View
23
Download
1
Category
Preview:
Citation preview
Tivoli SecureWayPolicy Director Base�� ���
�� 3.8
Tivoli SecureWayPolicy Director Base�� ���
�� 3.8
Tivoli SecureWay Policy Director Base �� ���
��� ��
© Copyright IBM Corporation 2001. All rights reserved. Tivoli Systems ����� ��� ��, IBM����� ��� �� �� IBM �� ���� IBM ��� ��� �� Tivoli ��� ��� ���� ���� ��� � ����. IBM Corporation� �� �� �� �� � ���� �� ��� ��,��, ��, ��, ��, ��� � � �� �� ���� ���� ��, ��, ����� �� ������ � ��� ��� ��� �� � ����. IBM Corporation IBM Corporation ��� ����� ��� �� ����� �� �� ���� ����� �����, ��� � � �� ����� ��� ��� � �� ��� �����. IBM Corporation� �� �� � ��� ���� �� ��� ��� ���� ����. � ��� ��� ���� �� ���� ��� �� �� “�����” �����. �� �� �� ��� �� ��� � ���� ���� ��� � �� �� ������ ���� ����.
��
IBM, IBM ��, Tivoli, Tivoli ��, AIX, Policy Director � SecureWay� ���� �� ���� ���� International Business Machines Corporation �� Tivoli Systems Inc.� � �� ������.
Microsoft, Windows, Windows NT � Windows ��� �� �� �� ���� ���� MicrosoftCorporation� ����.
UNIX� �� �� �� ���� ���� Open Groupd� ������.
Java � �� Java � �� �� �� �� ���� ���� Sun Microsystems, Inc.
� ����.
�� ��, �� � ��� � � ��� � �� ������.
����
� ����� Tivoli Systems �� IBM� ��, ���� �� ���� ����� � Tivoli Systems�� IBM� ���� �� �� ���� �� ��� � ��� � ����� ����. ��� ��,���� �� ���� ����� � Tivoli Systems �� IBM� ��, ���� �� ����� ��� � ��� ��� ����. Tivoli Systems �� IBM� ��� �� ��� �� �� ���� ��� � �� ��� ����, ��� ��� ��, ���� �� ���� �� ��� � ����.Tivoli Systems �� IBM� ���� ��� ��� ���� �� �� ��� �� �� ������ �����. Tivoli Systems �� IBM � ��� �� �� ��� ������� � � � ���� ��� �� �� � ����. � �� ����� � � � �� ���� ���� ����. ���� �� ���� 135-270 � ��� ��� � � 467-12, ������, �� ��.�.� ���� ������, ����: 080-023-8080�� ������.
��
�� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii� �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii
� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii
� �� �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
Policy Director �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi
�� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
��� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
�� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
�1� Policy Director �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1������ ���� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
���� � � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
���� � -- � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Policy Director �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Policy Director = �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
�� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
�� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
(���) �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
�� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Policy Director ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
pdadmin �� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Management Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
iiiTivoli SecureWay Policy Director Base �� ���
WebSEAL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Authorization API. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
�� API. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Policy Director Authorization Server . . . . . . . . . . . . . . . . . . . . . . . . . 13
IBM Global Security Kit(GSKit) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
��� �: ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
�� ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Policy Director �� ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Policy Director �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
�� ��� �����. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
�� � ��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
���� � Policy� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
���� � Policy� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
�� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
ACL � POP policy� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Policy ��: Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
�� ����: �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Policy Director Authorization API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Authorization API ��: 2�� �� . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Authorization API: �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Authorization API: �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
�� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
�� ��� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
�� ��� �� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
�� �� ����. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
�� �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
�� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
�2� �� ���� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
iv �� 3.8
�� ��� ��(Protected Object Space) � . . . . . . . . . . . . . . . . . . . . 43
�� ��� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
�� ��� �� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
�� ������� �� ��� �� ��� �� . . . . . . . . . . . . . . 47
����� ��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
�� ��� �� ���� ���� �� . . . . . . . . . . . . . . . . . . . . 48
���� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
�3� ��� �� policy �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53ACL policy �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
ACL policy �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
ACL policy �� � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
ACL �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
�� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
ID � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
��( �) � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
�� Policy Director ��( �) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
�� ���� ACL policy� ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . 60
���� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
��� �� ��� �� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
��� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
ACL �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
�� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
���� � ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
ACL ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Sparse ACL ��: ACL �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Sparse ACL �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
�� �� ACL policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Traverse �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
vTivoli SecureWay Policy Director Base �� ���
�� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
�� ��� ��� ACL policy �� . . . . . . . . . . . . . . . . . . . . . . . . 69
ACL policy �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
� ��� ��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
� ACL � � � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
� � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
� ��� � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
��� �� �� ACL ��� � . . . . . . . . . . . . . . . . . . . . . . . . . 74
ACL policy � �� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
��(/) ���� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Traverse �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
WebSEAL ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
/WebSEAL/<host> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
/WebSEAL/<host>/<file> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
WebSEAL ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
�� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
/Management/ACL �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
/Management/Action �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
/Management/POP �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
/Management/Server �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
/Management/Config �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
/Management/Policy �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
/Management/Replica �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
/Management/Users �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
/Management/Groups �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
/Management/GSO �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
��� � ��� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
�� �� ACL policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
�� �� ACL policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
vi �� 3.8
�� /WebSEAL ACL policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
�� /Management ACL policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
�� /Replica ACL policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
�� /Config ACL Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
�� /GSO ACL Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
�� /Policy ACL Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
�4� POP ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91POP(Protected Object Policy) �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
POP policy ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
POP(Protected Object Policy)� �� � �� . . . . . . . . . . . . . . . . . . . 93
POP �� �� ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
POP � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
�� �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
�� �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
���� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
�� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
IP ����� �� ��� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
�5� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99��� �� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
�� ��� �� ��� �� � � �� . . . . . . . . . . . . . . . . . . . 100
�� �� ��� � � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
�� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
�� �� ACL ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
��: �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
� ���� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
� ��� ��� ��� ACL policy . . . . . . . . . . . . . . . . . . . . . . . 110
viiTivoli SecureWay Policy Director Base �� ���
��� ��� ��� ��� ACL policy . . . . . . . . . . . . . . . . . . . . . 112
�� �� Policy �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
�6� Policy Director �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Policy Director � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
UNIX: Policy Director � ��/�� . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
pd_start ����� ���� Policy Director � ��. . . . . . . . . . . 125
pd_start ����� ���� Policy Director � ��. . . . . . . . . . . 125
pd_start ����� ���� Policy Director � �� �� . . . . . . 125
�� � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
pd_start ����� ���� � �� � . . . . . . . . . . . . . . . . . . . 126
Windows: Policy Director � �� � �� . . . . . . . . . . . . . . . . . . . . . . 126
��� ���� ���� � ��/�� . . . . . . . . . . . . . . . . . . . . . . 126
��� � �� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Management Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Authorization Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Management Server(pdmgrd) ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
�� ����� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
�� ��� ��� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
�� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
�7� LDAP ����� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133LDAP� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
LDAP: ��� ���� �� ��� . . . . . . . . . . . . . . . . . . . . . . 134
LDAP ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
LDAP �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
LDAP �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
viii �� 3.8
LDAP � �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Master-Slave �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
LDAP � � �� Policy Director � �� �� . . . . . . . . . . . . . . 139
�� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
��� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
��� LDAP � � �� �� �� � �� . . . . . . . . . . . . . . . . . . . 142
� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
� LDAP ���� Policy Director ACL �� . . . . . . . . . . . . . . . . . . . . . 143
IBM SecureWay Directory Server �� . . . . . . . . . . . . . . . . . . . . . . 145
iPlanet Directory Server �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
�8� �� ��� �� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . 155�� �� � ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
�� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
�� �� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
�� �: <install-path> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Policy Director � �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Policy Director � �� �� �� �� � �� ��� . . . . . . . 157
��: ivmgrd.log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
��� ��� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
��� ��� ���. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Policy Director �� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
�� �� �� � �� ��� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
�� � ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
�� � �� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
�� � � ��� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . 162
�� ��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
�� �� � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
� ��� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
ixTivoli SecureWay Policy Director Base �� ���
�� ��� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
�� �� � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
WebSEAL �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
�� �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
��A. pdadmin �� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175pdadmin ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
pdadmin ����(login �) �� . . . . . . . . . . . . . . . . . . . . . . . . . . 176
��� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
pdadmin ���� �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
GSO �� ��� �� �� �� . . . . . . . . . . . . . . . . . . . . . . . . 178
GSO �� � ��� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
ACL � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
ACL policy ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
ACL� �� � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
��� �� ACL � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
� ACL � � � � �� . . . . . . . . . . . . . . . . . . . . . . . . . 183
��� �. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
��� �� Objectspace �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
�� ��� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
�� ���� �� � � �� . . . . . . . . . . . . . . . . . . . . . . . 186
POP(Protected Object Policy) � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
POP �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
POP� �� � � �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
��� ���� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
x �� 3.8
�� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
��� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
�� �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
�� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
�� � ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
�� �� ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Policy �� � . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
��� Policy ��. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
�� Policy �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
��B. ivmgrd.conf �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
��C. ivacld.conf �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
��D. ldap.conf �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
��E. pd.conf �� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
�. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
xiTivoli SecureWay Policy Director Base �� ���
xii �� 3.8
��
Tivoli SecureWay Policy Director Base �� ��� �� � �
����.
Policy Director� �� �, ����/� , MQ � �� ��� �
������ �� ��� �� ������. Policy Director ��
�� �� ��� �� ��� ��� ��� ��� � �� �
��. ��� � ��� ���� ����� ���� � �
��� ������� Policy Director �� �����.
� �� ��� Policy Director � ��� ���� �� ��
�� � ��� �����. ��, � ��� � ��� PolicyDirector ���� ��� ��� �� �� �� ��� �����.
� �� ���� �� ��� ���� �� ����.
¶ � ���
¶ ��� �� � �� ���
¶ ���� ��� ���
¶ IT ���
¶ ������ ���
� �� ��
¶ �1�: Policy Director ��
� ��� ��� Policy Director ��, Policy Director �� �
� ����, �� ��� ��, � policy �� ���� ��
���.
¶ �2�: �� ���� �� ��
xiiiTivoli SecureWay Policy Director Base �� ���
� ��� Policy Director� ��� �� ��� ���� �
�� � ��� � ��� ����� ���� ����.� �� ��(�� � � �����)� ��� ��� ���
��.
¶ �3�: ��� �� Policy ��
� ��� ACL(Access Control List) Policy� �� ��� �
� �����.
¶ �4�: �� ���� Policy ��
� ��� �� ��� policy(POP: Protected Object Policy)� �� ��� � � �����.
¶ �5�: �� � ���
� ��� Policy Director� ��� �� � ��� ��
��� ���� ��� ����.
¶ �6�: Policy Director �� ��
� ��� Policy Director � � �� ��� ���� ��
�� �� � � �����.
¶ �7�: LDAP ����� ��
� ��� LDAP ���/ ���� ���� LDAP � �
� ��� �� ���� ��� �����.
¶ �8�: �� ��� �� �� � ��
� ��� Policy Director �� �� �� ��� �� ���
� � �����.
¶ �� A: pdadmin �� ��
¶ �� B: ivmgrd.conf ��
¶ �� C: ivacld.conf ��
¶ �� D: ldap.conf ��
¶ �� E: pd.conf ��
xiv �� 3.8
� �� ��� ��� ���� �� �� �� �� �� ��� �� �����.� �� ����.
�� �, ��, �� � �� ��� �� ����.� �� ���� �� �� ��, � �� � � � ���
����. � �� �� ��, ��� � � �� ���
�� ����.������ � ��, ��, � � ��� ���� ������ �
�� ����.
Policy Director �� ���� Tivoli SecureWay Policy Director �� ���� �� �� �
�� �� Policy Director �����.
Tivoli SecureWay Policy Director �� ��
�� ���
Tivoli SecureWay Policy Director Base �� ��
Tivoli SecureWay Policy Director WebSEAL �� ��
�� ���
Tivoli SecureWay Policy Director Base �� ��(� ��)
Tivoli SecureWay Policy Director WebSEAL �� ��
Tivoli SecureWay Policy Director Plug-in for Edge Server �� ��
Tivoli SecureWay Policy Director Web Portal Manager �� ��
��� ���
Tivoli SecureWay Policy Director Authorization ADK Developer Reference
Tivoli SecureWay Policy Director Authorization API Java Wrappers
Developer Reference
Tivoli SecureWay Policy Director Administration API Developer Reference
Tivoli SecureWay Policy Director WebSEAL Developer Reference
Supplemental Documentation
Tivoli SecureWay Policy Director ���� ��
xvTivoli SecureWay Policy Director Base �� ���
Tivoli SecureWay Policy Director �� ��
Tivoli SecureWay Policy Director Performance Tuning Guide
Tivoli SecureWay Policy Director Capacity Planning Guide
��� �� ���Tivoli �� �� � ���(http://www.tivoli.com/support/)� �� �
� ��� ��� �����.
¶ ���� ��, �� � �� ��, �� �� � ��� � �
� ��� ��� ��
¶ �� ���� ��(FAQ)
¶ ����� ��� ��
http://www.tivoli.com/support/getting/�� Customer SupportHandbook� ����.
http://www.tivoli.com/support/documents/�� ��� Tivoli �� �
�� ��� � ����. Master Index� �� �� ��� ��
���� �� � ����.
https://www.tivoli.com/secure/support/Prodman/html/AB.html#Security�� Policy Director � ��� �� ��� �� �
����.
�� �� PDF � HTML ���� �� ���, ��� ��� �
����.
���� �� ��� �� ��� ID ��� �����. �� �
����� ��� ID� ��� http://www.tivoli.com/support/getting/�� ����.
������ http://www.tivoli.com/support/smb/index.html�� Tivoli� �� � ��� �� ��� � ����.
xvi �� 3.8
���� ��� �� ���� Tivoli � �� �� ��� � �
���.
�� ��http://www.tivoli.com/support/Prodman/html/pub_order.html��
Tivoli ��� ����� �����, �� � ���� ��� �
����.
¶ �� � : tivoli@kr.ibm.com
¶ �� ��.�.� ������: 080-023-8080, 02-3781-7114
��� �� ��� ����� Tivoli �� ��� �� ���� ��� ���� ����,��� � ��� �����. �� ��� �� ���� �
��� ��� �� � ���� ������.
¶ �� � : tivoli@kr.ibm.com
¶ �� ��� � �� ��:http://www.tivoli.com/support/survey/
�� �� ������ � Tivoli �� �� �� �� Tivoli ��� � ���
��� �� � ���� ������.
��� :tivoli@.kr.ibm.com
�� ��.�.� ������: 080-023-8080, 02-3781-7114
� ���: http://www.support.tivoli.com
Tivoli Customer Support Handbook(http://www.tivoli.com/support/handbook) �� ��� ��� Tivoli �� ��� �� ��� ��
��� �����.
¶ �� � ���
xviiTivoli SecureWay Policy Director Base �� ���
¶ ��� ��� ���� �� �� �� ��
¶ ���� � ��� �� �� � �� � ��
¶ ��� ���� �� �� � ��
xviii �� 3.8
Policy Director ��
Policy Director� �� �, ����/� , � ��� PolicyDirector(PDOS), MQ Series� Policy Director(PDMQ) � ��� �
�����(��� ����)� �� ��� �� ������. PolicyDirector ��� ����, � �� �� ��� �� ����
��� ��� ��� � ����. Policy Director� �� ��
�� ���� �� ���� �� �� ���� �����, �
�� � � �� ���� � ������ � e-business ��
�� ��� ���.
�� ��
¶ 2 ���� ������� ���� ��
¶ 6 ���� �Policy Director = �� ��
¶ 9 ���� �Policy Director �����
¶ 13 ���� ���� �: ��� ���
¶ 17 ���� �Policy Director �� ����
¶ 22 ���� ����� � Policy� ���
¶ 30 ���� �Policy Director Authorization API�
¶ 35 ���� ��� �� ���
1
1Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
������ ���� ���� � ��� ��� �� ����� � ��� ��� ��
���� ��� ���� ��� ���� �� �� ��� ��
e-business� �� �� � ���� �� ��� ���� ��
��� �� ����. �� �� ��� ��� � ���� ��
�� ��� ��� ���� � �� � � ��� �� ��� �
��� ��� �����. TELNET �� POP3 � ��� ��
���� �� ��� ��� ���� ����� ���� ����.
��� �� ��� � � ��� ��� � ���, ��� �
� �� �� ��� ����, ���� ��� �� ���
� ��, ��� ���� ���� � ��� �� ����. ��
� ���� ��� �� � �� ��� ����� ����. ��
� �� � policy ���� �� ���� ���� ���� �
� ����.
Policy Director� �� ���� �� � policy� ���� �
���� � �� �� �� ���� � ���� ���� ��
policy �� ������.
Policy Director� ���� � ���� � � �� �� ����
� �����.
¶ ��� � ���� ��� ��� � ��� ���� ���
��.
¶ � ���� ��� � ��� ���� �� ��� �
����.
¶ ���� �� � ���� ��� ��� �� � ��
��� �����.
���� �� �� � ����� ���� � ��� �� � � ��� Policy Director�
��� � �����.
2 �� 3.8
¶ �� �� �� ���� ���� ���� �� ��� �
�� ��� ���� ���, ��� � ��� ����.
¶ ACL(Access Control List) policy� ��� ��� �� �
� �� �� �� �� �� ���� �� ��� ����
Policy Director � �������.
¶ � � ���� ���� ���� ��� ���� ����
���.
¶ �� ��� �� �� ��� ��� ��� � �� ��� �
�� ���� ���(�� ���� � ����) �������.
¶ � ���, � ��(�� ��) � �� � �� �� �
�� ���� ��� ��� �����.
¶ ���� ���� ��� �� ���� ��� ���� ���
� � ���� ���� �� �� ���� ���. ���
� ������� ��� � �� ���� ���.
¶ ��� ��� ���� ��� �� ��� ���� �
����.
¶ POP(Protected Object Policy)� ���� ACL policy ��
� �� ��� ���� � ��� �� ��� PolicyDirector � �������.
¶ �� ���� �� ACL POP policy� ���� � ���
�� ���� � ���� �� ��� ��� �� ���
����.
¶ ������ � ���� ����� � ��� � �� �
� ��� ������ ������(LDAP)���.
¶ ��� ��� ���� ��� �� ��� ��� �� �
��� ���� ����.
¶ �� �� ��, ��� � �� ��� ��� � ���� �
�� �� �����.
3Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
���� �� -- �� ����� �� ���� � � ��� ��� ���, ������ �
����� �����. ��� �� ���� � ������ ����
����� �� � ��� � ���.
¶ ������� � �� �� � ��� ��.
¶ �� �� �� � �� �� ��.
¶ ������� � ���� �� � ��� ��.
¶ ��� ��� �� � ��� ��.
�� ���� �� ��� ���� �� ��� ��� ���
��� ���� ��� � �����. ��� ����� �� ��
� �� ��� ��� ��� � ��� �� �� ���.
�� ������ policy ��� ��� ��� �� ������
��� ������ ��� ���� ��� ��� ���� ��� �
� �(Information Technology) ������ ���� ��� ��
�����.
��� � ������ ������� �� �� ��� ��� �
��� �� ���� ��� ��� �� �� ��� ���� �
���. ���� � API� � ���� �� �� �� �
��� ������ ��� �� ��� �� ���� �� ���
�����.
�� �� ���� � �� ��� �� � �� �� �
�� ���.
¶ ��� ��� ��� � � �� �/�� � ��
¶ ���� ������ �� ������ �� �� ��
¶ ������ ��
4 �� 3.8
Policy Director ��Policy Director� ����� �� ���� � ������� ��
� �� ��� ��� ���� ��� �� � ���� � policy�� ������.
�� �� � policy �� �� �� Policy Director� ��, ��,��� � � �� �� �� �����. ��� � � ��
����� �����, ��� � ������ Policy Director� �� ������.
Policy Director� �� �� �� ����.
¶ �� �����
Policy Director� � ��� � ���� ���� �� ��
�� �����.
¶ �� �����
Authorization API� ��� ���� Policy �� ���
� ��� Policy Director � �� ������� �� �
� ��� � �� ��� �����.
��� �� Policy Director� ���� �� �� ���� � �
�� �� ��� ��� ��� � �� ���� ���� ���
� �� � ��� � ����. Policy Director ��� ���� �
��� ��� �� �� ������ ������ ����� �
�� ��� � ����.
�� ��� API ���� ���� ������� � � �� ��� �����. ���
� �� ����� � � � �� ���� ���� ��� � �
� ��� ��� ���� ���� policy� �� �����.
�� ��, � � �� ��� ���� ���� Authorizationserver� ��� ��, �� � �� �� ��� � �� �� �
�� � � ����.
5Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
� Authorization API� ������� �� �� �� ��
�� ��� � ��� �� ��� ���� ��� �� �����
�� �� ��� ��� ��� ����.
Authorization API� ��� � �� �� ������� �����
� �� ������� �� � �� ���. Authorization API� ���� ����� ��� ������ ��� �� ��� �
� ��� ��� � ����.
Policy Director = �� ��Policy Director ���� � �� ��� ��� �� �� ��
�� �����.
¶ ��
¶ ��
¶ �� ��
¶ ��
¶ ���
¶ �� �� ��
���� ����� Policy Director� ���� ������� ���
��� � �� ��� ����. �� ����� �� ��
� �� ������� �� ��� � �����. Policy Director�
Authorization API� ��� � ��� � �� ��� �����
�����.
Policy Director Base� Authorization API� � ��� � � �
� ��� � ��� �����. ���� Authorization API� �
��� ��� �� �� ����� ��� � ����.
6 �� 3.8
��
¶ Policy Director �� ���
¶ �� �� ��� �� ACL POP policy
¶ � Authorization API
¶ �� �� ��� ��
(���) �� ���� � Policy Director� ���� � �� �� ��� �
��� �����. ��� � �� �� ����� �� �
� �� ��� �����.
�� �� �� ��� �����.
¶ TCP ��(�� ��)
¶ ��� ��� - ���� �� �� ���(������)� ���
� ���� ��
¶ ��� ��� � - ���� �� �� ���� ����� �
�� ���� ��
��� �� ��Policy Director� SSL� � ��� ��� ��� �����.
¶ 40�� RC2
¶ 128�� RC2
¶ 40�� RC4
¶ 128�� RC4
¶ 40�� DES
¶ 56�� DES
¶ 168�� triple DES
7Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
�� ��Policy Director� SSL(Secure Socket Layer) �� ���� ���
� ��� ��� ��� ��� �� �����.
SSL handshake ��� ��� ��� � ��� �� ���
� � Netscape Communications Corporation� � ������
�. SSL ��� �� �� � ���� SSL ���� ���� �
�� ����� �� � �����.
Policy Director� SSL � 2 3� �����.
����� � ���� ��� ���� ��� �� ��� ��
� ����. Policy Director� ��� �� ���� ��� �
����.
¶ ���� ��
v �� ���
v �� ���
v � policy
v ��� ��� ���
v �� ���
¶ ����� �� � (WebSEAL)
v � ���� � �� ��
v ���� �� �� ��
¶ ��� �� � (WebSEAL)
v ��� � � WebSEAL �� �� ������ � � � �
����.
v � ���� � �� ��(� ��� ��)
v �� �� � ��
8 �� 3.8
v junction� � ���� ��� �� �� ��
¶ �� � �� ���� ��� � � ����� � ��� ��
� ��� ��
¶ �� � ��� ���� ��� � ��� ��� ��
���Policy Director� �� �� �� � �� ��� �����. PolicyDirector � � ��� � � �� ���� ��� �� �
Policy Director � ��� ����� �� �� �� ����.
�� ��
¶ Policy Director � �� �
¶ ��� ��� ���
¶ HTTP �� �
�� �� ��
¶ Policy Director � �� �� �
�� ��� ��
¶ Web Portal Manager
¶ pdadmin �� ����
Policy Director ����Policy Director�� ���� ��� � � ���� �� ���
��� �� ����. Policy Director� UNIX(Solaris, AIX, HP-UX� Linux ��) � Windows NT/2000 � �� ����� ����
�.
9Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
Web Portal ManagerWeb Portal Manager� Policy Director � ���� � policy�
���� � ���� � � ��� ���������. Web PortalManager� ���, �, ��, ��, policy � ������ �� �
�� �����.
�� Web Portal Manager� ���� ����� ���(� ���)�� ��� ��, � � �� ��, � �� � ������ �
� ��� ���� �� ����� �� ���� �� ��� �� �
� ���� �����. � ��� ��� � �� � ����
� � ���� �� ��� � � �� ��� ��� ��� ��
�� � �� ��� �����.
�� 1. Policy Director ����
10 �� 3.8
pdadmin ��� ���pdadmin �� ����� �� Policy Director �� ���� ��
�� �� ��� �����. Web Portal Manager� � �� ���
� �� ��� �����.
�� ��� � � �� ���� ���� � ���� � �� ��� �
��� �� ��� ��� �� �� ����� ������ �
��� LDAP � ���.
� � � �� � �� ��� ��� �����.
¶ � � � ���� � � � � ���� ��� �
�� ��� �����. � ��� �� �� ����� ���
��� ��� ����. �� ���� �� ��� � �, �
�� ��� �����.
¶ �� ��� ��� � �� ���� �����.
� � � � ��� �� � ����� ������ ��
�� ��� ��� ��� � ����. � � � �� ����
�� ��� � � �� ��� ������ �����.
Management ServerManagement Server(pdmgrd)� � ���� �� �� �� policy������ �������. ��, � ��� ���� �� ��
����� ���� �����. Management Server� � ���
�� �� Policy Director � � �� �� ��� �������.
WebSEALWebSEAL(webseald) HTTP HTTPS �� ��� ���� �
� � ������.
11Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
WebSEAL HTTP HTTPS ��� ���� ���� �� ��
� � � ���. WebSEAL URL, URL � ��, CGI ���
�, HTML �, Java Servlet � Java �� � � ��� �
� �� ��� �����.
WebSEAL junction � �� WebSEAL junction �� � �� �
� � �����. WebSEAL junction �� � � ���� �
��� ���� �� � ��� ���� ��� �� ���.
WebSEAL � � ��� �� � �� � ��� ���� �
�����. ���� SSL� � WebSEAL� �� ��� �
� ����. ���, WebSEAL HTTP �� � �� ��� ���
� ���� ������. WebSEAL CGI ��� ���� ���
� � �� ����.
Authorization APIPolicy Director ADK(Application Development Kit)�� �����
Policy Director � ��� �� ������� �� ��� � �
� Authorization API� �� ����. Authorization API� �� �
��� �� ��� ���� ���� � ������� � �
�� �� �� ��� ��� ����.
Authorization API� ������� �� �� ��� ������.�� ���� �� Policy Director�� �� ���� ��� �
�� ��� �� � � ���� ��� �������.
Authorization API� ��� �� � �� �� �� � OpenGroup� Security Working Group�� �������.
�� APIAdministration API� pdadmin ����� �� ��� �����. �� �� �� ������� Policy Director ���, ACL, �,���, POP, � , ���, � � policy� ���� ���.
12 �� 3.8
Policy Director Authorization Server�� �� �� ����, ������ Policy Director AuthorizationAPI�� ���� �� ��� ���� Authorization Server(pdacld) �����. Authorization Server� �� �� �� ����� �
� policy ����� ��� ���� �������.
API� Authorization Server� �� �� ��� � ��� .Authorization Server� � policy� ����, ���� �����.� � �� ��� ����� �� �� �� ��� ��� � �
���.
IBM Global Security Kit(GSKit)Policy Director� SSL ���� IBM GSKit(Global Security Kit)��� �����. ���� GSKit� iKeyman ����� ����
X.509 ��� �����.
��� ��: ��� ��� � � ����� �� ��� � � ����� �� ��
�� ���. ��� �� � policy� ����� �� ��
� �� ��� ��� � ��� �� ���� �����. �
���� �� ��� �� ��� � � � ���� ��, �
� �� � �� ��� ���� ���� �� ��� � ����.
� �����, �� �� �����. �� �� ����
� � ���� �� ��� � ��� ��� � �� ��� �
��� ��� �����. �� �� ��� �� ��� ��� �
�� ��� ��� ���� �� ���� ��� �� ��� �
�����.
Policy Director �� �����, �� policy� ��� ��� �� �
���� ��� �����. ���� ��/�� �� �� � �
���� ��� ��� ����� ���� ��� ��� ��� �
����.
13Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
�� ����� ��� ����� ��� ��� ��� � �
�� ����. �� ���� �� �� �� ��� ��� ��
�� ���.
� ���� �� ���� �� � policy� ��� �� ���
��� ��� ���. � policy� � ���� ��� ����
���� ��� ���� ��� ��� ��� ��� ��� ���
��.
�� ����� �� ����� �� ����.
¶ ��� ���� �� �� ��� ��� ��� �� �� ��
�
�� ���� ����� �� ���� �� ��� ����� �
��� policy ������.
¶ ��� �� �� �� ���� �� ���
��� ������ policy ��� �� ���� � ����� �
���. � � � ���� Policy Director WebSEAL �� ���
���� �����.
�� 2. � �� ��
14 �� 3.8
��� �� ������ �� �� � �� �� ��� �� �
��� �����.
�� ��, �� ����� � � ���� �� ��� ��� �
����.
¶ ����� ��
¶ ����� � ���
¶ ����� ���� ���� ��
�� �� ���� ����� ��� �� ���� ��� ���� ����� �� �
� ������ � �� ����. ���� ��� ��� �
��� ��� �� �� ������� �����. ��� � �
����� ��� ��� ��� ��� ���.
� � �� ��� �� �� ��� ������� �������.��� �� �� �� ��� ��� ��� �� ��� ��� �
�� ��� �� ���.
�� �� ���� ��� �� ������� �� �� �
���� �����. �� ���� �� �� ����:
¶ ������� �� �� �� � �� ��� ����.
¶ ��� �� ����� �� ��� � ��� � ��� ����.
¶ �� � ���� � �����.
¶ �� ����� �� ��� � � ����.
¶ ��� ��� ������� ��� � ����.
¶ �� ��� ����.
¶ ��� ��� ��� ���.
15Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
Policy Director �� ���� ��Policy Director� �� � �� ���� ����, ��� ��
�� policy ���� �����. Policy Director �� ���--����� ��(WebSEAL)--� ���� ���� ���� �� �
� ����� �����.
