Tivoli Identity Manager

Tivoli

_{Identity Manager}

Adaptateur Active Directory - Guide d’installation et de configuration

Version4.6

SC11-2335-00

򔻐򗗠򙳰

Tivoli

_{Identity Manager}

Adaptateur Active Directory - Guide d’installation et de configuration

Version4.6

SC11-2335-00

򔻐򗗠򙳰

Important

Avantd’utiliserleprésentdocumentetleproduitassocié,prenezconnaissancedesinformationsgénéralesfigurantà l’AnnexeD,«Remarques»,àlapage73.

Remarque

Certainescapturesd’écransdecemanuelnesontpasdisponiblesenfrançaisàladated’impression.

Neuvièmeédition-juillet2005 Réf.Us :SC32-1376-09

LEPRESENTDOCUMENTESTLIVRE″ENL’ETAT″.IBMDECLINETOUTERESPONSABILITE,EXPRESSEOU IMPLICITE,RELATIVEAUXINFORMATIONSQUIYSONTCONTENUES,YCOMPRISENCEQUICONCERNE LESGARANTIESDEQUALITEMARCHANDEOUD’ADAPTATIONAVOSBESOINS.Certainesjuridictions n’autorisentpasl’exclusiondesgarantiesimplicites,auquelcasl’exclusionci-dessusnevousserapasapplicable.

Cedocumentestmisàjourpériodiquement.Chaquenouvelleéditioninclutlesmisesàjour.Lesinformationsquiy sontfourniessontsusceptiblesd’êtremodifiéesavantquelesproduitsdécritsnedeviennenteux-mêmes

disponibles.Enoutre,ilpeutcontenirdesinformationsoudesréférencesconcernantcertainsproduits,logicielsou servicesnonannoncésdanscepays.Celanesignifiecependantpasqu’ilsyserontannoncés.

Pourplusdedétails,pourtoutedemanded’ordretechnique,oupourobtenirdesexemplairesdedocumentsIBM, référez-vousauxdocumentsd’annoncedisponiblesdansvotrepays,ouadressez-vousàvotrepartenaire

commercial.

VouspouvezégalementconsulterlesserveursInternetsuivants : v http://www.fr.ibm.com(serveurIBMenFrance)

v http://www.can.ibm.com(serveurIBMauCanada) v http://www.ibm.com(serveurIBMauxEtats-Unis) CompagnieIBMFrance

DirectionQualité TourDescartes

92066Paris-LaDéfenseCedex50

©CopyrightIBMFrance2005.Tousdroitsréservés.

Table des matières

Avant-propos . . . . . . . . . . . . v

Aquis’adresseceguide . . . v

Publicationsetinformationsconnexes . . . v

BibliothèqueTivoliIdentityManager . . . v

Publicationssurdesproduitsprérequis . . . . vii

Publicationsconnexes . . . viii

Accèsauxpublicationsenligne. . . ix

Accessibilité . . . ix

Informationsrelativesausupport . . . ix

Conventionsutiliséesdansceguide . . . x

Conventionstypographiques . . . x

Différencesentrelessystèmesd’exploitation. . . x

Définitionsdesvariablesderépertoire(dont HOME) . . . x

Chapitre1.Présentation del’adaptateur Active Directory . . . . . . . . . . . 1

Fonctionnalitésdel’adaptateur . . . 1

Chapitre2.Installation etconfiguration del’adaptateur Active Directory . . . . 3

Conditionspréalables . . . 3

Installationdel’adaptateur . . . 3

Importationduprofildel’adaptateurdansleserveur TivoliIdentityManager. . . 4

Importationduprofildel’adaptateur . . . 5

Créationd’unserviceActiveDirectory. . . 6

Configurationdel’adaptateur . . . 7

Chapitre3.Configuration del’adaptateur Active DirectorypourIBM TivoliIdentity Manager . . . . . . . . . . . . . . 9

Démarragedel’outildeconfigurationdel’adaptateur 9 Affichagedesparamètresdeconfiguration . . . . 10

Modificationdesparamètresdeconfigurationdu protocole . . . 11

Configurationdelanotificationdesévénements . . 14

Configurationdesdéclencheursdenotification d’événements. . . 16

Modificationd’uncontextedenotification d’événements. . . 17

Modificationdelaclédeconfiguration . . . 20

Modificationdesparamètresdeconsignationde l’activité . . . 20

Modificationdesparamètresduregistre. . . 22

Modificationdesparamètresderegistrenon chiffrés . . . 23

Modificationdesparamètresavancés. . . 26

Affichagedesstatistiques. . . 27

Modificationdesparamètresdepagedecodes . . 27

Accèsàl’aideetauxoptionssupplémentaires . . . 28

Chapitre4.Configuration de l’authentificationSSLpourl’adaptateur Active Directory. . . . . . . . . . . 31

Présentationdel’authentificationSSLetdes certificatsnumériques . . . 31

Clésprivées,cléspubliquesetcertificats numériques . . . 32

Certificatsd’auto-signature . . . 33

Formatsdescertificatsetdesclés . . . 33

Utilisationdel’authentificationSSL . . . 34

Configurationdescertificatspourl’authentification SSL . . . 34

Configurationdescertificatspour l’authentificationSSLunidirectionnelle . . . . 34

Configurationdescertificatspour l’authentificationSSLbidirectionnelle. . . 35

Configurationdescertificatslorsquel’adaptateur agitentantqueclientSSL . . . 36

GestiondescertificatsSSLàl’aidedel’outil CertTool . . . 37

Démarragedel’outilCertTool . . . 38

Générationd’unecléprivéeetd’unedemandede certificat . . . 40

Installationducertificat . . . 41

Installationducertificatetdelacléàpartird’un fichierPKCS12 . . . 41

Affichagedescertificatsinstallés . . . 42

Installationd’uncertificatdeCA . . . 42

AffichagedescertificatsdeCA . . . 42

Suppressiond’uncertificatdeCA . . . 43

Affichagedescertificatsenregistrés . . . 43

Enregistrementd’uncertificat . . . 43

Annulationdel’enregistrementd’uncertificat . . 43

Exportationd’uncertificatetdelacléversle fichierPKCS12 . . . 44

Chapitre5.Personnalisation de l’adaptateurActive Directory . . . . . 45

Etape1 :Extensionduschémaetajoutdesattributs étendus. . . 45

Etape2 :CopiedufichierADProfile.jaretextraction desfichiersinclus . . . 46

Etape3 :Modificationdufichierexschema.txt. . . 46

Etape4 :Miseàjourdufichierschema.dsml . . . 47

Etape5 :Modificationdufichier CustomLabels.properties . . . 47

Etape6 :Créationd’unfichierJARetinstallation desnouveauxattributssurleserveurTivoliIdentity Manager . . . 48

Etape7 :Modificationfacultativeduformulairede l’adaptateur . . . 48

Gestiondesmotsdepasselorsdelarestaurationde comptes . . . 48 Configurationdupointdebasepourl’adaptateur 50

