Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³...
302
Tivoli SecureWay Policy Director WebSEAL 3.8
Transcript of Tivoli SecureWay Policy Director WebSEAL °ü¸® ¾È³...
Tivoli SecureWayPolicy Director WebSEAL�� ���
�� 3.8
Tivoli SecureWayPolicy Director WebSEAL�� ���
�� 3.8
Tivoli SecureWay Policy Director WebSEAL �� ���
��� ��
© Copyright IBM Corporation 2001. All rights reserved. Tivoli Systems ����� ��� ��, IBM����� ��� �� �� IBM �� ���� ��� ��� �� Tivoli ��� ��� ���� ���� ��� � ����. IBM Corporation� �� �� �� �� � ���� �� ��� ��, ��,��, ��, ��, ��� � � �� �� ���� ���� ��, ��, ����� �� ���� ��� ���, ��� ��� �� � ����. IBM Corporation IBM Corporation ��� �� ��� ��� �� ����� �� �� ���� ����� ����� ��� � � �� �� ������ ��� � �� ��� �����. IBM Corporation� �� �� � ��� ���� �� ��� ��� ���� ����. � ��� ��� ���� �� ���� ��� �� �� “�����” �����. �� �� �� ��� �� ��� � ���� ���� ��� � �� �� ��� ��� ���� ����.
��
IBM, IBM ��, Tivoli, Tivoli ��, AIX, Cross-Site, NetView, OS/2, Planet Tivoli, RS/6000, TivoliCertified, Tivoli Enterprise, Tivoli Enterprise Console, Tivoli Ready � TME� ���� �� ���� ���� IBM Corporation �� Tivoli Systems Inc.� � �� ������.
Microsoft, Windows, Windows NT � Windows ��� �� �� �� ���� ���� MicrosoftCorporation� ����.
UNIX� �� �� �� ���� ���� Open Group� ������.
Java � �� Java � �� �� �� �� ���� ���� Sun Microsystems, Inc.
� ����. �� ��, �� � ��� � � ��� � �� ������.
����
� ����� Tivoli Systems �� IBM� ��, ���� �� ���� ����� � Tivoli Systems�� IBM� ���� �� �� ���� �� ��� � ��� �� ����� ����. ��� ��,���� �� ���� ����� � Tivoli Systems �� IBM� ��, ���� �� ����� ��� � ��� ��� ����. Tivoli Systems �� IBM� ��� �� ��� �� �� ���� ��� � �� ��� ����, ��� ��� ��, ���� �� ���� �� ��� � ����.Tivoli Systems �� IBM� ���� ��� ��� ����, �� �� �� �� �� �� ���� �����. Tivoli Systems �� IBM � ��� �� �� �� ������� �� � ���� ��� �� �� � ����. � �� ����� � � � � �� ���� ���� � ����. ���� �� ���� 135-270, � ��� ��� � � 467-12, �����, �� ��.�.� ���� ������, ����: 080-023-8080�� ������.
��
�� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii� �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii
� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
Policy Director � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi
��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii
��� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii
�1� WebSEAL �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1WebSEAL� � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
�� �� � �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
� policy �� � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
WebSEAL ��� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
��� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
�� �� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
EPAC(Extended Privilege Attribute Certificate) . . . . . . . . . . . . . . . . . . 8
WebSEAL Junction� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
WebSEAL Junction � � ��� �� . . . . . . . . . . . . . . . . . . . . . . 12
�2� WebSEAL �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17� � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
webseald.conf �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
WebSEAL �� �� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
WebSEAL � �� ����. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
WebSEAL �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
iiiTivoli SecureWay Policy Director WebSEAL �� ���
�� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
HTTP ��� �� WebSEAL ��. . . . . . . . . . . . . . . . . . . . . . . . . . . 22
HTTPS ��� �� WebSEAL ��. . . . . . . . . . . . . . . . . . . . . . . . . . 22
�� SSL ������ �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
HTTP � HTTPS ��� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . 23
HTTP/HTTPS ��� �� ��� ��� . . . . . . . . . . . . . . . . . . . 24
�� WebSEAL � ��� ���. . . . . . . . . . . . . . . . . . . . . . . . 25
� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
� �� ��� �� ����. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
���� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Windows: CGI ����� �� �� � �� �� . . . . . . . . . . . . . 29
� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
HTTP � ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
��� �� HTML ��� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
��� �� ��� ��� � �. . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
��� �� HTML ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
���� � � � ��� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
GSKit ������ �� ��� �� � . . . . . . . . . . . . . . . . . . . 40
WebSEAL� �� ������ ��� �� . . . . . . . . . . . . . . . . 41
iKeyman ��� � ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . 43
CRL �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
�� QOP(Quality of Protection) � �� . . . . . . . . . . . . . . . . . . . . . . . . 45
�� ��� � ����� �� QOP �� . . . . . . . . . . . . . . . . . . . . . 45
�� ������ �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
�� �� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
�� ������ ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
���� WebSEAL � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
HTTP �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
iv �� 3.8
HTTP �� �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . 51
���� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
�� �� �� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
�� �� ��� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . 52
request.log� ���� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . 52
HTTP �� �� ��(request.log) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
request.log �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
agent.log �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
referer.log � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
�3� WebSEAL �� policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57WebSEAL �� ACL policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
/WebSEAL/<host> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
/WebSEAL/<host>/<file> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
WebSEAL ACL �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
�� /WebSEAL ACL policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
3 ����� ��� policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
�� �� policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
pdadmin ����� � ��� �� �� policy . . . . . . . . . . . . . . 62
� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
��� �� ���� � ��� ��. . . . . . . . . . . . . . . . . . . . . . . 64
�� ��� � �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
�� �� POP policy(step-up) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Step-up ��� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Step-up �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Step-up ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Step-up �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Step-up �� �� � ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
vTivoli SecureWay Policy Director WebSEAL �� ���
���� � �� POP policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
�� � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
IP �� � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
IP ��� �� step-up �� �� ���. . . . . . . . . . . . . . . . . . . . . . . 75
���� � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
���� � �� �� � ���� . . . . . . . . . . . . . . . . . . . . . . . . . . 75
QOP(Qualtiy of Protection) POP policy. . . . . . . . . . . . . . . . . . . . . . . . . . . 75
���� � ��� ��(HTTP/HTTPS) . . . . . . . . . . . . . . . . . . . . . . . . . . 76
�� �������� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . 76
��� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
���� � HTTPS� ������ . . . . . . . . . . . . . . . . . . . . . . . . . 77
ACL/POP policy� ���� � ��� �� . . . . . . . . . . . . . . . . . . 78
�4� WebSEAL ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79�� ����� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
���� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
���� �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
��� �� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
�� �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
GSKit � WebSEAL �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
WebSEAL �� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
GSKit SSL �� ID �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
�� �� �� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
��� �� ID ��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
failover � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
�� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
�� �� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
�� ��� �� CDAS �� ��� . . . . . . . . . . . . . . . . . . . . . . . . 96
WebSEAL ��� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
vi �� 3.8
�� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
��� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
���� � �� � � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
�� �� �� � �� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
�� � � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
�� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
�� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
�� �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
�� �� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
HTML � �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
����� ��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
����: ���� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . 104
WebSEAL ��� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
��� �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
��� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
HTTP � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
HTTP � �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . 109
� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
HTTP � �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
IP �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
IP �� �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
IP �� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
�� �� �� � �� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
viiTivoli SecureWay Policy Director WebSEAL �� ���
�� �� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
����� ��� ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
��� �� ��� �� � �� ���. . . . . . . . . . . . . . . . . . . . . . . 114
MPA � �� ����� �� �� ���� � . . . . . . . . . . . . . 115
MPA �� �� � �� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
MPA� �� ��� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
webseal-mpa-servers ��� MPA �� �� . . . . . . . . . . . . . . . . . . . 117
MPA �� ����. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
�5� �� ��� �� � ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . 119CDSSO �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
��� �� CDMF �� ����� �� . . . . . . . . . . . . . . . . . . . . . 120
CDMF� ��� CDSSO� �� �� ���� � . . . . . . . . . . . . . 120
CDSSO �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
CDSSO �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
�� �� ��� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
�� ���� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
CDSSO HTML � � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
�� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
e-Community �� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
e-Community �� � ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
e-Community ���� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
e-Community �� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
“Vouch For” �� � �� �� � . . . . . . . . . . . . . . . . . . . . . . . 136
“Vouch For” ��� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
“Vouch For” �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
e-Community ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
�6� WebSEAL Junction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145WebSEAL Junction ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
viii �� 3.8
Junction ������ �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . 146
���� � �� �� ��: �� . . . . . . . . . . . . . . . . . . . . . . . . 147
�� �� �� ��: �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
WebSEAL Junction ��� �� � . . . . . . . . . . . . . . . . . . . . . . . . 147
WebSEAL Junction�� HTTP 1.0�� ���. . . . . . . . . . . . . . . . 148
WebSEAL Junction� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . 148
“pdadmin � ���”� ��� Junction �� . . . . . . . . . . . . . . . . . . . . . 149
�� WebSEAL Junction ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
TCP �� Junction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
SSL �� Junction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
�� �� SSL Junction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
WebSEAL ��� � ���� ���� . . . . . . . . . . . . . . . . . . . 153
�� �(DN) �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
WebSEAL ���� ���� ��� . . . . . . . . . . . . . . . . . . . . . . 154
WebSEAL BA �� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Junction� � ���� �� �� �� . . . . . . . . . . . . . . . . . . . . 156
TCP � SSL ��� Junction �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
SSL� �� WebSEAL�� WebSEAL�� Junction . . . . . . . . . . . . . . . . . 158
�� Junction ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
�� Junction �� �(-f) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
HTTP �� �� ���� �� ��(-c) . . . . . . . . . . . . . . . . . . . 161
HTTP �� �� ���� IP �� ��(-r) . . . . . . . . . . . . . . . . . 163
�� �� Junction � � � ��(-k) . . . . . . . . . . . . . . . . . . . 164
����� ���� �� URL ��(-i) . . . . . . . . . . . . . . . . . . . . . . . 165
���� � ����� ���������� URL ��(-j) . . . . . . . 165
Junction ��� ���� � �� URL �� . . . . . . . . . . . . . . . . . 170
Stateful Junction ��(-s, -u) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Stateful Junction� �� ��� � UUID ��(-u). . . . . . . . . . . . . 173
Windows �� ����� Junction(-w) . . . . . . . . . . . . . . . . . . . . . . . 177
ixTivoli SecureWay Policy Director WebSEAL �� ���
WebSEAL Junction ��� �� � ���� . . . . . . . . . . . . . . . . . . . . . 178
��� Junction�� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . 178
Junction � �� �� HTML URL �� . . . . . . . . . . . . . . . . . . 179
Junction�� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Junction� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
��� � �� query_contents �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
query_contents �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
�� UNIX � � query_contents �. . . . . . . . . . . . . . . . . . . . . . . 183
��� Win32 � � query_contents �. . . . . . . . . . . . . . . . . . . . . 183
query_contents ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
query_contents � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
�7� � �� � ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189�� �� � ���� �� BA � ��. . . . . . . . . . . . . . . . . . . . . . . . . 189
SSO(Single Sign-On) �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
BA ��� ���� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . 190
���� �� � � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . 191
�� ���� BA � �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . 193
���� BA � �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
GSO�� ��� � � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . 195
GSO(Global Sign-on) �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
GSO �� WebSEAL Junction �� . . . . . . . . . . . . . . . . . . . . . . . . . 198
GSO �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
IBM WebSphere(LTPA)�� �� �� � . . . . . . . . . . . . . . . . . . . . . . . . 200
LTPA Junction �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
LTPA �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
LTPA �� ���� �� � ���� . . . . . . . . . . . . . . . . . . . . . . 203
�8� ������ ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
x �� 3.8
CGI ����� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Windows: WIN32 �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
��� � � ������ �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
�� ���� �� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
LDAP ����� ���� �� �� �� . . . . . . . . . . . . . . . . . . . . 209
��� �� ��� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
��� ���� �� WebSEAL �� . . . . . . . . . . . . . . . . . . . . . . . . 214
��� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
�� URL� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
�� URL ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
�� URL� ACL �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
�� URL� �� WebSEAL �� . . . . . . . . . . . . . . . . . . . . . . . . . . 219
�� � ���� �� URL �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
POST ��� ���� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
�� � � ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
�� URL ��: Travel Kingdom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
������. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
����� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
� policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
��A. webseald.conf �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
��B. WebSEAL Junction ��. . . . . . . . . . . . . . . . . . . . . . . . . . . 245“pdadmin � ���”� ��� Junction �� . . . . . . . . . . . . . . . . . . . . . 245
Junction �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
�� � � �� �� Junction �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
xiTivoli SecureWay Policy Director WebSEAL �� ���
�� Junction� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
��C. iKeyman�� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 253iKeyman ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
�� WebSEAL ������ �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
�� ������ ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
�� �� � �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
�� �� CA �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
�� CA �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
������ �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
��� ��� ��. ��� �� ��. . . . . . . . . . . . . . . . . . . . . . 264
�������� �� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
������� �� �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
�� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
������ �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
xii �� 3.8
��
Tivoli SecureWay Policy Director WebSEAL � ��� �� �
� �����.
Tivoli SecureWay Policy Director WebSEAL � � ��� ��
Policy Director �� � �����. WebSEAL ���� ��
��� � � ��, �� � �� � ��� �� � policy� �
����. WebSEAL �� �� � ���� ���� � policy���� � ������ � ��� ��� � ����.
� � ����� � � ���� ��� ��� �� ��
�� �� ��� ����� . �� � ����� ����
WebSEAL ��� �� ��� ���� � �� ��� �����.
� �� ���� ��� ��� ���� ���� � ����.
¶ � ��
¶ ��� � � �� ��
¶ ���� ��� ��
¶ IT ��
¶ ������ ���
xiiiTivoli SecureWay Policy Director WebSEAL �� ���
� �� ��
¶ �1�: WebSEAL ��
� ��� �� � ��� �� ��, ��, �� � �
WebSEAL junction � ��� WebSEAL �� ��� �
�����.
¶ �2�: WebSEAL �� ��
� ��� � �� �, ��� ���, ��� �, ���
� � ��� �� WebSEAL �� ACL � POP policy �
� ���� � WebSEAL �� ���� �� ��� ���
�� � ���.
¶ �3�: WebSEAL �� policy
� ��� ACL � POP policy, QOP(Qualtiy of Protection),step-up �� policy, ���� � �� policy, 3 ����� �
�� policy � �� �� policy � � WebSEAL�� �
policy� ���� �� ���� �� ��� �� ��� �
���.
¶ �4�: WebSEAL ��
� ��� ��� � ��, ����� ���, SecurID �
� �� � �� HTTP � ��� � � ��� �� �
��� ��� WebSEAL� ��� �� ��� �� ���
� ���.
¶ �5�: �� ��� �� � ���
� ��� WebSEAL ��� ��� �� ��(�, ����
WebSEAL � ��)� �� �� ��� �� � ���� �
���.
¶ �6�: WebSEAL Junctions
� �� WebSEAL junction� ��� ���� �� �� �
�� � ��� �� ����.
¶ �7�: � �� � ���
xiv �� 3.8
� ��� WebSEAL ��� ��� �� ��(�, WebSEAL �
��� junction ������ � ��)� �� �� ��
� ���� � ���.
¶ �8�: ������ ��
� ��� ��� ������ ��� ���� �� ���
WebSEAL� ��� �����.
¶ �� A: webseald.conf ��
¶ �� B: WebSEAL Junction ��
¶ �� C: iKeyman�� ��� ��
��� ��� ���� �� �� ��� �� �� �� ��� �����.�� �� ����.
�� � � � ��, �� � �� ��� ��� �� �
� ��� �� ����.� �� ��� � �, � �� � � � ��� ����.
����� �� ��, ��� � � �� � ��� �
���.������ � ��, ��, �� ��, �� � ���� � � �
�� ���� ������ �� ����.
xvTivoli SecureWay Policy Director WebSEAL �� ���
Policy Director �� ���� � Tivoli SecureWay Policy Director �� ���� ����
Policy Director �� � �����.
Tivoli SecureWay Policy Director �� ��
�� ���
Tivoli SecureWay Policy Director Base � ��
Tivoli SecureWay Policy Director WebSEAL � ��
�� ���
Tivoli SecureWay Policy Director Base � ��
Tivoli SecureWay Policy Director WebSEAL � ��(� ��)
Tivoli SecureWay Policy Director Plug-in for Edge Server � ��
Tivoli SecureWay Policy Director Web Portal Manager � ��
��� ���
Tivoli SecureWay Policy Director Authorization ADK Developer Reference
Tivoli SecureWay Policy Director Authorization API Java Wrappers
Developer Reference
Tivoli SecureWay Policy Director Administration API Developer Reference
Tivoli SecureWay Policy Director WebSEAL Developer Reference
�� ��
Tivoli SecureWay Policy Director ��� ��
Tivoli SecureWay Policy Director Performance Tuning Guide
Tivoli SecureWay Policy Director Capacity Planning Guide
��� �� ���Tivoli �� �� � ���(http://www.tivoli.com/support/)��� ��
� � ��� �����.
¶ ��� ��, � � �� ��, � �� � ��� ���
� ��� � ��
¶ �� ���� ��(FAQ)
xvi �� 3.8
¶ ����� ��� ��
http://www.tivoli.com/support/getting/� Customer Support Handbook� ����.
����� Tivoli �� ��� ����� http://www.tivoli.com/support/documents/� ����. �� ��� � �� ��� ��
���� � � ����.
https://www.tivoli.com/secure/support/Prodman/html/AB.html#Security�� Policy Director � ��� �� ��� � �
����.
�� �� PDF � HTML ���� �� ��� ��� �� ��
���.
���� �� ��� ����� ID ��� �����. �� � �
���� ��� ID� ��� http://www.tivoli.com/support/getting/�� ����.
������ http://www.tivoli.com/support/smb/index.html�� Tivoli� �� � ��� �� ��� ������.
xviii ���� ��� ����� Tivoli � �� �� ��� ����
��.
xviiTivoli SecureWay Policy Director WebSEAL �� ���
�� ��http://www.tivoli.com/support/Prodman/html/pub_order.html��
Tivoli ��� ����� ����� �� � ���� ��� �
����.
¶ �� ��: [email protected]
¶ �� ��.�.� ������: 080-023-8080, 02-3781-7114
��� �� ��� ����� Tivoli �� ��� �� ���� ��� ���� ����,��� ����� �������. �� ��� �� ���� �
��� ��� �� � ���� ������.
¶ �� ��: [email protected]
¶ �� ��� �� �� ��: http://www.tivoli.com/support/survey/
�� �� ������ � Tivoli �� �� �� �� Tivoli ��� � ���
��� �� � ���� ������.
¶ �� ��: [email protected]
¶ �� ��.�.� ������: 080-023-8080, 02-3781-7114
¶ � ���: http://www.support.tivoli.com
¶ Tivoli �� ��� ��� �� �� ���� ���� ���
� ��� ��� ��� �� ����.
xviii �� 3.8
WebSEAL ��
Tivoli SecureWay Policy Director WebSEAL ���� �� ��
� � � ��, �� � �� � ��� �� � policy� ���
��. WebSEAL �� �� � ���� ���� � policy� �
�� � ������ � ��� ��� � ����.
� ��� WebSEAL � � �� ��� � �����.
�� �� �� ����.
¶ �WebSEAL� � �� ���
¶ 5 ���� �WebSEAL ��� �� ��
¶ 7 ���� ��� �� �� ��
¶ 9 ���� �WebSEAL Junction� �� ��
WebSEAL� � �� ��Tivoli SecureWay Policy Director WebSEAL � � ��� ��
Policy Director �� � �����.
WebSEAL ���� �� ��� � � ��, �� � �� � �
�� �� � policy� �����. WebSEAL �� �� � �
��� ���� � policy� ��� � ������ � ��� �
�� � ����.
1
1Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
WebSEAL �� ��� �����.
¶ �� �� ��� ��
� � ���� ��� ��� �� ���� ���� � ��
� ���� �����.
¶ HTTP, HTTPS �� �
¶ WebSEAL junction �� �� ��� � �� �� � ��
¶ �� � ��� � � ��� �� �� �� �� �
���� �� URL, URL � � ��, CGI ����,HTML ��, Java servlet � Java �� �� ����.
¶ � � � ��� �� ��
WebSEAL ������� � � � ���� ���� ��
junction ��� � �� � ����� �����.
¶ �� �� � �� ��
�� 1. WebSEAL� � �� ��
2 �� 3.8
�� �� � �� �� ��� ��� � ��� ��� ��� ���� � �� ��� �
�� ��� ���� ��� ���. �� �� �� ���� �
� ���� �� ����� � ���. �� �� � �� ��
� �����. � ������ �� �� �� ���� � �
WebSEAL ��� �����.
�� ���� �����.
¶ � ��� �� �
¶ � ��� ����� ���� ��� ��� �
¶ � ��� ���� � �� ��� WebSEAL �� ���
� � ��� �� �
� �� ��� �� ��� � �� ��� � � ����.
1. �� �� - ���� ��� ������.
¶ ���� � ����� HTTP� �� ��
¶ ��� �� �� ��� ����, ���� � ��
¶ �� WebSEAL �� ����
2. �� �� - ����� ��� �(���)� �����.
¶ HTTPS� �� ���� � ���� ��
¶ ������ � �� ���� ��� ���� ���� �
���� ���(�: �� �� �� �� ��� �� ��)
¶ ��� �� �� ��� ���� ���� � ��
¶ WebSEAL ��� ��� � ��
3. �� �� - ����� ��� �����.
¶ HTTP �� HTTPS� �� �� ���� ��
¶ ��� ���� ��� ��
3Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
¶ ��� �� �� ��� ����, �� ��. ����
� ��� ������ �� ��� ��� �
¶ WebSEAL �� ����� �� ��� �� ���� �
policy� ��� ��� �
�� policy �� � ���� � policy� ��� �����.
1. ��� ��� � ��
2. �� �
Policy Director� �� �� � ����� � � ��� ��� �
� �����. �� �� � ���� ����� � ��� ��
� �� �� �����.
��� ��� �� �� ��� � ���� ���� �
policy� ������.
� ����� ��� ����.
¶ ACL(Access Control List) policy
ACL policy� ���� ��� ��� ���� �� ���
� ��� �����.
¶ POP(Protected Object Policiy)
POP� ��� �, ���, �� � �� �� � �� ��
��� ��� ��� �� ��� �����.
¶ � ��
� �� ��� ������(�: �� �� �� ���)� �
��� �� � �� �� �, ACL �� POP� ����
�� ����.
Policy Director� � ����� �� �� ������. �� ��
���� ���� �� � �� �� �� �� ��� ���� �
� �� �(��)��� ��� ���� �����.
4 �� 3.8
� policy� ����� ����� �� �� �� ��(4 ����
�� policy �� � ���� �)� ���� ���� ���
ACL � POP policy� ��� ���. �� �� �� �� �
���� �� ��� � ��� � �����.
WebSEAL ��� �� ���� � ���� ������ ���� �� ���� �� ��
�� ���� ������. � � ����� �� ��� ���
��, � �� �� ����� ���.
WebSEAL � ����� ��� ���� � �����
�� �� ��� � ����. � ���� �� ��� ��
��� WebSEAL� � ���� ��, WebSEAL� �� � ���
� ��� ���� ���� �� ��� � ����.
� ���� �� �� �� �����. �� ��� �� �
��� �� ��� � ��� ��� � �� ��� ���� ��
� �����. �� ��� � ����� ����� ��� ��
��� ��� � �� ��� ��� ���� ����.
�� �� WebSEAL ��� �����.
¶ WebSEAL �� ���� ��� ���
�� 2. �� ��
5Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
WebSEAL� ���� �� ���� �� �� ���� ��� �
����.
¶ WebSEAL ����� �� ���� ����
¶ WebSEAL �� ���� ��� ���. � ����
WebSEAL �� ���� ����� ��� ���� ��
�� � ��� � �� �� (�� ���� �) ��� ���
�.
��� �� ��� ��� �� � policy� � ���� ��
�� �� ���� ����� �� ��� ���.
��� ��WebSEAL �� ������ ������ ��� �� ���
� ��� ��� ���. �� ������ �� ��� ����.
1. �� ���� ���� ��� ����.
���� Policy Director ��� ������ �� ��� ��
� �� ���� ���� ��� ��� � ����. ��� �
�� ���� ���� � ��� �����.
2. WebSEAL ��� ���� � ����� �� ��� ��
���.
WebSEAL �� ���� ��� �� Policy Director �
�� ������. �� �� WebSEAL � ����� ��
� ��� �����. �� �� ���� ���.
���� ��� �, ���� � �� ��� �� �� ��
� �����.
�� ���� ��, WebSEAL ���� � ��� ����
�.
� �� WebSEAL �� �� � ���� �� �� ���
��� ���� ���� �� �� ����� ��� � �
���.
6 �� 3.8
�� ����� � ��� ��� �� Policy Director ���
�� ��� � ����. �� Policy Director� �� ��, �� �
�� �� �� ���� ��� ��� � �� ���.
�� �� ��� ��� �� ��� �� 79 ���� �WebSEAL���� ������.
�� ��� �� ���� ����� 1�� � � ��� ���� ���� �
�� �� ��� ��� ����. ��� �� � ���� �
��� �� ��� ���� � �����.
Policy Director� ���� ��� ��� � �����. ����
�� �� �����. ��� ���� ���� ���� ��� �
��� �� ���� ����. ��� �� ��� ��� ��
� � ����. �� ��, �� ��� ���� �� �� ��
�� �� ���.
�� ����� ��� �� ��� �� ��� �����. � ��
� Policy Director ��� �����(����� LDAP)� ���� �
�� �� ��� �� �����. WebSEAL ��� � � �
� ��� EPAC(Extended Privilege Attribute Certificate)�� �� �
��� �� �� � � ��� �����.
�� 3. ���� �� �� ��
7Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
��, �� � ��� � ��� �� �� ��� ���� � �
� ��� ����. � ��� � � � ��� ���� � �
����.
� ����� ���� ��� ���� �� �� ������ �
��� � �� � �� ��� �����.
Policy Director ���� ��� �� � ���� � �� ��� �
� ��� �����.
EPAC(Extended Privilege Attribute Certificate)�� ����� �� ��� ��� Policy Director ����� �
����.
�� ��, �� �� ���� ��� ���� ���� � ���
� �� ��� � �� ��� ����� ��� ����� ��
���.
EPAC�� Policy Director� ACL(Access Control List)� � ��
� � ��� UUID(Unique Universal Identifier)� �����.
Policy Director� �� � ���� ���� �����.
¶ �� ���
¶ WebSEAL junction� �� ��
�� EPAC ��� Policy Director� �����.
�� ��
�� ��� ID ����� � � ��� ���
���� UUID ����� UUID
�� UUID ����� �� ��� UUID
8 �� 3.8
WebSEAL Junction� �� ��Policy Director� ����� �� ��, �� �� � � ����
�����. � � ������ �� ���� � ��� ���� �
��� ���� WebSEAL � , ��� � � � ���� ��
������ ��� �� � ����.
WebSEAL � ��� � ������ � �� ��� WebSEALjunction �� junction��� ���. WebSEAL junction ���
� WebSEAL � ��� � �� TCP/IP �����.
��� � � �� WebSEAL � ��� �� ���� ��� �
������ � � � ����. ��� � � �� WebSEAL � ��� �� �� junction(��) ����� WebSEAL �
� “��”���.
junction� � WebSEAL ��� � �� �� ���� ���
� ����. WebSEAL ��� ��� ��� � � ���� ��
�� ��� � �� � �� �� ��� ��� � ����. ��
� � � �� ��� �� �� ��� ���� �� �� ��
� ���� ��� � ��� Policy Director � ���� �
���(181 ���� ���� � �� query_contents ��� ��).
�� 4. junction WebSEAL ��� � � ���
9Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
junction �� ���, ���� � �� � ��(�� �����
��� ���)� ��� �� ��� ��� � ��� ����
�. ����� � ��� �� �� �� �� �����.
WebSEAL junction ��� � � � ��� WebSEAL � � �
�� ���� ���� ��� ���. �� � �� junction����� ��� ���, �� �� �� � ��� �����.
����� � ��� ��� ��� ��� �� ����.WebSEAL �� URL ��� ��� � � ���� ��� ��
� ����. ����� � �� �� ���� ��� ���
�� ���� � �� � � � �� �� ���� � ����.
�� � �� ��� ��� � �� ��� �� �����
��. �� � ����� ��, �� ��� � ����� ���
�.
10 �� 3.8
���� ��� � � �� �� � �� � ��� ��� ���
����. �� �� ��� �� �� ���� ��� �����.WebSEAL junction � � �� �� ���� ���� ��
��� �� �� ��� ��� ��� �� � ��� ���
��� � ����.
WebSEAL junction� � �� �� � ���� ��� �� ��
��. �� �� � �� ���� ��� ��� ��� ��� �
� ����� ���� ��� ��� � �� ���. ��� �
� �� ��� ���� ����� ��� �����.
�� 5. WebSEAL junction�� �� � ��
11Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
WebSEAL junction � ���� �� ��� ����� �� ��
� �����. Junction �� � � ���� � ����� ���
� ��� �� � �� ���.
WebSEAL Junction � � ��� ���WebSEAL junction �� ��� ��� � ���� ���� � �
����. � ������ ��� ���� �� �� � � � �
� ���� ���� ��� �� � ����.
�� � �� � � ��� � ����.
¶ �� ���� ���� �� ��
¶ �� ���, fail-over �� � ����� � ��� ��� �
��� ��
��� ����� WebSEAL ����� � � �� junction �� ��� ��� ����
WebSEAL � �� �����. �� ���� WebSEAL � �
�� � ��� �� � ���� �� ���� �����. ��
��� ��� IBM Network Dispatcher �� Cisco Local Director � ����� �����.
���� ��� ���� fail-over ��� �����. � � ��
� ��� � �� ��� ��� � � ���� �� ���
��� �����. ���� �� ��� � fail-over �� ���
� ����� ����� �����.
12 �� 3.8
���� WebSEAL � � ���� � � �� � �� � junction������� ��� ��� ����� ���.
��� �� �� ��� ��� ������ ���� �� ���
� � � ������.
��� �� ��� ���� �� WebSEAL � ��, ��� � �� � ��
���� ��� � ����. ��� � � �� WebSEAL junction �� � ��� ��� � � ���� ��� ��� � �� �
��.
� �� ��� � � ��� junction(��) ���� junction�
���. �� ��� �� ��� ����� �� � � � junction� � �����. � ������� ��� ��� � � � �
��� � ����� �� ���� �����.
�� 6. �� ���� WebSEAL �
13Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
�� �������� junction� �� �� � �� � ��� �
��� ��� �����. � � �� ����� ��� �� �
�� �� ���� ���.
�� 7. ��� � junction
14 �� 3.8
�� ��� � � �� ��� �� ��� ��� junction �
��� junction���.
��� ��� ���� ��� ��� � ����� ����� ��� � � ��
�� ���. �� ���� � � �� �����, �� ��
� � �� �� �� ���� � ��� ����� ���.
WebSEAL “�� ��” ��� ��� ���� �� � �
� �� ���� �����. � �� �� �� �� ���
� � � � �� ��� �����.
�� WebSEAL � � �� �� ���� �� ���� ��
� � ����� � � � �� ���� �����.
��� ������� � ����� ������ ��� ���� �
��� ��� ��� � � ���� �� ���� � statefuljunction� ��� � ����.
�� 8. �� � ��
15Tivoli SecureWay Policy Director WebSEAL �� ���
1.W
ebS
EA
L�
�
�� 9. �� ��� �
16 �� 3.8
WebSEAL �� ��
� �� ���� ����� �� WebSEAL � � ���� ��
���� � ��� � �� � � ��� �� ���� �
�� ��� �� ����.
�� �� �� ����.
¶ 18 ���� �� � ���
¶ 21 ���� ��� ��� ���
¶ 26 ���� �� �� ��
¶ 33 ���� �HTTP � ��� ���
¶ 37 ���� ���� �� HTML ��� ��
¶ 38 ���� ����� � � � ��� ��
¶ 45 ���� ��� QOP(Quality of Protection) � ���
¶ 47 ���� ��� ������ �� � ���
¶ 48 ���� ����� WebSEAL � ���
¶ 50 ���� � HTTP �� ���
2
17Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
�� �� ���� ���� WebSEAL � � � ��� � ���.
¶ �webseald.conf �� �� ���
¶ 20 ���� �WebSEAL �� �� �����
¶ 20 ���� �WebSEAL � �� �����
¶ 21 ���� �WebSEAL �� � ���
webseald.conf �� �� ��webseald.conf �� ��� �� ���� ���� WebSEAL� ��� ���� �� ��� � ����. �� �� ����� ��
��.
UNIX:
/opt/pdweb/etc/
Windows:
C:\Program Files\Tivoli\PDWeb\etc\
�� � �� � ���� ��� ����.
�� ���
WEBSEAL GENERAL [server]
LDAP [ldap]
SSL [ssl]
JUNCTION [junction]
[filter-url]
[filter-schemes]
[script-filtering]
[gso-cache]
[ltpa-cache]
18 �� 3.8
�� ���
AUTHENTICATION [ba]
[forms]
[token]
[certificate]
[http-headers]
[auth-headers]
[ipaddr]
[authentication-levels]
[mpa]
[cdsso]
[cdsso-peers]
[failover]
[e-community-sso]
[inter-domain-keys]
[authentication-mechanisms]
[ssl-qop]
[ssl-qop-mgmt-hosts]
[ssl-qop-mgmt-networks]
[ssl-qop-mgmt-default]
SESSION [session]
CONTENT [content]
[acnt-mgt]
[cgi]
[cgi-types]
[cgi-environment-variable]
[content-index-icons]
[icons]
[content-cache]
[content-mime-types]
[content-encodings]
LOGGING [logging]
AUTHORIZATION API [aznapi-configuration]
[aznapi-entitlement-services]
POLICY DIRECTOR [policy-director]
19Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
229 ���� �webseald.conf ���� ������.
�: webseald.conf ��� ��� ���� WebSEAL� ����
� �� ���� ����� � ���. ��� �� 21 �
��� �WebSEAL �� � ���� ������.
WebSEAL ��� �� ����WebSEAL ���� �� �� �� ����� ��� ����.
UNIX:
/opt/pdweb/
Windows:
C:\Program Files\Tivoli\PDWeb\
Windows� Policy Director � �� � ��� ��� � ����.Policy Director� UNIX�� �� �� � ��� ��� � ���
�.
� ����� � �� ����� ��� � <install-path>
�� �����.
UNIX ���� �� � ��� ����� �� �� � �� �
� �� � ��� ��� �� ����.
/var/pdweb/
WebSEAL �� �� ����webseald.conf �� ��� server-root ���� ��� WebSEAL� �� ��� �����.
[server]server-root = /opt/pdweb/www
webseald.conf �� ��� ��� �� �� �� � � ��
���� ����.
20 �� 3.8
�: �� ����� � �� �� ��� ��� ���.
WebSEAL � � ��UNIX� ���� pdweb_start �� ���� Windows� ����
��� ���� ���� WebSEAL � ����� ���� ���
� ����.
UNIX:
pdweb_start {start|stop|restart|status}
�� ��, WebSEAL � � ��� � � ������ ��� �
�����.
# pdweb_start restart
pdweb_start � �� ����� ����.
/opt/pdweb/bin/
Windows:
��� ����� WebSEAL � ����� ���� ��� �� �
�� ������.
�� ���� ���� ���� WebSEAL � � � ��� � ���.
¶ 22 ���� �HTTP ��� �� WebSEAL ���
¶ 22 ���� �HTTPS ��� �� WebSEAL ���
¶ 23 ���� ��� SSL ������ �� ���
¶ 23 ���� �HTTP � HTTPS ��� ��� ���
¶ 24 ���� �HTTP/HTTPS ��� �� ��� ����
¶ 25 ���� ��� WebSEAL � ��� ����
21Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
HTTP ��� �� WebSEAL ��WebSEAL ���� ���� � ���� � HTTP ��� �
����. �� ��, �� � ����� �� ��� �� � �
��� � �� ��� ��� �� �����.
TCP� �� HTTP �� ��� �� ����
webseald.conf �� ��� [server] ���� ����.
HTTP ��� ��/�� ���WebSEAL �� � HTTP ��� �� �� �� ����� ��
��.
http = {yes|no}
HTTP ��� �� � ��HTTP ��� �� ��� 80���.
http-port = 80
�� 8080�� ���� �� �� �����.
http-port = 8080
HTTPS ��� �� WebSEAL ��SSL(HTTPS)� �� HTTP �� ��� �� ����
webseald.conf �� ��� [server] ���� ����.
HTTPS ��� ��/�� ���WebSEAL �� � HTTPS ��� �� �� �� ����� ��
��.
https = {yes|no}
HTTPS ��� �� � ��HTTPS ��� �� ��� 443���.
https-port = 443
�� 4343�� ���� �� �� �����.
https-port = 4343
22 �� 3.8
�� SSL ������ �� ��SSL � 2, SSL � 3 � TLS � 1� �� ���� �� ��
�� �� �� ����� � � ����. �� SSL � TLS ��
�� ��� ���� ���� webseald.conf �� ��� [ssl] �
��� ����. �����, �� SSL � TLS �� �����.
[ssl]disable-ssl-v2 = nodisable-ssl-v3 = nodisable-tls-v1 = no
HTTP � HTTPS �� ��� ���� ��� ���� �� � � ���� ��� � �� ��� �
��� �� �� �����. �� ��� ���� �� �� � ��
�� �� �� ��� ���� �� ��� ��� ���.
WebSEAL� ���� ��� ���� ���� � �� ��� ��
�� �� �� � ����. ��� ��� � � ���� ��� �
��� �� ���� ������.
� �� ���� �� �� �� �� ��� ��� ����. ��� ���� ����� ���� �� �� ���� ��� � �
� ��� �� ���� �����.
��� ��� ��� �� ���� � ������ ���� �
��� �� ����.
��� �� ���� ���� ��� ���� � ���� ��
��� �����. ��� ��� �� ���� � ��� ���
��� � � �� �� ��� ��� ���.
WebSEAL �� � ��� ��� ������ TCP, SSL ��
GSSAPI �� � ���� ����� ��� ���� �� ���
��� �� �������. ��� � ��� WebSEAL� �
� � ��� ���� ��� ��� ��� �� �� ��� � �
� ���.
23Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
webseald.conf �� ��� [server] ��� ��� worker-threads ���� ��� ��� ��� � ��� ��� � ����.
[server]worker-threads = 50
�: � ���� �� ��� ���� ��� �� ����.
HTTP/HTTPS ��� �� ���� ����WebSEAL SSL� IBM GSkit(Global Security Kit) ��� ���
��. WebSEAL� HTTPS ������� ��� � � GSKitSSL� �� ��� �� ���� �� ��� �������.
