publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy...

254
Tivoli SecureWay Policy Director Base 3.8

Transcript of publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy...

Page 1: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Tivoli SecureWayPolicy Director Base�� ���

�� 3.8

Page 2: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................
Page 3: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Tivoli SecureWayPolicy Director Base�� ���

�� 3.8

Page 4: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Tivoli SecureWay Policy Director Base �� ���

��� ��

© Copyright IBM Corporation 2001. All rights reserved. Tivoli Systems ����� ��� ��, IBM����� ��� �� �� IBM �� ���� IBM ��� ��� �� Tivoli ��� ��� ���� ���� ��� � ����. IBM Corporation� �� �� �� �� � ���� �� ��� ��,��, ��, ��, ��, ��� � � �� �� ���� ���� ��, ��, ����� �� ������ � ��� ��� ��� �� � ����. IBM Corporation IBM Corporation ��� ����� ��� �� ����� �� �� ���� ����� �����, ��� � � �� ����� ��� ��� � �� ��� �����. IBM Corporation� �� �� � ��� ���� �� ��� ��� ���� ����. � ��� ��� ���� �� ���� ��� �� �� “�����” �����. �� �� �� ��� �� ��� � ���� ���� ��� � �� �� ������ ���� ����.

��

IBM, IBM ��, Tivoli, Tivoli ��, AIX, Policy Director � SecureWay� ���� �� ���� ���� International Business Machines Corporation �� Tivoli Systems Inc.� � �� ������.

Microsoft, Windows, Windows NT � Windows ��� �� �� �� ���� ���� MicrosoftCorporation� ����.

UNIX� �� �� �� ���� ���� Open Groupd� ������.

Java � �� Java � �� �� �� �� ���� ���� Sun Microsystems, Inc.

� ����.

�� ��, �� � ��� � � ��� � �� ������.

����

� ����� Tivoli Systems �� IBM� ��, ���� �� ���� ����� � Tivoli Systems�� IBM� ���� �� �� ���� �� ��� � ��� � ����� ����. ��� ��,���� �� ���� ����� � Tivoli Systems �� IBM� ��, ���� �� ����� ��� � ��� ��� ����. Tivoli Systems �� IBM� ��� �� ��� �� �� ���� ��� � �� ��� ����, ��� ��� ��, ���� �� ���� �� ��� � ����.Tivoli Systems �� IBM� ���� ��� ��� ���� �� �� ��� �� �� ������ �����. Tivoli Systems �� IBM � ��� �� �� ��� ������� � � � ���� ��� �� �� � ����. � �� ����� � � � �� ���� ���� ����. ���� �� ���� 135-270 � ��� ��� � � 467-12, ������, �� ��.�.� ���� ������, ����: 080-023-8080�� ������.

Page 5: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��

�� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii� �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii

� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii

� �� �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv

Policy Director �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv

��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi

�� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii

��� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii

�� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii

�1� Policy Director �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1������ ���� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

���� � � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

���� � -- � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Policy Director �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Policy Director = �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

�� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

�� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

(���) �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

�� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Policy Director ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

pdadmin �� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Management Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

iiiTivoli SecureWay Policy Director Base �� ���

Page 6: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

WebSEAL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Authorization API. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

�� API. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Policy Director Authorization Server . . . . . . . . . . . . . . . . . . . . . . . . . 13

IBM Global Security Kit(GSKit) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

��� �: ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

�� ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Policy Director �� ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Policy Director �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

�� ��� �����. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

�� � ��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

���� � Policy� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

���� � Policy� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

�� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

ACL � POP policy� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Policy ��: Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

�� ����: �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Policy Director Authorization API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Authorization API ��: 2�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Authorization API: �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Authorization API: �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

�� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

�� ��� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

�� ��� �� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

�� �� ����. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

�� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

�� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

�2� �� ���� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

iv �� 3.8

Page 7: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� ��(Protected Object Space) � . . . . . . . . . . . . . . . . . . . . 43

�� ��� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

�� ��� �� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

�� ������� �� ��� �� ��� �� . . . . . . . . . . . . . . 47

����� ��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

�� ��� �� ���� ���� �� . . . . . . . . . . . . . . . . . . . . 48

���� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

�3� ��� �� policy �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53ACL policy �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

ACL policy �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

ACL policy �� � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

ACL �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

�� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

ID � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

��( �) � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

�� Policy Director ��( �) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

�� ���� ACL policy� ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . 60

���� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

��� �� ��� �� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

��� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

ACL �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

�� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

���� � ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

ACL ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Sparse ACL ��: ACL �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Sparse ACL �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

�� �� ACL policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Traverse �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

vTivoli SecureWay Policy Director Base �� ���

Page 8: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

�� ��� ��� ACL policy �� . . . . . . . . . . . . . . . . . . . . . . . . 69

ACL policy �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

� ��� ��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

� ACL � � � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

� � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

� ��� � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

��� �� �� ACL ��� � . . . . . . . . . . . . . . . . . . . . . . . . . 74

ACL policy � �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

��(/) ���� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Traverse �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

WebSEAL ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

/WebSEAL/<host> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

/WebSEAL/<host>/<file> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

WebSEAL ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

�� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

/Management/ACL �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

/Management/Action �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

/Management/POP �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

/Management/Server �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

/Management/Config �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

/Management/Policy �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

/Management/Replica �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

/Management/Users �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

/Management/Groups �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

/Management/GSO �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

��� � ��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

�� �� ACL policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

�� �� ACL policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

vi �� 3.8

Page 9: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� /WebSEAL ACL policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

�� /Management ACL policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

�� /Replica ACL policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

�� /Config ACL Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

�� /GSO ACL Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

�� /Policy ACL Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

�4� POP ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91POP(Protected Object Policy) �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

POP policy ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

POP(Protected Object Policy)� �� � �� . . . . . . . . . . . . . . . . . . . 93

POP �� �� ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

POP � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

�� �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

�� �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

���� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

�� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

IP ����� �� ��� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

�5� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99��� �� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

�� ��� �� ��� �� � � �� . . . . . . . . . . . . . . . . . . . 100

�� �� ��� � � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

�� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

�� �� ACL ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

��: �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

� ���� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

� ��� ��� ��� ACL policy . . . . . . . . . . . . . . . . . . . . . . . 110

viiTivoli SecureWay Policy Director Base �� ���

Page 10: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� ��� ��� ��� ACL policy . . . . . . . . . . . . . . . . . . . . . 112

�� �� Policy �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

�6� Policy Director �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Policy Director � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

UNIX: Policy Director � ��/�� . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

pd_start ����� ���� Policy Director � ��. . . . . . . . . . . 125

pd_start ����� ���� Policy Director � ��. . . . . . . . . . . 125

pd_start ����� ���� Policy Director � �� �� . . . . . . 125

�� � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

pd_start ����� ���� � �� � . . . . . . . . . . . . . . . . . . . 126

Windows: Policy Director � �� � �� . . . . . . . . . . . . . . . . . . . . . . 126

��� ���� ���� � ��/�� . . . . . . . . . . . . . . . . . . . . . . 126

��� � �� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Management Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Authorization Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Management Server(pdmgrd) ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

�� ����� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

�� ��� ��� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

�� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

�7� LDAP ����� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133LDAP� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

LDAP: ��� ���� �� ��� . . . . . . . . . . . . . . . . . . . . . . 134

LDAP ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

LDAP �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

LDAP �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

viii �� 3.8

Page 11: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

LDAP � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

Master-Slave �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

LDAP � � �� Policy Director � �� �� . . . . . . . . . . . . . . 139

�� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

��� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

��� LDAP � � �� �� �� � �� . . . . . . . . . . . . . . . . . . . 142

� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

� LDAP ���� Policy Director ACL �� . . . . . . . . . . . . . . . . . . . . . 143

IBM SecureWay Directory Server �� . . . . . . . . . . . . . . . . . . . . . . 145

iPlanet Directory Server �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

�8� �� ��� �� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . 155�� �� � ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

�� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

�� �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

�� �: <install-path> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Policy Director � �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Policy Director � �� �� �� �� � �� ��� . . . . . . . 157

��: ivmgrd.log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

��� ��� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

��� ��� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

Policy Director �� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

�� �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

�� � ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

�� � �� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

�� � � ��� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . 162

�� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

�� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

� ��� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

ixTivoli SecureWay Policy Director Base �� ���

Page 12: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

�� �� � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

WebSEAL �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

��A. pdadmin �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175pdadmin ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

pdadmin ����(login �) �� . . . . . . . . . . . . . . . . . . . . . . . . . . 176

��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

pdadmin ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

GSO �� ��� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . 178

GSO �� � ��� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

ACL � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

ACL policy ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

ACL� �� � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

��� �� ACL � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

� ACL � � � � �� . . . . . . . . . . . . . . . . . . . . . . . . . 183

��� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

��� �� Objectspace �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

�� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

�� ���� �� � � �� . . . . . . . . . . . . . . . . . . . . . . . 186

POP(Protected Object Policy) � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

POP �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

POP� �� � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

��� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190

x �� 3.8

Page 13: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

��� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198

�� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

�� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

�� � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

�� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

Policy �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

��� Policy ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

�� Policy �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

��B. ivmgrd.conf �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

��C. ivacld.conf �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

��D. ldap.conf �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

��E. pd.conf �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

�. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

xiTivoli SecureWay Policy Director Base �� ���

Page 14: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

xii �� 3.8

Page 15: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��

Tivoli SecureWay Policy Director Base �� ��� �� � �

����.

Policy Director� �� �, ����/� , MQ � �� ��� �

������ �� ��� �� ������. Policy Director ��

�� �� ��� �� ��� ��� ��� ��� � �� �

��. ��� � ��� ���� ����� ���� � �

��� ������� Policy Director �� �����.

� �� ��� Policy Director � ��� ���� �� ��

�� � ��� �����. ��, � ��� � ��� PolicyDirector ���� ��� ��� �� �� �� ��� �����.

� �� ���� �� ��� ���� �� ����.

¶ � ���

¶ ��� �� � �� ���

¶ ���� ��� ���

¶ IT ���

¶ ������ ���

� �� ��

¶ �1�: Policy Director ��

� ��� ��� Policy Director ��, Policy Director �� �

� ����, �� ��� ��, � policy �� ���� ��

���.

¶ �2�: �� ���� �� ��

xiiiTivoli SecureWay Policy Director Base �� ���

Page 16: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� ��� Policy Director� ��� �� ��� ���� �

�� � ��� � ��� ����� ���� ����.� �� ��(�� � � �����)� ��� ��� ���

��.

¶ �3�: ��� �� Policy ��

� ��� ACL(Access Control List) Policy� �� ��� �

� �����.

¶ �4�: �� ���� Policy ��

� ��� �� ��� policy(POP: Protected Object Policy)� �� ��� � � �����.

¶ �5�: �� � ���

� ��� Policy Director� ��� �� � ��� ��

��� ���� ��� ����.

¶ �6�: Policy Director �� ��

� ��� Policy Director � � �� ��� ���� ��

�� �� � � �����.

¶ �7�: LDAP ����� ��

� ��� LDAP ���/ ���� ���� LDAP � �

� ��� �� ���� ��� �����.

¶ �8�: �� ��� �� �� � ��

� ��� Policy Director �� �� �� ��� �� ���

� � �����.

¶ �� A: pdadmin �� ��

¶ �� B: ivmgrd.conf ��

¶ �� C: ivacld.conf ��

¶ �� D: ldap.conf ��

¶ �� E: pd.conf ��

xiv �� 3.8

Page 17: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� �� ��� ��� ���� �� �� �� �� �� ��� �� �����.� �� ����.

�� �, ��, �� � �� ��� �� ����.� �� ���� �� �� ��, � �� � � � ���

����. � �� �� ��, ��� � � �� ���

�� ����.������ � ��, ��, � � ��� ���� ������ �

�� ����.

Policy Director �� ���� Tivoli SecureWay Policy Director �� ���� �� �� �

�� �� Policy Director �����.

Tivoli SecureWay Policy Director �� ��

�� ���

Tivoli SecureWay Policy Director Base �� ��

Tivoli SecureWay Policy Director WebSEAL �� ��

�� ���

Tivoli SecureWay Policy Director Base �� ��(� ��)

Tivoli SecureWay Policy Director WebSEAL �� ��

Tivoli SecureWay Policy Director Plug-in for Edge Server �� ��

Tivoli SecureWay Policy Director Web Portal Manager �� ��

��� ���

Tivoli SecureWay Policy Director Authorization ADK Developer Reference

Tivoli SecureWay Policy Director Authorization API Java Wrappers

Developer Reference

Tivoli SecureWay Policy Director Administration API Developer Reference

Tivoli SecureWay Policy Director WebSEAL Developer Reference

Supplemental Documentation

Tivoli SecureWay Policy Director ���� ��

xvTivoli SecureWay Policy Director Base �� ���

Page 18: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Tivoli SecureWay Policy Director �� ��

Tivoli SecureWay Policy Director Performance Tuning Guide

Tivoli SecureWay Policy Director Capacity Planning Guide

��� �� ���Tivoli �� �� � ���(http://www.tivoli.com/support/)� �� �

� ��� ��� �����.

¶ ���� ��, �� � �� ��, �� �� � ��� � �

� ��� ��� ��

¶ �� ���� ��(FAQ)

¶ ����� ��� ��

http://www.tivoli.com/support/getting/�� Customer SupportHandbook� ����.

http://www.tivoli.com/support/documents/�� ��� Tivoli �� �

�� ��� � ����. Master Index� �� �� ��� ��

���� �� � ����.

https://www.tivoli.com/secure/support/Prodman/html/AB.html#Security�� Policy Director � ��� �� ��� �� �

����.

�� �� PDF � HTML ���� �� ���, ��� ��� �

����.

���� �� ��� �� ��� ID ��� �����. �� �

����� ��� ID� ��� http://www.tivoli.com/support/getting/�� ����.

������ http://www.tivoli.com/support/smb/index.html�� Tivoli� �� � ��� �� ��� � ����.

xvi �� 3.8

Page 19: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� ��� �� ���� Tivoli � �� �� ��� � �

���.

�� ��http://www.tivoli.com/support/Prodman/html/pub_order.html��

Tivoli ��� ����� �����, �� � ���� ��� �

����.

¶ �� � : [email protected]

¶ �� ��.�.� ������: 080-023-8080, 02-3781-7114

��� �� ��� ����� Tivoli �� ��� �� ���� ��� ���� ����,��� � ��� �����. �� ��� �� ���� �

��� ��� �� � ���� ������.

¶ �� � : [email protected]

¶ �� ��� � �� ��:http://www.tivoli.com/support/survey/

�� �� ������ � Tivoli �� �� �� �� Tivoli ��� � ���

��� �� � ���� ������.

��� :[email protected]

�� ��.�.� ������: 080-023-8080, 02-3781-7114

� ���: http://www.support.tivoli.com

Tivoli Customer Support Handbook(http://www.tivoli.com/support/handbook) �� ��� ��� Tivoli �� ��� �� ��� ��

��� �����.

¶ �� � ���

xviiTivoli SecureWay Policy Director Base �� ���

Page 20: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ ��� ��� ���� �� �� �� ��

¶ ���� � ��� �� �� � �� � ��

¶ ��� ���� �� �� � ��

xviii �� 3.8

Page 21: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Policy Director ��

Policy Director� �� �, ����/� , � ��� PolicyDirector(PDOS), MQ Series� Policy Director(PDMQ) � ��� �

�����(��� ����)� �� ��� �� ������. PolicyDirector ��� ����, � �� �� ��� �� ����

��� ��� ��� � ����. Policy Director� �� ��

�� ���� �� ���� �� �� ���� �����, �

�� � � �� ���� � ������ � e-business ��

�� ��� ���.

�� ��

¶ 2 ���� ������� ���� ��

¶ 6 ���� �Policy Director = �� ��

¶ 9 ���� �Policy Director �����

¶ 13 ���� ���� �: ��� ���

¶ 17 ���� �Policy Director �� ����

¶ 22 ���� ����� � Policy� ���

¶ 30 ���� �Policy Director Authorization API�

¶ 35 ���� ��� �� ���

1

1Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 22: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

������ ���� ���� � ��� ��� �� ����� � ��� ��� ��

���� ��� ���� ��� ���� �� �� ��� ��

e-business� �� �� � ���� �� ��� ���� ��

��� �� ����. �� �� ��� ��� � ���� ��

�� ��� ��� ���� � �� � � ��� �� ��� �

��� ��� �����. TELNET �� POP3 � ��� ��

���� �� ��� ��� ���� ����� ���� ����.

��� �� ��� � � ��� ��� � ���, ��� �

� �� �� ��� ����, ���� ��� �� ���

� ��, ��� ���� ���� � ��� �� ����. ��

� ���� ��� �� � �� ��� ����� ����. ��

� �� � policy ���� �� ���� ���� ���� �

� ����.

Policy Director� �� ���� �� � policy� ���� �

���� � �� �� �� ���� � ���� ���� ��

policy �� ������.

Policy Director� ���� � ���� � � �� �� ����

� �����.

¶ ��� � ���� ��� ��� � ��� ���� ���

��.

¶ � ���� ��� � ��� ���� �� ��� �

����.

¶ ���� �� � ���� ��� ��� �� � ��

��� �����.

���� �� �� � ����� ���� � ��� �� � � ��� Policy Director�

��� � �����.

2 �� 3.8

Page 23: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ �� �� �� ���� ���� ���� �� ��� �

�� ��� ���� ���, ��� � ��� ����.

¶ ACL(Access Control List) policy� ��� ��� �� �

� �� �� �� �� �� ���� �� ��� ����

Policy Director � �������.

¶ � � ���� ���� ���� ��� ���� ����

���.

¶ �� ��� �� �� ��� ��� ��� � �� ��� �

�� ���� ���(�� ���� � ����) �������.

¶ � ���, � ��(�� ��) � �� � �� �� �

�� ���� ��� ��� �����.

¶ ���� ���� ��� �� ���� ��� ���� ���

� � ���� ���� �� �� ���� ���. ���

� ������� ��� � �� ���� ���.

¶ ��� ��� ���� ��� �� ��� ���� �

����.

¶ POP(Protected Object Policy)� ���� ACL policy ��

� �� ��� ���� � ��� �� ��� PolicyDirector � �������.

¶ �� ���� �� ACL POP policy� ���� � ���

�� ���� � ���� �� ��� ��� �� ���

����.

¶ ������ � ���� ����� � ��� � �� �

� ��� ������ ������(LDAP)���.

¶ ��� ��� ���� ��� �� ��� ��� �� �

��� ���� ����.

¶ �� �� ��, ��� � �� ��� ��� � ���� �

�� �� �����.

3Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 24: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� �� -- �� ����� �� ���� � � ��� ��� ���, ������ �

����� �����. ��� �� ���� � ������ ����

����� �� � ��� � ���.

¶ ������� � �� �� � ��� ��.

¶ �� �� �� � �� �� ��.

¶ ������� � ���� �� � ��� ��.

¶ ��� ��� �� � ��� ��.

�� ���� �� ��� ���� �� ��� ��� ���

��� ���� ��� � �����. ��� ����� �� ��

� �� ��� ��� ��� � ��� �� �� ���.

�� ������ policy ��� ��� ��� �� ������

��� ������ ��� ���� ��� ��� ���� ��� �

� �(Information Technology) ������ ���� ��� ��

�����.

��� � ������ ������� �� �� ��� ��� �

��� �� ���� ��� ��� �� �� ��� ���� �

���. ���� � API� � ���� �� �� �� �

��� ������ ��� �� ��� �� ���� �� ���

�����.

�� �� ���� � �� ��� �� � �� �� �

�� ���.

¶ ��� ��� ��� � � �� �/�� � ��

¶ ���� ������ �� ������ �� �� ��

¶ ������ ��

4 �� 3.8

Page 25: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Policy Director ��Policy Director� ����� �� ���� � ������� ��

� �� ��� ��� ���� ��� �� � ���� � policy�� ������.

�� �� � policy �� �� �� Policy Director� ��, ��,��� � � �� �� �� �����. ��� � � ��

����� �����, ��� � ������ Policy Director� �� ������.

Policy Director� �� �� �� ����.

¶ �� �����

Policy Director� � ��� � ���� ���� �� ��

�� �����.

¶ �� �����

Authorization API� ��� ���� Policy �� ���

� ��� Policy Director � �� ������� �� �

� ��� � �� ��� �����.

��� �� Policy Director� ���� �� �� ���� � �

�� �� ��� ��� ��� � �� ���� ���� ���

� �� � ��� � ����. Policy Director ��� ���� �

��� ��� �� �� ������ ������ ����� �

�� ��� � ����.

�� ��� API ���� ���� ������� � � �� ��� �����. ���

� �� ����� � � � �� ���� ���� ��� � �

� ��� ��� ���� ���� policy� �� �����.

�� ��, � � �� ��� ���� ���� Authorizationserver� ��� ��, �� � �� �� ��� � �� �� �

�� � � ����.

5Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 26: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� Authorization API� ������� �� �� �� ��

�� ��� � ��� �� ��� ���� ��� �� �����

�� �� ��� ��� ��� ����.

Authorization API� ��� � �� �� ������� �����

� �� ������� �� � �� ���. Authorization API� ���� ����� ��� ������ ��� �� ��� �

� ��� ��� � ����.

Policy Director = �� ��Policy Director ���� � �� ��� ��� �� �� ��

�� �����.

¶ ��

¶ ��

¶ �� ��

¶ ��

¶ ���

¶ �� �� ��

���� ����� Policy Director� ���� ������� ���

��� � �� ��� ����. �� ����� �� ��

� �� ������� �� ��� � �����. Policy Director�

Authorization API� ��� � ��� � �� ��� �����

�����.

Policy Director Base� Authorization API� � ��� � � �

� ��� � ��� �����. ���� Authorization API� �

��� ��� �� �� ����� ��� � ����.

6 �� 3.8

Page 27: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��

¶ Policy Director �� ���

¶ �� �� ��� �� ACL POP policy

¶ � Authorization API

¶ �� �� ��� ��

(���) �� ���� � Policy Director� ���� � �� �� ��� �

��� �����. ��� � �� �� ����� �� �

� �� ��� �����.

�� �� �� ��� �����.

¶ TCP ��(�� ��)

¶ ��� ��� - ���� �� �� ���(������)� ���

� ���� ��

¶ ��� ��� � - ���� �� �� ���� ����� �

�� ���� ��

��� �� ��Policy Director� SSL� � ��� ��� ��� �����.

¶ 40�� RC2

¶ 128�� RC2

¶ 40�� RC4

¶ 128�� RC4

¶ 40�� DES

¶ 56�� DES

¶ 168�� triple DES

7Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 28: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��Policy Director� SSL(Secure Socket Layer) �� ���� ���

� ��� ��� ��� ��� �� �����.

SSL handshake ��� ��� ��� � ��� �� ���

� � Netscape Communications Corporation� � ������

�. SSL ��� �� �� � ���� SSL ���� ���� �

�� ����� �� � �����.

Policy Director� SSL � 2 3� �����.

����� � ���� ��� ���� ��� �� ��� ��

� ����. Policy Director� ��� �� ���� ��� �

����.

¶ ���� ��

v �� ���

v �� ���

v � policy

v ��� ��� ���

v �� ���

¶ ����� �� � (WebSEAL)

v � ���� � �� ��

v ���� �� �� ��

¶ ��� �� � (WebSEAL)

v ��� � � WebSEAL �� �� ������ � � � �

����.

v � ���� � �� ��(� ��� ��)

v �� �� � ��

8 �� 3.8

Page 29: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

v junction� � ���� ��� �� �� ��

¶ �� � �� ���� ��� � � ����� � ��� ��

� ��� ��

¶ �� � ��� ���� ��� � ��� ��� ��

���Policy Director� �� �� �� � �� ��� �����. PolicyDirector � � ��� � � �� ���� ��� �� �

Policy Director � ��� ����� �� �� �� ����.

�� ��

¶ Policy Director � �� �

¶ ��� ��� ���

¶ HTTP �� �

�� �� ��

¶ Policy Director � �� �� �

�� ��� ��

¶ Web Portal Manager

¶ pdadmin �� ����

Policy Director ����Policy Director�� ���� ��� � � ���� �� ���

��� �� ����. Policy Director� UNIX(Solaris, AIX, HP-UX� Linux ��) � Windows NT/2000 � �� ����� ����

�.

9Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 30: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Web Portal ManagerWeb Portal Manager� Policy Director � ���� � policy�

���� � ���� � � ��� ���������. Web PortalManager� ���, �, ��, ��, policy � ������ �� �

�� �����.

�� Web Portal Manager� ���� ����� ���(� ���)�� ��� ��, � � �� ��, � �� � ������ �

� ��� ���� �� ����� �� ���� �� ��� �� �

� ���� �����. � ��� ��� � �� � ����

� � ���� �� ��� � � �� ��� ��� ��� ��

�� � �� ��� �����.

�� 1. Policy Director ����

10 �� 3.8

Page 31: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

pdadmin ��� ���pdadmin �� ����� �� Policy Director �� ���� ��

�� �� ��� �����. Web Portal Manager� � �� ���

� �� ��� �����.

�� ��� � � �� ���� ���� � ���� � �� ��� �

��� �� ��� ��� �� �� ����� ������ �

��� LDAP � ���.

� � � �� � �� ��� ��� �����.

¶ � � � ���� � � � � ���� ��� �

�� ��� �����. � ��� �� �� ����� ���

��� ��� ����. �� ���� �� ��� � �, �

�� ��� �����.

¶ �� ��� ��� � �� ���� �����.

� � � � ��� �� � ����� ������ ��

�� ��� ��� ��� � ����. � � � �� ����

�� ��� � � �� ��� ������ �����.

Management ServerManagement Server(pdmgrd)� � ���� �� �� �� policy������ �������. ��, � ��� ���� �� ��

����� ���� �����. Management Server� � ���

�� �� Policy Director � � �� �� ��� �������.

WebSEALWebSEAL(webseald) HTTP HTTPS �� ��� ���� �

� � ������.

11Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 32: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

WebSEAL HTTP HTTPS ��� ���� ���� �� ��

� � � ���. WebSEAL URL, URL � ��, CGI ���

�, HTML �, Java Servlet � Java �� � � ��� �

� �� ��� �����.

WebSEAL junction � �� WebSEAL junction �� � �� �

� � �����. WebSEAL junction �� � � ���� �

��� ���� �� � ��� ���� ��� �� ���.

WebSEAL � � ��� �� � �� � ��� ���� �

�����. ���� SSL� � WebSEAL� �� ��� �

� ����. ���, WebSEAL HTTP �� � �� ��� ���

� ���� ������. WebSEAL CGI ��� ���� ���

� � �� ����.

Authorization APIPolicy Director ADK(Application Development Kit)�� �����

Policy Director � ��� �� ������� �� ��� � �

� Authorization API� �� ����. Authorization API� �� �

��� �� ��� ���� ���� � ������� � �

�� �� �� ��� ��� ����.

Authorization API� ������� �� �� ��� ������.�� ���� �� Policy Director�� �� ���� ��� �

�� ��� �� � � ���� ��� �������.

Authorization API� ��� �� � �� �� �� � OpenGroup� Security Working Group�� �������.

�� APIAdministration API� pdadmin ����� �� ��� �����. �� �� �� ������� Policy Director ���, ACL, �,���, POP, � , ���, � � policy� ���� ���.

12 �� 3.8

Page 33: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Policy Director Authorization Server�� �� �� ����, ������ Policy Director AuthorizationAPI�� ���� �� ��� ���� Authorization Server(pdacld) �����. Authorization Server� �� �� �� ����� �

� policy ����� ��� ���� �������.

API� Authorization Server� �� �� ��� � ��� .Authorization Server� � policy� ����, ���� �����.� � �� ��� ����� �� �� �� ��� ��� � �

���.

IBM Global Security Kit(GSKit)Policy Director� SSL ���� IBM GSKit(Global Security Kit)��� �����. ���� GSKit� iKeyman ����� ����

X.509 ��� �����.

��� ��: ��� ��� � � ����� �� ��� � � ����� �� ��

�� ���. ��� �� � policy� ����� �� ��

� �� ��� ��� � ��� �� ���� �����. �

���� �� ��� �� ��� � � � ���� ��, �

� �� � �� ��� ���� ���� �� ��� � ����.

� �����, �� �� �����. �� �� ����

� � ���� �� ��� � ��� ��� � �� ��� �

��� ��� �����. �� �� ��� �� ��� ��� �

�� ��� ��� ���� �� ���� ��� �� ��� �

�����.

Policy Director �� �����, �� policy� ��� ��� �� �

���� ��� �����. ���� ��/�� �� �� � �

���� ��� ��� ����� ���� ��� ��� ��� �

����.

13Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 34: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ����� ��� ����� ��� ��� ��� � �

�� ����. �� ���� �� �� �� ��� ��� ��

�� ���.

� ���� �� ���� �� � policy� ��� �� ���

��� ��� ���. � policy� � ���� ��� ����

���� ��� ���� ��� ��� ��� ��� ��� ���

��.

�� ����� �� ����� �� ����.

¶ ��� ���� �� �� ��� ��� ��� �� �� ��

�� ���� ����� �� ���� �� ��� ����� �

��� policy ������.

¶ ��� �� �� �� ���� �� ���

��� ������ policy ��� �� ���� � ����� �

���. � � � ���� Policy Director WebSEAL �� ���

���� �����.

�� 2. � �� ��

14 �� 3.8

Page 35: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� �� ������ �� �� � �� �� ��� �� �

��� �����.

�� ��, �� ����� � � ���� �� ��� ��� �

����.

¶ ����� ��

¶ ����� � ���

¶ ����� ���� ���� ��

�� �� ���� ����� ��� �� ���� ��� ���� ����� �� �

� ������ � �� ����. ���� ��� ��� �

��� ��� �� �� ������� �����. ��� � �

����� ��� ��� ��� ��� ���.

� � �� ��� �� �� ��� ������� �������.��� �� �� �� ��� ��� ��� �� ��� ��� �

�� ��� �� ���.

�� �� ���� ��� �� ������� �� �� �

���� �����. �� ���� �� �� ����:

¶ ������� �� �� �� � �� ��� ����.

¶ ��� �� ����� �� ��� � ��� � ��� ����.

¶ �� � ���� � �����.

¶ �� ����� �� ��� � � ����.

¶ ��� ��� ������� ��� � ����.

¶ �� ��� ����.

¶ ��� ��� ��� ���.

15Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 36: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Policy Director �� ���� ��Policy Director� �� � �� ���� ����, ��� ��

�� policy ���� �����. Policy Director �� ���--����� ��(WebSEAL)--� ���� ���� ���� �� �

� ����� �����.

