ibm tivoli_将IBM Tivoli Directory Integrator密码同步器与Tivoli Identity Manager集成
ibm tivoli
IBM Tivoli Directory Integrator支持跨异构系统的通用和身份数据的同步,转换和迁移。 Tivoli Directory Integrator可帮助组织跨多个资源维护一致且受信任的数据,并提供:
- 用于几种流行的身份存储的插件,例如IBM Tivoli Directory Server,Domino(仅Http密码),Microsoft™Active Directory和SunOne。 这些插件可以安全地捕获密码,并使它们可用于AssemblyLine的处理。
- 解决方案的基础结构和几个现成的组件,可在异构软件环境中同步用户密码。
使用Tivoli Directory Integrator构建的密码同步解决方案可以拦截多个系统上的密码更改。 通过Tivoli Directory Integrator组装流水线可实现同步,该流水线可配置为将拦截的密码传播到所需的系统。
IBM Tivoli Identity Manager提供了用于部署基于策略的供应解决方案的软件和服务。 该产品可帮助公司自动化流程,从而使员工,承包商和业务合作伙伴可以在封闭的企业环境中,虚拟企业或扩展企业中访问所需的应用程序权限。
使用Tivoli Identity Manager,您可以有效地管理密码的策略,这些策略是组织规则和逻辑的集合。 密码策略定义密码强度规则,该规则用于确定新密码是否有效。 Tivoli Identity Manager密码策略使您可以控制在整个系统中更改或生成,同步和设置密码的方式。
密码同步器的Tivoli Identity Manager集成允许在同步之前通过Tivoli Identity Manager中定义的密码管理策略来验证截获的密码。 密码同步使用Tivoli Identity Manager密码策略合并了密码复杂性检查。
在本文中,学习如何在同步之前通过Tivoli Identity Manager的密码策略将Tivoli Directory Integrator密码同步器插件与Tivoli Identity Manager集成以进行密码强度验证。 请遵循以下详细步骤:
- 安装和配置Tivoli Directory Integrator密码插件
- 配置Tivoli Identity Manager中间件
- 安装和配置Tivoli Identity Manager
- 为密码同步器配置Tivoli Directory Integrator
- 配置Tivoli Identity Manager密码策略
- 测试Tivoli Directory Integrator密码插件
安装和配置Tivoli Directory Integrator密码插件
本节描述如何安装Tivoli Directory Integrator密码插件和配置基于Tivoli Directory Integrator的Tivoli Directory Server密码同步器。
- 运行Tivoli Directory Integrator安装程序。 在Choose Install Set窗口中,选择Custom选项,如图1所示,然后单击Next 。
图1. Tivoli Directory Integrator安装向导
- 将打开“安装集”窗口。 单击Choose Install Set ,然后选中Password Synchronization Plugins框,如图2所示。按照安装向导中的其余说明完成安装。
图2.选择密码插件
Tivoli Directory Integrator密码插件安装已完成。
以下密码同步器支持Tivoli Identity Manager密码同步器装饰器类:
- Windows™密码同步器
- IBM Tivoli Directory Server的密码同步器
- Sun Directory Server的密码同步器
- UNIX®和Linux®的密码同步器
Domino HTTP密码同步器不支持与Tivoli Identity Manager的集成。 可以在Domino服务器上创建定制密码策略。 使用这些密码策略,可以在存储密码之前对其进行验证。
配置Tivoli Directory Server密码插件
Tivoli Directory Server密码同步器拦截对LDAP密码的更改。 第一步是向IBM Directory Server注册该插件。
- 确保Tivoli Directory Server服务器未运行。 编辑IBM Directory Server配置文件
/etc/ibmslapd.conf。 - 查找dn部分:cn = Directory,cn = RDBM Backends,cn = IBM Directory,cn = Schemas,cn = Configuration。
将清单1中的信息添加为一行。
清单1. ibmslapd.conf
