Tivoli SecureWay Policy Director Base. Guía de instalación. Versión 3.8

(1)

Tivoli

^®

SecureWay

^®

Policy Director Base

Guía de instalación

(2)

(3)

Tivoli

^®

SecureWay

^®

Policy Director Base

Guía de instalación

(4)

Tivoli SecureWay Policy Director Base Guía de instalación

Aviso de copyright

© Copyright IBM Corporation 2001. Todos los derechos reservados. Sólo se puede utilizar conforme a un Acuerdo de licencia de software de Tivoli Systems, un Acuerdo de licencia de software de IBM, un Anexo para productos Tivoli para el Cliente de IBM o el Acuerdo de licencia. No se puede reproducir, transmitir, transcribir, almacenar en un sistema de recuperación o convertir a ningún lenguaje informático ninguna parte de esta publicación de ninguna forma o medio, ya sea electrónico, mecánico, magnético, óptico, químico, manual u otros, sin un permiso previo por escrito de IBM Corporation. IBM Corporation le otorga un permiso limitado para realizar una copia impresa u otras reproducciones de documentación electrónica para su propio uso, siempre que esa reproducción incluya el aviso de copyright de IBM Corporation. No se otorga ningún otro derecho de copyright sin el permiso previo por escrito de IBM Corporation. El documento no está diseñado para producción y se suministra “tal cual” sin garantías de ningún tipo. Quedan excluidas todas las garantías de este documento, incluidas las garantías de comerciabilidad e idoneidad para una finalidad determinada.

Derechos restringidos para los usuarios del Gobierno de Estados Unidos: el uso, duplicación o divulgación quedan restringidos por el GSA ADP Schedule Contract con IBM Corporation.

Marcas registradas

IBM, Tivoli, el logotipo de Tivoli, AIX, DB2, Domino, Lotus y SecureWay son marcas registradas de International Business Machines Corporation o de Tivoli Systems Inc. en Estados Unidos o en otros países.

Java y todos los logotipos y marcas registradas basadas en Java son marcas comerciales o marcas comerciales registradas de Sun Microsystems, Inc. en Estados Unidos y en otros países.

Lotus es una marca registrada de Lotus Development Corporation.

Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft Corporation en Estados Unidos, en otros países o en ambos.

UNIX es una marca registrada de The Open Group en Estados Unidos y en otros países.

Otros nombres de empresas, productos y servicios pueden ser marcas registradas o marcas de servicio de otros.

Avisos

Las referencias de esta publicación a productos, programas o servicios de Tivoli Systems o IBM no implican que estén disponibles en todos los países en los que opera Tivoli Systems o IBM. Cualquier referencia a estos productos, programas o servicios no implica que sólo se puedan utilizar productos, programas o servicios de Tivoli Systems o IBM. En su lugar podrá utilizarse cualquier producto, programa o servicio que sea funcionalmente equivalente siempre que no vulnere ningún derecho de propiedad intelectual válido ni cualquier otro derecho protegido legalmente de Tivoli Systems o IBM. La evaluación y verificación del funcionamiento con otros productos, excepto los designados expresamente por Tivoli Systems o IBM, son responsabilidad del usuario. Tivoli Systems o IBM pueden tener patentes o solicitudes de patentes en trámite que cubran los temas tratados en este documento. La adquisición de este documento no le otorga ninguna licencia sobre estas patentes. Se pueden enviar solicitudes de licencia, por escrito, a IBM Director of Licensing, IBM Corporation, North Castle Drive, Armonk, New York 10504-1785, Estados Unidos.

© Copyright International Business Machines Corporation 2001. Reservados todos los derechos.

(5)

Contenido

Prefacio . . . ix

A quién va destinada esta guía . . . ix

Contenido de esta guía . . . x

Publicaciones . . . xi

Biblioteca de Tivoli SecureWay Policy Director . . . xi

Biblioteca de IBM SecureWay Directory . . . xii

Tivoli SecureWay Policy Director Web Portal Manager. . . xiii

Acceso a las publicaciones en línea . . . xiii

Solicitud de publicaciones . . . xiv

Comentarios sobre las publicaciones . . . xiv

Cómo ponerse en contacto con el servicio de soporte al cliente . . . xv

Convenios utilizados en este manual . . . xv

Convenios tipográficos . . . xv

Rutas y variables dependientes del sistema operativo. . . xvi

Capítulo 1. Visión general de la instalación. . . 1

Definición de los requisitos de seguridad . . . 1

Visión general del dominio seguro . . . 2

Componentes de la instalación. . . 4

IBM Global Security Toolkit . . . 4

Servidor LDAP al que se da soporte . . . 4

Cliente LDAP al que se da soporte: IBM SecureWay Directory . . . 5

Runtime Environment . . . 5

Management Server. . . 5

Authorization Server . . . 6

Authorization Application Development Kit . . . 6

Web Portal Manager . . . 6

(6)

Proceso de instalación . . . 7

Opciones de instalación . . . 7

Requisitos del sistema . . . 8

Sistemas operativos a los que se da soporte . . . 9

Parches de Tivoli SecureWay Policy Director. . . 10

Servidores LDAP a los que se da soporte. . . 10

IBM SecureWay Directory, Versión 3.2.1 . . . 11

Netscape o iPlanet Directory Server, Versión 5.0 . . . 12

LiveContent DIRECTORY, Release 8A.3 . . . 13

Requisitos de espacio de disco y de memoria. . . 14

Opciones de configuración. . . 15

Configuración de IBM Global Security Toolkit . . . 15

Configuración de servidor IBM SecureWay Directory . . . 16

Configuración del cliente IBM SecureWay Directory . . . 18

Configuración de Runtime Environment. . . 18

Configuración de Management Server . . . 19

Configuración de Authorization Server. . . 21

Configuración de Authorization ADK. . . 23

Puertos predeterminados . . . 23

Contenido del CD . . . 23

Tivoli SecureWay Policy Director Base para AIX y Linux . . . 24

Tivoli SecureWay Policy Director Base para Solaris y HP-UX . . . 27

Tivoli SecureWay Policy Director Base para Windows . . . 30

Capítulo 2. Utilización de la instalación rápida . . . 33

Consideraciones sobre la instalación . . . 34

Archivos de la instalación rápida . . . 35

Proceso de la instalación rápida . . . 37

Capítulo 3. Utilización de la instalación nativa . . . 39

(7)

Consideraciones sobre la instalación . . . 39

Proceso de instalación nativa . . . 41

Instalación de IBM Global Security Toolkit . . . 43

Instalación de IBM Global Security Toolkit en AIX . . . 43

Instalación de IBM Global Security Toolkit en HP-UX . . . 43

Instalación de IBM Global Security Toolkit en Linux . . . 44

Instalación de IBM Global Security Toolkit en Solaris . . . 45

Instalación de IBM Global Security Toolkit en Windows . . . 45

Instalación del cliente IBM SecureWay Directory. . . 46

Instalación del cliente IBM SecureWay Directory en AIX. . . 46

Instalación del cliente IBM SecureWay Directory en HP-UX . . . 47

Instalación del cliente IBM SecureWay Directory en Linux . . . 48

Instalación del cliente IBM SecureWay Directory en Solaris. . . 49

Instalación del cliente IBM SecureWay Directory en Windows . . . 50

Instalación y configuración de Tivoli SecureWay Policy Director . . . 53

Instalación de Tivoli SecureWay Policy Director en AIX . . . 53

Instalación de Tivoli SecureWay Policy Director en HP-UX . . . 54

Instalación de Tivoli SecureWay Policy Director en Linux . . . 55

Instalación de Tivoli SecureWay Policy Director en Solaris . . . 55

Configuración de Tivoli SecureWay Policy Director en UNIX . . . 56

Instalación de Tivoli SecureWay Policy Director en Windows . . . 57

Configuración de Tivoli SecureWay Policy Director en Windows . . . 58

Capítulo 4. Utilización de la instalación silenciosa. . . 61

Creación de un archivo de respuestas. . . 62

Instalación de componentes mediante un archivo de respuestas. . . 62

Sintaxis de los archivos de respuestas . . . 63

Capítulo 5. Actualización desde la Versión 3.7. x . . . 67

(8)