��� ������ �� ���� ��� ��� � ����. ��

policy� ���� �� ��� ��� ��, ���� � , ���

������ ����� ��, �� ��� ��, �� �� ���

�� ���� ��� � ����.

Authorization API(30 ���� �Policy Director Authorization API�� )� ��� ������� �� ���� ��� � ��� ���.�� ��� � policy� �� ��� � � ��� ���.

�� Policy Director �� ���� � ���� �� �� ��� �

��� ������ ���� �� ����� �� �� �� ���

� ����� ��� � ����.

Policy Director �� ���� ���� ���� �� � ��� ���.

¶ ������ ������.

¶ �� ���� �� �� ���� �����(AuthorizationAPI).

¶ �� ����� ��� ����. �� ��, �� ��� ���

� �� �� ���� �� ���� ���� �� �����

� �����.

¶ �� ���� ���� � ���� ������� �����.

¶ ��� � Policy Director �� ���� �� �� ��� ���

� �����.

¶ ��� ��� �� ����, � ���� ����� � � �

��.

16 �� 3.8

Page 37: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ �� ��� ��� � ����. �� �� ������ ���

�� ����� �� ��� �� � ����.

¶ ���� ��� �� ��� �����.

¶ �� �������� ������.

Policy Director �� ���Policy Director �� ���� ���� � policy� ���� � �

�� �� �� �� ����� �����. �� ���� � ��

�� �� �� � ����� �� ��� �� ��� ����

�� ���� ��� �� �� ��� ����.

������ ���� � ��� �� ����� ���� ����:

¶ �� �� policy �����

¶ Management Server

¶ �� �� ���

��� �� policy ������ �� �� policy ������� � ���� �� ��� ��

� policy ��� �� ����. � ������� � ���

� ��� �� ��� �� �� ��� �� ����.

Web Portal Manager� ���� � ������ ��� � � �

�����.

Management Server(pdmgrd)Management Server� � ���� �� �� policy �����

� ������, � ��� ��� � � ������ ����, ��� ��� �� ���� ����� ���� �����.

Management Server� �� Policy Director � ����� ��

�� Policy Director� �� � � �� �� ��� �������.

17Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 38: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�: � ����� ��� Management Server ����� �� �

��.

�� ���� ���� � policy� ���� �� ��� ��� � ��

����� �� ���� �� �� �������. ���� ��

���� ���� ���� �� �� �����.

� ���� �� ����� ����� �� ����� ��� �

����.

�� �� �� ���� �� ����� �����.

�� 3. �� ��� ����

18 �� 3.8

Page 39: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� ������� ����� ��� ���� � �� ������ ����.

¶ �� ���� -- � ���� ����� policy �(����)� ���� � ���� ��� ���� ���� � WebPortal Manager(�/�� pdadmin ����)� ���� ����

� � policy� �����.

Web Portal Manager� � � policy ���� ManagementServer� � �� �� policy ������ �����.

� ������ ����, ��� ��, policy ���� � ��

� �� ��� ��� �����.

¶ Authorization API -- Authorization API� �� ���� ��

�� �� ���� �� � �� �� ����� � ���.Tivoli SecureWay Policy Director Authorization ADK DeveloperReference� � API� ����� ���� ����.

19Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 40: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� � ��� �� ����� � ���� ���� ���� � �� ���� ���

�� ��� � ����.

policy � �� ��� �� �� � �� �� policy ���

��� �� ���� ���� �����. �� ���� ���� �

������� � ����� ��� � �� �� � �� ���

����.

¶ ������ �� ��� ���� ����� �� ��, �

����� �� �� �����.

������ ��� �� � ���� �� ���� ����

� ������� � �����.

¶ ������ �� Authorization Server ����� � �

�� ���� �����.

�� 4. �� ���: �����

20 �� 3.8

Page 41: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� ������ Authorization Server� ��� ����� �

�������. �� ������� � Authorization Server� ��� � ����.

Management Server� �� ��� �� �� Policy ������

��� � � ����, � ����� ����� �� ���� �

����.

�� ����

¶ Management Server��� ���� �� �� �� ���, ��

���� � � �� ��� ��� ��� �� �� policy� �� � �� � �� ����� ���.

�� ��� � � � �� �� ��, �� ��� �����. �

�� ��� �� ��� ���� �� ��� ������ �

���.

�� 5. �� �� ���� ����

21Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 42: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ � �� policy ��� � ��� ��� � ���. �� �

�, WebSEAL� �� ��� ��� �� ������ �� �

��� policy ����� �����. WebSEAL �� �

������� � ��� �� � ����� ��� ���

����. � � �� ��� �� ��(��)� �� ���.

¶ ���� �� �� ������ � � ��� � ��� �

���.

���� �� Policy� ��� ���� �� � policy� ACL(Access Control List) policyPOP(Protected Object Policy)� ��� � ��� ��� �

���� �� �� ��� � �����. �� ���� �� �

�� �� policy� �� ��� ��� ������ policy� �

����. � ��� �� ��� ��� ���� �� ����

� � ���.

���� �� Policy� ���� ���� � ���� �� ��� ���� �� �����

ACL, POP policy� �� ��� �����. �� �� policy����� ��� �����(��� � ��� ��)� ���

� � policy� ��� ��� �� ��� �������.

��� ���� � policy� ��� �����.

1. � ���� ����� � ��� � �

��� ������ � ��� �������.

2. � ���� �� ���� �� �� ��

�� �� ������ � ��� �������.

�� ��� ���� ��� �� � ���� � ���� ����� ���

���. ��� ��� ��� ���� ���� �� ���

� ��� �� ��.

22 �� 3.8

Page 43: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ ��� �� -- �� � � �� ������

¶ �� ���� -- �� ���, Web Portal Manager, �� PolicyDirector �� ����� � ���� ��� ��� ���

��� �

Policy ����� ��� ��� ���� � ��� ��� �

��� ��� � ����. �� ���� ��� ����� ����

�� ��� ����.

Policy Director� �� ��� �� ��� �����.

¶ � ����

�� ���� HTTP URL� �� � �� �� � ��

��. � ����� � �� �� �� �������� �

�� � �� �� � ��� �� URL� �����.

¶ Policy Director �� ����

�� ���� Web Portal Manager� ���� ��� ���

�� ��� �� ��. � ���� ���� ���� �

policy� ���� � ��� ���� �� ��. Policy Director� �� ��� ��� ���� � policy� ��� ��� �

��� ���� ���� �� ��� � ����.

¶ ��� �� ����

�� ���� ��� �� ���� Authorization API� ��

�� ���� ���� �������� �� ���� ��� �

� ��.

23Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 44: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� 6. Policy Director �� ��� ��

24 �� 3.8

Page 45: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

ACL � POP policy� ��� ��� ���� ACL POP policy� ��� �� ���� ���

policy� ��� ��� �� ��� ��� ��� �� ���

��, ��� ��� �����.

�� ���� ���� �� policy� � �� ��� ����

�. �� ���� �� �� ��� �� ��, �� ��� �

� ������� ��� �����.

��� policy� � ����� �� ����� ����. �� �

��� ����� �� �� ���� ��� ���.

��� � ��� policyPolicy� ���� ����� ��� � ����. Policy Director �

� ��� �� ACL POP policy �� ��� �����. � ��� ��� ���� � ���� �� ��� �����

��. ���� �� ���� �� ��� ���� �� policy�

����� �� ���.

policy ��� ��� �� ����:

¶ �� �

�� 7. �� � �� Policies

25Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 46: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ �� �� ��

¶ �� � ���

¶ ACL(Access control List)

ACL(Access Control List)ACL policy� � ��� �� �� ��� ���� � ��� �

� ���� ��( �) �����. ACL policy� ��� � ���

� � �� � policy� ��� �������. �� policy �

� ACL policy� �� ��� ��� ��� ��� � �

� ��� � �����.

ACL policy� ��� ��� ��� �����:

1. ���� ��� � �� ��

2. ��� ��� � �� ���

ACL policy� ��� � �� � �� �� � ��� ��

�� �� ��� ���� �����.

POP(Protected Object Policy)ACL policy� �� ���� �� ��� �� ��� “yes” ��

“no”� ��� � �� �� �� �� ���� �����.

�� 8. ACL policy

26 �� 3.8

Page 47: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

POP policy� “yes”� ��, WebSEAL � �� ��� PolicyDirector Base� � ��� �� �� �� �����(�� ��

�� ACL policy ��). Policy Director �� ���� POP �

� � ���.

�� ��� POP� � �� ��� �� �����.

Policy Director Base� � ���

POP �� ��

�� Pol icy� � . pdadmin pop ���

<pop-name>���.

�� Policy� �� �. pop show �� ����

�.

�� �� ����� ACL POP policy� ��� � �

� �� �����.

�� �� ��� � � �����. ��, �, ���

��, �� ��, �

�� ��� �� ���� ���� ��� �� ��

��� ���� �����.

�� ���(�: WebSEAL)� � ���

POP �� ��

�� � �� ��� ��� �����. �, ��, ��

� �

IP ���� � ���

Policy�� ���� ���� ��� �� ����

� �����.

Policy ��: Web Portal ManagerWeb Portal Manager� Policy Director � ����� � policy�

���� � ���� � � ��� ���������. pdadmin

�� ����� Web Portal Manager ��� �� � Web PortalManager�� ���� �� �� �����.

27Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 48: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Web Portal Manager�� (�� pdadmin��) � � �����, �� �� policy ����� � Policy Director � � ��� �

����. ��� �� �� �� ���� ���� ����

ACL � POP policy� ��� �� ����.

�� ����: ������ �� �� �� ����� �����.

�� 9. Web Portal Manager: � policy� ��

28 �� 3.8

Page 49: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

1. �� ����� �� �� �� ��� � � �� � ��

policy ��� ����� � �������.

�� ���� WebSEAL(HTTP � HTTPS ��� ��) ��

�� ������� � ����.

2. policy ��� ����� Authorization API(30 ���� �PolicyDirector Authorization API� � )� ���� �� ��� � �

� ���� �����.

3. �� ���� �� ��� ���� ��� ���� ���

��� � �� ��� �����. Base POP policy� � �

����. �� ���� �� ACL policy� ����� �

� ���� �����. �� ��, �� ���� � ��

POP policy� �����.

4. ��� �� �� �� �� �� �� ����� �����

�����.

�� 10. Policy Director �� ����

29Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 50: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

5. ��� �� ����, �� ���� � ��� ��� �� ���

�� �������� � ���.

6. ����� �� ��� �� ���.

Policy Director Authorization APIPolicy Director Authorization API(Application ProgrammingInterface)� Policy Director ������ � �� ������� �

� ���� ��� �� ��� � � �� ���.

Authorization API� �� ���(�� ��� ����) �� ���

�� ��� ��������. Authorization API� �� ��� ��

� policy �� ������� ���, ������� �� �� �

���� ���� �� ���.

Authorization API� �� �� � ��� ��� � ���

�� ��� �����. Authorization API� � ��� �� ��

�� ���������� ���� ���� �� ���� �

��� ��� � ����.

Authorization API� �� � ��� ���� �����.

¶ �� �� ��

� ����, ������� ���� �� ��� �����(��)Authorization Server(pdacld)� ���� � API� �����

�. Authorization Server� �� �� policy ������ ��

�� �������. � ��� ������ ����� ��

��� ���� � ������.

(32 ���� �Authorization API: �� � ��� � )

¶ �� �� ��

� ���� ������� �� �� ������ �� ���

� ����� ������� API� ������. ������

����� ���� �� ����� �� �� ��� ���

�� �� �� ��� � � ��� �����. ���, ���

30 �� 3.8

Page 51: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� � �� � ��� ���� � ���

WebSEAL � ��� � �� ������ � � � ��

�� ��� � ��� ���.

(34 ���� �Authorization API: �� � ��� � )

Authorization API� ���� �� �� �� ��� ���� �

�� ������� ���� ���� �� ����. ��, �, �

, ��, �� �� � �� ��� ��� Authorization API���

�� ����.

��, Authorization API� �� � ���, �� �� � �� ��

�� ����� �����. Authorization API� �� ��� ��

�� ���� ��� “�” �� “���” ���� � � ��

��. ���� �� �� ����� ���� � � ����.

Authorization API ��: 2�� ���� ������ Authorization API� ���� �� ����� �

� �� ��� ��� � ����.

�� 1

��� ��� ������ �� ��� �� �� ��� �� �

� �� ����� ���� ���� ��� � ����.

�� 2

Authorization API� ��� ��� � ������� �� CGI ��

�� ��� ��� �� ���� �����.

�� A� � �� �� �� URL� �� “all-or-nothing” �

� ��� �� ��. � ���� �� �� ����� CGI �

���� ��� � ���� ���� �����. CGI �������

�� ��� ��� CGI ������� ���� ���� � �

�� ��� ��� � ����.

31Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 52: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� B��, �� ��� CGI ����� ���� �� �����.� ������ Authorization API� ����� ���� ����.��, CGI ����(���� ����� ID� ��) �� ����

���� ���� ��� �� �� ��� �� � ����.

Authorization API: � �� ���� � ����, ������ Policy Director Authorization API�� ���� �� ��� ����(��) AuthorizationServer(pdacld) �����. Authorization Server� �� �� ��

��� ��� ���� ��� �� �� policy ������ ��

�����.

�� 11. Authorization API ��� ��

32 �� 3.8

Page 53: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Authorization Server� ��� ��� API� ��� ������� �

��� �����. � � �� �� ��� ����� �� �� �

� ��� �� ��� � ����.

� ��� � � � ���� Authorization Server� �� ��

�. Authorization Server� ������ ��� ���� ����

�, �� ���� ��� � ����. Authorization Server� � �

��� �� � ��� ���� ���� ���� �� �� ����.Authorization API� �� Authorization Server� ��� �� �� �

� �����.

�� 12. Authorization API: �� � ��

33Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 54: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Authorization API: � �� ���� � ���� API� ������� �� � ����� ��

policy ������ ���� ����� �������. �� �

��� ��� �� ����(in-memory) �� ��� �����.

�� ���� ���� �� � ���� Authorization API� ��

�� �� ������� ���� �� ���. �� �� ��

policy ������ ��� � ���, Management Server� ��

�� � �� Authorization API ������� ��� �� ��

���.

�� ��� ������� ��� � ����. API� �� ��

� ��� ��, �� ��� �� �� �� policy ����

�� ��� ��� ��� �����.

34 �� 3.8

Page 55: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� ���� ��, Policy Director policy ��--ACL(Access ControlList) � POP(Protected Object Policy)-- �� � policy� ���

�� �� �� ��� �� �� ����. Policy Director� ��

�� ����� ���� � �� �� �� �� �����.

�� �� ���� � ��� (��) �� ��� ���� ����

�� �� �� �� ��� � ����.

�� 13. Authorization API: �� � ��

35Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 56: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� ���� �� �� Policy Director �� ���� �� �����. �� �� ���� ���� ��, Policy Director �� ���� �

� �� ��� �� ����� ��� �����.

�� ���(�� ��, Authorization API� ���� WebSEAL, �

� ������)� ���� ������ �� �� ���� ���

��� ��� ���� �� ��� ���. �� �� ���� �

�� �� � policy� �� ��� ��� ������� ���

������� ��� ��� ����.

�� �� ��� � � �� �� � ���� ����� ���

� �� ���. �� �� ���� �� � � Policy Director ��

�� ����� ��� � �� ���, � ����� �� ��

� �� ��� �����.

� ��� �� � �������� ���� �� �� ��� �� �� �� ����

��� �� �� ���� ��� � ����.

��� �� ��� �� ����.

¶ ������ ���� �� �� ��� �� �� ����� �

��� ���.

¶ �� ��� � ���� ������, ��� � �� �� �

�� ��� ��� �����.

¶ �� �� � �� ��

¶ �� ���� �� �� �

�� �� ������ Authorization Server� ���� �� �� �� � ���

� �����.

36 �� 3.8

Page 57: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

1. ��� �� �� �� � � ���, � �� � �

� �� �� ���� �� �� �� �� �� ���� �

�� �����.

��� ��� Policy Director �� ���� � ����� ��

������ ��� ���� �� �� ���� ��� ����

�.

2. � �� �� ���� �, �� �� ��� �����.

“��”� ����, �� �� ���� �� ����� �� ��

�� ���� ��� ���� �� �� �����.

3. � �� �� ��� �� ������ ��� ��� ���� �

�� �� ������.

� �� �� ���� ���� ��� ����� ��� � ��

���.

4. �� �� �� �� Policy Director �� ����� ��� �

��� �� � �����. � �� ����� �����.

����� �� WebSEAL � �� �� ���� �� �� ��

� �����.

37Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 58: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� ����, �� �� ���� �� �� �� ��� ��� �

� �� ������ �� �� ����� ��� ���.

��� ���� � ��� � �� � ���� ��� � �� ��

�� �� �����. �� �� ��� ��� �� �� ��� �

�� ���� �� �� ���� �� ���� ��� � ����

�.

�� �� ���� Policy Director �� ���� ��� ��� ��

�� �� �� ��� 101� �������.

1. WebSEAL � � ��� �� �� ��� ���� �� �

�� � � � �� ��� � � � . ��� � � � �

GraphicArtists� ������ �� ���� ��� �����

����.

�� 14. WebSEAL� ��� �� �� ���

38 �� 3.8

Page 59: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

2. WebSEAL Server� � Policy Director �� ���� ����

�� ���� ���� ��� ��� ��� ���� �����.

3. Policy Director �� ���� �� �� ���� �� ��

��� ���� �� ���� ���� �����.

group GraphicArtists rx

��� ��� �� ACL��, “x” �� GraphicArtists �� �

���� ��� �� ��� �����. ���� Policy Director�� ���� ����� ��� ��� ��� �����.

4. �� ��� ��� �� ��� �� �� ��� ��� ��

� ���� �������, � ��� �� �� �� ��

���� ���� �� ��� �����.

�� �� ���� WebSEAL� � ��� �� �� ���

� �� �� ADI(Access Decision Information)� ���.

5. �� �� ���� � ���� ��� �� ��� ��� �

����. �� ���� �� ��� ��� �� ��, “��”��� ��� �����.

�� �� ���� ��� ���� ��� �� ��� ��

�� ��� ����� �� ��� ��� ��� ��� �

� ��.

��� ���� ��� �� ��, �� �� ���� “�� �

�”� ��� �����.

� ��� ��, ���� ��� ����� �� �� ����

�� ���� “�� ��” ��� ���� �����.

6. Policy Director �� ���� �� �� ����� “�� ��

” �� ���. �� �� � ��� �� �� �� �� ��

� ���� 101� �����.

�� �� ��� ��� � � Policy Director �� ���� �

�� ��� �����. �� �� ���(-101)� �� PD ��

���(100)�� ���� ���� “�� ��”���.

39Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 60: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

7. WebSEAL Server� �� ��� ��� �� �� ��� ���

��.

8. WebSEAL Server� ��� ������ ���� � ����

� ��� �����.

� �� ��� ���� �� ���� ���� ��� � �� � ��� �����.

1. �� �� � � � � ��� ��� � �� �� ������

�� �� ��� ����� ����.

2. Policy Director �� ����� ���� ���� ���� �

�� � ��� �� �� ���� Policy Director� ������.

��� �� �� �� ���� ��� �� ��� �� ����

�. ��� �� �� �� � ����, ���� �� ��� ���

� � �� �� ��� ������ �����.

�� �� ��� ��� �� �� ���� ��� Tivoli SecureWayPolicy Director Authorization API Developer Reference� � ��

��.

�� ��Policy Director� ���� �� �� ���� �� �� ���� �

�� � ����.

¶ ��� �� ��� ���� � �� �� ���� � �� �

���� ��� � ����. � �� �� ���� � �� �

� Authorization API ���� �������� �����. �� �� ���� ��� � �� ������ WebSEAL(webseald), Authorization Server(PDAcld), �� Policy Director� � ��� � ��� �� ������� �����.

¶ �� ��� � Authorization Server� ��� ���� �� �

� �� API ����� Authorization Server� �� �� �

� ���� ���� ���� ���.

40 �� 3.8

Page 61: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ � ��� �� �� ���� � ��� �� � ��� �

����. � ��, � �� �� ���� �� �� �� ���

��, � �� Policy Director �� ���� � ��

���.

¶ ��� � �� �� �� ����, ���� �� ���

���� � �� �� �� ���� �� ��� �����

�� �� ���� ���� ����� ��� � ��

��.

¶ ��� � ���� ��� ���� ��� � ����. ��

�� �� �� ���� ���� �� ��� �� �� ���

����� �� �� ���� �� � ���� ���� �

����. �� �� �� �� ��� �� �� �� �� ��

� �� �� ���� ����� �� ��� ���� � ��

���.

¶ �� �� ���� ���� ����� ����(DLL) ��� �

����. � �� �� ��� �� ���� �� ����

��. �� �� ���� �� �� ��� ���� ����� �

�� ��� ���� � ��� �� ��� � �� ����.

¶ Authorization API � �� �� ���� � � policy

��� ���� �� ��� �� ���� �� ���� �

����.

41Tivoli SecureWay Policy Director Base �� ���

1.P

olicy

Directo

r�

Page 62: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

42 �� 3.8

Page 63: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� �� ��

Policy Director� ���� ��� �� ��� ��� �� ���

��� �����. �� �, ���, ��� ���� ��� �

����. Policy Director� �� ��� ��(Protected object Space)��� ��� � ��� ����� ����.

ACL POP policy� ��� ��� �� ����� ��� �

�� � ����. � ��� ��� ��� ���� ���

�� ������ ����� ���� ��� ��� ��� ��

� ��� ����.

�� ��

¶ ��� ��� ��(Protected Object Space) ��

¶ 48 ���� ������ ��� �� ���

�� ��� ��(Protected Object Space) ��Policy Director� ��� ��� �� ��� ��� �� ��� ��

� �����. �� �, ���, ���� ��, ������, �

�� ���� ��� � ����.

Policy Director � �� � ��� �� ��� ���� �

ACL POP policy� �����. �� � policy� � �� ���

��� �� ACL POP policy� ��� ����� �����.

2

43Tivoli SecureWay Policy Director Base �� ���

2.�

��

��

��

Page 64: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Policy Director �� ���� ��� �� ��, �� ��, ACLPOP policy� �� ��� ��� ����� ��� � �� �

����.

ACL POP policy� ���� �� ���� �� � ��� �

���� �� ��, Policy Director� �� ��� ����� �

� � ��� ��� �� ��� �� �����.

policy director � �����, Web Portal Manager �� pdadmin����� ���� ��� ��� � ���� ACL POPpolicy� ��� � ����.

�� ��� ��� ��Policy Director� �� ��� �� � ���� � ���

���� ���� ����. ��� ��� ��� ���� ��

�� ����� �� ���� ��� �� ��.

¶ ��� �� - ���� � �, ���� ��� �� ����

��

¶ �� ���� - �� ���, Web Portal Manager, �� PolicyDirector �� ����� � ���� ��� ��� ���

��� �

�� ��� �� � �� ��� ���� �����.

¶ ���� ����

���� ���� ��� ��� �� ��� Region� ��

� ����� ��� �� � � �����. ���� ����

� �� ���� �� ����.

¶ �� ����

�� ���� � ���� �� �� ���� ��(���,

� � ���� �)� ����.

44 �� 3.8

Page 65: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� �� �� ��� ���� ���� � � �� ��� ��� � � �� �

����. ��� ��� ���(/)���.

��� ��� �� ��� �� ���� ����.

¶ � ����(/WebSEAL ����)

WebSEAL ���� ���� � ���� � � ��� �

����. ���� �� ���� � �� HTTP �� �

�� �����.

� ���� URL� ��� � �� �� � �� ��. ��

�� � ������ ��� ������ �� �����

� �� �� �� �������� ��� � �� �� � ��

� �� URL� �����.

¶ Policy Director �� ����(/Management ����)

Management ���� ���� �� Policy Director �� ��

� ���� � ��� �����. �� ���� ��� �

� ���� � policy� ���� � ��� ���� ��

��. Web Portal Manager �� pdadmin ����� ���� �

� ���� ��� � ����.

�� 15. Policy Director �� ��� ��

45Tivoli SecureWay Policy Director Base �� ���

2.�

��

��

��

Page 66: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

/Management region� �� � � �� ����.

v ��� ��(/Users)

v � ��(/Groups)

v GSO ��(/GSO)

v � ��(/Server)

v ACL policy(/ACL)

v POP policy(/POP)

v �� �� ��(/Config)

v �� �� ��(/Action)

v �� ����� �� ��(/Replica)

Policy Director� �� �� ��� ��� ����, � policy�

��� ��� ���� ���� ���� �� ��� � �

���.

¶ ��� �� ����

� ���� ��� �� ��� �� Policy Director �� ��

�� ���� � Authorization API� ���� �� ����

���� �� ���� ��� �� ��.

46 �� 3.8

Page 67: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ������� �� �� �� ��� ��Policy Director� �� ��� ��� � �� ��� ����

�� ���� �� ���� ��� � ����.

Policy Director� ����, ��� ������� � ��� ��

� region� ��� ��� ����. �� ��, WebSEAL �� �

�� ��(/WebSEAL)� ����. Policy Director� /Management��� ��� �� ���� ����.

� ��� �� pdadmin objectspace list �� �����.

pdadmin> objectspace list/WebSEAL

/Management

�� 16. Policy Director �� ��� ��(Protected Object Space)� region

47Tivoli SecureWay Policy Director Base �� ���

2.�

��

��

��

Page 68: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Policy Director � �� ������ Authorization API� � �

� ���� �����. �� ������� �� ��� ���� �

�� � �� �� �����.

¶ �� ������� ��� �� �

¶ ��� ��� ���� �� ��

�� “��� �� ���” ����� �� ������� �� �

��� ��� � �� �� ��� ��� region���. �� �

��� ���� �� �� ��� �� ����� �� �

��.

������ ��� �� ��Policy Director� �� ���� ��� ��� ��� � ��

��� �� � �� ���. Policy Director� �� ��� ��

���� ��� � �� �� �����.

¶ �� ������� ��� ��� Policy Director� �

¶ ��� ��� ���� ACL POP policy ��

pdadmin objectspace � ��� �� ��� �� Region� �

� ��� � ��� �� ���� ��� �� ���.Policy Director� �� �� � ��� �� ��� � ��� ��

�� ��� �� ��� �� �����.

�� �� �� ���� ���� ���� �� ��� ��� ���� �� pdadmin objectspace object �� ������. objectspace � ���� �� �

��� �����.

�: �� Policy Director ��� ��(/WebSEAL � /Management)pdadmin objectspace ��� ��� � ����.

��:

pdadmin> objectspace create <name> <description> <type>

48 �� 3.8

Page 69: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� �� name �� ���(/)� �� ���.

description Web Portal Manager� �����.

type �� �� � ��� � ����.

����

0 - � � ��

1 - � ���

2 - �

3 - �� �� ����

4 - ���

5 - junction

6 - WebSEAL �

7 - ���� ��

8 - ���� ��

9 - HTTP �

10 - ���� �� ���

11 - ���� ���

12 - �� ���

13 - ��

14 - ������ ���� ���

15 - ������ �� ���

16 - �� ���

17 - ���� ��

�� ��� �� ��� �� ��� ���� ��� ���

Web Portal Manager� � ��� � ����.

���� ��� �� ��� �� ���� ���. ��� ��

� ���� “� � ��”(�� 0)� ��� � ����.

�� ��, �� ����.

pdadmin> objectspace create /Test-Space “New Object Space” 14pdadmin> objectspace list/WebSEAL

/Management/Management/Users/Management/Groups/Test-Space

�� ����

¶ ��� �� ������� �� �� ��� ��� ����

� ����.

49Tivoli SecureWay Policy Director Base �� ���

2.�

��

��

��

Page 70: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ ���� ���� �� �� ��� ��� �� � ��

�.

¶ ��� �� ��� ��� ���� ��� ��� ��� �

��� ispolicyattachable � ��� ���.

���� �� ��� ��� ��� ����, ���� � � ����.

��� �� ���� ����� pdadmin objects �� ����

��.

pdadmin> object create <name> <description> <type>ispolicyattachable {yes|no}

���� �� ��� ���.

� ��

Name ���� ��� �� ��� ���� ���

���� ���� ��� � �����.

Description ���� ��� �

Type ���� �� ���� ��. � ���� �

�� � Web Portal Manager� � �����.

ispolicyattachable POP policy� ���� ��� � ��� ��� �

� ��. “no”� ������, ���� ����

policy� �����. �� � policy� ����

� �� ���� ��� � �����.

�� ��, �� ����.

pdadmin> object create /Test-Space/folder1 “Folder 1” 14ispolicyattachable yes

pdadmin> object list /Test-Spacefolder1

pdadmin> object show /Test-Space/folder1Name: /Test-Space/folder1

Description: Folder 1Type: (Application Container Object) : 14

50 �� 3.8

Page 71: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Is Policy Attachable: yes

pdadmin> object create /Test-Space/folder2 “Folder 2” 14ispolicyattachable no

pdadmin> object listandshow /Test-SpaceName: folder1

Description: Folder 1Type: (Application Container Object) : 14Is Policy Attachable: yes

Name: folder2Description: Folder 2Type: (Application Container Object) : 14Is Policy Attachable: no

pdadmin> object delete /Test-Space/folder1pdadmin> object list /Test-Space

folder2

�� ����

¶ �� ���� �� ���� �� ��� � ���� ��

��. ���� �� ���� �� ��� �� �� �� �

����. �� ���� �� �� �� �� �� �� �

��� �� ���.

¶ ispolicyattachable ��� pdadmin object create �� �� �

��, ����� ���� objectspace create �� ���� �

�� �����. ���� �� objectspace� �����.

51Tivoli SecureWay Policy Director Base �� ���

2.�

��

��

��

Page 72: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

52 �� 3.8

Page 73: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� �� policy ��

Policy Director� �� ��� ����� ��� � ���� �

�� ���� ����. �� � policy(�)� ���� �� policy� �� ��� ��� �� ��� ��� �� �����, ��� ��� � ����.

���� ��� � �� �� ���� ��� � �� ��

� ���� policy �� ��� �� �� �� ACL policy�� �

��. �� � ploicy� � ���� � ��� ��� � ACLpolicy� �����.

�� ��

¶ 54 ���� �ACL policy ���

¶ 56 ���� �ACL �� ���

¶ 60 ���� ��� ���� ACL policy� ���� ���

¶ 62 ���� �ACL ���

¶ 64 ���� �Sparse ACL ��: ACL ���

¶ 71 ���� �� ACL � � � � ���

¶ 75 ���� �ACL policy � �� ��� ���

¶ 76 ���� �WebSEAL ���

¶ 78 ���� ��� ���

3

53Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 74: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ 87 ���� ���� � ��� �� ���

¶ 88 ���� ��� �� ACL policy�

ACL policy ��ACL policy� � ���� �� ��� �� ���� � PolicyDirector� ���� �����.