Win32 ibm-slapdPlugin: preoperation "\pwd_plugins\tds\ idspwsync.dll" PWSyncInit " \pwd_plugins\tds\ pwsync.props" AIX64 ibm-slapdPlugin: preoperation " /pwd_plugins/tds/ libidspwsync_64.a.so "PWSyncInit " /pwd_plugins/tds/ pwsync.props" Linux32 ibm-slapdPlugin: preoperation " /pwd_plugins/tds/ libidspwsync.so" PWSyncInit " /pwd_plugins/tds/ pwsync.props". - 启动Tivoli Directory Server实例,并确保Tivoli Directory Server在正常模式下运行。 它不应在配置模式下运行。
- 如果Tivoli Directory Server服务器以Config模式运行,请检查Tivoli Directory Server日志(plugin.log / proxy.log)以获取错误详细信息,并采取适当的措施。
配置Tivoli Identity Manager中间件
本节描述如何配置Tivoli Identity Manager安装和配置所需的中间件(DB2和Tivoli Directory Server)。
- 确保使用所需的最小修订包正确安装了DB2和Tivoli Directory Server。
- 启动Tivoli Identity Manager的中间件配置实用程序。
- 显示标题为“ IBM Tivoli Identity Manager 5.1的中间件配置实用程序”的窗口。 在此窗口中,选中“ 配置IBM DB2通用数据库”和“ 配置IBM Tivoli Directory Server”的框,然后单击“ 下一步” ,如图3所示。
图3.中间件安装向导
- 将打开下一个名为IBM DB2通用数据库配置选项的窗口,如图4所示。在此窗口中,使用以下信息完成IBM DB2配置所需的详细信息,然后单击Next 。
- DB2管理员标识/实例名称:
db2admin - DB2管理员密码:
db2adminpasswd - DB2服务器数据库主目录:
E::,或安装DB服务器的任何位置 - DB2数据库名称:
itimdb - ITIM数据库用户标识:
itimuser - ITIM数据库用户标识的密码:
itimuserpasswd
图4.配置IBM DB2
- DB2管理员标识/实例名称:
- 显示配置DB2的提示窗口。 在这个窗口中,单击Yes ,如图5所示。
图5.选择是来配置DB2
- 完成DB2配置后,将打开Tivoli Directory Server配置窗口,如图6所示。使用以下信息完成所需的详细信息以配置Tivoli Directory Server实例,然后单击Next 。
- 目录服务器管理员标识/实例名称:
itimldap - 目录服务器管理员密码:
itimldappasswd - 目录服务器数据库主目录:
C:\ - 目录服务器数据库名称:
ldapdb2 - 加密种子:
ldapinstnaceforitimuser
图6.配置Tivoli Directory Server
- 目录服务器管理员标识/实例名称:
- 显示Tivoli Directory Server实例配置窗口的继续。 使用以下信息完成所需的详细信息,如图7所示,然后单击Next 。
- 管理员DN:
cn=root - 管理员DN密码:
admindnpasswd - 用户定义的后缀:
dc=com - 非SSL端口:
389
图7.配置Tivoli Directory Server实例,续
- 管理员DN:
- 将打开“摘要”窗口,如图8所示。在此窗口中,单击下一步 ,然后等待Tivoli Identity Manager配置进行。
图8.中间件安装摘要
- 如图9所示,将显示说明已成功完成该过程的窗口。单击Finish 。
图9.中间件的安装和配置完成
现在已安装并配置了Tivoli Identity Manager中间件。
安装和配置Tivoli Identity Manager
本节提供有关安装和配置Tivoli Identity Manager的详细信息。
- 在启动Tivoli Identity Manager安装向导之前,请确保已安装带有必需修订包的IBM WebSphere Application Server。
- 启动Tivoli Identity Manager安装向导,如图10所示。选择您的语言,然后单击OK 。
图10. Tivoli Identity Manager安装向导
- 将打开“安装目录”窗口。 在此窗口中,指定安装路径,如图11所示,然后单击Next 。 缺省路径是:C:\ Program Files \ IBM \ itim。
图11. Tivoli Identity Manager安装路径
- 在出现的Installation Type窗口中,如图12所示,在Single WebSphere Application Server实例上选择Tivoli Identity Manager部署,然后单击Next 。
图12.选择单个WebSphere Application Server