WebSEAL HTTP � HTTPS ��� � �� � ��� �
��� �����. �� ���� webseald.conf �� ���
[server] ���� ����.
¶ client-connect-timeout
�� �� ��� �� ���� � ���� �� HTTP ��
HTTPS ��� � WebSEAL� �� � ��� ���� �
����. ��� 120����.
[server]client-connect-timeout = 120
¶ persistent-con-timeout
� ���� HTTP/1.1(HTTP/1.0 ��) ���� ����.��� HTTP/1.1 �� � � � � � � ����
WebSEAL� HTTP/1.1 �� ��� �� ��� �� ��� �
��� �� ��(�)� �����. ��� 5����.
[server]persistent-con-timeout = 5
24 �� 3.8
�� WebSEAL �� ���� ������ � �� ��� ���� webseald.conf �� ����
����.
��� �� ���(�)
[junction] http-timeout TCP junction� � ��� �
� ���� ��� � ��
���� ��� �
120
[junction] https-timeout SSL junction� � ��� �
� ���� ��� � ��
���� ��� �
120
[cgi] cgi-timeout � CGI ����� ����
CGI ���� ���� ��
� �
120
�� 10. HTTP � HTTPS ��� �� ��� ���
25Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
��� �� ���(�)
[junction] ping-time WebSEAL � ��� ��
�� � � junction � �
��� ���� Ping� ��
���. WebSEAL 300���
� � �� ���� ����
(�� � �� ���).
300
� �� ���� ���� � ��� ��� � ��� ���� � ���.
¶ �� �� ��� �� �����
¶ 28 ���� ����� �� ���
¶ 29 ���� �Windows: CGI ����� �� �� � �� �
��
¶ 30 ���� �� �� �� ���
� �� ��� �� ����� �� �� ��� WebSEAL�� ���� ��� �� �� ��
��� �� �����. � �� � webseald.conf �� ���
[content] ����� doc-root ���� � ����. WebSEAL� � �� �� �� ��� �� ����.
UNIX:
doc-root = /opt/pdweb/www/docs
Windows:
doc-root = C:\Program Files\Tivoli\PDWeb\www\docs
� � ���� WebSEAL� ��� � � �� �����. �
� �� � junction ������� ����. webseald.conf� �
� � �� � ������ ��� ����.
26 �� 3.8
� �� pdadmin ����� ���� �� �� ���� �� �
� �� ���. �� ��(� � websealA�)��� � �
�� � ���.
1. pdadmin�� �������.
# pdadminpdadmin> loginEnter User ID: sec_masterEnter Password:pdadmin>
2. server task list �� ���� ��� �� junction ����
�����.
pdadmin> server task websealA list/
3. server task show �� ���� junction� ����� ��
���.
pdadmin> server task websealA show /Junction point: /Type: LocalJunction hard limit: 0 - using global valueJunction soft limit: 0 - using global valueActive worker threads: 0Root Directory: /opt/pdweb/www/docs
4. �� junction ���� ��� � � junction� ������. (�
junction� ��� �� junction �� � ��� -f ��� ���
��.)
pdadmin> server task websealA create -t local -f -d /tmp/docs /Created junction at /
5. �� junction ���� ������.
pdadmin> server task websealA list/
6. � junction� ����� �����.
pdadmin> server task websealA show /Junction point: /Type: Local
27Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
Junction hard limit: 0 - using global valueJunction soft limit: 0 - using global valueActive worker threads: 0Root Directory: /tmp/docs
���� �� ����� URL ��� ���� ��� � � WebSEAL� � �
��� �� ��� �� ��� � ����. � �� ��� ���
WebSEAL ��� ����� �����. ��� ��� WebSEAL� ���� ���� ��� ���� ��� ����� �����.
���� �� �� ��� �� ���� webseald.conf �� ��
� [content] ���� ����.
�� ��� ��� �� ����.
[content]directory-index = index.html
����� ���� ��� �� ���� � �� �� �� � �
���. �� ��, �� ����.
[content]directory-index = homepage.html
��� ����� directory-index ���� ��� �� ��� �
� �� ��� WebSEAL� ���� ���� ��� �����. �
� ���� ����� � ��� �� � �� ���� �� �
�� �� ����. ����� �� ��� ���� �����
� ����� �� ACL�� “list”(l) ��� ��� �� ����
��� �����.
�� ��� �� � �� ��� � WebSEAL�� ���� �
� ��� ���� ��� � ����. webseald.conf �� ���
[content-index-icons] ����� �� MIME �� � ��� �
.gif ��� ��� �� ����.
[content-index-icons]image/*= /icons/image2.gifvideo/* = /icons/movie.gifaudio/* = /icons/sound2.gif
28 �� 3.8
text/html = /icons/generic.giftext/* = /icons/text.gifapplication/x-tar = /icons/tar.gifapplication/* = /icons/binary.gif
� ��� ���� � MIME ��� �� ���� ��� � ���
�. ���� ��� ��� ��� �� ����. �� ��, �� �
���.
application/* = http://www.acme.com/icons/binary.gif
��� �� ��� �� ��� �� ����.
¶ ������� ���� � ���� ���
[icons]diricon = /icons/folder2.gif
¶ �� ����� ���� � ���� ���
[icons]backicon = /icons/back.gif
¶ � �� �� ��� ���� � ���� ���
[icons]unknownicon = /icons/unknown.gif
Windows: CGI ����� �� �� �� �� ��webseald.conf �� ��� [cgi-types] ���� �� ���� �
��� CGI ������ ���� ��� Windows �� �� �
�� ��� � ����.
UNIX � ���� �� � �� ����� ����. ���
Windows � ��� ���� �� �� ��� ��� ���.[cgi-types] ���� ��� �� �� ��� ���� (��� �
�) � ��� ��� CGI ����� �����.
[cgi-types]<extension> = <cgi-program>
�����, ���� ���� �� ��� �� ���� ���
CGI ������ ����. CGI ����� ��� ���� ��
� ��� ��� ��� ���� ��� ����.
29Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
��� .exe� �� Windows�� ������ ���� ���
���� ����.
�: ���� � Windows� .exe ��� ���� � � �
�� �� ���� ��� ����� ��(�: .zip)� �
� ���.
� ���� ��� ���� ��� � ��� �� ���
�� ��� ���. �� ��� ���� ����(.sh � .ksh), PERL ����(.pl) � Tcl ����(.tcl) �� ����.
�� ��� � [cgi-types] ��� �����.
[cgi-types]bat = cmdcmd = cmdpl = perlsh = shtcl = tclsh76
�: .bat � .cmd �� ���� �� � ��� ��� ���
�. ��� ��� ��� ������.
� �� �� ����� � �� �� �� ��� ����� ���� �� ���
� �� ��� ��� ���� �� ��� �� ����. ���
�� ��� WebSEAL � � junction ��� � �� ��
�� ����� ��� ���� ��� �����.
� �� �� ��� ���� ����� ���� � �� ���
WebSEAL � � ���� �� � ���� . �����
WebSEAL � �� �� ��� �� ��� ���� �� �
�� �� ���� ���.
�� ��� �� ��� �� � ��� ���� ��� � ���
�. ������ �� � �� ���� �� ��� ��� �
����.
30 �� 3.8
� �� �� junction� �� ��� � � ��� WebSEAL��
� � ��� ���� ���� �����.
�� MIME ��� ��� �� �����. � �� ��� ��
WebSEAL� ��� � �� � �� ���� ������.
¶ �� MIME ��
¶ ��� ��
¶ ��� ��
webseald.conf �� ��� [content-cache] ���� � �� ��
� ������. �� ��� �����.
<mime-type> = <cache-type>:<cache-size>
��� ��
mime-type HTTP “Content-Type:” � ��� �� ���
MIME ��� ����. � � ����( * )� �
�� � ����. */*� � ���� �� ��� �
��� �� �� �� �� ��� �� �� � ���
����.
cache-type ��� ��� ���� ��� �����. � Policy
Director ���� “���” ���� �����.
cache-size “�� �� ��” ��� �� �� �� ���� �
� ��� ��� �� � �� �� ��(����� ��)
� �����.
��:text/html = memory:2000image/* = memory:5000*/* = memory:1000
� �� �� ��� �� ��� ����.
¶ ��� �� ���� ��� ���
¶ ���� ��� ���� ��
31Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
¶ �� ��� ���� ���� �� �� ��� ���� �
� ��� ���� ��
¶ �� �� ��� �� �� ���� �� ���
�� �� ��pdadmin ����� ���� �� �� ��� ��� � ����.����� ���� �� ��� ��� �� ����.
pdadmin� ���� �� Policy Director �� sec_master� �
���� ���� ���.
�� � �� ��� ����� �� �� ������.
UNIX:
# pdadmin server task <server-name> cache flush all
Windows:
MSDOS> pdadmin server task <server-name> cache flush all
�� ��pdadmin ����� ���� ��� �� ���� �� �� ���
��� � ����. �� ��� ��� ���� �� ��� ��,� ��� � ���� ��� �� �����.
pdadmin� ���� �� Policy Director �� sec_master� �
���� ���� ���.
��� �� ���� �� ��� ��� �� �� ������.
UNIX:
# pdadmin server task <server-name> cache stat
Windows:
MSDOS> pdadmin server task <server-name> cache stat
32 �� 3.8
HTTP �� ��� ��WebSEAL � � ��� � ���� ����� ����� �
�� ����. ��� � �� �� ��� � ����. �� �
�, �� ����.
¶ ��� ��
¶ �� �� ��� ���
¶ ���� � UNIX �� ���� ��� ��� � CGI ��
��� �� � ��
��� �� ��� ��� �� � � HTML � ���� “403Forbidden” � � ���� ����� �����. � �� �
���� ��� � � ���� ��� HTML ��� ����.
� �� �� ����� ��� ����.
UNIX: <install-path>/www/lib/errors/<locale-dir>
Windows: <install-path>\www\lib\errors/<locale-dir>
errors ������ � ��� ��� �� �� ���� ��
�� �� ��� ������� ����.
�� ��, �� �� ���� �� ���� ��� �� ����.
UNIX: <install-path>/www/lib/errors/en_US
Windows: <install-path>\www\lib\errors/en_US
� ����� ���� HTML ���� �� ���� ����� �
�� �����. �� HTML ���� ���� ��� ���� �
� ��� � ����. ��� � ��� �� ���� ��
� �� 16� ����. � �� �� ��� ���.
33Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
�� �� �� �� ���� �� � ���� �� �� �
��� ��� �� ����.
� �� �� �� HTTP �
� ��
132120c8.html ��� � �� ���� ���� ����
� ��� � ����. ��� ��
� �� ����.
¶ ���� ���� � ����
��
¶ ���� ���
¶ ���� ��� �� �����
��� ���
1354a2fa.html �� �� �
����
�� ���� �� �� � ��
��� ��� �����. � ��
�� �����.
1898d259.html ���� �� ��
� ��
�� ��� WebSEAL � � ��
� � � ���� �� ��� ��
�����. ��� WebSEAL� ��
� ����� ���� � ����
������.
1898d25a.html ����� ��
�� � ��� ��
WebSEAL� GSO ������ ��
��� � � ����.
1898d25b.html ���� �� ��
�� � ��� ��
WebSEAL� GSO ���� ��
��� � � ����.
1898d25c.html ���� � ��
�� � ��� ��
�� ��� � �� GSO ���
�������. �� �� ���
��.
1898d25d.html ��� ��� �� ��� junction ��� � �
� � ���� ����
WebSEAL � � � � ����
�� ���� ���. �� � ��
�� � WebSEAL� ���� �
��.
34 �� 3.8
� �� �� �� HTTP �
� ��
1898d25e.html ���� �� ��
� ��
�� ��� WebSEAL� �� �
� � ���� �� ��� �� �
����. ��� ��� ��� ��
�� � ��� �������.
1898d25f.html ��� � ��
��
WebSEAL� junction ��� � �
��� ��� � �� ���
����.
1898d421.html ��� ��� �� �� ����� �����
�. �� �� �� ���� �� �
���� � �����.
302
1898d424.html �� �� WebSEAL� ���� � HTTP �
�� ����.
400
1898d425.html ��� ��� �� ��� WebSEAL� � �
� ��� ��� ��� ����
� � ���� ���.
1898d427.html ��� ���� �� ��� ���� �
�� ��� �� ����.
403
1898d428.html � � �� �� ��� � � ����. 404
1898d432.html ���� ��� �
��
�� ��� � WebSEAL� ���
���� �� ��� � ����.
503
1898d437.html � � ����� WebSEAL � � ��� ��� �
���������. � � ��
� � ���� ����� ���
��� ��� ��� � ����.
1898d439.html �� ��� �� ����/� ��� junction ��
� � � �� ��� ��
stateful �������. WebSEAL
� � � ��� ���� ����
��� ��� �� �����.
1898d442.html ���� ��� �
��
WebSEAL�� ���� ����
SSL �� ��� � junction �
�� � � �����.
35Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
� �� �� �� HTTP �
� ��
1898d7aa.html CGI ����� CGI ����� ��� ��� ��
���.
default.html � � WebSEAL ��� � �� �
��� ��� � ����.
500
deletesuccess.html �� ����� DELETE ��� ���
�� �������.
200
putsuccess.html �� ����� PUT ��� �����
�������.
200
relocated.html ����� ��� �� �� ����� �����
�.
302
websealerror.html 400 WebSEAL �
�
WebSEAL � �� ����. 400
��� ���� ��� �� HTML � ���� ���� �� ���� �
�� � ���� ��� � ����. ���� �� ��� ��
� ��� ���� �����.
��� ��
%ERROR_CODE% � �� �� �
%ERROR_TEXT% ��� ������ � � � ���
%METHOD% ����� ��� HTTP ���
%URL% ����� ��� URL
%HOSTNAME% ��� ��� �
%HTTP_BASE% � � �� HTTP URL “http://<host>:<tcpport>/”�
%HTTPS_BASE% � � �� HTTPS URL “https://<host>:<sslport>/”�
%REFERER% ������� �� � � �� “Unknown”(�� ��)
%BACK_URL% ������� �� � � �� “/”(�� ��)
%BACK_NAME% ��� �� �� ��� � “BACK”��� ��� � “HOME”
36 �� 3.8
��� �� HTML ��� ��Policy Director� ��� �� ���� ����� ��� �� ��
� ����� ���� �� ��� � �� � HTML ��� ��
�� ����. ���� ��� HTTP �� HTTPS� �� ��, �
� � BA ��� �����.
�� ��� �� ��� webseald.conf �� ��� [acnt-mgt] �
��� �� mgt-pages-root ���� � �����.
mgt-pages-root = lib/html/<lang-dir>
� ���� ����� �� ��� ��� ���. �� �� �
� ����� �� ����.
lib/html/C
��� ��� �� �� ��� ����.
lib/html/JP
��� �� ��� ���� � ���� ��� HTML ��� ��� � � webseald.conf ��
��� [acnt-mgt] ���� ����. �� ���� ���� �� �
�� �� ��� ���� ��� �����.
��� ��� ���
login = login.html �� ���
logout = logout.html �� ���
account-locked = acct_locked.html �� ���
passwd-expired = passwd_exp.html �� ���
passwd-change = passwd.html �� ���
passwd-change-success = passwd_rep.html �� ���
passwd-change-failure = passwd.html �� ���
help = help.html �� ���
token-login = tokenlogin.html �� ���
next-token = nexttoken.html �� ���
stepup-login = stepuplogin.html step-up ��
37Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
��� �� HTML ��� ��
�� ��
login.html ��� � � ��� �� �� ��
logout.html ���� �� ��� ���
acct_locked.html �� ���� � ��� ��� �� �� ��� ���
passwd_exp.html �� ���� � ��� ��� �� �� ��� ���
passwd.html �� � ��. �� � ��� � ��
passwd_rep.html �� � ��� ���� �� ��� ���
help.html ��� � ���� �� �� �� �� ���
tokenlogin.html �� ��� ��
nexttoken.html �� �� ��
stepuplogin.html step-up �� ��� ��
�� ������ � �� ���� ��� � ����. ��� ��
� ���� ���� ��� ��� � ����. ���� ��� �
� ���� �����.
��� ��
%USERNAME% ���� ���� �
%ERROR% Policy Director�� �� �� �� � �
��
����� � ��� ��� ��� ���� SSL� �� ��� ���� ���� � � � ��
���� ����� WebSEAL� ��� � ��� � � �� �
��� � ���.
WebSEAL �� ���� ���� �����.
38 �� 3.8
¶ WebSEAL� � � ���� ���� SSL ����� � �
�� ���� ��
¶ WebSEAL� ����� ���� ���� junction ��� �
(�� ��� � ���)� � ��� ���� ��
¶ WebSEAL� CA(Certificate Authority) �� ���� �����
�� ���� ����� ���� ����� ���� �
� ���� ���.
¶ WebSEAL CA(Certificate Authority) �� ���� �����
�� ���� �� ��� � �� , junction ��� � � �
���� ��
WebSEAL SSL� IBM GSKit(Global Security Kit) ��� ���
� �� ���� ���� ����. GSKit iKeyman ����
� ���� �� ��� WebSEAL � /���� ��� � CA �
� ���� ���� �� ��� ������� ��� ��
��.
WebSEAL �� ���� �� SSL ��� ���� � ��
�� ����� �����.
¶ �� ������(pdsrv.kdb)
¶ �� ������ �� ��(pdsrv.sth) � ��(“pdsrv”)
¶ � �� �� CA �� ���
¶ WebSEAL� SSL ����� � ��� ���� � ��� �
�� �� � ��� ���
� ��� ���� ��� � �� CA(Certificate Authority)��� ���� ���� ���� ���� �� ����.
WebSEAL ��� ��� �� ���� ��� �����.
¶ 41 ���� �WebSEAL� �� ������ ��� ���
¶ 43 ���� �iKeyman ��� � ���� ���
39Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
¶ 44 ���� �CRL �� ���
GSKit � ������ �� ��� �� ��IBM Key Management ��(iKeyman)� �� � �� �� �
� �� ��� �����.
CMS ������� ��� .kdb� �� � � ��� �� �
��� �����. .kdb �� � ������� ��� � ��
���. .kdb ��� �� ��� �� ������ ��� �
� ��� ��� ���� � ����.
.rdb � .crl �� � ��� ��� ��� � �����. CA �
�� �� ������ .rdb ��� �����.
� ��
.kdb “ ������” ��. Personal Certificates, Personal Certificates
�� � Singner Certificates� ����. �� ��, ��
WebSEAL ������ �� pdsrv.kdb���.
.sth “��” ��. ������ ��� ��� �� ����. �
��� �� � � .kdb �� �����.
.rdb “��” ������ ��. .kdb ������ ��� ��� �
���� �����. � ��� �� � � .kdb �� �
����. � ���� �� ��� �� � �� CA��� ��
� � ��� ��� �� ����. CA��� ���� ����
.rdb ���� ���� ��� ��� ��� �����(�� �
����). ����� ��� ���� � �� � ��� ��
� .rdb ���� �����. ����� ��� ���� ���
��� �����. ��� ���� �� �, ��, �� � ��
� �� �� ��� �� � �� � �� �� �
� ����.
.crl “��� �� ��” ��. � ���� �� �� ��� � ��
���� ��� �� ����. ��� iKeyman ��� ��
�� ��� ���� ���� � ��� �� ����.
40 �� 3.8
� ��
.arm ASCII �� ���� ��. .arm ���� �� � ����(�
� � ��) ���� Base-64 �� ASCII �� �� ���
�. ��� ���� ��� ���� ASCII �� ����. �
��� .arm ��� ���� �� iKeyman� ASCII �� �
��� ��� .kdb ��� ���� �� �����. ����
�, ���� .kdb ����� ��� ��� iKeyman� �����
� ASCII� ���� ��� �� .arm ��� �����. .arm
��� ASCII ���� ��� �� ���� � CA� ����.
�: �� ��� Base64 �� ��� �� .arm� �� �� ��
� �� ���� ��� � ����.
.der “�� � �” ��. .der ���� �� � ����(��
� ��) ���� ���� �� �� ����. � �� ASCII
� ��� ���� �� �� ���� .arm �� �� ���
��.
.p12 “PKCS 12” ��. ��� PKCS� “Public-Key Cryptography
Standards”� �����. .p12 ���� �� � �� � � �
���� ���� ���� �� �� ����. .p12 ���� �
� ��, ���, ���� ��� CA� ���, CA ���� ��
� � ���� ��� � �� � � ��� ���� �� ��
�� ����. .p12 ���� �� � �� ���� ��� ��
���.
WebSEAL� �� � ������ ���� ��WebSEAL ��� � �:
��, WebSEAL �� ��� ������� �����.webseald.conf �� ��� [ssl] ���� �� webseal-cert-keyfile���� � ��� � ��� �����.
[ssl]webseal-cert-keyfile = /var/pdweb/www/certs/pdsrv.kdb
iKeyman ����� ���� �� ������� ��� � �
���. ��� ��� �� ��� � ��� webseal-cert-
41Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
keyfile ���� ���� WebSEAL� � ������� ��
���� �� ��� � ����.
��� � � ��:
��, WebSEAL pdsrv.kdb ��� �� ��� ���� �
� �� ��� �����. webseal-cert-keyfile-stash ����
WebSEAL� �� ��� ��� � ���.
webseal-cert-keyfile-stash = /var/pdweb/www/certs/pdsrv.sth
� �� ��� �� �� ��� “pdsrv”���. ���
webseal-cert-keyfile-pwd ���� � ���� �� � ���
�. �� ��, �� ����.
webseal-cert-keyfile-pwd = pdsrv
��, WebSEAL �� ��� ���� �� ��� ����.webseal-cert-keyfile-pwd� ��� ����. �� ��� ����
webseald.conf �� ��� �� ��� ���� ��� �� �
� � ����.
�: ����� �� �� ���� �� ��� �����. �� �
�� ��� �� ���� �� �� �����.
WebSEAL ��� ���:
��, WebSEAL �� � �� ��� ���� �����.� � ��� ��� �� ��� ���� SSL ����� �
WebSEAL� ��� � �� ���.
� ��� ���� ���� �� � ���� � � ���� ��
����� ��� ����. ��, webseal-cert-keyfile-label ��
�� ���� �� � � ���� ���� �� �������
� “���”�� �� �� ���� �����.
webseal-cert-keyfile-label = WebSEAL
42 �� 3.8
��� ���� WebSEAL� SSL �� ����� ��� �� �
��� ����� ��� �� ����. (������ ��� �� CA���� ���� �� ����.) �� ���� �� �� � ��
WebSEAL ��� ����� � ���� ��� � ��� ���
�� ����.
iKeyman ����� ���� CA(Certificate Authority)� ����
��� ��� ������. iKeyman� ���� �� � ���
� ��� ��� ����.
�� ����(�: -K junction)��� �� ���� ���� ���
� iKeyman ����� ���� ��� ���� �� � ��� �
��� �� � ����. �� ��� ��� ���� ��
�.
WebSEAL(�����, user ivmgr� ��) � ������ �
�� � � ��� ��� ��� ���.
�� 253 ���� �iKeyman�� �� ��� ������.
�� Policy Director �� SSL ��:
webseald.conf �� ��� [ssl] ����� �� Policy Director �
� �� SSL ��� � WebSEAL� ���� ��� ��
�� � ���� � �� �� ���� �� ����. � ���
� pdconfig �� ����� ��� ��� ���.
[ssl]ssl-keyfile =ssl-keyfile-pwd =ssl-keyfile-stash =ssl-keyfile-label =
iKeyman ��� �� ���� ��iKeyman ����� GSKit �� ���� ���� WebSEAL� �
��� �� ���� ��� � ��� � ����. iKeyman����� ��� ������.
¶ �� ��� ������ ��
43Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
¶ ������ �� �
¶ �� WebSEAL ��� ��
¶ �� �� WebSEAL ��� ��
¶ ���� �� �� � �� ��
¶ CA �� ��� �� � �
¶ ������� �� �� � �������� �� ��
¶ ��� �������� �� ������� �� ��
� ��� ��� � iKeyman� ���� �� �� ��� ��
253 ���� �iKeyman�� �� ��� ������.
CRL � ��CRL(Certificate Revocation List) �� �� ��� ��� ���
�� ������. CRL ���� �� ��� ��� �����.WebSEAL� ���� SSL� GSKit �� CRL ��� �����.GSKit WebSEAL� ����� ���� CRL ��� ����
SSL junction���� ��� � ��� ���.
WebSEAL CRL ��� ���� � � ��� ��� �� �
��. ��� ���� � CRL ��� ��� ��� � ��
LDAP � � �� ���� webseald.conf �� ��� [ssl] �
��� ����.
[ssl]#ssl-ldap-server = <server-name>#ssl-ldap-server-port = <port-id>#ssl-ldap-user = <webseal-admin-name>#ssl-ldap-user-password = <admin-password>
�����, CRL �� ��� � ����(���� ��� ��).��� ���� � CRL ��� ����� � ���� ���
��� ��� �� ������.
ssl-ldap-user� �� �� SSL �� ���� �� �����
LDAP � � ������ ��� �� �����.
44 �� 3.8
�� QOP(Quality of Protection) �� ��QOP(Quality Of Protection)� ���� SSL(HTTPS)� �
WebSEAL� ���� � ��� �� ��� �� ��� � �
���. �� QOP �� webseald.conf �� ��� “SSLQUALITY OF PROTECTION MANAGEMENT” ���� ���
� ���� �����.
¶ ssl-qop-mgmt ���� QOP � �� � �� ���
¶ [ssl-qop-mgmt-default] ����� ��� ��� � ��
1. QOP � ��:
[ssl-qop]ssl-qop-mgmt = yes
2. HTTPS ��� �� �� ��� � ��:
[ssl-qop-mgmt-default]# default = ALL | NONE | <cipher-level># ALL (enables all ciphers)# NONE (disables all ciphers and uses an MD5 MAC check sum)# DES-40# DES-56# DES-168# RC2-40# RC2-128# RC4-40# RC4-128default = ALL
�� �� ��� ��� �� ����.
[ssl-qop-mgmt-default]default = RC4-128default = RC2-128default = DES-168
�� ��� � ����� �� QOP ��ssl-qop-mgmt = yes ��� �� [ssl-qop-mgmt-hosts] �
[ssl-qop-mgmt-networks] ���� ���� �� �����. ��
���� �� ���/����/����� IP ��� QOP �� �
���.
45Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
[ssl-qop-mgmt-default] ���� [ssl-qop-mgmt-hosts] �
[ssl-qop-mgmt-networks] ����� ���� �� �� IP ��� �
��� ��� �����.
���� �� �� �� ��:
[ssl-qop-mgmt-hosts]# <host-ip> = ALL | NONE | <cipher-level># ALL (enables all ciphers)# NONE (disables all ciphers and uses an MD5 MAC check sum)# DES-40# DES-56# DES-168# RC2-40# RC2-128# RC4-40# RC4-128xxx.xxx.xxx.xxx = ALLyyy.yyy.yyy.yyy = RC2-128
����/������ �� �� �� ��:
[ssl-qop-mgmt-networks]# <network/netmask> = ALL | NONE | <cipher-level># ALL (enables all ciphers)# NONE (disables all ciphers and uses an MD5 MAC check sum)# DES-40# DES-56# DES-168# RC2-40# RC2-128# RC4-40# RC4-128xxx.xxx.xxx.xxx/255.255.255.0 = RC4-128yyy.yyy.yyy.yyy/255.255.0.0 = DES-56
[ssl-qop-mgmt-hosts] � [ssl-qop-mgmt-networks] ���� ���
�� ��� �����. Policy Director 3.8 ����� ���� �
� �� ����.
46 �� 3.8
�� ������ �� � �� ��Management Server� ��� �� policy ������ � ���
� �� �� Policy Director � � �� �� �� ��� ���
�. Policy Director ��� ���� � ���� �� � policy� �� � ����. Management Server� � policy ����
��� ��� ��� �� ������� ��� ��� ����.
Management Server� ��� �� ������ �� �� policy �
��(WebSEAL �)� ���� � ���� �� ��� ���
���� ��� ���� �� ��� �� � ����. �� ��
policy ���� ��� �� ��������� � ������ �
�� ��� ���.
�� �� � policy ����� WebSEAL�� �� ������
�� � ��� ���� � �� ��� ����.
¶ Management Server���� �� �� ��(�� ����, ���
�� ���)
¶ ���� ���� ��� �� ������ ��( )(�� ���
�, ����� �� ����)
¶ �� � � � ��
webseald.conf �� ��� [aznapi-configuration] ����� ��
�� �� � ������ ��� �� ���� �� ����.
WebSEAL� �� ��� �� policy ������� ��� db-file ���� �����.
[aznapi-configuration]db-file = /var/pdweb/db/webseald.db
� �� �� ��listen-flags ���� WebSEAL� �� �� �� ��� �� �
�� ����� ���. ��� ��� ���� ����. ��� �
� ����� ��� “disable”� ������.
47Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
[aznapi-configuration]listen-flags = enable
tcp-port ���� ���� �� TCP ��� �����.
[aznapi-configuration]tcp-port = 12056
udp-port ���� ���� �� TCP ��� �����.
[aznapi-configuration]udp-port = 0
�� ������ �� ���� ��� � ����� ��� �� ������� ���
WebSEAL� ��� � ����. cache-refresh-interval ����
“default”, “disable” �� � ��� �� �� ���� �� � �
���. “default” � 600�� ����. �����, � ��
� � ����.
[aznapi-configuration]cache-refresh-interval = disable
����� WebSEAL �� ��
�: �� ��� Policy Director� �� ��� �� �� pdadminserver modify baseurl �� ����.
��� �� ����� ���� WebSEAL � � ���� �
�� ��� � failover ��� ���� �� ����. ����
WebSEAL � � ���� � � �� � ��, junction �����
� � dynurl ������� ��� ��� ����� ���.
� �� Policy Director� �� �� ��� ��� ����
WebSEAL � � ��� �����. pdadmin � �� � �
��� ���� ����.
�� ���� “WS1” �� WebSEAL � � ��� ���,“WS2”� ��� WebSEAL � � ��� ����.
48 �� 3.8
1. WS1 � � WS2 � �� WebSEAL� ��� ������.
2. WS2�� WebSEAL� ������.
3. WS2�� webseald.conf �� ��� server-name ��� �
� “WS2”�� “WS1”� �����.
[server]server-name = WS1
4. WS2�� WebSEAL� �������.
WS2 � � �� �� ��� �� ��� /WebSEAL/WS1 �� �
� �����. WS2 � �� /WebSEAL/WS1 �� ���� ��
�� �� object list � object show �� � �� � ���
�.
pdadmin ����� �� /WebSEAL/WS2 �� �� �� � ��
� ���� �����, ��� ���� ��� � ����.
pdadmin> object delete /WebSEAL/WS2
�� �� ����.
¶ �� �� � �� �: ��� �� �� � �� ��� �
� ����� �� �� WebSEAL � � � �� � ��
��� ���� � �� ��� �� �� � � ���
�� �� � ����.
¶ �� �� ��: WS2 � � WS1 � � ������ ���
� WS2 � � /WebSEAL/WS1� �� ��� �� ��� ��
���.
¶ �� ��: ���� WebSEAL ��� ��� ���� �
�� � ��, junction ������ � dynurl ������ ��
� � � �� ��� ���.
49Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
�� HTTP �� ��WebSEAL ���� ��� ��� ���� � �� ��� HTTP�� ��� �������.
¶ request.log
¶ agent.log
¶ referer.log
�����, �� �� �� ������ �������.
UNIX: /var/pdweb/www/log/
Windows: C:\Program Files\Tivoli\PDWeb\www\log\
HTTP �� ��� �� ���� webseald.conf �� ���
[logging] ���� ����.
�� � HTTP �� �� �� �� ��� �� ����.
�� � �� ��� ��/�� ��� ���
(= yes �� no)
request.log requests-file ��
referer.log referers-file ���
agent.log agents-file ����
�� ��, request.log ��� �� ��� �� �� �� ��
�����.
UNIX:
requests-file = /var/pdweb/www/log/request.log
Windows:
requests-file = \Program Files\Tivoli\PDWeb\www\log\request.log
50 �� 3.8
HTTP �� �� �� � �� ��������, �� HTTP �� �� �����.
[logging]requests = yesreferers = yesagents = yes
� ��� �� �� ����� ����� �� ���� � ���
�. �� ���� “no”� ��� ��� �� � ��� �
��� � ����.
���� �� ���� ��� �� ���� �(GMT)� �� ����� � ��
� ����� ��� � ����. �����, �� ���� ��
�� �����.
[logging]gmt-time = no
GMT ����� ����� �� �� �����.
gmt-time = yes
�� �� �� ��� ��max-size ���� � HTTP �� ��� �� ��� ����, �
��(���) �� ����.
[logging]max-size = 2000000
�� ��� �� �(�� ����� ��)� ���� ��� �
� �� � ����� �� � �� ��� �����. �� �� �� ��� �����.
�� ��� �� max-size �� ��� �� ����.
¶ max-size �� 0�� � ��(< 0), �� �� ��� ���
�� ���� ���� ���� ��� ��� ��� ����
��� 24���� � �� �����.
51Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
¶ max-size �� 0� ��(= 0), �� � ���� �� �� ��
���� �����. �� ��� �� ��� ���� ��
���� �����.
¶ max-size �� 0�� � ��(> 0), �� ��� �� ����
���� �� � �����. ��� � �� �� ��� ���
���� �� ���� �����.
�� �� � ��� �� � ���� �� ��� ���� �����. ���� �� ��
� ��� � ��, � � �� �� � ��� � ��� ��
���� � � ����.
�����, �� �� 20�� � �� �����.
[logging]flush-time = 20
��� ��� ���� �� ��� �� � �����.
request.log� ���� �� �� ��WebSEAL ��� junction ������ � ��� �� HTMLURL� ���� �����. webseald.conf �� ��� [filter-url]���� ��� � ���� ��� WebSEAL� ���� URL �
�� �����. ��� �� 179 ���� �Junction � �� �
� HTML URL �� �� ������.
��� junction � ��� �� � ��� � URL� ���
� �� ��, WebSEAL �� �� junction ���� ���� URL���� �����. ����� ���� ����� ����� URL� ��� � ����.
���� ����� �� ���� �� �� ��� junction �
�� WebSEAL� �� �� ���� �� � ����.
� �� Policy Director WebSEAL� ���� request.log ��
� � ���� �� ��� ��� � ����(�� ��). ��
52 �� 3.8
��� ��� ���� � ��� ��� ����� webseald.conf�� ��� [logging] ���� �� log-filtered-pages ����
�� � ����.
���� � ��� ��� ����� ���� “yes”(���)�
�����.
[logging]log-filtered-pages = yes
�� ��� ��� ����� ���� “no”� �����.
[logging]log-filtered-pages = no
HTTP �� �� ��(request.log)Policy Director � � �� �� �� �(�� �� )� ��
� HTTP �� �� ��� ���� request.log ��� � �� �
��� �����.
host - authuser [date] request status bytes
���,
host ���� ��� IP ��� �����.
authuser � ��� �� HTTP ��� From: � �� �
���. “unauth”� � ���� � ����� �
����.
date ��� � � ��� �����.
request ������� � ��� ��� �� �����.
status ���� ��� �� �� HTTP �� �� ��
���.
bytes ���� ��� �� �� ��� �� �����.� � ���� � �� ���� �� ����
log-filtered-pages ���� �����.
53Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
request.log �� ��request.log� �� URL� �� �� �� � ��� �� �
���� �� ��(�: IP ��) � HTTP ��� ��� �
����.
�� ��� request.log ��� � ����.
130.105.1.90 - - [26/Aug/2001:17:23:33 -0800]"GET /xsmith/private_html/ HTTP/1.0" 403 77
130.105.1.90 - - [26/Aug/2001:17:23:47 -0800]”GET /icons HTTP/1.0" 302 93
130.105.1.90 - - [26/Aug/2001:17:23:59 -0800]"GET /icons/ HTTP/1.0" 403 77
130.105.1.90 - - [26/Aug/2001:17:24:04 -0800]"GET /xsmith/private_html/ HTTP/1.0" 403 77
130.105.1.90 - - [26/Aug/2001:17:24:11 -0800]"GET /xsmith/ HTTP/1.0" 403 77
agent.log �� ��agent.log �� HTTP ��� �� User_Agent: �� ��� �
����. � ��� � ��� � ��� � �� � ���
� ����� �� ��� �����.
�� ��� agent.log ��� � ����.
Mozilla/4.01 [en] (WinNT; U)Mozilla/4.01 [en] (WinNT; U)Mozilla/4.01 [en] (WinNT; U)Mozilla/4.01 [en] (WinNT; U)
referer.log ��referer.log� HTTP ��� Referer: �� �����. � ���
� � ��� �� ��� �� �� �� ��� �����.
� ��� ��� ��� �����.
referer -> object
� ��� � ���� ��� �� �� �� ���� � ����
�. � ��� referer� � ��� ��� object� �� �� �
����� �����. � ��� �� �� ���� ���� �
�� �� �� �� �� ���� � ��� ���.
54 �� 3.8
�� ��� referer.log ��� � ����.
http://manuel/maybam/index.html -> /pics/tivoli_logo.gifhttp://manuel/maybam/pddl/index.html ->/pics/tivoli_logo.gifhttp://manuel/maybam/ -> /pddl/index.htmlhttp://manuel/maybam/ -> /pddl/index.htmlhttp://manuel/maybam/pddl/index.html ->/pics/tivoli_logo.gifhttp://manuel/maybam/ -> /pddl/index.html
55Tivoli SecureWay Policy Director WebSEAL �� ���
2.W
ebS
EA
L�
��
�
56 �� 3.8
WebSEAL �� policy
� ��� WebSEAL � policy� ���� ���� �� ��� �
�� ��� � �� ��� ���� ����.
�� �� �� ����.
¶ �WebSEAL �� ACL policy�
¶ 59 ���� �3 ����� ��� policy�
¶ 61 ���� ��� �� policy�
¶ 65 ���� ��� �� POP policy(step-up)�
¶ 72 ���� ����� � �� POP policy�
¶ 75 ���� �QOP(Qualtiy of Protection) POP policy�
¶ 76 ���� ����� � ��� ��(HTTP/HTTPS)�
WebSEAL �� ACL policy��� � ����� �� �� � �� � /WebSEAL ����
� �����.
¶ WebSEAL �� �� �� � ��� WebSEAL region� ��
ACL ��� ��� ���
¶ �� �� ACL� ���� ��� � �� �� �� � ��
� � policy� (��� �) ���
3
57Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
¶ � �� � � �� ��� �� �� ����� Traverse(T)��� ���
Policy Director ACL policy� �� ��� �� Tivoli SecureWayPolicy Director Base � ��� ������.
/WebSEAL/<host>� ������ �� WebSEAL � � � ��� �� ����. �
�� � ����� � �� �� �����.
¶ � �� ��� �� �� ����� Traverse(T) ��� ��
�
¶ �� �� ACL� ���� ��� � �� �� � ��� �
� �� �� � ��� � policy� (��� �) ���
/WebSEAL/<host>/<file>�� HTTP ��� � ���� �� �� ����. �� �
� �� ��� �� ����.