ACL policy� �� ��� �� ��� ���� � ��� �� �

��� � �� �� �����. ACL policy� ��� ��� �

�� ���� � ��� ��� � �� ID(��� �)� ��

���.

¶ ��� �� ID� Policy Director ������� �����.

¶ �� �� ������� �� ��� �� ACL policy� �

����.

��� ACL policy� ��� � �� ���� ���. ��� ACLpolicy� �� ��� ���� ��� �����.

ACL policy� ��� � �� � �� ��� ���� �� ��

� ���� �����.

ACL policy ��ACL policy� ��� ��� �� ��� ���� �����.

¶ ���� �� ��� ���� ���� ���� � � �

¶ � ���, � �� ��� � �� ��

¶ �� �� � ��� �� �� ��� ��� � �� �

���� ��� �� Policy Director� ID� �� ��. ���

�, ���� ���� ���� ������ � � �� ��.

54 �� 3.8

Page 75: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� ��� ����� �����. ���� ���� �

ACL ��� ���� �� ����� ��� ��� �� ��� �

����. � ���� �� ���� ��� �� ���� ��

���� �� �� ��� ���. ���, �� �� ���

� �� ACL ��� ��� ��� �� ���. � � ��

� ���� � � ���� � � ��� � ����. � ��

�� ��� ��� ���� ��� �����.

����� ��� �� ����� ���.

ACL� ��� � � �� ��� �� ��� ID(UUID)� ��

�� ����. UUID� ��� �� �� ����� �� ��

��� ��� ����� ��� �� �� �����. �� ��,� ���� �� ��� ��� �� ���, Policy Director�

� ���� � UUID� �����. UUID� �� ����, �� �

�� �� � �� �� ACL � ����� ��� ���� �

���. ACL� � �� �� UUID(�� ��� � ��)� PolicyDirector Management Server(pdmgrd)�� ���� �����.

pdadmin ���� �� Web Portal Manager� ���� ACL ��

� ��, ��, �����.

�� 17. � ��� ���� �� �� �� ��

55Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 76: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

ACL policy � � �� ��Web Portal Manager �� pdadmin acl create �� ���� �

� ACL policy� ���� �� ���� �� � ����. ��

��, ACL� �� ��� ��� ���� � policy� ��� �

����.

ACL �� �� ���� � ��� � ��� ���� �

� ��� �� �� � �� policy(�� �� ��)� ���. �

policy ����� �����, � ACL� ���. �� � �

�� ACL� � ��� � �� ���� � �� �����.

ACL �� ��ACL ���� ACL �� ��� �� � � �� � �� �� �

��� �� ���� �����.

¶ - ACL� �� ��� ��(��� �� �)

¶ ��- ���� �� ��(�)

�� �� � ��� �� ACL �� �� ID �� ���

� ����.

¶ ��(�� ��) - � ��� �� �� � ���� ��

� �� ��

���� �� ����� �� �� ��� �� �� ��� �

����.

�� 18. ACL �� �

56 �� 3.8

Page 77: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ���� ���� adam(�� = user, ID = adam)� ACLpolicy� � �� ���� � �(� �) �� ��� ���.“r” � ��� ����. “T” �� � �� ����.

� ��ACL �� �� ACL ��� ���, � �� �� ID� �

����. � �� ACL �� ��� ����.

��

��� � ����� �� ���� �� ��� �����. ���� ��

���� ��� ��� �� � ���� ����� ���. ��

� �� ���� ��� �(ID)� �����. �� �� ���

ID �����.

�� ��, �� ����.

user anthony -------T-----r-

�� � ���� �� �� �� �� ���� �� ��� ����

�. � �� ���� � �(ID)� �����. �� �� ��

ID �����.

�� ��, �� ����.

group engineering -------T-----r-

��

(��

any-authenticated���

�)

�� �� ���� �� ��� �����. ID �� ���� �

���. �� �� ��� �����.

�� ��, �� ����.

any-other -------T-----r-

57Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 78: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��

��� �� � � � ���� � ���� �� ��� �����. ID ��

���� ����. �� �� ���� �� �����.

�� ��, �� ����.

unauthenticated -------T-----r-

� ACL �� �� ��� ���� � �� �� ACL ��

� �� ��(“and” �� ��)���. ��� ��� �� ��

�� �� �� ���� ���� ���� �����. �� ��,

��� ��� �� ACL ��

unauthenticated -------------rw

��� any-other ACL ��� � �����.

any-other -------T-----r-

����, ��� ��� �����.

-------------r- (read only).

ID ��ACL �� ID� ��� �� � �� ��� �� ��� ID ��

����. ID� � ���� ���� ����� ������ �

��� ��� �/�� �� ��� ���.

��:

user michael

user anthony

group engineering

group documentation

group accounting

�: �� �� � ��� �� ACL �� �� ID �� ��

�� ����.

58 �� 3.8

Page 79: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��(�) ����� ACL �� ��� �� �� � ���� � ��

��� ��� �� ��� �����.

ACL policy� �� ���� �� ��� �����.

¶ �� ���� � ��� ���� ���� �

¶ ��� �� ���� �� �� �� ���� ���� �

¶ ���� ��� ���� Policy Director� �

�: ACL �� ��� �����. -- �� ��� �� ���� �

� ��� ��� Region� �� �����. �� ��, m ��

�� ���� � WebSEAL ���� � �� ��

� ���.

�� Policy Director ��(�)Policy Director� 17��� �� ��( �)� �����. Web PortalManager� � �� ��� � ��� ����.

�� �� WebSEALa A b B c g N t T W d m s v l r x

�� �� �� ��

a Attach ��

A Add ��

b Browse ��

B Bypass Time-of-Day ��

c Control ��

d Delete �

g Delegation ��

l List Directory WebSEAL

m Modify �

59Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 80: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� �� ��

N Create ��

r Read WebSEAL

s Server Administration �

t Trace ��

T Traverse ��

v View �

W Password ��

x Execute WebSEAL

Policy Director� ��� ������� ��� � �� � � ��

��( �)� ���� ��� �����. ��� ��� 71 ���� ��

ACL � � � � ���� � ����.

�� ���� ACL policy� ���� ��Policy Director� ACL policy� ���� �� ���� �� ��

� ���� � ��� �� �����.

ACL� ���� ���� ACL� ��� � ���� �� ��

� ����� ��� ��� ��� �����.

Policy Director� ���� ��� ��� � �� �� �� ��� �

����. �� �� �� �� ASCII �� ����(a-z, A-Z).pdadmin �� Web Portal Manager� � � �� ���� �

� ��� ���� ����. ��, Web Portal Manager� �

�� ��(WebSEAL)� �� ���� ACL� �� �� �� ��

� ��(Base, Generic)� �� ��� �� ACL� �����.

���� �� � �������� ������� ���� �� ���� � ���

� �� ��� ��� �� ����. Policy Director� ��� ��

����� �� ��� ���� �� �� ���� ����� �

60 �� 3.8

Page 81: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

����. � �� Policy Director ���(�: WebSEAL) � ���

������� �� Authorization API� � �����.

�� ���� ACL� ���� �� ��� ���� “� ���(�)�� �� ���� ‘��’ �� ‘r’ ��(�� ��)� ����?”�� ��� �� “�” �� “���”�� ��� � ����.

�� ���� “r” ��� ��� ��� � ��� �� ����

�� �� ���. � ���� ��� �� ��� �� ��

ACL ��� �� “r” ��� �� ��� ������.

�����, � �� ���� �� �� �����. � ����

�� �� ��� ������. �� �� �� ���� ���

�� ������� ��� �����.

�� �� ��� �� ����18�� �� Policy Director ��( �)� �� ��� ��� ���

���� ��� � ����. ��� ������� �� PolicyDirector ��� ���� ��, �� �� Policy Director� �

���� ���� �� �� �����. �� ��, �� ���

� �� � �� ��� ��� �� “r”� �� � ���.

�: �� �� ���� ��� � �� ���� ��� �� ���,�� ������ ��� ��� �� ��� ��� ��

Policy Director ��� ��� � ����. ��� � �����

��� ��� � �� �� ��� �� �� ���� ���

� �� � ����.

�� ������� �� �� ��� ��� � ��� �� ��

� ���� ��, Policy Director� ���� � ������� �

���� �� ���� � ���� �� ��( �)� �����

���.

��� ��� 71 ���� �� ACL � � � � ����

� ����.

61Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 82: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� � ��� ��� �� ��� �� ��� �� ������ ���� ��

��� ���. ��� �� ��� ���� Authorization API �

��� �� �� ���� �� ACL ��� ���� �� �� �

��� ��� � ����.

Policy Director �� ���� ���� �� ��� ����

����. ��� ���� ��� �� ��(� ����� “p”)� �

�� � � ����.

ACL policy� ��� ���� �����. ���� �� ����

��� ��� ��, � ���� “p” ��� �� ACL ��� ��

� �� ���. �� ���� “p” ��� ��� �� ��� �

�� ���� ��� �����. �� ���� “p” ��� �� ��

�, ���� �� ��� �� � �� ���.

ACL ��Policy Director� ACL� � �� ����� ���� ��� ��

�� � �� �� ����� ����. � ����� ���, ��� �� ���� ��� �� ��� �� ��� �� ��� �

�� ��� � ����.

�� 19. ��� �� �� ��� �

62 �� 3.8

Page 83: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� ��� ��Policy Director� �� ��� �� ��� ��� �����.

1. ��� ID� ACL� ��� �� ������. �� ��

���� ��� �� ���.

���� ��: ��� ���� �����. ����� ��: ��

�� �����.

2. ���� � �� ���� ACL � �� ������.

� ��� � ��� ���� ��, � �� ���� � �

�� �� ��� �� “or”(��� �)���.

���� ��: ��� ���� �����. ����� ��: ��

�� �����.

3. �� �� ��� ��� ������(� ��� �� ��).

���� ��: ��� ���� �����. ����� ��: ��

�� �����.

4. �� �� ACL ��� ��� ��� �� ��� ���� �

����. � ��� �� ��� ���� ����.

���� ��: ��� ���� ����. �� ����� ����

�.

���� �� ��� ��Policy Director� ACL� ��� �� ���� ��� ���� �

��� � ���� �����.

��� �� �� ��� ��� � �� �� ��� �� �

�(“and” ��)���. ��� ��� �� �� �� �� �

� ���� ���� ���� �����.

��� �� �� ��� � ��� � ��� ACL� ��

�� �� ��� ��� ���� �� ��� ����.ACL� �� �� �� ��� ��� �� ��, �� ��

��� ��� ��� ���� �� ���.

63Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 84: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

ACL ��� ����� ACL �� ��� ���� �� ��� � �� �� ���

�����. ��� ���� group documentation �� �� �

�� ���.

group documentation --bcg--Tdmsv--lrx

�� �� �� ��� ���� � ���� �� �� ���

(any-other)� �� ��� ��� � ����.

any-other -------T-------rx

� ���� ���� �� ���� ��� �� �� ��� ��

��� ��� � ����.

unauthenticated -------T-------r-

�: ��� �� ACL �� ��, ���� � ���� � ��

� �� � ��� ��� � ����.

Sparse ACL ��: ACL ���� ��� ���� ���� ��� �����, � ����

�� �� ��� � ���� ���.

� �� �� � � ���� ���� ACL policy� ��� � �

���.

¶ ���� ��� ACL policy� ������.

¶ ���� �� � � � � ���� ������ ACLpolicy� ���� �����.

�� ACL � ���� � ���� �� �� ���� ���

�� � ����. � ����� ����� sparse ACL� ��� �

���.

64 �� 3.8

Page 85: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Sparse ACL �� �ACL ��� � ��� ��� ��� ���. ���� ��

ACL policy� �� �� ���� ��� ACL ��� �� �

�� ���� ���� policy� �����. �� ��, ��

�� �� ACL� �� �� ���� ���� �� ACL��� ���� ������ ACL� �����. ����� ��

ACL� ���� ��� �� ��� ����.

ACL �� � �� ��� ���� �� ��� ���� ��

���� ���� �����. � ��� ����� �� �

�� ��� ���� � ��� ��� ��� ACL� ����� �

� ���. ���, sparse ACL ����� ���.

��� ��� �� �� ���� ���� �� � �

� ACL� �����. �� ACL �� �� �� �� ���

� ����. ����, � ����� �� �� ACL���. ��� �� ��� ��� �� ���� � ACL� �����.

��� ��� Region�� ���� �� �� �� �����

��� ��, � ���� ��� �� ACL� ������. ��

�, 1� ��� �� ���� ���� �� ACL� � �

���. �� �� �� �� �� ��� ��� ACL�� �

����.

�� �� ACL policyPolicy Director� �� ��� ��� ���� ���� ��� �

����. ��� �� ���� � ACL� ���� ���� �

��, �� ��� � �� ACL� �����.

�� ��� �� ���� �� ��� ACL policy ��� ��

��. ���� � ACL� �� �� � �� ��� �� �� ��

ACL� ��� � ����. ��� �� ACL ��� ��� � �

���.

65Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 86: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ACL policy� Policy Director� �� �� ��� ����

�����.

�� �� ACL -- default-root -- � �� �� �� �� ��

��.

Group iv-admin TcmdbvaAny-other TUnauthenticated T

Traverse ��Policy Director �� ��� � �� �� � �����.

1. �� ���� ���� ACL ���� ���� �� ���

�� ��� �� ���.

2. �� ���� ���� ���� ��� � �� ���.

�� ���� �� �� �� T(Traverse) ��� � �

����.

Traverse �� �� ��� ���� ���� ����� ���

��. Traverse �� �� � � ��� �� �� �� ����

�� ��� �� � ACL ���� �� ���, �, any-other�� unauthenticated� � ���� ���� ��� ��� ��

� ��� �����.

���� ��� �� �� ��� ���� ���� �� ��

�� ���� ���� �� � ACL�� Traverse ��� ���

� �� ����� ��� � ����.

�� ����� Traverse ��� �� ��� �����. ACMECorporation ��� TechPubs ���� ���( ���)� ����

Engineering ���� ���(� ���)� ����. ��� kate� Sales ��� �����, ���� �� �� ���� �

Engineering/TechPubs ���� Traverse ���. ���� �

��� any-other� �� Traverse� �����. ���� Engineering ����� �� sales� �� Traverse� �����. TechPubs

66 �� 3.8

Page 87: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� Engineering ����� ACL� ����. ��� kate� �� � ����� �� ��� ��� �� ����

release_note �� ���� � ��� ���� �(Traverse)� � ����. � � ��� kate� � read ��� � � �

�� ���� kate� � �� � � ����.

��� ���� ���� � �� ��� ����� ���, ��

��� ��� �� � � �� ��� �� ��� � ����.��� ACL ���� Traverse ��� ����� �� ���. �

�� ���� �� Traverse ��� ����, �� � �� �� �

�� ���� �� ��� � �� ACL� �� ���� ��

���� �����.

�� ��, �� Sales� Engineering ���� Traverse ��� �

� �� ���, Kate� ���� �� �� �� read ��� ���

���� � �� ��� � ����.

�� 20. Traverse ��

67Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 88: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� �� ��� �� ACL�� ���� �� ACL� �� ���� �

� ��� ��� ��� �� ���� ��� ���. � ���

� ��� �� ��� �����.

���� �� ACL ��� ���� �� �� ��� �

����. �� ACL� ����, �� ���� �� �� ��

� � ��� ���� ���� �� ACL� �� ���� �

��� �� �����.

���� � ���(� �� �)� ����� ��, PolicyDirector� � ���� � ���� ��� � �� ��� ���

�����. ��� �� � �� �� ����� ������

���� �� ��� ��� �����.

��� �� ��� �� � � �� ���� ���� � ���

� �� Traverse ��� ���� � �� ���� ��� �

����. �� ���� �� ��� �� �� �� ��� �

��� � ��, ��� �����.

�� ��� ���� � ���� �� ��� ��� �� ��

�.

1. �� ����� �� Traverse ��

2. �� ���� �� ��� ��

�� ��� ���� ���� � �(� �) ��� ��� ���

� ����� �����.

/acme/engineering/project_Y/current/report.html

Policy Director� ��� �����.

1. ���� �� �� ACL(/)� �� Traverse ��

2. ��� acme, engineering, project_Y � current� ��

�� ACL� �� Traverse ��

68 �� 3.8

Page 89: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

3. � ��(report.html)� �� � ��

���� ��� �� � � �� ��� ���� �� ��� �

��� ��� �����.

�� ��� �� ACL policy ����� ��� �� �� ACL policy�� ��� �����. ��

� ��� ��� ����� ACL� �� �� ��� ���

� ����.

��� ��� ��� ��� �� �� ��� �� Policy Director� � �� �� ���� ����.

¶ ACL policy

¶ ACL ��

ACL policy� ��� ACL ��� �� ��� ��� �� ��

�� ��� � �� ���. ACL ��� ACL� ��� �� ��

�� ����� �� �� ���� ���� ����. ��� ��

� �� ���� � �� ��� � ��� � � ����.

ACL �� ����, �� �� ACL policy� �� ���� �

� � � ��� ���� �� � �� ACL��� policy �

�� “��”���.

�����, ACL policy� �� ��� ��� �� ��� ���

�� ��� ��� ��� ��� � ���.

ACL policy �� ���� ����� �� ��� ��� �� ACL � ACL����� �� ��� �����.

�� ��� ���� �� ����� �� � � policy�����. �� ���� /WebSEAL ���� ��� ����� �

��� � � ���� ����.

69Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 90: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� ����, sales ��� ��� � � ���� �� ����

����. � ���� ACL � �� ��� �� �� ��

�� �� ��� �� ��� ���� �� ������.

Year-to-Date sales �(ytd.html) sales �� ����� sales-vp�� ����� read ��� ���� ��� ACL� ���.

�: � ACL � � ��� ��� ���� ����� ����

�� ���. �� ���� ��� �� ��� ���

��. ����, ���� � ��� ��� � ����.

�� ��� ��� �� ��

¶ ��� ��� � �� �� ���� ���� � ��-��

� policy� ������. �� � �� �� � ���� �

� �� ACL� � � policy� ��� ������.

�� 21. ACL �� ��

70 �� 3.8

Page 91: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ ���� ���� �� ACL� �� �� ACL� � �

���� �� ��� ��� �������.

�� ACL ���� �� ACL� �� ���� ��� �

���� �����. ��� �� ����� ����� �

� � �� � � ��� ����.

¶ �� ���� ��� ��� ���� ��� ������.

� ���� �� �� policy� � ���� ��� ��

� ��� ��� �������. ���� ��� ��

ACL� ���� �� ���� �� �� policy� �����

�.

¶ �� ACL policy ��� ���� ��� � � �� � ACL� �� ������.

ACL policy� � �� ����� � policy� �� �� �

ACL �� �� ���� ��� ���.

¶ �� ��� � ��� ��� ������.

ACL� � ����� ��� � ����. �� ���� ��

�� �� ��� � �� ���� ����� ���� ��

����� ��� � ����.

��� ACL �� � �� �� ��� ����� “ �”�� �� �� ���� �� “��”���

� � ��� ����.

�� Policy Director �� ��� �����. 17�� �� ��

�� ���� � �� ���� ����(59 ���� ��� PolicyDirector ��( �)� � ). �� ��� ������� �� ��� �

�� �� ��� � ����.

� ���� � �� ��� �� �� ��� �� ����� �

��� ��� � ����.

¶ ��� � � 32�� � ���� �� �����.

71Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 92: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ � ��� ��� ���� ����(a-z, A-Z).

¶ ��� � �� ��� � � ��� � �� �����.

¶ � � ��� �� � � ��� ���� � ����.

¶ �� Policy Director �� ��� �� �� � �� “�

�”� ��� ����.

Policy Director� �� 1,024�� �� �� �� � 32�� � �

(1� � � ��)� �����.

�� 22. 1� � �

�� 23. �� � �

72 �� 3.8

Page 93: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� � �� �pdadmin action group create �� ���� � � �� ��

����.

pdadmin> action group create test-grouppdadmin> action group list

primarytest-group

pdadmin> action group delete test-grouppdadmin> action group list

primary

�� 1� � � �� � ��� ���� ��� � ����.

���� /Management/ACL ���� ACL� � �� ����

�� m(modify) �� � �� ���� �� d(delete) ��� �

� ��� �� ���.

� ���� � � �pdadmin action create �� ���� � �� � �� ��

����.

pdadmin> action create <action-name> <action-label> <action-type><action-group-name>

action-name �(��)� ��� ��

action-label � �� � ��� ���. pdadmin action list� Web Portal Manager� �����.

action-type � ��(�� � ��� ���� � Web

Portal Manager� ��). �� ��� ��, �,

WebSEAL���.

action-group-name � � �� �� � ����. � ��� �

��� � ��, �� “1�” � �� ���

��.

�� ��, �� ����.

73Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 94: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

pdadmin> action create P Test-Action Special test-grouppdadmin> action list test-group

P Test-Action Specialpdadmin> action delete P test-grouppdadmin> action list test-grouppdadmin>

�� �� �� ACL ��� ��56 ���� �ACL �� ����� � ���, ACL �� ��

��, �� ID(��� � � ��� ��) � � � ��� �

�� �����.

� �� � ��� �� � ��� ���� � “1�” �

�� �� �� ��� �� ���. �� � ��� � �

�� ��� � ��� �� ���� ����.

<action>...<action>[<action-group>]<action>...<action>,,,

�� ��, �� ����.

abgTr[groupA]Pq[groupB]Rsy[groupC]ab

¶ ��� � ��� ��(abgTr)� “1�” (Policy Director ��)

� ����� ��� �� ��.

¶ � � A� � P q� �����.

¶ � � B� � R, s � y� �����.

¶ � � C� � a b� �����.

¶ � � C� “1�” �� �� � �� � ��� ���

� � ��� ���� ��� ������.

� ��� �� � � (C) ���� ���� “a” � “b” � ��� ��� ID� �� ���, “1�” � �� �� “a”� “b” � ��� �� �� ��� ��� � ����.

���� �� ��

74 �� 3.8

Page 95: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

pdadmin>pdadmin> action group list

primarytest-group

�� �� “test-group”�� �� ��

pdadmin> action list test-groupP Test-Action SpecialS Test-Action2 Special

ACL policy ��

pdadmin> acl listdefault-websealdefault-roottestdefault-replicadefault-management

ACL “test”� ���� ��

pdadmin> acl show testACL Name: testDescription:Entries:User sec_master TcmdbvaGroup ivmgrd-servers TlAny-other r

�� �� “primary” � “test-group”���� �� ��� �

� ��� Kate� ACL �� ��

pdadmin> acl modify test set user kathy brT[test-group]PSpdadmin> acl show test

ACL Name: testDescription:Entries:User sec_master TcmdbvaGroup ivmgrd-servers TlAny-other rUser kathy Tbr[test-group]PS

ACL policy � �� ��� ������ ���� �� ��� ��� �� Region� ���� �

�� ��� � ��� �����.

75Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 96: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

1. ���� ���� ACL� ���� �� �� ACL� ���

� � ��� Region ��� �� �� ���� � ��-�

�� policy� ��� � ����.

2. ���� ���� ACL�� traverse ��� ���� Region��� ���� �� ��� ��� ��� � ����.

��(/) ���� ������ � ����� �� ���� � �����.

¶ �� ���� �� �� ��� ��� �� ACL ��� �

�� �����.

¶ �� �� ACL� ���� ���, �� ���� �� ��

� ��� � policy� �����(��� �).

¶ �� ��� �� ���� ����� traverse ��� ���

��.

Traverse ��Traverse �� �� ��� �� ��� ���� � �����.

�� ��

T Traverse ���� ���� ��� �, �� �� ��

�� �� � ���� ���� ����� �

� � �� ���. ���� ���� �� �

� ��� ��� ��� ����. Traverse�

�� �� ��� ����� ���� ����.

WebSEAL ����� � ����� �� ��� ��� /WebSEAL �����

�����.

¶ WebSEAL ���� ��� ��� WebSEAL Region� ��

ACL ��� ��� �����.

76 �� 3.8

Page 97: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ �� �� ACL� ���� ���, � ���� �� � ��

� � policy� �����(��� �).

¶ � ��� � ��� ��� ���� ����� Traverse��� �����.

/WebSEAL/<host>� ����� �� WebSEAL � � � ��� �� ����. �

�� � ����� � ���� � �����.

¶ � ��� ��� ���� ����� traverse ��� ���

��.

¶ �� �� ACL� ���� ���, � ���� � ��� �

� �� ��� ��� � policy� �����(��� �).

/WebSEAL/<host>/<file>� HTTP ��� � ���� �� ������. �� �

� �� ��� �� ����.

WebSEAL ���� ��� ��� ��� WebSEAL Region� ��� � ��

��� ����.

�� ��

r read � ��� ��

x execute CGI ����� �����.

d delete � ���� � ���� �����.

m modify HTTP ���� �����(HTTP ����

WebSEAL ��� ��� �� - ��).

l list � ��� ��� �� ��� ���� �

Management Server� ��� ���.

g delegation ����� ���� ����� WebSEAL �

� ��� ���� � ��� junction

WebSEAL � � � ���.

77Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 98: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ���� ��� ��� �� region �� �� ��� ���� � �

� � �� ���� ���� �����.

¶ �/Management/ACL ���

¶ 80 ���� �/Management/Action ���

¶ 81 ���� �/Management/POP ���

¶ 82 ���� �/Management/Server ���

¶ 83 ���� �/Management/Config ���

¶ 83 ���� �/Management/Policy ���

¶ 84 ���� �/Management/Replica ���

¶ 84 ���� �/Management/Users ���

¶ 86 ���� �/Management/Groups ���

¶ 87 ���� �/Management/GSO ���

��� � ����� �� ��� �� � /Management ���

�� �����.

¶ Management ���� ��� ��� �� region� �� ACL��� ��� �����.

¶ �� �� ACL� ���� ��� , � ���� ��

Management ��� �� � policy� �����(��� �).

¶ /Management� ����� traverse ��� �����.

/Management/ACL ��� ���� �� ���� � ���� �� � policy� ��

� � � �� ��-��� ACL �� ���� ��� � �� ��

�.

78 �� 3.8

Page 99: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

a attach ���� ACL policy� ����, �����

ACL policy� �����.

acl attachacl detach

c control ACL policy� ����� � ACL� ��� ��,

�� � ����� ����.

acl modify

d delete ��� ACL policy� �����. � ���� �

� ACL �� ��(c) ��� ��� �� ��

�.

acl delete

m modify �� ACL policy� �����.

acl create

v view ACL �� � ��� ACL ����� ����.

� �� /Management/ACL� �� ACL� �

�� �� ���.

acl findacl listacl show

/Management/ACL ���� �� �� ACL policy� ACL ���

��� �� ���. ���� ACL ���� �� ��� ��� �

����. ��� �� ����� �� ACL policy� ����, ���� ACL� ���� ACL policy� ���� �� �����.

ACL� control(c) ��� �� �� ���� �� ��� ��� ACL���� ��� ACL� ��� � ����. ACL ����� ���

��� � ����.

�� ACL policy(/Management/ACL� m)� ���� ����� �

� TcmdbsvaBlNWA ��� �� ��� ��� ���.

79Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 100: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��, sec_master� m ��� �� default-management ACL� ��� ��� ��, sec_master� �� ACL policy� ��� �

����. ��� sec_master� TcmdbsvaBlNWA ��� �� ��

ACL� ��� ��� ���.

control(c) �� sec_master� ACL� ���� ���� sec_master� ACL� ��� � �� ���. �� ��, ��� sec_master�

� ACL� �� �� ��� ��� �� ��� ��� � ����.

default-management ACL ��� ��� ����� ���

sec_master � iv-admin� ����.

Control ��(c)control �� ACL policy� ���� ���� �� �����. �

�� ACL�� ��� ��� � �� ���. � �� ��, ��

��, �� �� � �� �� � �� ��� � �����.

� ACL� ACL policy ���� ����� ���� � ACL� �

� �� ��� ��� ��� ��� �� ���.

control �� �� ����� � ACL� ���� Attach(a) � �

�� � � �� �� �����. control �� ��� ��

� ��� ��� �� ���� �� ���.

/Management/ACL ����� �� ��� ���� �����.

/Management/Action ��� ���� �� ���� ��� �� � � �� ��� �

�� ���. � ��� � �� �� �� ����.

�� ��

d delete ��� � �� � � ��

action deleteaction group delete

80 �� 3.8

Page 101: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

m modify � � � � � ��

action createaction group create

action listaction group list

��� ��� ��� �� ����.

Policy Director� ������� �� ���� �����. PolicyDirector ��� ���� ��������� WebSEAL(� �����

�� ��) PDMQ(��� ������� ��)� ����.

�� ������ Policy Director Authorization API� � ��

���� ��� � ����. �� ������� �� ��� ��

�� � ��� � �� �� �� ����.

¶ ������� ��� ��� �����.

¶ ��� ��� ���(��)� ��� �����.

�� ������ ��� ��� ���� pdadmin ����� �

��� �� �� �� ��� � ���� . ���� �

/Management/Action� ���� ���� � m � d/Management/Action ��� ��� �� ���.

/Management/POP ��� ���� �� ���� �� ��� policy� ��� � �� �

��. �� �� /Management/POP� ACL� �� ��� ���

���. � ��� � �� �� �� ����.

�� ��

a attach ���� POP� �����.

pop attachpop detach

81Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 102: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

d delete POP� �����.

pop delete

m modify POP� ���� POP �� �����.

pop createpop modify

v view POP� �� ���� POP ����� ����.

pop findpop listpop show

B Bypass TOD ���� �� POP �� �� �� ��

/Management/Server ���� ��� ��� /Management/Server ���� ���� ��

�� � �� ���� ��� � �� ���(��� ��� ��

��).

���� � ��� ��, �� �� ��� � �� ��� ��� �

��� � � ��� �����. � ���� �� Policy Director� ��, Management Server(pdmgrd)� � � � ��� �

��� � �� �� ��� �� ����.

� ��� �� ����� ��� �� Resource Manager(�:WebSEAL) �� Authorization Server(pdacld)� �� ��� ���

��. �� � � �� ��� � � ��� ��� �����.

�� ��

s server �� ����� ��

server replicate

v view �� � � ���� � �� ��� ���

�.

server listserver show

82 �� 3.8

Page 103: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

t �� �� �� �� �� �� ��

server task <server-name> traceserver task <server-name> stats

/Management/Config ���� ��� ��� /Management/Config ���� ���� ��

�� �� �� ���� ��� � �� ���(��� ��� ��

��).

