级别: 初级 Raymond Neucom (rneucom@us.ibm.com), Tivoli Systems Management ,Advanced Technical Support , IBM Boulder,科罗拉多州
2003 年 8 月 01 日 这个月我们请 Raymond Neucom 来回答您有关将 IBM 的 Tivoli Access Manager 与 WebSphere Portal 及 IBM 其它产品集成在一起的问题。
©Copyright International Business Machines Corporation 2003. All rights reserved.
这个月我们请
Raymond Neucom来回答您有关 IBM® 的 Tivoli®Access Manager 与 WebSphere®Portal 及其它 IBM 产品集成在一起的问题。用于电子商务的 Tivoli Access Manager 为安全电子商务解决方案的快速开发提供了安全性中间件。Raymond Neucom 在 Advanced Technical Support 小组里工作,专门研究 Tivoli 安全性产品与其它 IBM 产品以及非 IBM 产品的集成。关于更多信息,请参阅
Tivoli 开发者园地。
问:我可以把 WPS 4.2.x 和 TAM 3.9 及 IBM Directory Server 4.1 一起使用吗?可以把 IBM Directory Server 4.1 和 TAM 3.9 一起使用吗?
(由 IBM 的 Asim Saddal 提出)
答:WebSphere Portal Server 4.2 不支持 TAM 3.9。IBM Directory Server 4.1 支持 TAM 3.9,两者可以一起运行。但 LDAP 4.1 服务器必须与 TAM 3.9 组件位于不同的机器上。您需要在一个运行 TAM 3.9 组件的系统上使用 LDAP 3.2.2 客户机。
问:WebSphere Portal Server 的哪些版本支持 TAM,支持 TAM 的哪些版本?
答:WebSphere Portal Server 4.1.x 支持 TAM 3.9。WebSphere Portal Server 4.2 支持 TAM 4.1(还需要 WebSphere Portal Server e-fix PQ70837)。WebSphere 4.2.1 支持 TAM 4.1。
问:哪里可以找到有关如何集成 WPS 和 TAM 的详细信息?
答:请与您当地的 Tivoli Security 销售工程师或销售人员联系。他们可为您提供有关如何把 WebSphere Portal Server 4.1.x 与 TAM 3.9,或 WebSphere Portal Server 4.2.x 与 TAM 4.1 集成在一起的详细说明书。
问:怎样在一个集成的 WPS-TAM 部署中处理 WPS 会话超时?
答:在一个集成的 WebSphere Portal Server-Tivoli Access Manager 系统中,WebSEAL 应该实际控制会话的到期和重新认证。为实现这一点,我建议用下面的内容来替换 WebSphere Portal Server 文件
C:\WebSphere\PortalServer\app\wps.ear\wps.war\screens\html\ErrorNotLoggedOut.jsp 的内容:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<script language="Javascript">
<!--
setTimeout("history.go(-1)", 2000)
//-->
</script>
<BR><BR>
Refreshing WebSphere Portal Server user credentials following inactivity timeout... select
<a href="javascript:history.go(-1)" target="_self">here</a> if your browser does not automatically
redirect after 2 seconds.
</body>
</html>
|
除了以“Refreshing”开头的那一行外,不以“<”开头的行都是前面行的延续,应该按这样的方式输入。上面的 JSP 显示一条简短的消息并且执行一条“后退”命令,该命令将显示先前显示的页。在显示这一页时,信任关联拦截器(Trust Association Interceptor,TAI)自动让用户重新登录并刷新该用户的 WebSphere Portal Server 凭证,同时尽量不破坏这些凭证。
问:WPS-TAM 集成详细说明书使用一个从 WebSEAL 到 WebSphere Application Server 的基于 TAI 的连接。LTPA 结点可以代替这种结点吗?LTPA 结点相对于这种结点有哪些优点/缺点?
答:TAI 和 LTPA 结点都将在 WebSEAL 和托管 WebSphere Portal Server 的 WebSphere Application Server 服务器间工作。在 WPS-TAM 集成中对使用信任关联拦截器的选择有些随意。通过一个 TAI,WebSEAL 将当前用户的用户标识添加到发往 WebSphere Application Server(通过 IBM HTTP Server)的 HTTP 头,然后 TAI 在该服务器内被调用。TAI 执行几项检查,查看该请求是否确实来自于 WebSEAL 服务器,然后为从 HTTP 头中抽取的用户标识创建一个登录上下文。使用 TAI,将一个 LTPA cookie 和响应一起发送回浏览器。WebSEAL(在它的缺省配置下)将这个 LTPA 域 cookie 转换成一个主机 cookie,作为响应传送回浏览器。这样就消除了所有与域 cookie 有关的安全性漏洞。使用 LTPA 结点,WebSEAL 生成一个 LTPA cookie 并将它与请求一起发送到 WebSphere Application Server 中(通过 IBM HTTP Server)。WebSEAL 把用户的 LTPA cookie 写入高速缓存,以避免在接到同一个用户的后续请求时重新创建 LTPA cookie 的开销。Application Server 并不将 LTPA cookie 与响应一起发送回去,因为它假定调用者自己的 cookie 容器中仍然有 LTPA cookie。LTPA cookie 并不将响应发送回浏览器。
问:将 WebSEAL 包含到一个解决方案中会使网络体系结构发生怎样的改变?
答:WebSEAL 已经被设计成了一个运行在 DMZ 内的“堡垒主机(bastion host)”。一般情况下,这允许在主防火墙内移动“连接的”Web 服务器。由于 WPS-TAM 集成同时需要一个 HTTP 结点和一个 HTTPS 结点,因此那些不准未经加密或未经授权的 HTTP 通过它们的主防火墙的组织应该把 IBM HTTP 服务器留在 DMZ 中(仍然在 WebSEAL 后面),并配置一个通过主防火墙的从 IBM HTTP Server 到 WebSphere Application Server 的 HTTPS 连接。
关于专家访谈
专家访谈是有关 WSDD 的一个很有特色的每月专栏。我们可以让您接触到有关 IBM WebSphere 的最好的思想、随时准备回答您问题的产品专家和执行人员。您来提出问题,我们将公布对最普遍问题的解答。
参考资料
关于作者  | | | Raymond Neucom has authored this article |
对本文的评价
| 
