Налаштування з’єднання SSL з LDAP для IBM Tivoli Directory Server

У WebSphere Application Server і WebSphere Portal можна налаштувати захищене з'єднання (SSL) з реєстром користувачів LDAP, що дозволить гарантувати конфіденційність даних, що передаються між WebSphere Application Server, WebSphere Portal та реєстром користувачів LDAP. Наприклад, через з'єднання між реєстром користувачів LDAP та WebSphere Portal передаються паролі користувачів. Це відбувається в тих випадках, коли для налаштування паролів застосовуються інструменти керування користувачами WebSphere Portal, а також під час перевірки операції зв'язування LDAP під час перевірки ІД та паролів користувачів WebSphere Application Server. Налаштування з'єднання SSL із LDAP дозволяє захистити конфіденційні дані. Крім того, SSL рекомендується застосовувати для захисту від перехоплення пакетів з даними про користувачів, якщо ці дані вважаються конфіденційними.

Для забезпечення конфіденційності необхідно налаштувати в WebSphere Application Server та WebSphere Portal підключення до реєстру користувачів LDAP за допомогою SSL. Налаштування підключення до LDAP за допомогою SSL для WebSphere Application Server і WebSphere Portal відрізняється від налаштування сервера IBM HTTP Server на обробку запитів HTTPS, що надходять від браузерів, або налаштування з'єднання HTTPS між сервером IBM HTTP Server і WebSphere Application Server у розподіленому середовищі.

Опис повного набору параметрів конфігурації всіх реєстрів користувачів LDAP та WebSphere Application Server виходить за рамки цієї документації на сервері порталу. Інструкції з налаштування з'єднання SSL з реєстром користувачів можна знайти в документації на сервері LDAP. Для IBM Tivoli Directory Server зверніться до останньої версії документації щодо реалізації LDAP фірмою IBM на сторінціhttp://www.ibm.com/software/webservers/appserv/was/support/. Інформацію про WebSphere Application Server можна знайти в посібнику з виконання завдань IBM WebSphere V5.0 Security, SG24-6573-00 у додатку B, що містить інструкції з налаштування WebSphere Application Server для підключення до LDAP за допомогою SSL. Ви також можете звернутися до документації WebSphere Application Server.

Рекомендується спочатку налаштувати та перевірити роботу власне сервера LDAP (без SSL), а потім розпочати налаштування зв'язку з ним через SSL. Перед початком налаштування SSL переконайтеся, що реєстр користувачів відповідає на звичайні запити LDAP.

Ключі та сертифікати

У загальному випадку завдання налаштування WebSphere Application Server та WebSphere Portal для підключення до реєстру користувачів LDAP за допомогою SSL складається з імпорту необхідних сертифікатів у файли сховищ ключів, які застосовують WebSphere Application Server і WebSphere Portal. До необхідних сертифікатів належать сертифікати підписів для сертифікатів сервера LDAP. Важливо пам'ятати, що WebSphere Application Server і WebSphere Portal повинні бути доступними для всіх сертифікатів, які утворюють повний ланцюжок довіри. У разі застосування власних сертифікатів такий ланцюжок включає лише власний сертифікат сервера LDAP. У разі застосування сертифікатів, підписаних CA, повинен бути включений весь ланцюжок сертифікатів, що підтверджує ідентичність і дійсність підписала CA. Можуть застосовуватися як придбані сертифікати, так і сертифікати підписання CA. Крім того, необхідно змінити деякі параметри конфігурації, які вказують на те, що у WebSphere Application Server і WebSphere Portal для підключення до LDAP повинен застосовуватися протокол SSL. Зазвичай достатньо імпортуватисертифікати підписів сервера LDAP у WebSphere Application Server та WebSphere Portal. Ця операція забезпечує можливість ідентифікації сервера з'єднання SSL. WebSphere Application Server та WebSphere Portal є клієнтами сервера реєстру користувачів LDAP. Ідентифікація клієнта відбувається під час операції зв'язування LDAP за допомогою SSL. Для підключення до WebSphere Application Server застосовується DN зв'язування, заданий у консолі захисту WebSphere Application Server. WebSphere Portal застосовує ID зв'язування adminId , що задається у файлі каталог-wp /wmm/wmm.xml .

У деяких випадках, якщо в реєстрі користувачів LDAP налаштовано застосування взаємної ідентифікації SSL із запитом сертифіката клієнта під час встановлення з'єднань, сертифікати підписів для WebSphere Application Server та WebSphere Portal повинні бути переміщені до сховища ключів сервера LDAP. Однак навіть у цьому випадку, незважаючи на те, що з'єднання SSL вже здійснило взаємну ідентифікацію, WebSphere Application Server і WebSphere Portal будуть застосовувати в операціях зв'язування налаштовані ідентифікатори зв'язування та паролі.

Налаштування LDAP для роботи через SSL

Необхідно спочатку налаштувати та перевірити роботу власне сервера LDAP (без SSL), а потім розпочати налаштування зв'язку з ним через SSL. Перед початком налаштування SSL переконайтеся, що реєстр користувачів відповідає на звичайні запити LDAP.

WebSphere Portal також підтримує інсталяцію безпосередньо до реєстру користувачів LDAP зі з'єднання SSL, хоча цей спосіб застосовувати не рекомендується.

1. Встановіть WebSphere Portal та WebSphere Application Server

Для отримання додаткових відомостей зверніться до розділу Встановлення WebSphere Portal.

Інструкції щодо встановлення WebSpherePortal у існуючому середовищі WebSphere Application Server також наведено в розділі Встановлення WebSphere Portal.

2. Встановіть та налаштуйте сервер LDAP

3. Створіть або імпортуйте необхідні сертифікати та увімкніть SSL на сервері LDAP

Для підключення IBM Tivoli Directory Server до LDAP за допомогою SSL можуть застосовуватись власні сертифікати або сертифікати підпису, підписані сертифікатною компанією CA.