WebSEAL ACL ���� � �� � ��� WebSEAL region� ��� � �� ACL��� � ����.
�� ��
r � � �� � ��
x � CGI ���� �
d �� � ���� � �� � ��
m �� HTTP �� � ��(HTTP �� �� WebSEAL �
� � ��� �� - ��)
l �� � ��� �� ���� ��� ���� �
Management Server� ���
� �� �� “index.html” ���� ���� ��
�� ����� ����� ��� � � ��� �
�� ��
58 �� 3.8
�� ��
g �� ����� ���� ����� WebSEAL � �
��� ���� � ��� junction WebSEAL �
� ��
� /WebSEAL ACL policyWebSEAL ACL� default-webseal� � �� �� ����.
Group iv-admin TcmdbsvarxlGroup webseal-servers TgmdbsrxlUser sec_master TcmdbsvarxlAny-other TrxUnauthenticated T
��, ��� �� ACL �� � ��� /WebSEAL ���� �
� �� �����.
webseal-servers ���� � ���� � WebSEAL � � �� �
�� �� ����. �� ��� ���� � � ���� ��� �
� � ����.
Traverse(T) �� Web Portal Manager� � � �� � ��
� �� ����. �� ��� ���� Web Portal Manager� ���� ��� �� � ����.
3 ����� ��� policyLDAP � Policy Director �� �� ��� 3 ����� ���
policy� ���� �� ��� �� ��(n) � �� �� ��
(x)� ���� “n”�� ��� �� �� “x”� � �(��
��� ���� ��) � ����.
3 ����� ��� policy� ��� �� ��� �� � �����.Policy� ��� � ��� ��� �� �� ���� �� �
� � ����� �� ��� �����. �� ��, policy� � �
� �� � 180� �� ��� ��� � ����. � �
59Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
�� policy� �� 1� ��� � ��� ��� � � �� �
�� �� ��� ��� ��� �� � ����.
3 ����� ��� policy�� �� � �� pdadmin policy �
�� �����.
¶ � ��� ��� �� ��
policy set max-login-failures
¶ ��� �� � �� �� ��
policy set disable-time-interval
�� � �� �� �� �� �� ��� ��� �� ��
� �� ��� � ����.
�� ��, ��� policy� � �� �� �� �� �� �
��� �� ��� ��� � �� ����� ���� ���
� ��� �� policy� � ����� ��� ��� � ���
�� � ���� �����.
�� �� � ��� �����(�� � �� �� 60�).
disable-time-interval policy� “disable”� ��� ��� ����
�� ���� � ���� �� �� LDAP �� �� “no”�
����. ��� Web Portal Manager� � ��� �� ���
� ����.
�: disable-time-interval� “disable”� ��� �� � � ��
� �����. �� �� ��� WebSEAL � � ��� ��
��� ��� � ����. � �� LDAP ��� �� ���
�. �� �� LDAP �� �� ��� �� ��� �� �
� ��� �� �� ����. ��� ��� ��� ��� �
��� �� ����.
60 �� 3.8
� ���� pdadmin � LDAP ������� ��� �� �����.
�� ��
policy set max-login-failures {<number>|unset} [-user <username>]
policy get max-login-failures [-user <username>]
��� ��� �� � ��� �� �� ���
���� policy� ����. � � policy setdisable-time-interval �� �� ��� �� ���
�.
���� ��� policy� �� ����� �����
LDAP ������ �� �� ����� �����
��� � ����.
�� � 10�� �����.
policy set disable-time-interval {<number>|unset|disable} [-user<username>]
policy get disable-time-interval [-user <username>]
� ��� �� �� ��� ��� ��� ��� �
� ����� � ��� ���� �� policy� �
���.
���� ��� �� policy� �� ����� ��
��� LDAP ������ �� �� ����� �
���� ��� � ����.
�� � 180����.
�� �� policyLDAP � Policy Director �� �� ��� �� �� policy�
�� policy �� �� �� �� ��� �����. Policy Director� �� � �� �� �� policy �� ��� �����.
¶ 5 pdadmin �� policy �
61Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
¶ �� policy� ���� �� ��� � �� PAM(PlugableAuthentication Module)
Tivoli SecureWay Policy Director WebSEAL Developer Reference� ������.
pdadmin ����� �� ���� �� �� policypdadmin ����� � �� 5�� �� �� �� �� ��
��.
¶ �� �� ��
¶ �� ��� �
¶ �� � ��� �
¶ �� � �� �
¶ ��� ��
pdadmin �� Web Portal Manager� ���� ��� �� ��
� pdadmin, Web Portal Manager �� pkmspasswd �����
�� �� � policy� �� �����.
� ���� pdadmin � LDAP ������� ���� ���� ��
���. unset �� � policy ��� ��� � �� ���. �,policy� �� ���� ����.
�� ��
policy set min-password-length {<number>|unset} [-user <username>]
policy get min-password-length [-user <username>]
��� �� ��� ���� policy� ����.
���� ��� policy� �� ����� �����
�� ������ �� �� ����� ����� �
�� � ����.
�� � 8���.
62 �� 3.8
�� ��
policy set min-password-alphas {<number>|unset} [-user <username>]
policy get min-password-alphas [-user <username>]
��� � ���� ���� ���� policy� �
���.
���� ��� policy� �� ����� �����
�� ������ �� �� ����� ����� �
�� � ����.
�� � 4���.
policy set min-password-non-alphas {<number>|unset} [-user <username>]
policy get min-password-non-alphas [-user <username>]
��� � � ���(��)� ���� ����
policy� ����.
���� ��� policy� �� ����� �����
�� ������ �� �� ����� ����� �
�� � ����.
�� � 1���.
policy set max-password-repeated-chars {<number>|unset} [-user<username>]
policy get max-password-repeated-chars [-user <username>]
��� � � ��� ���� ���� policy�
����.
���� ��� policy� �� ����� �����
�� ������ �� �� ����� ����� �
�� � ����.
�� � 2���.
policy set password-spaces {yes|no|unset} [-user <username>]
policy get password-spaces [-user <username>]
63Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
�� ��
��� �� �� �� ��� ���� policy� ��
��.
���� ��� policy� �� ����� �����
�� ������ �� �� ����� ����� �
�� � ����.
�� � � �������.
� policy ���� ��� � policy ��� � ���� ��� ����.
��� ���
min-password-length 8
min-password-alphas 4
min-password-non-alphas 1
max-password-repeated-chars 2
password-spaces ��� ��
Policy Director� �� ����� ���� �� policy� �����
�� �� 5�� �� ���� unset ��� ������.
�� ��� �� � ��� ���� ��� 5�� pdadmin ���� ���� ��� �� �
�� �� �� policy �� �����.
�� �
password ���� ��. ��� ��� ���� �� ��� �
�� �
pass ���� ��. ��� 8�� ��� ��� �
passs1234 ���� ��. � � ��� ��� ��� ���
12345678 ���� ��. ��� � �� ���� ��� �
password3 ��
64 �� 3.8
�� ��� � ��� ��pdadmin policy � �� ���� � ��(- user ���� �
�) � �� ��� �� �� ����(- user ��� ���� �
�). �� �� ��� � policy� �� �� �� �����.���� �� ���� �� ��� ���� policy ���� �
��� ��(unset) �� ����. unset ��� �� �� policy� �
��� �� �� ���� ����.
�� ��, �� ����.
pdadmin> policy set min-password-length 8
pdadmin> policy set min-password-length 4 -user matt
pdadmin> policy get min-password-length
Minimum password length: 8
pdadmin> policy get min-password-length -user matt
Minimum password length: 4
(��� matt� � �� �� �� �� policy� ����. �� ��
���� 8�� �� �� policy� ����.)
pdadmin> policy set min-password-length unset -user matt
(�� ��� matt� 8�� �� �� �� �� policy� ���
�.)
pdadmin> policy set min-password-length unset
(�� ��� matt� ��� �� ���� �� �� �� policy� �
�� ����.)
�� �� POP policy(step-up)�� �� POP policy� ���� �� �� ���� �� ����
��� �� �� �� ��� ��� � ����.
65Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
Step-up ������ ��� � ��� ���� �� ��� ���
���� ���� �� ��� �� ���� ���� � � ��
��. �� ��� �� ��� ��� ���� ���� � ���
�� � ����.
�� ��, ��� WebSEAL ���� �� � ����� ���
� ��� ��� �� ��� ��� step-up POP policy� ���
� � ��� junction region� ��� �� ��� � ����.
�� �� policy� POP policy� IP ����� �� �����
����.
Step-up ��� �� �� ���� �� �� ��� � �� ��� ���� �� ���� ��
�� � �� ���� ��� �� ��� ���� ����.
WebSEAL � � ���� �� ����� ����� ���
�� WebSEAL� ��� � ��� ���� “���� ��” ��
“��” � �� �� ����.
�� ���� �� � �� �� �� ���� � ��� ��� �
� “�” �� ���� �� �����. �� ��, ��� ���
� �� ��� �� �� ��� ��� ��� �� ����
�� ��� �����. � �� �� �� � �� � ���
�.
����� ��� �� �� �� ���� �� � ����
� WebSEAL� ��� ����� �� � �� ����. Step-up�� ��� �� ���(�)� ���� �� ��� � �� �
�� ��� ����� �����.
Step-up ���� ���� ��� ���� � �� �� ��� “” �� �� ��� ��� ���� � � “���” ����
�� ��� ��� �����. ��, �� �� ����
66 �� 3.8
�� ��� ���� �� �� � ��� ����. ���� �
�� ��� ��� � ��� ��� ��� ����.
WebSEAL step-up �� ����� ���� �� � �� �� �
��(�)� �����.
¶ ���� ��
¶ ��
¶ �� ��
webseald.conf �� ��� [authentication-levels] ����� ��
�� ������. ���� � �� �� �����.
[authentication-levels]level = unauthenticatedlevel = password
� ����� ����� ��� ��� ��� 0 - 2� � ��
� �����.
¶ “Unauthenticated” ���� ��� ���� � ��� ��� �
�� � �� 0� �����.
¶ � ���� �� �� ��� � ����.
71 ���� �Step-up �� �� � ������ ������.
¶ �����, �� � �� 1� �� “password”� �����.
¶ Step-up ��� ����� ��� � �� ��� ��� ���.
�: ��� �� ��� �� �� ��� �� 79 ����
�WebSEAL ���� ������.
Step-up �� ��Step-up �� ��� �� �� ��� ��� �� �� ��� POPpolicy� � �����. POP policy� IP ����� �� ��� �
�� ������.
67Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
pdadmin pop modify set ipauth � IP ����� �� ���
��� � ���� � �� �� �� �����.
�� �� � IP �� ��� �� � ����. � ����
��� ���� �����. IP ��� ���� �� �� �� ��
�� ��� anyothernw(�� �� ����)� � �� ���
�� � ����. � � IP ��� ��� ���� �� ��
��� ��� �� �� ���� ��� �����. �� step-up�� ��� �� � ��� ������.
��:
pdadmin> pop modify <pop-name> set ipauth anyothernw <level-index>
anyothernw �� POP� �� ���� � �� ��� ���
� ���� ���� ��� �����. � ���� ���� ��
�� IP ��� ����� �� � ����� ���� ���
��� ��� �� ��� ���� � �����.
�����, anyothernw� �� � �� 0�� POP� �����.� �� pop show �� “Any Other Network”� �����.
pdadmin> pop show testProtected object policy: testDescription: Test POPWarning: noAudit level: noneQuality of protection: noneTime of day access: sun, mon, tue, wed, thu, fri, sat:
anytime:localIP Endpoint Authentication Method policy
Any Other Network 0
��
1. webseald.conf�� �� �� ������.
[authentication-levels]level = unauthenticatedlevel = token-card
2. IP ����� �� ��� POP ��� ������.
68 �� 3.8
pdadmin> pop modify test set ipauth anyothernw 1
pdadmin> pop show testProtected object policy: testDescription: Test POPWarning: noAudit level: noneQuality of protection: noneTime of day access: mon, wed, fri:anytime:localIP Endpoint Authentication Method policy
Any Other Network 1
� policy�� ��� “unauthenticated”(� 0)� ���� ��
���� � �� �� �� ���(� 1)�� step-up� ��
���. POP policy� � ���� �� �� ��� ����,���� � �� ������ ��� � �� ��� �
���� � ��� �����.
�� 72 ���� ����� � �� POP policy�� �����
�.
Step-up ��� ��WebSEAL �� ����� step-up POP policy� ����� �
��� ���� �� �� ��� �����. � HTML ��� ��
� webseald.conf �� ��� [acnt-mgt] ���� �� stepup-login���� � �����.
[acnt-mgt]stepup-login = stepuplogin.html
� HTML ��� login.html �� tokenlogin.html ��� ��� �
� ���� ����� �� ��� � ����.
� ���� %TEXT% �� ���� ���� ���, � ��
� ��� �����. � ��� WebSEAL� ���� �� �� �
� ��� ���� ��� �!��� �� � �� �� ���� �
�� ����� ���. � ��� � ��� � � �� ��
� ���� �� ���� ����� � �� ����.
69Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
Step-up �� ����WebSEAL �� ��� ���� POP� �� ��� ����
�.
�� 11. ��� � � �� step-up ��� �� ��� ��
�� 12. SecurID �� �� step-up ��� �� ��� ��
70 �� 3.8
1. POP� �� IP ����� �� ��� policy ��
2. ACL �� ��
3. POP� �� �� policy ��
4. POP� �� �� � policy ��
Step-up �� �� � ����
1. Step-up �� HTTP HTTPS� � �� �����.
2. HTTP ������ HTTPS�� step-up� � ����.
3. ���� �� � ���� ��� � �� ����� �� �
�� �� !� ���� ���.
4. ���� � ���� � �� ��� � ����.
5. ��� �� step-up ��� ���� ���� ����.
�: Step-up �� �� ����� ���� ��� ����
�����. ����� ����� ���� WebSEAL�
���� WebSEAL� ���� ���� �� ��, �
���� 0� � �� �� ���� � ��� ����
�.
�� ���� ���� step-up ��
���� �� �� �� ��
�� �� ��
�� �� ��
6. �� � �� ���� � ����. �� � �� ��
� �� ��� �� ��� �� ������ �� ����
�.
�� ���� �� ��� � ��� �� �� ��� � �� �
� �� ���� � �����.
��� �� ��� ��� �� ����� ���� WebSEAL�� �� �� �� ���� ��� ���� �����.
71Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
7. � �� �� �� ��� ��� �� � 0, 1, 2���. �
� �� �� ���� ��� WebSEAL POP� �� �� �
� �� ��� ��� � ���� �����.
8. webseald.conf �� ���� step-up �� �� ���� ��
���� ��� WebSEAL ��� step-up ��� �� ����
� ���. ��� �� �� �� �� ���� ��� ��
POP� � ���� �� �� � �� ��� ���� ��
�� � � ��� �� �� ��� ���� � ����.
step-up �� �� ��� �� webseald.log ��� ���
� �� � ���� ��� ������.
���� �� �� POP policy���� � �� POP policy� ���� IP ��� ��� � �
� �� �� �� ��� ���� ���. � ��� ���� �
� IP ��(�� IP �� ��)� � ���� �� ��� ���
� �� �� � ����.
�� � policy� step-up �� ��� ��� � ��� ��� ��
IP �� ��� �� �� �� ���� ��� �� ����.
���� � �� policy� POP policy� IP ����� �� ��
� ���� ����. � ��� �� � � �� ����� �
�� ���.
¶ �� �
¶ � ����
�� �� ��WebSEAL step-up �� ����� ���� �� � �� �� �
��� �����.
¶ ���� ��
¶ ��
72 �� 3.8
¶ �� ��
� ����� ����� ��� ��� ��� 0 - 2� � ��
� �����.
webseald.conf �� ��� [authentication-levels] ����� ��
�� ������. ���� � �� �� �����.
[authentication-levels]level = unauthenticatedlevel = password
���� � ��� ��� � � �� �� ��� � ����. ���, “unauthenticated”� � 0�� “password”� � 1���.
�� 66 ���� �Step-up ��� �� � ���� ������.
IP �� � �� ���� POP policy� � ��� IP �� � IP �� ��� ��
� ���.
pdadmin pop modify set ipauth add � IP ����� �� �
�� ��� �� ����(�� ���� ��) � �� �� �� �
����.
��:
pdadmin> pop modify <pop-name> set ipauth add <network> <netmask><level-index>
�� �� � IP �� ��� ����. � �� ���� �
��� �� ����. IP ��� ���� �� �� �� ���� �
�� anyothernw(�� �� ����)� � �� ��� �� �
����. � � IP ��� ��� ���� �� ����� �
�� �� ���� �� ��� ��� ���.
��:
pdadmin> pop modify <pop-name> set ipauth anyothernw <level-index>
73Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
�� �� �� ���� IP ��� �� � ���� ��
�� ����� ���� ��� � 0� ���� ����� ��
� “���”� ������.
anyothernw �� POP� �� ���� � �� ��� ���
� ���� ���� ��� �����. � ���� ���� ��
�� IP ��� ����� �� � ����� ���� ����
��� ��� �� ��� ���� � �����.
�����, anyothernw� �� � �� 0�� POP� �����.� �� pop show �� “Any Other Network”� �����.
pdadmin> pop show testProtected object policy: testDescription: Test POPWarning: noAudit level: noneQuality of protection: noneTime of day access: sun, mon, tue, wed, thu, fri, sat:
anytime:localIP Endpoint Authentication Method policy
Any Other Network 0
�� � �� �� ��� �� 66 ���� �Step-up ��� �
� � ���� ������.
��IP �� ��� 9.0.0.0�� ������ 255.0.0.0� ���� � �
� 1(����� “password”)� ����� ����.
pdadmin> pop modify test set ipauth add 9.0.0.0 255.0.0.0 1
�� ���� � 0 ��� ����� ����.
pdadmin> pop modify test set ipauth add 9.1.2.3 255.255.255.255 0
�� ���(�� ��� ���� �� � �� ���)� � ��
�� ���� �� ������.
pdadmin> pop modify test set ipauth anyothernw forbidden
74 �� 3.8
IP ��� �� step-up �� �� �����:
pdadmin> pop modify <pop-name> set ipauth remove <network> <netmask>
�� ��, �� ����.
pdadmin> pop modify test set ipauth remove 9.0.0.0 255.0.0.0
���� �� �� ����WebSEAL POP� �� ��� ���� � �� ��� ���
��.
1. POP� �� IP ����� �� ��� policy ��
2. ACL �� ��
3. POP� �� �� policy ��
4. POP� �� �� � policy ��
���� �� �� �� � �������� � �� policy� �� ���� � WebSEAL� ���
� IP ��� TCP �� ���� IP ���� ���. ���� �
��� HTTP ���� ���� ��, WebSEAL� ���� ���
��� � � IP ��� � ����.
� ��, WebSEAL �� ���� IP ��� ���� ��� �
����. ���� ����� WebSEAL � � �� ��� � �
� ���� � �� policy� ��� �� ��� ���.
QOP(Qualtiy of Protection) POP policyQOP(Qualtiy of Protection) POP ��� ���� �� � �� �
�� ��� �� �� ��� � ����.
�� � �� WebSEAL ���� �����.
QOP(Qualtiy of Protection) POP �� �� �� Policy Director�� ��� � � ��� ����� ����� “P” � “I” ACL �
75Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
� ��� ��� ����. �� QOP(Qualtiy of Protection)� �
� ��� ��� �� � ��� ���.
QOP POP �� ACL ��� �� “yes” �� �� QOP(Qualtiyof Protection)� ���� �� ����� ����. �� ��(�: WebSEAL)� �� �� �� ��� ��� ��� �����.
pdadmin> pop modify <pop-name> set qop {none|integrity|privacy}
QOP �� ��
����� ��� ���� �����(SSL).
��� ���� ��� ��� �� �� ���� �����.
�� ��, �� ����.
pdadmin> pop modify test set qop privacy
���� � ��� ��(HTTP/HTTPS)WebSEAL HTTP � HTTPS� � �� ��� ���� �
���� ��� �����. �� �� WebSEAL �� �� �
��� �� �� ��� �� ��� ���� ���� � policy� �����.
�� �� SSL� � ����, ���� � ����� ���
��.
¶ ���� � ��� WebSEAL ��� �� � �� �
��� �� � ����� ������.
¶ ���� � ��� WebSEAL ��� SSL ���� � � �
�� �����.
��� ��������� �� ��
1. �� ����� WebSEAL� �����(HTTP �� HTTPS� �).
76 �� 3.8
2. WebSEAL ����� �� ���� � ��� �����.
3. �� �� �� �� � �� �� �����.
4. �� �� ���� � �� �� �� ACL� ���� � �
���� ��� ���� �� ��� ���� �����.
5. � �� ��� ���� ��� Read(r) � Traverse(T) ���
����, ���� � ACL ��� �� ����.
6. ��� �� ��� �� ����� ��� ��(BA �� �
� ��)� ���.
��� ��� ��� �� �� ���� ACL policy� ��, ���� � ���
��� ��� ��� ���� � ���� ���� ��� � �
���.
Read(r) � Traverse(T) �� � �� �� �� ���� �
��� ����.
���� � ���� ���� ����� � �� �� ����
�� ACL policy� ��, ���� � ���� Read(r) ��� �
�����. ���� ��� � ��(BA �� �� ��)� ���.
���� � HTTPS� �����HTTPS� �� WebSEAL�� ���� � ��� ���� ��
� ��� ������ ��� ����.
¶ �� ������ �� ���� ���� �� ��� �� �
� �� � ��� ��� �����. ��� �� ���
�� ���� �� � ����.
¶ �� ������ ����� ���� �� ���� ���
��� �� �����. �����, ��� ��� ����� �
����� ���.
77Tivoli SecureWay Policy Director WebSEAL �� ���
3.W
ebS
EA
L�
�p
olicy
ACL/POP policy� ���� � ��� �
�: “�� ���” �� �� “any-other” �� �� ����.
1. ���� � ���� �� �� �� ��� ���� ��
� ���� �� � �� ��� ��� �� Read(r) �
Traverse(T) ��� �� ACL� �� ��� ������.
���� �� Tr�� ��� Tr
�: ���� �� �� ��� ��� � � ��� ��� �
� ���(“and” �� ��)���. ���� ��� �� ��
��� � ��� ���� ���� ���� �����.���� �� � ���� � ��� � ���, ACL�� ��� �� ���� ��� ���� � �� ��� �
���. ACL� � ��� �� ���� ��� �� ��,�� � ���� ��� ��� ���� �� ����.
2. ���(SSL)� ����� ��� �� ���� ����
POP(Protected Object policy)� ��� ������.
��� �� 75 ���� �QOP(Qualtiy of Protection) POPpolicy�� ������.
78 �� 3.8
WebSEAL ��
� ��� WebSEAL� �� ��� ������ ��� ���� �
�� � ���. ���� �� ���� ���� PolicyDirector ��� ����. WebSEAL � ��� ���� ����
�� ��� ����. �� �� �� ���� � ���� �
� ��� �� ��� ���� �����.
�� �� �� ����.
¶ 80 ���� ��� ����� �� ��
¶ 83 ���� ��� �� ��
¶ 94 ���� ��� �� ���
¶ 100 ���� ��� �� ���
¶ 102 ���� ��� �� ���
¶ 104 ���� ������ ��� �� ���
¶ 108 ���� �HTTP � �� ���
¶ 111 ���� �IP �� �� ���
¶ 111 ���� ��� �� ���
¶ 113 ���� ������ ��� ���� ���
4
79Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
�� ����� �� ���� � ���� ������ ���� �� ���� �� ��
�� ���� ������.
¶ WebSEAL ����� � �� �� ���� ���� �� �
��� ��� � ��� ���� �� ��� � ����.
¶ WebSEAL� ��� ��� �� Policy Director ��� ���
�� �����.
¶ WebSEAL � ��� ���� ���� �� ��� ����.
¶ �� �� ���� � ��� ���� � �� �� �� policy��� ACL ���� POP ��� ��� �� �� �� �
� ��� ���� �����.
�: ACL = �� �� �� policy POP = �� �� � policy
�� � WebSEAL ���� ���� �� � ��� ��
���.
¶ �� ���
�� ���� ���� WebSEAL � �� �� ��� �
��� �����. �� ���� ����� ��� � �
���� �� � ��� �����. �� WebSEAL � � �
� ���� ��� �� ���� � ��� �� � ��� �
��� � ��� ��� � �����.
¶ �� ���
�� ���� WebSEAL � � ����� ���� ���
�� �����. �� ��� ����� ����� ���, �
� � �� �� ����.
WebSEAL ���� ��� � � �� �� ���� �� �
� ���� � ����. �� ���� ���� �� �� ��
�� ���� ����.
80 �� 3.8
���� �� ��� ��WebSEAL �� � �� ��� ��� �����.
1. SSL ID(SSL ����� � ���)
2. � �� �� �
3. BA � ���
4. HTTP � ���
5. IP ��
WebSEAL ���� ��� ��� � � ��� �� ����
�� ���� �����.
���� �� ��WebSEAL �� ���� ����� ����� ��� ����
� ���� ���� �� ���� ������. �� �� ��
� �� ��� �� � WebSEAL �� ������ �� ��
� �����.
�� � �� ���� WebSEAL� � �� �� � ��
���.
�� �� ��� �
1. failover � HTTP � HTTPS
2. CDSSO ID �� HTTP � HTTPS
3. ����� ��� HTTPS
4. �� �� HTTP � HTTPS
5. �� ��(��� � � ��) HTTP � HTTPS
6. �� ��(��� � � ��) HTTP � HTTPS
7. HTTP � HTTP � HTTPS
8. IP �� HTTP � HTTPS
WebSEAL ���� ��� ��� � � ���� �� ���
� �� ���� �����.
81Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
HTTP � HTTPS �� � �� � �� ���� ����� ��
� �� ����� � � ����. �� ��� � �� �� ��
�� ���� ��� � ��� ���� ����� �� �� �
���� ��� �����.
��� �� ��� �
¶ 83 ���� ��� �� ��
¶ 94 ���� ��� �� ���
¶ 100 ���� ��� �� ���
¶ 102 ���� ��� �� ���
¶ 104 ���� ������ ��� �� ���
¶ 108 ���� �HTTP � �� ���
¶ 111 ���� �IP �� �� ���
¶ 111 ���� ��� �� ���
¶ 113 ���� ������ ��� ���� ���
¶ CDAS ��
Tivoli SecureWay Policy Director WebSEAL Developer Reference� ������.
82 �� 3.8
�� �� ������ � �� � �� �� ���� � � �� �� �
�� �� � �� ��� �� ��� ���� ��� ��� ��
� ���. � � � �� � ����� ���� � �� �
�� �� �� ��� ��� ��� ���.
���� � �� �� �� ��� ��� � � ��� �
���� � �� ��� ��� ���. �� �� ���
����/� ��� �� �� �� �� �� ����� ��
� ������. ����� � � ����� ���� �� ���
� ���� ��� �� ��� � � ����.
WebSEAL HTTP � HTTPS ��� � � �����. HTTP�
“stateless” ������ �� �� ��� ���� �� ��� ��
�� ����. �, SSL �� ���� �� �� ��� ����
�� �� �� ID� ����� �� ����. HTTP ��
HTTPS� ��� SSL �� ���� � ����.
��� WebSEAL �� ���� � �������� HTTP �
�� ��� ���. SSL �� ID� ��� ���� �� �� ��
��. ���� WebSEAL �� �� ��� ���� ����
�� ��� ������� ����.
1. SSL ID
2. � �� �� �
3. BA � ���
4. HTTP � ���
5. IP ��
GSKit � WebSEAL �� ���� ��� ���� � � �� �������� �� ID ���
�� � ����. HTTPS � HTTP �� �� ��� � � ���
� ��� � �� �� ��� �� �����.
83Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
¶ WebSEAL �� ��
WebSEAL �� ��� � ����� � �� �� ��
�� ��� �� ID ��(�� �� ��)� ����.
�� �� � ��� ����� ������� ���� ���
� �� ��� � �� ��� �����.
¶ GSKit SSL �� ID ��
GSKit �� ��� SSL �� ID ��� ���� �� ��� �
���� � HTTPS(SSL) ��� �����.
GSKit ��� �� WebSEAL LDAP ��� ����� ��
SSL ��� �� �� �� ��� �������.
� ��� � ��� ��� ��� � �� �� �� �� �� �
��� ��� � ����. �� �� ��� ���� ��� �
���.
�� 13. �� �� �� ���
84 �� 3.8
WebSEAL �� �� ��WebSEAL ��/�� ��� �� � �� ���� ��� � �
���.
¶ �� �� �� � � �
¶ �� �� ��� � �
¶ �� �� ��� ��� � �
�� �� �� � � ��webseald.conf �� ��� [session] ���� �� max-entires ���� WebSEAL ��/�� ��� �� �� �� �� ����.
� � �� ��� �� �� ����. �� ��� � �� ��
�� � ��� �� ��� �� ���� ��� ���� �
� ���� ���� ����.
�� ��� ��� �� ��� 4096���.
[session]max-entries = 4096
�� �� ���� � ��webseald.conf �� ��� [session] ���� �� timeout ��
�� WebSEAL ��/�� ��� ��� �� �� � ����
����.
WebSEAL �� ��� ����� �����. �� �� ���
���� �� �� ��� WebSEAL� ���� �� �� ���
�����.
���� ��� ���� ����. � “�� ���”� ��
“�� �”� �����. �� �� ��� ��� ���� �
��� �� ����� �� �� ���� �� ����.
�� ��� �� ���(� ��)� 3600���.
85Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
[session]timeout = 3600
�� �� ��� ���� � ��webseald.conf �� ��� [session] ���� �� inactive-timeout���� ��� �� ���� �� ��� �� ����.
�� ��� �� ��� ���(� ��)� 600���.
[session]inactive-timeout = 600
��� ��� ���� ���� ��� �� “0”�� ����
�.
GSKit SSL �� ID �� ���� � �� ���� GSKit SSL �� ID ��� �� ����
�.
¶ �� �� ��� � �
¶ �� �� �� � � �
�� �� ���� � ��GSKit SSL �� ID ��� ��� �� �� � ���� ��
� ���� webseald.conf �� ��� [ssl] ���� ����.SSL V2 ��� �� ���(ssl-v2-timeout) SSL V3 ��� �
� ���(ssl-v3-timeout), ��� � �� ���� ����.
�� SSL V2 �� ���(� ��)� 100���(��� ��� 1-100).
[ssl]ssl-v2-timeout = 100
�� SSL V3 �� ���(� ��)� 7200���(��� ���
1-86400).
[ssl]ssl-v3-timeout = 7200
86 �� 3.8
�� �� �� � � ��webseald.conf �� ��� [ssl] ���� �� ssl-max-entries ���� GSKit SSL �� ID ��� �� �� �� �� ����.
� � �� ��� �� �� ����. �� ��� � �� ��
�� � ��� �� ��� �� ���� ��� ���� �
� ���� ���� ����.
�� ��� ��� �� ��� 4096���.
[ssl]ssl-max-entries = 4096
�� ��� �� �������� � �� �� ��� ������ � �� �� �
� ���� � �� ��� ������ ����. � � �� �
���� �� �� ��� �� ���� ����� ����
� ����. �� � ��� � ����� �(�� �� ��)� � � ������ ���� ������.
�� �� ����� �� � �� � SSL ��� �� ��
�� ����� ��� � ��� � ��� �����. �� ��,�� Microsoft Internet Explorer ���� 2 - 3� ���� SSL��� �� �����.
�� �� ����� � ��(10� ��)� ��� �� �� �
� ����� �� ���� ���� �����. � ���
�� ��� �� ��� �� ��� ��� � �� “� �”���� ���.
�� �� �� � � �� ��� ����� � ���� �� �
���� �����. �� ��� �� ��� ���� �� ���
�. �� �� � policy� ���� ����.
�� ��� �� ��WebSEAL � � �� �� �� �����. �� �� �
� ���� �����.
87Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
¶ �� �� ���� ���. �� ��� ���� ��
¶ �� ���� ����� ���(�� ���� � ���
���� ��)
¶ �� � ���(�� ���)
¶ �� �� � � � ���� �� �� �� � ��� ��
�� ��
�� ID �� �� � �� ���webseald.conf �� ��� [session] ���� �� ssl-id-sessions���� �� �� �� �� �� ����� ���. � ��
�� HTTPS� � ���� ����� �� ��� �� ��
��� SSL �� ID� ���� ��� �����. � ���� “no”� ��� ���� �� ���� �� �� �����.
[session]ssl-id-sessions = no
� ���� “no”� �� ��� HTTPS� � ���� �
���� � �� � ��� �����.
1. SSL �� ID� �� �� ID ����� ���� ����.
2. failover �, CDSSO ID ��, �� ��� � � ��, ��
��, ����� ���� ���� ����� ��� �
����� � �� �����.
3. use-same-session = yes� ���� �� �� ����� �
�� �����(�� � ��). ��� ��� �� ID ���
� BA �� �����.
4. HTTP �� ���� ����� �� �� ID �����
HTTP �� �����.
5. IP ��� ���� ����� �� �� ID ����� IP �
�� �����.
88 �� 3.8
�� ���� �� ��� ����� ���� ��� �� � �
� �� ����� ����. ��� �� ������� ��� �
� � �� ��� � � �� �����. �� ����� ���
���� ���� ���� ���� � �� ���� �� �
�� � ����. �� ���� �� WebSEAL �� �� failover�� �� �� �� �� � ����.
�� �(���� failover ��)� ����� WebSEAL� ���
� webseald.conf �� ��� [session] �����
resend-webseal-cookies ���� ��� WebSEAL�� �� �
�� �� � � failover �� ����� ���� � � �
���. ��� ��� �� � � failover �� ���� ����
�� ��� ��� ��� ���.
resend-webseal-cookies ���� �� � “no”���.
[session]resend-webseal-cookies = no
�� � �� WebSEAL �� � � failover �� ���� �
� �� “yes”� �����.
��� �� �� � �� �������� � ��� ��(�: HTTP)� � ����� �� �
��, �� ��� ��(�: HTTPS)� � �� ���� � ���
�� ID ���� ����� WebSEAL� ��� � ����.
webseald.conf �� ��� [session] ���� �� use-same-session���� ��� �� ID ���� ��� �� �� �� ����
� ���. �����, � ���� “no”� ��� ����.
[session]use-same-session = no
� ���� “yes”� �� ��� �� � ��� �����.
1. � �� ��� �� � ���� � �� � ���� �
�� ���� � �� �� �����.
89Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
a. failover �
b. ����� ���
c. CDSSO ID ��
d. �� ��
e. ��� � � �� ��
f. �� ��
2. HTTP �� ���� ����� HTTP �� �����.
3. IP ��� ���� ����� IP ��� �����.
4. ssl-id-sessions �� �����. � � ��� �� ��
ssl-id-sessions� “no”� � � ����.
��� �� HTTP ����� �� ����� �� ���
SSL �� ID� ��� �� ���� �����.
5. �� HTTP � HTTPS ���� � �� � �� ����
� � ��� ����� ����.
�� �� ID ��� �� ���� �� ���� ���� ����� �� �� ��� ��
�� � �� ���� �� ���� �����.
¶ �� � �� �� �� ���(ssl-id-sessions)
¶ ����� HTTP HTTPS ���� ��� ��� �� ��
�� ���� �� �� �� �� ���(use-same-session)
�� � ��� ��� � ssl-id-sessions ��� �
use-same-session ���� ����, ��� �� ID ���� ��
� ����.
90 �� 3.8
HTTPS �����
�� �� ssl-id-sessions =yes
ssl-id-sessions = nouse-same-session =
no
use-same-session =yes ssl-id-sessions
ignored
failover � SSL ID � �
��� SSL ID � �
CDSSO SSL ID � �
�� SSL ID � �
�� SSL ID � �
BA SSL ID BA � �
HTTP � SSL ID HTTP � HTTP �
IP �� SSL ID IP �� IP ��
HTTP �����
�� �� use-same-session = no use-same-session =yes
failover � � �
CDSSO � �
�� � �
�� � �
BA BA � �
HTTP � HTTP � HTTP �
IP �� IP �� IP ��
failover �� ���� � failover � ��(HTTP � HTTPS�) �� ��� �
��� � �� ���� WebSEAL � ���� ����
����� �����. failover �� ��� ����� ��
��� "� � � #�� �� ����� � � �� ���� ��
����.
91Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
��� ����� �� ��� ����� ���� � ����
WebSEAL ���� ��� � ����. �� ��� ��� �
��� ��� ��� �� ��� ���� � � ���� ��
� �����.
�� ������ ������.
����� �� ���� � ��� � ����. �� ��
� ��� �� URL� �� �� �� �����. �� ���
��� ����� �� ��� � (�: WS1) �����. �
� ��� WS1� ���� � �������� �� � ���
WS1� ����.
failover �� �� � �� ����� �� ��� �(�� �
�, ��� �� ��� ��� � ��) WS1� �� ����
� �� ��� ����. WS1� �� ����� �� �� ���
���� �� �� � � ��(WS2 �� WS3)� ��� ��
��. �� ��� �� � �� ��� ����. ����� � �
� � � � �� ���� �� �� ����� �����.
�� 14. failover � ����
92 �� 3.8
�� WebSEAL � � ���� � �� ��� ����� �
� ���� ������. �� ����� �� ��� � ���
�� �����. �� WebSEAL � � ��� �� ���� ��,�� ��� �� �� �� �� � � �����. ��
WebSEAL � � �� ��� �� �� � �� �� � ���
��. �� ����� ��� ����� ��� ��� WebSEAL� � �� ��� ��� � ����.
�� �� �� �� �� ��� ���� DNS���. �� �
�� ��� ��� �� �� ���� � �� �� ��� �
����. �� �� ��� � DNS �� � � � �
�� ����. ����� �� �� ��� ���� � ��
���. ���� �� �� � failover �� � ����
�� ��� � � �����.
failover �� ��
webseald.conf �� ��� �� [failover] ���� ��
failover-auth ���� � �� failover �� �� �� �� �
���� ���.
¶ failover �� ����� “http”, “https” �� “both”� ���
���.
¶ failover �� �� ����� ��� “none”(���)� ����
��.
�� ��, �� ����.
[failover]failover-auth = https
��� ���� WebSEAL � �� � ���� �� ���.
93Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
�� �� ��� � �� �
� ���� ����� WebSEAL� ���� cdsso_key_gen ��
��� ������. � ����� �� �� �� ���� ���
� �� ��� �� � �����. ����� �� � ��
� ��(�� �� �)� ������.
UNIX: # cdsso_key_gen <pathname>
Windows: MSDOS> cdsso_key_gen <pathname>
�� � � ���� ����� ��� ��� ��� ��
� ��� ������. � � � �� webseald.conf �� ��
� [failover] ���� �� ��� ������. ��� ���
� ��� � � � �� failover � ��� �� ����� �
��.
