注意：如果您在ND环境中，则需要重新启动所有服务器，节点代理和Deployment Manager，新设置才能在整个单元范围内生效

更新sas.client.props文件

1) Open the $WAS_HOME/properties/sas.client.props file in an editor
2) Change the following lines in the sas.client.props file to reflect the new SSL
settings -> Save the file
com.ibm.ssl.keyStore=C\:/Program Files/WebSphere/AppServer/etc/ClientKey.jks
com.ibm.ssl.keyStorePassword=<ClientKey.jks Password>
com.ibm.ssl.trustStore=C\:/Program Files/WebSphere/AppServer/etc/ClientTrust.jks
com.ibm.ssl.trustStorePassword=<ClientTrust.jks Password>

Note:-  The path to your key files will be relative to your WebSphere installation and
platform

更新soap.client.props文件

1) Open the $WAS_HOME/properties/soap.client.props file in an editor
2) Change the following lines in the soap.client.props file to reflect the new SSL
settings -> Save the file
com.ibm.ssl.keyStore=C\:/Program Files/WebSphere/AppServer/etc/ClientKey.jks
com.ibm.ssl.keyStorePassword=<ClientKey.jks Password>
com.ibm.ssl.trustStore=C\:/Program Files/WebSphere/AppServer/etc/ClientTrust.jks
com.ibm.ssl.trustStorePassword=<ClientTrust.jks Password>

Note:-  The path to your key files will be relative to your WebSphere installation and
platform

更新tghe plugin-cfg.xml文件

1) Open the $WAS_HOME/config/cells/plugin-cfg.xml file in an editor.
2) Change the following lines in the "plugin-cfg.xml" file to reflect the new plug-in SSL
key ->. Save the file.
<Property Name="keyring"
	Value="C:\Program Files\WebSphere\AppServer\etc\PluginKey.kdb"/>
<Property Name="stashfile"
	Value="C:\Program Files\WebSphere\AppServer\etc\PluginKey.sth"/>

Note:-  The path to your key files will be relative to your WebSphere installation and
platform.
Note:-  You will need to change all transports that use HTTPS in the "plugin-cfg.xml" file.

3) Restart your Web server for the new changes to take effect.

将证书导入WebSEAL

1) Open a key database file (KDF) of WebSEAL by selecting "Key Database File" -> "open"
2) Enter the following information to create the key file -> Click OK .
Select from Location : C:\Program Files\Tivoli\pdweb\www-default\certs\pdsrv.kdb
3) Enter a password for your key file -> Click OK.
4) Click on Import key Button.
5) Enter the following information to add the server's public certificate -> Click OK.
Certificate File Name: ServerKey.arm
Location: C:\Program Files\WebSphere\AppServer\etc
6) Enter a password for the server key public certificate -> Click OK.
7) Save and Exit.

配置WebSphere Portal的单点登录

使用WebSEAL服务器的WebSphere Portal会话管理和注销

WebSEAL维护一个会话高速缓存，该高速缓存包含引用所有已认证用户的安全性信息。 作为维护此高速缓存的一部分，计时器用于根据用户会话的长度以及允许的空闲时间量来强制实施安全性约束。 过期的会话将从WebSEAL高速缓存中删除，从而破坏了用户的会话。

WebSphere Portal还为所有经过身份验证的用户维护会话高速缓存。 该缓存由WebSphere Portal Server管理，并具有类似的基于时间的安全性约束。 在集成WebSEAL和WebSphere Portal时，有必要了解这些不同的会话高速缓存的含义以及如何对其进行管理。

通常将WebSEAL配置为向后端HTTP服务器提供单点登录（SSO）。 这意味着用户向WebSEAL服务器进行一次身份验证。 然后将其身份安全地传播到后端应用程序。 在这种情况下，WebSEAL将提供用户认证数据的管理，因此，应将其视为会话信息的主要来源。 因此，我们通常建议WebSEAL会话在任何后端HTTP服务器会话之前不久过期。 该建议有助于确保为用户提供一致的用户体验。 例如，如果后端HTTP应用程序在WebSEAL会话之前使会话数据超时，则用户可能会遇到来自后端应用程序的错误。