��� ������ �� ���� ��� ��� � ����. ��
policy� ���� �� ��� ��� ��, ���� � , ���
������ ����� ��, �� ��� ��, �� �� ���
�� ���� ��� � ����.
Authorization API(30 ���� �Policy Director Authorization API�� )� ��� ������� �� ���� ��� � ��� ���.�� ��� � policy� �� ��� � � ��� ���.
�� Policy Director �� ���� � ���� �� �� ��� �
��� ������ ���� �� ����� �� �� �� ���
� ����� ��� � ����.
Policy Director �� ���� ���� ���� �� � ��� ���.
¶ ������ ������.
¶ �� ���� �� �� ���� �����(AuthorizationAPI).
¶ �� ����� ��� ����. �� ��, �� ��� ���
� �� �� ���� �� ���� ���� �� �����
� �����.
¶ �� ���� ���� � ���� ������� �����.
¶ ��� � Policy Director �� ���� �� �� ��� ���
� �����.
¶ ��� ��� �� ����, � ���� ����� � � �
��.
16 �� 3.8
¶ �� ��� ��� � ����. �� �� ������ ���
�� ����� �� ��� �� � ����.
¶ ���� ��� �� ��� �����.
¶ �� �������� ������.
Policy Director �� ���Policy Director �� ���� ���� � policy� ���� � �
�� �� �� �� ����� �����. �� ���� � ��
�� �� �� � ����� �� ��� �� ��� ����
�� ���� ��� �� �� ��� ����.
������ ���� � ��� �� ����� ���� ����:
¶ �� �� policy �����
¶ Management Server
¶ �� �� ���
��� �� policy ������ �� �� policy ������� � ���� �� ��� ��
� policy ��� �� ����. � ������� � ���
� ��� �� ��� �� �� ��� �� ����.
Web Portal Manager� ���� � ������ ��� � � �
�����.
Management Server(pdmgrd)Management Server� � ���� �� �� policy �����
� ������, � ��� ��� � � ������ ����, ��� ��� �� ���� ����� ���� �����.
Management Server� �� Policy Director � ����� ��
�� Policy Director� �� � � �� �� ��� �������.
17Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
�: � ����� ��� Management Server ����� �� �
��.
�� ���� ���� � policy� ���� �� ��� ��� � ��
����� �� ���� �� �� �������. ���� ��
���� ���� ���� �� �� �����.
� ���� �� ����� ����� �� ����� ��� �
����.
�� �� �� ���� �� ����� �����.
�� 3. �� ��� ����
18 �� 3.8
�� ��� ������� ����� ��� ���� � �� ������ ����.
¶ �� ���� -- � ���� ����� policy �(����)� ���� � ���� ��� ���� ���� � WebPortal Manager(�/�� pdadmin ����)� ���� ����
� � policy� �����.
Web Portal Manager� � � policy ���� ManagementServer� � �� �� policy ������ �����.
� ������ ����, ��� ��, policy ���� � ��
� �� ��� ��� �����.
¶ Authorization API -- Authorization API� �� ���� ��
�� �� ���� �� � �� �� ����� � ���.Tivoli SecureWay Policy Director Authorization ADK DeveloperReference� � API� ����� ���� ����.
19Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
��� � ��� �� ����� � ���� ���� ���� � �� ���� ���
�� ��� � ����.
policy � �� ��� �� �� � �� �� policy ���
��� �� ���� ���� �����. �� ���� ���� �
������� � ����� ��� � �� �� � �� ���
����.
¶ ������ �� ��� ���� ����� �� ��, �
����� �� �� �����.
������ ��� �� � ���� �� ���� ����
� ������� � �����.
¶ ������ �� Authorization Server ����� � �
�� ���� �����.
�� 4. �� ���: �����
20 �� 3.8
� ������ Authorization Server� ��� ����� �
�������. �� ������� � Authorization Server� ��� � ����.
Management Server� �� ��� �� �� Policy ������
��� � � ����, � ����� ����� �� ���� �
����.
�� ����
¶ Management Server��� ���� �� �� �� ���, ��
���� � � �� ��� ��� ��� �� �� policy� �� � �� � �� ����� ���.
�� ��� � � � �� �� ��, �� ��� �����. �
�� ��� �� ��� ���� �� ��� ������ �
���.
�� 5. �� �� ���� ����
21Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
¶ � �� policy ��� � ��� ��� � ���. �� �
�, WebSEAL� �� ��� ��� �� ������ �� �
��� policy ����� �����. WebSEAL �� �
������� � ��� �� � ����� ��� ���
����. � � �� ��� �� ��(��)� �� ���.
¶ ���� �� �� ������ � � ��� � ��� �
���.
���� �� Policy� ��� ���� �� � policy� ACL(Access Control List) policyPOP(Protected Object Policy)� ��� � ��� ��� �
���� �� �� ��� � �����. �� ���� �� �
�� �� policy� �� ��� ��� ������ policy� �
����. � ��� �� ��� ��� ���� �� ����
� � ���.
���� �� Policy� ���� ���� � ���� �� ��� ���� �� �����
ACL, POP policy� �� ��� �����. �� �� policy����� ��� �����(��� � ��� ��)� ���
� � policy� ��� ��� �� ��� �������.
��� ���� � policy� ��� �����.
1. � ���� ����� � ��� � �
��� ������ � ��� �������.
2. � ���� �� ���� �� �� ��
�� �� ������ � ��� �������.
�� ��� ���� ��� �� � ���� � ���� ����� ���
���. ��� ��� ��� ���� ���� �� ���
� ��� �� ��.
22 �� 3.8
¶ ��� �� -- �� � � �� ������
¶ �� ���� -- �� ���, Web Portal Manager, �� PolicyDirector �� ����� � ���� ��� ��� ���
��� �
Policy ����� ��� ��� ���� � ��� ��� �
��� ��� � ����. �� ���� ��� ����� ����
�� ��� ����.
Policy Director� �� ��� �� ��� �����.
¶ � ����
�� ���� HTTP URL� �� � �� �� � ��
��. � ����� � �� �� �� �������� �
�� � �� �� � ��� �� URL� �����.
¶ Policy Director �� ����
�� ���� Web Portal Manager� ���� ��� ���
�� ��� �� ��. � ���� ���� ���� �
policy� ���� � ��� ���� �� ��. Policy Director� �� ��� ��� ���� � policy� ��� ��� �
��� ���� ���� �� ��� � ����.
¶ ��� �� ����
�� ���� ��� �� ���� Authorization API� ��
�� ���� ���� �������� �� ���� ��� �
� ��.
23Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
�� 6. Policy Director �� ��� ��
24 �� 3.8
ACL � POP policy� ��� ��� ���� ACL POP policy� ��� �� ���� ���
policy� ��� ��� �� ��� ��� ��� �� ���
��, ��� ��� �����.
�� ���� ���� �� policy� � �� ��� ����
�. �� ���� �� �� ��� �� ��, �� ��� �
� ������� ��� �����.
��� policy� � ����� �� ����� ����. �� �
��� ����� �� �� ���� ��� ���.
��� � ��� policyPolicy� ���� ����� ��� � ����. Policy Director �
� ��� �� ACL POP policy �� ��� �����. � ��� ��� ���� � ���� �� ��� �����
��. ���� �� ���� �� ��� ���� �� policy�
����� �� ���.
policy ��� ��� �� ����:
¶ �� �
�� 7. �� � �� Policies
25Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
¶ �� �� ��
¶ �� � ���
¶ ACL(Access control List)
ACL(Access Control List)ACL policy� � ��� �� �� ��� ���� � ��� �
� ���� ��( �) �����. ACL policy� ��� � ���
� � �� � policy� ��� �������. �� policy �
� ACL policy� �� ��� ��� ��� ��� � �
� ��� � �����.
ACL policy� ��� ��� ��� �����:
1. ���� ��� � �� ��
2. ��� ��� � �� ���
ACL policy� ��� � �� � �� �� � ��� ��
�� �� ��� ���� �����.
POP(Protected Object Policy)ACL policy� �� ���� �� ��� �� ��� “yes” ��
“no”� ��� � �� �� �� �� ���� �����.
�� 8. ACL policy
26 �� 3.8
POP policy� “yes”� ��, WebSEAL � �� ��� PolicyDirector Base� � ��� �� �� �� �����(�� ��
�� ACL policy ��). Policy Director �� ���� POP �
� � ���.
�� ��� POP� � �� ��� �� �����.
Policy Director Base� � ���
POP �� ��
�� Pol icy� � . pdadmin pop ���
<pop-name>���.
�� Policy� �� �. pop show �� ����
�.
�� �� ����� ACL POP policy� ��� � �
� �� �����.
�� �� ��� � � �����. ��, �, ���
��, �� ��, �
�� ��� �� ���� ���� ��� �� ��
��� ���� �����.
�� ���(�: WebSEAL)� � ���
POP �� ��
�� � �� ��� ��� �����. �, ��, ��
� �
IP ���� � ���
Policy�� ���� ���� ��� �� ����
� �����.
Policy ��: Web Portal ManagerWeb Portal Manager� Policy Director � ����� � policy�
���� � ���� � � ��� ���������. pdadmin
�� ����� Web Portal Manager ��� �� � Web PortalManager�� ���� �� �� �����.
27Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
Web Portal Manager�� (�� pdadmin��) � � �����, �� �� policy ����� � Policy Director � � ��� �
����. ��� �� �� �� ���� ���� ����
ACL � POP policy� ��� �� ����.
�� ����: ������ �� �� �� ����� �����.
�� 9. Web Portal Manager: � policy� ��
28 �� 3.8
1. �� ����� �� �� �� ��� � � �� � ��
policy ��� ����� � �������.
�� ���� WebSEAL(HTTP � HTTPS ��� ��) ��
�� ������� � ����.
2. policy ��� ����� Authorization API(30 ���� �PolicyDirector Authorization API� � )� ���� �� ��� � �
� ���� �����.
3. �� ���� �� ��� ���� ��� ���� ���
��� � �� ��� �����. Base POP policy� � �
����. �� ���� �� ACL policy� ����� �
� ���� �����. �� ��, �� ���� � ��
POP policy� �����.
4. ��� �� �� �� �� �� �� ����� �����
�����.
�� 10. Policy Director �� ����
29Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
5. ��� �� ����, �� ���� � ��� ��� �� ���
�� �������� � ���.
6. ����� �� ��� �� ���.
Policy Director Authorization APIPolicy Director Authorization API(Application ProgrammingInterface)� Policy Director ������ � �� ������� �
� ���� ��� �� ��� � � �� ���.
Authorization API� �� ���(�� ��� ����) �� ���
�� ��� ��������. Authorization API� �� ��� ��
� policy �� ������� ���, ������� �� �� �
���� ���� �� ���.
Authorization API� �� �� � ��� ��� � ���
�� ��� �����. Authorization API� � ��� �� ��
�� ���������� ���� ���� �� ���� �
��� ��� � ����.
Authorization API� �� � ��� ���� �����.
¶ �� �� ��
� ����, ������� ���� �� ��� �����(��)Authorization Server(pdacld)� ���� � API� �����
�. Authorization Server� �� �� policy ������ ��
�� �������. � ��� ������ ����� ��
��� ���� � ������.
(32 ���� �Authorization API: �� � ��� � )
¶ �� �� ��
� ���� ������� �� �� ������ �� ���
� ����� ������� API� ������. ������
����� ���� �� ����� �� �� ��� ���
�� �� �� ��� � � ��� �����. ���, ���
30 �� 3.8
�� ��� � �� � ��� ���� � ���
WebSEAL � ��� � �� ������ � � � ��
�� ��� � ��� ���.
(34 ���� �Authorization API: �� � ��� � )
Authorization API� ���� �� �� �� ��� ���� �
�� ������� ���� ���� �� ����. ��, �, �
, ��, �� �� � �� ��� ��� Authorization API���
�� ����.
��, Authorization API� �� � ���, �� �� � �� ��
�� ����� �����. Authorization API� �� ��� ��
�� ���� ��� “�” �� “���” ���� � � ��
��. ���� �� �� ����� ���� � � ����.
Authorization API ��: 2�� ���� ������ Authorization API� ���� �� ����� �
� �� ��� ��� � ����.
�� 1
��� ��� ������ �� ��� �� �� ��� �� �
� �� ����� ���� ���� ��� � ����.
�� 2
Authorization API� ��� ��� � ������� �� CGI ��
�� ��� ��� �� ���� �����.
�� A� � �� �� �� URL� �� “all-or-nothing” �
� ��� �� ��. � ���� �� �� ����� CGI �
���� ��� � ���� ���� �����. CGI �������
�� ��� ��� CGI ������� ���� ���� � �
�� ��� ��� � ����.
31Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
�� B��, �� ��� CGI ����� ���� �� �����.� ������ Authorization API� ����� ���� ����.��, CGI ����(���� ����� ID� ��) �� ����
���� ���� ��� �� �� ��� �� � ����.
Authorization API: � �� ���� � ����, ������ Policy Director Authorization API�� ���� �� ��� ����(��) AuthorizationServer(pdacld) �����. Authorization Server� �� �� ��
��� ��� ���� ��� �� �� policy ������ ��
�����.
�� 11. Authorization API ��� ��
32 �� 3.8
Authorization Server� ��� ��� API� ��� ������� �
��� �����. � � �� �� ��� ����� �� �� �
� ��� �� ��� � ����.
� ��� � � � ���� Authorization Server� �� ��
�. Authorization Server� ������ ��� ���� ����
�, �� ���� ��� � ����. Authorization Server� � �
��� �� � ��� ���� ���� ���� �� �� ����.Authorization API� �� Authorization Server� ��� �� �� �
� �����.
�� 12. Authorization API: �� � ��
33Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
Authorization API: � �� ���� � ���� API� ������� �� � ����� ��
policy ������ ���� ����� �������. �� �
��� ��� �� ����(in-memory) �� ��� �����.
�� ���� ���� �� � ���� Authorization API� ��
�� �� ������� ���� �� ���. �� �� ��
policy ������ ��� � ���, Management Server� ��
�� � �� Authorization API ������� ��� �� ��
���.
�� ��� ������� ��� � ����. API� �� ��
� ��� ��, �� ��� �� �� �� policy ����
�� ��� ��� ��� �����.
34 �� 3.8
�� �� ���� ��, Policy Director policy ��--ACL(Access ControlList) � POP(Protected Object Policy)-- �� � policy� ���
�� �� �� ��� �� �� ����. Policy Director� ��
�� ����� ���� � �� �� �� �� �����.
�� �� ���� � ��� (��) �� ��� ���� ����
�� �� �� �� ��� � ����.
�� 13. Authorization API: �� � ��
35Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
�� ��� ���� �� �� Policy Director �� ���� �� �����. �� �� ���� ���� ��, Policy Director �� ���� �
� �� ��� �� ����� ��� �����.
�� ���(�� ��, Authorization API� ���� WebSEAL, �
� ������)� ���� ������ �� �� ���� ���
��� ��� ���� �� ��� ���. �� �� ���� �
�� �� � policy� �� ��� ��� ������� ���
������� ��� ��� ����.
�� �� ��� � � �� �� � ���� ����� ���
� �� ���. �� �� ���� �� � � Policy Director ��
�� ����� ��� � �� ���, � ����� �� ��
� �� ��� �����.
� ��� �� � �������� ���� �� �� ��� �� �� �� ����
��� �� �� ���� ��� � ����.
��� �� ��� �� ����.
¶ ������ ���� �� �� ��� �� �� ����� �
��� ���.
¶ �� ��� � ���� ������, ��� � �� �� �
�� ��� ��� �����.
¶ �� �� � �� ��
¶ �� ���� �� �� �
�� �� ������ Authorization Server� ���� �� �� �� � ���
� �����.
36 �� 3.8
1. ��� �� �� �� � � ���, � �� � �
� �� �� ���� �� �� �� �� �� ���� �
�� �����.
��� ��� Policy Director �� ���� � ����� ��
������ ��� ���� �� �� ���� ��� ����
�.
2. � �� �� ���� �, �� �� ��� �����.
“��”� ����, �� �� ���� �� ����� �� ��
�� ���� ��� ���� �� �� �����.
3. � �� �� ��� �� ������ ��� ��� ���� �
�� �� ������.
� �� �� ���� ���� ��� ����� ��� � ��
���.
4. �� �� �� �� Policy Director �� ����� ��� �
��� �� � �����. � �� ����� �����.
����� �� WebSEAL � �� �� ���� �� �� ��
� �����.
37Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
� ����, �� �� ���� �� �� �� ��� ��� �
� �� ������ �� �� ����� ��� ���.
��� ���� � ��� � �� � ���� ��� � �� ��
�� �� �����. �� �� ��� ��� �� �� ��� �
�� ���� �� �� ���� �� ���� ��� � ����
�.
�� �� ���� Policy Director �� ���� ��� ��� ��
�� �� �� ��� 101� �������.
1. WebSEAL � � ��� �� �� ��� ���� �� �
�� � � � �� ��� � � � . ��� � � � �
GraphicArtists� ������ �� ���� ��� �����
����.
�� 14. WebSEAL� ��� �� �� ���
38 �� 3.8
2. WebSEAL Server� � Policy Director �� ���� ����
�� ���� ���� ��� ��� ��� ���� �����.
3. Policy Director �� ���� �� �� ���� �� ��
��� ���� �� ���� ���� �����.
group GraphicArtists rx
��� ��� �� ACL��, “x” �� GraphicArtists �� �
���� ��� �� ��� �����. ���� Policy Director�� ���� ����� ��� ��� ��� �����.
4. �� ��� ��� �� ��� �� �� ��� ��� ��
� ���� �������, � ��� �� �� �� ��
���� ���� �� ��� �����.
�� �� ���� WebSEAL� � ��� �� �� ���
� �� �� ADI(Access Decision Information)� ���.
5. �� �� ���� � ���� ��� �� ��� ��� �
����. �� ���� �� ��� ��� �� ��, “��”��� ��� �����.
�� �� ���� ��� ���� ��� �� ��� ��
�� ��� ����� �� ��� ��� ��� ��� �
� ��.
��� ���� ��� �� ��, �� �� ���� “�� �
�”� ��� �����.
� ��� ��, ���� ��� ����� �� �� ����
�� ���� “�� ��” ��� ���� �����.
6. Policy Director �� ���� �� �� ����� “�� ��
” �� ���. �� �� � ��� �� �� �� �� ��
� ���� 101� �����.
�� �� ��� ��� � � Policy Director �� ���� �
�� ��� �����. �� �� ���(-101)� �� PD ��
���(100)�� ���� ���� “�� ��”���.
39Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
7. WebSEAL Server� �� ��� ��� �� �� ��� ���
��.
8. WebSEAL Server� ��� ������ ���� � ����
� ��� �����.
� �� ��� ���� �� ���� ���� ��� � �� � ��� �����.
1. �� �� � � � � ��� ��� � �� �� ������
�� �� ��� ����� ����.
2. Policy Director �� ����� ���� ���� ���� �
�� � ��� �� �� ���� Policy Director� ������.
��� �� �� �� ���� ��� �� ��� �� ����
�. ��� �� �� �� � ����, ���� �� ��� ���
� � �� �� ��� ������ �����.
�� �� ��� ��� �� �� ���� ��� Tivoli SecureWayPolicy Director Authorization API Developer Reference� � ��
��.
�� ��Policy Director� ���� �� �� ���� �� �� ���� �
�� � ����.
¶ ��� �� ��� ���� � �� �� ���� � �� �
���� ��� � ����. � �� �� ���� � �� �
� Authorization API ���� �������� �����. �� �� ���� ��� � �� ������ WebSEAL(webseald), Authorization Server(PDAcld), �� Policy Director� � ��� � ��� �� ������� �����.
¶ �� ��� � Authorization Server� ��� ���� �� �
� �� API ����� Authorization Server� �� �� �
� ���� ���� ���� ���.
40 �� 3.8
¶ � ��� �� �� ���� � ��� �� � ��� �
����. � ��, � �� �� ���� �� �� �� ���
��, � �� Policy Director �� ���� � ��
���.
¶ ��� � �� �� �� ����, ���� �� ���
���� � �� �� �� ���� �� ��� �����
�� �� ���� ���� ����� ��� � ��
��.
¶ ��� � ���� ��� ���� ��� � ����. ��
�� �� �� ���� ���� �� ��� �� �� ���
����� �� �� ���� �� � ���� ���� �
����. �� �� �� �� ��� �� �� �� �� ��
� �� �� ���� ����� �� ��� ���� � ��
���.
¶ �� �� ���� ���� ����� ����(DLL) ��� �
����. � �� �� ��� �� ���� �� ����
��. �� �� ���� �� �� ��� ���� ����� �
�� ��� ���� � ��� �� ��� � �� ����.
¶ Authorization API � �� �� ���� � � policy
��� ���� �� ��� �� ���� �� ���� �
����.
41Tivoli SecureWay Policy Director Base �� ���
1.P
olicy
Directo
r�
�
42 �� 3.8
�� ��� �� ��
Policy Director� ���� ��� �� ��� ��� �� ���
��� �����. �� �, ���, ��� ���� ��� �
����. Policy Director� �� ��� ��(Protected object Space)��� ��� � ��� ����� ����.
ACL POP policy� ��� ��� �� ����� ��� �
�� � ����. � ��� ��� ��� ���� ���
�� ������ ����� ���� ��� ��� ��� ��
� ��� ����.
�� ��
¶ ��� ��� ��(Protected Object Space) ��
¶ 48 ���� ������ ��� �� ���
�� ��� ��(Protected Object Space) ��Policy Director� ��� ��� �� ��� ��� �� ��� ��
� �����. �� �, ���, ���� ��, ������, �
�� ���� ��� � ����.
Policy Director � �� � ��� �� ��� ���� �
ACL POP policy� �����. �� � policy� � �� ���
��� �� ACL POP policy� ��� ����� �����.
2
43Tivoli SecureWay Policy Director Base �� ���
2.�
�
��
��
��
�
Policy Director �� ���� ��� �� ��, �� ��, ACLPOP policy� �� ��� ��� ����� ��� � �� �
����.
ACL POP policy� ���� �� ���� �� � ��� �
���� �� ��, Policy Director� �� ��� ����� �
� � ��� ��� �� ��� �� �����.
policy director � �����, Web Portal Manager �� pdadmin����� ���� ��� ��� � ���� ACL POPpolicy� ��� � ����.
�� ��� ��� ��Policy Director� �� ��� �� � ���� � ���
���� ���� ����. ��� ��� ��� ���� ��
�� ����� �� ���� ��� �� ��.
¶ ��� �� - ���� � �, ���� ��� �� ����
��
¶ �� ���� - �� ���, Web Portal Manager, �� PolicyDirector �� ����� � ���� ��� ��� ���
��� �
�� ��� �� � �� ��� ���� �����.
¶ ���� ����
���� ���� ��� ��� �� ��� Region� ��
� ����� ��� �� � � �����. ���� ����
� �� ���� �� ����.
¶ �� ����
�� ���� � ���� �� �� ���� ��(���,
� � ���� �)� ����.
44 �� 3.8
�� ��� �� �� ��� ���� ���� � � �� ��� ��� � � �� �
����. ��� ��� ���(/)���.
��� ��� �� ��� �� ���� ����.
¶ � ����(/WebSEAL ����)
WebSEAL ���� ���� � ���� � � ��� �
����. ���� �� ���� � �� HTTP �� �
�� �����.
� ���� URL� ��� � �� �� � �� ��. ��
�� � ������ ��� ������ �� �����
� �� �� �� �������� ��� � �� �� � ��
� �� URL� �����.
¶ Policy Director �� ����(/Management ����)
Management ���� ���� �� Policy Director �� ��
� ���� � ��� �����. �� ���� ��� �
� ���� � policy� ���� � ��� ���� ��
��. Web Portal Manager �� pdadmin ����� ���� �
� ���� ��� � ����.
�� 15. Policy Director �� ��� ��
45Tivoli SecureWay Policy Director Base �� ���
2.�
�
��
��
��
�
/Management region� �� � � �� ����.
v ��� ��(/Users)
v � ��(/Groups)
v GSO ��(/GSO)
v � ��(/Server)
v ACL policy(/ACL)
v POP policy(/POP)
v �� �� ��(/Config)
v �� �� ��(/Action)
v �� ����� �� ��(/Replica)
Policy Director� �� �� ��� ��� ����, � policy�
��� ��� ���� ���� ���� �� ��� � �
���.
¶ ��� �� ����
� ���� ��� �� ��� �� Policy Director �� ��
�� ���� � Authorization API� ���� �� ����
���� �� ���� ��� �� ��.
46 �� 3.8
�� ������� �� �� �� ��� ��Policy Director� �� ��� ��� � �� ��� ����
�� ���� �� ���� ��� � ����.
Policy Director� ����, ��� ������� � ��� ��
� region� ��� ��� ����. �� ��, WebSEAL �� �
�� ��(/WebSEAL)� ����. Policy Director� /Management��� ��� �� ���� ����.
� ��� �� pdadmin objectspace list �� �����.
pdadmin> objectspace list/WebSEAL
/Management
�� 16. Policy Director �� ��� ��(Protected Object Space)� region
47Tivoli SecureWay Policy Director Base �� ���
2.�
�
��
��
��
�
Policy Director � �� ������ Authorization API� � �
� ���� �����. �� ������� �� ��� ���� �
�� � �� �� �����.
¶ �� ������� ��� �� �
¶ ��� ��� ���� �� ��
�� “��� �� ���” ����� �� ������� �� �
��� ��� � �� �� ��� ��� region���. �� �
��� ���� �� �� ��� �� ����� �� �
��.
������ ��� �� ��Policy Director� �� ���� ��� ��� ��� � ��
��� �� � �� ���. Policy Director� �� ��� ��
���� ��� � �� �� �����.
¶ �� ������� ��� ��� Policy Director� �
¶ ��� ��� ���� ACL POP policy ��
pdadmin objectspace � ��� �� ��� �� Region� �
� ��� � ��� �� ���� ��� �� ���.Policy Director� �� �� � ��� �� ��� � ��� ��
�� ��� �� ��� �� �����.
�� �� �� ���� ���� ���� �� ��� ��� ���� �� pdadmin objectspace object �� ������. objectspace � ���� �� �
��� �����.
�: �� Policy Director ��� ��(/WebSEAL � /Management)pdadmin objectspace ��� ��� � ����.
��:
pdadmin> objectspace create <name> <description> <type>
48 �� 3.8
��� �� name �� ���(/)� �� ���.
description Web Portal Manager� �����.
type �� �� � ��� � ����.
����
0 - � � ��
1 - � ���
2 - �
3 - �� �� ����
4 - ���
5 - junction
6 - WebSEAL �
7 - ���� ��
8 - ���� ��
9 - HTTP �
10 - ���� �� ���
11 - ���� ���
12 - �� ���
13 - ��
14 - ������ ���� ���
15 - ������ �� ���
16 - �� ���
17 - ���� ��
�� ��� �� ��� �� ��� ���� ��� ���
Web Portal Manager� � ��� � ����.
���� ��� �� ��� �� ���� ���. ��� ��
� ���� “� � ��”(�� 0)� ��� � ����.
�� ��, �� ����.
pdadmin> objectspace create /Test-Space “New Object Space” 14pdadmin> objectspace list/WebSEAL
/Management/Management/Users/Management/Groups/Test-Space
�� ����
¶ ��� �� ������� �� �� ��� ��� ����
� ����.
49Tivoli SecureWay Policy Director Base �� ���
2.�
�
��
��
��
�
¶ ���� ���� �� �� ��� ��� �� � ��
�.
¶ ��� �� ��� ��� ���� ��� ��� ��� �
��� ispolicyattachable � ��� ���.
���� �� ��� ��� ��� ����, ���� � � ����.
��� �� ���� ����� pdadmin objects �� ����
��.
pdadmin> object create <name> <description> <type>ispolicyattachable {yes|no}
���� �� ��� ���.
� ��
Name ���� ��� �� ��� ���� ���
���� ���� ��� � �����.
Description ���� ��� �
Type ���� �� ���� ��. � ���� �
�� � Web Portal Manager� � �����.
ispolicyattachable POP policy� ���� ��� � ��� ��� �
� ��. “no”� ������, ���� ����
policy� �����. �� � policy� ����
� �� ���� ��� � �����.
�� ��, �� ����.
pdadmin> object create /Test-Space/folder1 “Folder 1” 14ispolicyattachable yes
pdadmin> object list /Test-Spacefolder1
pdadmin> object show /Test-Space/folder1Name: /Test-Space/folder1
Description: Folder 1Type: (Application Container Object) : 14
50 �� 3.8
Is Policy Attachable: yes
pdadmin> object create /Test-Space/folder2 “Folder 2” 14ispolicyattachable no
pdadmin> object listandshow /Test-SpaceName: folder1
Description: Folder 1Type: (Application Container Object) : 14Is Policy Attachable: yes
Name: folder2Description: Folder 2Type: (Application Container Object) : 14Is Policy Attachable: no
pdadmin> object delete /Test-Space/folder1pdadmin> object list /Test-Space
folder2
�� ����
¶ �� ���� �� ���� �� ��� � ���� ��
��. ���� �� ���� �� ��� �� �� �� �
����. �� ���� �� �� �� �� �� �� �
��� �� ���.
¶ ispolicyattachable ��� pdadmin object create �� �� �
��, ����� ���� objectspace create �� ���� �
�� �����. ���� �� objectspace� �����.
51Tivoli SecureWay Policy Director Base �� ���
2.�
�
��
��
��
�
52 �� 3.8
��� �� policy ��
Policy Director� �� ��� ����� ��� � ���� �
�� ���� ����. �� � policy(�)� ���� �� policy� �� ��� ��� �� ��� ��� �� �����, ��� ��� � ����.
���� ��� � �� �� ���� ��� � �� ��
� ���� policy �� ��� �� �� �� ACL policy�� �
��. �� � ploicy� � ���� � ��� ��� � ACLpolicy� �����.
�� ��
¶ 54 ���� �ACL policy ���
¶ 56 ���� �ACL �� ���
¶ 60 ���� ��� ���� ACL policy� ���� ���
¶ 62 ���� �ACL ���
¶ 64 ���� �Sparse ACL ��: ACL ���
¶ 71 ���� �� ACL � � � � ���
¶ 75 ���� �ACL policy � �� ��� ���
¶ 76 ���� �WebSEAL ���
¶ 78 ���� ��� ���
3
53Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
¶ 87 ���� ���� � ��� �� ���
¶ 88 ���� ��� �� ACL policy�
ACL policy ��ACL policy� � ���� �� ��� �� ���� � PolicyDirector� ���� �����.
