Integrar o CA SiteMinder

Este cenário descreve como um administrador de segurança configura o OC (Operator Console - Console do Operador) a ser protegido pelo SiteMinder. Usar o SiteMinder com o OC proporciona mais segurança para a sua organização. Além disso, é possível implementar o acesso por logon único no OC e em outros aplicativos web.
uim901
Este cenário descreve como um administrador de segurança configura o OC (Operator Console - Console do Operador) a ser protegido pelo SiteMinder. Usar o SiteMinder com o OC proporciona mais segurança para a sua organização. Além disso, é possível implementar o acesso por logon único no OC e em outros aplicativos web.
Índice
Pré-requisitos
Não tente executar os procedimentos neste cenário, a menos que você seja experiente no CA UIM Monitor, no CA SiteMinder e na administração de diretórios.
Certifique-se de que os seguintes pré-requisitos tenham sido atendidos antes de usar as instruções neste cenário:
  • O CA UIM Monitor (UIM e OC) 7.5 ou superior está instalado e configurado.
  • O CA SiteMinder r12.51 ou superior está instalado como um Servidor proxy seguro em funcionamento.
  • Um diretório LDAP existe para autenticação via SiteMinder e para vincular ao CA UIM Monitor. Os serviços de diretório a seguir são suportados:
    • Novell® eDirectory (TM) 8.8 SP1 (20114.57) e um servidor Novell ® KDC (Key Distribution Center - Centro de Distribuição de Chaves)
    • Servidor de diretórios SUN Java v5.2
    • Active Directory do Windows 2008 e Windows 2012.
Verificar mapeamento de LDAP
A tabela a seguir identifica os atributos de usuário e de grupo que devem estar mapeados entre o seu diretório e o hub do UIM e o OC. Os atributos indicados por um asterisco (*) são os mapeamentos obrigatórios para o OC. É recomendável determinar esses atributos no seu serviço de diretório antes de continuar.
Consulte essa tabela conforme necessário ao executar as etapas nas seções a seguir.
Descrição
Mapeamento de hub do UIM
Mapeamento do OC
Exemplo de LDAP
Identificador do grupo
filter_group
ldap.import.group.search.filter
objectClass=groupOfNames
Nome do grupo
attr_grp_name
nomeGrupo
cn
Integrante do grupo
attr_grp_member_name
user
member
Descrição do grupo
attr_grp_description
descrição
descrição
Identificador do usuário
---
ldap.import.user.search.filter
objectClass=inetOrgPerson
*Nome do usuário
---
screenName
cn
*Senha do usuário
---
password
userPassword
*Nome do usuário
attr_usr_firstname
firstName
Givenname
*Sobrenome do usuário
attr_usr_lastname
lastName
sn
*Email do usuário
attr_usr_mail, filter_user
emailAddress
mail
Configurar o LDAP no probe Hub
Configure o probe hub para encaminhar as solicitações de logon para o servidor LDAP e para acessar o recipiente com os grupos de usuários.
Siga estas etapas:
  1. Efetue logon no Gerenciador de infraestrutura e localize o probe hub.
  2. Pressione a tecla <Ctrl> ao clicar com o botão direito do mouse no probe hub e, em seguida, selecione Configuração de dados brutos.
  3. Expanda a seção LDAP e expanda a seção de modelos.
  4. Selecione o devido serviço de diretório e edite o valor da chave filter_user para (&(<loginAttribute>=$loginname)).
  5. Dependendo do serviço de diretório que você estiver usando, talvez seja necessário atualizar os valores de outras chaves para coincidir com seu diretório. Os atributos que podem ser de particular importância são os seguintes:
    • filter_group
    • filter_user
    • attr_grp_name
    • attr_grp_member_name
    • attr_grp_description
    • attr_usr_firstname
    • attr_usr_lastname
    • attr_usr_mail
  6. Clique em OK para confirmar as alterações.
    O probe hub é reiniciado.
  7. No Gerenciador de infraestrutura, clique com o botão direito do mouse no probe hub e selecione Configurar.
  8. No canto inferior direito da guia Geral, selecione Configurações.
  9. Na guia LDAP, faça o seguinte:
    1. Selecione LDAP direto.
    2. Selecione Autenticação do LDAP.
    3. No campo Nome do servidor, insira o <
      endereço
      _
      ip
      :
      porta
      > do servidor LDAP.
    4. Selecione o devido serviço de diretório no menu suspenso Tipo de servidor.
    5. Selecione LDAP > UIM no menu suspenso Sequência de autenticação.
    6. No campo Usuário, insira o DN (nome distinto) de um usuário do diretório com privilégios administrativos.
    7. Forneça um nome distinto (ND) nos campos Recipiente de grupo (DN) e Recipiente de usuário (DN) conforme apropriado.
Vincular as ACL a grupos LDAP
Use as etapas seguintes para vincular as ACL aos grupos LDAP.
Siga estas etapas:
  1. No Gerenciador de infraestrutura, selecione Segurança > Gerenciar lista de controle de acesso.
  2. Faça uma seleção na lista de controle de acesso e clique no botão Definir grupo LDAP.
  3. Selecione um grupo LDAP na lista.
  4. Selecione ou desmarque as permissões na lista se desejado.
Modificar a configuração do portal para ativar o SiteMinder
Use as etapas a seguir para editar o arquivo portal-ext.properties de modo a mapear o diretório para o OC.
As etapas nesta seção usam o atributo de diretório
mail
como o <loginAttribute>. Se <loginAttribute> não for
email
, determinadas linhas devem ser editadas de forma diferente conforme indicado. Além disso, os números de linha no arquivo portal-ext.properties são fornecidos, mas podem variar ligeiramente dos números de linha no seu arquivo portal-ext.properties.
Siga estas etapas:
  1. No Gerenciador de infraestrutura, desative o probe wasp.
  2. No sistema do OC, abra o seguinte arquivo para edição:
    <
    instalação_do_OC
    >\probes\service\wasp\webapps\ROOT\WEB-INF\classes\portal-ext.properties
  3. Modifique a linha 12 da seguinte maneira:
    company.security.auth.type=emailAddress
    Se <loginAttribute> não for
    mail
    , modifique a linha 12 da seguinte maneira:
    company.security.auth.type=screenName
  4. Comente as linhas 16 e 17 da seguinte maneira:
    #auth.pipeline.pre=com.firehunter.ump.auth.NmsAuth
    #auth.pipeline.enable.liferay.check=false
  5. Elimine o comentário das linhas 188 a 191 da seguinte maneira:
    ldap.base.provider.url.0=ldap://<server:port>
    ldap.base.dn.0=ou=example,o=com
    ldap.security.principal.0=<DN of directory user>
    ldap.security.credentials.0=<password>
  6. Elimine o comentário das linhas 195 e 196 da seguinte maneira:
    ldap.auth.search.filter.0=([email protected][email protected])
    ldap.import.user.search.filter.0=(objectClass=inetOrgPerson)
    Se <loginAttribute> não for
    mail
    , modifique a linha 195 da seguinte maneira:
    ldap.auth.search.filter.0=(<loginAttribute>[email protected][email protected])
  7. Elimine o comentário da linha 199 da seguinte maneira:
    ldap.import.method=user
  8. Elimine o comentário das linhas 201 a 203 e modifique o mapeamento conforme apropriado para o seu diretório:
    ldap.user.mappings.0=screenName=cn\npassword=userPassword\nemailAddress=mail\nfirstName=givenName\nlastName=sn\ngroup=ou
    ldap.import.group.search.filter.0=(objectClass=groupOfNames)
    ldap.group.mappings.0=groupName=cn\ndescription=description\nuser=member
    Se <loginAttribute> não for
    mail
    , modifique o mapeamento de screenName na linha 201 da seguinte maneira:
    screenName=<loginAttribute>
  9. Salve o arquivo portal-ext.properties e reative o probe wasp.
Verificar se os recursos do OC estão protegidos no servidor de diretivas do SiteMinder
As etapas a seguir ajudarão a verificar se os recursos do OC estão protegidos.