Visión general de la migración. . . 68

Consideraciones sobre la migración . . . 68

Actualización de Management Server a la Versión 3.8 . . . 70

Actualización de otros sistemas a la Versión 3.8. . . 75

Restauración de un sistema a la Versión 3.7x . . . 80

Edición del archivo de configuración de la migración. . . 82

Realización de una copia de seguridad de los datos de Tivoli SecureWay Policy Director . . . 85

Restauración de los datos de Tivoli SecureWay Policy Director . . . 87

Capítulo 6. Desinstalación de Tivoli SecureWay Policy Director, Versión 3.8. . . 91

Consideraciones sobre la desinstalación . . . 91

Desinstalación de Tivoli SecureWay Policy Director en AIX . . . 92

Desinstalación de Tivoli SecureWay Policy Director en HP-UX . . . 93

Desinstalación de Tivoli SecureWay Policy Director en Linux . . . 94

Desinstalación de Tivoli SecureWay Policy Director en Solaris. . . 94

Desconfiguración de Tivoli SecureWay Policy Director en UNIX . . . 95

Desinstalación de Tivoli SecureWay Policy Director en Windows . . . 96

Apéndice A. Configuración de servidores LDAP para Tivoli SecureWay Policy Director. . . 99

Visión general de la configuración del servidor LDAP . . . 99

Configuración del servidor IBM SecureWay Directory . . . 101

Configuración de iPlanet Directory Server . . . 109

Configuración de LiveContent DIRECTORY . . . 114

Carga del archivo de esquema de Tivoli SecureWay Policy Director 115 Adición de definiciones de tipos de objetos y atributos. . . 116

(9)

Actualización de los sufijos de búsqueda de LiveContent

DIRECTORY . . . 119

Configuración del puerto DAP de LiveContent DIRECTORY . . . 120

Configuración del host de Tivoli SecureWay Policy Director . . . 121

Obtención de archivos de LiveContent DIRECTORY . . . 121

Configuración y verificación de enlaces . . . 123

Actualización de los esquemas de la DAC de LiveContent DIRECTORY . . . 124

Apéndice B. Habilitación de Secure Sockets Layer 127

Configuración del servidor IBM SecureWay Directory para acceso SSL 128 Creación del archivo de base de datos de claves y el certificado. . . 129

Obtención de un certificado personal de una entidad emisora de certificados . . . 131

Creación y extracción de un certificado autofirmado. . . 131

Habilitación del acceso SSL en el servidor LDAP . . . 133

Configuración de iPlanet Directory Server para acceso SSL . . . 136

Obtención de un certificado del servidor . . . 137

Instalación del certificado del servidor . . . 139

Habilitación del acceso SSL. . . 140

Configuración del cliente IBM SecureWay Directory para acceso SSL . . . . 141

Creación de un archivo de base de datos de claves. . . 141

Adición de un certificado de firmante . . . 143

Prueba del acceso SSL. . . 144

Configuración de la autenticación de servidor y cliente LDAP . . . 145

Creación de un archivo de base de datos de claves. . . 146

Obtención de un certificado personal de una entidad emisora de certificados . . . 148

Creación y extracción de un certificado autofirmado. . . 148

Adición de un certificado de firmante . . . 151

Prueba del acceso SSL. . . 152

(10)

Apéndice C. Utilidades de migración . . . 155

Sintaxis de migrate37 y migrate38 . . . 156

Sintaxis de pdupgrade . . . 163

Utilidades de copia de seguridad y restauración . . . 164

Utilización del comando db2 . . . 164

Uso de la utilidad DB2LDIF . . . 165

Glosario. . . 167

(11)

Prefacio

Tivoli^®SecureWay^® Policy Director es el software base que se necesita para ejecutar aplicaciones del conjunto de aplicaciones Tivoli SecureWay Policy Director. Permite la integración de las aplicaciones Tivoli SecureWay Policy Director que ofrecen una amplia gama de soluciones de autorización y gestión. Estos

productos, que se venden como una solución integrada, proporcionan una solución de gestión de control de accesos que centraliza la política de seguridad de redes y de aplicaciones para aplicaciones de e-business.

En la publicación Tivoli SecureWay Policy Director Base Guía de instalación se explica cómo hay que instalar, configurar y actualizar el software de Tivoli SecureWay Policy Director.

A quién va destinada esta guía

Esta guía va dirigida a administradores de sistemas responsables de la instalación y despliegue de Tivoli SecureWay Policy Director.

Los usuarios deberán tener experiencia con lo siguiente:

¶ Sistemas operativos PC y UNIX^®

¶ Conceptos y arquitectura de base de datos

¶ Gestión de seguridad

¶ Protocolos de Internet, incluidos HTTP, TCP/IP, protocolo de transferencia de archivos (FTP) y telnet

¶ Lightweight Directory Access Protocol (LDAP) y servicios de directorio

¶ Autenticación y autorización

Si habilita la comunicación SSL (Secure Sockets Layer), también deberá tener experiencia con el protocolo SSL, el intercambio de claves (públicas y privadas), las firmas digitales, los algoritmos criptográficos y las autoridades de certificación.

(12)

Contenido de esta guía

Esta guía contiene los apartados siguientes:

¶ Visión general de la instalación

Describe los componentes de la instalación en un dominio seguro, ofrece una visión general del proceso de instalación y explica las opciones de instalación y configuración. Este capítulo también contiene información acerca de los requisitos del

sistema necesarios para instalar y configurar Tivoli SecureWay Policy Director.

¶ Utilización de la instalación rápida

Indica los pasos a seguir la primera vez que realice la instalación y configuración de Tivoli SecureWay Policy Director. La

instalación rápida se realiza fácilmente mediante el uso de scripts de shell para sistemas UNIX y archivos de proceso por lotes para sistemas Microsoft^®Windows^®. También puede utilizar la instalación rápida para agregar un componente o para configurar un nuevo sistema en un dominio seguro existente.

¶ Utilización de la instalación nativa

Proporciona instrucciones para instalar y configurar Tivoli SecureWay Policy Director mediante utilidades de sistemas operativos nativos. A diferencia de los scripts de la instalación rápida, debe instalar manualmente cada componente y todos los parches necesarios.

¶ Utilización de la instalación silenciosa

Proporciona instrucciones para utilizar los archivos de respuestas con el fin de instalar varios componentes a la vez.

¶ Actualización desde la Versión 3.7.x

Explica cómo actualizar un dominio seguro de Tivoli SecureWay Policy Director, Versión 3.7.x, a Tivoli SecureWay Policy

Director, Versión 3.8. Este capítulo también explica cómo restaurar un sistema a la Versión 3.7.x, si es necesario.

¶ Desinstalación de Tivoli SecureWay Policy Director, Versión 3.8 Proporciona instrucciones para desconfigurar y eliminar los componentes de Tivoli SecureWay Policy Director.