До складу IBM Tivoli Directory Server входить утиліта керування ключами, наприклад gsk7ikm, за допомогою якої можна створювати власні або імпортувати придбані сертифікати у сховище сертифікатів IBM Tivoli Directory Server. Для отримання більш детальної інформації про імпорт сертифіката CA або створення власного сертифіката у файлі ключів та переміщення цього сертифіката у WebSphere Application Server та WebSphere Portal зверніться до документації IBM Tivoli Directory Server. Нижче описано послідовність дій зі створення власного сертифіката:

  1. Запустіть утиліту керування ключами. Наприклад, gsk7ikm.
  2. Відкрийте існуючий файл бази даних CMS (якщо підключення до сервера каталогів за допомогою SSL вже налаштовано) або створіть новий файл. Якщо ви використовуєте існуючий файл, необхідно ввести пароль. При створенні нового файлу вам буде запропоновано вказати пароль для захисту. Обов'язково запам'ятайте вказаний пароль.
  3. Створіть у файлі бази даних ключів CMS власний сертифікат у форматі X.509 версії 3 із ключем довжиною 1024 біта. Надайте сертифікату мітку. Обов'язково запам'ятайте вказану позначку.
  4. Вийміть власний сертифікат із файлу сертифікатів і збережіть його у форматіASCII Base64. При цьому сертифікат буде збережено у файлі зобраним вами ім'ям та з розширенням .arm.
  5. Якщо ви ще не зробили цього, налаштуйте в IBM Tivoli Directory Server підключення до LDAP за допомогою SSL із застосуванням файлу бази даних ключів CMS із власним сертифікатом. Детальні інструкції з налаштування наведено в документації IBM Tivoli Directory Server.

4. Імпортуйте до WebSphere Portal сертифікати, необхідні для створення з'єднання SSL

Перенесення сертифікатів сервера LDAP до WebSphere Application Server та WebSphere Portal

  1. Зробіть сертифікат підписання IBM Tivoli Directory Server (отриманий від CA або власний) доступним системам WebSphere Application Server та WebSphere Portal. Для цього перенесіть файл по мережі або на змінному носії. Зверніть увагу, що для успішного імпорту утилітами керування ключами WebSphere Application Server сертифікат CA повинен знаходитися у файлі .arm у форматі ASCII у кодуванні Base64. Змінити формат можна за допомогою керування ключами IBM Tivoli Directory Server (gsk7ikm).

Імпорт сертифікатів у сховище ключів WebSphere Application Server

Щоб створити власний сертифікат або ланцюжок сертифікатів CA, доступних продуктам WebSphere Application Server і WebSphere Portal, необхідно імпортувати сертифікати у файл сховища ключів Java ( .jks ) за допомогою інструмента керування ключами, який постачається з WebSphere Application Server. Зверніть увагу, що інструмент керування ключамиIKeyMan, що поставляється з WebSphere Application Server, відрізняється від інструменту IBM Tivoli Directory Server, незважаючи на те, що їх інтерфейс користувача дуже схожий. IKeyMan підтримує формати сховищ ключів Java, які застосовуються в WebSphere Application Server і WebSphere Portal, в той час якінструмент керування ключами IBM Tivoli Directory Server такої підтримки немає. Детальнішу інформацію про роботу з цим інструментом керування ключами наведено в документації WebSphere Application Server та вказаному вище посібнику з виконання завдань.

Нижче наведено короткий перелік операцій, які потрібно виконати для імпорту сертифікатів та налаштування підключення WebSphere Application Server до каталогу LDAP за допомогою SSL:

  1. Запустіть утилітуIKeyMan з каталогу каталог-was /bin. Для цього можна ввести в командному рядку команду ikeyman.exe або ikeyman.sh, залежно від операційної системи, що застосовується.
  2. Відкрийте файл сховища Java, який буде використовуватись у WebSphere Application Server для підключення до LDAP за допомогою SSL. Користувачі можуть створити нові файли ключів та визначити новий набір параметрів SSL. WebSphere Application Server має набір за замовчуванням DefaultSSLSetting. Рекомендовано використовувати стандартні параметри, які містять захищений файл сервера WebSphere Application Server за промовчанням. Відкрийте файл DummyServerTrustFile.jks, розташований у каталозі каталог-was/etc. Цей файл захищено за допомогою наступного пароля: "WebAS".
  3. ВиберітьСертифікати підписувачів, а потім натиснітьДодати.
  4. Виберіть тип данихASCII Base64 та знайдіть файл сертифіката, експортований сервером IBM Tivoli Directory Server.
  5. Вам буде запропоновано вказати позначку для нового сертифіката. Вкажіть те саме значення, яке ви задали під час створення сертифіката.
  6. Збережіть зміни у файлі ключів.

Імпорт сертифікатів у сховище ключів WebSphere Portal

У конфігурації WebSphere Portal можна вказати конкретнесховище ключів Java. У цьому випадку WebSphere Portal і WebSphere Application Server зможуть спільно використовувати одне й те ж сховище надійних сертифікатів у конфігурації SSL, пов'язаної з вихідними даними CSIv2. Щоб вказати сховище ключів Java, виконайте такі дії:

5. Закрийте незахищений (відмінний від порту SSL) порт сервера LDAP (необов'язкова дія)

Це необов'язкова дія. Закриття незахищеного порту каталогу дозволяє гарантувати захист даних, що передаються по з'єднанню між реєстром користувачів та WebSphere Application Server, WebSphere Portal або іншою програмою.

Подальші дії

Цей крок виконано. Перейдіть до наступного кроку, вибравши один із наступних розділів: