文档编号:
XX办公协同与门户集成
2009-1-13
单点登录试验总结
一、
IBM Tivoli Access Manager概述
TAMeb主要结构是由WebSEAL、Policy Server、存储三者构成的。
TAMeb的结构原理为:
用户提交请求给WebSEAL,WebSEAL通过和存储以及认证数据库进行验证,然后对后台的资源进行提交,返回给客户。而TAMeb的主数据主要是存放在Policy Server上。
在XX项目中,我们主要应用的是TAMeb WebSEAL组件,其是TAM安全域中基于Web资源的资源安全性管理器。WebSEAL作为逆向Web代理,从web浏览器接收HTTP/HTTPS请求并交付来自其自己的web服务器或来自联结的后端的web应用程序服务器的内容。 WebSEAL提供以下功能:
支持多种认证方式
在XX项目的单点登录试验中,我们共采用了三种认证方式:LTPA、GSO和Httpheader
接受Http和Https请求
熔断器底座通过WebSEAL集成和保护后端的服务器资源,管理访问控制。
作为逆向Web代理执行
对于客户端,WebSEAL可以作为Web服务器,而对于正在受保护的后端服务器,WebSEAL可作为Web浏览器
二、LTPA
LTPA全称Lightweight third party authentication。LTPA 定义了存储在客户端上的令牌格式。假如运行在不同机器上的第二个 WEB 应用程序也使用 LTPA,服务器会检查用户是否已经通过认证。如果通过了,用户就不必再次提供证书。
无菌检测系统TAM与Portal进行单点登录配置的主要步骤:
1.从目标Portal的控制台,即Websphere的管理控制台中导出LTPA密钥,并将LTPA密钥复制到Portal服务器上。
2.创建WebSEAL junction。
以XX项目中的命令为例(下同):
数码彩扩机server task tamtest-webseald-testtam.hngytobacco create -t tcp -h icssprotal.hngytobacco -A -p 10038 -J trailer -F "c:\LTPA_wmm.key" -Z "admin" -c all -f /portal
3.导入用户或组
group import wpsadmins cn=wpsadmins,cn=groups,dc=hngytobacco,dc=com
user import wpsadmin uid=wpsadmin,cn=users,dc=hngytobacco,dc=com
user modify wpsadmin account-valid yes
4.修改属性文件
修改\Tivoli\PDWeb\f文件。
将参数process-root-requests = always改为process-root-requests = never
重启TAM服务
电子飞碟5.验证单点登录
舞蹈把杆
访问:tivoli.hngytobacco/portal/wps/myportal
三、Global signon(GSO)
单一注册解决方案,使用户能够向后端 Web 应用程序服务器提供用户名和密码。全局注册授予用户通过单个登录访问他们有权使用的计算资源的访问权。
创建GSO单点登录配置的主要步骤:
1.创建无油空压机结构图resource和Junction
rsrc create rsrc_oa_gso
server task tamtest-webseald-testtam.hngytobacco create -t tcp -h icssprotal.hngytobacco -p 10000 -S "C:\f" -f /oa