� ��� �� � ��� ���� �����. �� ���� ��

� ���� � �� �� ��� ��� ����. ��� ���

� �� �� ��� ����� /Management/Config ���� �

� modify(m) ��� ��� �� ���.

��, ���� �� �� ��� ����� /Management/Config ���� �� delete(d) ��� ��� �� ���.

�� ��

m modify � ����� ��

svrsslcfg -configsvrsslcfg -modify

d delete ���

srvsslcfg -unconfig

/Management/Policy ���� ��� ��� /Management/Policy ����� ���� policyget � policy set �� �� ���� ���(��� ��� ��

��).

�� ��

v view policy get �� ������.

m modify policy �� �� ������.

83Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 104: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

/Management/Replica ���� ��� ��� /Management/Replica ���� ���� �

� ������ ��� �����. � ���� �� ��-�� �

�� � ���� Managment Server � � ���� �� ��

� ���.

��� �� ��� ��� ��� ���� � �� �� policy �

����� �� ��� � �� ����� ���� � ����

�.

�� � �� �� �� ����.

�� ��

v view �� �� ����� �

m modify ��� ������ �� ��� �����.

�� ������ �� ���� ������ �� Policy Director� (�� �� ��� � Authorization Server ��)�

/Management/Replica ���� �� view(v) ��� ��� ��

���. �� ����� ��� ����� �� �� policy ���

����� ��� �� ��� � �� �� � �����. PolicyDirector ��� �� policy ������ �� ��� ��� �

� read ��� ���� �����.

Policy Director� �� modify(m) ��� ���� ����. ��

policy �� ������ ���� ��� �� Web PortalManager �� pdadmin ����� ��� ���. ��� � �

� ��� �� ��� ��� ���. modify �� ���

Management Server� ��� � �� � ����� ���� ���

�.

/Management/Users ��� ���� �� ���� ��� ��� ��� � �� ���.

� ��� � �� �� �� ����.

84 �� 3.8

Page 105: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

d delete ��� ��� �����.

user delete

m modify ��� ��� ����� �����.

user modify authentication-mechanismuser modify account-validuser modify gsouseruser modify description

N create � ���� ���� � ���� ���� �

� �����. ��� �������� � �

��� �����.

user createuser import

v view ��� �� �� � ��� �� ����� �

���.

user listuser list-dnuser list-gsouseruser showuser show-dnuser show-groups

W password ��� ��� ����� ������.

user modify passworduser modify password-valid

W �� �� ���� ���� ���, Helpdesk ���� ��

� �� � ���� ��� � ��� ���. � �� ����

��� ��� �����, user modify password-valid �� ��

�� “no”�� �� ��� � �� ���. � �� ���� ���

�� ��� ���� �� � ��� ����� �����.

/Management/Users ���� � �� �� ���

/Management/Groups/<group-name> ���� “delegated administration”policy ACL� � � �� ��� �����.

85Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 106: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

/Management/Groups ��� ���� �� ���� � � ���� ��� � �� �

��. � ��� � �� �� �� ����.

�� ��

d delete �� �����.

group delete

m modify � �� �����. �� ���� ����

�.

group modify descriptiongroup modify remove

N create � �� �����. ��� �������� �

���� �����.

group creategroup import

v view �� ���� � ����� ����.

group listgroup list-dngroup showgroup show-dngroup show-members

A add ��� ���� �� �����.

group modify add

��� ���� ��� �� ���� � �� ACL� �� �

��� ��� A ��� �����. � ���� ���� ����

��� �� ���� � user create �(N ��� ���)������.

�� ���� �� �� ��� ���� ��� � ���� ��

� ���� ��� �� ���� �� �� ����. ���,�� ���� delete(d) ��� ��� ��� �� � �����

� ���� ��� �� ����.

86 �� 3.8

Page 107: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

/Management/GSO ���� ��� ��� /Management/GSO ���� ���� ���

� GSO �� ���� ��� � �� ���(��� ��� �� �

�).

�� ��

m modify rsrcgroup modifyrsrccred modify

v view rsrc listrsrcgroup listrsrccred listrsrc showrsrcgroup showrsrccred show

N create rsrc creatersrcgroup creatersrccred create(� ���� �� m� ���)

d delete rsrc deletersrcgroup deletersrccred delete(� ���� �� m� ���)

��� � ��� �� ��� � �� ���� � ��� � ��� ��� ��� � �

�� ���. � ��� � �� �� �� ����.

�� ��

b browse objectspace listobjectspace writefileobject listobject listandshow(����� v� ���)

d delete objectspace deleteobject deleteobject modify set name(����� m� ���)

87Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 108: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

m modify objectspace createobjectspace readfileobject createobject modify

v view object listandshow(����� b� ���)object show

�� �� ACL policy��� �� �� ACL policy�� � ���� �� region ��

�� �� ��� ����.

�� � ��� ��� ���� �� ��� ��� ����� �

� � ��� � ���, �, �� ���, ���� ��� �

� ��� ��� � ����.

Control(c) ��� ��� �� � ACL� ��� �� �����

�. Control ��� �� ��� � ACL� “��”�� ACL �

�� ��� � �� �� ���.

�� �� ACL policy�� �� ACL� default-root� �� �� �� �� ����.

Group iv-admin TcmdbvaAny-other TUnauthenticated T

�� ACL �� ������(�� ���� ��� ��� ��

� ��� �� �� ��� ������). ���� �� ���

��� ����. ��� �� ACL� � �� ��� �� �� �

�� �� �� �� ��� ��� �� ��� ��� ����

���.

�� ACL�� �� ��� ������.

user john -----------------

88 �� 3.8

Page 109: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� ��(��� ��)� �� user john� �� ���� ����

�� �� ��� ����. � ���� ���� � � ��� �

� ���� �� ��� ��� �� ��� � ����.

� ��� ��� WebSEAL ��� ��� ��� � ����. �� ��, /WebSEAL ���� ���� �� ������ Traverse��� ����, � region� ���� �� �� ��� ��

�� ���� WebSEAL ��� ��� �� ��� �� �� �

����.

�� /WebSEAL ACL policyWebSEAL ACL� default-webseal� �� �� �� ����.

Group iv-admin TcmdbsvarxlGroup webseal-servers TgmdbsrxlUser sec_master TcmdbsvarxlAny-other TrxUnauthenticated T

���, � �� ACL ��� ��� /WebSEAL ���� ��

�� �����.

webseal-servers ��� � WebSEAL � � �� ��� �� �

���. �� �� � � ��� ��� ��� � �� ���.

Traverse �� Web Portal Manager� � � �� � ���

�� ����. list �� Web Portal Manager� � ��� ��

� �� � �� ���.

�� /Management ACL policy�� ACL� default-management� �� �� �� ����.

Group iv-admin TcmdbsvatNWAGroup ivmgrd-servers TsAny-other Tv

���, � ACL ��� ��� /Management ���� ���

� �����.

89Tivoli SecureWay Policy Director Base �� ���

3.�

��

��

po

licy�

Page 110: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� /Replica ACL policy��� �� ACL� default-replica� �� �� �� ����.

Group iv-admin TcbvaGroup ivmgrd-servers mGroup secmgrd-servers mdvGroup ivacld-servers mdv

�� /Config ACL Policy�� �� ACL� default-config� �� �� �� ����.

Group iv-admin TcmdbsvaNAny-other TvUnauthenticated Tv

�� /GSO ACL PolicyGSO �� ACL� default-gso� �� �� �� ����.

Group iv-admin TcmdbvaNAny-other TvUnauthenticated Tv

�� /Policy ACL PolicyPolicy �� ACL� default-policy� �� �� �� ����.

Group iv-admin TcmdbvaNAny-other TvUnauthenticated Tv

90 �� 3.8

Page 111: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

POP ��

Policy Director �� ���� � ��� �� �� �����

�� ��� ����. �� � �� ��� policy� ��� �

��.

¶ ACL(Access Control List) Policy

¶ POP(Protected Object Policy)

POP� �� ACL policy� ��� ��� ���� ��� ���

� ���.

��� �� �� ��� �� ����.

¶ �� ���� ��� �� ��

¶ �� ���� �� ��

� ��� �� ��� policy� ���� ���� ���� �

�� ����.

�� ��

¶ 92 ���� �POP(Protected Object Policy) ���

¶ 95 ���� �POP � ���

4

91Tivoli SecureWay Policy Director Base �� ���

4.P

OP

��

Page 112: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

POP(Protected Object Policy) ��ACL policy� �� ���� �� ��� � ��� “yes” �

� “no”� ��� � ��� ��� �� ���� �����.

POP policy� “yes”� ��(�� ���� ACL policy ��),WebSEAL � �� ���� � ��� �� �� �� �

����. �� ���� POP �� ��� ��� ���.

�� ��� Policy Director POP� �� ��� ����.

Policy Director Base� � ���

POP �� �� pdadmin POP ��

�� Policy� �. pdadmin pop

��� <pop-name>� ���.createdelete

�� Policy� �� � ���. popshow �� �����.

modify set description

� �� ����� ACL � POP policy

� ���� � �� �� ��

���.

modify set warning

�� �� ��� ��� �����(�: all,

none, successful access, denied

access, errors).

modify set audit-level

���� ��� �� ���� ���� �

�� �� ����� ��modify set tod-access

��� �� � ��� ��� �����. modify set attributemodify delete attributelist attributeshow attribute

Resource Manager(�: WebSEAL)� � ���

POP �� �� pdadmin POP ��

�� � �� ��� ��� �����

(none, integrity, privacy).modify set qop

92 �� 3.8

Page 113: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Resource Manager(�: WebSEAL)� � ���

POP �� �� pdadmin POP ��

IP ���� �

��� Policy�� ���� ���� ���

�� �� ����� ����

�.

modify set ipauth addmodify set ipauth removemodify set ipauth anyotherw

POP policy ����

¶ ���� �� IP ����� �� ��� ��� ����

� ��� �����.

¶ �� �� �� � ��� ��� �� �� �� ��

�� ����� � �� ����� ����.

¶ �� ��� ACL � POP policy� ����� �� ���� �

�� ��� �����.

�: Policy Director� �� ��� P, I, A �� ��� �� ��

� �� � �� POP policy� ���� ����.

POP(Protected Object Policy)� � � ��POP(Protected Object Policy)� ACL policy � ���� ���

��. ���� POP� �� � ���� POP� �� ��� ���

�����.

POP policy� ACL policy � ��� �����. POP policyACL policy� Management Server� � ���� �� �� ��

���� �����.

POP policy� � � ��pdadmin> pop create <pop-name>

�� ��, �� ����.

pdadmin> pop create testpdadmin> pop list

test

93Tivoli SecureWay Policy Director Base �� ���

4.P

OP

��

Page 114: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� POP policy�� �� � �� ���� �� ����.

pdadmin> pop show testProtected object policy: testDescription:Warning: noAudit level: noneQuality of protection: noneTime of day access: sun, mon, tue, wed, thu, fri, sat:

anytime:localIP Endpoint Authentication Method Policy

Any Other Network 0

POP policy� ��pdadmin> pop delete <pop-name>

�� ��, �� ����.

pdadmin> pop delete testpdadmin> pop listpdadmin>

POP � �� � ��pdadmin> pop modify <pop-name> set description <description>

�: � � ��� ��� �� � ��� ������.

�� ��, �� ����.

pdadmin> pop modify test set description “Test POP”pdadmin> pop show test

Protected object policy: testDescription: Test POPWarning: noAudit level: noneQuality of protection: noneTime of day access: sun, mon, tue, wed, thu, fri, sat:

anytime:localIP Endpoint Authentication Method Policy

Any Other Network 0

POP ��� �� ���� ��POP policy� ACL policy � ���� ���� �����.

94 �� 3.8

Page 115: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� POP policy ������ POP policy� ���� �� �� ����.

pdadmin> pop attach <object-name> <pop-name>

�� ��, �� ����.

pdadmin> pop attach /WebSEAL/serverA/index.html test

POP policy� ��� �� ��pdadmin> pop find test

/WebSEAL/serverA/index.html

POP policy ������ POP policy� ���� �� �� ����.

pdadmin> pop detach <object-name>

�� ��, �� ����.

pdadmin> pop detach /WebSEAL/serverA/index.html

POP �� ��

¶ �� �� �

¶ �� �� �

¶ ���� �

¶ �� �� �

¶ IP ����� �� ��� �

�� �� ���� �� �� � ���� � �� �� ��� ����

� �� policy ��� ���� ���� �� � ��� ��

���.

�� �� “yes”� ���� POP� �� ���� �� �� �

��� �� �����. ���� �� ACL policy� ���

��� ��, ����� �� ��� ����.

95Tivoli SecureWay Policy Director Base �� ���

4.P

OP

��

Page 116: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� ��� ��� �� �� ��� �� ACL policy��� ��� � �����. �� ��� �� �� “no”� �

�� ��� �� �� �� ����. ���, ���� policy� �

��� ���� ����� ��� � ����.

pdadmin> pop modify <pop-name> set warning {yes|no}

�� ��, �� ����.

pdadmin> pop modify test set warning yes

�� � ���� �� POP � �� �� Policy Director�� ��� ��

��� “A” ACL �� ��� �����. POP �� �� ��� �

�� ���� � ��� ���.

�� ��, ��� ����� �� ���� ����� ���� ��

��, � �� � ��� �� �� �� �� ��� � ����.

�� ��� ��� ��� ��� ����� � XML �

��� ���� ����.

��� ��� 156 ���� ��� �� ��� � ����.

pdadmin> pop modify <pop-name> set audit-level{all|none|<audit-level-list>

Audit-Level-List

��

permit ����� ��� �� ���� ��� �� ����

�.

deny ��� ��� �� ���� ��� �� �����.

error �� ����� �� ��� �� �� ���� � �

��� �����.

�� � �� �� ��� ��� ��� �����. � ��� �� �

�� �� �� �� ��� ������.

96 �� 3.8

Page 117: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��, �� ����.

pdadmin> pop modify test set audit-level permit,deny

���� ��TOD(Time-of-day) POP � �� ���� ��� � �� �

� ���� ��� � �� ���. ��� ��� � �� �

�� �� ��� ��� ���� ��� ���� ��� ���

� � �����.

��� �� ���� �� �� ACL policy �� ��(“B”)���. � �� �� ����� �� ��� �� ��� ��

�� �� ���� ��� ���� ���.

pop modify <pop-name> set tod-access <time-of-day-string>

time-of-day-string ���� day-range � time-range� ���, �� �

�� �����.

<{anyday|weekday|<day-list>}>:<{anytime|<time-spec>-<time-spec>}>[:{utc|local}]

day-list ��� �� ��� �� � ����.

mon,tue,wed,thu,fri,sat,sun

time-spec �� ���(24���) �� �� � ���.

hhmm-hhmm

�� ��, �� ����.

0700-1945

� (����� ��)� �� ���� ����� �����.

�� ��, �� ����.

pdadmin> pop modify test set tod-access mon,tue,fri:1315-1730

97Tivoli SecureWay Policy Director Base �� ���

4.P

OP

��

Page 118: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� ��POP �� �� � ��� �� ��� ��� �� ���

WebSEAL� �����.

� POP �� �� ��� ��� Tivoli SecureWay Policy DirectorWebSEAL �� ��� � ����.

IP ����� �� �� ��IP ����� �� ��� POP � �� policy(��) � ���

� �� �� policy� ��� ����.

� POP �� �� ��� ��� Tivoli SecureWay Policy DirectorWebSEAL �� ��� � ����.

98 �� 3.8

Page 119: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� �� ���

Policy Director� �� �� ���� �� �� ���� � ���

�� ��� ��� � �� ���. � �� �� � � ����

��� ���� ��� �� ����, � �, ���, ��� ��

� � �� ���.

Policy Director� � � � �� ��� �����.

¶ ��� ��� sub-region� �� �� �� ��.

�� �� ��� ��� � ���� ���� ����.

¶ � � ���� �� ��.

�� �� ��� ��� ����� ���� ����.

�� ��

¶ 100 ���� ���� �� �� ���

¶ 106 ���� �� �� ���

¶ 113 ���� ��� �� Policy ���

5

99Tivoli SecureWay Policy Director Base �� ���

5.�

��

��

Page 120: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� �� � ��� ��� ��� �� ��� ��� �� ���� ���. �� �

�� �� ��� ���� �� �� � � �� ��� ���

� �� ���� ��� ���� �� �����.

����, �� ��� �� ��� � � ��� ���� region�� ��� � ����. �� � region � ��� �� ���

� �� �� ���� ������ � ������.

Policy Director � �����, LDAP� �� sec_master ��� �

�� �� ��� �� ��� �����. sec_master� ���� �

� ��� ���� ��� ��� �� region� ��� ��� ��

� � ����.

�� ��� �� ��� �� �� �� ��� ��� sub-management ��� �� � �� ��

region �� ��� ����� ��� ��� � �����.

��� ����, ��� ��� � � �� region�� ��� �

� ��� �����. ��� region�� ��� � region� ����

���� ��� �� ���� ����.

100 �� 3.8

Page 121: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� �� � ����� Policy Director� � �� ��� �� �� �����. �

���� �� ���, ���� � ������ �� ��� ��

�� ���� ��� ��� ����(� �� � policy� �� �

� ���� ACL� � �����).

�� ����� �� �� ��� � ��� �� ���� �� �

�� ���� ����. ���� ���� �� policy� ���� �

�� ��� ��� ��� ��� � ����.

�� sec_master(LDAP)� ���� � ��� �� �� ��� �� ��� ��� ���

� � ���� ���� �� ��.

�� ����� �� ��� �����(�� ��) ��� sec_master���� ����, ��� ��� ��� �� � policy� ��

� � ����.

�� 24. �� ��� �� ��� �� � � ��

101Tivoli SecureWay Policy Director Base �� ���

5.�

��

��

Page 122: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� iv-admin� � ��� �� �� ��. cell_admin ����, � �

� �� ��� �� policy� � � ���� ���� ���

��. �� �� ACL ��� sec_master iv_admin �� ��

� ��� ��� �����.

���� iv-admin �� ���� ����� �� ��� �� ��

� � ����. � ��� ��� � ���� � � � �� ��

�(�� ACL�)� �� �� � ���� �� ���� � �

� ��� ��� � �� ���� ��� ��� �� ���.

� �� �� policy� �� ����� management ��� ���

�� � iv-admin�� �� �� �� management ��� ���

� ��� � ����.

�� ivmgrd-servers� ��� Management Server� �� ����. Policy Director�

� ���� ��� ��� Management Server� ��� � ��

���. ���, � ��� ��� ���� �� ����.

�����, ��� �� �� Management Server� � �� �

� ���� ��� Management Server� �� � �� ��� ��

� � �� ��� ��� �� ���. ��� ��� � � �

�� �� �� ACL�� server administration(s) ��� ���� �

�� ���� list(l) ��� �����.

�� webseal-servers� ��� � ���� �� WebSEAL � � �� ����. �

� WebSEAL ACL ��� � � ��� HTTP-specific ��

delegation �� ��� �����. � policy� �� WebSEAL �

� �� �� WebSEAL � � junction� � �� ���. � policy� �� � � � � ��� ��� ��� ��� � ����.

102 �� 3.8

Page 123: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� ���� �� ���� ��� ��� ��� � ����. �� �

���� �� �� ACL� � ����� �����. ��� ��

��� ��� ��� �����.

¶ ACL �� �

ACL ���� �� ACL� ��� �� �� ��� NamespaceRegion� �� �� ��� ��� � ����. ���� ACL �

��� b, a, t �� ��� � Region� ���� �� ��

� ��� �� ��� ��� � ����.

���� �� ��� ���� �� ACL ���� ��� ���

� �� Namespace� ���� ACL� ��� � ����. ����� ACL ����� ��, �� �� ��� � �� ���

��� �� ����.

¶ ACL policy �

ACL policy ���� � ����� ���� �� ACL ��

��� �� � ��� ��� ��� ����. ACL policy ��

���� /management �� /management/ACL ���� �� d,b, m, v ��� ���� ���.

� ACL policy ���� �� ACL ����� ��� � ��

��. �� ����� ����� ���� ����� abcT �

�� �� �� ACL ������ ��� ��� ���.access(c) �� ACL� ��� ���� ���� �����

ACL� ��� � �� ���.

ACL� ����� ����(�� ACL� ��) ���� ��

� ACL� delete(d) ��� ��� � ����. � ACL� ��

�� ��� ACL ����� ��� � ����.

¶ �� �� �

� ������ /Management/Server ���� �� d, m, s, v��� �����. � ���� Policy Director � � ��� �

�� ��� ��� � ����.

¶ �� �� �

103Tivoli SecureWay Policy Director Base �� ���

5.�

��

��

Page 124: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� ������ /Management/Action ���� �� d � m �

�� �����. � ���� �� ������� � �� �

� �� ����� ��� � ����.

�� �� ACL ������� ��� ���� �� ��� � ��� �����.

¶ /WebSEAL� �� �� ACL user adam�� �� �� ��

� �����.

��� sec_master abcTdmlrx�� iv-admin abcTdmlrx�� webseal-servers gTdmlrx�� ivmgrd-servers Tl��� adam abcTdmlrx�� Trx���� � Trx

��: �� ���� ��� ���� ��� �� ��� ���� � ��� �

� ���� ��� � ����. � ������ ��� � ����

��� �� ���� �� ACL�� traverse ��� �� � ��

� ��� ���� ���. �� �� ����� �� ���� �

�, ��� ACL�� �� �� ��� ��� ���� � �� ��

� ��� � ����.

�� � ���� �� �� ACL ��� ���� ����.

1. �� � ��� ������.

2. � �� �� �� ����� �� ������.

3. �� ��� ��� ��� �� ��� ��� ���� � �

� ACL ��(traverse ��� ��)�� ������.

4. � �� �� ACL�� ��� �� ��� ��� ������(b,c, T, �� ��� �� ��).

104 �� 3.8

Page 125: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

5. �� ���� ���� �� � ACL ��(� �� ��)� ��

� � ����.

�� � ����� �� � ��� �� ���� �� ���

� ���.

�� ���� iv-admin � �� �� ���� �����. ��

� pub-manager� � �� ������ Publications ����

���� � ��� traverse ��� ���.

Publications ����� � ACL� ��� pub-manager ��

� ���� ����. pub-manager� � ��� �� ������,pub-manager� Publications ACL�� iv-admin � ��(� �

� ACL ��)� ��� � ����.

�� 25. �� ��� ��

105Tivoli SecureWay Policy Director Base �� ���

5.�

��

��

Page 126: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� �Policy Director� �� �� ���� �� �� ���� � ���

�� ��� ��� � �� ���. � �� � �, ���, ���� �� �� � � ��� ���� ��� �� �����.

�� ��� ���� ���� � �� �� ����� �� ��

��� ��� � ����. ����� � �� policy �� ���

���� ��, � ����� � � ���� policy �� ���

����.

�� � ��� ��� �����.

¶ �� �(� � �� ���)� �� ���

¶ �� �� � ����� ��� ��� ��

� ��� “���”�� ��� � ����� ��� �� ��

� �� ��. �� ��� �� ���� ��� �� ���� �

� �� �� �� ������.

�� � ��� �� �� �� �����.

1. � ���� ���� ��� ��� ��� ���� ���

� �� � ��

2. �� � � ���� � ���� ��� ��

3. ���� ��� �� ��� � ��

4. ����� ���-��� ��� ���� ACL policy ��

5. ���-��� ��� ��� ���� ���� �� �� �� �

�� ���� ��� ������, Policy Director ��� ��� /Management region��

� ���� � �� � � ������ ��� � �� �

���� ���� ����.

106 �� 3.8

Page 127: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� ���� ��� ��� �� ��� region�� ���

�� ��� � ��� �� � � �����. � ���� ��

�� � ��� �� ��� ��� � �� ���. ��� �� �

���� ��� �� �� �� ��� � ����.

�� � ���� ���� ����� pdadmin object create�� ������.

pdadmin> object create <obj-name> <description> <type>ispolicyattachable {yes|no}

� ��

obj-name �� � ����� �� �� � � . ���

/Management/Groups� �� ���.

description ���� ��� �� ��� ���. � ��� objectshow �� �����.

type �� ��� � ��� �� �� ��� ���� �

��� �� ��� ����. �� 0-16 ��� ��

��(�� ��� � ). �� 14� ���� ���� �

����.

ispolicyattachable

� ���� ACL policy� ��� � ��� ����

�.

����

0 - � � ��

1 - � ���

2 - �

3 - �� �� ����

4 - ���

5 - junction

6 - WebSEAL �

7 - ���� ��

8 - ���� ��

9 - HTTP �

10 - ���� �� ���

11 - ���� ���

12 - �� ���

13 - ��

14 - ������ ���� ���

15 - ������ �� ���

16 - �� ���

17 - ���� ��

107Tivoli SecureWay Policy Director Base �� ���

5.�

��

��

Page 128: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��, �� ����.

pdadmin> object create /Management/Groups/Travel “TravelContainer Object” 10 ispolicyattachable yes

pdadmin group create �� ���� � ���� ���� �

�� �� ����. ��� ��� 109 ���� �� ���� �

����.

+

/Management

/Management/Groups

/Management/Groups/Travel

�� 26. � ���� ���

108 �� 3.8

Page 129: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� �� ����, ���� � �� � ���� ���� �

���� pdadmin group create �� ������. ���� �

��� �� ���� �� ��, ���� �����.

pdadmin> group create <group-name> <dn> <cn> [group-container]

� ��

group-name � � ���� �

dn � �� �� �

cn �� �� �� �

group-container � �� ��� � ���� ���� �� �� �

� �. � ���� ���� ���� � ��,

�� /Management /Groups ��� �����.

¶ �� � � ���� ���� �� /Management/Groups ��

�� ��� �����. � �� �� ��� ����� ����

�, group-container ��� �� �� �� ������.

¶ group create � �� ��� � ���� ���� �

�� � �� ���.

¶ ��� ��� � �� �����, ���� �� � ��

�� ���� ��� ACL� ��(N)� �� ���.

� ���� ���� ���� � ��, (�� ��� ��)��� ACL ��� /Management/Groups ����� ���

ACL� ���� �� ���.

���, ��� �� ACL� (default-management)--/Management� ��--�� � � � ����� ��� �����. � �

�� ��� ����� ���� ��� ACL� �� ���.

¶ � � ����� �� �� ��� � ����.

� ���� ���� ACL (��� �) ���� ���

� �� �� �� �����. ���� ��� � �

�� ��� �� ���� ���� ���.

109Tivoli SecureWay Policy Director Base �� ���

5.�

��

��

Page 130: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ ��� ��� � � ��� ��� �����.

� �� ����, (LDAP� ��) ��� ���� �� �

�� � �� �� � � ��� �� � ����(� �

� ���� �����).

�� ��, �� ����.

pdadmin> group create group1 “cn=travel,c=us” Group1 Travel

pdadmin> group create group2 “cn=travel,c=us” Group2 Travel

�� ��� � ��� ACL policy���� �� ���� �� ��� ACL� � ��� �� �

���� ���� ���� ����.

�� �� ���� ���� ��� ACL � �� �� �

��� ���� �� � ��� ��� ��� �� ���.

�� ��� ��� /Management /Groups �� ��� ����

ACL� /Management/Groups �� � ��� ���� ���.

/Management

/Management/Groups

/Management/Groups/Travel

+ /Management/Groups/Travel/group1

+ /Management/Groups/Travel/group2

�� 27. �� � ����� � � ��

110 �� 3.8

Page 131: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� ��� � ���� ��� ��� ���� ��,ACL� � ���� ���� � ��� ���� ���.ACL� /Management/Groups ���� ���� ����, ACL� ��� �� ��� ��� �� � ���� ��� ��� ���

����.

�� �� � ��� ��(�� ��� � ) ACL ��� �

����.¶ �� � ��� � ���� ��

¶ � ���� ��� � �� �

�� ��, 110 ���� ��27��� /Management/Groups/Travel�ACL� �1 �2 ��� �� ��� �����.

�� �� � ACL �� � ��� �����.

�� ��

��(� �) �(��� �������� � ��

�)

create(N)

��(�) delete(d)

�(� ����) view(v)

��(� �) modify(m)

��(�� ���� ���) add(A)

��(�� ��� ����) add(A)

��� pdadmin ���� ���, �� ��� ���� ��� �

�� ��� � ����.

�:

¶ create(N) �� /Management/Groups �� � ���� ��

�� �� ACL� �� ���.

¶ �� �� �� �� /Management/Groups, � ���� �

�� �� � ��� ��� �� ACL� �� ���.

111Tivoli SecureWay Policy Director Base �� ���

5.�

��

��

Page 132: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ add(A) �� ��� ���� �� ���� �� ��� �

��.

��� ���� �� ���� � �� ���� ���� �

�� ���� ���(��, � ���� � �� �� ��

�� ��� �� ��� ��� � ����).

� �� ��� � � � � policy� ��� �� ��

�� ������ �����.

�� ��� � ��� ACL policy� ���� ���� �� �� ��� ��� �� �� �

���� �� ��� � ����.

��� � ACL �� ��� ��� �����,

�� ��

��(�� � � � ���) �(��� ���

����� ��� ���)

create(N)

��(���) delete(d)

�(��� ����) view(v)

��(��� �) modify(m)

��� �� modify(m)

�� ��� password(W)

��� �� password(W)

��� pdadmin ���� ���, �� ��� ���� ��� �

�� ��� � ����.

�:

¶ create(N) ��(� ACL �� � ���� ACL� ��) �

��� �� �� �, � ���� ���� �� �� �

� � ���� ���.

user create user1 “cn=user1,c=us” user1 user1 adcde group1

user import user2 “cn=user2,c=us” group1

112 �� 3.8

Page 133: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ �� ���� �� ���� ���� �� �����. ��

� � ��, create(N) ��� /Management/Users ���� ��

�� ACL� �� ���.

/Management/Users� �� ACL �� ���(�� ����

� ��� ����)� ��� �����.

¶ � ���� ���� �� ���� ��� ��� ���

�� ����� �� ��� � ����.

¶ ���� �� ��� �� �� ��, � ���� ��

� ���� � ���� /Management/Users� ACL� ��� �

�� ��� �� ���.

¶ password(W) �� ��� !� � ���� �� Helpdesk ���� �����.

��� !� � ��� ��� ��� ���� ��� usermodify password-valid(pdadmin)� “no”� ��� � ����.��� �� ���� ��� ���� � ��� ���� ��

�.

¶ view(v) �� user list, user list-dn, user show groups, grouplist � group list-dn �� �� ���� � �����. view�� � �� �� ���� � �����. �� � �

� �� ���� �� �� view ��� ���� �� � �

�, � ��� ���� ��� �����.