©CopyrightIBMCorp. 2003,2005 iii

Chapitre6.Miseà niveau de

l’adaptateurActive Directory oud’ADK. 51

Miseàniveaudel’adaptateurActiveDirectory . . 51

Miseàniveaud’ADK . . . 51

Fichiersjournaux . . . 52

Chapitre7.Désinstallation de l’adaptateurActive Directory . . . . . 53

AnnexeA. Fichiers . . . . . . . . . 55

Fichierxforms.xml . . . 55

Fichierschema.dsml . . . 55

IDobjet. . . 56

Définitiondel’attribut. . . 57

Classes . . . 58

FichierCustomLabels.properties . . . 58

AnnexeB.Attributsde l’adaptateur . . 59

Descriptionsdesattributs. . . 59

Attributsdel’adaptateurActiveDirectoryen fonctiondesactions . . . 66

SystemLoginAdd . . . 66

SystemLoginChange . . . 66

SystemLoginDelete . . . 67

SystemLoginSuspend . . . 67

SystemLoginRestore . . . 67

Reconciliation . . . 67

AnnexeC. Informationsrelativesau support . . . . . . . . . . . . . . 69

Recherchedanslesbasesdeconnaissances . . . . 69

Recherchedanslecentrededocumentationsurle systèmelocalouleréseau . . . 69

RecherchesurInternet. . . 69

Obtentiondecorrectifs . . . 70

AccèsauservicedesupportlogicielIBM . . . . 70

Evaluationdel’impactcommercialdevotre problème . . . 71

Descriptiondevotreproblèmeettentative d’identificationdesonorigine . . . 72

Soumissiondevotreproblèmeauservicede supportlogicielIBM . . . 72

AnnexeD. Remarques . . . . . . . . 73

Marques . . . 74

Index . . . . . . . . . . . . . . . 77

Avant-propos

L’adaptateurActiveDirectoryd’IBMTivoliIdentityManager(adaptateurActive Directory)permetd’assurer laconnectivité entreleserveurTivoliIdentityManager d’IBMetunréseaudesystèmesexécutantleserveurActiveDirectory.Lorsque vousavezinstalléetconfigurél’adaptateur,TivoliIdentityManagergère l’accès aux ressourcesd’Active Directoryaveclesystème desécuritédevotresite. Le présent guideexpliquecommentinstalleretconfigurerl’adaptateurActive Directory.

Remarque: Leprogrammeutilisé pourlesconnexionsdelaressourcegéréeau serveurTivoliIdentityManagersenomme dorénavantunadaptateur.

Leterme ″adaptateur″remplaceleterme″agent″précédemment utilisé.L’interfaceutilisateurutiliséepourlaconfigurationde l’adaptateurseréfèretoujoursàl’adaptateurentantqu’agent.

A qui s’adresse ce guide

Le présentguides’adresseauxadministrateurssystème etdelasécuritéMicrosoft Windows chargésd’installerdeslogicielssurlessystèmesinformatiquesdeleur site. Leslecteurssontsupposés connaîtrelesconceptsdeWindows.Lapersonne quiexécutelaprocédured’installation doitmaîtriserlesnormespropresaux systèmesinstalléssurson siteetdisposer desconnaissancesetdel’expérience propresàActiveDirectory.Leslecteursdoiventégalement êtrecapablesd’effectuer lestâchesde routinedusystèmeWindows etlestâchesd’administrationcourantes de lasécurité.

Publications et informations connexes

Lisez lesdescriptionsdelabibliothèqueTivoliIdentityManager.Pour déterminer lespublicationssupplémentairesquipourraientvousêtreutiles,prenez

connaissancedessections«Publications surdesproduitsprérequis»,à lapagevii et«Publications connexes»,à lapageviii.Unefoisquevousavezidentifiéles publicationsdontvousavezbesoin,reportez-vous auxinstructionsdelasection

«Accèsaux publicationsenligne»,à lapageix.

Bibliothèque Tivoli Identity Manager

Lespublicationsdelabibliothèquededocumentstechniques deTivoliIdentity Manager sontclasséesselonlescatégories suivantes :

v informationssurlesversions ; v assistanceutilisateurenligne ; v

installationetconfigurationdu serveur ; v identificationdesincidents ;

v supplémentstechniques ;

v installationetconfigurationde l’adaptateur.

Informationssurlesversions :

v IBMTivoliIdentityManager-Notessurl’édition

DécritlaconfigurationlogicielleetmatériellepourTivoliIdentityManageret contientd’autresinformationsde support,notammentsurlescorrectifs.

©CopyrightIBMCorp. 2003,2005 v

v IBMTivoliIdentityManagerDocumentationReadThisFirstCard

Répertoriel’intégralitédespublicationsrelativesàTivoliIdentityManager.

Assistance utilisateurenligne :

Fournit desrubriques d’aideenligneainsiqu’uncentre dedocumentationpour toutes lestâchesd’administrationde TivoliIdentityManager.Lecentrede documentationinclutlesinformationsquifiguraientprécédemmentdansles manuels IBMTivoliIdentityManagerConfigurationGuideetIBMTivoliIdentity ManagerPolicyandOrganization AdministrationGuide.

Installationet configurationduserveur :

Le manuelIBMTivoliIdentityManagerServer-Guided’installationetdeconfiguration pour environnementsWebSpherefournitlesinformationsrelativesàl’installationetà laconfigurationdeTivoliIdentityManager.

Lesdonnées deconfigurationauparavantdisponibles danslemanuelIBMTivoli Identity ManagerConfigurationGuidesontdésormaisrépartiesentreleguide d’installation etlecentre dedocumentationIBM TivoliIdentityManagerInformation Center.

Identificationdes incidents :

Vouspouvezconsulter lemanuelIBMTivoliIdentityManager-Guided’identification des incidentspourrechercherdesinformationsconcernantl’identificationdes incidents, lajournalisation etlesmessagespourleproduitTivoliIdentityManager.

Supplémentstechniques :

Lessupplémentstechniques suivantssontfournisparlesdéveloppeursoupar d’autresgroupesconcernéspar l’utilisationde ceproduit :

v

IBMTivoliIdentityManagerPerformanceTuningGuide

Contientlesinformationsnécessaires pourconfigurerleserveurTivoliIdentity Managerdefaçonadéquatepourunenvironnementdeproduction. Cemanuel estdisponiblesurInternet àl’adresseci-après :

http://publib.boulder.ibm.com/tividd/td/tdprodlist.html

CliquezsurlalettreIdanslalisteA-Zdesproduits, puissur lelienTivoli IdentityManager.Recherchez,danslecentrede documentation,lasection correspondantauxsupplémentstechniques.

v VoustrouverezdesRedbooksetlivres blancssur lesiteWebsuivant : http://www.ibm.com/software/sysmgmt/products/support/

IBMTivoliIdentityManager.html

DanslasectionSelfhelp,recherchezlacatégorieLearnetcliquez surlelien Redbooks.

v

Desnotestechniquessontdisponibles àl’adresse : http://www.redbooks.ibm.com/redbooks.nsf/tips/

v Desguidespratiques(Fieldguides)sontfournisàl’adressesuivante :

http://www.ibm.com/software/sysmgmt/products/support/Field_Guides.html v PourobtenirunelistepluscomplètedesautresressourcesTivoliIdentity

Manager,effectuezunerechercheparmilestravauxdesdéveloppeursIBM disponiblesàl’adressesuivante :

http://www.ibm.com/developerworks/

Installationet configurationdel’adaptateur :

Labibliothèquededocuments techniquesduserveurTivoliIdentityManager comprendaussiunensemble dedocumentsd’installation évolutifspour chaque plateforme pourlescomposantsd’adaptateurinstallésdansunemiseenoeuvredu serveurTivoliIdentityManager.RecherchezdesadaptateurssurInternet,à

l’adresseci-dessous :

http://www.lotus.com/services/passport.nsf/WebDocs/

Passport_Advantage_Home

Cliquez surSupport&downloads.CliquezsurlelienDownloads anddrivers(sur lagauche),puissurceluicorrespondantàlalistedesadaptateursactuellement disponibles.