[failover]failover-cookies-keyfile = <absolute-pathname>
���� ws.key �� ��� ��� �� ��� � ����.
�� � ��
� �(� ��)� � �� ����� ����.
failover-cookie-lifetime = 60
�� �� ������� HTTP � HTTPS ���� � �� �� ��� �� �
�� ����� � � ����.
WebSEAL� � ���� �� �� ���� �� ���
webseald.conf �� ��� [authentication-mechanisms] ����
� �����. ���� �� ��� ���� ��� �����.
94 �� 3.8
¶ ��(�) ���
�� ���� �� ���� ��� � �� �����(UNIX)�� DLL(Windows) ��� �����.
¶ ��� �� �� ���
WebSEAL ��� �� �� CDAS(Cross DomainAuthentication Service) � � ���� ���� � ��� � �
� ���� � �� �����.
�� CDAS ���� ��� ��� �� �� ������ ��
���.
� �� ������ ���� �� � ���� �����.
��� ��
�� � �� ��
passwd-ldap ����� LDAP ��� � ��� ����
�.
�� ��
token-cdas ����� LDAP ��� � SecurID ��
��� �����.
����� ��� ��
cert-ssl ����� SSL� � ����� ���� �
����.
HTTP � �/�� IP �� ��
http-request ����� �� HTTP � �/�� IP ��� �
�����.
CDSSO ID �� ��
cdsso �� ��� �� �� � ��
[authentication-mechanisms] ���� ���� �� ��� � ��
� �� ���� ��� � ����.
<authentication-method-parameter> = <shared-library>
95Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
82 ���� ���� �� ��� ���� ������.
�� ��� �� CDAS �� ������ CDAS � � �� ��� �� �� ������ ���� �
�� � ���� ��� � ����.
��� ��
passwd-cdas ����� ��� ������ �� ��� � �
�� �����.
token-cdas ����� ��� � �� ��� ����
�.
cert-cdas ����� SSL� � ����� ���� ��
���.
CDAS � � ���� ��� �� �� ����� �� � ���
� ��� �� Tivoli SecureWay Policy Director WebSEALDeveloper Reference� ������.
WebSEAL ��� �� � �������, WebSEAL �� ��(BA) ��� � ��(LDAP �
����)� ���� SSL� � ����� ����� ��� �
���.
WebSEAL �� TCP � SSL ��� � �� �����. ��
� [authentication-mechanisms] ���� � ���� ��� �
� ��(LDAP �����)� �� ��, SSL� �� ����� �
��� �� ��� �����.
�� ��� Solaris� �� [authentication-mechanisms] ���� �
��� �����.
[authentication-mechanisms]passwd-ldap = libldapauthn.socert-ssl = libsslauthn.so
96 �� 3.8
�� �� ���� ����� �� �����(�� CDAS ��) �
� ��� ���� ������. � �� ���� �� ��� �
� ��� 82 ���� ���� �� ��� ���� ������.
�� �� �� ��webseald.conf �� ��� [authentication-mechanism] ���� �
��� ���� �� ���� ��� �� ������ ������.�� �� �� �� ���� ��� � �����.
1. �� �� ���� �� ����� �����. ���� ��� �
��� � �� ������ ��� � ����.
2. cert-cdas ��� cert-ssl ���� �� ��� ���� cert-cdas���� �����. �� � ��� ���� ����� ���
� ��� ���.
3. �� �� ���� � �� ��� ���� ��� �����.WebSEAL ��� ����� ���� ���� �� �� �
��� �����.
a. passwd-cdas
b. passwd-ldap
4. � �� �� �� �� ���� � ��� ��� �� ���
��� ��� � ����. �� ��, ��� �/�� � HTTP� ��� � � ����� ��� �� �� ������ ��
� � ����. � ��� ���� ��� �� ������ �
��� passwd-cdas � http-request ���� � � ����
�. �� ��� ������ � ��� �� ��� ��� �
���� �����.
��� ���WebSEAL �� � ���� ������ � ��� ���
�� ����.
1. �� ��� � ���� � ����
2. �� ��� � �� �� �� �� ����
97Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
�� � ���� ���� “403 failure” �� ����.
1. �� �� �:
a. ����� ���
b. failover �
c. CDSSO
d. IP ��
e. HTTP �
2. ����� WebSEAL� � �� ����� �� ���� �
�� �
�� � �� � ��Policy Director� HTTP �� HTTPS�� ���� ����� �
��� � �� � �� �����.
pkmslogout� �� �� �� ���� ���� �� �� ���� ��� �
����� pkmslogout �� ���� �� ������ ����
� � ����. �� ��, �� ���� IP �� ��� ����
����� ��� pkmslogout� ���� ����. � ���� �
���� �� ����� ���.
pkmslogout � ����� ���, �� ��, �� �� �
HTTP � ��� �� ��� �� ��� �����.
�� �� �� �����.
https://www.tivoli.com/pkmslogout
����� webseald.conf �� ���� �� ���� ���
����.
[acnt-mgt]logout = logout.html
98 �� 3.8
���� ����� �� logout.html ��� ��� � ����.
pkmslogout ����� �� �� ��� ����� ������ �
���� �� �� ��� ���� ���� ���� �� �� ��
�� � ���� ����� ���.
��� �� �� � ��� �����.
https://www.tivoli.com/pkmslogout?filename=<custom_logout_file>
��� custom_logout_file ���� �� �� ����. � �
� �� logout.html �� � �� � HTML � ��� ��
��� lib/html/C ����� ��� ���.
pkmspasswd�� ��(BA) �� �� ��� ��� � � ��� ��� ���
�� � ����. � � HTTP �� HTTPS�� �����.
�� ��, �� ����.
https://www.tivoli.com/pkmspasswd
WebSEAL�� BA� ��� � ��� �� ��� � � �
BA ����� � �� �� �����.
1. ��� ����.
2. ���� ���� �� ������ �������.
3. ����� �� ��� �� ����� ����� BA �
��� �����.
4. ����� ��� ����� �� ���� ���.
� ����� �� ��� ���� ������ �����.
99Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
�� �� ���� ��(BA) �� ���� ��� � � ��� ����
�����. BA� HTTP ����� � ���� HTTP �
HTTPS� � ��� � ����.
�����, WebSEAL �� ��(BA) ��� � ��� ���
HTTPS��� ��� � �����.
� �� �� � �� ���webseald.conf �� ��� [ba] ���� �� ba-auth ����
�� �� ���� �� � �� ����� ���.
¶ �� �� ���� ����� “http”, “https” �� “both”� �
�����.
¶ �� �� ���� �� ����� ��� “none”� ������.
�� ��, �� ����.
[ba]ba-auth = https
�� �� ���� � ����� ����� ��� ���� ����� � �
�� � ���� �� ��� ��� ������.
�� �� ��� �� ���� webseald.conf �� ��� [ba]���� ����.
�� ��, �� ����.
[ba]basic-auth-realm = Policy Director
100 �� 3.8
� �� ��� ��passwd-ldap ���� ��� � � �� ��� ���� � �
��� �� ������ �����.
¶ UNIX�� � �� ��� ���� �� libldapauthn���
�� �� ��������.
¶ Windows�� � �� ��� ���� �� ldapauthn���
�� DLL���.
Authn ���� � �����
Solaris AIX Windows HP-UX
passwd-ldap libldapauthn.so libldapauthn.a ldapauthn.dll libldapauthn.sl
webseald.conf �� ��� [authentication-mechanism] �����
passwd-ldap ���� �� ����� ��� ��� �� �� �
��� ��� � � �� �� ���� ��� � ����. ����, �� ����.
Solaris:
[authentication-mechanisms]passwd-ldap = libldapauthn.so
�� 15. BA ��� � ��
101Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
Windows:
[authentication-mechanisms]passwd-ldap = ldapauthn.dll
�� ��� ��� � �� ��� ���� � ��� �� �� ��
�� �����.
�� �� ��Policy Director� �� ��(BA) ���� ��� �� ��
� �����. � �� �� ��(BA) ���� � �� �
�� � �� �� Policy Director���� ��� �� HTML ��
� ��� �����.
�� � ���� ���� ����� �� ��(BA)�� ����
��� ��� � � �� ��� ����� ����.
�� �� �� � �� ���webseald.conf �� ��� [forms] ���� �� forms-auth ���� �� �� ���� �� �� �� ����� ���.
¶ �� �� ���� ����� “http”, “https” �� “both”� �
�����.
¶ �� �� ���� �� ����� ��� “none”� �����
�.
�� ��, �� ����.
[forms]forms-auth = https
�� �� ��� ��passwd-ldap ���� ��� � � �� ��� ���� � �
��� �� ������ �����.
¶ UNIX�� � �� ��� ���� �� libldapauthn���
�� �� ��������.
102 �� 3.8
¶ Windows�� � �� ��� ���� �� ldapauthn���
�� DLL���.
Authn ���� � �����
Solaris AIX Windows HP-UX
passwd-ldap libldapauthn.so libldapauthn.a ldapauthn.dll libldapauthn.sl
webseald.conf �� ��� [authentication-mechanism] �����
passwd-ldap ���� �� ����� ��� ��� �� �� �
��� ��� � � �� �� ���� ��� � ����. ����, �� ����.
Solaris:
[authentication-mechanisms]passwd-ldap = libldapauthn.so
Windows:
[authentication-mechanisms]passwd-ldap = ldapauthn.dll
�� ��� ��� � �� ��� ���� � ��� �� �� ��
�� �����.
HTML �� �� ��� ���� ���� ��� �� ��� ��� ��� ���. �����,� login.html �� �� ����� ����.
<install-directory>/lib/html
� ��� �� � �� ���� �� ��� � ����. �� �
�, �� ����.
103Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
���� �� ��� � �� HTML ��� �� ��� �� 37���� ���� �� HTML ��� ��� ������.
������ ��� �� ��WebSEAL SSL� �� ����� �� ���� ���� �
���� � ��� �����. � �� ����� ��� ��
(�: �� � �� DN)� Policy Director ���� �����.
�����: ���� �� �� ���� ���� �� �� �� � ��� ������.
¶ WebSEAL � � ���� ���� SSL ����� � �
�� �����.
¶ WebSEAL CA(Certificate Authority) �� ���� �����
�� ���� ����� ���� ���� ����� �
����.
1. SSL ����� WebSEAL � � ��� �����.
2. � ��� WebSEAL � � � ���� � ��� �
� � ����. � ���� ��� trusted CA(CertificateAuthority)� � ��� ������.
3. ����� ���� ���� ��� � �� �� � �� �
��� �����. ���� ���� ����� trusted CA���� �� ��� ��� �����. WebSEAL ���� �
�� 16. � WebSEAL ��� ��
104 �� 3.8
� �� � �� ���� �� � ���� � � � ��
� � ����.
4. � � ���� �� ��� ����� ���� � �
� CA(Certificate Authority)� � ������ �����
���. �� ���� ���� ���� ��� ��� ���
�.
5. �� ����� �� ��� ������� �� �� ���
� �� � ���� WebSEAL � ���� ��� �
����.
� ����� �� �� � �� ���, � �� �
����� (��� ��� ��� ����) ��� ��� � �
���. ����� ��� ���� � � � ��� �
�� � ��� � ����.
6. �� ����� �� � WebSEAL � � ����.
7. WebSEAL ���� ���� �� �� �� CA� ��
��� ��� ���. ���� ���� �� WebSEAL� ������� �� trusted CA��� �� ���� �
�� �������.
�� 17. ����� WebSEAL ���� ���
105Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
8. ���� �� ��� WebSEAL SSL � �� ����
����� ����.
9. ���� �� ��� � ����� ��� � ����. �
���� ���� Policy Director ��� ����.
10. �� � ���� WebSEAL � ���� ��� ��
���. � ����� �� �� �� �� ���� �
��� ��� �� �� �� ������.
WebSEAL ��� �����, WebSEAL�� �� � ��� � ���� �� ����.��� ���� WebSEAL� SSL �� ����� ��� �� �
��� ����(��� �� CA ���� ���� �� �)� ��
� �� ����. �� ���� �� �� � �� WebSEAL ��
� ����� � ���� ��� � ��� ����� ����.
SSL�� � ��� ���� trusted CA(Certificate Authority)�
�� ��� ��� � ���� ��� ���� �� �� ���
��. GSKit iKeyman ����� ���� CA� ���� ��� �
�� ��� � ����. iKeyman� ���� � ��� ����
��� ���� �� �� ����. webseald.conf �� ��� [ssl]����� webseal-cert-keyfile-label ���� ���� ���� �
� WebSEAL � � ����� ������. (� � �� �
������� “default”� �� ���� �����.)
�� ����(�� ��, �� �� junction� �� �)��� �
� ���� ��� ���� iKeyman ����� ���� ��� �
� ���� �� � ��� ���� �� � ����.
41 ���� �WebSEAL� �� ������ ��� ���� �
�����.
253 ���� �iKeyman�� �� ��� ������.
106 �� 3.8
��� �� �� � �� ���webseald.conf �� ��� [certificate] ���� ��
accept-client-certs ���� ��� WebSEAL� SSL��� �
���� ���� � ��� ���� ��� ��� � ����.
�����, WebSEAL ����� ���� ��� ����.
[certificate]accept-client-certs = never
� ���� �� � �� optional � required �� ����.
�� �� accept-client-certs ���� ��� �� �� �
����.
� ��
never ������� X.509 ���� ��� ����.
optional ����� X.509 ���� ���� ���� ���
� ���� ��� � ��� ������.
required ����� X.509 ���� ���� ��� � �
�� ������. ����� ���� ���� ��
� ��� ��� ����.
��� �� ��� ��cert-ssl ���� ��� �� �� ��� �� �� ������ �
����.
¶ UNIX�� � �� ��� ���� �� libsslauthn��� �
� �� ��������.
¶ Windows�� � �� ��� ���� �� sslauthn��� �
� DLL���.
Authn����
� �����
Solaris AIX Windows HP-UX
cert-ssl libsslauthn.so libsslauthn.a sslauthn.dll libsslauthn.sl
107Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
webseald.conf �� ��� [authentication-mechanism] �����
cert-ssl ���� �� ����� ��� ��� �� �� ���
� ��� �� ���� ��� � ����.
Solaris:
[authentication-mechanisms]cert-ssl= libsslauthn.so
Windows:
[authentication-mechanisms]cert-ssl = sslauthn.dll
�� ����� ��� � ���� �� �� ��� DN� LDAPDN� �� �����.
�� ������ ��� ��� “required”� ��� HTTPS ����
� �� �� �� �� �� �����.
HTTP �� �� ��Policy Director� ���� �� ��� ����� � ���� �
�� �� HTTP � ��� � ��� �����.
� ����� �� (�� �� ) � ���� Policy Director �
�� ���� �� ��(�� �����)� �����. WebSEAL� ��� ��� ���� �� ��� �����.
WebSEAL ��� �� HTTP � ���� ��� ������ �
����. ��� ��� �� �� ���� �� ����� � ��
�� ����� ���� �� ����. ��� �� HTTP � �
��� ��� � ����.
�����, � �� ������ �� ��� ���� ���� �
���� �����.
108 �� 3.8
HTTP � �� �� � �� ���webseald.conf �� ��� [http-headers] ���� ��
http-headers-auth ���� HTTP � �� ���� �� �� �
� �� ����� ���.
¶ HTTP � �� ���� ����� “http”, “https” �� “both”� ������.
¶ HTTP � �� ���� �� ����� ��� “none”� ��
����.
�� ��, �� ����.
[http-headers]http-headers-auth = https
� �� ��webseald.conf �� ��� [auth-headers] ���� ���� ��
HTTP � ��� ��� ���.
[auth-headers]header = <header-type>
�����, � � �� ������ �� ��� � ���� �
���� ���� ����.
[auth-headers]header = entrust-client
� ��� ���� �� ���� �� � ���� �� ��� �
���, ����� � ���� Policy Director ��� ��� ��
�. API ��� ��� Tivoli SecureWay Policy Director WebSEALDeveloper Reference� ������.
HTTP � �� ��� ��http-request ���� HTTP �� � ��� ���� � ��
������ �����.
¶ UNIX�� � �� ��� ���� �� libhttpauthn���
�� �� ��������.
109Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
¶ Windows�� � �� ��� ���� �� httpauthn���
�� DLL���.
Authn ���� � �����
Solaris AIX Windows HP-UX
http-request libhttpauthn.so libhttpauthn.a httpauthn.dll libhttpauthn.sl
�����, ��� � �� ������ �� ��� � ����
��� Policy Director ��� ����� ���� ����. � �
�� ���� �� ���� �� � ���� �� ��� ����,����� � ���� Policy Director ��� ��� ���. API��� ��� Tivoli SecureWay Policy Director WebSEALDeveloper Reference� ������.
webseald.conf �� ��� [authentication-mechanism] �����
http-request ���� �� ����� ��� ��� �� �� �
��� HTTP � �� ���� ��� � ����.
�� ��, �� ����.
Solaris:
[authentication-mechanisms]http-request = libhttpauthn.so
Windows:
[authentication-mechanisms]http-request = httpauthn.dll
�� �
1. ssl-id-sessions = no�� �� ID �� ��� ������ �
���� ����. �� � �� ��� ����� �����.
2. ����� ��� �� ������ “�� ” ���(HTTP403)� �����.
110 �� 3.8
IP �� �� ��Policy Director� ����� � ���� IP ��� �� ���
�����.
IP �� �� �� � �� ���webseald.conf �� ��� [ipaddr] ���� �� ipaddr-auth ���� IP �� �� ���� �� �� �� ����� ���.
¶ IP �� �� ���� ����� “http”, “https” �� “both”�������.
¶ IP �� �� ���� �� ����� ��� “none”� ����
��.
�� ��, �� ����.
[ipaddr]ipaddr-auth = https
IP �� �� ��� ��IP ��� �� ���� ��� �� �� ������ �����. ��� ������ http-request ���� ������.
�� �� ��Policy Director� ����� � ���� �� ��� �� �
�� �����.
� �� �� � �� ���webseald.conf �� ��� [token] ���� �� token-auth ���� �� �� ���� �� �� �� ����� ���.
¶ �� �� ���� ����� “http”, “https” �� “both”� �
�����.
¶ �� �� ���� �� ����� ��� “none”� ������.
�� ��, �� ����.
111Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
[token]token-auth = https
� �� ��� ��token-cdas ���� �� �� �� ��� ���� � ��
������ �����.
¶ UNIX�� � �� ��� ���� �� libtokenauthn��
� �� �� ��������.
¶ Windows�� � �� ��� ���� �� tokenauthn��
� �� DLL���.
Authn ���� � �����
Solaris AIX Windows HP-UX
token-cdas libtokenauthn.so libtokenauthn.a tokenauthn.dll libtokenauthn.sl
�����, ��� � �� ������ SecurID �� �� �
��� ����� ���� ����. � ��� ���� �� �
��� �� �� ���� �� ��� ���� ����� � ���
� Policy Director ��� ��� ���. API ��� ��� TivoliSecureWay Policy Director WebSEAL Developer Reference� ���
���.
webseald.conf �� ��� [authentication-mechanism] �����
token-cdas ���� �� ����� ��� ��� �� �� �
��� �� �� ���� ��� � ����.
�� ��, �� ����.
Solaris:
[authentication-mechanisms]token-cdas = libtokenauthn.so
Windows:
[authentication-mechanisms]token-cdas = tokenauthn.dll
112 �� 3.8
����� ��� ��� ��Policy Director� MPA(Multiplexing Proxy Agent)� ���� �
����� �� ���� �����.
SPA(Standard Proxy Agent)� SSL � HTTP� � ���� �
� � ��� ���� ��� ���� ��������.WebSEAL � SSL � HTTP ��� � ���� ��� ��
���.
MPA(Multiplexing Proxy Agent)� �� ���� ��� ���
� �� ��������. ����� WAP(Wireless Access Protocol)� � ��� � � ������ WAP �������� ���.������ �� � � �� �� �� ���� �� ���
� �� � �� � �� � “�� ”���.
WebSEAL� � � ��� ��� ���� ��� �������
�� ���� �����. WebSEAL MPA � �� � ��
����� �� �� �� ��� ��� ���.
�� 18. MPA ������ �� ��
113Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
WebSEAL MPA� �� �� ��� ������� � ���
�� �� ��� ��� ��� ����� ���. ���� MPA� �� �� ��� � �� ���� ����� � �� �
� ��� � �� ���� ��� ���.
�� �� ��� �� � �� ��WebSEAL� � MPA�� �� �� ��� �� WebSEAL�� ������ �� �� ��� �� ��� ���. ��
� MPA � ����� �� ��� �� ��� ��� ����.
�� ��
MPA � WebSEAL ����� � WebSEAL
SSL �� ID
HTTP � HTTP �
BA � BA �
IP ��
� �
¶ ����� �� ��� ����� SSL �� ID� ��� � �
���.
¶ � ���, MPA� �� ��� ���� BA �� ����
����� �� ��� �� ���� HTTP � �� ��
���.
¶ MPA� �� ��� ���� HTTP �� ���� ����
� �� �� HTTP � ��� ��� � ����.
¶ � �� ��� �� ��� ����, �� ��� ���� �
���.
¶ MPA ��� ���� ssl-id-sessions� ��� ����. ��,ssl-id-sessions=yes� ���� SSL �� ID� HTTPS ���
�� �� ��� ������ � �����. MPA� SSL ��
ID� ��� ������ ����� � �� ���� ����
114 �� 3.8
��� ����� � ��� ��� ��� �����. �� 90 �
��� ���� �� ID ��� �� ���� ������.
WebSEAL� � MPA�� ���� �� ���� WebSEAL� �
������ ���� �� ��� ��� ���. �� �
MPA � ����� �� ��� �� ���� ��� ����.
�� ��
MPA � WebSEAL ����� � WebSEAL
�� �� �� ��
�� ��
�� ��
HTTP � HTTP �
���
IP ��
¶ � ���, MPA� �� ��(BA)� ���� ����� �� �
�� ���� ��, �� � HTTP �� �����.
¶ ��� � IP �� �� ���� ������ ��� � ��
��� �� ���� ����.
¶ ��, �� ��� ��(�� ��) ��� ���� � ��� �
�� �� ���� �� ����� ���(101 ���� ��
� �� ��� ��� ��). MPA ��� ���� ��� ��
� �����. ��� MPA�, �� ��, ��(�� ��)�� �
��� � ���, ����� ��� ��� � �� ����
���� � ����.
MPA � �� ������ �� �� ���� ��
1. WebSEAL ��� �� � �� ��� �����.
¶ ����� ��� ����� �� �� ��
¶ �� MPA ������ �� Policy Director �� ��
¶ MPA ��� webseal-mpa-servers ��� ��
115Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
2. ����� MPA ������ �����.
3. ������ ��� HTTP ���� ����.
4. ������ ����� �����.
5. ������ ���� ��� �� WebSEAL� � ���
����.
6. MPA� WebSEAL� � ����(���� �� ���� �
���) MPA(WebSEAL ��� �� ��)� �� ��� ��
����.
7. WebSEAL webseal-mpa-servers ��� �� MPA� � �
� �����.
8. MPA� �� ��� ���� ��� �� MPA ���� ���
���.
� MPA ��� � � ���� ��� ���� �� ��
� �� �� ���� ���� ����.
9. �� WebSEAL ��� ���� ��� ���.
MPA� ��� � ��� ��� ���� � �� ����
� ��� � ����.
10. ����� MPA� �� �� �� �� ���� ����
����� �����.
11. WebSEAL ���� �� ������ ��� �����.
12. � ������ ���� �� ��� �� MPA�� ��
�� ��� �� ��� ���.
13. �� �� ���� ���� �� �� �� ACL ��� �
�� �� �� �� �� ��� ���� �����.
MPA �� �� � �� ���webseald.conf �� ��� [mpa] ���� �� mpa ����
MPA ��� �� �� �� ����� ���.
¶ MPA �� ���� ����� “yes”� ������.
116 �� 3.8
¶ MPA �� ���� �� ����� ��� “no”� ������.
�� ��, �� ����.
[mpa]mpa = yes
MPA� �� ��� �� ���� �� ��� �� ��� �� Tivoli SecureWay PolicyDirector Base � �� � Tivoli SecureWay Policy Director WebPortal Manager � ��� ������.
webseal-mpa-servers ��� MPA �� ���� �� �� ��� �� Tivoli SecureWay Policy Director Base� �� � Tivoli SecureWay Policy Director Web Portal Manager� ��� ������.
MPA �� ����� ���� Policy Director� ��� WebSEAL � �� MPA� �
����.
117Tivoli SecureWay Policy Director WebSEAL �� ���
4.W
ebS
EA
L�
�
118 �� 3.8
�� ��� �� � ���
� ��� ��� � WebSEAL� ��� � �� ���� ��
� �� �� �� �� �� ���� ��� � ��� �� ��
��. � ��� � �� �� ��� �� �� � ���� �
���.
�� �� �� ����.
¶ �CDSSO �� ���
¶ 125 ���� �e-Community �� �� � ���
CDSSO �� ��Policy Director� CDSSO(Cross Domain Single Sign-on)� �� �
� � ���� � ��� ��� ����� �� ���� ��
���. CDSSO� � ���� �� �� �� ���� � �� ��
� ��� ��� ���� ����� ���. CDSSO �� ���
��� �� � � ���� ����(e-Community SSO ��).
CDSSO� �� �� � ���� ��� ��� � ��� ��
�� ��� �����. �� ��, � ��� ������� ��� �
�� �� � ��� ��� � � ��� �� ���� ��� �
���. CDSSO� �� �� ��� ��� �� ��� ��� �
���.
5
119Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
���� �� ���� ��� ��� �� ��� �� CDSSO ��
� ��� ��� �� ��� � �� ����� � �� ��
��� �����. �� � �� ��� ��� ��(� �� ���
�� ���)� ��� �� ���� �� ���� ��� ����.
��� �� CDMF �� ����� �� CDSSO ������, �� �� ���� �� ���� ���
�� � � � ��� �� �� ����� ����� �� � ���
�.
CDMF(Cross Domain Mapping FrameWork)� � ��� ���
��� � ��� ��� ��� �� �� ���� ��� � �� �
�� �� �� ������ ��� � �� �� ����� ���
�����.
CDMF ����� ������ ��� �� �� � ��� �� �
�� ���� �� ���� � �� ���� �����.
CDMF� ��� CDSSO� �� �� ���� ����� ���� � ��19�� �����.
1. �� ���� ����� ���� � ���� ��� ��� �
�� ��� ��� �� ���� � �� ���� ��� ���
��� � �� ��� ��� ��� ���.
���� ���� ��� ���� �� �� � ���(A)� �
��� ��� CDSSO ��� ��� � ����.
2. ���� � ���� �� ��� �� �� � ��� B� �
�� ����� �����.
� ��� �� �� CDSSO ��� �����.
/pkmscdsso?<destination-URL>
�� ��, �� ����.
/pkmscdsso?https://www.domainB.com/index.html
120 �� 3.8
3. �� �� ��� A� �� WebSEAL � �� �����.WebSEAL ���� Policy Director ��(� �), �� ��
�(“A”), �� ��� �� � ����� ���� �� ��� �
����.
�� ��� ��� ���� �� �� CDMF �� �����
(cdmf_get_usr_attributes)� ���� �����. � �����
� ��� �� ���� � ��� B� � ��� � �� ��
� ��� ��� � ����.
WebSEAL triple-DES� cdsso_key_gen ����� � ����
�� � � �� ���� ������. � �� ��� A ��� B WebSEAL � � �� webseald.conf �� ���
[cdsso-peers] ����� ���� ����.
���� ��� �� ���� �� ���
����(authtoken-lifetime)� ���� ����. ���� ��
�� ���� �� ��� �� � ����.
4. ��� A WebSEAL � � �� ��� ��� ����� �
� �� ��� B WebSEAL � (HTTP �� ���)� ��
��.
5. ��� B WebSEAL � � �� ��� �� ���� ��
�� ������� ���� ��� ��� ��� ��� ��
����.
6. ��� B WebSEAL � � �� CDSSO �� ��� ����
�� �����. � CDSSO ������ �� � ��� ��
� ���� ��� �� CDMF �����(cdmf_map_usr)� �
����.
CDMF ������ ��� �� � ����� �� ��� ��
��� �� CDSSO ������ �����. CDSSO �����
� � ��� ���� ��� �����.
7. ��� B �� ���� ���� �� � �� �� � �
�� ACL ��� ���� �� �� �� �� ���
���� �����.
121Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
CDSSO �� �� � �� ���webseald.conf �� ��� [cdsso] ���� �� cdsso-auth ���� CDSSO �� ���� �� �� �� ����� ���.
¶ CDSSO �� ���� ����� “http”, “https” �� “both”�������.
¶ CDSSO �� ���� �� ����� ��� “none”� ����
��.
�� ��, �� ����.
[cdsso]cdsso-auth = https
CDSSO �� ��� ��cdsso �� ���� �� �� ��� �� �� �� ���
��� �����.
�� 19. CDMF� ��� �� ��� �� � ����
122 �� 3.8
¶ UNIX�� � �� ��� ���� �� libcdssoauthn���
�� �� ��������.
¶ Windows�� � �� ��� ���� �� cdssoauthn��
� �� DLL���.
Authn ���� � �����
Solaris AIX Windows HP-UX
cdsso libcdssoauthn.so libcdssoauthn.a cdssoauthn.dll libcdssoauthn.sl
webseald.conf �� ��� [authentication-mechanism] �����
cdsso ���� �� ������ ��� �� �� ����
CDSSO �� ���� ��� � ����.
�� ��, �� ����.
Solaris:
[authentication-mechanisms]cdsso = libcdssoauthn.so
Windows:
[authentication-mechanisms]cdsso = cdssoauthn.dll
�� � ��� ���WebSEAL ��� �� �� ���� cdsso_key_gen ����� �
���� � ���� ���� ���. ���� � ���� �
� ��� WebSEAL � ��� ���� � � “���”
� ���. � ���� ���� WebSEAL � � � � ��
� ���.
�: ��� ���� ���� � Policy Director CDSSO ��
��� ��� ����.
cdsso_key_gen ����� �� � � ����� ��� ��(�� �� �)� ��� ���.
123Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
UNIX: # cdsso_key_gen <absolute-pathname>
Windows: MSDOS> cdsso_key_gen <absolute-pathname>
� ����� ���� WebSEAL � �� webseald.conf �� �
�� [cdsso-peers] ���� ��� ��� ������. � ��
�� �� WebSEAL �� � �� ��� �����.
[cdsso-peers]<webseal-machine-name> = <keyfile-location>
��� A �� ��:
[cdsso-peers]www.domainB.com = <pathname>/A-B.key
��� B �� ��:
[cdsso-peers]www.domainA.com = <pathname>/A-B.key
�� ���� A-B.key �� ��� ���� ����(�: WebSEALA), ����(���) �� ��(�: WebSEAL B)� �����.
� ���� ������ �� ��� �� ���� �� ��� ����� ���
� ����. ����� ���� �� ���� ��� ���� �
� ��� �����. ���� ��� ��� � � ����
�� ��� �� � �� ��� ��� ��� �� � ���
���.
webseald.conf �� ��� [cdsso] ���� �� authtoken-lifetime���� �� � �� ����. � � ��� ����. �
�� 180���.
[cdsso]authtoken-lifetime = 180
���� ��� ��� �� � � ��� ���.
124 �� 3.8
CDSSO HTML �� ��2� � ���� �� ����� HTML �� �� � ��
CDSSO ��� ��� ���.
/pkmscdsso?<destination-URL>
�� ��, �� ����.
/pkmscdsso?https://www.domainB.com/index.html
�� � ���� ��� �� ��(�: ��� � � ��)� ����� ���
�� ��� �� ���� ��� ��� �����. ��� �� �
�� � ������ ����� ���.
WebSEAL � ��� ��� � ��� �� SSL� ���� �
� ��� �� �����. �� ���� ���� �����
�� � ����. ��� ���� ��� � �� � ����
�� ��� ��� ���� ��� ���.
��� �������� �� �� �� ����� ����. ���
����� � �� � ����� ���� �� ��� �� ��
�� ��� ��� ��� � ����.
��� “�� CDSSO �”� �� � ����. �� �� CDSSO���� ���� �� WebSEAL � � �� � �� �� �
�� � �� ���. ��� ��� ��� ���� � ���� �
���� ���� �� ���� ���� ���� ���.
e-Community �� �� � ��E-community �� �� � Policy Director ���� �� ��� �
�� � �� �����. �� ��� ��� �� ���� ���
��� �� ���� �� � � � �� ��� ��� � ��
�� ����.
125Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
“e-community”� ���� �� ���� �� ���(Policy Director�� DNS)� �����. ��� ���� ��� � ����� �
���(��� ��� ��� � �� �� DNS �� ����), �
� �� �� �� �� �� ����(�: ��, � �� �� �
�� � ��)�� ��� � ����.
�� ��� ����� �� “�” �� “���” ����� �� �
��� �� ����. ���� ����� ���� � ����
e-community� ��� ���� ��� �����.
� ���� ���� e-community� ���� ���� � �� �
�(��� ���� ��� � � ��� ����)� � �����
�������. ��� �� e-community �� �� ��� ���
�� � ���� ���� � �� � !�� �� � ��� �
� � �� ���.
� �� �����, Policy Director Web Portal Manager� ����
���� ���� ��� ���� �� ����� ��� ���
�� ��� � ����.
�� ����� � �� ���� ���, � ��� A(dA.com) �
��� B(dB.com)� �� � e-community� �����. � ���
� ��� A� � �� ��� ���� �����. ��� B� ��,� “��” ������.
126 �� 3.8
� ��� ���� “��”���. �, ���� �� ��� ���
��. ���� ���� �� ��� �� ��� ���� �� �
����� ��� ���.
��� �� � (MAS), � � ���� �� ��� �� ����
����� �� � (�� ��� � ��)� � ��� ���
��. �������� MAS� mas.dA.com�� �����. MAS���� �� ���� ���� ��� ����� ���. MAS�� �
���� �� ��� ��� �� ���� ���.
�� ���� MAS� ����� ���� �� MAS� “vouch for”��� �����. � �� �� ���� ���� �� � � �
����. � � � “vouch for” ���, ���� ����� MAS����� e-community� ��� � ��� ��� ����.
�� 20. e-Community ��
127Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
e-community ��� �� �� �� 129 ���� �e-Community �
��� �� �� �� �� ����.
e-Community �� � ����
¶ � �� �� URL(� �)� �� �� ��� �����. ��� �� �� pkmscdsso �� ���� CDSSO ��
������(119 ���� �CDSSO �� ��� ��).
¶ e-community ���� e-community� ���� �� ���� �
� WebSEAL � � � � ��� �����.
¶ e-community ��� ���� �� ���� � ���� ���
�� ��� �� � (MAS)� � �����.
¶ e-community �� ���� MAS� ��� ��� ��� ��
�� ��(�� ��, ��� B� ��� ��� A-��� Be-community� ���� �� ���), �� ������ “��”��� ����.
MAS� ���� ���� ���� �� �� ��� MAS� ��� �� ������ ���� �� �� � � ��� �
�� ��� �����.
¶ MAS(� �� �� ����� �� �� � �)� ���� �
� ��� “��(vouch for)”���.
¶ ��� �� �� ���� “vouch for” ���� ��� � �
� � � �����. ��� �� ���� �� � �� “vouchfor” ��� � � ��� � ����. e-community �� ��
� ���� ��� ���� � ��� �� �� ����.
¶ ��� “vouch for” ��� ��� ���� ��� �� ���
�����. “vouch for” ���� � ��� �� ��� ��
�� ����. �� � (triple-DES)� ���� �����. �
��� ��� ��� �� ��� ���� ���(�) �� �
� ����.
¶ e-community �� HTTP HTTPS�� �� �����.
128 �� 3.8
¶ �� e-community ���� � �� ��� �� � � �
�� ����. CDMF(Cross Domain Mapping Function) API� ���� �� ���� ���� �� ���� ��� ���
� ��� � ����.
e-community ���� �� ��� ��� ���� ���� �
�� �� ��� ���� ����.
¶ e-community� �� �� ��� ���� WebSEAL � �
webseald.conf ���� ����.
e-Community ���� ��e-community� ��� �� WebSEAL � (MAS), � ��� � �
� ���� ��� �� WebSEAL � � �����. MAS�
WebSEAL � � �� ������ �����, �� ��� �� �
�� WebSEAL ���� ��(�� ���� MAS� ���� ��)� ��� � ����.
���� �� �� � �� WebSEAL � � �� ���� ��
� � ��� MAS� ����� ��� ���. �� � ���� �
��� �� �������, �� ���� � ��� � ���
����. �� ��, �� ���� �� � � �� ��� ����
� ��� � ����. ��� � ��� ���� �� ���
� e-community ���� �� ����� e-community ����
� ��� � ����.
e-community �� “vouch for” ���� ��� ���. ��, ��
�� ��� ��� ���� � WebSEAL � ��� ��� ��
� ��� WebSEAL� ����� �� ��� �� � ��� �
���. e-community ���� WebSEAL � � “vouch for” � �
���� ���� ��� � “vouch for” � ��� ��� ����
�.
“vouch for” � � � ���� �� ��� �� ��� ��� �
���. ���� �� ��� �� “vouch for” � � �� MAS���. MAS� � ���� ��� ��� �� “vouch for” � ��
129Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
�� �����. ���� e-community� �� �� ��� ����
��, � �� ���� �� �� � � ���� �� ��� ���
����(MAS���� ��� �� ��� ����) ��� ����
�� ��� �� “vouch for” � � ��� �� � ����.
“vouch for” � � �� �� “vouch for” ��� ��� ����.“vouch for” � � ��� ���� �� ���� WebSEAL � �
�����. ��� �� ��� �� ��� ������. ���� �
��� ����.
“vouch for” �� ��� ���� � � �� � � ���� ��
�� ��� �����. �� ���� �� �� ��� ���� �
� ��� ��� � ����. ���� �� ���� ��� �
�� ���, �� e-community ��� ���� ���.
� �� ����� e-community ���� �� �� �� ����
�� ������. ���� ���� � �� ��� FIRST ��
����(1 � 2)� � ���. �� ���� 2 �� 3 � �
���� � �� ��� NEXT �� ����(3 � 4)� ����.���� 5� �� �� ���� �����.
130 �� 3.8
“Vouch For” ��
¶ ���� e-community ��� ���� ���� ���� ��
� �� MAS� �����.
MAS� �� � ��� ����, �� ����� ���� �
��. MAS� ��� �� � ��� ��� ��, ��� ���
����� ������ ���. ��� ��� �� ���
��� �� ��� � ���� ����.
¶ MAS� �� � ���(� ����� ��� A)� �� “vouchfor” � ���.
