IBM Tivoli Access Manager Guida per il responsabile di sistema WebSEAL Versione 3.9 GC13-3056-00 IBM Tivoli Access Manager Guida per il responsabile di sistema WebSEAL Versione 3.9 GC13-3056-00 Nota Primadiutilizzarequesteinformazionieilrelativoprodotto,consultarequantoriportatoinAppendiceC,“Informazioni particolari”apagina243. Quintaedizione(aprile2002) QuestaedizionesostituiscelapubblicazioneGC32-0684-01 ©CopyrightInternationalBusinessMachinesCorporation1999,2002.Tuttiidirittiriservati. Indice Prefazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix Achièdirettaquestaguida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix Contenutodellaguida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix Pubblicazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x IBMTivoliAccessManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x Pubblicazionicorrelate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii Accessoallepubblicazioniinlinea. . . . . . . . . . . . . . . . . . . . . . . . . . . xv Ordinarelepubblicazioni. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv Commentisullepubblicazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv Accessibilità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi Contattareilserviziodiassistenzaaiclienti . . . . . . . . . . . . . . . . . . . . . . . . xvi Convenzioniutilizzateinquestomanuale . . . . . . . . . . . . . . . . . . . . . . . . . xvi Convenzionitipografiche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi Capitolo 1. Panoramica su IBM Tivoli Access Manager WebSEAL . . . . . . . . . . . 1 IntroduzioneaIBMTivoliAccessManagereWebSEAL . . . . . . . . . . . . . . . . . . . . . 1 ComprensionedelmodellodiprotezionediAccessManager . . . . . . . . . . . . . . . . . . . 3 Lospaziooggettiprotetti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 DefinizioneeapplicazionedicriteriACLePOP . . . . . . . . . . . . . . . . . . . . . . 4 Gestionedelcriterio:IlgestorediportaleWeb . . . . . . . . . . . . . . . . . . . . . . . 6 ProtezionedellospazioWebconWebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . 6 Pianificazioneeimplementazionedeicriteridiprotezione . . . . . . . . . . . . . . . . . . . . 8 Identificazionedeitipidicontenutoelivellidiprotezione . . . . . . . . . . . . . . . . . . . 8 ComprensionedellaconfigurazioneWebSEAL . . . . . . . . . . . . . . . . . . . . . . . . 9 Obiettividell’autenticazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Accessoautenticatoenonautenticatoallerisorse. . . . . . . . . . . . . . . . . . . . . . 11 Strutturadellacachesessione/credenzialiWebSEAL. . . . . . . . . . . . . . . . . . . . . 12 ComprensionedeijunctionWebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . 13 JunctionWebSEALescalabilitàdelsitoWeb . . . . . . . . . . . . . . . . . . . . . . . 15 Capitolo 2. Configurazione base del server . . . . . . . . . . . . . . . . . . . . 19 Informazionigeneralisulserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Directoryprincipaledell’installazioneWebSEAL . . . . . . . . . . . . . . . . . . . . . . 19 AvvioearrestodiWebSEAL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 WebSEALrappresentatonellospaziooggettiprotetti . . . . . . . . . . . . . . . . . . . . 20 WebSEALrestituisceHTTP/1.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 FiledilogGWebSEAL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 UtilizzodelfilediconfigurazioneWebSEAL . . . . . . . . . . . . . . . . . . . . . . . . 21 Introduzionealfilediconfigurazionewebseald.conf. . . . . . . . . . . . . . . . . . . . . 21 DirectoryprincipaledelserverWebSEAL . . . . . . . . . . . . . . . . . . . . . . . . 23 Configurazionedeiparametridicomunicazione . . . . . . . . . . . . . . . . . . . . . . . 