Compétences etformation :

Aumomentde lapublicationduprésentmanuel,lesélémentscomplémentaires suivantsétaientfournisenmatièredecompétencesetde formationstechniques : v

uncentre decompétencesvirtuel(VirtualSkillsCenter)pourleslogicielsTivoli surInternetà l’adressesuivante :

http://www.cgselearning.com/tivoliskills/ ;

v lesrécapitulatifsdesformationsauxlogicielsTivolià l’adresseWebci-dessous : http://www.ibm.com/software/tivoli/education/eduroad_prod.html ;

v unsited’échangestechniquessur Tivoliàl’adresseWebsuivante : http://www.ibm.com/software/sysmgmt/products/support/

supp_tech_exch.html.

Publications sur des produits prérequis

Pour tireraumieuxpartidesinformationsfourniesdansleprésentdocument, vousdevez connaîtrelesproduitsrequisparleserveurTivoliIdentityManager.

Des publicationssontaccessiblesà partirdessitessuivants : v serveurActiveDirectory

– ServeurMicrosoftWindows2000exécutantActiveDirectory http://www.microsoft.com/windows2000/en/server/help/

– ServeurMicrosoftWindows2003exécutantActiveDirectory http://www.microsoft.com/resources/documentation/

WindowsServ/2003/standard/proddocs/en-us/default.asp – ServeurMicrosoftWindowsXPexécutantActiveDirectory

http://www.microsoft.com/resources/documentation/

Windows/XP/all/reskit/en-

us/Default.asp?url=/resources/documentation/Windows/XP/all/reskit/en- us/prcf_omn_gjjv.asp

v Systèmesd’exploitation – IBMAIX

http://www16.boulder.ibm.com/pseries/en_US/infocenter/base/aix52.htm – SunSolaris

http://docs.sun.com/db?q=solaris+9 – Red HatLinux

Avant-propos vii

http://www.redhat.com/docs/

– Microsoft^®WindowsServer 2003

http://www.microsoft.com/windowsserver2003/proddoc/default.mspx v Serveursde basededonnées

– IBM DB2

- Support :http://www.ibm.com/software/data/db2/udb/support.html - centrededocumentation :

http://publib.boulder.ibm.com/infocenter/db2help/index.jsp

- Documentation :http://www.ibm.com/cgi-bin/db2www/data/db2/udb/

winos2unix/support/v8pubs.d2w/en_main

- FamilledeproduitsDB2 :http://www.ibm.com/software/data/db2 - Groupesde correctifs :

http://www.ibm.com/software/data/db2/udb/support/downloadv8.html - Configurationsystème requise :

http://www.ibm.com/software/data/db2/udb/sysreqs.html – Oracle

http://www.oracle.com/technology/documentation/index.html http://otn.oracle.com/tech/index.html

http://otn.oracle.com/tech/linux/index.html – Microsoft SQLServer2000

http://www.msdn.com/library/

http://www.microsoft.com/sql/

v Applicationsserveurd’annuaires – IBM DirectoryServer

http://publib.boulder.ibm.com/tividd/td/IBMDS/IDSapinst52/

en_US/HTML/ldapinst.htm

http://www.ibm.com/software/network/directory – SunONEDirectoryServer

http://docs.sun.com/app/docs/coll/S1_DirectoryServer_52 v WebSphereApplicationServer

Desinformationscomplémentairessontfourniesdanslerépertoire duproduitet surInternet.

http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp http://www.redbooks.ibm.com/

v messagerieintégréeWebSphere

http://www.ibm.com/software/integration/wmq/

v IBMHTTPServer

http://www.ibm.com/software/webservers/httpservers/library.html

Publications connexes

Des informationsrelativesauserveurTivoliIdentityManagersontdisponibles danslespublicationssuivantes :

v Labibliothèquede logicielsTivoliproposeungrandnombredepublications Tivolisouslaforme delivresblancs,defeuillesdedonnées,de modulesde présentation,deRedbooksetdelettres d’annonces.Labibliothèque delogiciels Tivoliestdisponibleàl’adressesuivante :

http://www.ibm.com/software/tivoli/literature/

v LeGlossairede logicielsTivoliinclutlesdéfinitionsdenombreuxtermes techniquesliésauxlogicielsTivoli.Il seprésenteenversionanglaise

uniquement,vialelienGlossarysituédanslapartiegauchede lapageWebdes ressourcestechniquespour leslogicielsTivoli :

http://publib.boulder.ibm.com/tividd/glossary/tivoliglossarymst.htm

Accès aux publications en ligne

IBM metenlignedespublicationspourTivoliIdentityManagerettouslesautres produitsTivolisurlesiteWebducentrededocumentationpourlogicielsTivoli, lorsque ceslogicielssontproposéssurlemarché,puischaquefoisqu’ilssontmisà jour. Cecentre dedocumentationest accessibleàl’adressesuivante :

http://publib.boulder.ibm.com/tividd/td/tdprodlist.html

Cliquez surlalettreIdanslalisteA-Zdesproduits,puissurlelienTivoliIdentity Managerpouraccéderà labibliothèquedesproduits.

Remarque: SivousimprimezdesdocumentsPDFsurdupapierd’unformat différentduformatlettre,activez, danslafenêtreaccessibleviales optionsFichier→ Imprimer,l’optionpermettantàAdobeReader d’imprimerdespagesauformatlettresurlepapierquevousutilisez.

Accessibilité

Ladocumentationduproduitcomprendlesfonctionnalitésd’accessibilité suivantes :

v LadocumentationestdisponibleauformatPDFconvertiblepourpermettreaux utilisateursdefaireappelàdeslogicielslecteursd’écran.

v Touteslesimagesdisponiblesdansladocumentationsontassociéesà untexte deremplacementpourquelesdéficientsvisuelspuissentcomprendreleurs contenus.

Informations relatives au support

LesproblèmesquevouspouvezrencontreravecvotrelogicielIBMdoiventêtre résolus rapidement.IBM vousapportelesupportdontvousavezbesoinpar différents biais :

v Recherchedanslesbasesdeconnaissances :vousavezlapossibilitéd’effectuer desrecherchesdansuneimportantecollection deproblèmesconnusetsolutions correspondantes,denotestechniques etd’autresinformations.

v Obtentiondecorrectifs :vouspouvezlocaliserlescorrectifslesplusrécents disponiblespourvotreproduit.

v Contactduservicedesupport logicielIBM :sivousneparveneztoujourspasà résoudrevotreproblèmeet souhaitezdemanderl’aided’untechnicienIBM,vous pouvezprendrecontact avecleservicedesupport logicielIBM dedifférentes façons.

Pour plusd’informationssurlesméthodesderésolutiondesproblèmes, reportez-vous àl’AnnexeC,«Informationsrelativesausupport»,à lapage69.

Avant-propos ix

Conventions utilisées dans ce guide

Dans ceguidede référence,plusieursconventions sontutiliséespourlestermeset actionsspéciauxetpourlescommandesetcheminsenfonctiondu système d’exploitation.

Conventions typographiques

Ceguideutilise lesconventionstypographiquesci-après : Gras

v Commandesenminuscules etcommandescombinantmajusculeset minuscules,difficiles àdistinguer dutextetoutautour

v Commandesdel’interface(casesàcocher,boutonsdefonction,boutons d’option,flèchesd’incrément,zones,dossiers,icônes,zonesdeliste, élémentsdeszonesdeliste,listes àplusieurscolonnes,conteneurs, commandesdemenu,nomsdemenu,onglets,feuillesdepropriétés)et libellés(parexemple,Conseil :etConsidérationsrelativesausystème d’exploitation :)

v Motsclésetparamètresdansletexte Italique

v

Motsdéfinisdansletexte

v Motsmisenévidence(termesimportants)

v Nouveauxtermesdansletexte(saufdansunelistededéfinitions) v Variablesetvaleursà fournir

Espacement fixe

v Exemplesetexemplesdecode

v Nomsdefichier,motsclésenprogrammationetautreséléments difficilesàdistinguer dutextetoutautour

v Messagesetinvitesadressésàl’utilisateur v

Textedevantêtresaisiparl’utilisateur

v Valeursd’argumentsou optionsdecommande

Différences entre les systèmes d’exploitation

Le présentguideemploielaconventionUNIXpourlaspécificationdesvariables d’environnement etlasyntaxedesrépertoires.