ACL policy� �� ��� �� ��� ���� � ��� �� �
��� � �� �� �����. ACL policy� ��� ��� �
�� ���� � ��� ��� � �� ID(��� �)� ��
���.
¶ ��� �� ID� Policy Director ������� �����.
¶ �� �� ������� �� ��� �� ACL policy� �
����.
��� ACL policy� ��� � �� ���� ���. ��� ACLpolicy� �� ��� ���� ��� �����.
ACL policy� ��� � �� � �� ��� ���� �� ��
� ���� �����.
ACL policy ��ACL policy� ��� ��� �� ��� ���� �����.
¶ ���� �� ��� ���� ���� ���� � � �
¶ � ���, � �� ��� � �� ��
¶ �� �� � ��� �� �� ��� ��� � �� �
�
���� ��� �� Policy Director� ID� �� ��. ���
�, ���� ���� ���� ������ � � �� ��.
54 �� 3.8
�� �� ��� ����� �����. ���� ���� �
ACL ��� ���� �� ����� ��� ��� �� ��� �
����. � ���� �� ���� ��� �� ���� ��
���� �� �� ��� ���. ���, �� �� ���
� �� ACL ��� ��� ��� �� ���. � � ��
� ���� � � ���� � � ��� � ����. � ��
�� ��� ��� ���� ��� �����.
����� ��� �� ����� ���.
ACL� ��� � � �� ��� �� ��� ID(UUID)� ��
�� ����. UUID� ��� �� �� ����� �� ��
��� ��� ����� ��� �� �� �����. �� ��,� ���� �� ��� ��� �� ���, Policy Director�
� ���� � UUID� �����. UUID� �� ����, �� �
�� �� � �� �� ACL � ����� ��� ���� �
���. ACL� � �� �� UUID(�� ��� � ��)� PolicyDirector Management Server(pdmgrd)�� ���� �����.
pdadmin ���� �� Web Portal Manager� ���� ACL ��
� ��, ��, �����.
�� 17. � ��� ���� �� �� �� ��
55Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
ACL policy � � �� ��Web Portal Manager �� pdadmin acl create �� ���� �
� ACL policy� ���� �� ���� �� � ����. ��
��, ACL� �� ��� ��� ���� � policy� ��� �
����.
ACL �� �� ���� � ��� � ��� ���� �
� ��� �� �� � �� policy(�� �� ��)� ���. �
policy ����� �����, � ACL� ���. �� � �
�� ACL� � ��� � �� ���� � �� �����.
ACL �� ��ACL ���� ACL �� ��� �� � � �� � �� �� �
��� �� ���� �����.
¶ - ACL� �� ��� ��(��� �� �)
¶ ��- ���� �� ��(�)
�� �� � ��� �� ACL �� �� ID �� ���
� ����.
¶ ��(�� ��) - � ��� �� �� � ���� ��
� �� ��
���� �� ����� �� �� ��� �� �� ��� �
����.
�� 18. ACL �� �
56 �� 3.8
�� ���� ���� adam(�� = user, ID = adam)� ACLpolicy� � �� ���� � �(� �) �� ��� ���.“r” � ��� ����. “T” �� � �� ����.
� ��ACL �� �� ACL ��� ���, � �� �� ID� �
����. � �� ACL �� ��� ����.
��
��� � ����� �� ���� �� ��� �����. ���� ��
���� ��� ��� �� � ���� ����� ���. ��
� �� ���� ��� �(ID)� �����. �� �� ���
ID �����.
�� ��, �� ����.
user anthony -------T-----r-
�� � ���� �� �� �� �� ���� �� ��� ����
�. � �� ���� � �(ID)� �����. �� �� ��
ID �����.
�� ��, �� ����.
group engineering -------T-----r-
��
(��
any-authenticated���
�)
�� �� ���� �� ��� �����. ID �� ���� �
���. �� �� ��� �����.
�� ��, �� ����.
any-other -------T-----r-
57Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
��
��� �� � � � ���� � ���� �� ��� �����. ID ��
���� ����. �� �� ���� �� �����.
�� ��, �� ����.
unauthenticated -------T-----r-
� ACL �� �� ��� ���� � �� �� ACL ��
� �� ��(“and” �� ��)���. ��� ��� �� ��
�� �� �� ���� ���� ���� �����. �� ��,
��� ��� �� ACL ��
unauthenticated -------------rw
��� any-other ACL ��� � �����.
any-other -------T-----r-
����, ��� ��� �����.
-------------r- (read only).
ID ��ACL �� ID� ��� �� � �� ��� �� ��� ID ��
����. ID� � ���� ���� ����� ������ �
��� ��� �/�� �� ��� ���.
��:
user michael
user anthony
group engineering
group documentation
group accounting
�: �� �� � ��� �� ACL �� �� ID �� ��
�� ����.
58 �� 3.8
��(�) ����� ACL �� ��� �� �� � ���� � ��
��� ��� �� ��� �����.
ACL policy� �� ���� �� ��� �����.
¶ �� ���� � ��� ���� ���� �
¶ ��� �� ���� �� �� �� ���� ���� �
¶ ���� ��� ���� Policy Director� �
�: ACL �� ��� �����. -- �� ��� �� ���� �
� ��� ��� Region� �� �����. �� ��, m ��
�� ���� � WebSEAL ���� � �� ��
� ���.
�� Policy Director ��(�)Policy Director� 17��� �� ��( �)� �����. Web PortalManager� � �� ��� � ��� ����.
�� �� WebSEALa A b B c g N t T W d m s v l r x
�� �� �� ��
a Attach ��
A Add ��
b Browse ��
B Bypass Time-of-Day ��
c Control ��
d Delete �
g Delegation ��
l List Directory WebSEAL
m Modify �
59Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
�� �� �� ��
N Create ��
r Read WebSEAL
s Server Administration �
t Trace ��
T Traverse ��
v View �
W Password ��
x Execute WebSEAL
Policy Director� ��� ������� ��� � �� � � ��
��( �)� ���� ��� �����. ��� ��� 71 ���� ��
ACL � � � � ���� � ����.
�� ���� ACL policy� ���� ��Policy Director� ACL policy� ���� �� ���� �� ��
� ���� � ��� �� �����.
ACL� ���� ���� ACL� ��� � ���� �� ��
� ����� ��� ��� ��� �����.
Policy Director� ���� ��� ��� � �� �� �� ��� �
����. �� �� �� �� ASCII �� ����(a-z, A-Z).pdadmin �� Web Portal Manager� � � �� ���� �
� ��� ���� ����. ��, Web Portal Manager� �
�� ��(WebSEAL)� �� ���� ACL� �� �� �� ��
� ��(Base, Generic)� �� ��� �� ACL� �����.
���� �� � �������� ������� ���� �� ���� � ���
� �� ��� ��� �� ����. Policy Director� ��� ��
����� �� ��� ���� �� �� ���� ����� �
60 �� 3.8
����. � �� Policy Director ���(�: WebSEAL) � ���
������� �� Authorization API� � �����.
�� ���� ACL� ���� �� ��� ���� “� ���(�)�� �� ���� ‘��’ �� ‘r’ ��(�� ��)� ����?”�� ��� �� “�” �� “���”�� ��� � ����.
�� ���� “r” ��� ��� ��� � ��� �� ����
�� �� ���. � ���� ��� �� ��� �� ��
ACL ��� �� “r” ��� �� ��� ������.
�����, � �� ���� �� �� �����. � ����
�� �� ��� ������. �� �� �� ���� ���
�� ������� ��� �����.
�� �� ��� �� ����18�� �� Policy Director ��( �)� �� ��� ��� ���
���� ��� � ����. ��� ������� �� PolicyDirector ��� ���� ��, �� �� Policy Director� �
���� ���� �� �� �����. �� ��, �� ���
� �� � �� ��� ��� �� “r”� �� � ���.
�: �� �� ���� ��� � �� ���� ��� �� ���,�� ������ ��� ��� �� ��� ��� ��
Policy Director ��� ��� � ����. ��� � �����
��� ��� � �� �� ��� �� �� ���� ���
� �� � ����.
�� ������� �� �� ��� ��� � ��� �� ��
� ���� ��, Policy Director� ���� � ������� �
���� �� ���� � ���� �� ��( �)� �����
���.
��� ��� 71 ���� �� ACL � � � � ����
� ����.
61Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
�� �� � ��� ��� �� ��� �� ��� �� ������ ���� ��
��� ���. ��� �� ��� ���� Authorization API �
��� �� �� ���� �� ACL ��� ���� �� �� �
��� ��� � ����.
Policy Director �� ���� ���� �� ��� ����
����. ��� ���� ��� �� ��(� ����� “p”)� �
�� � � ����.
ACL policy� ��� ���� �����. ���� �� ����
��� ��� ��, � ���� “p” ��� �� ACL ��� ��
� �� ���. �� ���� “p” ��� ��� �� ��� �
�� ���� ��� �����. �� ���� “p” ��� �� ��
�, ���� �� ��� �� � �� ���.
ACL ��Policy Director� ACL� � �� ����� ���� ��� ��
�� � �� �� ����� ����. � ����� ���, ��� �� ���� ��� �� ��� �� ��� �� ��� �
�� ��� � ����.
�� 19. ��� �� �� ��� �
62 �� 3.8
��� ��� ��Policy Director� �� ��� �� ��� ��� �����.
1. ��� ID� ACL� ��� �� ������. �� ��
���� ��� �� ���.
���� ��: ��� ���� �����. ����� ��: ��
�� �����.
2. ���� � �� ���� ACL � �� ������.
� ��� � ��� ���� ��, � �� ���� � �
�� �� ��� �� “or”(��� �)���.
���� ��: ��� ���� �����. ����� ��: ��
�� �����.
3. �� �� ��� ��� ������(� ��� �� ��).
���� ��: ��� ���� �����. ����� ��: ��
�� �����.
4. �� �� ACL ��� ��� ��� �� ��� ���� �
����. � ��� �� ��� ���� ����.
���� ��: ��� ���� ����. �� ����� ����
�.
���� �� ��� ��Policy Director� ACL� ��� �� ���� ��� ���� �
��� � ���� �����.
��� �� �� ��� ��� � �� �� ��� �� �
�(“and” ��)���. ��� ��� �� �� �� �� �
� ���� ���� ���� �����.
��� �� �� ��� � ��� � ��� ACL� ��
�� �� ��� ��� ���� �� ��� ����.ACL� �� �� �� ��� ��� �� ��, �� ��
��� ��� ��� ���� �� ���.
63Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
ACL ��� ����� ACL �� ��� ���� �� ��� � �� �� ���
�����. ��� ���� group documentation �� �� �
�� ���.
group documentation --bcg--Tdmsv--lrx
�� �� �� ��� ���� � ���� �� �� ���
(any-other)� �� ��� ��� � ����.
any-other -------T-------rx
� ���� ���� �� ���� ��� �� �� ��� ��
��� ��� � ����.
unauthenticated -------T-------r-
�: ��� �� ACL �� ��, ���� � ���� � ��
� �� � ��� ��� � ����.
Sparse ACL ��: ACL ���� ��� ���� ���� ��� �����, � ����
�� �� ��� � ���� ���.
� �� �� � � ���� ���� ACL policy� ��� � �
���.
¶ ���� ��� ACL policy� ������.
¶ ���� �� � � � � ���� ������ ACLpolicy� ���� �����.
�� ACL � ���� � ���� �� �� ���� ���
�� � ����. � ����� ����� sparse ACL� ��� �
���.
64 �� 3.8
Sparse ACL �� �ACL ��� � ��� ��� ��� ���. ���� ��
ACL policy� �� �� ���� ��� ACL ��� �� �
�� ���� ���� policy� �����. �� ��, ��
�� �� ACL� �� �� ���� ���� �� ACL��� ���� ������ ACL� �����. ����� ��
ACL� ���� ��� �� ��� ����.
ACL �� � �� ��� ���� �� ��� ���� ��
���� ���� �����. � ��� ����� �� �
�� ��� ���� � ��� ��� ��� ACL� ����� �
� ���. ���, sparse ACL ����� ���.
��� ��� �� �� ���� ���� �� � �
� ACL� �����. �� ACL �� �� �� �� ���
� ����. ����, � ����� �� �� ACL���. ��� �� ��� ��� �� ���� � ACL� �����.
��� ��� Region�� ���� �� �� �� �����
��� ��, � ���� ��� �� ACL� ������. ��
�, 1� ��� �� ���� ���� �� ACL� � �
���. �� �� �� �� �� ��� ��� ACL�� �
����.
�� �� ACL policyPolicy Director� �� ��� ��� ���� ���� ��� �
����. ��� �� ���� � ACL� ���� ���� �
��, �� ��� � �� ACL� �����.
�� ��� �� ���� �� ��� ACL policy ��� ��
��. ���� � ACL� �� �� � �� ��� �� �� ��
ACL� ��� � ����. ��� �� ACL ��� ��� � �
���.
65Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
�� ACL policy� Policy Director� �� �� ��� ����
�����.
�� �� ACL -- default-root -- � �� �� �� �� ��
��.
Group iv-admin TcmdbvaAny-other TUnauthenticated T
Traverse ��Policy Director �� ��� � �� �� � �����.
1. �� ���� ���� ACL ���� ���� �� ���
�� ��� �� ���.
2. �� ���� ���� ���� ��� � �� ���.
�� ���� �� �� �� T(Traverse) ��� � �
����.
Traverse �� �� ��� ���� ���� ����� ���
��. Traverse �� �� � � ��� �� �� �� ����
�� ��� �� � ACL ���� �� ���, �, any-other�� unauthenticated� � ���� ���� ��� ��� ��
� ��� �����.
���� ��� �� �� ��� ���� ���� �� ��
�� ���� ���� �� � ACL�� Traverse ��� ���
� �� ����� ��� � ����.
�� ����� Traverse ��� �� ��� �����. ACMECorporation ��� TechPubs ���� ���( ���)� ����
Engineering ���� ���(� ���)� ����. ��� kate� Sales ��� �����, ���� �� �� ���� �
Engineering/TechPubs ���� Traverse ���. ���� �
��� any-other� �� Traverse� �����. ���� Engineering ����� �� sales� �� Traverse� �����. TechPubs
66 �� 3.8
���� Engineering ����� ACL� ����. ��� kate� �� � ����� �� ��� ��� �� ����
release_note �� ���� � ��� ���� �(Traverse)� � ����. � � ��� kate� � read ��� � � �
�� ���� kate� � �� � � ����.
��� ���� ���� � �� ��� ����� ���, ��
��� ��� �� � � �� ��� �� ��� � ����.��� ACL ���� Traverse ��� ����� �� ���. �
�� ���� �� Traverse ��� ����, �� � �� �� �
�� ���� �� ��� � �� ACL� �� ���� ��
���� �����.
�� ��, �� Sales� Engineering ���� Traverse ��� �
� �� ���, Kate� ���� �� �� �� read ��� ���
���� � �� ��� � ����.
�� 20. Traverse ��
67Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
��� �� ��� �� ACL�� ���� �� ACL� �� ���� �
� ��� ��� ��� �� ���� ��� ���. � ���
� ��� �� ��� �����.
���� �� ACL ��� ���� �� �� ��� �
����. �� ACL� ����, �� ���� �� �� ��
� � ��� ���� ���� �� ACL� �� ���� �
��� �� �����.
���� � ���(� �� �)� ����� ��, PolicyDirector� � ���� � ���� ��� � �� ��� ���
�����. ��� �� � �� �� ����� ������
���� �� ��� ��� �����.
��� �� ��� �� � � �� ���� ���� � ���
� �� Traverse ��� ���� � �� ���� ��� �
����. �� ���� �� ��� �� �� �� ��� �
��� � ��, ��� �����.
�� ��� ���� � ���� �� ��� ��� �� ��
�.
1. �� ����� �� Traverse ��
2. �� ���� �� ��� ��
�� ��� ���� ���� � �(� �) ��� ��� ���
� ����� �����.
/acme/engineering/project_Y/current/report.html
Policy Director� ��� �����.
1. ���� �� �� ACL(/)� �� Traverse ��
2. ��� acme, engineering, project_Y � current� ��
�� ACL� �� Traverse ��
68 �� 3.8
3. � ��(report.html)� �� � ��
���� ��� �� � � �� ��� ���� �� ��� �
��� ��� �����.
�� ��� �� ACL policy ����� ��� �� �� ACL policy�� ��� �����. ��
� ��� ��� ����� ACL� �� �� ��� ���
� ����.
��� ��� ��� ��� �� �� ��� �� Policy Director� � �� �� ���� ����.
¶ ACL policy
¶ ACL ��
ACL policy� ��� ACL ��� �� ��� ��� �� ��
�� ��� � �� ���. ACL ��� ACL� ��� �� ��
�� ����� �� �� ���� ���� ����. ��� ��
� �� ���� � �� ��� � ��� � � ����.
ACL �� ����, �� �� ACL policy� �� ���� �
� � � ��� ���� �� � �� ACL��� policy �
�� “��”���.
�����, ACL policy� �� ��� ��� �� ��� ���
�� ��� ��� ��� ��� � ���.
ACL policy �� ���� ����� �� ��� ��� �� ACL � ACL����� �� ��� �����.
�� ��� ���� �� ����� �� � � policy�����. �� ���� /WebSEAL ���� ��� ����� �
��� � � ���� ����.
69Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
� ����, sales ��� ��� � � ���� �� ����
����. � ���� ACL � �� ��� �� �� ��
�� �� ��� �� ��� ���� �� ������.
Year-to-Date sales �(ytd.html) sales �� ����� sales-vp�� ����� read ��� ���� ��� ACL� ���.
�: � ACL � � ��� ��� ���� ����� ����
�� ���. �� ���� ��� �� ��� ���
��. ����, ���� � ��� ��� � ����.
�� ��� ��� �� ��
¶ ��� ��� � �� �� ���� ���� � ��-��
� policy� ������. �� � �� �� � ���� �
� �� ACL� � � policy� ��� ������.
�� 21. ACL �� ��
70 �� 3.8
¶ ���� ���� �� ACL� �� �� ACL� � �
���� �� ��� ��� �������.
�� ACL ���� �� ACL� �� ���� ��� �
���� �����. ��� �� ����� ����� �
� � �� � � ��� ����.
¶ �� ���� ��� ��� ���� ��� ������.
� ���� �� �� policy� � ���� ��� ��
� ��� ��� �������. ���� ��� ��
ACL� ���� �� ���� �� �� policy� �����
�.
¶ �� ACL policy ��� ���� ��� � � �� � ACL� �� ������.
ACL policy� � �� ����� � policy� �� �� �
ACL �� �� ���� ��� ���.
¶ �� ��� � ��� ��� ������.
ACL� � ����� ��� � ����. �� ���� ��
�� �� ��� � �� ���� ����� ���� ��
����� ��� � ����.
��� ACL �� � �� �� ��� ����� “ �”�� �� �� ���� �� “��”���
� � ��� ����.
�� Policy Director �� ��� �����. 17�� �� ��
�� ���� � �� ���� ����(59 ���� ��� PolicyDirector ��( �)� � ). �� ��� ������� �� ��� �
�� �� ��� � ����.
� ���� � �� ��� �� �� ��� �� ����� �
��� ��� � ����.
¶ ��� � � 32�� � ���� �� �����.
71Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
¶ � ��� ��� ���� ����(a-z, A-Z).
¶ ��� � �� ��� � � ��� � �� �����.
¶ � � ��� �� � � ��� ���� � ����.
¶ �� Policy Director �� ��� �� �� � �� “�
�”� ��� ����.
Policy Director� �� 1,024�� �� �� �� � 32�� � �
(1� � � ��)� �����.
�� 22. 1� � �
�� 23. �� � �
72 �� 3.8
� � �� �pdadmin action group create �� ���� � � �� ��
����.
pdadmin> action group create test-grouppdadmin> action group list
primarytest-group
pdadmin> action group delete test-grouppdadmin> action group list
primary
�� 1� � � �� � ��� ���� ��� � ����.
���� /Management/ACL ���� ACL� � �� ����
�� m(modify) �� � �� ���� �� d(delete) ��� �
� ��� �� ���.
� ���� � � �pdadmin action create �� ���� � �� � �� ��
����.
pdadmin> action create <action-name> <action-label> <action-type><action-group-name>
action-name �(��)� ��� ��
action-label � �� � ��� ���. pdadmin action list� Web Portal Manager� �����.
action-type � ��(�� � ��� ���� � Web
Portal Manager� ��). �� ��� ��, �,
WebSEAL���.
action-group-name � � �� �� � ����. � ��� �
��� � ��, �� “1�” � �� ���
��.
�� ��, �� ����.
73Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
pdadmin> action create P Test-Action Special test-grouppdadmin> action list test-group
P Test-Action Specialpdadmin> action delete P test-grouppdadmin> action list test-grouppdadmin>
�� �� �� ACL ��� ��56 ���� �ACL �� ����� � ���, ACL �� ��
��, �� ID(��� � � ��� ��) � � � ��� �
�� �����.
� �� � ��� �� � ��� ���� � “1�” �
�� �� �� ��� �� ���. �� � ��� � �
�� ��� � ��� �� ���� ����.
<action>...<action>[<action-group>]<action>...<action>,,,
�� ��, �� ����.
abgTr[groupA]Pq[groupB]Rsy[groupC]ab
¶ ��� � ��� ��(abgTr)� “1�” (Policy Director ��)
� ����� ��� �� ��.
¶ � � A� � P q� �����.
¶ � � B� � R, s � y� �����.
¶ � � C� � a b� �����.
¶ � � C� “1�” �� �� � �� � ��� ���
� � ��� ���� ��� ������.
� ��� �� � � (C) ���� ���� “a” � “b” � ��� ��� ID� �� ���, “1�” � �� �� “a”� “b” � ��� �� �� ��� ��� � ����.
���� �� ��
74 �� 3.8
pdadmin>pdadmin> action group list
primarytest-group
�� �� “test-group”�� �� ��
pdadmin> action list test-groupP Test-Action SpecialS Test-Action2 Special
ACL policy ��
pdadmin> acl listdefault-websealdefault-roottestdefault-replicadefault-management
ACL “test”� ���� ��
pdadmin> acl show testACL Name: testDescription:Entries:User sec_master TcmdbvaGroup ivmgrd-servers TlAny-other r
�� �� “primary” � “test-group”���� �� ��� �
� ��� Kate� ACL �� ��
pdadmin> acl modify test set user kathy brT[test-group]PSpdadmin> acl show test
ACL Name: testDescription:Entries:User sec_master TcmdbvaGroup ivmgrd-servers TlAny-other rUser kathy Tbr[test-group]PS
ACL policy � �� ��� ������ ���� �� ��� ��� �� Region� ���� �
�� ��� � ��� �����.
75Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
1. ���� ���� ACL� ���� �� �� ACL� ���
� � ��� Region ��� �� �� ���� � ��-�
�� policy� ��� � ����.
2. ���� ���� ACL�� traverse ��� ���� Region��� ���� �� ��� ��� ��� � ����.
��(/) ���� ������ � ����� �� ���� � �����.
¶ �� ���� �� �� ��� ��� �� ACL ��� �
�� �����.
¶ �� �� ACL� ���� ���, �� ���� �� ��
� ��� � policy� �����(��� �).
¶ �� ��� �� ���� ����� traverse ��� ���
��.
Traverse ��Traverse �� �� ��� �� ��� ���� � �����.
�� ��
T Traverse ���� ���� ��� �, �� �� ��
�� �� � ���� ���� ����� �
� � �� ���. ���� ���� �� �
� ��� ��� ��� ����. Traverse�
�� �� ��� ����� ���� ����.
WebSEAL ����� � ����� �� ��� ��� /WebSEAL �����
�����.
¶ WebSEAL ���� ��� ��� WebSEAL Region� ��
ACL ��� ��� �����.
76 �� 3.8
¶ �� �� ACL� ���� ���, � ���� �� � ��
� � policy� �����(��� �).
¶ � ��� � ��� ��� ���� ����� Traverse��� �����.
/WebSEAL/<host>� ����� �� WebSEAL � � � ��� �� ����. �
�� � ����� � ���� � �����.
¶ � ��� ��� ���� ����� traverse ��� ���
��.
¶ �� �� ACL� ���� ���, � ���� � ��� �
� �� ��� ��� � policy� �����(��� �).
/WebSEAL/<host>/<file>� HTTP ��� � ���� �� ������. �� �
� �� ��� �� ����.
WebSEAL ���� ��� ��� ��� WebSEAL Region� ��� � ��
��� ����.
�� ��
r read � ��� ��
x execute CGI ����� �����.
d delete � ���� � ���� �����.
m modify HTTP ���� �����(HTTP ����
WebSEAL ��� ��� �� - ��).
l list � ��� ��� �� ��� ���� �
Management Server� ��� ���.
g delegation ����� ���� ����� WebSEAL �
� ��� ���� � ��� junction
WebSEAL � � � ���.
77Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
�� ���� ��� ��� �� region �� �� ��� ���� � �
� � �� ���� ���� �����.
¶ �/Management/ACL ���
¶ 80 ���� �/Management/Action ���
¶ 81 ���� �/Management/POP ���
¶ 82 ���� �/Management/Server ���
¶ 83 ���� �/Management/Config ���
¶ 83 ���� �/Management/Policy ���
¶ 84 ���� �/Management/Replica ���
¶ 84 ���� �/Management/Users ���
¶ 86 ���� �/Management/Groups ���
¶ 87 ���� �/Management/GSO ���
��� � ����� �� ��� �� � /Management ���
�� �����.
¶ Management ���� ��� ��� �� region� �� ACL��� ��� �����.
¶ �� �� ACL� ���� ��� , � ���� ��
Management ��� �� � policy� �����(��� �).
¶ /Management� ����� traverse ��� �����.
/Management/ACL ��� ���� �� ���� � ���� �� � policy� ��
� � � �� ��-��� ACL �� ���� ��� � �� ��
�.
78 �� 3.8
�� ��
a attach ���� ACL policy� ����, �����
ACL policy� �����.
acl attachacl detach
c control ACL policy� ����� � ACL� ��� ��,
�� � ����� ����.
acl modify
d delete ��� ACL policy� �����. � ���� �
� ACL �� ��(c) ��� ��� �� ��
�.
acl delete
m modify �� ACL policy� �����.
acl create
v view ACL �� � ��� ACL ����� ����.
� �� /Management/ACL� �� ACL� �
�� �� ���.
acl findacl listacl show
/Management/ACL ���� �� �� ACL policy� ACL ���
��� �� ���. ���� ACL ���� �� ��� ��� �
����. ��� �� ����� �� ACL policy� ����, ���� ACL� ���� ACL policy� ���� �� �����.
ACL� control(c) ��� �� �� ���� �� ��� ��� ACL���� ��� ACL� ��� � ����. ACL ����� ���
��� � ����.
�� ACL policy(/Management/ACL� m)� ���� ����� �
� TcmdbsvaBlNWA ��� �� ��� ��� ���.
79Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
�� ��, sec_master� m ��� �� default-management ACL� ��� ��� ��, sec_master� �� ACL policy� ��� �
����. ��� sec_master� TcmdbsvaBlNWA ��� �� ��
ACL� ��� ��� ���.
control(c) �� sec_master� ACL� ���� ���� sec_master� ACL� ��� � �� ���. �� ��, ��� sec_master�
� ACL� �� �� ��� ��� �� ��� ��� � ����.
default-management ACL ��� ��� ����� ���
sec_master � iv-admin� ����.
Control ��(c)control �� ACL policy� ���� ���� �� �����. �
�� ACL�� ��� ��� � �� ���. � �� ��, ��
��, �� �� � �� �� � �� ��� � �����.
� ACL� ACL policy ���� ����� ���� � ACL� �
� �� ��� ��� ��� ��� �� ���.
control �� �� ����� � ACL� ���� Attach(a) � �
�� � � �� �� �����. control �� ��� ��
� ��� ��� �� ���� �� ���.
/Management/ACL ����� �� ��� ���� �����.
/Management/Action ��� ���� �� ���� ��� �� � � �� ��� �
�� ���. � ��� � �� �� �� ����.
�� ��
d delete ��� � �� � � ��
action deleteaction group delete
80 �� 3.8
�� ��
m modify � � � � � ��
action createaction group create
action listaction group list
��� ��� ��� �� ����.
Policy Director� ������� �� ���� �����. PolicyDirector ��� ���� ��������� WebSEAL(� �����
�� ��) PDMQ(��� ������� ��)� ����.
�� ������ Policy Director Authorization API� � ��
���� ��� � ����. �� ������� �� ��� ��
�� � ��� � �� �� �� ����.
¶ ������� ��� ��� �����.
¶ ��� ��� ���(��)� ��� �����.
�� ������ ��� ��� ���� pdadmin ����� �
��� �� �� �� ��� � ���� . ���� �
/Management/Action� ���� ���� � m � d/Management/Action ��� ��� �� ���.
/Management/POP ��� ���� �� ���� �� ��� policy� ��� � �� �
��. �� �� /Management/POP� ACL� �� ��� ���
���. � ��� � �� �� �� ����.
�� ��
a attach ���� POP� �����.
pop attachpop detach
81Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
�� ��
d delete POP� �����.
pop delete
m modify POP� ���� POP �� �����.
pop createpop modify
v view POP� �� ���� POP ����� ����.
pop findpop listpop show
B Bypass TOD ���� �� POP �� �� �� ��
/Management/Server ���� ��� ��� /Management/Server ���� ���� ��
�� � �� ���� ��� � �� ���(��� ��� ��
��).
���� � ��� ��, �� �� ��� � �� ��� ��� �
��� � � ��� �����. � ���� �� Policy Director� ��, Management Server(pdmgrd)� � � � ��� �
��� � �� �� ��� �� ����.
� ��� �� ����� ��� �� Resource Manager(�:WebSEAL) �� Authorization Server(pdacld)� �� ��� ���
��. �� � � �� ��� � � ��� ��� �����.
�� ��
s server �� ����� ��
server replicate
v view �� � � ���� � �� ��� ���
�.
server listserver show
82 �� 3.8
�� ��
t �� �� �� �� �� �� ��
server task <server-name> traceserver task <server-name> stats
/Management/Config ���� ��� ��� /Management/Config ���� ���� ��
�� �� �� ���� ��� � �� ���(��� ��� ��
��).