¶ ��� �� e-community �� ���� ��� ��� �� �
� �� � � �� “vouch for” � � �����. “vouch for”� � MAS��� “vouch for” ��� ���� ��� � � �
� � ���. “vouch for” � � ��� �� ���� ��
“vouch for” ��� �����. ��� �� ������ “vouchfor” ���� �� � ��� MAS� ���� �� � �
�� 21. e-Community ���� �
131Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
�� � � ���� � ����. � ����� e-community �
� MAS� “vouch for” � �� �����.
(1) � �� e-Community ��: WebSEAL 1(��� A)
¶ ���� WebSEAL 1(MAS ��� ��� �)� � ����
��� �����. ������ � ���� �� e-community �
� �� �� ����. WebSEAL 1 ���� �� �� �
�� ��� �� ����.
¶ WebSEAL 1 ���� e-community ��� ���� MAS� �
�� �����. WebSEAL 1 ���� ��� MAS�� ��
“vouch for” URL� �����.
¶ MAS� “vouch for” ��� �, � ���� �� ���
� ��� ����� ������ � �����.
¶ ��� ���, MAS� ���� �� ��� ����, �� ��
� ���, ��� “vouch for” �� �� ���� ���
WebSEAL 1�� �� ��� URL� �����. �� ��� A�� e-community �� ������ ���� � ���(� �
�, MAS)� �� “vouch for” � � �����.
��� ��� �� MAS� ��� ���� “vouch for”��� �����. � �� �� �� “vouch for” �� ��
� � ��� �����. ���� � � ���� �� �� �
�� � ��� �� ��� ����.
¶ WebSEAL 1 ��� �� ��� ���� �� �� ���
�����.
�: ��� ��� ���� �� ��� ��� ���. �� �
�� ���� WebSEAL 1� CDMF(Cross Domain MappingFramework)� ��� ���.
¶ �� �� ���� ��� ���� �����.
(2) � �� e-Community ��: WebSEAL 3(��� B)
132 �� 3.8
¶ ���� WebSEAL 3(�� ��� B)� � ���� ��� �
����. ������ � ���� �� e-community �� �
� �� ����. WebSEAL 3 ���� �� �� ��� �
�� �� ����.
¶ WebSEAL 3 ���� e-community ��� ���� MAS� �
�� �����. WebSEAL 3 ���� ��� MAS�� ��
“vouch for” URL� �����.
¶ MAS� “vouch for” ��� �, � ���� �� ���
� ���, ����� ������ � �����.
¶ ��� ���, MAS� ���� �� ��� ����, �� ��
� ���, ��� “vouch for” �� �� ���� ���
WebSEAL 3�� �� ��� URL� �����. �� ��� A�� e-community �� ������ ���� � ���(� �
�, MAS)� �� “vouch for” � � �����.
��� ��� �� MAS� ��� ���� “vouch for”��� �����. � �� �� �� “vouch for” �� ��
� � ��� �����. ���� � � ���� �� �� �
�� � ��� �� ��� ����.
¶ WebSEAL 3 ��� �� ��� ���� �� ��� ��
� �����.
¶ WebSEAL 3 WebSEAL 3� ��� B� �� “vouch for” �
� ����� ����� � �� e-community �(��� B� � ���)� ���� ����.
¶ �� �� ���� ��� ���� �����.
(3) �� e-Community ��: WebSEAL 2(��� A)
¶ ���� WebSEAL 2(MAS ��� ��� �)� � ����
��� �����. ������ MAS� “vouch for” � �� �
��� ��� A e-community �� �� �� ����.WebSEAL 2� � �� ���. WebSEAL 2� ���� �
� �� ��� ��� �� ����.
133Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
¶ WebSEAL 2 ���� e-community ��� ���� MAS� �
�� �����. ��� A e-community �� ��� MAS ��� �� WebSEAL 2 ��� �����. �� WebSEAL 2�“vouch for” � � ��� �����. (���� 2� � ���
� ��� A � � ��� � ��� B � �� �����
� �������.)
¶ WebSEAL 2� ��� �� ��� A “vouch for” � (� �
�, WebSEAL 2� ��� A� ���� MAS)� �� ��
“vouch for” URL� ���� ��� �����.
¶ MAS� “vouch for” ��� �, ���� � ���� �� �
�� ���(���� 1 2�� ��).
¶ MAS� ��� “vouch for” �� �� ����� WebSEAL2�� �� ��� URL� ��� �����.
¶ WebSEAL 2� ��� �� ��� ���� �� ��� ��
� �����.
¶ �� �� ���� ��� ���� �����.
(4) �� e-Community ��: WebSEAL 4(��� B)
¶ ���� WebSEAL 4(�� ��� B)� � ���� ��� �
����. ���� 2� � ���� ��, ������
WebSEAL 3� “vouch for” � �� ���� ��� Be-community �� �� �� ����. WebSEAL 4� ���
� �� �� ��� ��� �� ����.
¶ WebSEAL 4 ���� e-community ��� ���� MAS� �
�� �����. ��� B e-community �� ��� MAS ��� �� WebSEAL 4 ��� �����. �� WebSEAL 4�“vouch for” � � ��� �����. (���� 1� � ���
� ��� B � � ��� � ��� A � �� �����
� �������. �� MAS ��� �� �����. �� �
� WebSEAL 4� ��� B� �� “vouch for” � � ���.)
134 �� 3.8
¶ ���� 2� � ���� ��, WebSEAL 4� ��� B �
�� �� ��� B “vouch for” � (���, WebSEAL 3)��� �� “vouch for” URL� ���� ��� �����.
¶ WebSEAL 3 “vouch for” ��� �, ���� � ����
�� ��� ���(���� 2�� ��).
¶ WebSEAL 3 ��� “vouch for” �� �� �����
WebSEAL 4�� �� ��� URL� ��� �����.
¶ WebSEAL 4� ��� �� ��� ���� �� ��� ��
� �����.
¶ �� �� ���� ��� ���� �����.
(5) � � e-Community ��: WebSEAL 2(��� A)
¶ ���� ���� WebSEAL 2(��� A)� �����. ����
3� ��� ��, WebSEAL 2� ���� �� �� ��� �
�� ����.
¶ �� �� ���� ��� ���� �����.
e-Community�� ����
¶ ���� ����� ��� ������ �� SSL �� ��
e-community �� �����.
¶ ���� /pkmslogout ���� � ������ � ����
�� SSL �� � e-community �� �����.
e-Community ��� �� ��
¶ e-community �� � WebSEAL � � � ��� ���
�� ���, ���� ���� ���� ��� � ��� �
� WebSEAL � (��� ��� �� ��)� �����.
¶ ��� �� ��� “vouch for” � � �, e-community �
�, “vouch for” � � �� ��(URL), ��� � �� ��
����. �� ��� ��� �� �� ����.
135Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
¶ e-community �� ���� ���� � � ��� ���
“vouch for” ��� ��� � �� ���. MAS� ���� �
��� �� e-community �� � ��� ��� ���.
¶ �� webseald.conf �� ���� ��� �(���) �� ��� ����. � � � �� � � ��� ��� �
��� �� “vouch for” ��� ��� � ���� �����. �
�� ���� ���� ��� � MAS� ���� ���.
¶ ����� ��� �� ����� �����. ���� �� �
���� ������ e-community �� �����. ��� �
�� �� ������� ���� �����.
“Vouch For” �� � ��� �� ��e-community “vouch for” ���� �� �� � �� URL(“vouchfor”�� “vouch for” �)� � ���� �� ��� ����
�. ��� URL webseald.conf� �� ��� ���� e-community“vouch for” HTTP �� ��� � �����.
“vouch for” ��
“vouch for” �� ���� � ���� �� �� ��� ��� �
� � �� � (e-community� � �� )��� ��� ��� �
������. � � “vouch for” � (MAS� e-community ���
�� � � ��)� HTTP �� ���� ����.
“vouch for” ���� �� � ��� �� ����.
https://<vouch-for-server>/pkmsvouchfor?<ecommunity-name>&<target-URL>
�� � � ecommunity-name� ���� e-community ��� ��
����. �� � � “vouch for” �� target-URL� ���� �
��� ��� �� �� ��� ���� �����.
pkmsvouchfor “vouch for” URL �� �����.
�� ��, �� ����.
136 �� 3.8
https://mas.dA.com/pkmsvouchfor?companyABC&https://ws5.dB.com/index.html
“vouch for” ��
“vouch for” � “vouch for” � ��� �� � �� ����.
“vouch for” ��� �� � ��� �� ����.
https://<target-URL>?PD-VFHOST=<vouch-for-server>&PD-VF=<encrypted-token>
PD-VFHOST ���� “vouch for” ��� ��� � � ����
�. ��(��) � � � ��� ���� “vouch for” ��(PD-VF)� �� ��� � ��� ��� � �����. PD-VF ���
� ��� “vouch for” ��� �����.
�� ��, �� ����.
https://w5.dB.com/index.html?PD-VFHOST=mas.dA.com&PD-VF=3qhe9fjkp...ge56wgb
“Vouch For” �� �� ���� ��� �� �� �� ����� �� ��� �� ��� �
� �� ����� ���. ��� ��� ��� URL� ���� �
�� �� ��� ���� �� ���� ���� �����. ��
� ��� ���� “vouch for” ����� ���.
¶ ���� “vouch for” �� �� ��, ���� ��(���
��), ��� ��� � � ��� �, e-community �� � �
� �� �� �� ����.
¶ ��� “vouch for” ��� ��� ��� � � � ����
���� ��� � ��� ���� � �� ��(� �� ��)���� � ����.
¶ �� ��� ��� � ��� �� triple-DES � � ��
�� ������.
¶ ��� �� ��� ����� ��� ����.
137Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
¶ �� � �� �����. �� � � � ��� ���� ��
� ��� ��� ��� �����. � � ��� �� �
� ���� � ��� � ��� �����.
¶ �� webseald.conf �� ���� ��� �(���) �� ��� ����. � � �� ��� ��� ��� � ��
�� � ����(� ��).
“Vouch For” � ���WebSEAL cdsso_key_gen ����� � ���� � ����
��� �� �� ���� ���� ���. ���� � ���� �
� ��� WebSEAL � ��� ���� � � “���”
� ���. � ���� ���� WebSEAL � � � � ��
� ���.
�: ��� ���� ���� � Policy Director e-community �
���� ��� ����. ���� � � � �� ��� �
��� ���.
cdsso_key_gen ����� �� ��� � ����� ��� �
�(�� �� �)� ��� ���.
UNIX: # cdsso_key_gen <absolute-pathname>
Windows: MSDOS> cdsso_key_gen <absolute-pathname>
��� ���(� � ��) �� � � �� ���� ��� �� �
��� � ���� � ��� webseald.conf �� ���
[e-community-sso] ����� intra-domain-key ���� ����
�����.
[e-community-sso]intra-domain-key = <absolute-pathname>
MAS, �� ���� �� � � �� �� ��� �� ���
� � ���� ��� ��� [inter-domain-keys] ���� ��
138 �� 3.8
���. MAS ��� ���� �� �� � �� inter-domain-keys� ���� ����. MAS� �� ���� �� � ���� �
��� ��� � ���.
[inter-domain-keys]<domain-name> = <absolute-pathname><domain-name> = <absolute-pathname
e-Community ��� ���� e-community ��� ��� �� �� ���� � �
����. �� ���� webseald.conf ��� ����.e-community�� ���� � � � � � ��� �� �� ��
� ���.
e-community-sso-auth
� ���� e-community ��� �� �� �� ����� ���.��� “http”, “https”, “both” �� “none”� �����. �� ��,�� ����.
[e-community-sso]e-community-sso-auth = both
“http”, “https” � “both”� � e-community ���� ���� �
� ��� �����. “none”� � � � � �� e-community� �� ����� ���. �� � “none”���.
master-http-port
e-community-sso-auth� HTTP e-community ��� ���� ���
�� � � HTTP ��(�� 80)� �� �� ���� HTTP ��� ���� master-http-port ���� � ��� �����.� � � ��� �� � � ���� � ���� �����. �
����, � ���� ��� � ����.
[e-community-sso]master-http-port = <port-number>
139Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
master-https-port
e-community-sso-auth� HTTPS e-community ��� ���� ��
� �� � � HTTPS ��(�� 443)� �� �� ����
HTTPS ��� ���� master-http-port ���� � ���
�����. � � � ��� �� � � ���� � ���� �
����. �����, � ���� ��� � ����.
[e-community-sso]master-https-port = <port-number>
e-community-name
� ���� ���� �� ���� ���� �� � � ��
e-community� �� �� �����. �� ��, �� ����.
[e-community-sso]e-community-name = companyABC
e-community-name � e-community� ���� �� ���� �
� WebSEAL � � � ��� ���.
intra-domain-key
� ���� � � ��� ��� ��� ��� ����� ��
��� � ���� ��� ��� �����. �� ��, ��
����.
[e-community-sso]intra-domain-key = /abc/xyz/key.file
� ���� � ��� ��� ��� � �� �� WebSEAL� � �� ��� ��� ��(���) ��� ���.
is-master-authn-server
� ���� � � � MAS�� ��� �����. ��� “yes” �
� “no”� �����. �� ��, �� ����.
140 �� 3.8
[e-community-sso]is-master-authn-server = yes
�� �� WebSEAL� ��� �� � � ����� ��� ��
��� �� ��� � ����. � ������ �� ����
e-community� �� �� WebSEAL � � � MAS�� “��”�
��.
master-authn-server
is-master-authn-server ���� “no”� ��� � ���� �
�� ��� ��� ���. � ���� MAS� ��� ��� �
� �����. �� ��, �� ����.
[e-community-sso]master-authn-server = mas.dA.com
vf-token-lifetime
� ���� “vouch for” ��� � ��� �(� ��)� ��
��. � � ��� �� ����� � �����. ��� 180����. ���� � � ��� �� � � ��� ���. �� �
�, �� ����.
[e-community-sso]vf-token-lifetime = 180
vf-url
� ���� “vouch for” URL� �����. � ���(/)� ��
� ���. ��� /pkmsvouchfor���. �� ��, �� ��
��.
[e-community-sso]vf-url = /pkmsvouchfor
� URL� �� �� ����.
vf-url = /ecommA/pkmsvouchfor
ec-cookie-lifetime
141Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
� ���� e-community ��� �� �� �(� ��)� ��
���. ��� 300����. �� ��, �� ����.
[e-community-sso]ec-cookie-lifetime = 300
��� �
MAS, �� ���� �� ���� � � ���� ��� ���
�� �� ��� � ��� ��� ��� [inter-domain-keys]����� �����. � � �� ��� ��� � �� �
�� �� �� �� �� ��� ���.
�� ��� MAS(��� A)� � �� �� ��� ���� ��
��� �����.
[inter-domain-keys]dB.com = /abc/xyz/key.fileBdC.com = /abc/xyz/key.fileC
� ���� key.fileB� ��� A ��� B ��� �� �
�� �����. key.fileC� ��� A ��� C ��� ��
��� �����.
��� �� � �� MAS� � �� ��� ��� ��� �
�� ���. MAS(��� A) ��� ���� ��� B� �� �
�
key.fileB� ��� ��� ���.
[inter-domain-keys]dA.com = /efg/hij/key.fileB
MAS(��� A) ��� ���� ��� C� �� � �
key.fileC� ��� ��� ���.
[inter-domain-keys]dA.com = /efg/hij/key.fileC
142 �� 3.8
CDSSO �� ��� ��e-community ���� cdsso �� ���� ��� ���. ��
�� � � “vouch for” ��� �� �� �� ����� ��� �
�� ��� � � ���� �����. cdsso �� ���� ��
�� ��� �� �� �� ������ �����.
¶ UNIX�� � �� ��� ���� �� libcdssoauthn���
�� �� ��������.
¶ Windows�� � �� ��� ���� �� cdssoauthn��
� �� DLL���.
Authn ���� � �����
Solaris AIX Windows HP-UX
cdsso libcdssoauthn.so libcdssoauthn.a cdssoauthn.dll libcdssoauthn.sl
webseald.conf �� ��� [authentication-mechanism] ����
cdsso ��� �� ����� ��� ��� �� �� ����
CDSSO �� ���� ��� � ����.
�� ��, �� ����.
Solaris:
[authentication-mechanisms]cdsso = libcdssoauthn.so
Windows:
[authentication-mechanisms]cdsso = cdssoauthn.dll
143Tivoli SecureWay Policy Director WebSEAL �� ���
5.�
��
��
��
��
��
144 �� 3.8
WebSEAL Junction
WebSEAL � ��� � ������ � �� ��� WebSEALjunction �� junction��� ���. WebSEAL junction ���
� WebSEAL � ��� � ������ � �� TCP/IP �����. junction WebSEAL� ��� � � �� � ��� ���
� �� ���.
pdadmin �� ���� �� Web Portal Manager� ����
WebSEAL junction� ��� � ����. � ��� WebSEALjunction ��� � � ��� � ���.
�� �� �� ����.
¶ 146 ���� �WebSEAL Junction ���
¶ 149 ���� �“pdadmin � ���”� ��� Junction ���
¶ 150 ���� ��� WebSEAL Junction ���
¶ 153 ���� ��� �� SSL Junction�
¶ 157 ���� �TCP � SSL ��� Junction ���
¶ 158 ���� �SSL� �� WebSEAL�� WebSEAL��
Junction�
¶ 159 ���� ��� Junction ���
¶ 178 ���� �WebSEAL Junction ��� �� � �����
6
145Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
¶ 181 ���� ���� � �� query_contents ���
WebSEAL Junction ���� � WebSEAL junction ��� ��� � ����.
¶ TCP ��� �� WebSEAL�� ��� � �
¶ SSL ��� �� WebSEAL�� ��� � �
¶ HTTP ��� � ��� TCP ��� �� WebSEAL�� ���
�
¶ HTTPS ��� � ��� SSL ��� �� WebSEAL�� ��
��
¶ SSL ��� �� WebSEAL�� WebSEAL�
junction� ���� �� �� � �� ��� ��� ���.
1. WebSEAL �� � ���� � ������ � � junction(��)� ��� ������.
2. junction ��� ������.
Junction ������ �� � ��WebSEAL junction ��� �� XML ��� ������ ��� �
���. junction ������ ����� ��� webseald.conf �
� ��� [junction] ���� �����. ����� WebSEAL �
��([server] ����� server-root ���)� ������.
[junction]junction-db = jct
¶ � junction ��� .xml� ��� ��� �����.
¶ pdadmin ����� ���� junctions � ��� ���� �
� � ����.
¶ XML ��� ���� junction ��� �� ��, ��, �� � �
�� � ����.
146 �� 3.8
���� � ��� � ��: ��
1. pdadmin ���� �� Web Portal Manager� ����
WebSEAL ��� � �� junction� ������.
2. junction ���� ��� ACL Policy� ���� ��� � � �
� ���� � ��� ������.
��� ��� � ��: ��
1. pdadmin ���� �� Web Portal Manager� ����
WebSEAL ��� � ���� junction� ������.
WebSEAL ��� �� ���� ���� “��” �� � �
���. �� � ��� �� �� ���� �� ���
WebSEAL� ���� query_contents�� �� ������� �
��� �� �� � ��� WebSEAL� � ��� ���.
2. query_contents ����� ��� � � ������.
3. �� �� � ��� �� ��� �� �� ACL Policy� �
�����.
WebSEAL Junction �� �� ���� � junction� �� “�”� ��� ����.
¶ �� WebSEAL �� � �� ����� junction� ��� � �
���.
¶ ��� �� ����� �� ��� � � junction� � ��
��.
��� junction ����� �� �� ��� � � ��(TCP�� SSL)� ��� ���.
¶ ACL policy� junction� � ��� � � �����.
¶ junction ���� �� WebSEAL � � � ��� �� �� �
���� ���� ���. �� ��, WebSEAL� /path/...��� ��� ��� ��� /path�� �� junction ����
���� ����.
147Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
¶ � � ���� �� HTML ���� � ����� �� �
� URL� �� ����(�: Javascript �� ��")� ��� �
� junction ���� ��� � � � ��� �� �� ����
� ���� ���. �� ��, ��� � � ���� ��
���� /path/... ��� URL� �� ����� ��� ��, /path�� �� junction ���� ���� ����.
WebSEAL Junction�� HTTP 1.0�� ���WebSEAL junction�� HTTP 1.0�� �����. � ���� �
�� junction � �� �� ������� �� �� �� ��
� ��� � � ����.
� ��� ���� RFC ��
� ��� ( ��� ���
WebSEAL)
HTTP/1.0 � HTTP/1.1 RFC2068
���(WebSEAL�� junction
� )
HTTP/1.0 �� RFC1945
�: ���� ���� HTTP/1.0 “Keep-Alive”� ���� ����.HTTP �� �� HTTP/1.1� � �����.
WebSEAL Junction� �� �� �WebSEAL junction ��� ��� 9 ���� �WebSEAL Junction� �� ��� ������.
junction � ��� �� ��� �� 245 ���� �WebSEALJunction ���� ������.
148 �� 3.8
“pdadmin �� ���”� ��� Junction ��pdadmin� ���� �� sec_master � ����� � ����
���� ���.
�� ��, �� ����.
UNIX:
# pdadminpdadmin> loginEnter User ID: sec_masterEnter Password:pdadmin>
Windows:
MSDOS> pdadminpdadmin> loginEnter User ID: sec_masterEnter Password:pdadmin>
WebSEAL junction� ����� pdadmin server task �� ��
����.
pdadmin> server task <server-name> <task>
server-name ��� � �� � � � ��� �� PolicyDirector ����(�: WebSEAL)� �� �����.
<policy-director-component>-<machine-name>
�� ��, �� �� cruz�� Policy Director ����� WebSEAL�� server-name �� ����.
webseald-cruz
server list �� ���� � � ��� ��� � ����.
pdadmin> server listwebseald-cruz
149Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
�� WebSEAL Junction ��WebSEAL TCP(HTTP) � WebSEAL ��� � ����
�� � �� � SSL(HTTPS) junction� �� �����.
WebSEAL ��� � �� junction ���� WebSEAL �
�� �� ��(� � � �) �� ����.
pdadmin� ���� �� WebSEAL junction� ����� �� �
�� � ��� �����.
¶ ��� ������ � � ��� �(-h ��)
¶ junction ��: tcp, ssl, tcpproxy, sslproxy, local(-t ��)
¶ junction ���(�� ���)
pdadmin> server task <server-name> create -t <type> -h<host-name> <jct-point>
�� ��, �� ����.
pdadmin> server task webseald-cruz create -t tcp -h doc.tivoli.com /pubs
TCP �� JunctionTCP ��� �� WebSEAL junction junction� �� ��� ��
��� junction �� � � ��� ����� ����.
�� 22. �� TCP(HTTP) Junction
150 �� 3.8
� TCP junction� ���� �� � � ����� -t tcp ��
�� create �� ������.
pdadmin> server task <server-name> create -t tcp -h <host-name>[-p <port>] <jct-point>
TCP junction� �� �� �� �(���� � ��) 80���.
SSL �� JunctionSSL junction TCP junction �� ��� ��� ����
WebSEAL ��� � �� �� ��� ����� ��� ��
�.
SSL junction � ����� ������ ��������� ��
��� ����. SSL� ���� ������ WebSEAL�� �
�, WebSEAL�� ��� � �� ��� ��� � ����. �
�� � � SSL junction� ��� � HTTPS� ��� � ��� �
��.
� SSL junction� ���� �� � � ����� -t ssl �� �
� create �� ������.
pdadmin> server task <server-name> create -t ssl -h <host-name>[-p <port>] <jct-point>
SSL junction� �� �� �� �(���� � ��) 443���.
�� 23. � SSL(HTTPS) ��
151Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
��� �� ��� ������ ��� � � ��� ���� WebSEAL � � �
� ����� ���� ��� �����. SSL ���� ���
� � ��� ���� ��, � � � � ���� � ��� �
��� �����.
WebSEAL� ��� � ��� � ���� �� WebSEAL �
�� ��� ������� ��� �� �� CA ��� ����
� ���� ���� ��� ���.
Policy Director� SSL� IBM GSKit(Global Security Kit) ��� �
����. GSKit iKeyman ����� ���� ��� � ����
�� CA� �� ���� WebSEAL ��� ��(pdsvr.kdb)���� ���.
��� ������ �� �� ��� �� 253 ����
�iKeyman�� �� ��� ������.
SSL Junction� ��SSL� �� junction ��� /sales��� Junction ���
sales.tivoli.com
pdadmin> server task <server-name> create -t ssl -hsales.tivoli.com /sales
�: �� ���� -t ssl �� �� �� 443� �����.
SSL� �� junction ��� /travel�� �� 4443� junction ��
� travel_svr
pdadmin> server task <server-name> create -t ssl -p 4443-h travel_svr /travel
152 �� 3.8
�� ��� SSL JunctionWebSEAL SSL junction(-t ssl �� -t sslproxy)� �� WebSEAL� ��� � �� �� ��� �����. �� SSL� ��
�� ��� ��� ���� ��� ��� ����. (��� ���
� ��� ���� ����.)
1. WebSEAL ��� � � �����(�� SSL ����).
¶ WebSEAL ��� � ��� � ���� ������.�WebSEAL ��� � ���� ������ ������.
¶ WebSEAL ���� �� �� �(DN)� �����
(-D)(������ �� ��). 154 ���� ��� �(DN)���� ������.
2. ��� � � WebSEAL� �����(� �� ��).
¶ ��� � � WebSEAL�� ���� ���� �����
�(-K). 154 ���� �WebSEAL ���� ���� ��
��� ������.
¶ ��� � � BA(Basic Authentication) �� �� WebSEAL�� ��� ������(-B , -U , -W) . 155 ����
�WebSEAL BA �� ����� ������.
SSL� �� �� ��� ���� � �� �� ��� ����
�.
¶ ���� ���� BA �� ���� ��� � ����.
¶ junction ��� �� ���� ��� � ����.
SSL� �� -b ��(BA �� ��� ��) �� ��� �� 156���� �Junction� � ���� �� �� ����� ���.
WebSEAL ��� �� ���� ����WebSEAL SSL ����� �� ��� � ���� ���
��. ��� � � � ���� WebSEAL� ����. WebSEAL
153Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
�� �� �� CA(Certificate Authority) ��� ���� �
���� ���� ���� ���.
(� CA�� �� �����) ������ � ���� �� ��
��� ���� CA(Certificate Authority) ���� WebSEAL�� �
��� ������� ����� ���.
iKeyman ����� ���� �� CA ���� ������� ��
�� �����. 253 ���� �iKeyman�� �� ��� ��
����.
� ��(DN) ���� �(DN) ��� � � � ��� ��� ���� � ���
�. � DN ��� ����� � � �� SSL junction� ���
� ��� � DN� ��� ���. DN ��� ��� �����
SSL junction� �� �� ���� � ��� ���� �� � �
���.
� � ���� ���� � ���� �� DN junction� �
�� DN � ���. DN� �� ���� ��� ��� � ��
��� ���.
� DN ��� ����� -D “<DN>” ��� ���� SSL junction� ��� � ��� � DN� ������. ���� �� �� �
�� ����� DN ���� ���� �����. �� ��, ��
����.
-D “/C=US/O=Tivoli/OU=SecureWay/CN=Policy Director”
-D �� -K �� -B �� �� ��� �� �����.
WebSEAL ����� ���� ������� ���� � junction ��� � �� WebSEAL ��
� ����� -K ��� ������.
-K “<key-label>”
154 �� 3.8
� ����� �� ���� ��� �����.
¶ ��� � � ���� ���� WebSEAL� ��� ����
� ����.
¶ WebSEAL �� ���� ���� ����
��� � (ssl-keyfile-label)� ����� ��(webseald.conf)���.
¶ DN ��(-D)� �� junction� ���� �� � ����.
-K �� GSKit ������� ��� �� �� ����
���� ���� ��� �����. iKeyman ����� ����
������� �� ���� ������. webseald.conf �� �
�� �� ssl-keyfile-label ���� ���� �� �����
�.
� ��� ���� ��� ���. �� ��, �� ����.
-K “cert1_Tiv”
41 ���� �WebSEAL� �� ������ ��� ���� �
�����.
WebSEAL BA �� ���BA(Basic Authentication)� �� WebSEAL ��� ����� -B -U“<username>” -W “<password>” ��� ������.
-B -U “<username>” -W “<password>”
� ����� �� ���� ��� �����.
¶ ��� � � BA �� WebSEAL� ��� ����� ��
��.
¶ -b ��� ���� junction� ���� ����(��� ����
� -B �� -b filter� ���).
¶ WebSEAL BA �� �� �� ��� ���� ��� �
� ����� �����.
155Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
¶ DN ��(-D)� �� junction� ���� �� � ����.
��� � �� ��� ���� ��� ���. �� ��, ��
����.
-U “WS1” -W “abCde”
Junction� �� ����� �� �� ��BA �� �� ���� �� ��� ����� junction� ��
� ����. -b �� filter, supply, ignore, gso �� � �� ��
� ����. �� ��� �� ��� �� 189 ���� ��� �
� � ���� �� BA � ���� � ����.
-b �� �� ��� �� junction �� ��� ��� ��� �
�� ��� ��� �� ���.
-b supply ��
¶ BA �� �� WebSEAL �� � ���� ��� ���
�. � �� �� ���� ��� � � “�” ��� �
BA �� �����.
¶ ���� ���� �� WebSEAL �� � ���� ���
�.
-b ignore ��
¶ BA �� �� WebSEAL �� � ���� ��� ���
�. � �� �� ���� ��� � � ��� � BA �
� �����.
¶ ���� ���� �� WebSEAL �� � ���� ���
�.
-b gso ��
¶ BA �� �� WebSEAL �� � ���� ��� ���
�. � �� GSO � � � ���� ��� � � ���
�� BA �� �����.
156 �� 3.8
¶ ���� ���� �� WebSEAL �� � ���� ���
�.
-b filter ��
¶ �����, -b filter �� WebSEAL ��� BA � ��� �
���� ���� � �����.
WebSEAL BA �� �� � HTTP ����� �����.WebSEAL ��� ��� � � ����� �� ��� ���
�.
¶ ���� ���� �� WebSEAL �� � ���� ���
�.
¶ ��� � � � ���� ��� ����(������) CGI�� HTTP_IV_USER, HTTP_IV_GROUP �
HTTP_IV_CREDS� ��� � ����. ���� � servlet� �
�� ��� Policy Director �� HTTP �(iv-user, iv-groups,iv-creds)� ������.
TCP � SSL ��� Junction ��HTTP �� HTTPS ��� � � ���� ���� ���� ��
��� ��� WebSEAL junction� ��� � ����. ���
TCP �� �� �� SSL ���� ����� junction� ���
� ����.
create ��� ��� � � �� TCP � �� SSL ��
junction� ���� � type ��� �� �� � ��� ����
�.
¶ -t tcpproxy
¶ -t sslproxy
create � add ��� ��� � � �� � � � ���� �
�� �� � ��� �����.
157Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
-H <host-name> ��� � � DNS ��� � �� IP ��
-P <port> ��� � � TCP ��
-h <host-name> �� � � � DNS ��� � �� IP ��
-p <port> �� � � � TCP ��. TCP junction� ��
��� 80�� SSL junction� �� ��� 443�
TCP ��� junction ��: (� ��� ��)
pdadmin> server task <server-name> create -t tcpproxy-H clipper -P 8081 -h www.ibm.com -p 80 /ibm
SSL ��� junction ��: (� ��� ��)
pdadmin> server task <server-name> create -t sslproxy-H clipper -P 8081 -h www.ibm.com -p 443 /ibm
SSL� �� WebSEAL�� WebSEAL�� JunctionPolicy Director� ���� WebSEAL � ��� WebSEAL �
�� SSL junction� �����. create �� -C ��� ���
� SSL� � � �� WebSEAL � � junction�� �� ���
������.
�� 24. ��� junction ��
158 �� 3.8
��:
pdadmin> server task <server-name> create -t ssl -C -h serverA /jctA
�� � ���� �� ��� �����.
¶ SSL ����� ���� ��� WebSEAL � � � � �
��� � ���� WebSEAL � � ��� � ����.
¶ -C ��� ���� ���� WebSEAL � � � �� ��
� BA(Basic Authentication) �� ��� WebSEAL � � �
�� � ����.
�� -C ���� ��� WebSEAL � � �� ��� HTTP �
� Policy Director �� ���� �� � �� � � ��� �
��� -c ��� ��� ��� � ����. � ����� iv-user,iv-groups � iv-creds� ����. 161 ���� �HTTP �� ��
���� �� ��(-c)�� ������.
�� �� WebSEAL�� WebSEAL�� junction� �����.
¶ junction -t ssl �� -t sslproxy junction ��� �����.
¶ � �� WebSEAL � � �� LDAP �� DCE ������ �
�� ���. ��� ��� WebSEAL � � ����
WebSEAL � � �� ��� ��� � ����.
�� Junction ��� ���� �� � WebSEAL junction ��� ��� � �
���.
¶ 160 ���� ��� Junction �� �(-f)�
¶ 161 ���� �HTTP �� �� ���� �� ��(-c)�
¶ 163 ���� �HTTP �� �� ���� IP �� ��(-r)�
¶ 164 ���� ��� �� Junction � � � ��(-k)�
¶ 165 ���� ������ ���� �� URL ��(-i)�
159Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
¶ 165 ���� ����� � ����� ���������� URL��(-j)�
¶ 170 ���� �Junction ��� ���� � �� URL ���
¶ 172 ���� �Stateful Junction ��(-s, -u)�
¶ 173 ���� �Stateful Junction� �� ��� � UUID ��
(-u)�
¶ 177 ���� �Windows �� ����� Junction(-w)�
��� Junction � ��(-f)�� junction� ��� �� junction� � �� ��� -f ��� �
�� ���.
�� ��(� � websealA�)��� � ��� �����.
1. pdadmin�� �������.
# pdadminpdadmin> loginEnter User ID: sec_masterEnter Password:pdadmin>
2. server task list �� ���� ��� �� junction ����
�����.
pdadmin> server task websealA list/
3. server task show �� ���� junction� ����� ��
���.
pdadmin> server task websealA show /Junction point: /Type: LocalJunction hard limit: 0 - using global valueJunction soft limit: 0 - using global valueActive worker threads: 0Root Directory: /opt/pdweb/www/docs
160 �� 3.8
4. �� junction ���� ��� �� �� junction� �����
�. (�� junction� ��� �� junction� � �� ��� -f��� �����.)
pdadmin> server task websealA create -t local -f -d /tmp/docs /Created junction at /
5. �� junction ���� ������.
pdadmin> server task websealA list/
6. � junction� ����� �����.
pdadmin> server task websealA show /Junction point: /Type: LocalJunction hard limit: 0 - using global valueJunction soft limit: 0 - using global valueActive worker threads: 0Root Directory: /tmp/docs
HTTP �� �� ����� �� ��(-c)-c ��� ���� junction ��� � � �� HTTP ��� �
� Policy Director �� ���� �� � �� � � ���
�� � ����. Policy Director HTTP � ��� junction �
�� � �� ������� ���� ����� Policy Director �
�� ��� ��� �� ��� �����.
HTTP � ��� ��� � � ���� ��� � ��� ��� �
� � �� � ���� ���� ���. � ��� �� �
�(-)� ��(_)� ��� “HTTP”� ���� �� ��� ���� CGI�� � ���� ����. HTTP �� � �� �� �
� �� ���.
PD �� HTTP �
� ��
�� CGI �� � ��
iv-user = HTTP_IV_USER = ��� � ����� �. �����
���� � ��( � �� ��) ��
� “���� ��”���.
161Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
PD �� HTTP �
� ��
�� CGI �� � ��
iv-groups = HTTP_IV_GROUPS = ����� �� ��� ��. �� ��
�� ���� �����.
iv-creds = HTTP_IV_CREDS = Policy Director ��� ���� ��
opaque ��� ��. �� � � ��� �
���� �� � ������
Authorization API� ���� �� �� �
� �� � � � � �� � � . T i v o l i
SecureWay Policy Director Authorization
ADK Developer Reference� ������.
CGI ���� Policy Director �� HTTP � ��� �� �
HTTP_IV_USER, HTTP_IV_GROUPS � HTTP_IV_CREDS� �
�� � ����. �� ������ ����� ��� ��, HTTP ���� � ��� �� �� ��� ��� ������.
-c ��-c �� �� Policy Director �� HTTP � ���� ��� �
����� � � ������ �����.
-c <header-types>
header-types ���� all, iv_user, iv_user_l, iv_groups � iv_creds� �����.
� ��
iv_user ��� �(� ��)� ��� HTTP ��� i v-user��� �����.
iv_user_l ���� �� DN(� ��)� ��� HTTP ���
iv-user ��� �����.
iv_groups ���� �� ��� ��� HTTP ��� iv-groups��� �����.
162 �� 3.8
� ��
iv_creds ���� �� ��� ��� HTTP ��� iv-creds �
�� �����.
�: iv_user �� iv_user_l � ��� ���� � �� �� ����
����.
-c all �� � �� ��� �� ��� �� HTTP �� ��
��. (� �� � � ��(iv_user )� �����.)
�: �� ��� �� ������. �� ���� ����.
��:
-c all
-c iv_creds
-c iv_user,iv_groups
-c iv_user_l,iv_groups,iv_creds
HTTP �� �� ����� IP �� ��(-r)-r ��� ���� junction ������ � � �� ��� HTTP�� ���� IP �� ��� �� � ����. Policy DirectorHTTP � ��� ���� junction �� � � �� �����
�� IP �� ��� ���� ��� ��� � ����.
HTTP � ��� ��� � � ���� ��� � ��� ��� �
� � �� � ���� ���� ���. � ��� �� �
�(-)� ��(_)� ��� “HTTP”� ���� �� ��� ���� CGI�� � ���� ����. HTTP �� � �� �� �
� �� ���.
�: IP ��� �� �� ��� ���� ��� ��� ���� �
����. IP �� �� ��� � � NAT(Network AddressTranslator)� ��� ��� �� ����.
163Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
PD �� HTTP �
� ��
�� CGI �� � ��
iv-remote-address HTTP_IV_REMOTE_ADDRESS
����� IP ��. � � ��� �
� NAT(Network Address Translator)� IP
��� ��� �� ����.
-r �� ���� ��� IP ��� ��� ������ � � ��
�� �����. � �� �� �� ����.
�� ��� Junction� � ��� ��(-k)� � ��� �� ��� �� � ���� ���� � ���.-k ��� ���� Policy Director �� �(��� ����
WebSEAL ���� ���)� ��� � � � �� � ����.�� � �� Plumtree Corporate Portal ����� WebSEAL� �
�� �� ���� � �����.
����� � � ��� ��� �� ��� ��� �, � �
� �� �� ������ � � ��� �� WebSEAL� �
���� ��� ���� � ��� �����. �� �� ���
� � � � ����� �� ��� ������ � � ��
�� �� �� ��� � ����.
WebSEAL ��� � � �� junction� ��� � �� ��
-k ��� ������.
� � ���� ��� � �� �� ����.
¶ ��� � � ��� �� ���� �� ��� �����. �
� ��(BA) ���� ����.