- WebSphere Application Server的Installation Directory窗口打开,如图13所示。在此窗口中,指定WebSphere Application Server的安装路径,然后单击Next 。 缺省路径是:C:\ Program Files \ IBM \ WebSphere \ AppServer。
图13.指定WebSphere Application Server安装路径
- 将打开“数据库类型”窗口,如图14所示。在此窗口中,选择IBM DB2通用数据库作为Tivoli Identity Manager数据存储库的服务器。 单击下一步 。
图14.将DB2配置为存储库
- 然后将打开“密钥库密码”,如图15所示。在该窗口中,指定您的密钥库密码,确认密码,然后单击“ 下一步” 。
图15.密钥库密码
- 您是否要安装无代理适配器? 窗口打开,如图16所示。在此窗口中,选择“不安装无代理适配器” ,然后单击“ 下一步” 。
图16.选择非AgentLess适配器
- 将打开“单服务器安装前摘要”窗口,如图17所示。查看摘要,然后单击“ 安装” 。
图17. Tivoli Identity Manager安装摘要
- 将打开“正在安装IBM Tivoli Identity Manager”窗口(图18)。 为在“ 配置Tivoli Identity Manager中间件”中创建的IBM DB2数据库的下面列出的参数输入适当的值,然后单击“ 测试” 。
- DB2数据库服务器主机名
- DB2数据库端口号
- DB2数据库名称
- DB2数据库管理员标识
- DB2数据库管理员密码
图18.指定DB2详细信息
- 成功完成DB2连接测试后,将打开“配置IBM Tivoli Identity Manager数据库”窗口,如图19所示。该窗口询问为Tivoli Identity Manager配置DB2所需的Tivoli Identity Manager用户和密码。 指定以下值,然后单击继续 。
- Tivoli Identity Manager用户标识
- Tivoli Identity Manager用户密码
图19.为Tivoli Identity Manager配置DB2
- 在完成DB2配置之后,Tivoli Directory Server实例配置窗口“输入LDAP服务器信息”将打开(图20)。 为以下参数指定Tivoli Directory Server实例的详细信息。 此信息必须与您在安装和配置中间件时指定的信息相同。 点击测试 。
- 校长DN
- 主体DN密码
- LDAP服务器主机名
- LDAP服务器端口
图20.指定Tivoli Directory Server详细信息
- Tivoli Directory Server测试成功运行后,将打开“输入目录信息”窗口。 在此窗口中,为以下参数指定Tivoli Identity Manager目录信息,以使用Tivoli Directory Server进行配置。
- 哈希桶数
- 单位名称
- 默认组织简称
- Identity Manager DN位置
单击继续,然后等待安装完成。
图21.为Tivoli Identity Manager配置Tivoli Directory Server
- 成功安装后,将打开“安装IBM Tivoli Identity Manager已完成”窗口,如图22所示。单击“完成” 。
图22. Tivoli Identity Manager安装和配置完成
现在,您已经完成了Tivoli Identity Manager的安装和配置。
配置Tivoli Directory Integrator密码同步器
本部分说明如何将Tivoli Directory Integrator与Tivoli Identity Manager集成在一起,以用于Tivoli Directory Server Password Synchronizer。
Tivoli Directory Integrator可以与Tivoli Identity Manager集成在一起,以用于Sun Directory Server密码同步器,IBM Tivoli Directory Server密码同步器,Windows密码同步器以及用于UNIX和Linux的密码同步器。
密码同步器的Tivoli Identity Manager集成允许在同步之前由Tivoli Identity Manager服务器的密码强度servlet验证同步的密码。 这允许密码同步使用Tivoli Identity Manager密码策略合并密码复杂性检查。
在开始配置之前,请确保已安装Tivoli Directory Server的密码插件。
- 从
/ pwd_plugins / tds /目录中编辑pwsync.props文件。 - 修改文件的“ Tivoli Identity Manager集成”部分,如图23所示,使用下面的Tivoli Identity Manager URL,PrincipleName,密码和Tivoli Identity Manager服务名称。
- itimPasswordUrl = http / s:// <主机>:<端口> / passwordsynch / synch
- itimPrincipalName = ITIM管理器
- itimPrincipalPassword = ITIM Manager密码是使用cryptoPasswd.bat / sh实用程序加密的(请参阅EncryptPassword实用程序 )。