Prefacio

(13)

¶ Configuración de servidores LDAP para Tivoli SecureWay Policy Director

Describe cómo configurar servidores LDAP a los que se dé soporte para utilizarlos con Tivoli SecureWay Policy Director.

¶ Habilitación de Secure Sockets Layer

Explica cómo habilitar el cifrado de datos SSL para tener comunicaciones seguras entre el servidor LDAP y los clientes IBM SecureWay Directory.

¶ Utilidades de migración

Proporciona información de consulta al actualizar Tivoli SecureWay Policy Director, Versión 3.7.x a la Versión 3.8.

Publicaciones

En este apartado se enumeran las publicaciones de la biblioteca de Tivoli SecureWay Policy Director y otros documentos relacionados.

También se describe cómo acceder a las publicaciones en línea de Tivoli, cómo solicitar publicaciones de Tivoli y cómo realizar comentarios sobre las publicaciones de Tivoli.

Biblioteca de Tivoli SecureWay Policy Director

Los siguientes documentos están disponibles en el directorio/doc del CD de Tivoli SecureWay Policy Director Base de su plataforma específica y en el sitio web de soporte al cliente de Tivoli. Para obtener fuentes de información adicionales acerca de Tivoli SecureWay Policy Director y temas relacionados, entre los que se incluyen LDAP y la infraestructura de claves públicas, consulte el siguiente sitio web:

http://www.ibm.com/redbooks

¶ Tivoli SecureWay Policy Director Notas del release, (pd38_relnotes.pdf )

Proporciona información de última hora, como limitaciones de software, soluciones y disponibilidad de parches.

¶ Tivoli SecureWay Policy Director Base Guía de administración, GC32-0680 (pd38_admin.pdf )

Prefacio

(14)

Describe los conceptos y procedimientos para utilizar los servicios de Tivoli SecureWay Policy Director. Proporciona las instrucciones para realizar tareas desde la interfaz de línea de comandos pdadmin.

La siguiente documentación suplementaria sólo está disponible en el sitio web de soporte al cliente de Tivoli. Para obtener información sobre cómo acceder a este sitio web, consulte el apartado “Acceso a las publicaciones en línea” en la página xiii.

¶ Tivoli SecureWay Policy Director Base Administration API Developer’s Reference

Proporciona material de consulta acerca de la utilización de la API de administración para permitir que una aplicación realice tareas de administración de Tivoli SecureWay Policy Director.

Este documento describe las implementaciones Java^™ y C de la API de administración.

¶ Tivoli SecureWay Policy Director Base Authorization ADK Developer’s Reference

Proporciona material de consulta acerca de la utilización de las herramientas de desarrollo y la API de autorización para permitir que una aplicación utilice la seguridad de Tivoli SecureWay Policy Director. Este documento describe las implementaciones Java y C de la API de autorización.

¶ Tivoli SecureWay Policy Director Base Capacity Planning Guide Ayuda a los planificadores a determinar el número de servidores WebSEAL, LDAP y de proceso de fondo que se necesitan para conseguir una carga de trabajo determinada.

¶ Tivoli SecureWay Policy Director Base Performance Tuning Guide

Proporciona información sobre el ajuste del rendimiento de un entorno formado por Tivoli SecureWay Policy Director y componentes WebSEAL.

Biblioteca de IBM SecureWay Directory

IBM SecureWay Directory, Versión 3.2.1, se suministra en el CD de Tivoli SecureWay Policy Director Base de su plataforma específica.

Prefacio

(15)

Si tiene la intención de instalar el servidor IBM SecureWay Directory, tiene a su disposición el siguiente documento en el

directorio /doc/Directory/ install_config_guide/plataforma :

¶ IBM SecureWay Directory Installation and Configuration Guide (aparent.htm)

Proporciona información sobre la instalación, configuración y migración de los componentes de IBM SecureWay Directory en los sistemas operativos AIX, Solaris y Windows.

Para obtener más información acerca de IBM SecureWay Directory, vaya al siguiente sitio web:

http://www.software.ibm.com/network/directory/library/

Tivoli SecureWay Policy Director Web Portal Manager

Si ha recibido un CD de Tivoli SecureWay Policy Director Web Portal Manager con su solución de Tivoli SecureWay Policy Directo, podrá instalar la interfaz del gestor de portales web. Esta interfaz gráfica de usuario (GUI) basada en web le permite realizar tareas de administración de Tivoli SecureWay Policy Director. El gestor de portales web sustituye la consola de gestión suministrada anteriormente con Tivoli SecureWay Policy Director.

El siguiente documento se encuentra en el directorio/doc:

¶ Tivoli SecureWay Policy Director Web Portal Manager Guía de administración, GC10-3704 (pdwpm38_admin.pdf )

Proporciona información acerca de la instalación del gestor de portales web y la administración de los servidores de Tivoli SecureWay Policy Director mediante su utilización.

Acceso a las publicaciones en línea

Puede acceder a muchas publicaciones en línea de Tivoli en el sitio web de Soporte al cliente de Tivoli:

http://www.tivoli.com/support/documents/

Prefacio

(16)

Estas publicaciones están disponibles en formato PDF, HTML o en ambos. También se dispone de publicaciones traducidas para algunos productos.

Para acceder a la mayor parte de la documentación, necesita un ID y una contraseña. En caso necesario, puede obtener esta

documentación del siguiente sitio web:

http://www.tivoli.com/support/getting/

Solicitud de publicaciones

Puede solicitar publicaciones en línea de Tivoli en el sitio web siguiente:

http://www.ibm.com/shop/publications/order

También puede realizar sus pedidos por teléfono llamando a uno de los siguientes números:

¶ Desde Estados Unidos: 800-879-2755

¶ In Canada: 800-426-4968

¶ Desde otros países, consulte el siguiente sitio web para obtener una lista de números de teléfono:

http://www.tivoli.com/inside/store/lit_order.html

Comentarios sobre las publicaciones

Nos interesa saber su opinión sobre los productos y documentación de Tivoli y le agradecemos sus sugerencias para mejorarlos. Si tiene algún comentario o sugerencia sobre nuestros productos y

documentación, póngase en contacto con nosotros de una de las siguientes formas:

¶ Envíe un mensaje de correo electrónico a [email protected].

¶ Rellene la encuesta de opinión del cliente en el siguiente sitio web:

http://www.tivoli.com/support/survey/

Prefacio

(17)

Cómo ponerse en contacto con el servicio de soporte al cliente

Si tiene algún problema con cualquier producto de Tivoli, puede ponerse en contacto con el servicio de soporte al cliente de Tivoli.

Consulte la publicación Tivoli Customer Support Handbook (una guía de servicios de soporte) en el siguiente sitio web:

http://www.tivoli.com/support/handbook/

La publicación proporciona información sobre cómo ponerse en contacto con el servicio de soporte al cliente de Tivoli, según la gravedad de su problema y la siguiente información:

¶ Registro y elegibilidad

¶ Números de teléfono y direcciones de correo electrónico, según el país donde se encuentre

¶ Qué información debe reunir antes de ponerse en contacto con el servicio de soporte

Convenios utilizados en este manual

En esta guía se utilizan varios convenios para términos y acciones especiales, además de rutas y comandos que dependen del sistema operativo.

Convenios tipográficos

En esta guía se utilizan los siguientes convenios tipográficos:

Negrita Los comandos en minúscula y que mezclan

caracteres en mayúsculas y minúsculas, las opciones de comandos y los distintivos que aparecen en el texto tienen este aspecto, en negrita.