¶ webseald.conf �� ��� [session] ����� ssl-id-sessions���� “no”� �� ���. HTTPS ��� ��, � �
SSL �� ID �� ��� �� �� ���� �� ��� �
������.
164 �� 3.8
¶ WebSEAL ���� � � � ������ failover �� �
� ������. Failover ��� ��� ���� ��
WebSEAL � ��� ��� ����� ��� �� ��� �
� ����.
����� �� � �� URL ��(-i)�����, Policy Director� �� ��� ��� � URL� ��
��� �����. -i �� junction ��� � � �� �� ��
� WebSEAL� URL� ����� ���� ��� ���� � ��
���.
Junction�� � ��� �� ��, WebSEAL URL� �����
� ����� ���� ����. �����,� � � ����� �
����.
���� HTTP � � URL� ����� ����� ���� HTTP��� ����� �� HTTP � � URL� ����� ���� �
���.
�� ��, ����� ���� �� � �� �� � URL ���
URL� ����.
http://server/sales/index.htm
http://server/SALES/index.HTM
�� � ��� � URL� �� ��� ACL(Access Control List)���� ���.
-i ���� �� � � junction�� WebSEAL � � � ��
� �� URL� ����� ���� ����.
�� � � ������ �������� URL ��(-j)� ���� WebSEAL� ��� � � �� ����� ���� �
� �� � � � �� �� ���� ��� � ���.
¶ 166 ���� ����� �� �����
165Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
¶ 167 ���� �Junction �� ���� � �� URL ���
¶ 169 ���� ����� �� � ��� �� URL ���
¶ 170 ���� �Junction ��� ���� � �� URL ���
���� �� ���������� junction � � � ��� � ���� ��� ��
HTML, ����� ������(��") �� ����� ����.� ���� ���� Javascripts, VBscripts, ASP, JSP � ActiveX�� ����.
HTML, ���� �� ��"� � �� ���� ��� � �
� �� !� �� ����� �(URL)� ��� ����. URL
�� �� ���� �����.
¶ ��
¶ ��
¶ � ��
��� � �� �� URL� ������ junction� ���� ��
� ���� �� ���� �����. WebSEAL ��� �� ��
��� �� URL� ��� �� ��� � junction �� ��
� ��� ���.
�� ���� � URL�� �� WebSEAL ��� ���� ��
��. ��� URL� junction ��� �� �� ���� �� �� �
� �� �� ���� � ��� � �� �� ����� ��
��. � �� �� WebSEAL � � ��� �� ����� ��
�� �� ����.
�� URL �� ��( �� �� ���)
abc.html ../abc.html
./abc.html sales/abc.html
166 �� 3.8
�� URL �� ��( ��� junction ��� ���)
http://www.tivoli.com/abc.html
� �� URL �� ��( ��� junction ��� ���)
/abc.html /accounts/abc.html
WebSEAL �� �� � � �� URL� �� � ����
���� �����.
¶ �� HTML ��
HTML � ��� ���� �� ����� � ����
WebSEAL ���� ��� junction ��� URL� �����.179 ���� �Junction � �� �� HTML URL �� ��
������.
¶ ���� � ����� ������ ��
����� ��� ��� � �� � � �� URL ��
� ��� � �� ����� ��� � WebSEAL� �� �
� �� � ����� ����. WebSEAL ��� � junction��� ����� ����� ���.
�: � ����� �� ������ ���� �� URL� ���
�� �(�� �� � ��� ��)� ���� �� ����.
Junction ��� �� � �� �� URL ���� ������ ��� � � ��� ����� � �� URL
��� ���� �����. WebSEAL ����� ��� � �
�� � �� ��� � ����. URL� junction ��� ���
� ���� ������ �� � URL� ����.
167Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
����� � �� � �� ��� ���� WebSEAL
�� �� ���� ��� �� ��� �� �����. WebSEAL ��� �� � “� � ��” �� ����� ��
���.
-j �� junction � �� � ����� � ���� ����
���� ���� ��� � �� URL� ���� �� � �
� ���� �����.
� ��:
pdadmin> server task <server-name> create ... -j ...
� ��� � junction ��� �� ����� �����. � �
�� �� � �� �����.
IV_JCT_<backend-server-name> = </junction-name>
����� � URL� ���� ���� WebSEAL URL� ��
���� �����. ��� � � �� WebSEAL �� �
�� ���� junction ��� ���� ��� ������. ��URL ��� ��� junction ��� � ����� � � ��
��.
�� ����� � �� URL �� � �� ���� �����.
�� 25. �� �� ���� �� URL
168 �� 3.8
WebSEAL � �� URL� ���� � � �� �� �
���� �����. 170 ���� �Junction ��� ���� � �
� URL ���� ������.
�� � ���� ��� �� URL ��WebSEAL�� junction� � ���� �� �� URL� ���
� �� ��� �����. webseald.conf �� ���� �� URL�� � �� �� �� �� ����� �� ���� �� ���
�.
[script-filtering]script-filter = no
�����, ���� �� ��� � ����. ���� �� �
����� ��� �����.
script-filter = yes
�: ��� � �� junction� ����� -j ��� ��� ���.junction ��� �� ���� �� ����� ��� ��
��� ����� �����.
script-filter ��� �� � ��, � , �� ����
�� URL� �����.
�� 26. � �� URL ��
169Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
http://server/resource
script-filter ��� �� �� � ��� ��� junction��� ����.
/junction-name/resource
� ��� �� � �� ��� ��� �� ��� ���� � �
���. script-filter ���� �� URL �� � �� ��� ��
� junction�� ������.
�� ����� � URL �� ���� �����.
Junction ��� �� � �� �� URL ��Policy Director� � �� URL �� � �� � � ����
�� �����. �� �� ��� junction �� ���� junction�� ���� ���� ����� � ����.
WebSEAL junction �� ���� �� ���� � �� URL� �� �� ��� �����. URL� �� �� ��� ���� �
�� ���� WebSEAL � �� � junction�� ��� �
����.
�� 27. �� URL ��
170 �� 3.8
��� jmt.conf�� ASCII ��� �����. � ��� ���
webseald.conf �� ��� [junction] ����� �����.
jmt-map = lib/jmt.conf
���� �� ��� ��� �� junction �, �� � �� ��
��� �����. �� �� �� ��� � ���� ��
� ��� �� ����.
junction �� ��� �� �����, � �� ��� � � /jctA �
/jctB�� WebSEAL� junction���.
#jmt.conf#<junction-name> <resource-location-pattern>/jctA /documents/release-notes.html/jctA /travel/index.html/jctB /accounts/*/jctB /images/weather/*.jpg
�� jmt.conf �� ��� �����. ��� ���� ���
�� WebSEAL� �� ��� � ��� jmt load �� �
��� ���� “��”� ���.
pdadmin> server task <server-name> jmt loadJMT ���� ����� �������.
�� �� junction �� ��� ���� �����.
¶ � ����� -j ���� junction �� ���� ��
¶ � ��� �� ���� ��� ������ �
¶ � ��� �� URL� �� �� ���� ��
¶ �� �� � �� � �� � junction � ������ �
�� ��� �
¶ ��� �� � ��� ��� �� ��� ���� ��. �
�� WebSEAL �� ��
¶ �� ���� ���� �� �� ���� �� ���� ��
� � ��. ��� WebSEAL �� ��
171Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
¶ �� ���� �� ��� ��� ��� �� ��� �� ��
� ���� ��. ��� WebSEAL �� ��
¶ �� ��� �� � ���� �� �� WebSEAL � ��
��(webseald.log)� �� ��� �� ��� ��
Stateful Junction ��(-s, -u)���� � �� ������ �������� ��� HTTP ��� �� “��”� �������. �� ��, � ��� ��� ��
�� � �����.
¶ CGI ����� � �� ��� ��� ��� � ����
�� ��
¶ ��� ������ ��� ��� � ���� ���� ����
¶ ���� ��� ��� ��� ��� ���� ��� �� �
�� �������� �� �� ����
� �� ������� ��� � � �� ��� � �� ���
� ��� � ����. WebSEAL � � ��� �� ��� �
� junction� ��� � ���� ��� �� �� �� ��
� � � ����� �� �� ��� �� �� �� ��� �
� ������ ���.
�����, Policy Director� �� ��� �� �� � � ���
����� ��� � ��� ���� �����. Policy Director�
“least-busy” ��� �����. � �� �� �� �� �
�� �� � � � � �� ��� �����.
create � -s ���� � �� ��� �� ���� ����� �
�� �� ��� � �� � � � ����� �� “statefuljunction”� �����. �� ���� ��� ���� WebSEAL�� ��� � � UUID� ���� ���� ���� �� �
����. � � ����� � ��� � ���� �� UUID��� ��� ���� � ��� � � ������ ���.
172 �� 3.8
-s �� �� ��� � � � junction ����� junction�� �
� ���� WebSEAL � � �����. �� junction� ���
��� ���� add �� -s �� �� ���� ��� �� �
�� � � ��� junction ���� junction���.
����� �� ���� WebSEAL � � ��� �� � � �
� ��� ��� � � junction�� ��, -u ��� ���� ��
� ��� � UUID� � ���� WebSEAL � � ���� �
�� ���. �Stateful Junction� �� ��� � UUID ��(-u)�� ������.
Stateful Junction� �� ��� �� UUID ��(-u)��� � ������ � � �� junction� ���� WebSEAL�� UUID(Unique Universal Identifier)� ���� � ��� �
� �����. � UUID� ����� ���� stateful junction� �
����� �� �����(create -s).
�� ���� ��� ���� WebSEAL �� ��� � �
UUID� ���� ���� ���� �� �����. � � �
���� � ��� � ���� �� UUID ��� ��� ��
�� � ��� � � ������ ���.
�� ���� WebSEAL � � �� ��� � � junction��
stateful junction ��� �� ���� ���. �� ����
�� 28. Stateful junction ��� � UUID� ���
173Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
WebSEAL � �� ��� � �� � junction ��� � � �
��� UUID� �����. �� �� ��� � � � ���
� WebSEAL � � �� �� UUID� "� �� �����.
�� ���� � �� � �� � ��� ��� ���� � �
� ��� ���� �����. �� ��, �� “��”� �� UUID� ���� WebSEAL � 1� � ��� � � �����.
��� ��� �������� � ��� �� ��� ����
� WebSEAL � 2� � ��� ��, WebSEAL � 2� �
��� � � ���� � ��� UUID� ���� ��� “��”� �� ���� ����. ��, ��� ��� ���� ����.
-u ��� ���� �� ��� � � � ��� UUID� � �
��� WebSEAL � � ��� � ����.
�� ��, � �� ��� � �� stateful junction� �� � ��
�� ���� WebSEAL � � ��� ������. WebSEAL� 1 ��� � 2 ��� stateful junction� ���� ��� �
2� ���� � ��� UUID(UUID A)� �����. ���
WebSEAL � 2 ��� � 2 ��� stateful junction� ���
� �� UUID(UUID B)� ���� ��� � 2� �����.
174 �� 3.8
�������� ��� ��� WebSEAL � 2� � ����
� WebSEAL � 1� � ���� ��� � 2 ��� ��
“��”� �� ���.
junction �� � UUID ��� ��� �� ����� �����
�.
1. WebSEAL � 1��� � ��� � �� junction� ����
��.
create -s � add� ������.
2. 1�� ��� � ��� � � � �� UUID� ������.
show� ������.
3. WebSEAL � 2��� ��� � �� junction� ���� 2�
��� �� UUID� ������.
create -s -u � add -u� ������.
�� 29. �� UUID
175Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
�� ���� ��� � 1 WebSEAL-1 � WebSEAL-2� �
UUID 1� ���. ��� � 2� WebSEAL-1 � WebSEAL-2�� UUID2� ���.
��:�� ����,
¶ WebSEAL-1� WS1��� ���.
¶ WebSEAL-2� WS2�� ���.
¶ ��� � 1� APP1��� ���.
¶ ��� � 2� APP2�� ���.
pdadmin> server task webseald-WS1 create -t tcp -h APP1 -s /mntpdadmin> server task webseald-WS1 add -h APP2 /mntpdadmin> server task webseald-WS1 show /mnt
(�� UUID1 � UUID2� ���)
pdadmin> server task webseald-WS2 create -t tcp -h APP1 -u <UUID1> -s /mntpdadmin> server task webseald-WS2 add -h APP2 -u <UUID2> /mnt
����� ��� � 2� stateful ��� ���� UUID2� ��
�� � ���. �� ��� � � ��� WebSEAL-1 ��
WebSEAL-2� � ������ ��� ��� ����� ��
��� � 2� ���� �����.
�� 30. Stateful junction� �� ��� � UUID ��
176 �� 3.8
Windows �� ���� Junction(-w)WebSEAL URL� �� �� ��� ���� junction ���
� � �� ���� ��� � � ��� �����. Win32 �
� ��� � �� �� ���� �� �� �� � �� ���
����� � � ��� ��� ��� � ����.
� �� �� �� �� �� �����(abcdefghijkl.txt). �
�� �� ����� � ��� 8.3 �� � ��� �����
(abcdefx1.txt).
Windows ���� junction� ��� ��, ��� �� � ���
�� ��� ���� �� ���� � ���� ���� “��
�”� ���� ��� ��� ���.
-w �� 8.3 �� � ��� ��� ����. ���� �(8.3)��� �� �� ���� � �� ��� �� ACL� ���
� ����. � � �� � �� �� �� �
“403 Forbidden” �� ���� ���.
Windows�� �� �� “foo.”� �� �� �� “foo”� ��
� ��� �����. -w �� ��� � � ��� ��� �
� URL� �� ��� # �� �� �����. ACL �� # �
� �� �� �� �� ��� ���.
�: Win32�� ����� ���� ��(abced.txt = AbCdE.txt) �
�� -i ���� ���� 165 ���� ������ ����
�� URL ��(-i)�� ������.
��:Windows NT 4.0��� �� ��� ��� \ProgramFiles\Company Inc.\Release.Notes ��� ��� � ����.
1. \program files\company inc.\release.notes
2. \\program files\company inc\release.notes
177Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
3. \prograx1\companx2\releasx3.not
�� �� 1��� -i ��(-w� ��)� � ��� “���� ��
�”� �� �����.
�� 2��� Windows NT� �� # �� �� �� �����
� �����.
�� 3��� Windows NT� �� �� ��� ���� �� 8.3��� ���� �(DOS ���� �)� ���� ��� ����
�.
-w �� �� 2 3�� �� ���� � �� ����. -w�� # �� �� ���� ��(x) ��� ���� �� �� �
��� ��� ��� junction � � �� �� URL�� �
�� ���� �� �����.
WebSEAL Junction ��� �� �� ����
¶ ���� Junction�� �� � ���
¶ 179 ���� �Junction � �� �� HTML URL �� �
¶ 180 ���� �Junction�� �� ��� ���
¶ 181 ���� �Junction� �� ��� ���
��� Junction�� �� �� ������ junction ����� �� �� �� � � ��� � ��
��. ��� ����� � � � ��� � ����.
� junction ����� �� �� � � ���(�� � ��)��� �� ��� ����, � HTTP �� HTTPS� ��� ��
�. ���� � � � ��� junction ����� ���� ��
��.
178 �� 3.8
1� Policy Director � � ���� junction � � �� ���
� ������. �� ���� ��� � ��� ��(� ��
� ��) ���� ��� ���� ���. ���� � � ���
���� �� ��� ��, ���� ��� ���� ���� ��
���.
��� ���� � �� �� � � �� ���� ���� ���
���.
Junction� ���� �� HTML URL ���junction � ��� MIME �� “text/html”� �� ��� �
����.
WebSEAL� ��� � �� � ��� URL(�� URL � � ��
URL)� ����.
¶ �� �� URL �� ���� �� junction � � �� �
�� � URL� ��� �����.
/dir/file.html
� URL �� �� �� junction � � junction ����
���� �����.
/jct/dir/file.html
¶ �� URL �� ���� �� ��� � �� IP �� �
��� ��� � URL ��� �����.
http://servername[:port]/file.html ��https://servername[:port]/file.html
� URL �� � ��� �� ��� � ����.
1. URL� HTTP�� ���/��� TCP junction � ����
��, �� ���� �� junction ���� ���� URL������.
/jct/...
179Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
2. URL� HTTPS�� ���/��� SSL junction � ����
��, �� ���� �� junction ���� ���� URL������.
/jct/...
3. iv.conf ���� ���� ��/�� �� �� URL� �����.
4. META ��� �� �� �� ���� ��� ��� ���
��.
5. BASE ��� HREF ��� �� ��� ����� �� �
�� ��� �����.
junction � � �� URL �� � �� ���� webseald.conf�� ��� [filter-url] ���� ����.
[filter-url] ����� WebSEAL � � junction � � � �
�� URL� ����� ���� ���� HTML ��� ��� ��
����.
���� ���� �� HTML ��� ����� �����. ��� URL� �� �� HTML ��� ��� � �� ����.
�� 165 ���� ����� � ����� ����������
URL ��(-j)�� ������.
Junction�� �� ��� ���� Policy Director �� junction�� ��� � ����. �� �
�, x ��� �� CGI ����� l ��� �� ���� ���
�� ��� � ����. WebSEAL ��� � �� �� ��
�� CGI ���� ���� �� �� ���� ����, ��� �
HTTP �� ���� ���� ���� ��� ����.
junction� � �� �(�: CGI ���� �� ���� ��)�
���� � r ��� ��� �����.
<META HTTP-EQUIV=”Refresh” CONTENT=”5;URL=http://server/url”>
180 �� 3.8
Junction� �� ��� ����, WebSEAL ��� �� ��� ���� �����. ���
���� webseald.conf �� ��� [ssl] �����
webseal-cert-keyfile-label ���� � �� � � ����� �
����.
junction ��� ������ � � ����� ���� ��� �
��� �� WebSEAL� ���� � iKeyman ����� ��
�� � ���� ���� �� ���� ��� ���. �� �
� -K <key-label> ��� ���� junction� ������. 153 �
��� ��� �� SSL Junction�� ������.
junction� -K� ���� ��� GSKit� ���� �� ����
��� �� �� “��” ���� �� �� ��� �� ��� ��
���. ��� �� ��� ��� �� ������(pdsrv.kdb)�“��”(�)�� � ���� ��� � ���.
�� ���� �� ����.
¶ ��� �� ���� ��� ��� ������.
¶ �� �������� ��� ���� “��”�� ��� �
���.
¶ WebSEAL � � ��� �� webseal-cert-keyfile-label ���� ������.
¶ -K junction ��� � WebSEAL ����� ��� ��
������.
��� ���� query_contents ��Policy Director � ���� ���� ��� ������ � ��
� ��� ����� ��, ��� � ��� ��� �� ���
WebSEAL� ��� ���.
181Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
query_contents�� CGI ����� � ��� �����.query_contents ���� ��� � �� ��� ���� ��� �
� � ��� WebSEAL� Web Portal Manager� �����. ����� WebSEAL � �� ����� ��� � ��� ��
�� ���� ���. ��� � � UNIX �� Windows � ��
�� �� �� ���� �� �� ���� �� ��� �����.
Web Portal Manager� �� � �� ���� �� � �� �
��� junction� ���� �� �� � ��� ��� �� ��
� query_contents� ���� ����. �� Web Portal Manager� �� ������ ��� ��� � � ���� � ���
��� ��� �� �� policy ����� ��� � ����.
query_contents ��query_contents �� ���� �� ����. ��� PolicyDirector � �� ��� � � �� �� � �� ��� ���� �
� ��� ���� ��� ��� ����.
��� Policy Director ����� ����� ����� �� ���
�.
UNIX: <install-path>/www/lib/query_contents
Windows: <install-path>\www\lib\query_contents
����� �� �� ����.
� ��
query_contents.exe Win32 ���� �� � �� ����. ��
� � � cgi-bin ����� ���� ���.
query_contents.sh UNIX ���� �� � �� ����. �� �
� � cgi-bin ����� ���� ���.
query_contents.c �� �. ��� query_contents� ��� ��
� �� ��� �����. ���� ����
���� ����.
182 �� 3.8
� ��
query_contents.html HTML ��� ��� ��
query_contents.cfg � � � �� ��� ���� � �� ��
�� UNIX ��� query_contents ���� ������ query_contents.sh�� �� �����
����.
<install-path>/www/lib/query_contents
1. query_contents.sh� �� � � �� ��� ���� /cgi-bin����� ������.
2. .sh ��� ������.
3. � � � �� ��� � UNIX � ��� �����.
��� Win32 ��� query_contents ���� ������ query_contents.exe�� �� � �� ���
� query_contents.cfg�� �� �� ��� ����.
Windows: <install-path>\www\lib\query_contents
1. ��� � � � CGI ����� ��� ����� ������.
2. ��� ���� ��� � � � �� ��� ��� �� ���
����� ������.
3. query_contents.exe� �� � � � CGI ����� ����
��.
4. query_contents.cfg� Windows ����� ������.
� ���� �� ��� �� � ����.
� �� Windows ��
Windows 95 c:\windows
Windows NT 3.5x c:\winnt35
Windows NT 4.x c:\winnt
183Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
5. �� � � � �� �� ����� ��� �����
query_contents.cfg ��� ������.
� ���� �� Microsoft IIS(Internet Information Server) �
Netscape FastTrack � � � ��� �� ����. � ���
� ���(;)�� ���� �� ����� query_contents �
��� �� �����.
�� ���
1. Win32 ��� MS-DOS � ���� ��� �� CGI ����
��� query_contents ����� �����.
MSDOS> query_contents dirlist=/
�� ��� ��� �� ���.
100index.htmlcgi-bin//pics//
�� 100 ��� ���� �� �����. ��� �� 100�� ��(��� ��� ���) ��� �� �� � �����.
� �� �� � ��, �� ��� ��� ��� ���
��� �� �� ��� ���� �� ����.query_contents.cfg ��� ��� ���� �� ��� ���
�� ������.
2. ������ ��� URL� ������.
http://<win32-machine-name>/cgi-bin/query_contents.exe?dirlist=/
�� �� �� ��� �� ��� ���. � �� ���
� �� ��, � � � CGI ��� ���� ����. � � �
�� ���� ���� ������.
query_contents ��� ��query_contents �� URL ��� �� ����� ��� ���
� �� ����.
184 �� 3.8
�� ��, � � ��� �� ���� ��� � � �����
�� � URL�� query_contents� ����.
http://third-party-server/cgi-bin/query_contents?dirlist=/
query_contents ����� ��� ��� �����.
1. CGI �� �� $SERVER_SOFTWARE� � � �
�� �����.
� $DOCROOTDIR � � ��� ��� �� � ��
�� ��� ����.
2. �� URL�� �� � $QUERY_STRING� � �� �
�� ���� ���� ��� �����.
�� � $OPERATION �� ��� �� � ���
$OBJPATH� ����. �� ���� $OPERATION dirlist�� $OBJPATH� “/”���.
3. �� � ���� ���� ��(ls)� ���� Policy Director �
� ��� � ��� �� ��� �����. �����
�� ���� ���� �� ���(//)� ���� ����.
��� �� �� ����.
100index.htmlcgi-bin//pics//
�� 100 ��� ���� �� �����.
Doc �� ���� ��� ��UNIX:
UNIX � � �� query_contents.sh� ���� �� �����
�� �� ���� �� ��� � ��� ����.
query_contents� � ��(100�� � ��)� ���� �� ��
� ���� ��� ����� ���� ��� ����
$DOCROOTDIR �� ���� � � �� ������.
185Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
�� �� ����� ��� ��� ����� �� �� �
�, cgi-bin �� ��� ����� � ����. $FULLOBJPATH
�� ���� ��� cgi-bin ��� ���� ��� �� ��
������.
Windows:
query_contents.exe� Windows � ��� ���� �� ����
� query_contents.cfg ��� ������.
�� ��query_contents ����� �� �(query_contents.c)� PolicyDirector� � ���� �� �� �����.
�� ��� � � � �� ��� ���� � � ����� ��
��� ��� � ����. ��� �� �� ����.
1. ���� �� - �� �� ��� �� � ������� � �
�� �����.
2. �� ���� ���� �� � ��� �����.
�� ������ ��� � � � �����.
query_contents ��query_contents CGI ���� Web Portal Manager�� junction � � �� � ��� ��� � Policy Director� � �
����. �� �� ���� �� ��� �� �� � � ���
�� ��� ���.
� � (pdmgrd) ��� query_contents ����� �����
� policy� �� ���. �� �� ACL(query_contents_acl)��� �� ������.
group ivmgrd-servers Tl
user sec_master dbxTrlcam
186 �� 3.8
pdadmin ����� ���� junction � � query_contents.sh(UNIX) �� query_contents.exe(Windows) �� �� � ACL� �
�����. UNIX� ��, ��� �� � � ����.
pdadmin> acl attach /WebSEAL/<host>/<junction-name>/query_contents.shquery_contents_acl
187Tivoli SecureWay Policy Director WebSEAL �� ���
6.W
ebS
EA
LJu
nctio
n
188 �� 3.8
� �� �� � ���
� ��� ��� � WebSEAL� ��� � � ���� � �
�� �� �� �� �� �� ���� ��� � ��� �� �
���. � ��� WebSEAL ��� ��� � ��� �� �� �
� � ���� � ���. ���� �� �� junction,
�� �� � � LTPA� �����.
�� �� �� ����.
¶ ��� �� � ���� �� BA � ���
¶ 196 ���� �GSO(Global Sign-on) ���
¶ 200 ���� �IBM WebSphere(LTPA)�� �� �� ��
�� �� � ���� �� BA �� ��� ���� -b ��� ���� WebSEAL junction �� � �
� �� � ��� ���� � ��� ���� � ���.
¶ 190 ���� �SSO(Single Sign-On) ���
¶ 190 ���� �BA ��� ���� �� ���
¶ 191 ���� ����� �� � � �� ���
¶ 193 ���� ��� ���� BA � �� ���
¶ 194 ���� ����� BA � �� ���
¶ 195 ���� �GSO�� ��� � � �� ���
7
189Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
SSO(Single Sign-On) ���� ��� ��� � ������ � � �� ��� � ���
���� ����� WebSEAL � ��� � � � ��� �
� ���� ��� � � ����. � ���� �� ��� ���
��� �� ����.
SSO(Single Sign-On) ���� � �� ��� ��� � � �
��� ��� �� � ����. �� �� � ��� ���� �
�� �� ����� ���� ��� ��� ��� ��� ��
� � �� ���. ��� � � ���� ��� ���� ���
�� ��� �����.
BA ��� ����� �� ����� � � �� �� �� ���� �� ��� �����
WebSEAL junction� ��� � ����. -b �� ��� ����
HTTP BA �� �� �� ���� �� ��� ��� � ��
��.
��� ���� �� � � ����� ���� �� ���� �
� � ��� ���.
1. ��� � �� �� ��� �����?
(WebSEAL HTTP �� ��(BA) �� ���� �� ���
�����.)
�� 31. �� ���
190 �� 3.8
2. ��� � �� �� ��� ��� ��, � ��� ��� ���
�?
(WebSEAL HTTP �� ��� ��� �����?)
3. WebSEAL ��� � �� ��� �� ��� ���?
(TCP �� SSL junction��?)
���� WebSEAL �� �� �� � � WebSEAL ��
�� ��(BA) �� �����. �� junction� � ��� �
� ���� �� �� �� �����. -b ��� ���� �
� �� ��� �� �� ��� ������.
����� �� � �� �� ��-b supply
-b supply �� �� Policy Director ��� �(����� �
� ��)� �� �(“�”) �� �� ����� WebSEAL� �
����. �� ���� ��� � ������ ���� ����.
� ��� �� �� �� �� �� �� ���� ��� ��
����� �����. “�” ��� webseald.conf �� ���
basicauth-dummy-passwd ����� ������.
[junction]basicauth-dummy-passwd = <password>
�� 32. ��� � � �� �� ��
191Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
� ������� ��� � � Policy Director ������ ���
���� ��� �����. ���� ����� �� PolicyDirector ���� ���� WebSEAL ��� � � �� ���
��� ��� ��� � �� � ���� �����.
� � ��� � �� � ��� �����.
¶ WebSEAL �� ���� ��� �� ��� � �(“�”) ��� ��� � � ����� ��� ���.
¶ “�” ��� webseald.conf �� ���� �����.
¶ ��� � ������ HTTP BA �� �� Policy Director��� ��� ���.
¶ ��� �� ��(��� � � ��)� junction� � ���
� ��� junction� �� �����. SSL junction� ����
�� � ����.
������ ��� � ��� Policy Director “�” ��� �����. �� ���� ��� � ������� � ��� ����. �� “
�� 33. BA �� �� � ″�″ ��� ���
192 �� 3.8
�” ��� �� � ��� �� ���� ����� ���
�� ���� ��� �� �� ������ � � ���� �
���.
����� ��� � � ��� � �� WebSEAL� ��� �
�, � ������ � ���� ���� ����. ��� �� �
�� �� ������ ��� � � ����� ��� � �
����.
� ������ �� � �� ���� ��� � � ����
� ���� ����� WebSEAL� ����� ��� ���.
��� � ������ Policy Director ��� ���� � ��
� ��� ���.
� ����� BA � �� ��-b ignore
-b ignore �� ��� ���� BA(Basic Authentication) �
� �� �� �� ��� � � ����� WebSEAL� �����.WebSEAL � BA ���� ��� ����� ����� �
���� BA �� ����� � �� �� �� �� ��� �
� ����� ��� � ����.
�: �� � �� �� � ��� ���� ��� � � ��
�� ����� WebSEAL� ���� � � ����.
� � ��� � �� � ��� �����.
¶ ��� � � BA� �� ���� �� ��� �����.
��� � � �� �� ��� �� ����� ����. �
���� WebSEAL � � ���� �� ���� ��� � �
�� ��� ����.
¶ ��� � � ��� ���� �� ��� �������.
193Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
¶ WebSEAL ��� ���� ��� �� ��� � ��
� ��� � � ����� �����.
¶ ��� �� ��(��� � � ��)� junction� � ���
� ��� junction� �� �����. SSL junction� ����
�� � ����.
����� BA � �� ��-b filter
-b filter �� ��� � � ��� ���� �� ���� ��
�� �� �� ��(BA) � ��� ����� WebSEAL� ���
��. � ������ WebSEAL �� � ���� ���.
� � ��� � �� � ��� �����.
¶ �� �� ���� WebSEAL ���� �����.
¶ ��� � �� �� ��� ���� ����.
¶ WebSEAL� ��� ��� � � ��� � ����.
¶ WebSEAL ��� � � ���� ��� �����.
�� 34. WebSEAL �� ���� �� ��� ���
194 �� 3.8
��� � � � �� ���� ��� ��� ��� ��� � �
�� -c �� ���� HTTP � ��� Policy Director ���
� �� ��� �� � ����. ��� �� 161 ���� �HTTP�� �� ���� �� ��(-c)�� ������.
GSO�� ��� �� � �� ��-b gso
-b gso �� ��� � � GSO(Global Sign-On)� �����
� � ��� �� ��(��� � � ��)� �����
WebSEAL� �����.
� � ��� � �� � ��� �����.
¶ ��� � �������� WebSEAL ������ ���� �
�� ��� � � ��� �����.
¶ � WebSEAL � ��� � � �� �����.
��� �� ��(��� � � ��)� junction� � ���� �
�� junction� �� �����. SSL junction� ���� �� �
����.
� ��� 196 ���� �GSO(Global Sign-on) ���� ��
�� ����.
�� 35. ���� BA � �� ��
195Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
GSO(Global Sign-on) ��Policy Director� �� ��� � � ��� ��� � �����
� � � ��� � �� �� ��� �� �� � ���� ���
��.
�� ��� ��� �� ��� ������ ��� �� �� �
�� ���� ���� �����.
¶ DCE ������ �� � ��� - Tivoli GSO(Global Sign-On)�� ��
¶ LDAP ������ �� � ��� - LDAP ����� ��
�� � ��� ���
�� �� � �� ���� � ���� ��� ����� ��
� �� ��� ��� ��� � �� ���. �� ���
��� � �� ��� ��� �������� �� � ��� ��
����� ���� ���� GSO� ���� � ���� ��
�� ��� � ��� ��� ��� ���.
� �� WebSEAL ��� � � ��� “GSO aware” junction� ���� ������. GSO �� GSO �� �� � WebPortal Manager� ���� ����� ���.
WebSEAL� junction � � ��� ��� �� ��� ��
WebSEAL GSO � � ��� �� ��� ����. GSO � �
�� �� � ������� �� ��� � �� ��� ����
�� � ���� �� ��� ������� �����.
�� �� ��� ������ ��� �� ��� ��� ���
���� � GSO ���� ���� ��� �����.
1. ����� ��� � � ������ ��� �� �� ��
� ��� WebSEAL� �����. Policy Director ��� ���
��.
196 �� 3.8
�: �� �� � ����� �� �� ��� �� ����.
2. WebSEAL Policy Director ��� GSO �� LDAP � � �
����.
3. � � ��� �� ������ ��� ��� ��� �
��� �����.
4. WebSEAL junction� � ��� � � ��� ��� HTTP�� ��(BA) �� ��� � � �� ��� ����.
�� �� ���� ��� GSO� WebSEAL� �� ��� ���� ��� ���
��. ��� Michael� travel-app ������ ��� ��� �
��(��36 ��), WebSEAL GSO / LDAP � � Michael� �
� ��� ����.
�� 36. �� �� � ���
197Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
GSO / LDAP � � �� �� ��� �� ��� ���� ��
��� �� ������� �������. �� ��� � ����
�� ��� �/�� �����. �� �� �� ���� �
�� ��� � ����.
� � travel-app ��� �� �� ��� ���� Michael� ��
����� ���� ����.
�� ��� GSO �� �� ������� ��� �����.
Michael Paul
resource: travel-app username=mike
password=123
resource: travel-app
username=bundy password=abc
resource: payroll-app username=powell
password=456
resource: payroll-app
username=jensen password=xyz
� ���� GSO� ��� � “mike” �� “123”� WebSEAL�
�����. WebSEAL junction� � ��� � � ���� �
��� �� ��(BA) �� ��� � � ��� �����.
GSO �� WebSEAL Junction ��GSO �� WebSEAL ��� � ��� junction�� ����
�.
GSO� ���� junction� ����� create �� -b gso ��
�� ������. �� ��� create �� ��� �����.
create -t tcp -h <host-name> -b gso -T <resource> <jct-point>
198 �� 3.8
GSO junction � �� ��� ���� ����.
�� ��
-b gso GSO� � junction� ��� �� ��� � �
� ��� ����� �����.
-T <resource/resource-group>
GSO �� �� �� ��� �����. � ���
��� ���� �� � GSO �������
�� �� � �� ��� ���. GSO
junction� �����.
WebSEAL/GSO ����� ���� junction junction� ��� �
-t ssl ��� ��� ���� SSL� � ��� � ����.
�� SSL junction� GSO �� ���� �� � �� ���� �
���� �� ����.
GSO �� WebSEAL junction� ��sales_svr ���� travel-app ������ ��� /sales junction���� ������.
create -t tcp -b gso -T travel-app -h sales_svr /sales
adm_svr ���� payroll-app ������ ��� /admin junction���� ���� SSL� � junction� ������.
create -t ssl -b gso -T payroll-app -h adm_svr /admin
�: �� ���� -t ssl �� �� �� 443� �����.
GSO �� ��GSO(Global Sign-on) �� ��� ���� ��� � ���� GSOjunction� ��� ���� � ����. �����, GSO ��� �
�� � ����. ��� �� ��� GSO �� ��(GSO ��� �
� GSO ��)� ��� ��� LDAP � � ��� ���.
GSO ��� ���� �� ���� webseald.conf �� ���
[gso-cache] ���� ����. � ��� ��� ���. ���
199Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
���� �� ��� �� �� �� � ��� �� �����.� � ��� ��� �� �� �� ����� WebSEAL����� ��� ��� ��� ����. ���� ����� GSOjunction� ���� �� ���� GSO ��� ���� ����.
��� ��
gso-cache-enabled GSO �� ��� �� � �� ����
� ���. � “yes” � “no”���. �
�� “no”���.
gso-cache-size �� � ����� ��� �� ��
�� ����. � �� GSO junction
� � ������� ���� ��
�� ��� �� �� ���� ���
��. �� ��� � ���� �
����, �� �� ��� ���
�. ��� �� �� �� 50����
�����.
gso-cache-entry-lifetime ��� ��� �� ��� ��� ��
�� � �� �� ��(� ��). �� �
�� �� �� ��� � ����
�� �� ��� LDAP � � �� �
�� ���.
gso-cache-entry-idle-timeout ��� �� ��� ��� �� �� �
�� �� ��(� ��)
IBM WebSphere(LTPA)�� �� �� �Policy Director WebSEAL IBM WebSphere ��� �� � ��
�� ��� ��� ��� � ����. WebSEAL� WebSphere��� �� ������ ���� ���� ����� � �� �
�� ��� ���� �����. ���� WebSEAL WebSEALjunction� �� �� ��� IBM WebSphere � �� �� �� �
���� �����.
200 �� 3.8
WebSphere� � �� LTPA(Lightweight Third PartyAuthentication) ���� �����. WebSEAL junction� ���
� LTPA� ���� ����� �� �� �� � ���� ���
��.
���� WebSphere ��� �� ��� �� ���� �
WebSEAL� ��� ���. ��� ���� WebSEAL ����
�� LTPA �� �����. WebSphere� �� �� �����
���� LTPA ��� ��� �� � �� ��� �� ����.� ��� WebSEAL WebSphere � ���� ���� ��� �
��� �� � ���� ������.
WebSEAL junction� � WebSphere� ��� ��� HTTP �
� �� ����. ��� WebSphere � � ��� �, �
� �� ���, �� �� �� ��� ���� ���� ��
���.
��� ���� � WebSEAL ��� LTPA �� ��� �
�� ��� �� � � ��� �� LTPA �� ��� � �
���. �� �� �� � ��� � ��(���) ��� �
� ��� � ����.
LTPA Junction ��LTPA �� �� WebSphere�� �� �� ��� �� � �
� ��� �����.
1. LTPA ���� ������.
2. �� ��� ����� � ���� ��� ��� �����
�.
3. � ��� �� ��� ������.
��� � �� �� ���� junction create �� � �� ��
���� �����.
¶ -A �� junction� LPTA �� ����� ���.
201Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
¶ -F <“keyfile”> �� � ��� �� �� �� ��� ���
�� � �� ��� �� �� � ��(WebSEAL � �)� �����. �� � �� WebSphere � �� ����
WebSEAL � � ��� �����. � ��� � ��
���� ��� WebSphere ��� ������.
¶ -Z <“keyfile-password”>� ��� �� � ��� ��� �
����.
��� junction XML ���� ��� ���� �����.
WebSEAL ��� WebSphere � ��� junction� ��� � �
� �� junction �� �� � ��� ������. �� ��, ��
����.
create ... -A -F “/abc/xyz/key.file” -Z “abcdefg” ...