SurunelignedecommandeWindows,remplacez$variablepar %variable%pourles variablesd’environnement,etlesbarresobliques(/)pardesbarresobliques

inverses (\)dansleschemins d’accèsauxrépertoires. Lesnoms desvariables d’environnement nesontpastoujoursidentiquessousWindowsetUNIX.Par exemple,lavariable%TEMP%deWindows devient$tmpsousUNIX.

Remarque: Sivousutilisezleshellbashsur unsystème Windows,vouspouvez utiliserlesconventions UNIX.

Définitions des variables de répertoire (dont HOME)

Le tableauci-aprèscontientlesdéfinitionspardéfaututiliséesdansleprésent guidepour représenterleniveaude répertoire″HOME″(personnel)desdivers chemins d’installationduproduit.Vouspouvezpersonnaliserlerépertoire

d’installation etlerépertoire personnelde votremiseenoeuvreparticulière.Dans cecas,vousdevez remplacerde manièreappropriéeladéfinitiondechaque variable représentéedanscetableau.

Lavaleurdu chemind’accèsvarie pourcessystèmesd’exploitation : v Windows :lecteur:\ProgramFiles

v

AIX :/usr

v AutreUNIX :/opt Variabledechemin

d’accès

Définitionpardéfaut Description

DB_INSTANCE_HOME Windows :

chemin d’accès\IBM\SQLLIB

UNIX :

v AIX,Linux :/home/nom_instance_bd v Solaris :

/export/home/nom_instance_bd

Répertoirecontenant labasededonnées TivoliIdentity Manager.

LDAP_HOME v PourIBMDirectoryServerVersion5.2 Windows :

chemin d’accès\IBM\LDAP UNIX :

– AIX, Linux :chemin d’accès/ldap – Solaris : chemin d’accès/IBMldaps chemin d’accès/IBM/LDAP

v PourIBMDirectoryServerVersion6.0 Windows :

chemin d’accès\IBM\LDAP\V6.0 UNIX :

chemin d’accès/IBM/LDAP/V6.0 – AIX,Solaris

– Linux :opt/ibm/ldap/V6.0 v

PourSunONEDirectoryServer Windows :

chemin d’accès\Sun\MPS UNIX :

/var/Sun/mps

Répertoiredans lequeleststockéle codeduserveur d’annuaire.

Avant-propos xi

Variabledechemin d’accès

Définitionpardéfaut Description

IDS_instance_HOME PourIBMDirectoryServerVersion6.0 Windows :

lecteur\

ibmslapd-nom_propriétaire_instance Lavaleurcorrespondantaulecteurpeut êtreC:\surlessystèmesWindows.Quant àlavariablenom_propriétaire_instance,elle peutêtreparamétréesurldapdb2.Par exemple,lefichierjournalpeutêtre accessiblevialechemind’accès

C:\idsslapd-ldapdb2\logs\ibmslapd.log.

UNIX :

INSTANCE_HOME/idsslapd-nom_instance SousLinuxetAIX,lerépertoirepersonnel pardéfautest

/home/nom_propriétaire_instance.Sous Solaris,ils’agitdurépertoire

/export/home/ldapdb2/idsslapd- ldapdb2.

Répertoirecontenant l’instanceIBM DirectoryServer Version6.0.

HTTP_HOME Windows :

chemin d’accès\IBMHttpServer

UNIX :

chemin d’accès/IBMHttpServer

Répertoiredans lequeleststockéle coderelatifàIBM HTTPServer.

ITIM_HOME Windows :

chemin d’accès\IBM\itim

UNIX :

chemin d’accès/IBM/itim

Répertoiredebase comportantlecode deTivoliIdentity Manager,ainsique laconfigurationet ladocumentation afférentes.

WAS_HOME Windows :

chemin d’accès\WebSphere\AppServer

UNIX :

chemin d’accès/WebSphere/AppServer

Répertoire personnelpour WebSphere ApplicationServer.

WAS_MQ_HOME Windows :

chemin d’accès\ibm\WebSphere MQ

UNIX :

chemin d’accès/mqm

Répertoiredans lequeleststockéle coderelatifà WebSphereMQ.

WAS_NDM_HOME Windows :

chemin d’accès

\WebSphere\DeploymentManager

UNIX : chemin d’accès

/WebSphere/DeploymentManager

Répertoire personnelsurle gestionnairede déploiement.

Variabledechemin d’accès

Définitionpardéfaut Description

Tivoli_Common_Directory Windows :

chemin d’accès\ibm\tivoli\common\CTGIM

UNIX :

chemin d’accès/ibm/tivoli/common/CTGIM

Emplacementdans lequelsont centraliséstousles fichiersliésàla facilitédegestion, telsquelesjournaux etlesdonnéesFFDC (First-FailureData Capture,outilde diagnosticde premierniveau).

Avant-propos xiii

Chapitre 1. Présentation de l’adaptateur Active Directory

Un adaptateurest unprogrammequisertd’interfaceentreuneressourcegéréeet leserveurTivoliIdentityManager.Lesadaptateurspeuventounonsetrouver danslaressourcegérée, etleserveurTivoliIdentityManagergèrel’accèsàla ressource àl’aidedevotresystème desécurité.Lafonctiondesadaptateursentant qu’administrateursvirtuels sécuriséssurlaplateformecible,exécutantdestâches telles quelacréationd’IDde connexionoulasuspensiondenuméroetexécutant d’autresfonctionsd’administrateurs,s’exécute normalementenmodemanuel.

L’adaptateurs’exécutecomme unserviceindépendammentdufaitqu’un utilisateursoitconnectéounonauserveurTivoliIdentityManager.

L’adaptateurActiveDirectoryd’IBMTivoliIdentityManagerpermetla

connectivité entreleserveurTivoliIdentityManageretunsystème exécutantle serveurActiveDirectory.Ceprésent guided’installationfournittoutes les informations debasenécessaires àl’installationetàlaconfigurationde l’adaptateurActiveDirectory.Cechapitreprésente unaperçu généralde l’adaptateuretde sesfonctionnalités.

Fonctionnalités de l’adaptateur

Vouspouvezutiliser l’adaptateurActiveDirectoryafind’automatiser lestâches administratives suivantes :

v Créationd’uncompteActive Directory

Utilisezl’adaptateurafindecréeruncompteActiveDirectorydanslesserveurs dedomaineWindows2000etWindows 2003.

v GestionducompteActiveDirectory

Utilisezl’adaptateurafindegéreruncompteActive Directorydanslesserveurs dedomaineWindows2000etWindows 2003.

v

Gestiond’uneboîteauxlettresExchange

Utilisezl’adaptateurpourgérerdesboîtesauxlettres Exchange2000etExchange 2003avecledomaineActive Directory.

v Créationderépertoiresprincipaux

Utilisezl’adaptateurpourcréerdesrépertoiresprincipaux.

L’adaptateurActiveDirectorynecréepasetnegèrepaslescomptessystème locaux. Poureffectuercesopérations,utilisezl’adaptateurde compteslocaux Windows.

L’adaptateurActiveDirectoryrequiertquevousdisposiez desdroits d’administrateur.LesrequêtesdeTivoliIdentityManager échouerontsi l’adaptateurnepossède paslesdroitssuffisantspoureffectuerl’opération demandée.

L’adaptateurdoitêtreinstallésurunenvironnementde travailWindows 2000, Windows 2003ouWindowsXP.L’adaptateurActiveDirectorypeutêtreinstallé dansledomainegéréou dansundomainedifférent.Sil’adaptateurestinstallé dansundomainedifférent,ledomainegéréetledomaine surlequell’adaptateur est installédoiventdisposer derèglesde sécurité.Pourplusd’informationssur la configurationdesrèglesdesécuritédesdomaines, consultezladocumentation Microsoft correspondantàvotre systèmed’exploitation.

©CopyrightIBMCorp. 2003,2005 1

Configurez l’adaptateurActiveDirectorypourlapriseenchargedes sous-domaines etdedomainesmultiplesparlafonctionBasePoint dansle formulaire deservicedel’adaptateur.Bienqueledéploiement recommandépour votre environnementsebase surlatopologiede votredomaineWindowsetsur la structure d’ActiveDirectory,lefacteurprincipalest laconceptionplanifiéedevos règles d’applicationd’accèsetdevosprocessusd’approbationTivoliIdentity Manager.Pourplusd’informationssurlesrèglesd’applicationdesaccèsetles processusd’approbation,consultezlecentrededocumentationTivoliIdentity ManagerInformation Center.

Chapitre 2. Installation et configuration de l’adaptateur Active Directory

L’installation etlaconfigurationde l’adaptateurActiveDirectoryimpliquela réalisation deplusieursétapesdansunordreadéquat.Passezunenouvellefoisen revue lesapplicationsprérequisesavantdedémarrerlaprocédured’installation.

Vouspouvezégalement créeruncomptedanslaressourcegéréepourl’adaptateur à utiliser.

Conditions préalables

Le tableau1 identifielematériel,leslogicielsetlesdroitsnécessairesà l’installation de l’adaptateurActiveDirectory.Vérifiezquetouteslesconditions préalablesont été respectéesavantd’installerl’adaptateurActive Directory.

Tableau1.Conditionspréalablesàl’installationdel’adaptateur Système v Unmicroprocesseur32-bitx86.

v Unminimumde256Modemémoire.

v Unespacedisquelibrede300Mominimum.

v SivousplanifiezdegérerlaboîteauxlettresExchange, vousdevezinstallerlesoutilsd’administration

Exchange.

Systèmed’exploitation v Windows2000 v Windows2003 v

WindowsXP

UnserveurWindowsexécutantActiveDirectorydoitêtre opérationneldansledomainedusystèmedanslequel l’adaptateurestinstallé.

Connectivitéréseau v RéseauTCP/IP

v Pourdesraisonsdesécurité,ilestrecommandé d’installerl’adaptateursurunsystèmedefichiers WindowsNT(NTFS).

Droitsd’administrateur système

Lapersonnequieffectuel’installationdel’adaptateur ActiveDirectorydoitdisposerdesdroitsd’administrateur systèmepourexécuterlesopérationsindiquéesdansle présentchapitre.

serveurTivoliIdentityManager Version4.6

Installation de l’adaptateur

Vouspouveztélécharger leprogrammed’installation del’adaptateurActive DirectorydeTivoliIdentityManagerà partirdusiteWebIBM.Pourconnaître l’adressedusiteetlesinstructionsde téléchargement,adressez-vousàvotre partenairecommercialIBM.

Pour installerl’adaptateur,procédezcomme suit :

1. Téléchargezlefichiercompressédel’adaptateurActive Directoryà partirdu siteWebd’IBM.

©CopyrightIBMCorp. 2003,2005 3

2. Extrayezlecontenudufichiercompressédansunrépertoire temporaireet naviguezjusqu’àcerépertoire.

3. Démarrezleprogrammed’installation àl’aidedufichiersetup.exedansle répertoire temporaire.Par exemple,sélectionnezl’optionExécuterdanslemenu DémarreretentrezlecheminC:\TEMP\setup.exedanslechampOuvrir.

4. Danslafenêtredebienvenue,cliquezsur Suivant.

5. Danslafenêtreducontratdelicence,parcourezlecontratdelicenceetdécidez sivouschoisissezd’accepterlestermesdu contrat.Sivouslesacceptez, sélectionnezl’optionAccepteretcliquezsur Suivant.

6. Danslafenêtredesélectiondurépertoirede destination,indiquez

l’emplacementoùvoussouhaitezinstallerl’adaptateurdanslechampNomdu répertoire.Vouspouvezaccepterl’emplacementpardéfautoucliquersur Parcourirpourindiquerunrépertoire différent.CliquezensuitesurSuivant.

7. Danslafenêtrederécapitulatifdel’installation,parcourezlesparamètres d’installation.Cliquez surPrécédentpourmodifier lesparamètres.Autrement, cliquez surSuivantpourdémarrerl’installation.

8. Danslafenêtreindiquantlafindel’installation,cliquez surTerminerpour quitterleprogramme.

Importation du profil de l’adaptateur dans le serveur Tivoli Identity Manager

Avantde pouvoirajouterunadaptateur entantqueservicedansleserveurTivoli IdentityManager,leserveurdoitdisposerduprofildel’adaptateurafinde

reconnaîtrel’adaptateurcommeunservice.Lesfichiers contenusdansl’adaptateur Active DirectoryincluentlefichierJAR,ADProfile.jar.Al’aidedelafonction d’importation duserveurTivoliIdentityManager,vouspouvez importerleprofil de l’adaptateurdansleserveurentantqueprofildel’adaptateur.

Figure1.Fenêtredesélectiondurépertoirededestination

Le fichierADProfile.jarcomprendtouslesfichiersnécessaires pourdéfinirle schémadel’adaptateur,leformulaire decompte,leformulaire deserviceetles propriétésduprofil.Le fichierADProfile.jarseraréférencédanscedocumentafin d’apporterdesmodificationsauschémaouauprofil. Vousdevrezextraire les fichiers dufichierJAR, effectuerlesmodificationsdanslesfichiers requiset replacer lefichierJARaveclesfichiersmisàjour. Pourplusd’informationssurla miseà jourdesfichiers JAR,consultezl’«Etape2 :Copiedu fichierADProfile.jaret extractiondesfichiersinclus»,à lapage46.

Importation du profil de l’adaptateur

Le profilde l’adaptateurdéfinitlestypesderessourcesprisenchargeparle serveurTivoliIdentityManager.Vousdevez importerleprofilde l’adaptateurdans leserveurTivoliIdentityManager avantd’utiliserl’adaptateurActiveDirectory.Le profilsertà créerleservicedel’adaptateurActiveDirectorysurleserveurTivoli IdentityManageretà communiqueravecl’adaptateur.

Avantde démarrerl’importationduprofilde l’adaptateur,vérifiezqueles conditions suivantessontremplies :

v Avantd’importerleprofilde l’adaptateur,leserveurTivoliIdentityManager doitêtreinstalléetencoursd’exécution.

v Pourconfigurerleprofildel’adaptateurActive Directory,vousdevez disposer desdroitsrootouadministrateursurleserveurTivoliIdentityManager.

Pour importerleprofildel’adaptateur,procédezcomme suit :

1. Connectez-vousauserveurTivoliIdentityManageràl’aideducomptequi disposedesdroitsrequispoureffectuerlestâches administratives.

2. Danslabarre denavigationdumenuprincipal,sélectionnezl’onglet Configuration.

3. Danslafenêtredeconfiguration, sélectionnezlesonglets Importation/Exportation→Importation.

4. Danslafenêtred’importation,danslechampFichier àtélécharger,indiquez l’emplacementdufichierADProfile.jaroucliquez surParcourirpourlocaliser lefichier.