� ��� �� � ��� ���� �����. �� ���� ��
� ���� � �� �� ��� ��� ����. ��� ���
� �� �� ��� ����� /Management/Config ���� �
� modify(m) ��� ��� �� ���.
��, ���� �� �� ��� ����� /Management/Config ���� �� delete(d) ��� ��� �� ���.
�� ��
m modify � ����� ��
svrsslcfg -configsvrsslcfg -modify
d delete ���
srvsslcfg -unconfig
/Management/Policy ���� ��� ��� /Management/Policy ����� ���� policyget � policy set �� �� ���� ���(��� ��� ��
��).
�� ��
v view policy get �� ������.
m modify policy �� �� ������.
83Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
/Management/Replica ���� ��� ��� /Management/Replica ���� ���� �
� ������ ��� �����. � ���� �� ��-�� �
�� � ���� Managment Server � � ���� �� ��
� ���.
��� �� ��� ��� ��� ���� � �� �� policy �
����� �� ��� � �� ����� ���� � ����
�.
�� � �� �� �� ����.
�� ��
v view �� �� ����� �
m modify ��� ������ �� ��� �����.
�� ������ �� ���� ������ �� Policy Director� (�� �� ��� � Authorization Server ��)�
/Management/Replica ���� �� view(v) ��� ��� ��
���. �� ����� ��� ����� �� �� policy ���
����� ��� �� ��� � �� �� � �����. PolicyDirector ��� �� policy ������ �� ��� ��� �
� read ��� ���� �����.
Policy Director� �� modify(m) ��� ���� ����. ��
policy �� ������ ���� ��� �� Web PortalManager �� pdadmin ����� ��� ���. ��� � �
� ��� �� ��� ��� ���. modify �� ���
Management Server� ��� � �� � ����� ���� ���
�.
/Management/Users ��� ���� �� ���� ��� ��� ��� � �� ���.
� ��� � �� �� �� ����.
84 �� 3.8
�� ��
d delete ��� ��� �����.
user delete
m modify ��� ��� ����� �����.
user modify authentication-mechanismuser modify account-validuser modify gsouseruser modify description
N create � ���� ���� � ���� ���� �
� �����. ��� �������� � �
��� �����.
user createuser import
v view ��� �� �� � ��� �� ����� �
���.
user listuser list-dnuser list-gsouseruser showuser show-dnuser show-groups
W password ��� ��� ����� ������.
user modify passworduser modify password-valid
W �� �� ���� ���� ���, Helpdesk ���� ��
� �� � ���� ��� � ��� ���. � �� ����
��� ��� �����, user modify password-valid �� ��
�� “no”�� �� ��� � �� ���. � �� ���� ���
�� ��� ���� �� � ��� ����� �����.
/Management/Users ���� � �� �� ���
/Management/Groups/<group-name> ���� “delegated administration”policy ACL� � � �� ��� �����.
85Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
/Management/Groups ��� ���� �� ���� � � ���� ��� � �� �
��. � ��� � �� �� �� ����.
�� ��
d delete �� �����.
group delete
m modify � �� �����. �� ���� ����
�.
group modify descriptiongroup modify remove
N create � �� �����. ��� �������� �
���� �����.
group creategroup import
v view �� ���� � ����� ����.
group listgroup list-dngroup showgroup show-dngroup show-members
A add ��� ���� �� �����.
group modify add
��� ���� ��� �� ���� � �� ACL� �� �
��� ��� A ��� �����. � ���� ���� ����
��� �� ���� � user create �(N ��� ���)������.
�� ���� �� �� ��� ���� ��� � ���� ��
� ���� ��� �� ���� �� �� ����. ���,�� ���� delete(d) ��� ��� ��� �� � �����
� ���� ��� �� ����.
86 �� 3.8
/Management/GSO ���� ��� ��� /Management/GSO ���� ���� ���
� GSO �� ���� ��� � �� ���(��� ��� �� �
�).
�� ��
m modify rsrcgroup modifyrsrccred modify
v view rsrc listrsrcgroup listrsrccred listrsrc showrsrcgroup showrsrccred show
N create rsrc creatersrcgroup creatersrccred create(� ���� �� m� ���)
d delete rsrc deletersrcgroup deletersrccred delete(� ���� �� m� ���)
��� � ��� �� ��� � �� ���� � ��� � ��� ��� ��� � �
�� ���. � ��� � �� �� �� ����.
�� ��
b browse objectspace listobjectspace writefileobject listobject listandshow(����� v� ���)
d delete objectspace deleteobject deleteobject modify set name(����� m� ���)
87Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
�� ��
m modify objectspace createobjectspace readfileobject createobject modify
v view object listandshow(����� b� ���)object show
�� �� ACL policy��� �� �� ACL policy�� � ���� �� region ��
�� �� ��� ����.
�� � ��� ��� ���� �� ��� ��� ����� �
� � ��� � ���, �, �� ���, ���� ��� �
� ��� ��� � ����.
Control(c) ��� ��� �� � ACL� ��� �� �����
�. Control ��� �� ��� � ACL� “��”�� ACL �
�� ��� � �� �� ���.
�� �� ACL policy�� �� ACL� default-root� �� �� �� �� ����.
Group iv-admin TcmdbvaAny-other TUnauthenticated T
�� ACL �� ������(�� ���� ��� ��� ��
� ��� �� �� ��� ������). ���� �� ���
��� ����. ��� �� ACL� � �� ��� �� �� �
�� �� �� �� ��� ��� �� ��� ��� ����
���.
�� ACL�� �� ��� ������.
user john -----------------
88 �� 3.8
� ��(��� ��)� �� user john� �� ���� ����
�� �� ��� ����. � ���� ���� � � ��� �
� ���� �� ��� ��� �� ��� � ����.
� ��� ��� WebSEAL ��� ��� ��� � ����. �� ��, /WebSEAL ���� ���� �� ������ Traverse��� ����, � region� ���� �� �� ��� ��
�� ���� WebSEAL ��� ��� �� ��� �� �� �
����.
�� /WebSEAL ACL policyWebSEAL ACL� default-webseal� �� �� �� ����.
Group iv-admin TcmdbsvarxlGroup webseal-servers TgmdbsrxlUser sec_master TcmdbsvarxlAny-other TrxUnauthenticated T
���, � �� ACL ��� ��� /WebSEAL ���� ��
�� �����.
webseal-servers ��� � WebSEAL � � �� ��� �� �
���. �� �� � � ��� ��� ��� � �� ���.
Traverse �� Web Portal Manager� � � �� � ���
�� ����. list �� Web Portal Manager� � ��� ��
� �� � �� ���.
�� /Management ACL policy�� ACL� default-management� �� �� �� ����.
Group iv-admin TcmdbsvatNWAGroup ivmgrd-servers TsAny-other Tv
���, � ACL ��� ��� /Management ���� ���
� �����.
89Tivoli SecureWay Policy Director Base �� ���
3.�
��
��
po
licy�
�
�� /Replica ACL policy��� �� ACL� default-replica� �� �� �� ����.
Group iv-admin TcbvaGroup ivmgrd-servers mGroup secmgrd-servers mdvGroup ivacld-servers mdv
�� /Config ACL Policy�� �� ACL� default-config� �� �� �� ����.
Group iv-admin TcmdbsvaNAny-other TvUnauthenticated Tv
�� /GSO ACL PolicyGSO �� ACL� default-gso� �� �� �� ����.
Group iv-admin TcmdbvaNAny-other TvUnauthenticated Tv
�� /Policy ACL PolicyPolicy �� ACL� default-policy� �� �� �� ����.
Group iv-admin TcmdbvaNAny-other TvUnauthenticated Tv
90 �� 3.8
POP ��
Policy Director �� ���� � ��� �� �� �����
�� ��� ����. �� � �� ��� policy� ��� �
��.
¶ ACL(Access Control List) Policy
¶ POP(Protected Object Policy)
POP� �� ACL policy� ��� ��� ���� ��� ���
� ���.
��� �� �� ��� �� ����.
¶ �� ���� ��� �� ��
¶ �� ���� �� ��
� ��� �� ��� policy� ���� ���� ���� �
�� ����.
�� ��
¶ 92 ���� �POP(Protected Object Policy) ���
¶ 95 ���� �POP � ���
4
91Tivoli SecureWay Policy Director Base �� ���
4.P
OP
��
POP(Protected Object Policy) ��ACL policy� �� ���� �� ��� � ��� “yes” �
� “no”� ��� � ��� ��� �� ���� �����.
POP policy� “yes”� ��(�� ���� ACL policy ��),WebSEAL � �� ���� � ��� �� �� �� �
����. �� ���� POP �� ��� ��� ���.
�� ��� Policy Director POP� �� ��� ����.
Policy Director Base� � ���
POP �� �� pdadmin POP ��
�� Policy� �. pdadmin pop
��� <pop-name>� ���.createdelete
�� Policy� �� � ���. popshow �� �����.
modify set description
� �� ����� ACL � POP policy
� ���� � �� �� ��
���.
modify set warning
�� �� ��� ��� �����(�: all,
none, successful access, denied
access, errors).
modify set audit-level
���� ��� �� ���� ���� �
�� �� ����� ��modify set tod-access
��� �� � ��� ��� �����. modify set attributemodify delete attributelist attributeshow attribute
Resource Manager(�: WebSEAL)� � ���
POP �� �� pdadmin POP ��
�� � �� ��� ��� �����
(none, integrity, privacy).modify set qop
92 �� 3.8
Resource Manager(�: WebSEAL)� � ���
POP �� �� pdadmin POP ��
IP ���� �
��� Policy�� ���� ���� ���
�� �� ����� ����
�.
modify set ipauth addmodify set ipauth removemodify set ipauth anyotherw
POP policy ����
¶ ���� �� IP ����� �� ��� ��� ����
� ��� �����.
¶ �� �� �� � ��� ��� �� �� �� ��
�� ����� � �� ����� ����.
¶ �� ��� ACL � POP policy� ����� �� ���� �
�� ��� �����.
�: Policy Director� �� ��� P, I, A �� ��� �� ��
� �� � �� POP policy� ���� ����.
POP(Protected Object Policy)� � � ��POP(Protected Object Policy)� ACL policy � ���� ���
��. ���� POP� �� � ���� POP� �� ��� ���
�����.
POP policy� ACL policy � ��� �����. POP policyACL policy� Management Server� � ���� �� �� ��
���� �����.
POP policy� � � ��pdadmin> pop create <pop-name>
�� ��, �� ����.
pdadmin> pop create testpdadmin> pop list
test
93Tivoli SecureWay Policy Director Base �� ���
4.P
OP
��
�� POP policy�� �� � �� ���� �� ����.
pdadmin> pop show testProtected object policy: testDescription:Warning: noAudit level: noneQuality of protection: noneTime of day access: sun, mon, tue, wed, thu, fri, sat:
anytime:localIP Endpoint Authentication Method Policy
Any Other Network 0
POP policy� ��pdadmin> pop delete <pop-name>
�� ��, �� ����.
pdadmin> pop delete testpdadmin> pop listpdadmin>
POP � �� � ��pdadmin> pop modify <pop-name> set description <description>
�: � � ��� ��� �� � ��� ������.
�� ��, �� ����.
pdadmin> pop modify test set description “Test POP”pdadmin> pop show test
Protected object policy: testDescription: Test POPWarning: noAudit level: noneQuality of protection: noneTime of day access: sun, mon, tue, wed, thu, fri, sat:
anytime:localIP Endpoint Authentication Method Policy
Any Other Network 0
POP ��� �� ���� ��POP policy� ACL policy � ���� ���� �����.
94 �� 3.8
���� POP policy ������ POP policy� ���� �� �� ����.
pdadmin> pop attach <object-name> <pop-name>
�� ��, �� ����.
pdadmin> pop attach /WebSEAL/serverA/index.html test
POP policy� ��� �� ��pdadmin> pop find test
/WebSEAL/serverA/index.html
POP policy ������ POP policy� ���� �� �� ����.
pdadmin> pop detach <object-name>
�� ��, �� ����.
pdadmin> pop detach /WebSEAL/serverA/index.html
POP �� ��
¶ �� �� �
¶ �� �� �
¶ ���� �
¶ �� �� �
¶ IP ����� �� ��� �
�� �� ���� �� �� � ���� � �� �� ��� ����
� �� policy ��� ���� ���� �� � ��� ��
���.
�� �� “yes”� ���� POP� �� ���� �� �� �
��� �� �����. ���� �� ACL policy� ���
��� ��, ����� �� ��� ����.
95Tivoli SecureWay Policy Director Base �� ���
4.P
OP
��
�� ��� ��� ��� �� �� ��� �� ACL policy��� ��� � �����. �� ��� �� �� “no”� �
�� ��� �� �� �� ����. ���, ���� policy� �
��� ���� ����� ��� � ����.
pdadmin> pop modify <pop-name> set warning {yes|no}
�� ��, �� ����.
pdadmin> pop modify test set warning yes
�� � ���� �� POP � �� �� Policy Director�� ��� ��
��� “A” ACL �� ��� �����. POP �� �� ��� �
�� ���� � ��� ���.
�� ��, ��� ����� �� ���� ����� ���� ��
��, � �� � ��� �� �� �� �� ��� � ����.
�� ��� ��� ��� ��� ����� � XML �
��� ���� ����.
��� ��� 156 ���� ��� �� ��� � ����.
pdadmin> pop modify <pop-name> set audit-level{all|none|<audit-level-list>
Audit-Level-List
��
permit ����� ��� �� ���� ��� �� ����
�.
deny ��� ��� �� ���� ��� �� �����.
error �� ����� �� ��� �� �� ���� � �
��� �����.
�� � �� �� ��� ��� ��� �����. � ��� �� �
�� �� �� �� ��� ������.
96 �� 3.8
�� ��, �� ����.
pdadmin> pop modify test set audit-level permit,deny
���� ��TOD(Time-of-day) POP � �� ���� ��� � �� �
� ���� ��� � �� ���. ��� ��� � �� �
�� �� ��� ��� ���� ��� ���� ��� ���
� � �����.
��� �� ���� �� �� ACL policy �� ��(“B”)���. � �� �� ����� �� ��� �� ��� ��
�� �� ���� ��� ���� ���.
pop modify <pop-name> set tod-access <time-of-day-string>
time-of-day-string ���� day-range � time-range� ���, �� �
�� �����.
<{anyday|weekday|<day-list>}>:<{anytime|<time-spec>-<time-spec>}>[:{utc|local}]
day-list ��� �� ��� �� � ����.
mon,tue,wed,thu,fri,sat,sun
time-spec �� ���(24���) �� �� � ���.
hhmm-hhmm
�� ��, �� ����.
0700-1945
� (����� ��)� �� ���� ����� �����.
�� ��, �� ����.
pdadmin> pop modify test set tod-access mon,tue,fri:1315-1730
97Tivoli SecureWay Policy Director Base �� ���
4.P
OP
��
�� ��� ��POP �� �� � ��� �� ��� ��� �� ���
WebSEAL� �����.
� POP �� �� ��� ��� Tivoli SecureWay Policy DirectorWebSEAL �� ��� � ����.
IP ����� �� �� ��IP ����� �� ��� POP � �� policy(��) � ���
� �� �� policy� ��� ����.
� POP �� �� ��� ��� Tivoli SecureWay Policy DirectorWebSEAL �� ��� � ����.
98 �� 3.8
� �� ���
Policy Director� �� �� ���� �� �� ���� � ���
�� ��� ��� � �� ���. � �� �� � � ����
��� ���� ��� �� ����, � �, ���, ��� ��
� � �� ���.
Policy Director� � � � �� ��� �����.
¶ ��� ��� sub-region� �� �� �� ��.
�� �� ��� ��� � ���� ���� ����.
¶ � � ���� �� ��.
�� �� ��� ��� ����� ���� ����.
�� ��
¶ 100 ���� ���� �� �� ���
¶ 106 ���� �� �� ���
¶ 113 ���� ��� �� Policy ���
5
99Tivoli SecureWay Policy Director Base �� ���
5.�
�
��
��
��� �� � ��� ��� ��� �� ��� ��� �� ���� ���. �� �
�� �� ��� ���� �� �� � � �� ��� ���
� �� ���� ��� ���� �� �����.
����, �� ��� �� ��� � � ��� ���� region�� ��� � ����. �� � region � ��� �� ���
� �� �� ���� ������ � ������.
Policy Director � �����, LDAP� �� sec_master ��� �
�� �� ��� �� ��� �����. sec_master� ���� �
� ��� ���� ��� ��� �� region� ��� ��� ��
� � ����.
�� ��� �� ��� �� �� �� ��� ��� sub-management ��� �� � �� ��
region �� ��� ����� ��� ��� � �����.
��� ����, ��� ��� � � �� region�� ��� �
� ��� �����. ��� region�� ��� � region� ����
���� ��� �� ���� ����.
100 �� 3.8
�� �� �� � ����� Policy Director� � �� ��� �� �� �����. �
���� �� ���, ���� � ������ �� ��� ��
�� ���� ��� ��� ����(� �� � policy� �� �
� ���� ACL� � �����).
�� ����� �� �� ��� � ��� �� ���� �� �
�� ���� ����. ���� ���� �� policy� ���� �
�� ��� ��� ��� ��� � ����.
�� sec_master(LDAP)� ���� � ��� �� �� ��� �� ��� ��� ���
� � ���� ���� �� ��.
�� ����� �� ��� �����(�� ��) ��� sec_master���� ����, ��� ��� ��� �� � policy� ��
� � ����.
�� 24. �� ��� �� ��� �� � � ��
101Tivoli SecureWay Policy Director Base �� ���
5.�
�
��
��
�� iv-admin� � ��� �� �� ��. cell_admin ����, � �
� �� ��� �� policy� � � ���� ���� ���
��. �� �� ACL ��� sec_master iv_admin �� ��
� ��� ��� �����.
���� iv-admin �� ���� ����� �� ��� �� ��
� � ����. � ��� ��� � ���� � � � �� ��
�(�� ACL�)� �� �� � ���� �� ���� � �
� ��� ��� � �� ���� ��� ��� �� ���.
� �� �� policy� �� ����� management ��� ���
�� � iv-admin�� �� �� �� management ��� ���
� ��� � ����.
�� ivmgrd-servers� ��� Management Server� �� ����. Policy Director�
� ���� ��� ��� Management Server� ��� � ��
���. ���, � ��� ��� ���� �� ����.
�����, ��� �� �� Management Server� � �� �
� ���� ��� Management Server� �� � �� ��� ��
� � �� ��� ��� �� ���. ��� ��� � � �
�� �� �� ACL�� server administration(s) ��� ���� �
�� ���� list(l) ��� �����.
�� webseal-servers� ��� � ���� �� WebSEAL � � �� ����. �
� WebSEAL ACL ��� � � ��� HTTP-specific ��
delegation �� ��� �����. � policy� �� WebSEAL �
� �� �� WebSEAL � � junction� � �� ���. � policy� �� � � � � ��� ��� ��� ��� � ����.
102 �� 3.8
�� �� ���� �� ���� ��� ��� ��� � ����. �� �
���� �� �� ACL� � ����� �����. ��� ��
��� ��� ��� �����.
¶ ACL �� �
ACL ���� �� ACL� ��� �� �� ��� NamespaceRegion� �� �� ��� ��� � ����. ���� ACL �
��� b, a, t �� ��� � Region� ���� �� ��
� ��� �� ��� ��� � ����.
���� �� ��� ���� �� ACL ���� ��� ���
� �� Namespace� ���� ACL� ��� � ����. ����� ACL ����� ��, �� �� ��� � �� ���
��� �� ����.
¶ ACL policy �
ACL policy ���� � ����� ���� �� ACL ��
��� �� � ��� ��� ��� ����. ACL policy ��
���� /management �� /management/ACL ���� �� d,b, m, v ��� ���� ���.
� ACL policy ���� �� ACL ����� ��� � ��
��. �� ����� ����� ���� ����� abcT �
�� �� �� ACL ������ ��� ��� ���.access(c) �� ACL� ��� ���� ���� �����
ACL� ��� � �� ���.
ACL� ����� ����(�� ACL� ��) ���� ��
� ACL� delete(d) ��� ��� � ����. � ACL� ��
�� ��� ACL ����� ��� � ����.
¶ �� �� �
� ������ /Management/Server ���� �� d, m, s, v��� �����. � ���� Policy Director � � ��� �
�� ��� ��� � ����.
¶ �� �� �
103Tivoli SecureWay Policy Director Base �� ���
5.�
�
��
��
� ������ /Management/Action ���� �� d � m �
�� �����. � ���� �� ������� � �� �
� �� ����� ��� � ����.
�� �� ACL ������� ��� ���� �� ��� � ��� �����.
¶ /WebSEAL� �� �� ACL user adam�� �� �� ��
� �����.
��� sec_master abcTdmlrx�� iv-admin abcTdmlrx�� webseal-servers gTdmlrx�� ivmgrd-servers Tl��� adam abcTdmlrx�� Trx���� � Trx
��: �� ���� ��� ���� ��� �� ��� ���� � ��� �
� ���� ��� � ����. � ������ ��� � ����
��� �� ���� �� ACL�� traverse ��� �� � ��
� ��� ���� ���. �� �� ����� �� ���� �
�, ��� ACL�� �� �� ��� ��� ���� � �� ��
� ��� � ����.
�� � ���� �� �� ACL ��� ���� ����.
1. �� � ��� ������.
2. � �� �� �� ����� �� ������.
3. �� ��� ��� ��� �� ��� ��� ���� � �
� ACL ��(traverse ��� ��)�� ������.
4. � �� �� ACL�� ��� �� ��� ��� ������(b,c, T, �� ��� �� ��).
104 �� 3.8
5. �� ���� ���� �� � ACL ��(� �� ��)� ��
� � ����.
�� � ����� �� � ��� �� ���� �� ���
� ���.
�� ���� iv-admin � �� �� ���� �����. ��
� pub-manager� � �� ������ Publications ����
���� � ��� traverse ��� ���.
Publications ����� � ACL� ��� pub-manager ��
� ���� ����. pub-manager� � ��� �� ������,pub-manager� Publications ACL�� iv-admin � ��(� �
� ACL ��)� ��� � ����.
�� 25. �� ��� ��
105Tivoli SecureWay Policy Director Base �� ���
5.�
�
��
��
�� �� �Policy Director� �� �� ���� �� �� ���� � ���
�� ��� ��� � �� ���. � �� � �, ���, ���� �� �� � � ��� ���� ��� �� �����.
�� ��� ���� ���� � �� �� ����� �� ��
��� ��� � ����. ����� � �� policy �� ���
���� ��, � ����� � � ���� policy �� ���
����.
�� � ��� ��� �����.
¶ �� �(� � �� ���)� �� ���
¶ �� �� � ����� ��� ��� ��
� ��� “���”�� ��� � ����� ��� �� ��
� �� ��. �� ��� �� ���� ��� �� ���� �
� �� �� �� ������.
�� � ��� �� �� �� �����.
1. � ���� ���� ��� ��� ��� ���� ���
� �� � ��
2. �� � � ���� � ���� ��� ��
3. ���� ��� �� ��� � ��
4. ����� ���-��� ��� ���� ACL policy ��
5. ���-��� ��� ��� ���� ���� �� �� �� �
�
�� ���� ��� ������, Policy Director ��� ��� /Management region��
� ���� � �� � � ������ ��� � �� �
���� ���� ����.
106 �� 3.8
���� ���� ��� ��� �� ��� region�� ���
�� ��� � ��� �� � � �����. � ���� ��
�� � ��� �� ��� ��� � �� ���. ��� �� �
���� ��� �� �� �� ��� � ����.
�� � ���� ���� ����� pdadmin object create�� ������.
pdadmin> object create <obj-name> <description> <type>ispolicyattachable {yes|no}
� ��
obj-name �� � ����� �� �� � � . ���
/Management/Groups� �� ���.
description ���� ��� �� ��� ���. � ��� objectshow �� �����.
type �� ��� � ��� �� �� ��� ���� �
��� �� ��� ����. �� 0-16 ��� ��
��(�� ��� � ). �� 14� ���� ���� �
����.
ispolicyattachable
� ���� ACL policy� ��� � ��� ����
�.
����
0 - � � ��
1 - � ���
2 - �
3 - �� �� ����
4 - ���
5 - junction
6 - WebSEAL �
7 - ���� ��
8 - ���� ��
9 - HTTP �
10 - ���� �� ���
11 - ���� ���
12 - �� ���
13 - ��
14 - ������ ���� ���
15 - ������ �� ���
16 - �� ���
17 - ���� ��
107Tivoli SecureWay Policy Director Base �� ���
5.�
�
��
��
�� ��, �� ����.
pdadmin> object create /Management/Groups/Travel “TravelContainer Object” 10 ispolicyattachable yes
pdadmin group create �� ���� � ���� ���� �
�� �� ����. ��� ��� 109 ���� �� ���� �
����.
–
–
+
/Management
/Management/Groups
/Management/Groups/Travel
�� 26. � ���� ���
108 �� 3.8
�� �� �� ����, ���� � �� � ���� ���� �
���� pdadmin group create �� ������. ���� �
��� �� ���� �� ��, ���� �����.
pdadmin> group create <group-name> <dn> <cn> [group-container]
� ��
group-name � � ���� �
dn � �� �� �
cn �� �� �� �
group-container � �� ��� � ���� ���� �� �� �
� �. � ���� ���� ���� � ��,
�� /Management /Groups ��� �����.
¶ �� � � ���� ���� �� /Management/Groups ��
�� ��� �����. � �� �� ��� ����� ����
�, group-container ��� �� �� �� ������.
¶ group create � �� ��� � ���� ���� �
�� � �� ���.
¶ ��� ��� � �� �����, ���� �� � ��
�� ���� ��� ACL� ��(N)� �� ���.
� ���� ���� ���� � ��, (�� ��� ��)��� ACL ��� /Management/Groups ����� ���
ACL� ���� �� ���.
���, ��� �� ACL� (default-management)--/Management� ��--�� � � � ����� ��� �����. � �
�� ��� ����� ���� ��� ACL� �� ���.
¶ � � ����� �� �� ��� � ����.
� ���� ���� ACL (��� �) ���� ���
� �� �� �� �����. ���� ��� � �
�� ��� �� ���� ���� ���.
109Tivoli SecureWay Policy Director Base �� ���
5.�
�
��
��
¶ ��� ��� � � ��� ��� �����.
� �� ����, (LDAP� ��) ��� ���� �� �
�� � �� �� � � ��� �� � ����(� �
� ���� �����).
�� ��, �� ����.
pdadmin> group create group1 “cn=travel,c=us” Group1 Travel
pdadmin> group create group2 “cn=travel,c=us” Group2 Travel
�� ��� � ��� ACL policy���� �� ���� �� ��� ACL� � ��� �� �
���� ���� ���� ����.
�� �� ���� ���� ��� ACL � �� �� �
��� ���� �� � ��� ��� ��� �� ���.
�� ��� ��� /Management /Groups �� ��� ����
ACL� /Management/Groups �� � ��� ���� ���.
–
–
–
/Management
/Management/Groups
/Management/Groups/Travel
+ /Management/Groups/Travel/group1
+ /Management/Groups/Travel/group2
�� 27. �� � ����� � � ��
110 �� 3.8
�� ��� ��� � ���� ��� ��� ���� ��,ACL� � ���� ���� � ��� ���� ���.ACL� /Management/Groups ���� ���� ����, ACL� ��� �� ��� ��� �� � ���� ��� ��� ���
����.
�� �� � ��� ��(�� ��� � ) ACL ��� �
����.¶ �� � ��� � ���� ��
¶ � ���� ��� � �� �
�� ��, 110 ���� ��27��� /Management/Groups/Travel�ACL� �1 �2 ��� �� ��� �����.
�� �� � ACL �� � ��� �����.
�� ��
��(� �) �(��� �������� � ��
�)
create(N)
��(�) delete(d)
�(� ����) view(v)
��(� �) modify(m)
��(�� ���� ���) add(A)
��(�� ��� ����) add(A)
��� pdadmin ���� ���, �� ��� ���� ��� �
�� ��� � ����.
�:
¶ create(N) �� /Management/Groups �� � ���� ��
�� �� ACL� �� ���.
¶ �� �� �� �� /Management/Groups, � ���� �
�� �� � ��� ��� �� ACL� �� ���.
111Tivoli SecureWay Policy Director Base �� ���
5.�
�
��
��
¶ add(A) �� ��� ���� �� ���� �� ��� �
��.
��� ���� �� ���� � �� ���� ���� �
�� ���� ���(��, � ���� � �� �� ��
�� ��� �� ��� ��� � ����).
� �� ��� � � � � policy� ��� �� ��
�� ������ �����.
�� ��� � ��� ACL policy� ���� ���� �� �� ��� ��� �� �� �
���� �� ��� � ����.
��� � ACL �� ��� ��� �����,
�� ��
��(�� � � � ���) �(��� ���
����� ��� ���)
create(N)
��(���) delete(d)
�(��� ����) view(v)
��(��� �) modify(m)
��� �� modify(m)
�� ��� password(W)
��� �� password(W)
��� pdadmin ���� ���, �� ��� ���� ��� �
�� ��� � ����.
�:
¶ create(N) ��(� ACL �� � ���� ACL� ��) �
��� �� �� �, � ���� ���� �� �� �
� � ���� ���.
user create user1 “cn=user1,c=us” user1 user1 adcde group1
user import user2 “cn=user2,c=us” group1
112 �� 3.8
¶ �� ���� �� ���� ���� �� �����. ��
� � ��, create(N) ��� /Management/Users ���� ��
�� ACL� �� ���.
/Management/Users� �� ACL �� ���(�� ����
� ��� ����)� ��� �����.
¶ � ���� ���� �� ���� ��� ��� ���
�� ����� �� ��� � ����.
¶ ���� �� ��� �� �� ��, � ���� ��
� ���� � ���� /Management/Users� ACL� ��� �
�� ��� �� ���.
¶ password(W) �� ��� !� � ���� �� Helpdesk ���� �����.
��� !� � ��� ��� ��� ���� ��� usermodify password-valid(pdadmin)� “no”� ��� � ����.��� �� ���� ��� ���� � ��� ���� ��
�.
¶ view(v) �� user list, user list-dn, user show groups, grouplist � group list-dn �� �� ���� � �����. view�� � �� �� ���� � �����. �� � �
� �� ���� �� �� view ��� ���� �� � �
�, � ��� ���� ��� �����.