Los elementos de la interfaz gráfica de usuario (a excepción de los títulos de las ventanas y diálogos) también tienen este aspecto, en negrita.

Cursiva Las variables, los valores que debe proporcionar, los Prefacio

(18)

términos nuevos y las palabras y frases que se resaltan tienen este aspecto, en cursiva.

Monoespaciado

Los comandos, las opciones de comandos y los distintivos que aparecen en una línea diferente, los ejemplos de código, la salida y el texto de los mensajes tieneneste aspecto, en monoespaciado.

Los nombres de los archivos y directorios, las cadenas de texto que debe escribir y, cuando aparecen en el texto, los nombres de las clases y métodos Java y los indicadores HTML y XML también tieneneste aspecto, en monoespaciado.

Rutas y variables dependientes del sistema operativo

Esta guía utiliza la convención UNIX para especificar las variables de entorno y la notación de directorios.

Al utilizar la línea de comandos de Windows, sustituya $variable por

%variable% para las variables de entorno y sustituya cada barra inclinada (/) por una barra inclinada invertida (\) en las rutas de los directorios.

Nota: Si está utilizando el shell bash en un sistema Windows, puede utilizar los convenios UNIX.

Prefacio

(19)

Visión general de la instalación

Antes de comenzar con la instalación de Tivoli SecureWay Policy Director Versión 3.8, debe familiarizarse con sus componentes y las decisiones de configuración que debe tomar durante la instalación.

Este capítulo contiene los apartados siguientes:

¶ Definición de los requisitos de seguridad

¶ Visión general del dominio seguro

¶ Componentes de la instalación

¶ Proceso de instalación

¶ Opciones de instalación

¶ Requisitos del sistema

¶ Opciones de configuración

¶ Contenido del CD

Definición de los requisitos de seguridad

Antes de implementar una solución concreta de Tivoli SecureWay Policy Director, debe determinar las posibilidades de gestión y de seguridad específicas que requiera su red.

El primer paso para planificar el despliegue de un entorno de seguridad de Tivoli SecureWay Policy Director es definir los requisitos de seguridad de su entorno informático. Definir los

1

1.Visióngeneraldelainstalación

(20)

requisitos de seguridad significa determinar las políticas de la empresa que deben aplicarse a usuarios, programas y datos. Esto conlleva definir lo siguiente:

¶ Los objetos que se han de proteger

¶ Las acciones que se permiten realizar en cada objeto

¶ Los usuarios que pueden realizar estas acciones

Para aplicar una política de seguridad es necesario comprender el flujo de peticiones de acceso que se lleva a cabo en toda la topología de su red. Esto conlleva identificar las ubicaciones y los roles

correctos para los cortafuegos, los enrutadores y las subredes. El despliegue de un entorno de seguridad de Tivoli SecureWay Policy Director (denominado dominio seguro) también implica identificar cuáles son los puntos óptimos de la red para instalar el software que evalúe las peticiones de acceso del usuario y conceda o deniegue el acceso que ha solicitado.

Para implementar una política de seguridad es necesario saber la cantidad de usuarios, datos y rendimiento que la red deberá manejar.

También se deben evaluar las características de rendimiento, si presenta posibilidades de escalado y si es necesaria la función de sustitución automática de un sistema por otro en caso de anomalía.

También se deben tener en cuenta temas como la integración de las bases de datos, las aplicaciones y el software de herencia con el software de Tivoli SecureWay Policy Director.

Después de comprender las características que desee desplegar, puede decidir qué componentes y aplicaciones de Tivoli SecureWay Policy Director se pueden combinar para obtener la mejor

implementación de su política de seguridad.

Visión general del dominio seguro

La familia de productos Tivoli SecureWay Policy Director está basada en un modelo en que se combinan un conjunto de servidores y bibliotecas de ejecución con una o más aplicaciones, como Tivoli SecureWay Policy Director para sistemas operativos. Los servidores Definición de los requisitos de seguridad

(21)

y bibliotecas de ejecución proporcionan una infraestructura de seguridad que incluye bibliotecas de autenticación y de autorizaciones.

El dominio seguro de Tivoli SecureWay Policy Director es un entorno de sistemas seguro en el que Tivoli SecureWay Policy Director aplica sus políticas de seguridad para autenticación, autorización y control de accesos. En el gráfico siguiente se representan las estaciones de trabajo de un dominios seguro típico.

Para obtener descripciones de estos componentes, consulte el apartado “Componentes de la instalación” en la página 4.

Con fines ilustrativos, en este gráfico se representa una sola estación de trabajo para cada tipo de servidor de configuración/gestión, servidor de autorizaciones, etc. De este modo se facilita la identificación de los componentes obligatorios al configurar un dominio seguro en la topología de red propia.

Tenga presente que también puede instalar todo el software necesario para configurar y utilizar un dominio seguro en una estación de trabajo autónoma. Esto resulta útil cuando se crea un prototipo de despliegue o se desarrolla y prueba una aplicación. También es

Visión general del dominio seguro

(22)

posible que desee agregar sistemas a un dominio seguro como, por ejemplo, un sistema de tiempo de ejecución o un sistema de

desarrollo con el ADK (Authorization Application Development Kit).

Los componentes mínimos obligatorios para un sistema que albergue un dominio seguro son los siguientes:

¶ Un servidor LDAP (Lightweight Directory Access Protocol) al que se da soporte

¶ Cliente IBM SecureWay Directory

¶ IBM Global Security Toolkit (GSKit)

¶ Runtime Environment

¶ Management Server

Componentes de la instalación

En este apartado se proporciona una visión general de los

componentes de instalación de que consta un dominio seguro. Para las versiones a las que se da soporte, información sobre el sistema operativo y requisitos de espacio de disco y memoria, consulte el apartado “Requisitos del sistema” en la página 8.

IBM Global Security Toolkit

Tivoli SecureWay Policy Director proporciona el cifrado de datos mediante IBM Global Security Toolkit (GSKit), una implementación del protocolo SSL (Secure Sockets Layer) Versión 3.0. Debe instalar GSKit, Versión 4.0.3.168 antes de instalar Tivoli SecureWay Policy Director Runtime Environment.

El paquete de GSKit también instala la utilidad de gestión de claves iKeyman (gsk4ikm), que le permite crear bases de datos de claves, pares de claves pública-privada y solicitudes de certificado.

Servidor LDAP al que se da soporte

Tivoli SecureWay Policy Director, Versión 3.8, da soporte a los servidores LDAP siguientes:

¶ Servidor IBM SecureWay Directory, Versión 3.2.1 Visión general del dominio seguro

(23)

¶ iPlanet Directory Server, Versión 5.0

¶ LiveContent DIRECTORY, Release 8A.3

Para obtener información sobre los sistemas operativos a los que se da soporte y el software de requisito previo, consulte el apartado

“Requisitos del sistema” en la página 8.

Cliente LDAP al que se da soporte: IBM SecureWay Directory

Tivoli SecureWay Policy Director da soporte a un cliente LDAP: el cliente de IBM SecureWay Directory, Versión 3.2.1. Este cliente se proporciona con IBM SecureWay Directory en el CD de Tivoli SecureWay Policy Director Base para la plataforma de que dispone.

El cliente de IBM SecureWay Directory da soporte completo a cualquiera de los servidores LDAP de la lista que aparece en el apartado “Servidor LDAP al que se da soporte” en la página 4. Debe instalar y configurar este cliente LDAP en cada sistema en el que se ejecute Tivoli SecureWay Policy Director.