- itimSourceDN = erservicename = TDIPasswordService,o = IBM,ou = IBM,dc = com
图23. pwsync.props
Tivoli Identity Manager密码URL可以是或https(SSL通信)。
对于通过SSL的Tivoli Directory Integrator到Tivoli Identity Manager的通信,您需要从部署在WebSphere Application Server上的Tivoli Identity Manager创建和提取证书,并将这些证书导入到Tivoli Directory Integrator证书中。
- 单击此处以获取有关在Tivoli Identity Manager(WebSphere Application Server)上执行的任务的详细信息。
- 单击此处以获取有关在Tivoli Directory Integrator上执行的任务的详细信息。
完成前两个步骤后,转到pwsync.props文件,并使用适当的值修改SSL配置属性,如清单2所示。
清单2. pwsync.props-SSL配置属性
# SSL configuration properties
#
# javax.net.ssl.trustStore=
# javax.net.ssl.trustStorePassword=
# javax.net.ssl.trustStoreType=
# javax.net.ssl.keyStore=
# javax.net.ssl.keyStorePassword=
# javax.net.ssl.keyStoreType=重新启动Tivoli Directory Server和Tivoli Directory Integrator服务器。
必须使用EncryptPassword实用程序对pwsync.props文件中引用的密码进行加密,如清单3所示。
清单3. EncryptPassword实用程序
\pwd_plugins\bin/encryptPasswd.bat/sh 同样,还应使用encryptPasswd.bat / sh脚本对以下内容进行加密:
-
itimPrincipalPassword -
javax.net.ssl.trustStorePassword -
javax.net.ssl.keyStorePassword
如果未对这些值进行加密,则会看到清单4中所示的错误。
清单4.更改密码时出错
com.ibm.di.plugin.pwstore.itim.policy.MalformedResponseException:
org.xml.sax.SAXParseException: Element type "SYNCH_PSWDS_RESP" must
be followed by either attribute specifications, ">" or "/>". itimSourceDN / ServiceDN是将对其执行密码检查的服务的名称。 格式为: erservicename=nameofservice,o=organizationname,ou=organizationshortname,dc=com
哪里:
-
erservicename - 指定IBM Tivoli Identity Manager服务器使用的目标服务的名称。
-
o - 指定IBM Tivoli Identity Manager服务器上的组织名称。
-
ou - 指定在安装和配置Tivoli Identity Manager服务器期间为组织定义的简称。 如果该值未知,则可以通过打开产品的LDAP配置工具来确定。 找到在Tivoli Identity Manager安装期间创建的新的根后缀。
-
dc=com - 指定目录树的根。
尽管DN格式用于服务DN值,但是此DN并非正在监视的服务的DN。 这些值是密码同步插件的参数值。
例如,如果您在名为ISIM的根LDAP后缀中安装了Tivoli Identity Manager服务器,并且您的Windows Active Directory服务名为WinAD Corp Server,并且安装在名为Finance Org的组织中,则Tivoli Identity Manager组织结构图看起来类似于图。 24
图24. ITIMSourceDN / ServiceDN
这个Windows Active Directory适配器示例的Service DN值如清单5所示。
清单5. ITIMSourceDN / ServiceDN示例
erservicename=WinAD Corp Server,o=Finance Org, ou=ITIM,dc=com 通过将syncClass属性值设置为清单6中的Decorator类名之一,将密码同步器配置为使用Tivoli Identity Manager Decorator。
清单6. pwsync.props
com.ibm.di.plugin.pwstore.ldap.LDAPPasswordStoreITIMDecorator
com.ibm.di.plugin.pwstore.ldap.JMSPasswordStoreITIMDecorator