� �� Policy ���� � �� ����� � ����� �� ��� � � policy� ��� ���� �� � ���� ���� ���� ��� �
��� ��� ��� �����. �� ��� � � �� ��
� �� �� � policy� ���� � �� ��� ��� ���
�.
��� �� ��� ��� �� �� ���. �� �� ��� �
�� ��� ����� �� ���.
113Tivoli SecureWay Policy Director Base �� ���
5.�
�
��
��
�� �� “A” �� � ��� ���� ���� ����� “m”�� “W” ��� �� ���� �� ���(�� ���� �� �
� ����). ����� “A” � “W” ��� ���� ���� � �
�� ��� � ���� ��� ���� �� ���� ��� �
����. � � ��� ��� �� ��� sec_master� ����
��� ���� �� � ����. ��� ����, ���� ���
� � ��� ���� ����� ���� �� �� ��� �
� � ����.
“A” � “m” ��� �� ���� � �� ��� �� ���� �
��� ���� ��� �� ���� � �� ��� ����� �
����.
��� �� �� policy� ����, � �� � �� � � ��
�� ��� �� �����.
� ��� ��, ��� �� ���� �� ��� � ��� ��
���� ���� � ���� �� �� ���. ��� ��
���� ���� ���� “N”, “d”, “m”, “W” � “v” ��� ��
��� ��, ��, ��(����� �� � ��), ��� �� �
���� ��� ���� ���� � � ����. � � ���
�� ��� ��� ���� � ����� �� ��� ����
� ���� �� ���.
�� � ��� ��� �� ��� � � policy� ��� ��
�� � ���� �� �� ���. � �� �� � policy� ���� ���� “A” � “v” ��� �� ��� “N”, “d”, “m”�� “W″ �� � �� � �� �� ���. � � ��� �
�� �� �� ��� �� ��� ���� � �����.
��:
�� � ���� ���� ��� � �� � ��� ��� �
�� ������.
114 �� 3.8
¶ �� �� ��
¶ �� � ���� �� ��
¶ ��� �� ��
�� �� �� ��� � ����.
/WebSEAL/www.company_xyz.com/
customers/sales/
www.company_xyz.com � ��� ��� ACL � ��� �� �
� � �� �� ��� ����. customers��� ACL �
�� �� ��� ��� sales��� �� ACL �����
����� ����. � ACL �� �� � ����.
public-accessuser sec_master -abc---Tdm----lrxany-other -------T------lrxunauthenticated -------T------lrx
customer-accessuser sec_master -abc---Tdm----lrxgroup customers -------T------lrxgroup sales -------T------lrxany-other -----------------unauthenticated -----------------
sales-accessuser sec_master -abc---Tdm----lrxgroup sales -------T------lrxany-other -----------------unauthenticated -----------------
� ACL ���� �� �����.
/WebSEAL/www.compan_xyz.com/WebSEAL/www.company_xyz.com/customers/WebSEAL/www.company_xyz.com/sales
�� �� �� ��� �� policy� ��� ��� ������.���(“sales” �� ���) ��� �� �� ��� ���� �
��� customers ��� �� ��� ����� ����. ��
�(“sales-admin” �� ���)�� � ���� ��� �����
����.
115Tivoli SecureWay Policy Director Base �� ���
5.�
�
��
��
�� � � � � � policy� �����.
/Management/Groups/
sales <- ACL sales-adminsales-users <- ACL sales-users-admincustomers <- ACL customers-admincustomers-users <- ACL customers-users-admin
sales-admin ACL �� � ��� sales-people-only ��� ��
��� ���� � ���� sales �� ��� ��� ���� �
�����. ��� �� �� “sales-admin” �� � ��� �
��� ���� ��� � �� �� ���. view(v) ��� ���
� ���� �� �� ��� � ��� ��� � � ����.
sales-admingroup super-admin Tabcgroup admin TAv
sales-users �� �� ��� � sales-users-admin ACLsales-users �� ���� ���� �� ��� � ��� ����
�.(� �� “sales-admin” ����.)
sales-users-admingroup super-admin Tabcgroup admin TNWdmv
���� customers-admin ACL � ��� customers-only ���
�� ��� ���� � ���� customers �� ��� ��
� ���� � �����.
customers-admingroup super-admin Tabcgroup sales TAv
customers-users �� �� ��� � customers-users-adminACL customers-users �� ���� �� ��� � ��� ��
���.(� �� sales ����.) �� “sales-admin” �� �
��� ��� ����� ����.
customers-users-admingroup super-admin Tabcgroup sales TNWdmvgroup admin TNWdmv
116 �� 3.8
� ACL�� super-admin � �� i� ��, ���� � �� ��
� ����� ������. super-admin �� ��� � ACL����� � ��� ����.
117Tivoli SecureWay Policy Director Base �� ���
5.�
�
��
��
118 �� 3.8
Policy Director �� ��
� ��� Policy Director � �� � �� � �� ���� �
��� � ��� ��� ��� �����. � � � ���� ��
�� ����.
�� ��
¶ �Policy Director � ���
¶ 124 ���� �UNIX: Policy Director � ��/���
¶ 126 ���� �Windows: Policy Director � �� � ���
¶ 127 ���� ���� � �� ����
¶ 128 ���� �Management Server(pdmgrd) ���
Policy Director �� ��Policy Director� ��� � ����(��)� �����.
¶ Management Server(pdmgrd)
¶ Authorization Server(pdacld)
¶ WebSEAL (webseald)
��� � � �� �� �� ���� �����.
6
119Tivoli SecureWay Policy Director Base �� ���
6.P
olicy
Directo
r�
��
�
Management Server(pdmgrd)� �� ��(ACL) ����� �
���� �� �� Policy Director � � �� �� �� ���
�����. Management Server� ���� ��� �� �� ��
�� ��� ���.
Authorization Server(pdacld)� �� ������� Policy Director� ���� �� �� ��(Authorization API� �)� � � �
����. Authorization server��� ���� ��� �� �� �
��� �����.
WebSEAL(webseald) �� � ��� ��� ��� � policy� ���� ���� �� ��� � � ���. WebSEAL � �
� � ���� ���� � policy� ��� � ������ � �
�� ��� � ����.
�� ������ Policy Director � �� �� ����.
¶ �� � ����� ��� Management Server� ����
�� ��(ACL) ������� �� � ����.
¶ Management Server� �� ������ � ���� �� �
� Policy Director � � �����.
¶ ��� �� ���(WebSEAL � Authorization Server)� ��
�� ��������� ��� ��� ���� ��
policy� �����.
120 �� 3.8
�� �� �� ���� ������ ��� �� ���� ���� � �� �����.
¶ Web Portal Manager
¶ pdadmin ����
¶ pd_start ����
¶ Windows NT ��� ���
�� ��� GUI(Graphical User Interface)� ���� � �� �
��� ������. �� ��� � ��� � �� ��� �� �
��� ��� �� ����� ������.
pdadmin � UNIX �� ����� �� ������ �����.�� �� � ���� ��� � �� ���� ���� � �
����.
�� 28. Policy Director � ����
121Tivoli SecureWay Policy Director Base �� ���
6.P
olicy
Directo
r�
��
�
Web Portal Manager � pdadmin �� �� ��� ��� � �
���. �� ����� ��� �� ���.
���� �� ��� �, �� ����� �� � � �� ��
��� ��� � ����.
Web Portal Manager
¶ Tivoli SecureWay Policy Director Web Portal Manager forWindows �� ��� � ����.
pdadmin ���Policy Director� ���� � ���� ���� �� pdadmin
�� ����� �����. ��� ����� pdadmin� �����
�.
¶ �� ��� � �� ��� �� �� ��� ��
¶ �� ��� � ��� � �� �� �� ���� ��
¶ ��� ��� 175 ���� �pdadmin � � �� � ����.
pd_start ������� pd_start ����� ���� ���� � � ��, ��, ����� � ��� �� � ����.
Windows NT ��� ������ ����� ��� ���� ������.
¶ � ��
¶ � ��
¶ � ����(���)
¶ �� � �(��)
¶ �� � � ��
122 �� 3.8
�� �� ��� �� ��� ���� Policy Director � � �� ��� ��
� � ����.
�� �� �� �� �� �� ��
ManagementServer(pdmgrd)
ivmgrd.conf UNIX: <install-path>/etc/ivmgrd.conf
Windows: <install-path>\etc\ivmgrd.conf
AuthorizationServer(pdacld)
ivacld.conf UNIX: <install-path>/etc/ivacld.conf
Windows: <install-path>\etc\ivacld.conf
WebSEAL(webseald)
webseald.conf UNIX: /opt/pdweb/etc/webseald.conf
Windows:C:\Program Files\Tivoli\PDWeb\etc\webseald.conf
Policy Director �� ���� � �� �� ���� ����
����.
UNIX: /opt/PolicyDirector/Windows: C:\Program Files\Tivoli\Policy Director\
� ��� � �� ���� ��� � <install-path> ���
�����. Policy Director �� �� � �� �� �� �
� �� ��� ������.
�� � ASCII ��� ��� �� ��� �� ���� �
�� � ����. �� � �� � ���� ���� ���
�����.
parameter=value
Policy Director � � �� ���� ���� ���� ���� �
����. �� ����� ���� ��� ���� �� �� ���
�� � �� ��� ���� �� ���� � ��� � ��
��.
123Tivoli SecureWay Policy Director Base �� ���
6.P
olicy
Directo
r�
��
�
�: �� �� � �, ����� ���� �� Policy Director� � ���� �� �� ���.
� ��� �� �� ��� �� �� ��� ����� ��� �
�� �� ��� ���. ��� ��� �� �� � ����
�[stanza-name].
�� ��, [ssl] stanza in ivmgrd.conf� Management Server� SSL�� ��� �����. ��� [ldap]� LDAP ����� ����
� Management Server�� ����� ��� �����.
� � ����� ��� ��� � �����.
�� ��� �� �� ��, ���� ���� �� ����
����.
UNIX: Policy Director �� ��/��� ����� ���� ��� �� � ��� ���� ���
����� � �� ���� �����.
UNIX ����, pd_start ����� ���� � ����� ��
�� ����� ��� �� ����. � � ��� ��� ��
��� ���� �� ��� ���� ��� ��� �� � ���
��. ����� �� ����� ��� � ����. Web PortalManager� ���� � � ���� �� � ��� � ����.
pd_start� �� � �� �� ����.
# pd_start {start|restart|stop|status}
��� ����� pd_start ����� ��� � ����. ���
�� �� ���� �����.
/opt/PolicyDirector/bin/
124 �� 3.8
pd_start ���� ���� Policy Director �� ��pd_start ����� ���� �� ���� �� Policy Director �
�� ��� ��� ������.
# pd_start stop
� ����� ����� ���� �� �� � � ��� ��� �
����.
pd_start ���� ���� Policy Director �� � pd_start ����� ���� �� ����� �� �� ��� �
�� Policy Director � � ������.
# pd_start start
� ����� ����� ���� �� �� � � ��� ��� �
����.
pd_start ���� ���� Policy Director �� �� �
pd_start ����� ���� �� ���� �� Policy Director �
�� ��� , �� � � ������.
# pd_start restart
� ����� ����� ���� �� �� � � ��� ��� �
����.
�� �� �� � � � �� ���� ��� � � ���� ��� � ����. �
� �� �����, ������ �� ������.
root � �� ����� �� �� �� ���.
��� ��� Policy Director � � ������.
1. Management Server(pdmgrd):
# <install-path>/bin/pdmgrd
125Tivoli SecureWay Policy Director Base �� ���
6.P
olicy
Directo
r�
��
�
2. Authorization Server(pdacld):
# <install-path>/bin/pdacld
pd_start ���� ���� �� �� ��pd_start �� ���� � ��� �����.
# pd_start statusPolicy Director Servers:Server Enabled Runningpdmgrd yes yeswebseald no nopdacld yes no
Windows: Policy Director �� �� � ��Windows NT ��� ���� ���� � ����� ���� �
��� ������. � �� ��� ��� ����� ���� �
� ��� � �����. � ����� ����� �� ��� ��
� �� ���.
Policy Director � �� � �� �� �� ����� ���� ��
� � ����. � � ���� ��� ��� ���� ��
���.
��� ���� ���� �� ��/� AutoStart Service� �� ��� “��”�� ���� �� � � �
Policy Director � � ���� �����. � � �� � ��
�� ���� �����.
��� ���� ���� �� � � ���� ���� ��� � �
���.
1. Windows ���� ����.
2. ��� ���� � � �����.
��� �� ��� �����.
3. �� ����� � 4, 5� � ��� �� Policy Director� � �����.
126 �� 3.8
4. �� ��� Policy Director � � �����.
¶ Authorization server
¶ Management Server
5. �� ��� Policy Director � � ������.
¶ Management Server
¶ Authorization server
6. ��� ����� ��� �� �� �(��, ��, ��)� ��
���.
7. �� �� ���� � Policy Director � � ���� ���
� �� ���, “��...” �� �� ���� � � �� ��
� ������.
��� �� �� ���� �� ���� �� ����� pd.conf �� �� [pdrte] �
��� �����.
Management ServerPDMgr ��� ��� �, Management Server ��(pdmgrd) �
���� �� ��� � ���� �����.
[pdrte]boot-start-ivmgrd = yes
�� pdmgrd ��� ����� �� �� ������.
boot-start-ivmgrd = no
�: ��� � ��� �� ��� Management Server� ��
���. � ���� � ��� � �� pdmgrd� ���� �
��� ���.
Authorization ServerPDAcld ��� ��� �, Authorization Server �� � ���
� �� ��� � ���� �����.
127Tivoli SecureWay Policy Director Base �� ���
6.P
olicy
Directo
r�
��
�
[pdrte]boot-start-ivacld = yes
�� pdacld ��� ����� �� �� ������.
boot-start-ivacld = no
Management Server(pdmgrd) ��Management Server� �� �� policy ����� � ���
� �� �� Policy Director � � �� �� �� ��� ����
�. Management Server� ���� ��� �� �� ���� ��
� ���. � ����� ���� ��� � �� �� ���� �
���.
¶ ��� ����� ���
¶ 130 ���� ��� ��� ��� � ���
¶ 131 ���� ��� �� �� ���
�� ������ ��Policy Director ���� ���� � ���� �� � policy �
���� ��� � ����. Management Server� �� �� � �
���� ��� � �� �� ������ ��� �� �
��� ���.
Management Server� �� �� ������ ��� �, � ��
� ��� �� �� � (��� ������ ��)� �� � ��
��. �� � � �� �� �������� ����� ���
�� ���.
�: ��� ���� � � ���� ���� Management Server� ��� ����� ��� ��� � ����. �� ��,WebSEAL ����� �� � �� Tivoli SecureWay PolicyDirector WebSEAL �� ���� ����.
Policy Director� Management Server� �� ��� �� ���� �
� ���� �� ���� ��� ���� ���. auto-database-
128 �� 3.8
update-notify ����� ivmgrd.conf �� �� [ivmgrd] ���
� ����. ����� ����� “yes”� �����(�� ���
Management Server� � ���� �����).
[ivmgrd]auto-database-update-notify = yes
� �� �� ����� ����� �� �� ���� �� ��
� �����. �� ��� ���� ��� �, max-notifier-threads� notifier-wait-time ����� ��� �� ���. 130 ���
� ��� ��� ��� � ��� � 131 ���� ��� �� �� �
�� ��� � ����.
���� �� ��� ����, pdadmin server replicate �� �
� ������ � ���� �����.
[ivmgrd]auto-database-update-notify = no
� �� �� ����� ����� �� ���� ���� ��
�� �� ��� �����. �� ���, �� ����� ��
�� ������ � ����� �� ���� �� �� �
� ��� ��� � ����. � ���� ��� ���� ����
���� ����.
�� ��� �� ��� �� ��� ����� ���� �� ��
� � ���� �� �� �� ������ ���� �����
���� ���.
�� ����, �� ��� ��� ��� �� �����(�� ��
�� ��). ���� �� �� �� max-notifier-threads ���
� ��� � ��� ���. ��� ��� 130 ���� ��� �
�� ��� � ���� � ����.
129Tivoli SecureWay Policy Director Base �� ���
6.P
olicy
Directo
r�
��
�
pdadmin �� �� �� ������ �� ��� ����, pdadmin server replicate �� �
� ������ � ���� �����. � �� ��� ��
�.
pdadmin> server replicate [-server <server-name>]
�� server-name ��� ����, � � �� �� �� ��
���� �� ����� �����. �� � ��� �� �� �
�� ���� ��� �����.
server-name ��� ���� ���, �� �� �� � � �� �
�� ���. ���� ���� Management Server� �� ���
��� ����� �� ��. �� �� �� � �� ����� �
� �� ��� ���� ����.
� �� ���� � ��� �� /Management/Server ����
�� “s”���.
� �� ��� � �Management Server� � ���� �� ����� ����� �
��� ��� ����. �� ������ ��� ��, �� ��
�� �� ���� � ��� ��� ��� �����. ���, � �
�� ����� �� ��� ���� ��� ����.
Management Server �� �� ivmgrd.conf�� �� �� ���
��� �� ��� �� ����� �� ����. � ��� � �
�(��) ��� ���� ���.
�� ��, ��� 30�� ���� ����� ��� �����, �
�� � ��� 30�� �� ���. ���� 30�� ���,�� �� ��� �����(� ����� � �� 30). �� ���
� ����� � ���� ��� �� ����.
�� ��� ��� �� �� �� ���� � ����� ��
� ��� ���. ���� ��� ��� � ���� �� �
130 �� 3.8
� ���. ��� �� � �� �� ���� �� ���� ��
� ���� � ��� �� �� �� ����.
�� ��� ��� ��� � �� �� �����.
[ivmgrd]max-notifier-threads = 10
�� ��� �� �� ���� � ����.
�� �� �� �Management Server� �� �� ������ ��� ��� ��
� ��, ����� ���� ��� ��� �� �� ��� �
����. �� �� �� 15����. � �� �� ����� �
�� �� ������.
�� ��� �� Management Server� ������ ��� �
��� ����� ��� ��� ��� ���� ���� � ��
��. �� �� Policy Director ���� �� ��� ��� �
��� ���.
�� �� �� �� ������ � �� ��� ����� �
��� ��� �����. �� ��� ���� , ����� ��
�� policy ����� ��� � ������.
notifier-wait-time ���� �(�) �� ���� ivmgrd.conf �
� �� [ivmgrd] ���� ��� � �� �� �� ��� �
� ����. �� ��, �� ����.
[ivmgrd]notifier-wait-time = 20
�����, � 15�� ���� ����.
131Tivoli SecureWay Policy Director Base �� ���
6.P
olicy
Directo
r�
��
�
132 �� 3.8
LDAP ����� ���
LDAP TCP/IP�� ���� ������. LDAP ���
�� �� ���� ��� �� � ��� � �� ����
�����. LDAP� �� ��� ���� LDAP ���� �
����.
Policy Director� �� ��� �� �� � LDAP ���� �
����. IBM LDAP �� IBM SecureWay Directory� ��� �
���. LDAP� iPlanet �� iPlanet Directory Server� ��� �
���. � ��� Policy Director LDAP ������ �� ���
���.
�� ��
¶ �LDAP� ���
¶ 138 ���� �LDAP � �� ���
¶ 143 ���� �� LDAP ���� Policy Director ACL ���
LDAP� ��1988�, CCITT(Consultative International Telephonique etTelegraphique, ��� ITU-T�, International TelecommunicationsUnion - �� � )� X.500��� ��� ���� � �
�����. X.500 ��� ���� 1990��� ISO 9594(��
�� ���� ���, ��� X.500-X.521)� �����.
7
133Tivoli SecureWay Policy Director Base �� ���
7.L
DA
P�
��
��
��
�
ISO ��� ���� X.500� �����. X.500 � ��� �
�� ��� ��� ���� �����. �� X.500 ����
�� ��� �� ���� �� �� �� ���� �����.
X.500 ���� ����� ����� X.500 �� ��
DAP(Directory Access Protocol)� �� ���. ���� DAP� ���� ��� � � ���� ��� �� ���� ��
�� ������.
���� X.500 �� ��� ��� ���� �������.���, �� ������ �� �� ���� ��� ���
���� �� �� ���� �� ���� ��� ��� �
� �����.
��� �� Netscape Communication�� LDAP(LightweightDirectory Access Protocol)��� DAP� �� �� ��� ��
��. LDAP DAP� �� �� ��� ����� � ��� ���
� �� ��� �� ��� ��� �� ����. LDAP �� ��
� ��� ���� �������� ��� � ����.
LDAP: ���� ���� �� ����LDAP TCP/IP�� ���� ������. LDAP ���
�� �� ���� ��� �� � ��� � �� ����
�����. LDAP�� �� ��� ���� LDAP ���� �
����.
�: LDAP� ���� ���� ��� ����� ����
����.
��� LDAP � ����� LDAP DAP ��� ��� ���
� �� ����� � � � X.500 ���� ���� �
��� �������.
134 �� 3.8
! LDAP DAP�� �� �� �� LDAP ���� ��� �
��� �������.
LDAP ���� IBM �� AIX, Windows NT, Sun Solaris,OS/400 � OS/390�� �� ��� SecureWay Directory���.
LDAP ���� ��� ���� �� ��� ��� ��� �
����. �� ��� �� � ������ ��� �, IBMSecureWay Directory� ��� ��� � � ���, ���
DB2 �� ������ ������.
LDAP �������� ���� ����� ��� ���� ��� ����.�� �� ��� ������ ����� ���� ���� ��
���.
�� 29. X.500��� LDAP ��
�� 30. ��� LDAP �
135Tivoli SecureWay Policy Director Base �� ���
7.L
DA
P�
��
��
��
�
LDAP ���� �� ��� �, �� �� �� �� ���
���� ����. LDAP ���� �� �� ���� �(���
����� ��)� �����. LDAP ���� ��� ���� �
� ���� ����� �� ��� ���� ��� � � �
����.
��� � �� � � ��� �� ��� ���� ���
� ��� ������ �� ��� � ����. ��� �
��� �� ��(DIT)� ����� ������ ����� �
�, �� � ���� ��� �����.
IBM SecureWay Directory � LDAP � �� ����� �
� ����� ���� �� ��, ���� � � �����.
IBM ����� ��� ���� � �� IBM SecurewayDirectory� ����� ��� ��� �� ��� � �� �
����. LDAP� � ��� �� IBM � �� ��� ����
��� ���� IETF(Internet. Engineering Task Force)���.
�� � ���� �����. �� ��, UNIX �� Windows9x/NT � �� � ��� ��� �� ��� � � ��� �
� ��� ����. NetWare(Novell) � ���� � �� �
� ��� ������ �����. �� ���, ��� �� ��
� ������ ���� �� �� �� ������ ����
�. ��, � ��� ��� � �� ��� �� ���� ��
� �� � ��� ����.
��� �� � ����� ����� ����� � ���� �
�� ��� � ����. LDAP� �� ���� �� ��� �
�� ��� ��� ���� � ��� �����.
LDAP �� ��LDAP �� �� X.500 �� ��� ���� ����. LDAP ��� �� ���� �� ���� ��� ��� ����.
� �� ���� ����.
136 �� 3.8
type = value
����, �� OID(object identifier)� � ���� � �� �
�� ���. � � �(��� ��� ��� ��) �� ��
�(� ��� �� ��� ��� �� � �� ��)� � � ���
�.
LDAP ���� �� �� ��� �� �(DN)� ���.
��� � � DN� � ��� �� � �� �����. �
�� ��� � ��� ���� � � � ��� ���
�����. ��� ��� ����� �� �� �����.
��� ��� ��� � ���� ���� �� ��
� ����� ��� � ����(�� ��, � ��� ���
��� ��� ��� � �� �� ���� ��� � ����).
LDAP ��
����� IBM SecureWay Directory �� ��� ������ ��
��, LDAP ���� ��� ����. �� ��� ��� �
� ���� �� ��� ��� � ����.
�� �� ��, ��� ��� �� � �� ���� �
����� � �� �� ������. LDAP �� � ���
���� ��� ����� � ������.
���LDAP � ��� �� ��� �����. ��� � ���
� ��� �� LDAP � � ��� � ����. �����
��� � � �� ��� �� � ��� ��� ����.
�� �� ���� � ��� �� �� �� � � ���
� ����. �� ���(��� ���� �� ��) ���� �
�� ��� � �� ���.
137Tivoli SecureWay Policy Director Base �� ���
7.L
DA
P�
��
��
��
�
��LDAP ��� �� ���� ���� ���� � ���� �
��� �����. ACL(Access Control List) �� SSL � �
� ���� � � �� ��� �� ��� �� ����
�.
���IBM SecureWay Directory � LDAP � �� ��� ���
��� ��� ��� ���� ��� ��� ����� � ��
���. ���� ���� � � ���� ���� ��� �
� ��� � � �� � ����.
���LDAP ���(�� �� �� ����/� ��,API(Application Programming Interface) � ��� ��) �� �
�� �� ���� RFC(Request for Comment)� � �����.
�� ��, Lightweight Directory Access Protocol(v3)� RFC 2251 �� LDAP ���� �����. ����� ����� �� �
� �� ��� �� ����� �������. � ��� ���
IETF(Internet Engineering Task Force) DMTF(DistributedManagement Task Force)� �����.
LDAP � �� ��LDAP(Lightweight Directory Access Protocol) ��� ���
�� ��� ���� �����. ����, ��� ���
�/� ��� ���� ���� �����. LDAP ���� �
��� �� � � LDAP ��� � � �����.
Policy Director� ��� ������ LDAP� ��� �����.IBM LDAP �� IBM SecureWay Directory� ��� ����.LDAP� iPlanet �� iPlanet Directory Server� ��� ����.
138 �� 3.8
LDAP �� � � � �� ��� �� �� ���� ���
���� �����. � ��� ��� � � ���� �����
�. IBM SecureWay Directory� ��� master-slave ��� ��
� ���. iPlanet Directory Server ��� supplier/consumer ���
��� ���. Policy Director� master/slave ��� �� ���
��.
�� � �� �� �� � � �� ��� ���� ���
� ��� � ��� �����. �� � � �� �� ����
��� ���� � �� �� � �� ��� � ����. PolicyDirector� ��� �� ��� ���.
Master-Slave �� ����� � �� ��� ��� ���(�: �� � ���). LDAP ��� �� � �� �� ���� ��� � �� ���. �
�� ��� � � � �� �� � � ���( �/�� � ).�� �� �� � �� �����, ��� � � ���. ��� ��� � ������� �� � � ��� ���� �
� ��� ��� �� ����.
���� �� ���� ��� ���� ��� ���� ��
� ��� � � ����. �� �� ��� �� ��� � � �
�� � ����. �� �� � � � �� � ��� �� �
��, ��� � � ���� ��� � �� � � � � ��
��.
LDAP ��� �� Policy Director � �� ��Policy Director� ��� LDAP �� � � ����. LDAP
�� � � �� ��� �� ��� �� Policy Director � �
�� � �� ��� LDAP ��� � �� �� �� ��
�.
139Tivoli SecureWay Policy Director Base �� ���
7.L
DA
P�
��
��
��
�
�� �� ������� �� �� � �����. �� ��� �
� � � � ��� �� �� �� �����. ��� �� ,Policy Director� �� � � ��� � �� ��� � � �
�����.
ldap.conf �� �� [ldap] ����� LDAP � �� ����
��� �� � ����.
UNIX: /opt/PolicyDirector/etc/ldap.confWindows: <install-path>\etc\ldap.conf
��� �� ��IBM SecureWay Directory(LDAP)� ��� �-�� �� LDAP� � ��� �����. iPlanet Directory Server� �� �/��
LDAP � � �����. Policy Director� �� ��� �� ��
� � iPlanet “supplier” � � �����.
ldap.conf �� �� �� �� � �� LDAP � � ���
� �� �� ��. Policy Director ��� �� �� ��� � �
���. �� ��, �� ����.
[ldap]enabled = yeshost = outbackport = 389ssl-port = 636max-search-size = 2048
���� ��
enabled Policy Director� LDAP ��� ������ ���
��. � “yes” � “no”���.
host LD �� � � ��� ��� ���� ����.
port LDAP �� � � TCP �� ��
ssl-port LDAP �� � � SSL �� ��
max-search-size Policy Director� LDAP Client ����� �� �
� ��-�� �� LDAP ������ ��� ��
� �� �� ��� ��� ����.
140 �� 3.8
�� ��� � � ��� ��� ���� �� LDAP ���
��� ��� ���� ��, Policy Director� �� �-��( �
�) LDAP � � �����.
��� �� ��IBM SecureWay Directory(LDAP)� �� ��� � �� ���
LDAP � � ��� �����. iPlanet Directory Server(LDAP)�
“consumers”� ��� �� ��� � �� ��� LDAP � � �
�� �����.
Policy Director�� �� ��� ��� � � ���� [ldap] ��
�� ��� �� ���. ��� ���� �� ��� �����
�.
replica = <ldap-server>,<port>,<type>,<preference>
���� ��
ldap-server LDAP ��� � � ���� �
port � � � ���� ��. ����, 389 �� 636�
�����.
type ��� � � �� - “ � ��” �� “ �-��” �
�. ���� “ �-��”� �����. “ �-��” �
� �� � � �� ��.
preference 1 - 10 ��� ��. � � �� �� �� �� �
� LDAP �� � ����. ��� ��� 142
���� ���� LDAP � � �� �� �� � �
��� � ����.
��:
replica = replica1.ldap.tivoli.com,389,readonly,5replica = replica2.ldap.tivoli.com,389,readonly,5
Policy Director� �� �� ldap.conf �� ����� ��
���
141Tivoli SecureWay Policy Director Base �� ���
7.L
DA
P�
��
��
��
�
��� LDAP ��� �� �� � � ���� ��� � � ���� � ��� ��� �� �� �(1-10)� �� ���.
¶ �� �-�� �� � , ��
¶ � ��� �� � �� �
�� �� � � ��� ���. � � �� ��� �� �-�� � � ���� ���� � �� �� �� �� � � ��
���. � ��� � � ��� �� �� �� �� ��, �� ��
�� �� �� ����� � �� �����.
�� LDAP � � � �� �� �-�� � � ��� � ��
� � ������. � �� ��� ��, �� � � ��
�� �� 5� ���. �� ��� � � ��� ��� ��
�� � �� � �� ��� � �� �� �����. �� �
�, ��� �� �� ����� �� � � �� ��� � �
�� �� ��� ���.
�� � �� �� �� ���� ��� LDAP � � ���
�� � ��(�� � � � ��� �� ��), �� � � � �
� ��� �� � � ��� �� �� � �� � ����.
�� �� ��� �� �� ����� �� ��. “M” ��( � ��/ �-��) LDAP � � ����, “R1, R2, R3” ���( � ��) LDAP � � �� ��.
M R1 R2 R3 �� � �� ��
5 5 5 5 �� � � ��� �� �� �� ���.
�� ���� ��� ��� � �� �
� �����.
142 �� 3.8
M R1 R2 R3 �� � �� ��
5 6 6 6 � �� ��� � � ��� �� �� ��
���. � � �� � � ��� ��
�. �� ���� � �� ��� � � �
�� �� �� � � �����. ���
� �� � � �� ��� � �� ���
� �����.
5 6 7 8 � 3(� � �� �� �� ��)� �
� � � ���. � 3� ��� ��, �
��� � �� �� �� ��� � 2�
�� � � ���.
�� �� � LDAP ������ �-�� ���� ��� �
��. Policy Director� LDAP ������ ��� ��� �� �
�, ��� ��( �-��) � � �����.
�� �� ��(�: Management Server) �/�� � � ���
��� � �� ��� �� ��� ���� ������. �� ��� �� �� LDAP � � �� �� �� ��� ��
�� �����.
�� LDAP � � ����, Policy Director� �������� ����
� ���� � � ����. �� 10����.
� LDAP ��� Policy Director ACL ��
�: �� ��� IBM SecureWay Directory Server � iPlanet DirectoryServer ��� �����.
LDAP ���� Policy Director� �� �� ��� LDAP ����
����, ���� � ACL(Access Control List)� ���� � �
� ����� ��� ��� � �� ����� � ���.
143Tivoli SecureWay Policy Director Base �� ���
7.L
DA
P�
��
��
��
�
IBM SecureWay Directory� ��, Directory �� � DMT� ��
�� ACL� ������. Netscape LDAP � � ��, iPlanet ��
5.0� ������.
� LDAP �� ������ ���� �� � ACL� �� �
Policy Director ���� ������.
LDAP �� ��� ��
cn=SecurityGroup,secAuthority=Default
¶ �� ��
cn=ivacld-servers,cn=SecurityGroups,secAuthority=Default
¶ �
¶ ��
¶ ��
cn=remote-acl-users,cn=SecurityGroups,secAuthority=Default
¶ �
¶ ��
¶ ��
���� Policy Director ��� ������ � LDAP� ���
Policy Director� �� �� � � LDAP ���� ����� �
� ��� �����. ���� Policy Director ����� PolicyDirector � LDAP �� ����� �����. �� �����
LDAP Directory Information Tree� ���� ��� ��� ���
��� �����.
Policy Director� ����, LDAP � ��� ���� �� LDAP���� � ACL� ����� �����. � �� ��� PolicyDirector� � LDAP ��� ��� ��� � � ��� �� � �
��� ���.
144 �� 3.8
��� Policy Director� �� � ���� ���� Policy Director� ��� � �� ��� ��� ��� � � ��� �� � �
�� � �� �� ��, ��� �� ��� ���� ��� ��
� ����. � �� �� ���, Policy Director� � �� �
�� �� ��� �� ��� � � ��� �� � ���� ��
� LDAP ��� ���� ����.
�� �� LDAP ���� ��� �� ��� �����, �� �
� LDAP � ��� �� IBM SecureWay Directory �� iPlanetDirectory Server � ��� � �� �� ������.
����� �� �� ���� “o=neworg,c=us”�� �����. �
� ��� � �� � �� �� �� ���� �� ���.
IBM SecureWay Directory Server ���� ���� ��� Policy Director �� ��� IBM SecureWayDirectory Server� �� �� ���� ���� ��� ����.
1. �� � � ��� LDAP �� �(Directory Management Tool)� ������.
Windows: �� -> ���� -> IBM SecureWay Directory ->Directory �� �
UNIX:
# /usr/bin/dmt
2. �� ��� ��� � ����.
Warning: Entry o=neworg,c=us does not contain any data.
��� �����. 146 ���� 7���, � ��� ��� �
� ����.
3. !� ����� �� �� �� �����. � �� �� �
����.
4. �� ��� �� �� �����.
145Tivoli SecureWay Policy Director Base �� ���
7.L
DA
P�
��
��
��
�
�� �
� �: ldap://<hostname> �� ��, ibm007.ibm.com
��: 389 389� �� �����.
��� DN: cn=root LDAP ���� DN
��� ��: abc123 LDAP ���� ��
5. �� �����. Directory �� � ���� �����.
6. !� ���� � ���� � �� ������. �� ��,ldap://ibm007.ibm.com:389
7. !�� �� � ��, � �� -> �� ����� ���
��. �� ��� ��� � ����.
Warning: Entry o=neworg,c=us does not contain any data.
8. �� ���� � � �� �� 9�� �����.
Warning: Entry o=neworg,c=us does not contain any data.
� ���� � ��, ���� ��� �� ���. ��
� ��� ��� �� ��� ���� ��� � ����. �
�� ����� �� �� �����.
a. ��� ���� �� �� �����. LDAP �� �� �
� ��� ����.
b. ��� �� ��� ������. �� DN� c=us� ����
��. �� DN� o=neworg� ������. �� ����
�. ��� �� �� ���� LDAP �� �� �� �
����.
c. o: ����� �� ��� � �(neworg)� �����.
d. ��� �����. ��� �� ���� ���� ���
�.
9. !� ����� � �� -> �� ��� �����.
10. ���� �� ���� ����� �� �� ���� � �
����.
146 �� 3.8
11. ��� ����� ACL �� �����. ���� �� ��
�� �� �� ��� LDAP ACL �� ����.
12. LDAP ACL �� �� ���, �� �� �� ����
�.
cn=SecurityGroup,secAuthority=Default
� ��� ��� ��� �����.
13. �� ��� �� ���� ������.
¶ DN �� ����, � ���� � � � �� �� �
�� �����.
¶ �� ����, �� �� � �� ��� � �� ��
�����.
¶ �� � ����, � � ��(��, �� � �� �
�)� ��, � ��(��, ��, �� � ��)� �� �� �
� �����.
�� �����.
14. ���� �� ���� ����� �� �� ���� � �
����.
15. ��� ����� ACL �� �����. cn=SecurityGroup,secAuthority=Default �� ���� �� �� ��� ��
�� ������. � �� ���� ��� ���� ���
�.
16. LDAP ACL �� �� ���, �� �� �� ����
�.
cn=ivacld-servers,cn=SecurityGroups,secAuthority=Default
� � ��� ��� �����.
17. �� ��� �� ���� ������.
147Tivoli SecureWay Policy Director Base �� ���
7.L
DA
P�
��
��
��
�
¶ DN �� ����, � ���� ��� ��� �� �� �
� �����.
¶ �� ����, �� �� � �� ��� �� ��� �
����.
¶ �� � ����, �� � ��� �� ��, �� �
�� ��� � �� �� �����.
¶ �� � ����, �� � ��� �� �� ���
� ��� �����.
¶ �� � ����, �� � �� �� � ��� ��
�� ��� � ��� �����.
�� �����.
18. ���� �� ���� ����� �� �� ���� � �
����. ��� ����� ACL �� �����.cn=ivacld-servers,cn=SecurityGroups,secAuthority=Default �
� ���� �� �� ��� ���� ������. � �
� ���� ��� ���� ����.
19. LDAP ACL �� �� ���, �� �� �� ����
�.
cn=remote-acl-users,cn=SecurityGroups,secAuthority=Default
� � ��� ��� �����.
20. �� ��� �� ���� ������.
¶ DN �� ����, � ���� � � � �� �� �
�� �����.
¶ �� ����, �� �� � �� ��� � ��� �
����.
¶ �� � ����, �� � ��� �� ��, �� �
�� ��� � �� �� �����.
148 �� 3.8
¶ �� � ����, �� � ��� �� �� ���
� ��� �����.
¶ �� � ����, �� � �� �� � ��� ��
� ��(��, ��, �� � ��)� � ��� ����
�.
�� �����.
21. ��� � ��� �� ��� �����.
iPlanet Directory Server ��� ����� iPlanet Console 5.0� ���� ���� �� ACL ��� � ����.
1. �� � � ��� iPlanet Console 5.0� ������.
¶ UNIX �����, iPlanet Directory Server �� ����
��� �����.
# ./startconsole
¶ Windows �����, �� -> ���� -> iPlanet ServerProducts -> iPlanet Console 5.0� �����.
2. LDAP ���� ��� ID� �����. ��
cn=Directory Manager���. �� � �� URL� ����
�. �� �����.
3. Policy Director� ��� ���� �����.
4. � � � �� ��� �����.
5. ��� Directory Server ��� �����. iPlanet ��
� � � �� ��� ����.
6. �� �� �����. iPlanet Directory � � �����.
7. � �� �����. �� �� ���� !� ����
� ��, 150 ���� 8�� �����.
149Tivoli SecureWay Policy Director Base �� ���
7.L
DA
P�
��
��
��
�
�� �� ���� !� ���� ��� � ��, ����
�� ��� ���� �� � ���� �� ��� �� �
��. ��� ����� �� �� �����.
a. ��� ��� � ��� � � �� � �����. �
��� -> � �� ����� �����. �� ���� ��
� ����.
b. �� ���� ���� o=neworg,c=us� �����. � �
�� � �� ����.
c. � ��� � ���, ��� ��� � ��� �� �
��� ��� �����.
d. �� �����. Property Editor �� ����.
e. neworg� � ��� ��� �� �����.
�: �� ��� �� ���� �����. �� ���� �
�� �� �� � �� ������.
f. �� -> � ��� �����. � ��� ��� !� ��
�� �����.
8. !� ���� neworg ��� � �����. ���� -> �
�� �� ��� �����. o=neworg,c=us� �� �� ��
�� �� ����.
9. �� ��� � o=neworg, c=us �� �� ACI � ��
���.
10. SECURITY GROUP - ALLOW ALL� ACI �� ������.
11. �� ��� �� � ��� ��� �����.
12. �� � � �����. o=neworg,c=us� �� ACI ��
����.
13. �� ACI ���� ���� �����.
150 �� 3.8
(target="ldap:///o=neworg,c=us")(targetattr="*")(version 3.0; acl "SECURITY GROUP - ALLOW ALL";allow (all)groupdn = "ldap:///cn=SecurityGroup,secAuthority=Default";)
�� ��� � ���� ��� ���� ������. ��
� ��� �� ��� � � ������.
14. �� �����. o=neworg,c=us� �� �� �� �� ��
����.
15. �� ��� �����. ACI �� ������.
PD Servers GROUP - ALLOW READ
16. �� ��� �� � ��� ��� �����.
17. �� � � �����. o=neworg,c=us� �� ACI ��
����.
18. �� ACI ���� ���� �����.
(target="ldap:///o=neworg,c=us")(targetattr="*")(version 3.0; acl "SECURITY GROUP - ALLOW READ";allow(read, search, compare)groupdn = "ldap:///cn=ivacld-servers,cn=SecurityGroups,secAuthority=Default";)
�� ��� � ���� ��� ���� ������. ��
� ��� �� ��� � � ������.
19. �� �����. o=neworg,c=us� �� �� �� �� ��
����.
20. �� ��� �����. PD Remote ACL Users GROUP -ALLOWREAD� ACI �� ������.
21. �� ��� �� � ��� ��� �����.
22. �� � � �����. o=neworg,c=us� �� ACI ��
����.
23. �� ACI ���� ���� �����.
151Tivoli SecureWay Policy Director Base �� ���
7.L
DA
P�
��
��
��
�
(target="ldap:///o=neworg,c=us")(targetattr="*")(version 3.0; acl "SECURITY GROUP - ALLOW READ";allow (read, search, compare)groupdn = "ldap:///cn=remote-acl-users,cn=SecurityGroups,secAuthority=Default";)
�� ��� � ���� ��� ���� ������. ��
� ��� �� ��� � � ������.
24. �� �����. o=neworg,c=us� �� �� �� �� ��
����.
25. �� ��� �����. PD Deny-Others1� ACI �� ���
���.
26. �� ��� �� � ��� ��� �����.
27. �� � � �����. o=neworg,c=us� �� ACI ��
����.
28. �� ACI ���� ���� �����.
(targetfilter="(|(objectclass=secUser)(objectclass=secGroup))")(version 3.0; acl "PD Deny-Others"; deny(all)groupdn != "ldap:///cn=SecurityGroup,secAuthority=Default ||ldap:///cn=remote-acl-users,cn=SecurityGroups,secAuthority=Default ||ldap:///cn=ivacld-servers,cn=SecurityGroups,secAuthority=Default";)
�� ��� � ���� ��� ���� ������. ��
� ��� �� ��� � � ������.
29. �� �����. o=neworg,c=us� �� �� �� �� ��
����.
30. �� ��� �����. PD Deny-Others2� ACI �� ���
���.
31. �� ��� �� � ��� ��� �����.
32. �� � � �����. o=neworg,c=us� �� ACI ��
����.
152 �� 3.8
33. �� ACI ���� ���� �����.
(targetfilter="(|(objectclass=secPolicyData)(objectclass=secPolicy))")(version 3.0; acl "PD Deny-Others"; deny(all)groupdn != "ldap:///cn=SecurityGroup,secAuthority=Default ||ldap:///cn=remote-acl-users,cn=SecurityGroups,secAuthority=Default ||ldap:///cn=ivacld-servers,cn=SecurityGroups,secAuthority=Default";)
�� ��� � ���� ��� ���� ������. ��
� ��� �� ��� � � ������.
34. �� �����. o=neworg,c=us� �� �� �� �� ��
����.
35. �� � o=neworg,c=us� �� �� �� �� �� ��
���.
36. ��� ����� � -> ��� �����.
153Tivoli SecureWay Policy Director Base �� ���
7.L
DA
P�
��
��
��
�
154 �� 3.8
�� ��� �� �� � �
Policy Director� �� �� �� �� � �� ��� �����. �
� � Policy Director � �� �� � � �� ����
�� � ����. �� �� � Policy Director � �� ���
� ��, ��, ��, HTTP ���� �� � ����.
�� ��
¶ ��� �� � ��� ���
¶ 157 ���� �Policy Director � �� ��
¶ 158 ���� ���� ��� ����
¶ 160 ���� �Policy Director �� �� ��
¶ 164 ���� ��� �� � ���
¶ 166 ���� ��� �� � ���
�� �� � �� ���� � �� �� �� �� Policy Director � � ��� ��
���� ���� ���� ��� �� ��� � � ����.
�� ��Policy Director � � �� �� ���� �� � � ���� �
���. �� �� � ASCII �����.
8
155Tivoli SecureWay Policy Director Base �� ���
8.�
��
��
��
��
�
�
Policy Director� �� �� �� �����.
1. Policy Director � �� �
��� ��� 157 ���� �Policy Director � �� ��� �
����.
2. ��� ��� ���
��� ��� 158 ���� ���� ��� ����� � ���
�.
�� �� ��Policy Director � � �� �� �� � ��� ��� ��
��. �� � � ��� �� ���� ����. �� �� �
��� ��� �� ��� �����. Policy Director� ��
�� �� � ASCII �����.
Policy Director� �� �� � �� � � �� ���� ��
���.
¶ Management Server(pdmgrd)
¶ Authorization Server(pdacld)
¶ WebSEAL (webseald)
��� ��� 160 ���� �Policy Director �� �� ��� �
����.
��� ��� 164 ���� ��� �� � ���� � ����.
��� ��� 166 ���� ��� �� � ���� � ����.
�� ��: <install-path>� ��� �� <install-path> ��� � �� ���� ��
�� �� ����.
UNIX: /opt/PolicyDirector/Windows: \Program Files\Tivoli\Policy Director
156 �� 3.8
� �� � UNIX�� ����� ��� � ����.
Windows ������ Policy Director ������ �� �
<install-path>� ��� � ����.
Policy Director �� �� �� Policy Director � � � � ��� �� �� � � �
��� ���� ��� �� �� �� ��� �� �����.
�� �� �� ��
Management Server
(pdmgrd)
(ivmgrd.conf �� ��� ����)
UNIX:
log-file=/var/PolicyDirector/log/pdmgrd.log
Windows:
log-file=<install-path>\log\pdmgrd.log
Authorization Server
(pdacld)
(ivacld.conf �� ��� ����)
UNIX:
log-file=/var/PolicyDirector/log/pdacld.log
Windows:
log-file=<install-path>\log\pdacld.log
WebSEAL(webseald) (webseald.conf �� ��� ����)
UNIX:
log-file=/var/PolicyDirector/log/webseald.log
Windows:
log-file=<install-path>\log\webseald.log
Policy Director �� �� ��� �� �� � �� ���� � � � �� �� �� �� �� �� ��, �� �
� �� �����.
��: ivmgrd.log2001-08-18-20:03:26.231+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 720 0x00000001Open database2001-08-18-20:03:26.232+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivc
157Tivoli SecureWay Policy Director Base �� ���
8.�
��
��
��
��
�
�
general ivmgrd.cpp 727 0x00000001Creating database2001-08-18-20:03:26.312+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 749 0x00000001Initialize client notifier2001-08-18-20:03:26.315+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 760 0x00000001Initialize local object cache2001-08-18-20:03:26.728+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 825 0x00000001Initialize authorization manager2001-08-18-20:03:29.278+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 833 0x00000001Initialize client authorization2001-08-18-20:03:31.341+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 863 0x00000001Initialize server manager2001-08-18-20:03:31.345+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.cpp 872 0x00000001Initialize command handlercpp 937 0x000000012.799+00:00I----- 0x1354A0A0 pdmgrd NOTICE ivcgeneral ivmgrd.Server readypp 528 0x0000001335.377+00:00I----- 0x10652105 pdmgrd NOTICE basmts mtsserver.cThe server is listening on port 7135.
��� ��� ����� ��� ���� routing �� �����.
158 �� 3.8
UNIX: /opt/PolicyDirector/etc/routingWindows: <install-path>\etc\routing
� �� �� ��� �� ��� ��� �����. routing
��� �� �� ��� �����.
UNIX:
FATAL:STDOUT:-;FILE:/var/PolicyDirector/log/fatal.logERROR:STDOUT:-;FILE:/var/PolicyDirector/log/error.logWARNING:STDOUT:-;FILE:/var/PolicyDirector/log/warning.logNOTICE:FILE.10.100:/var/PolicyDirector/log/notice.log
Windows:
FATAL:STDERR:-;FILE:%PDDIR%/log/fatal.logERROR:STDERR:-;FILE:%PDDIR%/log/error.logWARNING:STDERR:-;FILE:%PDDIR%/log/warning.logNOTICE:FILE.10.100:%PDDIR%/log/notice.log
�� ���� �� ������� �� � � ���(NOTICE ���� ���)� ��� �
� �� ��� ������.
��� ���� ��� ����, � � ��� � -foreground� ��� ������. � �� � � ������ ����
� ���(�, � � ����� ���� ��). �� �� � �
���� ��� �����.
�� ��, Management Server� � ���� ����� ��
�� ������.
# /opt/PolicyDirector/bin/pdmgrd -foreground
UNIX tee �� ���� � �� � �� �� �� ��
��.
�� ����� � ���� Management Server� ��� ����
�.
# pdmgrd -foreground 2>&1 | tee /tmp/ivmgrd.log
159Tivoli SecureWay Policy Director Base �� ���
8.�
��
��
��
��
�
�
��� ����
1. � �� ��� �� �����, routing �� �� ��� �
�����. NOTICE ��� ������. NOTICE� ��� �
�� � �� ��� ��� �����.
2. Ctrl + c� ���� � ���� �� � ����� ��
��� � ����. � ����� ���� �����.
Policy Director � �� ���� Policy Director �� ����� � ��� ��� �� ��
� ��� �� ��� �����. � Policy Director � � �
�� �� ��� ��� ��� � � �� ���� �� � ��
��.
�� ���� � � � �� ��� ����� �� ��� �
���. ��� �� �� �� ��� � ���. �� � �
� ��� ��� �� �� ���� � ���.
��� Policy Director � � ��� �� �� �� ������
�. Policy Director � �� ��� �����.
¶ Management Server(pdmgrd)
¶ Authorization Server(pdacld)
¶ WebSEAL(webseald)
¶ ADK ��� ��� ��� �� ������(Tivoli SecureWayPolicy Director Authorization ADK Developer Reference � )
Policy Director � � �� �� �� ���� �����
<server-name>.conf �� [aznapi-configuration] ���� ���
��.
�� �� �� �� ��
Management Server pdmgrd ivmgrd.conf
160 �� 3.8
�� �� �� �� ��
Authorization Server pdacld ivacld.conf
WebSEAL webseald webseald.conf
�� �� �� � �� ��logaudit �� �� � � �� �� �� [aznapi-configuration]���� ����� �� �� ��� � � � ��� ���
� ����.
�����, ��� �� ������.
[aznapi-configuration]logaudit = no
“yes” � � � ��� �� ���� ���. �� ��, �� �
���.
[aznapi-configuration]logaudit = yes
�� �� ��� �������, � � � �� �� � audit.log�� �� � � �
� ���� ����. � � � �� �� �� auditlog ���
�� �� �� �� ��� �����.
�� �� �� ��
Management Server
(pdmgrd)
UNIX: auditlog=/var/PolicyDirector/audit/pdmgrd.log
Windows: auditlog=C:\pd\audit\pdmgrd.log
Authorization Server
(pdacld)
UNIX: auditlog=/var/PolicyDirector/audit/pdacld.log
Windows: auditlog=C:\pd\audit\pdacld.log
�� �� �� ��� ��logsize ����� ��� �� �� �� �� � �� �� ���
����, �� � ���(���)� ���.
[aznapi-configuration]logsize = 2000000
161Tivoli SecureWay Policy Director Base �� ���
8.�
��
��
��
��
�
�
�� �� �� �� �--�� ���--� � � ��, �� �
� �� �� ����� ���� � �� �� �����. �
� ��, � �� �� �� �����.
�� ��� �� ��� logsize �� �� �� ����.
¶ logsize �� 0�� � ��(< 0), �� �� �� �� � �
� ����� ��� � ����, �� ���� 24�� � �
�� �����.
¶ logsize �� 0� ��(= 0), �� � ���� �� �� ��
� ���� �����. �� �� �� �� ��� ����
� ���� �����.
¶ logsize �� 0�� � ��(> 0), �� �� �� �� ���
� � �� �� � �����. ��� �� �� �� �� �
�� ���� � ���� �����.
�� �� � ��� �� �� ���� �� � �� ��� ���� �����. ����� �
� �� �� ����� ��, � � �� �� � �� ���
� ��� �� ���� � ����.
�����, �� �� � 20�� � �� �����.
[aznapi-configuration]logflush = 20
��� ��� ��, �� ��� �� �����.
�� ��� ���� ���� �� ���� � � ����� � � � ����. �� ��� Policy Director � �� ���� ���� �� ���
� � ��� ����. � � ���� � � �� �� �
��� ����.
�� �� �� ���
authn �� � �� ��
162 �� 3.8
�� �� �� ���
azn �� ��� ��
mgmt �� � ��
http Webseal HTTP �� ��
��� Policy Director � � � ��� �� ����� ��
�� ���� ��� � ����. �� ��, ��� �� �� ��
��� ���, POP ��� �� � ���, � �� �� �
��� �� ����� � � ����.
[aznapi-configuration]auditcfg = authn
�� �� WebSEAL HTTP �� �� ��� �� ���� �
��, �� WebSEAL � � �� �� �� ��� �� �����
���.
[aznapi-configuration]auditcfg = httpauditcfg = authn
�����, �� �� ��� �� ����� � ��� �� �
�� �� �� �� ���� ����.
�� ��� ��� �� Policy Director � �� �� � �� �
� ���(�� ��� ���)� �� ��.
�� �� webseald pdmgrd pdacld authadk
authn X X X X
azn X X X X
mgmt X
http X
163Tivoli SecureWay Policy Director Base �� ���
8.�
��
��
��
��
�
�
� �� � ��� ���� XML �� ��� ���� ���� �� ���
����. �� XML ���� � �� � �� �� ���
�, XML � ASCII ���� �� ��� �� �� ���� �
��� �� �� � �� � �����.
� �� �� �� �� � �� XML ��� ���� ����.
� �� � �� ���� �� XML ��� ���� �����. ��� ��� �� XML ��� �� ����.
���� �� ���� ��, ���� ��� ���� ��� �
���� � � ����. ��� DTD(Document Type Definition) �
� ���� ���� �� �� � � �����, ��� ���
� ������ � ��� �����. DTD� �� � �� ��
�� �� ���� �� �����.
�� DTD� �� ����.
<!--audit_event.dtd --><!ELEMENT event (date, outcome, originator, accessor, target, data*)><!ATTLIST event
rev CDATA "1.1"link CDATA #IMPLIED >
<!ELEMENT date (#PCDATA)><!ELEMENT outcome (#PCDATA)><!ATTLIST outcome
status CDATA #IMPLIED><!ELEMENT originator (component, event, location)><!ATTLIST originator
blade CDATA #REQUIRED><!ELEMENT component rev CDATA “1.0”><!ELEMENT action (#PCDATA)><!ELEMENT location (#PCDATA)><!ELEMENT accessor (principal*)><!ATTLIST accessor
name CDATA #REQUIRED><!ELEMENT principal (#PCDATA)><!ATTLIST principal
auth CDATA #REQUIRED><!ELEMENT target (object, process?, azn?)><!ATTLIST target
resource CDATA #REQUIRED><!ELEMENT object (#PCDATA)>
164 �� 3.8
<!ELEMENT process (pid, rid, eid, uid, gid)><!ATTLIST process
architecture (unix | nt) 'unix'><!ELEMENT pid #PCDATA><!ELEMENT rid #PCDATA><!ELEMENT eid #PCDATA><!ELEMENT uid #PCDATA><!ELEMENT gid #PCDATA><!ELEMENT azn (perm, result, qualifier)><!ELEMENT perm #PCDATA><!ELEMENT result #PCDATA><!ELEMENT qualifier #PCDATA><!ELEMENT data #PCDATA><!ATTLIST data
tag CDATA #REQUIRED>
Policy Director ��� �� ��� ���� ���, �� �
�� �� ��� ��� �� ����. ����, ��� �
��� principal� �� ���� ���� �� �� ����.
�� �� ��, principal� ��, �� ��� � �� �� �
�� �� �� ��� ����. �� ��� ��� �� ��
� ���� ��� � ����. �� ���� �� ��� �� �
� ��� �� ��� ��� �� �� ����.
��� �� ��� �� ��� ��� Policy Director�� ��� �� �� ��� ��� �� ����.
�� ��� �� ���� ��� �� Policy Director� �� � � �� �����.��� � � �� ����.
0 = SUCCESS1 = FAILURE2 = PENDING3 = UNKNOWN
pdadmin errtext �� Policy Director� �� �� �� ��
�� � ��� � ����(��� ���� 412668954� ���).
<outcome status=”412668954”>1</outcome>
165Tivoli SecureWay Policy Director Base �� ���
8.�
��
��
��
��
�
�
�� ��� � ���� ��� �� � �� ���� ���� ��� �� ��.
0 = AUTHORISATION1 = PROCESS2 = TCB3 = CREDENTIAL5 = GENERAL
� �� � ��
�� �� ����� Policy Director � � �� �����. Policy Director ��
policy �����(�� ��� ��)� �� ���� �� ��
�� �� ���� �� �� POP� ��� ��, �� �� ��
� �� � ����.
��� ��� 91 ���� �POP ���� � ����.
� � �� �� [aznapi-configuration] ��� �� �� �� �
�� “azn”� �����, �� � � ��� ��� � ����.
[aznapi-configuration]auditcfg = azn
�� ��� �� ���� �� � �� �����.
pdadmin> pop modify pop1 set audit-level all
<event rev="1.1"><date>2001-08-05-16:25:08.341+00:00I-----</date><outcome status="0">0</outcome><originator blade="pdmgrd"><component rev=”1.1”>mgmt</component><action>13702</action><location>phaedrus</location></originator><accessor name=""><principal auth="IV_LDAP_V3.0">sec_master</principal></accessor><target resource="5"><object></object></target><data>“13702”“pop1”“pop1”“false”
166 �� 3.8
“15”“0”“““0”“0”“0”“127”“1”“0”“0”“0”</data></event>
�� �� ���principal� �� �� � � Policy Director� ����� ��
���. �� ��� Policy Director� �� ��� ���� �� �
�� �� �� � ����.
“authn”� � �� �� [aznapi-configuration] ���� �� �
� ��� ����� �� ��� ��� � ����.
[aznapi-configuration]auditcfg = authn
�� ���� � ���� � WebSEAL��� �� �� �
��� ����.
<event rev="1.1"><date>2001-08-05-23:04:26.630+00:00I-----</date><outcome status="0">0</outcome><originator blade="webseald"><component>authn</component><event rev="1">0</event><location>location not specified</location></originator><accessor name="unknown"><principal auth="invalid"></principal></accessor><target resource="5"><object></object></target><data></data></event>
167Tivoli SecureWay Policy Director Base �� ���
8.�
��
��
��
��
�
�
WebSEAL �� ���� � �� Tivoli SecureWay Policy Director WebSEAL ��
��� � HTTP �� �� ��� � �� �� �� ��
�� �� ��� � ����.
“http”� WebSEAL � �� �(webseald.conf)� ��
[aznapi-configuration] ���� �� �� ��� �����
WebSEAL ��� ��� ��� � ����.
[aznapi-configuration]auditcfg = http
�� HTTP �� �� ��� ����.
<event rev="1.1"><date>2001-08-05-23:04:26.931+00:00I-----</date><outcome status="412668954">1</outcome><originator blade="webseald"><component>http</component><event rev="1">2</event><location>146.84.251.70</location></originator><accessor name="user not specified"><principal auth="IV_DCE_V3.0">cell_admin</principal></accessor><target resource="5"><object>/pics/pd30.gif</object></target><data></data></event>
�� �� ���Management Server� ����� �� �� policy ������
����� ����. � ������� � ���� �� �� �
�� ��� �, ACL policy, POP policy � ACL POP� �
��� ���� ��� �����.