En el paquete de instalación del cliente LDAP se incluyen dos interfaces gráficas de usuario (GUI). La interfaz de administración de servidores basada en web le permite realizar tareas de servidor y bases de datos. La herramienta de gestión de directorios (DMT) le permite examinar y editar información en el directorio como, por ejemplo, definiciones de esquema, el árbol de directorios y las entradas de datos. Hay disponible documentación detallada para cada interfaz a través de los sistemas de ayuda en línea.

Runtime Environment

Runtime Environment contiene bibliotecas de ejecución y archivos de soporte que las aplicaciones pueden utilizar para acceder a los servidores de Tivoli SecureWay Policy Director. Debe instalar Runtime Environment en cada uno de los sistemas que formen parte del dominio seguro.

Management Server

Management Server mantiene la base de datos de políticas de autorización maestra para el dominio seguro. Este servidor resulta

Componentes de la instalación

(24)

clave para el proceso de las solicitudes de autorización, autenticación y control de accesos. También actualiza réplicas de base de datos de autorización y mantiene la información de ubicación sobre otros servidores de Tivoli SecureWay Policy Director en el dominio seguro.

Sólo puede haber una instancia de Management Server y su base de datos de autorizaciones maestras en cualquier dominio seguro simultáneamente. No obstante, puede tener un segundo servidor en modalidad de espera para proporcionar posibilidades de migración tras error en frío. Management Server replica su base de datos de lista de control de accesos (ACL) a todos los demás servidores Tivoli SecureWay Policy Director del dominio seguro.

Authorization Server

Authorization Server descarga las decisiones de autorización y control de accesos de Management Server. Mantiene una réplica de la base de datos de autorización y funciona como el evaluador de la toma de decisiones de autorización. Un Authorization Server

independiente también proporciona acceso al servicio de

autorizaciones para aplicaciones de terceros que utilicen la API de autorizaciones de Tivoli SecureWay Policy Director en modalidad de antememoria remota. Este componente es opcional.

Authorization Application Development Kit

El ADK (Authorization Application Development Kit) proporciona un entorno de desarrollo que le permite codificar aplicaciones de terceros para consultar decisiones de autorización a Authorization Server. La API de autorizaciones protege las aplicaciones frente a la complejidad de los servicios de autorización, entre los que se incluyen los métodos de almacenamiento, colocación en

antememoria, réplica y autenticación. Este componente es opcional.

Web Portal Manager

La GUI de Web Portal Manager le permite efectuar tareas de administración de servidor que puede realizar desde la interfaz de línea de comandos pdadmin. Entre las tareas se incluye la gestión de información de usuarios, creación de grupos, el inicio y detención de servidores, etc. Esta interfaz de usuario basada en web se

(25)

proporciona independientemente del CD de Tivoli SecureWay Policy Director Web Portal Manager. Este componente es opcional.

Proceso de instalación

En este apartado se enumeran los pasos necesarios que deben efectuarse para crear un dominio seguro. Los pasos generales que deben realizarse son los siguientes:

1. Planifique el despliegue de Tivoli SecureWay Policy Director.

Asegúrese de que comprende los requisitos de seguridad de la empresa para los que se va a desplegar SecureWay Policy Director. Decida qué combinación de componentes de Tivoli SecureWay Policy Director desea instalar y compruebe que se satisfagan los requisitos listados en la página 8. Para obtener más información, consulte el apartado “Definición de los requisitos de seguridad” en la página 1.

2. Elija un método de instalación para instalar Tivoli SecureWay Policy Director, Versión 3.8, y siga las instrucciones de

instalación que se proporcionen. Para obtener más información, consulte el apartado “Opciones de instalación” en la página 7.

Opciones de instalación

Tivoli SecureWay Policy Director ofrece los métodos de instalación siguientes. Seleccione el método que mejor se adapte a sus

requisitos.

Tabla 1. Opciones de instalación

Opción Objetivo Pasos

Instalación rápida Utilice esta opción si desea agilizar la instalación y configuración de un nuevo dominio seguro. También puede utilizar esta opción para agregar un componente o para configurar nuevos sistemas en un dominio seguro existente.

Consulte el apartado

“Utilización de la instalación rápida” en la página 33.

(26)

Tabla 1. Opciones de instalación (continuación)

Opción Objetivo Pasos

Instalación nativa Utilice esta opción si desea ir paso a paso en la instalación y configuración de los componentes de Tivoli SecureWay Policy Director utilizando los procedimiento nativos del sistema operativo.

“Utilización de la instalación nativa” en la página 39.

Instalación silenciosa

Utilice esta opción si desea crear un script del proceso de instalación. Esta opción resulta útil cuando se instalan varios componentes a la vez.

“Utilización de la instalación silenciosa”

en la página 61.

Migración Utilice esta opción si migra de Tivoli SecureWay Policy Director, Versión 3.7.x.

Si actualiza desde la Versión 3.6, primero debe actualizar la Versión 3.7.x. Consulte la documentación de la Versión 3.7.x del producto para obtener las instrucciones de instalación.

“Actualización desde la Versión 3.7.x” en la página 67.

Requisitos del sistema

Tivoli SecureWay Policy Director tiene requisitos de software y hardware específicos que deben cumplirse antes de que pueda instalarse y de que pueda considerarse totalmente operativo. Entre estos requisitos se incluyen los sistemas operativos, las plataformas hardware, los parches, etc. Los requisitos listados en los apartados siguientes constituyen el entorno recomendado para los componentes de Tivoli SecureWay Policy Director en el momento de la

publicación de esta documentación. Para obtener la información más Opciones de instalación

(27)

actualizada, consulte la publicación Tivoli SecureWay Policy Director Notas del release, Versión 3.8 en el sitio web del soporte al cliente de Tivoli.

Sistemas operativos a los que se da soporte

Los siguientes sistemas operativos, excepto Linux (que sólo da soporte a los componentes Runtime Environment y ADK de autorización) dan soporte a los componentes de Tivoli SecureWay Policy Director Versión 3.8:

¶ Hewlett-Packard HP-UX 11.0

¶ IBM AIX 4.3.3 con lo siguiente:

v Parche de bos.rte.libpthreads al nivel 4.3.3.51 o superior Nota: puede bajar este parche de la dirección web siguiente:

http://www-1.ibm.com/support/rs6000.html

¶ Microsoft Windows NT 4.0 con lo siguiente:

v Service Pack 6a

v Sistema de archivos NTFS (recomendado)

¶ Microsoft Windows 2000 Advanced Server con lo siguiente:

v Service Pack 1

v Sistema de archivos NTFS (recomendado)

¶ Red Hat Linux 7.1 con lo siguiente:

v rpm-3.0.5-27mdk.i586.rpm o superior que 3.0.5-27 Nota: puede encontrar este paquete en la dirección web

v Linux Mandrake 7.2 Powerpacklibstdc++-2.95.2- 12mdk.i586.rpm

Nota: puede encontrar este paquete en la dirección web siguiente:

Requisitos del sistema

(28)

http://www.linux-mandrake.com

¶ Sun Solaris 2.7 y 2.8

Parches de Tivoli SecureWay Policy Director

El CD de Tivoli SecureWay Policy Director Base contiene los directorios de parches siguientes.

Nota: para obtener la ruta completa de estos directorios en el sistema operativo de que disponga, consulte el apartado

“Contenido del CD” en la página 23.

patches Contiene todos los parches necesarios para la instalación de los componentes de Tivoli SecureWay Policy Director. Si se necesitan los parches tras la instalación, siga las instrucciones de instalación del archivo LÉAME ubicado en el directorio. Si los parches no son necesarios, este directorio estará vacío.

ldap_efix4 o Efix4

Contiene un parche que debe instalarse después de instalar el cliente IBM SecureWay Directory, el servidor IBM SecureWay Directory o ambos. Este parche es necesario sólo en las plataformas AIX, Solaris y Windows. En sistemas AIX y Solaris, este parche se encuentra en el directorio ldap_efix4. En sistemas Windows, se encuentra en el directorio Efix4.