缺省情况下，WebSphere Portal的用户会话有30分钟的空闲超时和2小时的会话超时。 可以如下图所示更改这些值。

图13.会话超时配置

如果在WebSEAL和WebSphere Portal之间配置了SSO，并且WebSphere Portal会话在WebSEAL会话之前超时，则向用户显示会话过期错误页面。 在许多情况下，管理员可以简单地将WebSphere Portal配置为不显示此错误。 设置“ timeout.resume.session = true”参数以将其关闭。

图14.会话超时配置

当WP配置为不显示此错误时，如果用户会话闲置或过期，则只需对用户进行重新身份验证并创建一个新会话。 这将在没有用户交互的情况下发生，并且将通过WebSEAL和WebSphere Portal提供的SSO集成发生。

整合方案

ITDS和WP集成步骤

注意：

在这种情况下，WebSphere Portal和Tivoli Access Manager共享一个公共用户注册表。

以下部分描述了使用IBM Tivoli Directory Server配置WebSphere Portal的步骤。

在WebSphere Portal主目录中搜索文件PortalUser.ldif ，修改您的LDAP服务器配置的后缀，并使用以下idsldapadd命令将ldif文件导入Tivoli Directory Server。

清单7. LDIF导入命令

cmd>idsldapadd -D cn=root -w <password> -p <port> -c -f PortalUser.ldif

成功完成上述命令后，运行pdadmin命令以将以下用户和组导入Tivoli Access Manager：组：wpsadmins用户：wpsbind和wpsadmin

清单8. pdadmin import命令

pdadmin -a sec_master -p <password>
pdadmin sec_master> group import wpsadmins cn=wpsadmins,cn=groups,o=ibm,c=in
pdadmin sec_master> user import wpsbind uid=wpsbind,cn=users,o=ibm,c=in
pdadmin sec_master> user import wpsadmin uid=wpsadmin,cn=users,o=ibm,c=in
pdadmin sec_master> user modify wpsbind account-valid yes
pdadmin sec_master> user modify wpsadmin account-valid yes

运行以下命令以验证TAM中的用户和组：

清单9.验证用户和组

pdadmin -a sec_master -p passw0rd user list * 0
pdadmin -a sec_master -p passw0rd group list * 0

现在，我们可以开始使用WPSconfig.bat将WebSphere Portal与其他Tivoli产品一起配置。

现在，我们将禁用Websphere Portal安全性； 为此，我们需要从wpconfig.properties修改一些参数。 使用下表中的键名称在属性文件中搜索并使用表中给出的值。

清单10.门户配置更改

Section: WeSphere Application Server configuration
WasUserid						wpsbind
WasPassword 					wpsbind

Section: WebSphere Portal configuration
PortalAdminid 					wpsadmin
PortalAdminPwd 					wpsadmin
PortalAdminGroupId 				wpsadmins

打开命令提示符，然后转到portal_server_root / config目录。

输入以下命令以运行配置任务：

清单11.禁用安全性

WPSconfig.bat disable-security

注意：-仅当收到“ Build Success”消息时才继续。 如果任何配置任务失败，请验证wpconfig.properties文件中的值。

每一步骤之后，请使用以下命令检查服务器的状态。

清单12.检查服务器状态

C:\Program Files\WebSphere\AppServer\bin>serverStatus.bat -all

注意： -Application Server状态必须为STARTED

现在该配置WebSphere Portal以使用LDAP安全性了。 在本文中，我们使用Tivoli Directory Server作为用户注册表。 在运行命令以启用lDAP安全性之前，我们需要从wpconfig.properties中修改一些参数。 使用下表中的键名在属性文件中搜索并使用表中给出的值。

注意：-出于演示目的，我们对所有角色使用相同的用户和组。 您可以为每个角色创建和使用不同的用户和组。

清单13.将Portal与LDAP和TAM集成

Section: WebSphere Portal configuration
PortalAdminId 				uid=wpsadmin,cn=users,o=ibm,c=in
PortalAdminIdShort 			wpsadmin
PortalAdminPwd 				wpsadmin
PortalAdminGroupId 			cn=wpsadmins,cn=groups,o=ibm,c=in
PortalAdminGroupIdShort 		wpsadmins
WpsContentAdministrators 		uid=wpsadmin,cn=users,o=ibm,c=in
WpsContentAdministratorsShort		wpsadmin
WpsDocReviewer 				uid=wpsadmin,cn=users,o=ibm,c=in
WpsDocReviewerShort 			wpsadmin