“mgmt”� Management Server � �� �(ivmgrd.conf)� ��
[aznapi-configuration] ���� �� �� ��� �����
Management Server ��� ��� ��� � ����.
[aznapi-configuration]auditcfg = mgmt
168 �� 3.8
�� pdadmin �� ��� �� ����.
pdadmin> pop modify pop1 set audit-level all<event rev="1.1"><date>2001-08-05-23:01:37.078+00:00I-----</date><outcome status="0">0</outcome><originator blade="ivmgrd"><component>mgmt</component><event rev="1">3702</event><location>location not specified</location></originator><accessor name="user not specified"><principal auth="IV_DCE_V3.0">cell_admin</principal></accessor><target resource="5"><object></object></target><data>"2019""1002""pop1""0"""</data></event>
�� ��� �� ��� �� ID ���� �� �� �� ��� Policy Director� �� �(pdadmin)� ��� ���� ��� ID �� �����. � ��� �� �
��� ��� ��� data ��� �����.
����� ��� ��� ��� �� ��� �(�: list � show) �� ��� ���� � ������.
ACL �� ��
ACL_LIST 13000
ACL_GET 13001
ACL_SET 13002
ACL_DELETE 13003
ACL_FIND 13005
ACTION_LIST 13006
ACTION_SET 13007
ACTION_DELETE 13008
ACTION_GROUPLIST 13009
169Tivoli SecureWay Policy Director Base �� ���
8.�
��
��
��
��
�
�
ACTION_GROUPCREATE 13010
ACTION_GROUPDELETE 13011
ACTION_LISTGROUP 13012
ACTION_CREATEGROUP 13013
ACTION_DELETEGROUP 13014
���� �� ��
OBJSPC_CREATE 13103
OBJSPC_DELETE 13104
OBJSPC_LIST 13105
OBJ_CREATE 13106
OBJ_DELETE 13107
OBJ_MOD_SET_NAME 13110
OBJ_MOD_SET_DESC 13111
OBJ_MOD_SET_TYPE 13112
OBJ_MOD_SET_ISLF 13113
OBJ_MOD_SET_ISPOL 13114
OBJ_MOD_SET_ATTR 13115
OBJ_MOD_DEL_ATTR 13116
OBJ_MOD_DEL_ATTRVAL 13117
OBJ_SHOW_ATTR 13118
OBJ_LIST_ATTR 13119
ACL_ATTACH 13120
ACL_DETACH 13121
ACL_MOD_SET_ATTR 13123
ACL_MOD_DEL_ATTR 13124
ACL_MOD_DEL_ATTRVAL 13125
ACL_SHOW_ATTR 13126
ACL_LIST_ATTR 13127
POP_MOD_SET_ATTR 13128
POP_MOD_DEL_ATTR 13129
POP_MOD_DEL_ATTRVAL 13130
POP_SHOW_ATTR 13131
170 �� 3.8
POP_LIST_ATTR 13132
OBJ_SHOW_ATTRS 13133
ACL_SHOW_ATTRS 13134
POP_SHOW_ATTRS 13135
OBJ_SHOW 13136
OBJ_LIST 13137
OBJ_LISTANDSHOW 13138
�� �� ��
SERVER_GET 13200
SERVER_LIST 13203
SERVER_PERFORMTASK 13204
SERVER_GETTASKLIST 13205
SERVER_REPLICATE 13206
���, ��� � �� �� ��
ADMIN_SHOWCONF 13400
USER_CREATE 13401
USER_IMPORT 13402
USER_MODDESC 13403
USER_MODPWD 13404
USER_MODAUTHMECH 13405
USER_MODACCVALID 13406
USER_MODPWDVALID 13407
USER_DELETE 13408
USER_SHOWGROUPS 13409
USER_SHOW 13410
USER_SHOWDN 13411
USER_LIST 13412
USER_LISTDN 13413
GROUP_CREATE 13414
GROUP_IMPORT 13415
GROUP_MODDESC 13416
GROUP_MODADD 13417
171Tivoli SecureWay Policy Director Base �� ���
8.�
��
��
��
��
�
�
GROUP_MODREMOVE 13418
GROUP_DELETE 13419
GROUP_SHOW 13420
GROUP_SHOWDN 13421
GROUP_LIST 13422
GROUP_LISTDN 13423
GROUP_SHOWMEMB 13424
USER_MODGSOUSER 13425
USER_SET 13426
GROUP_SET 13427
13500 -> 13599� GSO� � ����.
GSO_RESOURCE_CREATE 13500
GSO_RESOURCE_DELETE 13501
GSO_RESOURCE_LIST 13502
GSO_RESOURCE_SHOW 13503
GSO �� � ��
GSO_RESOURCE_CRED_CREATE 13504
GSO_RESOURCE_CRED_DELETE 13505
GSO_RESOURCE_CRED_MODIFY 13506
GSO_RESOURCE_CRED_LIST 13507
GSO_RESOURCE_CRED_SHOW 13508
GSO �� �� ��
GSO_RESOURCE_GROUP_CREATE 13509
GSO_RESOURCE_GROUP_DELETE 13510
GSO_RESOURCE_GROUP_ADD 13511
GSO_RESOURCE_GROUP_REMOVE 13512
GSO_RESOURCE_GROUP_LIST 13513
GSO_RESOURCE_GROUP_SHOW 13514
Policy ��
POLICY_SET_MAX_LOGIN_FAILURES 13600
POLICY_GET_MAX_LOGIN_FAILURES 13601
POLICY_SET_DISABLE_TIME_INTERVAL 13602
172 �� 3.8
POLICY_GET_DISABLE_TIME_INTERVAL 13603
POLICY_SET_MAX_ACCOUNT_AGE 13604
POLICY_GET_MAX_ACCOUNT_AGE 13605
POLICY_SET_ACCOUNT_EXPIRY_DATE 13606
POLICY_GET_ACCOUNT_EXPIRY_DATE 13607
POLICY_SET_MAX_INACTIVITY_TIME 13608
POLICY_GET_MAX_INACTIVITY_TIME 13609
POLICY_GET_ACCOUNT_CREATION_DATE 13610
POLICY_GET_LAST_LOGIN_ATTEMPT_DATE 13611
POLICY_SET_MAX_PASSWORD_AGE 13612
POLICY_GET_MAX_PASSWORD_AGE 13613
POLICY_SET_MIN_PASSWORD_AGE 13614
POLICY_GET_MIN_PASSWORD_AGE 13615
POLICY_SET_MAX_PASSWORD_REPEATED_CHARS 13616
POLICY_GET_MAX_PASSWORD_REPEATED_CHARS 13617
POLICY_SET_MIN_PASSWORD_ALPHAS 13618
POLICY_GET_MIN_PASSWORD_ALPHAS 13619
POLICY_SET_MIN_PASSWORD_NON_ALPHAS 13620
POLICY_GET_MIN_PASSWORD_NON_ALPHAS 13621
POLICY_SET_MIN_PASSWORD_DIFFERENT_CHARS 13622
POLICY_GET_MIN_PASSWORD_DIFFERENT_CHARS 13623
POLICY_SET_PASSWORD_SPACES 13624
POLICY_GET_PASSWORD_SPACES 13625
POLICY_SET_MIN_PASSWORD_LENGTH 13626
POLICY_GET_MIN_PASSWORD_LENGTH 13627
POLICY_SET_MIN_PASSWORD_REUSE_TIME 13628
POLICY_GET_MIN_PASSWORD_REUSE_TIME 13629
POLICY_GET_PASSWORD_FAILURES 13630
POLICY_GET_LAST_PASSWORD_CHANGE_DATE 13631
POLICY_SET_NUMBER_WARN_DAYS 13632
POLICY_GET_NUMBER_WARN_DAYS 13633
POLICY_SET_PASSWORD_REUSE_NUM 13634
173Tivoli SecureWay Policy Director Base �� ���
8.�
��
��
��
��
�
�
POLICY_GET_PASSWORD_REUSE_NUM 13635
POLICY_SET_TOD_ACCESS 13636
POLICY_GET_TOD_ACCESS 13637
POP ��
POP_CREATE 13700
POP_DELETE 13701
POP_MODIFY 13702
POP_SHOW 13703
POP_LIST 13704
POP_ATTACH 13705
POP_DETACH 13706
POP_FIND 13707
�� �� 13800 -> 13899
CFG_CONFIG 13800
CFG_UNCONFIG 13801
CFG_REBNEWCERT 13802
CFG_CHGPORT 13803
174 �� 3.8
pdadmin �� ��
pdadmin ����� ���� Policy Director �� ���� ���
� � ���� �����. Web Portal Manager� ��� ���
������ � � � �� �����.
�� ��
¶ 176 ���� �pdadmin ���� ���
¶ 179 ���� �ACL ��
¶ 182 ���� � � ��
¶ 184 ���� ���� ��
¶ 187 ���� �POP(Protected Object Policy) ��
¶ 189 ���� �� ��
¶ 191 ���� ��� �� ��
¶ 191 ���� ���� �� ��
¶ 198 ���� �� �� ��
¶ 202 ���� ��� �� ��
¶ 208 ���� �Policy �� ��
A
175Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
pdadmin ���� ��pdadmin ����� ���� Policy Director �� ���� ���
� � ���� �����. Web Portal Manager� � pdadmin�� ������. ��� pdadmin Web Portal Manager� �
��� � �� � �� �� �� ��� �����.
pdadmin� ���� ����� ���� �� �� ��� ����
� ����. pdadmin ���� Management Server(pdmgrd) �
�� �� SSL� � ����. ����� PDRTE ��� �
�� �����.
pdadmin ���(login ��) �
¶ ��� ��
¶ � �� ��
¶ �� � ��
��� ��pdadmin� ��� ��� �����, login �� ��� �(��
�), �� �� � �� �� �� pdadmin �� � �
��. admin-user� LDAP ������ �� ���� ���.
UNIX:
# pdadmin# login -a <admin-user> -p <password>pdadmin>
Windows:
MSDOS> pdadminMSDOS> login -a <admin-user> -p <password>pdadmin>
pdadmin ����� ��� �, ��, ��� �����. ���
�� � � ���� � ����.
176 �� 3.8
�� ��� ��� �� � ������ � pdadmin �� ��� � ���
�.
UNIX:
# pdadmin [-a <admin-user>] [-p <password>] [command]
Windows:
MSDOS> pdadmin [-a <admin-user>] [-p <password>] [command]
¶ admin-user(-a) password(-p)� ���� ��, � ���� �
�����.
¶ admin-user(-a)� ���� � ��, ���� � ���� ��
����.
¶ admin-user(-a)� ���� password(-p)� ���� � ��, �
�� �� ���� ��� ���.
�� � ��� ���� � �� ��� ��� � ����. �� ��, �� �� ��� ��� “test”� �����.
pdadmin -a sec_master -p pwd user create testcn=test,ou=austin,o=ibm,c=us test test test1234
�� �� ������ �� ��� �� ��� ���� �� ���� ��
pdadmin �� ��� �� �� ��� � ����. pdadmin ����� � ��� ���� � � ��� �����.
UNIX:
# pdadmin [-a <admin-user>] [-p <password>] <file-pathname>
Windows:
MSDOS> pdadmin [-a <admin-user>] [-p <password>] <file-pathname>
177Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
��� ���� ��� �� ��� ��� ��, ��� �����.
pdadmin> help <category>
� ���� acl, action, object, server, rsrc, rsrccred, rsrcgroup,admin, login, user, group, policy, pop, errtext� ����.
�� � ��� �� ��� ��, ��� �����.
pdadmin> help <command>
pdadmin ��� ��pdadmin� ���� � ����� �����, exit �� quit �
� �����. �� ��, �� ����.
pdadmin> exit
GSO ��� ��� �� �� �GSO ��� �, GSO �� � �� GSO �� � �� ��
� �, �� ��� ��� � ����.
!”#&()*+,;:<>=@\|
���� �� ��� �� LDAP �� Policy Director ���(�: �
��� CN, DN, SN)� � ��� � ����, �� ��� LDAPDN �� � ���� ��� ��� ���. Policy Director ���
� �� ��� ��� ���� �� LDAP�� �� ���
��� ���� � LDAP � � �� ��� � ����.
GSO � �� ��� ������� �� �� �� �� ��� �� �� ��� ���� �
�����.
178 �� 3.8
ACL ���� pdadmin acl � ACL policy � �� ��� � �
� ���.
¶ ACL policy ��
¶ ACL� �� � � ��
ACL policy ��
�� ��
acl attach <object-name> <acl-name>
���� ACL policy� �����. ��� �� �
� �� ACL� �����.
acl create <acl-name>
ACL ������ �� ACL policy� �����. �
� �� ACL ��� ���� ���� �� ���
���.
acl delete <acl-name>
ACL �������� ACL policy� �����.
acl detach <object-name>
�� ������ ��� ACL policy� �����.
� � ACL �������� ACL policy� ���
� ���� �� ������.
acl find <acl-name>
� ACL policy� �� �� ���� �� ��
���.
acl lis
ACL ������ �� ACL policy� �����.
acl modify <acl-name> description <description>
acl �� �� � � �����.
acl modify <acl-name> remove any-other
� ACL policy ����� �� ACL ��� ��
��� ���.
acl modify <acl-name> remove group <group-name>
179Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
� ACL ����� ��� � ACL ��� ���
�� ���.
acl modify <acl-name> remove unauthenticated
� ACL policy ����� ���� � ACL ��
� ����� ���.
acl modify <acl-name> remove user <username>
� ACL ����� ��� ��� ACL ��� ��
��� ���.
acl modify <acl-name> set any-other <perms>
� ACL policy ��� �� ACL ��� �� �/
�� ����� ���.
��:
pdadmin> acl modify pubs set any-other r
acl modify <acl-name> set description <description>
� ACL policy �� � ��� �� �/�� �
���� ���.
acl modify <acl-name> set group <group-name> <perms>
� ACL policy �� � � ACL ��� �� �/
�� ����� ���.
��:
pdadmin> acl modify pubs set group sales Tr
acl modify <acl-name> set unauthenticated <perms>
� ACL policy �� � ���� � ACL ��
� �� �/�� ����� ���.
��:
pdadmin> acl modify docs set unauthenticated r
acl modify <acl-name> set user <username> <perms>
� ACL policy �� � ��� ACL ��� ��
�/�� ����� ���.
��:
pdadmin> acl modify pubs set user peter Tr
acl show <acl-name>
180 �� 3.8
�� ��
� ACL policy� ��� ���� ��� �� ��
� �����.
ACL� �� ��� �� ��
�� ��
acl list <acl-name> attribute
ACL policy �� � �� �����.
acl modify <acl-name> delete attribute <attr-name>
ACL policy��� � � �� �� �����.
acl modify <acl-name> delete attribute <attr-name> <attr-value>
ACL policy �� � ����� �� �� �
����.
acl modify <acl-name> set attribute <attr-name> <attr-value>
��� ACL� � � �� �����. ��� �
�� �� �� ����� � �� ������.
acl show <acl-name> attribute <attr-name>
ACL policy ���� ���� � �� ��
����.
181Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ���� pdadmin action � �� �� �(ACL ��) � � �
� ���� � �����.
¶ ��� �� ACL � ��
¶ � ACL � � � � ��
�� �� ACL � �
�� ��
action create <action-name> <action-label> <action-type>
�� Policy Director �� �( �)� �����. �
� ���� � �� ���� �� �� ��� �
����. action-name ��� �� � �� ���
�����. action-label ��� �� ���� ��� �
� �� �� ���� �����. action-type ��� �� �� ��(ACL �)� ��� ���� �
�� ��(��)� �����.
��:
pdadmin> action create k time Ext-Authzn
action delete <action-name>
action create �� � �� ��� �� �(�
�)� �����.
��:
pdadmin> action delete k
action list
action-name action-label action-type ���� ���
ACL �(��)� �����.
��:
r read WebSEAL...
182 �� 3.8
��� ACL � � � �� �
�� ��
action create <act ion-name> <act ion-label> <act ion-type><action-group-name>
�� � �� �� �� ACL � ��� ���
��.
action delete <action-name> <action-group-name>
�� � ����� ACL � ��� �����.
action group list
�� ACL � � �� �����.
action group create <action-group-name>
�� ACL � �� �����.
action group delete <action-group-name>
ACL � �� �����.
action list <action-group-name>
�� � �� �� �� ACL � ��� ���
��.
183Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
��� ��pdadmin object � objectspace � ��� ������� �
���� �� ���� ��� �� ��� ��� ��� � ��
���.
¶ ��� �� Objectspace ��
¶ �� ��� ��
¶ �� ���� �� � � ��
�� �� Objectspace ��
�� ��
objectspace create <objectspace-name> <description> <type>
���� ��� � �� �� �� ��� ��� �
����.
objectspace delete <objectspace-name>
��� �� ��� �� �� �� �� ����
�����.
objectspace list
�� �� ��� ��� �����.
�� ��� ��
�� ��
object create <obj-name> <description> <type> ispolicyattachable {yes|no}
184 �� 3.8
�� ��
�� �� ���� �����. obj-name ��� �
��� ���� ����. � � �� ���.
description ��� ���� ��� �� ��� ��
����. � ��� object show �� �����. type��� � ��� ���� �� ��� � ���
�� ��� ���� �����. �� 0-13 ��� �
���. �� ��, �� 10 �� 13 ���� ���
� �����. ispolicyattachable ��� � ����
ACL policy� ��� � ��� �����. �� ��,
106 ���� �� ���� ��� ���� � ��
��.
object delete <obj-name>
�� ���� �����.
object list <obj-name>
new - �� �� ��� ��� �� �� �� �
��� �����. old - � ��� �� ��
���� ���� ��� ��� �� ACL�
�� ����. � � � ��� ���� ��
� ��� ���� �� ������.
object listandshow <obj-name>
��� �� ��� ��� ���� �� �� ��
�� ���� ��� ��� �� �� ��� �
���.
object modify <obj-name> set name <new-obj-name>
�� ��� �� �� ��� ��� �� ����
�.
object modify <obj-name> set description <description>
�� ��� �� �� ��� ��� �� ����
�.
object modify <obj-name> set type <type>
�� ��� �� �� ��� ��� ��� ����
�.
object modify <obj-name> set ispolicyattachable {yes|no}
185Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
�� ���� POP(Protected Object Policy)� ���
� ��� �����.
object show <obj-name>
new - �� ��� �� �� �� ����.
old - ��� � � �� �� ACL� ��
����. �� ACL� �� ��, �� “No ACL”� �
����.
�� ���� �� ��� �� ��
�� ��
object list <obj-name> attribute
�� ��� �� � �� �����.
object modify <obj-name> delete attribute <attr-name>
�� ������ ��� � � �� �� ��
���.
object modify <obj-name> delete attribute <attr-name> <attr-value>
��� �� ��� �� � ����� ��
�� �����.
object modify <obj-name> set attribute <attr-name> <attr-value>
� � �� �� ���� �����.
object show <obj-name> attribute <attr-name>
�� ��� �� ��� � �� �� ��
��.
186 �� 3.8
POP(Protected Object Policy) ��pdadmin pop � �� ��� policy �� ��� policy��� � �� ��� � �� ���.
¶ POP ��
¶ POP� �� � � ��
POP ��
�� ��
pop attach <object-name> <pop-name>
�� ���� �� POP� �����.
pop create <pop-name>
POP� �����.
pop delete <pop-name>
POP� �����.
pop detach <object-name>
�� ������ POP� �����.
pop find <pop-name>
�� POP� ��� �� �� �� ���� �� �
����.
pop lis
�� �� POP� �����.
pop modify <pop-name> set audit-level {all|none|<audit-level-list>}
POP �� ��� �����. audit-level-list� permit,
deny, error, admin���� � �� �� ���
� ����.
pop modify <pop-name> set description <description>
POP �� �����.
pop modify <pop-name> set ipauth add <network> <netmask><auth_level>
POP IP-�� ��� �����.
pop modify <pop-name> set ipauth anyothernw <auth_level>
187Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
POP IP-�� ��� �����.
pop modify <pop-name> set ipauth remove <network> <netmask>
POP IP-�� ��� �����.
pop modify <pop-name> set qop {none|integrity|privacy}
POP �� �� �����.
pop modify <pop-name> set tod-access <time-of-day-string>
POP� �� ��� �����. time-of-day-string ��
� �� �� ����.
<{anyday|weekday|<day-list>}>: <{anytime|<time-spec>-
<time-spec>}> [:{utc|local}] day-list ��� mon, tue,
wed, thu, fri, sat �� sun� � ����. time-spec �
� ��� hhmm ���� ���(�: 0700-1945). ��
��� �� ���� ������.
pop modify <pop-name> set warning {on|off}
POP �� ��� �����.
pop show <pop-name>
POP� ����� ����.
188 �� 3.8
POP� �� ��� �� ��
�� ��
pop list <pop-name> attribute
POP �� � �� �� �����.
pop modify <pop-name> delete attribute <attr-name>
��� POP��� ��� � � �� �� ���
��.
pop modify <pop-name> delete attribute <attr-name> <attr-value>
��� POP �� � ����� �� �� �
����.
pop modify <pop-name> set attribute <attr-name> <attr-value>
� � � �� POP� �����.
pop show <pop-name> attribute <attr-name>
�� POP �� ����� ����.
�� ���� pdadmin server � Policy Director � �� �� ����
���� � �����.
server-name ��� � ��� �� Policy Director ���� �
�� �� ��� ����. Policy Director ����� Base �
(�: pdmgrd �� pdacld), Policy Director �� ���(�: webseald)�� �� ������ � � � ����.
<policy-director-component>-<machine-name>
�� ��, �� �� cruz�� Policy Director ����� WebSEAL��, server-name �� ����.
webseald-cruz
�� ��
server list
189Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
�� � � �� �����. ��� <server-name> �
�� � � ��� ��� � � ��� ��
����.
server listtasks <server-name>
� � � �� ��� ��� ��(�)� �����.
server replicate [-server <server-name>]
server show <server-name>
�� � � ��� ����.
server task <server-name> <command>
�� �� �� � � � ��.
���� ����server-name ��� pdadmin server list �� �� � �
� ��� ���� � ��� � ������.
server-name ��� � ��� �� Policy Director ���� �
�� �� �� �� �����(�: WebSEAL).
<policy-director-component>-<machine-name>
�� ��, �� �� cruz�� Policy Director ����� WebSEAL��, server-name �� ����.
webseald-cruz
�� �� �� ���� � � ��� �����.
pdadmin> server listwebseald-cruz
��� cruz� WebSEAL � � �� ��� ����, �� ��
�����.
pdadmin> server show webseald-cruzwebseald-cruz
Description: webseald/cruzHostname: cruz
190 �� 3.8
Principal: webseald/cruzPort: 7234Listening for authorization database update notifications: yesAZN Administration Services:
webseal-admin-svcazn_admin_svc_trace
�� �� ���� �� � � � �� ��� ����.
�� ��
admin show configuration
�� �� �� � �� ��� ����.
¶ ��� ������ LDAP� ���� ��� ��
¶ GSO� �� ���� ����� ��
��:
pdadmin> admin show configuration
�� ��� �� �����.
LDAP: TRUESECAUTHORITY: DefaultGSO: TRUE
��� �� ���� pdadmin user � LDAP ������� ��� ��� �
����.
user� Policy Director � ���� �� ������. GSO user� � � � � ��� � ��� � �� ��� ��� ��
� �� Policy Director ������.
�� ��
user create [-gsouser] [-no-password-policy] <username> <dn> <cn> <sn><password> [group-name]
191Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
LDAP ��� ������ �� Policy Director ��
�(secUser) ��� �����. �� �(DN) ��
��� ��� ���� �� �� �� ���.
���� -gsouser ��� ��� �, GSO ���
(gsoUser)� ��� �� ����.
username ��� ���� ���� ����. � �
�� ���.
dn ��� ���� ����� �� LDAP �� �
���.
��:
“cn=Diana Lucas,ou=Austin,o=Wesley Inc,c=US”
DN �� ���.
cn ��� ���� ����� �� �� ����.
��:
Diana Lucas
sn ��� ���� ���� ����.
��:
Lucas
password ��� � ���� � ��� �����. �
�� Policy Director ���� ��� �� policy ���
�� ���.
��:
mypasswd
�� group-name ��� � ���� �� �� �
����.
192 �� 3.8
�� ��
��(� �� �):
pdadmin> user create -gsouser dlucas “cn=DianaLucas,ou=Austin,o=Wesley Inc,c=US” “DianaLucas” Lucas mypasswd
��� ��� ���� ���, ��� ��� ���� �
���� ���� ��� ���. ��� �����,
account-valid ���� “yes”� �� ���. ���
� �� �� �����, modify user �� ����
��� �� ��� �� ���.
user import [-gsouser] <username> <dn> [group-name]
LDAP ������ ���� �� ��� �����. �
� DN(Distinguished Name)� �� LDAP ����
� ������ �� �� ��� ���� Policy
Director ��� ��� � �� ��� ���� � �
��� ��� � ����. �� group-name ���
� ���� �� �� �����.
��(� �� �):
pdadmin> user import -gsouser mlucaser “cn=MikeLucaser,ou=Austin,o=Wesley Inc,c=US”
user modify <username> description <description>
���� � ���� ���� ��� ��� ���� �
� �����.
��(� �� �):
pdadmin> user modify dlucas description “DianaLucas, Credit Dept HCUS”
user modify <username> password <password>
���� ��� �� ���� �� ��� �����.
� ��� �� �� �� �� ����.
��:
pdadmin> user modify dlucas password newpasswd
user modify <username> authentication-mechanism <mechanism>
193Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
��� ��� ����� ������. �� DN� ��
�� ����, username�� �� ���� ���
��� �����.
��(� �� �):
pdadmin> user modify dlucasauthentication-mechanism Default:LDAP
user modify <username> account-valid {yes|no}
��� ��� ��� �����. ��� ������,
“yes”� ��� ��� �������, “no”� ���
��.
��:
pdadmin> user modify dlucas account-valid yes
user modify <username> password-valid {yes|no}
��� ��� ��� �����. � �� “no”� ���
� ���� ��� ���� ��� � ��� ���� �
��.
��:
pdadmin> user modify dlucas password-valid no
user modify <username> gsouser {yes|no}
�� Policy Director ���� GSO ���� ����
�����. GSO ���� �����, “yes”� ���
GSO ���� �����, “no”� �����.
��:
pdadmin> user modify dlucas gsouser no
user delete <username>
LDAP ��� ������� ��� ��� ��� ��
���. Policy Director ��� ��� ����, LDAP �
������� GSO ��� �� ��� �����.
��:
pdadmin> user delete dlucas
��� �� �� �� �� ��� ��� ��� �
��� ���� �����.
194 �� 3.8
�� ��
user show <username>
�� ���� �� ��� �� ��� ����.
��:
pdadmin> user show dlucas
�� ��� ��� �����.
Login ID: dlucasLDAP dn: cn=Diana Lucas,ou=Austin,o=Wesley Inc,c=USLDAP cn: Diana LucasLDAP sn: LucasDescription: Diana Lucas, Credit Dept HCUSIS SecUser: trueIS GSO user: falseAccount valid: truePassword valid: trueAuthentication mechanism: Default:LDAP
user show-dn <dn>
DN(Distinguished Name)� ���� ���� �� ��
��� �����.
��(� �� �):
pdadmin> user show-dn “cn=DianaLucas,ou=Austin,o=Wesley Inc,c=US”
�� ��� ��� �����.
Login ID: dlucasLDAP dn: cn=Diana Lucas,ou=Austin,o=WesleyInc,c=USLDAP cn: Diana LucasLDAP sn: LucasDescription: Diana Lucas, Credit Dept HCUSIS SecUser: trueIS GSO user: falseAccount valid: truePassword valid: trueAuthentication mechanism: Default:LDAP
user show-groups <username>
195Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
�� ���� ���� ��� ����.
��:
pdadmin> user show-groups dlucas
�� ��� ��� �����.
salescreditengineering
user list <pattern> <max-return>
��� ��� � ��� ��� �� �� �� �
�� ��� ��� �����. � �� ��� ���
�� ��� ����. pattern ��� Tivoli ���
�� � ��� ��� � �� ���. ���� �
��� � ��� ��� ��� ��� � ��� ���
�� �����(�� ��, *luca*). max-return ���
� ��� � ���� ���� �� �� �����
(�� ��, 2). �� �� �� ��� ��� ��� �
�� �� � �� ���� LDAP � ��� � �
��� ������. �� �� �� �� LDAP �
� <max-return> �� �� �����.
��:
pdadmin> user list *luca* 2
�� ��� ��� �����.
dlucasmlucaser
user list-dn <pattern> <max-return>
196 �� 3.8
�� ��
DN� ���� ��� ��, DN�� �� �� ��
��� ��� ��� �����. � �� ��� �
� �� ��� ����. � ��� �� ��� �
�� �� user list �� � ����. pattern ���
���� �� �(“cn=” ���� ��)� �� �(CN)
��� �� ��� ��� � �� ���.
��:
pdadmin> user list-dn *luca* 2
�� ��� ��� �����.
cn=Diana Lucas,ou=Austin,o=Wesley, Inc,c=UScn=Mike Lucaser,ou=Austin,o=Wesley, Inc,c=US
user list-gsouser <pattern> <max-return>
�� �� � �� GSO ���� ��� ��� �
����. � �� GSO ���� �� ��� ��
��. � ��� �� ��� ��� �� user list
�� � ����.
��:
pdadmin> user list-gsouser *luca* 2
�� ��� ��� �����.
cn=Diana Lucas,ou=Austin,o=Wesley, Inc,c=UScn=Mike Lucaser,ou=Austin,o=Wesley, Inc,c=US
197Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� �� ���� pdadmin group � LDAP ��� ������ � ��
� �����.
�� ��� �� ��� �� Policy Director ��� ���� �
����. � ���� �� ���� ����� ���� ��
ACL(Access Control List)� � �� ��� � �� ���.