Si utiliza la instalación rápida para instalar los componentes de IBM SecureWay Directory, este parche se instala automáticamente. Si utiliza la instalación nativa, debe instalar manualmente el parche siguiendo las instrucciones de instalación proporcionadas en el archivoLÉAME.

Servidores LDAP a los que se da soporte

Tivoli SecureWay Policy Director, Versión 3.8, da soporte a los servidores LDAP siguientes. En los apartados siguientes se enumeran los sistemas operativos a los que se da soporte, los requisitos previos Requisitos del sistema

(29)

necesarios y las notas del release conocidos en el momento de la publicación de esta documentación.

IBM SecureWay Directory, Versión 3.2.1

El servidor IBM SecureWay Directory se suministra en el CD de Tivoli SecureWay Policy Director Base para las plataformas AIX^®, Solaris y Windows. Los sistemas operativos siguientes dan soporte a este servidor LDAP:

¶ IBM AIX 4.3.3

¶ Microsoft Windows NT 4.0 con Service Pack 6a

¶ Microsoft Windows 2000 Advanced Server

¶ Sun Solaris 2.7 y Solaris 2.8

El software de requisito previo para el servidor IBM SecureWay Directory es el siguiente:

Nota: el parche efix4 de IBM SecureWay Directory, IBM DB2 y el servidor web IBM HTTP se suministran en el CD de Tivoli SecureWay Policy Director Base para sistemas AIX, Solaris y Windows.

¶ Parche efix4 de IBM SecureWay Directory

¶ IBM DB2^® Universal Database Edition, Versión 6.1, con FixPak3

¶ Uno de los servidores web a los que se da soporte siguientes:

v Apache Server 1.3.12

v Servidor IBM HTTP, Versión 1.3.12

v Servidor web de Lotus^® Domino^™Enterprise 5.0.2b v Microsoft Internet Information Server 4.0

v Netscape Enterprise Server 3.6.3, 4.0 v Netscape FastTrack Server 3.01

(30)

Atención:

¶ Si ya tiene un servidor IBM SecureWay Directory y desea utilizarlo para Tivoli SecureWay Policy Director, compruebe que actualiza el servidor al nivel de IBM SecureWay Directory Versión 3.2. Para obtener instrucciones sobre la migración, consulte la publicación IBM SecureWay Directory Installation and Configuration Guide.

¶ Si ya tiene una versión preexistente de LDAP procedente de un proveedor que no sea IBM, debe desinstalarla antes de instalar IBM SecureWay Directory. Si trata de instalar IBM SecureWay Directory sin eliminar la versión del otro proveedor, los

conflictos de nombre de archivo resultantes pueden provocar que ninguna de las versiones funcione.

¶ En sistemas Windows, si NO utiliza la instalación rápida para instalar el servidor IBM SecureWay Directory, compruebe que instala IBM DB2 (que es un requisito previo) desde el directorio siguiente:

windows/Directory/ldap32_us/db2

Netscape o iPlanet Directory Server, Versión 5.0

Los sistemas operativos siguientes dan soporte a iPlanet Directory Server Versión 5.0:

¶ Hewlett-Packard HP-UX 11.0

¶ IBM AIX 4.3.3

¶ Microsoft Windows NT 4.0 con Service Pack 6a

¶ Microsoft Windows 2000 Advanced Server

¶ Red Hat Linux 7.1

Para obtener instrucciones sobre la instalación, consulte la documentación del producto acompaña al servidor LDAP.

(31)

Atención:

¶ Este servidor LDAP requiere que se instale GSKit sólo si instala Runtime Environment en la misma estación de trabajo. SSL no necesita GSKit porque iPlanet Directory Server incorpora capacidad SSL.

¶ Si ya tiene instalado un servidor Netscape o iPlanet Directory Server y desea utilizarlo para Tivoli SecureWay Policy Director, compruebe que actualiza el servidor al nivel de iPlanet Directory Server Versión 5.0. Para obtener instrucciones sobre la

migración, consulte la publicación iPlanet Directory Server, Versión 5.0 Installation Guide en la dirección web siguiente:

http://docs.iplanet.com/docs/manuals/directory.html#dirserver50 LiveContent DIRECTORY, Release 8A.3

Los sistemas operativos siguientes dan soporte a LiveContent DIRECTORY Release 8A.3:

¶ Microsoft Windows NT 4.0 con Service Pack 4 o superior Para obtener instrucciones sobre la instalación, consulte la documentación del producto acompaña al servidor LDAP.

(32)

Atención:

¶ LiveContent DIRECTORY no da soporte a SSL.

¶ Si instala LiveContent DIRECTORY y el cliente IBM SecureWay Directory en el mismo sistema, se instalan dos copias de las utilidades LDAP en el sistema. Compruebe que Tivoli SecureWay Policy Director utilice la versión cliente de IBM SecureWay Directory. Tivoli SecureWay Policy Director es incompatible con la versión de las utilidades LDAP que se proporcionan con LiveContent DIRECTORY.

Sin embargo, si utiliza Tivoli SecureWay Policy Director en un sistema Windows NT^® y ha instalado LiveContent DIRECTORY para obtener los archivos binarios necesarios para manipular el esquema, debe comprobar que se llame a las utilidades LDAP correctas en el sistema Windows. En sistemas UNIX o NT, utilice el comando siguiente para verificar de qué proveedor es el producto que se utiliza:

ldapsearch –X

Si LiveContent DIRECTORY se encuentra en la ruta

predeterminada, este comando hace que se visualice el nombre y la versión del proveedor. En el caso del servidor IBM

SecureWay Directory, aparece el mensaje de ayuda del comando.

Requisitos de espacio de disco y de memoria

En la Tabla 2 se indican los requisitos de espacio de disco y de memoria mínimos, y también los recomendados, para los diferentes componentes que puede instalar en el dominio seguro.

Tabla 2. Requisitos de espacio de disco y de memoria

Sistema Espacio de disco Memoria

Runtime Environment, incluido lo siguiente:

¶ GSKit

Mínimo: 65 MB con 10 MB adicionales para los registros Recomendado: 70 MB con 10 MB adicionales para los registros

Mínimo: 64 MB Recomendado: 128 MB

(33)

Tabla 2. Requisitos de espacio de disco y de memoria (continuación)

Sistema Espacio de disco Memoria

Management Server Mínimo: 15 MB

Recomendado: 25 MB

Authorization Server Mínimo: 10 MB Recomendado: 20 MB

Authorization ADK Mínimo: 10 MB

Recomendado: 10 MB

No aplicable

Nota: Se recomienda que supervise exhaustivamente el uso del espacio de los directorios/opt y /var en sistemas UNIX.

Los componentes de Tivoli SecureWay Policy Director se instalan en el subdirectorio/PolicyDirector de estos directorios en sistemas UNIX. Las bases de datos de Tivoli SecureWay Policy Director también se almacenan en el directorio/var.

Opciones de configuración

En este apartado encontrará la información de configuración que se necesita durante los procesos de instalación rápida y nativa. Es recomendable que identifique dichos valores antes de que se los soliciten durante la instalación. Esto genera una instalación más sencilla porque ya sabe qué información se le pedirá y si alguna de las opciones reflejadas en las listas siguientes no está clara, puede tratar de resolver la cuestión antes de comenzar el proceso de instalación.