LTPA �� ��LTPA �� ��, ��� � �� ��� � �� ��� ��
��. LTPA �� �� ��� � ���� LTPA junction� �
�� ���� � �� ���. �����, LTPA ��� �� ���
��. ��� �� ���, ��� � ��� ��� � � LTPA�� ���� ������.
LTPA ��� ���� ���� webseald.conf �� ���
[ltpa-cache] ���� ����. ���� �� �� � �� ���
�� ��� �� �����. � � ��� ��� �� ��
��� �����, WebSEAL ����� ��� ��� ��� �
���.
��� ��
ltpa-cache-enabled LTPA �� ��� �� � �� ���
�� ���. � “yes” � “no”���.
��� “yes”���.
202 �� 3.8
��� ��
ltpa-cache-size �� � ����� ��� �� ��
�� ����. � �� LTPA junction
� � ������� ���� ��
�� ��� �� �� ���� ���
��. �� ��� � ���� �
���� �� �� ��� ���
�. ��� �� �� �� 50����
�����. ��� 4096�� ����
�.
ltpa-cache-entry-lifetime ��� ��� �� ��� ��� ��
�� � �� �� ��(� ��). �� �
�� �� �� ��� � ����
�� �� ��� � LTPA �� ��
� ���. ��� 3600����.
ltpa-cache-entry-idle-timeout ��� �� ��� ��� �� �� �
�� �� ��(� ��). ��� 600�
���.
LTPA � ���� �� �� ����
¶ ���� �� WebSphere � � � ��� �� ����.LTPA junction � WebSphere � � �����. � � ��
� � � ��� junction ���� ���� �� � � ���
��� ���� ���.
¶ �� �� �� ���� ��� WebSEAL � WebSphere �
� �� ���� ��� ����� ��� ��� ���.
¶ WebSphere � � LTPA � � �� � ��� ����
�. WebSEAL ��� ��� junction � �� ��� ���
�.
203Tivoli SecureWay Policy Director WebSEAL �� ���
7.�
��
��
��
��
204 �� 3.8
������ �
WebSEAL �� � � �� URL ��� � ��� �����
� ��� �����. WebSEAL �� � � HTTP �� ��
� ��� ��� ������� ����� ��� ���� ��
� ��� � �� ���. �� WebSEAL �� ���� ����
�� �� URL� � �� ��� ��� � ����.
�� �� �� ����.
¶ �CGI ����� ���
¶ 208 ���� ���� � � ������ ���
¶ 209 ���� ��� ���� �� �� ���
¶ 213 ���� ���� �� ��� ��� ���
¶ 215 ���� ��� URL� �� �� ���
¶ 223 ���� ��� URL ��: Travel Kingdom�
CGI ���� ��CGI ������ ���� � WebSEAL CGI � ���
� �� �� �� �� �����. CGI ������ ��
WebSEAL � � junction ��� � �� ��� �� ��
�� ��� � ����. �� CGI ������� Policy Director�� ���, �� � �� ��� �����.
8
205Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
�� WebSEAL � �� �� �� �� ���� CGI �����
� ��� � �� ���.
��� junction � �� ��� CGI ������� ���� �
� �� WebSEAL�� � � ���� HTTP � ���� ��
���. -c ��� ���� ��� � � ��� HTTP ��� PolicyDirector �� � ��� ���� junction� ��� ���.
�� 161 ���� �HTTP �� �� ���� �� ��(-c)�� �
�����.
�� Policy Director �� �� �
CGI �� � ��
HTTP_IV_USER ���� Policy Director ��� �� �
HTTP_IV_GROUPS ���� �� Policy Director ��. �� ��
�� ���� �����. (� ��� ���
� ����.)
HTTP_IV_CREDS Policy Director ��� ���� �� opaque
��� ��. �� � ������� Authorization
API� ���� �� �� ���� ��� � �
�� �� � � ��� �����. Policy
Director ADK Developer Reference� ����
��.
�� WebSEAL ��� �� REMOTE_USER �
WebSEAL� ���� �� � ���� HTTP_IV_USER ��
� REMOTE_USER �� ��� �����.REMOTE_USER �� junction ��� � �� ��� CGI �
������ ���� ��� �� ����. ��� � ����
WebSEAL� �� ���� ����.
CGI �� � ��
REMOTE_USER HTTP_IV_USER �� ��� �� �� ��
206 �� 3.8
Windows: WIN32 �� �� ��� � �� junction�� �����.
Windows� CGI ������ � ����� ��� � �� ��
��� �� �� ���� ��� � ����. �� �����
��� ��� �� �� �����.
��� ��� Windows ��� �� �� CGI ���� ���� �
�� webseald.conf �� ��� � �� �� CGI �����
� �� ����� ���� �� � ����. (�� ��� ��
Policy Director �� �� �� ����� ���� �� ����
���.)
��� Windows ��� �� �� webseald.conf �� ���
[cgi-environment-variables] ���� ������. �� ��� ��
����.
ENV = <variable-name>
�� ��, �� ����.
[cgi-environment-variables]#ENV = SystemDriveENV = SystemRootENV = PATHENV = LANGENV = LC_ALLENV = LC_CTYPEENV = LC_MESSAGESENV = LOCPATHENV = NLSPATH
��� �� �� CGI ���� �����.
207Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
��� ��� ������ ��WebSEAL ��� � � � �� ������ ��� �
�� �� ��� �����. ��� � � � �� ��� ��
����.
¶ Java servlet
¶ Oracle Web Listener� �� ����
¶ � � ����
-c ��� ���� ��� � � junction� ��� � WebSEALPolicy Director �� ���� �� � �� � � ��� � �
� ��� ��� HTTP �� ����.
Policy Director �� HTTP � ��� ��� junction � ��
������� ���� ����� Policy Director ��� ��� �
�� �� ��� �����.
WebSEAL ��� Policy Director �� HTTP �� �����.
PD �� HTTP �
� ��
��
iv-user = ����� ��� � �. ����� ���� �
��( � �� ��), ��� “���� ��”�
��.
iv-groups = ����� �� ��� ��. �� �� �� �
�� ���� �����.
iv-creds = Policy Director ��� ���� �� opaque �
�� ��. �� � ������� Authorization API
� ���� �� �� ���� ��� � ��� ��
� � ��� �����. Tivoli SecureWay Policy
Director Authorization ADK Developer Reference�
������.
208 �� 3.8
HTTP �� CGI �������� HTTP_IV_USER,HTTP_IV_GROUP � HTTP_IV_CREDS �� �� �� �� �
����. �� CGI ��� ������ ������ ��, HTTP ������� � ��� ��� � �� ��� ������.
�� 161 ���� �HTTP �� �� ���� �� ��(-c)�� �
�����.
�� ���� � � ������ ������ � ���� �� ��� ���(���� � �
��� ���)� �� ���(���� � �� ���) � �
� �� ��� ��� ��� ����.
¶ � �� ��� ���� ���� ������� ��� ���
� �� �����. ��� ��� ���� �� �� ��
� �� �� ���� �����.
¶ �� �� ��� �� ��� �� �� ���� ���� �� �
�� ���� �����. ��� ��� ���� ��� ����
��, �� �� �� � �� ��� ��� ���� �� �
� �����.
�� ��� �� ���(CDAS)� �� �, Policy Director� �
� ��� �� �� ��� � ��/� ��� ���� ��� ��
� ���� � �� �� ��� ���� �����. ������
Authorization API� ���� ������ �� � ���� ��
� � ����. � CDAS �� ���� � �� ��� ��
Tivoli Policy Director WebSEAL Developer Reference� �����
�.
LDAP ����� ��� �� �� �WebSEAL ��� �� �� LDAP ��� � ����� ��
� ��� �� � �� �� �� � �� �� ���� ���
��. �� �� � ��� junction� � ��� ������ �
� ��� ��� HTTP �� ��� � ����.
209Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
¶ ��� LDAP ����� ��� ������ ��� �� �� �
��� � ����� ���� Policy Director ��� ���
��.
¶ WebSEAL ������ � ���� ���� WebSEALjunction� � ��� � � ���� ��� HTTP �� �
���� �����.
¶ ��� ������ �� �� Authorization API� ����
� ���� ���� ��� � ����.
�� LDAP ��� HTTP �� ��� �� WebSEAL ����
� ��� ����.
1. LDAP �������� �� ���� ���� ���� � ��
�� ��� ��� �����.
2. Junction� �� �� ��� ���� ������ ��� ��
�� ���� ��� junction� � ���� ��� HTTP �
� �����.
��� �� LDAP ��� ������ �� LDAP ��� ���� ���� � �� ��� ��
��.
1. �� LDAP ���� ��� �� ��� ���� ����
pd.conf �� ��� [ldap-ext-cred-tags] ���� ������.
� ���� � �� �� ����.
2. ��� �� ���� ��� �� ��� ���� ��� ��
CDAS ��� ������.
CDAS � ��� �� ��� �� Tivoli Policy DirectorWebSEAL Developer Reference� ������.
210 �� 3.8
pd.conf �� ��� [ldap-ext-cred-tags] ���� ���� LDAPinetOrgPerson �� � ��� �� ���� ��� ��� �� �
�� �� �� ��� ������. � ���� ��� �� �
� �� ����.
<custom-credential-field> = <inetOrgPerson-field>
�� ����, pd.conf �� ���� �� � custom-credential-field���� �� ��� “tagvalue_” �� ���� ����. � �
��� ��� �� ��� �� ��� �� ��� �����. �� ��, �� ����.
inetOrgPerson �� � ��� LDAP
��� ���employeeNumber:09876
��� �� �� �� �: ldap-employee-number
[ldap-ext-cred-tags] ���� �� ��
� ��:
ldap-employee-number = employeeNumber
��� ��� �� �� � �:
tagvalue_ldap-employee-number:09876
¶ � ���� LDAP ��� � � ��� �� ��� ��� �
����. passwd-ldap �� ���� ��� ���.libldapauthn(ldapauthn) �� ������ �� ��� �� �
� ��� �� pd.conf �� ��� [ldap-ext-cred-tags] ���
� ��� ���� ����.
¶ LDAP ���� inetOrgPerson �� � ��� �� ��
� �� ����� � � ����.
¶ [ldap-ext-cred-tags] ���� �� ��� ��� � ����.
¶ ��� ���� �� �� ��� ��� ���� ��� ��
���.
¶ LDAP �� � ����� ���� ����.
211Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
¶ �� �� � ����� ���� ����.
HTTP �� �� ��� ���� ��� �� ��� �� �� ��� junction� � ��� �
� ���� ��� HTTP �� ��� � ����. � ��� �
��� ���� �����.
1. �� �� �� ���� ���� junction� ������. � �
��� WebSEAL �� �� � ��� �� junction �� ��
��� � ��� ����� �����.
2. ������ ��� �� ��� ���� ��� HTTP �� �
��� �����.
junction �� ��� � ��� ���� �� junction� ���
�� ���� ��� ������. � ��� �
HTTP-Tag-Value���. ��� � �� �� ��� ����
�.
<custom-credential-field>=<http-header-field>
custom-credential-field ���� pd.conf �� ���
[ldap-ext-cred-tags] ���� ���� �� �� �����.“tagvalue_” ���� ���� ����. ���� ����� ��
�� ����. http-header-field ���� ���� ��� � �
��� HTTP �� �� �����. �� ��, �� ����.
junction �� ��� HTTP-Tag-Value� � ��:
ldap-employee-number=employee-id
��� ��� �� �� � �:
tagvalue_ldap-employee-number:09876
HTTP �� �� �� � �: employee-id:09876
212 �� 3.8
WebSEAL ��� ������ � � ��� ��� ��� �
junction �� ��� �� HTTP-Tag-Value� � ��� �
��.
pdadmin object modify set attribute �� ���� � ��
�� junction� ������.
pdadmin> object modify <obj-name> set attribute <attr-name> <attr-value>
�� ��, �� ����.
pdadmin> object modify /WebSEAL/WS1/junctionA set attributeHTTP-Tag-Value ldap-employee-number=employee-id
pdadmin object modify set attribute �� �� � ���� ��
�� HTTP-Tag-Value� � ��� ������(�� ��� �
�� ���) junction � � �� �� ��� �� ���� ���
� ����.
��� �� ��� ��� �� � , � �� ���� �� ����� �� ��� � ��� �
�� �� ��� ���� ���� �� � ��� ������. ���� �� ���, �� ��� � �� ��� ��� � ����.� �� �� ���� �� �� ��� ���� ��� ��
��� ����. �� ���� � ���� � ��� �� �
�� ��� �� ���� ����.
WebSEAL �� �� � Authorization API �� �� ���� ��
�� Policy Director ���� ��� �� � ���� ��� � �
���.
��� �� WebSEAL � ���� ���� ���� ��� �
� � ��� �����.
1. � �� �� � ��� �� �� �� � ��� ��
region� �����.
2. ��� �� ACL� � �� �� �� ��� �����.
213Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
3. � ���� �� URL, � ��� �� �� �� � �� �
� ��� ���� � ����� ��� �� ��� ���
�� WebSEAL �� ��� ��� � ����.
4. � URL� �� � ��� ��� � WebSEAL �� ��
�� ���� ���� � �� � ��� ���� � ���
� �� �� ��� ���� �� ��� �����.
5. WebSEAL � ��� ���(junction ) � � � ����
PD_PORTAL HTTP �� �����.
6. ��� � �� ��� ��� �� � ���(�: CGI�
servlet)� PD_PORTAL � ��� �, �� ��, ��� �
����� ����� ��� �� URL �� �����.� ��� �� �� ��� ��� ����� �� ��� ��
� �� ��� ����.
��� ���� �� WebSEAL ��
1. ��� ���� �� �� WebSEAL junction� ������.�� ��, �� ����.
pdadmin> server task <server-name> create -t tcp-h portalhost.abc.com /portal-jct
2. webseald.conf �� ��� ���� � [portal-map] ����
������.
[portal-map]
3. � ���� �� � ��� ����� � �� URL ��
��� �� � ��� ���� �� � ��� region(���
��� ��� ����)� �����. � �� PD_PORTAL �
� �����.
[portal-map]<URL> = <object-space-region>:<permission>
�: � ���� � ���� ��� ���� �� ����
� ACL� �� ��� �� �� �����.
214 �� 3.8
4. ��� � ��� �� ��� ��� WebSEAL(webseald)����� ���.
��� ��� ��
¶ � � � junction� ����� ��� ������.
pdadmin> server task webseald-WS1 -t ssl -h PORTAL1 /portal
¶ ��� ���� �� ��� ��� �� �� WebSEAL �� �
� � ��� region� ������.
pdadmin> objectspace create /Resources“Portal Object Hierarchy” 10pdadmin> object create /Resources/Content ““ 10ispolicyattachable yespdadmin> object create /Resources/Support ““ 10ispolicyattachable yespdadmin> object create /Resources/Content/CGI ““ 11ispolicyattachable yespdadmin> object create /Resources/Support/Servlet ““ 11ispolicyattachable yes
�: “ispolicyattachable” ��� � ��� � “yes”� ���
� ���. �� ��� ���� � ACL� ���
�� �� �� �� �� �����.
¶ WebSEAL ��(webseald.conf):
[portal-map]/portal/servlet/PortalServlet = /Resources:r
¶ ���� � ���� � URL:
https://WS1/portal/servlet/PortalServlet
�� URL� ��� �� ���� � �� ���� ��� ��� � ���� ��� ��
��� �����. � � ������ � ��� ��� �� �
�� URL(Uniform Resource Locators)� ���� �����. ��� URL � �� �� �����. ��� ���� ����
���� �� ��� �� ���� ����� �� URL� ��
� ��� ����.
215Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
�� URL ������ ��� � ������ ��� � ����� ���� �
� � CGI ������ � ������ � �����.
��� �� ��� �� URL ��� �� ��� ���� ���
��� � � �� ��(��� �� ����)� ���. ��
URL �� ��� �� �� � ��� ��� URL �
�� �����. URL� �� ��� �� � ������ ����
�� ��, ��� � �� �����.
�� URL� ACL ��� ��WebSEAL �� �� � �� �� policy ����(ACL)� �
��� ������ ��� � �� URL �� ���� ��
URL� �����. WebSEAL� �� � �� �� ����� �
�� ���� �� �� �� ����. �� �� ���� ACL � �� �� �� �� URL� � ��� ���� ���
��.
�� URL ��� ��� ���� �� �� �� policy ���
����� � ��� �� � ����. Policy Director� � �
� URL� �� �� �� �� �� ��� � �� ���� ��
�� � ��� ����.
�� 37. URL� � ���� CGI ������ ��
216 �� 3.8
�� ��� ���� �� � ��� �� ��� �����.
/opt/PolicyDirector/www/lib/dynurl.conf
� ��� ��(� ��� ���)� webseald.conf �� ���
[server] ����� dynurl-map ���� �����.
[server]dynurl-map = lib/dynurl.conf
� �� ��� �� ����� �� ���� ����. � �
�(�� ��)� ��� �� URL ��� �����.
� ��� ���� ��� ��� ������. ��� �� �� �
� ����.
<object> <template>
Policy Director� �� � ���� ��� �� �� ���� ��
� ��� ��� UNIX � ��� ����(���� ��)������. � ��� ���� �� �� URL � �� ��
�����.
Policy Director� ��� UNIX � �� ��� �����.
�� ��
\ ���� �� ��� ��� �� � �����. �� �
�, \t� TAB ���� ESC ��� ��� � �� ��
��.
? �� �� ���� ����. �� ��, “abcde” �
�� “ab?de” �� �����.
* 0� ��� �� ���� ����
[] ����� ��� � �� �� ��� �����. ��
��, ��� “abcde”� � �� “ab[cty]de” ���
��.
^ ��� �����. �� ��, �� [^ab]� ‘a’ �� ‘b’
�� ��� �� �����.
217Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
�� ��� �� � ��� ���� �� URL� �����.
http://<server-name>/home-bank/owa/acct.bal?acc=<account-number>
� �� URL� ���� �� �� �� �� �����.
http://<server-name>/home-bank/owa/acct.bal?acc=*
� ���� �� URL� �� �� �� �� �� ��� �
�� �� � ����. home-bank��� �� �� �� ��
��, ��(acc=*)� ��� ��� �� �� ���� �(*) ����� ���� ��� ACL �� �� ��� �����.
�� �� �� �� �� �� �� �� �� URL� �� ��
��� �����.
�� 38. �� URL�� �� ��
218 �� 3.8
�� URL� �� WebSEAL �dynurl update �� ���� dynurl.conf �� ��� �� �
��� WebSEAL �� �� � ��� ��� � ����.
1. dynurl.conf� �� ���� �� URL ��� ��, �� ��
������.
2. � dynurl update �� ���� � � ������.
pdadmin> server task webseald-<server-name> dynurl update
server-name ��� WebSEAL ��� ���� � ��� �
� �����.
��� ���� �� URL �� �� �� �� URL �� dynurl.conf �� ���� ��
� ��� �� �����.
�� � ��� �� URL ��� ��� � dynurl.conf ��� �
� �� ����� ���� ���� ���� �� ���. �
��� ����� �� ��� �� � ��� � �� ���
�����.
����� � �� ��, WebSEAL URL� ����
http://<server>� �� ��� ������.
� �� ACL� ���� �� ��� ��� ������. �� ��, book.sales ��� �� ������ � � ���� ��
�� ��� �� ���� �� �� ������� ��� ���
� �� �� �� � ���� ���.
���� � �� URL ���
/ows/sales/bksale /ows/db-apps/owa/book.sales*
/ows/sales/general /ows/db-apps/owa/*
219Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
�� ��� ��� �� ��, /ows/db-apps/owa ����� �
�� ��� /ows/sales/general �� �� �����. ��� �
� �� � �� ���� � �� ��� �� � ����.
�� � �� ��� URL � ��� ��� � URL �� �
��� GET ����� �� ��� ��� ���(POST � GET��� �� ��� ���).
��� ��� GET ����� �� ���(�: ���� ��� ��
�� ���)� URL� �����.
��� ��� POST ����� �� ���� ��� ��� ���
��.
ACL ��� URL� �� � �� ���� ���� ��� �� �� ��
��� ����(���� �� �� ���) ���� � ACL �� ��� �����.
POST ��� ���� ��POST ��� �� ��� ��� �����. �� POST ����
������ ��� � ��� ��� ���� ��� ��� �� �
����.
post-max-read
webseald.conf �� ��� [server] ���� �� post-max-read���� POST ��� ���� ����� ��� �� ��� �
� ������ � POST ��� WebSEAL� ��� ��� ���
��. WebSEAL� � ��� �� � �� ��� ��
�� ��� �� ����.
�� URL ��� �� ��� POST ��� ��� � post-max-read��� �� �����. ��� 4096������.
[server]post-max-read = 4096
220 �� 3.8
� ���� �� POST �� ��(����)� ���� ���� �
� ������. � ���� WebSEAL� ����� ��� POST��� ���� ���� �����.
dynurl-allow-large-posts
post-max-read ���� WebSEAL� � ��� ���� POST��� �� ������, �� ��� ������ � � � ��
�� �� ��� ����. � ������ ����� � �� �
����� � � � �����. ������ � � ��� ��
�� ��� ��� � ��� ���� ��� ����.
dynurl-allow-large-posts ���� WebSEAL� max-post-read�� �� ��� �� ��� � POST ��� ���� ��� ��
� � �� ���. ��� �� “no”(���)� ��� WebSEALmax-post-read�� ��� ��� �� ��� � POST ��� ��
�����.
[server]dynurl-allow-large-posts = no
��� �� “yes”� ��� WebSEAL �� POST ��� ��
���, max-post-read �� ���� ��� �� ������.
[server]dynurl-allow-large-posts = yes
�� 1
¶ � POST ��� �����(post-max-read ��� �).
¶ dynurl-allow-large-posts = no
¶ �� URL� �����.
¶ �: �� � ���
�� 2
¶ � POST ��� �����(post-max-read ��� �).
221Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
¶ dynurl-allow-large-posts = yes
¶ �� URL� �����.
¶ �: WebSEAL� post-max-read �� ��� �� ��� �
� � �� ��� ���� � �� �� ���� �� ��
� �����. ��� �� �� � �� ��� ���� ��
� � �� � � �� �� ���� ����.
¶ �� ������ � POST ���� �� �� ���� �
�� �� ��� �� ����.
/rtpi153/webapp/examples/HitCount\?*action=reset*
�� � �� �����:
¶ �� URL� ��� ����� WebSEAL� ����� �� �
�� ������.
/opt/PolicyDirector/www/lib/dynurl.conf
¶ �� �� ��� �� ��� ��� ���.
<object> <template>
¶ ��� ���, �� ��� �� URL ��� ���� ����.
¶ ��� �� �� �� � �� WebSEAL �� � ���
� �� ����� �����.
¶ ������ � �� ��� ����� �� �� � ��
��. ����� � �� �� �� ��� ���� �� ��
��.
�� � dynurl.conf �� IBM WebSphere ��� ��� ��
� � ������� ���� � �� �� �� �����.
���� �� URL ���
/app_showconfig /rtpi153/webapp/examples/ShowConfig*
/app_snoop /rtpi153/servlet/snoop
/app_snoop /rtpi025/servlet/snoop
222 �� 3.8
���� �� URL ���
/app_hitcount/ejb /rtpi153/webapp/examples/HitCount\?source=EJB
/app_hitcount /rtpi153/webapp/examples/HitCount*
�� ����
¶ �� �� URL ����� ��� �� �� ��� � ����.(�� ��, app_snoop� �� �� � � �� URL� ����
�.)
¶ �� �� ��� � ����(�: app_hitcount �
app_hitcount/ejb).
¶ ���� URL ��� ����� � # ��� # ��� ��
�� � � � ����. ����� ���� ��� �����.���� ��� # ��� �� ���� ����� ������.
¶ dynurl.conf ��� ��� ������ dynurl update ��
�����(pdadmin server task ��).
�� ���� �� �� � �� ��� ����� � Web PortalManager� �� �� �����.
¶ �� � ��� ���� ��� �����. ���� ����
��.
¶ �� �� � ��� �� ���� �� � � ���� �
���.
¶ dynurl.conf ���� �� �� ���� �� �� �� ��
ACL� ������.
�� URL ��: Travel Kingdom�� ���� �� ����� Oracle Web Listener� � ��
URL� ���� ��� �����.
223Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
� ��� �� �� URL � � � Oracle Web Listener���. ��� �� �� URL � � � ���� ��� � ����.
�����Travel Kingdom ���� � ����� �� �� ���� �
��� �����. � ��� ��� ��� �� � ���� �
�� ��� � �� � � � � � �� Oracle ������ �
������ ���� ���.
1. � � ��
��� �� ��� ���� ���� ���� �� ��� ��
� � ����. Travel Kingdom �� �� ��� � ���
� �� ���� �� �� �� ����� ��� �� ���
�. �� �� �� ��� ��� ��� ���� ��� � �
�� ���� ��� �� ��� ���.
2. �� ���
�� �� �� �����, Travel Kingdom ��, �� � �
� ��� �� � ������� �������. � ��� �
� � ��� �� �� �����.
������������� ��� � ��� �� ��� ����� Oracle� � � �����.
/db-apps/owa/tr.browse �� ���� �� ���, �� �� ��
� � ��
/db-apps/owa/tr.book ��� ���� � ���(��� �� ��
�� ��)
/db-apps/owa/tr.change �� ��� ����� ��� � ���
/db-apps/owa/admin.browse ��� � ��, �� �� �� � ��
� ���� �� �� ��� �� � �
��
224 �� 3.8
/db-apps/owa/admin.resume ���� � �������� ���� �
�� ��� ��� �� � ��� �
/db-apps/owa/admin.update � ��� ��� �� ��� ���� �
���
� �� �WebSEAL � � Travel Kingdom� �� � ��� � ���
��� ���� � �����.
¶ �� �� ������ � � ������� �� ���
Oracle � � � �� junction(/ows)� ��� � ����.
�� policy���� � ���� ����� � ��� ��� �� ����
� � ��� ��� � �� ������.
1. ��� ��� �� ����� ��� � ����.
2. �� ��� ��� ��� ���� �� � ���, �� ��
��� �� ����� ��� � ����.
3. � �� �� � ��� �� ��� �� ��� ��� �
���.
4. � �� ��� Travel Kingdom ��� ��� ��� ���
�� � ��� �� ��� �� ��� � � ����.
��� ��� �� URL ����� � � �� ���� � �� �� ��� �
� URL�� ACL �� � �� ����� ��� ��� ���.
��� ��� ��� ��� �� � �� ���� ��� ��
�� ������.
225Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
���� � �� URL ��
/ows/tr/browse /ows/db-apps/owa/tr.browse\?dest=*&date=??/??/????
/ows/tr/auth /ows/db-apps/owa/ t r .book\?des t=*&depar t=??/?? /????
&return=??/??/????
/ows/tr/auth /ows/db-apps/owa/tr.change
/ows/admin/forall /ows/db-apps/owa/admin.resume
/ows/admin/forall /ows/db-apps/owa/admin.browse\?empid=[th]???
/ows/admin/auth /ows/db-apps/owa/admin.update\?empid=????
�� ���������� ��� � �� � WebSEAL� �����.
� ������ ����� �� �� Travel Kingdom �����
��� ���� ��� �� ���.
�� � �� ��� � �� ��� ����� �����.
Staff Travel Kingdom ��� ���
TKStaff Travel Kingdom ����
AdminStaff Travel Kingdom � ��� ���. � �� Staff���� ���� �� ������.
Customer ���� � �� ��� ��� Travel Kingdom���
� ����� � ���� ��� ���� WebSEAL � � ��
� ����� ����� � ����. �� �� � ���� ���
� � ��� �� Oracle � � � �����.
��� ��� � �� ��� �������� �� �� ��� ���
����.
226 �� 3.8
/ows/tr/browse ���� �� Tr any_authenticated Tr
/ows/tr/auth ���� �� - any_authenticated -
group TKStaff Tr group Customer PTr
/ows/admin/forall ���� �� - any_authenticated -
group Staff Tr
/ows/admin/auth ���� �� - any_authenticated -
group AdminStaff Tr
�� � Travel Kingdom� �� �� � �� �� ���� ��
�� � ��� ��� ��� ����. � �� ���� ��
untrusted ���� � ��� ���� ��� � �� ��
���� � ��� ���� ��� ����(��� � ��).
����� ��� ��� �� ��� �� ���� ��� �� ���
�����.
¶ ��� �� �
¶ ��� ��
¶ ��� ��� �� �� �� ��
�� ���� �� ���� �� WebSEAL Oracle � � �
�� ��� �� ��� �� �� � ���� ���� � ���
��.
227Tivoli SecureWay Policy Director WebSEAL �� ���
8.�
��
��
��
228 �� 3.8
webseald.conf ��
webseald.conf �� �
�� � ���:
¶ WEBSEAL GENERAL
[server]
¶ LDAP
[ldap]
¶ SSL
[ssl]
¶ JUNCTION
[junction]
[filter-url]
[filter-schemes]
[script-filtering]
[gso-cache]
[ltpa-cache]
¶ AUTHENTICATION
[ba]
[forms]
A
229Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
[token]
[certificate]
[http-headers]
[auth-headers]
[ipaddr]
[authentication-levels]
[mpa]
[cdsso]
[cdsso-peers]
[failover]
[e-community-sso]
[inter-domain-keys]
[authentication-mechanisms]
[ssl-qop]
[ssl-qop-mgmt-hosts]
[ssl-qop-mgmt-networks]
[ssl-qop-mgmt-default]
¶ SESSION
[session]
¶ CONTENT
[content]
[acnt-mgt]
[cgi]
[cgi-types]
[cgi-environment-variables]
[content-index-icons]
[icons]
[content-cache]
230 �� 3.8
[content-mime-types]
[content-encodings]
¶ LOGGING
[logging]
¶ AUTHORIZATION API
[aznapi-configuration]
[aznapi-entitlement-services]
¶ POLICY DIRECTOR
[policy-director]
[manager]
WEBSEAL GENERAL
��� ��
[server] ���
SYSTEM
unix-user WebSEAL � � UNIX ��� ��
unix-group WebSEAL � � UNIX �� ��
unix-pid-file PID ��� ��
server-root WebSEAL � � �� ����
server-name WebSEAL � ���� �
THREADS AND CONNECTIONS
worker-threads WebSEAL ��� ���� �
client-connect-timeout �� ���� �� ���
persistent-con-timeout HTTP/1.1 ��� �� ���
HTTPS CLIENT
https HTTPS �� �
https-port � HTTPS ��� ��� ��
HTTP CLIENT
http �� HTTP(TCP) �� �
http-port �� HTTP ��� ��� ��
231Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
WEBSEAL GENERAL
��� ��
POST REQUESTS
post-max-read POST ��� ���� ���� � ��
��� �
DYNURL
dynurl-map URL � �� �� � �� ��� ��
dynurl-allow-large-posts post-max-read�� ��� ��� � POST
��� �� WebSEAL� �� ��
URI HANDLING
utf8-url-spport-enabled
LDAP
��� ��
[ldap] ���
ldap-server-config ldap.conf �� ��� ��(�� � ��)
cache-enabled �� LDAP �� �� � �� ���
prefer-readwrite-server �� ��� LDAP � � �� �(�� �
�� �)
auth-using-compare LDAP ��� �� �� � ��� ���
� �� �� �� �
default-policy-override-support
�� policy �� ��� �� policy ��
user-and-group-in-same-suffix
�� ��. ��� ��� ��� LDAP �
���� ���� �����.
ssl-enabled WebSEAL � LDAP ��� �� SSL �
� � �� ���
ssl-keyfile SSL ��� ��
ssl-keyfile-dn SSL ��� �� ��� ���(�� �
�)
ssl-keyfile-pwd SSL �� ��
bind-dn WebSEAL �$� �� �(�� � ��)
232 �� 3.8
LDAP
��� ��
bind-pwd WebSEAL �$� ��(�� � ��)
enabled
host
port
SSL
��� ��
[ssl] ���
webseal-cert-keyfile SSL �� ��� WebSEAL� �����
�� � ���� �� �� ��� �
�
webseal-cert-keyfile-pwd WebSEAL ��� �� ��
webseal-cert-keyfile-stash WebSEAL �� �� � ��� ��
webseal-cert-keyfile-label ��� ��� ��� WebSEAL ���� �
ssl-keyfile �� ��� �� WebSEAL ��� �
�� ��
ssl-keyfile-pwd WebSEAL ��� �� ��(�� ���)
ssl-keyfile-stash WebSEAL �� �� � ��� ��(�
� ���)
ssl-keyfile-label ��� ��� ��� ���� �( �� �
��)
disable-ssl-v2 ����� SSL V2 ��� �� ����
disable-ssl-v3 ����� SSL V3 ��� �� ����
disable-tls-v1 ����� TLS V1 ��� �� ����
ssl-v2-timeout SSL V2 ��� �� GSKit �� �� ID
���
ssl-v3-timeout SSL V3 ��� �� GSKit �� �� ID
���
233Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
SSL
��� ��
ssl-max-entries GSKit SSL �� ID ��� �� �� ��
�
ssl-ldap-server CRL ��� ���� LDAP �
ssl-ldap-server-port � LDAP � � CRL ��� � ����
�� ��
ssl-ldap-user LDAP � � � ���
ssl-ldap-user-password LDAP � � � ��� ��
ssl-auto-refresh
ssl-listening-port
ssl-pwd-life
ssl-authn-type
JUNCTION
��� ��
[junction] ���
junction-db junction ������� ��
jmt-map junction � �� �� ���(JMT)� �
�
http-timeout TCP � junction�� ���� ����
� � �� ���
https-timeout SSL � junction�� ���� ����
� � �� ���
ping-time WebSEAL junction � ping �� �
� ��
basicauth-dummy-passwd “-b supply” junction� � �� �� �
�� ��� �� ��
worker-thread-hard-limit �� junction� �� �� ��� � ��
� ��� ���
worker-thread-soft-limit �� junction� �� �� ��� � ��
� ��� ���
234 �� 3.8
JUNCTION
��� ��
io-buffer-size junction�� � ��� �� ��
��
DOCUMENT FILTERING
[filter-url] ���
<tag> = <attribute> junction � ���� ���
WebSEAL� ���� URL ��
[filter-schemes] ���
scheme = <scheme-name> junction � ���� ���
WebSEAL� ���� URL �� ��
[script-filtering] ���
script-filter junction � � ������ �� URL
�� � �� � �� ���
GSO CACHE
[gso-cache] ���
gso-cache-enabled GSO �� �� � �� ���
gso-cache-size GSO ��� �� �
gso-cache-entry-lifetime GSO �� ��� �� �� �
gso-cache-entry-idle-timeout ��� GSO �� ��� �� �� �
LTPA CACHE
[ltpa-cache] ���
ltpa-cache-enabled LTPA �� �� � �� ���
ltpa-cache-size LTPA ��� �� �
ltpa-cache-entry-lifetime LTPA �� ��� �� �� �
ltpa-cache-entry-idle-timeout ��� LTAPA �� ��� �� �� �
AUTHENTICATION
��� ��
BASIC AUTHENTICATION
[ba] ���
235Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
AUTHENTICATION
��� ��
ba-auth �� �� ��� �� � �� ���
basic-auth-realm ���� BA ��� � ��� ��� �
� �
FORMS
[forms] ���
forms-auth ��� ��� �� �� � �� ���
TOKEN
[token] ���
token-auth �� ��� ��� �� �� � �� �
��
CERTIFICATE
[certificate] ���
accept-client-certs WebSEAL ����� ��� �� ��
HTTP HEADERS
[http-headers] ���
http-headers-auth HTTP �� ��� �� �� � �� �
��
[auth-headers] ���
�� ��� ��� �� HTTP �
IP ADDRESS
[ipaddr] ���
ipaddr-auth IP �� ��� ��� �� �� � �� �
��
STEP UP
[authentication-levels] ���
level = ���� �� level =��
step-up �� �
MULTIPLEXING PROXY AGENTS
[mpa] ���
236 �� 3.8
AUTHENTICATION
��� ��
mpa ����� ��� ����� �� �� ��
�� � �� ���
CDSSO
[cdsso] ���
cdsso-auth CDSSO ��� ��� �� �� � �� �
��
authtoken-lifetime CDSSO �� ��� �� �� � �
[cdsso-peers] ���
<machine-name> = <keyfile-location>
CDSSO� ���� ��� ��
FAILOVER
[failover] ���
failover-auth failover � �� �� � �� ���
failover-cookies-keyfile cdsso_key_gen�� �� � ��� �
��(�� ��)
failover-cookie-lifetime failover � ��� ��� �� ��
enable-failover-cookie-for-domain
failover � ��� � �� ��� �
�� �� �� �
e-COMMUNITY SSO
[e-community-sso] ���
e-community-sso-auth e-community SSO �� � �� ���
e-community-name “vouch for” �� � ��� ����
e-community �
intra-domain-key DNS ����� WebSEAL ����� ��
��� ���� � ���� ��� ��
is-master-authn-server �� ��� ��� WebSEAL �� � �
��
master-authn-server ��� WebSEAL �� � � �(�� �
�� �� ��)
master-http-port ��� �� � � ��� � HTTP �
�
237Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
AUTHENTICATION
��� ��
master-https-port ��� �� � � ��� � HTTPS �
�
vf-token-lifetime “vouch for” �� � �
vf-url “vouch for” URL
ec-cookie-lifetime e-community � � �
[inter-domain-keys] ���
<domain-name> = <keyfile> e-community� ���� �� ���� ��
��
AUTHENTICATION MECHANISMS AND LIBRARIES
[authentication-mechanisms] ���
passwd-cdas passwd-ldappasswd-uraf token-cdascert-ssl cert-cdas http-requestc d s s o p a s s w d - s t r e n g t hcred-ext-attrs
���� �� ��� � � �� ��
��� ��
SSL QUALITY OF PROTECTION MANAGEMENT
[ssl-qop] ���
ssl-qop-mgmt QOP(quality of protection) � �� � �
� ���
[ssl-qop-mgmt-hosts] ���
<ip-address> �� ���� �� QOP ��� �
[ssl-qop-mgmt-networks] ���
<ip-address/mask> �� ����� �� QOP ��� �
[ssl-qop-mgmt-default] ���
default �� �� ��� IP ��� �� �� QOP
��� �
SESSION
��� ��
[session] ���
238 �� 3.8
SESSION
��� ��
�� �� WebSEAL ��/�� ��� �� �� ��
�
�� WebSEAL ��/�� ��� ��� �� �
� �
��� �� WebSEAL �� ���� ��� ��� �
SSL CLIENT SESSIONS
ssl-id-sessions SSL ID� ��� HTTPS ��� �� ��
��
SHARING SESSIONS
use-same-session HTTP HTTPS ��� ���� ���
�� � ��� �� ID ��
SENDING SESSION COOKIES
resend-webseal-cookies ����� �� �� � �� ��
�� � failover � ���
CONTENT
��� ��
[content] ���
LOCAL DIRECTORIES AND FILES
doc-root � �� ��� �� ����
directory-index ���� �� ��� �
delete-trash-dir ��� ��� ��� �� �� ��� �
���
LOCAL USER DIRECTORIES
user-dir ����� �� HTML ��� ���� �
� ��� � �����.