23 ConfigurazionediWebSEALperrichiesteHTTP . . . . . . . . . . . . . . . . . . . . . . 23 ConfigurazionediWebSEALperrichiesteHTTPS . . . . . . . . . . . . . . . . . . . . . 24 LimitazionedelleconnessionidaversioniSSLspecifiche . . . . . . . . . . . . . . . . . . . 24 ParametriditimeoutpercomunicazioneHTTP/HTTPS . . . . . . . . . . . . . . . . . . . 24 UlterioriparametriditimeoutdelserverWebSEAL . . . . . . . . . . . . . . . . . . . . . 25 GestionedellospazioWeb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 DirectoryprincipaledellastrutturadocumentiWeb . . . . . . . . . . . . . . . . . . . . . 26 Configurazionedell’indicedirectory . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Windows:DenominazionefileperprogrammiCGI . . . . . . . . . . . . . . . . . . . . . 28 ConfigurazionecachedidocumentiWeb . . . . . . . . . . . . . . . . . . . . . . . . 28 Specificadeitipididocumentoperilfiltro. . . . . . . . . . . . . . . . . . . . . . . . 31 GestionedellepaginedimessaggidierroreHTTPpersonalizzate . . . . . . . . . . . . . . . . . 31 SupportomacroperpaginedimessaggidierroreHTTP . . . . . . . . . . . . . . . . . . . 33 Gestionedellepaginedigestioneaccountpersonalizzate . . . . . . . . . . . . . . . . . . . . 34 © Copyright IBM Corp. 1999, 2002 iii Parametrievaloridellepaginepersonalizzate. . . . . . . . . . . . . . . . . . . . . . . 34 DescrizionidellepagineHTMLpersonalizzate. . . . . . . . . . . . . . . . . . . . . . . 34 Gestionedicertificatidelclienteedelserver . . . . . . . . . . . . . . . . . . . . . . . . 35 ComprensionedeitipidifiledeldatabasedichiaviGSKit. . . . . . . . . . . . . . . . . . . 36 Configurazionedeiparametrideldatabasedichiavi. . . . . . . . . . . . . . . . . . . . . 37 UtilizzodelprogrammadiutilitàiKeymanperlagestionedeicertificati . . . . . . . . . . . . . . 38 ConfigurazionedelcontrolloCRL . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 ConfigurazionedellacacheCRL . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 ConfigurazionedellafunzionediregistrazioneHTTPpredefinita . . . . . . . . . . . . . . . . . 40 AbilitazioneedisabilitazionedellafunzionediregistrazioneHTTP. . . . . . . . . . . . . . . . 40 Specificadeltipodiformatodata/ora . . . . . . . . . . . . . . . . . . . . . . . . . 41 Specificadellesogliedirolloverdelfiledilog. . . . . . . . . . . . . . . . . . . . . . . 41 Specificadellafrequenzadicancellazionedeibufferdeifiledilog . . . . . . . . . . . . . . . . 41 FormatodilogHTTPcomune(perrequest.log) . . . . . . . . . . . . . . . . . . . . . . 42 Visualizzazionedelfilerequest.log . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Visualizzazionedelfileagent.log . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Visualizzazionedireferer.log . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 ConfigurazionedelloggingHTTPmedianteilloggingdieventi. . . . . . . . . . . . . . . . . . 43 RegistrazionemessaggidifunzionalitàWebSEAL. . . . . . . . . . . . . . . . . . . . . . . 44 Capitolo 3. Configurazione avanzata del server . . . . . . . . . . . . . . . . . . 47 Configurazionediunaqualitàdiprotezionedilivellopredefinito . . . . . . . . . . . . . . . . . 47 ConfigurazioneQOPpersingolihostesingolereti . . . . . . . . . . . . . . . . . . . . . 48 Configurazioneaggiornamentiepollingdeldatabaseautorizzazioni . . . . . . . . . . . . . . . . 48 Configurazioneascoltonotifichediaggiornamento . . . . . . . . . . . . . . . . . . . . . 49 Configurazionepollingdeldatabaseautorizzazioni . . . . . . . . . . . . . . . . . . . . . 49 Gestionedell’assegnazionedeithreaddiprocesso . . . . . . . . . . . . . . . . . . . . . . 49 ConfigurazionedeithreaddiprocessodiWebSEAL. . . . . . . . . . . . . . . . . . . . . 