Configuración de IBM Global Security Toolkit

Después de instalar GSKit, no es necesario efectuar ninguna configuración.

(34)

Configuración de servidor IBM SecureWay Directory

Durante la configuración del servidor IBM SecureWay Directory y el software de requisito previo, se le solicita la información siguiente:

¶ ID (DN) del administrador de LDAP—Especifica el nombre distinguido del administrador de LDAP. El nombre

predeterminado escn=root.

¶ Contraseña del administrador de LDAP—Especifica la contraseña asociada al ID del administrador de LDAP.

¶ GSO DN (Suffix)(DN de GSO (Sufijo))—Especifica el nombre distinguido de la posición en el árbol de información de

directorios (DIT) del servidor LDAP donde está ubicada la base de datos GSO (Global Sign-On) de Tivoli. Por ejemplo:

o=tivoli,c=us

Para obtener más información sobre qué entrada de GSO debe agregarse, consulte el apartado “Visión general de la

configuración del servidor LDAP” en la página 99.

¶ Puerto de servidor LDAP—Especifica el número de puerto que el servidor LDAP escucha. El número de puerto predeterminado es 636.

¶ Archivo de claves del cliente de SSL LDAP—Especifica el nombre de la ruta de acceso completa donde está ubicado el archivo de base de datos de claves de GSKit del cliente en Management Server. Puede crear su propio archivo de claves del cliente mediante la utilidad de gestión de claves gsk4ikm (instalada con GSKit). Si utiliza la instalación rápida, es recomendable que genere un nuevo archivo de claves antes de desplegar Tivoli SecureWay Policy Director en la estación de trabajo. Para obtener información sobre cómo generar su propio archivo de claves, consulte el apartado “Habilitación de Secure Sockets Layer” en la página 127.

¶ Contraseña de archivo de claves SSL—Especifica la

contraseña del archivo de base de datos de claves de GSKit del cliente. El archivopd_ldapkey.kdb suministrado con la instalación rápida tiene la contraseña predeterminadagsk4ikm.

Opciones de configuración

(35)

Si necesita cambiar esta contraseña mediante la utilidad gsk4ikm, debe recuperar la contraseña predeterminada para cambiarla.

¶ Etiqueta de certificado del cliente SSL (si es

necesario)—Especifica la etiqueta del archivo de base de datos de claves de GSKit de cliente del certificado del cliente que debe enviarse al servidor si éste está configurado para requerir la autenticación del cliente durante el establecimiento de la sesión SSL. Normalmente, el servidor LDAP requiere sólo certificados del lado del servidor que se hayan especificado durante la creación del archivo.kdb del cliente y esta opción no es necesaria. La instalación rápida proporciona un archivo

pd_ldapkey.kdb predeterminado, que tiene una etiqueta PDLDAP.

Para obtener más información sobre la etiqueta del certificado del cliente de SSL, consulte el apartado “Configuración de la autenticación de servidor y cliente LDAP” en la página 145.

Las opciones de configuración del servidor IBM HTTP son las siguientes:

¶ ID de administración—Especifica el usuario root para sistemas UNIX. Para sistemas Windows, especifica el ID del

administrador con el que ha iniciado la sesión en su estación de trabajo.

¶ Contraseña de administración—Especifica la contraseña del ID del administrador.

¶ Puerto HTTP—Especifica el número de puerto que utiliza el servidor IBM HTTP. Es importante tener en cuenta que tanto WebSEAL como el servidor IBM HTTP utilizan el puerto 80 como puerto predeterminado. Es recomendable cambiar el número de puerto del servidor IBM HTTP por 8080 para que el servidor web no interfiera con el puerto 80.

Las opciones de configuración de IBM DB2 son las siguientes:

¶ En sistemas Windows solamente, la contraseña predeterminada (db2admin) para el ID del administrador ya se ha

proporcionado. Acepte esta contraseña. Si el ID de usuario no es administrador, debe proporcionar la contraseña del usuario.

(36)

Configuración del cliente IBM SecureWay Directory

Después de instalar el cliente IBM SecureWay Directory, no es necesario efectuar ninguna configuración. No obstante, si no utiliza la instalación rápida, compruebe que instala el parche efix4 en los sistemas AIX, Solaris y Windows. Para obtener más información, consulte el apartado “Parches de Tivoli SecureWay Policy Director”

en la página 10.

Configuración de Runtime Environment

Durante la configuración de Runtime Environment, se le solicita la información siguiente:

¶ Nombre de host del servidor LDAP—Especifica el nombre de host completo del servidor LDAP. Por ejemplo:

ldapserver.tivoli.com

¶ Puerto de servidor LDAP—Especifica el número de puerto que el servidor LDAP escucha. El número de puerto predeterminado es 636.

¶ Nombre de host de Management Server—Especifica el nombre de host completo de Management Server. Por ejemplo:

pdmgr.tivoli.com

¶ Puerto de servidor SSL—Especifica el número de puerto que Management Server utiliza para escuchar solicitudes SSL. El número de puerto predeterminado es 7135.

¶ Nombre de archivo de certificado CA de PD—Si ha

especificado que se permite la bajada automática del archivo de autorización de certificados SSL durante la configuración de Management Server, deje esta opción en blanco. No es necesario cuando se configura Runtime Environment. En caso contrario, especifique el nombre de archivo y ruta completos del archivo de autorización de certificados SSL. El archivopd_ldapkey.kdb se crea durante la configuración de Management Server. Este archivo debe copiarse localmente.

(37)

Atención:

v Si no utiliza la instalación rápida para instalar el servidor LDAP, este archivo no funcionará.

v Independientemente del nombre que tenga el archivo de claves que desee utilizar, la instalación rápida copia el archivo de claves en uno de los directorios indicados más arriba. Esto proporciona a la instalación rápida una manera nueva de referirse al archivo y de localizarlo en fechas posteriores. Tenga en cuenta que el archivo de claves no cambia.

v Es recomendable que genere un nuevo archivo de claves antes de desplegar Tivoli SecureWay Policy Director. Debe generar el archivo de claves de SSL mediante la utilidad gsk4ikm.

v El servidor IBM SecureWay Directory se configura mediante el archivopd_ldapkey.kdb con la contraseña de gsk4ikm y una etiqueta del lado del servidor dePDLDAP.

Configuración de Management Server

Durante la configuración de Management Server, se le solicita la información siguiente:

¶ Contraseña de sec_master—Especifica la contraseña asociada al ID del administrador de sec_master. Se le solicita que confirme esta contraseña.

¶ Habilitar SSL entre PD y LDAP—Especifica si SSL debe habilitarse (sí) o no (no). Si se especifica sí, se solicita la información siguiente.

