利用 IBM Tivoli Directory Server V5.2 实现 WebSphere Application Server V6.0.x

magiclock

h) 以"admin2"用户为例，在"必需属性"页面上，输入如下信息。

magiclock

i) 选中"其它属性"页面，在"uid"和"userPassword"两栏输入如下信息。注意，对于"admin2"用户来说，uid这一属性很关键。

magiclock

) 按照上述方法，在LDAP服务器中可以加入多个类似用户。

4.4 Tivoli Directory Server中的数据备份和恢复

存放于Tivoli Directory Server中的用户信息设置完毕之后，强烈建议立即进行数据备份。备份和恢复的方法都很简单：

4.4.1 数据备份：

数据备份有两种方式：图形界面方式和命令行方式。

图形界面方式如图：

magiclock

命令行方式：


db2ldif -o <outputfile> [-f <configfile>]
[[-s <subtree DN>[-x]] | [-p on|off] [-l]] [-j] | [-?]



注意：可在任何时候运行此实用程序而无需停止服务器。所有选项都区分大小写。

示例，要导出本例中的数据，可以用以下命令即可：


db2ldif -o /temp/ldapbackup.ldif -s o=test -j



4.4.2 数据恢复：

数据恢复也有两种方式：图形界面方式和命令行方式。

图形界面方式如图：

magiclock

命令行方式：


ldif2db -i <inputfile> [-f <configurationfile>] [-r yes|no] | -?



注意：在使用服务器导入实用程序之前，必须停止服务器。 确保应用程序未连接到目录数据库。如果有应用程序连接到目录数据库，则服务器实用程序将不运行

示例，要导出本例中的数据，可以用以下命令即可：


ldif2db -i /temp/ldapbackup.ldif



4.4.3 Tivoli Directory Server的重新安装

当发生最极端的情况（或者因为特殊的原因）需要重新安装Tivoli Directory Server时，WebSphere Application Server的运行、配置以及其中的应用都不会受影响。在Tivoli Directory Server重新安装后，请按照第2章中的2.3.2节步骤，重新配置LDAP，然后按照上一节的方法，将以前备份好的LDAP数据恢复到Tivoli Directory Server中即可。在下一节中提到的双机冷备方案中，备份服务器的安装也可以采用这种方式，即把主服务器的数据备份出来，再恢复到备份服务器中就可以很好的保持数据一致了。

4.5 Tivoli Directory Server的高可用实施方案

在本文讨论的安全策略中，IBM Tivoli Directory Server中存放的信息只用于管理控制台的安全性，应用并未使用，因此，Tivoli Directory Server只存放了少量的用于管理控制台的用户信息。另外，IBM Tivoli Directory Server启动与否只影响WebSphere Application Server进程的启动、停止和管理控制台的登录，并不影响应用的运行。

也就是说，Tivoli Directory Server失效或者宕机，WebSphere Application Server的进程和应用的运行完全不受其影响，可以照常运行。但是WebSphere Application Server就无法正常启动和停止（WebSphere Application Server的停止可以通过杀掉Java进程的方法实现），并无法登录管理控制台。

基于上述考虑，应该为Tivoli Directory Server实施高可用方案。 Tivoli Directory Server的高可用实施方案和数据库类似，最常用的方式为双机热备，即利用IT环境中现有的数据库双机热备来实现。但以客户常见的实际情况来讲，目前有两种方案建议。

方案一：利用现有设备进行双机热备

目前大多数应用的两台数据库服务器已经实现了双机热备。因此可以利用这两台服务器和已有的设备，将Tivoli Directory Server安装于这两台服务器上。Tivoli Directory Server的实际数据存放于其自带的DB2数据库中，或者利用客户已有的DB2数据库，因此实现双机热备的方法和应用数据库几乎完全一样。

但是这种方案的缺点在于，两台数据库服务器上都是非常重要的业务数据，从经验上来看，不应该在这两台服务器上安装别的软件，以免受到不必要的影响。

如果能够有另外两台服务器和存储专门用来做Tivoli Directory Server的双机热备固然很理想，但是出于成本和必要性的考虑，实际上Tivoli Directory Server完全不用双机热备。因此可以考虑方案二。

方案二：双机冷备

鉴于方案一中数据库服务器的重要性，再结合前面提到的因素：Tivoli Directory Server失效或者宕机并不影响生产系统正常运行，因此双机冷备也是可以考虑的一种比较经济实用的方式。

考虑到Tivoli Directory Server中存放的数据非常少，因此对选用的服务器性能要求不高，可以是非常小型的服务器，或者PC服务器（1G内存的服务器即可）均可。

在该方案中，做备份的服务器和主服务器配置成一样的IP地址和主机名，存放完全一样的数据（实现方式为：在主服务器中录入用户数据后，从主服务器中导出数据，再在备份服务器中导入数据。方法详见上一节）。平时不启用，当主服务器发生问题时，停止主服务器，人工启用备份服务器即可。

magiclock

5 WAS全局安全性

注意：启用安全性后，WebSphere Application Server中和WAS安全框架相关的应用性能会降低 10-20%。不过本文讨论的情况不涉及客户应用的安全性，故应用性能不受此影响。

5.1 配置全局安全性

1. 在启动 WebSphere Application Server 后，单击 http://yourhost:9060/ibm/console 启动 WebSphere Application Server 管理控制台。如果当前并为启用安全性，则可使用任何用户标识登录。如果当前已经启用安全性，则使用预定义的管理标识和密码（这通常是您在配置用户注册表时指定的服务器用户标识）登录。

2. 点击"安全性 > 全局安全性"，请在右边出现的页面上选择："用户注册表' LDAP"

3. 配置用户注册表。

请以下图为例输入信息（注意：cn=wasadmin这一用户已经在LDAP里配好了。配置方法请见前面的章节，和配置admin2用户的方法完全一样）：

magiclock

4. 单击安全性 > 全局安全性以配置安全设置的剩余部分，并启用安全性。

注意：启用全局安全性时，会自动启用"强制Java2安全性"，请手动关闭这一功能。即，只是选择"启用全局安全性"，不选择"强制Java2安全性"。这和下图不太一样，请多加注意！！！（由于本文只是简单讨论全局安全性的启用和WAS管理控制台的保护，故不需要"强制Java2安全性"）

此外和下图不太一样的是，当您在ND的环境中，通过DM（Deployment Manager）的管理控制台启用安全性，您在"活动认证机制"一栏是看不到"简单WebSphere认证机制（SWAM）"选项的。请在这里确认选中的是"轻量级第三方认证（LTPA）"。

magiclock

5. 添加控制台用户：

magiclock

注意：在"用户"一栏，可以像本例一样写全该用户的DN，也可以用短名，例如只填写"admin1"。

magiclock

管理控制台定义了四个管理角色，来提供从管理控制台或从命令行执行某些 WebSphere Application Server 管理功能所需的权限级别。仅当启用全局安全性时才执行授权策略。四个管理安全角色在下列表中定义：

管理角色
角色 描述
监控员 用户可以查看 WebSphere Application Server 配置和当前状态，是权限最小的用户角色。
配置程序 监控员权限 + 更改 WebSphere Application Server 配置的能力。
操作员 监控员权限 + 更改运行时状态的能力，例如启动或停止服务
管理员 操作员 + 配置特权和访问敏感数据（包括服务器密码、LTPA 密码、LTPA 和密钥等）必需的权限。

当启用全局安全性时，如果您没有添加控制台用户并指定角色，则可以利用上述第三步中配置用户注册表的用户（本例中是wasadmin）登陆WAS的管理控制台。该用户缺省就具有管理员权限。

添加控制台用户并指定角色时，要注意这些用户必须提前在LDAP服务器中配置好。这些用户和组的验证取决于LDAP用户注册表。

6. 在"安全性 > 全局安全性"面板上单击确定或应用，并且没有验证问题，则此操作完成。保存配置并重新启动服务器（DM）。

7. 在 WebSphere Application Server Deployment Manager 启动后，通过输入 http://yourhost:9060/ibm/console 启动 WebSphere Application Server 管理控制台。使用预定义的管理标识和密码（这通常是您在配置用户注册表时指定的服务器用户标识）登录。 例如本例中，即可用admin1登录。