50 Assegnazionedithreaddiprocessoperjunction(equitàjunction) . . . . . . . . . . . . . . . . 50 ReplicadiserverWebSEALfront-end. . . . . . . . . . . . . . . . . . . . . . . . . . . 52 ConfigurazionediistanzemultipledelserverWebSEAL . . . . . . . . . . . . . . . . . . . . 53 Panoramicasullaconfigurazione . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 ConfigurazionediistanzemultipleWebSEALsuUNIX. . . . . . . . . . . . . . . . . . . . 54 ConfigurazionediistanzemultipleWebSEALsuWinNT/2000 . . . . . . . . . . . . . . . . . 56 AnnullamentodellaconfigurazionediistanzemultipleWebSEAL . . . . . . . . . . . . . . . . 58 Comandidiavvio,arresto,riavvioestatodelserver. . . . . . . . . . . . . . . . . . . . . 59 ConfigurazioneSU(switchuser)periresponsabili . . . . . . . . . . . . . . . . . . . . . . 60 Comprensionedelflussodelprocessoswitchuser . . . . . . . . . . . . . . . . . . . . . 60 Abilitazionedellafunzioneswitchuser:riepilogo. . . . . . . . . . . . . . . . . . . . . . 61 ConfigurazionedelmoduloHTMLswitchuser . . . . . . . . . . . . . . . . . . . . . . 62 Abilitazioneedesclusionediutentidaswitchuser . . . . . . . . . . . . . . . . . . . . . 63 Configurazionedelmeccanismodiautenticazioneswitchuser . . . . . . . . . . . . . . . . . 64 ConfigurazionediunmeccanismoswitchuserCDAS . . . . . . . . . . . . . . . . . . . . 65 ImpattosualtrefunzionalitàdiWebSEAL . . . . . . . . . . . . . . . . . . . . . . . . 66 ConfigurazionecachedirichiesteWebSEALdelserver . . . . . . . . . . . . . . . . . . . . . 67 Informazionisecondarie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Flussodelprocessodicachedelserver . . . . . . . . . . . . . . . . . . . . . . . . . 67 Configurazionediparametridicachedelserver . . . . . . . . . . . . . . . . . . . . . . 68 Noteelimitazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 GestionedeicarattericodificatiUTF-8 . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Prevenzionedellavulnerabilitàcausatadascriptingcross-site . . . . . . . . . . . . . . . . . . 71 Informazionisecondarie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 ConfigurazionedelfiltrodistringaURL. . . . . . . . . . . . . . . . . . . . . . . . . 72 Soppressionedell’identitàdelserver . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 UtilizzodistatisticheWebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Sintassidelcomandopdadminstats . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Componentidistatisticheetipidiattività . . . . . . . . . . . . . . . . . . . . . . . . 76 Abilitazionedellestatisticheinmodostaticomedianteilloggingdieventi . . . . . . . . . . . . . 81 UtilizzodelprogrammadiutilitàditracciaperlacatturadiazioniWebSEAL . . . . . . . . . . . . . 82 Sintassideicomanditracedibase. . . . . . . . . . . . . . . . . . . . . . . . . . . 82 ComponentiditracciaWebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 iv IBMTivoliAccessManager: GuidaperilresponsabiledisistemaWebSEAL Capitolo 4. Criteri di sicurezza WebSEAL . . . . . . . . . . . . . . . . . . . . . 85 CriteriACLspecificidiWebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 /WebSEAL/<host>. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 /WebSEAL/<host>/<file> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 AutorizzazioniACLWebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 CriterioACLDefault/WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 CaratterivalidiperinomiACL . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Criteriothreestrikeslogin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Sintassideicomandi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Criteridirafforzamentodellapassword . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Criteridirafforzamentopasswordimpostatidalprogrammadiutilitàpdadmin . . . . . . . . . . . 88 Sintassideicomandi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Esempidipasswordvalideenonvalide. . . . . . . . . . . . . . . . . . . . . . . . . 90 Impostazionispecificheperl’utenteeglobali . . . . . . . . . . . . . . . . . . . . . . . 90 CriterioPOPdirafforzamentoautenticazione(afasi) . . . . . . . . . . . . . . . . . . . . . 91 Configurazionedeilivelliperl’autenticazioneafasi. . . . . . . . . . . . . . . . . . . . . 91 Abilitazionedell’autenticazioneafasi. . . . . . . . . . . . . . . . . . . . . . . . . . 92 Modulodiloginafasi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Algoritmodiautenticazioneafasi. . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Noteelimitazioniperl’autenticazioneafasi . . . . . . . . . . . . . . . . . . . . . . . 94 Distinzionetraautenticazioneafasiemulti-factor . . . . . . . . . . . . . . . . . . . . . 95 CriterioPOPdiautenticazionebasatosurete . . . . . . . . . . . . . . . . . . . . . . . . 96 Configurazionedeilivellidiautenticazione. . . . . . . . . . . . . . . . . . . . . . . . 96 SpecificadiindirizziIPeintervalli . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Disabilitazionedell’autenticazioneafasimedianteindirizzoIP . . . . . . . . . . . . . . . . . 98 Algoritmodiautenticazionebasatasurete . . . . . . . . . . . . . . . . . . . . . . . . 98 Noteelimitazioniperl’autenticazionebasatasurete . . . . . . . . . . . . . . . . . . . . 98 CriterioPOPdiqualitàdiprotezione. . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Gestionediutentinonautenticati(HTTP/HTTPS) . . . . . . . . . . . . . . . . . . . . . . 99 Elaborazionediunarichiestadaclientanonimo . . . . . . . . . . . . . . . . . . . . . . 99 Forzaturadelloginutente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 ApplicazionidiHTTPSnonautenticati. . . . . . . . . . . . . . . . . . . . . . . . . 100 ControllodiutentinonautenticaticoncriteriACL/POP . . . . . . . . . . . . . . . . . . . 100 Capitolo 5. Autenticazione WebSEAL . . . . . . . . . . . . . . . . . . . . . . 101 Comprensionedelprocessodiautenticazione. . . . . . . . . . . . . . . . . . . . . . . . 101 Tipididatidisessionesupportati . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Metodidiautenticazionesupportati. . . . . . . . . . . . . . . . . . . . . . . . . . 102 Gestionedellostatodisessione . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Panoramicadellostatodisessione . . . . . . . . . . . . . . . . . . . . . . . . . . 103 PanoramicadellacachedisessioneGSKiteWebSEAL. . . . . . . . . . . . . . . . . . . . 103 ConfigurazionecacheIDsessioneSSLGSKit . . . . . . . . . . . . . . . . . . . . . . . 104 Configurazionedellacachedisessione/credenzialiWebSEAL . . . . . . . . . . . . . . . . . 105 Mantenimentodellostatoconcookiedisessione . . . . . . . . . . . . . . . . . . . . . 106 IndividuazioneditipididatiIDsessionevalidi. . . . . . . . . . . . . . . . . . . . . . 108 Configurazionedeicookiedifailover . . . . . . . . . . . . . . . . . . . . . . . . . 108 Panoramicasullaconfigurazionedell’autenticazione . . . . . . . . . . . . . . . . . . . . . 112 Parametridiautenticazionelocali. . . . . . . . . . . . . . . . . . . . . . . . . . . 112 ParametridiautenticazioneCDASesternipersonalizzati . . . . . . . . . . . . . . . . . . . 112 Configurazionepredefinitaperl’autenticazioneWebSEAL . . . . . . . . . . . . . . . . . . 113 Configurazionedimetodidiautenticazionemultipli . . . . . . . . . . . . . . . . . . . . 113 Richiestadilogin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Comandidilogoutemodificapassword . . . . . . . . . . . . . . . . . . . . . . . . 