(38)

Nota: Para obtener información sobre cómo habilitar la

comunicación SSL entre servidores LDAP y clientes IBM SecureWay Directory que den soporte al software Tivoli SecureWay Policy Director, consulte el apartado

“Habilitación de Secure Sockets Layer” en la página 127 y el “Capítulo 6. Habilitación de Secure Sockets Layer”, en la página 93.

v Archivo de claves del cliente de SSL LDAP—Especifica el nombre de la ruta de acceso completa donde está ubicado el archivo de base de datos de claves de GSKit del cliente en Management Server. Debe copiar este archivo desde su ubicación en el servidor LDAP.

v Etiqueta de certificado del cliente SSL (si es

necesario)—Especifica la etiqueta del archivo de base de datos de claves GSKit del cliente del certificado del cliente que debe enviarse al servidor si éste está configurado para requerir la autenticación del cliente durante el establecimiento de la sesión SSL. Normalmente, el servidor LDAP requiere sólo certificados del lado del servidor que se hayan

especificado durante la creación del archivo.kdb del cliente y esta opción no es necesaria. Para obtener más información sobre la etiqueta del certificado del cliente de SSL, consulte el apartado “Configuración de la autenticación de servidor y cliente LDAP” en la página 145.

v Contraseña de archivo de claves SSL—Especifica la contraseña del archivo de base de datos de claves de GSKit del cliente. El archivopd_ldapkey.kdb suministrado con la instalación rápida tiene la contraseña predeterminadagsk4ikm y una etiquetaPDLDAP. Estos valores predeterminados se pueden utilizar si instala y configura el servidor IBM SecureWay Directory mediante el script

ezinstall_ldap_server. Si necesita cambiar esta contraseña mediante la utilidad gsk4ikm, debe recuperar la contraseña predeterminada para cambiarla.

v Puerto SSL de servidor LDAP—Especifica el número de puerto que el servidor LDAP utiliza para escuchar solicitudes SSL. El número de puerto predeterminado es 636.

(39)

¶ DN de LDAP para base de datos de GSO—Especifica el nombre distinguido de la posición en el árbol de información de directorios (DIT) del servidor LDAP donde está ubicada la base de datos GSO (Global Sign-On) de Tivoli. Por ejemplo:

o=tivoli,c=us

Para obtener más información sobre qué entrada de GSO debe agregarse, consulte el apartado “Visión general de la

configuración del servidor LDAP” en la página 99.

¶ Puerto servidor SSL de PD Management Server—Especifica el número de puerto que Management Server utiliza para escuchar solicitudes SSL. El número de puerto predeterminado es 7135.

¶ Duración del certificado de SSL PDMGR— Especifica el número de días que el archivo de certificados es válido. El número de días predeterminado es 365 días.

¶ Habilitar descarga de certificados—Especifique sí para permitir la bajada automática del archivo de autorización de certificados SSL durante la configuración de Management Server. Si especificano, debe especificar el nombre de archivo y ruta completos del archivo de autorización de certificados pdcacert.b64) durante la configuración de Tivoli SecureWay Policy Director.

Configuración de Authorization Server

Durante la configuración de Authorization Server, se le solicita la información siguiente:

¶ Puerto de servidor LDAP—Especifica el número de puerto que el servidor LDAP utiliza para escuchar solicitudes SSL. El número de puerto predeterminado es 636.

(40)

¶ Habilitar SSL entre PD y LDAP—Especifica si SSL debe habilitarse (sí) o no (no). Si se especifica sí, se solicita la información siguiente.

Nota: Para obtener información sobre cómo habilitar la

comunicación SSL entre servidores LDAP y clientes IBM SecureWay Directory que den soporte al software Tivoli SecureWay Policy Director, consulte el apartado

“Habilitación de Secure Sockets Layer” en la página 127 y el “Capítulo 6. Habilitación de Secure Sockets Layer”, en la página 93.

v Archivo de claves del cliente de SSL LDAP—Especifica el nombre de la ruta de acceso completa donde está ubicado el archivo de base de datos de claves de GSKit del cliente en Management Server. Debe copiar este archivo desde su ubicación en el servidor LDAP.

v Etiqueta de certificado del cliente SSL (si es

necesario)—Especifica la etiqueta del archivo de base de datos de claves GSKit del cliente del certificado del cliente que debe enviarse al servidor si éste está configurado para requerir la autenticación del cliente durante el establecimiento de la sesión SSL. Normalmente, el servidor LDAP requiere sólo certificados del lado del servidor que se hayan

especificado durante la creación del archivo.kdb del cliente y esta opción no es necesaria. Para obtener más información sobre la etiqueta del certificado del cliente de SSL, consulte el apartado “Configuración de la autenticación de servidor y cliente LDAP” en la página 145.

v Contraseña de archivo de claves SSL—Especifica la contraseña del archivo de base de datos de claves de GSKit del cliente. El archivopd_ldapkey.kdb suministrado con la instalación rápida tiene la contraseña predeterminadagsk4ikm y una etiquetaPDLDAP. Estos valores predeterminados se pueden utilizar si instala y configura el servidor IBM SecureWay Directory mediante el script

(41)

ezinstall_ldap_server. Si necesita cambiar esta contraseña mediante la utilidad gsk4ikm, debe recuperar la contraseña predeterminada para cambiarla.

v Puerto SSL de servidor LDAP—Especifica el número de puerto que el servidor LDAP utiliza para escuchar solicitudes SSL. El número de puerto predeterminado es 636.

¶ Contraseña de sec_master—Especifica la contraseña asociada al ID del administrador de sec_master. Se le solicita que confirme esta contraseña.

Configuración de Authorization ADK

Después de instalar Authorization ADK, no es necesario efectuar ninguna configuración.

Puertos predeterminados

Los números de los puertos predeterminados son:

¶ Puerto no SSL del servidor LDAP: 389

¶ Puerto SSL del servidor LDAP: 636

¶ Puerto SSL de Management Server: 7135

¶ Puerto de cliente SSL del servidor LDAP: 636

Contenido del CD

En las tablas siguientes se lista el contenido de cada uno de los CD de Tivoli SecureWay Policy Director Base:

¶ Tivoli SecureWay Policy Director Base para AIX y Linux, Versión 3.8

¶ Tivoli SecureWay Policy Director Base para Solaris y HP-UX, Versión 3.8

¶ Tivoli SecureWay Policy Director Base para Windows, Versión 3.8

(42)

Tivoli SecureWay Policy Director Base para AIX y Linux

El CD de Tivoli SecureWay Policy Director Base para AIX y Linux, Versión 3.8 contiene los directorios siguientes:

Directorio Descripción Contenido

/ Scripts de la instalación

rápida

Nota: Linux sólo da soporte a ezinstall_pdrte y ezinstall_pdauthadk.

¶ Authorization ADK (ezinstall_pdauthadk)

¶ Management Server (ezinstall_pdmgr)

¶ Servidor IBM SecureWay Directory

(ezinstall_ldap_server)

¶ Authorization Server (ezinstall_pdacld)

¶ Runtime Environment (ezinstall_pdrte) /common Archivos que utiliza la

instalación rápida

/doc Documentación de Tivoli

SecureWay Policy Director

¶ Tivoli SecureWay Policy Director Notas del release (pd38_relnotes.pdf)

¶ Tivoli SecureWay Policy Director Base Guía de administración (pd38_admin.pdf)

¶ Tivoli SecureWay Policy Director Base Guía de instalación (pd38_install.pdf) /doc/Directory

/install_config_guide /aix

Documentación de IBM SecureWay Directory para AIX

IBM SecureWay Directory Installation and Configuration Guide (aparent.htm)

Contenido del CD

(43)

Directorio Descripción Contenido /linux Paquetes instalables para

Linux ¶ GSKit (gsk4bas-4.0-

3.168.i386.rpm)

(ldap-clientd-3.2-2.i386.rpm)

¶ Runtime Environment (PDRTE-PD-3.8.0- 0.i386.rpm)

¶ Authorization ADK (PDAuthADK-PD-3.8.0- 0.i386.rpm)

/linux/patches Parches de requisito previo de Tivoli SecureWay Policy Director para Linux

/nls Los archivos de soporte de

idioma nacional que utiliza la instalación rápida

Contenido del CD