Section: LDAP configuration
LDAPHostName 				dw_server.in.ibm.com
Lookaside 				true
LDAPPort 				389
LDAPAdminUId 				cn=root
LDAPAdminPwd 				passw0rd
LDAPServerType 				IBM_DIRECTORY_SERVER
WWmmSystemId 				uid=wpsbind,cn=users,o=ibm,c=in
WmmSystemIdPassword 			wpsbind
LDAPSuffix 				o=ibm,c=in
LdapUserPrefix 				uid
LDAPUserSuffix 				cn=users
LdapGroupPrefix 			cn
LDAPGroupSuffix 			cn=groups
LDAPUserObjectClass 			inetOrgPerson
LDAPGroupObjectClass 			groupOfUniqueNames
LDAPGroupMember 			uniqueMember
LDAPUserFilter 				(&(uid=%v)(objectclass=inetOrgPerson))
LDAPGroupFilter 			(&(cn=%v)(objectclass=groupOfUniqueNames))
LTPAPassword 				passw0rd
LTPATimeout 				120
SSODomainName 				in.ibm.com

Section: Tivoli Access Manager related configuration entries
PDAdminPwd 				passw0rd
PDServerName 				dw_server.in.ibm.com
TamHost 				dw_server.in.ibm.com
PDPolicyServerList 			dw_server.in.ibm.com:7135:1
PDAuthzServerList 			dw_server.in.ibm.com:7136:1
JunctionPoint 				/dw_server_tai
WebSealInstance 			Webseal_instance-webseald-dw_server.in.ibm.com
WebSealHost 				dw_server.in.ibm.com
WebSealPort 				80,443
WebSealUser 				wpsbind
BaUserName	 			wpsbind
BaPassword 				wpsbind
PDRoot 					/dw_server

保存并关闭wpconfig.properties文件。 打开命令提示符，然后转到portal_server_root / config目录。

输入以下命令以运行配置任务：

清单14.启用安全性

WPSconfig.bat enable-security-ldap

注意：-仅当您收到上述命令的“ 构建成功”消息时，才继续。

每一步骤之后，请使用以下命令检查服务器的状态。

清单15.检查服务器状态

C:\Program Files\WebSphere\AppServer\bin>serverStatus.bat -all

注意： -Application Server状态必须为STARTED

如果构建成功完成，请启动server1和WebSphere Portal。 使用控制台登录验证是否已启用LDAP（ITDS）安全性。

部分：在不同组件之间启用SSL的步骤

注意：-如果不需要SSL， 请跳过本节。

请参考“使用GSKit V7在WebSEAL和后端服务器之间启用SSL”部分。

保存并关闭wpconfig.properties文件。 打开命令提示符，然后转到portal_server_root / config目录。

输入以下命令以运行配置任务：

清单16. TAM配置

WPSconfig.bat run-svrssl-config
WPSconfig.bat validate-pdadmin-connection
WPSconfig.bat enable-tam-all

注意：-仅当您收到上述所有命令的“ Build成功”消息时，才继续。

每一步骤之后，请使用以下命令检查服务器的状态。

清单17.服务器状态

C:\Program Files\WebSphere\AppServer\bin>serverStatus.bat -all

注意： -Application Server状态必须为STARTED

部分：WebSEAL配置

注意：-这只是一个示例配置； 有许多方法可以配置WebSEAL。 与TAI相关的唯一项目是iv-cred和虚拟密码。

WebSEAL配置文件的缺省位置是：<TAM-install> /PDWeb/etc/webseald-default.conf

清单18. WebSEAL配置

[ba]
ba-auth = none

[junction]
basicauth-dummy-password = wpsbind
http-timeout = 300
https-timeout = 300

[forms]
forms-auth = both

[script-filtering]
script-filter = yes

配置WebSphere Portal的注销页面

您可能还需要更改注销行为。 首选的默认行为是用户注销WebSphere Portal并保留其Access Manager SSO凭证。 毕竟，Access Manager是企业SSO产品，并且可能不仅向WebSphere Portal提供SSO。 但是，在某些情况下，您可能希望当用户注销WebSphere Portal时，他们的Access Manager凭证也被破坏。 如果您想要这种行为，请执行以下操作：