114 Configurazionedell’autenticazioneBase(BA). . . . . . . . . . . . . . . . . . . . . . . . 115 AbilitazioneedisabilitazionediBA(BasicAuthentication) . . . . . . . . . . . . . . . . . . 115 Impostazionedelnomerealm . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 ConfigurazionedelmeccanismoBasicAuthentication . . . . . . . . . . . . . . . . . . . . 116 Condizionidiconfigurazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Configurazionedell’autenticazionemoduli . . . . . . . . . . . . . . . . . . . . . . . . 117 Abilitazioneedisabilitazionedell’autenticazionemoduli . . . . . . . . . . . . . . . . . . . 117 Configurazionedelmeccanismodiautenticazionemoduli . . . . . . . . . . . . . . . . . . 117 Indice v Condizionidiconfigurazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 PersonalizzazionedeimodulidirispostaHTML. . . . . . . . . . . . . . . . . . . . . . 118 Configurazionedell’autenticazioneviacertificatodelclient . . . . . . . . . . . . . . . . . . . 118 Informazionisecondarie:Autenticazionereciprocamediantecertificati . . . . . . . . . . . . . . 118 IlcertificatodiprovaWebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Abilitazioneedisabilitazionedell’autenticazionemediantecertificato. . . . . . . . . . . . . . . 120 Configurazionedelmeccanismodiautenticazionemediantecertificato . . . . . . . . . . . . . . 120 Condizionidiconfigurazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Configurazionedell’autenticazionemedianteintestazioneHTTP . . . . . . . . . . . . . . . . . 121 Abilitazioneedisabilitazionedell’autenticazionemedianteintestazioneHTTP. . . . . . . . . . . . 121 Specificadeitipidiintestazione . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 ConfigurazionedelmeccanismodiautenticazionediintestazioneHTTP. . . . . . . . . . . . . . 122 Condizionidiconfigurazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Configurazionedell’autenticazionemedianteindirizzoIP. . . . . . . . . . . . . . . . . . . . 123 Abilitazioneedisabilitazionedell’autenticazionediindirizzoIP . . . . . . . . . . . . . . . . 123 ConfigurazionedelmeccanismodiautenticazionemedianteindirizzoIP . . . . . . . . . . . . . 123 Configurazionedell’autenticazionetoken . . . . . . . . . . . . . . . . . . . . . . . . . 123 Abilitazioneedisabilitazionedell’autenticazionetoken . . . . . . . . . . . . . . . . . . . 123 Configurazionedelmeccanismodiautenticazioneviatoken. . . . . . . . . . . . . . . . . . 123 SupportoMPA(multiplexingproxyagents) . . . . . . . . . . . . . . . . . . . . . . . . 124 Tipididatidisessioneemetodidiautenticazionevalidi. . . . . . . . . . . . . . . . . . . 125 FlussodelprocessodiautenticazioneperMPAeclientmultipli . . . . . . . . . . . . . . . . 126 Abilitazioneedisabilitazionedell’autenticazioneMPA. . . . . . . . . . . . . . . . . . . . 127 CreazionediunaccountutenteperMPA . . . . . . . . . . . . . . . . . . . . . . . . 127 Aggiuntadell’accountMPAalgruppowebseal-mpa-servers. . . . . . . . . . . . . . . . . . 127 Limitazionidell’autenticazioneMPA. . . . . . . . . . . . . . . . . . . . . . . . . . 127 Configurazionedellariautenticazionebasatasucriteridiprotezione . . . . . . . . . . . . . . . . 127 CondizioniriguardantilariautenticazionePOP . . . . . . . . . . . . . . . . . . . . . . 127 CreazioneeapplicazionedelPOPdiriautenticazione . . . . . . . . . . . . . . . . . . . . 128 Configurazionedireimpostazioneedestensionedelladuratadicachedisessione . . . . . . . . . . 129 Configurazionedellariautenticazionebasatasulcriteriodiinattivitàdellasessione . . . . . . . . . . . 130 Condizioniriguardantilariautenticazioneperinattività . . . . . . . . . . . . . . . . . . . 130 Abilitazionedellariautenticazioneperinattività. . . . . . . . . . . . . . . . . . . . . . 