Siga estas etapas:
  1. Efetue logon na interface de usuário administrativa do servidor de diretivas.
  2. Crie um novo agente para o OC, por exemplo, <
    agente_nimsoft
    >.
  3. Crie um novo ACO (Agent Configuration Object - Objeto de Configuração de Agente) copiando o SPS ACO e nomeando-o <
    nimsoft_ACO
    >.
  4. Modifique a chave de nome do agente padrão:
    DefaultAgentName: <
    nimsoft_agent
    >
  5. Opcionalmente, modifique e ative os parâmetros de rastreamento e de log.
  6. Defina um aplicativo ou uma diretiva de domínio para proteger os recursos do OC usando o agente que você acabou de criar (<
    agente_UIM
    >).
    1. O diretório usado para autenticação via SiteMinder é o mesmo que o definido no hub do UIM e do portal.
    2. Os URL específicos para proteger são os seguintes:
      • /web*
      • /documents*
      • /user*
      • /group*
    3. Crie uma resposta do tipo WebAgent-HTTP-Header-Variable. Selecione Atributo de usuário como o Tipo de atributo. Use o nome da variável UMP_USER e o nome do atributo <loginAttribute>.
      Esta resposta deve ser ativada para todos os recursos.
Editar a configuração do Servidor proxy seguro
Use as etapas nesta seção para criar um novo agente da web e definir o host virtual para o servidor do OC.
Não permita acesso direto ao servidor do OC. O acesso deve ser controlado por regras de firewall ou outros meios.
Siga estas etapas:
  1. Efetue logon no host do SPS (Secure Proxy Server - Servidor Proxy Seguro).
  2. Siga as etapas na seção "Configurações do agente web para o host virtual padrão" no Guia de Administração do Servidor Proxy Seguro do CA SiteMinder para copiar o arquivo de configuração do agente existente.
  3. Emita os seguintes comandos:
    cd C:\Program Files (x86)\CA\secure-proxy\proxy-engine\conf\defaultagent\
    copy WebAgent.conf NimsoftWebAgent.conf
  4. Modifique o arquivo NimsoftWebAgent.conf da seguinte maneira:
    AgentConfigObject="<
    nimsoft_ACO
    >"
    ServerPath="ServerPath_nimsoft"
    AgentIdFile="C:\Program Files (x86)\CA\secure-proxy\proxy-engine\conf\defaultagent\NimsoftWebAgentId.dat"
  5. Edite o arquivo server.conf do SPS no diretório C:\Arquivos de programas (x86)\CA\secure-proxy\proxy-engine\conf\ e adicione uma entrada VirtualHost para o OC ao final do arquivo:
    # Nimsoft UMP Virtual Host
    <VirtualHost name="nimsoftump">
    # The hostname the user sees in their browser
    hostnames="user.visible.hostname.com"
    redirectrewritablehostnames="ALL"
    enableredirectrewrite="yes"
    enablerewritecookiedomain="yes"
    enableproxypreservehost="yes"
    <WebAgent>
    sminitfile="C:\Program Files (x86)\CA\secure-proxy\proxy-engine\conf\defaultagent\NimsoftWebAgent.conf"
    </WebAgent>
    </VirtualHost>
  6. Edite o proxyrules.xml no diretório C:\Arquivos de programas (x86)\CA\secure-proxy\proxy-engine\conf\ e adicione uma regra para encaminhar solicitações para o servidor do OC:
    <nete:proxyrules xmlns:nete="http://www.ca.com/">
    <nete:cond type="host">
    <nete:case value="user.visible.hostname.com:80">
    <nete:forward>http://nimsoft.ump.hostname.com$0>
    </nete:case>
    <nete:default>
    <nete:forward>http://some.other.host.com/404.html>
    </nete:default>
    </nete:cond>
    </nete:proxyrules>
  7. Reinicie o serviço do Windows do mecanismo de proxy do SiteMinder.
  8. Verifique se é possível acessar o OC por meio do host virtual definido anteriormente nesta seção.