5. Cliquezsur lelienImporterlesdonnéesdansIdentityManagerpourimporter leprofildel’adaptateurdansleserveurTivoliIdentityManager.

v Si laprocédured’importationdu profildel’adaptateursedéroule correctement,lemessagesuivants’afficheraàl’écran :

L’installation du profil est terminée.

v Si laprocédured’importationdu profildel’adaptateuréchoue,lemessage suivant s’afficheraàl’écran :

Echec de l’installation du profil.

Si vousrecevezunmessaged’erreurassociéauschémalorsde l’importation duprofildel’adaptateur,lefichiertrace.logcontiendralesinformations relativesà l’erreur.L’emplacementdufichiertrace.logestindiquédansles propriétéshandler.file.fileDirdéfiniesdanslefichier

enRoleLogging.properties deTivoliIdentityManager installédansle répertoire \datadeTivoliIdentityManager.

Chapitre2.Installationetconfigurationdel’adaptateurActiveDirectory 5

Création d’un service Active Directory

Lorsque vousavezimportéleprofildel’adaptateurdansleserveurTivoliIdentity Manager,vousdevez créerunserviced’attributiondesaccèsafind’autoriserTivoli IdentityManagerà communiqueravecl’adaptateur.

Pour créerunserviced’attributiondesaccès,procédezcomme suit :

1. Connectez-vousauserveurTivoliIdentityManageràl’aideducomptequi disposedesdroitsrequispoureffectuerlestâches administratives.

2. Danslabarre denavigationdumenuprincipal,cliquezsurl’ongletAttribution desaccès.

3. Danslafenêtred’attributiondesaccès,cliquezsurl’ongletGérer lesservices.

4. Danslafenêtredegestiondesservices,cliquezsurAjouter.

5. Danslalistedestypesdeservices,sélectionnezl’optionProfilADetcliquez surContinuer.Leformulaire deserviceAdaptateurActiveDirectoryapparaît à l’écran.Leformulairecontientleschampssuivants :

Nomdeservice

SpécifiezunnomquidéfinitleserviceActiveDirectorysurleserveur TivoliIdentityManager.Il s’agitd’unchampobligatoire.

Description

Entrezunedescriptionduservice.Ils’agitd’unchamp facultatif.

AdresseURL

Spécifiezl’emplacementetlenumérodeportde l’adaptateurActive Directory.Lenumérodeportest définidanslaconfigurationdu protocoleà l’aidedu programmeagentCfg.Pourplusd’informations surlesparamètresde configurationdu protocole,consultezlasection

«Modificationdesparamètresdeconfigurationduprotocole»,à lapage 11.LechampAdresseURLest unchampobligatoire.

Sileprotocolehttpsestindiquécomme faisantpartiedel’adresseURL, vousdevezconfigurerl’adaptateurpourl’utilisation avec

l’authentificationSSL.Sil’adaptateurn’estpasconfigurépour

l’utilisationavecl’authentification SSL,spécifiezleprotocolehttp pour l’adresseURL.Pourplusd’informationssurlaconfigurationde l’adaptateurpourl’utilisation avecl’authentification SSL,consultezle Chapitre4,«Configurationdel’authentification SSLpourl’adaptateur ActiveDirectory»,à lapage31.

IDutilisateur

Spécifiezlenomd’utilisateurduprotocoleDAML(DirectoryAccess MarkupLanguage).Le nomd’utilisateurestdéfinidansla

configurationduprotocoleà l’aideduprogrammeagentCfg. Pourplus d’informationssurlesparamètresdeconfigurationdeprotocole, consultezlasection«Modificationdesparamètres deconfigurationdu protocole»,à lapage11.Ils’agitd’un champobligatoire.

Motdepasse

Spécifiezlemotdepassedu nomd’utilisateurduprotocoleDAML.Le motde passeestdéfinidanslaconfigurationduprotocole àl’aidedu programmeagentCfg.Pour plusd’informationssurlesparamètresde configurationdeprotocole,consultezlasection«Modificationdes paramètresde configurationduprotocole», àlapage11.Ils’agitd’un champobligatoire.

Nomdistinctif dupointdebase

Spécifiezunnomdistinctifpour lenomdedomaine,étendupour autoriserlespoints debase,parexemple :

v ou=users,dc=ibm,dc=com

v ADServer/ou=user,dc=ibm,dc=com Ils’agitd’unchampfacultatif.

Comptedel’administrateur

Indiquezl’IDutilisateurutilisé pourseconnecteràActiveDirectory.Il s’agitd’unchampfacultatif.

Motdepassedel’administrateur

Indiquezlemotdepasse utilisépourseconnecteràActiveDirectory.Il s’agitd’unchampfacultatif.

6. Pourvérifier laconnexion,appuyez surTester.

7. Pourcréerleservice,appuyez surSoumettre.

Configuration de l’adaptateur

Lorsque vousavezinstallél’adaptateurActiveDirectorydeTivoliIdentity Manager,vousdevez leconfigurerafindevousassurerdesonbon fonctionnement.

Pour configurerl’adaptateurActiveDirectory,procédezcomme suit :

1. Démarrezleservicede l’adaptateurActiveDirectoryàl’aidedel’outil des services Windows.

2. Configurez leprotocoleDAMLpourgarantirlacommunicationavecleserveur TivoliIdentityManager.Pourplusd’informationssurlaconfigurationdu protocoleDAML, consultezlasection«Modificationdesparamètresde configurationduprotocole»,à lapage11.

3. Configurez l’adaptateurActiveDirectorypourlacommunicationavecle serveurTivoliIdentityManagerenconfigurantl’adaptateurpourlanotification desévénements.Pour plusd’informationssurlanotificationdesévénements, consultezlasection«Configurationdelanotificationdesévénements»,àla page14.

4. Poursécuriserlacommunication,installezuncertificatsur l’ordinateursur lequel l’adaptateurestinstalléainsiquesur leserveurTivoliIdentityManager.

Pourplusd’informationssurl’installationdescertificats,consultezle Chapitre4,«Configurationdel’authentification SSLpourl’adaptateurActive Directory»,àlapage31.

5. Ajoutezdesattributsétendussupplémentairesauschémadel’adaptateur.Pour plusd’informationssur l’extensiondesattributs,consultezleChapitre5,

«Personnalisationdel’adaptateurActiveDirectory»,àlapage45.

6. Installezleprofildel’adaptateursurleserveurTivoliIdentityManager.Pour plusd’informationssur l’installationduprofildel’adaptateur,consultezla section«Importation duprofilde l’adaptateurdansleserveurTivoliIdentity Manager», àlapage4.

7. Configurez leformulairede servicedel’adaptateur.Pourplusd’informations surlaconfigurationduformulairede service,consultezlasection«Création d’unserviceActiveDirectory»,àlapage6.

Chapitre2.Installationetconfigurationdel’adaptateurActiveDirectory 7

8. Utilisezl’utilitaireagentCfgpourmodifier lesparamètres del’adaptateur.Pour plusd’informationssur laconfigurationdesparamètres,consultezle

Chapitre3,«Configurationdel’adaptateurActiveDirectorypourIBMTivoli IdentityManager»,à lapage9.

9. Configurez leformulairede comptedel’adaptateur.Pourplusd’informations surlaconfigurationduformulairede compte,consultezlasection

«Configurationdupoint debasepourl’adaptateur»,à lapage50.

Chapitre 3. Configuration de l’adaptateur Active Directory pour IBM Tivoli Identity Manager

Utilisezleprogrammedeconfigurationdel’adaptateur,agentCfg,pourvisualiser ou modifierlesparamètresdel’adaptateurActiveDirectory.Toutemodification apportéeauxparamètres àl’aidedecetoutilprendraeffetimmédiatement.