131 Configurazionedireimpostazioneedestensionedelladuratadicachedisessione . . . . . . . . . . 131 Capitolo 6. Soluzioni CDSSO (cross-domain sign-on) . . . . . . . . . . . . . . . 135 ConfigurazioneautenticazioneCDSSO . . . . . . . . . . . . . . . . . . . . . . . . . . 135 IntegrazionediunalibreriacondivisaCDMFpersonalizzata. . . . . . . . . . . . . . . . . . 135 FlussodelprocessodiautenticazioneperCDSSOconCDMF . . . . . . . . . . . . . . . . . 135 Abilitazioneedisabilitazionedell’autenticazioneCDSSO. . . . . . . . . . . . . . . . . . . 137 ConfigurazionedelmeccanismodiautenticazioneCDSSO . . . . . . . . . . . . . . . . . . 137 Codificadeidatideltokendiautenticazione . . . . . . . . . . . . . . . . . . . . . . . 138 Configurazionedellaregistrazionedata/oradeltoken. . . . . . . . . . . . . . . . . . . . 138 EspressionedeicollegamentiHTMLCDSSO . . . . . . . . . . . . . . . . . . . . . . . 139 Protezionedeltokendiautenticazione . . . . . . . . . . . . . . . . . . . . . . . . . 139 Configurazionesinglesign-one-community . . . . . . . . . . . . . . . . . . . . . . . . 139 Funzionierequisitidell’e-community . . . . . . . . . . . . . . . . . . . . . . . . . 141 Flussodelprocessoe-community. . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Comprensionedelcookiee-community. . . . . . . . . . . . . . . . . . . . . . . . . 145 Comprensionedellarichiestaerisposta“diconvalida” . . . . . . . . . . . . . . . . . . . 146 Comprensionedeltoken“diconvalida” . . . . . . . . . . . . . . . . . . . . . . . . 147 Codificadeltoken“diconvalida” . . . . . . . . . . . . . . . . . . . . . . . . . . 147 Configurazionediunae-community . . . . . . . . . . . . . . . . . . . . . . . . . 148 Capitolo 7. Junction WebSEAL. . . . . . . . . . . . . . . . . . . . . . . . . 153 PanoramicasuijunctionWebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Ubicazioneeformatodeldatabasedijunction . . . . . . . . . . . . . . . . . . . . . . 153 Applicazionedelcontrolloaccessosuperficiale:riepilogo. . . . . . . . . . . . . . . . . . . 154 Applicazionedelcontrolloaccessoraffinato:riepilogo. . . . . . . . . . . . . . . . . . . . 154 IndicazioniperlacreazionedijunctionWebSEAL . . . . . . . . . . . . . . . . . . . . . 154 vi IBMTivoliAccessManager: GuidaperilresponsabiledisistemaWebSEAL UlterioririferimentiperijunctionWebSEAL . . . . . . . . . . . . . . . . . . . . . . . 155 Utilizzodipdadminpercrearejunction . . . . . . . . . . . . . . . . . . . . . . . . . 155 ConfigurazionediunjunctionWebSEALbase . . . . . . . . . . . . . . . . . . . . . . . 156 CreazionedijunctionditipoTCP . . . . . . . . . . . . . . . . . . . . . . . . . . 156 CreazionedijunctionditipoSSL. . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Aggiuntadiserverback-endsupplementariaunjunction . . . . . . . . . . . . . . . . . . 158 JunctionSSLautenticatireciprocamente . . . . . . . . . . . . . . . . . . . . . . . . . 158 WebSEALconvalidailcertificatodelserverdiback-end . . . . . . . . . . . . . . . . . . . 159 CorrispondenzaDN(Distinguishedname) . . . . . . . . . . . . . . . . . . . . . . . 159 WebSEALeffettual’autenticazioneconilcertificatodelclient . . . . . . . . . . . . . . . . . 159 WebSEALeffettual’autenticazioneconl’intestazioneBA . . . . . . . . . . . . . . . . . . . 160 Gestionedeidatisull’identitàdelclientattraversojunction . . . . . . . . . . . . . . . . . . 160 CreazionedijunctionproxyTCPeSSL. . . . . . . . . . . . . . . . . . . . . . . . . . 161 JunctionWebSEAL-WebSEALsuSSL . . . . . . . . . . . . . . . . . . . . . . . . . . 162 ModificadiURLarisorsediback-end . . . . . . . . . . . . . . . . . . . . . . . . . . 162 ComprensionedeitipidipercorsoutilizzatiinURL . . . . . . . . . . . . . . . . . . . . 