com.ibm.di.plugin.pwstore.log.LogPasswordStoreITIMDecorator 为了进行测试,我们选择了LogPasswordStoreITIMDecorator ,它不应在生产环境中使用。 您必须使用syncClass=com.ibm.di.plugin.pwstore.log.LogPasswordStoreITIMDecorator将LDAP / JMS配置为供生产使用,如图25所示。
图25. pwsync.props
启用Tivoli Identity Manager集成后,必须在密码同步器配置文件(pwsync.props) checkRepository设置为true。
- 更新pwsync.props之后,重新启动Tivoli Directory Server实例。 确保Tivoli Directory Server在正常模式下运行; 它不应在配置模式下运行。
- 如果Tivoli Directory Server服务器以配置方式运行,请检查Tivoli Directory Server日志plugin.log / proxy.log以获取错误详细信息。
配置Tivoli Identity Manager密码策略
使用本节中的步骤来设置Tivoli Identity Manager的密码策略。
- 登录到Tivoli Identity Manager控制台,如图26所示。通常,URL是http://
/ / itim / console。 图26.登录到Tivoli Identity Manager控制台
- 登录到Tivoli Identity Manager控制台后,将显示“主页”窗口。 在此窗口中,选择“ 管理策略” >“ 管理密码策略” ,然后单击“ 创建”以创建新的密码策略,如图27所示。
图27.管理密码策略
- 打开名为“管理密码策略”的窗口。 在此窗口的General选项卡中,通过在Name字段中输入
TDIPasswordPolicy并在Business Unit字段中输入IBM来创建新的密码策略,如图28所示。单击Targets选项卡。图28.定义密码策略
- “目标”窗口打开。 在此窗口中,选择可用的ITIM服务 ,然后单击Add ,如图29所示。
此服务名称与您在
itimSourceDN参数中的Tivoli Directory Integrator pwsync.props中将使用的服务名称相同。图29.添加目标服务
- 将打开“规则”窗口。 在此窗口中,使用以下信息填写字段,以定义新的密码策略,如图30所示。某些字段有意留为空白。 单击“ 应用” ,然后单击“ 确定” 。
- 最小长度:8
- 最大长度:
- 最大重复字符数:2
- 最小重复字符:1
- 最小字母字符:
- 最小数字字符:1
- 不允许使用的字符:
- 必填字符:
- 仅限字符:
- 以字符开头:
- 重复的历史记录长度:
- 反向历史记录长度:
- 禁止用户名:否
图30.定义策略规则
现在已配置Tivoli Identity Manager密码策略。
测试Tivoli Directory Integrator密码插件
本部分描述Tivoli Directory Integrator密码插件如何拦截Tivoli Directory Server用户密码更改,以及Tivoli Identity Manager使用密码策略如何验证这些密码。
- 确保Tivoli Directory Server,Tivoli Directory Integrator代理和Tivoli Identity Manager服务正确运行。
- 使用LDAP客户端,尝试修改用户
test1的用户密码。 它应该具有userpassword作为属性,如清单7所示。 - 该命令将失败,并提供消息
ldap_modify:plugin function failed。 用户test1的密码为test1,长度不超过8。它也没有任何特殊字符,这在Tivoli Identity Manager密码策略部分中定义。清单7. ldapmodify命令
idsldapmodify.cmd -p 1389 -D cn=root -w password dn: cn=test1,o=ibm,c=in objectClass: top objectClass: person objectClass: organizationalPerson cn: test1 sn: test1 userpassword: test1 Results:- Operation 0 modifying entry cn=test1,o=ibm,c=in ldap_modify: Unknown error ldap_modify: additional info: plugin function failed - 检查proxy.log文件以获取详细信息。 您将看到
com.ibm.itim.policy.passwordpolicyAuthority.PASSWORD_RULE_VIOLATION,如图31所示。图31. Proxy.log输出
- 检查plugin.log文件,该文件将显示以下结果,如图32所示。
The Proxy response represents error.