� �� Policy ���� � �� ����� � ����� �� ��� � � policy� ��� ���� �� � ���� ���� ���� ��� �

��� ��� ��� �����. �� ��� � � �� ��

� �� �� � policy� ���� � �� ��� ��� ���

�.

��� �� ��� ��� �� �� ���. �� �� ��� �

�� ��� ����� �� ���.

113Tivoli SecureWay Policy Director Base �� ���

5.�

��

��

Page 134: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� “A” �� � ��� ���� ���� ����� “m”�� “W” ��� �� ���� �� ���(�� ���� �� �

� ����). ����� “A” � “W” ��� ���� ���� � �

�� ��� � ���� ��� ���� �� ���� ��� �

����. � � ��� ��� �� ��� sec_master� ����

��� ���� �� � ����. ��� ����, ���� ���

� � ��� ���� ����� ���� �� �� ��� �

� � ����.

“A” � “m” ��� �� ���� � �� ��� �� ���� �

��� ���� ��� �� ���� � �� ��� ����� �

����.

��� �� �� policy� ����, � �� � �� � � ��

�� ��� �� �����.

� ��� ��, ��� �� ���� �� ��� � ��� ��

���� ���� � ���� �� �� ���. ��� ��

���� ���� ���� “N”, “d”, “m”, “W” � “v” ��� ��

��� ��, ��, ��(����� �� � ��), ��� �� �

���� ��� ���� ���� � � ����. � � ���

�� ��� ��� ���� � ����� �� ��� ����

� ���� �� ���.

�� � ��� ��� �� ��� � � policy� ��� ��

�� � ���� �� �� ���. � �� �� � policy� ���� ���� “A” � “v” ��� �� ��� “N”, “d”, “m”�� “W″ �� � �� � �� �� ���. � � ��� �

�� �� �� ��� �� ��� ���� � �����.

��:

�� � ���� ���� ��� � �� � ��� ��� �

�� ������.

114 �� 3.8

Page 135: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ �� �� ��

¶ �� � ���� �� ��

¶ ��� �� ��

�� �� �� ��� � ����.

/WebSEAL/www.company_xyz.com/

customers/sales/

www.company_xyz.com � ��� ��� ACL � ��� �� �

� � �� �� ��� ����. customers��� ACL �

�� �� ��� ��� sales��� �� ACL �����

����� ����. � ACL �� �� � ����.

public-accessuser sec_master -abc---Tdm----lrxany-other -------T------lrxunauthenticated -------T------lrx

customer-accessuser sec_master -abc---Tdm----lrxgroup customers -------T------lrxgroup sales -------T------lrxany-other -----------------unauthenticated -----------------

sales-accessuser sec_master -abc---Tdm----lrxgroup sales -------T------lrxany-other -----------------unauthenticated -----------------

� ACL ���� �� �����.

/WebSEAL/www.compan_xyz.com/WebSEAL/www.company_xyz.com/customers/WebSEAL/www.company_xyz.com/sales

�� �� �� ��� �� policy� ��� ��� ������.���(“sales” �� ���) ��� �� �� ��� ���� �

��� customers ��� �� ��� ����� ����. ��

�(“sales-admin” �� ���)�� � ���� ��� �����

����.

115Tivoli SecureWay Policy Director Base �� ���

5.�

��

��

Page 136: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� � � � � � policy� �����.

/Management/Groups/

sales <- ACL sales-adminsales-users <- ACL sales-users-admincustomers <- ACL customers-admincustomers-users <- ACL customers-users-admin

sales-admin ACL �� � ��� sales-people-only ��� ��

��� ���� � ���� sales �� ��� ��� ���� �

�����. ��� �� �� “sales-admin” �� � ��� �

��� ���� ��� � �� �� ���. view(v) ��� ���

� ���� �� �� ��� � ��� ��� � � ����.

sales-admingroup super-admin Tabcgroup admin TAv

sales-users �� �� ��� � sales-users-admin ACLsales-users �� ���� ���� �� ��� � ��� ����

�.(� �� “sales-admin” ����.)

sales-users-admingroup super-admin Tabcgroup admin TNWdmv

���� customers-admin ACL � ��� customers-only ���

�� ��� ���� � ���� customers �� ��� ��

� ���� � �����.

customers-admingroup super-admin Tabcgroup sales TAv

customers-users �� �� ��� � customers-users-adminACL customers-users �� ���� �� ��� � ��� ��

���.(� �� sales ����.) �� “sales-admin” �� �

��� ��� ����� ����.

customers-users-admingroup super-admin Tabcgroup sales TNWdmvgroup admin TNWdmv

116 �� 3.8

Page 137: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� ACL�� super-admin � �� i� ��, ���� � �� ��

� ����� ������. super-admin �� ��� � ACL����� � ��� ����.

117Tivoli SecureWay Policy Director Base �� ���

5.�

��

��

Page 138: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

118 �� 3.8

Page 139: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Policy Director �� ��

� ��� Policy Director � �� � �� � �� ���� �

��� � ��� ��� ��� �����. � � � ���� ��

�� ����.

�� ��

¶ �Policy Director � ���

¶ 124 ���� �UNIX: Policy Director � ��/���

¶ 126 ���� �Windows: Policy Director � �� � ���

¶ 127 ���� ���� � �� ����

¶ 128 ���� �Management Server(pdmgrd) ���

Policy Director �� ��Policy Director� ��� � ����(��)� �����.

¶ Management Server(pdmgrd)

¶ Authorization Server(pdacld)

¶ WebSEAL (webseald)

��� � � �� �� �� ���� �����.

6

119Tivoli SecureWay Policy Director Base �� ���

6.P

olicy

Directo

r�

��

Page 140: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Management Server(pdmgrd)� �� ��(ACL) ����� �

���� �� �� Policy Director � � �� �� �� ���

�����. Management Server� ���� ��� �� �� ��

�� ��� ���.

Authorization Server(pdacld)� �� ������� Policy Director� ���� �� �� ��(Authorization API� �)� � � �

����. Authorization server��� ���� ��� �� �� �

��� �����.

WebSEAL(webseald) �� � ��� ��� ��� � policy� ���� ���� �� ��� � � ���. WebSEAL � �

� � ���� ���� � policy� ��� � ������ � �

�� ��� � ����.

�� ������ Policy Director � �� �� ����.

¶ �� � ����� ��� Management Server� ����

�� ��(ACL) ������� �� � ����.

¶ Management Server� �� ������ � ���� �� �

� Policy Director � � �����.

¶ ��� �� ���(WebSEAL � Authorization Server)� ��

�� ��������� ��� ��� ���� ��

policy� �����.

120 �� 3.8

Page 141: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� �� ���� ������ ��� �� ���� ���� � �� �����.

¶ Web Portal Manager

¶ pdadmin ����

¶ pd_start ����

¶ Windows NT ��� ���

�� ��� GUI(Graphical User Interface)� ���� � �� �

��� ������. �� ��� � ��� � �� ��� �� �

��� ��� �� ����� ������.

pdadmin � UNIX �� ����� �� ������ �����.�� �� � ���� ��� � �� ���� ���� � �

����.

�� 28. Policy Director � ����

121Tivoli SecureWay Policy Director Base �� ���

6.P

olicy

Directo

r�

��

Page 142: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Web Portal Manager � pdadmin �� �� ��� ��� � �

���. �� ����� ��� �� ���.

���� �� ��� �, �� ����� �� � � �� ��

��� ��� � ����.

Web Portal Manager

¶ Tivoli SecureWay Policy Director Web Portal Manager forWindows �� ��� � ����.

pdadmin ���Policy Director� ���� � ���� ���� �� pdadmin

�� ����� �����. ��� ����� pdadmin� �����

�.

¶ �� ��� � �� ��� �� �� ��� ��

¶ �� ��� � ��� � �� �� �� ���� ��

¶ ��� ��� 175 ���� �pdadmin � � �� � ����.

pd_start ������� pd_start ����� ���� ���� � � ��, ��, ����� � ��� �� � ����.

Windows NT ��� ������ ����� ��� ���� ������.

¶ � ��

¶ � ��

¶ � ����(���)

¶ �� � �(��)

¶ �� � � ��

122 �� 3.8

Page 143: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� ��� �� ��� ���� Policy Director � � �� ��� ��

� � ����.

�� �� �� �� �� �� ��

ManagementServer(pdmgrd)

ivmgrd.conf UNIX: <install-path>/etc/ivmgrd.conf

Windows: <install-path>\etc\ivmgrd.conf

AuthorizationServer(pdacld)

ivacld.conf UNIX: <install-path>/etc/ivacld.conf

Windows: <install-path>\etc\ivacld.conf

WebSEAL(webseald)

webseald.conf UNIX: /opt/pdweb/etc/webseald.conf

Windows:C:\Program Files\Tivoli\PDWeb\etc\webseald.conf

Policy Director �� ���� � �� �� ���� ����

����.

UNIX: /opt/PolicyDirector/Windows: C:\Program Files\Tivoli\Policy Director\

� ��� � �� ���� ��� � <install-path> ���

�����. Policy Director �� �� � �� �� �� �

� �� ��� ������.

�� � ASCII ��� ��� �� ��� �� ���� �

�� � ����. �� � �� � ���� ���� ���

�����.

parameter=value

Policy Director � � �� ���� ���� ���� ���� �

����. �� ����� ���� ��� ���� �� �� ���

�� � �� ��� ���� �� ���� � ��� � ��

��.

123Tivoli SecureWay Policy Director Base �� ���

6.P

olicy

Directo

r�

��

Page 144: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�: �� �� � �, ����� ���� �� Policy Director� � ���� �� �� ���.

� ��� �� �� ��� �� �� ��� ����� ��� �

�� �� ��� ���. ��� ��� �� �� � ����

�[stanza-name].

�� ��, [ssl] stanza in ivmgrd.conf� Management Server� SSL�� ��� �����. ��� [ldap]� LDAP ����� ����

� Management Server�� ����� ��� �����.

� � ����� ��� ��� � �����.

�� ��� �� �� ��, ���� ���� �� ����

����.

UNIX: Policy Director �� ��/��� ����� ���� ��� �� � ��� ���� ���

����� � �� ���� �����.

UNIX ����, pd_start ����� ���� � ����� ��

�� ����� ��� �� ����. � � ��� ��� ��

��� ���� �� ��� ���� ��� ��� �� � ���

��. ����� �� ����� ��� � ����. Web PortalManager� ���� � � ���� �� � ��� � ����.

pd_start� �� � �� �� ����.

# pd_start {start|restart|stop|status}

��� ����� pd_start ����� ��� � ����. ���

�� �� ���� �����.

/opt/PolicyDirector/bin/

124 �� 3.8

Page 145: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

pd_start ���� ���� Policy Director �� ��pd_start ����� ���� �� ���� �� Policy Director �

�� ��� ��� ������.

# pd_start stop

� ����� ����� ���� �� �� � � ��� ��� �

����.

pd_start ���� ���� Policy Director �� � pd_start ����� ���� �� ����� �� �� ��� �

�� Policy Director � � ������.

# pd_start start

� ����� ����� ���� �� �� � � ��� ��� �

����.

pd_start ���� ���� Policy Director �� �� �

pd_start ����� ���� �� ���� �� Policy Director �

�� ��� , �� � � ������.

# pd_start restart

� ����� ����� ���� �� �� � � ��� ��� �

����.

�� �� �� � � � �� ���� ��� � � ���� ��� � ����. �

� �� �����, ������ �� ������.

root � �� ����� �� �� �� ���.

��� ��� Policy Director � � ������.

1. Management Server(pdmgrd):

# <install-path>/bin/pdmgrd

125Tivoli SecureWay Policy Director Base �� ���

6.P

olicy

Directo

r�

��

Page 146: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

2. Authorization Server(pdacld):

# <install-path>/bin/pdacld

pd_start ���� ���� �� �� ��pd_start �� ���� � ��� �����.

# pd_start statusPolicy Director Servers:Server Enabled Runningpdmgrd yes yeswebseald no nopdacld yes no

Windows: Policy Director �� �� � ��Windows NT ��� ���� ���� � ����� ���� �

��� ������. � �� ��� ��� ����� ���� �

� ��� � �����. � ����� ����� �� ��� ��

� �� ���.

Policy Director � �� � �� �� �� ����� ���� ��

� � ����. � � ���� ��� ��� ���� ��

���.

��� ���� ���� �� ��/� AutoStart Service� �� ��� “��”�� ���� �� � � �

Policy Director � � ���� �����. � � �� � ��

�� ���� �����.

��� ���� ���� �� � � ���� ���� ��� � �

���.

1. Windows ���� ����.

2. ��� ���� � � �����.

��� �� ��� �����.

3. �� ����� � 4, 5� � ��� �� Policy Director� � �����.

126 �� 3.8

Page 147: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

4. �� ��� Policy Director � � �����.

¶ Authorization server

¶ Management Server

5. �� ��� Policy Director � � ������.

¶ Management Server

¶ Authorization server

6. ��� ����� ��� �� �� �(��, ��, ��)� ��

���.

7. �� �� ���� � Policy Director � � ���� ���

� �� ���, “��...” �� �� ���� � � �� ��

� ������.

��� �� �� ���� �� ���� �� ����� pd.conf �� �� [pdrte] �

��� �����.

Management ServerPDMgr ��� ��� �, Management Server ��(pdmgrd) �

���� �� ��� � ���� �����.

[pdrte]boot-start-ivmgrd = yes

�� pdmgrd ��� ����� �� �� ������.

boot-start-ivmgrd = no

�: ��� � ��� �� ��� Management Server� ��

���. � ���� � ��� � �� pdmgrd� ���� �

��� ���.

Authorization ServerPDAcld ��� ��� �, Authorization Server �� � ���

� �� ��� � ���� �����.

127Tivoli SecureWay Policy Director Base �� ���

6.P

olicy

Directo

r�

��

Page 148: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

[pdrte]boot-start-ivacld = yes

�� pdacld ��� ����� �� �� ������.

boot-start-ivacld = no

Management Server(pdmgrd) ��Management Server� �� �� policy ����� � ���

� �� �� Policy Director � � �� �� �� ��� ����

�. Management Server� ���� ��� �� �� ���� ��

� ���. � ����� ���� ��� � �� �� ���� �

���.

¶ ��� ����� ���

¶ 130 ���� ��� ��� ��� � ���

¶ 131 ���� ��� �� �� ���

�� ������ ��Policy Director ���� ���� � ���� �� � policy �

���� ��� � ����. Management Server� �� �� � �

���� ��� � �� �� ������ ��� �� �

��� ���.

Management Server� �� �� ������ ��� �, � ��

� ��� �� �� � (��� ������ ��)� �� � ��

��. �� � � �� �� �������� ����� ���

�� ���.

�: ��� ���� � � ���� ���� Management Server� ��� ����� ��� ��� � ����. �� ��,WebSEAL ����� �� � �� Tivoli SecureWay PolicyDirector WebSEAL �� ���� ����.

Policy Director� Management Server� �� ��� �� ���� �

� ���� �� ���� ��� ���� ���. auto-database-

128 �� 3.8

Page 149: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

update-notify ����� ivmgrd.conf �� �� [ivmgrd] ���

� ����. ����� ����� “yes”� �����(�� ���

Management Server� � ���� �����).

[ivmgrd]auto-database-update-notify = yes

� �� �� ����� ����� �� �� ���� �� ��

� �����. �� ��� ���� ��� �, max-notifier-threads� notifier-wait-time ����� ��� �� ���. 130 ���

� ��� ��� ��� � ��� � 131 ���� ��� �� �� �

�� ��� � ����.

���� �� ��� ����, pdadmin server replicate �� �

� ������ � ���� �����.

[ivmgrd]auto-database-update-notify = no

� �� �� ����� ����� �� ���� ���� ��

�� �� ��� �����. �� ���, �� ����� ��

�� ������ � ����� �� ���� �� �� �

� ��� ��� � ����. � ���� ��� ���� ����

���� ����.

�� ��� �� ��� �� ��� ����� ���� �� ��

� � ���� �� �� �� ������ ���� �����

���� ���.

�� ����, �� ��� ��� ��� �� �����(�� ��

�� ��). ���� �� �� �� max-notifier-threads ���

� ��� � ��� ���. ��� ��� 130 ���� ��� �

�� ��� � ���� � ����.

129Tivoli SecureWay Policy Director Base �� ���

6.P

olicy

Directo

r�

��

Page 150: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

pdadmin �� �� �� ������ �� ��� ����, pdadmin server replicate �� �

� ������ � ���� �����. � �� ��� ��

�.

pdadmin> server replicate [-server <server-name>]

�� server-name ��� ����, � � �� �� �� ��

���� �� ����� �����. �� � ��� �� �� �

�� ���� ��� �����.

server-name ��� ���� ���, �� �� �� � � �� �

�� ���. ���� ���� Management Server� �� ���

��� ����� �� ��. �� �� �� � �� ����� �

� �� ��� ���� ����.

� �� ���� � ��� �� /Management/Server ����

�� “s”���.

� �� ��� � �Management Server� � ���� �� ����� ����� �

��� ��� ����. �� ������ ��� ��, �� ��

�� �� ���� � ��� ��� ��� �����. ���, � �

�� ����� �� ��� ���� ��� ����.

Management Server �� �� ivmgrd.conf�� �� �� ���

��� �� ��� �� ����� �� ����. � ��� � �

�(��) ��� ���� ���.

�� ��, ��� 30�� ���� ����� ��� �����, �

�� � ��� 30�� �� ���. ���� 30�� ���,�� �� ��� �����(� ����� � �� 30). �� ���

� ����� � ���� ��� �� ����.

�� ��� ��� �� �� �� ���� � ����� ��

� ��� ���. ���� ��� ��� � ���� �� �

130 �� 3.8

Page 151: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� ���. ��� �� � �� �� ���� �� ���� ��

� ���� � ��� �� �� �� ����.

�� ��� ��� ��� � �� �� �����.

[ivmgrd]max-notifier-threads = 10

�� ��� �� �� ���� � ����.

�� �� �� �Management Server� �� �� ������ ��� ��� ��

� ��, ����� ���� ��� ��� �� �� ��� �

����. �� �� �� 15����. � �� �� ����� �

�� �� ������.

�� ��� �� Management Server� ������ ��� �

��� ����� ��� ��� ��� ���� ���� � ��

��. �� �� Policy Director ���� �� ��� ��� �

��� ���.

�� �� �� �� ������ � �� ��� ����� �

��� ��� �����. �� ��� ���� , ����� ��

�� policy ����� ��� � ������.

notifier-wait-time ���� �(�) �� ���� ivmgrd.conf �

� �� [ivmgrd] ���� ��� � �� �� �� ��� �

� ����. �� ��, �� ����.

[ivmgrd]notifier-wait-time = 20

�����, � 15�� ���� ����.

131Tivoli SecureWay Policy Director Base �� ���

6.P

olicy

Directo

r�

��

Page 152: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

132 �� 3.8

Page 153: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

LDAP ����� ���

LDAP TCP/IP�� ���� ������. LDAP ���

�� �� ���� ��� �� � ��� � �� ����

�����. LDAP� �� ��� ���� LDAP ���� �

����.

Policy Director� �� ��� �� �� � LDAP ���� �

����. IBM LDAP �� IBM SecureWay Directory� ��� �

���. LDAP� iPlanet �� iPlanet Directory Server� ��� �

���. � ��� Policy Director LDAP ������ �� ���

���.

�� ��

¶ �LDAP� ���

¶ 138 ���� �LDAP � �� ���

¶ 143 ���� �� LDAP ���� Policy Director ACL ���

LDAP� ��1988�, CCITT(Consultative International Telephonique etTelegraphique, ��� ITU-T�, International TelecommunicationsUnion - �� � )� X.500��� ��� ���� � �

�����. X.500 ��� ���� 1990��� ISO 9594(��

�� ���� ���, ��� X.500-X.521)� �����.

7

133Tivoli SecureWay Policy Director Base �� ���

7.L

DA

P�

��

��

��

Page 154: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

ISO ��� ���� X.500� �����. X.500 � ��� �

�� ��� ��� ���� �����. �� X.500 ����

�� ��� �� ���� �� �� �� ���� �����.

X.500 ���� ����� ����� X.500 �� ��

DAP(Directory Access Protocol)� �� ���. ���� DAP� ���� ��� � � ���� ��� �� ���� ��

�� ������.

���� X.500 �� ��� ��� ���� �������.���, �� ������ �� �� ���� ��� ���

���� �� �� ���� �� ���� ��� ��� �

� �����.

��� �� Netscape Communication�� LDAP(LightweightDirectory Access Protocol)��� DAP� �� �� ��� ��

��. LDAP DAP� �� �� ��� ����� � ��� ���

� �� ��� �� ��� ��� �� ����. LDAP �� ��

� ��� ���� �������� ��� � ����.

LDAP: ���� ���� �� ����LDAP TCP/IP�� ���� ������. LDAP ���

�� �� ���� ��� �� � ��� � �� ����

�����. LDAP�� �� ��� ���� LDAP ���� �

����.

�: LDAP� ���� ���� ��� ����� ����

����.

��� LDAP � ����� LDAP DAP ��� ��� ���

� �� ����� � � � X.500 ���� ���� �

��� �������.

134 �� 3.8

Page 155: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

! LDAP DAP�� �� �� �� LDAP ���� ��� �

��� �������.

LDAP ���� IBM �� AIX, Windows NT, Sun Solaris,OS/400 � OS/390�� �� ��� SecureWay Directory���.

LDAP ���� ��� ���� �� ��� ��� ��� �

����. �� ��� �� � ������ ��� �, IBMSecureWay Directory� ��� ��� � � ���, ���

DB2 �� ������ ������.

LDAP �������� ���� ����� ��� ���� ��� ����.�� �� ��� ������ ����� ���� ���� ��

���.

�� 29. X.500��� LDAP ��

�� 30. ��� LDAP �

135Tivoli SecureWay Policy Director Base �� ���

7.L

DA

P�

��

��

��

Page 156: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

LDAP ���� �� ��� �, �� �� �� �� ���

���� ����. LDAP ���� �� �� ���� �(���

����� ��)� �����. LDAP ���� ��� ���� �

� ���� ����� �� ��� ���� ��� � � �

����.

��� � �� � � ��� �� ��� ���� ���

� ��� ������ �� ��� � ����. ��� �

��� �� ��(DIT)� ����� ������ ����� �

�, �� � ���� ��� �����.

IBM SecureWay Directory � LDAP � �� ����� �

� ����� ���� �� ��, ���� � � �����.

IBM ����� ��� ���� � �� IBM SecurewayDirectory� ����� ��� ��� �� ��� � �� �

����. LDAP� � ��� �� IBM � �� ��� ����

��� ���� IETF(Internet. Engineering Task Force)���.

�� � ���� �����. �� ��, UNIX �� Windows9x/NT � �� � ��� ��� �� ��� � � ��� �

� ��� ����. NetWare(Novell) � ���� � �� �

� ��� ������ �����. �� ���, ��� �� ��

� ������ ���� �� �� �� ������ ����

�. ��, � ��� ��� � �� ��� �� ���� ��

� �� � ��� ����.

��� �� � ����� ����� ����� � ���� �

�� ��� � ����. LDAP� �� ���� �� ��� �

�� ��� ��� ���� � ��� �����.

LDAP �� ��LDAP �� �� X.500 �� ��� ���� ����. LDAP ��� �� ���� �� ���� ��� ��� ����.

� �� ���� ����.

136 �� 3.8

Page 157: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

type = value

����, �� OID(object identifier)� � ���� � �� �

�� ���. � � �(��� ��� ��� ��) �� ��

�(� ��� �� ��� ��� �� � �� ��)� � � ���

�.

LDAP ���� �� �� ��� �� �(DN)� ���.

��� � � DN� � ��� �� � �� �����. �

�� ��� � ��� ���� � � � ��� ���

�����. ��� ��� ����� �� �� �����.

��� ��� ��� � ���� ���� �� ��

� ����� ��� � ����(�� ��, � ��� ���

��� ��� ��� � �� �� ���� ��� � ����).

LDAP ��

����� IBM SecureWay Directory �� ��� ������ ��

��, LDAP ���� ��� ����. �� ��� ��� �

� ���� �� ��� ��� � ����.

�� �� ��, ��� ��� �� � �� ���� �

����� � �� �� ������. LDAP �� � ���

���� ��� ����� � ������.

���LDAP � ��� �� ��� �����. ��� � ���

� ��� �� LDAP � � ��� � ����. �����

��� � � �� ��� �� � ��� ��� ����.

�� �� ���� � ��� �� �� �� � � ���

� ����. �� ���(��� ���� �� ��) ���� �

�� ��� � �� ���.

137Tivoli SecureWay Policy Director Base �� ���

7.L

DA

P�

��

��

��

Page 158: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��LDAP ��� �� ���� ���� ���� � ���� �

��� �����. ACL(Access Control List) �� SSL � �

� ���� � � �� ��� �� ��� �� ����

�.

���IBM SecureWay Directory � LDAP � �� ��� ���

��� ��� ��� ���� ��� ��� ����� � ��

���. ���� ���� � � ���� ���� ��� �

� ��� � � �� � ����.

���LDAP ���(�� �� �� ����/� ��,API(Application Programming Interface) � ��� ��) �� �

�� �� ���� RFC(Request for Comment)� � �����.

�� ��, Lightweight Directory Access Protocol(v3)� RFC 2251 �� LDAP ���� �����. ����� ����� �� �

� �� ��� �� ����� �������. � ��� ���

IETF(Internet Engineering Task Force) DMTF(DistributedManagement Task Force)� �����.

LDAP � �� ��LDAP(Lightweight Directory Access Protocol) ��� ���

�� ��� ���� �����. ����, ��� ���

�/� ��� ���� ���� �����. LDAP ���� �

��� �� � � LDAP ��� � � �����.

Policy Director� ��� ������ LDAP� ��� �����.IBM LDAP �� IBM SecureWay Directory� ��� ����.LDAP� iPlanet �� iPlanet Directory Server� ��� ����.

138 �� 3.8

Page 159: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

LDAP �� � � � �� ��� �� �� ���� ���

���� �����. � ��� ��� � � ���� �����

�. IBM SecureWay Directory� ��� master-slave ��� ��

� ���. iPlanet Directory Server ��� supplier/consumer ���

��� ���. Policy Director� master/slave ��� �� ���

��.

�� � �� �� �� � � �� ��� ���� ���

� ��� � ��� �����. �� � � �� �� ����

��� ���� � �� �� � �� ��� � ����. PolicyDirector� ��� �� ��� ���.

Master-Slave �� ����� � �� ��� ��� ���(�: �� � ���). LDAP ��� �� � �� �� ���� ��� � �� ���. �

�� ��� � � � �� �� � � ���( �/�� � ).�� �� �� � �� �����, ��� � � ���. ��� ��� � ������� �� � � ��� ���� �

� ��� ��� �� ����.

���� �� ���� ��� ���� ��� ���� ��

� ��� � � ����. �� �� ��� �� ��� � � �

�� � ����. �� �� � � � �� � ��� �� �

��, ��� � � ���� ��� � �� � � � � ��

��.

LDAP ��� �� Policy Director � �� ��Policy Director� ��� LDAP �� � � ����. LDAP

�� � � �� ��� �� ��� �� Policy Director � �

�� � �� ��� LDAP ��� � �� �� �� ��

�.

139Tivoli SecureWay Policy Director Base �� ���

7.L

DA

P�

��

��

��

Page 160: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� ������� �� �� � �����. �� ��� �

� � � � ��� �� �� �� �����. ��� �� ,Policy Director� �� � � ��� � �� ��� � � �

�����.

ldap.conf �� �� [ldap] ����� LDAP � �� ����

��� �� � ����.

UNIX: /opt/PolicyDirector/etc/ldap.confWindows: <install-path>\etc\ldap.conf

��� �� ��IBM SecureWay Directory(LDAP)� ��� �-�� �� LDAP� � ��� �����. iPlanet Directory Server� �� �/��

LDAP � � �����. Policy Director� �� ��� �� ��

� � iPlanet “supplier” � � �����.

ldap.conf �� �� �� �� � �� LDAP � � ���

� �� �� ��. Policy Director ��� �� �� ��� � �

���. �� ��, �� ����.

[ldap]enabled = yeshost = outbackport = 389ssl-port = 636max-search-size = 2048

���� ��

enabled Policy Director� LDAP ��� ������ ���

��. � “yes” � “no”���.

host LD �� � � ��� ��� ���� ����.

port LDAP �� � � TCP �� ��

ssl-port LDAP �� � � SSL �� ��

max-search-size Policy Director� LDAP Client ����� �� �

� ��-�� �� LDAP ������ ��� ��

� �� �� ��� ��� ����.

140 �� 3.8

Page 161: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� � � ��� ��� ���� �� LDAP ���

��� ��� ���� ��, Policy Director� �� �-��( �

�) LDAP � � �����.

��� �� ��IBM SecureWay Directory(LDAP)� �� ��� � �� ���

LDAP � � ��� �����. iPlanet Directory Server(LDAP)�

“consumers”� ��� �� ��� � �� ��� LDAP � � �

�� �����.

Policy Director�� �� ��� ��� � � ���� [ldap] ��

�� ��� �� ���. ��� ���� �� ��� �����

�.

replica = <ldap-server>,<port>,<type>,<preference>

���� ��

ldap-server LDAP ��� � � ���� �

port � � � ���� ��. ����, 389 �� 636�

�����.

type ��� � � �� - “ � ��” �� “ �-��” �

�. ���� “ �-��”� �����. “ �-��” �

� �� � � �� ��.

preference 1 - 10 ��� ��. � � �� �� �� �� �

� LDAP �� � ����. ��� ��� 142

���� ���� LDAP � � �� �� �� � �

��� � ����.

��:

replica = replica1.ldap.tivoli.com,389,readonly,5replica = replica2.ldap.tivoli.com,389,readonly,5

Policy Director� �� �� ldap.conf �� ����� ��

���

141Tivoli SecureWay Policy Director Base �� ���

7.L

DA

P�

��

��

��

Page 162: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� LDAP ��� �� �� � � ���� ��� � � ���� � ��� ��� �� �� �(1-10)� �� ���.

¶ �� �-�� �� � , ��

¶ � ��� �� � �� �

�� �� � � ��� ���. � � �� ��� �� �-�� � � ���� ���� � �� �� �� �� � � ��

���. � ��� � � ��� �� �� �� �� ��, �� ��

�� �� �� ����� � �� �����.

�� LDAP � � � �� �� �-�� � � ��� � ��

� � ������. � �� ��� ��, �� � � ��

�� �� 5� ���. �� ��� � � ��� ��� ��

�� � �� � �� ��� � �� �� �����. �� �

�, ��� �� �� ����� �� � � �� ��� � �

�� �� ��� ���.