ERROR PAGES
error-dir WebSEAL � ��� �� ��
Director
239Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
CONTENT
��� ��
ACCOUNT MANAGEMENT PAGES
[acnt-mgt] ���
mgt-pages-root �� � ���� ��
��� ��� �� �
���� ���� �� ��� ��� �
account-locked �� ���� � ��� �� ��
��� ��� �
passwd-expired �� ���� � ��� �� ��
��� ��� �
passwd-change �� � �� �
passwd-change-success �� � ��� ���� �� ��� �
�� �
passwd-change-failure �� � ��� �� �� ��� �
�� �
help ��� � ���� �� �� �� ��
��� �
token-login �� ��� �� �
next-token �� �� �� �
stepup-login step-up �� ��� �� �
LOCAL CGI
[cgi] ���
cgi-timeout �� CGI ���(��) �� � � �� �
�� �
[cgi-types] ���
bat = cmd cmd = cmd pl =perl sh = sh tcl = tclsh76
�� CGI �� ��� ���� ���
� ��(Win32 � �)
[cgi-environment-variables] ���
ENV CGI ������ ��� �� �� �
ICONS
[content-index-icons] ���
240 �� 3.8
CONTENT
��� ��
image/* video/* audio/*
text/html text/* application/x-
tar application/*
���� ��� WebSEAL� � ����
�� ��� ��� ��� ��(index.html�
�� � ���)
[icons] ���
diricon ������� ���� ���
backicon �� ����� ���� ���
unknownicon � �� �� ��� ��� ���
DOCUMENT CACHING
[content-cache] ���
text/html image/* */* WebSEAL� ���� ��� �� ��
MIME ��� �� �� �� ��
MIME TYPES
[content-mime-types] ���
<extension> = <type> �� �� ��� MIME �� ��
deftype �� ��� �� ���� ���� �� �
�� ���� �� MIME ��
CONENT ENCODINGS
[content-encodings] ���
gz Z �� �� ���� ����� �� �
��� � �� ��
LOGGING
��� ��
[logging] ���
server-log � � �� ��� ��
max-size HTTP ��� �� �� ��� �� ��
�
flush-time HTTP �� �� �� �
�� HTTP �� �� �� � �� ���
requests-file HTTP �� ��� ��
241Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
LOGGING
��� ��
referers HTTP �� ��� �� � �� ���
referers-file HTTP �� ��� ��
���� HTTP ���� �� �� � �� ���
agents-file HTTP ���� ��� ��
gmt-time �� ��� �� GMT ���� �� ��
AUTHORIZATION API
��� ��
[aznapi-configuration] ���
db-file �� ����� policy ������ ��
��� ��
cache-refresh-interval ��� �� � � �� ��() �� ��
� �� ��
listen-flags policy �� �� �� ��� �� ��� �
� � �� ���
tcp-port ���� �� TCP ��
udp-port ���� �� UDP ��
AUTHORIZATION API LOGGING
logclientid=webseald
logsize � �� ��� �� �� �� �� �
��
logflush � �� �� �� �� �
logaudit �� �� � �� ���
auditlog �� ��� ��
auditcfg = azn �� �� ��� ��
auditcfg = authn �� ��� ��
auditcfg = wand WebSEAL ��� ��
AZNAPI SERVICE DEFINITIONS
<service-id>
mode
242 �� 3.8
AUTHORIZATION API
��� ��
azn-server-name
pd-user-name
[aznapi-entitlement-services] ���
AZN_ENT_EXT_ATTR
POLICY DIRECTOR
��� ��
[policy-director] ���
config-file pd.conf �� ��� ��
[manager] ���
master-host
master-port
master-dn
243Tivoli SecureWay Policy Director WebSEAL �� ���
A.
web
seald.co
nf
��
244 �� 3.8
WebSEAL Junction ��
pdadmin ����� WebSEAL junction ���� ��� � �� �
�� �� � ��� �����.
�� �� �� ����.
¶ �“pdadmin � ���”� ��� Junction ���
¶ 247 ���� �Junction ��
¶ 248 ���� ��� � � �� �� Junction ���
¶ 251 ���� ��� Junction� �� � ���
“pdadmin �� ���”� ��� Junction ��pdadmin� ���� �� sec_master � ����� � ����
���� ���.
�� ��, �� ����.
UNIX:
# pdadminpdadmin> loginEnter User ID: sec_masterEnter Password:pdadmin>
B
245Tivoli SecureWay Policy Director WebSEAL �� ���
B.
Web
SE
AL
Jun
ction
��
Windows:
MSDOS> pdadminpdadmin> loginEnter User ID: sec_masterEnter Password:pdadmin>
� �� ����, �� ��� ���� �� ���� ��� �
� �� � ����.
# pdadmin -a sec_master -p <password>pdadmin>
WebSEAL junction� ����� pdadmin server task �� ��
����.
pdadmin> server task <server-name> <task>
server-name ��� � �� � � � ��� �� PolicyDirector ����(�: WebSEAL)� �� �����,
<policy-director-component>-<machine-name>
�� ��, �� �� cruz�� Policy Director ����� WebSEAL�� server-name �� ����.
webseald-cruz
server list �� ���� � � ��� ������.
pdadmin> server listwebseald-cruz
�� WebSEAL junction� ����� �� � �� � ���
�����.
¶ ��� ������ � � ��� �(-h ��)
¶ junction �� -- tcp, ssl, tcpproxy, sslproxy, local(-t ��)
¶ junction ���(�� ���)
pdadmin> server task <server-name> create -t <type>-h <host-name> <jct-point>
246 �� 3.8
Junction ��� junction � pdadmin server task �� ��� � ���
�.
�� ��
create �� � � �� �� junction� �����.
add ��� junction ���� �� � � �����.
remove � � junction ����� �����.
��: remove -i <server-id> <junction-point>
show �� ���� �� � � ID� �����.
delete junction ���� �����.
��: delete <junction-point >
list � � � �� junction ���� �����.
��: list
show junction� ����� ����.
��: show < junction-point>
jmt load jmt clear jmt load � WebSEAL� junction �� ���
���(jmt.conf)� ���� ���� �� � �
� URL� �����.
jmt clear � WebSEAL�� junction �� �
�� ���� �����.
help junction �� �����.
��:help
help <command> �� junction �� �� ��� ���� ���
�.
exit pdadmin ����� �����.
��: exit
� � � � �� �� ��� �� ����.
247Tivoli SecureWay Policy Director WebSEAL �� ���
B.
Web
SE
AL
Jun
ction
��
�� ��� �� ��� Junction ����: �� junction ���� ���� �� � � junction���.
��:
create -t <type> -h <host-name> [<options>] <junction-point>
Junction
-t <type> **��**
junction� ��. �� � ��: tcp, ssl,tcpproxy, sslproxy, local.
-t tcp� �� ��� 80���. -t ssl� ��
��� 443���.
��� ��
-h <host-name> **��**
�� ��� � � DNS ��� � �� IP
��
��
SSL� �� �� ��
-K <key-label> WebSEAL ���� ���� ���� �
�� � � �����.
-B WebSEAL BA � ��� ���� ��
� � � �����. -U, -W � -b filter �
�� �����.
-U <“username”> WebSEAL ��� �. BA � ��� �
�� � � ���� -B �� �����.
-W <“password”> WebSEAL ��. BA � ��� ��� �
� ���� -B �� �����.
-D <“DN”> ��� � ���� �� �� �����.
� ��� DN ���� � � ���
������.
��� junction ��(-t tcpproxy �� -t sslproxy� ���)
248 �� 3.8
-H <host-name> ��� � � DNS ��� � �� IP �
�.
-P <port> ��� � � TCP ��
BA �� �� ��
-b <BA-value> WebSEAL � � ��� � � HTTP BA
�� ��� ���� ��� �����. ��
� ��: filter(���), ignore, supply, gso
� TCP � SSL junction ��
-c <id-types> junction� �� HTTP �� Policy Director
���� ��� ����. id-types ��
� Policy Director HTTP � ��(iv-user,
iv-user-l, iv-groups, iv-creds �� ��)� �
� ��� ��� � ����.
-i WebSEAL � � URL� ����� ���
� ����.
-j � �� URL� �� ����� ����
� ��� junction ��� �����.
-k ��� � � � �� �� ����.
-p <port> ��� ��� � � TCP ��. TCP
junction� ��� 80�� SSL junction� �
�� 443���
-q <url> query_contents ����� �� �� URL.
Policy Director� /cgi_bin/��
query_contents� ���. ����� ��
�� query_contents ��� �� �� �
��� ���� WebSEAL� � ��� ��
�� URL� ����.
-r junction� �� HTTP �� ���� IP �
�� ����.
-s junction� stateful ������� �����
�����. ����� junction ��� �
�� ����.
- T < r e s o u r c e /
resource-group>
GSO �� �� �� ��� �. -b gso �
�� ���� � ���� �����.
249Tivoli SecureWay Policy Director WebSEAL �� ���
B.
Web
SE
AL
Jun
ction
��
-u <UUID> stateful junction(-s)� � WebSEAL� �
� ��� � � UUID� �����.
-v <virt-host-name> ��� � � � �� ��� �. � �
� ��� � �� �� ��� �� �
����.
� � � �� ����� junction�� �
� ��� ��� junction � � ��� �
�� ���� �� �� ���� -v�
�����. �������� �� HTTP �
�� ��� � � �� � �� �
� � � ��� ��� �� � ����.
�� ���� � ��� � � �� �
�� �� � ��� ����� WebSEAL
� ��� ���.
-w Win32 �� ��� ��
LTPA junctions
-A LTPA junction �� � �� ���
-F <“keyfile”> LTPA � ���� ����� � ��
��� ��
- Z < “ k e y f i l e -
password”>
��� ��
WebSEAL�� WebSEAL SSL�� junction
-C SSL� �� ���� WebSEAL � �
�� WebSEAL � ��� �� ��. -t ssl�� -t sslproxy ��� �����.
�� junction ��(-t local �� ��)
-d <dir> junction� �� �� ����. **��**
-f �� junction ��� �� ����.
Junction ���
junction� ���� WebSEAL � ��� ��
250 �� 3.8
� Junction� �� �� ����: ��� junction ���� �� � � �����.
��:
add -h <host-name> [<options>] <junction-point>
��� ��
-h <host-name> **��**
�� ��� � � DNS ��� � �� IP
��
��
SSL� �� �� ��
-D <“DN”> ��� � ���� �� �� �����.
� ��� DN ���� � � ���
������.
��� junction ��(-t tcpproxy � -t sslproxy� ���)
-H <host-name> ��� � � DNS ��� � �� IP �
�
-P <port> ��� � � TCP ��
� TCP � SSL junction ��
-i WebSEAL � � URL� ����� ���
��.
-j � �� URL� �� ����� ����
� ��� junction ��� ��
-p <port> ��� ��� � � TCP ��. TCP
junction� ��� 80�� SSL junction� �
�� 443���.
-q <url> query_contents ����� �� �� URL.
Policy Director� /cgi_bin/��
query_contents� ���. � ����� �
��� query_contents ��� �� ��
� ��� ���� WebSEAL� � ���
�� �� URL� ����.
251Tivoli SecureWay Policy Director WebSEAL �� ���
B.
Web
SE
AL
Jun
ction
��
-u <UUID> stateful junction(-s)� � WebSEAL� �
� ��� � � UUID� �����.
-v <virt-host-name> ��� � � � �� ��� �. � �
� ��� � �� �� ��� �� �
����.
� � � �� ����� junction�� �
� ��� ��� junction � � ��� �
�� ���� �� �� ���� -v�
�����. �������� �� HTTP �
�� ��� � � �� � �� �
� � � ��� ��� �� � ����.
�� ���� � ��� � � �� �
�� �� � ��� ����� WebSEAL
� ��� ���.
-w Win32 �� ��� ��
Junction ���
�� junction ���� � � �����.
252 �� 3.8
iKeyman � ��� ��
iKeyman ����� �� ��� ��� � ��� � �� �
����. iKeyman� ���� �� ������ � �� �
�� �� �� ��, ������� CA �� ��, ��� ���
����� �� ������� �� ��, CA��� �� ��
�� � �, �� � � ��� �� � ����.
iKeyman ����� Policy Director �� ���� GSKit(GlobalSecurity Kit) �� �����.
�� �� �� ����.
¶ 254 ���� �iKeyman ���� ���
¶ 255 ���� ��� WebSEAL ������ ���
¶ 257 ���� ��� ������ ���
¶ 260 ���� ��� �� � �� �� ���
¶ 262 ���� ��� �� CA �� ���
¶ 263 ���� ��� CA �� ���
¶ 264 ���� ������� �� �� ���
¶ 268 ���� �� �� ���
¶ 270 ���� ��� �� ���
¶ 270 ���� ��� �� ���
C
253Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
¶ 271 ���� ��� �� �� ���
¶ 272 ���� ������� �� ��
iKeyman ���� ��� ��� �� � ���� iKeyman ����� ������.
Windows:
MSDOS> /Program Files/IBM/gsk4/bin/gsk4ikm.exe
UNIX:
# /usr/bin/gsk4ikm
IBM � �� �����.
�� 39. IBM � �
254 �� 3.8
�� WebSEAL ������ � �������� ���� � � � �� WebSEAL� �
� �� ��� ���� � ��� �� CA ��� �����.
��, WebSEAL �� �� ������(pdsrv.kdb)� ��
���. � ���� �� WebSEAL ��( ��� = PolicyDirector) � �� �� CA ��� ����� ���� ����.
�� WebSEAL ������� ��� �� ��� �����.
1. IBM � �� ������ �� ���� ��� ����
��.
2. �� ��� ��� �� ����� ������.
UNIX: /opt/PolicyDirector/lib/certs
Windows: C:\Program Files\Tivoli\PolicyDirector\lib\certs
3. ��� ������.
pdsrv.kdb
4. ��� �����.
�� � �� �� ��� �����.
5. �� WebSEAL ��� ������.
pdsrv
6. ��� �����.
������ ��� � �� ����.
�� WebSEAL ��� �� �� �� ����. ��� ��
��� “Policy Director”���. � ��� ��� ��� �
(*)� ����� ���� ��� ����.
256 ���� ��40� ������.
255Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
�� ���� �� ��� �� �� ��� �����. �� �� CA(Certificate Authority) �� ��� �����.
257 ���� ��41� ������.
�� 40. �� WebSEAL pdsrv.kdb ��: WebSEAL ��
256 �� 3.8
��� ������ �� �������� ���� � � � �� WebSEAL� �
� �� �� ���� � ��� �� CA ��� �����.
��, WebSEAL �� �� ������(pdsrv.kdb)� ��
���. � ���� �� WebSEAL ��( ��� = PolicyDirector) � �� �� CA ��� ����� ���� ����.
� �� ������� �� ����� �� ������� �
�� � ����. �� ������� ��� � �� WebSEAL�� ������� �� ������� ��� �� secmgrd.conf ��
�� 41. �� WebSEAL pdsrv.kdb ��: �� ��
257Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
� ssl-keyfile ���� ���� WebSEAL� � ��� ���.41 ���� �WebSEAL� �� ������ ��� ���� �
�����.
�� ������ ��� ����� �� ��� �����.
1. IBM � �� ������ �� ���� ��� ���
���.
�� �� ��� �����.
2. ������ �� ���� “CMS ������ ��”� �
�����.
3. key.kdb � �� �� ������.
4. �� ��� �� �� �� ���� � ��� �� �� �
���� ��� ��� � �� �� ������.
5. ��� �����.
�� � �� �� �����.
6. �� ��� ��� ���� �� �� ��� �� ������.
7. (���) �� �� � ���� ���� ��� �� ����
��.
8. (���) ��� �� ��� ���� ������.
�� ���� sth ��� ����.
�� 42. �� �� ��
258 �� 3.8
secmgrd.conf �� ��� ssl-keyfile-stash ���� ����
WebSEAL� ��� �� �� ��� � ��� ���.
41 ���� �WebSEAL� �� ������ ��� ���
� ������.
9. ��� �����.
�� �� ���� �� ������� ������ ��
���.
10. ��� �����.
�� ������� ����� ��� ���. IBM
� �� �����.
IBM � � �� �� �� � �� ��� �
����.
�� �� �� ��� iKeyman �� �����.
¶ RSA Secure Server CA
¶ Thawte Personal Premium CA
¶ Thawte Personal Freemail CA
¶ Thawte Personal Basic CA
¶ Thawte Premium Server CA
¶ Thawte Server CA
¶ VeriSign Class 1 Public Primary CA
¶ VeriSign Class 2 Public Primary CA
¶ VeriSign Class 3 Public Primary CA
¶ VeriSign Test CA Root Certificate
� �� �� ��� �� CA(Certificate Authority)���� �
� �� ���. WebSEAL � �� ��� ���� ����
� ��� ������.
259Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
� ��� ���� �� �� ��� ��� � ��, CA�� �
� ���� ������� ��� ���.
262 ���� ��� �� CA �� ���� ������.
�: VeriSign Test CA Root Certificate� ������ ���� ��
CA� ���� ����. �� ������� ������
��� ���� �� � ��� ��� ���.
�� ������� WebSEAL� ���� �� �� � � ��
� ��� � ��� CA� �� � ��� ��� ���. ���� � �� �� �� �� ����.
268 ���� �� �� ���� ������.
270 ���� ��� �� ���� ������.
��� �� ��� �� ��� ���� ������� ���� �� � ��� ���� �� ����
� �� ��� ��� ����� �� �� � ����.iKeyman�� �� � �� ��� ���� ������ �
�� � ����. �� � �� ��� ��� CA� ����
���� ���� �� �� �����.
�: �� � �� ��� ���� ������� ���� �
���. �� ���� �� ����� � � ����� �
��� ���� ����.
��, WebSEAL “Policy Director”�� �� � ��� �
����. � ��� ������ ����� �� �� � �
�� ��� �� ����.
�� �� � �� ��� ����� �� ��� ����
�.
260 �� 3.8
1. iKeyman� ���� pdsrv.kdb ���� � ��� ��
��� ����.
IBM � �� �� ���� ��� �� �� ���� �
���, ��� ������ ��� �� ����.
2. �� ���� �� ��� ������.
3. �� �� � ��� �����.
�� �� � �� �� �� ��� �����.
4. “test-cert” � ���� ������.
5. �� � � ��(� � ���)� ���� ��� ������.��� ��� ��� ���� ���� �� �� �� �
� ������.
262 ���� ��43� ������.
6. ��� �����.
IBM � �� �� �� ���� ���� ��� �� �
�� ��� �� ����.
261Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
��� �� CA ��� ���� CA� � �� �� ��� ���� �� CA��� �
� ��� ��� ���. � CA� � ���� � ��� ��
� ��� ����. � ��� ��� ��� CA� ������.
CA��� �� ��� ���� �� �� �������
��� � ����. ���� �� �� ��� *.arm ��(�:cert.arm)� �����.
������� �� CA ��� ����� �� ��� �����.
1. IBM � �� �� ���� �� ��� ������.
2. ��� �����.
����� CA �� �� �� �����.
�� 43. �� �� � �� ��
262 �� 3.8
1. ��� �� �� ���� Base64-encoded ASCII ���� �
�����.
2. �� CA ��� �� �� �� � ��� �����
���� � � ��� ������.
3. ��� �����.
��� �� �� ��� �����.
4. VeriSign Root CA Certificate � �� CA ��� ��
���� ���� ��� �����.
�� �� �� ���� �� ��� �� CA ��� ��
�� �����.
�� CA ��� ���� �� ��� �� �� ��� �� ���� ���� �
�� �� CA ��� ��� ���.
�: �� CA ��� ���� �� ��� �� ��� ���� �
�� � CA �� ��� �� ��� � ��� ����.
�������� �� CA ��� ����� �� ��� ����
�.
1. IBM � �� �� ���� �� ��� ������.
2. ����� �� CA ��� ��(���)����.
3. ��� �����.
�� 44. ����� CA �� �� �� ��
263Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
��� �����.
4. �� �����.
�� �� �� ���� �� ��� �� CA ��� ��
�� �� ���� ����.
������ �� ��� ����� �� ����� ���� ����� �� � ��� �
�� � ��� �������� ��� ���� � �� ����
��� ��� � ��� ����. ������ ���� ��� �
��� ��� � �� ��� ����.
¶ ��� ��� ��. ��� �� ��
¶ �������� �� �� �
¶ ������� �� �� �
���� ��� ��. ��� ��� ����� (��) �������� ���� (��) ������
� ����� �� ��� �����.
1. “��” ������� ����.
2. IBM � �� �� ���� �� �� �� � ���
� ��� ��� ������.
3. �� ������� ����� ��� ������.
4. ��� ��� ��, �� �� ��� �����. ��� ��
� �� �� ��� �����.
��� �� �� �� �����.
5. ��� �� �� ���� Base64-encoded ASCII ���� �
�����.
��� �� �� ��� ��� �� ��� ��� ��
��� ���. iKeyman ��� Base64-encoded ASCII �� �
���� DER �� ��� �����.
264 �� 3.8
6. ��� ���� �� �� �� �� ����� ��
�� � � � ��� ������.
7. ��� �����.
��� �� ��� �����.
���� �� ������� ��� ����� �� ��� ���
��.
1. �� ������� ����.
2. �� �� � ����� ��� ��� ������.
3. �� �� ��� � ��� �����. �� �� ���
��� ��� �����.
4. ��� ��� � ��� �� �� � � ��� �����
�. �� ��� ��� ��� �� ����.
�� 45. ����� �� ��
�� 46. ����� �� ��
265Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
5. ��� �����.
6. �� ���� � ��� �� ��� �� ��� ����. ��� ���� �����.
�� ��� �� ������� ����� �� ��� ��
���.
�������� � ��� ��(��) �������� (��) ������� ��� ��
�� �� ��� �����.
1. “��” ������� ����.
2. IBM � �� �� ���� �� �� �� � ���
� ��� ��� ������.
3. �/� ��� �����.
�/� �� ����.
4. �� �� ���� �� ������.
5. �� �� �� ���� CMS ������ ��� ��
����.
6. ���� ��� ���� �� ������� �� � �
��� ������. �� ��� ��� ��� �� ����.
7. ��� �����.
�� 47. �/�
266 �� 3.8
�� � �� �� �����.
8. ��� ���� ��� �����.
��� ���� �� �� �����.
9. ���� ��� ���� ��� �����.
�� ������� ��� ��� �����.
������� � ��� ��(��) �������� (��) ������� ��� ��
�� �� ��� �����.
1. “��” ������� ����.
2. IBM � �� �� ���� �� �� �� � ��
�� ��� ��� ������.
3. ���� ��� ��(���)����.
4. �/� ��� �����.
�/� �� ����.
5. �� �� ���� �� ������.
6. �� �� �� ���� CMS ������ ��� ��
����.
7. ���� ��� �� �� ������� �� � � �
�� ������. �� ��� ��� ��� �� ����.
�: � ������ ��� ���� ���� �����. “�”� �����. � ��� �� �������� ���
��. �� ��� ��� ����.
267Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
8. ��� �����.
�� � �� �� �����.
9. �� ������� �� ��� ���� ��� �����.
10. �� ������� �� � ��� �� ��� ���
��.
�� ��� ��WebSEAL�� ��� SSL ����� ���� � CA� ��
��� �����. WebSEAL� �� �� ����(junctioncp -K� junction ������ � � �� �)� ����� �� �
�� ��� � ����.
iKeyman ����� ��� CA� �� � �� �� ��� ���
� ��� ���.
�� ��� ����� �� ��� �����.
1. IBM � �� �� ���� �� ��� ������.
2. ��� �����.
� � �� �� �� �� ��� �����.
�� 48. �/�
268 �� 3.8
3. � ��� �� ���� ������.
4. �� � � ��� ���� ��� ������.
��� ��� ��� ���� ���� �� �� �� �
� ������.
5. �� # ���� ��� �� � ��� ������. ��
� ��� ��� � ����.
6. ��� �����.
�� �� ���� �� �� ��� �� ��� ����
� ����� �����.
7. ��� �����.
�� �� �� ���� ���� ��� �� �� �� �
�� ���� ����.
8. � �� ��� ����� ��� ��� CA� ���� ��
� CA� � ���� �� ���� ���� �������.
�� 49. � � �� �� ��
269Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
�� ��� ��CA� � �� �� ��� �� �� ��� ��� �
������ ��� ���.
�� ��� ��� �� ��� �����.
1. IBM � �� �� ���� �� ��� ������.
2. ��� ������.
����� �� �� �� �����.
3. ��� �� �� ���� Base64-encoded ASCII ���� �
�����.
4. �� �� ��� �� �� �� � ��� �����
�. �� ��� ��� ��� �� ����.
�: CA� ��� �� �� ���� ��� ��� � ���
���� ��� ��� ����� ���.
5. ��� �����.
6. ��� �� �� �����.
7. �� ��� �� ���� ���� ��� �����.
�� �� ���� �� �� ��� ���� �����.
�� ��� ���� ��� �� ���� ��� �������� ��� �
�� ���.
�: �� ��� ���� �� ��� �� ���� �� �� �
�� ������.
�� ��� ����� �� ��� �����.
1. IBM � �� �� ���� �� ��� ������.
2. ����� �� ��� ��(���)�� ��� �����.
270 �� 3.8
�� �� �����.
3. �� �����.
�� �� ��� ��� �� �� �� ��� ��
�� ����.
��� �� ��� ��iKeyman ����� ���� ������� � ��� �� �
� ��� ���� �� � ��� WebSEAL� �� �� ���
��� � ����. (��� CA���� �� �� ��� ���
� � �������� (������) �� � �� ���
���� ��� ��, ������� � ��� �� ��� ��
� ����.)
CA�� � �� ��� �� �� � �� ��
� ������� �� �� CA� ��� �� ��� �� �
�� ���� ��� � ����. �� �� ��� �� ���
�� �(*)� ����.
�� ��� �� �� � �� �� ��� ���� �� �
� ��� ����. �� �� ��� �� �� �
�� ��� ��� ��� � �� ��� �� �� ��
� ��� � ����. ��� ���� �� �� ��� ���
� �� �� ����.
�� �� ��� ���� �� ��� �����.
1. IBM � �� �� ���� �� ��� ������.
�� �� ��� �� ��� �� �(*)� ����.
2. �� �� ��� ���� �� �� ��� ���� �
�/��� �����. ��� � � �� ���.
��� �� �� �� �����.
3. �� ��� � ���� ���� ��� �����.
271Tivoli SecureWay Policy Director WebSEAL �� ���
C.
iKeym
an
��
��
��
�� ��� ��� �� �(*)� �� �� �� ���
����.
������ �� �iKeyman ��� ���� ������� �� ��� �� � �
���.
������ ��� ���� �� ��� �����.
1. ������� ����.
2. ������ �� �� � ���� �� �� �����
�.
�� � �� �����.
3. �� ��� � ��� ���� �� �� ��� �� �����
�.
4. ��� ��, �� �� � ���� ������.
5. ��� ��, ��� �� ��� ���� ������.
6. ��� �����.
�� ��� ���� ��� ����� ������ �����.
272 �� 3.8
��
������ ���
�� 213
�� 215
WebSEAL �� 214
�� �� �� 47
�� ������ 48
�� ��
�� 100
�� webseal ACL policy 59
����� ��, request.log 52
���� � �� POP policy 72
����� �� �
�� 190
BA �� �� ���� �� �� 190
CDSSO 119
e-community 125
GSO �� �� 199
GSO(global sign-on) 196
LTPA(WebSphere) 200
-b filter 194
-b gso 195
-b ignore 193
-b supply 191
�� ���� �� �� 209
�� URL
��, dynurl �� 219
�� 219
�� 223
�� � � ���� 222
ACL �� � �� 216
dynurl-allow-large-posts 221
dynurl-map 217
GET � POST ��� 220
POST ��� ���� �� 220
post-max-read 220
���� �� ��� 28
������� 37, 98
��� 37
� �� �� 97
��� � ��
�� 97
��, HTTP 50
�� ����, WebSEAL � 20
�� 50
����� �� ����
�� � 27
�� �� 30
�� �� 32
273Tivoli SecureWay Policy Director WebSEAL �� ���
��
�� �� (��)
�� �� 32
������ ������ �� 208
� policy
�� 4
� �� 4
ACL policy 4
POP(Protected Object Policy) 4
�� � 3
�� �� 3
��� �� ������ �� 47
����� �� junction 153
�� ��� �� 81
�� ��
� 83
�� � 87
�� � �� 88
��� �� ID ��� �� 90
�� ��
GSKit 83
WebSEAL 83
�� � 87
�� 88
�� ID ��� �� 90
��� 85
��� ���
HTTP � HTTPS 24
��
� �� 209
HTTP �� ��� � 210
�� (��)
LDAP ��� � 209
�� �
�� 7
EPAC 8
����� �� policy 61
�� �� 102
������ ��, ��� 208
���� 50
�� 50
��
�� 5
�� �� 94
�� �� 100
�� ��� �� 97
��� � �� 97
� 6
�� 102
�� 104
�� 111
CDSSO 119
e-community 125
HTTP � 108
IP �� 111
MPA 113
�� ���, �� 81
�� �� POP policy 65
���� � ���, �� 76
���
� 38
���� ��� 81
���� �� ��� �� 81
������ �� �� 40
���� � 80
274 �� 3.8
��� (��)
GSKit 39
iKeyman 39
��� �� 104
����� ��, �� ���� 209
��� ��� 23
�� HTML URL ��
� �� URL 179
�� URL 179
����� �� 32
�� �� 32
������ �� �� 40
����� � 209
�� �� 111
��� 47
���� WebSEAL �
�� 48
���� WebSEAL � �� 48
���� 109
�� 12
�� ��� � 15
�� ���� � 12
����3 ����� ��� policy 59
Aaccept-client-certs 107
account-locked 37
acct_locked.html 38
ACL policy, WebSEAL �� 57
acnt-mgt ��� 37
agents-file 50
agent.log 50
�� 54
authentication-levels ��� 66, 72
authtoken-lifetime 124
aznapi-configuration ��� 47
Bbackicon 28
basicauth-dummy-passwd 191
basic-auth-realm 100
ba-auth 100
275Tivoli SecureWay Policy Director WebSEAL �� ���
��
Ccache-refresh-interval 48
CDMF �� ����� 120
cdsso 122
CDSSO �� 119
cdssoauthn 122
cdsso-auth 122
cdsso-peers ��� 123
cdsso_key_gen 93, 123, 138
cert-ssl 107
CGI �����
�� 205
WIN32 �� � �� 207
cgi-environment-variables ��� 207
cgi-timeout 25
cgi-types ��� 29
client-connect-timeout 24
content-caches ��� 30
CRL �� 44
Ddb-file 47
directory-index 28
diricon 28
disable-ssl-v2 23
disable-ssl-v3 23
disable-tls-v1 23
doc-root 26
dynurl �� 219
dynurl-allow-large-posts 221
dynurl-map 217
dynurl.conf 216
Eec-cookie-lifetime 141
entrust-client 109
e-community �� 125
�� 139
�� 128
���� � 129
e-community � 135
″vouch for″ �� � � 136
″vouch for″ �� 137
″vouch for″ �� ��� 138
e-community � 135
e-community-name 140
e-community-sso-auth 139
Ffailover �, �� 91
failover-auth 93
failover-cookies-keyfile 94
failover-cookie-lifetime 94
filter-url ��� 52, 180
flush-time 52
forms-auth 102
GGET ��� 220
gmt-time 51
GSKit 39
�� �� 40
GSKit �� �� 83
�� 86
GSO 196
GSO �� �� 199
GSO ��, �� 199
276 �� 3.8
GSO(global sign-on) 196
gso-cache-enabled 200
gso-cache-entry-idle-timeout 200
gso-cache-lifetime 200
gso-cache-size 200
Hhelp 37
help.html 38
HTML ��� �� ��� 37
��� �� 38
http 22
HTTP �� �� �� 53
HTTP �� 50
HTTP � ��� 33
��� �� 36
HTTP � �� 108
HTTP �� �� LDAP ��� 209
httpauthn 109
https 22
https-port 22
https-timeout (junctions) 25
http-headers-auth 109
http-port 22
http-request 109
HTTP-Tag-Value 212
http-timeout (junctions) 25
HTTP_IV_CREDS 161, 206, 208
HTTP_IV_GROUPS 161, 206, 208
HTTP_IV_REMOTE_ADDRESS 163
HTTP_IV_USER 161, 206, 208
IiKeyman 42
�� 43
�� ������ �� 255
������ �� �� �� 264
������ �� � 272
�� CA �� �� 263
�� �� SSL junction 153
�� �� �� �� 271
�� �� CA �� �� 262
�� �� � �� �� 260
�� ������ �� 257
� �� �� 268
�� 254
�� �� 270
�� �� 270
SSL �� junction 152
WebSEAL ��� ��� 106
inactive-timeout 86
inter-domain-keys ��� 138, 142
intra-domain-key 138, 140
IP �� �� 111
ipaddr-auth 111
is-master-authn-server 140
iv-creds 161, 208
iv-groups 161, 208
iv-remote-address 163
iv-user 161, 208
Jjmt load 170
jmt-map 170
jmt.conf 170
junction
�� 9, 146
�� �� 180
277Tivoli SecureWay Policy Director WebSEAL �� ���
��
junction (��)
�� � �� 178
����� ���� �� URL ��(-i) 165
� ��� 245
��� UUID ��(-u) 173
�� �� junction�� -b ��� ��
156
�� ��(-D, -K, -B, -U, -W) 153
�� junction(-f) �� � 160
�� �� � � � ���(-k) 164
���� �� �� �� URL �� 169
������� URL ��(-j) 165
�� �� 150
�� ��(-t) 150
��� �� 181
��� �� � 147
�� HTML URL �� 179
�� ���� � �� URL �� 167
��� junctions (-H, -P) 157
��� ��(-h) 150
BA �� ��(-B, -U, -W) 155
DN ��(-D) 154
gso ��(-b gso, -T) 198
GSO(global sign-on) 196
HTTP �� �� ���� �� ��
(-c) 161
HTTP �� �� IP �� ��(-r) 163
junction �� ��� 170
junction ��� ���� � �� URL �
� 170
LTPA(-A, -F, -Z) 201
pdadmin � ��� 149
stateful junction ��(-s, -u) 172
WebSEAL ���� ���(-K) 154
WebSEAL�� WebSEAL�� (-C) 158
Windows �� ���(-w) 177
-b filter 194
-b gso 195
-b ignore 193
junction (��)
-b supply 191
junction-db 146
Lldapauthn 101, 102
ldap-ext-cred-tags ��� 210, 212
libcdssoauthn 122
libhttpauthn 109
libldapauthn 101, 102
libsslauthn 107
libtokenauthn 112
listen-flags 47
logging ��� 52
login.html 38, 103
logout.html 38
log-filtered-pages 52
LTPA ��, �� 202
LTPA(WebSphere) 200
junction �� 201
LTPA �� �� 202
ltpa-cache ��� 202
ltpa-cache-enabled 202
ltpa-cache-entry-idle-timeout 202
ltpa-cache-entry-lifetime 202
ltpa-cache-size 202
Mmaster-authn-server 141
master-https-port 140
master-http-port 139
max-entries 85
max-size 51
mgt-pages-root 37
278 �� 3.8
mpa 116
MPA �� 113
Nnexttoken.html 38
next-token 37
Ppasswd-change 37
passwd-change-failure 37
passwd-change-success 37
passwd-expired 37
passwd-ldap 101, 102
passwd.html 38
passwd_exp.html 38
passwd_rep.html 38
pdadmin policy
disable-time-interval 59
max-login-failures 59
max-password-repeated-chars 61
min-password-alphas 61
min-password-length 61
min-password-non-alphas 61
password-spaces 61
pdadmin � ���(junctions) 149
pd.conf 210
PD_PORTAL � 214
pd_start � 21
persistent-con-timeout 24
ping-time (junctions) 25
pkmscdsso 125
pkmslogout 98
pkmspasswd 99
pkmsvouchfor 136, 141
POP policy
���� � �� 72
�� ��(step-up) 65
QOP(Qualtiy of Protection) 75
portal-map ��� 214
POST ��� 220
���� �� 220
post-max-read 220
QQOP(Qualtiy of Protection)
�� � 45
���� 45
��� 45
QOP(Qualtiy of Protection) POP policy 75
query_contents 181
� 186
��� �� 184
� 182
query_contents.c 182
query_contents.cfg 182
query_contents.exe 182
query_contents.html 182
query_contents.sh 182
Rreferers-file 50
referer.log 50
�� 54
REMOTE_USER 206
requests-file 50
request.log 50
���� �� �� �� 52
�� 54
279Tivoli SecureWay Policy Director WebSEAL �� ���
��
resend-webseal-cookies 88
Sscript-filter 169
script-filtering ��� 169
server-name 48
server-root 20
SSL �� ID 88
sslauthn 107
ssl-id-sessions 88
ssl-keyfile 43
ssl-keyfile-label 43
ssl-keyfile-pwd 43
ssl-keyfile-stash 43
ssl-ldap-server 44
ssl-ldap-server-port 44
ssl-ldap-user 44
ssl-ldap-user-password 44
ssl-max-entries 87
ssl-qop-mgmt 45
ssl-qop-mgmt-default ��� 45
ssl-qop-mgmt-hosts ��� 45
ssl-qop-mgmt-networks ��� 45
ssl-v2-timeout 86
ssl-v3-timeout 86
stepuplogin.html 38, 69
stepup-login 37, 69
step-up �� 65
Ttcp-port 47
tokenauthn 112
tokenlogin.html 38
token-auth 111
token-cdas 112
token-login 37
Uudp-port 47
unknownicon 28
use-same-session 88, 89
Vvf-token-lifetime 141
vf-url 141
vouch for �� � � 136
WWebSEAL
�� 1
� �� � �� 21
WebSEAL junction, junction �� 145
WebSEAL �� �� 83
�� 85
webseald.conf
�� 18
�� 18
�� 229
webseal-cert-keyfile 41
webseal-cert-keyfile-label 41, 106, 181
webseal-cert-keyfile-pwd 41
webseal-cert-keyfile-stash 41
webseal-mpa-servers �� 115, 117
WebSphere LTPA 200
WIN32 �� �, �� 207
280 �� 3.8
Printed in Australia
GA30-1321-01
![Tivoli SecureWay Policy Director WebSEAL ºÞ²z¤â¥Upublib.boulder.ibm.com/tividd/td/SW_30/GC32-0684-01/zh_TW/PDF/ws-adm... · ABb ñAC@≈ú ]tIBM q @vn Cb o IBM q \ iveAú P](https://static.fdocuments.in/doc/165x107/5e7b6a3cd09d981f860e013b/tivoli-secureway-policy-director-webseal-z-abb-aca-tibm-q-vn.jpg)