修改ConfigService.properties

• 在以下位置创建ConfigService.properties文件的备份副本：
  • <WP_ROOT> \ config \ properties \ ConfigService.properties。
• 如下所示编辑文件：

清单19. WP注销配置

redirect.logout= true
redirect.logout.ssl= true or false, depending on your environment
redirect.logout.url= <protocol>://<host_name>/pkmslogout

哪里：

• <protocol>是WebSEAL机器的协议（HTTP或HTTPS）。
• <host_name>是标准的WebSEAL URL。

redirect.logout.url的值必须显示在一行上。

执行以下步骤来运行update-properties配置任务：

• 找到目录/ PortalServer / config
• 在命令行上键入以下适合您的操作系统的配置任务：
  • WPSconfig.bat更新属性

注：执行完所有这些步骤后，您将必须重新启动WebSphere_Portal。

测试TAI ++：

现在，我们完成了所有步骤，请转到以下URL版本来验证您是否已获得SSO：https：// <websealhost>：<port> / dw_server_tai / wps / myportal

用户名：wpsbind

密码：wpsbind

结果：您必须在没有任何门户登录的情况下获得“我的门户”页面。

图15. WebSphere Portal主页

恭喜你！ 您已经在Tivoli Access Manager和WebSphere Portal之间成功配置了SSO。

测试TAI ++注销页面：

当前，您已登录到Myportal页面。 通过登录到门户并单击注销链接来测试更改。 您的页面应重定向到WebSEAL pkmslogout页面，并显示以下消息：“用户wpsbind已注销”

故障排除

问题I：-通过WebSEAL单一登录到WebSphere Portal时会话超时

解决方案：-登录到WebSphere管理控制台，选择“资源”->“资源环境”提供程序->“ WP ConfigService”->“定制属性”，将新参数添加为“ timeout.resume.session”，其值为“ true”，类型为“ Boolean”。 重新启动WebSphere Application Server。

问题II： -validate-pdadmin-connection配置任务失败

解决方案：-发出消息“无法联系服务器”，需要在wpconfig.properties文件中验证PDAdmin ID和密码值的有效性。

问题III：-调试用于电子商务登录模块的IBM®Tivoli Access Manager

解决方案： -WebSphere Application Server管理控制台维护WebSphere Portal的登录模块。 要调试Tivoli Access Manager提供的PDLoginModule，请访问WebSphere Application Server管理控制台，查找应用程序Portal_Login JAAS登录，然后向PDLoginModule添加定制属性，其属性名称为“ debug”，值“ = true”。

问题IV：-验证TAM-TAI配置

解决方案：-

• 在WebSphere Application Server管理控制台中，单击安全性>全局安全性>认证>认证机制> LTPA。 单击其他属性下的信任关联
• 在“常规属性”下，找到“启用信任关联”。 如果选中其复选框，则说明信任关联已启用。 如果未选中，请选中该复选框，然后单击“确定”以启用信任关联
• 点击屏幕顶部“邮件”下的“保存”。 出现提示时，再次单击“保存”以确认您的更改
• 单击安全性>全局安全性>认证>认证机制> LTPA。 单击其他属性下的信任关联。 单击其他属性下的拦截器
• 应列出以下拦截器：
  • com.ibm.ws.security.web.WebSealTrustAssociationInterceptor
• 如果未列出，请查看ConfigTrace.log以了解在enable-tam-tai配置任务期间遇到的错误，并在必要时重新运行该任务。
• 点击屏幕顶部“邮件”下的“保存”。 出现提示时，再次单击“保存”，以确认您的更改

有关更多故障排除的信息，请参阅“资源”部分中的IBM WebSphere Portal v6.0文档。

结论

本文提供了可以配置LTPA，TAI的不同方式，以将Tivoli Access Manager与WebSphere Portal集成以进行身份​​验证。 它还说明了这些机制如何帮助WebSphere Portal和Tivoli Access Manager WebSEAL Server实现单点登录。 您遍历了为WebSphere Portal，Tivoli Access Manager和WebSphere插件设置SSL环境的场景。

---

翻译自: https://www.ibm.com/developerworks/tivoli/library/t-ssotam/index.html

ibm tivoli