�� � �� �� �� ���� ��� LDAP � � ���

�� � ��(�� � � � ��� �� ��), �� � � � �

� ��� �� � � ��� �� �� � �� � ����.

�� �� ��� �� �� ����� �� ��. “M” ��( � ��/ �-��) LDAP � � ����, “R1, R2, R3” ���( � ��) LDAP � � �� ��.

M R1 R2 R3 �� � �� ��

5 5 5 5 �� � � ��� �� �� �� ���.

�� ���� ��� ��� � �� �

� �����.

142 �� 3.8

Page 163: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

M R1 R2 R3 �� � �� ��

5 6 6 6 � �� ��� � � ��� �� �� ��

���. � � �� � � ��� ��

�. �� ���� � �� ��� � � �

�� �� �� � � �����. ���

� �� � � �� ��� � �� ���

� �����.

5 6 7 8 � 3(� � �� �� �� ��)� �

� � � ���. � 3� ��� ��, �

��� � �� �� �� ��� � 2�

�� � � ���.

�� �� � LDAP ������ �-�� ���� ��� �

��. Policy Director� LDAP ������ ��� ��� �� �

�, ��� ��( �-��) � � �����.

�� �� ��(�: Management Server) �/�� � � ���

��� � �� ��� �� ��� ���� ������. �� ��� �� �� LDAP � � �� �� �� ��� ��

�� �����.

�� LDAP � � ����, Policy Director� �������� ����

� ���� � � ����. �� 10����.

� LDAP ��� Policy Director ACL ��

�: �� ��� IBM SecureWay Directory Server � iPlanet DirectoryServer ��� �����.

LDAP ���� Policy Director� �� �� ��� LDAP ����

����, ���� � ACL(Access Control List)� ���� � �

� ����� ��� ��� � �� ����� � ���.

143Tivoli SecureWay Policy Director Base �� ���

7.L

DA

P�

��

��

��

Page 164: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

IBM SecureWay Directory� ��, Directory �� � DMT� ��

�� ACL� ������. Netscape LDAP � � ��, iPlanet ��

5.0� ������.

� LDAP �� ������ ���� �� � ACL� �� �

Policy Director ���� ������.

LDAP �� ��� ��

cn=SecurityGroup,secAuthority=Default

¶ �� ��

cn=ivacld-servers,cn=SecurityGroups,secAuthority=Default

¶ �

¶ ��

¶ ��

cn=remote-acl-users,cn=SecurityGroups,secAuthority=Default

¶ �

¶ ��

¶ ��

���� Policy Director ��� ������ � LDAP� ���

Policy Director� �� �� � � LDAP ���� ����� �

� ��� �����. ���� Policy Director ����� PolicyDirector � LDAP �� ����� �����. �� �����

LDAP Directory Information Tree� ���� ��� ��� ���

��� �����.

Policy Director� ����, LDAP � ��� ���� �� LDAP���� � ACL� ����� �����. � �� ��� PolicyDirector� � LDAP ��� ��� ��� � � ��� �� � �

��� ���.

144 �� 3.8

Page 165: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� Policy Director� �� � ���� ���� Policy Director� ��� � �� ��� ��� ��� � � ��� �� � �

�� � �� �� ��, ��� �� ��� ���� ��� ��

� ����. � �� �� ���, Policy Director� � �� �

�� �� ��� �� ��� � � ��� �� � ���� ��

� LDAP ��� ���� ����.

�� �� LDAP ���� ��� �� ��� �����, �� �

� LDAP � ��� �� IBM SecureWay Directory �� iPlanetDirectory Server � ��� � �� �� ������.

����� �� �� ���� “o=neworg,c=us”�� �����. �

� ��� � �� � �� �� �� ���� �� ���.

IBM SecureWay Directory Server ���� ���� ��� Policy Director �� ��� IBM SecureWayDirectory Server� �� �� ���� ���� ��� ����.

1. �� � � ��� LDAP �� �(Directory Management Tool)� ������.

Windows: �� -> ���� -> IBM SecureWay Directory ->Directory �� �

UNIX:

# /usr/bin/dmt

2. �� ��� ��� � ����.

Warning: Entry o=neworg,c=us does not contain any data.

��� �����. 146 ���� 7���, � ��� ��� �

� ����.

3. !� ����� �� �� �� �����. � �� �� �

����.

4. �� ��� �� �� �����.

145Tivoli SecureWay Policy Director Base �� ���

7.L

DA

P�

��

��

��

Page 166: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �

� �: ldap://<hostname> �� ��, ibm007.ibm.com

��: 389 389� �� �����.

��� DN: cn=root LDAP ���� DN

��� ��: abc123 LDAP ���� ��

5. �� �����. Directory �� � ���� �����.

6. !� ���� � ���� � �� ������. �� ��,ldap://ibm007.ibm.com:389

7. !�� �� � ��, � �� -> �� ����� ���

��. �� ��� ��� � ����.

Warning: Entry o=neworg,c=us does not contain any data.

8. �� ���� � � �� �� 9�� �����.

Warning: Entry o=neworg,c=us does not contain any data.

� ���� � ��, ���� ��� �� ���. ��

� ��� ��� �� ��� ���� ��� � ����. �

�� ����� �� �� �����.

a. ��� ���� �� �� �����. LDAP �� �� �

� ��� ����.

b. ��� �� ��� ������. �� DN� c=us� ����

��. �� DN� o=neworg� ������. �� ����

�. ��� �� �� ���� LDAP �� �� �� �

����.

c. o: ����� �� ��� � �(neworg)� �����.

d. ��� �����. ��� �� ���� ���� ���

�.

9. !� ����� � �� -> �� ��� �����.

10. ���� �� ���� ����� �� �� ���� � �

����.

146 �� 3.8

Page 167: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

11. ��� ����� ACL �� �����. ���� �� ��

�� �� �� ��� LDAP ACL �� ����.

12. LDAP ACL �� �� ���, �� �� �� ����

�.

cn=SecurityGroup,secAuthority=Default

� ��� ��� ��� �����.

13. �� ��� �� ���� ������.

¶ DN �� ����, � ���� � � � �� �� �

�� �����.

¶ �� ����, �� �� � �� ��� � �� ��

�����.

¶ �� � ����, � � ��(��, �� � �� �

�)� ��, � ��(��, ��, �� � ��)� �� �� �

� �����.

�� �����.

14. ���� �� ���� ����� �� �� ���� � �

����.

15. ��� ����� ACL �� �����. cn=SecurityGroup,secAuthority=Default �� ���� �� �� ��� ��

�� ������. � �� ���� ��� ���� ���

�.

16. LDAP ACL �� �� ���, �� �� �� ����

�.

cn=ivacld-servers,cn=SecurityGroups,secAuthority=Default

� � ��� ��� �����.

17. �� ��� �� ���� ������.

147Tivoli SecureWay Policy Director Base �� ���

7.L

DA

P�

��

��

��

Page 168: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ DN �� ����, � ���� ��� ��� �� �� �

� �����.

¶ �� ����, �� �� � �� ��� �� ��� �

����.

¶ �� � ����, �� � ��� �� ��, �� �

�� ��� � �� �� �����.

¶ �� � ����, �� � ��� �� �� ���

� ��� �����.

¶ �� � ����, �� � �� �� � ��� ��

�� ��� � ��� �����.

�� �����.

18. ���� �� ���� ����� �� �� ���� � �

����. ��� ����� ACL �� �����.cn=ivacld-servers,cn=SecurityGroups,secAuthority=Default �

� ���� �� �� ��� ���� ������. � �

� ���� ��� ���� ����.

19. LDAP ACL �� �� ���, �� �� �� ����

�.

cn=remote-acl-users,cn=SecurityGroups,secAuthority=Default

� � ��� ��� �����.

20. �� ��� �� ���� ������.

¶ DN �� ����, � ���� � � � �� �� �

�� �����.

¶ �� ����, �� �� � �� ��� � ��� �

����.

¶ �� � ����, �� � ��� �� ��, �� �

�� ��� � �� �� �����.

148 �� 3.8

Page 169: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

¶ �� � ����, �� � ��� �� �� ���

� ��� �����.

¶ �� � ����, �� � �� �� � ��� ��

� ��(��, ��, �� � ��)� � ��� ����

�.

�� �����.

21. ��� � ��� �� ��� �����.

iPlanet Directory Server ��� ����� iPlanet Console 5.0� ���� ���� �� ACL ��� � ����.

1. �� � � ��� iPlanet Console 5.0� ������.

¶ UNIX �����, iPlanet Directory Server �� ����

��� �����.

# ./startconsole

¶ Windows �����, �� -> ���� -> iPlanet ServerProducts -> iPlanet Console 5.0� �����.

2. LDAP ���� ��� ID� �����. ��

cn=Directory Manager���. �� � �� URL� ����

�. �� �����.

3. Policy Director� ��� ���� �����.

4. � � � �� ��� �����.

5. ��� Directory Server ��� �����. iPlanet ��

� � � �� ��� ����.

6. �� �� �����. iPlanet Directory � � �����.

7. � �� �����. �� �� ���� !� ����

� ��, 150 ���� 8�� �����.

149Tivoli SecureWay Policy Director Base �� ���

7.L

DA

P�

��

��

��

Page 170: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� ���� !� ���� ��� � ��, ����

�� ��� ���� �� � ���� �� ��� �� �

��. ��� ����� �� �� �����.

a. ��� ��� � ��� � � �� � �����. �

��� -> � �� ����� �����. �� ���� ��

� ����.

b. �� ���� ���� o=neworg,c=us� �����. � �

�� � �� ����.

c. � ��� � ���, ��� ��� � ��� �� �

��� ��� �����.

d. �� �����. Property Editor �� ����.

e. neworg� � ��� ��� �� �����.

�: �� ��� �� ���� �����. �� ���� �

�� �� �� � �� ������.

f. �� -> � ��� �����. � ��� ��� !� ��

�� �����.

8. !� ���� neworg ��� � �����. ���� -> �

�� �� ��� �����. o=neworg,c=us� �� �� ��

�� �� ����.

9. �� ��� � o=neworg, c=us �� �� ACI � ��

���.

10. SECURITY GROUP - ALLOW ALL� ACI �� ������.

11. �� ��� �� � ��� ��� �����.

12. �� � � �����. o=neworg,c=us� �� ACI ��

����.

13. �� ACI ���� ���� �����.

150 �� 3.8

Page 171: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

(target="ldap:///o=neworg,c=us")(targetattr="*")(version 3.0; acl "SECURITY GROUP - ALLOW ALL";allow (all)groupdn = "ldap:///cn=SecurityGroup,secAuthority=Default";)

�� ��� � ���� ��� ���� ������. ��

� ��� �� ��� � � ������.

14. �� �����. o=neworg,c=us� �� �� �� �� ��

����.

15. �� ��� �����. ACI �� ������.

PD Servers GROUP - ALLOW READ

16. �� ��� �� � ��� ��� �����.

17. �� � � �����. o=neworg,c=us� �� ACI ��

����.

18. �� ACI ���� ���� �����.

(target="ldap:///o=neworg,c=us")(targetattr="*")(version 3.0; acl "SECURITY GROUP - ALLOW READ";allow(read, search, compare)groupdn = "ldap:///cn=ivacld-servers,cn=SecurityGroups,secAuthority=Default";)

�� ��� � ���� ��� ���� ������. ��

� ��� �� ��� � � ������.

19. �� �����. o=neworg,c=us� �� �� �� �� ��

����.

20. �� ��� �����. PD Remote ACL Users GROUP -ALLOWREAD� ACI �� ������.

21. �� ��� �� � ��� ��� �����.

22. �� � � �����. o=neworg,c=us� �� ACI ��

����.

23. �� ACI ���� ���� �����.

151Tivoli SecureWay Policy Director Base �� ���

7.L

DA

P�

��

��

��

Page 172: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

(target="ldap:///o=neworg,c=us")(targetattr="*")(version 3.0; acl "SECURITY GROUP - ALLOW READ";allow (read, search, compare)groupdn = "ldap:///cn=remote-acl-users,cn=SecurityGroups,secAuthority=Default";)

�� ��� � ���� ��� ���� ������. ��

� ��� �� ��� � � ������.

24. �� �����. o=neworg,c=us� �� �� �� �� ��

����.

25. �� ��� �����. PD Deny-Others1� ACI �� ���

���.

26. �� ��� �� � ��� ��� �����.

27. �� � � �����. o=neworg,c=us� �� ACI ��

����.

28. �� ACI ���� ���� �����.

(targetfilter="(|(objectclass=secUser)(objectclass=secGroup))")(version 3.0; acl "PD Deny-Others"; deny(all)groupdn != "ldap:///cn=SecurityGroup,secAuthority=Default ||ldap:///cn=remote-acl-users,cn=SecurityGroups,secAuthority=Default ||ldap:///cn=ivacld-servers,cn=SecurityGroups,secAuthority=Default";)

�� ��� � ���� ��� ���� ������. ��

� ��� �� ��� � � ������.

29. �� �����. o=neworg,c=us� �� �� �� �� ��

����.

30. �� ��� �����. PD Deny-Others2� ACI �� ���

���.

31. �� ��� �� � ��� ��� �����.

32. �� � � �����. o=neworg,c=us� �� ACI ��

����.

152 �� 3.8

Page 173: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

33. �� ACI ���� ���� �����.

(targetfilter="(|(objectclass=secPolicyData)(objectclass=secPolicy))")(version 3.0; acl "PD Deny-Others"; deny(all)groupdn != "ldap:///cn=SecurityGroup,secAuthority=Default ||ldap:///cn=remote-acl-users,cn=SecurityGroups,secAuthority=Default ||ldap:///cn=ivacld-servers,cn=SecurityGroups,secAuthority=Default";)

�� ��� � ���� ��� ���� ������. ��

� ��� �� ��� � � ������.

34. �� �����. o=neworg,c=us� �� �� �� �� ��

����.

35. �� � o=neworg,c=us� �� �� �� �� �� ��

���.

36. ��� ����� � -> ��� �����.

153Tivoli SecureWay Policy Director Base �� ���

7.L

DA

P�

��

��

��

Page 174: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

154 �� 3.8

Page 175: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� �� �� � �

Policy Director� �� �� �� �� � �� ��� �����. �

� � Policy Director � �� �� � � �� ����

�� � ����. �� �� � Policy Director � �� ���

� ��, ��, ��, HTTP ���� �� � ����.

�� ��

¶ ��� �� � ��� ���

¶ 157 ���� �Policy Director � �� ��

¶ 158 ���� ���� ��� ����

¶ 160 ���� �Policy Director �� �� ��

¶ 164 ���� ��� �� � ���

¶ 166 ���� ��� �� � ���

�� �� � �� ���� � �� �� �� �� Policy Director � � ��� ��

���� ���� ���� ��� �� ��� � � ����.

�� ��Policy Director � � �� �� ���� �� � � ���� �

���. �� �� � ASCII �����.

8

155Tivoli SecureWay Policy Director Base �� ���

8.�

��

��

��

��

Page 176: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Policy Director� �� �� �� �����.

1. Policy Director � �� �

��� ��� 157 ���� �Policy Director � �� ��� �

����.

2. ��� ��� ���

��� ��� 158 ���� ���� ��� ����� � ���

�.

�� �� ��Policy Director � � �� �� �� � ��� ��� ��

��. �� � � ��� �� ���� ����. �� �� �

��� ��� �� ��� �����. Policy Director� ��

�� �� � ASCII �����.

Policy Director� �� �� � �� � � �� ���� ��

���.

¶ Management Server(pdmgrd)

¶ Authorization Server(pdacld)

¶ WebSEAL (webseald)

��� ��� 160 ���� �Policy Director �� �� ��� �

����.

��� ��� 164 ���� ��� �� � ���� � ����.

��� ��� 166 ���� ��� �� � ���� � ����.

�� ��: <install-path>� ��� �� <install-path> ��� � �� ���� ��

�� �� ����.

UNIX: /opt/PolicyDirector/Windows: \Program Files\Tivoli\Policy Director

156 �� 3.8

Page 177: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� �� � UNIX�� ����� ��� � ����.

Windows ������ Policy Director ������ �� �

<install-path>� ��� � ����.

Policy Director �� �� �� Policy Director � � � � ��� �� �� � � �

��� ���� ��� �� �� �� ��� �� �����.

�� �� �� ��

Management Server

(pdmgrd)

(ivmgrd.conf �� ��� ����)

UNIX:

log-file=/var/PolicyDirector/log/pdmgrd.log

Windows:

log-file=<install-path>\log\pdmgrd.log

Authorization Server

(pdacld)

(ivacld.conf �� ��� ����)

UNIX:

log-file=/var/PolicyDirector/log/pdacld.log

Windows:

log-file=<install-path>\log\pdacld.log

WebSEAL(webseald) (webseald.conf �� ��� ����)

UNIX:

log-file=/var/PolicyDirector/log/webseald.log

Windows:

log-file=<install-path>\log\webseald.log

Policy Director �� �� ��� �� �� � �� ���� � � � �� �� �� �� �� �� ��, �� �

� �� �����.

��: ivmgrd.log2001-08-18-20:03:26.231+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 720 0x00000001Open database2001-08-18-20:03:26.232+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivc

157Tivoli SecureWay Policy Director Base �� ���

8.�

��

��

��

��

Page 178: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

general ivmgrd.cpp 727 0x00000001Creating database2001-08-18-20:03:26.312+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 749 0x00000001Initialize client notifier2001-08-18-20:03:26.315+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 760 0x00000001Initialize local object cache2001-08-18-20:03:26.728+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 825 0x00000001Initialize authorization manager2001-08-18-20:03:29.278+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 833 0x00000001Initialize client authorization2001-08-18-20:03:31.341+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 863 0x00000001Initialize server manager2001-08-18-20:03:31.345+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 872 0x00000001Initialize command handlercpp 937 0x000000012.799+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.Server readypp 528 0x0000001335.377+00:00I----- 0x10652105 pdmgrd NOTICE basmts mtsserver.cThe server is listening on port 7135.

��� ��� ����� ��� ���� routing �� �����.

158 �� 3.8

Page 179: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

UNIX: /opt/PolicyDirector/etc/routingWindows: <install-path>\etc\routing

� �� �� ��� �� ��� ��� �����. routing

��� �� �� ��� �����.

UNIX:

FATAL:STDOUT:-;FILE:/var/PolicyDirector/log/fatal.logERROR:STDOUT:-;FILE:/var/PolicyDirector/log/error.logWARNING:STDOUT:-;FILE:/var/PolicyDirector/log/warning.logNOTICE:FILE.10.100:/var/PolicyDirector/log/notice.log

Windows:

FATAL:STDERR:-;FILE:%PDDIR%/log/fatal.logERROR:STDERR:-;FILE:%PDDIR%/log/error.logWARNING:STDERR:-;FILE:%PDDIR%/log/warning.logNOTICE:FILE.10.100:%PDDIR%/log/notice.log

�� ���� �� ������� �� � � ���(NOTICE ���� ���)� ��� �

� �� ��� ������.

��� ���� ��� ����, � � ��� � -foreground� ��� ������. � �� � � ������ ����

� ���(�, � � ����� ���� ��). �� �� � �

���� ��� �����.

�� ��, Management Server� � ���� ����� ��

�� ������.

# /opt/PolicyDirector/bin/pdmgrd -foreground

UNIX tee �� ���� � �� � �� �� �� ��

��.

�� ����� � ���� Management Server� ��� ����

�.

# pdmgrd -foreground 2>&1 | tee /tmp/ivmgrd.log

159Tivoli SecureWay Policy Director Base �� ���

8.�

��

��

��

��

Page 180: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� ����

1. � �� ��� �� �����, routing �� �� ��� �

�����. NOTICE ��� ������. NOTICE� ��� �

�� � �� ��� ��� �����.

2. Ctrl + c� ���� � ���� �� � ����� ��

��� � ����. � ����� ���� �����.

Policy Director � �� ���� Policy Director �� ����� � ��� ��� �� ��

� ��� �� ��� �����. � Policy Director � � �

�� �� ��� ��� ��� � � �� ���� �� � ��

��.

�� ���� � � � �� ��� ����� �� ��� �

���. ��� �� �� �� ��� � ���. �� � �

� ��� ��� �� �� ���� � ���.

��� Policy Director � � ��� �� �� �� ������

�. Policy Director � �� ��� �����.

¶ Management Server(pdmgrd)

¶ Authorization Server(pdacld)

¶ WebSEAL(webseald)

¶ ADK ��� ��� ��� �� ������(Tivoli SecureWayPolicy Director Authorization ADK Developer Reference � )

Policy Director � � �� �� �� ���� �����

<server-name>.conf �� [aznapi-configuration] ���� ���

��.

�� �� �� �� ��

Management Server pdmgrd ivmgrd.conf

160 �� 3.8

Page 181: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� �� �� ��

Authorization Server pdacld ivacld.conf

WebSEAL webseald webseald.conf

�� �� �� � �� ��logaudit �� �� � � �� �� �� [aznapi-configuration]���� ����� �� �� ��� � � � ��� ���

� ����.

�����, ��� �� ������.

[aznapi-configuration]logaudit = no

“yes” � � � ��� �� ���� ���. �� ��, �� �

���.

[aznapi-configuration]logaudit = yes

�� �� ��� �������, � � � �� �� � audit.log�� �� � � �

� ���� ����. � � � �� �� �� auditlog ���

�� �� �� �� ��� �����.

�� �� �� ��

Management Server

(pdmgrd)

UNIX: auditlog=/var/PolicyDirector/audit/pdmgrd.log

Windows: auditlog=C:\pd\audit\pdmgrd.log

Authorization Server

(pdacld)

UNIX: auditlog=/var/PolicyDirector/audit/pdacld.log

Windows: auditlog=C:\pd\audit\pdacld.log

�� �� �� ��� ��logsize ����� ��� �� �� �� �� � �� �� ���

����, �� � ���(���)� ���.

[aznapi-configuration]logsize = 2000000

161Tivoli SecureWay Policy Director Base �� ���

8.�

��

��

��

��

Page 182: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� �� �� �--�� ���--� � � ��, �� �

� �� �� ����� ���� � �� �� �����. �

� ��, � �� �� �� �����.

�� ��� �� ��� logsize �� �� �� ����.

¶ logsize �� 0�� � ��(< 0), �� �� �� �� � �

� ����� ��� � ����, �� ���� 24�� � �

�� �����.

¶ logsize �� 0� ��(= 0), �� � ���� �� �� ��

� ���� �����. �� �� �� �� ��� ����

� ���� �����.

¶ logsize �� 0�� � ��(> 0), �� �� �� �� ���

� � �� �� � �����. ��� �� �� �� �� �

�� ���� � ���� �����.

�� �� � ��� �� �� ���� �� � �� ��� ���� �����. ����� �

� �� �� ����� ��, � � �� �� � �� ���

� ��� �� ���� � ����.

�����, �� �� � 20�� � �� �����.

[aznapi-configuration]logflush = 20

��� ��� ��, �� ��� �� �����.

�� ��� ���� ���� �� ���� � � ����� � � � ����. �� ��� Policy Director � �� ���� ���� �� ���

� � ��� ����. � � ���� � � �� �� �

��� ����.

�� �� �� ���

authn �� � �� ��

162 �� 3.8

Page 183: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� �� ���

azn �� ��� ��

mgmt �� � ��

http Webseal HTTP �� ��

��� Policy Director � � � ��� �� ����� ��

�� ���� ��� � ����. �� ��, ��� �� �� ��

��� ���, POP ��� �� � ���, � �� �� �

��� �� ����� � � ����.

[aznapi-configuration]auditcfg = authn

�� �� WebSEAL HTTP �� �� ��� �� ���� �

��, �� WebSEAL � � �� �� �� ��� �� �����

���.

[aznapi-configuration]auditcfg = httpauditcfg = authn

�����, �� �� ��� �� ����� � ��� �� �

�� �� �� �� ���� ����.

�� ��� ��� �� Policy Director � �� �� � �� �

� ���(�� ��� ���)� �� ��.

�� �� webseald pdmgrd pdacld authadk

authn X X X X

azn X X X X

mgmt X

http X

163Tivoli SecureWay Policy Director Base �� ���

8.�

��

��

��

��

Page 184: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� �� � ��� ���� XML �� ��� ���� ���� �� ���

����. �� XML ���� � �� � �� �� ���

�, XML � ASCII ���� �� ��� �� �� ���� �

��� �� �� � �� � �����.

� �� �� �� �� � �� XML ��� ���� ����.

� �� � �� ���� �� XML ��� ���� �����. ��� ��� �� XML ��� �� ����.

���� �� ���� ��, ���� ��� ���� ��� �

���� � � ����. ��� DTD(Document Type Definition) �

� ���� ���� �� �� � � �����, ��� ���

� ������ � ��� �����. DTD� �� � �� ��

�� �� ���� �� �����.

�� DTD� �� ����.

<!--audit_event.dtd --><!ELEMENT event (date, outcome, originator, accessor, target, data*)><!ATTLIST event

rev CDATA "1.1"link CDATA #IMPLIED >

<!ELEMENT date (#PCDATA)><!ELEMENT outcome (#PCDATA)><!ATTLIST outcome

status CDATA #IMPLIED><!ELEMENT originator (component, event, location)><!ATTLIST originator

blade CDATA #REQUIRED><!ELEMENT component rev CDATA “1.0”><!ELEMENT action (#PCDATA)><!ELEMENT location (#PCDATA)><!ELEMENT accessor (principal*)><!ATTLIST accessor

name CDATA #REQUIRED><!ELEMENT principal (#PCDATA)><!ATTLIST principal

auth CDATA #REQUIRED><!ELEMENT target (object, process?, azn?)><!ATTLIST target

resource CDATA #REQUIRED><!ELEMENT object (#PCDATA)>

164 �� 3.8

Page 185: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

<!ELEMENT process (pid, rid, eid, uid, gid)><!ATTLIST process

architecture (unix | nt) 'unix'><!ELEMENT pid #PCDATA><!ELEMENT rid #PCDATA><!ELEMENT eid #PCDATA><!ELEMENT uid #PCDATA><!ELEMENT gid #PCDATA><!ELEMENT azn (perm, result, qualifier)><!ELEMENT perm #PCDATA><!ELEMENT result #PCDATA><!ELEMENT qualifier #PCDATA><!ELEMENT data #PCDATA><!ATTLIST data

tag CDATA #REQUIRED>

Policy Director ��� �� ��� ���� ���, �� �

�� �� ��� ��� �� ����. ����, ��� �

��� principal� �� ���� ���� �� �� ����.

�� �� ��, principal� ��, �� ��� � �� �� �

�� �� �� ��� ����. �� ��� ��� �� ��

� ���� ��� � ����. �� ���� �� ��� �� �

� ��� �� ��� ��� �� �� ����.

��� �� ��� �� ��� ��� Policy Director�� ��� �� �� ��� ��� �� ����.

�� ��� �� ���� ��� �� Policy Director� �� � � �� �����.��� � � �� ����.

0 = SUCCESS1 = FAILURE2 = PENDING3 = UNKNOWN

pdadmin errtext �� Policy Director� �� �� �� ��

�� � ��� � ����(��� ���� 412668954� ���).

<outcome status=”412668954”>1</outcome>

165Tivoli SecureWay Policy Director Base �� ���

8.�

��

��

��

��

Page 186: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� � ���� ��� �� � �� ���� ���� ��� �� ��.

0 = AUTHORISATION1 = PROCESS2 = TCB3 = CREDENTIAL5 = GENERAL

� �� � ��

�� �� ����� Policy Director � � �� �����. Policy Director ��

policy �����(�� ��� ��)� �� ���� �� ��

�� �� ���� �� �� POP� ��� ��, �� �� ��

� �� � ����.

��� ��� 91 ���� �POP ���� � ����.

� � �� �� [aznapi-configuration] ��� �� �� �� �

�� “azn”� �����, �� � � ��� ��� � ����.

[aznapi-configuration]auditcfg = azn

�� ��� �� ���� �� � �� �����.

pdadmin> pop modify pop1 set audit-level all

<event rev="1.1"><date>2001-08-05-16:25:08.341+00:00I-----</date><outcome status="0">0</outcome><originator blade="pdmgrd"><component rev=”1.1”>mgmt</component><action>13702</action><location>phaedrus</location></originator><accessor name=""><principal auth="IV_LDAP_V3.0">sec_master</principal></accessor><target resource="5"><object></object></target><data>“13702”“pop1”“pop1”“false”

166 �� 3.8

Page 187: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

“15”“0”“““0”“0”“0”“127”“1”“0”“0”“0”</data></event>

�� �� ���principal� �� �� � � Policy Director� ����� ��

���. �� ��� Policy Director� �� ��� ���� �� �

�� �� �� � ����.

“authn”� � �� �� [aznapi-configuration] ���� �� �

� ��� ����� �� ��� ��� � ����.

[aznapi-configuration]auditcfg = authn

�� ���� � ���� � WebSEAL��� �� �� �

��� ����.

<event rev="1.1"><date>2001-08-05-23:04:26.630+00:00I-----</date><outcome status="0">0</outcome><originator blade="webseald"><component>authn</component><event rev="1">0</event><location>location not specified</location></originator><accessor name="unknown"><principal auth="invalid"></principal></accessor><target resource="5"><object></object></target><data></data></event>

167Tivoli SecureWay Policy Director Base �� ���

8.�

��

��

��

��

Page 188: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

WebSEAL �� ���� � �� Tivoli SecureWay Policy Director WebSEAL ��

��� � HTTP �� �� ��� � �� �� �� ��

�� �� ��� � ����.

“http”� WebSEAL � �� �(webseald.conf)� ��

[aznapi-configuration] ���� �� �� ��� �����

WebSEAL ��� ��� ��� � ����.

[aznapi-configuration]auditcfg = http

�� HTTP �� �� ��� ����.

<event rev="1.1"><date>2001-08-05-23:04:26.931+00:00I-----</date><outcome status="412668954">1</outcome><originator blade="webseald"><component>http</component><event rev="1">2</event><location>146.84.251.70</location></originator><accessor name="user not specified"><principal auth="IV_DCE_V3.0">cell_admin</principal></accessor><target resource="5"><object>/pics/pd30.gif</object></target><data></data></event>

�� �� ���Management Server� ����� �� �� policy ������

����� ����. � ������� � ���� �� �� �

�� ��� �, ACL policy, POP policy � ACL POP� �

��� ���� ��� �����.

“mgmt”� Management Server � �� �(ivmgrd.conf)� ��

[aznapi-configuration] ���� �� �� ��� �����

Management Server ��� ��� ��� � ����.