Pre-operation on modify:PWPROXY_ERROR_PROTOCOL_PASSWORD_OP_FAILED.
Pre-operation on modify: Will cancel LDAP Modify operation for 'cn=test1,o=ibm,c=in'.图32. Plugin.log输出
- 尝试根据策略用适当的密码更改Tivoli Directory Server用户密码,如清单8所示。
清单8. ldapmodify命令
idsldapmodify.cmd -p 1389 -D cn=root -w password dn: cn=nagesh,o=ibm,c=in objectClass: top objectClass: person objectClass: organizationalPerson cn: nagesh sn: bhagwat userpassword: passw0rd# Results:- Operation 0 modifying entry cn=nagesh,o=ibm,c=in - 检查proxy.log文件,该文件将显示结果
Storing the password notification for user: 'cn=nagesh,o=ibm,c=in' with password: 'passw0rd#''结果,如图33所示。图33. Proxy.log输出
- 检查plugin.log文件,该文件将显示
PostModOperation: Proxy response is successful,如图34所示。图34. Plugin.log输出
同样,用户可以将syncClass指定为com.ibm.di.plugin.pwstore.ldap.LDAPPasswordStoreITIMDecorator或com.ibm.di.plugin.pwstore.ldap.JMSPasswordStoreITIMDecorator 。
-
com.ibm.di.plugin.pwstore.ldap.LDAPPasswordStoreITIMDecorator -
用户需要将LDAP配置为pwsyn.props文件中的密码存储。
(见LDAP作为密码存储相关信息了解更多信息。)
密码将存储在LDAP服务器下。 用户可以使用Tivoli Directory Integrator LDAP连接器从LDAP服务器读取密码,并且可以更新到其他数据源,从而实现密码同步。
有关如何从LDAP服务器读取密码的更多详细信息,请参阅“ 使用Tivoli Directory Integrator在Microsoft Active Directory服务器和IBM Domino服务器之间同步用户”中的附录A。
-
com.ibm.di.plugin.pwstore.ldap.JMSPasswordStoreITIMDecorator -
用户需要将JMS配置为pwsyn.props文件中的密码存储。
(有关更多详细信息,请参见JMS密码存储 。)
密码将存储在MQe下。 用户可以使用Tivoli Directory Integrator MQe / JMS密码存储连接器从MQe读取密码,并且可以更新到其他数据源,从而实现密码同步。
有关更多详细信息以及从MQe读取密码并将其更新到Active Directory中的示例解决方案,请参阅《 使用Tivoli Directory Integrator在Microsoft Active Directory之间进行密码同步 》中的第4节“创建Tivoli Directory Integrator AssemblyLine”。
现在,您已经完成了Tivoli Directory Integrator密码插件与Tivoli Identity Manager的集成,以便在同步之前通过Tivoli Identity Manager的密码策略进行密码强度验证。
结论
本文为您提供了逐步解决方案,该解决方案将Tivoli Directory Integrator密码同步器与Tivoli Identity Manager集成在一起,以在密码进入密码存储库以进行进一步同步之前将其用于密码策略强度和验证。
翻译自: https://www.ibm.com/developerworks/security/library/se-password/index.html
ibm tivoli