164 FiltrodegliURLnellerisposte. . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 ElaborazionediURLnellerichieste . . . . . . . . . . . . . . . . . . . . . . . . . . 167 Opzionidijunctionsupplementari . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 Forzaturadiunnuovojunction(–f) . . . . . . . . . . . . . . . . . . . . . . . . . . 169 Perfornirel’identitàclientnelleintestazioniHTTP(–c) . . . . . . . . . . . . . . . . . . . 170 SpecificadiindirizziIPclientnelleintestazioniHTTP(–r) . . . . . . . . . . . . . . . . . . 171 LimitazionedelladimensionediintestazioniHTTPgeneratedaWebSEAL . . . . . . . . . . . . . 172 Trasmissionedeicookiedisessioneaiserverdiportaledijunction(–k) . . . . . . . . . . . . . . 173 SupportodiURLnonsensibilialmaiuscolo/minuscolo(–i) . . . . . . . . . . . . . . . . . . 173 Supportodijunctiondistato(–s,–u) . . . . . . . . . . . . . . . . . . . . . . . . . 174 SpecificaUUIDdiserverback-endperjunctiondistato(–u) . . . . . . . . . . . . . . . . . 174 JunctionafilesystemWindows(–w) . . . . . . . . . . . . . . . . . . . . . . . . . 177 Notetecnicheperl’utilizzodijunctionWebSEAL . . . . . . . . . . . . . . . . . . . . . . 178 Montaggiodiservermultiplisullostessojunction . . . . . . . . . . . . . . . . . . . . . 178 Eccezioninell’applicazionediautorizzazionisuijunction. . . . . . . . . . . . . . . . . . . 178 Autenticazionedicertificatoattraversojunction . . . . . . . . . . . . . . . . . . . . . . 179 Utilizzodiquery_contentsconserverditerzi . . . . . . . . . . . . . . . . . . . . . . . 179 Installazionedeicomponentiquery_contents. . . . . . . . . . . . . . . . . . . . . . . 179 Installazionediquery_contentssuserverUNIXditerzi . . . . . . . . . . . . . . . . . . . 180 Installazionediquery_contentssuserverWin32diterzi . . . . . . . . . . . . . . . . . . . 180 Personalizzazionediquery_contents. . . . . . . . . . . . . . . . . . . . . . . . . . 182 Protezionediquery_contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Capitolo 8. Soluzioni Web single sign-on . . . . . . . . . . . . . . . . . . . . 185 ConfigurazionediintestazioniBApersoluzionisinglesign-on. . . . . . . . . . . . . . . . . . 185 ConcettiSSO(singlesign-on) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Perfornirel’identitàclientnelleintestazioniBA. . . . . . . . . . . . . . . . . . . . . . 186 Specificadell’identitàclientediunapasswordgenerica . . . . . . . . . . . . . . . . . . . 186 Inviodiinformazionisull’intestazioneBAoriginaledelclient . . . . . . . . . . . . . . . . . 187 RimozionedelleinformazionidiintestazioneBAdelclient . . . . . . . . . . . . . . . . . . 188 SpecificadinomiutenteepassworddaGSO. . . . . . . . . . . . . . . . . . . . . . . 189 UtilizzodiGSO(globalsign-on) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Associazionedelleinformazionidiautenticazione . . . . . . . . . . . . . . . . . . . . . 190 ConfigurazionediunjunctionWebSEALabilitatoperGSO . . . . . . . . . . . . . . . . . . 191 ConfigurazionedellacacheGSO . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 ConfigurazioneSSO(singlesign-on)perIBMWebSphere(LTPA) . . . . . . . . . . . . . . . . . 192 ConfigurazionediunjunctionLTPA. . . . . . . . . . . . . . . . . . . . . . . . . . 193 ConfigurazionedellacacheLTPA. . . . . . . . . . . . . . . . . . . . . . . . . . . 193 Notetecnichepersinglesign-onLTPA . . . . . . . . . . . . . . . . . . . . . . . . . 194 Configurazionedell’autenticazioneSSO(singlesign-on)dimoduli . . . . . . . . . . . . . . . . 194 Informazionisecondarieeobiettivi . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Flussodelprocessosinglesign-ondimoduli. . . . . . . . . . . . . . . . . . . . . . . 195 Requisitiperilsupportodiapplicazioni . . . . . . . . . . . . . . . . . . . . . . . . 