[aznapi-configuration]auditcfg = mgmt

168 �� 3.8

Page 189: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� pdadmin �� ��� �� ����.

pdadmin> pop modify pop1 set audit-level all<event rev="1.1"><date>2001-08-05-23:01:37.078+00:00I-----</date><outcome status="0">0</outcome><originator blade="ivmgrd"><component>mgmt</component><event rev="1">3702</event><location>location not specified</location></originator><accessor name="user not specified"><principal auth="IV_DCE_V3.0">cell_admin</principal></accessor><target resource="5"><object></object></target><data>"2019""1002""pop1""0"""</data></event>

�� ��� �� ��� �� ID ���� �� �� �� ��� Policy Director� �� �(pdadmin)� ��� ���� ��� ID �� �����. � ��� �� �

��� ��� ��� data ��� �����.

����� ��� ��� ��� �� ��� �(�: list � show) �� ��� ���� � ������.

ACL �� ��

ACL_LIST 13000

ACL_GET 13001

ACL_SET 13002

ACL_DELETE 13003

ACL_FIND 13005

ACTION_LIST 13006

ACTION_SET 13007

ACTION_DELETE 13008

ACTION_GROUPLIST 13009

169Tivoli SecureWay Policy Director Base �� ���

8.�

��

��

��

��

Page 190: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

ACTION_GROUPCREATE 13010

ACTION_GROUPDELETE 13011

ACTION_LISTGROUP 13012

ACTION_CREATEGROUP 13013

ACTION_DELETEGROUP 13014

���� �� ��

OBJSPC_CREATE 13103

OBJSPC_DELETE 13104

OBJSPC_LIST 13105

OBJ_CREATE 13106

OBJ_DELETE 13107

OBJ_MOD_SET_NAME 13110

OBJ_MOD_SET_DESC 13111

OBJ_MOD_SET_TYPE 13112

OBJ_MOD_SET_ISLF 13113

OBJ_MOD_SET_ISPOL 13114

OBJ_MOD_SET_ATTR 13115

OBJ_MOD_DEL_ATTR 13116

OBJ_MOD_DEL_ATTRVAL 13117

OBJ_SHOW_ATTR 13118

OBJ_LIST_ATTR 13119

ACL_ATTACH 13120

ACL_DETACH 13121

ACL_MOD_SET_ATTR 13123

ACL_MOD_DEL_ATTR 13124

ACL_MOD_DEL_ATTRVAL 13125

ACL_SHOW_ATTR 13126

ACL_LIST_ATTR 13127

POP_MOD_SET_ATTR 13128

POP_MOD_DEL_ATTR 13129

POP_MOD_DEL_ATTRVAL 13130

POP_SHOW_ATTR 13131

170 �� 3.8

Page 191: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

POP_LIST_ATTR 13132

OBJ_SHOW_ATTRS 13133

ACL_SHOW_ATTRS 13134

POP_SHOW_ATTRS 13135

OBJ_SHOW 13136

OBJ_LIST 13137

OBJ_LISTANDSHOW 13138

�� �� ��

SERVER_GET 13200

SERVER_LIST 13203

SERVER_PERFORMTASK 13204

SERVER_GETTASKLIST 13205

SERVER_REPLICATE 13206

���, ��� � �� �� ��

ADMIN_SHOWCONF 13400

USER_CREATE 13401

USER_IMPORT 13402

USER_MODDESC 13403

USER_MODPWD 13404

USER_MODAUTHMECH 13405

USER_MODACCVALID 13406

USER_MODPWDVALID 13407

USER_DELETE 13408

USER_SHOWGROUPS 13409

USER_SHOW 13410

USER_SHOWDN 13411

USER_LIST 13412

USER_LISTDN 13413

GROUP_CREATE 13414

GROUP_IMPORT 13415

GROUP_MODDESC 13416

GROUP_MODADD 13417

171Tivoli SecureWay Policy Director Base �� ���

8.�

��

��

��

��

Page 192: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

GROUP_MODREMOVE 13418

GROUP_DELETE 13419

GROUP_SHOW 13420

GROUP_SHOWDN 13421

GROUP_LIST 13422

GROUP_LISTDN 13423

GROUP_SHOWMEMB 13424

USER_MODGSOUSER 13425

USER_SET 13426

GROUP_SET 13427

13500 -> 13599� GSO� � ����.

GSO_RESOURCE_CREATE 13500

GSO_RESOURCE_DELETE 13501

GSO_RESOURCE_LIST 13502

GSO_RESOURCE_SHOW 13503

GSO �� � ��

GSO_RESOURCE_CRED_CREATE 13504

GSO_RESOURCE_CRED_DELETE 13505

GSO_RESOURCE_CRED_MODIFY 13506

GSO_RESOURCE_CRED_LIST 13507

GSO_RESOURCE_CRED_SHOW 13508

GSO �� �� ��

GSO_RESOURCE_GROUP_CREATE 13509

GSO_RESOURCE_GROUP_DELETE 13510

GSO_RESOURCE_GROUP_ADD 13511

GSO_RESOURCE_GROUP_REMOVE 13512

GSO_RESOURCE_GROUP_LIST 13513

GSO_RESOURCE_GROUP_SHOW 13514

Policy ��

POLICY_SET_MAX_LOGIN_FAILURES 13600

POLICY_GET_MAX_LOGIN_FAILURES 13601

POLICY_SET_DISABLE_TIME_INTERVAL 13602

172 �� 3.8

Page 193: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

POLICY_GET_DISABLE_TIME_INTERVAL 13603

POLICY_SET_MAX_ACCOUNT_AGE 13604

POLICY_GET_MAX_ACCOUNT_AGE 13605

POLICY_SET_ACCOUNT_EXPIRY_DATE 13606

POLICY_GET_ACCOUNT_EXPIRY_DATE 13607

POLICY_SET_MAX_INACTIVITY_TIME 13608

POLICY_GET_MAX_INACTIVITY_TIME 13609

POLICY_GET_ACCOUNT_CREATION_DATE 13610

POLICY_GET_LAST_LOGIN_ATTEMPT_DATE 13611

POLICY_SET_MAX_PASSWORD_AGE 13612

POLICY_GET_MAX_PASSWORD_AGE 13613

POLICY_SET_MIN_PASSWORD_AGE 13614

POLICY_GET_MIN_PASSWORD_AGE 13615

POLICY_SET_MAX_PASSWORD_REPEATED_CHARS 13616

POLICY_GET_MAX_PASSWORD_REPEATED_CHARS 13617

POLICY_SET_MIN_PASSWORD_ALPHAS 13618

POLICY_GET_MIN_PASSWORD_ALPHAS 13619

POLICY_SET_MIN_PASSWORD_NON_ALPHAS 13620

POLICY_GET_MIN_PASSWORD_NON_ALPHAS 13621

POLICY_SET_MIN_PASSWORD_DIFFERENT_CHARS 13622

POLICY_GET_MIN_PASSWORD_DIFFERENT_CHARS 13623

POLICY_SET_PASSWORD_SPACES 13624

POLICY_GET_PASSWORD_SPACES 13625

POLICY_SET_MIN_PASSWORD_LENGTH 13626

POLICY_GET_MIN_PASSWORD_LENGTH 13627

POLICY_SET_MIN_PASSWORD_REUSE_TIME 13628

POLICY_GET_MIN_PASSWORD_REUSE_TIME 13629

POLICY_GET_PASSWORD_FAILURES 13630

POLICY_GET_LAST_PASSWORD_CHANGE_DATE 13631

POLICY_SET_NUMBER_WARN_DAYS 13632

POLICY_GET_NUMBER_WARN_DAYS 13633

POLICY_SET_PASSWORD_REUSE_NUM 13634

173Tivoli SecureWay Policy Director Base �� ���

8.�

��

��

��

��

Page 194: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

POLICY_GET_PASSWORD_REUSE_NUM 13635

POLICY_SET_TOD_ACCESS 13636

POLICY_GET_TOD_ACCESS 13637

POP ��

POP_CREATE 13700

POP_DELETE 13701

POP_MODIFY 13702

POP_SHOW 13703

POP_LIST 13704

POP_ATTACH 13705

POP_DETACH 13706

POP_FIND 13707

�� �� 13800 -> 13899

CFG_CONFIG 13800

CFG_UNCONFIG 13801

CFG_REBNEWCERT 13802

CFG_CHGPORT 13803

174 �� 3.8

Page 195: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

pdadmin �� ��

pdadmin ����� ���� Policy Director �� ���� ���

� � ���� �����. Web Portal Manager� ��� ���

������ � � � �� �����.

�� ��

¶ 176 ���� �pdadmin ���� ���

¶ 179 ���� �ACL ��

¶ 182 ���� � � ��

¶ 184 ���� ���� ��

¶ 187 ���� �POP(Protected Object Policy) ��

¶ 189 ���� �� ��

¶ 191 ���� ��� �� ��

¶ 191 ���� ���� �� ��

¶ 198 ���� �� �� ��

¶ 202 ���� ��� �� ��

¶ 208 ���� �Policy �� ��

A

175Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 196: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

pdadmin ���� ��pdadmin ����� ���� Policy Director �� ���� ���

� � ���� �����. Web Portal Manager� � pdadmin�� ������. ��� pdadmin Web Portal Manager� �

��� � �� � �� �� �� ��� �����.

pdadmin� ���� ����� ���� �� �� ��� ����

� ����. pdadmin ���� Management Server(pdmgrd) �

�� �� SSL� � ����. ����� PDRTE ��� �

�� �����.

pdadmin ���(login ��) �

¶ ��� ��

¶ � �� ��

¶ �� � ��

��� ��pdadmin� ��� ��� �����, login �� ��� �(��

�), �� �� � �� �� �� pdadmin �� � �

��. admin-user� LDAP ������ �� ���� ���.

UNIX:

# pdadmin# login -a <admin-user> -p <password>pdadmin>

Windows:

MSDOS> pdadminMSDOS> login -a <admin-user> -p <password>pdadmin>

pdadmin ����� ��� �, ��, ��� �����. ���

�� � � ���� � ����.

176 �� 3.8

Page 197: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��� ��� �� � ������ � pdadmin �� ��� � ���

�.

UNIX:

# pdadmin [-a <admin-user>] [-p <password>] [command]

Windows:

MSDOS> pdadmin [-a <admin-user>] [-p <password>] [command]

¶ admin-user(-a) password(-p)� ���� ��, � ���� �

�����.

¶ admin-user(-a)� ���� � ��, ���� � ���� ��

����.

¶ admin-user(-a)� ���� password(-p)� ���� � ��, �

�� �� ���� ��� ���.

�� � ��� ���� � �� ��� ��� � ����. �� ��, �� �� ��� ��� “test”� �����.

pdadmin -a sec_master -p pwd user create testcn=test,ou=austin,o=ibm,c=us test test test1234

�� �� ������ �� ��� �� ��� ���� �� ���� ��

pdadmin �� ��� �� �� ��� � ����. pdadmin ����� � ��� ���� � � ��� �����.

UNIX:

# pdadmin [-a <admin-user>] [-p <password>] <file-pathname>

Windows:

MSDOS> pdadmin [-a <admin-user>] [-p <password>] <file-pathname>

177Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 198: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� ���� ��� �� ��� ��� ��, ��� �����.

pdadmin> help <category>

� ���� acl, action, object, server, rsrc, rsrccred, rsrcgroup,admin, login, user, group, policy, pop, errtext� ����.

�� � ��� �� ��� ��, ��� �����.

pdadmin> help <command>

pdadmin ��� ��pdadmin� ���� � ����� �����, exit �� quit �

� �����. �� ��, �� ����.

pdadmin> exit

GSO ��� ��� �� �� �GSO ��� �, GSO �� � �� GSO �� � �� ��

� �, �� ��� ��� � ����.

!”#&()*+,;:<>=@\|

���� �� ��� �� LDAP �� Policy Director ���(�: �

��� CN, DN, SN)� � ��� � ����, �� ��� LDAPDN �� � ���� ��� ��� ���. Policy Director ���

� �� ��� ��� ���� �� LDAP�� �� ���

��� ���� � LDAP � � �� ��� � ����.

GSO � �� ��� ������� �� �� �� �� ��� �� �� ��� ���� �

�����.

178 �� 3.8

Page 199: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

ACL ���� pdadmin acl � ACL policy � �� ��� � �

� ���.

¶ ACL policy ��

¶ ACL� �� � � ��

ACL policy ��

�� ��

acl attach <object-name> <acl-name>

���� ACL policy� �����. ��� �� �

� �� ACL� �����.

acl create <acl-name>

ACL ������ �� ACL policy� �����. �

� �� ACL ��� ���� ���� �� ���

���.

acl delete <acl-name>

ACL �������� ACL policy� �����.

acl detach <object-name>

�� ������ ��� ACL policy� �����.

� � ACL �������� ACL policy� ���

� ���� �� ������.

acl find <acl-name>

� ACL policy� �� �� ���� �� ��

���.

acl lis

ACL ������ �� ACL policy� �����.

acl modify <acl-name> description <description>

acl �� �� � � �����.

acl modify <acl-name> remove any-other

� ACL policy ����� �� ACL ��� ��

��� ���.

acl modify <acl-name> remove group <group-name>

179Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 200: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

� ACL ����� ��� � ACL ��� ���

�� ���.

acl modify <acl-name> remove unauthenticated

� ACL policy ����� ���� � ACL ��

� ����� ���.

acl modify <acl-name> remove user <username>

� ACL ����� ��� ��� ACL ��� ��

��� ���.

acl modify <acl-name> set any-other <perms>

� ACL policy ��� �� ACL ��� �� �/

�� ����� ���.

��:

pdadmin> acl modify pubs set any-other r

acl modify <acl-name> set description <description>

� ACL policy �� � ��� �� �/�� �

���� ���.

acl modify <acl-name> set group <group-name> <perms>

� ACL policy �� � � ACL ��� �� �/

�� ����� ���.

��:

pdadmin> acl modify pubs set group sales Tr

acl modify <acl-name> set unauthenticated <perms>

� ACL policy �� � ���� � ACL ��

� �� �/�� ����� ���.

��:

pdadmin> acl modify docs set unauthenticated r

acl modify <acl-name> set user <username> <perms>

� ACL policy �� � ��� ACL ��� ��

�/�� ����� ���.

��:

pdadmin> acl modify pubs set user peter Tr

acl show <acl-name>

180 �� 3.8

Page 201: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

� ACL policy� ��� ���� ��� �� ��

� �����.

ACL� �� ��� �� ��

�� ��

acl list <acl-name> attribute

ACL policy �� � �� �����.

acl modify <acl-name> delete attribute <attr-name>

ACL policy��� � � �� �� �����.

acl modify <acl-name> delete attribute <attr-name> <attr-value>

ACL policy �� � ����� �� �� �

����.

acl modify <acl-name> set attribute <attr-name> <attr-value>

��� ACL� � � �� �����. ��� �

�� �� �� ����� � �� ������.

acl show <acl-name> attribute <attr-name>

ACL policy ���� ���� � �� ��

����.

181Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 202: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ���� pdadmin action � �� �� �(ACL ��) � � �

� ���� � �����.

¶ ��� �� ACL � ��

¶ � ACL � � � � ��

�� �� ACL � �

�� ��

action create <action-name> <action-label> <action-type>

�� Policy Director �� �( �)� �����. �

� ���� � �� ���� �� �� ��� �

����. action-name ��� �� � �� ���

�����. action-label ��� �� ���� ��� �

� �� �� ���� �����. action-type ��� �� �� ��(ACL �)� ��� ���� �

�� ��(��)� �����.

��:

pdadmin> action create k time Ext-Authzn

action delete <action-name>

action create �� � �� ��� �� �(�

�)� �����.

��:

pdadmin> action delete k

action list

action-name action-label action-type ���� ���

ACL �(��)� �����.

��:

r read WebSEAL...

182 �� 3.8

Page 203: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� ACL � � � �� �

�� ��

action create <act ion-name> <act ion-label> <act ion-type><action-group-name>

�� � �� �� �� ACL � ��� ���

��.

action delete <action-name> <action-group-name>

�� � ����� ACL � ��� �����.

action group list

�� ACL � � �� �����.

action group create <action-group-name>

�� ACL � �� �����.

action group delete <action-group-name>

ACL � �� �����.

action list <action-group-name>

�� � �� �� �� ACL � ��� ���

��.

183Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 204: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��� ��pdadmin object � objectspace � ��� ������� �

���� �� ���� ��� �� ��� ��� ��� � ��

���.

¶ ��� �� Objectspace ��

¶ �� ��� ��

¶ �� ���� �� � � ��

�� �� Objectspace ��

�� ��

objectspace create <objectspace-name> <description> <type>

���� ��� � �� �� �� ��� ��� �

����.

objectspace delete <objectspace-name>

��� �� ��� �� �� �� �� ����

�����.

objectspace list

�� �� ��� ��� �����.

�� ��� ��

�� ��

object create <obj-name> <description> <type> ispolicyattachable {yes|no}

184 �� 3.8

Page 205: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

�� �� ���� �����. obj-name ��� �

��� ���� ����. � � �� ���.

description ��� ���� ��� �� ��� ��

����. � ��� object show �� �����. type��� � ��� ���� �� ��� � ���

�� ��� ���� �����. �� 0-13 ��� �

���. �� ��, �� 10 �� 13 ���� ���

� �����. ispolicyattachable ��� � ����

ACL policy� ��� � ��� �����. �� ��,

106 ���� �� ���� ��� ���� � ��

��.

object delete <obj-name>

�� ���� �����.

object list <obj-name>

new - �� �� ��� ��� �� �� �� �

��� �����. old - � ��� �� ��

���� ���� ��� ��� �� ACL�

�� ����. � � � ��� ���� ��

� ��� ���� �� ������.

object listandshow <obj-name>

��� �� ��� ��� ���� �� �� ��

�� ���� ��� ��� �� �� ��� �

���.

object modify <obj-name> set name <new-obj-name>

�� ��� �� �� ��� ��� �� ����

�.

object modify <obj-name> set description <description>

�� ��� �� �� ��� ��� �� ����

�.

object modify <obj-name> set type <type>

�� ��� �� �� ��� ��� ��� ����

�.

object modify <obj-name> set ispolicyattachable {yes|no}

185Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 206: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

�� ���� POP(Protected Object Policy)� ���

� ��� �����.

object show <obj-name>

new - �� ��� �� �� �� ����.

old - ��� � � �� �� ACL� ��

����. �� ACL� �� ��, �� “No ACL”� �

����.

�� ���� �� ��� �� ��

�� ��

object list <obj-name> attribute

�� ��� �� � �� �����.

object modify <obj-name> delete attribute <attr-name>

�� ������ ��� � � �� �� ��

���.

object modify <obj-name> delete attribute <attr-name> <attr-value>

��� �� ��� �� � ����� ��

�� �����.

object modify <obj-name> set attribute <attr-name> <attr-value>

� � �� �� ���� �����.

object show <obj-name> attribute <attr-name>

�� ��� �� ��� � �� �� ��

��.

186 �� 3.8

Page 207: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

POP(Protected Object Policy) ��pdadmin pop � �� ��� policy �� ��� policy��� � �� ��� � �� ���.

¶ POP ��

¶ POP� �� � � ��

POP ��

�� ��

pop attach <object-name> <pop-name>

�� ���� �� POP� �����.

pop create <pop-name>

POP� �����.

pop delete <pop-name>

POP� �����.

pop detach <object-name>

�� ������ POP� �����.

pop find <pop-name>

�� POP� ��� �� �� �� ���� �� �

����.

pop lis

�� �� POP� �����.

pop modify <pop-name> set audit-level {all|none|<audit-level-list>}

POP �� ��� �����. audit-level-list� permit,

deny, error, admin���� � �� �� ���

� ����.

pop modify <pop-name> set description <description>

POP �� �����.

pop modify <pop-name> set ipauth add <network> <netmask><auth_level>

POP IP-�� ��� �����.

pop modify <pop-name> set ipauth anyothernw <auth_level>

187Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 208: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

POP IP-�� ��� �����.

pop modify <pop-name> set ipauth remove <network> <netmask>

POP IP-�� ��� �����.

pop modify <pop-name> set qop {none|integrity|privacy}

POP �� �� �����.

pop modify <pop-name> set tod-access <time-of-day-string>

POP� �� ��� �����. time-of-day-string ��

� �� �� ����.

<{anyday|weekday|<day-list>}>: <{anytime|<time-spec>-

<time-spec>}> [:{utc|local}] day-list ��� mon, tue,

wed, thu, fri, sat �� sun� � ����. time-spec �

� ��� hhmm ���� ���(�: 0700-1945). ��

��� �� ���� ������.

pop modify <pop-name> set warning {on|off}

POP �� ��� �����.

pop show <pop-name>

POP� ����� ����.

188 �� 3.8

Page 209: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

POP� �� ��� �� ��

�� ��

pop list <pop-name> attribute

POP �� � �� �� �����.

pop modify <pop-name> delete attribute <attr-name>

��� POP��� ��� � � �� �� ���

��.

pop modify <pop-name> delete attribute <attr-name> <attr-value>

��� POP �� � ����� �� �� �

����.

pop modify <pop-name> set attribute <attr-name> <attr-value>

� � � �� POP� �����.

pop show <pop-name> attribute <attr-name>

�� POP �� ����� ����.

�� ���� pdadmin server � Policy Director � �� �� ����

���� � �����.

server-name ��� � ��� �� Policy Director ���� �

�� �� ��� ����. Policy Director ����� Base �

(�: pdmgrd �� pdacld), Policy Director �� ���(�: webseald)�� �� ������ � � � ����.

<policy-director-component>-<machine-name>

�� ��, �� �� cruz�� Policy Director ����� WebSEAL��, server-name �� ����.

webseald-cruz

�� ��

server list

189Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 210: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

�� � � �� �����. ��� <server-name> �

�� � � ��� ��� � � ��� ��

����.

server listtasks <server-name>

� � � �� ��� ��� ��(�)� �����.

server replicate [-server <server-name>]

server show <server-name>

�� � � ��� ����.

server task <server-name> <command>

�� �� �� � � � ��.

���� ����server-name ��� pdadmin server list �� �� � �

� ��� ���� � ��� � ������.

server-name ��� � ��� �� Policy Director ���� �

�� �� �� �� �����(�: WebSEAL).

<policy-director-component>-<machine-name>

�� ��, �� �� cruz�� Policy Director ����� WebSEAL��, server-name �� ����.

webseald-cruz

�� �� �� ���� � � ��� �����.

pdadmin> server listwebseald-cruz

��� cruz� WebSEAL � � �� ��� ����, �� ��

�����.

pdadmin> server show webseald-cruzwebseald-cruz

Description: webseald/cruzHostname: cruz

190 �� 3.8

Page 211: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Principal: webseald/cruzPort: 7234Listening for authorization database update notifications: yesAZN Administration Services:

webseal-admin-svcazn_admin_svc_trace

�� �� ���� �� � � � �� ��� ����.

�� ��

admin show configuration

�� �� �� � �� ��� ����.

¶ ��� ������ LDAP� ���� ��� ��

¶ GSO� �� ���� ����� ��

��:

pdadmin> admin show configuration

�� ��� �� �����.

LDAP: TRUESECAUTHORITY: DefaultGSO: TRUE

��� �� ���� pdadmin user � LDAP ������� ��� ��� �

����.

user� Policy Director � ���� �� ������. GSO user� � � � � ��� � ��� � �� ��� ��� ��

� �� Policy Director ������.

�� ��

user create [-gsouser] [-no-password-policy] <username> <dn> <cn> <sn><password> [group-name]

191Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 212: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

LDAP ��� ������ �� Policy Director ��

�(secUser) ��� �����. �� �(DN) ��

��� ��� ���� �� �� �� ���.

���� -gsouser ��� ��� �, GSO ���

(gsoUser)� ��� �� ����.

username ��� ���� ���� ����. � �

�� ���.

dn ��� ���� ����� �� LDAP �� �

���.

��:

“cn=Diana Lucas,ou=Austin,o=Wesley Inc,c=US”

DN �� ���.

cn ��� ���� ����� �� �� ����.

��:

Diana Lucas

sn ��� ���� ���� ����.

��:

Lucas

password ��� � ���� � ��� �����. �

�� Policy Director ���� ��� �� policy ���

�� ���.

��:

mypasswd

�� group-name ��� � ���� �� �� �

����.

192 �� 3.8

Page 213: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

��(� �� �):

pdadmin> user create -gsouser dlucas “cn=DianaLucas,ou=Austin,o=Wesley Inc,c=US” “DianaLucas” Lucas mypasswd

��� ��� ���� ���, ��� ��� ���� �

���� ���� ��� ���. ��� �����,

account-valid ���� “yes”� �� ���. ���

� �� �� �����, modify user �� ����

��� �� ��� �� ���.

user import [-gsouser] <username> <dn> [group-name]

LDAP ������ ���� �� ��� �����. �

� DN(Distinguished Name)� �� LDAP ����

� ������ �� �� ��� ���� Policy

Director ��� ��� � �� ��� ���� � �

��� ��� � ����. �� group-name ���

� ���� �� �� �����.

��(� �� �):

pdadmin> user import -gsouser mlucaser “cn=MikeLucaser,ou=Austin,o=Wesley Inc,c=US”

user modify <username> description <description>

���� � ���� ���� ��� ��� ���� �

� �����.

��(� �� �):

pdadmin> user modify dlucas description “DianaLucas, Credit Dept HCUS”

user modify <username> password <password>

���� ��� �� ���� �� ��� �����.

� ��� �� �� �� �� ����.

��:

pdadmin> user modify dlucas password newpasswd

user modify <username> authentication-mechanism <mechanism>

193Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 214: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

��� ��� ����� ������. �� DN� ��

�� ����, username�� �� ���� ���

��� �����.

��(� �� �):

pdadmin> user modify dlucasauthentication-mechanism Default:LDAP

user modify <username> account-valid {yes|no}

��� ��� ��� �����. ��� ������,

“yes”� ��� ��� �������, “no”� ���

��.

��:

pdadmin> user modify dlucas account-valid yes

user modify <username> password-valid {yes|no}

��� ��� ��� �����. � �� “no”� ���

� ���� ��� ���� ��� � ��� ���� �

��.

��:

pdadmin> user modify dlucas password-valid no

user modify <username> gsouser {yes|no}

�� Policy Director ���� GSO ���� ����

�����. GSO ���� �����, “yes”� ���

GSO ���� �����, “no”� �����.

��:

pdadmin> user modify dlucas gsouser no

user delete <username>

LDAP ��� ������� ��� ��� ��� ��

���. Policy Director ��� ��� ����, LDAP �

������� GSO ��� �� ��� �����.

��:

pdadmin> user delete dlucas

��� �� �� �� �� ��� ��� ��� �

��� ���� �����.

194 �� 3.8

Page 215: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

user show <username>

�� ���� �� ��� �� ��� ����.

��:

pdadmin> user show dlucas

�� ��� ��� �����.

Login ID: dlucasLDAP dn: cn=Diana Lucas,ou=Austin,o=Wesley Inc,c=USLDAP cn: Diana LucasLDAP sn: LucasDescription: Diana Lucas, Credit Dept HCUSIS SecUser: trueIS GSO user: falseAccount valid: truePassword valid: trueAuthentication mechanism: Default:LDAP

user show-dn <dn>

DN(Distinguished Name)� ���� ���� �� ��

��� �����.

��(� �� �):

pdadmin> user show-dn “cn=DianaLucas,ou=Austin,o=Wesley Inc,c=US”

�� ��� ��� �����.

Login ID: dlucasLDAP dn: cn=Diana Lucas,ou=Austin,o=WesleyInc,c=USLDAP cn: Diana LucasLDAP sn: LucasDescription: Diana Lucas, Credit Dept HCUSIS SecUser: trueIS GSO user: falseAccount valid: truePassword valid: trueAuthentication mechanism: Default:LDAP

user show-groups <username>

195Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 216: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

�� ���� ���� ��� ����.

��:

pdadmin> user show-groups dlucas

�� ��� ��� �����.

salescreditengineering

user list <pattern> <max-return>

��� ��� � ��� ��� �� �� �� �

�� ��� ��� �����. � �� ��� ���

�� ��� ����. pattern ��� Tivoli ���

�� � ��� ��� � �� ���. ���� �

��� � ��� ��� ��� ��� � ��� ���

�� �����(�� ��, *luca*). max-return ���

� ��� � ���� ���� �� �� �����

(�� ��, 2). �� �� �� ��� ��� ��� �

�� �� � �� ���� LDAP � ��� � �

��� ������. �� �� �� �� LDAP �

� <max-return> �� �� �����.

��:

pdadmin> user list *luca* 2

�� ��� ��� �����.

dlucasmlucaser

user list-dn <pattern> <max-return>

196 �� 3.8

Page 217: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

DN� ���� ��� ��, DN�� �� �� ��

��� ��� ��� �����. � �� ��� �

� �� ��� ����. � ��� �� ��� �

�� �� user list �� � ����. pattern ���

���� �� �(“cn=” ���� ��)� �� �(CN)

��� �� ��� ��� � �� ���.

��:

pdadmin> user list-dn *luca* 2

�� ��� ��� �����.

cn=Diana Lucas,ou=Austin,o=Wesley, Inc,c=UScn=Mike Lucaser,ou=Austin,o=Wesley, Inc,c=US

user list-gsouser <pattern> <max-return>

�� �� � �� GSO ���� ��� ��� �

����. � �� GSO ���� �� ��� ��

��. � ��� �� ��� ��� �� user list

�� � ����.

��:

pdadmin> user list-gsouser *luca* 2

�� ��� ��� �����.

cn=Diana Lucas,ou=Austin,o=Wesley, Inc,c=UScn=Mike Lucaser,ou=Austin,o=Wesley, Inc,c=US

197Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 218: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� ���� pdadmin group � LDAP ��� ������ � ��

� �����.

�� ��� �� ��� �� Policy Director ��� ���� �

����. � ���� �� ���� ����� ���� ��

ACL(Access Control List)� � �� ��� � �� ���.