Démarrage de l’outil de configuration de l’adaptateur

Pour lancerl’outildeconfigurationdel’adaptateur,agentCfg,pourlesparamètres de l’adaptateurActiveDirectory,procédezcomme suit :

1. DanslemenuDémarrer,sélectionnezProgrammes→ Accessoires→Invitede commandes.

2. Al’invitede commande,allezaurépertoire \binpourl’adaptateur.Par exemple,entrezlacommandesuivante sil’adaptateurActiveDirectoryse trouvedansl’emplacementpardéfaut :

cd \Tivoli\Agents\ADAgent\bin 3. Saisissezlacommandesuivante :

agentCfg -agent ADAgent

Vouspouvezégalement utiliseragentCfgpourafficherou modifierles paramètresde configurationà partird’unordinateur distant.Pour plus d’informationssurl’utilisationd’argumentssupplémentaires,reportez-vousau tableaudelasection«Accèsà l’aideetauxoptionssupplémentaires»,à lapage 28.

4. Al’inviteEntrezla clédeconfigurationdel’adaptateur ’ADAgent’,entrezla cléde configurationde l’adaptateurActiveDirectory.

Laclédeconfigurationpardéfautestagent.Vousdevez modifierlacléde configurationunefoisl’installationterminéepourempêchertoutaccèsnon autoriséaumenudeconfigurationdel’adaptateur.Pourmodifierlacléde configuration, consultezlasection«Modificationdesparamètresde configurationduprotocole»,à lapage11.

Lemenu deconfigurationprincipalapparaîtàl’écran.

ADAgent 4.6 Agent Main Configuration Menu --- A. Configuration Settings.

B. Protocol Configuration.

C. Event Notification.

D. Change Configuration Key.

E. Activity Logging.

F. Registry Settings.

G. Advanced Settings.

H. Statistics.

I. Codepage Support.

X. Done.

Select menu option:

Dans lemenuprincipal,vouspouvezconfigurerleprotocole,afficherles

statistiques etmodifierlesparamètres,notammentlaconfiguration, leregistreet lesparamètres avancés.

©CopyrightIBMCorp. 2003,2005 9

Tableau2.Optionsdumenudeconfigurationprincipal

Option Tâchedeconfiguration Informationssupplémentaires A Affichagedesparamètresde

configuration

Voirpage10.

B Modificationdesparamètresde configurationduprotocole

Voirpage11.

C Configurationdelanotification desévénements

Voirpage14.

D Modificationdelacléde configuration

Voirpage20.

E Modificationdesparamètresdu journald’activité

Voirpage20.

F Modificationdesparamètresde registre

Voirpage22.

G Modificationdesparamètres avancés

Voirpage26.

H Affichagedesstatistiques Voirpage27.

I Modificationdesparamètresde pagedecodes

Voirpage27.

Affichage des paramètres de configuration

Laprocédureci-aprèsexpliquecommentafficherlesparamètresdeconfiguration de l’adaptateurActiveDirectory.

1. Quandl’écranAgentMainConfigurationMenus’affiche, entrezlalettre A.Les paramètresde configurationde l’adaptateurActiveDirectoryapparaissentà l’écran.Voiciunexemplede paramètresdeconfigurationdel’adaptateurActive Directory.

Configuration Settings

---

Name : ADAgent

Version : 4.6 ADK Version : 4.65 ERM Version : 4.65 License : NONE

Asynchronous ADD Requests : TRUE (Max.Threads:3) Asynchronous MOD Requests : TRUE (Max.Threads:3) Asynchronous DEL Requests : TRUE (Max.Threads:3) Asynchronous SEA Requests : TRUE (Max.Threads:3) Available Protocols : DAML

Configured Protocols : DAML Logging Enabled : TRUE

Logging Directory : C:\Tivoli\Agents\ADAgent\Log

Log File Name : ADAgent.log

Max. log files : 3 Max.log file size (Mbytes) : 1 Debug Logging Enabled : TRUE Detail Logging Enabled : FALSE

Press any key to continue

2. Appuyezsurn’importequelletouchepourreveniraumenuprincipal.

Modification des paramètres de configuration du protocole

L’adaptateurActiveDirectoryutilise leprotocole DAMLpourcommuniqueravec leserveurTivoliIdentityManager.Par défaut,lorsquel’adaptateurest installé,le protocole DAMLestconfigurépouruneutilisationenmodenonsécurisé.Pour configurerunenvironnementsécurisé,vousdevezconfigurerleprotocoleDAML pour l’utilisationdelafonctionSSLetinstalleruncertificat.Pourplus

d’informationssurl’installationdescertificats,consultezlasection «Installationdu certificat»,àlapage41.

Dans lesversions précédentesdel’adaptateur,vouspouviezajouteretsupprimer desprotocoles.Cependant,danslatoute dernièreversiondecetadaptateur,le protocole DAMLestleseulprotocole prisenchargeutilisable.Par conséquent, vousn’avez pasbesoind’ajouteroude supprimerunprotocole.

Pour configurerleprotocoleDAMLpourl’adaptateurActiveDirectory,procédez comme suit :

1. Quandl’écranAgentMainConfigurationMenus’affiche, entrezlalettreB.Le protocoleDAMLest configuréetdisponiblepardéfautpourl’adaptateur ActiveDirectory.

Agent Protocol Configuration Menu --- Available Protocols: DAML

Configured Protocols: DAML A. Add Protocol.

B. Remove Protocol.

C. Configure Protocol.

X. Done

Select menu option

2. Quandl’écranAgentProtocolConfigurationMenus’affiche,entrezlalettreC.

L’écranDAMLProtocolPropertiesMenus’affiche.

3. Quandl’écran DAMLProtocolPropertiesMenus’affiche, entrezlalettreC.Les propriétésduprotocoleconfiguréapparaissent àl’écran.Lespropriétés

affichéesdansvotre menupeuventêtredifférentesde cellesindiquéesdansnos exemples.

L’écransuivant estunexemplede propriétésdu protocoleDAML :

DAML Protocol Properties

--- A. USERNAME ****** ;Authorized username.

B. PASSWORD ****** ;Authorized userpassword.

C. MAX_CONNECTIONS 100 ;Max Connections.

D. PORTNUMBER 45580 ;Protocol Serverport number.

E. USE_SSL FALSE ;Use SSL secureconnection.

F. SRV_NODENAME 9.38.215.20 ;Event Notif.Server name.

G. SRV_PORTNUMBER 9443 ;Event Notif. Serverport number.

H. VALIDATE_CLIENT_CE FALSE ;Require client certificate.

I. REQUIRE_CERT_REG FALSE ;Require registeredcertificate.

X. Done

Select menu option:

Chapitre3.Configurationdel’adaptateurActiveDirectorypourIBMTivoliIdentityManager 11

4. Entrezlalettredel’optiondemenu quevoussouhaitezconfigurer.

Reportez-vousautableau3ci-aprèspourobtenir desinformations supplémentairessurlaconfigurationduprotocoleDAML.

Tableau3.OptionsdumenuduprotocoleDAML Option Tâchedeconfiguration

A L’invitesuivanteapparaîtàl’écran : Modify Property ’USERNAME’:

EntrezunIDutilisateur.

Cettevaleurestl’IDutilisateurqueleserveurTivoliIdentityManager utilisepourseconnecteràl’adaptateur.

L’IDutilisateurpardéfautestagent.

B L’invitesuivanteapparaîtàl’écran : Modify Property ’PASSWORD’:

Entrezunmotdepasse.