196 CreazionedelfilediconfigurazioneperSSOdimoduli . . . . . . . . . . . . . . . . . . . 197 Abilitazionedelsinglesign-ondimoduli . . . . . . . . . . . . . . . . . . . . . . . . 200 Indice vii FilediconfigurazionediesempioperIBMHelpNow . . . . . . . . . . . . . . . . . . . . 201 Capitolo 9. Integrazione di applicazioni . . . . . . . . . . . . . . . . . . . . . 203 SupportodellaprogrammazioneCGI . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Windows:SupportodivariabilidiambienteWIN32 . . . . . . . . . . . . . . . . . . . . 204 Supportodiapplicazioniperilserverback-end . . . . . . . . . . . . . . . . . . . . . . . 205 Migliorutilizzodijunctionperl’integrazionediapplicazioni . . . . . . . . . . . . . . . . . . 205 ComefornireinformazionidiintestazioneHOSTcompletecon-v. . . . . . . . . . . . . . . . 206 SupportodelfiltroURLassolutostandard. . . . . . . . . . . . . . . . . . . . . . . . 206 Creazionediunserviziodipersonalizzazioneprivato. . . . . . . . . . . . . . . . . . . . . 207 ConfigurazionediWebSEALperunserviziodipersonalizzazione. . . . . . . . . . . . . . . . 208 Esempiodiserviziodipersonalizzazione . . . . . . . . . . . . . . . . . . . . . . . . 208 Abilitazionediconcessionidynamicbusiness(tag/valore) . . . . . . . . . . . . . . . . . . . 209 CreazionediconcessionibusinessdadatiLDAP . . . . . . . . . . . . . . . . . . . . . 209 Mantenimentodellostatodisessionetraclienteapplicazioniback-end . . . . . . . . . . . . . . . 211 Informazionisecondarieperlagestionedellasessioneutente . . . . . . . . . . . . . . . . . 212 Abilitazionedellagestioneidsessioneutente. . . . . . . . . . . . . . . . . . . . . . . 212 Inserimentodeidatidicredenzialenell’intestazioneHTTP . . . . . . . . . . . . . . . . . . 213 Conclusionedellesessioniutente. . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Controllodell’accessoagliURLdinamici . . . . . . . . . . . . . . . . . . . . . . . . . 215 ComponentiURLdinamici. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 AssociazionedioggettiACLePOPaURLdinamici . . . . . . . . . . . . . . . . . . . . 216 AggiornamentodiWebSEALperURLdinamici . . . . . . . . . . . . . . . . . . . . . . 218 RisoluzionediURLdinamicinellospaziooggetti . . . . . . . . . . . . . . . . . . . . . 218 ConfigurazionedilimitazionisurichiestePOST. . . . . . . . . . . . . . . . . . . . . . 219 Riepilogoenotetecniche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 EsempiodiURLdinamico:TravelKingdom . . . . . . . . . . . . . . . . . . . . . . . . 221 L’applicazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 L’interfaccia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Ilcriteriodiprotezione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Clientprotetti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 Controllodell’accesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 Conclusione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 Appendice A. Riferimento webseald.conf . . . . . . . . . . . . . . . . . . . . 225 Appendice B. Riferimento junction WebSEAL . . . . . . . . . . . . . . . . . . 237 Utilizzodipdadminpercrearejunction . . . . . . . . . . . . . . . . . . . . . . . . . 237 Icomandijunction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 Creazionediunnuovojunctionperunserveriniziale. . . . . . . . . . . . . . . . . . . . . 239 Aggiuntadiunserversupplementareaunjunctionesistente . . . . . . . . . . . . . . . . . . 241 Appendice C. Informazioni particolari . . . . . . . . . . . . . . . . . . . . . . 243 Marchi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Indice analitico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 viii IBMTivoliAccessManager: GuidaperilresponsabiledisistemaWebSEAL