�� ��

group create <groupname> <dn> <cn> [group-container-object]

LDAP ��� ������ �� Policy Director �

(ISSecGroup)� �����. groupname ��� ����

�� ����. � � �� ���. dn ���

���� �� �� �� LDAP DN(�� �)�

��. ��:

“cn=credit,ou=Austin,o=Wesley Inc,c=US”)

cn ��� �� �� �� ����. ��:

Credit

�� group-container-object ��� � �� ��

� ���� ���� �����. �� � ���

���� ��� ���� � � /Management/

Groups ��� ��� ��� �����. ��(� ��

�):

pdadmin> group create credit“cn=credit,ou=Austin,o=Wesley Inc,c=US” Credit

group import <groupname> <dn> [group-container-object]

198 �� 3.8

Page 219: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

Policy Director �� ���� � ��� LDAP ��

��� �� �� ��� ����. ��� ���

Policy Director �� ���� �� � � LDAP

������ �� �� ���. ��� ��� �

��� �� � �� ���. � ���� �

��� ���� �� ��� � /Management/

Groups ��� �����. ��(� �� �):

pdadmin> group import engineering“cn=engineering,ou=Austin,o=Wesley Inc,c=US”

group modify <groupname> description <description>

IntraVers ���� �� �� ��� � ��� �� �

� �� �� �����. ��(� �� �):

pdadmin> group modify credit description"Credit, Dept HCUS"

group modify <groupname> add <username>

�� �� � ���� �����. ��:

pdadmin> group modify engineering add dlucas

group modify <groupname> remove <username>

�� ����� �� ���� �����. ��:

pdadmin> group modify engineering remove dlucas

group delete <groupname>

��� � � �� �� �� ��� �����.

��:

pdadmin> group delete engineering

group show <groupname>

�� �� �� ����� ����. ��:

pdadmin> group show credit

�� ��� ��� ����.

Group ID: creditLDAP dn: cn=credit,ou=Austin,o=Wesley Inc,c=USDescription: Credit, Dept HCUSLDAP cn: creditIs SecGroup: true

199Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 220: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

group show-dn <dn>

�� DN� �� � �� �����. ��(� ��

�):

pdadmin> group show-dncn=credit,ou=Austin,o=Wesley Inc,c=US

�� ��� ��� ����.

Group ID: creditLDAP dn: cn=credit,ou=Austin,o=Wesley Inc,c=USDescription: Credit, Dept HCUSLDAP cn: creditIs SecGroup: true

group show-members <groupname>

DN�� �� �� �� ���� ����. ��:

pdadmin> group show-members credit

�� ��� ��� ����.

dlucasmlucaser

group list <pattern> <max-return>

�� �� �� ���� � ��� �� ��

�� �� ��� �����. pattern ��� � �

� �� ��� ��� � �� ���. ���� ��

�� � ��� ��� ��� ��� � ��� ����

� �����(�� ��, *austin*). max-return ���

� ��� � ���� ���� �� �� �����(�

� ��, 2). �� �� �� ��� ��� ��� � �

� �� � �� ���� LDAP � ��� � �

��� ������. �� �� �� �� LDAP �

� <max-return> �� �� �����. ��:

pdadmin> group list *a* 2

�� ��� � ��� �����.

salesmarketing

200 �� 3.8

Page 221: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

group list-dn <pattern> <max-return>

DN� ��� ��� ��, �� ��� �� DN�� �

� �� �� �� ��� �����. � ���

�� ��� ��� �� group list �� � ����.

pattern ��� �� �� � (“cn=” ���� ��)

� �� �(CN) ��� �� ��� ��� � �� �

��.

��:

pdadmin> group list-dn *t* 2

�� ��� ��� ����.

cn=credit,ou=Austin,o=Wesley Inc,c=US salescn=marketing,ou=Boston,o=Austin Sale,c=US marketing

201Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 222: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� �� ���� pdadmin �� �� �� ��� �����.

�� �� ��� �� ����.

¶ �� ��

¶ �� � ��

¶ �� �� ��

� ����� pdadmin rsrc � ���� GSO ���� �� � �

� �� ���� ��� � �� ���.

�� � � ���. WebSEAL junction ��� -T ���� � �

� �����.

pdadmin rsrc � � ��� �� �����.

�� ��

rsrc create <resource-name> [-desc <description>]

���� � � � � �� �� �� � � � � � .

resource-name ��� � ��� ���� � � ��

� ��� ����. ��:

engwebs01

description ��� ���� � ��� �� �� ���

� ��� ��� � �� �� ����. �� ��

��� �� ��(-)� �� ���. ��� �� �

� ��(“)� �� ���. ��(� �� �):

pdadmin> rsrc create engwebs01 -desc“Engineering Web server - Room 4807”

rsrc delete <resource-name>

202 �� 3.8

Page 223: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

�� �� ��� � �� �� �����. �

��� �� �� ��� ��� � � ����. �

�:

pdadmin> rsrc delete engwebs01

rsrc list

LDAP ���� ������ �� ��� �� �

� � ��� �� ����. ��:

pdadmin> rsrc list

�� ��� ��� �����.

engwebs01engwebs02engwebs03

rsrc show <resource-name>

�� �� ��� �� � �� ��� ����.

� ��� �� �� ��� ��� � ����

����. ��:

pdadmin> rsrc show engwebs01

�� ��� ��� �����.

Web Resource Name: engwebs01Description: Engineering Web server - Room 4807

� �� ���� pdadmin rsrcgroup � �� �� �� � �� �� �

�� � �� ���.

resource group �� �� � � ��� ��� ID � �� �

�� ��� �� � � �� �����. �� �� �� ���

�� � �� ��� ��� � ����. Policy Director� �� �

� � ��� �� �� �� �� �� �� �� � �� ��

� �����.

203Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 224: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

rsrcgroup create <resource-group-name> [-desc <description>]

� �� �� ���� �� �����. resource-group-name ��� �� �� ����. description��� � �� �� ���� � ��� � ��

�� ����. �� -desc ����� �� ��(-)�

�� ���. ��� �� � � ��� �� �

��. ��(� �� �):

pdadmin> rsrcgroup create webs4807 -desc“Web servers, Room 4807”

rsrcgroup delete <resource-group-name>

�� �� �� �� � �� �� �����.

� �� �� �� ���. ��:

pdadmin> rsrcgroup delete webs4807

rsrcgroup modify <resource-group-name> add rsrcname <resource-name>

��� �� �� � ��� �����. � �� �

� �� ���. ��(� �� �):

pdadmin> rsrcgroup modify webs4807 addrsrcname engwebs02

rsrcgroup modify <resource-group-name> remove rsrcname<resource-name>

��� �� ��� � �� �� �����. ��(�

�� �):

pdadmin> rsrcgroup modify webs4807 removersrcname engwebs02

rsrcgroup list

LDAP ���� �� �� � �� �� ��

����. “��” ��� ��� �����. ��:

pdadmin> rsrcgroup list

�� ��� ��� �����.

webs4807websbld3

rsrcgroup show<resource-group-name>

204 �� 3.8

Page 225: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

�� �� �� �� � �� � ��� ����.

� �� �� �� �� ��� ��� � ��

�� ����. ��:

pdadmin> rsrcgroup show webs4807

�� ��� ��� �����.

Resource Group Name: webs4807Description: Web servers, Room 4807Resource Members:

engwebs01engwebs02engwebs03

� �� ����� pdadmin rsrccred � �� �� �� �� �� �� �

�� � �� ���.

resource credential � � � � � � � GSO ��� �

� ��� �� ��� ID ��� �����.

pdadmin rsrccred �� ��� �, �� ����� “web″ ��

“group″�� ��� � ����.

�: �� �� �� ���� �� �� �� �� �� ��

���.

205Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 226: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

rsrccred create <resource-name> rsrcuser <resource-userid> rsrcpwd<resource-password> rsrctype {web|group} user <username>

�� ��� ���� �� �����. �� ��� �

���� ��� ��(�� �� �)� �� ��

���. ���, �� �� �� �� ��� ���� �

��, � ���� ����. �� �� �� �

� � � � �� ����� “web” �� “group” ��

�� ����. resource-name ��� ��� �����

� ��� ��� ����. ��:

engwebs01)

resource-userid ��� � � � ���� � ���

��� ID(userid)���. ��:

4807ws01

resource-password ��� � � �� ���� �� �

����. ��:

rsrpwd

username ��� �� �� ��� ���� ���� �

���. ��:

dlucas

��(� �� �):

pdadmin> rsrccred create engwebs01 rsrcuser4807ws01 rsrcpwd rsrpwd rsrctype web userdlucas

rsrccred modify <resource-name> rsrctype {web|group} set [-rsrcuser<resource-userid>] [-rsrcpwd <resource-password>] user <username>

206 �� 3.8

Page 227: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

�� �� ��� �� ��� ID � �� �� ��

��� �����. ��� �� �� ��� �� ���

ID� ����� ������, �� �� � �� �

�(-)� �� ���. �� �� ��� ���� �� �

� �� �� � ���� �� �� ���. ��

� �� �� ��� ����� �, “web” �� “group”

�� �� �� �� �� ���.

��(� �� �):

pdadmin> rsrccred modify engwebs01 rsrctypegroup set -rsrcuser 4807ws01 -rsrcpwd newrsrpw

user dlucas

rsrccred delete <resource-name> rsrctype {web|group} user <username>

��� ���� �� �� �� ���� �����. �

� �� ��� ��� ����� �, “web” ��

“group” �� �� �� �� �� ���.

��(� �� �):

pdadmin> rsrccred delete engwebs01 rsrctypegroup user dlucas

rsrccred list user <username>

�� �� ��� � �� ���� �� ���

����.

��:

pdadmin> rsrccred list user dlucas

�� ��� ��� �����.

Resource name: engwebs01Resource Type: groupResource name: engwebs02

Resource Type: web

rsrccred show <resource-name> rsrctype {web|group} user <username>

207Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 228: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

�� ���� �� �� �� ��� ����. ��

�� ���� �� �� �� ��� ��� � �

��� ����.

��(� �� �):

pdadmin> rsrccred show webs4807 rsrctypegroup user dlucas

�� ��� ��� �����.

Resource Name: engwebs01Resource Type: groupResource User Id: dlucas

Policy �� ��pdadmin policy � �� LDAP ��� � � �� � � �

� ���� �� � �����.

�� policy �� ��� � ����.

¶ ��� Policy ��

¶ �� Policy ��

policy� ���� ���� �� � �� � LDAP ��� ��

� ��� ���� ���� ��� �����. ��� ����� �

��� �� ����� ����� �� ��� �� ������ �

�� � ����.

����� �� policy� �� ��, � �� policy� ���� �

�� policy�� � ���. � ��� �� policy� � policy�� �� ��� �� ���� ���� �����.

��� Policy ���� pdadmin policy � ��� �� policy� ��� � ���

���.

208 �� 3.8

Page 229: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� ��� policy� ����� ��� ��� policy� ����� �

�� �� policy �� �� ������. ��, ��� ��� ��

� policy� �� ��� �� � ����.

��� �� policy� ��, Policy Director� �� �� �� ��

� �����.

DDD-hh:mm:ss

���, �� �� �� ��� �����.

YYYY-MM-DD-hh:mm:ss

Registry Policy �� �� � � � ��,

�� ��

policy set account-expiry-date [unlimited <absolute-time>] [-user<username>]

policy get account-expiry-date [-user <username>]

�� ��� ��� ���� �� �� ��� ����

policy� �����. �� ��� ��� ��� ����

��� ���� ��� ��� � ����. ��(� ��

�):

pdadmin> policy set account-expiry-date1999-12-30-23:30:00 -user dlucas

�� 2

pdadmin> policy get account-expiry-date -userdlucas

policy set disable-time-interval {<number>|unset|disable} [-user<username>]

policy get disable-time-interval [-user <username>]

209Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 230: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

��� ��� �� �� �� � � ��, ��� �� �

���� � ��� ���� � policy� �����. �

���� �� � policy� �� ����� �����

LDAP ������ �� �� ������ �����

��� � ����. �� �� 180���.

policy set max-login-failures {<number>|unset} [-user <username>]

policy get max-login-failures [-user <username>]

�� ��� �� ��� ��� �� � �� �

� ���� policy� �����. � � policy setdisable-time-interval �� � ��� ����. ��

��� � policy� �� ����� ����� LDAP �

����� �� �� ������ ����� ��� �

����. �� �� 10���.

policy set tod-access {<time-of-day-string>|unset} [-user <username>]

policy get tod-access [-user <username>]

� ��� �� �� ���� ���� � �� �� �

�� �����. time-of-day-string ��� �� ��� �

��.

<{anyday|weekday|<day-list>}>:<{anytime|<time-spec>-<time-spec>}>[:{utc|local}]

day-list ��� mon, tue, wed, thu, fri, sat �� sun�

� � ����. time-spec range ��� hhmm ����

���(�: 0700-1945). �� ���� ����� �

�����(�: utc=GMT).

�� Policy ���� pdadmin policy � �� �� �� policy �� ��� �

�� ���.

�� �� policy� ��, Policy Director� �� �� �� ���

�����.

210 �� 3.8

Page 231: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

DDD-hh:mm:ss

policy �� �� � � � ��,

�� ��

policy set max-password-age {unset|<relative-time>} [-user <username>]

policy get max-password-age [-user <username>]

��� ���� �� � �� �� �� ��� ��

�� policy� �����. �� �� �, �, ���

��� ��� �� “���”� �����. �����

�� ��� �� ����� ������ �� ��

����� ����� policy� ��� � ����.

relative-time ��� DDD-hh:mm:ss� ���� �, �,

��� �� �� �����. �� 1(� �� �):

pdadmin> policy set max-password-age031-08:30:00 -user dlucas

�� 2

pdadmin> policy get max-password-age -userdlucas

policy set max-password-repeated-chars {<number>|unset} [-user<username>]

policy get max-password-repeated-chars [-user <username>]

��� � � ��� �� �� ���� policy

� �����. ����� � policy� �� �����

����� �� ������ �� �� ������

����� ��� � ����. �� �� 2���.

policy set min-password-alphas {<number>|unset} [-user <username>]

policy get min-password-alphas [-user <username>]

��� � �� ��� �� �� ���� policy�

�����. ����� � policy� �� ����� �

���� �� ������ �� �� ������ �

���� ��� � ����. �� �� 4���.

policy set min-password-length {<number>|unset} [-user <username>]

policy get min-password-length [-user <username>]

211Tivoli SecureWay Policy Director Base �� ���

A.

pd

adm

in�

��

Page 232: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

�� ��

��� �� ��� ���� policy� �����. ��

��� � policy� �� ����� ����� �� �

����� �� �� ������ ����� ���

� ����. �� �� 8���.

policy set min-password-non-alphas {<number>|unset} [-user <username>]

policy get min-password-non-alphas [-user <username>]

��� � � ��(��)� �� �� ����

policy� �����. ����� � policy� �� ��

��� ����� �� ������ �� �� ���

��� ����� ��� � ����. �� �� 1�

��.

policy set password-spaces {yes|no|unset} [-user <username>]

policy get password-spaces [-user <username>]

��� �� ���� ��� ���� policy� ���

��. ����� � policy� �� ����� ����

� �� ������ �� �� ������ ����

� ��� � ����. �� �� unset���.

212 �� 3.8

Page 233: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

ivmgrd.conf ��

Policy Director Management Server� ivmgrd.conf �� ��(pdmgrd).

���� �� ����.

¶ [ivmgrd]

¶ [ldap]

¶ [ssl]

¶ [authentication-mechanisms]

¶ [object-spaces]

¶ [aznapi-configuration]

¶ [aznapi-entitlement-services]

¶ [aznapi-pac-services]

¶ [aznapi-cred-modification-services]

¶ [aznapi-external-authzn-services]

¶ [delegated-admin]

���� ��

[ivmrgd] stanza

unix-user � � � �� UNIX ��� ��

unix-group � � � �� UNIX � ��

B

213Tivoli SecureWay Policy Director Base �� ���

B.

ivmg

rd.co

nf

��

Page 234: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� ��

database-path �� �� ������ ��

tcp-req-port �� ��� �� TCP �� ��

max-notifier-threads �� ��� ��� ���� �

auto-database-update-notify

�� ����� ���� �� �� �� �

� �� �� ��

notifier-wait-time ����� ��� ���� � �� policy �

���� ��(�)

pid-file PID �� ��

log-file �� �� ��

ca-cert-download-enabled ����� �� CA ���� ������

[ldap] stanza

ldap-server-config ldap.conf �� �� ��

prefer-readwrite-server ����� �� ��� � �� � �

��� �� ����� �/�� LDAP �

� ��� �� �� �� �� � ��

���

bind-dn LDAP � � ��� � ���� LDAP �

�� DN

bind-pwd LDAP ��� ��

ssl-enabled LDAP � � SSL �� �� �� � ��

���

ssl-keyfile LDAP ���� ���� ���� ���� �

���� SSL �� ��

ssl-keyfile-dn SSL �� �� ���

ssl-keyfile-pwd SSL � ��

auth-using-compare LDAP ���� ���� � ldap_compare

()� ldap_bind() �� �� ����� ��

[ssl] ���

ssl-keyfile SSL �� ��

ssl-keyfile-pwd ��� �� � ���� ���� ��

214 �� 3.8

Page 235: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� ��

ssl-keyfile-stash SSL �� stashfile� ��

ssl-keyfile-label ��� �� ��� � ���

ssl-v3-timeout SSL v3 ��� �� ���

ssl-listening-port �� MTS� ��� TCP ��

ssl-io-inactivity-timeout SSL ��� ����� �� ��� ����

� ��(�)

ss l -maximum-worker-threads

���� ��� ���� � � � ���

���� �� �

ssl-pwd-life SSL �� �� �� - ��

ssl-cert-life SSL �� �� �� - ��

ssl-auto-refresh SSL ��� � ����� � ��� �

� �� �� �� � �� ���. �� ��

� ��, ��� � �� � ��� ��� �

� ������.

[authentication-mechanisms] ���

passwd-uraf ��� ��� ����

cert-uraf ��� ��� ����

passwd-ldap ��� ��� ����

cert-ldap ��� ��� ����

[aznapi-configuration] ���

logsize �� ��� �� �� �� �� ���

logflush �� ��� �� �� � �� �� �

logaudit �� �� � �� ��� ��

auditlog �� �� �� ��

auditcfg = azn �� �� ��� �

auditcfg = authn �� ��� �

auditcfg = mgmt �� ��� �

[aznapi-entitlement-services] ���

[aznapi-pac-services] ���

215Tivoli SecureWay Policy Director Base �� ���

B.

ivmg

rd.co

nf

��

Page 236: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� ��

[aznapi-cred-modification-services] ���

[aznapi-external-authzn-services] ���

[delegated-admin] ���

authorize-group-list group list � group list-dn ��� �� �

� �� �� � �� ���

216 �� 3.8

Page 237: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

ivacld.conf ��

Policy Director Authorization Server(pdacld)� ivacld.conf �� �

���� �� ����.

¶ [ivacld]

¶ [ldap]

¶ [ssl]

¶ [manager]

¶ [authentication-mechanisms]

¶ [aznapi-configuration]

¶ [aznapi-entitlement-services]

¶ [aznapi-pac-services]

¶ [aznapi-cred-modification-services]

¶ [aznapi-admin-services]

���� ��

[ivacld] ���

tcp-req-port �� ��� �� TCP �� ��

pid-file PID �� ��

C

217Tivoli SecureWay Policy Director Base �� ���

C.

ivacld.co

nf

��

Page 238: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� ��

log-file �� �� ��

unix-user � � � �� UNIX ��� ��

unix-group � � � �� UNIX � ��

permit-unauth-remote-caller Authorization API ����� ���

���� �� Authorization Server� �

�� �� ��

[ldap] stanza

enabled �� �� � �� ��� LDAP ��

� ����� ��

host LDAP � ��� �

port LDAP � � ��� � ���� IP

��

bind-dn LDAP � � ��� � ����

LDAP ��� DN

bind-pwd LDAP ��� ��

cache-enabled ��� LDAP �� �� ��� �

�� � LDAP ����� �

�� �� � �� ���

prefer-readwrite-server ����� �� ��� � �� �

� ��� �� ����� �/�

� LDAP � � ��� �� ��

�� �� � �� ���

ssl-enabled LDAP � � SSL �� �� �� �

�� ���

ssl-keyfile LDAP ���� ���� ���� ��

�� � ���� SSL �� ��

ssl-keyfile-dn SSL �� �� ���

ssl-keyfile-pwd SSL � ��

max-search-size ��� LDAP � �� �� �� �

� � ��

ssl-port LDAP ��� � ���� SSL ��

218 �� 3.8

Page 239: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� ��

auth-using-compare L D A P ���� �� � � �

ldap_compare()� ldap_bind() �� ��

����� �� �

ldap-replica ����� LDAP ��� ����� �

�� ��

[ssl] ���

ssl-keyfile SSL �� ��

ssl-keyfile-pwd ��� �� � ���� ���

� ��

ssl-keyfile-stash SSL �� stashfile� ��

ssl-keyfile-label ��� �� ��� � ���

ssl-v3-timeout SSL v3 ��� �� ���

ssl-listening-port �� MTS� ��� TCP ��

ssl-io-inactivity-timeout SSL ��� ����� �� ��� �

��� � ��(�)

ssl-maximum-worker-threads ���� ��� ���� � � � �

�� ���� �� �

ssl-pwd-life SSL �� �� �� - ��

ssl-cert-life SSL �� �� �� - ��

ssl-auto-refresh SSL ��� � ����� � �

�� �� �� �� �� � �� ��

�. �� ��� ��, ��� � �� �

��� ��� � ������.

ssl-authn-type �� ��

[manager] ���

manager-host MTS � � ��� �

master-port � � ��� �� �� TCP ��

master-dn MTS � �� ���� ���� ��

�� �

[authentication-mechanisms] ���

passwd-uraf ��� ��� ����

cert-uraf ��� ��� ����

219Tivoli SecureWay Policy Director Base �� ���

C.

ivacld.co

nf

��

Page 240: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� ��

passwd-ldap ��� ��� ����

cert-ldap ��� ��� ����

[aznapi-configuration] ���

logsize �� ��� �� �� �� �� �

��

logflush �� ��� �� �� � �� ��

logaudit �� �� � �� ��� ��

auditlog �� ����� �� �� �� �

auditcfg = azn �� �� ��� �

auditcfg = authn �� ��� �

db-file pdacld ����� �� �� ��

cache-refresh-interval �� Authorization server�� �� �

� �� ��

permission-info-returned

max-handle-groups ��� �� �� �� �

listen-flags policy �� ��� �� �� �� �

�� ���

[aznapi-entitlement-services] ���

�� API ��� ��

[aznapi-pac-services] ���

AZN_V37CRED_SVC Policy Director 3.7 �� � Policy

Director 3.8 �� �� ���� ���.

Policy Director 3.7 �� API ����

���� �� �� ��� ��� �

���.

[aznapi-cred-modification-services] ���

AZN_MOD_SVC_RAD_2AB �� ��� ���� ���� ��

��� �� �� ���. � �� �

� �� ��� ���� ��� � ��

��.

220 �� 3.8

Page 241: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� ��

[aznapi-admin-services] ���

AZN_ADMIN_SVC_TRACE �� API ������� �� �� �

� �� � �� ���(pdadmin ��).

221Tivoli SecureWay Policy Director Base �� ���

C.

ivacld.co

nf

��

Page 242: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

222 �� 3.8

Page 243: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

ldap.conf ��

ldap.conf �� ��

���� �� ����.

¶ [ldap]

���� ��

[ldap] stanza

enabled Policy Director� LDAP ��� ������ �����.

���� “yes” “no”� ����.

host LDAP �� � � ��� ���� ���� �

port LDAP �� � � TCP �� ��

ssl-port LDAP �� � � SSL �� ��

max-search-size ����� ��� LDAP Client ��� �� Policy

Director ��(�: LDAP �������� ���� �

��� �� ��� �� ��)

replica LDAP � �� ��

D

223Tivoli SecureWay Policy Director Base �� ���

D.

ldap

.con

f�

Page 244: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

224 �� 3.8

Page 245: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

pd.conf ��

pd.conf �� ��

���� �� ����.

¶ [pdrte]

¶ [ssl]

¶ [manager]

¶ [ldap-ext-cred-tags]

���� ��

[pdrte] ���

��� PDRTE ��� ������ ���

�� ��.

user-reg-type ��� ����� ��. (�� LDAP�

���)

user-reg-server ��� ����� � �

user-reg-host ��� ����� ��� �

user-reg-hostport ��� ����� � �� ��

boot-start-ivmgrd ��� ��� Management Server

(pdmgrd) ��

boot-start-ivacld ��� ��� Authorization Server

(pdacld) ��

[ssl] ���

E

225Tivoli SecureWay Policy Director Base �� ���

E.

pd

.con

f�

Page 246: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

���� ��

ssl-keyfile SSL �� �� ��� ��

ssl-keyfile-pwd � ��

ssl-keyfile-stash SSL �� stashfile� ��

ssl-keyfile-label ��� ��� ��� ���� �

ssl-v3-timeout SSL v3 ��� �� ID ���

ssl-pwd-life SSL �� �� �� - ��

ssl-io-inactivity-timeout SSL ��� ����� �� ��� �

��� � ��(�)

ssl-auto-refresh ����� ��� � ��� ��

�� �� �� �� �� ���

[manager] ���

master-host MTS � � ��� �

master-port � � ��� �� �� TCP �� ��

replica Authorization server ���

[ldap-ext-cred-tags] ���

< c r e d e n t i a l - f i e l d - n a m e > =<ldap-inetOrgPerson-field>

inetOrgPerson LDAP ��� ���

�� ���� Policy Director ��� �

�� ���� ����.

226 �� 3.8

Page 247: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

��

�����

�� 155

�� ��� 160

�� �� 160

�� �� � 156, 160

�� 64

�� ACL 64

�� ACL policy 25

�� �� 9

�� ��� 23

�� API 12

�� policies (��) 88

�� � 123

�� � �� 30, 34

�� 3, 7, 13, 59

��� �� 61

��� ��, �� 62

�� ����� �� 128

�� �����, �� 128

�� �� 13

�� ��� 14, 16, 17

�� ����� 19

�� 16

Authorization API 19

�� �� 80

�� ��� 18

�� ���� 28

�� policy ����� 17

� 55

� ���� ��� 106

�� �� policy 88

�� �� ACL 65, 88

�� �� �(LDAP ��) 142

�� management ACL 89

�� WebSEAL ACL 89

�� 63

�������� 3

�� ��

�� 155

�� � 155

�� ��, �� ��� 157

�� ��� 161

�� ACL(��) 65, 88

��� �� �� policy ����� 17

�� ACL 64

�� ACL policy 25

��� 3

���

� �� 4

policy �� 22

� � � �� 2

� ��� 3

227Tivoli SecureWay Policy Director Base �� ���

��

Page 248: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

� � 11

�� 23, 44

�� � 3, 7

�� ���

��� �� 23

�� ��� �� 3, 22

�� ��� 23

�� 23

��� �� ��� 23

� ��� 23

�� 70

�� ��� �� � 43

�� ��� policies 26

�� 20

��� 141

������ 54

��� �� ��� 23

��� �� ��� �� 47

�� �� 48

��, � 126

� �� � 157

� �� 130

� , �� � �� 124

��� ��� ��� 158

��� �� 23, 44

�� � �� � 124

������ 3

���� 7

������ ���� � 2

� �� �� 138

��� �� �� 87

��� ��, ��� �� 47

�� �� 48

��� �� 87

��� �� 49, 107

���, �� � �� 50

�� �� ��� 35

�� � �� 30, 32

� ��� 23

�� ��

policy �� 113

�� ��

� � ��� �� 106

� �� 109

� ���� ��� 106

� ACL � 111

��� � � �� 101

��� ACL � 112

��� �� �� 100

��� �� ID � 169

�� 3, 6

���� �� 58, 63

��� 57

��� 3

����� ��� 14

�� ��� 44

� 59

ACL ��� � 74

� �, �� �� 73

�, �� �� 73

�� �� �� 9

�� �� �� 131

228 �� 3.8

Page 249: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

������� ��� 44

�� 45

��� �� 46

WebSEAL 45

������ ��� �� 130

��� Authorization API 5

�� ID � 169

���� � 71

� � � 71

�� 3, 8, 20

AACL 3, 26

�� 64

�� �� 78

�� �� 56

�� � 59

�� �� 80

�� �� policy 88

�� �� 88

��� �� �� 61

��� �� �� �� 62

ACL (�)

� LDAP ���� �� 143

��� � 60

�� � 68

�� � 57

�� 56

�� 62

�� 54

� � 71

� � � 71

ID � 58

Traverse 66, 76

WebSEAL �� 76

ACL policies, �� 25

ACL �� 59

ACL �� � 68

ACL �� 62

ACL(Access Control List) 3, 26

auditcfg 162

auditlog 161

Authorization API 12, 30

Authorization server 13, 119

auto-database-update-notify 129

Bboot-start-ivacld 127

boot-start-ivmgrd 127

Ddefault config ACL 90

default GSO ACL 90

default Policy ACL 90

default replica ACL 90

229Tivoli SecureWay Policy Director Base �� ���

��

Page 250: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

GGSKit 13

IIBM Global Security Kit (GSKit) 13

IBM SecureWay Directory 138

iPlanet 138

ivmgrd-servers � 102

ivmgrd.log

�� 157

iv-admin � 102

LLDAP

�� 133

� �� �� 138

���, �� �� 143

LDAP ��

�� �� � 142

ldap.conf 140

logaudit 161

logflush 162

logsize 161

MManagement Server 119

Management server 11, 17

management/ACL �� 78

management/Action �� 80

management/Config �� 83

management/Groups �� 86

management/GSO �� 87

management/Policy �� 83

management/POP �� 81

management/Replica �� 84

management/Server �� 82

management/Users �� 84

max-notifier-threads 129, 131

Nnotifier-wait-time 129, 131

Ppdacld 120

pdacld.log 157

pdadmin 11, 121, 122

pdadmin � �� 130

pdmgrd 17, 120

pdmgrd.log 157

pd_start 121, 124

Policy Director

�� API 12

���� 9

�� ��� 16, 17

� � � �� 2

� � 11

�� 5

������ ���� � 2

�� � 6

Authorization API 12

Authorization server 13

IBM Global Security Kit (GSKit) 13

Management server 11

pdadmin 11

Web Portal Manager 10

WebSEAL 11

230 �� 3.8

Page 251: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

policy ��� 14

POP 3, 26, 92

� �� 95

���� �� 94

create 93

POP policies, �� 25

POP �

�� �� 96

�� �� 95

�� � 98

IP ����� �� 98

time of day 97

POP(Proteced Object Policy)

create 93

POP(�� policy) 3, 92

� �� 95

���� �� 94

Ssec_master ��� 101

server

��� �� 127

server status 126

Sparse ACL �� 64

TTraverse 76

Traverse �� 66, 76

WWeb Portal Manager 10, 27, 121

WebSEAL 11, 119

webseald 120

webseald.log 157

webseal-servers � 102

231Tivoli SecureWay Policy Director Base �� ���

��

Page 252: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

232 �� 3.8

Page 253: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................
Page 254: publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/SW_30/GC32-0680... · /WebSEAL ACL policy ............................... 89 /Management ACL policy..............................

Printed in Australia

GA30-1317-01