Cettevaleurestlemotdepassedel’IDutilisateurutiliséparleserveur TivoliIdentityManagerpourseconnecteràl’adaptateur.

Lemotdepassepardéfautestagent.

C L’invitesuivanteapparaîtàl’écran : Modify Property ’MAX_CONNECTIONS’:

Entrezunnombremaximaldeconnexionsouvertesconcurrentesprises enchargeparl’adaptateur.

Lenombrepardéfautest100.

D L’invitesuivanteapparaîtàl’écran : Modify Property ’PORTNUMBER’:

Entrezunnumérodeportdifférent.

CettevaleurestlenumérodeportutiliséparleserveurTivoliIdentity Managerpourseconnecteràl’adaptateur.Lenumérodeportpardéfaut est45580.

E L’invitesuivanteapparaîtàl’écran : Modify Property ’USE_SSL’:

EntrezTRUEouFALSEpourindiquersiuneconnexionSSLsécurisée serautiliséepourseconnecteràl’adaptateurouàpartirdecelui-ci.

LavaleurdéfiniepardéfautestFALSE.

VousdevezinstalleruncertificatlorsqueUSE_SSLestdéfinisurTRUE.

Pourobtenirdesinformationssupplémentairessurl’installationdes certificats,consultezlasection«Installationducertificat»,àlapage41.

Tableau3.OptionsdumenuduprotocoleDAML (suite) Option Tâchedeconfiguration

F L’invitesuivanteapparaîtàl’écran : Modify Property ’SRV_NODENAME’:

EntrezlenomduserveurouuneadresseIP,parexemple,9.38.215.20.

Cettevaleurestlenomdusystèmedenomdedomaineduserveur TivoliIdentityManagerutilisépourlanotificationd’événementsetle traitementdesrequêtesasynchrones.

Remarque: Sivotreplateformeprendenchargelesconnexionsdu protocoleIPversion6(IPv6),vouspouvezspécifierleserveurIPv6.

G L’invitesuivanteapparaîtàl’écran : Modify Property ’SRV_PORTNUMBER’:

EntrezunnumérodeportdifférentpouraccéderauserveurTivoli IdentityManager.

Cettevaleurestlenumérodeportutiliséparl’adaptateurpourse connecterauserveurTivoliIdentityManager.Lenumérodeportpar défautest9443.

H L’invitesuivanteapparaîtàl’écran : Modify Property ’VALIDATE_CLIENT_CE’:

EntrezlavaleurTRUEpourdemanderauserveurTivoliIdentity

Managerd’envoyeruncertificatlorsqu’ilcommuniqueavecl’adaptateur.

EntrezlavaleurFALSEpourpermettreauserveurTivoliIdentity Managerdecommuniqueravecl’adaptateursanscertificat.Lavaleur définiepardéfautestFALSE.

Remarques:

1. SivousdéfinissezcetteoptionsurTRUE,vousdevezconfigurerles optionsDàH.

2. LenomdepropriétéestVALIDATE_CLIENT_CERT.Ilesttronqué paragentCfgdemanièreàcequ’ils’adapteàlatailledel’écran.

3. VousdevezutiliserCertToolpourinstallerlescertificatsdeCA appropriésetéventuellementenregistrerlecertificatduserveur TivoliIdentityManager.Pourplusd’informationssurl’utilisationde CertTool,consultezlasection«GestiondescertificatsSSLàl’aidede l’outilCertTool»,àlapage37.

I L’invitesuivanteapparaîtàl’écran : Modify Property ’REQUIRE_CERT_REG’:

Cettevaleurn’estnécessairequelorsquel’optionHestdéfiniesur TRUE.

EntrezlavaleurTRUEpourdemanderl’enregistrementducertificat clientduserveurTivoliIdentityManageravecl’adaptateuravantqu’il n’accepteuneconnexionSSL.

EntrezlavaleurFALSEpourdemanderlavérificationducertificatclient parrapportàlalistedescertificatsCA.Lavaleurdéfiniepardéfautest FALSE.

Pourplusd’informationssurlescertificats,consultezleChapitre4,

«Configurationdel’authentificationSSLpourl’adaptateurActive Directory»,àlapage31.

Chapitre3.Configurationdel’adaptateurActiveDirectorypourIBMTivoliIdentityManager 13

5. Al’invite,modifiezlavaleuretappuyez surEntrée.

L’écranProtocolPropertiesMenus’afficheaveclesnouveauxparamètres.

Sivousnesouhaitezpasmodifierlavaleur,appuyezsimplement surEntrée pourretourneràl’écran ProtocolPropertiesMenu.

6. Répétezlesétapes4et5 pourconfigurerautantde propriétésde protocoleque nécessaire.

7. Dansl’écran ProtocolPropertiesMenu,entrezlalettreX pourquitterlemenu.

Configuration de la notification des événements

Lanotificationestunefonctiondel’adaptateurActiveDirectoryquimetà jourle serveurTivoliIdentityManagerà intervallesréguliers.Elledétecteles

modificationsapportéesà laressourcegéréeetmetàjourleserveurTivoliIdentity Manager enconséquence.Vouspouvezactiverlanotificationdesévénementssi vousvoulezquelesinformationsmisesà jourissuesdelaressourcegéréesoient renvoyées auserveurTivoliIdentityManagerentrelesrapprochements.La notificationdesévénementsn’entendpasremplacerlerapprochementsurle serveurTivoliIdentityManager.

Lorsque lanotificationdesévénementsestactivée,unebasededonnées contenant lesdonnées derapprochementestconservéesurl’ordinateursurlequel

l’adaptateurest installé.Labasededonnées estmiseà jouraveclesmodifications requises parleserveurTivoliIdentityManagertoutenrestantsynchronisée avecle serveur.Vouspouvezspécifierunintervallepourqueleprocessusde notification desévénementscomparelabasede donnéesaveclesdonnéesdelaressource gérée. Lorsquel’intervallearrive àexpiration, toutedifférenceentrelaressource géréeetlabasede donnéesesttransféréeauserveurTivoliIdentityManageret mise àjourdanslabasede donnéeslocaled’analysesélective.

L’activationdelanotificationd’événementscomprendplusieursétapes.Cesétapes supposentquel’adaptateurcommuniquecorrectementaveclaressourcegéréeetle serveurTivoliIdentityManager.

Vousdevez toutd’abordconfigurerlenomd’hôte,lenumérode portetles

informations relativesàlaconnexionpourleserveurTivoliIdentityManager.Pour identifierleserveurquiserautiliséparleprotocoleDAML,procédez commesuit : 1. Dansl’écranAgentProtocolConfigurationMenu,sélectionnez l’option

ConfigureProtocol.Pourobtenir desinformationssupplémentairessurla configurationd’unprotocole,consultezlasection «Modificationdesparamètres deconfigurationduprotocole», àlapage11.

2. Entrezlalettredel’optiondemenu pourlapropriété SRV_NODENAME.

3. Indiquezl’adresseIPoulenomduserveurquiidentifieleserveurTivoli IdentityManageretappuyezsur Entrée.

L’écranProtocolPropertiesMenus’afficheaveclesnouveauxparamètres.

4. Entrezlalettredel’optiondemenu pourlapropriété SRV_PORTNUMBER.

5. Indiquezlenumérodeportquel’adaptateurutilisepourseconnecterau serveurTivoliIdentityManagerpourlanotificationdesévénementsetappuyez surEntrée.

L’écranProtocolPropertiesMenus’afficheaveclesnouveauxparamètres.

Dans cetexemple,lemenuaffichetoutes lesoptionsdisponibles lorsquela fonctiondenotificationdesévénementsestactivée.Silafonctiondenotification