�� ��
group create <groupname> <dn> <cn> [group-container-object]
LDAP ��� ������ �� Policy Director �
(ISSecGroup)� �����. groupname ��� ����
�� ����. � � �� ���. dn ���
���� �� �� �� LDAP DN(�� �)�
��. ��:
“cn=credit,ou=Austin,o=Wesley Inc,c=US”)
cn ��� �� �� �� ����. ��:
Credit
�� group-container-object ��� � �� ��
� ���� ���� �����. �� � ���
���� ��� ���� � � /Management/
Groups ��� ��� ��� �����. ��(� ��
�):
pdadmin> group create credit“cn=credit,ou=Austin,o=Wesley Inc,c=US” Credit
group import <groupname> <dn> [group-container-object]
198 �� 3.8
�� ��
Policy Director �� ���� � ��� LDAP ��
��� �� �� ��� ����. ��� ���
Policy Director �� ���� �� � � LDAP
������ �� �� ���. ��� ��� �
��� �� � �� ���. � ���� �
��� ���� �� ��� � /Management/
Groups ��� �����. ��(� �� �):
pdadmin> group import engineering“cn=engineering,ou=Austin,o=Wesley Inc,c=US”
group modify <groupname> description <description>
IntraVers ���� �� �� ��� � ��� �� �
� �� �� �����. ��(� �� �):
pdadmin> group modify credit description"Credit, Dept HCUS"
group modify <groupname> add <username>
�� �� � ���� �����. ��:
pdadmin> group modify engineering add dlucas
group modify <groupname> remove <username>
�� ����� �� ���� �����. ��:
pdadmin> group modify engineering remove dlucas
group delete <groupname>
��� � � �� �� �� ��� �����.
��:
pdadmin> group delete engineering
group show <groupname>
�� �� �� ����� ����. ��:
pdadmin> group show credit
�� ��� ��� ����.
Group ID: creditLDAP dn: cn=credit,ou=Austin,o=Wesley Inc,c=USDescription: Credit, Dept HCUSLDAP cn: creditIs SecGroup: true
199Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
group show-dn <dn>
�� DN� �� � �� �����. ��(� ��
�):
pdadmin> group show-dncn=credit,ou=Austin,o=Wesley Inc,c=US
�� ��� ��� ����.
Group ID: creditLDAP dn: cn=credit,ou=Austin,o=Wesley Inc,c=USDescription: Credit, Dept HCUSLDAP cn: creditIs SecGroup: true
group show-members <groupname>
DN�� �� �� �� ���� ����. ��:
pdadmin> group show-members credit
�� ��� ��� ����.
dlucasmlucaser
group list <pattern> <max-return>
�� �� �� ���� � ��� �� ��
�� �� ��� �����. pattern ��� � �
� �� ��� ��� � �� ���. ���� ��
�� � ��� ��� ��� ��� � ��� ����
� �����(�� ��, *austin*). max-return ���
� ��� � ���� ���� �� �� �����(�
� ��, 2). �� �� �� ��� ��� ��� � �
� �� � �� ���� LDAP � ��� � �
��� ������. �� �� �� �� LDAP �
� <max-return> �� �� �����. ��:
pdadmin> group list *a* 2
�� ��� � ��� �����.
salesmarketing
200 �� 3.8
�� ��
group list-dn <pattern> <max-return>
DN� ��� ��� ��, �� ��� �� DN�� �
� �� �� �� ��� �����. � ���
�� ��� ��� �� group list �� � ����.
pattern ��� �� �� � (“cn=” ���� ��)
� �� �(CN) ��� �� ��� ��� � �� �
��.
��:
pdadmin> group list-dn *t* 2
�� ��� ��� ����.
cn=credit,ou=Austin,o=Wesley Inc,c=US salescn=marketing,ou=Boston,o=Austin Sale,c=US marketing
201Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� �� ���� pdadmin �� �� �� ��� �����.
�� �� ��� �� ����.
¶ �� ��
¶ �� � ��
¶ �� �� ��
� ����� pdadmin rsrc � ���� GSO ���� �� � �
� �� ���� ��� � �� ���.
�� � � ���. WebSEAL junction ��� -T ���� � �
� �����.
pdadmin rsrc � � ��� �� �����.
�� ��
rsrc create <resource-name> [-desc <description>]
���� � � � � �� �� �� � � � � � .
resource-name ��� � ��� ���� � � ��
� ��� ����. ��:
engwebs01
description ��� ���� � ��� �� �� ���
� ��� ��� � �� �� ����. �� ��
��� �� ��(-)� �� ���. ��� �� �
� ��(“)� �� ���. ��(� �� �):
pdadmin> rsrc create engwebs01 -desc“Engineering Web server - Room 4807”
rsrc delete <resource-name>
202 �� 3.8
�� ��
�� �� ��� � �� �� �����. �
��� �� �� ��� ��� � � ����. �
�:
pdadmin> rsrc delete engwebs01
rsrc list
LDAP ���� ������ �� ��� �� �
� � ��� �� ����. ��:
pdadmin> rsrc list
�� ��� ��� �����.
engwebs01engwebs02engwebs03
rsrc show <resource-name>
�� �� ��� �� � �� ��� ����.
� ��� �� �� ��� ��� � ����
����. ��:
pdadmin> rsrc show engwebs01
�� ��� ��� �����.
Web Resource Name: engwebs01Description: Engineering Web server - Room 4807
� �� ���� pdadmin rsrcgroup � �� �� �� � �� �� �
�� � �� ���.
resource group �� �� � � ��� ��� ID � �� �
�� ��� �� � � �� �����. �� �� �� ���
�� � �� ��� ��� � ����. Policy Director� �� �
� � ��� �� �� �� �� �� �� �� � �� ��
� �����.
203Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
rsrcgroup create <resource-group-name> [-desc <description>]
� �� �� ���� �� �����. resource-group-name ��� �� �� ����. description��� � �� �� ���� � ��� � ��
�� ����. �� -desc ����� �� ��(-)�
�� ���. ��� �� � � ��� �� �
��. ��(� �� �):
pdadmin> rsrcgroup create webs4807 -desc“Web servers, Room 4807”
rsrcgroup delete <resource-group-name>
�� �� �� �� � �� �� �����.
� �� �� �� ���. ��:
pdadmin> rsrcgroup delete webs4807
rsrcgroup modify <resource-group-name> add rsrcname <resource-name>
��� �� �� � ��� �����. � �� �
� �� ���. ��(� �� �):
pdadmin> rsrcgroup modify webs4807 addrsrcname engwebs02
rsrcgroup modify <resource-group-name> remove rsrcname<resource-name>
��� �� ��� � �� �� �����. ��(�
�� �):
pdadmin> rsrcgroup modify webs4807 removersrcname engwebs02
rsrcgroup list
LDAP ���� �� �� � �� �� ��
����. “��” ��� ��� �����. ��:
pdadmin> rsrcgroup list
�� ��� ��� �����.
webs4807websbld3
rsrcgroup show<resource-group-name>
204 �� 3.8
�� ��
�� �� �� �� � �� � ��� ����.
� �� �� �� �� ��� ��� � ��
�� ����. ��:
pdadmin> rsrcgroup show webs4807
�� ��� ��� �����.
Resource Group Name: webs4807Description: Web servers, Room 4807Resource Members:
engwebs01engwebs02engwebs03
� �� ����� pdadmin rsrccred � �� �� �� �� �� �� �
�� � �� ���.
resource credential � � � � � � � GSO ��� �
� ��� �� ��� ID ��� �����.
pdadmin rsrccred �� ��� �, �� ����� “web″ ��
“group″�� ��� � ����.
�: �� �� �� ���� �� �� �� �� �� ��
���.
205Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
rsrccred create <resource-name> rsrcuser <resource-userid> rsrcpwd<resource-password> rsrctype {web|group} user <username>
�� ��� ���� �� �����. �� ��� �
���� ��� ��(�� �� �)� �� ��
���. ���, �� �� �� �� ��� ���� �
��, � ���� ����. �� �� �� �
� � � � �� ����� “web” �� “group” ��
�� ����. resource-name ��� ��� �����
� ��� ��� ����. ��:
engwebs01)
resource-userid ��� � � � ���� � ���
��� ID(userid)���. ��:
4807ws01
resource-password ��� � � �� ���� �� �
����. ��:
rsrpwd
username ��� �� �� ��� ���� ���� �
���. ��:
dlucas
��(� �� �):
pdadmin> rsrccred create engwebs01 rsrcuser4807ws01 rsrcpwd rsrpwd rsrctype web userdlucas
rsrccred modify <resource-name> rsrctype {web|group} set [-rsrcuser<resource-userid>] [-rsrcpwd <resource-password>] user <username>
206 �� 3.8
�� ��
�� �� ��� �� ��� ID � �� �� ��
��� �����. ��� �� �� ��� �� ���
ID� ����� ������, �� �� � �� �
�(-)� �� ���. �� �� ��� ���� �� �
� �� �� � ���� �� �� ���. ��
� �� �� ��� ����� �, “web” �� “group”
�� �� �� �� �� ���.
��(� �� �):
pdadmin> rsrccred modify engwebs01 rsrctypegroup set -rsrcuser 4807ws01 -rsrcpwd newrsrpw
user dlucas
rsrccred delete <resource-name> rsrctype {web|group} user <username>
��� ���� �� �� �� ���� �����. �
� �� ��� ��� ����� �, “web” ��
“group” �� �� �� �� �� ���.
��(� �� �):
pdadmin> rsrccred delete engwebs01 rsrctypegroup user dlucas
rsrccred list user <username>
�� �� ��� � �� ���� �� ���
����.
��:
pdadmin> rsrccred list user dlucas
�� ��� ��� �����.
Resource name: engwebs01Resource Type: groupResource name: engwebs02
Resource Type: web
rsrccred show <resource-name> rsrctype {web|group} user <username>
207Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
�� ���� �� �� �� ��� ����. ��
�� ���� �� �� �� ��� ��� � �
��� ����.
��(� �� �):
pdadmin> rsrccred show webs4807 rsrctypegroup user dlucas
�� ��� ��� �����.
Resource Name: engwebs01Resource Type: groupResource User Id: dlucas
Policy �� ��pdadmin policy � �� LDAP ��� � � �� � � �
� ���� �� � �����.
�� policy �� ��� � ����.
¶ ��� Policy ��
¶ �� Policy ��
policy� ���� ���� �� � �� � LDAP ��� ��
� ��� ���� ���� ��� �����. ��� ����� �
��� �� ����� ����� �� ��� �� ������ �
�� � ����.
����� �� policy� �� ��, � �� policy� ���� �
�� policy�� � ���. � ��� �� policy� � policy�� �� ��� �� ���� ���� �����.
��� Policy ���� pdadmin policy � ��� �� policy� ��� � ���
���.
208 �� 3.8
� ��� policy� ����� ��� ��� policy� ����� �
�� �� policy �� �� ������. ��, ��� ��� ��
� policy� �� ��� �� � ����.
��� �� policy� ��, Policy Director� �� �� �� ��
� �����.
DDD-hh:mm:ss
���, �� �� �� ��� �����.
YYYY-MM-DD-hh:mm:ss
Registry Policy �� �� � � � ��,
�� ��
policy set account-expiry-date [unlimited <absolute-time>] [-user<username>]
policy get account-expiry-date [-user <username>]
�� ��� ��� ���� �� �� ��� ����
policy� �����. �� ��� ��� ��� ����
��� ���� ��� ��� � ����. ��(� ��
�):
pdadmin> policy set account-expiry-date1999-12-30-23:30:00 -user dlucas
�� 2
pdadmin> policy get account-expiry-date -userdlucas
policy set disable-time-interval {<number>|unset|disable} [-user<username>]
policy get disable-time-interval [-user <username>]
209Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
��� ��� �� �� �� � � ��, ��� �� �
���� � ��� ���� � policy� �����. �
���� �� � policy� �� ����� �����
LDAP ������ �� �� ������ �����
��� � ����. �� �� 180���.
policy set max-login-failures {<number>|unset} [-user <username>]
policy get max-login-failures [-user <username>]
�� ��� �� ��� ��� �� � �� �
� ���� policy� �����. � � policy setdisable-time-interval �� � ��� ����. ��
��� � policy� �� ����� ����� LDAP �
����� �� �� ������ ����� ��� �
����. �� �� 10���.
policy set tod-access {<time-of-day-string>|unset} [-user <username>]
policy get tod-access [-user <username>]
� ��� �� �� ���� ���� � �� �� �
�� �����. time-of-day-string ��� �� ��� �
��.
<{anyday|weekday|<day-list>}>:<{anytime|<time-spec>-<time-spec>}>[:{utc|local}]
day-list ��� mon, tue, wed, thu, fri, sat �� sun�
� � ����. time-spec range ��� hhmm ����
���(�: 0700-1945). �� ���� ����� �
�����(�: utc=GMT).
�� Policy ���� pdadmin policy � �� �� �� policy �� ��� �
�� ���.
�� �� policy� ��, Policy Director� �� �� �� ���
�����.
210 �� 3.8
DDD-hh:mm:ss
policy �� �� � � � ��,
�� ��
policy set max-password-age {unset|<relative-time>} [-user <username>]
policy get max-password-age [-user <username>]
��� ���� �� � �� �� �� ��� ��
�� policy� �����. �� �� �, �, ���
��� ��� �� “���”� �����. �����
�� ��� �� ����� ������ �� ��
����� ����� policy� ��� � ����.
relative-time ��� DDD-hh:mm:ss� ���� �, �,
��� �� �� �����. �� 1(� �� �):
pdadmin> policy set max-password-age031-08:30:00 -user dlucas
�� 2
pdadmin> policy get max-password-age -userdlucas
policy set max-password-repeated-chars {<number>|unset} [-user<username>]
policy get max-password-repeated-chars [-user <username>]
��� � � ��� �� �� ���� policy
� �����. ����� � policy� �� �����
����� �� ������ �� �� ������
����� ��� � ����. �� �� 2���.
policy set min-password-alphas {<number>|unset} [-user <username>]
policy get min-password-alphas [-user <username>]
��� � �� ��� �� �� ���� policy�
�����. ����� � policy� �� ����� �
���� �� ������ �� �� ������ �
���� ��� � ����. �� �� 4���.
policy set min-password-length {<number>|unset} [-user <username>]
policy get min-password-length [-user <username>]
211Tivoli SecureWay Policy Director Base �� ���
A.
pd
adm
in�
��
�
�� ��
��� �� ��� ���� policy� �����. ��
��� � policy� �� ����� ����� �� �
����� �� �� ������ ����� ���
� ����. �� �� 8���.
policy set min-password-non-alphas {<number>|unset} [-user <username>]
policy get min-password-non-alphas [-user <username>]
��� � � ��(��)� �� �� ����
policy� �����. ����� � policy� �� ��
��� ����� �� ������ �� �� ���
��� ����� ��� � ����. �� �� 1�
��.
policy set password-spaces {yes|no|unset} [-user <username>]
policy get password-spaces [-user <username>]
��� �� ���� ��� ���� policy� ���
��. ����� � policy� �� ����� ����
� �� ������ �� �� ������ ����
� ��� � ����. �� �� unset���.
212 �� 3.8
ivmgrd.conf ��
Policy Director Management Server� ivmgrd.conf �� ��(pdmgrd).
���� �� ����.
¶ [ivmgrd]
¶ [ldap]
¶ [ssl]
¶ [authentication-mechanisms]
¶ [object-spaces]
¶ [aznapi-configuration]
¶ [aznapi-entitlement-services]
¶ [aznapi-pac-services]
¶ [aznapi-cred-modification-services]
¶ [aznapi-external-authzn-services]
¶ [delegated-admin]
���� ��
[ivmrgd] stanza
unix-user � � � �� UNIX ��� ��
unix-group � � � �� UNIX � ��
B
213Tivoli SecureWay Policy Director Base �� ���
B.
ivmg
rd.co
nf
��
���� ��
database-path �� �� ������ ��
tcp-req-port �� ��� �� TCP �� ��
max-notifier-threads �� ��� ��� ���� �
auto-database-update-notify
�� ����� ���� �� �� �� �
� �� �� ��
notifier-wait-time ����� ��� ���� � �� policy �
���� ��(�)
pid-file PID �� ��
log-file �� �� ��
ca-cert-download-enabled ����� �� CA ���� ������
�
[ldap] stanza
ldap-server-config ldap.conf �� �� ��
prefer-readwrite-server ����� �� ��� � �� � �
��� �� ����� �/�� LDAP �
� ��� �� �� �� �� � ��
���
bind-dn LDAP � � ��� � ���� LDAP �
�� DN
bind-pwd LDAP ��� ��
ssl-enabled LDAP � � SSL �� �� �� � ��
���
ssl-keyfile LDAP ���� ���� ���� ���� �
���� SSL �� ��
ssl-keyfile-dn SSL �� �� ���
ssl-keyfile-pwd SSL � ��
auth-using-compare LDAP ���� ���� � ldap_compare
()� ldap_bind() �� �� ����� ��
�
[ssl] ���
ssl-keyfile SSL �� ��
ssl-keyfile-pwd ��� �� � ���� ���� ��
214 �� 3.8
���� ��
ssl-keyfile-stash SSL �� stashfile� ��
ssl-keyfile-label ��� �� ��� � ���
ssl-v3-timeout SSL v3 ��� �� ���
ssl-listening-port �� MTS� ��� TCP ��
ssl-io-inactivity-timeout SSL ��� ����� �� ��� ����
� ��(�)
ss l -maximum-worker-threads
���� ��� ���� � � � ���
���� �� �
ssl-pwd-life SSL �� �� �� - ��
ssl-cert-life SSL �� �� �� - ��
ssl-auto-refresh SSL ��� � ����� � ��� �
� �� �� �� � �� ���. �� ��
� ��, ��� � �� � ��� ��� �
� ������.
[authentication-mechanisms] ���
passwd-uraf ��� ��� ����
cert-uraf ��� ��� ����
passwd-ldap ��� ��� ����
cert-ldap ��� ��� ����
[aznapi-configuration] ���
logsize �� ��� �� �� �� �� ���
logflush �� ��� �� �� � �� �� �
logaudit �� �� � �� ��� ��
auditlog �� �� �� ��
auditcfg = azn �� �� ��� �
auditcfg = authn �� ��� �
auditcfg = mgmt �� ��� �
[aznapi-entitlement-services] ���
[aznapi-pac-services] ���
215Tivoli SecureWay Policy Director Base �� ���
B.
ivmg
rd.co
nf
��
���� ��
[aznapi-cred-modification-services] ���
[aznapi-external-authzn-services] ���
[delegated-admin] ���
authorize-group-list group list � group list-dn ��� �� �
� �� �� � �� ���
216 �� 3.8
ivacld.conf ��
Policy Director Authorization Server(pdacld)� ivacld.conf �� �
�
���� �� ����.
¶ [ivacld]
¶ [ldap]
¶ [ssl]
¶ [manager]
¶ [authentication-mechanisms]
¶ [aznapi-configuration]
¶ [aznapi-entitlement-services]
¶ [aznapi-pac-services]
¶ [aznapi-cred-modification-services]
¶ [aznapi-admin-services]
���� ��
[ivacld] ���
tcp-req-port �� ��� �� TCP �� ��
pid-file PID �� ��
C
217Tivoli SecureWay Policy Director Base �� ���
C.
ivacld.co
nf
��
���� ��
log-file �� �� ��
unix-user � � � �� UNIX ��� ��
unix-group � � � �� UNIX � ��
permit-unauth-remote-caller Authorization API ����� ���
���� �� Authorization Server� �
�� �� ��
[ldap] stanza
enabled �� �� � �� ��� LDAP ��
� ����� ��
host LDAP � ��� �
port LDAP � � ��� � ���� IP
��
bind-dn LDAP � � ��� � ����
LDAP ��� DN
bind-pwd LDAP ��� ��
cache-enabled ��� LDAP �� �� ��� �
�� � LDAP ����� �
�� �� � �� ���
prefer-readwrite-server ����� �� ��� � �� �
� ��� �� ����� �/�
� LDAP � � ��� �� ��
�� �� � �� ���
ssl-enabled LDAP � � SSL �� �� �� �
�� ���
ssl-keyfile LDAP ���� ���� ���� ��
�� � ���� SSL �� ��
ssl-keyfile-dn SSL �� �� ���
ssl-keyfile-pwd SSL � ��
max-search-size ��� LDAP � �� �� �� �
� � ��
ssl-port LDAP ��� � ���� SSL ��
218 �� 3.8
���� ��
auth-using-compare L D A P ���� �� � � �
ldap_compare()� ldap_bind() �� ��
����� �� �
ldap-replica ����� LDAP ��� ����� �
�� ��
[ssl] ���
ssl-keyfile SSL �� ��
ssl-keyfile-pwd ��� �� � ���� ���
� ��
ssl-keyfile-stash SSL �� stashfile� ��
ssl-keyfile-label ��� �� ��� � ���
ssl-v3-timeout SSL v3 ��� �� ���
ssl-listening-port �� MTS� ��� TCP ��
ssl-io-inactivity-timeout SSL ��� ����� �� ��� �
��� � ��(�)
ssl-maximum-worker-threads ���� ��� ���� � � � �
�� ���� �� �
ssl-pwd-life SSL �� �� �� - ��
ssl-cert-life SSL �� �� �� - ��
ssl-auto-refresh SSL ��� � ����� � �
�� �� �� �� �� � �� ��
�. �� ��� ��, ��� � �� �
��� ��� � ������.
ssl-authn-type �� ��
[manager] ���
manager-host MTS � � ��� �
master-port � � ��� �� �� TCP ��
master-dn MTS � �� ���� ���� ��
�� �
[authentication-mechanisms] ���
passwd-uraf ��� ��� ����
cert-uraf ��� ��� ����
219Tivoli SecureWay Policy Director Base �� ���
C.
ivacld.co
nf
��
���� ��
passwd-ldap ��� ��� ����
cert-ldap ��� ��� ����
[aznapi-configuration] ���
logsize �� ��� �� �� �� �� �
��
logflush �� ��� �� �� � �� ��
�
logaudit �� �� � �� ��� ��
auditlog �� ����� �� �� �� �
�
auditcfg = azn �� �� ��� �
auditcfg = authn �� ��� �
db-file pdacld ����� �� �� ��
cache-refresh-interval �� Authorization server�� �� �
� �� ��
permission-info-returned
max-handle-groups ��� �� �� �� �
listen-flags policy �� ��� �� �� �� �
�� ���
[aznapi-entitlement-services] ���
�� API ��� ��
[aznapi-pac-services] ���
AZN_V37CRED_SVC Policy Director 3.7 �� � Policy
Director 3.8 �� �� ���� ���.
Policy Director 3.7 �� API ����
���� �� �� ��� ��� �
���.
[aznapi-cred-modification-services] ���
AZN_MOD_SVC_RAD_2AB �� ��� ���� ���� ��
��� �� �� ���. � �� �
� �� ��� ���� ��� � ��
��.
220 �� 3.8
���� ��
[aznapi-admin-services] ���
AZN_ADMIN_SVC_TRACE �� API ������� �� �� �
� �� � �� ���(pdadmin ��).
221Tivoli SecureWay Policy Director Base �� ���
C.
ivacld.co
nf
��
222 �� 3.8
ldap.conf ��
ldap.conf �� ��
���� �� ����.
¶ [ldap]
���� ��
[ldap] stanza
enabled Policy Director� LDAP ��� ������ �����.
���� “yes” “no”� ����.
host LDAP �� � � ��� ���� ���� �
port LDAP �� � � TCP �� ��
ssl-port LDAP �� � � SSL �� ��
max-search-size ����� ��� LDAP Client ��� �� Policy
Director ��(�: LDAP �������� ���� �
��� �� ��� �� ��)
replica LDAP � �� ��
D
223Tivoli SecureWay Policy Director Base �� ���
D.
ldap
.con
f�
�
224 �� 3.8
pd.conf ��
pd.conf �� ��
���� �� ����.
¶ [pdrte]
¶ [ssl]
¶ [manager]
¶ [ldap-ext-cred-tags]
���� ��
[pdrte] ���
��� PDRTE ��� ������ ���
�� ��.
user-reg-type ��� ����� ��. (�� LDAP�
���)
user-reg-server ��� ����� � �
user-reg-host ��� ����� ��� �
user-reg-hostport ��� ����� � �� ��
boot-start-ivmgrd ��� ��� Management Server
(pdmgrd) ��
boot-start-ivacld ��� ��� Authorization Server
(pdacld) ��
[ssl] ���
E
225Tivoli SecureWay Policy Director Base �� ���
E.
pd
.con
f�
�
���� ��
ssl-keyfile SSL �� �� ��� ��
ssl-keyfile-pwd � ��
ssl-keyfile-stash SSL �� stashfile� ��
ssl-keyfile-label ��� ��� ��� ���� �
ssl-v3-timeout SSL v3 ��� �� ID ���
ssl-pwd-life SSL �� �� �� - ��
ssl-io-inactivity-timeout SSL ��� ����� �� ��� �
��� � ��(�)
ssl-auto-refresh ����� ��� � ��� ��
�� �� �� �� �� ���
[manager] ���
master-host MTS � � ��� �
master-port � � ��� �� �� TCP �� ��
replica Authorization server ���
[ldap-ext-cred-tags] ���
< c r e d e n t i a l - f i e l d - n a m e > =<ldap-inetOrgPerson-field>
inetOrgPerson LDAP ��� ���
�� ���� Policy Director ��� �
�� ���� ����.
226 �� 3.8
��
�����
�� 155
�� ��� 160
�� �� 160
�� �� � 156, 160
�� 64
�� ACL 64
�� ACL policy 25
�� �� 9
�� ��� 23
�� API 12
�� policies (��) 88
�� � 123
�� � �� 30, 34
�� 3, 7, 13, 59
��� �� 61
��� ��, �� 62
�� ����� �� 128
�� �����, �� 128
�� �� 13
�� ��� 14, 16, 17
�� ����� 19
�� 16
Authorization API 19
�� �� 80
�� ��� 18
�� ���� 28
�� policy ����� 17
� 55
� ���� ��� 106
�� �� policy 88
�� �� ACL 65, 88
�� �� �(LDAP ��) 142
�� management ACL 89
�� WebSEAL ACL 89
�� 63
�������� 3
�� ��
�� 155
�� � 155
�� ��, �� ��� 157
�� ��� 161
�� ACL(��) 65, 88
��� �� �� policy ����� 17
�� ACL 64
�� ACL policy 25
��� 3
���
� �� 4
policy �� 22
� � � �� 2
� ��� 3
227Tivoli SecureWay Policy Director Base �� ���
��
� � 11
�� 23, 44
�� � 3, 7
�� ���
��� �� 23
�� ��� �� 3, 22
�� ��� 23
�� 23
��� �� ��� 23
� ��� 23
�� 70
�� ��� �� � 43
�� ��� policies 26
�� 20
��� 141
������ 54
��� �� ��� 23
��� �� ��� �� 47
�� �� 48
��, � 126
� �� � 157
� �� 130
� , �� � �� 124
��� ��� ��� 158
��� �� 23, 44
�� � �� � 124
������ 3
���� 7
������ ���� � 2
� �� �� 138
��� �� �� 87
��� ��, ��� �� 47
�� �� 48
��� �� 87
��� �� 49, 107
���, �� � �� 50
�� �� ��� 35
�� � �� 30, 32
� ��� 23
�� ��
policy �� 113
�� ��
� � ��� �� 106
� �� 109
� ���� ��� 106
� ACL � 111
��� � � �� 101
��� ACL � 112
��� �� �� 100
��� �� ID � 169
�� 3, 6
���� �� 58, 63
��� 57
��� 3
����� ��� 14
�� ��� 44
� 59
ACL ��� � 74
� �, �� �� 73
�, �� �� 73
�� �� �� 9
�� �� �� 131
228 �� 3.8
������� ��� 44
�� 45
��� �� 46
WebSEAL 45
������ ��� �� 130
��� Authorization API 5
�� ID � 169
���� � 71
� � � 71
�� 3, 8, 20
AACL 3, 26
�� 64
�� �� 78
�� �� 56
�� � 59
�� �� 80
�� �� policy 88
�� �� 88
��� �� �� 61
��� �� �� �� 62
ACL (�)
� LDAP ���� �� 143
��� � 60
�� � 68
�� � 57
�� 56
�� 62
�� 54
� � 71
� � � 71
ID � 58
Traverse 66, 76
WebSEAL �� 76
ACL policies, �� 25
ACL �� 59
ACL �� � 68
ACL �� 62
ACL(Access Control List) 3, 26
auditcfg 162
auditlog 161
Authorization API 12, 30
Authorization server 13, 119
auto-database-update-notify 129
Bboot-start-ivacld 127
boot-start-ivmgrd 127
Ddefault config ACL 90
default GSO ACL 90
default Policy ACL 90
default replica ACL 90
229Tivoli SecureWay Policy Director Base �� ���
��
GGSKit 13
IIBM Global Security Kit (GSKit) 13
IBM SecureWay Directory 138
iPlanet 138
ivmgrd-servers � 102
ivmgrd.log
�� 157
iv-admin � 102
LLDAP
�� 133
� �� �� 138
���, �� �� 143
LDAP ��
�� �� � 142
ldap.conf 140
logaudit 161
logflush 162
logsize 161
MManagement Server 119
Management server 11, 17
management/ACL �� 78
management/Action �� 80
management/Config �� 83
management/Groups �� 86
management/GSO �� 87
management/Policy �� 83
management/POP �� 81
management/Replica �� 84
management/Server �� 82
management/Users �� 84
max-notifier-threads 129, 131
Nnotifier-wait-time 129, 131
Ppdacld 120
pdacld.log 157
pdadmin 11, 121, 122
pdadmin � �� 130
pdmgrd 17, 120
pdmgrd.log 157
pd_start 121, 124
Policy Director
�� API 12
���� 9
�� ��� 16, 17
� � � �� 2
� � 11
�� 5
������ ���� � 2
�� � 6
Authorization API 12
Authorization server 13
IBM Global Security Kit (GSKit) 13
Management server 11
pdadmin 11
Web Portal Manager 10
WebSEAL 11
230 �� 3.8
policy ��� 14
POP 3, 26, 92
� �� 95
���� �� 94
create 93
POP policies, �� 25
POP �
�� �� 96
�� �� 95
�� � 98
IP ����� �� 98
time of day 97
POP(Proteced Object Policy)
create 93
POP(�� policy) 3, 92
� �� 95
���� �� 94
Ssec_master ��� 101
server
��� �� 127
server status 126
Sparse ACL �� 64
TTraverse 76
Traverse �� 66, 76
WWeb Portal Manager 10, 27, 121
WebSEAL 11, 119
webseald 120
webseald.log 157
webseal-servers � 102
231Tivoli SecureWay Policy Director Base �� ���
��
232 �� 3.8
Printed in Australia
GA30-1317-01
Recommended